要使用内存和硬盘的空间。你需要了解可用的日志选项,在记录一切和全不记录之间选择最佳的平衡点,以便记录对你有价值的数据。
信息过载
一旦你收集完日志数据,这个挑战就是如何有效地利用这些数据。位于新泽西州Edison的netForensics公司安全战略家Anton Chuvakin指出:“一旦技术合适和收集完日志,就需要实施一个监测程序并且评估行动中的陷阱和可能的升级。
网络和安全管理员经常花费时间建立日志数据收集,但是,他们没有处理这些数据或者没有现成的资源来监测和分析那些数据。因为没有人监测这些日志数据,有关网络侦察或者潜在的攻击的信息也许会被忽略而失去时效。
当安全事件发生时,查看日志数据也许可以确定事件发生的时间。但是,在很多情况下,需要查看的数据量太大,人们没有经过技术培训或者不会查看这些数据,有日志数据也没有意义了。
现在,有安全事件管理(SEM)应用软件等一些工具专门用于监测安全事件并且使用某些逻辑或者过滤器帮助管理员获取有意义的数据。页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
