网御星云日志审计系统产品白皮书V

合集下载

网御互联网审计产品介绍PPT V7.0

萨班斯（Sarbanes Oxley）法案： 2006年7月15日，美国著名的《萨班斯·奥克斯利法案》正式生效，在美国上市的公司都需要遵循的萨班斯（Sarbanes Oxley）法案，其合规性要求建立严肃的、完备的企业内控体系，而信息系统的安全审计又是内控体系的重中之重。
公安部82号令： 2005年11月23日，中国公安部颁布了第82号令《互联网安全保护技术措施规定》要求：“ 记录并留存用户访问的互联网地址或域名”，“在公共信息服务中发现、停止传输违法信息，并保留相关记录，能够记录并留存发布的信息内容及发布时间”，“电子邮件或者短信息”，“应当具有至少保存六十天记录备份的功能”。
详细功能介绍：行为控制-阻断类型
HTTP服务器、外部网站
音视频应用
即时通讯、网络游戏
行为阻断
P2P下载、文件下载
SMTP、POP3、WEB Mail
关键字搜索引擎
详细功能介绍：行为控制-阻断策略
对于不同的安全域采用不同的阻断策略（比如对A域内成员采用只阻断邮件策略，对B域内成员采用阻断文件下载和FTP访问策略）；
产品功能：概述
行为审计
内容审计
行为控制
报警响应
标准协议及其衍生应用即时通讯（IM）网络电话流媒体网络视频直播 P2P下载应用娱乐/游戏应用财经证券类数据库访问
标准电子邮件网页浏览远程登录文件传输即时聊天网页外发数据数据库访问
应用封堵流量限制流量控制 IP/MAC绑定黑白名单
页面告警邮件告警短信告警实阻断
统计报表
统计报表用户分析行为分析流量分析上机分析搜索分析趋势分析外发文件分析报表订阅
详细功能介绍：行为审计

网御防火墙技术白皮书V4.5-20130531

标准网御防火墙技术白皮书V3.0北京网御星云信息技术有限公司目录文案标准1序言 (1)2产品概述 (2)3网御防火墙产品特点与技术优势 (3)3.1智能的VSP通用安全平台 (3)3.2高效的USE统一安全引擎 (4)3.3高可靠的MRP多重冗余协议 (5)3.4完备的关联安全标准 (6)3.5基于应用的内容识别控制 (7)3.5.1智能匹配技术 (7)3.5.2多线程扫描技术 (7)3.5.3应用感控技术 (8)3.6精确细致的WEB过滤技术 (8)3.7可信架构主动云防御技术 (9)3.8IP V6包状态过滤技术 (9)4网御防火墙产品主要功能 (11)5网御防火墙的典型应用 (19)5.1高可靠全链路冗余应用环境 (19)5.2骨干网内网分隔环境 (20)5.3混合模式接入环境 (20)5.4多出口环境 (21)6产品殊荣 (23)标准1序言随着信息化建设的深入推进，近些年信息安全正在发生着翻天覆地的变化。

之前的很长一段时间里，IT人员的工作主要是搭建网络基础平台，用户对信息安全的需求则主要是对基础设施进行安全防护，安全产品给信息系统带来的价值无法衡量，有时甚至变成一种心理安慰，这一时期可以称之为“信息安全1.0时代”。

而随着信息化发展的逐渐深入，信息化建设将风险推向前台。

尤其是随着信息化的发展，更多的工作平台、业务平台都搬上网络，网络从传输“数据”进化到传输“钞票”，有时甚至是关系国家安全、社会责任等国计民生的重大内容，信息安全正式进入了2.0时代。

在“信息安全2.0时代”，应用与数据安全的保障是摆在信息安全厂商面前最迫切的课题，作为信息安全的基础设施产品--—防火墙也面临着新的机遇与挑战。

网御防火墙适应用户的需求，在不断提高性能的同时，功能上包括基于应用的识别控制，深层内容过滤等方面都取得了重要突破，为用户构建完整的应用与数据安全解决方案，全方位保障业务的安全运行提供了有力的手段。

标准2产品概述网御防火墙是网御自主研发的核心产品。

联想网御IPS产品白皮书

联想网御IPS入侵防护系统产品白皮书V2.0联想网御科技（）信息©所有 2001－2007，联想网御科技()本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明，均属联想网御科技()所有，受国家有关产权及法保护。

如何个人、机构未经联想网御科技()的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息联想网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技()拥有的商标，受商标法和有关国际公约的保护。

第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

联想网御科技（）Lenovo Security Technologies Inc.市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street,Haidian District, Beijing(TEL)：9传真(FAX)：8技术热线(Customer Hotline)：6电子信箱(E-mail)：infoseclenovo.公司：目录1、序言 (4)2、联想网御解决方案－IPS入侵防护系统 (7)4、联想网御IPS入侵防护系统系列产品介绍 (7)4.1简介 (7)4.2系统架构 (8)4.3工作模式 (9)5、联想网御IPS入侵防护系统产品特点 (9)5.1联想网御IPS入侵防护系统专用操作系统的特点和优点 (10)5.2联想网御IPS入侵防护系统容处理硬件体系结构 (13)5.2.1硬件体系结构简介 (13)5.2.2容处理加速引擎 (15)5.2.3在联想网御IPS入侵防护系统结构中的高可靠性 (16)5.3结论 (17)6、联想网御IPS入侵防护系统主要功能 (17)6.1 动态入侵防护/保护 (17)6.2防病毒 (20)6.3高可靠性（HA） (20)6.4管理功能 (21)1、序言近几年来，随着信息化建设的飞速发展，信息安全的容也越来越广泛，用户对安全设备和安全产品的要求也越来越高。

网御星云全线产品简介

在网络中部署IDS设备可以对整个网络系统进行实时监视，它抓取网络中指定的数据包，对其分析和统计，并能够展示全面的网络监控报表。对于分析发现的具有威胁的网络数据或者行为产生告警。IDS的使用给网络管理人员提供了非常好的辅助管理工具和运维依据。
部署IDS是目前信息化安全建设中非常重要的一环，传统网关类安全产品主要防御外部的威胁，而IDS则是针对内部威胁。它是内网安全管理的重要组成部分。所以对于大部分信息化安全建设需求，网关类产品我们可以推防火墙，IPS等产品，再配合IDS组成内外立体的安全方案。
拒绝服务攻击是一种非常简单粗暴的攻击方式，它不依赖于应用、系统漏洞和其他任何脆弱点，所以传统的安全产品基本不具备防范此种攻击的能力，对于经常遭受拒绝服务攻击的客户，该产品是唯一的解决方案。这里需要了解的是被此类型攻击的现象有：应用系统停止响应、服务器宕机、服务器反复重启等。
安全审计系统（LA）
网御星云全线产品简介V1.0
单击此处添加副标题
防火墙（FW）
基本定义
主要用途
销售机会
最基础的网络安全设备，网关型产品的一种。它是由软件系统和硬件设备组合而成，在两个或者多个网络之间构建起的安全保护屏障。
网络边界间的隔离和对网络中数据交互的控制。在典型的网络环境中的主要作用是防范外部网络（如internet）对内部网络（如内部办公局域网）的非法访问行为和恶意攻击行为等安全威胁。
提供廉价的专用网络解决方案，在提供了专用网络连接、数据加密安全、灵活方便可控等特性的前提下，大大降低了部署专用网络的成本。VPN的使用同时解决了客户对于机密信息在公共网络上传播的不安全性和各种远程接入需求。
远程接入和数据加密为两大VPN产品需求。远程办公人员和分支机构访问总部则是典型的远程接入需求，其中访问的数据如果为机密信息则是典型的数据加密需求。所以对于各类型企业和具备分级网络结构（如法院专网、电子政务内网）的客户，VPN网关产品都是很好的解决方案。

产品白皮书_网神SecFox日志收集与分析系统 V5.0

网神SecFox日志收集与分析系统V5.0产品白皮书文档信息文档名称网神SecFox日志收集与分析系统V5.0产品白皮书文档版本号V19.4.1扩散范围销售/售前/用户作者朱保建日期初审人复审人修订人张炜目录1产品概述 (5)2产品特点 (6)2.1高性能的日志采集 (6)2.2智能的事件关联分析 (6)2.3可视化的日志分析统计 (6)2.4合规性审计报表报告 (7)2.5分级部署能力 (7)3主要功能 (7)3.1日志资产管理 (7)3.2日志采集 (7)3.3事件归一化 (8)3.4日志实时监视 (8)3.5日志实时分析和统计 (8)3.6关联分析 (8)3.7告警和响应管理 (8)3.8统计报表 (8)3.9日志备份归档 (9)3.10级联管理 (9)4产品资质 (9)1产品概述为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM，等等。

这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。

更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。

国家信息系统等级保护制度的出台，明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

《中华人民共和国网络安全法》已于2017年6月1日起正式实施。

网络安全法正式施行，在网络安全历史上具有里程碑意义，对安全审计提出了新的要求。

企业和组织迫切需要一个全面的、面向企业和组织IT资源（信息系统保护环境）的、集中的安全审计平台及其系统，这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志，并进行存储、审计、分析、报警、响应和报告。

网御网络审计系统V运维安全管控型管理员使用手册系列v更新

网御网络审计系统V运维安全管控型管理员使用手册系列v更新Prepared on 22 November 2020网御网络审计系统（运维安全管控型）管理员使用手册北京网御星云信息技术有限公司文档修订记录目录1概述1.1关于本手册网御网络审计系统（运维安全管控型）（以下简称网御LA-OS），是网御星云综合内控系列产品之一。

网御LA-OS是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。

它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。

本手册详细介绍了网御LA-OS包括初始化配置、用户管理、资源管理、策略管理、审计管理、密码管理、系统管理各功能模块的使用方法，用户可参考本手册，对网御LA-OS进行各种运维管理和审计管理。

1.2格式约定●本文中所有图例均为实际拍摄或屏幕截取●菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】图标表示的含义：：系统管理、配置的重要说明、提示信息。

：相关功能配置的举例说明信息；2初始化配置网御LA-OS系统通过Web浏览器登录进行管理（默认地址为，初始化时需手动设置一个超级管理员账号、密码（自行设定），网御LA-OS目前支持的浏览器包括Internet Explorer8以上的版本和火狐浏览器。

2.1完成配置向导首次登录后，系统自动进入初始化的配置向导界面。

全过程操作说明：1、密码策略的配置；2、超级管理员账号及密码的配置；3、主机网络的配置；4、导入授权文件；5、确认配置信息；6、向导配置完成。

2.1.1设置密码策略设置密码策略，如图所示：图设置密码策略操作说明：1、认证方式的选择；2、设置最小密码长度；3、配置密码复杂度；4、配置密码周期；5、配置历史对比；6、配置自动锁定；7、配置自动解锁；填写完成后点击“下一步”。

网御网络审计系统V3.0说明书

2018适用范围：内部运维人员使用手册网御网络审计系统V3.0运维安全管控型精细控制合规审计北京网御星云信息技术有限公司目录目录 (2)1概述 (1)1.1关于本手册 (1)2用户登录 (1)2.1WEB方式 (1)2.1.1WEB访问方式 (1)2.1.2相关资料下载 (2)2.2运维客户端 (2)2.3登录认证 (3)3环境准备 (6)3.1环境检测 (6)3.2安装JAVA控件 (7)3.3浏览器设置 (9)3.4配置本地工具 (11)3.5修改密码 (13)4运维说明 (14)4.1RDP/VNC访问 (14)4.2Telnet/SSH/Rlogin访问 (15)4.3FTP访问 (16)4.4数据库访问 (17)4.5批量登录主机 (18)4.6工单操作 (19)4.6.1工单申请 (19)4.6.2工单运维 (22)4.7最近访问资源 (23)4.8高级搜索 (24)4.9菜单模式 (24)4.9.1命令行方式 (24)4.9.2图形方式 (29)5FAQ (32)5.1登录提示应用程序被阻止 (32)5.2登录设备报错 (32)5.3提示Java过时需要更新 (33)5.4调用应用发布工具失败 (34)5.5使用dbvis提示JAVA环境变量 (34)1概述1.1关于本手册网御网络审计系统V3.0（运维安全管控型）（以下简称网御LA-OS），是网御星云综合内控系列产品之一。

本手册详细介绍了网御LA-OS进行运维操作过程的使用方法，用户可参考本手册，通过网御LA-OS进行各种运维操作。

2用户登录运维用户可选择通过以下方式使用网御LA-OS进行运维操作：（1）WEB方式（依赖JAVA 环境）；（2）运维客户端方式（不依赖JAVA环境）；（3）客户端工具直连模式（不依赖浏览器和JAVA环境，目前支持运维SSH、TELNET、RDP、VNC，使用方法参见本手册4.9章节）。

2.1WEB方式2.1.1WEB访问方式通过浏览器访问网御LA-OS系统，如图2.1所示：（默认URL：https://网御LA-OS系统的IP，如果web服务端口不是默认的443，登录URL地址需要加上web服务当前的端口号，例如：https://172.16.67.231:10443）。

联想网御安全审计系统

联想网御安全审计系统联想网御安全审计系统作为集中的日志审计分析平台，遵循CSC关联安全标准，负责收集各类安全设备、网络设备和主机系统的安全日志和安全事件信息，并进行统一的存储、备份、管理与统计分析，能够协助用户实时监测网络中的安全攻击，调整安全策略，防范安全风险，从而实现用户网络的整体安全。

产品组成：联想网御安全审计系统是联想网御安全管理系统的重要子系统，由日志服务器、日志审计WEB服务组成。

●日志服务器：作为后台运行程序，实现日志接收、解析入库、实时分析和网络预警等各项功能。

●日志审计WEB服务：提供WEB管理服务，支持用户通过浏览器进行日志审计管理。

用户只需登录WEB浏览器就可以方便、快捷地完成日志审计管理工作。

联想网御安全审计系统总体结构图产品优势种类丰富的事件审计系统可以对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志查询、统计、分析等审计操作，并提供了几十种可以定制的审计报表模板，可以针对访问行为、入侵攻击事件、流量信息、安全设备管理信息等各类日志生成分析报表和趋势图，帮助管理员发现系统漏洞和安全事件发生规律。

海量可信的日志管理系统能够处理每秒钟2000条的日志流量，日志审计中间数据压缩率达到90%，并提供了可靠的日志导入导出机制，导出数据压缩率达到99%。

系统能够周期性地对日志数据进行备份，并可在数据达到设定阈值时自动对数据进行备份及清除，确保数据完整性和可靠性。

强大的日志在线分析系统可以通过定义在线分析规则，对各种日志进行实时分析，发现频繁攻击探测、CC连接耗尽攻击等多种攻击行为，并产生告警信息。

通过在线分析所产生的告警信息，可以采用邮件、SYSLOG等多种形式自动发送。

日志在线分析功能可以帮助管理员尽早发现安全威胁，采取相应措施。

分布式安全审计管理系统支持安全审计管理的级联部署方式。

在分布式网络体系中，下级安全审计管理中心可以将本地日志或汇总数据发送给上级安全审计管理中心，上级管理中心在收到各下级管理中心传送的日志数据后，可以进行统一日志入库、全局日志分析和集中日志统计，实现统一的安全审计功能。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

网御星云日志审计系统产品白皮书VDocument number：BGCG-0857-BTDO-0089-2022密级：公开产品白皮书网御安全管理系统-日志审计系统目录11.1日志审计需求分析日志，是对IT系统在运行过程中产生的事件的记录。

通过日志，IT 管理人员可以了解系统的运行状况。

而通过对安全相关的日志的分析，IT管理者可以检验信息系统安全机制的有效性，这就是安全日志审计，简称日志审计。

而日志的产生、收集、审计分析和存储的全过程称作日志管理。

日志审计需求主要源自于两个方面的驱动力。

一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。

有研究指出，69%的攻击行为实际上都有日志留存，而根据国际著名的安全研究与教育组织SANS发布的《2011年度日志管理调查报告》显示，在受访的747个大中小规模的组织中，超过89%的组织都进行了日志管理。

