日志管理与分析权威指南【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

日志管理与分析权威指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 木材、树木、森林1

1.1 概述1

1.2 日志数据基础2

1.2.1 什么是日志数据2

1.2.2 日志数据是如何传输和收集的3

1.2.3 什么是日志消息5

1.2.4 日志生态系统6

1.3 看看接下来的事情12

1.4 被低估的日志13

1.5 日志会很有用14

1.5.1 资源管理14

1.5.2 入侵检测14

1.5.3 故障排除17

1.5.4 取证17

1.5.5 无聊的审计，有趣的发现18

1.6 人、过程和技术19

1.7 安全信息和事件管理（SIEM）19

1.8 小结22

参考文献22

第2章 日志是什么23

2.1 概述23

2.2 日志的概念25

2.2.1 日志格式和类型27

2.2.2 日志语法32

2.2.3 日志内容35

2.3 良好日志记录的标准36

2.4 小结38

参考文献38

第3章 日志数据来源39

3.1 概述39

3.2 日志来源39

3.2.1 syslog40

3.2.2 SNMP45

3.2.3 Windows事件日志48

3.3 日志来源分类50

3.3.1 安全相关主机日志50

3.3.2 安全相关的网络日志52

3.3.3 安全主机日志52

3.4 小结54

第4章 日志存储技术55

4.1 概述55

4.2 日志留存策略55

4.3 日志存储格式57

4.3.1 基于文本的日志文件57

4.3.2 二进制文件59

4.3.3 压缩文件59

4.4 日志文件的数据库存储60

4.4.1 优点61

4.4.2 缺点61

4.4.3 定义数据库存储目标61

4.5 Hadoop日志存储63

4.5.1 优点63

4.5.2 缺点64

4.6 云和Hadoop64

4.6.1 Amazon Elastic MapReduce入门64

4.6.2 浏览Amazon64

4.6.3 上传日志到Amazon简单存储服务（S3）65

4.6.4 创建一个Pig脚本分析Apache访问日志67

4.6.5 在Amazon Elastic MapReduce（EMR）中处理日志数据68

4.7 日志数据检索和存档70

4.7.1 在线存储70

4.7.2 近线存储70

4.7.3 离线存储70

4.8 小结70

参考文献71

第5章 syslog-ng案例研究72

5.1 概述72

5.2 获取syslog-ng72

5.3 什么是syslog-ng73

5.4 部署示例74

5.5 syslog-ng故障排除77

5.6 小结79

参考文献79

第6章 隐蔽日志80

6.1 概述80

6.2 完全隐藏日志设置82

6.2.1 隐藏日志生成82

6.2.2 隐藏日志采集82

6.2.3 IDS日志源83

6.2.4 日志收集服务器83

6.2.5 “伪”服务器或“蜜罐”85

6.3 在“蜜罐”中的日志记录85

6.3.1 蜜罐网络的隐蔽shell击键记录器86

6.3.2 蜜罐网络的Sebek2案例研究87

6.4 隐蔽日志通道简述88

6.5 小结89

参考文献89

第7章 分析日志的目标、规划和准备90

7.1 概述90

7.2 目标90

7.2.1 过去的问题91

7.2.2 未来的问题92

7.3 规划92

7.3.1 准确性92

7.3.2 完整性93

7.3.3 可信性93

7.3.4 保管94

7.3.5 清理94

7.3.6 规范化94

7.3.7 时间的挑战95

7.4 准备96

7.4.1 分解日志消息96

7.4.2 解析96

7.4.3 数据精简96

7.5 小结98

第8章 简单分析技术99

8.1 概述99

8.2 一行接一行：绝望之路100

8.3 简单日志查看器101

8.3.1 实时审核101

8.3.2 历史日志审核102

8.3.3 简单日志操纵103

8.4 人工日志审核的局限性105

8.5 对分析结果做出响应105

8.5.1 根据关键日志采取行动106

8.5.2 根据非关键日志的摘要采取行动107

8.5.3 开发行动计划109

8.5.4 自动化的行动109

8.6 示例110

8.6.1 事故响应的场景110

8.6.2 例行日志审核110

8.7 小结111

参考文献111

第9章 过滤、规范化和关联112

9.1 概述112

9.2 过滤114

9.3 规范化115

9.3.1 IP地址验证116

9.3.2 Snort116

9.3.3 Windows Snare117

9.3.4 通用Cisco IOS消息117

9.3.5 正则表达式性能考虑因素118

9.4 关联119

9.4.1 微观关联121

9.4.2 宏观关联122

9.4.3 使用环境中的数据125

9.4.4 简单事件关联器126

9.4.5 状态型规则示例127

9.4.6 构建自己的规则引擎132

9.5 常见搜索模式139

9.6 未来140

9.7 小结140

参考文献140

第10章 统计分析141

10.1 概述141

10.2 频率141

10.3 基线142

10.3.1 阈值145

10.3.2 异常检测145

10.3.3 开窗145

10.4 机器学习146

10.4.1 kNN算法146

10.4.2 将kNN算法应用到日志146

10.5 结合统计分析和基于规则的关联147

10.6 小结148

参考文献148

第11章 日志数据挖掘149

11.1 概述149

11.2 数据挖掘简介150

11.3 日志数据挖掘简介153

11.4 日志数据挖掘需求155

11.5 挖掘什么155

11.6 深入感兴趣的领域157

11.7 小结158

参考文献158

第12章 报告和总结159

12.1 概述159

12.2 定义最佳报告160

12.3 身份认证和授权报告160

12.4 变更报告161

12.5 网络活动报告163

12.6 资源访问报告164

12.7 恶意软件活动报告165

12.8 关键错误和故障报告166

12.9 小结167

第13章 日志数据可视化168

