日志系統在應用中的重要作用

　日志系統管理的意義
?
　　在一個完整的信息系統里面，日志系統是一個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為，并按照某種規范表達出來。我們可以使用日志系統所記錄的信息為系統進行排錯，優化系統的性能，或者根據這些信息調整系統的行為。在安全領域，日志系統的重要地位尤甚，可以說是安全審計方面最主要的工具之一。

　　日志系統概覽

　　按照系統類型進行區分的話，日志系統可以分為操作系統日志、應用系統日志、安全系統日志等等。每種操作系統的日志都有其自身特有的設計和規范，例如Windows系統的日志通常按照其慣有的應用程序、安全和系統這樣的分類方式進行存儲，而類似Linux這樣的各種Class UNIX系統通常都使用兼容Syslog規范的日志系統。

　　而很多硬件設備的操作系統也具有獨立的日志功能，以Cisco路由器為代表的網絡設備通常都具有輸出Syslog兼容日志的能力。應用系統日志主要包括各種應用程序服務器（例如Web服務器、FTP服務器）的日志系統和應用程序自身的日志系統，不同的應用系統都具有根據其自身要求設計的日志系統。安全系統日志從狹義上講指信息安全方面設備或軟件如防火墻系統的日志，從更廣泛的意義上來說，所有為了安全目的所產生的日志都可歸入此類。

　　日志管理工作綜述

　　我們的主人公Mike是個安全管理員，他獨立負責公司所有計算機設施的安全事務。雖然公司的設備還不算太多，但是系統倒是非常豐富，公司自己的網站基于SQL Server數據庫進行編程，運行在一臺運行著IIS的Windows服務器上，而公司的FTP服務則通過Linux系統下的WU-FTPD程序實現。

　　在公司與Internet的邊界處放置著一臺硬件防火墻，Web服務器就接在這臺防火墻的DMZ端口上，而仍然是為了工作方便的原因，提供FTP服務的Linux機器放置與公司的內部網絡上。到目前為止，所有的安全管理工作有條不紊地進行著，而這其中相當一部分是自動實現的。收集和閱讀各種系統日志占據了Mike日常安全管理工作的相當比重，我們首先來看看Mike是如何完成這一切的。

　　Mike主要處理的日志包括了公司網站服務器上的Windows系統日志、IIS服務器軟件生成的日志以及SQL Server日志，Linux服務器上的系統日志以及FTP服務日志，另外還包括公司防火墻的日志。當然了，內網所有的機器日志也在Mike的管轄范圍之內，但是在Mike的計劃里這些日志的優先級較低，在主要日志得到妥善處理之后，Mike不定期的對這些日志進行審閱工作。

　　對于Web服務器上的所有日志，Mike改變了其默認的存儲位置，并將其放置在服務器上專設的一個NTFS分區上。這樣做可以更好的進行管理和控制，而且將其放置在IIS所運行的分區之外，可以給攻擊者造成一些障礙，將文件放置在NTFS分區則主要是為了進行訪問權限的控制。因為Windows系統日志很難被刪除但對其進行清除卻非常容易，所以Mike需要對日志的清除包括篡改進行盡量嚴格的控制。

　　Mike自己撰寫了一些Windows腳本，定期將這些日志復制到自己的Windows工作站下，而很少直接使用Web服務器上的日志文件。Linux服務器上的日志也應用了相似的權限控制，Mike在自己的工作站上運行了一個叫做Kiwi Syslog Daemon的程序，接收Linux服務器產生的所有Syslog規格的日志，這個守護程序也能夠接收公司防火墻的日志歸檔。

　　Mike每天獲取一次所有的日志文件，并對這些日志執行一些自動的檢查工作。基本檢查工作一般是在日志文件中按照可能存在的安全風險進行相應的搜索，例如我們的Web日志中如果出現了包含cmd.exe的記錄，說明很可能有攻擊者或者蠕蟲病毒在試探是否可以利用IIS的一些進行非法操作。值得注意的是，對于文本格式的日志文件，我們通過基本的Find命令就可以執行這樣的搜索。而對于使用二進制格式存儲的日志文件，執行這種檢查會復雜一些，通常需要利用日志系統本身的閱讀程序進行讀取或解碼。這需要管理員非常熟悉所維護系統相關的安全漏洞，以及相應系統下的腳本編寫技術，但是在這些方面付出汗水是絕對值得的，至少像Mike這樣維護如此多系統還有時間閱讀技術類雜志是很讓人羨慕的。

　　這些日常的工作雖然能阻擋不少惡意訪問行為，但這并不是一個安全管理員生活的全部，還是有很多問題會安然通過這些檢測，對系統形成破壞。從本質上來講，自動化的處理是相對粗粒度的，主要起到過濾沒有意義的干擾信息，有效降低管理員工作負荷的作用。在日常監測之外，也應該每隔一段時間對這些日志進行更細致的審查。在新漏洞出現時，Mike都會針對漏洞的特征進行日志檢查，并及時的將攻擊指紋更新到自動化檢查腳本中。

?