Управление журналами — это процесс создания, передачи, хранения, доступа и удаления данных журнала. Данные журнала (или журналы ) состоят из записей (записей), и каждая запись содержит информацию, связанную с определенным событием, которое происходит в вычислительных активах организации, включая физические и виртуальные платформы, сети, службы и облачные среды. [1]
Процесс управления журналами обычно делится на: [2]
- Сбор журналов — процесс сбора фактических данных из файлов журналов, стандартного потока вывода приложения ( stdout ), сетевого сокета и других источников.
- Агрегация (централизация) журналов — процесс объединения всех данных журналов в одном месте с целью дальнейшего анализа и/или хранения.
- Хранение и сохранение журналов — процесс обработки больших объемов данных журналов в соответствии с корпоративными или нормативными политиками (соблюдение нормативных требований).
- Анализ журналов — процесс, который помогает группам эксплуатации и безопасности решать проблемы производительности системы и инциденты безопасности.
Обзор
Основными движущими силами внедрения управления журналами являются проблемы безопасности , [3] системных и сетевых операций (таких как системное или сетевое администрирование ) и соответствие нормативным требованиям. Журналы генерируются практически каждым вычислительным устройством и часто могут быть направлены в разные места как в локальной файловой системе , так и в удаленной системе.
Эффективный анализ больших объемов разнообразных журналов может быть сопряжен со многими трудностями, такими как:
- Объем: данные журнала могут достигать сотен гигабайт в день для крупной организации . Простой сбор, централизовать и хранить данные такого объема может быть сложной задачей.
- Нормализация: журналы производятся в нескольких форматах. Процесс нормализации предназначен для предоставления общего вывода для анализа из различных источников.
- Скорость: Скорость, с которой устройства создают журналы, может затруднить сбор и агрегацию.
- Достоверность: События журнала могут быть неточными. Это особенно проблематично для систем, которые выполняют обнаружение, например, систем обнаружения вторжений .
Пользователи и потенциальные пользователи управления журналами могут приобрести полные коммерческие инструменты или создать свои собственные инструменты управления журналами и аналитики, собирая функциональность из различных компонентов с открытым исходным кодом , или приобретать (под-)системы у коммерческих поставщиков. Управление журналами — сложный процесс, и организации часто совершают ошибки при подходе к нему. [4]
Ведение журнала может производить техническую информацию, пригодную для обслуживания приложений или веб-сайтов. Оно может служить:
- чтобы определить, является ли сообщенная ошибка действительно ошибкой
- для помощи в анализе, воспроизведении и устранении ошибок
- для помощи в тестировании новых функций на этапе разработки
Терминология
Были сделаны предложения [ кем? ] изменить определение логирования. Это изменение сделало бы вещи и чище, и легче поддерживаемыми:
- В таком случае ведение журнала будет определяться как все мгновенно удаляемые данные о техническом процессе приложения или веб-сайта, поскольку они представляют и обрабатывают данные и вводимые пользователем данные.
- Аудит , таким образом, будет включать данные, которые нельзя немедленно отбросить. Другими словами: данные, которые собираются в процессе аудита, хранятся постоянно, защищены схемами авторизации и всегда связаны с некоторыми функциональными требованиями конечного пользователя.
Жизненный цикл развертывания
Один из взглядов [ требуется ссылка ] на оценку зрелости организации с точки зрения развертывания инструментов управления журналами может использовать [ оригинальное исследование? ] последовательные уровни, такие как:
- На начальных этапах организации используют различные анализаторы логов для анализа журналов в устройствах на периметре безопасности. Они направлены на выявление закономерностей атак на периметральную инфраструктуру организации.
- В связи с ростом использования интегрированных вычислений организации вводят обязательные журналы для идентификации доступа и использования конфиденциальных данных в пределах периметра безопасности.
- На следующем уровне зрелости анализатор журналов может отслеживать и контролировать производительность и доступность систем на уровне предприятия — особенно тех информационных активов, доступность которых организации считают жизненно важной.
- Организации интегрируют журналы различных бизнес- приложений в корпоративный менеджер журналов для получения более выгодного предложения .
- организации объединяют мониторинг физического доступа и мониторинг логического доступа в единое представление.
Смотрите также
Ссылки
- ^ NIST SP 800-92r1, Руководство по планированию управления журналами кибербезопасности
- ^ Кент, Карен; Суппая, Муруджиа (сентябрь 2006 г.). Руководство по управлению журналами компьютерной безопасности (отчет). NIST. doi : 10.6028/NIST.SP.800-92 . S2CID 221183642. NIST SP 800-92.
- ^ "Использование данных журнала для лучшей безопасности". EventTracker SIEM, IT Security, Compliance, Log Management . Архивировано из оригинала 28 декабря 2014 года . Получено 12 августа 2015 года .
- ^ "5 главных ошибок в журналах - Второе издание". Docstoc.com . Получено 12 августа 2015 г. .
- Крис МакКиннон: «LMI на предприятии». Processor 18 ноября 2005 г., том 27, выпуск 46, стр. 33. Онлайн по адресу http://www.processor.com/editorial/article.asp?article=articles%2Fp2746%2F09p46%2F09p46.asp, получено 10 сентября 2007 г.
- MITRE: Common Event Expression (CEE) Proposed Log Standard. Онлайн на http://cee.mitre.org, получено 2010-03-03
Внешние ссылки
- Обзор и сравнение коммерческих продуктов управления журналами InfoWorld