Chinaunix

标题: IT运维技术讨论之三：大话日志分析与管理 [打印本页]

作者: cgweb 时间: 2015-01-22 11:48
标题: IT运维技术讨论之三：大话日志分析与管理
获奖名单已公布：http://bbs.chinaunix.net/thread-4171750-1-1.html

大话日志分析与管理，有奖赠书活动，欢迎大家参与~

随着IT运维管理工作的复杂程度不断增加，仅靠几个“技术大拿”来包打天下的已不能满足要求，每当系统或网络故障来临时再去被动的查找原因，已不适应现在的企业发展，企业需要一种安全的运维平台，满足专业化、标准化和流程化的需要来实现运维工作的自动化管理，下面就日志分析与管理的话题展开讨论。

本期话题：
1.请举例说明CLI方式下如何分析系统日志？
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
10.希望日志存储多长时间？是否有必要销毁？
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？

活动规则：
用心回答以上问题。

活动时间：2015-1-22 ~ 2-15

本期奖品：活动结束后将会抽取 10名 认真回答问题的会员，赠送《UNIX/Linux网络日志分析与流量监控》一本。

奖品简介：
《UNIX/Linux网络日志分析与流量监控》

主要内容及目录

作者：李晨光 ChinaUnix社区专家
出版社：机械工业出版社
ISBN：9787111479611
出版时间：2015-01-01
页数：448
用纸：胶版纸

购书地址：http://item.jd.com/11582561.html
样章试读：http://wenku.it168.com/d_001573516.shtml
ChinaUnix视频大讲堂：OSSIM4应用视频教程 http://edu.chinaunix.net/

作者: yxuqtr 时间: 2015-01-22 14:54
目前公司还没专门针对这块去做架构，也期待什么时候领导下达通知去试水一下；平常针对故障多半是使用应用程序日志以及故障状态去处理；因为站点和应用量不是特别大所以没做集中日志管理，我也希望能在这方面长点见识；

作者: hexilanlan 时间: 2015-01-22 15:07
1.请举例说明CLI方式下如何分析系统日志？
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
木有用过。。。

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
unix/linux,定时任务收集；windows一般就不管了。。。。

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
木有存储。。。。。。。需要改善。

5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
周检，月检。。。
有问题的时候，查看发生点的每条日志。

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
流量信息，仅由网络设备看。服务器端无流量监测。。

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
遇到服务器大量发包的事，导致网络中其他服务器断ping。通过网络交换机发现是哪个IP，对应到服务器。检查日志及异常进程，干掉异常进程。

8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
还木有啊。

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
可以很好的看到IP的流量，很好用。

10.希望日志存储多长时间？是否有必要销毁？
正常的日志，1年足够长了。
故障日志，整理保留。

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
好用吗？

12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
不清楚。。。。

作者: orchid420 时间: 2015-01-22 15:17
1.请举例说明CLI方式下如何分析系统日志？
通过自己写的脚本手动定期去分析
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
目前使用的免费的awast来分析Nginx tomcat日志，目前发现用这个工具分析到的结果不是很准备，曾和自己写的脚本分析结果有出入，不过不是很大，在接受的范围内
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
通过rsylog工具，把日志同步到一台服务器中然后再做处理
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
把日志同步到一台服务器中，目前暂时没有做这样的管理平台，在近期会接手做这样的事
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
平均一周会查看分析一次
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
互相依存的关系，平时会定期对应用和系统进行升级打补丁
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
会的，比如去年5月我们服务器受到大流量攻击，当时是临时把带宽加大，并启用CND进行分流，然后通过日志分析找出来源IP通过防火墙对其屏蔽。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
目前正是这样处理，把所有日志通过脚本分析然后把结果及详情导入到数据库中
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
目前是通过cacti对服务器进行的流量监控，当达到警戒线时会主动发邮件和消息通知相关人员
10.希望日志存储多长时间？是否有必要销毁？
目前我们是保留一个月的，由于日志量大，考虑到自身存储空间的有限，我个人认为把日志保留下来，对以后业务上是有很大的帮助的，我们可以通过对以往日志的总结与分析，为我们往后的运行环境提供很大的参考
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
应该考虑
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
从目前的运维趋势来看势必要建立这样的系统，把人从运维的体力活中抽出来做其它更有意义的事，让这些重复而且枯燥的活让程序和平台去代替，我们只要定期对平台产生的报告进行分析，从中加以修复完善。
对于OSSIM的学习从网上零零散散找了些资料，没有系统的对其学习过，如果有这样的机会，肯定会去好好充电一翻。

作者: shangrilawyx 时间: 2015-01-22 16:05
1.请举例说明CLI方式下如何分析系统日志？
      通过系统命令grep sed等或写脚本手动定期去分析
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
      目前使用的免费的开源工具来分析日志，没有统一的技术支持,需要自己研究或具备较好的技术功底
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
      rsylog/自建日志平台，把日志同步到一台服务器中然后再做处理
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
      日志存储于日志服务器中，集中分析,可扩展性不好
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
      每日会查看分析,有报表分析
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
   关联主要靠人工分析，定期对应用和系统进行升级打补丁
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
      会的，比如我们服务器受到入侵，当时通过日志分析找出来源IP通过防CC对其屏蔽。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
      是存储于mysql,初步建设一个平台自动搜集
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
      目前是通过zabbix对服务器进行的流量监控，当达到警戒线时会主动发邮件和消息通知相关人员
10.希望日志存储多长时间？是否有必要销毁？
      目前保留3个月的，根据需要会删除部分,保留关键日志

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
      是的
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
   ossim可以为运维人员提供一个直观的界面,对整体状况有直接的认识,但是在关联分析,APT这方面还有欠缺
ossim目前没有较完整,官方的文档共学习,自己摸索与同行交流!!
希望有培训可参加.

