2012年5月初，SANS发布了2012年度的第八次日志与事件管理调查报告。本次调查的受访对象超过了600名专业人士，涵盖了各行各业，超过一半来自大中型企业。

调查问题1：收集日志的原因是什么？

结果分析：82%的人认为最关键的原因是“检测/追踪来自内部/外部的可疑行为”；65%的人认为最关键的原因是“取证与关联分析”；58%的人认为最关键的原因是“阻止突发事件”。以上三种原因分列前三位。而2011年度调查中位列第三的“合规性需求”退到了第四位，占比是55%。此外，还有54%的人认为最关键的原因是检测新型威胁（例如APT）。可以说，最近这些年的调查中收集日志的主因基本都没有太大变化。

调查问题2：收集和分析日志的方式都有什么变化？

结果分析：

1）直接从主机采集日志到LM——19%

2）通过Syslog收集日志到LM——25%

3）使用代理收集日志到LM——14%

4）使用SIEM对通过其他方式（例如logserver）收集到的日志进行关联和分析——15%

5）使用SIEM采集、关联和分析日志——22%

6）以上都不是——5%

可以看出，有58%的人采用LM的方式采集日志。37%的人使用了SIEM，而15%的人同时使用了LM和SIEM。

调查问题3：日志与事件管理的最大挑战是什么？

结果分析：主要是“从普通的背景事件中识别关键事件”，接下来依次是“多源事件的关联分析”，“缺乏分析能力”，“数据范式化”，“转发事件前的数据归并、过滤”，“对日志代理的管理”，“方便容易的访问日志及其分析结果”，“缺乏可视化能力”，“供应商的产品升级不连贯”。

调查问题4：日志与事件管理满足哪个需求最困难？

结果分析：最困难的是“检测新型威胁”，其次是“阻止突发事件”，“支持取证分析与关联”，“检测来自内部或者外部的可疑行为”。可以看出，用户最希望日志与事件管理系统做到的恰恰是最难做到的。

调查问题5：日志采集的日志源都有哪些？

结果分析：从多到少依次是：Windows主机、FW、网络设备、IDS/IPS、安全应用系统、*NIX主机、WEB应用、虚拟环境系统、身份与访问控制系统、DAM、关键应用、桌面、工单/工作台系统、大型机、物理场所的访问控制系统（例如视频监控）、移动设备、工业控制系统、云服务和应用。

调查问题6：每周花费多少时间用于日志分析？

结果分析：18%的人不知道，35%的人每周不到一天，11%的人每周1天，10%的人每周超过1天，24%的人将日志分析纳入了例行的工作流程，2%的人将日志分析工作外包出去了。可见，出现了两级分化的现象，但总的来说用的还不够。并且，越是规模偏小的单位，使用日志分析的比重越低。SANS也呼吁大家对日志分析引起足够的重视，正如Verizon的DBIR报告中提到的那样，“大部分的***事件其实都日志可查”

【参考】