ELASTIC STACK 日誌(LOG) 分析與警示

    此組合不存在。


    將伺服器產生的log 資料作集中管理及分析


    隨者網路設備與伺服器大量增加,傳統登入到每台網路設備查看log已經變的不具效率。公司內擁有日誌伺服器(log sever)的好處是,可以將所有設備的log集中管理,並對log產生分析報表或設定警示通知。例如當電子商務網站遭受SQL Injection 攻擊,經由應用程式防火牆收集到攻擊記錄,並傳送到log server。假設log server 設定如有SQL attack 的字眼,將會立即mail通知系統管理人員。或是當網管人員查看mail server report 時,發現寄送郵件數量突然暴增,有可能是某些帳號,正在發送大量垃圾信,這時候就可以到log server 查閱發信來源,即時加以更正。另外一種狀況是程式開發人員發現有不明程式被植入,這時候就可以調閱log server,查看有哪些IP讀取這些不明程式的記錄,可能是駭客試者入侵本機或其他系統並發動攻擊,這時候就可以要求網管人員對此IP作封鎖。

    除了安全的考量外,將設備的log 做分析,也是能發現一些意想不到的好處。例如員工常抱怨上網速度慢,但網管人員卻不知問題出在哪裡,藉由查閱防火牆的網路流量,並分析log,可能就可以查出,有某些電腦中毒,正在發送大量封包到防火牆,拖垮整個網路速度。


    應用

    • 電子商務網站客戶的行為分析,何時是下單量的高峰,又哪些商品被點閱最多次,這都可以讓店家調整商店擺設,讓整體營運價值最佳化。或是當某種網路設備不正常運作,就可以調閱log server 的紀錄作分析,找出影響效能緩慢的原因。
    • 有些駭客入侵會很聰明的移除log 紀錄,所以如果有log server 設置,就可以還原真像。
    • 個資法中對個人資料的保護有明確的規定,公司因為系統 被入侵而洩漏個資,如果沒有log server 做完整分析,可能駭客已將log 移除,無法查出原因。所以log server 可以說是保護個資的最後一道防線,讓公司營運系統能夠留下完整記錄,避免事件發生後,無一有效的工具做查詢及佐證。
    • 在系統遭受攻擊時,網管人員如果能夠第一時間收到警示 e-mail,就可以在防火牆立即阻擋,減少被攻擊成功的機會。很多資安設備可以錄下攻擊紀錄,但沒有即時通知的機制,藉由log server的程式後端分析工具,都可以達到即時警示的目的。
    效益

    貴公司若選擇使用日誌伺服器 (log server) 與分析警示,可協助貴公司:

    • 提高整體資訊安全:
    凡走過必留下痕跡,有了 log server 就可以完整記錄事件發生的過程,對突發事件能做完整的分析與警示。

    • 了解系統效能緩慢的原因:
    很多系統開始出現故障或效能緩慢等原因,其實都會發出一些有參考價值的 log。 網管人員如果可以善用這些log 做分析  ,就可以提前預防硬體失效等意外事件。


    Recently viewed Products