作者: zsszss0000 时间: 2015-01-22 16:07
这是晨光大神的书，先支持一下。

作者: 虫虫猫 时间: 2015-01-22 16:26

1.请举例说明CLI方式下如何分析系统日志？
通过编写日志分析脚本进行分析，主要是分析web日志较多，系统日志一般不会太多，直接使用vim 查看，如果日志量比较多就用grep获取必要的信息。

2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
开源日志分析工具一般功能比较单一，更新速度也较慢，需要花较多的时间去学习和二次开发，才能达到要求的效果。商业日志分析工具功能上比较高大上，但是也许并不适合业务的需求，最主要的是要花钱，一般中小型公司很少会花钱购买商业的日志分析工具，大公司一般都是自己定制开发。

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
一般使用计划任务加脚本的方式过滤并且汇总Unix/Linux下的日志，windows用的比较少，所以没做日志汇总

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
还是通过计划任务和脚本进行集中存储，问题主要是需要关注日志是否成功从节点机下载完成，传输的完整性,还有就是如何展现的问题。

5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
平时的关注并不是很多，遇到排错或者遇到问题后才会进行查看，并没有进行关联分析。

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
网络资产一般都会设置自己的阈值，达到阈值后就会在日志中进行报警，应该是触发的关系，如果这些信息能实时推动到管理员手中是最好了。

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
遇到故障首先就会通过日志分析来排查故障，比如遇到网络攻击，首先就会对web日志进行排序和检查，看异常流量的来源和请求的资源，再决定应对的策略。

8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
曾经尝试使用clamav扫描服务器，并将日志汇总存储到服务器，再用脚本进行分析报警，存储到mysql并web图形化展示没有试过，主要是没有好用的工具，自行开发的话难度较大。

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
主要是遇到问题时候查找问题所在的设备，比如常用的cacti之类的工具，不足主要是实时性不够，有时候短时间的异常这类工具根本无法采集到数据。

10.希望日志存储多长时间？是否有必要销毁？
根据业务需求和存储的大小合理决定存储的时间，如果确认日志没用还是要进行销毁的。

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
如果有充足的预算的话考虑建立SIEM平台，毕竟安全对于互联网行业是至关重要的。

12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
希望OSSIM平台可以帮助运维人员快速定位安全问题出现的位置，并给出建议的解决方案。目前并没有使用过OSSIM平台，如果有相应的培训会考虑去学习下。

作者: dengbao2001 时间: 2015-01-22 16:43
这个活动不错，支持下！

作者: forgaoqiang 时间: 2015-01-22 17:26
这明显是运维人员的菜日志好日志妙日志呱呱叫~

作者: qingduo04 时间: 2015-01-22 22:35
火前留名。。。。。

作者: typuc 时间: 2015-01-22 22:50
本帖最后由 typuc 于 2015-01-22 22:55 编辑

1.请举例说明CLI方式下如何分析系统日志？
tail -f /var/log/XX.log|grep -a3 --color '123'
打印及时日志，查询包含123关键词的前后3行记录，并标明颜色

2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？

开源的话，目前正在测试环境使用logstash+elasticsearch；初步使用达到预计效果，可以按照业务，服务器（多台服务器比较实用），日期进行分类显示，并按照特有字段进行模糊和完全匹配查询；服务器端故障恢复后不会丢失日志。之前公司实用的是mongodb存储，当时mongodb死掉后，造成业务日志写入堵塞应用也死掉了，后面也就废弃了。商业的没用过。业务访问日志用的awstat如果你的IP地址库比较新的话，对访问来源地分析比较准确；由于我们在多线机房架设了代理，日志格式上需要单独配置，以便获取到真实的IP，而不是代理的Ip。

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？

系统主要是linux日志，及时日志查看；过期日志脚本打包清理回传公司。

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？

  集中存放展示，定期清理打包。日志平台展示时候担心系统磁盘瓶颈和高可用问题。

5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？

一般不查看，排查业务故障协助开发人员查看及时日志；关联分析没有了，只有根据业务提示查询下一个业务日志。

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？

  漏洞可能会造成攻击，进而诱发流量激增，进一步触发相关报警。对日志监控，nagios有个check_log插件应该可以满足，但是要针对不同设备定义不同的报警值。

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。

目前没遇到网络引起的故障，一般不要乱修改配置，网络还是很稳定的。
案例：
   之前遇到一个tomcat应用无法访问，查看catlian.out日志，发现大量的“can't creat new connection”,修改tomcat最大连接数后，能坚持1-2分钟，又不行了。然后数据库负载报警，登陆数据库服务器，发现大量来自这个应用服务器的连接，数据库慢查询日志最高的sql执行20多秒，把这个sql给dba,优化后解决。

8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？

这个没有。难度：格式统一处理，web展示，数据库压力。

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？

用作资源使用趋势监控，用于扩容分析。目前用的cacti,自己用shell+snmp MIB 写了简单插件监控java jvm参数。cacti 5分钟间隔太长了监控粒度不够细。

10.希望日志存储多长时间？是否有必要销毁？

这个要看行业和业务类型。一般的tomcat日志我们保留2周，业务日志保留半年。

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？

希望了解，如果一个平台能解决大部分的问题，当然好。

12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？

之前装过，后面忙就没深入学习。有条件的话希望参加。

作者: action08 时间: 2015-01-22 23:14
很多大公司已分开这部分了

感觉是一个有趣的话题

作者: baochenggood 时间: 2015-01-23 15:37
1.请举例说明CLI方式下如何分析系统日志？
通过脚本，截取出关键字，分析的
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
GoAccess 分析nginx日志很好很强大
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
linux通过自己自定义脚本，收集到日志服务器，window的就直接看了，没收集
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
日志存储，存储在单独的一台虚拟机上，日志监控平台，在研究，架设肯定有这个必要
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
一周分析一次，绘出数据图，综合分析
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
记录起来，问售后
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
排除故障，肯定要分析日志的
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
这些应用，用到经常用，通过web界面图形化，可以用GoAccess 绘个简单的图

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
监控，预警，
10.希望日志存储多长时间？是否有必要销毁？
一个月销毁，不销毁，浪费磁盘
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
呵呵，考虑建设，参考李老师的书，学习，学习
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
肯定会考虑

作者: hexilanlan 时间: 2015-01-23 15:51
好多经验。。。。。

作者: 2009532140 时间: 2015-01-23 17:23
火前留名。。。。。

作者: lanni654321 时间: 2015-01-23 23:25
提示: 作者被禁止或删除内容自动屏蔽

作者: expert1 时间: 2015-01-24 20:48
logstash/ splunk / Elastric Search 专业分析日志的工具。

作者: chenyx 时间: 2015-01-24 22:44
本帖最后由 chenyx 于 2015-01-28 22:18 编辑

1.请举例说明CLI方式下如何分析系统日志？
  主要采用grep过滤关键字,比如检查web日志,搜索POST关键字,可以找到文件上传的日志

2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
  商业的木有用过,开源的,用过awast,基本上对于日常运维足够了

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
  目前没有统一的日志存储.

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
目前没有,正在考虑架设集中日志管理平台.

5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
  基本上每周2次吧,有时候每周一次.如果有严重问题,肯定会进行分析的,关联分析倒是没做过.

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
目前主要通过nagios+cacti进行网络检测,有问题直接会发告警邮件,问题严重的时候,肯定会进行多个设备报警信息的综合判断.

