日志集成似乎正處于這樣的局面：每個人都在用它，但為什么公司不花費時間和資源來解決它呢？答案是因為它們可能有一個宏大的盲點：大多數(shù)利用程序沒有做好日志記錄。

在這次采訪中，SecurityCurve的Diana Kelley與一家世界500強企業(yè)的架構(gòu)師和安全思想領(lǐng)袖James McGovern，就利用程序事件日志管理展開了討論。McGovern說明了他為什么認為利用程序的日志記錄是“最后的邊界”。

Diana Kelley：Jim，不是所有的IT專家都已經(jīng)擁有了集成日志所需的東西并能奇妙地應(yīng)用它們了嗎？

James McGovern:一個擁有工具的“傻子”仍然是一個“傻子”。為了找到安全漏洞而讓網(wǎng)絡(luò)安全工程師來審查利用程序的日志記錄反而增加了失敗的可能性。為什么呢？因為指使開發(fā)者開展工作是一回事，而認為瀏覽一份全面的文檔非常容易又是另外一回事。

一般來說，讓開發(fā)者知道如何開發(fā)安全的代碼，比幫助一個網(wǎng)絡(luò)安全工程師懂得軟件開發(fā)環(huán)境中的日志記錄更加容易。

Diana Kelley：你的意思是開發(fā)者需要標準？

James McGovern: 是的。如果你關(guān)注過甲骨文、惠普、EMC等公司的軟件產(chǎn)品，你是不是感到他們都有一個共同的日志記錄格式呢？他們并沒有這樣做！如果以軟件開發(fā)為主業(yè)的公司都沒有搞明白這個，我們又怎么能寄盼望于一個大企業(yè)呢？我們需要的是一個獨立的組織去領(lǐng)導(dǎo)一個跨產(chǎn)業(yè)企業(yè)聯(lián)盟，來致力于標準、語義和互通性范疇的發(fā)展。

Diana Kelley：在這一點上，我絕對批準你的觀點！日志格式的互通性和標準化（包含IETF這樣的組織都在著手建立系統(tǒng)記錄標準）將對日志管理流程有幫助。首先，通過供給集成解決計劃能更有效地收集重要日志數(shù)據(jù)；其次，幫助解析引擎更好地獲得網(wǎng)絡(luò)和利用程序在現(xiàn)在、未來和過去的信息。

讓我們回到很多公司現(xiàn)在正面臨的挑釁，以及如何去應(yīng)對這些挑釁吧。

James McGovern: 首先，你已經(jīng)有了一個日志管理設(shè)備。有多少企業(yè)在采購甚至是在撰寫需求計劃闡明書（RFP）時，會就有關(guān)日志管理集成的問題咨詢他們的軟件供給商呢？這種差距能夠通過在采購協(xié)議上添加一些可重用的條款來打消嗎？

Diana Kelley：非常重要的一點是：日志管理需求不必為每一臺新設(shè)備或者系統(tǒng)部件的RFP而進行變動。重新利用現(xiàn)有的措辭就可以減少RFP的創(chuàng)立時間，如果措辭得當，還可以保證所需的定義一致。你認為對于企業(yè)來說，日志管理最大的用處是什么？

James McGovern:它是我們懂得企業(yè)事務(wù)的方法。如果我們無法懂得運動和訪問，那我們就沒有措施懂得其對企業(yè)的影響。這聽起來簡略，但它是非常復(fù)雜的。日志記錄需要處理訪問和運動，否則日志管理就不能很好的解析它。這是因與果的關(guān)系。

Diana Kelley：公司應(yīng)當如何改良呢？

James McGovern: 不要像看待一個報告運動那樣看待日志管理，因為我們需要處理的清單和電子表格非常多。更重要的是，我們需要做的不只是為日志中個別的行發(fā)出報警，而且需要對其他行也作出反應(yīng)。例如，如果你剛好為利用程序開發(fā)了一個日志管理“文件”，你便可以知道在一個特定的時間段內(nèi)，平均產(chǎn)生了多少次失敗的身份驗證事件。懂得次數(shù)是否高于或低于平均程度，以便獲悉運動的趨勢，這樣豈不是更有益嗎？

Diana Kelley：如果產(chǎn)生斷電事故（outages）怎么辦？日志管理系統(tǒng)在這方面有沒有盲點？

James McGovern: 日志處理斷電事故十分出色。通過對商業(yè)客戶開通危機電話專線，并供給一個可以帶來收益的利用程序，我可以確定地說，每個人在存儲倉（silos）里胡亂收集一通其實是很不明智的�，F(xiàn)在的處理過程包含的只是猜測和一些裝腔作勢的詞匯，與之不同的是，日志記錄的是實際產(chǎn)生的事情。如果你要組建一個團隊，將實時撰寫的報告整合到一起將會是一件非常了不起的事情。

Diana Kelley：最后，你對你的同行有什么話要說嗎？