合適的日志管理工具能夠大幅減輕管理企業(yè)系統(tǒng)日志數(shù)據(jù)的累贅。但是，除非組織為這個(gè)工具投入必要的時(shí)間和精力，否則再好的工具也會(huì)很快變成一個(gè)差勁的工具。Diana Kelley為大家供給了6個(gè)確保成功的日志管理最佳實(shí)踐。

門(mén)外漢用上了工具依然是門(mén)外漢

如果你不籌備投入時(shí)間和精力在適當(dāng)?shù)匕惭b、管理日志管理工具上，那么就不要把錢(qián)浪費(fèi)在日志管理系統(tǒng)上面。日志管理系統(tǒng)必須進(jìn)行合理的配置，以正確解析您網(wǎng)絡(luò)中的事件和日志，這樣出來(lái)的報(bào)表才具有商業(yè)和技巧價(jià)值。另一個(gè)“笨拙”的錯(cuò)誤是不去瀏覽和審查告警把持臺(tái)，因而錯(cuò)過(guò)了要害的安全事件。因此，不要犯只器重日志管理技巧而不器重系統(tǒng)應(yīng)用的錯(cuò)誤。

通過(guò)預(yù)定義需求來(lái)精簡(jiǎn)RFP（懇求提案）

創(chuàng)立RFP（懇求提案，需求計(jì)劃闡明書(shū)）是一個(gè)費(fèi)時(shí)的過(guò)程。而一些需求一旦被定義出來(lái)，就能在隨后的RFP中復(fù)用。這在制定日志管理的需求時(shí)很常見(jiàn)，因?yàn)槿罩竟芾淼幕�礎(chǔ)需求（例如日志文件的格式，寫(xiě)入日志文件的數(shù)據(jù)，等等）都是一樣的，可以預(yù)先定義出來(lái)。應(yīng)用預(yù)定義需求的另一個(gè)利益是這確保了在精簡(jiǎn)RFP周期的同時(shí)保持需求的一致性。

斷定你有所需的信息

為了能夠?qū)懗鲇行У年P(guān)聯(lián)規(guī)矩，日志管理系統(tǒng)必須有足夠的高低文數(shù)據(jù)進(jìn)行分析。例如，為了斷定某個(gè)特定的流量或者行動(dòng)來(lái)自哪里，就需要知道源IP地址信息，這意味著日志管理系統(tǒng)必須先記錄下IP地址信息，這樣引擎才干夠?qū)⑵浣馕龀鰜?lái)。又例如，如果要寫(xiě)一條日志分析規(guī)矩對(duì)目標(biāo)設(shè)備或者利用產(chǎn)生了某種行動(dòng)進(jìn)行告警，相干的日志數(shù)據(jù)必須先記錄下那些行動(dòng)才行。

不要局限于靜態(tài)分析

大部分組織需要做的最后一件事是將那些沒(méi)有整體分析模型的數(shù)據(jù)填寫(xiě)到另一張大表中，然后利用這張大表來(lái)進(jìn)行事件分析。根據(jù)預(yù)期或者可接收行動(dòng)的基線設(shè)定的告警不僅要通過(guò)火析大表中單條記錄的特點(diǎn)來(lái)產(chǎn)生，還要通過(guò)火析一組記錄集的特點(diǎn)來(lái)產(chǎn)生。不妨假想一下要害數(shù)據(jù)庫(kù)的登錄記錄。一般會(huì)將兩次登錄失敗的行動(dòng)設(shè)定為觸發(fā)告警的基線，但是如果那個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的密碼策略從應(yīng)用簡(jiǎn)略的字典單詞變?yōu)閼?yīng)用8位以上非字典單詞字符串，那么登錄失敗次數(shù)的基線可能要增大，因?yàn)橛脩?hù)要適應(yīng)新的策略。具有智能感知才能的日志管理系統(tǒng)應(yīng)當(dāng)可以進(jìn)行調(diào)節(jié)，以監(jiān)測(cè)發(fā)展趨勢(shì)，并為管理員供給反饋。管理員可以決定應(yīng)用該趨勢(shì)信息臨時(shí)地轉(zhuǎn)變告警閥值。

應(yīng)用日志數(shù)據(jù)描寫(xiě)正在或者已經(jīng)產(chǎn)生的事情

“日志是檢查故障的極佳信息源”。因?yàn)榇蟛糠智闆r下用戶(hù)斷定導(dǎo)致故障原因的所有所需信息都能夠從日志文件中找到。在危機(jī)期間，管理人員經(jīng)常不得不進(jìn)入被動(dòng)模式，往往只能通過(guò)直覺(jué)、猜測(cè)、將不可再分的無(wú)關(guān)信息拼湊到一起等方法來(lái)斷定正在或者已經(jīng)產(chǎn)生的事情。而日志是真實(shí)產(chǎn)生事件的記錄，日志管理系統(tǒng)容許管理人員針對(duì)故障信息實(shí)時(shí)地撰寫(xiě)和產(chǎn)生報(bào)表，從而真實(shí)地告訴響應(yīng)小組網(wǎng)絡(luò)中產(chǎn)生了什么。

應(yīng)用范疇可以超出安全本身　　

日志管理系統(tǒng)是一個(gè)絕佳的安全設(shè)備信息收集和分析工具，不僅可以用這些信息實(shí)現(xiàn)安全感知，而且可以利用這些信息實(shí)現(xiàn)其他目標(biāo)。例如，可以將這些信息用于分析（你的）十大業(yè)務(wù)關(guān)系的客戶(hù)體驗(yàn)。許多WEB利用分析系統(tǒng)無(wú)法供給展現(xiàn)真實(shí)客戶(hù)體驗(yàn)的細(xì)粒度視圖。而設(shè)計(jì)良好的利用系統(tǒng)日志可以記錄這些客戶(hù)體驗(yàn)，日志管理系統(tǒng)可以通過(guò)這些日志來(lái)分析客戶(hù)體驗(yàn)，從而將日志管理系統(tǒng)的應(yīng)用范疇擴(kuò)大到安全分析之外。