2012年12月1日 星期六

以Log創造價值


以Log創造價值

普遍認為Log檔只是過去的歷史資料而較少受到重視,然而就Log管理在過去所擅長的資安管理而言,相較於過去的被動,如今更能主動創造商業價值。 

本期封面故事的主題,是Log檔管理。一開始我們設定的題目是,「你會做Log檔管理嗎?」,重點在於探討管理Log檔的方法;但是,在製做的過程中,我們逐漸發現普遍的現象是還沒有管理Log檔。

Log檔管理不受重視的原因有很多,其中一個很大的問題在於,因為Log檔是記錄系統已發生的事件,當這些資訊被記錄下來的同時,已成為歷史了,所以一般會認為管理好歷史資料的價值不大,充其量不過是在系統發生問題的時候,能夠比較快找到問題點。

當系統出了問題,IT部門通常是眾手所指的對象,快速解決問題常被視為理所當然。IT部門並不會因為平常有做好Log管理,可以快速找到問題根源,因迅速解決問題而被稱讚。況且,要管理好Log檔,還要投資一些管理工具,所以通常是企業基於資訊安全管理的需求,為了監控系統的資安事件,才會投入資源,建置Log管理工具。

然而,管理Log檔在過去普遍被認為是被動的做法,難以主動創造IT的價值,但現在這就是個誤解了。

就Log管理在過去所擅長的資安管理而言,現在的工具變得更為主動,其監控的範圍不再限於資安設備,而可以掌握更多資訊設備的Log檔,因此更能防患未然。例如,透過監控更多類型的資訊設備,能及早察覺APT這類手段狡猾、長期潛伏的資安威脅。

另一方面,像Splunk這樣的平臺,更完全巔覆Log管理的傳統印象,賦予Log管理截然不同的應用型式。

Splunk大致的運作原理是,它會利用精準搜尋的方式,找出Log檔案裏的特定資訊。打個比方,Splunk就像是Log檔的電眼,負責比對你指定的特定格式的資料,這些資料找出來之後,可以做統計分析,或是做為驅動自動化流程的依據,端視使用者如何設定。

我看過的一個Splunk應用方式,是臺灣的電信業者用來統計智慧型手機的開通率。負責處理手機開通的電信設備,會將每一筆開通記錄檔(Log)傳給Splunk伺服器,Splunk會搜尋此一Log檔的手機開通記錄,例如從新進的開通記錄中找到了iPhone的訊息,就在iPhone的開通率加計1,比對到了Android的訊息,就在Android的開通率加計1,如此就能即時統計出各式智慧型手機的開通率。而過去的作法,則是每隔一段時間才能匯出電信設備的Log檔,再透過商業分析工具來統計,因此資訊呈現就有時間差,無法即時掌握最新的營運狀態。

另有企業應用在防止資料外洩,其資料庫的每一筆存取Log檔都會立即傳給Splunk伺服器,比對是否有身分證、信用卡、電話等個人資料,一旦從資料庫Log檔發現有人存取個人資料,就驅動資料追?的政策,進一步比對內部網路設備的Log檔,檢查是否有相同的個人資料,如此循線追查就可以判斷是否為資料外洩事件,得以及早在企業的網路邊界攔截個資外洩。

Splunk將其平臺設計為開放式平臺,允許開發者撰寫加值應用,讓它管理各式機器的Log檔,Log管理的應用可以千變萬化;此外,其底層資料庫採用適合處理大量資料的NoSQL式資料庫,因此Log檔管理也可用於巨量資料的應用,讓Log管理跟上了Big Data這個新潮熱門的話題。

從Log管理的技術發展來看,Log管理不再只是被動的作為,絕對能主動創造商業價值;而能創造多大的價值,就看你的想像力了。

轉載自《iThome》