日志審計(jì)系統(tǒng)簡(jiǎn)介

什么是日志審計(jì)硼啤？

綜合日志審計(jì)平臺(tái)斧账，通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄拯爽、系統(tǒng)運(yùn)行日志毯炮、系統(tǒng)運(yùn)行狀態(tài)等各類信息桃煎，經(jīng)過規(guī)范化为迈、過濾葫辐、歸并和告警分析等處理后耿战，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理剂陡，結(jié)合豐富的日志統(tǒng)計(jì)匯總及關(guān)聯(lián)分析功能鸭栖，實(shí)現(xiàn)對(duì)信息系統(tǒng)日志的全面審計(jì)晕鹊。

通過日志審計(jì)系統(tǒng)，企業(yè)管理員隨時(shí)了解整個(gè)IT系統(tǒng)的運(yùn)行情況玻褪，及時(shí)發(fā)現(xiàn)系統(tǒng)異常事件同规；另一方面，通過事后分析和豐富的報(bào)表系統(tǒng)灿里，管理員可以方便高效地對(duì)信息系統(tǒng)進(jìn)行有針對(duì)性的安全審計(jì)匣吊。遇到特殊安全事件和系統(tǒng)故障色鸳，日志審計(jì)系統(tǒng)可以幫助管理員進(jìn)行故障快速定位命雀，并提供客觀依據(jù)進(jìn)行追查和恢復(fù)吏砂。[百度百科]

為什么需要日志審計(jì)平臺(tái)淀歇？

1. 日志審計(jì)的合規(guī)要求，由于網(wǎng)絡(luò)安全法的頒布實(shí)施报亩，由原先的不合規(guī)轉(zhuǎn)變成了不合法弦追。如果不對(duì)要求的相關(guān)日志不做留存6個(gè)月以上掸哑，一旦追查苗分，將面臨法律責(zé)任摔癣。
2. 安全運(yùn)營(yíng)的挑戰(zhàn)。隨著網(wǎng)絡(luò)設(shè)備的增多逾条，以及服務(wù)器數(shù)量的增多师脂，如果沒有統(tǒng)一的綜合日志審計(jì)平臺(tái)糕篇，那么需要登錄到每臺(tái)設(shè)備上查看日志娩缰，不利于運(yùn)維人員管理。而且眾多設(shè)備會(huì)產(chǎn)生海量的日志完疫，無法有效管理壳鹤。多種設(shè)備形成信息孤島余舶，日志無法關(guān)聯(lián)分析锹淌。通過統(tǒng)一的日志審計(jì)平臺(tái)钟些，將所有設(shè)備日志都收集到日志平臺(tái)進(jìn)行統(tǒng)一管理政恍，統(tǒng)一分析达传。

日志審計(jì)的核心目標(biāo)：

• 多源數(shù)據(jù)歸一化
• 日志存儲(chǔ)集中化
• 關(guān)聯(lián)分析自動(dòng)化
• 安全態(tài)勢(shì)立體化

日志審計(jì)的主要功能

設(shè)計(jì)思路：

統(tǒng)一日志采集：

• 對(duì)不同日志源 (主機(jī)系統(tǒng)趟大、網(wǎng)絡(luò)設(shè)備罕伯、安全設(shè)備叽讳、應(yīng)用中間件邑狸、數(shù)據(jù)庫(kù)等)所產(chǎn)生的日志進(jìn)行收集单雾，實(shí)現(xiàn)日志的集中管理和存儲(chǔ)。支持解析任意格式贿讹、任意來源的日志民褂，通過解析規(guī)則標(biāo)準(zhǔn)化。
• 使用無代理的方式收集日志哭廉。
• 支持代理方式的日志收集群叶。

關(guān)聯(lián)分析：

• 預(yù)置多種事件關(guān)聯(lián)規(guī)則舶衬。
• 定位外部威脅赎离、黑客攻擊虽画、內(nèi)部違規(guī)操作码撰，設(shè)備異常。
• 簡(jiǎn)單靈活定義關(guān)聯(lián)規(guī)則颊亮。

實(shí)時(shí)告警：

• 通過郵件绍在、短信、聲音對(duì)發(fā)生的告警進(jìn)行及時(shí)通知件舵，并可通過接口調(diào)用自動(dòng)運(yùn)行程序或腳本。
• 通過告警策略定義，對(duì)各類風(fēng)險(xiǎn) 和事件進(jìn)行及時(shí)告警或預(yù)警临梗，提升運(yùn)維效率吃沪。

