《2022年网管员在日志分析中的五个误区.docx》由会员分享,可在线阅读,更多相关《2022年网管员在日志分析中的五个误区.docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年网管员在日志分析中的五个误区在运用日志的过程中,人们经常会面临五大误区。克服这些误区,不仅可以大大提升平安设施的价值,而且能够刚好化解潜在风险。 为了应对不断涌现的平安威逼,很多企业都部署了多种平安设备。这些设备生成大量的日志信息。为了利用这些信息,很多企业还部署了日志收集和分析程序。即使如此,很多用户仍旧认为平安设备的作用没有达到期望值。之所以发生这种状况,经常是由于人们在日志分析中的五个误区所造成的。不查看日志很多用户都会犯一个低级错误不查看日志。虽然收集和存储日志很重要,但只有常常查看日志,了解网络环境中发生了哪些状况,才能刚好做出响应。一旦部署了平安设备并且收集了日志,用户须
2、要对其进行持续监控,以刚好发觉可能发生的平安事务。一些用户只在重大事务之后才审查日志,尽管这些用户能够获得事后分析的好处,但没能获得事前预防的好处。主动查看日志有助于用户更好地实现平安设施的价值,了解攻击行为将在何时发生并刚好实行措施。很多用户总爱埋怨入侵检测系统(IDS)不能起作用。造成这一问题的重要缘由就是,IDS常常产生误报,使人们无法依据其警告信息实行行动。假如人们将IDS日志与其他日志(如防火墙日志)进行全面关联分析,就能充分发挥IDS的作用。没区分日志的优先次序日志已经收集完毕,存储时间也足够长,并且日志格式也统一了,接下来网管员应当从何处着手呢?建议用户设法获得高水平的摘要以查看
3、最近的平安事务。这须要克服另外一个错误,即不区分日志记录的优先次序。一些网管员理不清优先次序就探讨大量的日志数据,结果就会半途而废。有效优先化的第一步就是对策略进行定义。回答下列问题会有助于定义策略:“最担忧什么?”“攻击得逞了吗?”“以前发生过这种攻击吗?” 可帮助用户起先制定优先化策略,减轻用户每天收集日志数据的负担。日志格式不统一日志格式不统一非常普遍:有的基于简洁网络管理协议,有的则基于Unix系统。缺乏统一的日志格式,导致企业须要不同的专家来从事日志分析,这是因为并非全部通晓Unix日志格式的管理人员都能看懂Windows事务日志记录,反之亦然。多数网管员通常只对少数系统熟识,将设备
4、生成的日志信息转换为统一的格式有利于网管员进行关联分析和进行决策。日志存储时间太短很多用户认为自己拥有进行监控和调查所须要的全部日志,但是在遭受平安事务之后才发觉,相应的日志信息已经被删除了。平安事务通常是在攻击或滥用行为发生后很长时间才被发觉。 假如费用紧缺,建议用户将保留的日志分为两个部分:短期的在线存储和长期的离线存储。将旧日志信息存储在磁带中,既能节约离线存储的成本,还能许久保存以备将来分析。只查找已知的不良信息即使最先进和最留意平安的用户有时也会陷入网络陷阱。这种网络陷阱非常阴险,会严峻降低日志分析的价值。假如用户只查看已知的不良信息时,这种事情就会发生。交换机在查找日志文件中已定义的不良信息时,显得非常有效。然而要充分实现日志数据的价值,就须要进行日志的深度挖掘。在没有预先想定所须要的不良信息前提下,用户可以在日志文件中发觉一些有用信息,包括遭遇攻击和感染的系统、新的攻击、内部滥用和学问产权偷窃等。怎样才能提高发觉潜在攻击行为的机率呢?这须要借助数据挖掘方法,数据挖掘可以运用户快速查找日志数据中的异样信息。