本文是有關安全日志分析的兩部分系列講座的第一部分。下面的第一部分討論日志監測和分析的重要性。第二部分將幫助你弄懂日志數據，并且使用這些數據有效地保護你的網絡和增強你的網絡的安全。

　　日志數據可以是有價值的信息寶庫，也可以是毫無價值的數據泥潭。要保護和提高你的網絡安全，由各種操作系統、應用程序、設備和安全產品的日志數據能夠幫助你提前發現和避開災難，并且找到安全事件的根本原因。

　　當然，日志數據對于實現網絡安全的價值有多大取決于兩個因素:第一，你的系統和設備必須進行合適的設置以便記錄你需要的數據。第二，你必須有合適的工具、培訓和可用的資源來分析收集到的數據。

　　你不能分析你沒有的東西

　　在你能夠分析日志數據之前，你顯然要收集數據。更重要的是，記錄數據的程序或者設備要設置為收集你需要的數據。例如，微軟的Windows操作系統在“Event Viewer Security”(安全事件觀察器)中能夠檢查到各種活動和日志信息。然而，在Windows 2000和XP中，安全檢查功能并不是缺省啟用的，Windows Server 2003缺省的安全檢查設置也許不能滿足你的需求。

　　對于Windows中的安全檢查事件，你可以選擇記錄成功的嘗試，或者記錄失敗的嘗試。如果你僅選擇記錄失敗的訪問文件和文件夾的數據，記錄的數據就不會顯示這個文件是什么時候被成功破解的。如果你僅記錄成功地訪問一個用戶賬號的嘗試，記錄的數據就不會向你顯示一個黑客50次沒有猜對那個賬號的用戶名和密碼。

　　無論你是在使用Windows操作系統還是任何其它的設備和程序，你必須花費一些時間和努力事先了解你擁有的安全日志功能，并且為你的需要恰當地設置好日志選項。雖然簡單地把一切都記錄下來似乎是合乎邏輯的，但是，監測和記錄安全事件會給處理器增加工作負擔并且要使用內存和硬盤的空間。你需要了解可用的日志選項，在記錄一切和全不記錄之間選擇最佳的平衡點，以便記錄對你有價值的數據。

　　信息過載

　　一旦你收集完日志數據，這個挑戰就是如何有效地利用這些數據。位于新澤西州Edison的netForensics公司安全戰略家Anton Chuvakin指出:“一旦技術合適和收集完日志，就需要實施一個監測程序并且評估行動中的陷阱和可能的升級。

　　網絡和安全管理員經�；ㄙM時間建立日志數據收集，但是，他們沒有處理這些數據或者沒有現成的資源來監測和分析那些數據。因為沒有人監測這些日志數據，有關網絡偵察或者潛在的攻擊的信息也許會被忽略而失去時效。

　　當安全事件發生時，查看日志數據也許可以確定事件發生的時間。但是，在很多情況下，需要查看的數據量太大，人們沒有經過技術培訓或者不會查看這些數據，有日志數據也沒有意義了。

　　現在，有安全事件管理(SEM)應用軟件等一些工具專門用于監測安全事件并且使用某些邏輯或者過濾器幫助管理員獲取有意義的數據。然而，這些工具仍需要設置和恰當地使用才能有效率。人們要對過濾的數據有所了解并且采取措施。

　　收集堆積如山的事件日志數據，如果沒有經過培訓的人員和資源對這些日志數據進行監測和分析，就如同沒有收集任何數據一樣毫無用處。在本系列講座的下一講，我將提供一些技巧，幫助你了解這些日志數據的意義，并且使用這些數據保護你的網絡和增強網絡的安全。

        本文是分為兩部分的安全日志分析的第二部分。第一部分討論了日志監測和分析的重要性。第二部分幫助你了解日志的意義。

　　日志數據在管理計算機或者網絡方面是一種有價值的和實用的工具。事先監測日志數據以尋找可疑的活動跡象的能力或者在發生安全事件時分析日志數據是非常有價值的。

　　第一步是確保你的系統和設備進行了正確的配置，以便檢查和記錄事件。假設日志數據已經被捕捉和存儲，你需要一個有效的工作流程來檢查和分析這些數據。下面的一些建議可以向你提供一些指南并且確保你最有效和最充分地使用你的日志數據。

　　1.有規律地檢查日志數據

　　雖然日志數據在安全事件發生時用作法院的證據是非常有效的，但是，如果有規律地分析這些日志數據，這種安全事件也許根本就不會發生。

　　應該建立一個工作流程，確定多長時間檢查和分析一次收集到的日志數據。定期分析由整個網絡中的各種應用程序和設備收集到的海量日志數據有助于找出和診斷故障，還可能發現正在進行中的攻擊。

　　2.以開放的眼光查看日志信息

　　在分析日志數據時常見的錯誤是要具體找出已知的事件或者日志項。然而，日志數據中多數有價值的內容似乎存在于表面上很好或者正常的日志項目中。通過以開放的眼光檢查這些日志項目，你也許會找到可疑的活動跡象。如果你僅僅查看錯誤信息，這種跡象很可能會漏掉。

　　如果把日志審查的重點放在查找已知的惡意活動方面，任何新出現的威脅或者對客戶的攻擊都會由于失察而漏掉。

　　3.通過一個透鏡查看數據

　　整個網絡中的設備和應用程序將收集日志數據。遺憾的是沒有一種通用的格式或者方法來記錄和顯示事件的信息。

　　為了進行準確的比對，某種形式的轉化便產生了，也就是對日志數據實施“正常化”。一旦數據壓縮為通用的組件，就很容易把這個網絡作為一個整體進行分析，而不是作為一個單獨的日志項目進行分析。這樣就可以更好地根據輕重緩急對發現的問題進行處理或者做出反應。

　　日志數據的處理是很困難的。日志信息中包含珍貴的鉆石信息。但是，你需要挖掘很多泥土才能找到這些鉆石。海量的日志數據使有效地利用這些數據成為表明上不可克服的挑戰。然而，有SEM(安全事件管理器)等工具軟件能夠幫助你查找數據。但是，沒有確定如何使用日志數據的流程，沒有能夠有效地分析日志數據并且對日志數據中發現的信息做出反應的經過培訓的人員，這種工具將毫無用處。