Топовые новости
Случайное

Управление протоколами событий

Управление протоколами событийНаиболее часто встречающаяся проблема при работе с протоколами событий (log-файлами) — это объемы информации. Другой немаловажный вопрос, который можно часто услышать: «Как долго я должен хранить файл протокола?». Эти трудности относятся к любой системе, будь то персональный компьютер, сервер, средство безопасности или компонент сетевой инфраструктуры. Универсальное решение заключается в нахождении такого уровня детализации протокола, который позволяет администратору одновременно уловить степень угрозы и оценить работоспособность сайта. Время «жизни» протокола зависит прежде всего от того, Зачем именно вам нужна статистика. Слишком детализированные отчеты не покажут ясной картины происходящего, тогда как лишнее обобщение приведет к потере важной информации (например, о попытках сканирования). Для определения необходимого уровня детализации необходимо установить точные цели для каждой из систем, над которыми ведется наблюдение. Нужно ли вам знать о том, кто и когда посещал каждую из страниц сайта? Наверное, нужно, если вы ведете учет посещаемости. Протоколировать такого рода события необходимо непосредственно на Web-сервере, избавив от этого IDS. Вам следует знать о каждом ICMP-запросе, на который ответил сервер, или вам более интересно узнать о попытке проведения атаки ICMP-переполнением? Если верно второе, снабдите соответствующим правилом IDS и не регистрируйте активность ICMP-протокола на сервере. Это простые примеры, лишь иллюстрирующие основную идею: для регистрации того или иного события нужно выбрать наиболее подходящую для этого систему, способную очень четко ответить на вопрос: «Что происходит?». Определить время жизни протокола не так просто. Многое зависит от имеющихся в распоряжении ресурсов и от механизмов, которые вы собираетесь использовать в качестве анализатора архивов. В большинстве случаев сайты с ограниченными ресурсами сохраняют информацию в архивированном виде на период, не превышающий 100 дней. Из всей этой информации доступны для оперативного анализа только данные двухнедельной давности.

Популярные записи

Copyright © 2015. All Rights Reserved.