網絡運維中的日志管理！行業新聞

網絡運維中的日志管理！

發布時間：2020-01-14 點擊數：6521

如果將“操作和維護”視為對患者的醫生治療，則“日記”是對患者狀況的陳述。很多時候，醫生需要根據患者的描述，是否嚴重，需要什么劑量的藥物以及應該使用哪種類型的藥物來確定患者的狀況。因此，古人有一種說法叫做“正確的藥”。這種“癥狀”是對患者自身狀況的描述，加上醫生的專業判斷；對于更嚴重的疾病，需要一些測試工具和實驗室數據。當醫生看醫生時，患者描述的病情和試紙上的數據對于醫生的判斷非常重要。

上圖中，日常網絡管理以及運維包括很多方面。運行維護中的任何問題都會影響網絡的安全性和服務的穩定性。因此，大多數網絡運維人員的工作狀態是扮演“消防員滅火”的角色。無論哪里出現問題，問題都會得到解決，而且往往會遇到各種無法預料的問題。

今天，讓我們談談日常網絡運維中的“日志”管理。

什么是日志？

簡而言之，日志是計算機系統，設備，軟件等在特定條件下記錄的信息。確切的內容取決于日志的來源。例如，Unix操作系統將記錄用戶登錄和注銷消息，防火墻將記錄ACL通過和拒絕消息，并且磁盤存儲系統將在發生故障或某些系統認為發生故障時生成日志信息。。

日志中有很多信息，告訴您為什么需要生成日志以及系統發生了什么。例如，當有人訪問網頁以請求資源（圖片，文件等）時，網絡服務器通常會記錄日志。如果需要驗證用戶訪問的頁面，則日志消息中將包含用戶名。

這是日志數據的示例：用戶名可用于確定誰訪問了資源。通過日志，IT管理員可以了解系統的運行狀態，安全狀態，甚至運行狀態。

日志可以做什么？

在完整的信息系統中，日志系統是非常重要的功能組件。它可以記錄系統生成的所有行為，并根據一些規范來表達它們。我們可以使用日志系統記錄的信息對系統進行故障排除，優化系統性能或基于此信息調整系統行為。

在安全性字段中，日志可以反映許多安全攻擊行為，例如登錄錯誤和異常訪問。日志還可以告訴您有關網絡上發生的事情的很多信息，包括性能信息，故障檢測和入侵檢測。日志可以成為“取證”信息的良好來源，以查明事故發生后“發生的事情”。日志可用于審核跟蹤。

說到“日志”，日志可以帶給我們什么？

1.用戶數量分析

這是Nginx中記錄的非常常見的日志。日志的詳細內容可以在相關文檔中找到。這是主要內容的簡要說明。從日志中，您可以獲取訪問者的IP，訪問時間，時區，請求的方法，請求的頁面，返回狀態，來源等。通過查看請求的頁面/登錄名，可以猜出在中小企業的運營和維護中容易被低估的日志。這只是一個登錄請求頁面。該日志的重要含義是登錄成功。

通過此日志與我們關注的指標的對應方式，我們將在下面進行分析。

活動用戶數。活動用戶數通常是指同一天已登錄系統的老用戶數。此時，可以發現，如果將剛剛登錄的日志添加到一天的統計信息中，則可以知道一天中有多少次成功等待登錄次數。

但是細心的朋友會發現它是不正確的，因為用戶可以重復登錄，這將導致重復。是的，那么我們將對其進行完善。讓我們從另一個角度分析一天中成功登錄的唯一IP的數量。它更接近真實結果了嗎？我認為幅度和趨勢已經可以解釋這個問題。

沒有針對單憑單用戶的標準聲明。我的理解是，同一個人出于某種目的已經注冊了大量帳戶，然后執行某些操作，例如單憑單。這種行為很難100％消除，但是可以從此日志中得出一些有趣的發現。

如果一天中同一IP上成功登錄的次數過多（例如一天100次登錄），則兩次之間的間隔大約相同，這表明該人被懷疑正在訂購，可以首先找到該人，然后然后進一步分析。

新增用戶數的含義是一天中成功注冊的用戶數。此時，您可以模擬登錄日志。只需將登錄日志的URL替換為注冊日志的URL，即可查明一天內增加了多少用戶。

同樣，惡意注冊用戶的數量也相似。每天在同一IP下成功注冊的次數非常多。該IP被惡意注冊的可能性非常高。當然，還需要進一步的分析，例如IP是否是建筑物中的出口IP，用戶在注冊后確定了什么。

從以上分析可以看出，有很多推斷，從日志中可以看到許多操作內容，例如瀏覽產品的排名，用戶訪問時間，用戶來源等。

2.安全行為分析

下面我們還從該日志中分析安全行為：

這也是一個登錄日志。與上述登錄日志的唯一區別是服務器返回值。一是302，一是200。有什么區別？ 302表示服務器已跳至該頁面，而200仍正常返回該頁面。由此可以理解，這是登錄失敗的記錄。很好，使用此記錄，您可以發現很多安全行為。

惡意密碼猜測可以理解為大量用戶在一段時間內未登錄，并且返回了大量登錄失敗記錄。通過此定義，您可以在日志中找到規則。我們放大到5分鐘。當同一IP在5分鐘內發生20多次登錄失敗時，基本上可以得出結論，正在執行密碼猜測。

同樣，cc攻擊更容易理解。相同的IP在短時間內訪問并生成大量請求，基本上可以將其視為cc攻擊。也可以從日志中分析其他webshell，sql注入等，但是它不太準確，因為日志引用了get請求的參數，并且post參數沒有正常記錄。

從上面的分析中，我們可以看到日志中還有很多有價值的東西，但是我們只是沒有找到它。

如何分析日志？

收集日志

在常規日志分析中，首先收集日志，然后對日志進行格式化和分析，然后過濾或合并，然后對日志進行警報分析，最后將其存儲在倉庫中。

該集合主要支持各種協議，例如syslog，sftp等。

格式分析是關鍵，畢竟每個日志的格式都不同。

分析日志

日志分析中有關鍵字分析，統計分析和關聯分析。

關鍵字分析是分析日志中的關鍵字。

統計分析是基于一定時間段的。

關聯分析用于在大量審計信息中查找異構事件信息與異構事件信息之間的關系。

關聯分析方法（針對存在關系信息的上下文開發合理的審計策略，通過組合多個異構事件來確定操作行為的性質，發現隱藏的關聯，并找出可能的違規行為。）

日志本身毫無價值。僅在分析和使用日志時才有價值。該日志包含許多有用的信息，不僅包括操作和維護級別，還包括業務級別和安全級別。在許多情況下，除了日志監視之外，還需要一個統一的警報平臺來進行操作和維護。但是，許多故障警報需要基于日志自動分析的結論。因此，日志非常重要。