安全日志分析的目的意义
　　1.通过对企业内部的各项数据进行汇总关联分析，如防火墙、安全设备、WAF、HIDS等产生的攻击日志，关联killchain的上下文信息，感知可能正在发生的攻击，从而规避存在的安全风险；
 
　　2.安全检测：从不同角度维度检测系统内部的安全风险；
 
　　3.应急响应：从日志中还原攻击者的攻击路径，从而挽回已经造成的损失；
 
　　4.溯源分析：回溯攻击入口与方式；
 
　　5.安全趋势：从较大的角度观察攻击者更“关心”哪些系统；
 
　　6.安全漏洞：发现已知或未知攻击方法，从日志中发现应用0day、Nday；
 
　　在数据收集阶段，我们要从数据分析的角度去思考，我们在做安全分析的时候，我们需要哪些数据，由此产生以下4问。
 
　　1.What 收集哪些数据
 
　　2.Where 数据在哪
 
　　3.How 如何去收集
 
　　4.All 数据接完了吗
 
　　1.1 What:收集哪些？
　　下面简单列出一些收集的日志，重点在于，收集的对象，它能产出哪些日志？
 
　　1.1.1 服务器日志服务器日志包括系统运行，账户认证，命令操作，系统运行等等日志。
 
　　1.1.2 流量检测日志流量检测设备通过旁路的方式分析全网流量，包括DNS请求，SMTP发送日志。
 
　　1.1.3 设备日志设备的种类很多，每一种设备都有自己检测的日志
 
　　网络设备：VPN,负载,代理服务器,路由,交换
 
　　安全设备：FW,IDS,IPS,AV,UTM,WAF,APT,抗DDoS
 
　　审计设备：数据库审计,上网行为,运维安全审计,内网审计系统
 
　　PC终端：杀毒软件
 
　　1.1.4 应用日志：Nginx,Tomcat,Jboss,Apache,Tuxedo,WebLogic
 
　　1.1.5 数据库日志：DB2,MySQL日志,Oracle日志,SQLserver
 
　　1.1.6 应用系统日志认证系统：堡垒机,电子签章,CA认证,身份服务引擎,无线网络控制
 
　　管理系统：数据库管理系统,数据交换系统
 
　　1.1.7 业务日志
 
　　1.1.8 ……
 
　　确定了收集哪些方面的数据后，然后就需要了解这些服务器设备有哪些日志，在数据安全分析时需要服务器及安全设备的哪些日志。