如何恰当合理的管理Linux操作系统日志,减轻日志数据的负担呢,北大青鸟网络工程师培训专家告诉你六大招数。
第一招:日志系统要合理配置
日志管理系统必须进行合理的配置,以正确解析您网络中的事件和日志,这样出来的报表才具有商业和技术价值,不要只重视日志管理技术而不重视系统的使用。
第二招:通过预定义需求请求提案
创建RFP(请求提案)是一个费时的过程。这在制定日志管理的需求时很常见,因为日志管理的基本需求(例如日志文件的格式,写入日志文件的数据,等等)都是一样的,可以预先定义出来。
第三招:确定所需的信息
为了能够写出有效的关联规则,日志管理系统必须有足够的上下文数据进行分析。例如,为了确定某个特定流量或者行为来自哪里,就需要知道源IP地址信息,这意味着日志管理系统必须记录下IP地址信息,这样引擎才能够将其解析出来。
第四招:不要局限于静态分析
根据预期或者可接受行为的基线设定的告警不仅要通过分析大表中单条记录的特征来产生,还要通过分析一组记录集的特征来产生。具有智能感知能力的日志管理系统可以进行调节,以监测发展趋势,并为管理员提供反馈。
第五招:使用日志数据描述正在或者已经发生的事情
日志是真实发生事件的记录,日志管理系统允许管理人员针对故障信息实时地撰写和产生报表,从而真实地告诉响应小组网络中发生了什么。
第六招:使用范畴可以超越安全本身
日志管理系统是一个绝佳的安全设备信息收集和分析工具,不仅可以用这些信息实现安全感知,而且可以利用这些信息实现其他目标。设计良好的应用系统日志可以记录这些客户体验,日志管理系统可以通过这些日志来分析客户体验,从而将日志管理系统的运用领域扩展到安全分析之外。
