簡述網(wǎng)管員在日志分析中的五個(gè)誤區(qū)

chinatf

在使用日志的過程中，人們常常會(huì)面臨五大誤區(qū)�？朔�這些誤區(qū)，不僅可以大大提升安全設(shè)施的價(jià)值，而且能夠及時(shí)化解潛在風(fēng)險(xiǎn)。
　　為了應(yīng)對(duì)不斷涌現(xiàn)的安全威脅，許多企業(yè)都部署了多種安全設(shè)備。這些設(shè)備生成大量的日志信息。為了利用這些信息，許多企業(yè)還部署了日志收集和分析程序。即使如此，許多用戶仍然認(rèn)為安全設(shè)備的作用沒有達(dá)到期望值。之所以發(fā)生這種情況，常常是由于人們?cè)谌罩痉治鲋械奈鍌�(gè)誤區(qū)所造成的。
　　不查看日志
　　許多用戶都會(huì)犯一個(gè)低級(jí)錯(cuò)誤—不查看日志。雖然收集和存儲(chǔ)日志很重要，但只有經(jīng)常查看日志，了解網(wǎng)絡(luò)環(huán)境中發(fā)生了哪些情況，才能及時(shí)做出響應(yīng)。一旦部署了安全設(shè)備并且收集了日志，用戶需要對(duì)其進(jìn)行持續(xù)監(jiān)控，以及時(shí)發(fā)現(xiàn)可能發(fā)生的安全事件。
　　一些用戶只在重大事件之后才審查日志，盡管這些用戶能夠獲得事后分析的好處，但沒能獲得事前預(yù)防的好處。主動(dòng)查看日志有助于用戶更好地實(shí)現(xiàn)安全設(shè)施的價(jià)值，了解攻擊行為將在何時(shí)發(fā)生并及時(shí)采取措施。
　　許多用戶總愛抱怨入侵檢測(cè)系統(tǒng)( IDS )不能起作用。造成這一問題的重要原因就是，IDS經(jīng)常產(chǎn)生誤報(bào)，使人們無法根據(jù)其警告信息采取行動(dòng)。如果人們將IDS日志與其他日志（如防火墻日志）進(jìn)行全面關(guān)聯(lián)分析，就能充分發(fā)揮IDS的作用。
　　沒區(qū)分日志的優(yōu)先次序
　　日志已經(jīng)收集完畢，存儲(chǔ)時(shí)間也足夠長，并且日志格式也統(tǒng)一了，接下來網(wǎng)管員應(yīng)該從何處著手呢？建議用戶設(shè)法獲得高水平的摘要以查看最近的安全事件。這需要克服另外一個(gè)錯(cuò)誤，即不區(qū)分日志記錄的優(yōu)先次序。一些網(wǎng)管員理不清優(yōu)先次序就研究大量的日志數(shù)據(jù)，結(jié)果就會(huì)半途而廢。
　　有效優(yōu)先化的第一步就是對(duì)策略進(jìn)行定義�；卮鹣铝袉栴}會(huì)有助于定義策略：“最擔(dān)心什么？”“攻擊得逞了嗎？”“以前發(fā)生過這種攻擊嗎？” 可幫助用戶開始制定優(yōu)先化策略，減輕用戶每天收集日志數(shù)據(jù)的負(fù)擔(dān)。
　　日志格式不統(tǒng)一
　　日志格式不統(tǒng)一十分普遍：有的基于簡單網(wǎng)絡(luò)管理協(xié)議，有的則基于Unix系統(tǒng)。缺乏統(tǒng)一的日志格式，導(dǎo)致企業(yè)需要不同的專家來從事日志分析，這是因?yàn)椴⒎撬�有通曉Unix日志格式的管理人員都能看懂Windows事件日志記錄，反之亦然。多數(shù)網(wǎng)管員通常只對(duì)少數(shù)系統(tǒng)熟悉，將設(shè)備生成的日志信息轉(zhuǎn)換為統(tǒng)一的格式有利于網(wǎng)管員進(jìn)行關(guān)聯(lián)分析和進(jìn)行決策。
　　日志存儲(chǔ)時(shí)間太短
　　許多用戶認(rèn)為自己擁有進(jìn)行監(jiān)控和調(diào)查所需要的所有日志，但是在遭遇安全事件之后才發(fā)現(xiàn)，相應(yīng)的日志信息已經(jīng)被刪除了。安全事件通常是在攻擊或?yàn)E用行為發(fā)生后很長時(shí)間才被發(fā)現(xiàn)。 如果費(fèi)用緊缺，建議用戶將保留的日志分為兩個(gè)部分：短期的在線存儲(chǔ)和長期的離線存儲(chǔ)。將舊日志信息存儲(chǔ)在磁帶中，既能節(jié)約離線存儲(chǔ)的成本，還能長久保存以備未來分析。
　　只查找已知的不良信息
　　即使最先進(jìn)和最注意安全的用戶有時(shí)也會(huì)陷入網(wǎng)絡(luò)陷阱。這種網(wǎng)絡(luò)陷阱十分陰險(xiǎn)，會(huì)嚴(yán)重降低日志分析的價(jià)值。如果用戶只查看已知的不良信息時(shí)，這種事情就會(huì)發(fā)生。
　　交換機(jī)在查找日志文件中已定義的不良信息時(shí)，顯得十分有效。然而要充分實(shí)現(xiàn)日志數(shù)據(jù)的價(jià)值，就需要進(jìn)行日志的深度挖掘。在沒有預(yù)先想定所需要的不良信息前提下，用戶可以在日志文件中發(fā)現(xiàn)一些有用信息，包括遭受攻擊和感染的系統(tǒng)、新的攻擊、內(nèi)部濫用和知識(shí)產(chǎn)權(quán)偷竊等。怎樣才能提高發(fā)現(xiàn)潛在攻擊行為的機(jī)率呢？這需要借助數(shù)據(jù)挖掘方法，數(shù)據(jù)挖掘可以使用戶快速查找日志數(shù)據(jù)中的異常信息。
來源:http://www.unixren.com


本文來自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/12156/showart_153545.html