隨著數(shù)據(jù)中心規(guī)模增長(zhǎng)，有效合理管理服務(wù)器日志變得越來(lái)越重要。服務(wù)器、防火墻、應(yīng)用程序甚至是交換機(jī)設(shè)備的事件日志可以為IT管理員分擔(dān)許多工作壓力，而不是忙于救火--若正確管理日志，工程師們完全可以建立一個(gè)主動(dòng)的可用性監(jiān)控與控制環(huán)境，預(yù)防問題產(chǎn)生?，F(xiàn)在就讓我們來(lái)回顧一些有效利用服務(wù)器日志數(shù)據(jù)的技巧與秘訣。

日志管理最佳實(shí)踐與秘訣

借助有效日志管理，管理員可以完成如下任務(wù)：

·創(chuàng)建用于取證分析的審計(jì)追蹤。時(shí)常會(huì)遇到可疑入侵或數(shù)據(jù)丟失事件。良好的審計(jì)追蹤可以讓數(shù)據(jù)中心審計(jì)工程師獲知誰(shuí)在最近登錄了環(huán)境，并將這些數(shù)據(jù)整理成可用信息。

·管理與監(jiān)控入侵。主動(dòng)服務(wù)器日志監(jiān)控可以預(yù)防事故或針對(duì)系統(tǒng)的惡意入侵。當(dāng)日志有效生成后，所有重要系統(tǒng)都會(huì)納入監(jiān)控，任何未授權(quán)的活動(dòng)一旦發(fā)生，告警系統(tǒng)將立刻將其標(biāo)識(shí)為紅色狀態(tài)。

·事件抑制。如果數(shù)據(jù)中心內(nèi)發(fā)生了未授權(quán)事件，日志告警設(shè)置將通知工程師們快速對(duì)其做出反應(yīng)。通過(guò)良好的日志管理，工程師們可以快速定位問題所在并將網(wǎng)絡(luò)或服務(wù)器隔離，防止問題進(jìn)一步擴(kuò)大。

·主動(dòng)保護(hù)數(shù)據(jù)中心環(huán)境?；€分析與日志管理工具可以幫助組織在安全策略方面更加主動(dòng)。通過(guò)捕獲安全漏洞或系統(tǒng)中存在的問題，工程師們可以在問題變得更嚴(yán)重前解決。這樣的做法與簡(jiǎn)單的給服務(wù)器打補(bǔ)丁或因?yàn)闆]有正確配置日志監(jiān)控而造成數(shù)據(jù)丟失相比，具有極高預(yù)見性。

·實(shí)時(shí)告警配置。數(shù)據(jù)中心是IT運(yùn)維的核心業(yè)務(wù)。日志管理相當(dāng)重要，盡管如此，同樣重要的還包括訪問與監(jiān)控實(shí)時(shí)警報(bào)的能力。通過(guò)良好的告警機(jī)制，管理員可以獲知環(huán)境中所發(fā)生的情況并及時(shí)解決，不再浪費(fèi)時(shí)間。若遭遇入侵或嚴(yán)重事故，爭(zhēng)分奪秒是十分必要的。

·管理活動(dòng)網(wǎng)絡(luò)日志并建立使用基線。日志可以作為未來(lái)環(huán)境規(guī)劃的參考。例如，網(wǎng)絡(luò)日志可以用來(lái)為當(dāng)前環(huán)境建立使用基線。以此為基準(zhǔn)，工程師可以判斷他們是否缺乏資源或應(yīng)該如何有效規(guī)劃規(guī)模增長(zhǎng)。

·創(chuàng)建實(shí)時(shí)的日志工作簿以應(yīng)對(duì)IT需求變化。保持一個(gè)活動(dòng)日志簿可以追蹤當(dāng)前環(huán)境中的所有日志。通過(guò)了解這些系統(tǒng)所承擔(dān)的負(fù)載，明白其性能峰值/谷值，并了解服務(wù)器利用率狀況，可以讓工程師們根據(jù)業(yè)務(wù)需求變化而精簡(jiǎn)其基礎(chǔ)設(shè)施。活動(dòng)日志工作簿可以讓未來(lái)的數(shù)據(jù)中心工程師觀察與學(xué)習(xí)整個(gè)環(huán)境是如何運(yùn)作的。

明白每個(gè)環(huán)境都是獨(dú)一無(wú)二這點(diǎn)十分重要，不同數(shù)據(jù)中心包含不同設(shè)備，日志管理需要針對(duì)這些差異。因管理要求可能需要數(shù)據(jù)中心將日志保存一定的期限。

