日志集成似乎正處于這樣的局面：每個人都在用它，但為什么公司不花費時間和資源來解決它呢？答案是因為它們可能有一個巨大的盲點：大多數應用程序沒有做好日志記錄。

在這次采訪中，SecurityCurve的Diana Kelley與一家世界500強企業的架構師和安全思想***James McGovern，就應用程序事件日志管理展開了討論。McGovern解釋了他為什么認為應用程序的日志記錄是“***的邊界”。

Diana Kelley：Jim，不是所有的IT專家都已經擁有了集成日志所需的東西并能巧妙地運用它們了嗎？

James McGovern:一個擁有工具的“***”仍然是一個“***”。為了找到安全漏洞而讓網絡安全工程師來審查應用程序的日志記錄反而增加了失敗的可能性。為什么呢？因為指使開發者開展工作是一回事，而認為閱讀一份全面的文檔非常容易又是另外一回事。

一般來說，讓開發者知道如何開發安全的代碼，比幫助一個網絡安全工程師了解軟件開發環境中的日志記錄更加容易。

Diana Kelley：你的意思是開發者需要標準？

James McGovern: 是的。如果你關注過甲骨文、惠普、EMC等公司的軟件產品，你是不是覺得他們都有一個共同的日志記錄格式呢？他們并沒有這樣做！如果以軟件開發為主業的公司都沒有搞清楚這個，我們又怎么能寄希望于一個大企業呢？我們需要的是一個獨立的組織去領導一個跨產業企業聯盟，來致力于標準、語義和互通性領域的發展。

Diana Kelley：在這一點上，我絕對同意你的觀點！日志格式的互通性和標準化（包括IETF這樣的組織都在著手建立系統記錄標準）將對日志管理流程有幫助。首先，通過提供集成解決方案能更有效地收集重要日志數據；其次，幫助解析引擎更好地獲得網絡和應用程序在現在、未來和過去的信息。

讓我們回到很多公司現在正面臨的挑戰，以及如何去應對這些挑戰吧。

James McGovern: 首先，你已經有了一個日志管理設備。有多少企業在采購甚至是在撰寫需求方案說明書（RFP）時，會就有關日志管理集成的問題咨詢他們的軟件供應商呢？這種差距能夠通過在采購協議上添加一些可重用的條款來消除嗎？

Diana Kelley：非常重要的一點是：日志管理需求不必為每一臺新設備或者系統部件的RFP而進行變動。重新利用現有的措辭就可以減少RFP的創建時間，如果措辭得當，還可以保證所需的定義一致。你認為對于企業來說，日志管理***的用處是什么？

James McGovern:它是我們了解企業事務的方式。如果我們無法理解活動和訪問，那我們就沒有辦法了解其對企業的影響。這聽起來簡單，但它是非常復雜的。日志記錄需要處理訪問和活動，否則日志管理就不能很好的解析它。這是因與果的關系。

Diana Kelley：公司應該如何改進呢？

James McGovern: 不要像對待一個報告活動那樣對待日志管理，因為我們需要處理的清單和電子表格非常多。更重要的是，我們需要做的不只是為日志中個別的行發出報警，而且需要對其他行也作出反應。例如，如果你剛好為應用程序開發了一個日志管理“文件”，你便可以知道在一個特定的時間段內，平均發生了多少次失敗的身份驗證事件。了解次數是否高于或低于平均水平，以便獲悉活動的趨勢，這樣豈不是更有益嗎？

Diana Kelley：如果發生斷電事故（outages）怎么辦？日志管理系統在這方面有沒有盲點？

James McGovern: 日志處理斷電事故十分出色。通過對商業客戶開通危機電話專線，并提供一個可以帶來收益的應用程序，我可以肯定地說，每個人在存儲倉（silos）里胡亂收集一通其實是很不明智的?，F在的處理過程包含的只是猜測和一些裝腔作勢的詞匯，與之不同的是，日志記錄的是實際發生的事情。如果你要組建一個團隊，將實時撰寫的報告整合到一起將會是一件非常了不起的事情。

Diana Kelley：***，你對你的同行有什么話要說嗎？

James McGovern: 日志管理不只是和安全有關系。假設你有能力收集從防火墻到應用程序的日志，你就可以分析關于公司十大業務伙伴的客戶體驗。當然，在真正了解客戶體驗方面，目前的網絡報告和其他粗放的方法做得還不夠。精心設計的應用程序日志理應將客戶體驗考慮進去。  

【編輯推薦】

1. 日志管理***實踐：成功的六要訣
2. Flash應用程序安全攻防戰