怎樣有效管理Linux服務器系統(tǒng)的日志

怎樣才能有效管理Linux服務器系統(tǒng)的日志,一直是站長擔心的問題。合適的日志管理工具能大幅減輕管理企業(yè)系統(tǒng)日志數(shù)據(jù)的負擔。但是,除非組織為這個工具投入一定的時間和精力,否則再好的工具也會很快變成一個差勁的工具。以下六點確保成功的日志管理最佳實踐。

一、確定你有所需的信息:

    為了能夠?qū)懗鲇行У年P(guān)聯(lián)規(guī)則,日志管理系統(tǒng)必須有足夠的上下文數(shù)據(jù)進行分析。例如,為了確定某個特定的流量或者行為來自哪里,就需要知道源IP地址信息,這意味著日志管理系統(tǒng)必須先記錄下IP地址信息,這樣引擎才能夠?qū)⑵浣馕龀鰜怼Ｓ掷��?/SPAN>,如果要寫一條日志分析規(guī)則對目標設(shè)備或者應用發(fā)生了某種行為進行告警,相關(guān)的日志數(shù)據(jù)必須先記錄下那些行為才行。

二、外行人用上了工具依然是外行人:

　如果你不準備投入時間和精力在恰當?shù)匕惭b、管理日志管理工具上,那么就不要把錢浪費在日志管理系統(tǒng)上面。日志管理系統(tǒng)必須進行合理的配置,以正確解析您網(wǎng)絡中的事件和日志,這樣出來的報表才具有商業(yè)和技術(shù)價值。另一個“愚蠢”的錯誤是不去瀏覽和審查警告控制臺,因而錯過了關(guān)鍵的安全事件。因此,不要犯只重視日志管理技術(shù)而不重視系統(tǒng)使用的錯誤。

三、通過預定義需求來精簡RFP(請求提案):

　　創(chuàng)建RFP(請求提案,需求方案說明書)是一個費時的過程。而一些需求一旦被定義出來,就能在隨后的RFP中復用。這在制定日志管理的需求時很常見,因為日志管理的基本需求(例如日志文件的格式,寫入日志文件的數(shù)據(jù),等等)都是一樣的,可以預先定義出來。使用預定義需求的另一個好處是這確保了在精簡RFP周期的同時保持需求的一致性。

四、使用日志數(shù)據(jù)描述正在或者已經(jīng)發(fā)生的事情:

　“日志是檢查故障的極佳信息源”。因為大部分情況下用戶判斷導致故障原因的所有所需信息都能夠從日志文件中找到。在危機期間,管理人員經(jīng)常不得不進入被動模式,往往只能通過直覺、猜測、將不可再分的無關(guān)信息拼湊到一起等方式來判斷正在或者已經(jīng)發(fā)生的事情。而日志是真實發(fā)生事件的記錄,日志管理系統(tǒng)允許管理人員針對故障信息實時地撰寫和產(chǎn)生報表,從而真實地告訴響應小組網(wǎng)絡中發(fā)生了什么。

五、使用范疇可以超越安全本身:

　 日志管理系統(tǒng)是一個絕佳的安全設(shè)備信息收集和分析工具,不僅可以用這些信息實現(xiàn)安全感知,而且可以利用這些信息實現(xiàn)其他目標。例如,可以將這些信息用于分析(你的)十大業(yè)務關(guān)系的客戶體驗。

　六、不要局限于靜態(tài)分析:

　 大部分組織需要做的最后一件事是將那些沒有整體分析模型的數(shù)據(jù)填寫到另一張大表中,然后利用這張大表來進行事件分析。根據(jù)預期或者可接受行為的基線設(shè)定的告警不僅要通過分析大表中單條記錄的特征來產(chǎn)生,還要通過分析一組記錄集的特征來產(chǎn)生。不妨設(shè)想一下關(guān)鍵數(shù)據(jù)庫的登錄記錄。

一般會將兩次登錄失敗的行為設(shè)定為觸發(fā)告警的基線,但是如果那個數(shù)據(jù)庫系統(tǒng)的密碼策略從使用簡單的字典單詞變?yōu)槭褂?/SPAN>8位以上非字典單詞字符串,那么登錄失敗次數(shù)的基線可能要增大,因為用戶要適應新的策略。具有智能感知能力的日志管理系統(tǒng)應該可以進行調(diào)節(jié),以監(jiān)測發(fā)展趨勢,并為管理員提供反饋。管理員可以決定使用該趨勢信息臨時地改變告警閥值。http://www.fcaiwanzhen.cn 專業(yè)提供服務器租用、vps主機、虛擬主機。域名等產(chǎn)品。