- 论坛徽章:
- 381
|
本帖最后由 chenyx 于 2015-01-28 22:18 编辑
1.请举例说明CLI方式下如何分析系统日志?
主要采用grep过滤关键字,比如检查web日志,搜索POST关键字,可以找到文件上传的日志
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得?
商业的木有用过,开源的,用过awast,基本上对于日常运维足够了
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志?
目前没有统一的日志存储.
4.介绍你目前的日志存储方案?是否考虑架设集中日志管理平台,又遇到了何种问题?
目前没有,正在考虑架设集中日志管理平台.
5.工作中多久查看日志系统,并对其中严重日志进行分析,是否进行关联分析?
基本上每周2次吧,有时候每周一次.如果有严重问题,肯定会进行分析的,关联分析倒是没做过.
6.由网络资产(服务器、网络设备)产生的各种告警日志,每个设备的流量信息、以及设备的漏洞信息,你认为他们之间存在什么样的关联,打算如何对待这些信息(处理的方式)?
目前主要通过nagios+cacti进行网络检测,有问题直接会发告警邮件,问题严重的时候,肯定会进行多个设备报警信息的综合判断.
7.你通过日志分析来排除网络或系统故障码?当你遇到网络攻击时,会去主动分析日志吗?请用详细实例说明。
排错以及故障排查,分析日志是最主要的工作.没有日志,根本没有解决问题的方向.
网站遇到攻击,第一步肯定是先分析日志,看看攻击是什么类型的,然后针对不同的攻击类型采取相应的措施
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables,DNS等应用服务器日志存储到MySQL,再通过Web界面图形化展示?你是通过那些方法实现的,难度在哪儿?
目前还没有将日志存储到MySQL.
9.目前你所管理的网络中流量监控系统起到那些作用,又由那些不足?
主要进行网络监控,以及出问题的时候进行告警.网络流量监控主要通过cacti,不足之处就是5分钟太长了,粒度不够,只能看到大致趋势.
10.希望日志存储多长时间?是否有必要销毁?
基本上按照有关部门文件要求,保存90天的时间,到期就删除了.
11.是否考虑在企业中建设SIEM平台,以整合原先各种零散的监控和日志分析报警系统?
有机会会考虑建设统一的平台来整合我的监控系统.
12. 说说你眼中的OSSIM平台,能为运维人员解决那些事情,还有那些功能是它所无法实现的?你在学习、使用OSSIM中又遇到了那些困难?如果有OSSIM平台部署和应用培训是否会参加?
有培训肯定会想办法参加的. |
|
免费注册
楼主: cgweb
发表于 2015-01-22 22:50
发表于 2015-01-24 22:44
