2019-01-10
大数据时代的到来,不断刷新着人们对数据价值的认知。利用数据更好的为业务服务,则能带来更充足的客源,利用数据反馈于生产,则能指明研发的方向。
对于运维来说,最重要的数据,莫过于日志了。然而,各个集群的日志格式不一,数据量又那么庞大,怎样才能充分又省力的挖掘日志的价值呢?甚至有人会产生疑问,日志真的有那么大的价值吗?日志易产品作为普惠数码运用的重要的日志运维工具,在过去的一年多时间里,已经服务于银行、车联网、传统制造业等多个行业。下面挑选两个实际工作中的经历,给大家分享一下日志的价值。
场景1 远程桌面登录
某传统制造业,最近发生安全事件。经分析,其中一个重要环节是因为该企业有众多的windows server,黑客利用域控建立特殊账号远程这些windows server并实施一些攻击。那么,如何才能及时的发现这些异常远程登录呢?由于windows事件日志为其特有的evtx格式,传统的日志分析工具无法直接接入并分析;开源ELK的beats产品也只能接入windows日志中的应用程序、安全等事件日志,即使在繁杂的登录事件日志中查找到可疑日志,也无法追踪其远程登录的源地址。
Figure 1 windows事件日志
Figure 2 Windows安全事件
如果不能实时收集这些日志,那么黑客在相关操作之后会删除相应日志,事后登录这些服务器也无从查证了。日志易除了可以实时接收传统的windows事件日志,还可以自定义添加应用程序和服务日志,并且支持windows事件evtx格式的自动解析。相应日志接入和解析后,可以根据远程登录事件ID号(1149)进行快速检索,也可以查看其登录源地址。当然,日志易特有的SPL语言,可以灵活设置对异常账户和异常登录时间进行告警,以此预防安全事件的发生。
Figure 3 添加自定义日志
Figure 4 远程登录日志检索
Figure 5 关键信息查看
Figure 6 告警实现
场景2 防火墙策略梳理
某商业银行,由于历史原因,防火墙上的策略已经达到了一千多条,并且很多策略过于宽泛,无法做到精准控制。因此,防火墙策略梳理,就显得迫在眉睫。通过开启相应策略日志,根据日志内容判断策略应用范围并进行优化确实是一个不错的主意。但当你看见动辄几十兆或者几万条日志的时候,你又该从何下手呢?
Figure 7 数量庞大的防火墙日志
通过开启防火墙syslog,日志易可以实施接收防火墙的应用日志。根据其日志格式,进行相应字段提取。然后,你就可以通过SPL轻松分析错综复杂的防火墙日志啦。
Figure 8 防火墙日志格式化
根据自己的实际需求,进行日志分析。
Figure 9 防火墙日志分析
Figure 10防火墙日志分析
以上就是日志易在实际工作中两个典型的应用场景,相信通过上述描述,大家对于日志的价值以及日志易所带来的便利已经深有感触了。
日志易是专业的日志搜索分析引擎,如果您还未安装日志易产品,请留言联系小编哦,小编将安排普惠工程师为您提供专业的日志运维咨询服务。
上一篇 :其乐融融饺子宴
下一篇 :混合云安全-保持安全控制范围