- 论坛徽章:
- 0
|
1.请举例说明CLI方式下如何分析系统日志?
通过系统命令grep sed等或写脚本手动定期去分析
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得?
目前使用的免费的开源工具来分析日志,没有统一的技术支持,需要自己研究或具备较好的技术功底
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志?
rsylog/自建日志平台,把日志同步到一台服务器中然后再做处理
4.介绍你目前的日志存储方案?是否考虑架设集中日志管理平台,又遇到了何种问题?
日志存储于日志服务器中,集中分析,可扩展性不好
5.工作中多久查看日志系统,并对其中严重日志进行分析,是否进行关联分析?
每日会查看分析,有报表分析
6.由网络资产(服务器、网络设备)产生的各种告警日志,每个设备的流量信息、以及设备的漏洞信息,你认为他们之间存在什么样的关联,打算如何对待这些信息(处理的方式)?
关联主要靠人工分析,定期对应用和系统进行升级打补丁
7.你通过日志分析来排除网络或系统故障码?当你遇到网络攻击时,会去主动分析日志吗?请用详细实例说明。
会的,比如我们服务器受到入侵,当时通过日志分析找出来源IP通过防CC对其屏蔽。
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables,DNS等应用服务器日志存储到MySQL,再通过Web界面图形化展示?你是通过那些方法实现的,难度在哪儿?
是存储于mysql,初步建设一个平台自动搜集
9.目前你所管理的网络中流量监控系统起到那些作用,又由那些不足?
目前是通过zabbix对服务器进行的流量监控,当达到警戒线时会主动发邮件和消息通知相关人员
10.希望日志存储多长时间?是否有必要销毁?
目前保留3个月的,根据需要会删除部分,保留关键日志
11.是否考虑在企业中建设SIEM平台,以整合原先各种零散的监控和日志分析报警系统?
是的
12. 说说你眼中的OSSIM平台,能为运维人员解决那些事情,还有那些功能是它所无法实现的?你在学习、使用OSSIM中又遇到了那些困难?如果有OSSIM平台部署和应用培训是否会参加?
ossim可以为运维人员提供一个直观的界面,对整体状况有直接的认识,但是在关联分析,APT这方面还有欠缺
ossim目前没有较完整,官方的文档共学习,自己摸索 与同行交流!!
希望有培训可参加. |
|