网御星云日志审计系统产品白皮书V
网御星云日志审计系统
产品白皮书V
Document number:BGCG-0857-BTDO-0089-2022
密级:公开
产品白皮书
网御安全管理系统-日志审计系统
目录
1
1.1日志审计需求分析
日志,是对IT系统在运行过程中产生的事件的记录。通过日志,IT 管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析,IT管理者可以检验信息系统安全机制的有效性,这就是安全日志审计,简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。
日志审计需求主要源自于两个方面的驱动力。
一方面,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。有研究指出,69%的攻击行为实际上都有日志留存,而根据国际著名的安全研究与教育组织SANS发布的《2011年度日志管理调查报告》显示,在受访的747个大中小规模的组织中,超过89%的组织都进行了日志管理。而他们进行日志管理的首要原因是监测与跟踪可疑的行为,例如非授权访问、内部信息泄露,等等。
另一方面,从国家法律法规、行业标准和规范的角度出发,日志审计已经成为了满足合规与内控需求的必备功能,例如:
GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要
求》对于二级以上信息系统,在网络安全、主机安全和应用安全
等基本要求中明确要求进行安全审计。而日志审计是符合这些要
求的基本手段。
《互联网安全保护技术措施规定》(公安部82号令)第八条要求
具备“记录、跟踪网络运行状态,监测、记录用户各种信息、网
络安全事件等安全审计功能”。
《商业银行内部控制指引》第一百二十六条指出“商业银行的网络
设备、操作系统、数据库系统、应用程序等均当设置必要的日
志。日志应当能够满足各类内部和外部审计的需要”。
《银行业信息科技风险管理指引》第第二十七条要求银行业应制
定相关策略和流程,管理所有生产系统的日志,以支持有效的审
核、安全取证分析和预防欺诈。
《保险公司信息系统安全管理指引(试行)》第四十四条要求“对
主机系统进行审计,妥善管理并及时分析处理审计记录。对重要
用户行为、异常操作和重要系统命令的使用等应进行重点审
计”。
1.2日志审计面临的挑战
当前客户在进行日志审计的过程中几乎都面临着相似的挑战。这其中最主要的三个挑战是:日志分散、日志格式不统一、日志量巨大。
日志分散
客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。并且这些设备都分散在网络的不同位置。他们各自产生日志,并
有各自的控制台进行日志查看,这对审计人员而言简直就是噩梦,根本没有精力去查看这么多控制台,更不要说分析其中的日志信息了。
日志格式不统一
每种设备类型的日志格式都不相同,各有各的表达,即时是表达同一件事情,也都有各自的表达方式。例如同样的登录失败信息,防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。这迫使审计人员去了解每种设备类型的格式。
日志量巨大
很多设备,尤其是网络安全设备产生的日志量十分巨大,单个防火墙每秒就可能产生上千条的日志信息,而全网的设备每天产生的日志量就更加可观,可能数以百GB计。审计员去查看这么多的日志根本不可能,即便是将它们存起来都是个问题。
1.3如何应对挑战
客户需要日志审计,更需要应对所面临的挑战。客户需要从组织策略、处理流程和技术体系等多方面进行统筹考量,客户应该借助一个日志审计平台来为其审计工作提供技术支撑。这个日志审计平台应该能够实现对客户分散的海量日志进行收集,对这些日志格式进行规范化统一描述,实现对日志的集中化存储、分析、审计和展示,并符合相关法规标准的符合性要求。
2产品综述
2.1产品简介
网御星云推出的网御安全管理系统日志审计系统(以下简称LEADSEC-RS)是立足于公司十年信息安全积累的基础之上,基于客户需求的日志审计平台及日志管理解决方案。
日志审计系统能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
LEADSEC-RS融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户进行基于日志的综合审计和日志全生命周期管理,从而最大化的保障网络、主机和应用系统安全机制的有效性。
LEADSEC-RS具有广泛的应用范围和客户群,在政府、电信、金融、电力、军工等行业均有成功的应用。
2.2系统组成
LEADSEC-RS包括审计中心、日志采集器和日志代理三个部件。日志采集器和日志代理实现对审计数据源(主机/服务器类、网络类和安全类等)的日志信息统一收集,然后上传给审计中心进行集中化存储、分析和审计。同时,审计中心自身也可以直接收集审计数据源的日志信息。
审计中心
审计中心,即LEADSEC-RS的管理中心,是LEADSEC-RS的核心部件,实现了对日志的集中化存储、备份、查询、审计、告警、响应,以及出具报表报告。用户的审计员通过浏览器即可登陆审计中心,进行各种审计操作。
审计中心内置日志采集功能,可以直接收集审计数据源的日志信息。审计中心也可以汇聚来自日志采集器和日志代理的日志信息。
日志采集器
日志采集器可以安装并独立运行在一台服务器上,实现对异构审计数据源的日志采集,功能同审计中心的日志采集模块,用以辅助审计中心解决特定日志采集的问题,并可以实现分布式日志采集能力。
日志采集器收集的日志可以转发给审计中心。
日志代理
日志代理用于安装并运行在审计对象上,实现对审计对象的数据源采集和转发。目前,日志代理支持Windows操作系统,主要用于采集Windows 操作系统及其服务与应用的日志。
日志代理收集的日志可以转发给日志采集器,或者直接转发给审计中心。
2.3系统结构
LEADSEC-RS采用组件式平台架构,实现了分层的逻辑架构,包括:审计数据源层、日志采集层、业务层和应用层。如下图所示:
审计数据源层