日志取證分析：

• 深入分析原始日志事件红淡，快速定位問題的根本原因降铸。
• 生成取證報(bào)表推掸，例如攻擊威脅報(bào)表谅畅、Windows/Linux系統(tǒng)審計(jì)報(bào)表以及合規(guī)性審計(jì)報(bào)表等毡泻。

監(jiān)管合規(guī)：

• 提供Windows審計(jì)牙捉、Linux審計(jì)芬位、PCI带到、SOX揽惹、ISO27001等合規(guī)性報(bào)表搪搏。
• 支持創(chuàng)建自定義合規(guī)性報(bào)表

日志審計(jì)系統(tǒng)產(chǎn)品功能結(jié)構(gòu)：

產(chǎn)品功能

圖：日志審計(jì)系統(tǒng)產(chǎn)品功能結(jié)構(gòu)

日志審計(jì)系統(tǒng)的主要工作原理是论颅，通過日志采集器，各種設(shè)備將日志推送到日志審計(jì)平臺(tái)墨闲，然后日志審計(jì)平臺(tái)通過日志解析，日志過濾，日志聚合等進(jìn)行關(guān)聯(lián)分析腾仅，從而進(jìn)行告警，統(tǒng)計(jì)報(bào)表吹艇，也可以進(jìn)行資產(chǎn)管理受神，日志檢索等格侯。

日志的轉(zhuǎn)發(fā)方式：

日志轉(zhuǎn)發(fā)一般可以通過：Syslog轉(zhuǎn)發(fā)，Kafka轉(zhuǎn)發(fā)朝墩，http轉(zhuǎn)發(fā)收苏。

日志收集一般支持：Syslog、SNMP等日志協(xié)議懦鼠。

日志審計(jì)系統(tǒng)常見模塊：

• 日志事件獲取模塊：安全事件監(jiān)控系統(tǒng)是實(shí)時(shí)掌握全網(wǎng)的安全威脅狀況的重要手段之一葛闷。通過事件監(jiān)控模塊監(jiān)控各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報(bào)警信息等嘶摊，及時(shí)發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，通過響應(yīng)模塊采取措施虱颗，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全忘渔、可靠運(yùn)行。
• 資產(chǎn)管理模塊：資產(chǎn)管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全管理平臺(tái)所管轄的設(shè)備和系統(tǒng)對(duì)象的管理宣赔。它將其所轄I(yíng)P設(shè)備資產(chǎn)信息按其重要程度分類登記入庫(kù)儒将，并為其他安全管理模塊提供信息接口。
• 規(guī)則庫(kù)模塊：規(guī)則庫(kù)已支持主流網(wǎng)絡(luò)設(shè)備齐蔽、主機(jī)系統(tǒng)诱渤、數(shù)據(jù)庫(kù)系統(tǒng)等，而且還應(yīng)涵蓋已經(jīng)部署的安全系統(tǒng)碑韵，包括防火墻系統(tǒng)占卧、防病毒系統(tǒng)等华蜒。并提供新日志格式適配功能叭喜，支持從安全運(yùn)營(yíng)中心平臺(tái)接收新日志解析映射規(guī)則配置捂蕴。用戶可以根據(jù)該適配功能啥辨，對(duì)新日志格式進(jìn)行自行適配。
• 統(tǒng)計(jì)報(bào)表功能：具備強(qiáng)大的統(tǒng)計(jì)功能着倾，可快速生成多種專業(yè)化的報(bào)表并支持自定義圖表的設(shè)定集展示卡者。
• 權(quán)限管理模塊：超級(jí)管理員可根據(jù)用戶角色分配平臺(tái)查看崇决、操作各模塊的權(quán)限恒傻，用戶可以訪問而且只能訪問自己被授權(quán)的資源

日志審計(jì)平臺(tái)的部署方式

硬件產(chǎn)品部署方式：

一般日志審計(jì)系統(tǒng)采用旁路部署即可，只要到達(dá)全部設(shè)備網(wǎng)絡(luò)可通即可官边。

支持單機(jī)部署和分布式部署契吉。