性色AV网站,亚洲wu码,国产亚洲精品久久久久久

網(wǎng)絡運維中的日志管理！

發(fā)布時間：2020-01-14 點擊數(shù)：6724

如果將“操作和維護”視為對患者的醫(yī)生治療，則“日記”是對患者狀況的陳述。很多時候，醫(yī)生需要根據(jù)患者的描述，是否嚴重，需要什么劑量的藥物以及應該使用哪種類型的藥物來確定患者的狀況。因此，古人有一種說法叫做“正確的藥”。這種“癥狀”是對患者自身狀況的描述，加上醫(yī)生的專業(yè)判斷；對于更嚴重的疾病，需要一些測試工具和實驗室數(shù)據(jù)。當醫(yī)生看醫(yī)生時，患者描述的病情和試紙上的數(shù)據(jù)對于醫(yī)生的判斷非常重要。

上圖中，日常網(wǎng)絡管理以及運維包括很多方面。運行維護中的任何問題都會影響網(wǎng)絡的安全性和服務的穩(wěn)定性。因此，大多數(shù)網(wǎng)絡運維人員的工作狀態(tài)是扮演“消防員滅火”的角色。無論哪里出現(xiàn)問題，問題都會得到解決，而且往往會遇到各種無法預料的問題。

今天，讓我們談談日常網(wǎng)絡運維中的“日志”管理。

什么是日志？

簡而言之，日志是計算機系統(tǒng)，設備，軟件等在特定條件下記錄的信息。確切的內(nèi)容取決于日志的來源。例如，Unix操作系統(tǒng)將記錄用戶登錄和注銷消息，防火墻將記錄ACL通過和拒絕消息，并且磁盤存儲系統(tǒng)將在發(fā)生故障或某些系統(tǒng)認為發(fā)生故障時生成日志信息。。

日志中有很多信息，告訴您為什么需要生成日志以及系統(tǒng)發(fā)生了什么。例如，當有人訪問網(wǎng)頁以請求資源（圖片，文件等）時，網(wǎng)絡服務器通常會記錄日志。如果需要驗證用戶訪問的頁面，則日志消息中將包含用戶名。

這是日志數(shù)據(jù)的示例：用戶名可用于確定誰訪問了資源。通過日志，IT管理員可以了解系統(tǒng)的運行狀態(tài)，安全狀態(tài)，甚至運行狀態(tài)。

日志可以做什么？

在完整的信息系統(tǒng)中，日志系統(tǒng)是非常重要的功能組件。它可以記錄系統(tǒng)生成的所有行為，并根據(jù)一些規(guī)范來表達它們。我們可以使用日志系統(tǒng)記錄的信息對系統(tǒng)進行故障排除，優(yōu)化系統(tǒng)性能或基于此信息調(diào)整系統(tǒng)行為。

在安全性字段中，日志可以反映許多安全攻擊行為，例如登錄錯誤和異常訪問。日志還可以告訴您有關網(wǎng)絡上發(fā)生的事情的很多信息，包括性能信息，故障檢測和入侵檢測。日志可以成為“取證”信息的良好來源，以查明事故發(fā)生后“發(fā)生的事情”。日志可用于審核跟蹤。

說到“日志”，日志可以帶給我們什么？

1.用戶數(shù)量分析

這是Nginx中記錄的非常常見的日志。日志的詳細內(nèi)容可以在相關文檔中找到。這是主要內(nèi)容的簡要說明。從日志中，您可以獲取訪問者的IP，訪問時間，時區(qū)，請求的方法，請求的頁面，返回狀態(tài)，來源等。通過查看請求的頁面/登錄名，可以猜出在中小企業(yè)的運營和維護中容易被低估的日志。這只是一個登錄請求頁面。該日志的重要含義是登錄成功。

通過此日志與我們關注的指標的對應方式，我們將在下面進行分析。

活動用戶數(shù)?；顒佑脩魯?shù)通常是指同一天已登錄系統(tǒng)的老用戶數(shù)。此時，可以發(fā)現(xiàn)，如果將剛剛登錄的日志添加到一天的統(tǒng)計信息中，則可以知道一天中有多少次成功等待登錄次數(shù)。