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
排错以及故障排查,分析日志是最主要的工作.没有日志,根本没有解决问题的方向.
网站遇到攻击,第一步肯定是先分析日志,看看攻击是什么类型的,然后针对不同的攻击类型采取相应的措施

8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
目前还没有将日志存储到MySQL.

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
主要进行网络监控,以及出问题的时候进行告警.网络流量监控主要通过cacti,不足之处就是5分钟太长了,粒度不够,只能看到大致趋势.

10.希望日志存储多长时间？是否有必要销毁？
基本上按照有关部门文件要求,保存90天的时间,到期就删除了.

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
有机会会考虑建设统一的平台来整合我的监控系统.

12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
  有培训肯定会想办法参加的.

作者: niao5929 时间: 2015-01-25 14:11
最开始使用LINUX系统就觉得它可以让我知道计算机本身都干了些什么东西。日志系统确实给了我们很多处理问题的提示。和WINDOWS相比。这好很多。WINDOWS系统经常是不知道什么原因，因为它的日志本身就是说的不明不白的。让人一头污水。

作者: ivysummer 时间: 2015-01-25 15:36
我们在使用Splunk做产品环境的日志分析，一般的方式是在服务器上安装splukforwarder,将需要分析的日志传送到splunk服务器上面。给每个开发人员都分配账号，这样它们不用登陆服务器就就可以查看产品环境的日志了。Splunk的功能很强大，通过命令也可以生成图标，进行分析，还可以设定在一个时段内遇到多少错误时报警。
除了Splunk之外，开源的日志分析工具还有LogStash或者是Graylog2，没有仔细研究过。

作者: 睿智2012 时间: 2015-01-25 17:09
高大上的话题，来学可习

作者: fengzhanhai 时间: 2015-01-25 18:36

好活动顶一下

作者: niao5929 时间: 2015-01-26 08:31
很高深的日志分析没有搞过。所以很想看看楼主的书，看完了才好写体会。呵呵。去年的里纳斯自传一晚上就看完了。然后写了篇长博文

作者: hexilanlan 时间: 2015-01-26 08:52
能看书就很好了。。。。

作者: bbskuang 时间: 2015-01-26 12:54
本帖最后由 bbskuang 于 2015-01-26 13:05 编辑

过来顶一贴。

作者: to407 时间: 2015-01-26 14:48
日志方面，非常喜欢splunk。。。可惜不是开源的项目。

作者: action08 时间: 2015-01-26 19:01
这本书蛮有价值的，获奖的同学如果兴趣不大，我可以积分购买一本

作者: minarvin 时间: 2015-01-27 08:56
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
开源的日志分析工具用的比较少，商业的目前使用hp的arcsight，arcsight的强大之处在于事件处理能力和事件关联分析功能，目前平台每天9000万条的数据量，感觉性能和日志压缩都还可以，之前测试过splunk，splunk的日志搜索速度很快，但是功能没有arcsight强。
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
unix，linux系统日志直接syslog发出来，windows使用wmi接口,网络设备一般也是syslog，netflow；snmp用的不多。
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
当前日志采用集中存储设置，但是会考虑运行日志和业务日志进行分离，日志的存储采用非关系型数据库。当前遇到的问题:1)海量日志的存储需求；2）时间跨度较大的日志查询速度慢；3）日志集中后权限控制的问题。
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
当前已在日志系统中设定好告警规则，只有触发告警或业务有问题时才会去查看日志系统，告警规则设定会根据需要进行事件的关联分析配置。
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
每个设备的流量和session状态肯定都是有规律和固定的，可以根据历史数据建立基线，触发告警；网内的资产一般都会每年都会进行2次漏扫，这样可以把漏扫的结果导入到日志平台完善安全模型，当攻击和漏洞温和时触发高危事件。
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
对于网络流量的监控，单纯的阀值告警意义不是很大（只有严重到一定程度才会触发告警，而且每天的流量也不会是一条直线），我希望是用一个月或更长时间的数据以周为单位建立一条动态的基线，每天同一时刻与动态基线对比变化幅度大于5%的就生产预警。
10.希望日志存储多长时间？是否有必要销毁？
希望在线日志半年，归档日志保留3年。一些业务的日志需要保留的时间会更长一些。
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
已经部署了，效果还不错。特别是接入了业务日志后，平台想象空间很大。
12.说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
OSSIM平台没有用过但是希望能够提供以下功能：1）运维方面，根据日志生成系统、应用、网络设备告警并提供查询全文检索，多条件过滤 2）安全方面，对高级别安全事件告警，根据趋势提前预警 3）合规审计
面临的困难：安全模型的定义；
如果有培训当然希望能参加。

作者: cgweb 时间: 2015-01-27 09:16
minarvin，能否介绍一下使用的何种SIEM产品，感觉怎样呢？

作者: to407 时间: 2015-01-27 11:12
本帖最后由 to407 于 2015-01-27 11:22 编辑

1.请举例说明CLI方式下如何分析系统日志？

对于在线日志，  我经常是定期去取，然后关注关键字，比如下面的一行脚本会统计某节点上的ORACLE DB alert里面告警信息，并统计数量。

for i in  HOST_LIST
do
echo " "
ssh host$i "hostname;ls $_TRACE_DB1_LD; egrep 'ORA-(00600|00700|00240|00494|07445)' $_TRACE_DB1_LD|sort |uniq -c | tee >( wc -l)"
done

2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？

商业的工具我最喜欢splunk。
开源的我们尝试 logstash。

其实我们平时的话，在不同的生产环境下，需要关心的log也是比较特定的，没必要用大而全的平台。重点关心一些日志，通过邮件或者短信告警就行了。

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
windows的日志比较难处理，因为filedes一直在写的原因不能移除日志，只能定期做一些备份，维护的时候删除一些。

Linux就比较好，可以把文件打tar包备份，然后把原来的文件用echo清空以继续写。  tar的文件目标经常有多个，也比较固定，可以脚本化，配合scp 放到固定的地方。

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
目前来讲就是远端存储，通过ssh管理。有时候也用nfs挂载。
像一些oracle的日志，也用tfa来通过浏览器管理分析。

5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
基本上我的环境半个小时都会收集关键数据，严重的问题几分钟都会轮询一次。收集信息的话，像cup memory的信息都要。

