日志系统承担着整个信息基础设施中感觉器官的作用,一个完善的、工作良好的体系需要在正确的地点部署日志采集工具,这些日志信息被汇总之后体现了整个设施的全貌。
在一个信息体系当中,一个必要的组成部分就是对整个信息设施进行监控,以获得必要的信息素材,用以指导管理工作的开展。
这些信息或者用于记录系统设置的改变,发现潜在的安全威胁,又或者用于证明某些事件的发生。为了最大限度的提高整个体系的有效性,无论是厂商还是用户都在竭力收集信息。
黄金还是蚁穴?
事实上,在很多案例中可以发现,一个企业的网络管理员每天有接近一半的时间被花费在处理信息上面,而这可能只是例行的日志阅读工作,他们往往还需要抽出一些时间(甚至加班)来对这些信息进行深入的分析,以发现系统中的不合理或不安全。
当管理员在这些信息中疲于奔命时,一个非常可能发生的结果就是被这些信息“淹没”,他们将没有时间执行真正有意义的工作,将无法发现存在的问题也无法有足够的时间响应用户的各种请求,企业的信息管理形同虚设。
这是一种杞人忧天吗?绝不,这种现象好似“蚁穴”,这样比喻并不是指其小或轻微,而是在于人们对其漠视的态度。在很多情况下这类信息过载问题都被忽略了,结果就是一些看起来非常勤奋的工作人员和一大堆随时可能摧毁企业经济利益的炸弹。
从宏观的角度来看,尽可能收集信息对信息管理确实具有非凡的意义,这也是信息管理工作的重要基础,但是如何更好地管理和利用这些信息,无疑是个值得重视的问题。信息管理者必须以正确的态度和方法,应用正确的技术和工具,在海量的信息当中淘出黄金。
“通用”日志系统
日志系统承担着整个信息基础设施中感觉器官的作用,一个完善的、工作良好的体系需要在正确的地点部署日志采集工具,这些日志信息被汇总之后体现了整个设施的全貌。
从目前的情况来看,Syslog(系统日志)这一历史悠久的日志系统仍旧占据着最主流的地位。由于与Class UNIX平台之间的渊源,Syslog是在实际应用环境中最容易获得的日志系统。
同时,还有很多的基于Syslog的扩展产品存在,这其中也包括大量基于UNIX平台构建内核的网络硬件设备,这些设备往往都内置了Syslog功能支持,例如Cisco路由器就是如此。
Syslog的应用具有一些显著的优势,除了能够像所有日志系统一样完成记录审计的工作之外,Syslog作为一种事实上的标准可以将不同架构的软硬件设施整合起来,让用户形成对一个应用系统的全面了解。
Syslog提供一些分类的基本方法以缓解管理员的信息过载问题,例如Syslog可以依照采集源、重要等级等要素被区分成不同的类别,这可以帮助管理员优先处理那些更有意义的日志信息。