但是細心的朋友會發(fā)現(xiàn)它是不正確的，因為用戶可以重復登錄，這將導致重復。是的，那么我們將對其進行完善。讓我們從另一個角度分析一天中成功登錄的唯一IP的數(shù)量。它更接近真實結果了嗎？我認為幅度和趨勢已經(jīng)可以解釋這個問題。

沒有針對單憑單用戶的標準聲明。我的理解是，同一個人出于某種目的已經(jīng)注冊了大量帳戶，然后執(zhí)行某些操作，例如單憑單。這種行為很難100％消除，但是可以從此日志中得出一些有趣的發(fā)現(xiàn)。

如果一天中同一IP上成功登錄的次數(shù)過多（例如一天100次登錄），則兩次之間的間隔大約相同，這表明該人被懷疑正在訂購，可以首先找到該人，然后然后進一步分析。

新增用戶數(shù)的含義是一天中成功注冊的用戶數(shù)。此時，您可以模擬登錄日志。只需將登錄日志的URL替換為注冊日志的URL，即可查明一天內(nèi)增加了多少用戶。

同樣，惡意注冊用戶的數(shù)量也相似。每天在同一IP下成功注冊的次數(shù)非常多。該IP被惡意注冊的可能性非常高。當然，還需要進一步的分析，例如IP是否是建筑物中的出口IP，用戶在注冊后確定了什么。

從以上分析可以看出，有很多推斷，從日志中可以看到許多操作內(nèi)容，例如瀏覽產(chǎn)品的排名，用戶訪問時間，用戶來源等。

2.安全行為分析

下面我們還從該日志中分析安全行為：

這也是一個登錄日志。與上述登錄日志的唯一區(qū)別是服務器返回值。一是302，一是200。有什么區(qū)別？ 302表示服務器已跳至該頁面，而200仍正常返回該頁面。由此可以理解，這是登錄失敗的記錄。很好，使用此記錄，您可以發(fā)現(xiàn)很多安全行為。

惡意密碼猜測可以理解為大量用戶在一段時間內(nèi)未登錄，并且返回了大量登錄失敗記錄。通過此定義，您可以在日志中找到規(guī)則。我們放大到5分鐘。當同一IP在5分鐘內(nèi)發(fā)生20多次登錄失敗時，基本上可以得出結論，正在執(zhí)行密碼猜測。

同樣，cc攻擊更容易理解。相同的IP在短時間內(nèi)訪問并生成大量請求，基本上可以將其視為cc攻擊。也可以從日志中分析其他webshell，sql注入等，但是它不太準確，因為日志引用了get請求的參數(shù)，并且post參數(shù)沒有正常記錄。

從上面的分析中，我們可以看到日志中還有很多有價值的東西，但是我們只是沒有找到它。

如何分析日志？

收集日志

在常規(guī)日志分析中，首先收集日志，然后對日志進行格式化和分析，然后過濾或合并，然后對日志進行警報分析，最后將其存儲在倉庫中。

該集合主要支持各種協(xié)議，例如syslog，sftp等。

格式分析是關鍵，畢竟每個日志的格式都不同。

分析日志

日志分析中有關鍵字分析，統(tǒng)計分析和關聯(lián)分析。

關鍵字分析是分析日志中的關鍵字。

統(tǒng)計分析是基于一定時間段的。

關聯(lián)分析用于在大量審計信息中查找異構事件信息與異構事件信息之間的關系。

關聯(lián)分析方法（針對存在關系信息的上下文開發(fā)合理的審計策略，通過組合多個異構事件來確定操作行為的性質(zhì)，發(fā)現(xiàn)隱藏的關聯(lián)，并找出可能的違規(guī)行為。）

日志本身毫無價值。僅在分析和使用日志時才有價值。該日志包含許多有用的信息，不僅包括操作和維護級別，還包括業(yè)務級別和安全級別。在許多情況下，除了日志監(jiān)視之外，還需要一個統(tǒng)一的警報平臺來進行操作和維護。但是，許多故障警報需要基于日志自動分析的結論。因此，日志非常重要。