【IT专家网独家】日志系统承担着整个信息基础设施中感觉器官的作用,一个完善的、工作良好的体系需要在正确的地点部署日志采集工具,这些日志信息被汇总之后体现了整个设施的全貌。在一个信息体系当中,一个必要的组成部分就是对整个信息设施进行监控,以获得必要的信息素材,用以指导管理工作的开展。这些信息或者用于记录系统设置的改变,发现潜在的安全威胁,又或者用于证明某些事件的发生。
一、日志文件的作用
在专业用户层次上,日志文件可以提供一份有用的系统基础活动报告。只有熟悉自己的系统在正常运转时的正常表现,才能更加容易和迅速地把不正常的活动识别出来。从信息安防工作的角度讲,能不能把攻击服务器或网络的活动与服务器或网络的正常活动区别开来是极其关键的。光知道收集日志是不够的,还需要知道如何保护和利用它们。只有掌握了良好的日志管理和使用技巧,才有可能在入侵者刺穿信息安全防线之前识别出他们,才有可能在发生最坏情况之后制止它们再次发生。没有良好的日志工作,就不可能有让人放心的安全。
在普通用户层次上,日志文件可以帮助你了解系统的组成部分、具体用途以及正在发生的事情。查看日志是了解软件运行情况的最佳办法,使用Solaris 系统的时间越长,交给Solaris 系统的工作越多,对这一点就越有体会。日志文件可以让你知道哪些事情正进展顺利、哪些事情出现了问题。当看到出错报告的时候,不管它是硬件故障、是被拒绝的访问请求,还是其他更糟糕的问题,你都必须及时采取补救措施防止事态进一步扩大。
把日志信息总量控制在一个适当的水平,往往需要修改某些配置。许多应用程序都可以按照不同的级别进行日志活动;在某些场合,可能只需要把最关键的信息记录到日志文件里,在另外一些场合,却可能需要把日志信息的详细程度提高到调试级别。在经过几个星期的日志收集工作之后,你就能为系统和网络建立起一份对今后工作非常有帮助的基础活动档案。这类档案在你第一次注意到某种特定类型的活动时将非常有用,因为你可以立刻参照过去的日志对它是否属于正常活动做出判断。你或许会发现那只是一种正常但极少发生(比如一个月才发生一次)的活动,但要是手里没有时间跨度长达几个月的系统/网络基础活动档案,肯定很难发现这类事件的规律性。系统/网络基础活动档案还对设备采购计划工作有着非常重要的价值。为了确定自己需要在新设备方面做出多大的投资,必须知道有关的系统/网络活动在过去发生的频率和强度。对于一个网络,普通人最关心的往往是某个主页的“点击率”。我们并不否认“点击率”是一个很重要的指标,但在预测需要增加多少资源才能满足自己未来需求的时候,还应该参照其他一些重要的指标,比如系统上同时登录的人数、总登录人数、电子邮件总量、交易总量等。不仅如此,由日志提供的统计数字还可以让你向管理层提出的其他建议或计划更加具有说服力。
二、syslog 简介
从目前的情况来看,Syslog(系统日志)这一历史悠久的日志系统仍旧占据着最主流的地位。由于与类 UNIX平台之间的渊源,Syslog是在实际应用环境中最容易获得的日志系统。同时,还有很多的基于Syslog的扩展产品存在,这其中也包括大量基于UNIX平台构建内核的网络硬件设备,这些设备往往都内置了Syslog功能支持,例如Cisco路由器就是如此。 Syslog的应用具有一些显著的优势,除了能够像所有日志系统一样完成记录审计的工作之外,Syslog作为一种事实上的标准可以将不同架构的软硬件设施整合起来,让用户形成对一个应用系统的全面了解。
三、制定一个日志策略
身为系统管理员,向公司提出好的建议也是你的职责之一,你应该建议公司专门建立一套与日志工作有关的规章制度。日志文件不仅可以保护你本人和公司,还可以为做出的
决定提供证据和支持。日志策略至少应该解决以下几方面问题:
日志集中管理机制的建立集中管理日志的主要好处一是更便于它们的收集、整理和分析使用,二是可以防止敏感信息发生意外丢失或被人们蓄意篡改或删除。
为日志提供备份日志文件同样是重要的公司数据,同样需要备份和归档。如果公司需要备份的东西多到需要分批分组地进行,应该定义一个专门的分组来备份应用程序和操作系统的日志文件。
日志文件的保护一定要严格限制无关人员访问操作系统的日志文件,这些文件往往包含着各种口令字或其他敏感信息。
日志文件的保存期把日志文件压缩成档案永久地保存并非不现实。压缩后的日志文件要比它们原来占用的空间小很多;没有理由不压缩准备长期保留的日志文件。
