网络安全中最具挑战性的工作是网络日志分析。通过对各种日志文件的严密监控和分析，这种工作过程可以识别出入侵或入侵的企图。这个过程还包括日志安全事件的相关分析。需要检查的网络日志文件种类繁多，但设备(包括开关、防火墙、路由器等)。虽然分析日志文件是一项单调乏味、容易疲劳的工作，但在《Unix/Linux网络日志分析与流量监控》一书中提供的技术和有趣的案例，可以帮助你在短时间内从日志文件中获得大量有价值的经验。

本日志分析书从日志文件的功能和特点逐渐深入到日志文件分析的基础，尤其是各种系统服务的日志格式，旨在尽可能自动化日志分析过程。

一、网络日志的重要性。

在复杂的日常运行和维护工作中，系统管理员很容易忽略各种网络日志文件。人们经常忙于解决问题，而没有时间和精力去收集和检查日志文件。他们经常用黑熊掰玉米，扔芝麻，扔西瓜。在出现故障之前，他们从未注意过这些文件，直到日志被删除或清空，然后试图恢复，然后匆忙搜索，试图找出发生了什么。一般这种搜索工作包括日志文件的检查，日志文件的检查往往由系统管理员进行，但管理员不熟悉日志文件的格式或步骤。甚至管理员发现没有启用详细日志，所以没有事件记录。日志文件可以为你提供很多有价值的信息。也许你还不知道这些它们的功能，所以这本书会在网络日志分析中详细介绍。

了解日志的特征。Unix/Linux/Windows系统中有很多不同类型的日志文件，产生这些日志文件的来源很多。对于我们来说，最关心的是网络日志文件的分析；为了了解网络上发生的事件，我们希望把注意力集中在记录网络事件(如成败连接)或数据库访问的日志文件上。这些信息可以用来与网络活动相关联。通常，这些日志的格式完全不同。这本书将介绍一些最常见的日志格式。虽然这些日志格式有差异很重要，但了解不同的设备和应用可能会记录不同的信息更重要。新手一开始，网络日志分析会让人觉得有点害怕，主要是因为日志格式复杂，日志记录信息多。下面简单分析一下网络日志文件中需要搜索的信息。使用网络日志文件的大部分系统记录信息的几个核心部分，这些信息和系统认为应该注意的内容如下；时间戳，通常包括日期和以s或ms为单位的时间。IP的基本特征，如源地址，目标地址和IP协议(TCP,UDP,ICMP等)。另外，大部分日志给出了一些事件为什么被记录的理由。然而，不同的日志格式会有所不同:

描述文本信息。匹配流量的规则号。执行动作，如接收、丢弃或拒绝连接。您可以通过这些只有少量的数据来分析识别端口扫描、主机扫描或其他失败的连接尝试的异常行为。此外，许多网络日志记录的信息不仅包括关键数据。可能的其他类型的数据包括:其他知识产权特征，尤其是知识产权识别号和生存时间。其他TCP特有的特征，如logo(SYN、ACK等。)，TCP窗口大小，TCP顺序号，有效负载内容。从日志分析的角度来看，这些附加字段可以提供生存时间和TCP窗口大小，可以用来识别操作系统的指纹，从而大致分析攻击者可能使用的操作系统。三是综合故障诊断。网络日志文件最重要的作用是综合故障诊断。例如，如果一个用户抱怨一个应用程序不能从外部服务器下载数据。通过获取该用户机器的知识产权地址，然后找出他何时使用该应用程序，他可以快速搜索防火墙的日志，并从日志中寻找被拒绝的尝试来建立所需的连接。如果防火墙还记录了所有允许的连接，并且您可以从日志中找到到远程站点的有效连接，那么从这个事件中可以看出问题最有可能与远程服务器或程序有关。具体案例请参考网络日志分析书。如果你想学习网络日志分析，没有捷径可走，你应该多学习，多练习，多读书！