合適的日志管理工具能夠大幅減輕管理企業(yè)系統(tǒng)日志數(shù)據(jù)的累贅。但是，除非組織為這個工具投入必要的時間和精力，否則再好的工具也會很快變成一個差勁的工具。Diana Kelley為大家供給了6個確保成功的日志管理最佳實踐。

門外漢用上了工具依然是門外漢

如果你不籌備投入時間和精力在適當?shù)匕惭b、管理日志管理工具上，那么就不要把錢浪費在日志管理系統(tǒng)上面。日志管理系統(tǒng)必須進行合理的配置，以正確解析您網(wǎng)絡中的事件和日志，這樣出來的報表才具有商業(yè)和技巧價值。另一個“笨拙”的錯誤是不去瀏覽和審查告警把持臺，因而錯過了要害的安全事件。因此，不要犯只器重日志管理技巧而不器重系統(tǒng)應用的錯誤。

通過預定義需求來精簡RFP（懇求提案）

創(chuàng)立RFP（懇求提案，需求計劃闡明書）是一個費時的過程。而一些需求一旦被定義出來，就能在隨后的RFP中復用。這在制定日志管理的需求時很常見，因為日志管理的基礎需求（例如日志文件的格式，寫入日志文件的數(shù)據(jù)，等等）都是一樣的，可以預先定義出來。應用預定義需求的另一個利益是這確保了在精簡RFP周期的同時保持需求的一致性。

斷定你有所需的信息

為了能夠?qū)懗鲇行У年P聯(lián)規(guī)矩，日志管理系統(tǒng)必須有足夠的高低文數(shù)據(jù)進行分析。例如，為了斷定某個特定的流量或者行動來自哪里，就需要知道源IP地址信息，這意味著日志管理系統(tǒng)必須先記錄下IP地址信息，這樣引擎才干夠?qū)⑵浣馕龀鰜�。又例如，如果要寫一條日志分析規(guī)矩對目標設備或者利用產(chǎn)生了某種行動進行告警，相干的日志數(shù)據(jù)必須先記錄下那些行動才行。

不要局限于靜態(tài)分析

大部分組織需要做的最后一件事是將那些沒有整體分析模型的數(shù)據(jù)填寫到另一張大表中，然后利用這張大表來進行事件分析。根據(jù)預期或者可接收行動的基線設定的告警不僅要通過火析大表中單條記錄的特點來產(chǎn)生，還要通過火析一組記錄集的特點來產(chǎn)生。不妨假想一下要害數(shù)據(jù)庫的登錄記錄。一般會將兩次登錄失敗的行動設定為觸發(fā)告警的基線，但是如果那個數(shù)據(jù)庫系統(tǒng)的密碼策略從應用簡略的字典單詞變?yōu)閼��?位以上非字典單詞字符串，那么登錄失敗次數(shù)的基線可能要增大，因為用戶要適應新的策略。具有智能感知才能的日志管理系統(tǒng)應當可以進行調(diào)節(jié)，以監(jiān)測發(fā)展趨勢，并為管理員供給反饋。管理員可以決定應用該趨勢信息臨時地轉(zhuǎn)變告警閥值。

應用日志數(shù)據(jù)描寫正在或者已經(jīng)產(chǎn)生的事情

“日志是檢查故障的極佳信息源”。因為大部分情況下用戶斷定導致故障原因的所有所需信息都能夠從日志文件中找到。在危機期間，管理人員經(jīng)常不得不進入被動模式，往往只能通過直覺、猜測、將不可再分的無關信息拼湊到一起等方法來斷定正在或者已經(jīng)產(chǎn)生的事情。而日志是真實產(chǎn)生事件的記錄，日志管理系統(tǒng)容許管理人員針對故障信息實時地撰寫和產(chǎn)生報表，從而真實地告訴響應小組網(wǎng)絡中產(chǎn)生了什么。

應用范疇可以超出安全本身　　

日志管理系統(tǒng)是一個絕佳的安全設備信息收集和分析工具，不僅可以用這些信息實現(xiàn)安全感知，而且可以利用這些信息實現(xiàn)其他目標。例如，可以將這些信息用于分析（你的）十大業(yè)務關系的客戶體驗。許多WEB利用分析系統(tǒng)無法供給展現(xiàn)真實客戶體驗的細粒度視圖。而設計良好的利用系統(tǒng)日志可以記錄這些客戶體驗，日志管理系統(tǒng)可以通過這些日志來分析客戶體驗，從而將日志管理系統(tǒng)的應用范疇擴大到安全分析之外。