当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 日志分析两部曲:充分利用日志保护网络

安全基础
可以用于交换环境下SNIFFER的几种攻击技术手段
嗅探的时候,防火墙能发现吗?
wincap and sniffer(1)
wincap and sniffer(2)
客户端登录到Win 2000域
网络故障问答集萃
软件开发项目控制浅谈(1)
软件开发项目控制浅谈(2)
软件开发项目控制浅谈(3)
软件开发项目控制浅谈(4)
用Telnet快速收发电子邮件(1)
用Telnet快速收发电子邮件(2)
Windows XP系统启动提速专题
让Google长个好“记性”
恢复EXE文件关联补完版
真真假假的安全警告
网络安全应急三观
全力打造个人网络安全
系统自动启动程序之十大藏身之所
访问权限问题问答集锦

安全基础 中的 日志分析两部曲:充分利用日志保护网络


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 99 ::
收藏到网摘: n/a

 

  本文是分为两部分的安全日志分析的第二部分。第一部分讨论了日志监测分析的重要性。第二部分帮助你如何利用日志有效地保护你的网络和增强网络的安全。

  日志数据在管理计算机或者网络方面是一种有价值的和实用的工具。事先监测日志数据以寻找可疑的活动迹象的能力或者在发生安全事件时分析日志数据是非常有价值的。

  第一步是确保你的系统和设备进行了正确的配置,以便检查和记录事件。假设日志数据已经被捕捉和存储,你需要一个有效的工作流程来检查和分析这些数据。下面的一些建议可以向你提供一些指南并且确保你最有效和最充分地使用你的日志数据。

  1.有规律地检查日志数据

  虽然日志数据在安全事件发生时用作法院的证据是非常有效的,但是,如果有规律地分析这些日志数据,这种安全事件也许根本就不会发生。

  应该建立一个工作流程,确定多长时间检查和分析一次收集到的日志数据。定期分析由整个网络中的各种应用程序和设备收集到的海量日志数据有助于找出和诊断故障,还可能发现正在进行中的攻击。

  2.以开放的眼光查看日志信息

  在分析日志数据时常见的错误是要具体找出已知的事件或者日志项。然而,日志数据中多数有价值的内容似乎存在于表面上很好或者正常的日志项目中。通过以开放的眼光检查这些日志项目,你也许会找到可疑的活动迹象。如果你仅仅查看错误信息,这种迹象很可能会漏掉。

  如果把日志审查的重点放在查找已知的恶意活动方面,任何新出现的威胁或者对客户的攻击都会由于失察而漏掉。

  3.通过一个透镜查看数据

  整个网络中的设备和应用程序将收集日志数据。遗憾的是没有一种通用的格式或者方法来记录和显示事件的信息。

  为了进行准确的比对,某种形式的转化便产生了,也就是对日志数据实施“正常化”。一旦数据压缩为通用的组件,就很容易把这个网络作为一个整体进行分析,而不是作为一个单独的日志项目进行分析。这样就可以更好地根据轻重缓急对发现的问题进行处理或者做出反应。

  日志数据的处理是很困难的。日志信息中包含珍贵的钻石信息。但是,你需要挖掘很多泥土才能找到这些钻石。海量的日志数据使有效地利用这些数据成为表明上不可克服的挑战。然而,有SEM(安全事件管理器)等工具软件能够帮助你查找数据。但是,没有确定如何使用日志数据的流程,没有能够有效地分析日志数据并且对日志数据中发现的信息做出反应的经过培训的人员,这种工具将毫无用处。