日志存档及解析

网络中的每个设备都会生成大量日志数据,日志数据包含有关网络中发生的所有活动的关键信息,存储所有这些数据并对其进行管理对组织来说是一项挑战,因此,这些日志文件被压缩并存储在效率较低的存储介质中,无法轻松检索。这些文件称为非活动日志文件。

日志存档是通过压缩、存档和索引压缩文件以供保留和将来使用,从而有效地存储所有这些非活动日志文件的过程。

在日志存档期间,日志文件将从当前日志路径或镜像日志路径传输到另一个位置,这样可以释放存储当前日志所需的空间,同时使您能够无限期地存储存档日志,意外删除存档文件的可能性较小,因为员工不会定期访问它们。

存储大量数据将有助于满足审计和监管要求,当对网络攻击进行调查时,并确保业务连续性。但是,存储和维护日志文件所需的资源往往会变得昂贵,超过了上述好处。

这是组织必须在安全性和存储需求之间取得平衡的地方。

归档日志并对其进行维护有助于您进行有效的风险管理,提高安全性,并通过恢复归档日志来防止数据丢失。

构建日志存档要考虑的因素

构建和维护日志归档需要相当大的存储空间,因为即使是简单的网络架构也会立即生成大量日志数据,因此,在开始存档过程之前考虑这些问题至关重要。

  • 可以存储多少日志数据?
  • 应该如何组织它们?
  • 需要多久更新一次存档的日志数据,以及检索数据的速度有多快?

应该在日志存档中存储什么

保存有关网络安全和性能的信息的日志应优先存储。以下是您需要存储的一些重要日志事件:

  • 记录符合法规要求所需的事件
  • 管理员活动
  • 用户操作,如登录名和命令
  • 错误、异常和警告

为什么要存档日志

  • 遵守法规:全球监管机构都要求将日志数据保留至少一年,例如,HIPAA 合规性要求组织将日志存储长达 6 年,SOX 法规要求组织将审计日志存储 7 年,等等。一些国家/地区还制定了重要的数据保护法,对违反客户数据保护规定的组织处以巨额罚款。
  • 防止数据丢失:存档的日志文件存储在单独的位置,以保护它们免受任何数据丢失,由于存档文件很少被访问并使用安全 paswords 进行保护,因此意外删除数据的可能性要小得多。
  • 降低成本:活动日志存储在昂贵的存储介质上,例如 SSD,这些介质旨在提高性能,即速度和可用性。存档的日志文件不经常使用,因此可以对其进行压缩并存储在具有成本效益和存储效率的系统中,从而为组织节省大量成本。
  • 提高安全性:存档的日志数据有助于提高网络的安全性。在发生网络攻击时,可以从存档中检索和恢复日志数据,以执行取证分析。进行取证分析是为了确定攻击的证据、数据恢复,并找到允许攻击发生的漏洞,通过对存档日志进行取证分析,可以准确确定网络攻击发生的时间和方式。

在这里插入图片描述

什么是日志解析

日志解析是拆分非结构化日志数据并将其转换为结构化格式的过程,这样可以更轻松地理解、分析和存储日志。

日志解析工具会分析日志并将其拆分为不同的字段,例如日期和时间、事件 ID、类型、级别、源、计算机名称、用户、任务类别和消息,以便于理解。

日志分析的类型

有两种方法可以解析日志:正则表达式(RegEx)和 分隔符日志解析。

正则表达式日志解析

正则表达式(RegularEx)是正则表达式(Regular Expressions)的缩写,它是一种用于模式搜索和替换的领域特定语言。

正则表达式允许您使用将从日志事件中提取数据的模式创建自定义查询。它可以帮助您从非结构化数据中提取日期、时间和日志类型等唯一字段,从而更轻松地对它们进行排序、筛选和处理。

日志解析工具可帮助您在复杂的内置模块的帮助下无缝创建正则表达式模式。

分隔符日志解析

日志在一行中由不同的信息组成,例如日志类型、日期、时间和错误。我们可以借助逗号 (,)、分号 (;)、大括号 ({}) 和竖线 (|) 等分隔符来拆分这些数据。这种类型的分析使对所需数据进行排序和筛选的过程更加高效。

