【干货】日志管理与分析(五)——规划自己的日志分析系统

【干货】日志管理与分析（五）——规划自己的日志分析系统一、规划自己的日志分析系统

除了确定产品或者服务之外，你还需要理解产品的具体需求。•你应该考虑的因素有：能够定义精确并说明系统如何使用的场景。例如，作为用户，我想要提取一个报告，告诉我过去24小时windows 服务器上的登录失败次数。

•驱动因素:是什么驱动你启动这一项目，必要性还是政府法规或者其他目的？了解有助于为此分配的时间、金钱和资源。

•解决的问题：部署一个日志分析系统能帮助你解决哪些问题？举个例子，你收集的信息类型，日志分析系统能够帮你进行简单的服务器或网络监控。

•安全和依从性：这样的产品是否帮助你向审计人员、监管人员证明依从性？

1.1规划

1.1.1角色和职责

首先必须确定所有角色和职责，在项目规划和实施阶段，应该包含哪些人。这项功能帮助你了解到，企业中的哪些人可能是日志分析系统的用户。例如，程序员是日志记录系统的用户，因为他们编写的应用程序必须创建日志消息，用于诊断和故障排除目的。

表中是常见角色和职责的一个摘要：

1.1.2资源

资源可以帮助理解企业关于日志记录的需求，以及日志记录对环境的影响。规划阶段，你可以向自己提出这样的问题：

1.你的现有员工，哪些人能够进行日志分析和监控？

2.你的现有员工，哪些人能够进行日志分析系统的管理？

3.你是24*7运营、只在规定时间内运营，还是混合模式？

4.你是否需要构建一个安全运营中心（SOC），或者拥有一个虚拟SOC？虚拟SOC团队不是不间断地坐在那里一直盯着屏幕，而是使用警报来驱动响应、工作流等。

5.你对事故响应有何计划？

6.你在日志分析系统的构建上有何种预算？

7.你在长期运行和维护系统（硬件升级、网络升级、人员升级等）上有何种预算？

对这些问题的回答，有助于更好地理解项目和最终实施所需要的资源。如果你计划建立24*7的运营中心，需要考虑如下因素：

1.你需要雇佣新员工，还是合理安排内部员工？

2.你的办公室里是否有场所可以安置24*7运营中心？

3.你的电力容量是否足以供应24*7中心？

4.你是否有预算购买运营所需的硬件和软件？

5.你的事故响应和升级规程是怎么样的？

6.你负责生成哪些类型报告（例如交给管理层的报告）

1.1.3目标

在项目的筹划期、进行期和后期，设置目标都很关键。目标可以帮助你知道自己的进度，甚至有些目标可能是标志着项目可交付成果的里程碑。下面是一组日志分析系统规划中的目标和里程碑。

•目标1--规划之前

•目标2--利益相关方确认

•目标3--需求收集

•里程碑1--项目规划建设

•目标4--日志分析工具评估

•目标5--日志分析工具选择

•目标6--硬件需求收集

•里程碑2--硬件和软件采购