日志审计系统

日志审计系统

目录
1适用场景
▪满足法律法规要求
▪满足系统安全管理需求
2基本功能
▪日志监控
▪日志采集
▪日志存储
▪日志检索
▪日志分析
▪日志转发
▪日志事件告警
▪日志报表管理
3部署方式
▪单一部署Stand-alone
▪主从部署Master-Slave
4主要性能指标
▪事件采集能力
▪事件分析性能
▪事件入库性能
▪事件存储能力
▪事件查询性能
▪控制台并发数
适用场景
播报
编辑
满足法律法规要求
国家的政策法规、行业标准等都明确对日志审计提出了要求，日志审计已成为企业满足合规内控要求所必须的一项基本要求。 2017年6月1日起施行的《中华人民共和国网络安全法》中规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。 [2]
《网络安全等级保护基本要求》（GB∕T 22239-2019）中规定：二到四级需要对网络、主机、应用安全三部分进行日志审计，留存日志需符合法律法规规定。 [3]
满足系统安全管理需求
当前信息安全形势日益严峻，信息安全防护工作面临前所未有的困难和挑战。日志审计能够帮助用户更好监控和保障信息系统运行，及时识别针对信息系统的入侵攻击、内部违规等信息，同时日志审计能够为安全事件的事后分析、调查取证提供必要的信息。
基本功能
播报
编辑
日志监控
提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，支持查看CPU、磁盘、内存总量及当前使用情况；支持查看资产的概览信息及资产关联的事件分布；
日志采集
提供全面的日志采集能力：支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志；
提供多种的数据源管理功能：支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理；提供分布式外置采集器、Agent等多种日志采集方式；支持IPv4、IPv6日志采集、分析以及检索查询；
日志存储
提供原始日志、范式化日志的存储，可自定义存储周期，支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
日志检索
提供丰富灵活的日志查询方式，支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索；
提供便捷的日志检索操作，支持保存检索、从已保存的检索导入见多条件等；
日志分析
提供便捷的日志分析操作，支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志；
日志转发
支持原始日志、范式化日志转发
日志事件告警
内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则；支持时间的查询、查询结果统计以及统计结果的展示等；支持对告警规则的自定义，可设置针对事件的各种筛选规则、告警等级等；
日志报表管理
支持丰富的内置报表以及灵活的自定义报表模式，支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容（名称、描述等）；支持实时报表、定时报表、周期性任务报表等方式；支持html，pdf，word格式的报表文件以及报表logo的灵活配置；
部署方式
播报
编辑
单一部署Stand-alone
典型的，将日志审计系统的管理中心服务器放置在网管中心或者安全中心，然后对被审计对象进行必要的配置，使得他们的日志信息能够发送到管理中心。管理员通过浏览器可以从任何位置登录管理中心服务器，进行各项操作。
一般来说日志审计系统的硬件型产品会具备多端口采集（Multi-Port Collection）技术，系统支持同时采集多个不同网段的日志信息。这种部署方式适用于物理或者逻辑隔离的多个网络，或者为了缩短网络中日志传输的路径、降低日志通讯的流量。
主从部署Master-Slave
对于大型、全国性的、分级的网络环境，可以采用主从部署的方式，将多个日志审计系统的管理分支统一接入到一个主的日志审计系统管理中心。
在这种模式下，各级日志审计系统管理中心的部署方式与单一部署方式基本相同。管理员只需要在下级管理中心配置将本级事件信息转发给上级管理中心的策略。
主要性能指标
播报
编辑
事件采集能力
代表每秒钟收集的日志条目数量
事件分析性能
每秒钟实时关联分析日志的数量
事件入库性能
数据库每秒钟存储事件日志条数
事件存储能力
日志在线分析事件的总容量
事件查询性能
系统查询每百GB事件日志所消耗的时间
控制台并发数
同时并发的管理管制台数量。