使用分隔符时,不必依赖文本中的固定宽度,分隔符允许您在正确的位置断开日志中的信息,即使信息不对称或遵循某种模式,也有助于对数据进行排序和筛选。

在处理复杂数据时,将带分隔符的字符串转换为数据集的能力非常有益。

日志解析的用途

  • 分析来自单个存储库的日志:从日志文件分析或调试问题是一个繁琐的过程。使用日志解析器,您可以快速组织日志并解决问题。
  • 使用取证分析发现安全漏洞:功能强大的日志解析应用程序可以使用取证分析来搜索大量日志数据,包括通配符、短语和布尔运算符,以及分组搜索和范围搜索。
  • 系统日志分析:更好地理解日志,更好地理解和结构化分类日志将简化日志分析过程。

日志管理工具(EventLog Analyzer)可以自动存档从Windows、Unix或Linux系统、网络设备、数据库、应用程序、服务器等收集的所有事件日志和系统日志。并具有强大的解析功能,可以简化从日志中提取所有相关信息的过程,并帮助管理员轻松了解网络事件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/195010.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

什么是会话固定以及如何在 Node.js 中防止它

什么是会话固定以及如何在 Node.js 中防止它 在深入讨论之前,我们需要了解会话是什么以及会话身份验证如何工作。 什么是会话? 正如我们所知,HTTP 请求是无状态的,这意味着当我们发送登录请求时,并且我们有有效的用…

深度学习YOLO安检管制物品识别与检测 - python opencv 计算机竞赛

文章目录 0 前言1 课题背景2 实现效果3 卷积神经网络4 Yolov55 模型训练6 实现效果7 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 **基于深度学习YOLO安检管制误判识别与检测 ** 该项目较为新颖,适合作为竞赛课题方向&…

本地MQTT协议消息服务远程连接教程介绍

Mosquitto是一个开源的消息代理,它实现了MQTT协议版本3.1和3.1.1。它可以在不同的平台上运行,包括Windows、Linux、macOS等。mosquitto可以用于物联网、传感器、移动应用程序等场景,提供了一种轻量级的、可靠的、基于发布/订阅模式的消息传递…

Redis篇---第四篇

系列文章目录 文章目录 系列文章目录前言一、说一下 Redis 有什么优点和缺点二、Redis 缓存刷新策略有哪些?三、Redis 持久化方式有哪些?以及有什么区别?前言 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章…

高阶数据结构---树状数组

文章目录 楼兰图腾一个简单的整数问题 一个简单的整数问题2谜一样的牛 一、楼兰图腾OJ链接 二、一个简单的整数问题OJ链接 三、一个简单的整数问题2OJ链接 四、谜一样的牛OJ链接

Java基础笔记

1.数据类型在java语言中包括两种: 第一种:基本数据类型 基本数据类型又可以划分为4大类8小种: 第一类:整数型 byte , short,int, long(没有小数的) 第二类:浮点型 float,aouble(带有小数的) 第三类:布尔型 boole…

docker简易入门(极简,纯干货)

简介 Docker是一种容器化平台,它可以用来轻松地创建、部署和运行应用程序和服务。Docker使用容器技术来管理应用程序的运行环境,它将应用程序和服务打包到一个易于移植的容器中,然后在任何地方运行这个容器,无需担心不同环境之间…

在Spring Boot中使用Redis的发布订阅功能

Redis的发布订阅模式是一种消息传递模式,它允许多个订阅者订阅一个或多个频道,同时一个发布者可以将消息发布到指定的频道。这种模式在分布式系统中非常有用,可以解决以下问题: 实时消息传递:发布订阅模式可以用于实时…

接口测试到底怎么做,5分钟时间看完这篇文章彻底搞清楚

01、通用的项目架构 02、什么是接口 接口:服务端程序对外提供的一种统一的访问方式,通常采用HTTP协议,通过不同的url,不同的请求类型(GET、POST),不同的参数,来执行不同的业务逻辑。…

Debezium-Embedded 实时监控MySQL数据变更

1.Debezium-Embedded 简介 Debezium连接器的操作通常是将它们部署到Kafka Connect服务,并配置一个或多个连接器来监控上游数据库,并为它们在上游数据库中看到的所有更改生成数据更改事件。这些数据更改事件被写入Kafka,在那里它们可以被许多不…