分析的时候，收集到系统信息，如cpu/mem  都可以通过 gnuplot打成图形来格式化。比较直观

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？

比如网卡，路由等设备的日志，如果出现异常，那么要看是否反应在我的产品日志里，看产品的网络心跳，主从通信是否正常。

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。

在很多时候日志有用，我比较关心的是什么时间点/timestamp,  日志发生大的变化，然后找那个时间点附近做了什么变更操作，或者一些安全策略的变动。

经常用来排错，

比如曾经遇到过OVM /XEN的环境下， host和guest无法ssh通信的缘故，查找log发现大量的netfront错误。

Nov  5 21:32:18 guest01 kernel: xen_netfront: GSO size must not be zero

通过排查是OVM的bug，换成新的linux kernel patch就解决。

类似的也有因没有禁止LRO 导致guest性能下降，通过改参数禁用LRO，比较网络IO的gnuplot输出，比较直观的看到变化。

8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？

我没有这种打算，因为我目前需要关心的日志内容比较单一化，我关心单独的产品，关联的日志也就是一些需要的系统日志和负载信息。

所以目前来讲，  集中化的管理界面没有紧迫性。

当然我乐意去尝试一些开源的dashboard来做为监视器。  类似ansible tower的界面也不错。

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？

我做的流量相关的监控，主要是关注节点增加时，集群之间的通信成本，是资源的性能问题。

我个人觉得没有比较好的办法，我很希望有一个图形化的界面，把网络流量细化到端口/产品，来实时监控。

10.希望日志存储多长时间？是否有必要销毁？

日志在不需要的情况下就可以删除。

如果一些要求比较高的环境，我建议可以在删除之前，加入archive， archive可以再做一年或者更多时间的策略删除。

我这边没有必要，因为我的存储空间有限。当我得到了一些gnuplot的输出，我拿到了希望的结果以后，原始值就可以删除了。

同样，我的产品问题，如果说通过日志已经找出问题，解决问题了，那么这些日志就可以扔一边，加到删除等待队列了。

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？

单位有这样的产品。  但我个人目前来讲没有使用这个平台的紧迫性。

12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？

OSSIM的想法很好。我希望这个平台可以更加模块化，插件化，这样我可以在dashboard里只选我需要的。

我认为OSSIM的最大问题，就是功能模块太多，但没有商业软件那种细化需求和界面。这样的话，我自己就不会去尝试所有的检查模块。

作者: godamen 时间: 2015-01-27 11:14
1.请举例说明CLI方式下如何分析系统日志？
日志通常以文本文件按服务日期存储,用脚本按分钟抽样,手工以tail和grep为主
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
web日志实时用logstash+elasticsearch,每日分析用awstats,每周分析用analog,都是开源产品最终以web方式浏览
系统日志用商业产品splunk,开源用logstash+elasticsearch,每日用logwatch及自制脚本作简报
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
syslog-ng实时汇总到日志服务器,Windows服务器很少所以不做收集
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
syslog-ng+syslog做集中存储,logstash+elasticsearch和splunk做分析
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
报警或及常时会进行查看,会进行关联分析
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
日志彼此关联,会相互影响,相互配合找出源头
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
会查看日志了解攻击是何时开始,针对哪些服务,并最终影响哪此服务和服务器并加以解决
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
snort等少量系统日志会考虑存入mysql,apache等大量web日志不会考虑.
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
nagios+cacti作报警及图表,snort做入侵检测,iftop实时查看流量.nagios流量插件有时取值会失败.
10.希望日志存储多长时间？是否有必要销毁？
尽可能长时间的保留
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
有现成免费的可以考虑
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
还未使用,鸡蛋放在一个篮子里也会有点风险

作者: xuexiaogang 时间: 2015-01-28 13:09
有几万大神回复的真多

作者: minarvin 时间: 2015-01-28 20:27
回复 29# cgweb
使用的hp的arcsight，感觉还可以，功能比较强大。

作者: cgweb 时间: 2015-01-28 20:39
回复 34# minarvin

详细介绍一些arcsight使用感受吧

作者: minarvin 时间: 2015-01-28 21:59
arcsight的优点：
1）成熟的商业软件比较稳定，支持的日志格式也很多；
2）安全模型比较成熟；
3）日志的存储采用非关系型数据库，压缩和效率比较高；
4）日志可以做复杂的关联性分析；
5）功能挺丰富输出的形式也很丰富：dashboard，表报，活动频道，活动列表等等。
缺点：
1）商业要收费，而且也不便宜；
2）使用配置比较复杂需要专业的人来维护，使用推广不是很好；
3）实施完成后续运营是个挑战，我感觉很多soc的项目最终都失败了主要就是后期的运营跟不上；
4）平台比较封闭无法做到自主可控。

作者: cgweb 时间: 2015-01-29 09:18
回复 36# minarvin

不错，关注一下OSSIM，看看他两之间主要差异在哪些地方？

作者: cgweb 时间: 2015-01-29 09:21
回复 36# minarvin

SOC后期运营需要注意哪些地方呢？想听听您的高见。

作者: pu2182_cn 时间: 2015-01-29 15:36
1.请举例说明CLI方式下如何分析系统日志？
      可以查看/var/log下的系统日志，需要查什么就查看相关的日志。
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
      目前使用的fluentd 插件来采集nginx，wowza流媒体服务器和应用程序的日志。所需要的日志格式 fluentd 可以通过使用正则表达式灵活配置。入库可以支持各种格式，目前入到mongodb库中。感觉日本人做的这个软件比较好用，缺点是资料不是很多，有些坑只有做过才能迈过去。
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
      目前使用的fluentd 插件来采集nginx，wowza流媒体服务器和应用程序的日志。
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
      日志存储在mongodb库里。没有特殊的日志存储方案。mongodb库采用分布式存储方式，切片方式。
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
      目前我司有针对日志的日志应用系统，有实时的查询和统计。
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
      网络设备的告警日志，之前做过得项目是通过snmp主动采集或者trap告警或者syslog告警的被动方式采集。设备流量包括漏洞也是有可能产生告警日志的，视告警的紧急程度进行处理。
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
      会的，只要是日常的日志工作做得好，当有系统故障或者网络故障是，日志系统中会有相应的数据呈现，比如ping时延大，设备cpu，内存，网络带宽利用率高等。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
      目前未进行如此处理。入库到支持大数据量的NoSql库mongodb中。
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
      目前是通过zabbix对服务器进行的流量监控，超出阈值发送告警信息。
10.希望日志存储多长时间？是否有必要销毁？
      目前我们是保留三个月的。
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
      可以考虑
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
      无。

