- 论坛徽章:
- 0
|
1.请举例说明CLI方式下如何分析系统日志?
日志通常以文本文件按服务日期存储,用脚本按分钟抽样,手工以tail和grep为主
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得?
web日志实时用logstash+elasticsearch,每日分析用awstats,每周分析用analog,都是开源产品最终以web方式浏览
系统日志用商业产品splunk,开源用logstash+elasticsearch,每日用logwatch及自制脚本作简报
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志?
syslog-ng实时汇总到日志服务器,Windows服务器很少所以不做收集
4.介绍你目前的日志存储方案?是否考虑架设集中日志管理平台,又遇到了何种问题?
syslog-ng+syslog做集中存储,logstash+elasticsearch和splunk做分析
5.工作中多久查看日志系统,并对其中严重日志进行分析,是否进行关联分析?
报警或及常时会进行查看,会进行关联分析
6.由网络资产(服务器、网络设备)产生的各种告警日志,每个设备的流量信息、以及设备的漏洞信息,你认为他们之间存在什么样的关联,打算如何对待这些信息(处理的方式)?
日志彼此关联,会相互影响,相互配合找出源头
7.你通过日志分析来排除网络或系统故障码?当你遇到网络攻击时,会去主动分析日志吗?请用详细实例说明。
会查看日志了解攻击是何时开始,针对哪些服务,并最终影响哪此服务和服务器并加以解决
8.你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables,DNS等应用服务器日志存储到MySQL,再通过Web界面图形化展示?你是通过那些方法实现的,难度在哪儿?
snort等少量系统日志会考虑存入mysql,apache等大量web日志不会考虑.
9.目前你所管理的网络中流量监控系统起到那些作用,又由那些不足?
nagios+cacti作报警及图表,snort做入侵检测,iftop实时查看流量.nagios流量插件有时取值会失败.
10.希望日志存储多长时间?是否有必要销毁?
尽可能长时间的保留
11.是否考虑在企业中建设SIEM平台,以整合原先各种零散的监控和日志分析报警系统?
有现成免费的可以考虑
12. 说说你眼中的OSSIM平台,能为运维人员解决那些事情,还有那些功能是它所无法实现的?你在学习、使用OSSIM中又遇到了那些困难?如果有OSSIM平台部署和应用培训是否会参加?
还未使用,鸡蛋放在一个篮子里也会有点风险 |
|