日志集成似乎正处于这样的局面：每个人都在用它，但为什么公司不花费时间和资源来解决它呢？答案是因为它们可能有一个巨大的盲点：大多数应用程序没有做好日志记录。

　　在这次采访中，SecurityCurve的Diana Kelley与一家世界500强企业的架构师和安全思想领袖James McGovern，就应用程序事件日志管理展开了讨论。McGovern解释了他为什么认为应用程序的日志记录是“最后的边界”。

　　Diana Kelley：Jim，不是所有的IT专家都已经拥有了集成日志所需的东西并能巧妙地运用它们了吗？

　　James McGovern:一个拥有工具的“傻子”仍然是一个“傻子”。为了找到安全漏洞而让网络安全工程师来审查应用程序的日志记录反而增加了失败的可能性。为什么呢？因为指使开发者开展工作是一回事，而认为阅读一份全面的文档非常容易又是另外一回事。

　　一般来说，让开发者知道如何开发安全的代码，比帮助一个网络安全工程师了解软件开发环境中的日志记录更加容易。

　　Diana Kelley：你的意思是开发者需要标准？

　　James McGovern: 是的。如果你关注过甲骨文、惠普、EMC等公司的软件产品，你是不是觉得他们都有一个共同的日志记录格式呢？他们并没有这样做！如果以软件开发为主业的公司都没有搞清楚这个，我们又怎么能寄希望于一个大企业呢？我们需要的是一个独立的组织去领导一个跨产业企业联盟，来致力于标准、语义和互通性领域的发展。

　　Diana Kelley：在这一点上，我绝对同意你的观点！日志格式的互通性和标准化（包括IETF这样的组织都在着手建立系统记录标准）将对日志管理流程有帮助。首先，通过提供集成解决方案能更有效地收集重要日志数据；其次，帮助解析引擎更好地获得网络和应用程序在现在、未来和过去的信息。

　　让我们回到很多公司现在正面临的挑战，以及如何去应对这些挑战吧。

　　James McGovern: 首先，你已经有了一个日志管理设备。有多少企业在采购甚至是在撰写需求方案说明书（RFP）时，会就有关日志管理集成的问题咨询他们的软件供应商呢？这种差距能够通过在采购协议上添加一些可重用的条款来消除吗？

　　Diana Kelley：非常重要的一点是：日志管理需求不必为每一台新设备或者系统部件的RFP而进行变动。重新利用现有的措辞就可以减少RFP的创建时间，如果措辞得当，还可以保证所需的定义一致。你认为对于企业来说，日志管理最大的用处是什么？

　　James McGovern:它是我们了解企业事务的方式。如果我们无法理解活动和访问，那我们就没有办法了解其对企业的影响。这听起来简单，但它是非常复杂的。日志记录需要处理访问和活动，否则日志管理就不能很好的解析它。这是因与果的关系。

　　Diana Kelley：公司应该如何改进呢？

　　James McGovern: 不要像对待一个报告活动那样对待日志管理，因为我们需要处理的清单和电子表格非常多。更重要的是，我们需要做的不只是为日志中个别的行发出报警，而且需要对其他行也作出反应。例如，如果你刚好为应用程序开发了一个日志管理“文件”，你便可以知道在一个特定的时间段内，平均发生了多少次失败的身份验证事件。了解次数是否高于或低于平均水平，以便获悉活动的趋势，这样岂不是更有益吗？

　　Diana Kelley：如果发生断电事故（outages）怎么办？日志管理系统在这方面有没有盲点？

　　James McGovern: 日志处理断电事故十分出色。通过对商业客户开通危机电话专线，并提供一个可以带来收益的应用程序，我可以肯定地说，每个人在存储仓（silos）里胡乱收集一通其实是很不明智的。现在的处理过程包含的只是猜测和一些装腔作势的词汇，与之不同的是，日志记录的是实际发生的事情。如果你要组建一个团队，将实时撰写的报告整合到一起将会是一件非常了不起的事情。

　　Diana Kelley：最后，你对你的同行有什么话要说吗？

　　James McGovern: 日志管理不只是和安全有关系。假设你有能力收集从防火墙到应用程序的日志，你就可以分析关于公司十大业务伙伴的客户体验。当然，在真正了解客户体验方面，目前的网络报告和其他粗放的方法做得还不够。精心设计的应用程序日志理应将客户体验考虑进去。