-
日誌審計系統
鎖定
- 中文名
- 日誌審計系統
- 外文名
- Log Audit System
- 功能用途
- 記錄信息系統日誌並對日誌內容進行審計分析
- 所屬領域
- 網絡安全類設備
日誌審計系統適用場景
日誌審計系統滿足法律法規要求
國家的政策法規、行業標準等都明確對日誌審計提出了要求,日誌審計已成為企業滿足合規內控要求所必須的一項基本要求。 2017年6月1日起施行的《中華人民共和國網絡安全法》中規定:採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月。
[2]
日誌審計系統滿足系統安全管理需求
當前信息安全形勢日益嚴峻,信息安全防護工作面臨前所未有的困難和挑戰。日誌審計能夠幫助用户更好監控和保障信息系統運行,及時識別針對信息系統的入侵攻擊、內部違規等信息,同時日誌審計能夠為安全事件的事後分析、調查取證提供必要的信息。
日誌審計系統基本功能
日誌審計系統日誌監控
提供日誌監控能力,支持對採集器、採集器資產的實時狀態進行監控,支持查看CPU、磁盤、內存總量及當前使用情況;支持查看資產的概覽信息及資產關聯的事件分佈;
日誌審計系統日誌採集
提供全面的日誌採集能力:支持網絡安全設備、網絡設備、數據庫、windows/linux主機日誌、web服務器日誌、虛擬化平台日誌以及自定義等日誌;
提供多種的數據源管理功能:支持數據源的信息展示與管理、採集器的信息展示與管理以及agent的信息展示與管理;提供分佈式外置採集器、Agent等多種日誌採集方式;支持IPv4、IPv6日誌採集、分析以及檢索查詢;
日誌審計系統日誌存儲
提供原始日誌、範式化日誌的存儲,可自定義存儲週期,支持FTP日誌備份以及NFS網絡文件共享存儲等多種存儲擴展方式
日誌審計系統日誌檢索
提供豐富靈活的日誌查詢方式,支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索;
提供便捷的日誌檢索操作,支持保存檢索、從已保存的檢索導入見多條件等;
日誌審計系統日誌分析
提供便捷的日誌分析操作,支持對日誌進行分組、分組查詢以及從葉子節點可直接查詢分析日誌;
日誌審計系統日誌轉發
支持原始日誌、範式化日誌轉發
日誌審計系統日誌事件告警
內置豐富的單源、多源事件關聯分析規則,支持自定義事件規則,可按照日誌、字段布爾邏輯關係等方式自定義規則;支持時間的查詢、查詢結果統計以及統計結果的展示等;支持對告警規則的自定義,可設置針對事件的各種篩選規則、告警等級等;
日誌審計系統日誌報表管理
支持豐富的內置報表以及靈活的自定義報表模式,支持編輯報表的目錄接口、引用統計項、設置報表標題、展示頁眉和頁碼、報表配置基本內容(名稱、描述等);支持實時報表、定時報表、週期性任務報表等方式;支持html,pdf,word格式的報表文件以及報表logo的靈活配置;
日誌審計系統部署方式
日誌審計系統單一部署Stand-alone
典型的,將日誌審計系統的管理中心服務器放置在網管中心或者安全中心,然後對被審計對象進行必要的配置,使得他們的日誌信息能夠發送到管理中心。管理員通過瀏覽器可以從任何位置登錄管理中心服務器,進行各項操作。
一般來説日誌審計系統的硬件型產品會具備多端口採集(Multi-Port Collection)技術,系統支持同時採集多個不同網段的日誌信息。這種部署方式適用於物理或者邏輯隔離的多個網絡,或者為了縮短網絡中日誌傳輸的路徑、降低日誌通訊的流量。
日誌審計系統主從部署Master-Slave
對於大型、全國性的、分級的網絡環境,可以採用主從部署的方式,將多個日誌審計系統的管理分支統一接入到一個主的日誌審計系統管理中心。
在這種模式下,各級日誌審計系統管理中心的部署方式與單一部署方式基本相同。管理員只需要在下級管理中心配置將本級事件信息轉發給上級管理中心的策略。
日誌審計系統主要性能指標
日誌審計系統事件採集能力
代表每秒鐘收集的日誌條目數量
日誌審計系統事件分析性能
每秒鐘實時關聯分析日誌的數量
日誌審計系統事件入庫性能
數據庫每秒鐘存儲事件日誌條數
日誌審計系統事件存儲能力
日誌在線分析事件的總容量
日誌審計系統事件查詢性能
系統查詢每百GB事件日誌所消耗的時間
日誌審計系統控制枱併發數
同時併發的管理管制台數量。
- 參考資料
-
- 1. 日誌審計系統設計與實現 .計算機工程[引用日期2020-01-20]
- 2. 中華人民共和國網絡安全法 .中華人民共和國中央人民政府網.2016-11-07[引用日期2020-01-16]
- 3. 信息安全技術 網絡安全等級保護基本要求 .國家標準全文公開系統.2019-05-10[引用日期2020-01-16]