是否有任何理由继续logging一个大量的网站? 原始日志中有什么有价值的数据。
我们今天保留了这些日志,以防万一,有人可以提供“以防万一”的答案。
尽量保持你的日志至less半个星期。 您可以使用像OSSEC这样的工具来实时分析它们,只存储与安全有关的信息(多个400,500的错误代码,扫描等)。
看看这个文件的一些想法保持这些日志的安全价值:
你想保留你的日志,但可能看看聚合。 我使用Analog来生成存档的每周和每月报告。 一些404的历史比较导致修复了我的网站一个破碎的变化。
我保存了几个月的IIS日志,但是我已经得到了几年来从他们那里得到的模拟报告。
我的日志+报告的总大小是微不足道的 – 低于50 MB。
假设你在其他地方跟踪stream量,我build议你最重要的用途是回溯在纯粹的stream量监视器中不容易看到的exception活动。 例如,很多从一个IP到login页面的请求,或者大量的404错误到/ admin,/ administration,/ config等等
日志在某些情况下可以派上用场。 正在进行的情况是趋势报告,可以显示您的页面查看或stream量增长或引荐stream量(哪些search引擎正在向您发送stream量)。 如果您有非常大的日志文件,则经常处理这些文件非常有用,只需保留报告工具保留的摘要即可。
另一个有用的是历史数据,如果你需要查看它。 如果你有一个SQL注入攻击,任何其他types的攻击,甚至一个DDOS你想追踪它开始时,如果僵尸计算机来自某个地区,这就派上用场了。 在这些情况下,你会非常感激你保持日志。
此外,如果您有PCI或其他合规要求,则可能需要保留一定数量的日志logging数据。
您可以closures某些文件夹的日志logging。 例如,如果您有负载平衡器或监视软件,则可以closures对其进行testing的文件夹的日志logging。 您也可以closures您的\ images文件夹或其他文件夹,可能会获得大量的stream量,但不需要logging。