日志管理中存在的問題有哪些

日志管理中存在的問題:

• 存在海量數據信息孤島:目前，很多企業的日志仍然散落在各種設備上，運維人員在使用日志時需要多方查詢，極其不便。日志中的價值得不到有效挖掘，運維效率極低，而且不能滿足《網絡安全法》對日志管理的要求。

• 日志應用方式原始:很多企業運維人員還在通過多終端方式連接服務器，在目錄中通過grep、vi、awk等命令方式定位問題。如果運行 Windows 系統中的服務就會更加困難，需要打開第三方軟件進行排障。開發人員也面臨同樣的問題，不過開發人員只在項目上線時才關注這些問題。最終，所有的難題都留給了運維人員。一次故障定位過程通常要花費10～30分鐘，甚至更久。

• 存在操作風險與信息泄露:金融行業常見的隱私信息，如身份證號碼、存款賬號、證券賬號、保單號、手機號等信息經常在往來日志報文中傳輸。日志權限管理不善導致客戶信息泄露頻發。用戶登錄操作風險得不到有效規避。

• 信息缺失:當業務系統出現異常時，運維人員往往第一時間去查看日志，有時會發現日志沒有打印完整，原因是開發人員認為打印日志消耗I/O性能，會導致磁盤效率低，常常只打印錯誤日志。很多業務日志及安全設備日志都沒有按照等級保護要求開啟日志級別。很多運維人員也不清楚需要開啟哪種日志級別來滿足日常應用。

• 日志價值未被充分挖掘:很多企業沒有認識到日志的重要性，為了節約成本，有時僅采購一臺功能簡單的工控機作為日志集中存儲的設備。有些設備本身造價很低、穩定性差，經常會因為單機故障導致日志數據無法恢復，結果出現審計時無數據可用的情況。

日志管理中存在問題的解決方法有：

• 將日志從原本的設備和系統中剝離出來：犯罪分子總是針對特定的系統和設備，并將他們的相關操作日志移除，以掩蓋自己的行蹤。如果通過工具將日志從設備和系統中導出，并存儲在一個分開、安全的位置，就能夠確保好人依然能夠看到壞人的所作所為。

• 在不同位置記錄日志：在網絡的不同位置進行日志記錄非常關鍵。這樣能幫助調查人員理解攻擊者如何潛入，以及他們在網絡中的行蹤，還有他們在初始入侵之后的意圖。” 他提到，“這也能幫助發現哪些系統和數據可能在攻擊中淪陷，然后決定是否有其他系統應該進行犯罪調查。”

• 通過云端防護：但無論是自己保護日志系統，還是在云端，日志備份總是一個好主意，因為攻擊者不總是破壞日志，有時候他們會修改日志，或者通過活動過載等各種方式污染日志內容。

• 在犯罪數據中加入儲存媒介的圖片：許多犯罪調查是通過瀏覽存儲媒介的圖片，而非瀏覽日志解決的。不時對虛擬機截屏并且保存相關圖片，能對攻擊者的行為帶來非常有價值的情報。

• 確保多人具備日志分析能力：確保安全團隊的每個人都有內存分析的能力。大部分惡意軟件都不會直接對磁盤進行寫入，而是直接在內存中運行，因此如果沒有適當的技能和實踐會很難進行分析。I

• 知道哪些日志文件是有幫助的：盡管根據事件的類型，有幫助的文件類別各不相同，但是有一些共性點總是有價值的。所以要能分析出哪些日志是有用的，哪些日志是無用信息這樣既可降低日志分析時間，也可以加快查找攻擊源的速度。

• 測試日志的有用性：不是所有的日志都是被 “平等” 地創建的，因此最好檢查一下這些日志到底有什么用，特別是在企業真正需要使用這些日志之前。