Управление журналами - Википедия - Log management
Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) (Узнайте, как и когда удалить этот шаблон сообщения)
|
Управление журналом (LM) включает в себя подход к работе с большими объемами компьютер -сгенерированный сообщения журнала (также известен как записи аудита, контрольные журналы, журналы событий, так далее.).
Управление журналами обычно охватывает:[1]
- Сбор журнала
- Централизованное агрегирование журналов
- Долгосрочное хранение и хранение журналов
- Ротация журнала
- Анализ журнала (в режиме реального времени и оптом после хранения)
- Журнал поиска и отчетности.
Обзор
Основными драйверами для реализации управления журналами являются опасения по поводу безопасность,[2] системные и сетевые операции (такие как система или же сетевое администрирование ) и соответствие нормативным требованиям. Журналы создаются практически каждым вычислительным устройством и часто могут быть направлены в разные места как на локальном компьютере. файловая система или удаленная система.
Эффективный анализ больших объемов разнообразных журналов может вызвать множество проблем, таких как:
- Объем: данные журнала могут достигать сотен гигабайт данных в день для больших организация. Простой сбор, централизация и хранение данных в таком объеме может оказаться сложной задачей.
- Нормализация: журналы создаются в нескольких форматах. Процесс нормализация предназначен для предоставления общего вывода для анализа из разных источников.
- Скорость: скорость, с которой журналы создаются с устройств, может затруднить сбор и агрегирование.
- Правдивость: события журнала могут быть неточными. Это особенно проблематично для систем, выполняющих обнаружение, таких как системы обнаружения вторжений.
Пользователи и потенциальные пользователи управления журналами могут приобретать полные коммерческие инструменты или создавать свои собственные инструменты управления журналами и аналитики, объединяя функции из различных Открытый исходный код компоненты или приобретайте (под) системы у коммерческих поставщиков. Управление журналами - сложный процесс, и организации часто делают ошибки, приближаясь к нему.[3]
Ведение журнала может производить техническую информацию, используемую для обслуживания приложений или веб-сайтов. Он может служить:
- чтобы определить, действительно ли обнаруженная ошибка является ошибкой
- чтобы помочь анализировать, воспроизводить и устранять ошибки
- чтобы помочь протестировать новые функции на стадии разработки
Терминология
Были сделаны предложения[кем? ] чтобы изменить определение ведения журнала. Это изменение сделает ситуацию более чистой и более простой в обслуживании:
- логирование в таком случае будет определяться как все мгновенно удаляемые данные о техническом процессе приложения или веб-сайта, поскольку они представляют и обрабатывают данные и вводимые пользователем данные.
- Аудиторская проверка, тогда это будет включать данные, которые нельзя сразу отбросить. Другими словами: данные, которые собираются в процессе аудита, постоянно хранятся, защищены схемами авторизации и всегда связаны с некоторыми функциональными требованиями конечного пользователя.
Жизненный цикл развертывания
Один взгляд[нужна цитата ] оценки зрелости организации с точки зрения развертывания инструментов управления журналами, которые могут использовать[оригинальное исследование? ] последовательные уровни, такие как:
- на начальных этапах организации используют различные логи-анализаторы для анализа логов в устройствах на периметре безопасности. Они нацелены на выявление моделей атак на периметральную инфраструктуру организации.
- с более широким использованием интегрированных вычислений организации требуют ведения журналов для идентификации доступа и использования конфиденциальных данных в пределах периметра безопасности.
- на следующем уровне зрелости анализатор журналов может отслеживать и контролировать производительность и доступность систем на уровне предприятие - особенно тех информационных активов, доступность которых организации считают жизненно важными.
- организации объединяют журналы различных бизнес -приложения в менеджер журналов предприятия для лучшего ценностное предложение.
- организации объединяют мониторинг физического доступа и мониторинг логического доступа в одно представление.
Смотрите также
- Контрольный журнал
- Общее событие базы
- Общий формат журнала
- DARPA ПРОДИГАЛ и Обнаружение аномалий в нескольких масштабах (ADAMS) проекты.
- Регистрация данных
- Анализ журнала
- База знаний по управлению журналами
- Информация о безопасности и управление событиями
- Журнал сервера
- Системный журнал
- Веб-счетчик
- ПО для анализа веб-журналов
Рекомендации
- ^ (NIST), Автор: Карен Кент; (NIST), Автор: Муругия Суппая. «СП 800-92, Руководство по ведению журнала компьютерной безопасности» (PDF). csrc.nist.gov.
- ^ «Использование данных журнала для повышения безопасности». EventTracker SIEM, ИТ-безопасность, соответствие требованиям, управление журналами. Архивировано из оригинал 28 декабря 2014 г.. Получено 12 августа 2015.
- ^ "5 основных ошибок журнала - второе издание". Docstoc.com. Получено 12 августа 2015.
- Крис Маккиннон: «LMI на предприятии». Процессор 18 ноября 2005 г., Том 27, Выпуск 46, стр. 33. Онлайн по адресу http://www.processor.com/editorial/article.asp?article=articles%2Fp2746%2F09p46%2F09p46.asp, получено 10 сентября 2007 г.
- MITRE: Предлагаемый стандарт протокола общего выражения событий (CEE). Онлайн на http://cee.mitre.org, дата обращения 03.03.2010
- NIST 800-92: Руководство по управлению журналом безопасности. Онлайн на http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf, дата обращения 03.03.2010