日志其實就是安全系統和操作系統團隊工作的實質。與以往相比，我們近來收集和分析的日志愈加繁雜。SANS 2012日志管理調查結果顯示：82%參與調查的公司認為日志是追蹤可疑行為的關鍵，將近60%在一個日志管理平臺內使用代理，系統日志和本地操作系統工具去收集日志。調查提出的主要挑戰是如何在系統上管理代理程序以便收集和發送日志。隨著企業將越來越多的系統移入云環境，也將越來越多的應用程序配置入云環境，怎樣才能收集并有效監管日志?

慶幸的是，在云環境中，收集日志的方式多種多樣。這些方法各有優劣，下文是對這些方法的具體分析，我們看完后再來判定到底哪種方法才是云日志最佳運行方案。

云日志的發展潛力

對大多數企業來說最合理的方案，是在基礎云服務環境系統上生成日志，這樣企業內部的可控性得到了加強。這個處理過程通常簡單明了，并且符合現代企業環境中使用的同一類型標準日志慣例。Windows系統生成WINS事件日志，Unix和Linux平臺生成標準的系統日志消息。Wins系統將可能仍舊需要安裝一個單獨的軟件代理(像Snare或者Kiwi Syslog)去把事件轉換成Syslog格式。對企業來說現實的問題是在基礎云服務環境中，日志存放在哪里?

企業通常有三個選擇。

第一，在IaaS環境建立一個本地虛擬存儲裝置作為日志收集器，然后把日志發送到這里作為一種集合(同樣，可能地在這里分析日志)。這是一個捷徑，這樣可以最小化云環境和企業數據中心數據傳輸量，減少期間費用。但是，這個方法安全系數很低，因為日志服務器和系統本身存儲的介質是同一的。

第二，每個系統單獨發送日志返回數據中心。這種方案增加了云服務商和企業數據中心數據傳輸量，刪除了本地日志存儲功能(最后可能導致日志漏洞)。

第三，將發送日志給安全服務提供商，由他們批量處理日志。市場上這類服務提供商比比皆是，其中比如Loggly、Papertrail、Sumo Logic和Splunk Storm。這種方法簡便易行，有效地解決了安全性和數據傳輸量的矛盾，缺點是成本較高。

如果能夠推動云服務供應商的改變，云日志就還有另一種管理方式。鮮有云服務供應商提供日志管理服務，少歸少，業內也有做的非常出色的Terremark。他們能管理日志并且輸出給客戶，或者把它們發送到一個中心集合和關聯引擎，同時帶有安全信息管理和事件管理性能。只要訂購Terremark企業云(是一種基礎服務云環境)，不管采用哪種方式，客戶都能實現有效日志管理。

平臺服務云和軟件服務云使云日志管理更加復雜。一些PaaS和SaaS干脆不產生日志，或者即使產生，也只是微量的，或者以難以破譯的格式顯示。操作排程也成為問題;日志通常要批量下載，這相當于關閉了后臺實時數據分析體系，制約計算機自動防御功能和病毒入侵分析操作。

著名日志管理專家Gartner的Anton Chuvakin提出：

“企業一旦選擇公共云計算，就要認識到應用日志管理的重要地位。因為SaaS 和 PaaS運行環境中常見操作系統日志根本不存在?，F在事與愿違，企業無法利用傳統應用為前提分析應用程序日志，甚至從整體上沒有結合云觀點”

這是必然的。應用程序日志顯然更難解析和破譯，在資源外包安排和基礎設施，軟件私有情況下，應用日志難題加深。

實時數據分析概念對于云日志重要嗎?盡管SANS調查結果顯示答案是肯定的，Chuvakin卻不以為然。“當企業考慮用云IT資源管理日志，他們首先要做到利用日志進行反查。 企業需要收集分析實時日志，實時日志大大滯后于基礎日志生成，滯后于日志積累積累，滯后于應用問題解決。如果一周后你能利用自帶資源發現日志漏洞，而不是9個月后通過CNN新聞得知，這就表明你的安全性能已經提高了。”

展望云日志未來

最終，企業要像已有的內部審核一樣評估云環境日志的疑慮。其實主要的差異就是系統維護費用(日志管理時代提高存儲和CPU消耗，這會提高成本)和數據傳輸安全問題。采用加密方法可以減少安全隱患。目前，企業還沒有全面展開系統和應用程序在云環境里的鋪設，因此關于日志的問題也無關痛癢。隨著越來越多的資源托管在云環境中，云日志勢必制造更大麻煩，引起廣泛關注。