日志为什么被低估？

该博客内容摘自《日志管理与分析指南》一书的1.4节。

在很多企业环境中，日志并没有得到重视。日志往往在日常工作中被完全忽视，仅仅在磁盘空间不足的时候才会引起人们的注意。而在这个时候它们往往未经查看就被删除了。

日志不受重视的原因有很多种。

  1、从供应商的角度：供应商并不希望你使用它，入侵检测系统的供应商会告诉你需要最新的科技（它们是最好的），否则你就会完蛋。

        2、从IT管理工具供应商的角度：他们会告诉你需要他们的高价产品，只要在每台主机上安装少数代理，就可以获得和日志相同的信息报告。而如果你可以从日志中获得信息，当然就不需要他们的产品。

       3、从系统管理员的角度：日志也不“性感”，Gigawombat-3000网络入侵检测系统（NIDS）可能更有超感官洞察力，在攻击之前就能够预知。但是，你买的Gigawombat也需要有人分析它的日志。

日志分析并不简单，可能相当棘手。日志以各种形状和大小出现，有时候很难从中提取信息。而且需要处理的日志数量也是相当之大，例如，有些网站一周都可能会收集到几个GB的日志数据，有的可能一天就达到这样的量级。这样的数量似乎让人不知所措，管理员最终往往根据特定的时间内看到的东西，人工拼凑出脚本来寻找一些随机的东西。

       有效的日志分析还需要了解环境。必须应该知道什么对你的网络有利，什么对你的网络有害，什么是可疑的，什么是正常的。对你有害或奇怪的东西很有可能对别人是很正常的。

       这就是没有真正实现即插即用的日志分析工具的部分原因，因为你的环境和策略决定了希望从日志中获取的信息。