从虐童案取证看日志监控管理的重要

近日，牵动着无数人心的“三原色”事件终于在官方发表声明后告一段落，个中详情，众说纷纭，但兜兜转转却总也少不了这些关键语——“硬盘坏了”、“强制断电了”。

不论是在校园，还是在企业，像硬盘损坏、临时断电这些问题都时有发生，那么，在这类突发故障面前，运维人员究竟怎么做才能使企业的损失达到最小化？事后救急、临时恢复真的是企业解决问题的唯一方法吗？究竟何时才能让“硬盘坏了”不再成为取证的障碍？

近些年来，校园安全一直都是政府、学校、家长以及全社会广泛关注的问题，因此，如何加强校园的安全建设与防范管理，在学校范围内建设一个先进、有效、高度集成的监控系统已成为学校管理者需重点考虑的问题。在此种监控系统下，学校监控中心可将所有监控信息实现回放、保存至本地以及视频断开即发送报警并记录报警信息，方便及时发现问题。

为了避免像本次事件一样事后补救，便需要一个日志监控管理工具，部署在上图的校园监控系统中，对系统日志进行集中管理，当系统发生或即将发生故障时，能够发出告警，方便运维人员检索日志，快速定位故障原因。

在校园监控架构中，每一个设备和系统在发生通信时，都会有对应的日志记录，包括监控探头、路由器、防火墙、服务器、存储设备等，这些机器设备和系统在设计开发时，都会忠实记录每一个事件，像“断电”事件、“硬盘损坏”事件，形成日志。通过“日志易”这样的专业日志管理工具，可以对散乱在各处的日志记录进行集中采集，统一管理和备份。日志从产生到被采集处理，只有几秒延时，在日志管理工具中有相应的监控告警规则，可以设置相关告警规则，一旦出现特定特征的日志记录，如“断电”，日志管理工具就可以向手机、邮箱等发出告警，让IT人员第一时间得到信息，启动应急预案，防止数据丢失范围扩大，将事故造成的影响降到最低。

对于告警的处置，“日志易”提供了一套完善的管理机制，例如，“日志易”系统中不同颜色代表不同等级告警，用户可以非常直观地看到不同优先级别的告警数量占比与处理进程。另外，为了应对告警风暴，“日志易”设有一套告警规则，根据告警属性分类收起，保证用户能够直观浏览到最新告警的概况，从而可以洞悉系统的故障。有了这套管理机制，可以将事故处理责任明确落实到个人，防止出现漏接、忽略等情况，并可作为考核依据。

作为一个专业的日志管理工具，“日志易”具备日志检索功能，收到告警后，IT人员可以通过检索功能，快速定位到故障设备的ID（唯一标识），通知对应的维护人员快速修复故障设备。如果再配合周密的应急预案，如设备冗余备份、系统重启脚本等，就能快速处置事故，几分钟内恢复系统正常工作。

此外，通过对机器学习技术的应用，“日志易”已经能够在一定程度上实现事故预警，即通过大量的历史数据积累和学习，提取出事故发生的规律，在事故发生前，提醒IT人员关注，这项技术的成熟及应用，可确保监控系统数据零丢失，避免事后补救。

正是由于缺少这种实时的日志监控手段，本次事件中的“硬盘坏了”才影响取证，引发公众疑虑。随着大数据时代的到来，数据的安全性越来越重要，由此，对大数据日志的有效管理与分析也就势在必行，通过“日志易”构建完善的日志分析平台，让“硬盘坏了”再也不要成为此类安全事件的取证障碍。