其他要求還可能包括建立審計(jì)追蹤以滿足如SOX或HIPPA--這對(duì)許多企業(yè)來(lái)說(shuō)是愈加重要的流程規(guī)范，而且可能因?yàn)闊o(wú)效的日志管理流程而產(chǎn)生嚴(yán)重負(fù)債，無(wú)論是有形還是無(wú)形資產(chǎn)。這可能包括數(shù)據(jù)丟失，安全漏洞，或增加數(shù)據(jù)中心環(huán)境風(fēng)險(xiǎn)。

通過(guò)分析日志數(shù)據(jù)，企業(yè)可以很容易發(fā)現(xiàn)一些數(shù)據(jù)對(duì)IT與整個(gè)運(yùn)維的影響。正確日志數(shù)據(jù)可以幫助工程師管理整個(gè)環(huán)境并確保系統(tǒng)與基礎(chǔ)設(shè)施安全。例如，網(wǎng)絡(luò)交換機(jī)日志可以現(xiàn)實(shí)其還可通過(guò)優(yōu)化，以支持某個(gè)存儲(chǔ)區(qū)域網(wǎng)絡(luò)。通過(guò)日志分析與報(bào)表工具持續(xù)收集的信息同樣可以幫助企業(yè)判斷現(xiàn)有的環(huán)境是否安全，同時(shí)降低在大量應(yīng)用審計(jì)與恢復(fù)評(píng)估上的開銷。通過(guò)保證日志環(huán)境的健康與數(shù)據(jù)及時(shí)更新，工程師們收集需要的重要信息來(lái)評(píng)估與分析網(wǎng)絡(luò)、系統(tǒng)與應(yīng)用程序的健康狀況與可訪問性。

雖然最佳實(shí)踐可能由各自獨(dú)立的組織基于自身特定開發(fā)，但同樣有許多共同之處值得借鑒與應(yīng)用。

靈活利用第三方工具。通常工程師小組會(huì)購(gòu)買服務(wù)器日志管理工具，然而卻從未正確使用過(guò)。舉例來(lái)說(shuō)，在進(jìn)行購(gòu)買之前，需要先對(duì)現(xiàn)有基礎(chǔ)架構(gòu)進(jìn)行盤點(diǎn)。通過(guò)盤點(diǎn)結(jié)果，工程師們應(yīng)該能確定日志管理工具是否能夠支持當(dāng)前環(huán)境中各種設(shè)備的日志管理。確保理解自身的日志管理需求--以及你想從中獲得的內(nèi)容--以上問題需要在花費(fèi)數(shù)千美元購(gòu)買日志管理工具前仔細(xì)研究。另外一個(gè)例子便是安全問題--如果安全是一個(gè)重要控制目標(biāo)，在決定時(shí)需要選擇能夠提供主動(dòng)告警的軟件廠商。無(wú)效的工具可能建立一個(gè)日志環(huán)境，而你很難（甚至完全無(wú)法）從中得到你所需要的數(shù)據(jù)。

堅(jiān)持檢查日志。許多組織把日志看作是查找信息或排查故障的參考信息，而沒有定期審視這些日志信息。但主動(dòng)檢查與分析日志數(shù)據(jù)來(lái)確保一致性需要通過(guò)紀(jì)律約束。

大型環(huán)境必須將日志管理作為每日例行任務(wù)，以確保所有日志為最新狀態(tài)。通過(guò)每天檢查日志，可以保持對(duì)整體環(huán)境狀態(tài)的追蹤并在問題產(chǎn)生前提前解決。同樣的，通過(guò)定期監(jiān)控日志，還可以了解數(shù)據(jù)中心環(huán)境運(yùn)行狀態(tài)以及各系統(tǒng)之間關(guān)系。即使法規(guī)遵循不是當(dāng)前最重要的任務(wù)，定期檢查日志可以節(jié)約許多時(shí)間與資金，并預(yù)防事故發(fā)生。例如，可以設(shè)置針對(duì)環(huán)境中所有安全日志的報(bào)警。如果組織建立適當(dāng)規(guī)則，當(dāng)檢測(cè)到入侵時(shí)可以及時(shí)阻止并防止造成損失。通過(guò)主動(dòng)捕獲安全事件，公司可以節(jié)約成百上千萬(wàn)美元來(lái)防止數(shù)據(jù)丟失。

