日志运维人员在工作中会遇到哪些问题
日志运维人员在工作中会遇到以下问题:
日志太多,太过分散,查看起来不方便。
程序采用分布式系统,出现问题的日志不知道在哪台机器上,需要登录每台机器使用命令查看。
如果想要统计某个字段的数据,需要登录每台机器统计一遍,然后将所有数据相加求和。
很难对日志数据进行多维度的关联分析。
因为数据分散在不同的地方,所以做统计性告警比较困难。
运维人员直接登录生产机器查看日志,容易发生误操作,风险较高。
生产磁盘较小,但日志较多且需要保存的时间较长。
日志管理中存在问题的解决方法有以下这些:
将日志从原本的设备和系统中剥离出来:犯罪分子总是针对特定的系统和设备,并将他们的相关操作日志移除,以掩盖自己的行踪。如果通过工具将日志从设备和系统中导出,并存储在一个分开、安全的位置,就能够确保好人依然能够看到坏人的所作所为。
在不同位置记录日志:在网络的不同位置进行日志记录非常关键。这样能帮助调查人员理解攻击者如何潜入,以及他们在网络中的行踪,还有他们在初始入侵之后的意图。”他提到,“这也能帮助发现哪些系统和数据可能在攻击中沦陷,然后决定是否有其他系统应该进行犯罪调查。”
通过云端防护:但无论是自己保护日志系统,还是在云端,日志备份总是一个好主意,因为攻击者不总是破坏日志,有时候他们会修改日志,或者通过活动过载等各种方式污染日志内容。
在犯罪数据中加入储存媒介的图片:许多犯罪调查是通过浏览存储媒介的图片,而非浏览日志解决的。不时对虚拟机截屏并且保存相关图片,能对攻击者的行为带来非常有价值的情报。
确保多人具备日志分析能力:确保安全团队的每个人都有内存分析的能力。大部分恶意软件都不会直接对磁盘进行写入,而是直接在内存中运行,因此如果没有适当的技能和实践会很难进行分析。I
知道哪些日志文件是有帮助的:尽管根据事件的类型,有帮助的文件类别各不相同,但是有一些共性点总是有价值的。所以要能分析出哪些日志是有用的,哪些日志是无用信息这样既可降低日志分析时间,也可以加快查找攻击源的速度。
测试日志的有用性:不是所有的日志都是被“平等”地创建的,因此最好检查一下这些日志到底有什么用,特别是在企业真正需要使用这些日志之前。