本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.2.1节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.2.1 什么是日志数据
简单地说,日志数据的核心就是日志消息或者日志。日志消息就是计算机系统、设备、软件等在某种刺激下反应生成的东西。确切的刺激在很大程度上取决于日志消息的来源。例如,Unix操作系统会记录用户登录和注销的消息,防火墙将记录ACL通过和拒绝的消息,磁盘存储系统在故障发生或者在某些系统认为将会发生故障的情况下生成日志信息。
日志数据(log data)就是一条日志消息的内在含义。换句话说,日志数据就是一条日志消息里用来告诉你为什么生成日志消息的信息。例如,Web服务器一般会在有人访问Web页面请求资源(图片、文件等等)的时候记录日志。如果用户访问的页面需要通过认证,日志消息将会包含用户名。这就是日志数据的一个例子:可以使用用户名来判断谁访问过一个资源。
日志(log)这个术语实际上指的是用于展示某些事件全貌的日志消息的集合。
日志消息可以分成下面的几种通用类型:
- 信息:这种类型的消息被设计成告诉用户和管理员一些没有风险的事情发生了。例如,Cisco IOS将在系统重启的时候生成消息。不过,一定要当心。例如,如果重启发生在非正常维护时间或是业务时间,就有发出警报的理由。本书后面的章节将会提供给你检测此类现象发生的技能和技术。
- 调试:软件系统在应用程序代码运行时生成调试信息,是为了给软件开发人员提供故障检测和定位问题的帮助。
- 警告:警告消息是在系统需要或者丢失东西,而又不影响操作系统的情况下生成的。例如,如果一个程序没有获得正确数量的命令行参数,但是它也能在没有这些参数的情况下运行,这种情况下程序记录日志可能只是为了警告用户或者操作人员。
- 错误:错误日志消息是用来传达在计算机系统中出现的各种级别的错误。例如,操作系统在无法同步缓冲区到磁盘的时候会生成错误信息。不幸的是,许多错误消息只能给出为什么出错的起点,要寻找出导致错误发生的根本原因还需要进一步的调查。本书的第7、8、9、10、11、12、13、15和16章将为你提供处理这些情况的方法。
- 警报:警报表明发生了一些有趣的事情。一般情况下,警报是属于安全设备和安全相关系统领域的,但这并不是硬性的规定。在计算机网络中可能会运行一个入侵预防系统(IPS),检查所有入站的流量。它将根据数据包的内容判断是否允许其进行网络连接。如果IPS检测到了一个恶意连接,可能会采取任何预先配置的行动。IPS会记录下检测结果以及所采取的行动。
接下来,我们要简短的讨论一下日志数据是如何传输和收集的,然后我们会谈到日志消息的组成。