而他们进行日志管理的首要原因是监测与跟踪可疑的行为，例如非授权访问、内部信息泄露，等等。

另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能，例如：GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。

而日志审计是符合这些要求的基本手段。

《互联网安全保护技术措施规定》（公安部82号令）第八条要求具备“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”。

《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。

日志应当能够满足各类内部和外部审计的需要”。

《银行业信息科技风险管理指引》第第二十七条要求银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。

《保险公司信息系统安全管理指引（试行）》第四十四条要求“对主机系统进行审计，妥善管理并及时分析处理审计记录。

对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计”。

1.2日志审计面临的挑战当前客户在进行日志审计的过程中几乎都面临着相似的挑战。

这其中最主要的三个挑战是：日志分散、日志格式不统一、日志量巨大。

日志分散客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。

并且这些设备都分散在网络的不同位置。

他们各自产生日志，并有各自的控制台进行日志查看，这对审计人员而言简直就是噩梦，根本没有精力去查看这么多控制台，更不要说分析其中的日志信息了。

日志格式不统一每种设备类型的日志格式都不相同，各有各的表达，即时是表达同一件事情，也都有各自的表达方式。

例如同样的登录失败信息，防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。

这迫使审计人员去了解每种设备类型的格式。

日志量巨大很多设备，尤其是网络安全设备产生的日志量十分巨大，单个防火墙每秒就可能产生上千条的日志信息，而全网的设备每天产生的日志量就更加可观，可能数以百GB计。

审计员去查看这么多的日志根本不可能，即便是将它们存起来都是个问题。

1.3如何应对挑战客户需要日志审计，更需要应对所面临的挑战。

客户需要从组织策略、处理流程和技术体系等多方面进行统筹考量，客户应该借助一个日志审计平台来为其审计工作提供技术支撑。

这个日志审计平台应该能够实现对客户分散的海量日志进行收集，对这些日志格式进行规范化统一描述，实现对日志的集中化存储、分析、审计和展示，并符合相关法规标准的符合性要求。

22.1产品简介网御星云推出的网御安全管理系统日志审计系统（以下简称LEADSEC-RS）是立足于公司十年信息安全积累的基础之上，基于客户需求的日志审计平台及日志管理解决方案。

日志审计系统能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

LEADSEC-RS融合多种信息安全技术和管理理念，充分实现组织、管理、技术三个体系的合理调配，帮助用户进行基于日志的综合审计和日志全生命周期管理，从而最大化的保障网络、主机和应用系统安全机制的有效性。

LEADSEC-RS具有广泛的应用范围和客户群，在政府、电信、金融、电力、军工等行业均有成功的应用。

2.2系统组成LEADSEC-RS包括审计中心、日志采集器和日志代理三个部件。

日志采集器和日志代理实现对审计数据源（主机/服务器类、网络类和安全类等）的日志信息统一收集，然后上传给审计中心进行集中化存储、分析和审计。

同时，审计中心自身也可以直接收集审计数据源的日志信息。

审计中心审计中心，即LEADSEC-RS的管理中心，是LEADSEC-RS的核心部件，实现了对日志的集中化存储、备份、查询、审计、告警、响应，以及出具报表报告。

用户的审计员通过浏览器即可登陆审计中心，进行各种审计操作。

审计中心内置日志采集功能，可以直接收集审计数据源的日志信息。

审计中心也可以汇聚来自日志采集器和日志代理的日志信息。

日志采集器日志采集器可以安装并独立运行在一台服务器上，实现对异构审计数据源的日志采集，功能同审计中心的日志采集模块，用以辅助审计中心解决特定日志采集的问题，并可以实现分布式日志采集能力。

