四两拨千斤：剖析安全管理中日志的作用

日志文件一直都是网络管理人员在检查故障、排除网络错误时，查找“病源”的有利工具。
　　而Web日志记录由于数量大，分析难度高，令人忘而却步。

　　其实巧妙剖析Web日志记录，能够让网络管理人员领会到网络管理的乐趣所在。

　　你了解公司站点的访问情况吗？如果仅仅是简单地统计一下访问量，说明你还未真正利用Web站点为企业服务。事实上，对站点访问情况进行详细分析，尤其是Web日志分析，能帮助企业更好地作出商务决策。简单地，对制造商而言，可决定某类产品是否有继续生产的必要；或对站点进行针对性改造完善，使之更具吸引力，并让客户和企业内部用户能实现高效访问。为达到此目的，可手工进行Web日志分析，或采用商用Web分析工具进行自动分析，还可采用外包服务方式。

　　对网络主管来说，大量的Web日志记录信息难于管理，对日志数据的分析“破解”更是一项浩大的工程；面对堆积如山的日志数据，有的主管甚至无从下手。甚至在使用Web日志分析软件的用户都有此感觉。一般的Web服务器都配置有站点访问日志记录，且大多数在采用商业软件来分析日志文件数据，数据分析周期（每周或每天）进行，但很少有企业在真正基于分析工具得出的结论基础上进行站点改进。那么，针对站点访问的分析活动意义倒底何在呢？

　　Web分析要实现的功能

　　Web日志文件事实上是一些分离的“碎片”，日志分析软件的功能就是将这些碎片集合起来，从中剖析出有用信息，提高网站访问效率，进而为商务决策提供支撑服务。

　　例如，一个中等规模的电子产品批发商对其Web站点通信进行了数月分析，发现用户对安全产品兴趣很浓，如智能卡。于是公司针对其提供的安全产品发起了一场营销活动，两月后公司收益明显提升，以前销售一直不好的一些分公司业绩也开始名列前茅。

　　简单的日志分析方法是，运用telnet命令登录到Web服务器实时查看日志文件更新情况，这种方法查看的数据量大，但只能进行最基本的分析。通过观察抵达服务器的通信，能确定用户是否遇到了访问错误，是内部Web站点访问还是欲进入搜索引擎。如果用户指向搜索引擎，则可查看搜索类型以及关键字，以帮助企业建立相关的内容管理方案，进而制定相应的行销战略。

　　但这里有个问题，用户不可能一直守在机器旁查看日志信息更新情况。因而对通信进行深层分析的办法是采用专门的日志分析软件。

　　几乎所有大中型企业都构建有动态Web站点，能基于数据库生成各类站点信息，这就给用户访问行为分析带来了难度。因为所有站点URL都是类似的，站点分析工具有可能误将它们视为同一访问，如URL：www.mydomain.com/products.aspx?productid=20与www.mydomain.com/products.aspx?productid=21，大多数日志分析软件将它们视为同一页面，而忽略了附加参数，即要访问的产品编号。因而Web日志分析软件应具备参数识别能力，能依据完整的访问字符串分析站点访问行为。

　　例如，NetIQ的WebTrends分析工具在其高级管理功能选项中提供“URL参数分析”功能，能对特定页面内容进行分析。在用户提交页面名（products.aspx）和参数名（productid）后，工具能基于参数分析报告得出详细分析结果，如对特定产品页面的浏览访问次数。管理人员可据此获取更多有用信息，如站点中被访问最多或最少的产品，并运用转换文件将信息直观表达出来。