日誌審計系統

適用場景

滿足法律法規要求

國家的政策法規、行業標準等都明確對日誌審計提出了要求，日誌審計已成為企業滿足合規內控要求所必須的一項基本要求。 2017年6月1日起施行的《中華人民共和國網路安全法》中規定：採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月。

《網路安全等級保護基本要求》（GB∕T 22239-2019）中規定：二到四級需要對網路、主機、套用安全三部分進行日誌審計，留存日誌需符合法律法規規定。

滿足系統安全管理需求

當前信息安全形勢日益嚴峻，信息安滲灶芝全防護工作面臨前所未有的困難和挑戰。日誌審計能夠幫助用戶更好監控和保障信息系統運行，及時識別針對信息系統的入侵攻擊、內部違規等信息，同時日誌審計能夠為安全事件的事後分析、調查取證提供必要的信息。

基本功能

日誌監控

提供日誌監控能力，支持對採集器、採集器資產的實時欠習想狀態進行監控，支持查看CPU、磁碟、記憶體總量及當前使用情況；支持查看資產的概覽信息及資產關聯的事件分布；

日誌採集

提供全面的日誌採集能力：支持網路安全設備、網路疊辯設備、資料庫、windows/linux主機日誌、web伺服器日誌、虛擬化平台日誌以及自定義等日誌；

提供多種的數據源管理功能：支持數據源的信息展示與管理、採集器的信息展示與管理以及agent的信息展示與管理；提供分散式外置採集器、Agent等多種日誌採集方式；支持IPv4、IPv6日誌採集、分析以及檢索查詢；

日誌存儲

提供原始日誌、範式化日誌的存儲，可自定義存儲周期，支持FTP日誌備份以及NFS網路檔案共享存儲等多種存儲擴展方式

日誌檢索

提供豐富靈活的日誌查詢方式，支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索；

提供便捷的日誌檢索操作，支持保存檢索、從已保存的檢索導入見多條件等；

日誌分析

提供便捷的日誌分析操作，支持對日誌進行分組、分組查詢以及從葉子節點可直接查詢分析日誌；

日誌轉發

支持原始日誌、範式化日誌轉發

日誌事件告警

內置豐富的單源、多源事件關聯分析規則，支持自定義事件規則，可按照日誌、欄位布爾邏輯關係等盛烏歸方式自定義規則；支持時間的查詢、查詢結果統計以及統計結果的展示等；支持對告警規則的自定義，可設定針對事件的各種篩選規則、告警等級等；

日誌報表管理

支持豐富的內置報表以及靈活的自定義報表模式，支持編輯報表的目錄接口、引用統計項、設定報表標題、展示頁眉和頁碼、報表配置基本內容（名稱、描述等）；支持實時報表、定時報表、周期性任務報表等方式；支持html，pdf，word格式的報表文悼疊凳熱件以及報表logo的靈活配置；

部署方式

單一部署Stand-alone

典型的，將日誌審計系統的管理中心伺服器放置在網管中心或者安全中心，然後對被審計對象進行必要的配置，使得他們的日誌信息能夠傳送到管理中心。管理員通過瀏覽器可以從任何位置登錄管理中心伺服器，進行各項操作，如圖所示：

一般來說日誌審計系統的硬體型產品會具備多連線埠採集（Multi-Port Collection）技術，系統支持同時採集多個不同網段的日誌信息。這種部署盛漿嘗放方式適用於物理或者邏輯隔離的多個網路，或者為了縮短網路中日誌傳輸的路徑、降低日誌通訊的流量。

主從部署Master-Slave

對於大型、全國性的、分級的網路環境，可以採用主從部署的方式，將多個日誌審計系統的管理分支統一接入到一個主的日誌審計系統管理中心。

在這種模式下，各級日誌審計系統管理中心的部署方式與單一部署方式基本相同。管理員只需要在下級管理中心配置將本級放紙章事件信息轉發給上級管理中心的策略。

主要性能指標

事件採集能力

代表每秒鐘收集的日誌條目數量

事件分析性能

每秒鐘實時關聯分析日誌的數量

事件入庫性能

資料庫每秒鐘存儲事件日誌條數

事件存儲能力

日誌線上分析事件的總容量

事件查詢性能

系統查詢每百GB事件日誌所消耗的時間

控制台並發數

同時並發的管理管制台數量。

日誌審計系統

基本介紹

適用場景

滿足法律法規要求

滿足系統安全管理需求

基本功能

日誌監控

日誌採集

日誌存儲

日誌檢索

日誌分析

日誌轉發

日誌事件告警

日誌報表管理

部署方式

單一部署Stand-alone

主從部署Master-Slave

主要性能指標

事件採集能力

事件分析性能

事件入庫性能

事件存儲能力

事件查詢性能

控制台並發數

部署方式

單一部署Stand-alone

主從部署Master-Slave

主要性能指標

事件採集能力

事件分析性能

事件入庫性能

事件存儲能力

事件查詢性能

控制台並發數

相關詞條

熱門詞條