計算機、網絡和其他IT系統生成審計跟蹤記錄或記錄系統活動的日誌。日誌分析是對這些記錄的評估，幫助公司緩解各種風險並滿足合規性法規。

　　日誌分析如何工作？

　　日誌通常由網絡設備、應用程序、操作系統以及可編程/智能的設備創建。包含按時間順序排列的，並存儲在磁盤、文件或日誌收集器之類的應用程序中的消息。

　　分析人員需要確保日誌涵蓋完整的消息範圍，並根據上下文進行解釋。應使用相同的術語對日誌元素進行規範化，以避免混淆並保證內聚性。例如，一個系統可能使用“警告（warning）”而另一個系統使用“關鍵（critical）”。確保術語和數據格式同步將有助於簡化分析並減少錯誤。規範化還可確保不同來源的統計數據和報告有意義且準確。

　　收集、清理和結構化日誌數據後，可以對其進行適當分析，以檢測模式和異常情況，如網絡***。

　　用於日誌分析的案例

　　日誌分析有幾個不同的用途：

　　遵守內部安全政策和外部法規、審計

　　理解、響應數據泄露和其他安全事故

　　對系統，計算機或網絡進行故障排除

　　了解用戶的行為

　　在進行調查時取證

　　如果公司希望拿到完全符合法規的認證，則需要進行日誌分析。不僅如此，日誌分析還可以幫助公司在嘗試診斷問題、解決問題或管理其基礎架構/應用程序時節省時間。

　　日誌分析軟件

　　可以為幾乎任何事物生成日誌：CDN流量，數據庫查詢，服務器正常運行時間，錯誤等等。日誌分析工具可幫助您從日誌中提取數據並查找趨勢和模式，以指導您的業務決策，調查和安全規則。這些工具可幫助您制定由數據驅動的決策，對系統管理員、網絡管理員、DevOps、安全專業人員、Web開發人員和可靠性工程師尤其有用。

　　日誌分析的最佳實踐

　　日誌分析是一個復雜的過程，包括以下技術和處理過程：

　　1.模式檢測和識別：根據模式冊過濾消息。了解數據中的模式可以輔助檢測異常。

　　2.規範化：將不同的日誌元素轉換為相同的格式。

　　3.標記和分類：使用關鍵字標記日誌元素並將其分類為多個類，以便您可以過濾和調整顯示數據的方式。

　　4.相關性分析：整理不同來源和系統的日誌，並對與特定事件相關的有意義的消息進行排序。相關性分析有助於發現單個日誌中不可見的數據之間的連接，尤其是因為存在多個安全事故記錄。例如，如果您剛剛經歷過網絡***，則相關性分析會將您的服務器、防火墻、網絡設備和其他來源生成的日誌放在一起，並查找與該特定***相關的消息。警報與此相關，因為您從相關性分析中收集的數據可以幫助您在日誌中出現某些模式時制作警報。

　　5.故意忽略：是一種機器學習過程，用於識別和“忽略”無用的日誌條目並檢測異常。它將忽略常規日誌消息，例如常規系統更新，但允許檢測新標誌或異常消息，並標記好以供調查。故意忽略也可以提醒你應該發生但不會發生的例行事件。

　　除了這些技術和過程之外，日誌數據應該以有意義的方式集中化和結構化，以便人們可以理解它們並由機器學習系統解釋。通過聚合各種來源的所有日誌數據，您可以將日誌關聯起來，以更輕松地查明相關趨勢和模式。在所有系統組件（包括基礎架構、應用程序和最終用戶客戶端）上實踐端到端日誌記錄，以獲得完整的概述。

　　日誌分析是監視和警報、判斷安全政策合規性、審計和法規遵從性、安全事件響應甚至取證調查的重要功能。通過分析日誌數據，企業可以更輕松地識別潛在威脅和其他問題，找到根本原因，並啟動快速響應機制以降低風險。

日誌分析——從概念到應用