许多机构在面对像日志管理这样艰巨的新需求时,都想自主开发一套解决方案。这确实是可行的,但并不建议这样做。 (如果要自己开发的话)首先,你得有一台syslog服务器,用来把部分日志集中化。这确实不失为一个好办法。
但是只有一部分日志能被集中起来,比如像思科的防火墙和路由器,Unix服务器、部分入侵检测系统以及其它一些系统。Windows事件日志(你的网络里应该会有一些Windows软件吧)需要一些第三方程序才能转换成syslog。然后你还有数据库日志、专用防火墙、应用程序日志等等,不胜枚举。 你还得找到一种将日志数据标准化的方法,这样在一个系统里出现的“connection……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
许多机构在面对像日志管理这样艰巨的新需求时,都想自主开发一套解决方案。这确实是可行的,但并不建议这样做。
(如果要自己开发的话)首先,你得有一台syslog服务器,用来把部分日志集中化。这确实不失为一个好办法。但是只有一部分日志能被集中起来,比如像思科的防火墙和路由器,Unix服务器、部分入侵检测系统以及其它一些系统。Windows事件日志(你的网络里应该会有一些Windows软件吧)需要一些第三方程序才能转换成syslog。然后你还有数据库日志、专用防火墙、应用程序日志等等,不胜枚举。
你还得找到一种将日志数据标准化的方法,这样在一个系统里出现的“connection"字样才可能和另一个系统产生的”a success"被理解成同一种意思。然后你可以用grep工具来查找,或者把信息先保存到数据库里再用运行即席查询。你还得想办法解决同步时间这样的问题,这样才能根据时区同步印度尼西亚和纽约的事情。
除此之外,你还要考虑在合适的时机添加新的系统和应用、保证数据完整性、生成有用的报告、访问控制、职责划分等等。 所以说,这是可能的,但是我们并不推荐。
Matt White是一家零售企业的信息安全工程师,他们公司最终采用了SenSage的产品。在谈到其中原因时,他表示:“最开始,我们和Unix和数据库方面的相关人员曾经讨论过自己开发,但是在看了我们的业务需求之后,最终还是决定采用其它公司的产品。而且,我们也不习惯把这种类型的安全解决方案外包出去--因为我们最有兴趣关注的就是我们的海外同事。
他们在肯塔基大学做过这个尝试,得到的结果差强人意。
Mark Frost是肯塔基大学的网络安全人员,这所大学采用了LogLogic的产品以达到PCI和HIPAA标准的要求。他表示:“大问题就是缺乏自动化。我们没法用它生成报告或是设置日志文件该保存到哪里等。我们没法在日志数据里找出想要的东西:没法解析任何格式,没法用正则表达式。结果就是什么都没做--只是把数据拿了过来再导到平面文件(Flat File)里。生成一份简单的报告都要花上数个小时。更不用说在上面自动做什么智能化的搜索了。最后大家都觉得受不了了。”
作者
翻译
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
云时代:“SIEM即服务”,你怎么看?
向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。
-
购买SIEM产品前 你需先想清楚这7个问题
对于企业来说,确定要评估哪些产品已经是相当大的挑战,更遑论选择最适合特定企业或部门的产品。SIEM评估过程应包括创建标准清单,以列出企业特别需要考虑的SIEM功能。
-
警惕!Heartbleed还在继续
自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。