Управление журналами - Википедия - Log management

Управление журналом (LM) включает в себя подход к работе с большими объемами компьютер -сгенерированный сообщения журнала (также известен как записи аудита, контрольные журналы, журналы событий, так далее.).

Управление журналами обычно охватывает:[1]

  • Сбор журнала
  • Централизованное агрегирование журналов
  • Долгосрочное хранение и хранение журналов
  • Ротация журнала
  • Анализ журнала (в режиме реального времени и оптом после хранения)
  • Журнал поиска и отчетности.

Обзор

Основными драйверами для реализации управления журналами являются опасения по поводу безопасность,[2] системные и сетевые операции (такие как система или же сетевое администрирование ) и соответствие нормативным требованиям. Журналы создаются практически каждым вычислительным устройством и часто могут быть направлены в разные места как на локальном компьютере. файловая система или удаленная система.

Эффективный анализ больших объемов разнообразных журналов может вызвать множество проблем, таких как:

  • Объем: данные журнала могут достигать сотен гигабайт данных в день для больших организация. Простой сбор, централизация и хранение данных в таком объеме может оказаться сложной задачей.
  • Нормализация: журналы создаются в нескольких форматах. Процесс нормализация предназначен для предоставления общего вывода для анализа из разных источников.
  • Скорость: скорость, с которой журналы создаются с устройств, может затруднить сбор и агрегирование.
  • Правдивость: события журнала могут быть неточными. Это особенно проблематично для систем, выполняющих обнаружение, таких как системы обнаружения вторжений.

Пользователи и потенциальные пользователи управления журналами могут приобретать полные коммерческие инструменты или создавать свои собственные инструменты управления журналами и аналитики, объединяя функции из различных Открытый исходный код компоненты или приобретайте (под) системы у коммерческих поставщиков. Управление журналами - сложный процесс, и организации часто делают ошибки, приближаясь к нему.[3]

Ведение журнала может производить техническую информацию, используемую для обслуживания приложений или веб-сайтов. Он может служить:

  • чтобы определить, действительно ли обнаруженная ошибка является ошибкой
  • чтобы помочь анализировать, воспроизводить и устранять ошибки
  • чтобы помочь протестировать новые функции на стадии разработки

Терминология

Были сделаны предложения[кем? ] чтобы изменить определение ведения журнала. Это изменение сделает ситуацию более чистой и более простой в обслуживании:

  • логирование в таком случае будет определяться как все мгновенно удаляемые данные о техническом процессе приложения или веб-сайта, поскольку они представляют и обрабатывают данные и вводимые пользователем данные.
  • Аудиторская проверка, тогда это будет включать данные, которые нельзя сразу отбросить. Другими словами: данные, которые собираются в процессе аудита, постоянно хранятся, защищены схемами авторизации и всегда связаны с некоторыми функциональными требованиями конечного пользователя.

Жизненный цикл развертывания

Один взгляд[нужна цитата ] оценки зрелости организации с точки зрения развертывания инструментов управления журналами, которые могут использовать[оригинальное исследование? ] последовательные уровни, такие как:

  1. на начальных этапах организации используют различные логи-анализаторы для анализа логов в устройствах на периметре безопасности. Они нацелены на выявление моделей атак на периметральную инфраструктуру организации.
  2. с более широким использованием интегрированных вычислений организации требуют ведения журналов для идентификации доступа и использования конфиденциальных данных в пределах периметра безопасности.
  3. на следующем уровне зрелости анализатор журналов может отслеживать и контролировать производительность и доступность систем на уровне предприятие - особенно тех информационных активов, доступность которых организации считают жизненно важными.
  4. организации объединяют журналы различных бизнес -приложения в менеджер журналов предприятия для лучшего ценностное предложение.
  5. организации объединяют мониторинг физического доступа и мониторинг логического доступа в одно представление.

Смотрите также

Рекомендации

  1. ^ (NIST), Автор: Карен Кент; (NIST), Автор: Муругия Суппая. «СП 800-92, Руководство по ведению журнала компьютерной безопасности» (PDF). csrc.nist.gov.
  2. ^ «Использование данных журнала для повышения безопасности». EventTracker SIEM, ИТ-безопасность, соответствие требованиям, управление журналами. Архивировано из оригинал 28 декабря 2014 г.. Получено 12 августа 2015.
  3. ^ "5 основных ошибок журнала - второе издание". Docstoc.com. Получено 12 августа 2015.

внешняя ссылка