还记得这篇文章(《Best practices for SIEM deployments》 )吗?没错,我在去年的时候就介绍过这篇文章。前几天,我在网上看到有人将它翻译过来了,参见这里的中文版。在这篇文章中涉及到一个很重要的实践准则——如何收集日志的问题。该文作者引述了LogLogic的一个观点:log everything。看到这里,相比应该联想到我前几天发的另一个博文——关于日志采集的争论吧。 事实上,这个准则尚未有定论。正如我在去年那个时候说到的一样,本人是不赞同在没有设置前提条件下的log erverything的。It depends;-)我认为,回答这个问题,首先在于用户要清楚自己想要得到什么?也就是目标是什么?如果没有目标,那么可能就会得出log erverything的结果,如果目标比较泛,或者不切实际,也可能会得到相同的结论。而如果用户真正抓住了当前的痛点(pain point),那么就能得到清晰的目标,进而更容易得到log what's you needs的结论。当然,要达到这个状态,并非易事,需要一套提出问题、分析问题的方法论和过程。另一方面,从技术层面来说,log erverything也是难以达到的,包括存在处理和存储能力上的限制。随着用户安全基础设施的越来越复杂,随着虚拟化、云计算、数据中心的越来越普 及,log erverything的成本将指数级上升,对于大多数用户环境而言,都不现实。