應(yīng)用程序事件日志管理:最后的邊界?
日志集成似乎正處于這樣的局面:每個(gè)人都在用它,但為什么公司不花費(fèi)時(shí)間和資源來(lái)解決它呢?答案是因?yàn)樗鼈兛赡苡幸粋€(gè)巨大的盲點(diǎn):大多數(shù)應(yīng)用程序沒(méi)有做好日志記錄。
在這次采訪(fǎng)中,SecurityCurve的Diana Kelley與一家世界500強(qiáng)企業(yè)的架構(gòu)師和安全思想***James McGovern,就應(yīng)用程序事件日志管理展開(kāi)了討論。McGovern解釋了他為什么認(rèn)為應(yīng)用程序的日志記錄是“***的邊界”。
Diana Kelley:Jim,不是所有的IT專(zhuān)家都已經(jīng)擁有了集成日志所需的東西并能巧妙地運(yùn)用它們了嗎?
James McGovern:一個(gè)擁有工具的“***”仍然是一個(gè)“***”。為了找到安全漏洞而讓網(wǎng)絡(luò)安全工程師來(lái)審查應(yīng)用程序的日志記錄反而增加了失敗的可能性。為什么呢?因?yàn)橹甘归_(kāi)發(fā)者開(kāi)展工作是一回事,而認(rèn)為閱讀一份全面的文檔非常容易又是另外一回事。
一般來(lái)說(shuō),讓開(kāi)發(fā)者知道如何開(kāi)發(fā)安全的代碼,比幫助一個(gè)網(wǎng)絡(luò)安全工程師了解軟件開(kāi)發(fā)環(huán)境中的日志記錄更加容易。
Diana Kelley:你的意思是開(kāi)發(fā)者需要標(biāo)準(zhǔn)?
James McGovern: 是的。如果你關(guān)注過(guò)甲骨文、惠普、EMC等公司的軟件產(chǎn)品,你是不是覺(jué)得他們都有一個(gè)共同的日志記錄格式呢?他們并沒(méi)有這樣做!如果以軟件開(kāi)發(fā)為主業(yè)的公司都沒(méi)有搞清楚這個(gè),我們又怎么能寄希望于一個(gè)大企業(yè)呢?我們需要的是一個(gè)獨(dú)立的組織去領(lǐng)導(dǎo)一個(gè)跨產(chǎn)業(yè)企業(yè)聯(lián)盟,來(lái)致力于標(biāo)準(zhǔn)、語(yǔ)義和互通性領(lǐng)域的發(fā)展。
Diana Kelley:在這一點(diǎn)上,我絕對(duì)同意你的觀(guān)點(diǎn)!日志格式的互通性和標(biāo)準(zhǔn)化(包括IETF這樣的組織都在著手建立系統(tǒng)記錄標(biāo)準(zhǔn))將對(duì)日志管理流程有幫助。首先,通過(guò)提供集成解決方案能更有效地收集重要日志數(shù)據(jù);其次,幫助解析引擎更好地獲得網(wǎng)絡(luò)和應(yīng)用程序在現(xiàn)在、未來(lái)和過(guò)去的信息。
讓我們回到很多公司現(xiàn)在正面臨的挑戰(zhàn),以及如何去應(yīng)對(duì)這些挑戰(zhàn)吧。
James McGovern: 首先,你已經(jīng)有了一個(gè)日志管理設(shè)備。有多少企業(yè)在采購(gòu)甚至是在撰寫(xiě)需求方案說(shuō)明書(shū)(RFP)時(shí),會(huì)就有關(guān)日志管理集成的問(wèn)題咨詢(xún)他們的軟件供應(yīng)商呢?這種差距能夠通過(guò)在采購(gòu)協(xié)議上添加一些可重用的條款來(lái)消除嗎?
Diana Kelley:非常重要的一點(diǎn)是:日志管理需求不必為每一臺(tái)新設(shè)備或者系統(tǒng)部件的RFP而進(jìn)行變動(dòng)。重新利用現(xiàn)有的措辭就可以減少RFP的創(chuàng)建時(shí)間,如果措辭得當(dāng),還可以保證所需的定義一致。你認(rèn)為對(duì)于企業(yè)來(lái)說(shuō),日志管理***的用處是什么?
James McGovern:它是我們了解企業(yè)事務(wù)的方式。如果我們無(wú)法理解活動(dòng)和訪(fǎng)問(wèn),那我們就沒(méi)有辦法了解其對(duì)企業(yè)的影響。這聽(tīng)起來(lái)簡(jiǎn)單,但它是非常復(fù)雜的。日志記錄需要處理訪(fǎng)問(wèn)和活動(dòng),否則日志管理就不能很好的解析它。這是因與果的關(guān)系。
Diana Kelley:公司應(yīng)該如何改進(jìn)呢?
James McGovern: 不要像對(duì)待一個(gè)報(bào)告活動(dòng)那樣對(duì)待日志管理,因?yàn)槲覀冃枰幚淼那鍐魏碗娮颖砀穹浅6唷8匾氖牵覀冃枰龅牟恢皇菫槿罩局袀€(gè)別的行發(fā)出報(bào)警,而且需要對(duì)其他行也作出反應(yīng)。例如,如果你剛好為應(yīng)用程序開(kāi)發(fā)了一個(gè)日志管理“文件”,你便可以知道在一個(gè)特定的時(shí)間段內(nèi),平均發(fā)生了多少次失敗的身份驗(yàn)證事件。了解次數(shù)是否高于或低于平均水平,以便獲悉活動(dòng)的趨勢(shì),這樣豈不是更有益嗎?
Diana Kelley:如果發(fā)生斷電事故(outages)怎么辦?日志管理系統(tǒng)在這方面有沒(méi)有盲點(diǎn)?
James McGovern: 日志處理斷電事故十分出色。通過(guò)對(duì)商業(yè)客戶(hù)開(kāi)通危機(jī)電話(huà)專(zhuān)線(xiàn),并提供一個(gè)可以帶來(lái)收益的應(yīng)用程序,我可以肯定地說(shuō),每個(gè)人在存儲(chǔ)倉(cāng)(silos)里胡亂收集一通其實(shí)是很不明智的。現(xiàn)在的處理過(guò)程包含的只是猜測(cè)和一些裝腔作勢(shì)的詞匯,與之不同的是,日志記錄的是實(shí)際發(fā)生的事情。如果你要組建一個(gè)團(tuán)隊(duì),將實(shí)時(shí)撰寫(xiě)的報(bào)告整合到一起將會(huì)是一件非常了不起的事情。
Diana Kelley:***,你對(duì)你的同行有什么話(huà)要說(shuō)嗎?
James McGovern: 日志管理不只是和安全有關(guān)系。假設(shè)你有能力收集從防火墻到應(yīng)用程序的日志,你就可以分析關(guān)于公司十大業(yè)務(wù)伙伴的客戶(hù)體驗(yàn)。當(dāng)然,在真正了解客戶(hù)體驗(yàn)方面,目前的網(wǎng)絡(luò)報(bào)告和其他粗放的方法做得還不夠。精心設(shè)計(jì)的應(yīng)用程序日志理應(yīng)將客戶(hù)體驗(yàn)考慮進(jìn)去。
【編輯推薦】