审计对象层是指审计数据源对象,包括各类型的网络设备、安全设备、数据库、应用系统、主机等能产生相关日志的设备和信息系统。
日志采集层
该层利用SYSLOG、SNMP、ODBC、OPSEC、文件等多种协议方式,从审计对象获取日志,并对原始日志信息进行范式化、分类、过滤、归并,统一推送到业务层进行分析、存储。
业务层
利用关联分析引擎对采集的日志进行分析,触发规则,生成告警记录;通过高性能海量数据存储代理将日志进行快速存储;通过分布式查询引擎实现日志查询;通过日志聚合引擎实现日志抽取。
应用层
面向系统的使用者,提供一个图形化的显示界面,展现安全审计系统的各功能模块,提供综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。
2.5支持审计数据源
目前,LEADSEC-RS支持的部分厂商设备类型如下表所示:
对于目前暂不支持的审计数据源,LEADSEC-RS还提供了方便灵活的扩展机制。只要获得审计数据源的日志样本以及通讯协议方式,编写一份XML格式日志解析文件,导入系统,即可获得对该审计数据源的日志采集能力,无需编码。
2.6产品型号规格
LEADSEC-RS从产品形态上分为软件型和硬件型。
2.6.1软件型规格
LEADSEC-RS软件型是一套软件包,可以安装在独立的服务器上运行,系统所需运行环境如下:
在双Intel至强4核CPU,24GB内存下,LEADSEC-RS的日志审计性能可达到平均9000EPS1。
1平均EPS数值是指每日平均的EPS(Event Per Second)每秒事件数。后同。
2.6.2硬件型规格
LEADSEC-RS硬件型有两种型号,分别是LEADSEC-RS500和LEADSEC-RS1000。
2该数值假设每条日志占用的综合存储空间为。综合存储空间是指日志范式化后占用的存储空间字节数,原始日志占用存储空间字节数,为日志建立索引所需的存储空间字节数,以及日志统计表存储空间字节数的总和。后同。
3典型部署
3.1单级部署
如下图所示,显示了系统的一个单级部署场景。
Syslog 网络类File
Syslog
网络类
File
网络类
在这个单级部署场景中,审计中心可以直接采集审计数据源的日志,也可以通过外挂的日志采集器采集审计数据源的日志。
3.2级联部署
如下图所示,系统支持多级级联部署。
4产品特点
4.1高性能的日志管理技术架构
对了应对海量日志管理带来的挑战,LEADSEC-RS采用了国内领先的高性能日志采集、分析与存储架构,从产品技术架构的层面,进行了系统性的设计,真正使得LEADSEC-RS产品成为一款能够支撑持续海量日志管理的系统。
LEADSEC-RS采取了多种高性能设计使得系统在日志采集、分析和存储三个方面获得了本质的性能提升,如下表所示:
4.2详尽的日志范式化与日志分类
LEADSEC-RS对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息,从而大大提升审计工作效率。系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等,数量超过50个,使范式化后的日志详尽而易读,更能满足复杂的多维度统计分析和审计要求。网御
星云的安全技术人员还对每种日志进行了手工分类和分析工作,加入了日志类型字段,丰富了日志所蕴含的信息量,让枯燥的日志信息变的更可理解。
与此同时,LEADSEC-RS将原始日志都原封不同的保存了下来,以备调查取证之用。审计员也可以直接对原始日志进行模糊查询。
4.3集中化的日志综合审计
LEADSEC-RS提供了强大的日志综合审计功能,为不用层级的用户提供了多视角、多层次的审计视图。
系统首先为用户提供了全局监视仪表板,可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图,以及网络整体运行态势、待处理告警信息等。用户可以自定义仪表板,按需设计仪表板显示的内容和布局,可以为不同角色的用户建立不同维度的仪表板。
系统提供了实时审计视图,审计员可以根据内置或者自定义的实时监视策略,从日志的任意维度实时观测安全事件的走向,并可以进行事件
整理日志审计_日志审计系统招标需求
日志审计系统招标需求 一、供应商资质要求 ?供应商应具有两名中国信息安全测评中心认证的注册信息安全工程师(出具社保证明和证书复印件,中标后提供原 件); 二、产品需求 ?基本要求 1.产品获得公安部计算机信息系统安全产品销售许可证以及公安 部信息安全产品检测中心出具产品检验报告。所提供的产品检验报告须符合《信息安全技术日志分析产品检验规范》,并提供完整的检测报告复印件(行标三级); 2.产品获得国家保密科技测评中心检测并获得涉密信息系统产品 检测证书,需符合《涉及国家秘密的信息系统安全监控与审计产品技术要求》,并提供完整的检测报告复印件; 3.产品取得软件著作权登记证书;
4.原厂商通过 ISO27001信息安全体系国际认证; 5.原厂商通过ISO9001 2008质量管理体系认证; ?硬件规格 1.4个千兆电口,1个console口;内存:16GB,磁盘:2T*2 raid1;双电源;产品采用CF卡启动;内存可扩展至32GB; 单个磁盘可扩展至4T(4个盘位);支持HBA卡扩展;网口可扩展(4电4光、8电、8光、2万兆光) 2.支持审计>=1000个日志源;每秒日志解析能力>=8000条; 峰值处理能力>=12000。 ?日志收集 1.支持Syslog、SNMP Trap、OPSec、FTP协议日志收集; 2.支持使用代理(Agent)方式提取日志并收集; 3.支持目前主流的网络安全设备、交换设备、路由设备、操 作系统、应用系统等;
4.支持的设备厂家包括但不限于:Cisco(思科),Juniper, 联想网御/网御神州,F5,华为,H3C,微软,绿盟,飞 塔(fortinet),Foundry,天融信,启明星辰,天网,趋势,东软, CheckPoint,Hillstone(山石),安恒,BEA, apc, 戴尔(dell), EMC,天存, Symantec(赛门铁克), IBM, citrix(思杰), WINDOWS系统日志,Linux/UNIX syslog、IIS、Apache等; 5.支持常见的虚拟机环境日志收集,包括Xen、VMWare、 Hyper-V等。 ?工作模式 1.独立完成审计日志采集,不依赖于设备或系统自身的日 志系统; 2.审计工作不影响被审计对象的性能、稳定性或日常管理 流程; 3.审计结果存储于独立存储空间; 4.自身用户管理与设备或主机的管理、使用、权限无关联;
