什么是日志?
日志是由各种不同的实体产生的“事件记录”的集合。
日志概念
日志通常是计算机系统、设备、软件等在某种情况下记录的信息,它可以记录系统产生的所有行为并按照某种规范将这些行为表达出来。
日志管理设备的定义
日志设备是指产生“事件记录”的各种设备,包括网络设备、计算机系统、数据库或者应用程序等。
日志审计流程
日志获取、日志筛选、日志整合、日志分析
日志审计概念
⽇志⽂件为服务器、⼯作站、防⽕墙和应⽤软件等信 息技术资源相关活动记录必要的、有价值的信息。 ⼀个完整的⽇志审计包括 4 个部分:⽇志获取、⽇志 筛选、⽇志整合以及⽇志分析。日志收集与分析系统概念
日志收集与分析系统是一个全面的、智能的网络日志和事件管理、分析工具,可以提供丰富的日志和事件管理、分析功能。
日志收集与分析系统工作原理
日志收集与分析系统是一个统一日志监控与审计的平台,它能持续地将来自不同厂商的数据库系统、安全设备、报警、操作系统等信息发送至审计中心,并进行中化的收集、分析、警告和响应,从而出具丰富的报表报告,实现对用户环境中的日志进行合规性审计。
Linux的系统日志分类
1、登录时间日志子系统
2、进程统计日志子系统
3、错误日志子系统
Windows分类:系统日志,安全日志,应用程序日志
收集对象包括
操作系统(Windows、Solaris、linux、AIX、HP-UX、UNIX、AS400)
网络设备(路由器、交换机、其他将计算机桌面和服务器连接起来组成的网络设备)
安全设备(防火墙、虚拟专用网络、IDS、IPS、防病毒网关、网闸、分布式拒绝服务攻击、web应用防火墙)
应用系统(邮件、web、ftp、Telnet)
数据库(各种数据库如oracle、sql、server、MySQL、db2、sybase、informix等)
收集方式
Syslog、snmp trap(SNMP陷阱和通知、SNMP get、SNMP set)、jdbcodbc、FTP(ASCII传输方式、二进制传输模式)
什么是事件归一化
日志归一化实现将不同格式的原始日志归一化成一种格式,为其他模块的计算分析奠定基础。
事件过滤使用的方法
状态级别识别,服务器进程识别,日志去重。
归一化的方法
核心的步骤:数据转换,数据归并
获取过滤后的原始日志消息。
阅读原始日志数据数据形式及每个字段的说明。
数据转换和数据归并,提出格式化数据所用的对应的解析表达式,大部分日志分析系统利用正则表达式解析数据。
在样本原始日志数据上测试解析逻辑。
部署解释逻辑。
存储。
归一化的效果
IP地址验证、正则表达式
日志存储策略
日志数据主要根据数据的存储格式、日志数据所需存储空间、日志数据检索速度、存储所需要成本等需求策略进行存储。
日志存储格式
基于文本、二进制或者压缩文件
存储方式
在线存储(一次存储、数据共享、在线同步、存储空间大、容易扩展;列如(云存储))、近线存储(数据存储分为在线存储和离线存储)、离线存储(备份级的存储、存储介质(磁带、光盘、硬盘))
数据库存储策略3点概念特点
关系数据库
键值数据库
Haddoop分布式数据库
关联分析概述
将所有系统中的事件以统一格式综合到一起进行观察
事件关联方式及概念
1、递归关联:使用与自身相仿的方法重复事件的过程。
2、统计关联(一是产生大的项目集,二是产生强关联规则)
3、时序关联:时间序列按时间顺序列的随时间变化的数据集合
4、跨设备事件关联:将不同设备间的警告信息关联。
告警方式分为
简单告警、复杂告警
响应方式
执行警告命令脚本、系统联动、发送syslog运维日志消息。
实时统计分析包括及概念
事件全球定位系统(iGPS)、动态雷达图、事件行为分析(主要用来研究事情的发生对其他事情影响的程度)、主动事件图。
事件查询包括
普通条件查询、模糊查询。
日志报表分类的概念(什么是报表)
为了更好地理解日志报表的含义以及分类。
日志报表的分类有哪些
1、预定义报表:系统中预设的报表。
2、自定义审计报表:根据具体需求设置不同的报表
3、中间表:提供一种过度性质的报表类型。