建立監(jiān)控與告警系統(tǒng)。許多服務(wù)器日志管理工具都內(nèi)建了這些功能。盡管如此，許多系統(tǒng)根據(jù)審計(jì)基準(zhǔn)內(nèi)建許多告警，而忽略了其他潛在的重要日志。當(dāng)我們管理日志時(shí)，關(guān)注除了審計(jì)基準(zhǔn)外的重要安全日志同樣重要。在這樣的情況下，管理員們才可以更詳細(xì)的了解整個(gè)環(huán)境的健康狀況。例如，數(shù)據(jù)中心核心網(wǎng)絡(luò)設(shè)備的日志需要收集，監(jiān)控及利用。通過(guò)有效利用日志，管理員可以很快定位到錯(cuò)誤配置，安全漏洞以及相關(guān)交換機(jī)的資源利用情況。更重要的是，有了良好的告警通知，可以主動(dòng)采取措施改善和確保環(huán)境運(yùn)行穩(wěn)定與健康。

采用內(nèi)部日志管理策略。通過(guò)日志管理，服務(wù)器日志分析將成為例行的關(guān)鍵流程。管理員需要設(shè)計(jì)對(duì)應(yīng)的策略來(lái)實(shí)現(xiàn)常規(guī)日志報(bào)表。一旦所有報(bào)表完成，還需要分析流程中數(shù)據(jù)的一致性。許多時(shí)候，整合的日志報(bào)告可以顯示安全問題或系統(tǒng)組件沒有正常工作。例如，大型企業(yè)的數(shù)據(jù)中心可能包括大量設(shè)備。良好的日志管理策略將關(guān)注所有終端基礎(chǔ)設(shè)置組件并將信息收集集中到日志管理工具中。工程師可以檢查負(fù)載均衡器，安全網(wǎng)關(guān)以及數(shù)據(jù)中心應(yīng)用程序來(lái)判斷是否有異常存在。同樣，擁有良好的策略，我們還可以收集與分析在一段時(shí)期內(nèi)的日志記錄。通過(guò)分析這些日志，可以關(guān)聯(lián)重要安全更新與系統(tǒng)數(shù)據(jù)。這樣便可以從長(zhǎng)遠(yuǎn)角度組織入侵行為并確保系統(tǒng)健康管理。

測(cè)試日志管理工具。滲透測(cè)試或內(nèi)部一致性測(cè)試將幫助確定日志收集是否正確。更重要的是，通過(guò)測(cè)試我們可以評(píng)估自己是否收集到正確事件日志以及對(duì)應(yīng)的告警。通過(guò)測(cè)試我們可以回顧會(huì)重新定義優(yōu)化流程。周期測(cè)試可以幫助組織磨練其日志管理機(jī)制并讓其更加有效。當(dāng)進(jìn)行測(cè)試時(shí)，工程師們不僅需要明白測(cè)試目的，同樣還需要注意是否有任何未授權(quán)的系統(tǒng)應(yīng)用程序在運(yùn)行或是否有其他分支細(xì)節(jié)沒有考慮完善。

鎖定日志。服務(wù)器日志管理將被某個(gè)授權(quán)小組所審計(jì)。僅有少數(shù)授權(quán)人員對(duì)日志管理與日志記錄活動(dòng)負(fù)責(zé)。將訪問權(quán)限授予太多人員可能會(huì)引起潛在的事故（或惡意的）刪除甚至修改現(xiàn)有日志環(huán)境，進(jìn)而影響誠(chéng)信守則或破壞監(jiān)管日志要求。

有效記錄可以保護(hù)線上環(huán)境

當(dāng)使用日志管理系統(tǒng)時(shí)，理解日志在數(shù)據(jù)中心用所扮演的角色十分重要。防火墻，服務(wù)器或應(yīng)用程序日志可以共同工作來(lái)實(shí)現(xiàn)更加安全的環(huán)境。記住，主動(dòng)掃描日志與設(shè)立日志告警，管理員們可以快速發(fā)現(xiàn)內(nèi)部環(huán)境中的安全故障。通過(guò)主動(dòng)記錄日志活動(dòng)，數(shù)據(jù)中心工程師可以加固環(huán)境中潛在的薄弱點(diǎn)。更重要的是企業(yè)數(shù)據(jù)安全。日志管理在防止數(shù)據(jù)丟失中扮演著重要角色。任何安全漏洞都可能讓公司在信譽(yù)與支出上花費(fèi)高昂的代價(jià)。

通過(guò)有效的日志管理策略，管理員們可以創(chuàng)建一個(gè)健康，可監(jiān)控的環(huán)境來(lái)主動(dòng)保障數(shù)據(jù)中心安全。

關(guān)于作者：Bill Kleyman，MBA，MISM，一名狂熱的技術(shù)專家，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理領(lǐng)域具有豐富的經(jīng)驗(yàn)。其工程經(jīng)驗(yàn)包括大型虛擬化環(huán)境部署以及商業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)施。目前他是MTM Technologies 公司的虛擬化架構(gòu)師，之前曾作為World Wide Fittings公司的技術(shù)總監(jiān)。