пятница, 28 февраля 2014 г.

Зрелость приходит постепенно

mat1
Модель зрелости логирования [Raffy]
Для многих систем обеспечения ИБ ведение журнала (лога) - основная, а иногда и единственная задача. Кроме того - в сложных системах аналогично можно рассматривать компоненты, отвечающие за логирование.

На практике часто приходится обсуждать возможности (а чаще - невозможность) реализовать в рамках тех или иных систем/компонентов ту или иную аналитику.



Ограничения обычно связаны с архитектурой наблюдаемой системы, подробностью ведения журнала, передачей информации (агрегацией для последующей обработки), а совокупно - аппаратными ограничениями по памяти и по количеству операций в единицу времени.

Часть проблем в логировании "лечится" довольно легко - например запись событий частями (в несколько строк), что-то тяжелей - отсутствие идентификаторов сущностей, либо неоднозначная идентификация. Самые тяжелые проблемы - архитектурные (и как правило в бизнес-логике) проблемы когда часть активностей находится вне области наблюдаемости. Типичный пример: подгрузка функций в соответствии с матрицами доступа на этапе подключения клиента к серверу и отсутствие возможности отслеживать семантику выполняемых операций (последовательность и связь параметров атомарных команд).

Это к вопросу - "почему мы вы говорите, что мы не можем реализовать адвансед-мега-супер-эвристику?" в системе где не пройдены базовые этапы логирования.