日志系统承担着整个信息基础设施中感觉器官的作用，一个完善的、工作良好的体系需要在正确的地点部署日志采集工具，这些日志信息被汇总之后体现了整个设施的全貌。

　　在一个信息体系当中，一个必要的组成部分就是对整个信息设施进行监控，以获得必要的信息素材,用以指导管理工作的开展。

　　这些信息或者用于记录系统设置的改变，发现潜在的安全威胁，又或者用于证明某些事件的发生。为了最大限度的提高整个体系的有效性，无论是厂商还是用户都在竭力收集信息。

　　黄金还是蚁穴？

　　事实上，在很多案例中可以发现，一个企业的网络管理员每天有接近一半的时间被花费在处理信息上面，而这可能只是例行的日志阅读工作，他们往往还需要抽出一些时间（甚至加班）来对这些信息进行深入的分析，以发现系统中的不合理或不安全。

　　当管理员在这些信息中疲于奔命时，一个非常可能发生的结果就是被这些信息“淹没”，他们将没有时间执行真正有意义的工作，将无法发现存在的问题也无法有足够的时间响应用户的各种请求，企业的信息管理形同虚设。

　　这是一种杞人忧天吗？绝不，这种现象好似“蚁穴”，这样比喻并不是指其小或轻微，而是在于人们对其漠视的态度。在很多情况下这类信息过载问题都被忽略了，结果就是一些看起来非常勤奋的工作人员和一大堆随时可能摧毁企业经济利益的炸弹。

　　从宏观的角度来看，尽可能收集信息对信息管理确实具有非凡的意义，这也是信息管理工作的重要基础，但是如何更好地管理和利用这些信息，无疑是个值得重视的问题。信息管理者必须以正确的态度和方法，应用正确的技术和工具，在海量的信息当中淘出黄金。

　　“通用”日志系统

　　日志系统承担着整个信息基础设施中感觉器官的作用，一个完善的、工作良好的体系需要在正确的地点部署日志采集工具，这些日志信息被汇总之后体现了整个设施的全貌。

　　从目前的情况来看，Syslog（系统日志）这一历史悠久的日志系统仍旧占据着最主流的地位。由于与Class UNIX平台之间的渊源，Syslog是在实际应用环境中最容易获得的日志系统。

　　同时，还有很多的基于Syslog的扩展产品存在，这其中也包括大量基于UNIX平台构建内核的网络硬件设备，这些设备往往都内置了Syslog功能支持，例如Cisco路由器就是如此。

　　Syslog的应用具有一些显著的优势，除了能够像所有日志系统一样完成记录审计的工作之外，Syslog作为一种事实上的标准可以将不同架构的软硬件设施整合起来，让用户形成对一个应用系统的全面了解。

　　Syslog提供一些分类的基本方法以缓解管理员的信息过载问题，例如Syslog可以依照采集源、重要等级等要素被区分成不同的类别，这可以帮助管理员优先处理那些更有意义的日志信息。

　　在正常情况下，管理员还应该对不同类别的日志信息配置不同的警告方式，例如涉及到数据库的安全告警应该使用短信这类比较快速的方式传递给管理员，而一个与超过磁盘配额有关的问题往往发一封电子邮件给管理员即可。

　　在实际工作过程中，根据实际的工作情况对这些设定进行调整始终是个不错的主意，举一个最简单的例子，如果你每天都能收到上百封针对系统设置变更的电子邮件提醒，那么你就应该考虑降低Syslog告警这些事件的敏感度了。

　　对于安全管理员来说，可以将不同服务器、设备乃至计算机上的Syslog功能作为入侵检测系统的信息来源，编写脚本在全局层面进行分析。

　　相对于离散的分析不同采集点的数据，集中分析可以更有效地发现系统和网络中的问题，以此为基础才能够应用一些高层的产品分析这些信息中的关联性，汇总不同采集点的日志信息甄别出真正的问题所在。

目前应用比较广泛的Syslog服务端工具是Kiwi Syslog，在兼容Syslog机制的基础上，Kiwi Syslog提供了更加丰富的功能。该工具提供免费版本供用户使用，而商业版本的功能更加强大一些，例如商业版本可以针对每个日志采集点保存独立的日志文件。

　　应对信息过载准则手册

　　取得适合自己的工具：优秀的工具可以最大限度的节省时间，它们可以分类管理日志信息、在日志信息中进行复杂的条件搜索、根据管理员设定的条件自动分拣需要的信息并反馈给管理员等。

　　就一般日志系统来说，基于不同的技术架构有不同的工具可供选择，应尽量选择与自己的基础设施匹配的管理工具。

　　这意味着如果企业应用的基础管理设施应用了很多开放源代码的产品，那么同样地在管理工具上也应优先开源解决方案，这样往往可以更好地实现融合、更多地从开源社区获取力量同时降低经济投入。

　　另外，还有一些增强的Syslog工具可供使用，最著名的是Syslog-NG，这是对传统Syslog的一个增强版本，弥补了传统Syslog不支持身份验证、只能使用UDP（用户数据报协议，是ISO参考模型中一种无连接的传输层协议）进行不可靠传输等问题。在应用这类工具时需要注意平衡先进功能与兼容性，以防止基于Syslog的设备不能与Syslog-NG协同工作这样的问题。

　　以合理的规范组织日志信息：当日志信息达到极大的数量时，分类是必要的，但一定要注意制订灵活的、容易变更的分类规范。一般在一个分类体系当中，不要应用过多的分类维度。

　　通常应用日志源、日志事件类型、重要程度等几个基本的维度是可以构建有效的日志分类体系的，过多的维度会使得日志信息难于管理，那样做的话管理员必须在处理大量信息的同时兼顾更多的关于分类的信息。

　　订立可度量的评估规则：例如管理员ABC设定他每天处理系统管理日志信息的时间不超过总工作时间的20%、处理用户提交问题的时间不超过总工作时间的15%（包含回复问题）、处理企业制度变更等原因造成的信息不超过总工作时间的5%。这样管理员ABC可以更好的进行自我管理并平衡工作时间与信息量。

　　一般来说，当处理信息的时间超过了自己的旧有评估指标时，很可能意味着系统中出现了新的问题，或者管理员采取的工作方法已经不适合当前的工作环境变化，这样管理员可以及时做出调整