本文是有關(guān)安全日志分析的兩部分系列講座的第一部分。下面的第一部分討論日志監(jiān)測和分析的重要性。第二部分將幫助你弄懂日志數(shù)據(jù)，并且使用這些數(shù)據(jù)有效地保護你的網(wǎng)絡(luò)和增強你的網(wǎng)絡(luò)的安全。

　　日志數(shù)據(jù)可以是有價值的信息寶庫，也可以是毫無價值的數(shù)據(jù)泥潭。要保護和提高你的網(wǎng)絡(luò)安全，由各種操作系統(tǒng)、應(yīng)用程序、設(shè)備和安全產(chǎn)品的日志數(shù)據(jù)能夠幫助你提前發(fā)現(xiàn)和避開災(zāi)難，并且找到安全事件的根本原因。

　　當(dāng)然，日志數(shù)據(jù)對于實現(xiàn)網(wǎng)絡(luò)安全的價值有多大取決于兩個因素:第一，你的系統(tǒng)和設(shè)備必須進行合適的設(shè)置以便記錄你需要的數(shù)據(jù)。第二，你必須有合適的工具、培訓(xùn)和可用的資源來分析收集到的數(shù)據(jù)。

　　你不能分析你沒有的東西

　　在你能夠分析日志數(shù)據(jù)之前，你顯然要收集數(shù)據(jù)。更重要的是，記錄數(shù)據(jù)的程序或者設(shè)備要設(shè)置為收集你需要的數(shù)據(jù)。例如，微軟的Windows操作系統(tǒng)在“Event Viewer Security”(安全事件觀察器)中能夠檢查到各種活動和日志信息。然而，在Windows 2000和XP中，安全檢查功能并不是缺省啟用的，Windows Server 2003缺省的安全檢查設(shè)置也許不能滿足你的需求。

　　對于Windows中的安全檢查事件，你可以選擇記錄成功的嘗試，或者記錄失敗的嘗試。如果你僅選擇記錄失敗的訪問文件和文件夾的數(shù)據(jù)，記錄的數(shù)據(jù)就不會顯示這個文件是什么時候被成功破解的。如果你僅記錄成功地訪問一個用戶賬號的嘗試，記錄的數(shù)據(jù)就不會向你顯示一個黑客50次沒有猜對那個賬號的用戶名和密碼。

　　無論你是在使用Windows操作系統(tǒng)還是任何其它的設(shè)備和程序，你必須花費一些時間和努力事先了解你擁有的安全日志功能，并且為你的需要恰當(dāng)?shù)卦O(shè)置好日志選項。雖然簡單地把一切都記錄下來似乎是合乎邏輯的，但是，監(jiān)測和記錄安全事件會給處理器增加工作負(fù)擔(dān)并且要使用內(nèi)存和硬盤的空間。你需要了解可用的日志選項，在記錄一切和全不記錄之間選擇最佳的平衡點，以便記錄對你有價值的數(shù)據(jù)。

　　信息過載

　　一旦你收集完日志數(shù)據(jù)，這個挑戰(zhàn)就是如何有效地利用這些數(shù)據(jù)。位于新澤西州Edison的netForensics公司安全戰(zhàn)略家Anton Chuvakin指出:“一旦技術(shù)合適和收集完日志，就需要實施一個監(jiān)測程序并且評估行動中的陷阱和可能的升級。

　　網(wǎng)絡(luò)和安全管理員經(jīng)常花費時間建立日志數(shù)據(jù)收集，但是，他們沒有處理這些數(shù)據(jù)或者沒有現(xiàn)成的資源來監(jiān)測和分析那些數(shù)據(jù)。因為沒有人監(jiān)測這些日志數(shù)據(jù)，有關(guān)網(wǎng)絡(luò)偵察或者潛在的攻擊的信息也許會被忽略而失去時效。

　　當(dāng)安全事件發(fā)生時，查看日志數(shù)據(jù)也許可以確定事件發(fā)生的時間。但是，在很多情況下，需要查看的數(shù)據(jù)量太大，人們沒有經(jīng)過技術(shù)培訓(xùn)或者不會查看這些數(shù)據(jù)，有日志數(shù)據(jù)也沒有意義了。

　　現(xiàn)在，有安全事件管理(SEM)應(yīng)用軟件等一些工具專門用于監(jiān)測安全事件并且使用某些邏輯或者過濾器幫助管理員獲取有意義的數(shù)據(jù)。然而，這些工具仍需要設(shè)置和恰當(dāng)?shù)厥褂貌拍苡行�率。人們要對過濾的數(shù)據(jù)有所了解并且采取措施。

