很多公网IP通过IP知识库是可以知道国家、省、市、地理信息的,这个在做分析的时候比较有用;如果是内网,可以通过配置国家、省、市、地理信息达到同样的效果;
比如非上班时间处理的支持:国内有法定假,法定假可能存在调休等,而且每年的法定假都不一样,所以还要等到年底国家才能颁布下一年的法定休假的方案;很多客户也有会调班的情况,这种情况的工作日和非工作日就比较特殊 。在很多告警规则中都有非上班时间的诉求,比如非上班时间登录服务器,非上班时间进行了敏感文件操作等,这个时候对非上班能力的支持就很重要 。
文章插图
2.4 自定义解析的效率日志解析使用不同的技术对效率的影响是不一样的,目前主流的几种方式主要有模板方式、正则表达式方式等 。这几种方式的效率有比较大的区别,模板方式的灵活性比正则表达式方式稍微低一些,但从效率上来看,模板方式比正则表达方式高很多 。比较理想的方式是大部分解析用模板的方式去实现,少量复杂的解析用正则表达式的方式去实现 。这样就达到了灵活性和效率之间的平衡 。
上面列出了日志解析的常用关键内容,这些内容支持的灵活性越高越好 。在实施SOC、态势感知等产品的时候,经常会花费大量的时间在解析上面,如果能灵活支持,可以大幅度提高效率和效果 。
三、小结前面介绍的是目前日志标准化解析的一些关键内容,可以作为安全分析产品中日志解析灵活性评判的一个参考 。提高日志解析的准确性、灵活性也是一个非常复杂的过程,这部分的处理对后续的关联分析等起到非常重要的作用 。日志解析存储后,如何在海量数据中进行搜索,也是个非常重要的问题 。
存储只是解决了“有”的问题,但如何更高效便捷地从中找到想要的数据,支持什么样的接口可以让客户快速准确地找到想要的内容也是非常重要的,后面有时间再详细介绍这方面的内容 。日志解析本身是一个比较复杂的话题,我尽量保证内容观点正确,但本人才学疏浅,文中若有不足之处欢迎大家批评指正 。
思科ASA日志参考地址:https://
www.cisco.com/c/en/us/td/docs/
security/asa/syslog/b_syslog.html
推荐阅读
![[]男子半夜到私人鱼塘钓鱼,却莫名遭到枪击,开枪者:以为是兔子!](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/2020/93ca2e0fd86aba1ecb6560fb6ebfcbb5.jpg)
- 斗记红玉斗的身世,今年必看的斗记茶业漫画大事件
- 选购茶饮料 必看茶多酚含量
- Linux 常用运维脚本
- “后浪”日志框架logback的使用和配置文件详解
- 避免被diss,务必记住这些正确打日志的方式
- 定了!驾照记分规则有重大调整,有驾照的必看
- 茶人必看的启蒙课,宋代的茶发展茶叶茶课
- CentOS7下部署滴滴云开源运维监控系统-Nightingale
- java简单日志打印规范小记
- 社保断交麻烦大!税局公布:打工人正确离职指南!上班族必看