日志運維人員在工作中會遇到哪些問題

日志運維人員在工作中會遇到以下問題：

• 日志太多，太過分散，查看起來不方便。

• 程序采用分布式系統，出現問題的日志不知道在哪臺機器上，需要登錄每臺機器使用命令查看。

• 如果想要統計某個字段的數據，需要登錄每臺機器統計一遍，然后將所有數據相加求和。

• 很難對日志數據進行多維度的關聯分析。

• 因為數據分散在不同的地方，所以做統計性告警比較困難。

• 運維人員直接登錄生產機器查看日志，容易發生誤操作，風險較高。

• 生產磁盤較小，但日志較多且需要保存的時間較長。

日志管理中存在問題的解決方法有以下這些：

• 將日志從原本的設備和系統中剝離出來：犯罪分子總是針對特定的系統和設備，并將他們的相關操作日志移除，以掩蓋自己的行蹤。如果通過工具將日志從設備和系統中導出，并存儲在一個分開、安全的位置，就能夠確保好人依然能夠看到壞人的所作所為。

• 在不同位置記錄日志：在網絡的不同位置進行日志記錄非常關鍵。這樣能幫助調查人員理解攻擊者如何潛入，以及他們在網絡中的行蹤，還有他們在初始入侵之后的意圖。”他提到，“這也能幫助發現哪些系統和數據可能在攻擊中淪陷，然后決定是否有其他系統應該進行犯罪調查。”

• 通過云端防護：但無論是自己保護日志系統，還是在云端，日志備份總是一個好主意，因為攻擊者不總是破壞日志，有時候他們會修改日志，或者通過活動過載等各種方式污染日志內容。

• 在犯罪數據中加入儲存媒介的圖片：許多犯罪調查是通過瀏覽存儲媒介的圖片，而非瀏覽日志解決的。不時對虛擬機截屏并且保存相關圖片，能對攻擊者的行為帶來非常有價值的情報。

• 確保多人具備日志分析能力：確保安全團隊的每個人都有內存分析的能力。大部分惡意軟件都不會直接對磁盤進行寫入，而是直接在內存中運行，因此如果沒有適當的技能和實踐會很難進行分析。I

• 知道哪些日志文件是有幫助的：盡管根據事件的類型，有幫助的文件類別各不相同，但是有一些共性點總是有價值的。所以要能分析出哪些日志是有用的，哪些日志是無用信息這樣既可降低日志分析時間，也可以加快查找攻擊源的速度。

• 測試日志的有用性：不是所有的日志都是被“平等”地創建的，因此最好檢查一下這些日志到底有什么用，特別是在企業真正需要使用這些日志之前。

回答所涉及的環境：聯想天逸510S、Windows 10。