有很多类型的日志 要监控和管理的数据,但最重要的是什么 记录追踪?这些是每个IT团队应该是的四种日志数据类型 坚持以防万一。

在一个 最近的播客,Jim Cashman与前四种类型的日志数据交谈,每个IT团队应该跟踪。 此讨论涵盖了管理员应该收集的日志,为什么要专注于这些日志以及专门用于了解信息安全性的原因。这是一个建立日志管理解决方案的Sysadmin的一个很好的答案,观看日志滚动,然后询问“确定,所以现在是什么?” 

Jim Cashman认为你应该始终从基础开始。

“我总是开始考虑人们保留数据的服务器。让我们使用Windows Server的规范示例。 Windows在标准系统日志中记录很多东西,这是一个很好的开始。“了解日志监视最佳实践以使数据安全性受益。 读 this free eBook.

1.登录尝试失败

Jim表示您应该在观看和存储这些日志,以便合规原因如果没有。例如,登录尝试失败是错误的错误。失败的登录尝试大部分时间都可以是良性的。但是,如果有许多登录尝试在短时间内失败,则这可能是攻击者正在尝试分解为系统的指示。

由于计算机已经存在,“自从电脑已经存在,人们总是胖于他们的密码输入。但它也可以举起一项齐心协力来试图打破某人的密码。“

2.防火墙和入侵检测设备

日志从 安全工具(例如入侵检测设备和防火墙)可以在业务中呈现关于安全系统的安全性和整体健康的多种数据。您应该始终考虑您的防火墙是外部威胁的第一墙,因此这里的日志是基本必需品。当然,这几天最先进的持续威胁可以完全绕过防火墙,甚至抗病毒都无法接受所有恶意活动。

吉姆说,如果您的行业规定在审计或数据泄露的情况下,您的记录是您的记录或更长时间,您应该持续一段时间,无论您的记录是否需要几周,都应持续一段时间。 

在管理此日志数据时,Jim Notes内存和存储便宜。但是,它不是没有后果。 “你仍然必须管理它,你仍然需要跟踪一切,所以它不是没有成本的。”

3.交换机和路由器

基本网络设备都提供日志数据。尽管这种类型的日志数据可以看起来无关紧要,但您仍然需要监控它。

“您需要能够通过您的组织从服务器,通过防火墙,通过交换机和路由器来记录整个数据链。”

监控这些类型的网络设备的配置更改也存在重要性。配置的变化可以肯定地显示Sysadmins正在进行工作,或者如果不是。

吉姆解释说:“如果您已经更改了控制策略,并且它们不会遵循这些更改的控制策略,并且在您没有授权的交换机和路由器上发生了一些更改,或者不知道,它可以告诉您你有一些无辜的,但不专职的行为继续,或者一些邪恶的行为进行。“

吉姆说这些变化可能是灾难性的。例如,如果在设备中进行配置更改并且发生在触摸网络时,并且如果没有一种简单的方法来恢复到以前的状态,则会陷入困境。了解日志监视最佳实践以使数据安全性受益。 读 this free eBook.

4.应用程序日志

应用程序日志可以具有自己的强大日志功能,而一些使用Windows的应用程序日志部分。 Microsoft允许许多应用程序捎带在Windows内的日志基础架构上。

一个很好的例子是如果受保护的医疗数据正在进行应用程序。通常,应用程序日志通常会显示Windows日志将显示的许多相同的东西。

“让我们说系统有自己的用户数据库和那种东西。它会展示登录和休息。它将展示[用户]遍历的地方,窗口和那种东西。他们跑了什么样的搜索。这完全取决于可用的日志数量。“

这些是IT团队应定期监视和管理的四个基本日志。吉姆继续说,如果您在过去给您问题的系统时,它将打开该特定系统的日志记录功能是有意义的,以便跟踪错误并从中学习。边缘案例可以随时突破,所以知道您正在跟踪日志数据的舒适度在帮助您和您的IT团队迅速评估和评估任何特定情况。

资源: //blog.ipswitch.com/four-types-of-log-data-to-manage-and-monitor