Log 檔是什麼？有哪些種類？Log 檔管理挑戰介紹

Log 檔是什麼？

在電腦資訊領域，Log 檔指的是資訊系統中所發生的活動與事件的紀錄，中文則稱為「日誌檔案」。無論是在伺服器、作業系統、防火牆、防毒軟體、網路系統、資料庫查詢、應用程式、硬體設備、基礎架構，或使用者裝置等等地方，出現的的重要活動都可以被記錄到 Log 檔案中。

Log 檔中常見的資訊包含活動敘述、誰存取了系統資源、存取時間點為何、哪些檔案被打開了、涉及哪些應用程式、資料是否有被編輯過，編輯的內容為何，以及系統錯誤或故障問題和其他資訊。通常 Log 檔中的紀錄，還會附有時間的相關資訊（時間戳記），提供更完整的背景資訊，讓技術人員了解不同活動與事件之間的關係。

Log 檔看似簡單、只是活動紀錄而已，但在系統實際運作中，極為關鍵。因為活動和事件紀錄可以協助企業更進一步的了解自己的資訊系統，並在發生錯誤時，找出根本問題所在的環節。

日誌檔種類

根據記錄的活動類別或是 Log 檔針對的目標，日誌也有多種不同的種類，其中以事件日誌、事務日誌、伺服器日誌、系統日誌、存取日誌、應用程式日誌和安全日誌為常見類別。但這些類別互不相斥，同一個 Log 檔案可以同時屬於多個類別。

• 事件日誌 （Event Logs）

事件日誌也稱為活動紀錄檔，內含系統在執行期間所有的活動，有助於了解系統運作情形與系統問題的來龍去脈。比方說，企業 IT 人員，可藉由閱讀事件日誌判斷系統停機是因為過載當機、基礎架構故障還是出現網路攻擊。

Log 檔中，事件通常會依照發生的先後順序排列。事件的定義廣泛，多指系統中發生的特定動作或狀態變更，可透過外部輸入指令或內部觸發所引起。從使用者按下鍵盤按鍵、以滑鼠拖曳檔案、點擊網頁上的按鈕，到網路連線中斷、資料庫更新完成等等都可以算是事件。而事件日誌中，記錄的事件種類與詳細資料則依據系統管理者設定而有不同。

【事件日誌示意圖】

• 事務日誌 （Transaction Logs）

事務日誌多為資料庫管理系統使用，紀錄資料庫中有關資料更變的操作，更變起始與結束時間、更變的內容等。和事件日誌不同，事務日誌的主要目的並非供人類閱讀、獲得系統相關資訊，而是用於系統失效後進行資料復原或維持資料完整性。

• 伺服器日誌 （Server Logs）

伺服器日誌由伺服器自動產生並維護，內容為該伺服器執行過的任務清單。最常見的例子即為網頁伺服器日誌（Server Logs），裡面包含使用者連線各頁面的歷史記錄，以及使用者連線至各頁面的相關資訊，如用戶端的 IP 地址、用戶連線的時間、連線的頁面、 HTTP 代碼等。一般來說，伺服器 Log 檔僅開放給網頁伺服器管理者存取，方便以網站分析工具進一步分析流量或使用者瀏覽網頁習慣等相關資訊。

國際標準組織全球資訊網協會（W3C）曾制定網頁伺服器 Log 檔的標準格式，稱為通用記錄格式（Common Log Format，CLF），但後也出現許多其他的網頁伺服器 Log 檔格式，例如延伸日誌格式（Extended Log Format，ELF）和合併日誌格式（Combined Log Format）。

【伺服器日誌示意圖】

• 系統日誌（ System Logs）

系統日誌記錄作業系統的操作、錯誤、事件和其他重要資訊，可用來檢視作業系統運作情形，例如硬碟載入情況、記憶體使用率、網路連線狀態等。系統日誌的內容通常包含資訊、警告和錯誤等類別，電腦系統管理者可藉此資訊監控系統，並排除故障問題。

【系統日誌示意圖】

• 存取日誌 （Access Logs） 

記錄了使用者或應用程式對 IT 資源（如伺服器、資料庫、檔案系統等）進行的存取請求。存取 Log 檔的範疇確實很廣，包括網頁伺服器存取日誌、FTP 指令日誌，以及資料庫查詢日誌等。

存取日誌中，通常會包含存取日期與時間、IP 地址或主機名稱、使用者名稱、事件狀態或嚴重性、存取成功與否等資訊，協助 IT 人員偵測異常存取請求及資訊安全威脅，或是進行問題除錯。