作者: minarvin 时间: 2015-01-29 22:57
回复 38# cgweb
高见谈不上了，我感觉平台运营好需要注意：
1）要有专业的人来维护管理，最好不要老换人；
2）用户视图接口要友好便于推广，平台应该仅仅是管理员自己来用的；
3）功能不仅仅限于一些没有太大意义的报表的输出，应该是能够为主机，中间件，应用，网络设备，网络安全等生成对运维有帮助的告警、报表等；
4）平台的运营过程可以参考戴明环pdca进行持续改进和优化，是一个动态的过程，不能够是一次实施便固定不变；
5）新需求和新资产接入的需制定相应的申请规范和审核制度，控制平台输出的条例。
6）最好能够把平台做到信息管理系统的portal中实现单点登录并于工单系统想结合，高级别的事件的处理必须实现闭环。

作者: laputa73 时间: 2015-01-31 20:58
本帖最后由 laputa73 于 2015-01-31 20:58 编辑

传统的日志分析工具主要是 awk,sed,perl
如果数据量不大，mysql也是可以胜任查询工作的。
说到流量监控，就是mrtg/cacti
这两个没有本质区别。用在少量的端口监控还是很好用的。
后端的rateupex/RRDTOOLS的环形特征也可以很好胜任数据压缩和简单统计的要求。

到了云和大数据的时代，
目前比较火的是ELK组合（logstash+Elasticsearch +kibana）, 或者flume+hadoop组合
对于日志这类非结构化数据，正是nosql的用武之地

作者: zhangxuan3210 时间: 2015-02-01 22:10
如下为个人见解，还请各位拍砖指正。
1.请举例说明CLI方式下如何分析系统日志？
一般都是在linux下面通过脚本awk,sed,grep或基础的shell脚本进行分析
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
目前开源日志分析工具(iftop,ngxtop)脚本和ELK平台等能够满足一些常用基础需求，但针对一些比较复杂的需求需要进行二次开发，可扩展性稍差。
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
针对一般的linux的各种日志，会通过日志采集端实时异步采集到HDFS集群。以便进行数据分析和统计
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
目前的日志存储方案为两种，针对异常日志，主要采用是ELK方式，将异常日志通过logstash采集消息队列Redis中，然后存储到Elasticsearch中，然后将异常信息通过kibana进行展示。
针对正常日志，主要采用HDFS的方式存储，将正常日志通过日志采集端，实时异步的采集到HDFS集群中，然后经过数据分析和统计，产生对应的报表，并进行展示。
目前采用的是集中日志管理平台，遇到问题主要是集群搭建比较复杂，性能不强，不能满足一些特殊需求。
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
在工作中每天不定期的会查看日志系统，对一些比价严重的日志会进行分析，在分析过程中，会进行关联关系的分析，以便找到对应问题。
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
这些是一些基本的信息，最后会关联到系统的上层应用上，是需要存放到对应的日志系统的，并进行关联分析。
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
一般会通过日志分析排除网络和系统故障，比如会查看系统日志是否有丢包现象，通过文件系统日志查看是否有文件系统损坏等。
一般当受到网络攻击时，会去查看应用层系统日志，查看流量信息是否比之前有上升，具体是那些ip请求进行的攻击等，然后会设置不同阈值进行封禁。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
这个目前没有，这个认为日志太多，无法全部存储到mysql中，并且日志信息量较大，不建议全量存储，建议将日志分析后的结果存储到mysql中，然后进行web展示
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
目前流量监控系统主要查看各个服务的流量，然后会根据关联关系，描绘出关联关系间的流量关系，以便查看哪些服务的流量较高，以便根据容量评估进行扩容。
存在问题:目前针对服务的容量评估无法有效进行，导致容量评估不准确，另外，由于服务不出为物理机部署，导致扩容成本较大，无法快速进行扩容。
10.希望日志存储多长时间？是否有必要销毁？
日志存储有两种需求，针对不同需求进行存储，一种是需要进行问题排查，可能需要近期的日志，这部分日志可以保留7天即可；一种日志是以便追溯或后续数据挖掘使用，需要永久保存，这种日志保存方式可以进行压缩。
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
考虑在企业中建设SIEM平台，构建统一的日志分析报警系统。
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
OSSIM是一个开源安全信息管理信息，能够将开源软件进行集成，提供统一式的日志采集，日志分析，系统监控和展示功能，以帮助解决运维人员快速定位的问题。OSSIM中的组件较多，框架本身学习代价较大，如果有对应的平台部署和培训，愿意参加。

作者: cryboy2001 时间: 2015-02-02 09:54
1.请举例说明CLI方式下如何分析系统日志？
公司有人发到对方的邮件对方收不到，查找原因：
（1）、先在邮件服务器上找到这个人的这封邮件编号
grep honghwa /var/log/maillog
.....................
Feb 2 08:53:09 mail policyd: rcpt=2178, module=bypass, host=221.24.3.26 (unknown), from=sten.si@oase-lngwater.cn, to=honghwa@shannat.com.cn, size=6746
Feb 2 08:53:27 mail amavis[28200]: (28200-10) Passed CLEAN, LOCAL [221.24.3.26] [221.224.3.26] <Sten.Si@oase-lngwater.cn> -> <honghwa@shannat.com.cn>, Message-ID: <5976FF65031D8B488DBE2412DB4D0E5D065A1FE8@OTC-EX.cn.pumpen.com>, mail_id: JIEOTXpMNwH2, Hits: 0.468, size: 6907, queued_as: 3E2D2C0EB5, 17726 ms
Feb 2 08:53:27 mail postfix/smtp[30364]: 35FF4C0E1A: to=<honghwa@shannat.com.cn>, relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=2.8/0/0/18, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 3E2D2C0EB5)
Feb 2 08:53:27 mail postfix/pipe[30390]: 3E2D2C0EB5: to=<honghwa@shannat.com.cn>, relay=dovecot, delay=0.62, delays=0.06/0.04/0/0.53, dsn=2.0.0, status=sent (delivered via dovecot service)
（2）、查找与这封邮件有关的所有日志
[root@mail log]# grep 41441C0E1A 、/var/log/maillog
Feb 2 08:36:25 mail postfix/smtpd[28589]: 41441C0E1A: client=unknown[58.11.62.43], sasl_method=LOGIN, sasl_username=honghwa@shannat.com.cn
Feb 2 08:36:25 mail postfix/cleanup[28453]: 41441C0E1A: message-id=<007e01d03e82$ff771810$fe654830$@shannat.com.cn>
Feb 2 08:36:25 mail postfix/qmgr[13975]: 41441C0E1A: from=<honghwa@shannat.com.cn>, size=8390, nrcpt=1 (queue active)
Feb 2 08:36:28 mail postfix/smtp[28462]: 41441C0E1A: to=<nishio@seid.arrsha-world.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.5, delays=0.08/0/0/3.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8EE22C0EB5)
Feb 2 08:36:28 mail postfix/qmgr[13975]: 41441C0E1A: removed
（3）、再分析问题，（上面的是没问题的）

