Jump to content

Управление журналами

Управление журналами — это процесс создания, передачи, хранения, доступа и удаления данных журналов. Данные журнала (или журналы ) состоят из записей (записей), и каждая запись содержит информацию, связанную с конкретным событием, которое происходит в вычислительных ресурсах организации, включая физические и виртуальные платформы, сети, службы и облачные среды. [1]

Процесс управления журналами обычно делится на: [2]

  • Сбор журналов — процесс сбора фактических данных из файлов журналов, стандартного потока вывода приложения ( stdout ), сетевого сокета и других источников.
  • Агрегация (централизация) журналов — процесс объединения всех данных журналов в одном месте для дальнейшего анализа и/или хранения.
  • Хранение и сохранение журналов — процесс обработки больших объемов данных журналов в соответствии с корпоративной или нормативной политикой (комплаенс).
  • Анализ журналов — процесс, который помогает команде эксплуатации и безопасности решать проблемы с производительностью системы и инциденты безопасности.

Обзор

[ редактировать ]

Основными движущими силами реализации управления журналами являются соображения безопасности , [3] системные и сетевые операции (например, системное или сетевое администрирование ) и соответствие нормативным требованиям. Журналы генерируются практически каждым вычислительным устройством и часто могут быть направлены в разные места как в локальной файловой системе , так и в удаленной системе.

Эффективный анализ больших объемов разнообразных журналов может вызвать множество проблем, таких как:

  • Объем: данные журнала могут достигать сотен гигабайт данных в день для крупной организации . Просто собрать, централизовать и хранить данные такого объема может быть непросто.
  • Нормализация: журналы создаются в нескольких форматах. Процесс нормализации предназначен для получения общих результатов анализа из различных источников.
  • Скорость. Скорость создания журналов с устройств может затруднить сбор и агрегирование.
  • Достоверность: события журнала могут быть неточными. Это особенно проблематично для систем, выполняющих обнаружение, таких как системы обнаружения вторжений .

Пользователи и потенциальные пользователи управления журналами могут приобретать готовые коммерческие инструменты или создавать свои собственные инструменты управления журналами и аналитики, объединяя функциональные возможности из различных компонентов с открытым исходным кодом , или приобретать (под)системы у коммерческих поставщиков. Управление журналами — сложный процесс, и организации часто допускают ошибки при подходе к нему. [4]

Ведение журнала может предоставить техническую информацию, которую можно использовать для обслуживания приложений или веб-сайтов. Он может служить:

  • чтобы определить, является ли сообщаемая ошибка на самом деле ошибкой
  • чтобы помочь анализировать, воспроизводить и устранять ошибки
  • чтобы помочь протестировать новые функции на стадии разработки

Терминология

[ редактировать ]

Были сделаны предложения [ кем? ] изменить определение ведения журнала. Это изменение сделает ситуацию более чистой и простой в сопровождении:

  • Тогда журналирование будет определяться как все мгновенно удаляемые данные о техническом процессе приложения или веб-сайта, поскольку оно представляет и обрабатывает данные и пользовательский ввод.
  • Таким образом, аудит будет включать в себя данные, которые нельзя сразу отбросить. Другими словами: данные, которые собираются в процессе аудита, хранятся постоянно, защищаются схемами авторизации и всегда связаны с некоторыми функциональными требованиями конечного пользователя.

Жизненный цикл развертывания

[ редактировать ]

Один просмотр [ нужна ссылка ] оценки зрелости организации с точки зрения развертывания инструментов управления журналами, можно использовать [ оригинальное исследование? ] последовательные уровни, такие как:

  1. на начальных этапах организации используют разные лог-анализаторы для анализа логов в устройствах периметра безопасности. Они направлены на выявление закономерностей атак на инфраструктуру периметра организации.
  2. С ростом использования интегрированных вычислений организации требуют ведения журналов для идентификации доступа и использования конфиденциальных данных в пределах периметра безопасности.
  3. На следующем уровне зрелости анализатор журналов может отслеживать и контролировать производительность и доступность систем на уровне предприятия особенно тех информационных активов, доступность которых организации считают жизненно важной.
  4. организации интегрируют журналы различных бизнес- приложений в корпоративный менеджер журналов для более выгодного предложения .
  5. организации объединяют мониторинг физического доступа и мониторинг логического доступа в одно представление.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ NIST SP 800-92r1 , Руководство по планированию управления журналами кибербезопасности
  2. ^ Кент, Карен; Суппайя, Муругия (сентябрь 2006 г.). Руководство по управлению журналами компьютерной безопасности (отчет). НИСТ. doi : 10.6028/NIST.SP.800-92 . S2CID   221183642 . НИСТ СП 800-92.
  3. ^ «Использование данных журнала для повышения безопасности» . EventTracker SIEM, ИТ-безопасность, соответствие требованиям, управление журналами . Архивировано из оригинала 28 декабря 2014 года . Проверено 12 августа 2015 г.
  4. ^ «5 главных ошибок в журнале — второе издание» . Docstoc.com . Проверено 12 августа 2015 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Log_management&oldid=1209157331"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 4a4b7e6abe69551309c4fa2792264987__1708433940
URL1:https://arc.ask3.ru/arc/aa/4a/87/4a4b7e6abe69551309c4fa2792264987.html
Заголовок, (Title) документа по адресу, URL1:
Log management - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)