日志标准化必须面对的 4 类问题

最新推荐文章于 2025-10-22 11:09:52 发布
原创 最新推荐文章于 2025-10-22 11:09:52 发布 · 2.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

本文探讨了日志标准化解析在安全分析产品中的重要性,指出预解析和后解析、自定义解析灵活性和效率是核心问题。预解析与后解析结合是未来趋势,而自定义解析的灵活性可通过配置文件、工具生成、脚本或界面配置实现。提高解析效率需平衡模板和正则表达式使用。日志解析的准确性、灵活性对后续关联分析至关重要。

引言

在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。之前的文章中阐述过五种最常见的关联分析模型,在文中也介绍了:要想达到很好的关联分析效果,前提是对采集过来的日志进行标准化解析。解析的维度越多、内容越准确,对关联分析的支撑性就越强。下面就来介绍一下日志解析的一些常用内容。

一、概述

很多公司在自己的产品介绍中描述产品有多少种日志解析规则等等,当然,这种内置的解析规则对这类产品发挥了很重要的作用。但这种方式也存在一些问题:

首先,经过时间的推移就会发现,每年市场上都会产生不少的新的安全设备和型号,导致厂家很难实现全部预制好的解析规则;

其次,很多设备会经常升级,升级后会导致日志种类的增加和调整;

最后,很多设备的日志种类非常之多,如果全部内置到系统中,几乎是不可能完成的任务。所以大多数的产品,只内置了部分的日志解析规则。比如思科ASA防火墙日志从官网看就有好几百种日志格式,如果内置都解析,是很大的工作量,何况有时候也没有必要全部解析。

根据以上分析可以得出,只在产品中内置默认的解析规则是不够的,在很多时候需要根据客户的实际环境进行调整。这种情况下,日志解析的灵活性、准确性、扩展性就显得非常重要了。下面介绍一下日志解析中常用的内容:

二、日志解析关键点

标准化解析,也叫范式化解析,解析的目标是把日志中的直接信息和间接信息解析出来,作为单独的字段进行存储。对应数据库中就是“列”的概念。传统上来说,存储大多用关系数据库,比如:oracle、mysql。随着大数据平台的发展,最近几年,存储都是放在大数据平台上的,比如:hive、,elasticsearch等。下面举个linux下一条常用的登录日志作为例子:

最低0.47元/天 解锁文章
Django 4.x Logging 日志使用示例和配置方法
Mr数据杨
11-04 3万+
大家好,我是Mr数据杨,日志就像《三国演义》中的战报,通过不同的“日志级别”,可以快速了解整个程序的运行状况,这如同诸葛亮一样,通过高瞻远瞩的眼光,捕获战况的每一个变化。想象一下,如果没有设定好“默认配置”,那么可能会陷入被无数战报淹没的困境,如同刘备在长坂坡面对曹军的围攻,因为缺乏整体战况的了解,陷入了被动局面。而如果像周瑜那样,提前做好“默认配置”就能如同赤壁之战般,即使面对数倍于己的曹军,也能够灵活应对,最终取得胜利。再来谈谈“logging参数说明”。
AI运维自动化的前沿:基于NLP的日志分析技术
AI 算法实战派
08-18 1278
日志(Log)是系统在运行过程中自动记录的事件序列,本质是“系统行为的文本化描述”。型来源内容特点典型场景系统日志操作系统(Linux/Windows)、内核进程启停、资源占用(CPU/内存/磁盘)、驱动错误服务器宕机排查、性能瓶颈分析应用日志业务系统(Java/Python应用)函数调用、用户操作、业务异常(如订单支付失败)电商平台订单超时、APP崩溃原因定位设备日志网络设备(交换机/路由器)、存储设备端口流量、连接状态、硬件故障(如磁盘坏道)网络拥塞排查、存储阵列故障预警。
1.范式化和反范式化
weixin_44346687的博客
09-18 4623
范式化 所谓的范式化,就是一系列设计数据库模型的规则,范式化的目的是减少数据冗余,提高数据完整性。 反范式化 所谓反范式化,是一种对范式化设计的数据库的性能优化策略,通过在表中增加冗余或重复的数据来提供数据库的读取性能。 没有冗余的数据库不一定是最好的数据库,有时为了提高查询效率,就必须降低范式标准,适当保留冗余数据。具体操作就是在一个表中增加别一个表的冗余字段,减少了两个表查询时的关联,从而提高查询效率。 三范式 第一范式:是对属性的原子性约束,要求属性具有原子性,不可再分解。 第二范式:是对..
最新日志审计系统——EventLog Analyzer
运维有小邓
03-08 1913
现如今,每个用户网络包含大量的信息资产,包括各种网络设备、安全设备、主机、应用及数据库等,每种设备型的日志格式都不相同,即使是记录同一事件,也都有各自的日志规格。
从零搭建Java日志收集体系:3步实现日志规范化与集中化管理
最新发布
GatherTide的博客
10-22 602
掌握高效Java日志收集方案,3步实现应用日志规范化与集中化管理,适用于微服务、分布式系统场景。通过统一日志格式、选用主流框架(如Logback+ELK),提升排查效率与运维能力,值得收藏。
日志审计(启明设备)
热门推荐
Trave-ler
04-05 1万+
1.基础知识 通过分析信息系统的安全日志来检验信息系统安全机制的有效性 1.作用: 1.安全审计通过收集存储网络上所有软硬件设 备产生的日志、审计信息,根据策略进行存 储,为事后取证提供依据 2.对所收集的信息进行汇总、分析、报警,对 安全问题进行挖掘,提供各种报表,帮助管 理员更好的掌握网络情况 2.必要性 1.合规要求 2.网络安全法要求 3.等级保护要求 3.启明产品特点 2.设备介绍 1.设备接入 串口或网口后台登陆信息如下默认波特率: 9600。Eth0默认IP:10.0.0.1 后台默认账
linux运维日志规范,Linux初级运维(十九)——Linux日志系统syslog和系统添加SSH服务...
weixin_30562977的博客
05-04 348
一、日志系统信息详细程序:日志级别子系统:facility,设施syslogsyslog-n:开源1、syslog服务:syslogd:系统,非内核产生的信息klogd:内核,专门负责记录内核产生的日志信息kernel-->物理终端(/dev/console)-->/var/log/dmesg# dmeg#cat /var/log/dmeg2、日志需要滚动(日志切割):messages...
Java日志系列——规范化日志
qq_51553982的博客
09-02 994
特别详细的系统运行完成信息,业务代码中,不要使用.(除非有特殊用意,否则请使用DEBUG级别替代)当我们打印日志时我们一定要使用参数化信息的方式进行打印而不要使用字符串拼接的方式,以避免内存占用。可以填写所有的想知道的相关信息(但不代表可以随便写,debug信息要有意义,最好有相关参数)影响到程序正常运行、当前请求正常运行的异常情况。这样更加有利于问题排查。
日志标准化的分
ducc20180301的博客
07-27 1366
引言 在企业内承担整体安全分析的产品一般是SIEM产品,这产品主要的作用是收集网络中所有的安全日志并进行分析。在《运维必看:日志标准化必须面对4问题》中介绍了日志标准化的一些原则和方法。有了原则和方法后就需要做更细致的分析。在细致分析中,对日志进行标记统一的别就非常重要。使用分法创建日志的好处主要有: 厂商独立性,不同设备对同一个事物的描述往往不一样,通过统一的分来屏蔽不同厂商的差异。 分析人员不需要记住环境中所有设备的特定名称,只需要了解分名称就好。对其他分析更容易、
