美国服务器Linux系统日志管理工具的使用方式有:1、确定有所需的信息,如为了确定某个特定的流量或行为来自哪里,日志管理系统要先记录下IP地址信息,引擎才能将其解析出来;2、投入时间跟精力在合理的安装、管理日志管理工具上,重视系统使用的错误;3、通过预定义需求来精简RFP,确保在精简RFP周期的同时保持需求的一致性;4、使用日志数据描述正在或已经发生的事情,从而真实的告诉响应小组网络中发生了什么;5、使用范畴不局限于安全方面,如将信息用于分析用户十大业务关系的客户体验等。
具体内容如下:
确定有所需的信息
为了能够写出有效的关联规则,日志管理系统必须有足够数据进行分析。例如,为了确定某个特定的流量或者行为来自哪里,就需要知道源IP地址信息,这意味着日志管理系统必须先记录下IP地址信息,这样引擎才能够将其解析出来。又例如,如果要写一条日志分析规则对目标设备或者应用发生了某种行为进行告警,相关的日志数据必须先记录下那些行为。
需要投入时间跟精力
如果不准备投入时间和精力在合理的安装、管理日志管理工具上,那么就建议用户不要把资金花在日志管理系统上面。日志管理系统必须进行合理的配置,以正确解析网络中的事件和日志,这样出来的报表才具有商业和技术价值。另一个需要注意的错误是不去浏览和审查警告控制台,因而错过了关键的安全事件。因此,不要犯只重视日志管理技术而不重视系统使用的错误。
通过预定义需求来精简RFP
创建RFP-请求提案,需求方案说明书-是一个费时的过程。而一些需求一旦被定义出来,就能在随后的RFP中复用。这在制定日志管理的需求时很常见,因为日志管理的基本需求,例如日志文件的格式,写入日志文件的数据等,都是一样的,可以预先定义出来。使用预定义需求的另一个好处是这确保了在精简RFP周期的同时保持需求的一致性。
使用日志数据描述正在或者已经发生的事情
日志是检查故障的极佳信息源,因为大部分情况下用户判断导致故障原因的所有所需信息都能够从日志文件中找到。在危机期间,管理人员经常不得不进入被动模式,往往只能通过直觉、猜测、将不可再分的无关信息拼凑到一起等方式来判断正在或者已经发生的事情。而日志是真实发生事件的记录,日志管理系统允许管理人员针对故障信息实时地撰写和产生报表,从而真实地告诉响应小组网络中发生了什么。
使用范畴不局限于安全方面
日志管理系统是一个绝佳的安全设备信息收集和分析工具,不仅可以用这些信息实现安全感知,而且可以利用这些信息实现其他目标。例如,可以将这些信息用于分析用户十大业务关系的客户体验等。
