這裡的“日誌”和我們日常生活中的理解大有不同。
什麼是日誌?
簡單的說,日誌就是計算機系統、裝置、軟體等在某種情況下記錄的資訊。具體內容取決於日誌的來源。例如:
- unix作業系統會記錄使用者登入和登出等資訊的日誌
- 防火牆會記錄訪問控制協議acl通過和拒絕等訊息的日誌
- 有些系統在使用者登入時或者在系統本身認為會發生一些故障時發出帶有告警資訊的日誌
- 有些產品會在本身儲存不足時發出帶有磁碟儲量不足的資訊的日誌
對於運維管理人員來說這些含有重要資料資訊(使用者登入資訊,系統錯誤資訊,磁碟資訊,資料庫資訊等)的日誌非常重要,可以通過這些日誌資訊對整體系統進行分析並查詢問題根源解決問題。也就是說,通過日誌,IT管理人員可以瞭解系統的執行狀況、安全狀況。甚至是執行狀況。
日誌的重要性
在一個完整的資訊系統中,日誌是以一個很重要的功能組成部分,當系統中出現一些管理員操作或者系統本身的報錯行為時,日誌就相當於系統這一天的工作彙報,系統每天都幹了什麼,有沒有告警資訊,哪些出了問題,問題可不可識別,在系統遭受安全攻擊時,系統的登陸錯誤、異常訪問等都會一日之的形式記錄下來,通過分析這些日誌,讀懂這些系統的工作彙報你可以知道系統這一天遭受了哪些攻擊、完成了哪些任務。同時檢視日誌也為安全事件發生以後,日後查明何人所為做了什麼有了一個很好的取證資訊來源,日誌可以為審計進行審計跟蹤。
為什麼需要日誌分析
高效運維要求:海量的原始資料,使得資料結構變得複雜,面臨較大的資料傳輸壓力、儲存壓力,資料孤立分散,無法關聯分析。日誌審計能夠通過自定義設定,快速完成日誌的分類、解析與儲存工作,提供管理人員便捷的海量日誌資料的收集與分析管理功能。
安全裝置:做個整合商運維工程師或者網路運維工程師的都清楚,市場上各式各樣的安全裝置很多,但是沒有一個廠商的產品能夠全面的覆蓋全部的安全產品。一般一個機房建設安全的話,它包含的安全裝置絕對不可能都是一家的,絕對有不一樣的廠商,這個時候分析日誌就變成了很繁重的工作。
系統安全管理要求:網路已經從千兆邁向了萬兆,企業需要監測和分析比以往更多的資料,海量資料面臨新型安全威脅。日誌審計能夠幫助使用者獲悉資訊系統的安全執行狀態,識別針對資訊系統的攻擊和入侵,以及來自內部的違規和資訊洩露,能夠為事後的問題分析和調查取證提供必要的資訊。
法律法規要求:日誌審計已成為企業滿足合規內控要求所必須的一項基本要求。2017年6月1日起施行的《中華人民共和國網路安全法》中規定:採取監測、記錄網路執行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月。《網路安全等級保護基本要求》(GB∕T 22239-2019)中規定:二到四級需要對網路、主機、應用安全三部分進行日誌審計,留存日誌需符合法律法規規定。
這就要求所有的軟硬體裝置必須要有日誌輸出且在整個整合系統中必須要有日誌審計裝置用於裝置執行過程中的日誌的分析、輸入、並通過日誌審計程式分析後輸出系統日誌是否發生異常。
什麼是日誌審計
對於海量而又繁雜的日誌資料,如果需要人為的每天去讀取的話,把人累死也做不完這些工作,這個時候就需要日誌審計對每天日誌中記錄的資訊進行審計和檢查,對於日誌中涉及到的重要資訊,對其真實性的完整性進行考察。
總的來說,日誌審計就是通過集中採集資訊系統中的系統安全事件、使用者訪問記錄、系統執行日誌、系統執行狀態等各類資訊,經過規範化、過濾、歸併和告警分析等處理之後,以統一格式的日誌形式及進行集中的儲存和管理,結合豐富的日誌統計彙總及關聯分析功能,實現對資訊系統日誌的全面審計。
藍隊雲日誌審計平臺
藍隊雲日誌審計平臺能夠通過主被動結合的手段,實時不間斷地採集使用者網路中各種不同廠商的安全裝置、網路裝置、主機、作業系統、以及各種應用系統產生的海量日誌資訊,並將這些資訊彙集到審計中心,進行集中化儲存、備份、查詢、審計、告警、響應,並出具豐富的報表報告,獲悉全網的整體安全執行態勢。
產品功能:
1、可視日誌審計
使用者可登入管理中心首頁檢視視覺化的日誌審計相關資料,視覺化首頁支援快速導航到各個功能板塊,包括資產數、日誌總數、告警數等相關資料。
2、資產分類管理
支援靈活的資產分類功能,實現對資產的分類管理。對所有采集資料,系統自動進行正規化化處理,將各種廠商各種型別的日誌格式轉換成系統一的格式再進行分類。
3、過濾與歸併
對採集到的日誌進行基於策略的過濾和歸併,提升審計的效率。日誌過濾和合並策略支援使用者自定義,系統預設不進行過濾和合並。
4、大資料儲存與搜尋
支援對收集的日誌進行分散式安全儲存和備份。系統支援TB級的海量資料加密儲存,滿足合規與內控條款的相關需求。備份資料可手工恢復,用作日誌回查。
5、強大的日誌分析功能
支援根據內建或自定義進行實時分析策略、統計分析策略,提供強大的日誌關聯分析能力,有助於提升審計管理工作的效率,降低審計的複雜性。
6、威脅告警及分析
通過關聯分析規則,系統能夠對符合關聯規則條件的日誌產生告警。基於攻擊鏈模型,對已發現的攻擊步驟進行推理,預測未來攻擊事件。
7、支援日誌查詢
系統提供日誌的查詢功能,便於從海量資料中獲取有用的日誌資訊。使用者可自定義查詢策略,支援快速查詢和模糊查詢功能。
8、綜合管理功能
涵蓋報表管理、使用者管理、系統管理等關功能,滿足企業個性化、多樣性的管理需求。管理視覺化,可直接通過表單檢視相關資料
產品優勢
1、安全簡單的部署
產品配置簡單,採用旁路部署,對網路現狀不產生任何影響;橫向叢集方式可以支援海量日誌的收集、儲存、分析、展示。
2、全面的日誌收集
採用分散式採集,支援自定義資料採集策略,支援各種協議採集,支援各種日誌型別,方便實現多裝置的海量日誌採集。
3、集中化日誌儲存管理
平臺將對日誌進行集中化收集與儲存,形成日誌管理體系;對所有采集的資料進行正規化化處理,提高日誌分析效率。
4、強大的安全分析能力
資料實時審計分析,支援對防火牆、IDS、IPS、防病毒、網路裝置、主機、應用等安全事件進行審計,對違規登入、配置變更、關鍵伺服器入侵等行為進行告警。
隨著網路裝置的逐步增多,網路系統運維成了一件難事,如果沒有這種日誌審計平臺的輔助,運維人員需要登陸到每臺裝置上去檢視日誌,這將是很大的工作量,無法有效管理,多種裝置之間無法形成聯絡,容易形成資訊孤島,通過統一的日誌審計平臺,將所有裝置日誌都收集到平臺及進行統一管理,統一分析。