log日志
log日志
log日志的作用
(1)日志存储
日志一经记录,就不会因为系统的正常使用而被修改,这意味着这是一种“永久性”的记录。因此,可以通过日志存储进行调查取证。
取证是在事件发生后重现“发生了什么”的过程。这种描述往往基于不完整的信息,而信息可信度是至关重要的。日志是取证过程中不可或缺的组成部分。
(2)运维故障分析
日志系统详细记录了运维人员的日常运维操作,可通过操作命令回放方式实现日常运维操作重现。对于人为操作故障,通过日志回放分析,可进行操作追溯,定位故障原因。
(3)攻击溯源
网络管理人员采用网络追踪溯源技术,调取并分析时间发生前后一段时间的日志,可以发现攻击者的一系列行为及攻击手段。调取的日志内容包含所发生问题的认证日志、服务器操作日志、攻击事件日志等与安全相关的日志。
日志的特点
日志格式具有多样性:目前国际上尚未制定出统一的日志格式标准,不同厂商根据自身需求制定相应的日志格式。
日志数据量大:由于日志对每一个事件均进行记录,因此,无论是操作系统,还是网络设备都会产生大量的日志记录。
日志信息容易被篡改:计算机系统和相关设备的日志是以文本的形式存储的,并且没有对日志进行有效的保护,网络入侵者可能对日志信息进行篡改或直接删除,因此存在较大的安全隐患。
分析和获取困难:不同设备的日志格式差异很大,部分设备日志信息需要专用的工具才能查看,给日志的分析带来了很大困难。
日志收集的方式
(1)Syslog
Syslog常被称为系统日志或系统记录,是一种用来在互联网协议的网络中传递记录信息的标准。
(2)SNMP Trap
SNMP Trap就是被管理设备主动发送消息给NMS的一种机制。
(3)JDBC/ODBC
JDBC是实现Java应用程序与各种不同数据库对话的一种机制。ODBC与JDBC一样,也是一种重要的数据库访问技术。
(4)文本
由于生成文本系统的成本较低,现有的许多计算机语言都包含了可以生成文本日志的框架。
日志服务器的组网方式:
(1)集中式组网
(2)分布式组网
日志分析的要点
日志分析要点:
Who:是用户还是访客。
When:什么时间。
Where:在什么地点,如位置信息,登录的设备信息,接入的接口信息,访问的服务等。
How:通过什么方式,如通过有线接入,无线接入或者VPN接入。
What:做了什么,如进行的操作行为,使用接入设备,访问的资源服务等。
华为eLog日志存储与转储模型
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » log日志
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm