Лог – это файл с системными записями о работе компьютера, куда занесены все действия пользователя/программы.
Лог иногда называют лог-файлом или журналом, который содержит в себе пул записей об инцидентах (любом действии), отмеченных информационной системой в хронологическом порядке. Все действия происходят с огромной скоростью, и пользователь физически не успевает их отследить. Выглядит лог-файл как текстовый документ, разделенный на строки. Одна строка – одно действие.
Основная задача логов – протоколировать все операции, выполняемые на компьютере, чтобы в дальнейшем администратор мог в любое время “поднять” их и проанализировать. Благодаря регулярному подробному анализу возможно не только найти ошибки в работе системы/программы/сайта/сервиса, собрать статистику и найти подозрительные аномалии, но и визуализировать бизнес-процессы.
Содержание
Виды логов
В лог может быть записана следующая информация:
- редактирование/попытка редактирования страниц;
- вход на сайт/попытка входа;
- история работы с платежными системами на ресурсе;
- экспорт товаров;
- удаление или добавление.
Однако стоит отметить, что некоторые действия, например, редактирования шаблона веб-страницы, работа с пользователями на панели управления или мини-чаты, логами не фиксируются.
В большинстве случаев запись осуществляется в так называемые журналы событий (системные журналы, event log). Программные продукты, установленные на сервере, “заводят” собственные журналы. Среди самых распространенных логов:
- основные
содержат данные о работе с ядром системы, работе FTP, DNS;
- загрузочные
помогают отлаживать систему, сохраняют основные события системы;
- серверные
делятся на два вида: одни работают с данными веб-серверов, другие ориентированы на базы данных;
- хостинговые
благодаря таким логам идет управление сайтами на хостинговых платформах: фиксируются попытки входа, обновления, попытки доступа;
- почтовые
в лог записывается информация о входящих и исходящих письмах, ошибках.
Запись в лог
Рассмотрим на примере сайта. Когда пользователь набирает в своем браузере адрес сайта и успешно переходит на него, то браузер передает на сервер, где расположен этот ресурс, запрос на выдачу нужной пользователю информации. Например, открывая сайт ProcessMi, вы делаете своеобразный запрос и одновременно с этим передаете массив следующей информации:
- IP-адрес;
- время запроса;
- браузер, с которого передан запрос;
- используемая операционная система;
- нужная страница;
- адрес страницы, откуда произошел переход на сайт.
После обмена данными, пользователь получает ответ на интересующий его запрос, а все данные о транзакции фиксируются в журнале событий.
Основные функции
- OpenEventLog
- ReadEventLog
- GetOldestEventLogRecord
- GetNumberOfEventLogRecords
- NotifyChangeEventLog
- BackupEventLog
- ClearEventLog
- OpenBackupEventLog
- CloseEventLog
- RegisterEventSource
- ReportEvent
Журнал событий
Все данные берутся из реестра, изначально всего три ответвления:
- Приложение (Application);
- Система (System);
- Безопасность (Security)
Кроме того, каждый журнал имеет свои ключи.
Когда журнал достигает своего пикового размера, он либо просто останавливает запись событий, либо начинает перезаписывать устаревшие события, что делает его уязвимым к DDOS-атакам. Одним из способов борьбы с этой проблемой является увеличение размера журнала. Как вариант – журналу можно задать функцию не перезаписывать устаревшие события, но это может стать источником сбоев.
Логи в process mining
Технология Process Mining (процессная аналитика) в своей основе использует именно логи для визуализации бизнес-процессов в состоянии “as is”. Благодаря этому все полученные результаты будут исключительно достоверными и прозрачными.