日志集成似乎正处于这样的局面:每个人都在用它,但为什么公司不花费时间和资源来解决它呢?答案是因为它们可能有一个宏大的盲点:大多数利用程序没有做好日志记录。
在这次采访中,SecurityCurve的Diana Kelley与一家世界500强企业的架构师和安全思想领袖James McGovern,就利用程序事件日志管理展开了讨论。McGovern说明了他为什么认为利用程序的日志记录是“最后的边界”。
Diana Kelley:Jim,不是所有的IT专家都已经拥有了集成日志所需的东西并能奇妙地应用它们了吗?
James McGovern:一个拥有工具的“傻子”仍然是一个“傻子”。为了找到安全漏洞而让网络安全工程师来审查利用程序的日志记录反而增加了失败的可能性。为什么呢?因为指使开发者开展工作是一回事,而认为浏览一份全面的文档非常容易又是另外一回事。
一般来说,让开发者知道如何开发安全的代码,比帮助一个网络安全工程师懂得软件开发环境中的日志记录更加容易。
Diana Kelley:你的意思是开发者需要标准?
James McGovern: 是的。如果你关注过甲骨文、惠普、EMC等公司的软件产品,你是不是感到他们都有一个共同的日志记录格式呢?他们并没有这样做!如果以软件开发为主业的公司都没有搞明白这个,我们又怎么能寄盼望于一个大企业呢?我们需要的是一个独立的组织去领导一个跨产业企业联盟,来致力于标准、语义和互通性范畴的发展。
Diana Kelley:在这一点上,我绝对批准你的观点!日志格式的互通性和标准化(包含IETF这样的组织都在着手建立系统记录标准)将对日志管理流程有帮助。首先,通过供给集成解决计划能更有效地收集重要日志数据;其次,帮助解析引擎更好地获得网络和利用程序在现在、未来和过去的信息。
让我们回到很多公司现在正面临的挑衅,以及如何去应对这些挑衅吧。
James McGovern: 首先,你已经有了一个日志管理设备。有多少企业在采购甚至是在撰写需求计划阐明书(RFP)时,会就有关日志管理集成的问题咨询他们的软件供给商呢?这种差距能够通过在采购协议上添加一些可重用的条款来打消吗?
Diana Kelley:非常重要的一点是:日志管理需求不必为每一台新设备或者系统部件的RFP而进行变动。重新利用现有的措辞就可以减少RFP的创立时间,如果措辞得当,还可以保证所需的定义一致。你认为对于企业来说,日志管理最大的用处是什么?
James McGovern:它是我们懂得企业事务的方法。如果我们无法懂得运动和访问,那我们就没有措施懂得其对企业的影响。这听起来简略,但它是非常复杂的。日志记录需要处理访问和运动,否则日志管理就不能很好的解析它。这是因与果的关系。
Diana Kelley:公司应当如何改良呢?
James McGovern: 不要像看待一个报告运动那样看待日志管理,因为我们需要处理的清单和电子表格非常多。更重要的是,我们需要做的不只是为日志中个别的行发出报警,而且需要对其他行也作出反应。例如,如果你刚好为利用程序开发了一个日志管理“文件”,你便可以知道在一个特定的时间段内,平均产生了多少次失败的身份验证事件。懂得次数是否高于或低于平均程度,以便获悉运动的趋势,这样岂不是更有益吗?
Diana Kelley:如果产生断电事故(outages)怎么办?日志管理系统在这方面有没有盲点?
James McGovern: 日志处理断电事故十分出色。通过对商业客户开通危机电话专线,并供给一个可以带来收益的利用程序,我可以确定地说,每个人在存储仓(silos)里胡乱收集一通其实是很不明智的。现在的处理过程包含的只是猜测和一些装腔作势的词汇,与之不同的是,日志记录的是实际产生的事情。如果你要组建一个团队,将实时撰写的报告整合到一起将会是一件非常了不起的事情。
Diana Kelley:最后,你对你的同行有什么话要说吗?
相关阅读