日志数据可以是有价值的信息宝库,也可以是毫无价值的数据泥潭。要保护和提高你的网络安全,由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难,并且找到安全事件的根本原因。日志数据对于实现网络安全的价值有多大取决于两个因素:第一,你的系统和设备必须进行合适的设置以便记录你需要的数据。第二,你必须有合适的工具、培训和可用的资源来分析收集到的数据。
你不能分析你没有的东西
在你能够分析日志数据之前,你显然要收集数据。更重要的是,记录数据的程序或者设备要设置为收集你需要的数据。例如,微软的Windows操作系统在“Event Viewer Security”(安全事件观察器)中能够检查到各种活动和日志信息。然而,在windows 2000和XP中,安全检查功能并不是缺省启用的,Windows Server 2003缺省的安全检查设置也许不能满足你的需求。
信息过载
一旦你收集完日志数据,这个挑战就是如何有效地利用这些数据。
网络和安全管理员经常花费时间建立日志数据收集,但是,他们没有处理这些数据或者没有现成的资源来监测和分析那些数据。因为没有人监测这些日志数据,有关网络侦察或者潜在的攻击的信息也许会被忽略而失去时效。
当安全事件发生时,查看日志数据也许可以确定事件发生的时间、是哪个部门的电脑出了问题,那儿出现了网络堵塞等等。但是,在很多情况下,需要查看的数据量太大,人们没有经过技术培训或者不会查看这些数据,有日志数据也没有意义了。
现在,有安全事件管理(SEM)应用软件等一些工具(见文章结尾)专门用于监测安全事件并且使用某些逻辑或者过滤器帮助管理员获取有意义的数据。我将陆续提供一些使用技巧,帮助你了解这些日志数据的意义,以及如何使用这些数据保护你的网络和增强网络的安全。 |
发表于 2009-6-4 17:53
|