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
日志管理系统功能说明书
日志管理系统功能说明书 日志管理系统是用来实时采集、搜索、分析、可视化和审计系统及事件日志的管理软件,能够对全网范围内的主机、服务器、网络设备、数据库以及各种应用服务系统等产生的日志全面收集,并通过大数据手段进行分析,通过统一的控制台进行实时可视化的呈现。通过定义日志筛选规则和策略,帮助IT管理员从海量日志数据中精确查找关键有用的事件数据,准确定位网络故障并提前识别安全威胁,从而降低系统宕机时间、快速响应,从而提升网络性能、业务系统稳定性、全网的安全性。 一.硬件需求 1.可以采用普通的x86服务器,以集群布署的方式实现高速、低价、稳定、实时的日志管理。 2.配置:2颗CPU,32G内存,Xeon-E5,1T硬盘,7-10台 二.系统技术栈 1.Flume+Kafk:a收集各种类型的日志信息 2.Sparkstreaming:实时处理、分析收集的数据 3.Elasticsearch:实现多维度的搜索、查询 4.HBase、HDFS:实现日志的存储 三.功能详述 1.实时事件关联:预置多种事件关联规则,快速定位网络安全威胁、黑客攻击、内 部违规; 2.多样化的报表和统计图表:允许创建自定义报表,生成多样化的统计图表。
3.集中的日志采集:持各种协议采集,对不同日志源所产生的日志进行收集,实现 日志的集中管理和存储,支持解析任意格式、任意来源的日志。 4.特定用户监控:收集并分析特定用户活动产生的各种日志。 5.日志搜索:强大的日志搜索引擎,可进行多维度的搜索查询,从海量的日志数据 中检索出所需的信息,进而产成更详细的日志分析报表。 6.实时警告:支持用户自定义告警规则,告警发送模式支持短信及邮件等基本方式。 还可以通过手机APP,和微信公众号的方式实现手机APP和微信的消息推送的方式进行高危告警。 7.日志分析:通过大数据挖掘分析手段,对日志进行深入的挖掘和分析,从而发现日 志中存在的关联性问题或异常。 8.灵活的日志归档:通过自定义方式,提对收集的日志数据进行自动归档处理,以 实现日志数据的长久保存。 9.允许二次开发:提供丰富的开发接口,允许用户进行二次开发,(比如:自定义图表 的展示、日志的截取、分析结果的导出等) 10.安全简单的布署:对现有网络不产生任何影响,安全可靠,采用Docker技术,实 现快速、简使的布署。
审计大数据数据中心需求分析
审计大数据数据中心需求分析 谈到大数据大家从互联网上可以查到很多信息(我都认可,因为从通用或标准方式来说都是对的),列举以下几项内容: 1.大数据具有4V特点:第一,数据体量巨大(Volume),从TB级别跃升到PB级别。第二,处理速度快(Velocity),1秒定律,这一点也是和传统的数据挖掘技术有着本质的不同。第三,数据类型繁多(Variety),有网络日志、视频、图片、地理位置信息等多种形式。第四,价值密度低,商业价值高(Value)。以视频为例,连续不间断监控过程中,可能有用的数据仅仅有一两秒。 2.大数据指为了更经济更有效地从高频率、大容量、不同结构和类型的数据中获取价值而设计的新一代架构和技术,用它来描述和定义信息爆炸时代产生的海量数据,并命名与之相关的技术发展与创新。 3.大数据的精髓在于促使人们在采集、处理和使用数据时思维的转变,这些转变将改变我们理解和研究社会经济现象的技术和方法。 …… 可能还有很多我没有列举,而您也觉得很重要的描述,我就列这些。其实从这些描述来看,难道审计现在没有“大数据”吗?我认为在很多方面都满足特征: 1.所谓4V特点,目前的审计工作中都包括了啊:审计采回来的数据特别大,几百GB 甚至十几TB,今后也会上PB啊;查询数据的系统性能都要求不低,虽然不至于1S,但大多数都是在人使用的忍受范围内;审计所使用到的数据的特别丰富、方方面面,财政、地税、社保、公安、工商等等;想从这些数据中看出问题一直是一项复杂而艰巨的工作,不就是价值密度低吗? 2.大数据所谓的新一代架构与技术,我认为其实与Web 2.0一样是老技术新名词。大数据技术所常听到、用到的Hadoop(泛指与之相关的所有技术)架构,其实就是分布式架构的新代言。国家审计工作中也已经在多个方面开展应用,例如并行数据仓库的采用(PDW)、依据访问量设计的分布数据分析系统(以数据分发机制为依托)、依据审计项目动态生成审计数据分析系统(私有云)等。 3.所谓的思维转变,其实是对于数据认识深入的一种体现,也是将人工智能、机器学习、挖掘算法等新归集的说法。原来由于数据量不够大、来源不够丰富、种类不够齐全等,
分析审计系统在大数据时代的运用
分析审计系统在大数据时代的运用 分析审计系统在大数据时代的运用 一、大数据时代背景 最早提出“大数据”时代到来的是全球知名咨询公司麦肯锡,麦肯锡称:“数据,已经渗透到当今每一个行业和业务职能领域,并成为至关重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来”。进入2014年,“big data”一词越来越多地被提及,时代寡头用它来描述和定义信息爆炸产生的海量数据,命名与之相关的技术发展与创新。数据正在迅速膨胀并变大,它决定着一个企业、一个行业、一个领域甚至一个国家的发展和未来,虽然很多个体和部门并没有意识到数据爆炸性增长所带来挑战和机遇,但随着时间的推移,人们将越来越清晰的认识到海量数据的重要性,在商业、经济及其他领域中,决策将日益基于数据和分析而作出,而并非基于经验和直觉。 二、经验审计之弊端 本课题以具有大数据特征的人民银行国库核算业务为切入点,分别从审计抽样、线索发现、问题定性等多方面、深层次加以分析,显现经验审计之特点。为保证分析数据的科学性、连续性和逻辑性,课题组抽取了人民银行某地市中心支行2008至2013年期间,甲、乙、丙3名审计人员对国库核算业务审计资料,对比如下:甲审计员分别于2008年、2009年、2011年和2012年参加了对4家县支行国库核
算业务审计,其中审计资料调阅重本文由收集整理合度98.7%,线索追溯重合度95.4%,问题定性重合度98.4%,而审计方案覆盖率只有63.2%。乙审计员于2009年、2010年和2012年参加了对3家县支行国库核算业务审计,资料调阅重合度96.8%,线索追溯重合度95.3%,问题定性重合度97.9%,审计方案覆盖率为67.1%。丙审计员于2008年、2012年和2013年参加了对3家县支行国库核算业务审计,资料调阅重合度94.5%,线索追溯重合度96.4%,问题定性重合度97.2%,审计方案覆盖率为72.3%。 三、分析审计系统的优势 随着人民银行业务信息化进程的不断加快和数据大集中趋势的愈加明显,经验审计已无法满足基于风险控制的管理要求。为顺应内部审计工作发展,推动内审转型成果的有效运用,人行宝鸡中支积极探索应用计算机辅助审计系统(分析审计系统)开展大数据环境下的审计工作。2014年,宝鸡中支通过辅助审计系统对国库核算业务数据进行非现场查阅,重点运行“重要空白凭证领用情况”、“重要空白凭证跳号使用”、“预算执行情况分析”、“退库原因分析”、“支付方式退库原因明细查询”、“查复不及时”、“通过暂收款重拨”、“福利企业增值税退税”、“财政专户分析”、“大额贷记退汇支付业务”、“大额实拨资金业务分析”、“国库内部往来”、“会计主管授权日志分析”、“集中支付支出情况分析
各Unix平台日志审计的配置方法和步骤
各U n i x平台日志审计的配置方法和步骤 1安装部署方法和步骤 (2) 1.1日志采集 (2) 1.2Aix 6.1部署 (2) 1.3Aix 5.3部署 (3) 1.4Aix 5.2部署 (4) 1.5Aix 4.3部署 (5) 1.6Solaris 10部署 (6) 1.7Solaris 9部署 (7) 1.8Solaris 8部署 (8) 1.9HPUX 11.23部署 (9) 1.10HPUX 11.31部署 (10) 1.11HPUX 11.11部署 (11) 1.12suse 11部署 (13) 1.13suse 10部署 (14) 1.14suse 9部署 (15) 1.15SCO 5.0.6部署 (16) 2/etc/syslog.conf中SSIM Syslog接收地址的确定 (18) 3预制脚本的下载和执行 (19) 3.1预制脚本的下载 (19) 3.2AIX平台自动配置脚本的执行 (19) 4各Unix平台需要使用的脚本汇总 (20)
1安装部署方法和步骤 1.1日志采集 1.1.1采集内容 根据日志审计的要求,我们重点关注用户的登录、登出行为和系统守护程序的运行状态。基于此,我们主要采集Unix系统的一下syslog日志: ?https://www.360docs.net/doc/5016371760.html,—用户认证、授权日志,包括用户登录、登出、切换等 ?https://www.360docs.net/doc/5016371760.html,—用户认证、授权日志,包括用户登录、登出、切换等,和auth功能类似, 不同系统有所不同。 ?https://www.360docs.net/doc/5016371760.html,—系统守护进程日志,比如ftp等 ?用户登录成功和失败的日志。 1.1.2采集方式 ?对于Unix系统自带的syslog日志,通过修改系统的syslog发送配置选项,由自身的syslog 进程,将日志发送到SSIM日志采集机 ?对于登录成功、失败日志,有些操作系统syslog不产生该类日志,通过定期执行脚本,读 取登录日志文件,并发送到syslog进程,由其统一转发到SSIM日志采集机。 1.2Aix 6.1部署 1.2.1Syslog配置 1.执行chssys -s syslogd -a " " (由于做过安全加固,导致syslog发送不出来,需要通 过该命令修改) 2.修改/etc/syslog.conf文件,在最后增加以下内容: https://www.360docs.net/doc/5016371760.html,<tab>@
日志审计系统的作用
企业为了日常的正常运作,通常会采用多种系统。各系统各司其职,发挥着不同的作用,并且无法替代,共同构成了企业的防护墙,保证企业各个项目的稳定。日志审计系统就是企业常用的系统之一,日志审计系统的作用尤为重要,且具有一定的优势。 日志审计系统是专业日志审计产品。日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行分析及合规审计,及时、有效的发现异常事件及审计违规。 日志审计系统提供了众多基于日志分析的强大功能,如日志的集中采集、分析挖掘、合规审计、实时监控及告警等,系统配备了全球IP归属及地理位置信息数据,为事件的分析、溯源提供了有力支撑,日志审计系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息工作的重要支撑平台。 产品功能
完整日志采集 支持对各种主流日志进行采集,同时支持对非主流日志的定制化采集。也可将日志转发到铱迅信息其他产品或第三方系统处理。 资产管理便捷 自动发现企业网络中的设备,可便捷的定义所关注的设备为资产,从而进行持续的管理。管理能够以视图化方式进行,便于以用户视角或业务系统视角来管理资产。 事件挖掘分析 支持对海量原始日志的分析挖掘,发现异常安全问题;通过可视化、易操作的安全策略定制,能够有效提炼、还原出各种异常事件场景,从而为一线安全人员的实际运维工作提供一个强大的安全分析平台。 审计与报表 系统支持自定义审计对象、审计策略,从而满足不同行业用户日志审计合规的需求。系统内置了各类实用的安全审计模板,如等级保护、萨班斯(SOX)、资产常见分类模板等,方便用户直接使用或参考定制。系统能够自动定期将各类安全事件及审计情况的报告以报表发送的方式告知相关人员。 实时监控 支持实时滚动展示当前接收到的日志,显示内容可根据需要来定制过滤。通过实时监控能够有效发现当前未知的安全威胁态势,其提供的日志导出功能便于发现可疑行为的日志特征,进而在事件挖掘分析模块追溯潜在的安全威胁源头。 告警监控
