隨著數據中心規模增長,有效合理管理服務器日志變得越來越重要。服務器、防火墻、應用程序甚至是交換機設備的事件日志可以為IT管理員分擔許多工作壓力,而不是忙于救火--若正確管理日志,工程師們完全可以建立一個主動的可用性監控與控制環境,預防問題產生。現在就讓我們來回顧一些有效利用服務器日志數據的技巧與秘訣。
日志管理最佳實踐與秘訣
借助有效日志管理,管理員可以完成如下任務:
·創建用于取證分析的審計追蹤。時常會遇到可疑入侵或數據丟失事件。良好的審計追蹤可以讓數據中心審計工程師獲知誰在最近登錄了環境,并將這些數據整理成可用信息。
·管理與監控入侵。主動服務器日志監控可以預防事故或針對系統的惡意入侵。當日志有效生成后,所有重要系統都會納入監控,任何未授權的活動一旦發生,告警系統將立刻將其標識為紅色狀態。
·事件抑制。如果數據中心內發生了未授權事件,日志告警設置將通知工程師們快速對其做出反應。通過良好的日志管理,工程師們可以快速定位問題所在并將網絡或服務器隔離,防止問題進一步擴大。
·主動保護數據中心環境。基線分析與日志管理工具可以幫助組織在安全策略方面更加主動。通過捕獲安全漏洞或系統中存在的問題,工程師們可以在問題變得更嚴重前解決。這樣的做法與簡單的給服務器打補丁或因為沒有正確配置日志監控而造成數據丟失相比,具有極高預見性。
·實時告警配置。數據中心是IT運維的核心業務。日志管理相當重要,盡管如此,同樣重要的還包括訪問與監控實時警報的能力。通過良好的告警機制,管理員可以獲知環境中所發生的情況并及時解決,不再浪費時間。若遭遇入侵或嚴重事故,爭分奪秒是十分必要的。
·管理活動網絡日志并建立使用基線。日志可以作為未來環境規劃的參考。例如,網絡日志可以用來為當前環境建立使用基線。以此為基準,工程師可以判斷他們是否缺乏資源或應該如何有效規劃規模增長。
·創建實時的日志工作簿以應對IT需求變化。保持一個活動日志簿可以追蹤當前環境中的所有日志。通過了解這些系統所承擔的負載,明白其性能峰值/谷值,并了解服務器利用率狀況,可以讓工程師們根據業務需求變化而精簡其基礎設施。活動日志工作簿可以讓未來的數據中心工程師觀察與學習整個環境是如何運作的。
明白每個環境都是獨一無二這點十分重要,不同數據中心包含不同設備,日志管理需要針對這些差異。因管理要求可能需要數據中心將日志保存一定的期限。
其他要求還可能包括建立審計追蹤以滿足如SOX或HIPPA--這對許多企業來說是愈加重要的流程規范,而且可能因為無效的日志管理流程而產生嚴重負債,無論是有形還是無形資產。這可能包括數據丟失,安全漏洞,或增加數據中心環境風險。
通過分析日志數據,企業可以很容易發現一些數據對IT與整個運維的影響。正確日志數據可以幫助工程師管理整個環境并確保系統與基礎設施安全。例如,網絡交換機日志可以現實其還可通過優化,以支持某個存儲區域網絡。通過日志分析與報表工具持續收集的信息同樣可以幫助企業判斷現有的環境是否安全,同時降低在大量應用審計與恢復評估上的開銷。通過保證日志環境的健康與數據及時更新,工程師們收集需要的重要信息來評估與分析網絡、系統與應用程序的健康狀況與可訪問性。
雖然最佳實踐可能由各自獨立的組織基于自身特定開發,但同樣有許多共同之處值得借鑒與應用。
靈活利用第三方工具。通常工程師小組會購買服務器日志管理工具,然而卻從未正確使用過。舉例來說,在進行購買之前,需要先對現有基礎架構進行盤點。通過盤點結果,工程師們應該能確定日志管理工具是否能夠支持當前環境中各種設備的日志管理。確保理解自身的日志管理需求--以及你想從中獲得的內容--以上問題需要在花費數千美元購買日志管理工具前仔細研究。另外一個例子便是安全問題--如果安全是一個重要控制目標,在決定時需要選擇能夠提供主動告警的軟件廠商。無效的工具可能建立一個日志環境,而你很難(甚至完全無法)從中得到你所需要的數據。
