2011年4月25日,SANS正式发布了第七次(2011年度)日志管理调查报告。目前,SANS尚未正式公布下载链接。如有公布我会及时更新。
这份采访了747个涵盖大中小规模的
组织后得出的报告摘要显示:日志管理系统在业界已经成熟,超过89%的受访者都收集了日志。根据报告,检测可疑行为与故障处理、取证分析与事件关联、合规性依然是三大日志管理的需求驱动力。与2010年相比,排名第二和第三位的驱动力发生了调换。此外,企业和组织开始收集更多的日志,包括工厂的SCADA系统、移动平台、PoS终端,等等。在受访者被问及日志管理的最大挑战是什么的时候,得到的回答如下图所示:

SANS:2011年度日志管理调查报告_第1张图片

可见,日志范式化与分类、日志搜索(检索)、产生分析报表依然是最大的挑战。

调查问题1:收集日志数据的原因是什么?
结果分析:依次是
检测可疑行为与故障处理(64%认为重要)、取证分析与事件关联(46%认为最重要)、合规性(43%认为最重要)。另外,有62%的受访者表示支撑IT网络的日常运维是重要的原因。

调查问题2:日志管理最有用的功能是什么?
结果分析:有68%的人认为“实时报警”是很有用(Very Useful)的功能,排名第一。往后依次是“日志搜索过程中的启发式用户交互”,“所有日志管理相关操作的统一界面”、“所有日志管理相关操作的性能”。此外,还有30%的受访者关注于日志管理与SIEM系统的集成。

调查问题3:日志管理中最没有用的功能是什么?
结果分析:依次是(1)与第三方报表工具的接口;(2)供应商内置的报表和查询;(3)与SIEM的集成

调查问题4:日志收集用于哪种合规的目标?
结果分析:主要是PCI DSS,然后是SOX,HIPAA,还有16%的受访者不将之用于合规,在整个问题的占比中位居第三。

调查问题5:最有用的日志信息是什么?
结果分析:最有价值的是源/目的地址,以及时间戳。

调查问题6:日志管理的挑战是什么?(去年也问过)
结果分析:排名依次是:(1)信息范式化与分类、(2)搜索、(3)取证分析。另外,日志存储与归档、日志收集都往后靠了。

调查问题7:对于Windows日志的管理满意度如何?
结果分析:与去年一样,依然是一个难题。大部分受访者都对Windows的日志的管理不满。而这种不满主要是针对Windows自身的日志机制,而非日志管理系统。很多人都称windows日志是日志管理不友好的。最被提及的就是它不支持syslog,只好使用第三方的工具来完成日志收集。【本人注:对于日志管理系统的开发商而言,这的确是一个难题,作为这个报告的sponser,自然要借机贬一下微软,也是给微软提个醒。当然,我觉得微软是应该做点什么。我们也知道,windows7以后的日志管理有了很大的改进,尤其是自带的日志查看器,但是还不够,尤其对第三方ISV来说不够】除了采集方式不友好,其他诸如存储、分析、监视等各个方面也存在问题。

——EOF——

【参考】SANS:2010年度日志管理调查报告