应用日志对于检测黑客攻击非常重要

核心提示：应用服务器容纳大量有价值的数据，它们存储你的机构的网页，应用日志对于检测黑客攻击非常重要，充当连接重要数据的网关和每天处理敏感的信息，应用服务器也是你的机构最大的风险来源之一，正如我们讨论的那样，开始这项工作并不困难，因为我们已经围绕我们的机构建立了一个周边环境，并且很善于拒绝那些与可接受的配置文件明显不同的通讯进入网

应用服务器容纳大量有价值的数据。它们存储你的机构的网页，充当连接重要数据的网关和每天处理敏感的信息。应用服务器也是你的机构最大的风险来源之一。因为我们已经围绕我们的机构建立了一个周边环境，并且很善于拒绝那些与可接受的配置文件明显不同的通讯进入网络，我们已经使那些不需要的协议很难穿过我们的边界。因此，攻击者现在试图通过我们允许的协议实施隧道攻击。这就导致了SQL注入、缓存溢出和其它应用层攻击的增长。这种情况迫使我们修改我们的日志策略。虽然我们过去一直把重点放在以网络为中心的攻击方面，保留防火墙报警和网络流量等数据，但是，我们现在需要把重点放在应用层日志方面。 　　应用层日志策略

在过去的几年里，遵守管理部门法规的问题迫使许多信息安全专业人员把他们的重点放在了日志和保留安全数据方面。很多大企业都采用基于行业标准的集中的日志服务器，如Unix syslog(系统日志)格式，并且在这些服务器周围配置监视和报警装置。由于大多数机构都有一个基本的日志基础设施，现在是考虑增强这个基础设施以满足商务和安全需求的时候了。现在让我们看一下你可以用来改善你的机构的应用日志的一些增强功能。

许多应用服务器都能够捕捉和日志大量的与安全有关的信息。我们的工作就是恰当地设置这些数据，确定什么数据要保留，什么数据可以安全地删除。

应用日志的关键是以你在标准方面的努力为基础的。这在以下两个不同级别标准方面确实是如此。

第一，使用行业标准协议和格式，以保证各种应用程序、平台和设备的日志的一致性。这使自动和人工分析更简单，效率提高100倍。使用W3C网络服务器日志等标准的格式和网络通信的网络流量有助于把不同系统产生的警报联系在一起。通过syslog和SNMP等标准的协议做日志有助于把我们的各种努力整合为一个单一的集中的平台。

第二，在你日志的实际数据中采用标准。许多机构仅向系统管理员提供日志服务器，并且认为他们的工作是完美的。重要的是再走远一些，向管理员提供一些执行的标准，让他们在各种系统上设置日志的时候执行。这些关键的问题是，“我们应该日志什么文件?”和“我们对这些数据应该保留多长时间?”。根据机构的业务、技术和管理规定的需求，这个答案也是不同的。然而，不管你的要求是什么，重要的是你要准确的定义并且明确地说出来。根据你可能面临的威胁，你可以考虑日志的事件类型。身份识别成功和失败对于深入了解猜口令攻击提供了有价值的信息。日志HTTP请求也许能够暴露利用缓存溢出或者SQL注入安全漏洞的企图(成功的或者失败的)。不能实行标准化将导致管理员对标准做出不同的解释，显著降低你的集中的日志基础设施的价值。

设置应用服务器和日志基础设施支持应用层事件详细的日志在一旦发生安全事故的时候能够向你提供重要的信息。积极的监视将向你提供实时监测事件的能力。反应性的监视将向外部调查人员提供非常重要的帮助。正如我们讨论的那样，开始这项工作并不困难。你也许已经拥有了基本的基础设施。