本文是有關(guān)安全日志分析的兩部分系列講座的第一部分。下面的第一部分討論日志監(jiān)測(cè)和分析的重要性。第二部分將幫助你弄懂日志數(shù)據(jù)，并且使用這些數(shù)據(jù)有效地保護(hù)你的網(wǎng)絡(luò)和增強(qiáng)你的網(wǎng)絡(luò)的安全。

　　日志數(shù)據(jù)可以是有價(jià)值的信息寶庫(kù)，也可以是毫無(wú)價(jià)值的數(shù)據(jù)泥潭。要保護(hù)和提高你的網(wǎng)絡(luò)安全，由各種操作系統(tǒng)、應(yīng)用程序、設(shè)備和安全產(chǎn)品的日志數(shù)據(jù)能夠幫助你提前發(fā)現(xiàn)和避開(kāi)災(zāi)難，并且找到安全事件的根本原因。

　　當(dāng)然，日志數(shù)據(jù)對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)安全的價(jià)值有多大取決于兩個(gè)因素:第一，你的系統(tǒng)和設(shè)備必須進(jìn)行合適的設(shè)置以便記錄你需要的數(shù)據(jù)。第二，你必須有合適的工具、培訓(xùn)和可用的資源來(lái)分析收集到的數(shù)據(jù)。

　　你不能分析你沒(méi)有的東西

　　在你能夠分析日志數(shù)據(jù)之前，你顯然要收集數(shù)據(jù)。更重要的是，記錄數(shù)據(jù)的程序或者設(shè)備要設(shè)置為收集你需要的數(shù)據(jù)。例如，微軟的Windows操作系統(tǒng)在“Event Viewer Security”(安全事件觀察器)中能夠檢查到各種活動(dòng)和日志信息。然而，在Windows 2000和XP中，安全檢查功能并不是缺省啟用的，Windows Server 2003缺省的安全檢查設(shè)置也許不能滿足你的需求。

　　對(duì)于Windows中的安全檢查事件，你可以選擇記錄成功的嘗試，或者記錄失敗的嘗試。如果你僅選擇記錄失敗的訪問(wèn)文件和文件夾的數(shù)據(jù)，記錄的數(shù)據(jù)就不會(huì)顯示這個(gè)文件是什么時(shí)候被成功破解的。如果你僅記錄成功地訪問(wèn)一個(gè)用戶賬號(hào)的嘗試，記錄的數(shù)據(jù)就不會(huì)向你顯示一個(gè)黑客50次沒(méi)有猜對(duì)那個(gè)賬號(hào)的用戶名和密碼。

　　無(wú)論你是在使用Windows操作系統(tǒng)還是任何其它的設(shè)備和程序，你必須花費(fèi)一些時(shí)間和努力事先了解你擁有的安全日志功能，并且為你的需要恰當(dāng)?shù)卦O(shè)置好日志選項(xiàng)。雖然簡(jiǎn)單地把一切都記錄下來(lái)似乎是合乎邏輯的，但是，監(jiān)測(cè)和記錄安全事件會(huì)給處理器增加工作負(fù)擔(dān)并且要使用內(nèi)存和硬盤(pán)的空間。你需要了解可用的日志選項(xiàng)，在記錄一切和全不記錄之間選擇最佳的平衡點(diǎn)，以便記錄對(duì)你有價(jià)值的數(shù)據(jù)。

　　信息過(guò)載

　　一旦你收集完日志數(shù)據(jù)，這個(gè)挑戰(zhàn)就是如何有效地利用這些數(shù)據(jù)。位于新澤西州Edison的netForensics公司安全戰(zhàn)略家Anton Chuvakin指出:“一旦技術(shù)合適和收集完日志，就需要實(shí)施一個(gè)監(jiān)測(cè)程序并且評(píng)估行動(dòng)中的陷阱和可能的升級(jí)。

　　網(wǎng)絡(luò)和安全管理員經(jīng)常花費(fèi)時(shí)間建立日志數(shù)據(jù)收集，但是，他們沒(méi)有處理這些數(shù)據(jù)或者沒(méi)有現(xiàn)成的資源來(lái)監(jiān)測(cè)和分析那些數(shù)據(jù)。因?yàn)闆](méi)有人監(jiān)測(cè)這些日志數(shù)據(jù)，有關(guān)網(wǎng)絡(luò)偵察或者潛在的攻擊的信息也許會(huì)被忽略而失去時(shí)效。

　　當(dāng)安全事件發(fā)生時(shí)，查看日志數(shù)據(jù)也許可以確定事件發(fā)生的時(shí)間。但是，在很多情況下，需要查看的數(shù)據(jù)量太大，人們沒(méi)有經(jīng)過(guò)技術(shù)培訓(xùn)或者不會(huì)查看這些數(shù)據(jù)，有日志數(shù)據(jù)也沒(méi)有意義了。

　　現(xiàn)在，有安全事件管理(SEM)應(yīng)用軟件等一些工具專(zhuān)門(mén)用于監(jiān)測(cè)安全事件并且使用某些邏輯或者過(guò)濾器幫助管理員獲取有意義的數(shù)據(jù)。然而，這些工具仍需要設(shè)置和恰當(dāng)?shù)厥褂貌拍苡行�率。人們要�?duì)過(guò)濾的數(shù)據(jù)有所了解并且采取措施。

