<网络安全>《14 日志审计系统》

1 概念

日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。

日志审计系统是一种用于记录、监视和分析系统日志的工具或系统。它主要用于帮助组织实时监控与分析各种事件和行为的日志记录,以便检测潜在的安全威胁,了解系统性能和进行故障排除。日志审计系统通常能够收集、存储和分析来自各种源的日志数据,例如操作系统、应用程序、网络设备等。通过对日志数据进行集中管理和分析,日志审计系统帮助组织提高安全性、遵守合规性要求,并支持故障排除和性能优化。

2 基本功能

日志监控

提供日志监控能力,支持对采集器、采集器资产的实时状态进行监控,支持查看CPU、磁盘、内存总量及当前使用情况;支持查看资产的概览信息及资产关联的事件分布;
日志采集

提供全面的日志采集能力:支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志;

提供多种的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理;提供分布式外置采集器、Agent等多种日志采集方式;支持IPv4、IPv6日志采集、分析以及检索查询;
日志存储

提供原始日志、范式化日志的存储,可自定义存储周期,支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
日志检索

提供丰富灵活的日志查询方式,支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索;

提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等;
日志分析

提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志;
日志转发

支持原始日志、范式化日志转发
日志事件告警

内置丰富的单源、多源事件关联分析规则,支持自定义事件规则,可按照日志、字段布尔逻辑关系等方式自定义规则;支持时间的查询、查询结果统计以及统计结果的展示等;支持对告警规则的自定义,可设置针对事件的各种筛选规则、告警等级等;
日志报表管理

支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持html,pdf,word格式的报表文件以及报表logo的灵活配置;

3 性能指标

日志监控

提供日志监控能力,支持对采集器、采集器资产的实时状态进行监控,支持查看CPU、磁盘、内存总量及当前使用情况;支持查看资产的概览信息及资产关联的事件分布;
日志采集

提供全面的日志采集能力:支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志;

提供多种的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理;提供分布式外置采集器、Agent等多种日志采集方式;支持IPv4、IPv6日志采集、分析以及检索查询;
日志存储

提供原始日志、范式化日志的存储,可自定义存储周期,支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
日志检索

提供丰富灵活的日志查询方式,支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索;

提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等;
日志分析

提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志;
日志转发

支持原始日志、范式化日志转发
日志事件告警

内置丰富的单源、多源事件关联分析规则,支持自定义事件规则,可按照日志、字段布尔逻辑关系等方式自定义规则;支持时间的查询、查询结果统计以及统计结果的展示等;支持对告警规则的自定义,可设置针对事件的各种筛选规则、告警等级等;
日志报表管理

支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持html,pdf,word格式的报表文件以及报表logo的灵活配置;

4 日志审计系统的要求

  1. 传统日志审计系统面临的挑战

    ·结构化数据库存储,横向扩展能力有限

    ·日志数据格式复杂,输出格式多种多样

    ·海量日志日积月累,检索查询速度缓慢

  2. 日志审计系统的优点
    安全性增强 :日志审计系统可以帮助组织实时监测和分析日志事件,以便发现潜在的安全漏洞和威胁。通过对日志数据进行分析,它可以识别异常活动、安全攻击和潜在的数据泄露,从而加强系统的安全性。
    合规性支持 :日志审计系统可以帮助组织满足合规性要求,如PCI DSS、HIPAA等。它可以记录和审计敏感操作、访问控制事件和数据更改,以便进行合规性审核并提供必要的报告。

    故障排除与性能优化:通过分析系统日志,日志审计系统可以帮助组织快速发现和解决故障。它可以跟踪系统错误、异常行为和性能问题,使管理员能够迅速定位和解决潜在的技术故障,从而提高系统的可用性和性能。
    日志集中管理 :日志审计系统可以收集和存储来自多个源的日志数据,使其集中管理和检索更加高效。这样可以避免手动搜索和分析多个日志源,简化日志管理流程。
    实时监控与报警:日志审计系统可以实时监控关键事件和行为,并根据预设的规则和阈值发送警报通知。这可以帮助管理员及时响应潜在的安全问题或异常活动。

相关推荐
follycat39 分钟前
[极客大挑战 2019]HTTP 1
网络·网络协议·http·网络安全
Lionhacker15 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
centos0817 小时前
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
网络安全·二进制·pwn·ctf
程序员小予19 小时前
如何成为一名黑客?小白必学的12个基本步骤
计算机网络·安全·网络安全
蜗牛学苑_武汉21 小时前
Wazuh入侵检测系统的安装和基本使用
网络·网络安全
乐茵安全1 天前
linux基础
linux·运维·服务器·网络·安全·网络安全
如光照1 天前
Linux与Windows中的流量抓取工具:wireshark与tcpdump
linux·windows·测试工具·网络安全
follycat1 天前
2024强网杯Proxy
网络·学习·网络安全·go
黑色叉腰丶大魔王1 天前
《运维网络安全》
运维·网络·网络安全