现今的商业环境中，数据资源是驱动企业向正确方向发展的源泉。例如，零售商需要根据用户行为数据获取更多销售订单，CEO 需要根据企业之前的运作数据做出有效的决策。同样的，IT 安全专家需要根据IT 网络日志数据基础架构收集到的数据，让网络安全远离威胁、攻击和破坏。大多数企业的IT 基础架构都会包括网络设备（路由器、交换机、防火墙等），系统（Windows、Linux 等）和收集大量日志数据的关键业务应用程序。

日志数据如蕴含黄金的矿厂，对安全威胁提供强大的洞察力和安全情报——但这仅仅是在日志数据实时监控和分析时有效。高效的日志数据管理可以帮助IT 安全管理人员减少复杂的网络攻击，识别安全事件的原因、监控用户活动、防止数据泄露，以及满足常规安全性要求。但是没有适当的日志管理策略和流程，IT 安全管理人员在确保企业免受攻击和破坏时，肯定会面临巨大的挑战。

下面，我们将介绍高效的IT 安全管理人员在管理日志数据时应采用的8 种习惯。这些日志管理习惯在本质上是相通的，它可以帮助IT 安全管理人员利用日志数据的力量有效地保护其网络安全。

习惯之1：使用自动化的用户日志管理工具

分析日志数据是IT 安全管理人员面临的巨大挑战。手动监控和分析日志数据是不现实的，因为日志数据值非常巨大，这个过程很容易发生人为错误。因此，IT 安全管理人员需要依靠自动化日志管理解决方案，分析由网络基础架构产生的巨大数量的日志数据。

使用自动化日志管理工具，IT 安全管理人员可以实时获得安全情报。使用自动化日志管理解决方案，当应用、系统和设备发生异常情况，IT 安全管理人员可以实时收到通知。仅仅几秒，自动日志管理工具可以对用户行为、网络异常、系统宕机、违反政策、内部威胁等提供强大的参考。

习惯之2：集中收集日志数据

从异构数据源收集日志数据——Windows、Unix、Linux 及其他系统；应用程序、数据库、路由器、交换机、防火墙等。对于IT 安全管理人员来说，对日志管理的安全防护是一项艰巨的任务。使用多种日志管理工具收集和分析来自数量众多的设备、系统和应用程序不同格式的日志，这可不是一家公司高效管理日志的方法。

IT 安全管理人员需要配置单个日志管理工具，帮助他们从各种来源解读各种日志格式。IT 安全管理人员应该选择具有通用日志收集特性的日志管理工具，这个特性使企业能够从各种来源收集和分析各种格式的日志数据。集中收集日志数据，使IT 安全管理人员能够查看网络上发生的活动，从而及时地形成有效的安全策略。

习惯之3：保持审计状态，准备就绪的安全报表

每个企业都需要遵守他们自己的内部安全政策或外部监管机构政策，如PCI DSS、SOX、FISMA、ISO27001 和HIPAA。当涉及到外部审计时，IT 安全管理人员必须集中精力满足外部机构制定的需求，并确保合规审计人员以尽可能小的工作量完成他们的工作。单凭对合规审计人员的口头保证远远不够。安全报表必须准备充分，并且用适当的日志数据和使用的日志管理工具来备份报表。

习惯之4：执行日志取证调查

网络问题在日志数据中都可以找到答案。攻击者往往都会留下痕迹，而你的日志数据可以帮助你识别漏洞的原因，甚至告诉你是谁发起了攻击。此外，日志数据取证分析报表可以用作法庭证据。手动搜索日志来查找网络问题的原因，或者在事件中发现规律，就像大海捞针一般。

当IT 安全管理人员真正找寻问题答案时，得到答案却十分困难。但是如果有了正确的日志取证策略和工具，他们就能得到问题的答案。日志取证工具搜索功能可以帮助管理员进行调查，这样可以帮助他们快速找到和修复网络问题和异常行为。日志搜索功能可以让IT 安全管理人员在整个网络基础架构中进行搜索。

习惯之5：主动应对安全威胁

为了解除复杂的网络攻击，IT 安全管理人员必须对网络基础架构的日志数据进行实时关联。日志数据关联功能可以让IT 安全管理人员在多个日志源同时处理数百万个事件，以增强网络安全性，在攻击或破坏发生之前，主动检测网络上的异常事件，实时事件关联性主动应对威胁。为了防止安全威胁，IT 安全管理人员依靠日志相关工具来加速对网络事件的监控和分析。

有了数据相关性分析工具，IT 安全管理人员不需要花几个小时手动跟踪可疑的网络行为。日志数据相关性自动检测并提供关于漏洞、网络用户活动、策略违规、网络异常、系统停机时间和网络安全威胁的实时告警。

习惯之6：跟踪用户活动

当您信任的员工和用户有权限访问业务关键的应用程序、设备、系统和文件时，会有意无意地引发盗取数据、中断或系统崩溃。IT 安全管理人员必须通过监视日志数据实时跟踪整个IT 基础架构中的用户活动。日志数据包含关键网络资源上发生的活动完整的审计跟踪。IT 安全管理人员需要利用日志数据审计跟踪来获得用户的实时活动，找到关于“谁、什么、哪里和如何”的答案。

习惯之7：数据归档和保证日志数据安全

日志归档是企业满足合规性要求所必须完成的任务。日志归档依赖于企业所需遵守的政策和合规性法则。日志归档周期根据合规性审计的不同而有所不同。例如，PCI DSS 要求存档一年，HIPAA要求存档七年，而FISMA 要求存档三年。日志归档的另一个原因是日志取证调查，如习惯之4 中所述。

归档日志数据必须保护不被更改，以保证其真实性。IT 安全管理人员应该对日志数据进行加密，并通过哈希算法和时间戳防止日志被篡改，以便将来进行取证分析、合规性或内部审计。

习惯之8：持续监控和回顾日志数据

IT 安全管理人员应该将监控和回复日志数据作为常规工作。上述的七个习惯都是为了实现第八个习惯。日志管理不是保护网络的一次性工作。为了让您远离网络威胁，它应该是一个持续的过程，在这个过程中，日志数据必须进行实时收集、监控和分析。

结论

大多数企业都由众多的系统、设备和应用程序组成，每个系统生成的日志数据对于检测异常行为、威胁、漏洞、安全事件、政策违规、用户活动等等都是至关重要的。利用日志数据，IT 安全管理人员通过主动地网络威胁防御措施，可以大大地提升企业的整体安全态势。IT 安全管理人员应将8个日志管理习惯付诸实践，这样他们就可以从日志数据中获取有意义的、可操作的信息和安全情报。

Eventlog Analyzer 是用来分析和审计系统及事件日志的管理软件，能够对全网范围内的主机、服务器、网络设备、数据库以及各种应用服务系统等产生的日志，进行收集和细致分析，通过统一的控制台进行实时可视化的呈现。通过定义日志筛选规则和策略，帮助IT 管理员从海量日志数据中精确查找关键有用的事件数据，准确定位网络故障并提前识别安全威胁，从而降低系统宕机时间、提升网络性能、保障企业网络安全。登录https://www.manageengine.cn/products/eventlog 可以免费试用并申请相关的技术支持！

关注微信

电话：4006608680

网址：www.manageengine.cn