SANS：2010年度日誌管理調查報告

在4月份，SANS進行了一年一度的日誌管理（Log Management，LM）調查，併發布了相關的調查報告。此次除了基本的調查報告，還有一份專門針對中小企業運用LM的調查報告。
根據基本調查報告顯示，89%的受訪者創建了日誌管理設施。企業和組織愈來愈重視日誌管理，而且不斷髮掘出日誌管理的新價值。人們對於日誌管理技術的關注，已經從原來的如何採集日誌變成了如何搜索和分析日誌。海量日誌搜索已經成爲了關鍵性問題。
調查問題1：收集日誌數據的緣由是什麼？
結果分析：首要緣由是檢測和阻止未受權的外部訪問以及內部違規，其次是合規須要；再次是歷史分析和關聯分析；
調查問題2：日誌數據的用處是什麼？
結果分析：與收集的緣由保持吻合。說明企業運用日誌管理的原由和目標一致，體現其運用的成熟性。
調查問題3：通常都收集什麼日誌？
結果分析：95%的人收集防火牆、路由器、交換機、IDS、IPS等。而且採集的日誌源數量40%集中在100個之內。除了網絡和安全設備，第二個 （90%）最大的日誌來源是主機和服務器。再日後依次是應用日誌、數據庫日誌、IAM身份日誌。值得注意的是應用日誌受到更多重視，說明人們愈來愈但願將 應用系統的安全經過日誌管理進行一個整合。
調查問題4：日誌管理面臨的挑戰是什麼？
結果分析：分析和報表，包括實時分析和歷史分析，尤爲是日誌搜索。跟分析效果密切相關的日誌索引問題、日誌歸一化問題也較爲突出。而日誌採集的性能、海量日誌存儲、日誌加密存儲等問題愈來愈成熟，再也不成爲關注的焦點。
調查問題5：日誌數據存儲的時限多長？
結果分析：愈來愈長，如今通常是1到2年，而在2005年的時候通常是90天。進一步分析，合規數據比非合規數據保存時間長，不一樣用途的合規數據保存時間也不盡相同。固然，依然有25%的企業保存日誌時間少於90天。

總之，調查顯示，日誌管理系統已經成爲了IT基礎設施的一個組成部分，併成爲了平常IT運維必不可少的一項工做。