日志采集器收集的日志可以转发给审计中心。

日志代理日志代理用于安装并运行在审计对象上，实现对审计对象的数据源采集和转发。

目前，日志代理支持Windows操作系统，主要用于采集Windows 操作系统及其服务与应用的日志。

日志代理收集的日志可以转发给日志采集器，或者直接转发给审计中心。

2.3系统结构LEADSEC-RS采用组件式平台架构，实现了分层的逻辑架构，包括：审计数据源层、日志采集层、业务层和应用层。

如下图所示：审计数据源层审计对象层是指审计数据源对象，包括各类型的网络设备、安全设备、数据库、应用系统、主机等能产生相关日志的设备和信息系统。

日志采集层该层利用SYSLOG、SNMP、ODBC、OPSEC、文件等多种协议方式，从审计对象获取日志，并对原始日志信息进行范式化、分类、过滤、归并，统一推送到业务层进行分析、存储。

业务层利用关联分析引擎对采集的日志进行分析，触发规则，生成告警记录；通过高性能海量数据存储代理将日志进行快速存储；通过分布式查询引擎实现日志查询；通过日志聚合引擎实现日志抽取。

应用层面向系统的使用者，提供一个图形化的显示界面，展现安全审计系统的各功能模块，提供综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。

2.5支持审计数据源目前，LEADSEC-RS支持的部分厂商设备类型如下表所示：对于目前暂不支持的审计数据源，LEADSEC-RS还提供了方便灵活的扩展机制。

只要获得审计数据源的日志样本以及通讯协议方式，编写一份XML格式日志解析文件，导入系统，即可获得对该审计数据源的日志采集能力，无需编码。

LEADSEC-RS从产品形态上分为软件型和硬件型。

2.6.1软件型规格LEADSEC-RS软件型是一套软件包，可以安装在独立的服务器上运行，系统所需运行环境如下：在双Intel至强4核CPU，24GB内存下，LEADSEC-RS的日志审计性能可达到平均9000EPS1。

1平均EPS数值是指每日平均的EPS（Event Per Second）每秒事件数。

后同。

LEADSEC-RS硬件型有两种型号，分别是LEADSEC-RS500和LEADSEC-RS1000。

2该数值假设每条日志占用的综合存储空间为。

综合存储空间是指日志范式化后占用的存储空间字节数，原始日志占用存储空间字节数，为日志建立索引所需的存储空间字节数，以及日志统计表存储空间字节数的总和。

后同。

33.1单级部署如下图所示，显示了系统的一个单级部署场景。

Syslog 网络类FileSyslog网络类File网络类在这个单级部署场景中，审计中心可以直接采集审计数据源的日志，也可以通过外挂的日志采集器采集审计数据源的日志。

3.2级联部署如下图所示，系统支持多级级联部署。

44.1高性能的日志管理技术架构对了应对海量日志管理带来的挑战，LEADSEC-RS采用了国内领先的高性能日志采集、分析与存储架构，从产品技术架构的层面，进行了系统性的设计，真正使得LEADSEC-RS产品成为一款能够支撑持续海量日志管理的系统。

LEADSEC-RS采取了多种高性能设计使得系统在日志采集、分析和存储三个方面获得了本质的性能提升，如下表所示：4.2详尽的日志范式化与日志分类LEADSEC-RS对收集的各种日志进行范式化处理，将各种不同表达方式的日志转换成统一的描述形式。

审计人员不必再去熟悉不同厂商不同的日志信息，从而大大提升审计工作效率。

系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等，数量超过50个，使范式化后的日志详尽而易读，更能满足复杂的多维度统计分析和审计要求。

网御星云的安全技术人员还对每种日志进行了手工分类和分析工作，加入了日志类型字段，丰富了日志所蕴含的信息量，让枯燥的日志信息变的更可理解。

与此同时，LEADSEC-RS将原始日志都原封不同的保存了下来，以备调查取证之用。

审计员也可以直接对原始日志进行模糊查询。

4.3集中化的日志综合审计LEADSEC-RS提供了强大的日志综合审计功能，为不用层级的用户提供了多视角、多层次的审计视图。

系统首先为用户提供了全局监视仪表板，可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。

用户可以自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板。

系统提供了实时审计视图，审计员可以根据内置或者自定义的实时监视策略，从日志的任意维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。

审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个部门、各个安全域、各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件；等等。