合適的日誌管理工具可以大幅減輕系統管理的繁瑣效能分析和問題定位的負擔。但是，除非組織或團隊為這個工具投入一定的時間和精力，否則再好的工具也會很快變成一個差勁的工具。以下為大家提供了6個確保成功的日誌管理的思路和原則：

1. 門外漢用上了工具依然是門外漢

如果你不準備投入時間和精力在恰當地安裝、管理日誌管理工具上，那麼就不要把錢浪費在日誌管理系統上面。日誌管理系統必須進行合理的配置，以正確解析您網路中的事件和日誌，這樣出來的報表才具有商業和技術價值。另一個“愚蠢”的錯誤是不去瀏覽和審查警告控制檯，因而錯過了關鍵的安全事件。因此，不要犯只重視日誌管理技術而不重視系統使用的錯誤。

2. 通過預定義需求來精簡RFP(請求提案)

建立RFP(請求提案，需求方案說明書)是一個費時的過程。而一些需求一旦被定義出來，就能在隨後的RFP中複用。這在制定日誌管理的需求時很常見，因為日誌管理的基本需求(例如日誌檔案的格式，寫入日誌檔案的資料，等等)都是一樣的，可以預先定義出來。使用預定義需求的另一個好處是這確保了在精簡RFP 週期的同時保持需求的一致性。

3. 確定你有所需的資訊

為了能夠寫出有效的關聯規則，日誌管理系統必須有足夠的上下文資料進行分析。例如，為了確定某個特定的流量或者行為來自哪裡，就需要知道源IP地址資訊，這意味著日誌管理系統必須先記錄下IP地址資訊，這樣引擎才能夠將其解析出來。又例如，如果要寫一條日誌分析規則對目標裝置或者應用發生了某種行為進行告警，相關的日誌資料必須先記錄下那些行為才行。

4. 不要侷限於靜態分析

大部分組織需要做的最後一件事是將那些沒有整體分析模型的資料填寫到另一張大表中，然後利用這張大表來進行事件分析。根據預期或者可接受行為的基線設定的告警不僅要通過分析大表中單條記錄的特徵來產生，還要通過分析一組記錄集的特徵來產生。不妨設想一下關鍵資料庫的登入記錄。

一般會將兩次登入失敗的行為設定為觸發告警的基線，但是如果那個資料庫系統的密碼策略從使用簡單的字典單詞變為使用8位以上非字典單詞字串，那麼登入失敗次數的基線可能要增大，因為使用者要適應新的策略。具有智慧感知能力的日誌管理系統應該可以進行調節，以監測發展趨勢，併為管理員提供反饋。管理員可以決定使用該趨勢資訊臨時地改變告警閥值。

5. 使用日誌資料描述正在或者已經發生的事情

“日誌是檢查故障的極佳資訊源”。因為大部分情況下使用者判斷導致故障原因的所有所需資訊都能夠從日誌檔案中找到。在危機期間，管理人員經常不得不進入被動模式，往往只能通過直覺、猜測、將不可再分的無關資訊拼湊到一起等方式來判斷正在或者已經發生的事情。而日誌是真實發生事件的記錄，日誌管理系統允許管理人員針對故障資訊實時地撰寫和產生報表，從而真實地告訴響應小組網路中發生了什麼。

6. 使用範疇可以超越安全本身

日誌管理系統是一個絕佳的安全裝置資訊收集和分析工具，不僅可以用這些資訊實現安全感知，而且可以利用這些資訊實現其他目標。例如，可以將這些資訊用於分析(你的)十大業務關係的客戶體驗。

許多WEB應用分析系統無法提供展示真實客戶體驗的細粒度檢視。而設計良好的應用系統日誌可以記錄這些客戶體驗，日誌管理系統可以通過這些日誌來分析客戶體驗，從而將日誌管理系統的運用領域擴充套件到安全分析之外。