帶你玩轉(zhuǎn)日志
2019-01-10
大數(shù)據(jù)時(shí)代的到來(lái)��,不斷刷新著人們對(duì)數(shù)據(jù)價(jià)值的認(rèn)知����。利用數(shù)據(jù)更好的為業(yè)務(wù)服務(wù)�,則能帶來(lái)更充足的客源,利用數(shù)據(jù)反饋于生產(chǎn)�,則能指明研發(fā)的方向。
對(duì)于運(yùn)維來(lái)說(shuō)����,最重要的數(shù)據(jù),莫過(guò)于日志了���。然而�,各個(gè)集群的日志格式不一,數(shù)據(jù)量又那么龐大����,怎樣才能充分又省力的挖掘日志的價(jià)值呢?甚至有人會(huì)產(chǎn)生疑問(wèn)���,日志真的有那么大的價(jià)值嗎?日志易產(chǎn)品作為普惠數(shù)碼運(yùn)用的重要的日志運(yùn)維工具�,在過(guò)去的一年多時(shí)間里,已經(jīng)服務(wù)于銀行�����、車(chē)聯(lián)網(wǎng)��、傳統(tǒng)制造業(yè)等多個(gè)行業(yè)����。下面挑選兩個(gè)實(shí)際工作中的經(jīng)歷,給大家分享一下日志的價(jià)值�����。
場(chǎng)景1 遠(yuǎn)程桌面登錄
某傳統(tǒng)制造業(yè)����,最近發(fā)生安全事件�。經(jīng)分析��,其中一個(gè)重要環(huán)節(jié)是因?yàn)樵撈髽I(yè)有眾多的windows server���,黑客利用域控建立特殊賬號(hào)遠(yuǎn)程這些windows
server并實(shí)施一些攻擊��。那么���,如何才能及時(shí)的發(fā)現(xiàn)這些異常遠(yuǎn)程登錄呢?由于windows事件日志為其特有的evtx格式�,傳統(tǒng)的日志分析工具無(wú)法直接接入并分析;開(kāi)源ELK的beats產(chǎn)品也只能接入windows日志中的應(yīng)用程序�、安全等事件日志,即使在繁雜的登錄事件日志中查找到可疑日志�����,也無(wú)法追蹤其遠(yuǎn)程登錄的源地址����。
Figure 1 windows事件日志
Figure 2 Windows安全事件
如果不能實(shí)時(shí)收集這些日志,那么黑客在相關(guān)操作之后會(huì)刪除相應(yīng)日志�,事后登錄這些服務(wù)器也無(wú)從查證了����。日志易除了可以實(shí)時(shí)接收傳統(tǒng)的windows事件日志���,還可以自定義添加應(yīng)用程序和服務(wù)日志�����,并且支持windows事件evtx格式的自動(dòng)解析。相應(yīng)日志接入和解析后�����,可以根據(jù)遠(yuǎn)程登錄事件ID號(hào)(1149)進(jìn)行快速檢索���,也可以查看其登錄源地址��。當(dāng)然�����,日志易特有的SPL語(yǔ)言�����,可以靈活設(shè)置對(duì)異常賬戶(hù)和異常登錄時(shí)間進(jìn)行告警��,以此預(yù)防安全事件的發(fā)生����。
Figure 3 添加自定義日志
Figure 4 遠(yuǎn)程登錄日志檢索
Figure
5 關(guān)鍵信息查看
Figure 6 告警實(shí)現(xiàn)
場(chǎng)景2 防火墻策略梳理
某商業(yè)銀行,由于歷史原因��,防火墻上的策略已經(jīng)達(dá)到了一千多條�,并且很多策略過(guò)于寬泛,無(wú)法做到精準(zhǔn)控制���。因此�,防火墻策略梳理��,就顯得迫在眉睫���。通過(guò)開(kāi)啟相應(yīng)策略日志��,根據(jù)日志內(nèi)容判斷策略應(yīng)用范圍并進(jìn)行優(yōu)化確實(shí)是一個(gè)不錯(cuò)的主意�����。但當(dāng)你看見(jiàn)動(dòng)輒幾十兆或者幾萬(wàn)條日志的時(shí)候�����,你又該從何下手呢����?
Figure 7 數(shù)量龐大的防火墻日志
通過(guò)開(kāi)啟防火墻syslog,日志易可以實(shí)施接收防火墻的應(yīng)用日志����。根據(jù)其日志格式,進(jìn)行相應(yīng)字段提取��。然后����,你就可以通過(guò)SPL輕松分析錯(cuò)綜復(fù)雜的防火墻日志啦����。
Figure
8 防火墻日志格式化
根據(jù)自己的實(shí)際需求,進(jìn)行日志分析�。
Figure
9 防火墻日志分析
Figure 10防火墻日志分析
以上就是日志易在實(shí)際工作中兩個(gè)典型的應(yīng)用場(chǎng)景,相信通過(guò)上述描述���,大家對(duì)于日志的價(jià)值以及日志易所帶來(lái)的便利已經(jīng)深有感觸了����。
日志易是專(zhuān)業(yè)的日志搜索分析引擎,如果您還未安裝日志易產(chǎn)品�,請(qǐng)留言聯(lián)系小編哦,小編將安排普惠工程師為您提供專(zhuān)業(yè)的日志運(yùn)維咨詢(xún)服務(wù)��。