日志审计与分析系统
点击文章中飘蓝词可直接进入官网查看 日志审计与分析系统 日志审计与分析系统可以了解系统的运行状况,安全状况,甚至是运营的状况。如何选择一款合适的日志审计与分析系统呢?评价一款日志审计与分析系统需要关注哪些方面呢?小编今天给大家介绍一下选择日志审计与分析系统应该从几个方面来考虑。 南京风城云码软件公司(简称:风城云码)南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向前发展。 由于一款综合性的日志审计与分析系统要能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。 日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。 日志审计与分析系统应提供准确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,要注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。 日志审计与分析系统要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以考查产品的实时关联分析能力。
综合日志审计平台
明御?综合日志审计平台 产品概述 明御?综合日志审计平台(简称DAS-Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;明御?综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。 明御?综合日志审计平台旨在实现网络资产安全状况的统一管理,使企业的利益受损风险降低,广泛适用于政府、金融、运营商、公安、电力能源、税务、工商、社保、交通、卫生、教育、电子商务及各企事业单位等。 产品组成 明御综合日志审计平台由采集器、通信服务器、关联引擎及平台管理器组成, 1 杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
主要功能 ?采集器:全面支持Syslog、SNMP日志协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。 ?通信服务器:实现采集器与平台间的通信,将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理。通信服务器可以接收多个采集器的日志;在平台尚未支持统一日志格式时,能够根据要求,将定义的统一日志转换为所需要的日志格式。 ?关联引擎:实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。 ?平台管理器:实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。 ?集中配置管理:系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。 ?灵活的可扩展性:提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。 ?其他功能:支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。 2 杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
日志审计解决方案
需求分析: 随着政府、企事业单位等各类组织的信息化程度不断提高,对信息系统的依赖程度也随之增加,如何保障信息系统安全是所有单位都十分关注的一个问题。当前,大部分组织都已对信息安全系统进行了基本的安全防护,如实施防火墙、入侵检测系统、防病毒系统等。然而,信息系统维护过程中依然还面临着诸多的困难及风险: ◆操作系统、硬件、应用程序等故障或配置错误导致系统异常运行,服务中断。这些异常 行为只会在系统及各类日志中有所反映,没有统一的日志审计手段,无法及时发现安全事故。 ◆大部分企业对员工的上网行为都不进行直接控制,因此员工不适当或滥用公司网络资源 的行为时有发生,如下载、看在线电影、网上聊天以及访问非法网站的行为等等,这不仅影响工作,更使企业在国家相关法律法规的符合性上存在隐患,也容易造成企业资料泄密等后果。 ◆企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险, 缺少对用户非授权访问、管理员误操作、黑客恶意破坏等等的行为审计。 ◆由于目前的应用系统往往都是相互关联的,一个故障现象,往往要对数台甚至数十台网 络设备及主机的日志进行综合分析才能确定真正的故障原因,缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位,此外,恶意破坏者获得系统权限后可以清理安全日志,从而导致无法正确定位安全日志。 ◆企业内部控制基本规范、SOX法案、公安部82号令、等级保护等各类法律法规均对日 志、行为审计有明确的要求,确保关键信息系统在可控、可审计状态下运行。 解决方案: 晟为日志审计系统是专业信息安全审计产品,基于嵌入式64位Linux系统,由日志采集模块、事件检索模块、审计报表模块、综合管理模块组成。采用B/S架构,管理员通过HTTPS方式对主机进行管理。系统提供智能化的日志生命周期管理模型,集日志数据采集、实时动态分析、安全存储管理、历史事件检索、综合审计报告功能于一体,帮助用户快速、有效地完成信息系统安全审计工作。 晟为日志管理综合审计系统通过基于日志内容深度分析的日志专家规则库,对采集到的日志数据进行实时动态分析,将网络非法访问、数据违规操作、系统进程异常、设备故障敏感信息、等高危安全事件,从海量日志数据中提取出来,并通过桌面屏幕、邮件、短信、SYSLOG、SNMP等方式通知管理员及时处理。