【Mysql】Mysql内置函数介绍

🌈欢迎来到Python专栏 🙋🏾‍♀️作者介绍:前PLA队员 目前是一名普通本科大三的软件工程专业学生 🌏IP坐标:湖北武汉 🍉 目前技术栈:C/C、Linux系统编程、计算机网络、数据结构、Mys…

OpenLayer系列——【一】初识OpenLayer与OpenLayer视图操作

初识OpenLayer 1、初始化地图渲染 安装openlayer依赖 npm i ol首先准备一个容器用来渲染地图 <div id"map" ref"map" style"width: 100%; height: 100%" />导入依赖初始化地图 import ol/ol.css; import OSM from ol/source/OSM.js; …

QT使用Socket与安卓Socket互发消息

背景:安卓设备通过usb网络共享给Linux,此时安卓设备与linux处于同一网络环境,符合使用socket的条件,linux做客户端,安卓做服务端 1.QT使用Socket (1).在工程文件中加入 QT network (2).导包以及写一些槽函数用做数据传输与状态接收 #ifndef MAINWINDOW_H #define MAINWINDOW…

AI视频检索丨历史视频标签化,助力重要事件高效溯源

随着科技的不断发展&#xff0c;安全监控已成为我们生活中不可或缺的一部分。当发生盗窃、人员走失、安全事故等重要事件时&#xff0c;常常需要通过查看视频回放了解事情经过&#xff0c;为解决问题提供证据或指明查找方向。但是&#xff0c;人工查看视频回放往往费时费力&…

自定义GPT已经出现,并将影响人工智能的一切,做好被挑战的准备了吗?

原创 | 文 BFT机器人 OpenAI凭借最新突破&#xff1a;定制GPT站在创新的最前沿。预示着个性化数字协助的新时代到来&#xff0c;ChatGPT以前所未有的精度来满足个人需求和专业需求。 从本质上讲&#xff0c;自定义GPT是之前的ChatGPT的高度专业化版本或代理&#xff0c;但自定…

Freeswitch中mod_commonds

mod_commands Table of Contents (click to expand) 0. About1. Usage 1.1 CLI1.2 API/Event Interfaces1.3 Scripting Interfaces1.4 From the Dialplan2. Format of returned data3. Core Commands 3.1 acl  3.1.1 Syntax3.1.2 Examples3.2 alias 3.2.1 Syntax3.2.2…

基于springboot实现校园医疗保险管理系统【项目源码】

基于springboot实现校园医疗保险管理系统演示 系统开发平台 在线校园医疗保险系统中&#xff0c;Eclipse能给用户提供更多的方便&#xff0c;其特点一是方便学习&#xff0c;方便快捷&#xff1b;二是有非常大的信息储存量&#xff0c;主要功能是用在对数据库中查询和编程。其…

立创EDA导出封装给PADS9.5使用

立创EDA导出封装给PADS9.5使用 前言 因为更换了新环境&#xff0c;需要使用PADS9.5进行电路设计&#xff0c;但是因为之前一直使用的是立创EDA、AD18&#xff0c;这会导致原先的元件库丢失&#xff0c;同时无法享受立创EDA丰富的封装库资源&#xff0c;因此记录一下如何将立创…

Linux控制---进程程序替换

前言&#xff1a;前面我们学洗了Linux进程退出的相关知识&#xff0c;了解了什么是进程退出&#xff0c;已经进程等待的相关话题&#xff0c;今天&#xff0c;我们来学习Linux中的进程程序替换&#xff0c;进程程序替换在Linux中可以用于实现新程序的启动、程序升级、多进程程序…

【数据结构高阶】二叉搜索树

接下来我们来开始使用C来详细讲解数据结构的一些高阶的知识点 本期讲解的是二叉搜索树&#xff0c;对于初阶二叉树有所遗忘的同学可以看到这里&#xff1a; 【精选】【数据结构初阶】链式二叉树的解析及一些基本操作 讲解二叉搜索树主要是为了后面的map和set做铺垫&#xff…