　　收集堆積如山的事件日志數(shù)據(jù)，如果沒有經(jīng)過培訓(xùn)的人員和資源對這些日志數(shù)據(jù)進行監(jiān)測和分析，就如同沒有收集任何數(shù)據(jù)一樣毫無用處。在本系列講座的下一講，我將提供一些技巧，幫助你了解這些日志數(shù)據(jù)的意義，并且使用這些數(shù)據(jù)保護你的網(wǎng)絡(luò)和增強網(wǎng)絡(luò)的安全。

        本文是分為兩部分的安全日志分析的第二部分。第一部分討論了日志監(jiān)測和分析的重要性。第二部分幫助你了解日志的意義。

　　日志數(shù)據(jù)在管理計算機或者網(wǎng)絡(luò)方面是一種有價值的和實用的工具。事先監(jiān)測日志數(shù)據(jù)以尋找可疑的活動跡象的能力或者在發(fā)生安全事件時分析日志數(shù)據(jù)是非常有價值的。

　　第一步是確保你的系統(tǒng)和設(shè)備進行了正確的配置，以便檢查和記錄事件。假設(shè)日志數(shù)據(jù)已經(jīng)被捕捉和存儲，你需要一個有效的工作流程來檢查和分析這些數(shù)據(jù)。下面的一些建議可以向你提供一些指南并且確保你最有效和最充分地使用你的日志數(shù)據(jù)。

　　1.有規(guī)律地檢查日志數(shù)據(jù)

　　雖然日志數(shù)據(jù)在安全事件發(fā)生時用作法院的證據(jù)是非常有效的，但是，如果有規(guī)律地分析這些日志數(shù)據(jù)，這種安全事件也許根本就不會發(fā)生。

　　應(yīng)該建立一個工作流程，確定多長時間檢查和分析一次收集到的日志數(shù)據(jù)。定期分析由整個網(wǎng)絡(luò)中的各種應(yīng)用程序和設(shè)備收集到的海量日志數(shù)據(jù)有助于找出和診斷故障，還可能發(fā)現(xiàn)正在進行中的攻擊。

　　2.以開放的眼光查看日志信息

　　在分析日志數(shù)據(jù)時常見的錯誤是要具體找出已知的事件或者日志項。然而，日志數(shù)據(jù)中多數(shù)有價值的內(nèi)容似乎存在于表面上很好或者正常的日志項目中。通過以開放的眼光檢查這些日志項目，你也許會找到可疑的活動跡象。如果你僅僅查看錯誤信息，這種跡象很可能會漏掉。

　　如果把日志審查的重點放在查找已知的惡意活動方面，任何新出現(xiàn)的威脅或者對客戶的攻擊都會由于失察而漏掉。

　　3.通過一個透鏡查看數(shù)據(jù)

　　整個網(wǎng)絡(luò)中的設(shè)備和應(yīng)用程序?qū)⑹占�日志�?shù)據(jù)。遺憾的是沒有一種通用的格式或者方法來記錄和顯示事件的信息。

　　為了進行準(zhǔn)確的比對，某種形式的轉(zhuǎn)化便產(chǎn)生了，也就是對日志數(shù)據(jù)實施“正常化”。一旦數(shù)據(jù)壓縮為通用的組件，就很容易把這個網(wǎng)絡(luò)作為一個整體進行分析，而不是作為一個單獨的日志項目進行分析。這樣就可以更好地根據(jù)輕重緩急對發(fā)現(xiàn)的問題進行處理或者做出反應(yīng)。

　　日志數(shù)據(jù)的處理是很困難的。日志信息中包含珍貴的鉆石信息。但是，你需要挖掘很多泥土才能找到這些鉆石。海量的日志數(shù)據(jù)使有效地利用這些數(shù)據(jù)成為表明上不可克服的挑戰(zhàn)。然而，有SEM(安全事件管理器)等工具軟件能夠幫助你查找數(shù)據(jù)。但是，沒有確定如何使用日志數(shù)據(jù)的流程，沒有能夠有效地分析日志數(shù)據(jù)并且對日志數(shù)據(jù)中發(fā)現(xiàn)的信息做出反應(yīng)的經(jīng)過培訓(xùn)的人員，這種工具將毫無用處。