计算机技術文摘

网管员在日志分析中的五个误区(摘)

在使用日志的过程中,人们常常会面临五大误区。克服这些误区,不仅可以大大提升安全设施的价值,而且能够及时化解潜在风险。 

  为了应对不断涌现的安全威胁,许多企业都部署了多种安全设备。这些设备生成大量的日志信息。为了利用这些信息,许多企业还部署了日志收集和分析程序。即使如此,许多用户仍然认为安全设备的作用没有达到期望值。之所以发生这种情况,常常是由于人们在日志分析中的五个误区所造成的。 

  不查看日志 

  许多用户都会犯一个低级错误—不查看日志。虽然收集和存储日志很重要,但只有经常查看日志,了解网络环境中发生了哪些情况,才能及时做出响应。一旦部署了安全设备并且收集了日志,用户需要对其进行持续监控,以及时发现可能发生的安全事件。 

  一些用户只在重大事件之后才审查日志,尽管这些用户能够获得事后分析的好处,但没能获得事前预防的好处。主动查看日志有助于用户更好地实现安全设施的价值,了解攻击行为将在何时发生并及时采取措施。 

  许多用户总爱抱怨入侵检测系统( IDS )不能起作用。造成这一问题的重要原因就是,IDS经常产生误报,使人们无法根据其警告信息采取行动。如果人们将IDS日志与其他日志(如_blank">防火墙日志)进行全面关联分析,就能充分发挥IDS的作用。 

  没区分日志的优先次序 

  日志已经收集完毕,存储时间也足够长,并且日志格式也统一了,接下来网管员应该从何处着手呢?建议用户设法获得高水平的摘要以查看最近的安全事件。这需要克服另外一个错误,即不区分日志记录的优先次序。一些网管员理不清优先次序就研究大量的日志数据,结果就会半途而废。 

  有效优先化的第一步就是对策略进行定义。回答下列问题会有助于定义策略:“最担心什么?”“攻击得逞了吗?”“以前发生过这种攻击吗?” 可帮助用户开始制定优先化策略,减轻用户每天收集日志数据的负担

posted on 2005-09-28 08:53 计算机技术博客 阅读(110) 评论(0)  编辑 收藏 引用

公告

http://www.nuanbb.com

导航

常用链接

随笔分类(255)

常用链接