13.1 概述168

13.2 视觉关联168

13.3 实时可视化169

13.4 树图169

13.5 日志数据合成170

13.6 传统日志数据图表175

13.7 小结176

参考文献176

第14章 日志法则和日志错误177

14.1 概述177

14.2 日志法则177

14.2.1 法则1——收集法则178

14.2.2 法则2——留存法则178

14.2.3 法则3——监控法则178

14.2.4 法则4——可用性法则179

14.2.5 法则5——安全性法则179

14.2.6 法则6——不断变化法则179

14.3 日志错误179

14.3.1 完全没有日志180

14.3.2 不查看日志数据181

14.3.3 保存时间太短182

14.3.4 在收集之前排定优先顺序183

14.3.5 忽略应用程序日志184

14.3.6 只搜索已知的不良条目184

14.4 小结185

参考文献185

第15章 日志分析和收集工具186

15.1 概述186

15.2 外包、构建或者购买186

15.2.1 构建一个解决方案187

15.2.2 购买187

15.2.3 外包188

15.2.4 问题189

15.3 日志分析基本工具189

15.3.1 grep189

15.3.2 awk191

15.3.3 Microsoft日志解析器192

15.3.4 其他可以考虑的基本工具193

15.3.5 基本工具在日志分析中的作用194

15.4 用于集中化日志分析的实用工具195

15.4.1 syslog195

15.4.2 Rsyslog196

15.4.3 Snare197

15.5 日志分析专业工具197

15.5.1 OSSEC198

15.5.2 OSSIM200

15.5.3 其他值得考虑的分析工具201

15.6 商业化日志工具202

15.6.1 Splunk202

15.6.2 NetIQ Sentinel203

15.6.3 IBM qlLabs203

15.6.4 Loggly204

15.7 小结204

参考文献204

第16章 日志管理规程205

16.1 概述205

16.2 假设、需求和预防措施206

16.2.1 需求206

16.2.2 预防措施207

16.3 常见角色和职责207

16.4 PCI和日志数据208

16.4.1 关键需求10208

16.4.2 与日志记录相关的其他需求211

16.5 日志记录策略213

16.6 审核、响应、升级规程214

16.6.1 定期日志审核方法和模式214

16.6.2 用日志管理工具构建一个初始基线217

16.6.3 人工构建初始基线219

16.6.4 主要工作流程：每天日志审核220

16.6.5 异常调查与分析222

16.6.6 事故响应和升级225

16.7 日志审核的验证225

16.7.1 日志记录的证据226

16.7.2 日志审核的证据226

16.7.3 异常处理的证据226

16.8 日志簿——异常调查的证据227

16.8.1 日志簿推荐格式227

16.8.2 日志簿条目示例228

16.9 PCI依从性证据包230

16.10 管理报告230

16.11 定期运营任务231

16.11.1 每日任务231

16.11.2 每周任务232

16.11.3 每月任务232

16.11.4 季度任务233

16.11.5 年度任务233

16.12 其他资源233

16.13 小结233

参考文献234

第17章 对日志系统的攻击235

17.1 概述235

17.2 各类攻击235

17.2.1 攻击什么236

17.2.2 对机密性的攻击236

17.2.3 对完整性的攻击241

17.2.4 对可用性的攻击245

17.3 小结252

参考文献252

第18章 供程序员使用的日志253

18.1 概述253

18.2 角色与职责253

18.3 程序员所用的日志记录254

18.3.1 日志应该记录哪些信息255

18.3.2 程序员使用的日志记录API256

18.3.3 日志轮转257

18.3.4 不好的日志消息259

18.3.5 日志消息格式259

18.4 安全考虑因素261

18.5 性能考虑因素262

18.6 小结263

参考文献263

第19章 日志和依从性264

19.1 概述264

19.2 PCI DSS265

19.3 ISO 2700X系列269

19.4 HIPAA271

19.5 FISMA276

19.6 小结281

第20章 规划自己的日志分析系统282

20.1 概述282

20.2 规划282

20.2.1 角色和职责283

20.2.2 资源284

20.2.3 目标284

20.2.4 选择日志记录的系统和设备285

20.3 软件选择285

20.3.1 开源软件285

20.3.2 商业化软件286

20.4 策略定义287

20.4.1 日志记录策略287

20.4.2 日志文件轮转288

20.4.3 日志数据收集288

20.4.4 留存／存储288

20.4.5 响应289

20.5 架构289

20.5.1 基本模型289

20.5.2 日志服务器和日志收集器290

20.5.3 日志服务器和具备长期存储的日志收集器290

20.5.4 分布式部署290

20.6 扩展291

20.7 小结291

第21章 云日志292

21.1 概述292

21.2 云计算293

21.2.1 服务交付模型293

21.2.2 云部署模型294

21.2.3 云基础设施特性295

21.2.4 标准？我们不需要讨厌的标准295

21.3 云日志296

21.4 监管、依从性和安全问题300

21.5 云中的大数据301

21.6 云中的SIEM303

21.7 云日志的优缺点304

21.8 云日志提供者目录305

21.9 其他资源305

21.10 小结305

参考文献306

第22章 日志标准和未来的趋势307

22.1 概述307

22.2 从今天推知未来308

22.2.1 更多的日志数据308

22.2.2 更多动力309

22.2.3 更多分析310

22.3 日志的未来和标准310

22.4 渴望的未来314

22.5 小结314