沒多久，Asuka回來了...怎麼又用那種充滿恨意的眼神望著我。

「算啦，反正最後一項了，西門子...你從看出來是西門子? 我寫的SIEMENS嗎? 告訴你，我要寫的才不是那個，我要寫的是......」

受不了，是不是故意甩門去外面之後，快點查一下嗎?

『應該是SIEM? 我眼睛業障重啊...多看到了ENS，我知道，假的。』

「對啦...你才知道你......你真的很討厭耶。」

『SIEM...全名 Security Information Event Management...基本來說，就是Log 搜集、分析、識別和產出。』

「就這樣? 你不要每次都說基本啦，真的很討厭耶。」

『啊，妳的車不就是妳個人的交通工具? 還有什麼嗎?』

「不管，你不要跟我說基本，那個我自己查就可以...」

『這樣的話，我做個示範好了......現在，我從Kali Linux這邊，對資訊長的CentOS做wpscan掃描，我們看看會發生什麼事。』

「什麼事?」

『看啊...我又還沒掃描，我怎麼知道會發生什麼事...先問妳，CentOS 裡面的Wordpress被wpscan掃描，要看那個log?』

五分鐘過去了...

『同學，不是看我，是看log，要看那一個log?』

「我就是不知道......算了，我自己想，你去抽個煙，過半小時再回來，煩死了...」

好久沒這個時間，站在有錢集團總部大門外，享受午後的陽光了...看著對面的便利商店...半小時到了啊，真快。

『資訊長，請問想好了嗎?』

「差點被你拐走，看apache的log就好了，講的好像什麼似的...」

『哎呀...世間本無事啊，資訊長不要想的那麼複雜，資訊系統的運作就這個樣子而已。

那現在我用一個kali linux 有附的網站掃描工具，skipfish，去掃妳CentOS裡的Wordpress。

妳的Wordpress已經算是小規模的網站了吧?』

「是啊，我那裡面沒什麼資料。」

『請問，這樣掃描之後，apache的access_log和error_log，裡面，會有多少筆記錄，然後會增加多少容量?』

「這誰會知道啊?」

『我們實作一次就知道了，我執行一下指令，等等我們檢查log。

這只是Linux其中的一個web log，不是Linux中的default basic log，況且Windows 沒算、UNIX都還沒算哦...

請問資訊長，CentOS的default basic log 有那些? 我們用的Window Event log 有那些?』

「你到底是要教我，還是要一直打擊我?」

『
Cent OS default basic log

• /var/log/messages
• /var/log/secure
• /var/log/cron
• /var/log/boot.log
• /var/log/kern.log

Windows Event Log

• 應用程式(Application)
• 安全性(Security)
• 系統(System)』

「這些我知道啊......我連這都不知道，我還要不要在這行業待下去啊?」

知道還要我講...剛才那個掃描完成了，回頭看一下好了...

『我們看一下那個skipfish吧，完成了。

看一下...在access_log和 errpt_log裡，產生了...1257行，檔案大小分別是13K 和 208K，我放到我的GitHub，妳晚上回到家，再仔細看看，繼續吧。』

「等一下，正式環境，怎麼可能讓你掃到我們的網站? 我們有WAF防火牆在前面耶...」

『妳家的WAF都不留log檔的嗎?』

「算了，不想跟你掙這個，然後呢?」

『從內部來看，Windows Server 一個完整的登入和登出事件，在Event Log裡，會產生兩筆記錄，每一台Windows 在每一個工作天 8小時的範圍裡，登出登入共20次，500台Windows 就是10000筆記錄，Windows 這邊先記下10000筆，關於登出和登入的記錄。

從對外的網站來看，如果妳們每個單一網站，都像妳的Wordpress這麼單純，正常存取的情況下，讀出首頁的內容，可能產生10筆記錄，平均每分鐘，有3000位客戶使用，光是首頁的存取記錄，在每分鐘的平均裡，就是30000筆，以小時算就是1,800,000記錄，一天8小時，就是14,400,000筆記錄。
』

「你走開，我自己看畫面......繼續...」

『資訊長請問，要請多少人，來判讀這些記錄檔，是正常存取、異常存取還是誤判? 然後判讀的速度要接近log產生的速度...』

「這誰有辦法? 我自己的CentOS 產生出來的log，我都不想去看了......誰有辦法?」

『因此，妳說的SIEM，就有存在的必要性了，超出人類之所及的事情，就交給人類創造出來的產物去完成，而非由人類完成。』

「你是說，像我們環境裡，有這麼多台主機，如果有導入SIEM，它就會搜集這些主機的log，然後幫我們做log的分析，再將分析的結果產出?」

『概念上是這樣，但除了主機，還有資料庫、防火牆、網路設備什麼的，反正本身能產出記錄檔的，都可以送到SIEM。』

「哦...今天先這樣吧，我聽你講的頭好痛......」

『資訊長，那沒我的事了哦，妳要知道的，我都講完了。』

「誰說的? 你手機裡裝Kali Linux的方法，還有CentOS關機時，會自動發LINE還跑畫面到你Kali Linux, 你也沒告訴我。SIEM 我也沒看到畫面...你就這樣草草了事嗎?

我不管，你要教我這些的事情，小黃可是簽公文批準的，這和你是有合約在的，你想要我幫你簽驗收，你就看著辦吧。」

我到底什麼時候才能開始測試啊...

「這樣跟你講話的感覺，真好...想要客戶簽驗收，有這麼簡單?」

『資訊長......妳真的不擔心，到時候，是求我幫妳簽驗收單?』

「這好笑...說說讓我笑笑吧.......」

(待)

工程師們的宇宙
這個世界上，有一個叫做工程師們的宇宙，這個宇宙的時間序，大概是這樣的，

2010年_誰溫暖了工程師
2010年_IT人在廚房
2010年_FB不浪漫
2012年_工程師不哭
2012年_工程師復愁記
2017年_為了明日的重開機
2018年_有間咖啡店
2018年_心洞年代
2018年_A的A次方
2019年_那個夜裡的資安

2019/09/30 SunAllen