论文LogParse:通过单词分使日志解析自适应翻译
08-03
1. **日志预处理**:首先,对原始日志进行清洗和标准化,去除噪声和无关信息,准备后续的分析。 2. **单词分**:利用机器学习算法,如深度学习模型,对日志中的每个单词进行分,判断其是否属于模板部分还是可变...
日志过滤 规范化
qq_37126193的博客
12-19 1347
原始日志数据 过滤:在过滤阶段我们搜索关心和不关心的日志消息。对于不关心的日志消息可以抛弃 规范化:我们获得原始的数据,将各个格式映射为一个公共的格式。 对于关联步骤很重要,。原始数据规范化时,它的结果通常称为事件,规范化的另一个步骤是分,也就是将日志消息转换为更有意义的信息块。 关联:关联通常导致当很多组单独出现时将不重要的事件标记出来。这里连接和那里一次失败登陆,在加上其他地方...
日志规范.docx
05-09
elasticsearch+logstash+kibana在linux上的部署过程及配置
如何从运维零基础练好日志分析?
ZicoChan的博客
09-19 1112
1. 项目名称:赛克蓝德日志分析软件 seci-log 项目简介:赛克蓝德日志分析软件,主要对日志进行收集,格式化,然后进行分析,日志可以是系统日志,也可以是业务日志,业务日志需要二次开发。目前支持 linux 登录相关的安全日志。采集方式,目前支持 syslog 日志,后续会增加文件,数据库日志的收集。 本项目提供了一整套中小企业关注的访问安全的解决方案,如有没有人非法访问你的服务器
高性能Mysql学习日志之范式与反范式(七)
qq_40606397的博客
01-03 648
4.3范式与反范式 基本描述:在范式化的数据库中,每个事实数据会出现且仅出现一次,相反的,在反范式化的数据库中,信息是冗余的,他可能会存储在多个地方。 范式化的优点:1.范式化的更新操作通常比反范式要快得多。2.当数据较好的符合范式化时,就只有很少的重复数据,就只需要更少的更新操作。3.范式化的表通常比较小,可以更好放在内存中,所以执行操作会更快。4.很少的多余数据意味着检索数据时需要...
高性能MySQL笔记
weixin_44977162的博客
09-04 294
高性能MySQL笔记 锁粒度 表锁 表锁是Mysql最基本的锁策略,并且是开销最小的策略。表锁会锁定整张表,一个用户在对表进行写操作前,需要先获得写锁,这会堵塞其他用户对该表的所有读写操作。没有写锁时其他的用户才可以获得读锁,读锁之间是不相互堵塞的。 写锁的优先级也高于读锁,一个写锁的请求可能会被插入到读锁队列的前面,反之则不行。 行锁 行锁可以最大程度的支持并发处理。 四种隔离级别 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VrbFMLSS-1630730019903)
微服务应用性能分析实战13 结构化日志:如何规范数千开发的应用日志
fegus的博客
09-24 1051
在无法远程调试和网络环境隔离等条件下,可以说是我们追查线上各种疑难杂症的。好的日志(或是日志埋点)衍生出的 APM 系统,可以让我们具备一种“洞察力”,即先于用户发现问题、定位问题、解决问题;而无规范的应用日志,则会让线上日志五花八门,严重降低线上第一手资料的质量。从“低头写日志代码”到“抬头写日志”,对于每个 RD 来说,这是一种势在必行的改变。这里“抬头写日志”,意思是写出的日志能更好地融入 APM 生态,并更符合日志规范。这样在定位问题时,才能根据日志做到有的放矢,笃定而行。
初探下一代SIEM核心技术发展趋势
网络安全研究
05-21 1259
1. 引言 本文乃笔者从2005年接触SIEM到现在的一些感触,也算是抛砖引玉希望引起大家更多的讨论。这里所指的核心技术主要指有一定技术壁垒,承载SIEM产品核心能力的技术点。 2. 传统SIEM产品现状 从2000年左右开始有SIEM( Security Information and Event Management,安全信息与事件管理)产品崭露头角,也涌现出Arcsight这家雄霸Gartner SIEM MQ第一象限多年的现象级产品,但ArcSight从2011年开始在Gartner的领导者象限受到
运维痛点深度解析:当前排障流程的挑战与局限
kindlingx的博客
03-20 1854
在当今互联网时代,运维工作的重要性日益凸显。然而,随着业务规模的不断扩大,运维面临的挑战和痛点也越来越多。本文将深度解析当前排障流程的挑战与局限,提出相应的解决思路,并对未来运维及可观测的发展趋势进行展望,以帮助企业和运维团队更好地应对复杂多变的运维环境,确保业务稳定、高效地运行。
nginx 日志规范化意义及实现!
专注深耕linux、容器云原生、运维自动化等方向
01-08 694
服务的log,将是我们分析用户行为的不可缺少的一个核心组件;通过log我们可以获取用户的访问量,qps,rt,pv,状态,通过log进行相应的监控,故障排除,追踪,定位等。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值