大數(shù)據(jù)時代的到來，不斷刷新著人們對數(shù)據(jù)價值的認知。利用數(shù)據(jù)更好的為業(yè)務(wù)服務(wù)，則能帶來更充足的客源，利用數(shù)據(jù)反饋于生產(chǎn)，則能指明研發(fā)的方向。

對于運維來說，最重要的數(shù)據(jù)，莫過于日志了。然而，各個集群的日志格式不一，數(shù)據(jù)量又那么龐大，怎樣才能充分又省力的挖掘日志的價值呢？甚至有人會產(chǎn)生疑問，日志真的有那么大的價值嗎？日志易產(chǎn)品作為普惠數(shù)碼運用的重要的日志運維工具，在過去的一年多時間里，已經(jīng)服務(wù)于銀行、車聯(lián)網(wǎng)、傳統(tǒng)制造業(yè)等多個行業(yè)。下面挑選兩個實際工作中的經(jīng)歷，給大家分享一下日志的價值。

場景1  遠程桌面登錄

某傳統(tǒng)制造業(yè)，最近發(fā)生安全事件。經(jīng)分析，其中一個重要環(huán)節(jié)是因為該企業(yè)有眾多的windows server，黑客利用域控建立特殊賬號遠程這些windows server并實施一些攻擊。那么，如何才能及時的發(fā)現(xiàn)這些異常遠程登錄呢？由于windows事件日志為其特有的evtx格式，傳統(tǒng)的日志分析工具無法直接接入并分析；開源ELK的beats產(chǎn)品也只能接入windows日志中的應(yīng)用程序、安全等事件日志，即使在繁雜的登錄事件日志中查找到可疑日志，也無法追蹤其遠程登錄的源地址。

Figure 1 windows事件日志

Figure 2 Windows安全事件

如果不能實時收集這些日志，那么黑客在相關(guān)操作之后會刪除相應(yīng)日志，事后登錄這些服務(wù)器也無從查證了。日志易除了可以實時接收傳統(tǒng)的windows事件日志，還可以自定義添加應(yīng)用程序和服務(wù)日志，并且支持windows事件evtx格式的自動解析。相應(yīng)日志接入和解析后，可以根據(jù)遠程登錄事件ID號（1149）進行快速檢索，也可以查看其登錄源地址。當(dāng)然，日志易特有的SPL語言，可以靈活設(shè)置對異常賬戶和異常登錄時間進行告警，以此預(yù)防安全事件的發(fā)生。

Figure 3 添加自定義日志

Figure 4 遠程登錄日志檢索

Figure 5 關(guān)鍵信息查看

Figure 6 告警實現(xiàn)

場景2  防火墻策略梳理

某商業(yè)銀行，由于歷史原因，防火墻上的策略已經(jīng)達到了一千多條，并且很多策略過于寬泛，無法做到精準控制。因此，防火墻策略梳理，就顯得迫在眉睫。通過開啟相應(yīng)策略日志，根據(jù)日志內(nèi)容判斷策略應(yīng)用范圍并進行優(yōu)化確實是一個不錯的主意。但當(dāng)你看見動輒幾十兆或者幾萬條日志的時候，你又該從何下手呢？

Figure 7 數(shù)量龐大的防火墻日志

通過開啟防火墻syslog，日志易可以實施接收防火墻的應(yīng)用日志。根據(jù)其日志格式，進行相應(yīng)字段提取。然后，你就可以通過SPL輕松分析錯綜復(fù)雜的防火墻日志啦。

Figure 8 防火墻日志格式化

根據(jù)自己的實際需求，進行日志分析。

Figure 9 防火墻日志分析

Figure 10防火墻日志分析

以上就是日志易在實際工作中兩個典型的應(yīng)用場景，相信通過上述描述，大家對于日志的價值以及日志易所帶來的便利已經(jīng)深有感觸了。

日志易是專業(yè)的日志搜索分析引擎，如果您還未安裝日志易產(chǎn)品，請留言聯(lián)系小編哦，小編將安排普惠工程師為您提供專業(yè)的日志運維咨詢服務(wù)。