安恒数据库审计大数据解决方案
数据库审计大数据解决方案 安恒数据库审计大数据 解决方案
数据库审计大数据方案 摘要:数据库审计大数据方案是安恒数据库审计研发团队针对大型企业客户推出的一款依托大数据Hadoop 平台分析数据库审计数据的系统,也是行业内唯一一家利用大数据平台分析处理数据库审计数据,相比传统的解决方案审计大数据方案具有绝对的性能、灵活性、扩展性等众多领先优势,本方案主要解决审计数据保存周期短、索引慢、检索慢、报表无法导出、数据挖掘计算慢等问题。 诸如运营商、金融、证劵等行业大客户,单个客户数据库安全审计项目往往采购数十台审计,每台设备同时审计至少三四个核心数据库集群,单台审计设备每日审计数据量高达12亿条,月数据量高到360亿条,已远远超过业内单台设备支持最高存储处理10亿条记录的基本规格,按照客户正常审计分析需求,需要在一个月审计日志量的基础上根据某个或者某几个条件进行检索,检索时间高达1-3小时,这还是不考虑索引延时的情况下,如果在高峰流量情况下索引系统整体延时有时候高达上百个小时,检索所需时间就更没法控制,面对这种海量的数据按照客户要求传统的分布式部署解决方案在存储、索引、数据挖掘等方面存在明显的不足,虽然我们在大数据量处理方面积累多了非常丰富的经验,在存储、索引、数据挖掘做了很多方面的优化和改进,相比同行业有明显的数十倍的领先,但是从客户的角度仍存在明显不足,仍不能满足这些大客户安全审计正常使用的基本要求。 安恒数据库审计研发团队始终以“安于责任,恒与创新”的态度,一切以客户为中心,以客户的需求为出发点,在深入调研客户的需求基础上,经过大量技术方案讨论和大量严谨的方案预研及对比测试,最终采用各个处理模块分离分布式计算处理的大数据框架方案,数据库审计只完成流量采集和解析的基本功能,大数据hadoop 作为底层数据存储和索引单元,数据展示和挖掘分析采用独立的数据展示中心,整个设计方案采用分布式计算框架,以空间换时间,各个模块相对独立,耦合性大大降低,具体处理流程如下图所示: 数据库审计设备:仅仅只完成基本的流量采集和协议解析工作, 如果单台设备存在处理 数据库审计镜像流量D B 服务器Fl um e agent H adoop 平台
日志审计管理系统需求说明书
日志审计管理系统需求说明书 一、总体要求 ?支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设 备进行自动采集。 ?支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件, 并将日志统一格式化处理。 ?对采集的日志可分类实时监控和自动告警。 ?对收集的日志信息可按日志所有属性进行组合查询和提供报表。 ?能按日志来源、类型、日期进行存储,支持日志加密压缩归档。 ?不影响日志源对象运行性能和安全。 ?操作简便直观,可用性好。 二、具体要求 2.1日志收集对象要求
用户可根据自己的需求很容易定制开发新的日志收集代理。 2.2 日志收集方式要求 需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。 ?主动信息采集 对路由器、交换机、防火墙、VPN、IDS/IPS等网络设备的日志采集支持采用SYSLOG(UDP514)和OPSEC LEA协议形式自动采集。 ?日志文件采集 支持本地系统平台上通过安装Agent采集日志文件中的日志信息。 ?性能状态探测 能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。 2.3日志分析功能要求 2.3.1告警功能 ?支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。 ?监控台支持对收集的全部日志进行分类实时监控。 ?应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格 式时不能造成字段丢失。 ?能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志 通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送 实时告警消息,支持自定义报警日志的类型。 ?通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日
免费日志审计系统
我们都知道,日志审计系统在企业常规运营中起到不可或缺的作用,但是企业为了节约运营成本,往往会忽视这个环节。其实,是有免费日志审计系统的,如铱迅日志审计系统。该日志审计系统并不会因为是免费的就草草了事,反而功能齐全,使用便捷且有效。 铱迅日志审计系统是专业日志审计产品。系统能够实时不间断地采集汇聚企业中不同厂商不同种类的网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行分析及合规审计,及时、有效的发现异常事件及审计违规。 日志审计系统提供了众多基于日志分析的强大功能,如日志的集中采集、分析挖掘、合规审计、实时监控及告警等,系统配备了全球IP归属及地理位置信息数据,为事件的分析、溯源提供了有力支撑,日志审计系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息工作的重要支撑平台。 特色与优势 系统部署 支持All-in-One的单结点部署,同时支持企业级分布部署。
采集对象 可采集各类主流设备/系统的安全日志采集;包括syslog、文件、DB、WMI、SMB、SNMP-trap、Socket等多种采集方式。 日志解析采用脚本化定义,除内置主流设备/系统日志解析脚本外,用户可以自定义脚本。 关联响应 支持多种数据来源的关联;满足多种响应需求,如邮件、执行外部程序、Syslog等。 存储管理 支持高性能、大规模的分布式存储。 报表方式 内置多种报表模板,用户可以灵活定义。 实时分析和审计 采用高性能应用架构设计,满足事件的实时分析、审计要求;提供针对各类日志审计场景的策略模板,如等级保护、萨班斯等,支持策略的用户定制和升级; 实时告警 支持用户对所关注事件的实时告警,如异常日志事件和审计违规事件,可有效降低安全相关工作成本,提升工作效率。 实时监控 支持对系统当前接入安全日志的实时监控及大屏展示,用户可在滚动显示的安全事件中感知异常的安全态势,从而进一步深入分析潜在的安全威胁。 自身安全性和保障能力 系统内置安全防火墙;支持内部通讯检查及传输加密;支持关键系统模块的分离保护;支持完善、易用的权限管理。 产品功能
