Управление журналами

Управление журналами — это процесс создания, передачи, хранения, доступа и удаления данных журнала. Данные журнала (или журналы ) состоят из записей (записей), и каждая запись содержит информацию, связанную с определенным событием, которое происходит в вычислительных активах организации, включая физические и виртуальные платформы, сети, службы и облачные среды. ^[1]

Процесс управления журналами обычно делится на: ^[2]

Сбор журналов — процесс сбора фактических данных из файлов журналов, стандартного потока вывода приложения ( stdout ), сетевого сокета и других источников.
Агрегация (централизация) журналов — процесс объединения всех данных журналов в одном месте с целью дальнейшего анализа и/или хранения.
Хранение и сохранение журналов — процесс обработки больших объемов данных журналов в соответствии с корпоративными или нормативными политиками (соблюдение нормативных требований).
Анализ журналов — процесс, который помогает группам эксплуатации и безопасности решать проблемы производительности системы и инциденты безопасности.

Обзор

Основными движущими силами внедрения управления журналами являются проблемы безопасности , ^[3] системных и сетевых операций (таких как системное или сетевое администрирование ) и соответствие нормативным требованиям. Журналы генерируются практически каждым вычислительным устройством и часто могут быть направлены в разные места как в локальной файловой системе , так и в удаленной системе.

Эффективный анализ больших объемов разнообразных журналов может быть сопряжен со многими трудностями, такими как:

Объем: данные журнала могут достигать сотен гигабайт в день для крупной организации . Простой сбор, централизовать и хранить данные такого объема может быть сложной задачей.
Нормализация: журналы производятся в нескольких форматах. Процесс нормализации предназначен для предоставления общего вывода для анализа из различных источников.
Скорость: Скорость, с которой устройства создают журналы, может затруднить сбор и агрегацию.
Достоверность: События журнала могут быть неточными. Это особенно проблематично для систем, которые выполняют обнаружение, например, систем обнаружения вторжений .

Пользователи и потенциальные пользователи управления журналами могут приобрести полные коммерческие инструменты или создать свои собственные инструменты управления журналами и аналитики, собирая функциональность из различных компонентов с открытым исходным кодом , или приобретать (под-)системы у коммерческих поставщиков. Управление журналами — сложный процесс, и организации часто совершают ошибки при подходе к нему. ^[4]

Ведение журнала может производить техническую информацию, пригодную для обслуживания приложений или веб-сайтов. Оно может служить:

чтобы определить, является ли сообщенная ошибка действительно ошибкой
для помощи в анализе, воспроизведении и устранении ошибок
для помощи в тестировании новых функций на этапе разработки

Терминология

Были сделаны предложения ^{[ кем? ]} изменить определение логирования. Это изменение сделало бы вещи и чище, и легче поддерживаемыми:

В таком случае ведение журнала будет определяться как все мгновенно удаляемые данные о техническом процессе приложения или веб-сайта, поскольку они представляют и обрабатывают данные и вводимые пользователем данные.
Аудит , таким образом, будет включать данные, которые нельзя немедленно отбросить. Другими словами: данные, которые собираются в процессе аудита, хранятся постоянно, защищены схемами авторизации и всегда связаны с некоторыми функциональными требованиями конечного пользователя.

Жизненный цикл развертывания

Один из взглядов ^{[ требуется ссылка ]} на оценку зрелости организации с точки зрения развертывания инструментов управления журналами может использовать ^{[ оригинальное исследование? ]} последовательные уровни, такие как:

На начальных этапах организации используют различные анализаторы логов для анализа журналов в устройствах на периметре безопасности. Они направлены на выявление закономерностей атак на периметральную инфраструктуру организации.
В связи с ростом использования интегрированных вычислений организации вводят обязательные журналы для идентификации доступа и использования конфиденциальных данных в пределах периметра безопасности.
На следующем уровне зрелости анализатор журналов может отслеживать и контролировать производительность и доступность систем на уровне предприятия — особенно тех информационных активов, доступность которых организации считают жизненно важной.
Организации интегрируют журналы различных бизнес- приложений в корпоративный менеджер журналов для получения более выгодного предложения .
организации объединяют мониторинг физического доступа и мониторинг логического доступа в единое представление.

Смотрите также

Ссылки

^ NIST SP 800-92r1, Руководство по планированию управления журналами кибербезопасности
^ Кент, Карен; Суппая, Муруджиа (сентябрь 2006 г.). Руководство по управлению журналами компьютерной безопасности (отчет). NIST. doi : 10.6028/NIST.SP.800-92 . S2CID 221183642. NIST SP 800-92.
^ "Использование данных журнала для лучшей безопасности". EventTracker SIEM, IT Security, Compliance, Log Management . Архивировано из оригинала 28 декабря 2014 года . Получено 12 августа 2015 года .
^ "5 главных ошибок в журналах - Второе издание". Docstoc.com . Получено 12 августа 2015 г. .

Крис МакКиннон: «LMI на предприятии». Processor 18 ноября 2005 г., том 27, выпуск 46, стр. 33. Онлайн по адресу http://www.processor.com/editorial/article.asp?article=articles%2Fp2746%2F09p46%2F09p46.asp, получено 10 сентября 2007 г.
MITRE: Common Event Expression (CEE) Proposed Log Standard. Онлайн на http://cee.mitre.org, получено 2010-03-03

Внешние ссылки

Обзор и сравнение коммерческих продуктов управления журналами InfoWorld