日志集成似乎正處于這樣的局面：每個(gè)人都在用它，但為什么公司不花費(fèi)時(shí)間和資源來解決它呢？答案是因?yàn)樗鼈兛赡苡幸粋�(gè)宏大的盲點(diǎn)：大多數(shù)利用程序沒有做好日志記錄。

在這次采訪中，SecurityCurve的Diana Kelley與一家世界500強(qiáng)企業(yè)的架構(gòu)師和安全思想領(lǐng)袖James McGovern，就利用程序事件日志管理展開了討論。McGovern說明了他為什么認(rèn)為利用程序的日志記錄是“最后的邊界”。

Diana Kelley：Jim，不是所有的IT專家都已經(jīng)擁有了集成日志所需的東西并能奇妙地應(yīng)用它們了嗎？

James McGovern:一個(gè)擁有工具的“傻子”仍然是一個(gè)“傻子”。為了找到安全漏洞而讓網(wǎng)絡(luò)安全工程師來審查利用程序的日志記錄反而增加了失敗的可能性。為什么呢？因?yàn)橹甘归_發(fā)者開展工作是一回事，而認(rèn)為瀏覽一份全面的文檔非常容易又是另外一回事。

一般來說，讓開發(fā)者知道如何開發(fā)安全的代碼，比幫助一個(gè)網(wǎng)絡(luò)安全工程師懂得軟件開發(fā)環(huán)境中的日志記錄更加容易。

Diana Kelley：你的意思是開發(fā)者需要標(biāo)準(zhǔn)？

James McGovern: 是的。如果你關(guān)注過甲骨文、惠普、EMC等公司的軟件產(chǎn)品，你是不是感到他們都有一個(gè)共同的日志記錄格式呢？他們并沒有這樣做！如果以軟件開發(fā)為主業(yè)的公司都沒有搞明白這個(gè)，我們又怎么能寄盼望于一個(gè)大企業(yè)呢？我們需要的是一個(gè)獨(dú)立的組織去領(lǐng)導(dǎo)一個(gè)跨產(chǎn)業(yè)企業(yè)聯(lián)盟，來致力于標(biāo)準(zhǔn)、語(yǔ)義和互通性范疇的發(fā)展。

Diana Kelley：在這一點(diǎn)上，我絕對(duì)批準(zhǔn)你的觀點(diǎn)！日志格式的互通性和標(biāo)準(zhǔn)化（包含IETF這樣的組織都在著手建立系統(tǒng)記錄標(biāo)準(zhǔn)）將對(duì)日志管理流程有幫助。首先，通過供給集成解決計(jì)劃能更有效地收集重要日志數(shù)據(jù)；其次，幫助解析引擎更好地獲得網(wǎng)絡(luò)和利用程序在現(xiàn)在、未來和過去的信息。

讓我們回到很多公司現(xiàn)在正面臨的挑釁，以及如何去應(yīng)對(duì)這些挑釁吧。

James McGovern: 首先，你已經(jīng)有了一個(gè)日志管理設(shè)備。有多少企業(yè)在采購(gòu)甚至是在撰寫需求計(jì)劃闡明書（RFP）時(shí)，會(huì)就有關(guān)日志管理集成的問題咨詢他們的軟件供給商呢？這種差距能夠通過在采購(gòu)協(xié)議上添加一些可重用的條款來打消嗎？

Diana Kelley：非常重要的一點(diǎn)是：日志管理需求不必為每一臺(tái)新設(shè)備或者系統(tǒng)部件的RFP而進(jìn)行變動(dòng)。重新利用現(xiàn)有的措辭就可以減少RFP的創(chuàng)立時(shí)間，如果措辭得當(dāng)，還可以保證所需的定義一致。你認(rèn)為對(duì)于企業(yè)來說，日志管理最大的用處是什么？

James McGovern:它是我們懂得企業(yè)事務(wù)的方法。如果我們無(wú)法懂得運(yùn)動(dòng)和訪問，那我們就沒有措施懂得其對(duì)企業(yè)的影響。這聽起來簡(jiǎn)略，但它是非常復(fù)雜的。日志記錄需要處理訪問和運(yùn)動(dòng)，否則日志管理就不能很好的解析它。這是因與果的關(guān)系。

Diana Kelley：公司應(yīng)當(dāng)如何改良呢？

James McGovern: 不要像看待一個(gè)報(bào)告運(yùn)動(dòng)那樣看待日志管理，因?yàn)槲覀冃枰�處理的清單和電子表格非常多。更重要的是，我們需要做的不只是為日志中個(gè)別的行發(fā)出報(bào)警，而且需要對(duì)其他行也作出反應(yīng)。例如，如果你剛好為利用程序開發(fā)了一個(gè)日志管理“文件”，你便可以知道在一個(gè)特定的時(shí)間段內(nèi)，平均產(chǎn)生了多少次失敗的身份驗(yàn)證事件。懂得次數(shù)是否高于或低于平均程度，以便獲悉運(yùn)動(dòng)的趨勢(shì)，這樣豈不是更有益嗎？

Diana Kelley：如果產(chǎn)生斷電事故（outages）怎么辦？日志管理系統(tǒng)在這方面有沒有盲點(diǎn)？

James McGovern: 日志處理斷電事故十分出色。通過對(duì)商業(yè)客戶開通危機(jī)電話專線，并供給一個(gè)可以帶來收益的利用程序，我可以確定地說，每個(gè)人在存儲(chǔ)倉(cāng)（silos）里胡亂收集一通其實(shí)是很不明智的�，F(xiàn)在的處理過程包含的只是猜測(cè)和一些裝腔作勢(shì)的詞匯，與之不同的是，日志記錄的是實(shí)際產(chǎn)生的事情。如果你要組建一個(gè)團(tuán)隊(duì)，將實(shí)時(shí)撰寫的報(bào)告整合到一起將會(huì)是一件非常了不起的事情。

Diana Kelley：最后，你對(duì)你的同行有什么話要說嗎？