日志收集与分析系统
点击文章中飘蓝词可直接进入官网查看 日志收集与分析系统 安全日志就是计算机系统、设备、软件等在某种情况下记录的信息。日志收集与分析 是其中比较重要的环节,事前及时预警发现故障,事后提供详实的数据用于追查定位问题,下面给大家介绍一下日志收集与分析系统中关于日志审计数据收集,日志分析,审计管理 平台等相关内容。并谈一谈日志收集与分析系统哪家好? 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的 软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终 保持在领域上向前发展。 目前公司软件研发部门绝大部分为大学本科及以上学历;团队中拥有系统架构师、软 件工程师、中级软件工程师、专业测试人员;服务项目覆盖用户需求分析、系统设计、代码开发、测试、系统实施、人员培训、运维整个信息化过程,并具有多个项目并行开发的 能力。 日志收集与分析系统通过高性能的日志收集引擎,实时自动化收集日志,解决手工处 理的低效率问题。收集到的所有日志均统一加密存储管理,可根据存储空间情况灵活扩展 存储位置。支持常见操作系统、应用系统、数据库、网络设备、安全设备等类型的日志收集,对于客户网络中特定的日志类型,支持定制扩展收集分析脚本,不再忧心类型复杂问题。可将不同系统和设备日志授权给指定人员进行管理,管理人员各司其职,负责自身所 管辖的系统或设备日志的审计管理,互不干涉、互不影响,使日志审计工作更加清晰、易 操作。 实时收集应用程序的日志信息,进行实时的统计和数据过滤。 实时显示应用程序中业务功能的动态性能视图,提供阀值报警。
综合日志审计系统招标参数
综合日志审计系统招标参数 序号产品指标项产品性能参数和要求 总体要求产品资质★产品须获得中华人民共和国公安部的《计算机信息系统安 全专用产品销售许可证》; ★产品须获得国家保密局涉密信息系统安全保密测评中心 《涉密信息系统产品检测证书》; ★产品须具有《计算机软件著作权登记证书》; ★产品须具有《军用信息安全产品认证证书》; ★产品须具有中国信息安全测评中心《信息技术产品安全测 评证书》级。 厂商资质★拥有专业团队进行信息安全研究,具备独立发掘漏洞能力 以及查看微软源代码的权力,迄今独立发现并被国际组织收 录的漏洞数量超过个,需提供证明文件。 ★具备国家安全服务二级资质和应急响应一级资质。 运行环境系统必须采用架构,管理员只需浏览器即可连接到系统进行 各种操作。 ★产品要求集成数据库,无须再独立安装数据库系统,亦无 须对数据库进行专门的维护。 ★产品要求至少能够部署在和操作系统上。 使用界面系统必须采用基于浏览器的用户界面,至少支持与。为了适 应不同用途,用户可以对界面颜色进行选择调整。 管理范围★能对网络设备、安全设备和系统、主机操作系统、数据库 以及各种应用系统的日志、事件、告警等安全信息进行全面 的审计。 支持采集方式★无需另外安装软件组件,审计中心即可通过、、\、文件 \文件夹、、、、等多种方式完成日志收集功能; 允许用户安装独立的日志采集器通过上述方式采集日志并转 发给审计中心; 允许用户在被采集节点上安装日志代理采集日志并转发给日 志采集器或者审计中心; 审计中心可以支持多个日志采集器。 性能要求★能够平均每秒采集入库条事件。 部署部署方式支持简单部署和级联部署,支持分布式部署。 简单部署:无需安装任何其他软件和组件,用户只需要安装 审计中心即可实现对日志的采集、分析; 级联部署:两个审计中心之间可以进行级联,形成大规模统 一审计; 分布式部署:一个审计中心可以连接多个分布式日志采集器 或者日志代理,实现对全网分散日志的统一采集和审计。功能要资产管理1)★系统具有资产管理的功能,能够将被审计资产进行分 组、分域的统一维护。
大数据态势感知系统白皮书_V2.0
目录 一、研发背景 (2) 二、需求要点 (3) 三、解决方案 (4) 四、系统技术体系 (8) 4.1系统总体架构 (8) 4.2系统主要功能 (9) 4.3业务模型 (11) 五、系统部署方式 (13) 5.1部门级部署 (13) 5.2企业应用部署 (13) 5.3集团应用部署 (14) 5.4部署要求 (15) 六、系统优势 (16)
一、研发背景 近年来,我国政府和企业信息化建设得到快速发展,越来越多的各类核心业务的开展高度依赖于信息技术应用,因此,信息安全问题的全局性影响作用日益增强。 目前,很多政府企业在信息安全保障体系建设方面已经达到了一定的水平,先后建立了非法外联监控管理系统、防病毒系统、补丁分发系统、防火墙、入侵检测系统、漏洞扫描系统等,为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段;但当前各种信息安全保障工作相对独立,各自为政,单点的工作开展的多,缺乏有效手段将这些安全工作有效串接,并形成一个综合防御体系。另外,信息安全监控、审计作为保障信息系统安全的制度逐渐成熟,并已在对信息系统依赖性高的行业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系,可以有效地控制信息安全风险。同时,公安部发布的《信息系统安全等级保护技术要求》中对安全监控、审计提出明确的技术要求:监控审计范围覆盖网络设备、操作系统、数据库、应用系统,监控审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。 伴随着大数据时代的到来,不同规模的企业和组织每天发生的事件从上亿到百亿之间,随着企业和组织规模的扩大,各类应用系统的日益增多,各类安全信息的规模变得非常庞大和种类繁多,这使以日志和事件为代表的安全信息的采集规模变得日益庞大,而构架在传统关系型数据库下的日志安全中心因在数据扩展方面的劣势,已经无法适应海量数据的存储和安全事件的处理的现实要求,使得安全中心的日志历史数据的分析能力变弱,导致安全事件的调查效率较低。同时,构建在传统关系型数据库下的日志安全中心对企业各类设备的产生的各类异构安全数据的存储和管理也变得困难。所以为了应付安全大数据带来的问题,还需要用大数据的技术来解决。只有将大数据分析技术充分融合