堅持檢查日志。許多組織把日志看作是查找信息或排查故障的參考信息,而沒有定期審視這些日志信息。但主動檢查與分析日志數據來確保一致性需要通過紀律約束。
大型環境必須將日志管理作為每日例行任務,以確保所有日志為最新狀態。通過每天檢查日志,可以保持對整體環境狀態的追蹤并在問題產生前提前解決。同樣的,通過定期監控日志,還可以了解數據中心環境運行狀態以及各系統之間關系。即使法規遵循不是當前最重要的任務,定期檢查日志可以節約許多時間與資金,并預防事故發生。例如,可以設置針對環境中所有安全日志的報警。如果組織建立適當規則,當檢測到入侵時可以及時阻止并防止造成損失。通過主動捕獲安全事件,公司可以節約成百上千萬美元來防止數據丟失。
建立監控與告警系統。許多服務器日志管理工具都內建了這些功能。盡管如此,許多系統根據審計基準內建許多告警,而忽略了其他潛在的重要日志。當我們管理日志時,關注除了審計基準外的重要安全日志同樣重要。在這樣的情況下,管理員們才可以更詳細的了解整個環境的健康狀況。例如,數據中心核心網絡設備的日志需要收集,監控及利用。通過有效利用日志,管理員可以很快定位到錯誤配置,安全漏洞以及相關交換機的資源利用情況。更重要的是,有了良好的告警通知,可以主動采取措施改善和確保環境運行穩定與健康。
采用內部日志管理策略。通過日志管理,服務器日志分析將成為例行的關鍵流程。管理員需要設計對應的策略來實現常規日志報表。一旦所有報表完成,還需要分析流程中數據的一致性。許多時候,整合的日志報告可以顯示安全問題或系統組件沒有正常工作。例如,大型企業的數據中心可能包括大量設備。良好的日志管理策略將關注所有終端基礎設置組件并將信息收集集中到日志管理工具中。工程師可以檢查負載均衡器,安全網關以及數據中心應用程序來判斷是否有異常存在。同樣,擁有良好的策略,我們還可以收集與分析在一段時期內的日志記錄。通過分析這些日志,可以關聯重要安全更新與系統數據。這樣便可以從長遠角度組織入侵行為并確保系統健康管理。
測試日志管理工具。滲透測試或內部一致性測試將幫助確定日志收集是否正確。更重要的是,通過測試我們可以評估自己是否收集到正確事件日志以及對應的告警。通過測試我們可以回顧會重新定義優化流程。周期測試可以幫助組織磨練其日志管理機制并讓其更加有效。當進行測試時,工程師們不僅需要明白測試目的,同樣還需要注意是否有任何未授權的系統應用程序在運行或是否有其他分支細節沒有考慮完善。
鎖定日志。服務器日志管理將被某個授權小組所審計。僅有少數授權人員對日志管理與日志記錄活動負責。將訪問權限授予太多人員可能會引起潛在的事故(或惡意的)刪除甚至修改現有日志環境,進而影響誠信守則或破壞監管日志要求。
有效記錄可以保護線上環境
當使用日志管理系統時,理解日志在數據中心用所扮演的角色十分重要。防火墻,服務器或應用程序日志可以共同工作來實現更加安全的環境。記住,主動掃描日志與設立日志告警,管理員們可以快速發現內部環境中的安全故障。通過主動記錄日志活動,數據中心工程師可以加固環境中潛在的薄弱點。更重要的是企業數據安全。日志管理在防止數據丟失中扮演著重要角色。任何安全漏洞都可能讓公司在信譽與支出上花費高昂的代價。
通過有效的日志管理策略,管理員們可以創建一個健康,可監控的環境來主動保障數據中心安全。
關于作者:Bill Kleyman,MBA,MISM,一名狂熱的技術專家,在網絡基礎設施管理領域具有豐富的經驗。其工程經驗包括大型虛擬化環境部署以及商業網絡設計與實施。目前他是MTM Technologies 公司的虛擬化架構師,之前曾作為World Wide Fittings公司的技術總監。