现在的公司是制造业，领导对安网络方面不懂，公司的服务器不是也很多，对于网络安全上的投入比较少，都是用开源的系统做的。用rsyslog+loganalyzer做为集中日志系统与查找与分析工具，监控是用nagios与cacti做成的，用来监视网络中流量与设备的性能等。在win下收集日志就是与rsyslog对应的evtsys，以用与nagios用的mk_check agent做为收集信息。
在实际的工作中要用到日志的地方，还是不多的，只是有时稍微看看，一般不出现问题都不查看。出现了问题或收到报警时才来来查看与找解决方法，公司日志只存了一个月，过时自动删除。这个要与各公司的情况与安全来决定的，很难说到底要保存多久，要不要删除。

曾在李老师的《Linux企业应用案例精解》中看到了关于OSSIM平台的安装，了解了一下，还没有动手实践，有空再试试。OSSIM是一个完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。

作者: yoyosys 时间: 2015-02-02 17:51
1.请举例说明CLI方式下如何分析系统日志？
  系统日志、应用日志通过SYNC软件进行实时同步到日志服务器，然后通过监控软件zabbix进行关键字监控，如系统日志中的err、painc，oracle数据库日志中的err、ORA等关键字，应用报错日志也通过特定字符进行实时监控，有故障发生发邮件、短信告知相应运维人员进行处理，处理完故障会发故障恢复通知。
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
  开源没有用过一直觉得对于大量日志的分析开源在兼容性方面不是很好（也许是没有找到更合适的软件），商业软件中使用过splunk进行过日志分析，商业软件的最大好处就是安装、配置方便，日志监控配置简单、图形的界面、报表功能全如果单位有预算是个不错的选择
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
  通过SYNC软件配置实时把系统日志、应用日志同步到指定的日志服务器上面（日志服务规划需要大容量的磁盘）
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
  目前已实现关键应用日志的集中存放，并有制定相应的日志保存策略，日志生命周期的管理可大大的节约日志服务器的磁盘空间。日志集中管理目前碰到最大的问题就是单个应用日志服务器过大，通过日志分析工具无法进行打开并监控，针对大的单个日志文件需要再根据关键字进行重定向，增加日常工作量。
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
  通过zabbix开源监控软件一般理论上是实时对日志进行关键字检测的，日常也对关键应用进行监控，碰到故障人工进行日志分析。
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
  网络异常流量、服务器异常通常需要结合起来进行分析、找出具体的故障原因
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
  目前没有尝试，实现的难度主要是在需要对各中应用进行深入的了解，同时对于关键字的判断需要精准，否则容易出现大量无用日志信息
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
  主要监测日常网络流动是否正常，针对瞬间的网络异常流量提供发警告的自动方式（邮件、短信）通知网络工作人员进行日志查看、分析异常原因
10.希望日志存储多长时间？是否有必要销毁？
  关键核心应用日志一般存放时间为6个月，除法规规定外日志全部保留3个月，超过三个月进行自动删除。
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
必须先期对SIEM平台进行了解、对比是否比现有的日志监控更好，有财力、人力的条件下更好用会考虑进行整合
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
对于OSSIM有过了解，但不深入，网络共享的相关技术文档较少，没有学习的平台

作者: faint4 时间: 2015-02-02 19:04
持续关注中...
作为乙方公司为了满足客户提出的需求简单接触过日志分析类产品如IBM Qradar，HP ArcSight ，Splunk，包括参考楼主的博客部署OSSIM，主要是做日志安全分析和日志集中存储，理解水平仅是安装部署。
基本上以上产品均能采集常见系统、网络设备、应用等输出的日志集中存储并进行关联，也有丰富的图形输出和检索模板。但包括厂商工程师能玩明白的人不多，自己也没机会在相对丰富的环境上部署应用加以理解。
赞同minarvin的总结，个人感觉客户们都意识到或有明确需求进行日志集中管理存储，然后再进行日志关联分析，均有较高期望。但双方均缺乏丰富经验，部署不同应用后海量的日志造成的存储、分析、警告、处理响应涉及到的面也很广，不仅仅是IT运维人员就能独自解决的，内部部门间需要协作，外部需要厂商或供应商持续的支持，不简单是交付一个产品那么简单，需要当成一个项目持续完善。
这些产品均有自动化的接口，有很大的想象力空间，搞明白了能向SOC方向发展。

作者: ccjsj1 时间: 2015-02-04 09:24
1.请举例说明CLI方式下如何分析系统日志？
      通过系统命令vi、grep、more、awk等查看或写脚本加入计划任务分析并发邮件通知
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
      开源日志分析工具，免费，没有技术支持，需要自己研究，学习进度较慢；
      商业日志分析工具，需要费用，有技术支持和培训，学习快，部署快；
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
      使用rsyslog+loganalyzer日志平台手机linux、windows、网络设备日志；
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
      目前使用pc server+rsyslog+loganalyzer收集日志，当日志超过1000万行后感觉搜索特别慢；
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
      每日会查看分析,并对严重日志进行分析，会进行关联分析；
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
   主要靠人工分析，定期对应用和系统进行升级打补丁；
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
      会的，比如我们服务器受dos攻击，当时通过防火墙日志分析找出来源IP对其屏蔽。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
      目前使用pc server+rsyslog+loganalyzer收集日志，当日志超过1000万行后感觉搜索特别慢；
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
      目前是通过cacti对交换机端口进行的流量监控，当达到警戒线时会主动发邮件通知相关人员；
10.希望日志存储多长时间？是否有必要销毁？
      目前保留3个月的，根据需要会删除部分,保留关键日志
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
      是的
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
      Ossim可以为运维人员提供一个直观的界面,对整体状况有直接的认识；
      Ossim目前没有较完整,官方的文档共学习,自己摸索与同行交流!!
         希望有培训可参加；