日志审计系统需求说明
日志审计系统需求 一、总体要求 ?支持对操作系统、数据库系统、网络设备进行自动采集,记录所有系统 操作和数据库操作。 ?支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件,并 将日志统一格式化处理。 ?对采集的日志可分类实时监控和自动告警。 ?对收集的日志信息可按日志所有属性进行组合查询和提供报表。 ?能按日志来源、类型、日期进行存储。 ?日志审计系统部署:日志审计系统网络拓扑,日志审计系统数据库服务 器,采集器,分析入库服务器。 二、具体要求 2.1日志收集对象要求 2.2 日志收集方式要求 需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。 ?主动信息采集 对路由器、交换机网络设备的日志采集支持采用SYSLOG(UDP514)和
OPSEC LEA协议形式自动采集。 ?日志文件采集 支持本地系统平台上通过安装Agent采集日志文件采集日志信息。 ?性能状态探测 能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。 2.3日志分析功能要求 2.3.1告警功能 ?支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。 ?监控台支持对收集的全部日志进行分类实时监控。 ?应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格 式时不能造成字段丢失。 ?能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志 通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送 实时告警消息,支持自定义报警日志的类型。 ?通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日 志进行分析统计,按数据源输出监控分析报表。 ?支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等 日志所有属性字段的组合搜索查询。 2.4 日志存储功能要求 ?可将收集的日志进行集中存储在日志服务器或外部存储设备。 ?支持将日志进行分对象、类型、日期进行归档存储。 ?可对日志进行加密、压缩存储。
日志安全审计系统
点击文章中飘蓝词可直接进入官网查看 日志安全审计系统 日志安全审计系统是简化IT人员的工作的一种必要而有效的方法。日志安全审计系统既能完成正常的日志审计,又能对各种远程服务器进行日志采集和审计,并采用数据库进行日志维 护和信息配置,使日志量大幅度增加,查询速度和性能都优于文件系统。日志安全审计系统正 在不断改进和完善之中。 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件 开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和 行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向 前发展。 随着互联网的发展,网络行为跟踪变得越来越重要,传统的日志审计系统具有标准化的功能,可以部署在单个服务器上来能够满足企业应用的共同需求,通过对web日志文件的目录和内容收集而获得服务器访问摘要。然而,大多数审计工具并不是很灵活、适应性强,可以简单 地处理标准化日志文件,难以实现对不同日志文件中相关信息的通用管理。此外,传统的工具 采用文件系统技术,当审计文件增加到一定数量会导致处理速度和性能迅速下降,更重要的是,这种单独的系统不能审计在一定范围内多服务集成的行为。日志安全审计系统主要应用于当前 信息发布系统的基础设施中。监视和记录信息系统的动态信息和结构的变化,提供实时报警和 输出综合分析日志和数据提供一个监控范围大、反应迅速、分析能力强的安全事件管理平台的。 大数据日志安全审计系统,旨在帮助企业建立一套整体化安全运维管理监控平台,通过获 取防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、运行主机、交换机、路由器、数据库 系统、中间件等日志事件、状态事件和网络数据包和各类设备的状态运行数据的采集、综合评 价和网络安全事件关联分析,实现对来自外部攻击的安全审计和对来自内部攻击的安全审计。
Loase日志管理综合审计系统用户手册V版
LogBase日志管理综合审计系统 使用手册杭州思福迪信息技术有限公司 SAFETYBASEINFOTECHCO.LTD 2011.07 版权声明 版权所有2005-2011,杭州思福迪信息技术有限公司 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。 商标信息 SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。
目录
前言 欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统 随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。 该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基础上,监测并发现各种异常事件,准确发出实时告警。审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。