有效管理Linux服務器系統日志的方法：1、確定所有的信息，以保證日志管理系統有足夠的上下文數據進行分析；2、重視日志管理技術還要重視系統使用的錯誤；3、預先定義日志管理的基本需求來創建RFP；4、使用日志數據描述正在或已經發生的事，以便進行判斷；5、使用范疇超越安全本身，如將安全設備信息用于分析十大業務關系的客戶體驗；6、不要局限于靜態分析，可以設想一下關鍵數據庫的登錄記錄。

具體內容如下：

1、確定你有所需的信息

為了能夠寫出有效的關聯規則,日志管理系統必須有足夠的上下文數據進行分析。例如,為了確定某個特定的流量或者行為來自哪里,就需要知道源IP地址信息,這意味著日志管理系統必須先記錄下IP地址信息,這樣引擎才能夠將其解析出來。又例如,如果要寫一條日志分析規則對目標設備或者應用發生了某種行為進行告警,相關的日志數據必須先記錄下那些行為才行。

2、外行人用上了工具依然是外行人

如果你不準備投入時間和精力在恰當地安裝、管理日志管理工具上,那么就不要把錢浪費在日志管理系統上面。日志管理系統必須進行合理的配置,以正確解析您網絡中的事件和日志,這樣出來的報表才具有商業和技術價值。另一個“愚蠢”的錯誤是不去瀏覽和審查警告控制臺,因而錯過了關鍵的安全事件。因此,不要犯只重視日志管理技術而不重視系統使用的錯誤。

3、通過預定義需求來精簡RFP(請求提案)

創建RFP(請求提案,需求方案說明書)是一個費時的過程。而一些需求一旦被定義出來,就能在隨后的RFP中復用。這在制定日志管理的需求時很常見,因為日志管理的基本需求(例如日志文件的格式,寫入日志文件的數據,等等)都是一樣的,可以預先定義出來。使用預定義需求的另一個好處是這確保了在精簡RFP周期的同時保持需求的一致性。

4、使用日志數據描述正在或者已經發生的事情

“日志是檢查故障的極佳信息源”。因為大部分情況下用戶判斷導致故障原因的所有所需信息都能夠從日志文件中找到。在危機期間,管理人員經常不得不進入被動模式,往往只能通過直覺、猜測、將不可再分的無關信息拼湊到一起等方式來判斷正在或者已經發生的事情。而日志是真實發生事件的記錄,日志管理系統允許管理人員針對故障信息實時地撰寫和產生報表,從而真實地告訴響應小組網絡中發生了什么。

5、使用范疇可以超越安全本身

日志管理系統是一個絕佳的安全設備信息收集和分析工具,不僅可以用這些信息實現安全感知,而且可以利用這些信息實現其他目標。例如,可以將這些信息用于分析(你的)十大業務關系的客戶體驗。

6、不要局限于靜態分析

大部分組織需要做的最后一件事是將那些沒有整體分析模型的數據填寫到另一張大表中,然后利用這張大表來進行事件分析。根據預期或者可接受行為的基線設定的告警不僅要通過分析大表中單條記錄的特征來產生,還要通過分析一組記錄集的特征來產生。不妨設想一下關鍵數據庫的登錄記錄。