1 概念
日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。
日志审计系统是一种用于记录、监视和分析系统日志的工具或系统。它主要用于帮助组织实时监控与分析各种事件和行为的日志记录,以便检测潜在的安全威胁,了解系统性能和进行故障排除。日志审计系统通常能够收集、存储和分析来自各种源的日志数据,例如操作系统、应用程序、网络设备等。通过对日志数据进行集中管理和分析,日志审计系统帮助组织提高安全性、遵守合规性要求,并支持故障排除和性能优化。
2 基本功能
日志监控
提供日志监控能力,支持对采集器、采集器资产的实时状态进行监控,支持查看CPU、磁盘、内存总量及当前使用情况;支持查看资产的概览信息及资产关联的事件分布;
日志采集
提供全面的日志采集能力:支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志;
提供多种的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理;提供分布式外置采集器、Agent等多种日志采集方式;支持IPv4、IPv6日志采集、分析以及检索查询;
日志存储
提供原始日志、范式化日志的存储,可自定义存储周期,支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
日志检索
提供丰富灵活的日志查询方式,支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索;
提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等;
日志分析
提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志;
日志转发
支持原始日志、范式化日志转发
日志事件告警
内置丰富的单源、多源事件关联分析规则,支持自定义事件规则,可按照日志、字段布尔逻辑关系等方式自定义规则;支持时间的查询、查询结果统计以及统计结果的展示等;支持对告警规则的自定义,可设置针对事件的各种筛选规则、告警等级等;
日志报表管理
支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持html,pdf,word格式的报表文件以及报表logo的灵活配置;
3 性能指标
日志监控
提供日志监控能力,支持对采集器、采集器资产的实时状态进行监控,支持查看CPU、磁盘、内存总量及当前使用情况;支持查看资产的概览信息及资产关联的事件分布;
日志采集
提供全面的日志采集能力:支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志;
提供多种的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理;提供分布式外置采集器、Agent等多种日志采集方式;支持IPv4、IPv6日志采集、分析以及检索查询;
日志存储
提供原始日志、范式化日志的存储,可自定义存储周期,支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
日志检索
提供丰富灵活的日志查询方式,支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索;
提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等;
日志分析
提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志;
日志转发
支持原始日志、范式化日志转发
日志事件告警
内置丰富的单源、多源事件关联分析规则,支持自定义事件规则,可按照日志、字段布尔逻辑关系等方式自定义规则;支持时间的查询、查询结果统计以及统计结果的展示等;支持对告警规则的自定义,可设置针对事件的各种筛选规则、告警等级等;
日志报表管理
支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持html,pdf,word格式的报表文件以及报表logo的灵活配置;
4 日志审计系统的要求
-
传统日志审计系统面临的挑战
·结构化数据库存储,横向扩展能力有限
·日志数据格式复杂,输出格式多种多样
·海量日志日积月累,检索查询速度缓慢
-
日志审计系统的优点
安全性增强 :日志审计系统可以帮助组织实时监测和分析日志事件,以便发现潜在的安全漏洞和威胁。通过对日志数据进行分析,它可以识别异常活动、安全攻击和潜在的数据泄露,从而加强系统的安全性。
合规性支持 :日志审计系统可以帮助组织满足合规性要求,如PCI DSS、HIPAA等。它可以记录和审计敏感操作、访问控制事件和数据更改,以便进行合规性审核并提供必要的报告。故障排除与性能优化:通过分析系统日志,日志审计系统可以帮助组织快速发现和解决故障。它可以跟踪系统错误、异常行为和性能问题,使管理员能够迅速定位和解决潜在的技术故障,从而提高系统的可用性和性能。
日志集中管理 :日志审计系统可以收集和存储来自多个源的日志数据,使其集中管理和检索更加高效。这样可以避免手动搜索和分析多个日志源,简化日志管理流程。
实时监控与报警:日志审计系统可以实时监控关键事件和行为,并根据预设的规则和阈值发送警报通知。这可以帮助管理员及时响应潜在的安全问题或异常活动。