4 平台的基本功能
4.1 全面支持各种日志源类型
日志集中管理与审计平台全面支持各种类型(网络设备、安全设备、数据库、主机和应用系统等)日志源。对于网站、自有业务系统日志提供了方便灵活的扩展机制,有专业的日志分析团队,支持快速定制,只要获得审计数据源的日志样本以及通讯协议方式,即可通过编写相应日志解析文件导入系统,获得对该审计数据源的日志采集能力,无需编码。支持Syslog、SNMP、JDBC、FTP、NetFlow和代理等采集方式。
4.2 专业的原始日志格式化处理
全网设备种类繁多,各设备日志信息存储格式、字段含义、通信协议差异较大,不便于用户统一查看理解。日志集中管理与审计系统将原始日志进行了深层解析,提取日志携带的完整信息进行标准格式转换和字段映射,用户只需在系统页面轻松一点即可查看格式统一易于理解的日志信息。
4.3 高效完备的日志存储方式
采用独特的高效原始日志压缩存储技术,压缩比高达10:1,存储速度超过10000条/秒,每兆存储空间可存储日志25000条以上。最大限度的提高了原始日志存储速度和磁盘利用率。支持自定义指定存储位置(磁盘阵列、SAN、NAS等外部存储网络)以获取超大存储空间。
完备的存储策略,符合等保、分保等标准、政策的合规性存储要求。日志数据的备份支持手动备份、自动备份两种模式,可备份到本地磁盘,也可备份到外部FTP上。支持存储空间实时动态监视,图形化显示最新存储空间使用情况。可设磁盘告警上限阀值和磁盘使用率阈值,且可为每个日志源设置不同的保存周期,灵活对待不同安全级别日志源,时间和空间的存储管理,保证系统无需人工值守稳定运行。
4.4 快速精准的日志查询检索
预制个性化查询模板,多条件组合查询;采用索引技术,准确迅速定位关键日志,支持对海量日志信息进行条件检索查询,即查即显;查询结果可原始日志和归一化日志格式同屏显示,对比分析;查询结果支持word、pdf等多种格式导出;支持将备份日志数据进行还原检索查询;支持查询结果二次查询,体验更佳。
4.5 合规而人性化的报表功能
日志集中管理与审计平台具有丰富的报表功能。系统提供了多种报表模板,不仅支持对网络事件按条件统计,而且提供了表格及多种图形(柱状图、曲线图)的表现形式,使管理员一目了然。不仅能够实时查询各种基本报表,还可以将用户所需的基本报表自由组合形成个性化报表。系统内置了部分满足SOX要求的报表(如图4-1),同时也可以通过自定报表生成符合SOX要求的报表。用户不仅可以按自己所需格式(PDF、Word、Excel和html格式)手动导出报表,也可以制定计划任务将所需报表定期定时自动发送到指定的邮件账户,满足了用户有规律的接收报表、定期了解设备情况的需求。
图4-1 系统内置的windows系列服务器的SOX合规性报表
4.6 强大的安全事件分析能力
该平台具有强大的安全事件分析能力,不仅内置大量事件规则,还可根据现场需要由用户自定义多种模式的事件规则,当安全事件发生时,系统会立即触发安全事件提醒管理者以便于管理者能及时采取保护措施。系统支持安全事件回溯,准确定位事件根源,事后取证定责有保障。
平台融入的业务关联分析引擎(即天融信数据库审计系统)具有强大的数据库审计、网络审计和关联分析功能。通过本系统安全事件管理体系对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行三层关联分析,管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发,从而定位追查到真正的访问者,进而将访问Web的资源账号和相关的数据库操作关联起来,包括访问者用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息,如图4-2所示。
图4-2 业务关联分析结果
4.7 及时有效的告警响应功能
系统内置重要告警规则,也支持用户根据现场需要灵活地自定义告警规则。支持多种不同类型的响应方式,如声音、短信、电子邮件、SNMP、执行本地命令、TopAnalyzer联动等。通过将告警事件与响应方式关联配置,当系统检测到不安全的告警事件时就会以相应的响应方式及时通知管理员进行处理,从而保障整个网络的安全运行。
4.8 宏观实时的系统状态监视
在平台首页的管理中心状态监视界面中会显示今日事件概要、整个系统的逻辑拓扑图和实时告警,如图4-3所示。审计中心状态监视界面中会显示系统存储状态、流量状态、CPU状态、内存状态、该采集节点的逻辑拓扑图、总日志数量统计,如图4-4所示。由于这些图表数据实时刷新,故管理员仅需登录系统查看首页中这些简单的图表就可以宏观掌握当前系统的运行状况和整个网络的安全态势。
图4-3 平台首页的管理中心状态监视界面
图4-4 平台首页的审计中心状态监视界面