應用服務器容納大量有價值的數據。它們存儲你的機構的網頁，充當連接重要數據的網關和每天處理敏感的信息。應用服務器也是你的機構最大的風險來源之一。因為我們已經圍繞我們的機構建立了一個周邊環境，并且很善于拒絕那些與可接受的配置文件明顯不同的通訊進入網絡，我們已經使那些不需要的協議很難穿過我們的邊界。因此，攻擊者現在試圖通過我們允許的協議實施隧道攻擊。這就導致了SQL注入、緩存溢出和其它應用層攻擊的增長。這種情況迫使我們修改我們的記錄策略。雖然我們過去一直把重點放在以網絡為中心的攻擊方面，保留防火墻報警和網絡流量等數據，但是，我們現在需要把重點放在應用層記錄方面。

　　應用層記錄策略

　　在過去的幾年里，遵守管理部門法規的問題迫使許多信息安全專業人員把他們的重點放在了記錄和保留安全數據方面。很多大企業都采用基于行業標準的集中的記錄服務器，如Unix syslog(系統記錄)格式，并且在這些服務器周圍配置監視和報警裝置。由于大多數機構都有一個基本的記錄基礎設施，現在是考慮增強這個基礎設施以滿足商務和安全需求的時候了。現在讓我們看一下你可以用來改善你的機構的應用記錄的一些增強功能。

　　許多應用服務器都能夠捕捉和記錄大量的與安全有關的信息。我們的工作就是恰當地設置這些數據，確定什么數據要保留，什么數據可以安全地刪除。

　　應用記錄的關鍵是以你在標準方面的努力為基礎的。這在以下兩個不同級別標準方面確實是如此。

　　第一，使用行業標準協議和格式，以保證各種應用程序、平臺和設備的記錄的一致性。這使自動和人工分析更簡單，效率提高100倍。使用W3C網絡服務器記錄等標準的格式和網絡通信的網絡流量有助于把不同系統產生的警報聯系在一起。通過syslog和SNMP等標準的協議做記錄有助于把我們的各種努力整合為一個單一的集中的平臺。

　　第二，在你記錄的實際數據中采用標準。許多機構僅向系統管理員提供記錄服務器，并且認為他們的工作是完美的。重要的是再走遠一些，向管理員提供一些執行的標準，讓他們在各種系統上設置記錄的時候執行。這些關鍵的問題是，“我們應該記錄什么文件?”和“我們對這些數據應該保留多長時間?”。根據機構的業務、技術和管理規定的需求，這個答案也是不同的。然而，不管你的要求是什么，重要的是你要準確的定義并且明確地說出來。根據你可能面臨的威脅，你可以考慮記錄的事件類型。身份識別成功和失敗對于深入了解猜口令攻擊提供了有價值的信息。記錄HTTP請求也許能夠暴露利用緩存溢出或者SQL注入安全漏洞的企圖(成功的或者失敗的)。不能實行標準化將導致管理員對標準做出不同的解釋，顯著降低你的集中的記錄基礎設施的價值。

　　設置應用服務器和記錄基礎設施支持應用層事件詳細的記錄在一旦發生安全事故的時候能夠向你提供重要的信息。積極的監視將向你提供實時監測事件的能力。反應性的監視將向外部調查人員提供非常重要的幫助。正如我們討論的那樣，開始這項工作并不困難。你也許已經擁有了基本的基礎設施。