合適的日志管理工具能大幅減輕管理企業(yè)系統(tǒng)日志數(shù)據(jù)的負擔(dān)。但是，除非組織為這個工具投入一定的時間和精力，否則再好的工具也會很快變成一個差勁的工具。

門外漢用上了工具依然是門外漢

如果你不準(zhǔn)備投入時間和精力在恰當(dāng)?shù)匕惭b、管理日志管理工具上，那么就不要把錢浪費在日志管理系統(tǒng)上面。日志管理系統(tǒng)必須進行合理的配置，以正確解析您網(wǎng)絡(luò)中的事件和日志，這樣出來的報表才具有商業(yè)和技術(shù)價值。另一個“愚蠢”的錯誤是不去瀏覽和審查告警控制臺，因而錯過了關(guān)鍵的安全事件。因此，不要犯只重視日志管理技術(shù)而不重視系統(tǒng)使用的錯誤。

通過預(yù)定義需求來精簡RFP(請求提案)

創(chuàng)建RFP(請求提案，需求方案說明書)是一個費時的過程。而一些需求一旦被定義出來，就能在隨后的RFP中復(fù)用。這在制定日志管理的需求時很常見，因為日志管理的基本需求(例如日志文件的格式，寫入日志文件的數(shù)據(jù)，等等)都是一樣的，可以預(yù)先定義出來。使用預(yù)定義需求的另一個好處是這確保了在精簡RFP周期的同時保持需求的一致性。

確定你有所需的信息

為了能夠?qū)懗鲇行У年P(guān)聯(lián)規(guī)則，日志管理系統(tǒng)必須有足夠的上下文數(shù)據(jù)進行分析。例如，為了確定某個特定的流量或者行為來自哪里，就需要知道源IP地址信息，這意味著日志管理系統(tǒng)必須先記錄下IP地址信息，這樣引擎才能夠?qū)⑵浣馕龀鰜怼Ｓ掷?，如果要寫一條日志分析規(guī)則對目標(biāo)設(shè)備或者應(yīng)用發(fā)生了某種行為進行告警，相關(guān)的日志數(shù)據(jù)必須先記錄下那些行為才行。

不要局限于靜態(tài)分析

大部分組織需要做的***一件事是將那些沒有整體分析模型的數(shù)據(jù)填寫到另一張大表中，然后利用這張大表來進行事件分析。根據(jù)預(yù)期或者可接受行為的基線設(shè)定的告警不僅要通過分析大表中單條記錄的特征來產(chǎn)生，還要通過分析一組記錄集的特征來產(chǎn)生。不妨設(shè)想一下關(guān)鍵數(shù)據(jù)庫的登錄記錄。

一般會將兩次登錄失敗的行為設(shè)定為觸發(fā)告警的基線，但是如果那個數(shù)據(jù)庫系統(tǒng)的密碼策略從使用簡單的字典單詞變?yōu)槭褂?位以上非字典單詞字符串，那么登錄失敗次數(shù)的基線可能要增大，因為用戶要適應(yīng)新的策略。具有智能感知能力的日志管理系統(tǒng)應(yīng)該可以進行調(diào)節(jié)，以監(jiān)測發(fā)展趨勢，并為管理員提供反饋。管理員可以決定使用該趨勢信息臨時地改變告警閥值。

使用日志數(shù)據(jù)描述正在或者已經(jīng)發(fā)生的事情

“日志是檢查故障的***信息源”。因為大部分情況下用戶判斷導(dǎo)致故障原因的所有所需信息都能夠從日志文件中找到。在危機期間，管理人員經(jīng)常不得不進入被動模式，往往只能通過直覺、猜測、將不可再分的無關(guān)信息拼湊到一起等方式來判斷正在或者已經(jīng)發(fā)生的事情。而日志是真實發(fā)生事件的記錄，日志管理系統(tǒng)允許管理人員針對故障信息實時地撰寫和產(chǎn)生報表，從而真實地告訴響應(yīng)小組網(wǎng)絡(luò)中發(fā)生了什么。

使用范疇可以超越安全本身

日志管理系統(tǒng)是一個***的安全設(shè)備信息收集和分析工具，不僅可以用這些信息實現(xiàn)安全感知，而且可以利用這些信息實現(xiàn)其他目標(biāo)。例如，可以將這些信息用于分析(你的)十大業(yè)務(wù)關(guān)系的客戶體驗。

許多WEB應(yīng)用分析系統(tǒng)無法提供展示真實客戶體驗的細粒度視圖。而設(shè)計良好的應(yīng)用系統(tǒng)日志可以記錄這些客戶體驗，日志管理系統(tǒng)可以通過這些日志來分析客戶體驗，從而將日志管理系統(tǒng)的運用領(lǐng)域擴展到安全分析之外。

【編輯推薦】

1. Linux日志管理高級進階:實例詳解syslog
2. Linux日志管理五大命令詳解
3. 掌握系統(tǒng)一舉一動 Linux日志管理