2.4 日志管理中存在的问题

1.存在海量数据信息孤岛

目前，很多企业的日志仍然散落在各种设备上，运维人员在使用日志时需要多方查询，极其不便。日志中的价值得不到有效挖掘，运维效率极低，而且不能满足《网络安全法》对日志管理的要求。

2.日志应用方式原始

很多企业运维人员还在通过多终端方式连接服务器，在目录中通过grep、vi、awk等命令方式定位问题。如果运行 Windows 系统中的服务就会更加困难，需要打开第三方软件进行排障。开发人员也面临同样的问题，不过开发人员只在项目上线时才关注这些问题。最终，所有的难题都留给了运维人员。一次故障定位过程通常要花费10～30分钟，甚至更久。

日志只在系统出现问题的时候才会被关注，如果缺乏有效的手段去监控日志，也就无法第一时间发现日志中存在的问题。

3.存在操作风险与信息泄露

金融行业常见的隐私信息，如身份证号码、存款账号、证券账号、保单号、手机号等信息经常在往来日志报文中传输。日志权限管理不善导致客户信息泄露频发。用户登录操作风险得不到有效规避。

4.信息缺失

当业务系统出现异常时，运维人员往往第一时间去查看日志，有时会发现日志没有打印完整，原因是开发人员认为打印日志消耗I/O性能，会导致磁盘效率低，常常只打印错误日志。很多业务日志及安全设备日志都没有按照等级保护要求开启日志级别。很多运维人员也不清楚需要开启哪种日志级别来满足日常应用。

5.日志价值未被充分挖掘

很多企业没有认识到日志的重要性，为了节约成本，有时仅采购一台功能简单的工控机作为日志集中存储的设备。有些设备本身造价很低、稳定性差，经常会因为单机故障导致日志数据无法恢复，结果出现审计时无数据可用的情况。

日志中包含往返报文和交易的详细信息，对日志特征结合时间维度进行关联分析就可以轻易获得用户画像、用户行为、业务系统特征，这些可以作为安全运营的数据支撑，也是精益管理的重要数据支撑。