Co to jest analiza dziennika?
Analiza dzienników to zestaw umiejętności przekształcania danych generowanych przez komputer na znaczące informacje. Programy komputerowe są często programowane do generowania „dzienników”, takich jak raporty błędów, wskazujące ogólną funkcjonalność elementu. Aby zaoszczędzić miejsce na dysku twardym systemu komputerowego, dzienniki te są często zapisywane skrótowo, co wymaga tłumaczenia w celu wyodrębnienia informacji. Tłumaczenie dzienników na dane jest często wykorzystywane przy rozwiązywaniu problemów systemowych, korelacji między pozornie niepowiązanymi zdarzeniami w systemie oraz klasyfikowaniu informacji dziennika do celów archiwalnych.
Dane dziennika komputera wyglądają jak kompletny bełkot dla każdego nieprzeszkolonego, aby je zrozumieć. Analiza dzienników przekształca te informacje z powrotem w użyteczny, czytelny angielski. Dane dziennika w komputerze są często dostarczane z informacjami o znaczniku czasu, co pozwala analitykowi dziennika wygenerować działającą oś czasu zdarzeń z poprzedniego dnia lub tygodnia w programie. Kiedy porównywane są przetłumaczone dzienniki z różnych aktywnych programów w systemie, mogą pojawić się wzorce, które mogą pomóc w usprawnieniu, optymalizacji, rozwiązywaniu problemów i zabezpieczeniu komputera przed błędami.
Wyobraź sobie komputer z 10 lub 20 programami jednocześnie. Teraz wyobraź sobie, że każdego dnia o 9:00 komputer ulega awarii. W przypadku braku danych dziennika przewidywanie pierwotnej przyczyny problemu może być trudne, a nawet niemożliwe. Dzięki analizie dziennika technik może szybko uzyskać i przetłumaczyć informacje raportowania dziennika z każdego programu, szukając wszelkich anomalnych zachowań, które mogły spowodować awarię. Jeśli tylko jeden program zgłosi problem w tym konkretnym czasie, przyczyna staje się oczywista; jeśli dwa lub więcej programów zgłasza identyczne problemy, technik może wykorzystać dane dziennika do głębszego zagłębienia się, szukając potencjalnego konfliktu między dwoma nieprawidłowo działającymi programami.
Analiza dzienników może być również wykorzystana do śledzenia postępów szkodliwych programów w systemie, śledząc ich przysłowiowe „kroki” w różnych aktywnych programach. Znalezienie wzorców w logach różnych programów może pomóc technikowi dziennika w wykryciu w inny sposób niezauważonej aktywności hakerów w sieci komputerowej. Na przykład znalezienie dziwnego wzorca dostępu w jednym programie może wydawać się anomalią w systemie, ale jeśli ten sam wzorzec dostępu pojawi się nagle w kilkunastu różnych dziennikach, istnieje duże prawdopodobieństwo, że ktoś włamał się do komputera.
Zasadniczo analiza dziennika jest tak przydatna, jak osoba dokonująca analizy. Podczas gdy wykwalifikowany technik z wieloletnim doświadczeniem może znaleźć błędy i inne wzorce w pozornie różnych danych, nowicjusz może potknąć się o te same wskazówki. Dzienniki programu dostarczają nieprzetworzonych danych niezbędnych do wprowadzenia korekt, ale tylko dzięki ludzkiej intuicji dane te mogą zostać przetworzone w przydatną formę.