日誌審計系統

概述

隨著資訊化程式的深入和網際網路的迅速發展，人們的工作、學習和生活方式正在發生巨大變化，效率大為提高，資訊資源得到最大程度的共享。緊隨資訊化發展而來的網路安全問題日漸凸出，如果不能很好地解決這個問題，必將阻礙資訊化發展的程式。由此可見，資訊保安在社會生活的各個方面已受到更為廣泛的關注，其重要性也日益明顯。

隨著網際網路和雲端計算的發展，公有云伺服器是人們越來越容易接受的產品，其最普遍受益的一點就是節省成本。企業不必像擁有私有云那樣去購買，安裝，操作或運維伺服器或是其他裝置。在一個公有云的服務供應商提供的平臺上，企業只需使用或開發他們自己的應用程式即可。但公有云的安全問題也是顯而易見的，基於 Internet 的公有云服務的特性，全世界只要能上網的人就可以訪問到其雲伺服器，其在雲主機及其雲上的資料受到威脅會更多而且更復雜，資料相對於私有云處於一個不穩定的狀態。

不管是傳統的資訊化還是未來趨勢的雲端計算，都面臨著安全的風險，從安全防護的角度來說，需要一個循序漸進的方式去完善安全體系。一般建設的順序是網路安全、主機安全、資料安全的順序逐步完善。對於傳統資訊化，要優先處理網路安全，但對於雲伺服器來說，網路安全是提供雲服務的廠家要重點考慮的事情，反而主機安全是要優先考慮的內容了。本產品就是透過對日誌的分析來解決主機的安全尤其是訪問安全，幫助企業有效的主機的管理和維護。

產品介紹

1、產品簡介

綜合日誌審計系統能夠透過主被動結合的手段，實時不間斷地採集使用者網路中各種不同廠商的安全裝置、網路裝置、主機、作業系統、以及各種應用系統產生的海量日誌資訊，網路流量的資訊，並將這些資訊彙集到審計中心，進行集中化儲存、備份、查詢、審計、告警、響應，並出具豐富的報表報告，獲悉全網的整體安全執行態勢，實現全生命週期的審計管理。

1、體系結構

綜合日誌審計系統產品主要有三大模組：日誌審計、流量審計。每個模組由三部分組成，一部分是資料採集，一部分是對採集的資料進行線上格式化分析處理、過濾、規則驗證，同時產生告警；一部分是資料儲存系統，把採集分析的內容和規則生成的告警資訊存入資料儲存系統；最後部分是 web 伺服器，管理員可以透過 http 方式對日誌資訊告警等進行檢視、管理。

l   採集器

採集器主要是對日誌、網路流量進行採集，然後對採集的資料進行線上格式化分析處理，把資料分解成不同的維度，然後對格式化後的資料進行告警分析，產生告警，同時儲存原始資料和格式化後的資料。採集器可以分散式部署，每個採集節點可以採集資料，同時可以儲存資料，這樣就形成了一個採集叢集，可以橫向無限擴充套件，支援海量資料。

l   資料儲存系統

對採集器採集的資料（格式化、原始）、生成的告警進行儲存，同時儲存這些告警所對應的資料來源，系統透過叢集演算法可以關聯到採集叢集，同時儲存系統還儲存了賬號，基礎資料等資訊。

l   Web 伺服器

Web 伺服器主要是給管理員操作的入口，主要包括首頁門戶，審計搜尋，告警配置，工單的管理，資產管理，系統管理幾部分。

系統架構

採用元件式平臺架構，實現了分層的邏輯架構，包括：審計資料來源層、資料採集層、業務層和應用層。如下圖所示：

l   審計資料來源層

審計物件層是指審計資料來源物件，資料來源包括各型別的網路裝置、安全裝置、應用系統、主機等能產生相關日誌的裝置和資訊系統；網路資料流中的原始資料包。日誌審計物件須開放介面才可以收集到日誌；網路流量審計資料來源包括網路流量映象、資料轉發等，如果審計物件開放的介面是私有協議，系統可以透過定製開發協議的方式進行支援。

l   採集層

在該層日誌採集利用 Syslog 、 SnmpTrap 、 Jdbc 、本地檔案、 Sftp/Ftp 遠端採集檔案、 Sniffer 、 Agent 方式進行採集，從審計物件獲取日誌，並對原始日誌資訊進行正規化化、分類、過濾、歸併，統一推送到業務層進行分析、儲存；網路流量採集利用 ntopng 抓包網路映象流量方式進行採集，並對原始資料包進行解析、分類、過濾、歸併統一推送到業務層進行儲存。

l   業務層

業務層有日誌審計、網路流量審計，目前日誌審計是具備最完善、業務場景最多的模組，日誌審計利用關聯分析引擎對採集的日誌進行分析，觸發規則，生成告警記錄；透過高效能海量資料儲存代理將日誌進行快速儲存；透過分散式查詢引擎實現日誌查詢；透過日誌聚合引擎實現日誌抽取。

l   應用層

面向系統的使用者，提供一個圖形化的顯示介面，展現安全審計系統的各功能模組，提供綜合展示、日誌審計、告警規則、工單的管理、報表元件、資產管理、系統設定等功能。

產品功能

1、綜合展示

使用者登入即可進入綜合展示儀表盤（首頁）。透過盤，能夠快速的導航到各個功能。使用者能夠透過儀表盤從不同的方面對日誌進行審計，可以在一個螢幕中看到不同裝置型別、不同安全區域的實時日誌流曲線、統計圖，以及網路整體執行態勢、待處理告警資訊等。使用者可以自定義儀表盤，按需設計儀表板顯示的內容和佈局，可以為不同角色的使用者建立不同維度的儀表板。

