行业新闻

行业新闻

网络运维中的日志管理!

发布时间:2020-01-14 点击数:1487
如果将“操作和维护”视为对患者的医生治疗,则“日记”是对患者状况的陈述。很多时候,医生需要根据患者的描述,是否严重,需要什么剂量的药物以及应该使用哪种类型的药物来确定患者的状况。因此,古人有一种说法叫做“正确的药”。这种“症状”是对患者自身状况的描述,加上医生的专业判断;对于更严重的疾病,需要一些测试工具和实验室数据。当医生看医生时,患者描述的病情和试纸上的数据对于医生的判断非常重要。

网络运维中的日志管理

上图中,日常网络管理以及运维包括很多方面。运行维护中的任何问题都会影响网络的安全性和服务的稳定性。因此,大多数网络运维人员的工作状态是扮演“消防员灭火”的角色。无论哪里出现问题,问题都会得到解决,而且往往会遇到各种无法预料的问题。

今天,让我们谈谈日常网络运维中的“日志”管理。

什么是日志?

简而言之,日志是计算机系统,设备,软件等在特定条件下记录的信息。确切的内容取决于日志的来源。例如,Unix操作系统将记录用户登录和注销消息,防火墙将记录ACL通过和拒绝消息,并且磁盘存储系统将在发生故障或某些系统认为发生故障时生成日志信息。 。

日志中有很多信息,告诉您为什么需要生成日志以及系统发生了什么。例如,当有人访问网页以请求资源(图片,文件等)时,网络服务器通常会记录日志。如果需要验证用户访问的页面,则日志消息中将包含用户名。

这是日志数据的示例:用户名可用于确定谁访问了资源。通过日志,IT管理员可以了解系统的运行状态,安全状态,甚至运行状态。

日志可以做什么?

在完整的信息系统中,日志系统是非常重要的功能组件。它可以记录系统生成的所有行为,并根据一些规范来表达它们。我们可以使用日志系统记录的信息对系统进行故障排除,优化系统性能或基于此信息调整系统行为。

在安全性字段中,日志可以反映许多安全攻击行为,例如登录错误和异常访问。日志还可以告诉您有关网络上发生的事情的很多信息,包括性能信息,故障检测和入侵检测。日志可以成为“取证”信息的良好来源,以查明事故发生后“发生的事情”。日志可用于审核跟踪。

说到“日志”,日志可以带给我们什么?

1.用户数量分析



这是Nginx中记录的非常常见的日志。日志的详细内容可以在相关文档中找到。这是主要内容的简要说明。从日志中,您可以获取访问者的IP,访问时间,时区,请求的方法,请求的页面,返回状态,来源等。通过查看请求的页面/登录名,可以猜出在中小企业的运营和维护中容易被低估的日志。这只是一个登录请求页面。该日志的重要含义是登录成功。

通过此日志与我们关注的指标的对应方式,我们将在下面进行分析。

活动用户数。活动用户数通常是指同一天已登录系统的老用户数。此时,可以发现,如果将刚刚登录的日志添加到一天的统计信息中,则可以知道一天中有多少次成功等待登录次数。

但是细心的朋友会发现它是不正确的,因为用户可以重复登录,这将导致重复。是的,那么我们将对其进行完善。让我们从另一个角度分析一天中成功登录的唯一IP的数量。它更接近真实结果了吗?我认为幅度和趋势已经可以解释这个问题。

没有针对单凭单用户的标准声明。我的理解是,同一个人出于某种目的已经注册了大量帐户,然后执行某些操作,例如单凭单。这种行为很难100%消除,但是可以从此日志中得出一些有趣的发现。

如果一天中同一IP上成功登录的次数过多(例如一天100次登录),则两次之间的间隔大约相同,这表明该人被怀疑正在订购,可以首先找到该人,然后然后进一步分析。

新增用户数的含义是一天中成功注册的用户数。此时,您可以模拟登录日志。只需将登录日志的URL替换为注册日志的URL,即可查明一天内增加了多少用户。

同样,恶意注册用户的数量也相似。每天在同一IP下成功注册的次数非常多。该IP被恶意注册的可能性非常高。当然,还需要进一步的分析,例如IP是否是建筑物中的出口IP,用户在注册后确定了什么。


从以上分析可以看出,有很多推断,从日志中可以看到许多操作内容,例如浏览产品的排名,用户访问时间,用户来源等。

2.安全行为分析

下面我们还从该日志中分析安全行为:



这也是一个登录日志。与上述登录日志的唯一区别是服务器返回值。一是302,一是200。有什么区别? 302表示服务器已跳至该页面,而200仍正常返回该页面。由此可以理解,这是登录失败的记录。很好,使用此记录,您可以发现很多安全行为。

恶意密码猜测可以理解为大量用户在一段时间内未登录,并且返回了大量登录失败记录。通过此定义,您可以在日志中找到规则。我们放大到5分钟。当同一IP在5分钟内发生20多次登录失败时,基本上可以得出结论,正在执行密码猜测。

同样,cc攻击更容易理解。相同的IP在短时间内访问并生成大量请求,基本上可以将其视为cc攻击。也可以从日志中分析其他webshell,sql注入等,但是它不太准确,因为日志引用了get请求的参数,并且post参数没有正常记录。

从上面的分析中,我们可以看到日志中还有很多有价值的东西,但是我们只是没有找到它。


如何分析日志?

收集日志

在常规日志分析中,首先收集日志,然后对日志进行格式化和分析,然后过滤或合并,然后对日志进行警报分析,最后将其存储在仓库中。

该集合主要支持各种协议,例如syslog,sftp等。

格式分析是关键,毕竟每个日志的格式都不同。

分析日志

日志分析中有关键字分析,统计分析和关联分析。

关键字分析是分析日志中的关键字。

统计分析是基于一定时间段的。

关联分析用于在大量审计信息中查找异构事件信息与异构事件信息之间的关系。

关联分析方法(针对存在关系信息的上下文开发合理的审计策略,通过组合多个异构事件来确定操作行为的性质,发现隐藏的关联,并找出可能的违规行为。)

日志本身毫无价值。仅在分析和使用日志时才有价值。该日志包含许多有用的信息,不仅包括操作和维护级别,还包括业务级别和安全级别。在许多情况下,除了日志监视之外,还需要一个统一的警报平台来进行操作和维护。但是,许多故障警报需要基于日志自动分析的结论。因此,日志非常重要。

所以平时想要我们的网络进行更好的管理,对日志进行分析处理是非常有必要的。全网数据为大家提供专业的深圳服务器租用,深圳服务器托管,深圳主机租用,云主机租用等国内外服务器资源,详情可咨询客服了解。



用户至上,用心服务

全网数据以"用户至上,用心服务每一位用户"为宗旨,您可以把您的应用放心的交给我们,全网数据为您提供完美解决方案和数据中心服务。

免费咨询