log日志

log日志

log日志的作用

（1）日志存储
日志一经记录，就不会因为系统的正常使用而被修改，这意味着这是一种“永久性”的记录。因此，可以通过日志存储进行调查取证。
取证是在事件发生后重现“发生了什么”的过程。这种描述往往基于不完整的信息，而信息可信度是至关重要的。日志是取证过程中不可或缺的组成部分。
（2）运维故障分析
日志系统详细记录了运维人员的日常运维操作，可通过操作命令回放方式实现日常运维操作重现。对于人为操作故障，通过日志回放分析，可进行操作追溯，定位故障原因。
（3）攻击溯源
网络管理人员采用网络追踪溯源技术，调取并分析时间发生前后一段时间的日志，可以发现攻击者的一系列行为及攻击手段。调取的日志内容包含所发生问题的认证日志、服务器操作日志、攻击事件日志等与安全相关的日志。

日志的特点
日志格式具有多样性：目前国际上尚未制定出统一的日志格式标准，不同厂商根据自身需求制定相应的日志格式。
日志数据量大：由于日志对每一个事件均进行记录，因此，无论是操作系统，还是网络设备都会产生大量的日志记录。
日志信息容易被篡改：计算机系统和相关设备的日志是以文本的形式存储的，并且没有对日志进行有效的保护，网络入侵者可能对日志信息进行篡改或直接删除，因此存在较大的安全隐患。
分析和获取困难：不同设备的日志格式差异很大，部分设备日志信息需要专用的工具才能查看，给日志的分析带来了很大困难。

日志收集的方式
（1）Syslog
Syslog常被称为系统日志或系统记录，是一种用来在互联网协议的网络中传递记录信息的标准。
（2）SNMP Trap
SNMP Trap就是被管理设备主动发送消息给NMS的一种机制。
（3）JDBC/ODBC
JDBC是实现Java应用程序与各种不同数据库对话的一种机制。ODBC与JDBC一样，也是一种重要的数据库访问技术。
（4）文本
由于生成文本系统的成本较低，现有的许多计算机语言都包含了可以生成文本日志的框架。

日志服务器的组网方式：
（1）集中式组网
（2）分布式组网

日志分析的要点

日志分析要点：
Who：是用户还是访客。
When：什么时间。
Where：在什么地点，如位置信息，登录的设备信息，接入的接口信息，访问的服务等。
How：通过什么方式，如通过有线接入，无线接入或者VPN接入。
What：做了什么，如进行的操作行为，使用接入设备，访问的资源服务等。

华为eLog日志存储与转储模型