2、 日誌審計

系統提供日誌審計（搜尋）功能，可以對解析、過濾後的日誌審計資料進行搜尋檢視。並支援儲存搜尋、自定義時間以及表格匯出。

3、 網路流量審計

系統提供網路流量審計功能，對原始資料流中的資料包解析、過濾、統一儲存。並將解析後的五元組資料以報表形式展示。

4、告警規則

系統具備日誌關聯分析功能。透過關聯分析規則，系統能夠對符合關聯規則條件的日誌產生告警。系統提供了視覺化的規則編輯器，使用者可以定義基於邏輯表示式的關聯規則，所有日誌欄位都可參與關聯。規則支援統計計數功能，可以對達到一定統計數量的日誌進行告警。

5、工單的管理

系統攜帶工單的管理模組，批次分配使用者告警資訊的處理、歸類等。

6、 報表元件

系統內建了豐富的報表模板，包括統計報表、明細報表、綜合審計報告，審計人員可以根據需要生成不同的報表。系統內建報表生成排程器，可以定時自動生成日報、週報、月報、季報、年報，並支援以郵件等方式自動投遞，支援以 PDF 、 Excel 、 Word 等格式匯出，支援列印。系統還內建了一套報表編輯器，使用者可以自行設計報表，包括報表的頁面版式、統計內容、顯示風格等。

7、資產管理

系統提供資產管理功能，可以對網路中的審計資料來源資產進行管理。除基本資產資訊外，系統提供靈活的資產分類功能，實現對資產的分類管理。系統提供基於拓撲的資產檢視，可以按圖形化拓撲模式顯示資產，並可編輯資產之間的網路連線關係，透過資產檢視可直接檢視該資產的日誌及告警資訊。系統能夠根據收到的日誌的裝置地址自動發現新的資產。

8、搜尋查詢

系統提供日誌的查詢功能，便於從海量資料中獲取有用的日誌資訊。使用者可自定義查詢策略，基於日誌時間、名稱、地址、埠、型別等各種條件進行組合查詢，並可匯出查詢結果。系統還提供快速查詢和模糊查詢功能。使用者在檢索歷史日誌記錄時，系統可以透過多條件相結合的方式進行日誌查詢，根據日誌的型別、發生時間、不同欄位內容等進行精細匹配，如：日誌源 IP 、日誌發生時間、登入賬號、資訊欄位內容等，從而實現日誌的快速準確定位。

9、 參考知識管理

系統內建日誌字典表，記錄了主流裝置和系統的日誌 ID 的原始含義和描述資訊，方便審計人員在進行日誌審計的時候進行參考。

10、 使用者管理

系統提供三權分立設計，內建系統管理員、使用者管理員和審計管理員。

系統提供使用者集中管理的功能，對使用者可以訪問的資源進行細緻的許可權劃分，具備安全可靠的分級及分類使用者管理功能，支援使用者的身份認證、授權、使用者口令修改等功能。不同的操作員具有功能操作許可權。

11、 系統管理

系統具有豐富的自身配置管理功能，包括自身安全配置、系統執行引數配置、審計資源配置等。系統具有系統自身執行監控與告警、系統日誌記錄等功能。

介面展示

首頁

網路流量審計

日誌檢視：

告警檢視：

工單的管理

報表元件

資產

產品特點

綜合日誌審計系統不需要在機器上安裝軟體，只要支援標準 syslog 、 snmp 、 sftp/ftp 、 jdbc 等標準協議即可採集分析日誌，不改變過客戶的原有方式，部署便捷，不會破壞本身的網路結構，不會影響到原主機效能。採集器支援橫向擴充套件叢集功能，在不改變現有環境的情況下，非常方便的增加採集節點，並整合到系統中進行協同工作，透過這種橫向叢集方式可以支援海量日誌的收集，儲存，分析展示的能力。

綜合志審計系統具有強大的日誌分析、網路流量分析能力，可以支援單條日誌的分析，多條日誌的組合分析，定時場景的分析，先後條件滿足的分析。透過這些分析能力，能滿足絕大多數使用者分析場景的需求。

綜合日誌審計系統整合了全文搜尋 Elasticsearch ，我們對 Elasticsearch 進行了最佳化，並有原始碼級的支援能力。 Elasticsearch 是一個靈活、功能強大的開源、分散式、實時搜尋和分析引擎。從設計之初就考慮了分散式環境，所以它具有天然的可靠性和可擴充套件性， Elasticsearch 使您能夠輕鬆地的使用全文檢索的功能。透過其強大的、健壯的 RESTfulAPI 和查詢 DSL ，支援多種客戶端，如 Java 、 Python 、 Clojure 等。

部署方式

產品部署分 4 部分內容，資料來源部分，採集器採集部分，資料庫部分和 web 伺服器部分，第一部分是資料來源，支援 syslog 、 snmp 、 jdbc 、 sftp/ftp 等協議，其餘三部分是本產品的主要部分，這四部分內容可以根據規模大小部署在一臺機器或者多臺機器上面。