日誌標準化也稱為日誌正規化
正規化不難
難的是要了解日誌的內容及本意
不然很容意解讀錯誤
最後設定了錯誤的規則
就像妳問我在幹嘛
不論我的回應是什麼
正規化後再分析
只有
思念和想念
但妳總說
我的回應是哄和騙
但真如古人所云
天涯地角有窮時
唯有相思無盡處
........
「正規化是什麼,資料庫正規化嗎?」
『日誌正規化...主要是要從日誌中,取出想要的內容。』
「然後呢? SIEM主要不是日誌收容嗎?」
『...妳還記得魔獸世界嗎?』
「記得啊,怎了?」
『當年,魔獸世界的等級只能到60,所以有句話是,魔獸60才開始。
現在的快打旋風 5,如果玩排位戰,是快打金牌才開始。
SIEM 就是正規化後才開始囉。』
「不是收日誌就好?」
『不是啊,怎麼可能。』
「那不就很多東西都要用? 我們集團的日誌很多耶...都要正規化?」
『需要的部份,才要正規化啊。』
「那我怎麼知道,什麼要正規化?」
『多看點相關書籍啊,妳怎麼這麼可愛...資安長...』
「Allen 你一定要這麼酸嗎?」
『妳是五分鐘前才認識我嗎? 我們在苦讀的時候...妳不是在逛街,就是在喝咖啡...
我不是酸啊,我只是回答了妳不喜歡聽到的內容,妳就覺得我酸,好嗎。』
「哼,不想理你。」
『真的嗎!? 謝主隆恩啊。』
「繼續啦,你真的很煩。」
(待)
2022/09/26 SunAllen