日誌審計系統
概述
隨著資訊化程式的深入和網際網路的迅速發展,人們的工作、學習和生活方式正在發生巨大變化,效率大為提高,資訊資源得到最大程度的共享。緊隨資訊化發展而來的網路安全問題日漸凸出,如果不能很好地解決這個問題,必將阻礙資訊化發展的程式。由此可見,資訊保安在社會生活的各個方面已受到更為廣泛的關注,其重要性也日益明顯。
隨著網際網路和雲端計算的發展,公有云伺服器是人們越來越容易接受的產品,其最普遍受益的一點就是節省成本。企業不必像擁有私有云那樣去購買,安裝,操作或運維伺服器或是其他裝置。在一個公有云的服務供應商提供的平臺上,企業只需使用或開發他們自己的應用程式即可。但公有云的安全問題也是顯而易見的,基於 Internet 的公有云服務的特性,全世界只要能上網的人就可以訪問到其雲伺服器,其在雲主機及其雲上的資料受到威脅會更多而且更復雜,資料相對於私有云處於一個不穩定的狀態。
不管是傳統的資訊化還是未來趨勢的雲端計算,都面臨著安全的風險,從安全防護的角度來說,需要一個循序漸進的方式去完善安全體系。一般建設的順序是網路安全、主機安全、資料安全的順序逐步完善。對於傳統資訊化,要優先處理網路安全,但對於雲伺服器來說,網路安全是提供雲服務的廠家要重點考慮的事情,反而主機安全是要優先考慮的內容了。本產品就是透過對日誌的分析來解決主機的安全尤其是訪問安全,幫助企業有效的主機的管理和維護。
產品介紹
1、產品簡介
綜合日誌審計系統能夠透過主被動結合的手段,實時不間斷地採集使用者網路中各種不同廠商的安全裝置、網路裝置、主機、作業系統、以及各種應用系統產生的海量日誌資訊,網路流量的資訊,並將這些資訊彙集到審計中心,進行集中化儲存、備份、查詢、審計、告警、響應,並出具豐富的報表報告,獲悉全網的整體安全執行態勢,實現全生命週期的審計管理。
1、體系結構
綜合日誌審計系統產品主要有三大模組:日誌審計、流量審計。每個模組由三部分組成,一部分是資料採集,一部分是對採集的資料進行線上格式化分析處理、過濾、規則驗證,同時產生告警;一部分是資料儲存系統,把採集分析的內容和規則生成的告警資訊存入資料儲存系統;最後部分是 web 伺服器,管理員可以透過 http 方式對日誌資訊告警等進行檢視、管理。
l 採集器
採集器主要是對日誌、網路流量進行採集,然後對採集的資料進行線上格式化分析處理,把資料分解成不同的維度,然後對格式化後的資料進行告警分析,產生告警,同時儲存原始資料和格式化後的資料。採集器可以分散式部署,每個採集節點可以採集資料,同時可以儲存資料,這樣就形成了一個採集叢集,可以橫向無限擴充套件,支援海量資料。
l 資料儲存系統
對採集器採集的資料(格式化、原始)、生成的告警進行儲存,同時儲存這些告警所對應的資料來源,系統透過叢集演算法可以關聯到採集叢集,同時儲存系統還儲存了賬號,基礎資料等資訊。
l Web 伺服器
Web 伺服器主要是給管理員操作的入口,主要包括首頁門戶,審計搜尋,告警配置,工單的管理,資產管理,系統管理幾部分。
系統架構
採用元件式平臺架構,實現了分層的邏輯架構,包括:審計資料來源層、資料採集層、業務層和應用層。如下圖所示:
l 審計資料來源層
審計物件層是指審計資料來源物件,資料來源包括各型別的網路裝置、安全裝置、應用系統、主機等能產生相關日誌的裝置和資訊系統;網路資料流中的原始資料包。日誌審計物件須開放介面才可以收集到日誌;網路流量審計資料來源包括網路流量映象、資料轉發等,如果審計物件開放的介面是私有協議,系統可以透過定製開發協議的方式進行支援。
l 採集層
在該層日誌採集利用 Syslog 、 SnmpTrap 、 Jdbc 、本地檔案、 Sftp/Ftp 遠端採集檔案、 Sniffer 、 Agent 方式進行採集,從審計物件獲取日誌,並對原始日誌資訊進行正規化化、分類、過濾、歸併,統一推送到業務層進行分析、儲存;網路流量採集利用 ntopng 抓包網路映象流量方式進行採集,並對原始資料包進行解析、分類、過濾、歸併統一推送到業務層進行儲存。
