在使用日志的过程中，人们常常会面临五大误区。克服这些误区，不仅可以大大提升安全设施的价值，而且能够及时化解潜在风险。

　　为了应对不断涌现的安全威胁，许多企业都部署了多种安全设备。这些设备生成大量的日志信息。为了利用这些信息，许多企业还部署了日志收集和分析程序。即使如此，许多用户仍然认为安全设备的作用没有达到期望值。之所以发生这种情况，常常是由于人们在日志分析中的五个误区所造成的。

　　不查看日志

　　许多用户都会犯一个低级错误—不查看日志。虽然收集和存储日志很重要，但只有经常查看日志，了解网络环境中发生了哪些情况，才能及时做出响应。一旦部署了安全设备并且收集了日志，用户需要对其进行持续监控，以及时发现可能发生的安全事件。

　　一些用户只在重大事件之后才审查日志，尽管这些用户能够获得事后分析的好处，但没能获得事前预防的好处。主动查看日志有助于用户更好地实现安全设施的价值，了解攻击行为将在何时发生并及时采取措施。

　　许多用户总爱抱怨入侵检测系统( IDS )不能起作用。造成这一问题的重要原因就是，IDS经常产生误报，使人们无法根据其警告信息采取行动。如果人们将IDS日志与其他日志（如防火墙日志）进行全面关联分析，就能充分发挥IDS的作用。

　　没区分日志的优先次序

　　日志已经收集完毕，存储时间也足够长，并且日志格式也统一了，接下来网管员应该从何处着手呢？建议用户设法获得高水平的摘要以查看最近的安全事件。这需要克服另外一个错误，即不区分日志记录的优先次序。一些网管员理不清优先次序就研究大量的日志数据，结果就会半途而废。

　　有效优先化的第一步就是对策略进行定义。回答下列问题会有助于定义策略：“最担心什么？”“攻击得逞了吗？”“以前发生过这种攻击吗？” 可帮助用户开始制定优先化策略，减轻用户每天收集日志数据的负担。