We couldn't find a match for given <KEYWORD>, please try again.

什么是日志分析?

日志分析是一个过程,使您能够通过查看和解释由网络、操作系统、应用、服务器以及其他硬件和软件组件生成的日志,来了解 IT 基础架构和应用体系的性能和运行状况。

日志通常包含使用收集器实时流式传输或存储以供日后查看的时间序列数据。通过日志分析,您可以深入了解系统性能,并发现可能存在的问题,例如安全漏洞或即将发生的硬件故障。

VMware vRealize Log Insight Cloud - 云服务简述

使用 VMware Aria Operations for Logs 快速、智能地排除问题

日志分析有哪些优势?

  • 合规性。许多政府或监管机构都要求企业证明他们遵守几乎影响到每个实体的众多法规。日志文件分析可以证明企业实际上已满足 HIPAA、PCI、GDPR 或其他法规的要求。
  • 安全增强功能。随着网络犯罪变得越来越有组织,对更强大对策的需求也在增长。事件日志分析提供了强大工具,使您能够采取主动措施,并在发生泄露或数据丢失后进行取证调查。日志分析可以利用网络监控数据来发现未经授权的访问企图,并确保安全操作和防火墙得到最佳配置。
  • 效率。日志分析框架有助于提高整个企业的效率。每个部门的 IT 资源都可以共享一个日志存储库,对企业的日志数据进行分析可以帮助发现每个业务部门的错误或趋势,从而实现快速修复。
  • 高可用性。根据日志分析发现的信息及时采取措施可以防止问题导致停机。进而可帮助确保企业实现其业务目标,并确保 IT 部门履行其提供具有给定正常运行时间保证的服务的承诺。
  • 避免超额置备或置备不足。虽然企业必须制定计划以满足峰值需求,但日志分析可以帮助预测是否有足够的 CPU、内存、磁盘和网络带宽来满足当前需求以及预测的趋势。超额置备会浪费宝贵的 IT 资金,而置备不足会导致服务中断,因为企业会争先恐后地购买额外资源或利用云计算资源来满足弹性需求。
  • 销售与市场推广有效性。通过跟踪流量和客户访问的页面等指标,日志分析可以帮助销售和市场推广专业人员了解哪些计划有效,以及应更改哪些计划。流量模式还有助于调整企业网站,使用户能够更轻松地导航到最常访问的信息。

日志分析为何如此重要?

由于日志提供了对应用性能和运行状况的可见性,因此,运维和开发团队能够通过日志分析了解和修复业务运维过程中出现的任何性能问题。

日志分析具有许多重要功能,包括:

  • 遵守监管和法规要求以及内部政策
  • 跟踪安全漏洞和数据泄露,以确定责任方并采取行动修复漏洞。
  • 有助于对整个体系进行诊断和故障排除
  • 跟踪用户异常行为以检测恶意意图或遭到入侵的系统
  • 协助对恶意软件攻击、泄露或员工盗窃进行取证调查

一些监管机构坚持要求企业执行日志文件分析,以证明其符合法规,而每个想要改善其网络空间安全状况的企业都需要日志分析方面的专业技能,以帮助发现和修复各种网络威胁。通过日志分析,可帮助您满足以下法规遵从性要求:ISO/IEC 27002:2013(涉及 IT 安全实践准则)、PCI DSS V3.1(涵盖信用卡和其他财务信息方面的隐私)以及 NIST 800-137(涉及持续监控联邦 IT 组织)。

如何执行日志分析?

日志是由应用、网络、设备(包括可编程和 IoT 设备)和操作系统生成的操作和活动的时间序列记录。它们通常存储在文件或数据库中,或者存储在称为日志收集器的专用应用中,用于实时日志分析。

日志分析师的任务是帮助解读所有日志数据和上下文消息,这需要对日志数据进行规范化,以确保使用一组通用术语。这可以防止在一个功能发出“正常”信号而另一个功能发出“绿色”信号时可能会出现的混淆,因为这两个功能都意味着无需采取任何措施。

通常,日志分析程序会收集日志数据,对其进行清理、结构化或标准化,然后将其提供给专家进行分析,以检测攻击模式或发现异常,例如网络攻击或数据泄露。执行日志文件分析通常遵循以下步骤:

  1. 收集数据:将硬件和软件探测到的数据收集到中央数据库中
  2. 编制数据索引:将所有来源的数据集中起来并编入索引,以加快搜索速度,从而提高 IT 专业人员快速发现问题或模式的能力
  3. 分析:可以使用机器学习工具自动完成日志分析(包括标准化、模式识别、关联和标记),也可以在需要时手动完成。
  4. 监控:实时、自主的日志分析平台可以在检测到异常时生成警示。这种自动化日志分析是对整个 IT 体系进行大量持续监控的基础
  5. 报告:传统报告和仪表盘都是日志分析平台的一部分,可为运维、开发和管理相关人员提供指标概览或历史视图

什么是日志分析最佳实践?

以下是有效日志分析系统的一些组件。

标准化:将不同的日志元素数据转换为一致的格式有助于确保进行“同类相比”比较,并且无论日志来源如何,都可以集中存储数据并为其编制索引。

模式识别:现代机器学习 (ML) 工具可用于发现日志数据中可能指向异常的模式,例如,通过比较隐藏在外部列表中的消息来帮助确定模式中是否隐藏着威胁。这可以帮助筛选出日常日志条目,以便分析可以集中在可能指示某种异常的条目上。

标记和分类:使用关键字进行标记并按类型进行分类可以应用筛选器,从而加快发现有用数据的速度。例如,当跟踪攻击 Windows 服务器的病毒时,可能会丢弃“LINUX”类的所有条目。

关联:分析人员可以组合来自多个源的日志,以帮助解码无法通过单个日志中的数据轻松查看的事件。这在网络攻击期间和之后特别有用,在此类情况下,来自网络设备、服务器、防火墙和存储系统的日志之间的关联可以指示与攻击相关的数据,并指示单个日志中不明显的模式。

人工智能:纳入现代日志分析系统的人工智能和机器学习 (AI/ML) 工具可以自动识别并丢弃或忽略那些无助于发现异常或安全漏洞的日志条目。此功能有时称为“人为忽略”,它支持日志分析,能够发送关于计划的日常事件(在应该发生时没有发生)的警示。

结构化:为了提供最大价值,所有日志数据都应存储在一个中央存储库中,并对其进行结构化,以便人类和机器都能理解。由于日志分析工具的进步,许多繁重的工作都可以自动完成。因此,企业应在所有系统组件中实施全栈日志记录,以全面了解活动和异常行为。

相关解决方案和产品

VMware Aria Operations for Logs

日志管理和分析