日志其实就是安全系统和操作系统团队工作的实质。与以往相比,我们近来收集和分析的日志愈加繁杂。SANS 2012日志管理调查结果显示:82%参与调查的公司认为日志是追踪可疑行为的关键,将近60%在一个日志管理平台内使用代理,系统日志和本地操作系统工具去收集日志。调查提出的主要挑战是如何在系统上管理代理程序以便收集和发送日志。随着企业将越来越多的系统移入云环境,也将越来越多的应用程序配置入云环境,怎样才能收集并有效监管日志?
庆幸的是,在云环境中,收集日志的方式多种多样。这些方法各有优劣,下文是对这些方法的具体分析,我们看完后再来判定到底哪种方法才是云日志最佳运行方案。
云日志的发展潜力
对大多数企业来说最合理的方案,是在基础云服务环境系统上生成日志,这样企业内部的可控性得到了加强。这个处理过程通常简单明了,并且符合现代企业环境中使用的同一类型标准日志惯例。Windows系统生成WINS事件日志,Unix和Linux平台生成标准的系统日志消息。Wins系统将可能仍旧需要安装一个单独的软件代理(像Snare或者Kiwi Syslog)去把事件转换成Syslog格式。对企业来说现实的问题是在基础云服务环境中,日志存放在哪里?
企业通常有三个选择。
第一,在IaaS环境建立一个本地虚拟存储装置作为日志收集器,然后把日志发送到这里作为一种集合(同样,可能地在这里分析日志)。这是一个捷径,这样可以最小化云环境和企业数据中心数据传输量,减少期间费用。但是,这个方法安全系数很低,因为日志服务器和系统本身存储的介质是同一的。
第二,每个系统单独发送日志返回数据中心。这种方案增加了云服务商和企业数据中心数据传输量,删除了本地日志存储功能(最后可能导致日志漏洞)。
第三,将发送日志给安全服务提供商,由他们批量处理日志。市场上这类服务提供商比比皆是,其中比如Loggly、Papertrail、Sumo Logic和Splunk Storm。这种方法简便易行,有效地解决了安全性和数据传输量的矛盾,缺点是成本较高。
如果能够推动云服务供应商的改变,云日志就还有另一种管理方式。鲜有云服务供应商提供日志管理服务,少归少,业内也有做的非常出色的Terremark。他们能管理日志并且输出给客户,或者把它们发送到一个中心集合和关联引擎,同时带有安全信息管理和事件管理性能。只要订购Terremark企业云(是一种基础服务云环境),不管采用哪种方式,客户都能实现有效日志管理。
平台服务云和软件服务云使云日志管理更加复杂。一些PaaS和SaaS干脆不产生日志,或者即使产生,也只是微量的,或者以难以破译的格式显示。操作排程也成为问题;日志通常要批量下载,这相当于关闭了后台实时数据分析体系,制约计算机自动防御功能和病毒入侵分析操作。
著名日志管理专家Gartner的Anton Chuvakin提出:
“企业一旦选择公共云计算,就要认识到应用日志管理的重要地位。因为SaaS 和 PaaS运行环境中常见操作系统日志根本不存在。现在事与愿违,企业无法利用传统应用为前提分析应用程序日志,甚至从整体上没有结合云观点”
这是必然的。应用程序日志显然更难解析和破译,在资源外包安排和基础设施,软件私有情况下,应用日志难题加深。
实时数据分析概念对于云日志重要吗?尽管SANS调查结果显示答案是肯定的,Chuvakin却不以为然。“当企业考虑用云IT资源管理日志,他们首先要做到利用日志进行反查。 企业需要收集分析实时日志,实时日志大大滞后于基础日志生成,滞后于日志积累积累,滞后于应用问题解决。如果一周后你能利用自带资源发现日志漏洞,而不是9个月后通过CNN新闻得知,这就表明你的安全性能已经提高了。”
展望云日志未来
最终,企业要像已有的内部审核一样评估云环境日志的疑虑。其实主要的差异就是系统维护费用(日志管理时代提高存储和CPU消耗,这会提高成本)和数据传输安全问题。采用加密方法可以减少安全隐患。目前,企业还没有全面展开系统和应用程序在云环境里的铺设,因此关于日志的问题也无关痛痒。随着越来越多的资源托管在云环境中,云日志势必制造更大麻烦,引起广泛关注。