路由网日志审计系统简介
什么是日志审计?日志审计是通过集中收集信息系统中的系统安全事件、用户访问记录、系统运行日志和系统运行状态等各类信息,经过标准化处理、过滤、合并和告警分析后,以统一格式存储和管理。这些信息通过丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
通过日志审计系统,企业管理员可以随时了解整个IT系统的运行情况,及时发现系统异常事件。另一方面,通过事后分析和丰富的报表系统,管理员可以高效地对信息系统进行有针对性的安全审计。在遇到特殊安全事件和系统故障时,日志审计系统可以帮助管理员快速定位问题,并提供客观依据进行追查和恢复。[百度百科]
为什么需要日志审计平台?由于网络安全法的颁布实施,日志审计的合规要求变得更加严格。如果没有保留相关日志至少6个月,一旦被追查,将面临法律责任。随着网络设备和服务器数量的增加,没有统一的综合日志审计平台,运维人员需要登录到每台设备上查看日志,这不利于管理。此外,众多设备会产生海量的日志,无法有效管理,形成信息孤岛,无法进行关联分析。通过统一的日志审计平台,可以将所有设备的日志集中管理和分析。
日志审计的核心目标包括多源数据归一化、日志存储集中化、关联分析自动化以及安全态势立体化。日志审计的主要功能设计思路包括:
- 统一日志采集:收集不同日志源(如主机系统、网络设备、安全设备、应用中间件、数据库等)产生的日志,实现集中管理和存储。支持解析任意格式和来源的日志,通过解析规则进行标准化。支持无代理和代理方式的日志收集。
- 关联分析:预置多种事件关联规则,定位外部威胁、黑客攻击、内部违规操作和设备异常。用户可以简单灵活地定义关联规则。
- 实时告警:通过邮件、短信、声音等方式及时通知告警事件,并可通过接口调用自动运行程序或脚本。通过告警策略定义,对各类风险和事件进行及时告警或预警,提升运维效率。
- 日志取证分析:深入分析原始日志事件,快速定位问题的根本原因。生成取证报表,如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等。
- 监管合规:提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表。支持创建自定义合规性报表。
日志审计系统产品功能结构:
图:日志审计系统产品功能结构
日志审计系统的主要工作原理是通过日志采集器将各种设备的日志推送到日志审计平台,然后平台通过日志解析、过滤、聚合等进行关联分析,从而进行告警、生成统计报表,并支持资产管理和日志检索。
日志的转发方式一般包括Syslog转发、Kafka转发和http转发。日志收集通常支持Syslog、SNMP等日志协议。
日志审计系统常见模块包括:
- 日志事件获取模块:通过事件监控模块实时监控各个网络设备、主机系统等的日志信息,以及安全产品的安全事件报警信息,及时发现正在和已经发生的安全事件,并通过响应模块采取措施,保证网络和业务系统的安全、可靠运行。
- 资产管理模块:对网络安全管理平台所管辖的设备和系统对象进行管理,将其按重要程度分类登记入库,并为其他安全管理模块提供信息接口。
- 规则库模块:支持主流网络设备、主机系统、数据库系统等,并涵盖已部署的安全系统,包括防火墙系统、防病毒系统等。提供新日志格式适配功能,支持从安全运营中心平台接收新日志解析映射规则配置,用户可以根据该功能自行适配新日志格式。
- 统计报表功能:具备强大的统计功能,可快速生成多种专业化的报表并支持自定义图表的设定和展示。
- 权限管理模块:超级管理员可根据用户角色分配平台查看和操作各模块的权限,用户只能访问被授权的资源。
日志审计平台的部署方式一般采用旁路部署,只需确保到达全部设备的网络可通即可。支持单机部署和分布式部署。
