日志審計系統(tǒng)簡介

什么是日志審計？

綜合日志審計平臺，通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計匯總及關(guān)聯(lián)分析功能，實現(xiàn)對信息系統(tǒng)日志的全面審計。

通過日志審計系統(tǒng)，企業(yè)管理員隨時了解整個IT系統(tǒng)的運行情況，及時發(fā)現(xiàn)系統(tǒng)異常事件；另一方面，通過事后分析和豐富的報表系統(tǒng)，管理員可以方便高效地對信息系統(tǒng)進(jìn)行有針對性的安全審計。遇到特殊安全事件和系統(tǒng)故障，日志審計系統(tǒng)可以幫助管理員進(jìn)行故障快速定位，并提供客觀依據(jù)進(jìn)行追查和恢復(fù)。[百度百科]

為什么需要日志審計平臺？

1. 日志審計的合規(guī)要求，由于網(wǎng)絡(luò)安全法的頒布實施，由原先的不合規(guī)轉(zhuǎn)變成了不合法。如果不對要求的相關(guān)日志不做留存6個月以上，一旦追查，將面臨法律責(zé)任。
2. 安全運營的挑戰(zhàn)。隨著網(wǎng)絡(luò)設(shè)備的增多，以及服務(wù)器數(shù)量的增多，如果沒有統(tǒng)一的綜合日志審計平臺，那么需要登錄到每臺設(shè)備上查看日志，不利于運維人員管理。而且眾多設(shè)備會產(chǎn)生海量的日志，無法有效管理。多種設(shè)備形成信息孤島，日志無法關(guān)聯(lián)分析。通過統(tǒng)一的日志審計平臺，將所有設(shè)備日志都收集到日志平臺進(jìn)行統(tǒng)一管理，統(tǒng)一分析。

日志審計的核心目標(biāo)：

• 多源數(shù)據(jù)歸一化
• 日志存儲集中化
• 關(guān)聯(lián)分析自動化
• 安全態(tài)勢立體化

日志審計的主要功能

設(shè)計思路：

統(tǒng)一日志采集：

• 對不同日志源 (主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用中間件、數(shù)據(jù)庫等)所產(chǎn)生的日志進(jìn)行收集，實現(xiàn)日志的集中管理和存儲。支持解析任意格式、任意來源的日志，通過解析規(guī)則標(biāo)準(zhǔn)化。
• 使用無代理的方式收集日志。
• 支持代理方式的日志收集。

關(guān)聯(lián)分析：

• 預(yù)置多種事件關(guān)聯(lián)規(guī)則。
• 定位外部威脅、黑客攻擊、內(nèi)部違規(guī)操作，設(shè)備異常。
• 簡單靈活定義關(guān)聯(lián)規(guī)則。

實時告警：

• 通過郵件、短信、聲音對發(fā)生的告警進(jìn)行及時通知，并可通過接口調(diào)用自動運行程序或腳本。
• 通過告警策略定義，對各類風(fēng)險 和事件進(jìn)行及時告警或預(yù)警，提升運維效率。

日志取證分析：

• 深入分析原始日志事件，快速定位問題的根本原因。
• 生成取證報表，例如攻擊威脅報表、Windows/Linux系統(tǒng)審計報表以及合規(guī)性審計報表等。

監(jiān)管合規(guī)：

• 提供Windows審計、Linux審計、PCI、SOX、ISO27001等合規(guī)性報表。
• 支持創(chuàng)建自定義合規(guī)性報表

日志審計系統(tǒng)產(chǎn)品功能結(jié)構(gòu)：

圖：日志審計系統(tǒng)產(chǎn)品功能結(jié)構(gòu)

日志審計系統(tǒng)的主要工作原理是，通過日志采集器，各種設(shè)備將日志推送到日志審計平臺，然后日志審計平臺通過日志解析，日志過濾，日志聚合等進(jìn)行關(guān)聯(lián)分析，從而進(jìn)行告警，統(tǒng)計報表，也可以進(jìn)行資產(chǎn)管理，日志檢索等。

日志的轉(zhuǎn)發(fā)方式：

日志轉(zhuǎn)發(fā)一般可以通過：Syslog轉(zhuǎn)發(fā)，Kafka轉(zhuǎn)發(fā)，http轉(zhuǎn)發(fā)。

日志收集一般支持：Syslog、SNMP等日志協(xié)議。

日志審計系統(tǒng)常見模塊：

• 日志事件獲取模塊：安全事件監(jiān)控系統(tǒng)是實時掌握全網(wǎng)的安全威脅狀況的重要手段之一。通過事件監(jiān)控模塊監(jiān)控各個網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報警信息等，及時發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，通過響應(yīng)模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運行。
• 資產(chǎn)管理模塊：資產(chǎn)管理實現(xiàn)對網(wǎng)絡(luò)安全管理平臺所管轄的設(shè)備和系統(tǒng)對象的管理。它將其所轄IP設(shè)備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。
• 規(guī)則庫模塊：規(guī)則庫已支持主流網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等，而且還應(yīng)涵蓋已經(jīng)部署的安全系統(tǒng)，包括防火墻系統(tǒng)、防病毒系統(tǒng)等。并提供新日志格式適配功能，支持從安全運營中心平臺接收新日志解析映射規(guī)則配置。用戶可以根據(jù)該適配功能，對新日志格式進(jìn)行自行適配。
• 統(tǒng)計報表功能：具備強(qiáng)大的統(tǒng)計功能，可快速生成多種專業(yè)化的報表并支持自定義圖表的設(shè)定集展示。
• 權(quán)限管理模塊：超級管理員可根據(jù)用戶角色分配平臺查看、操作各模塊的權(quán)限，用戶可以訪問而且只能訪問自己被授權(quán)的資源

日志審計平臺的部署方式

硬件產(chǎn)品部署方式：

一般日志審計系統(tǒng)采用旁路部署即可，只要到達(dá)全部設(shè)備網(wǎng)絡(luò)可通即可。

支持單機(jī)部署和分布式部署。