作者: gymgod 时间: 2015-02-04 17:29
1.请举例说明CLI方式下如何分析系统日志？
      主要是看到遇到什么类型问题，要对不同种类的现象要有快速初步分析的办法，这样比较容易去查询相对应的日志，要设定好JVM的gc,threaddump,heapdump的输出方式，问题发生后争分夺秒把需要的信息备份，充分运用好基本的命令组合，netstat, jamp, jstat, telnet结合对log里面怀疑的可能情况。
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
      基本上都在使用IBM IM里面的工具集，也用一些开源工具，TDA就很好一个分析threaddump的工具,
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
      通过rsylog工具，或者是用rotate log就可以有效管理好日志了。
4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
      我接触的大部分项目都会有一部跳转服务器去存储日志，假如机器遇到假死现象很容易造成不同步现象
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
      假如有有效的监控工具，例如nagois, Zabbix可以设定触发器，不需要经常性检查log报错，或者在问题机器启动时可以偶尔关注log情况。
6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
      这个问题太宽泛，没有具体情况，一个组件出现问题都不会是独立的影响呈现的，一般来说最好就是给异常现象在监控工具中设定阀值，定义问题的发生现象。
7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
      会的，在一次僵尸网络攻击中，我们分析日志，然后建立相应的防火墙规则把可疑访问过滤。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
      没有这种做法，监控工具能实现类似功能，实时发出要求log片断，然后会呈现在gui上
9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
   流量监控能对可能存在的异常情况提前预警，但是流量异常的可能性太多，误报警的几率变大。
10.希望日志存储多长时间？是否有必要销毁？
      日志管理很重要，一不小心或者成为系统问题的元凶，我做法是核心数据保留3个月数据，设定crontab压缩7天外的log，然后做好log的分段，不要产生太大的log文件，不然容易导致io问题。一般系统保存一个月，7天外数据压缩，而且要设定好对于log挂载文件系统大小的监控。
11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
      可以考虑
12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
      集成化系统肯定是易于管理，然后释放出有用的资源，但是无论多聪明的系统，都是靠人给定它好的判断条件，所以有一个运维大牛还是必须的。
      对于OSSIM的学习从网上零零散散找了些资料，不是很清楚，如果有这样的机会，肯定会去啦。

作者: guoyahe2012 时间: 2015-02-04 17:54
1.请举例说明CLI方式下如何分析系统日志？

一般会使用一些日志分析工具，例如logminer等进行分析，另外就是自己编写shell（awk，grep，sed等）或者python等脚本收集数据，然后再利用excel或者其他统计分析工具针对收集的数据，进行定期或专门分析。

2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？

开源日志分析工具，比较灵活，种类也比较多，也可以在其基础上做二次开发，但是技术支持不足，后续版本更新以及bug修复无法保障，商业日志分析工具，比较稳定，技术支持比较好，但是需要收费，并且需求变更比较困难。

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？

Unix/Linux下的日志一般通过脚本或者日志收集工具，进行采集，然后汇总统一分析。Windows平台上的日志，一般会利用事件查看器直接查看系统日志，或者导出后，再利用相关工具进行分析。

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？

现在存储到关系数据库中。已经考虑搭建日志集群，例如kafka集群，目前正在测试阶段，遇到了不少问题，例如分布式部署等
5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？

每天定时查看日志，同时通过监控系统进行邮件或ejabber报警，对其中告警级别比较高的日志进行关联分析。

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？

这些告警日志之间存在关联关系，通过搜集这些网络设备产生的各种日志信息，并进行统一分析，进行数据挖掘，进而可以预测网络设备的可能故障点，进行预判。

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。

一般都是通过日志分析来排除网络或者系统故障。遇到网络攻击时，会分析防火墙访问日志，根据异常流量进行判断，同时也会对web日志进行统计分析。

8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？

曾经尝试将jetty，ngix日志存储到mysql，然后自行开发前台展现程序，实现功能较为有限，开发周期长。

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？

主要可以起到合理疏堵作用，保证正常的工作流，但是流控策略不太好设置，不灵活。

10.希望日志存储多长时间？是否有必要销毁？

日志存储应该具有其生命周期，但是具体时间需要根据具体业务，场景来定，例如做数据挖掘，需要保存时间相对较长。一些敏感数据，如果无用，必须要销毁。

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？

考虑建设SIEM平台，用统一的portal进行管理，但是会考虑成本以及实施难度，和后续运维的问题。

12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？

听说过该平台，但是没有使用过，如果有机会学习的话，愿意去了解，如果有可能，会部署到公司的测试环境进行测试，如果可以实现公有云的日志管理分析，更佳

作者: 晨阳 时间: 2015-02-05 14:44
1.请举例说明CLI方式下如何分析系统日志？
使用grep、awk等命令截取关键字进行分析。
awk "{print $7}" access.log | sort | uniq -c | sort -nr | head -20

2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
使用了awstat，但感觉不太实时，展现效果也不太满意，正在寻找其他的方式

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
都是Linux系统，主要通过rsync同步到一台服务器上。

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
目前就是使用一台容量大的服务器，以后随着业务增加以及对日志的分析需求，会考虑增加。

5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
一周2-3次吧

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
目前没有日志的分析平台，主要是靠人工分析，15年的目标也是建立一个集中的日志分析平台，希望能对业务、系统安全有帮助。

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
会。
会通过分析访问日志去暂时封掉攻击的IP地址。
awk "{print $1}" access.log | sort | uniq -c | sort -nr | head -20
查看到访问量最大的IP地址，使用nginx封掉。

8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
没有找到合适的工具来分析。之前使用rsyslog将部分日志存储到mysql中，但如果日志量较大，会占用掉一部分内网带宽。

9.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
查看带宽占用情况，算是活动上线、高峰期的一个监控项目；查看流量趋势已判断是否需要扩容等。目前使用cacti，颗粒度有点大。

10.希望日志存储多长时间？是否有必要销毁？
有空间的话就一直存着。目前是本机保留一个月的日志，一个月之前在本机删除，仅保留日志服务器上的压缩包。

11.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
会考虑，首先考虑开源实现方案。

12. 说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
之前没怎么接触过，近期会开始学习，尝试。有培训肯定参加。

作者: niao5929 时间: 2015-02-05 18:44
自由软件教会我的是自己需要对自己的一切负责。而不是我们把我们安全交给一个厂商。事实上我们花钱买到的只是个心理安慰而已。

作者: sense565 时间: 2015-02-07 15:57
回复 1# cgweb

1.请举例说明CLI方式下如何分析系统日志？
常用到的几个命令有find、findstr、egrep、grep等
Shell、python结合网上别人公布的，进行改到自己适合的.
但是很有必要自己手动去分析日志. 这里先提一点，很有必要一个专用的日志服务器！
有没有考虑过日志被攻击者给清理了。该如何恢复？我指的是不是删掉的意思，而是攻击者把自身IP清理了！

2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得？
Awast、 logstash
比较好的WEB审计工具WEB日志安全审计工具 V1.0
:支持IIS的W3C、Aphace、Tomcat、Nginx四种日志类型的解析。可以从中发现SQL注入、XSS、IIS写权限漏洞利用攻击
( 亲，  我不是来给别人打广告的！！！)

