为什么要使用日志管理?-syslog和Windows事件日志

为什么要使用日志管理syslog和Windows事件日志

日志管理 - 确保网络安全的先决条件
日志给予您有关网络活动的第一手信息。日志管理确保日志中隐藏的网络活动数据转换为有意义的可操作的安全信息。日志管理是网络安全管理员为保护网络而要完成的首要任务。
日志管理包括收集、安全存储、规范化、分析、生成报表和告警。
日志收集
· 日志收集必须是非侵入性的。
· 需要从网络中出现的不同设备、服务器和应用程序组中收集日志。
· 最好以无代理的方式收集日志。在某些网络环境中,以使用代理的方式进行的日志收集应以可选方式提供。
安全存储
· 日志数据需要存储为归档以用于取证分析及合规要求。
· 日志数据存储器应受保护(例如,加密)
· 而且,该存储器必须可防篡改
· 保留持续时间应该可灵活设置(最好可由用户配置)
· 存储位置应该可灵活设置(只读媒体、大容量存储系统等等)。
日志规范化
来自各种不同来源的日志应使用通用格式规范化。这是进行分析和关联时所必需的。
日志分析
分析日志以全面了解网络安全事件
生成报表和告警
分析日志是为了生成报表和告警
· 应该有不同格式且可分发的预填充的、可定制的、自定义的和计划的报表。
· 应该实时通知告警。应该有更多通知机制甚至是执行其他程序以实现补救措施
日志管理是监控网络安全的不可或缺部分

原文地址:http://blog.51cto.com/13802097/2155659

时间: 2024-08-07 18:34:24

为什么要使用日志管理?-syslog和Windows事件日志的相关文章

使用EventLog类写Windows事件日志

在程序中经常需要将指定的信息(包括异常信息和正常处理信息)写到日志中.在C#3.0中可以使用EventLog类将各种信息直接写入Windows日志.EventLog类在System.Diagnostics命名空间中.我们可以在“管理工具” > "事件查看器“中可以查看我们写入的Windows日志,如下图所示: 下面是一个使用EventLog类向应用程序(Application)写入日志的例子,日志类型使用EventLogEntryType枚举类型指定. Code highlighting

使用rsync备份Windows事件日志

使用rsync备份Windows事件日志 Windows版软件:cwRsyncServer 安装比较简单一直下一步即可,输入到创建账号页面的时候可以自己设置一个密码. 服务器端:cwRsyncServer_4.0.5_Installe.zip 客户端:cwRsync_4.0.5_Installer.zip 由于特殊原因需要收集Windows的Application.Security.Setup.System事件日志,而事件日志的位置是在C:\Windows\System32\winevt\Log

Windows事件日志写入SQL Server并PowerBI统计分析

在这里我准备了2台系统,一个Windows Server 2012 R2的域控服务器DC01,一台SQL on CentOS7的SQL数据库服务器 首先我使用SQL Manager Studio连接到SQL数据库服务器创建需要存放Windows转发事件日志的数据库"EventCollections" CREATE DATABASE EventCollections GO USE EventCollections GO -- the table name loosely relates

Ngnix的日志管理和用定时任务完成日志切割

一.日志管理 先来看看ngnix的配置文件的server段 接下来我们解释一下默认格式的具体意思 #log_format main '$remote_addr(远程IP) - $remote_user(远程用户) [$time_local](访问时间) "$request"(请求方式) ' # '$status(状态302.404.401.403等) $body_bytes_sent(请求体 body 长度等) "$http_referer"(referer来源信息

SQL Server中的事务日志管理(7/9):处理日志过度增长

当一切正常时,没有必要特别留意什么是事务日志,它是如何工作的.你只要确保每个数据库都有正确的备份.当出现问题时,事务日志的理解对于采取修正操作是重要的,尤其在需要紧急恢复数据库到指定点时.这系列文章会告诉你每个DBA应该知道的具体细节. 这篇文章会列出导致事务日志过度增长的常见的问题和错误管理形式,包括: 在完整恢复模式里,没有进行日志备份 进行索引维护 长时间运行或未提交的事务阻止事务日志里空间重用 当然,如果增长没检查,日志文件会扩展直到吞没所有可用磁盘空间或日志文件的最大大小,在这个时候你

SQL Server中的事务日志管理(1/9):事务日志概况

当一切正常时,没有必要特别留意什么是事务日志,它是如何工作的.你只要确保每个数据库都有正确的备份.当出现问题时,事务日志的理解对于采取修正操作是重要的,尤其在需要紧急恢复数据库到指定点时.这系列文章会告诉你每个DBA应该知道的具体细节. 事务日志是存储对应数据库所有事务和数据修改记录的文件(每个数据库都有对应的日志文件).在造成SQL Server意外关闭的灾难事件里,例如实例或硬件故障,事务日志用来恢复数据库,用来保证数据的完好无损(完整性).在重启前,数据库进入恢复过程,事务日志被读取保证所

SQL Server中的事务日志管理(3/9):事务日志,备份与恢复

当一切正常时,没有必要特别留意什么是事务日志,它是如何工作的.你只要确保每个数据库都有正确的备份.当出现问题时,事务日志的理解对于采取修正操作是重要的,尤其在需要紧急恢复数据库到指定点时.这系列文章会告诉你每个DBA应该知道的具体细节. 它不会经常提起,除非你的数据库运行在简单(SIMPLE)恢复模式,在事务日志上定期备份非常重要的.这会控制事务日志大小,并且保证,在灾难发生里,你可以恢复你的数据库到灾难发生前的某个时间点.这些日志备份要和定期的完整数据库(数据文件)备份一起. 如果你在测试数据

SQL Server中的事务日志管理(6/9):大容量日志恢复模式里的日志管理

当一切正常时,没有必要特别留意什么是事务日志,它是如何工作的.你只要确保每个数据库都有正确的备份.当出现问题时,事务日志的理解对于采取修正操作是重要的,尤其在需要紧急恢复数据库到指定点时.这系列文章会告诉你每个DBA应该知道的具体细节. 这个标题有点用词不当,因为运行在大容量日志恢复模式里的数据库,我们通常是长期不管理日志.但是,DBA会考虑在大容量加载时,短期切换到大容量恢复模式.当数据库在大容量模式里运行时,一些其他例如索引重建的操作会最小化日志(minimally logged),因此在日

C#操作windows事件日志项

1 /// <summary> 2 /// 指定事件日志项的事件类型 3 /// </summary> 4 public enum EventLogLevel 5 { 6 /// <summary> 7 /// 错误事件.它指示用户应该知道的严重问题(通常是功能或数据的丢失). 8 /// </summary> 9 Error = 1, 10 /// <summary> 11 /// 警告事件.它指示并不立即具有重要性的问题,但此问题可能表示将来