• 應用程式日誌（ Application Logs）

應用程式日誌記錄特定應用程式中發生的事件，例如網頁伺服器記錄資料傳輸、資料庫執行個體記錄完成資料備份、防火牆記錄成功的連線請求等。

同樣道理，應用程式 Log 檔中的資訊，可協助 IT 人員除錯、分析資訊安全事件，或研究使用者行為。

【應用程式日誌示意圖】

• 安全日誌（ Security Logs）

安全日誌針對可能影響企業或組織的資安事件，記錄相關活動，包含登入嘗試與更改權限。記錄安全日誌最主要的目的為檢視未經授權的活動，以及排除系統中的資安問題。

   Log 檔怎麼看

Log 檔副檔名為 .log，通常是文件檔。可以用任何具有基本功能的文書處理軟體開啟，例如：

• Notepad2

• Microsoft Notepad

• Microsoft Works

• Microsoft Word

• Microsoft WordPad

除了文書處理軟體，也可以使用事件檢視器（Event Viewer）軟體來查看 Log 檔中的內容。

日誌檔開啟後，會看到密密麻麻的文字列，要如何看懂日誌呢？首先要確認 Log 檔的格式。Log 檔格式定義了檔案內的資料的形式，格式規定了日誌檔以下幾個層面：

• 日誌檔案中的資料為結構化或非結構化資料。

• 日誌檔案中的資料以純文字或是二進位顯示。

• 日誌檔案中的資料如何分隔（例如斷行、逗號等）。

• 編碼方式（如 UTF-8、UTF-16）是否會影響日誌檔案讀取。

晟崴小知識：結構化資料是指有明確格式和規定的資料，以表格形式呈現，具有固定的欄位和資料類型，易於查詢和分析。而非結構化資料則是指沒有固定格式的資料，例如以文字、影像、音頻或影片等。

常見的 Log 檔類型有 JSON、Windows Event Logs、通用記錄格式（CLF）、通用事件格式（Common Event Format，CEF）、延伸日誌格式（ELF）。

• JSON 是結構化的日誌格式，適合讓機器分析內容。

• Windows Event Logs 是 Windows 系統專用的二進位格式日誌。

• CLF 為網頁伺服器日誌的標準格式。

• CEF 是針對安全事件設計的日誌格式。

• ELF 也是網頁伺服器的日誌格式，相比 CLF 包含更多詳細資料，可自訂欄位和內容，使用上更靈活。

為什麼要進行日誌管理？

Log 檔在 IT 系統中，有著關鍵的作用，因為日誌中的活動記錄可以協助：

1. 監控系統運作效能

2. 偵測錯誤或問題

3. 進行根本原因分析（Root Cause Analysis）

4. 追蹤使用者行為

前三項能為資訊系統的安全防護提供寶貴的情報，從而加強整體資安措施：無論是面對資安威脅，還是故障排除的處理效率，都可以靠分析 Log 檔提升。另一方面，第四項則有利於企業在營運決策上做出更具競爭力的發展策略。在以數據為導向的現代，Log 檔所提供的資料更是至關重要，無可忽視。但 Log 檔記錄的活動種類繁多、範圍廣泛，也意味企業要面臨巨量資料處理的挑戰，有效日誌管理也就成為了企業不得不重視的課題。

 日誌管理的 4 項挑戰

日誌管理簡單來說，就是持續進行收集、儲存、處理、分析不同來源的 Log 記錄的過程，可以簡單分為：收集、監控、分析、保存資料、索引或搜尋和報告 7 個步驟。這 7 個不同步驟聽起來簡單，但實務上進行日誌管理時，仍有挑戰須面對：

• 龐大的資料量：日誌種類眾多，且每個日誌都詳細記錄各項活動，進而產生龐大的 Log 檔資料量。如何高效處理與保存資料是首當其衝的挑戰。

• 資料複雜度高：不同來源的 Log 檔可能使用不同的日誌格式，增加了整合與分析資料的難度。

• 資料處理速度：基於以上兩點，處理大量又有著不同格式的 Log 檔，並非易事，選擇高效的日誌管理工具或系統成為了關鍵。

• 安全問題：Log 檔中多含有企業機敏資料，在收集、分析、儲存等過程中，同時顧及資料安全與資料完整性更是必要。

善用日誌管理工具

為應對日誌管理的挑戰，使用日誌管理工具不失為一個好選擇。集網管、流量分析和 Log 日誌管理平台於一體的服務，讓您在單一平台簡便操作，輕鬆監測連網設備健康狀態、紀錄各點網路使用量，管理系統存取日誌。並可整合跨設備與不同格式的日誌，將異質的資料進行正規化處理，再加以分析日誌內容。更導入 AI 系統，加速日誌分析，將排除資安風險的時間縮到最短。還可將資料加密，針對機敏檔案多提供一層保護。歡迎與晟威科技聯絡，了解更多我們的日誌管理工具，輕鬆滿足企業管理、分析與稽核需求，讓維運變的省時省力更高效率。

立即聯絡晟崴科技，讓維運變的省時省力更高效率。