商用的要钱，但开源的不合自己的意愿. 要是一般小公司老板理你都傻的. 除非老板本身就是一技术牛懂得这些
其实有很多取证的工具可以用。科莱Colasoft Capsa 7也是windows下的，有网警叔叔在用哦！我现在还没有想到.后续再补

3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志？
看了上面各位哥哥写的分析各种日志. 但我觉得，收集日志以及收那些有用的。怎么收集
以下内容copy的，应该是一名网警叔叔。因为我都记录下来了. 或许真的用上的时候有用！内容很多，我只截取一部分好了：
检查系统层后门
检查history历史操作记录
检查系统服务
检查启动项
检查系统执行计划
检查系统日志特别是tomcat日志

1.常用账号后门
检查如下账号的口令是否被改变用作后门：
bin，daemon，adm，lp，sync，shutdown，halt，mail，news，uucp，games
  gopher，ftp，nobody，xfs，named，gdm，sys，nuucp，listen
特别是对上面的这些账号检查 /etc/passwd，
   user_name :passwd : uid : gid : note : home_directory : shell
查看 shell 字段是否被改为诸如/bin/sh 之类的.
Linux 系统：
in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.ntalkd、
in.dtalkd、ipop2d、ipop3d、imapd、uucico、in.tftpd、bootpd、in.fingerd、
in.cfingerd、in.identd、in.comsat

4.介绍你目前的日志存储方案？是否考虑架设集中日志管理平台，又遇到了何种问题？
日志存储本机和同步独立一台服务器中, 当出现问题可以对照. 就算其中有人删掉了自身的信息。也可以在同步的服务器中查到。  该怎么查呢？麻麻问我为什么要跪着打字.

5.工作中多久查看日志系统，并对其中严重日志进行分析，是否进行关联分析？
人懒，有问题才查  zabbix报警短信提醒

6.由网络资产（服务器、网络设备）产生的各种告警日志，每个设备的流量信息、以及设备的漏洞信息，你认为他们之间存在什么样的关联，打算如何对待这些信息（处理的方式）？
针对不同设备定义不同的报警值

7.你通过日志分析来排除网络或系统故障码？当你遇到网络攻击时，会去主动分析日志吗？请用详细实例说明。
这是肯定的,DDOS攻击CDN分流有用吗？我存在这样一个疑惑。  如果攻击流量大于CDN平台呢？CDN 是否会把你这个站点给抛弃了？我对这个不了解。所以就瞎猜猜.开防,IP访问太频繁过滤

你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables，DNS等应用服务器日志存储到MySQL，再通过Web界面图形化展示？你是通过那些方法实现的，难度在哪儿？
这个我没玩过.
从《UNIX/Linux网络日志分析与流量监控》第51页开始, logstalgia
网上看文章后觉得叼爆了。然后发现这本书有讲

8.目前你所管理的网络中流量监控系统起到那些作用，又由那些不足？
Zabbix预警

9.希望日志存储多长时间？是否有必要销毁？
应要求保存3个月
10.是否考虑在企业中建设SIEM平台，以整合原先各种零散的监控和日志分析报警系统？
没用过，但可以考虑.

12.说说你眼中的OSSIM平台，能为运维人员解决那些事情，还有那些功能是它所无法实现的？你在学习、使用OSSIM中又遇到了那些困难？如果有OSSIM平台部署和应用培训是否会参加？
在chinaunix技术讲堂里面看了下视频。也从中了解了OSSIM  感觉是强大，真正又起来又如何就难说了! 有培训当然参加.

作者: shark010 时间: 2015-02-10 06:33
提示: 作者被禁止或删除内容自动屏蔽

作者: xuejavaweb 时间: 2015-02-13 09:32
大神级别的东西就是有点看不懂，是自己学的东西太少了。努力学习中。

作者: niao5929 时间: 2015-02-14 15:38
活动什么时候结束！！很想拥有一本。努力学习学习日志分析的更详细具体的方法和技巧

作者: shang2010 时间: 2015-02-14 17:08
看书很头疼，比较适合补充基础

希望能写个ppt介绍一下

作者: shang2010 时间: 2015-02-14 17:13
看书很头疼，比较适合补充基础

希望能写个ppt介绍一下

作者: cgweb 时间: 2015-02-14 20:45
本帖最后由 cgweb 于 2015-02-14 20:46 编辑

下半年，出版第二版的DVD光盘里附带PPT及视频。

作者: yejunlon 时间: 2015-02-15 17:32
草，，，，，
看个视频课程还要认证，搞什么活动

不看也罢。。。

作者: yejunlon 时间: 2015-02-15 17:34
回复 1# cgweb

本来论坛就是学习交流的地方，搞个活动还要认证。。。
超级鄙视！！！！

作者: sense565 时间: 2015-02-17 01:26
快出活动获奖名单拉！

作者: niao5929 时间: 2015-02-17 15:57
真心想拥有一本来学习。一定给我个实现愿望的机会哦

作者: cgweb 时间: 2015-02-17 22:28
有电子版可以下载

作者: niao5929 时间: 2015-02-21 10:00
又要颁奖了。我会中奖吗？？！！期盼很久啦

作者: niao5929 时间: 2015-02-21 14:03
有电子版的吗？？地址给我吧。谢谢哦。好好看看，学习下回复 65# cgweb

作者: cgweb 时间: 2015-02-21 14:21
购书地址：http://item.jd.com/11582561.html

样章试读：http://wenku.it168.com/d_001573516.shtml

ChinaUnix视频大讲堂：OSSIM4应用视频教程 http://edu.chinaunix.net/

作者: shang2010 时间: 2015-02-22 16:31
是啊，可以提供一份电子版么，

期待作者分享啊

作者: cgweb 时间: 2015-02-22 21:47
PDF下载： http://wenku.it168.com/d_001573516.shtml

作者: drjones 时间: 2015-02-27 05:29
提示: 作者被禁止或删除内容自动屏蔽

作者: cgweb 时间: 2015-03-13 17:59
本次活动，获奖名单已发布：http://bbs.chinaunix.net/thread-4171750-1-1.html

作者: pu2182_cn 时间: 2015-03-19 14:17
我这么认真的回复都没有获奖，受打击了！

作者: sense565 时间: 2015-03-21 14:16

我这么认真的回复都没有获奖，受打击了！　不会再爱了　不会再发了！　再见！

作者: jaxzhanglei 时间: 2015-04-15 14:17
提示: 作者被禁止或删除内容自动屏蔽

作者: cgweb 时间: 2015-04-20 10:19
还会有的。

作者: cgweb 时间: 2015-07-16 14:12
下半年新书即将出炉，到时候在增加奖品

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)