l 業務層
業務層有日誌審計、網路流量審計,目前日誌審計是具備最完善、業務場景最多的模組,日誌審計利用關聯分析引擎對採集的日誌進行分析,觸發規則,生成告警記錄;透過高效能海量資料儲存代理將日誌進行快速儲存;透過分散式查詢引擎實現日誌查詢;透過日誌聚合引擎實現日誌抽取。
l 應用層
面向系統的使用者,提供一個圖形化的顯示介面,展現安全審計系統的各功能模組,提供綜合展示、日誌審計、告警規則、工單的管理、報表元件、資產管理、系統設定等功能。
產品功能
1、綜合展示
使用者登入即可進入綜合展示儀表盤(首頁)。透過盤,能夠快速的導航到各個功能。使用者能夠透過儀表盤從不同的方面對日誌進行審計,可以在一個螢幕中看到不同裝置型別、不同安全區域的實時日誌流曲線、統計圖,以及網路整體執行態勢、待處理告警資訊等。使用者可以自定義儀表盤,按需設計儀表板顯示的內容和佈局,可以為不同角色的使用者建立不同維度的儀表板。
2、 日誌審計
系統提供日誌審計(搜尋)功能,可以對解析、過濾後的日誌審計資料進行搜尋檢視。並支援儲存搜尋、自定義時間以及表格匯出。
3、 網路流量審計
系統提供網路流量審計功能,對原始資料流中的資料包解析、過濾、統一儲存。並將解析後的五元組資料以報表形式展示。
4、告警規則
系統具備日誌關聯分析功能。透過關聯分析規則,系統能夠對符合關聯規則條件的日誌產生告警。系統提供了視覺化的規則編輯器,使用者可以定義基於邏輯表示式的關聯規則,所有日誌欄位都可參與關聯。規則支援統計計數功能,可以對達到一定統計數量的日誌進行告警。
5、工單的管理
系統攜帶工單的管理模組,批次分配使用者告警資訊的處理、歸類等。
6、 報表元件
系統內建了豐富的報表模板,包括統計報表、明細報表、綜合審計報告,審計人員可以根據需要生成不同的報表。系統內建報表生成排程器,可以定時自動生成日報、週報、月報、季報、年報,並支援以郵件等方式自動投遞,支援以 PDF 、 Excel 、 Word 等格式匯出,支援列印。系統還內建了一套報表編輯器,使用者可以自行設計報表,包括報表的頁面版式、統計內容、顯示風格等。
7、資產管理
系統提供資產管理功能,可以對網路中的審計資料來源資產進行管理。除基本資產資訊外,系統提供靈活的資產分類功能,實現對資產的分類管理。系統提供基於拓撲的資產檢視,可以按圖形化拓撲模式顯示資產,並可編輯資產之間的網路連線關係,透過資產檢視可直接檢視該資產的日誌及告警資訊。系統能夠根據收到的日誌的裝置地址自動發現新的資產。
8、搜尋查詢
系統提供日誌的查詢功能,便於從海量資料中獲取有用的日誌資訊。使用者可自定義查詢策略,基於日誌時間、名稱、地址、埠、型別等各種條件進行組合查詢,並可匯出查詢結果。系統還提供快速查詢和模糊查詢功能。使用者在檢索歷史日誌記錄時,系統可以透過多條件相結合的方式進行日誌查詢,根據日誌的型別、發生時間、不同欄位內容等進行精細匹配,如:日誌源 IP 、日誌發生時間、登入賬號、資訊欄位內容等,從而實現日誌的快速準確定位。
9、 參考知識管理
系統內建日誌字典表,記錄了主流裝置和系統的日誌 ID 的原始含義和描述資訊,方便審計人員在進行日誌審計的時候進行參考。
10、 使用者管理
系統提供三權分立設計,內建系統管理員、使用者管理員和審計管理員。
系統提供使用者集中管理的功能,對使用者可以訪問的資源進行細緻的許可權劃分,具備安全可靠的分級及分類使用者管理功能,支援使用者的身份認證、授權、使用者口令修改等功能。不同的操作員具有功能操作許可權。
11、 系統管理
系統具有豐富的自身配置管理功能,包括自身安全配置、系統執行引數配置、審計資源配置等。系統具有系統自身執行監控與告警、系統日誌記錄等功能。
