《日志管理与分析权威指南》读后感100字

《日志管理与分析权威指南》是一本由Anton A. Chuvakin / Kevin J. Sch著作，机械工业出版社出版的平装图书，本书定价：69.00元，页数：315，特精心收集的读后感，希望对大家能有帮助。

《日志管理与分析权威指南》读后感(一)：对日志分析管理泛泛而谈。

书中一共写了22章内容，多数章节安排的内容为12~15页，第5章，最逗了，一共7页，三张半纸张，介绍了5.1 ~ 5.6 一共6个小节，每个小节平均1页内容，这还包括图，表在里面，根本没有吧syslog-ng讲清楚，如果你是一般的linux工程师看了这部分内容估计会云里雾里，在第13章，写日志数据的可视化整章内容8页就写完了，这章里还附带了大量图片和代码，文字内容就没有几行，...69元的书啊，先不说啦。

《日志管理与分析权威指南》读后感(二)：虽然有点泛泛而谈、点到即止，但是案例还是很精彩！

Anton在相关领域的多年浸淫，就已经确保了足够的含金量。特别是作为负责Gartner SIEM领域MQ评估的研究员，所以很欣喜的看到这本书的中文出版，拿到书之前就充满期待。

刚拿到书没多久，刚开始跳着看(不到5%)，从章节来看，覆盖非常广泛，这就注定了不可能非常深入，也不可能纠结到技术细节。

比如17章：对日志系统的攻击，的确过于理论了一点，不过已经为深入了解种下来种子，尤其精彩的是具体的案例。

另外，内容很明显非常新，包括了大量的新技术、趋势的信息。

日志管理、SIEM在国外有很好的一个专业圈子，包括Raffy、Anton等大牛，他们在日志标准化方面做了长期的工作，活跃于Mitre CEE等规范项目中，尽管在标准化实施推动方面还是多有不足。

国内在这个领域的交流沟通，与他们相比，简直不可同日而语，更别提推动行业发展。不过随着运维、互联网企业的重视，也许未来会有更好的发展。

最后想说的是，也许是一些专业性因素，本书的翻译感觉在有些地方稍感生硬。

相信这本书对相关领域的每个人都有帮助。感谢让中文版问世的作者、译者、出版人、以及其他工作人员。

--

未完待续，不定期补充。

《日志管理与分析权威指南》读后感(三)：菜鸟入门老鸟醍醐的好书

安全领域的日志管理与分析，对菜鸟而言，告诉你安全领域的数据分析长啥样，虽然没有深度但有广度；对老鸟而言，书中那些规范和经验之谈在菜鸟看起来有些干巴巴，但对实战中受伤过的却能起到醍醐灌顶的作用。

喜欢

第六章隐蔽日志－以隐蔽方式采集日志

第九章过滤、规范化和关联（非常喜欢这章）

第十章 统计分析－喜欢如何设置基线

第十五章 日志分析和收集工具－工具大放送

第十六章 供程序员使用的日志

第二十一章 云日志— 日志分析产品化（非常喜欢这章）

读书笔记如下

https://app.yinxiang.com/l/AAKcXDYtavVAl7FsJjpLisYn5EhP3GYIOOs

第1章 木材树木森林

日志系统背景知识

第2章日志是什么

日志要素：

what 发生了啥

when 什么时候发生的

where 哪台主机，哪台文件系统，哪个网络接口

who

where 参与者来源

第3章日志数据来源

主机日志

网络日志

安全主机日志

syslog snmp windows事件日志

第4章 日志存储技术

文本/二进制/压缩文件

日志检索和存档

第5章 syslog-ng案例分析

第6章隐蔽日志

IDS/Honeypot

日志采集工具：以隐蔽方式采集日志

plog http://www.ranum.com/security/computer_security/code/ 嗅探syslog消息流量并转发到/dev/log

passlog http://freecode.com/projects/passlogd

http://www.honeynet.org http://www.honeynet.org/papers/sebek

第7章 分析日志的目标、规划和准备

第8章 简单的分析技术

/var/log/messages

关键日志立即处理

非关键日志提取摘要、趋势、关联（事件行为关联起来，e.g.异常时间点,登陆服务器，数据库下载）、挖掘

第9章 过滤、规范化和关联

原始日志数据 ——过滤处理－－》规范化日志数据 －－－关联分析－－－》（1）发送给分析人员（2）警报 （3）电子

｜ 邮件（4）发送到长期存储数据库

｜

｜

｜－－》未过滤日志数据－－放入例外库

关键步骤：

过滤filtering：知道需要保留哪些日志

规范化normalization：转化为通用格式，记录关键信息（日志五要素）

关联correlation：单独不重要的事件关联起来分析

如何进行关联：

1. 规则关联

If the system sees an EVENT E1 where E1.eventType=portscan

followed by

an event E2 where E2.srcip=E1.srcip and E2.dstip = E1.dstip and

E2.eventType = fw.reject then

doSomething

2. 漏洞关联：将漏洞扫描数据和实时事件数据结合起来，以便帮助减少假阳性（