　　收集堆積如山的事件日志數(shù)據(jù)，如果沒(méi)有經(jīng)過(guò)培訓(xùn)的人員和資源對(duì)這些日志數(shù)據(jù)進(jìn)行監(jiān)測(cè)和分析，就如同沒(méi)有收集任何數(shù)據(jù)一樣毫無(wú)用處。在本系列講座的下一講，我將提供一些技巧，幫助你了解這些日志數(shù)據(jù)的意義，并且使用這些數(shù)據(jù)保護(hù)你的網(wǎng)絡(luò)和增強(qiáng)網(wǎng)絡(luò)的安全。

        本文是分為兩部分的安全日志分析的第二部分。第一部分討論了日志監(jiān)測(cè)和分析的重要性。第二部分幫助你了解日志的意義。

　　日志數(shù)據(jù)在管理計(jì)算機(jī)或者網(wǎng)絡(luò)方面是一種有價(jià)值的和實(shí)用的工具。事先監(jiān)測(cè)日志數(shù)據(jù)以尋找可疑的活動(dòng)跡象的能力或者在發(fā)生安全事件時(shí)分析日志數(shù)據(jù)是非常有價(jià)值的。

　　第一步是確保你的系統(tǒng)和設(shè)備進(jìn)行了正確的配置，以便檢查和記錄事件。假設(shè)日志數(shù)據(jù)已經(jīng)被捕捉和存儲(chǔ)，你需要一個(gè)有效的工作流程來(lái)檢查和分析這些數(shù)據(jù)。下面的一些建議可以向你提供一些指南并且確保你最有效和最充分地使用你的日志數(shù)據(jù)。

　　1.有規(guī)律地檢查日志數(shù)據(jù)

　　雖然日志數(shù)據(jù)在安全事件發(fā)生時(shí)用作法院的證據(jù)是非常有效的，但是，如果有規(guī)律地分析這些日志數(shù)據(jù)，這種安全事件也許根本就不會(huì)發(fā)生。

　　應(yīng)該建立一個(gè)工作流程，確定多長(zhǎng)時(shí)間檢查和分析一次收集到的日志數(shù)據(jù)。定期分析由整個(gè)網(wǎng)絡(luò)中的各種應(yīng)用程序和設(shè)備收集到的海量日志數(shù)據(jù)有助于找出和診斷故障，還可能發(fā)現(xiàn)正在進(jìn)行中的攻擊。

　　2.以開(kāi)放的眼光查看日志信息

　　在分析日志數(shù)據(jù)時(shí)常見(jiàn)的錯(cuò)誤是要具體找出已知的事件或者日志項(xiàng)。然而，日志數(shù)據(jù)中多數(shù)有價(jià)值的內(nèi)容似乎存在于表面上很好或者正常的日志項(xiàng)目中。通過(guò)以開(kāi)放的眼光檢查這些日志項(xiàng)目，你也許會(huì)找到可疑的活動(dòng)跡象。如果你僅僅查看錯(cuò)誤信息，這種跡象很可能會(huì)漏掉。

　　如果把日志審查的重點(diǎn)放在查找已知的惡意活動(dòng)方面，任何新出現(xiàn)的威脅或者對(duì)客戶的攻擊都會(huì)由于失察而漏掉。

　　3.通過(guò)一個(gè)透鏡查看數(shù)據(jù)

　　整個(gè)網(wǎng)絡(luò)中的設(shè)備和應(yīng)用程序?qū)⑹占�日志�?shù)據(jù)。遺憾的是沒(méi)有一種通用的格式或者方法來(lái)記錄和顯示事件的信息。

　　為了進(jìn)行準(zhǔn)確的比對(duì)，某種形式的轉(zhuǎn)化便產(chǎn)生了，也就是對(duì)日志數(shù)據(jù)實(shí)施“正常化”。一旦數(shù)據(jù)壓縮為通用的組件，就很容易把這個(gè)網(wǎng)絡(luò)作為一個(gè)整體進(jìn)行分析，而不是作為一個(gè)單獨(dú)的日志項(xiàng)目進(jìn)行分析。這樣就可以更好地根據(jù)輕重緩急對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行處理或者做出反應(yīng)。

　　日志數(shù)據(jù)的處理是很困難的。日志信息中包含珍貴的鉆石信息。但是，你需要挖掘很多泥土才能找到這些鉆石。海量的日志數(shù)據(jù)使有效地利用這些數(shù)據(jù)成為表明上不可克服的挑戰(zhàn)。然而，有SEM(安全事件管理器)等工具軟件能夠幫助你查找數(shù)據(jù)。但是，沒(méi)有確定如何使用日志數(shù)據(jù)的流程，沒(méi)有能夠有效地分析日志數(shù)據(jù)并且對(duì)日志數(shù)據(jù)中發(fā)現(xiàn)的信息做出反應(yīng)的經(jīng)過(guò)培訓(xùn)的人員，這種工具將毫無(wú)用處。