介面展示
首頁
網路流量審計
日誌檢視:
告警檢視:
工單的管理
報表元件
資產
產品特點
綜合日誌審計系統不需要在機器上安裝軟體,只要支援標準 syslog 、 snmp 、 sftp/ftp 、 jdbc 等標準協議即可採集分析日誌,不改變過客戶的原有方式,部署便捷,不會破壞本身的網路結構,不會影響到原主機效能。採集器支援橫向擴充套件叢集功能,在不改變現有環境的情況下,非常方便的增加採集節點,並整合到系統中進行協同工作,透過這種橫向叢集方式可以支援海量日誌的收集,儲存,分析展示的能力。
綜合志審計系統具有強大的日誌分析、網路流量分析能力,可以支援單條日誌的分析,多條日誌的組合分析,定時場景的分析,先後條件滿足的分析。透過這些分析能力,能滿足絕大多數使用者分析場景的需求。
綜合日誌審計系統整合了全文搜尋 Elasticsearch ,我們對 Elasticsearch 進行了最佳化,並有原始碼級的支援能力。 Elasticsearch 是一個靈活、功能強大的開源、分散式、實時搜尋和分析引擎。從設計之初就考慮了分散式環境,所以它具有天然的可靠性和可擴充套件性, Elasticsearch 使您能夠輕鬆地的使用全文檢索的功能。透過其強大的、健壯的 RESTfulAPI 和查詢 DSL ,支援多種客戶端,如 Java 、 Python 、 Clojure 等。
部署方式
產品部署分 4 部分內容,資料來源部分,採集器採集部分,資料庫部分和 web 伺服器部分,第一部分是資料來源,支援 syslog 、 snmp 、 jdbc 、 sftp/ftp 等協議,其餘三部分是本產品的主要部分,這四部分內容可以根據規模大小部署在一臺機器或者多臺機器上面。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69914889/viewspace-2674036/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- mysql 系統審計日誌格式說明:MySql
- vertica審計日誌
- oracle 審計日誌清理Oracle
- mysql審計日誌-ProxySQLMySql
- 日誌審計是什麼?為什麼企業需要日誌審計?
- .Net Core 審計日誌實現
- 最全 Kubernetes 審計日誌方案
- wazuh日誌審計--定製規則
- 通過日誌審計追蹤外部***
- 綠盟科技日誌審計系統與統信軟體UOS完成產品互認證
- 日誌系統
- 請問日誌審計什麼意思呢?
- 利用 ELK 處理 Percona 審計日誌
- AIX系統日誌AI
- AIX 系統日誌AI
- AUDIT_TRAIL設定及審計日誌清理AI
- Linux系統級日誌系統Linux
- Rsyslog日誌系統
- ELK日誌分析系統
- elk 日誌分析系統
- 日誌檔案系統
- 【ELK】日誌分析系統
- 日誌系統相關
- 運維審計系統運維
- 日誌服務之敏感資訊脫敏與審計
- 深度解讀RDS for MySQL 審計日誌功能和原理MySql
- 設計一套完整的日誌系統
- 什麼樣的日誌審計產品才能達到合規要求——日誌易
- 綠盟日誌審計系統(NSFOCUS LAS)榮獲“2019年度使用者選擇獎”
- 在Linux中,如何檢視和審計系統日誌檔案以檢測異常活動?Linux
- ELK-日誌分析系統
- Linux日誌系統(一)Linux
- OS作業系統日誌作業系統
- unix系統的日誌(shala)
- FreeBSD 系統日誌(轉)
- 檢視系統的日誌
- mariadb審計日誌通過 logstash匯入 hiveHive
- 有贊百億級日誌系統架構設計架構