上一篇提到除了稽核之外，日誌分析Log Analysis還有很多用途，今天繼續介紹：

3.效能監控 Performance Monitoring

透過比對過去的 Web traffic log， 可以掌握網頁訪客的部分資料，例如Origin IP 起源IP，當大部份訪客來自於某個國家地區時，可以用CDN提升網站效能。

另一個常見的做法是在虛擬環境中佈屬專門工具來蒐集分析日誌，監控整個虛擬環境的效能，預測是否需要調整resource pool資源池，VMware 環境下有VMware vRealize Log Insight，Microsoft 下有Operations Management Suite (OMS) ，這兩個工具在某些license或情況下是免費的，也可以將log送到自己平時用的log management tool，建立專屬的儀表版監控。

4.資安分析Security Analysis

日誌在資安分析上的運用更是重要。這次鐵人賽有Penetration Test 滲透測試的介紹，理解ㄧ般攻擊的手法和過程後，不妨深入思考：這個步奏會在那裡留下記錄？監測特定日誌log可以提早發出警訊，警告我們正有人攻擊或對系統進行情報蒐集；當資安事件發生後，我們也必須依靠日誌，重建攻擊入侵的軌跡，針對弱點強化以防止再次被入侵。ㄧ些通常會監測的日誌log情況如下：

Windows Event Log 應該是使用Microsoft主機系統最常監控的日誌，帳號異常登入的行為通常是被入侵的警訊，例如某個帳號短時間內登入多台主機，可能是lateral movement；短時間內多次登入失敗，可能是Brute Force手法想破解密碼；當日誌出現創建帳號(Event ID 4720)，伴隨著帳號權限提升的記錄，很可能是入侵者創建一組屬於自己使用的管理員帳號，必須確認是ㄧ般MIS 正常運作還是異常行為。這些屬於audit log稽核日誌多半需要另行調整設定，系統才會開始記錄，可以參閱Microsoft 相關文件(連結在文末)。

當ㄧ般員工使用電腦時，萬一（不小心）點擊連結、造訪惡意網站、甚至下載可疑檔案，這些行為都會在不同系統留下相對應記錄，例如DNS Log 會提供那台電腦查詢網站的記錄，Proxy Log或Firewall Log 乃至Switch/Router Flow Data會提供瀏覽、下載行為記錄， IPS/IDS Log會提出可疑惡意情況偵測，防毒軟體antivirus log 會記錄阻擋惡意程式運作，假使IPS/IDS和防毒軟體僅僅判定檔案為「可疑」，亦可以憑現有日誌資料比對網上資安情資平台，例如VirusTotal或Cisco Talos，判定檔案或連結是否為惡意，甚至憑日誌照著員工瀏覽記錄，在安全的Sandbox沙盒環境檢驗檔案和連結。

*網路截圖來自medium 文章“Understanding Log Analytics, Log Mining & Anomaly Detection”

「可別白領薪水啊！」- - 紹斯‧巴寧格《機動戰士鋼彈0083：星塵作戰回憶錄》

雖然之前決定維持vendor neutral，盡量避免提具體產品的名字以免偏頗特定廠商，但我確實發現很多玩VMware好幾年經驗的同行不知道VMware vRealize Log Insight這個工具的存在，而且在某些licensing 情況下Log Insight 是免費的，例如某些VMware vSphere license方案下已包含Log Insight， 或是允許在有限額度內免費使用，所以我還是提供一下資訊，畢竟大家聽到分享的工具才能去測試，好不好用、適不適用看個人，也許覺得免費額度很足夠，或者喜歡產品可以進ㄧ步向廠商了解，或是自己有合用的方案，也歡迎留言分享。

關於Windows 主機安全日誌的好資源 Ultimate Windows Security
https://www.ultimatewindowssecurity.com/default.aspx

來自微軟關於稽核日誌的官方文件Microsoft Docs: Security Auditing
https://docs.microsoft.com/en-us/windows/device-security/auditing/security-auditing-overview

CISCO Talos 資安情資分享平台
https://talosintelligence.com/

Virus Total 資安情資分享平台
https://www.virustotal.com/#/home/upload