【IT168 评论】不知日志监控在大家心中都扮演着怎样的一个角色，有多重的分量，相信大多数人在不出现问题的时候是不会想到它的，因为平时它是那样的不起眼。但不能因为此就忽略掉他的存在，日志监控有着其独特的重要性，是其他事物所替代不了的。前不久我们公司就有这样一个案例给我们提了一个醒。

　　上个月的某一天，公司监控突然报警某linux 主机网卡流量异常，直接把网卡打满了，然后出口流量也被打满，基本一个网段都快完了。马上去服务器上检查，直接断掉这个服务器，苦命的检查了半个多小时，结果发现是被人攻击了。删掉木马程序也不行。后来把目录权限给限制了不让写才解决问题，但是怎么出现的问题呢?最后看了下tomcat的目录，居然有web shell 在上面。检查服务器的ssh 日志 发现已经被尝试密码好几个月了。这个主机为购买的系统，所以只能联系厂家重新安装软件。

　　事后反思，得出的结论是工作人员忽略了对服务器日志监控的定期查验。如果平时能对其有足够的重视，这样的事情基本是可以避免的。由于这次事件的教训，事后我们针对此事件在论坛发起了一次活动，和大家一起对该问题进行分析探讨(论坛地址：http://bbs.chinaunix.net/thread-4191745-1-1.html)，一来是给大家提个醒，加强对日志监控的重视程度，尽量不要到了出现事故再去亡羊补牢。二来是集思广益，看看大家对于这样的问题能有哪些应对良策。

　　对于这一事件的发生，我们对各位网友进行了一些问题讨论。征集了广大网友的一些意见。网友也对我们的问题积极地做出了回应。

　　首先 我们公司的此次事件告诉我们，日志监管真的很重要，你们遇到过哪些诸如此类的问题?

　　对此网友lsstarboy回复称：“日志虽然是事后诸葛亮，但还是非常重要的，遇到攻击、异常等，首先想到的应该是日志，如果日志也被删除，那这个系统基本上无可救药了。重要的系统，如果机器够用的话，最好有独立的日志服务器，这样遇到攻击了时候，也能保证日志不被删除。web系统最简单的是加一级nginx反向代理，日志都在反向代理服务器上，想删除也不容易。”这位网友对日志监控的重要性表达的很明确，的确如此，遇到攻击后，找不到问题所在，日志如果再被删除，那基本上可以宣称GAME OVER了。

　　网友solohac说：“我曾经在帮排查该业务系统问题的时候，打开日志看，发现里面N多系统报错，如连接超时。由于没有监管系统，该系统的领导并不知道该业务系统其实各方面完全不达标。更不知道当前有没有人在扫描，或者已经沦为肉鸡。”网友chenxing2也表示：“遇到的问题跟你差不多吧，我们网站注册有个手机获取验证码的功能，当时不知道为啥没加验证码，结果被人调用接口发了1天多，3、4千块钱的短信费就没了。要是有日志监控，就会发现频繁的接口调用，而不至于损失这么多了。”唉，多么痛的领悟啊，说多了都是泪啊，我想这些事件的教训足以让大家对其引起重视，哪怕是事后诸葛，也要通过日志把事件处理妥当。给自己一个补救的机会。

　　当然，只是认识到日志监控的重要性还远远不够，我们还要做到未雨绸缪，尽量避免事后诸葛。那么问题来了，让我们各抒己见，争取一下大家的意见，大家觉得还有什么好的办法解决这样的问题呢?

　　网友nail78说：“ 重要的生产系统，除了有监控系统，进行声光报警，短信报警之类，还要有值班人员，出了问题才能及时处理。”

　　网友chenxing2也列出了几条自己的意见：“ ①上日志监控是必须的。②服务器密码设置的复杂些，经常换个密码。③安装的应用尽量不在root下,避免漏洞导致其他问题。④一些应用也要加上密码等，如redis、mongodb等。⑤对一些应用的访问应该设置IP列表，不应该让随便访问。“从各位给出的意见来看，大家的网络安全的意识还是相当不错的。大家可以平时多分享一些自己的经验，营造一个安全的网络环境。

　　写在最后

　　无论科技如何发展，总会有各种各样的网络安全事故在我们身边发生，掌握足够的网络安全知识是很必要的。日志监控作为系统服务器的“黑匣子”有着举足轻重的地位，不要因为一时的疏忽而酿成大错。