日志审计系统技术指标
审计系统软件技术参数要求
设备数量及指标
数据库审计系统一套,包括审计专用终端3台。
系统要求
1)支持windows操作系统的应用服务器的访问行为审计,对主流数据库的应用服务器的访问行为审计,支持对审计数据的快速查询和回放功能。
2)提供集中的一体化管理界面,通过IE浏览器即可访问管理中心,方便用户使用,管理高效、灵活。
3)能够实现使用终端数据共享,方便审计部门对系统进行多方位的管理。
系ቤተ መጻሕፍቲ ባይዱ管理要求
1)对系统的各项配置工作,包括日志的备份、恢复无需借助第三方数据库管理系统。
2)系统自身的健康状况监控,包括CPU和内存利用率等的监控,遇到问题自动报警,确保安全管理平台自身的可靠性。
3)多级管理中心之间采用加密协议进行传输,对采集到的数据都进行加密存储,保证数据的完整性和机密性。
运用维护要求
1)审计系统软件能够实现网络实时更新。
2)包含较全面的售后服务项目,如果软件在使用过程中出现非用户使用情况所导致的问题,厂商能够协作解决
泰合TSOC-SA日志审计系统介绍
Venustech Confidential
5
产品特点与优势
- 高速日志采集 - 多种日志源与日志类型采集 - 多种协议方式采集 - 主被动结合日志采集 - 无代理方式日志采集 - 多端口日志采集 - 日志加密压缩、存储转发 - 分布式日志采集
- 高速日志存储
- 高速海量日志查询 - 高速海量日志统计报表 - 并行计算 - 分布式数据存储
High Visibility
- 基于拓扑的审计对象视图
- 基于地图的事件定位 - 事件行为图 - 可视化规则编辑器
6
光口),1个Console口
• 标配采用Raid5,有效存储容量3TB
*该数值是指每日平均的EPS数。此时配置了日志采集器。 **该数值假设每条日志占用的综合存储空间为500Byte。综合存储空间是指日志范式化后占用的存储空间字节数,原始日志占用存储空间 字节数,为日志建立索引所需的存储空间字节数,以及日志统计表存储空间字节数的总和。
异 构 海 量 日 志 采 集
日 志 范 式 化 与 分 类
日 志 过 滤 归 并
领导
关 联 分 析
告 警
安全主管
•建立全局安全策略 •出具日志审计报告 •分析安全问题
•制定审计规则
•采集和存储日志 审计人员 •执行日志审计
存储
加密
压缩
备份
恢复
3
标准部署模式
4
产品型号
TSOC-SA具有软件和硬件两种形态
TSOC-SA硬件型有两种型号可供选择:
型号 规格指标
TSOC-SA2100
• 2U标准机架式,专用硬件平台和安全操作系统
• 单台日志处理性能可达3000EPS*(约合每天130GB**) • 6个千兆电口,支持多端口采集;1个Console口 • 有效存储容量2TB
日志审计与分析系统
点击文章中飘蓝词可直接进入官网查看日志审计与分析系统日志审计与分析系统可以了解系统的运行状况,安全状况,甚至是运营的状况。
如何选择一款合适的日志审计与分析系统呢?评价一款日志审计与分析系统需要关注哪些方面呢?小编今天给大家介绍一下选择日志审计与分析系统应该从几个方面来考虑。
南京风城云码软件公司(简称:风城云码)南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件开发与生产资质。
多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。
开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向前发展。
由于一款综合性的日志审计与分析系统要能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。
日志收集的性能也是要考虑的。
一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。
目前,国际上评价一款日志审计产品的重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。
一般而言,EPS数值越高,表明系统性能越好。
日志审计与分析系统应提供准确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,要注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。
日志审计与分析系统要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。
日志审计解决方案
日志审计解决方案概述:日志审计是一种重要的安全措施,用于监控和记录系统、应用程序和网络设备的活动。
通过对日志进行审计,可以检测潜在的安全威胁、追踪恶意行为和满足合规性要求。
本文将介绍一个完整的日志审计解决方案,包括日志采集、存储、分析和报告。
1. 日志采集:日志采集是日志审计的第一步。
可以通过以下方式采集日志:1.1 系统日志:采集操作系统生成的日志,如Windows Event Log或者Linux Syslog。
1.2 应用程序日志:采集应用程序生成的日志,如数据库日志、Web服务器日志等。
1.3 网络设备日志:采集网络设备(如防火墙、路由器、交换机)生成的日志。
2. 日志存储:日志存储是将采集到的日志保存在可靠的存储介质中,以供后续分析和查询。
常见的日志存储方案包括:2.1 本地存储:将日志保存在本地磁盘上。
这种方式适合于小规模环境,但不适合长期存储和大规模环境。
2.2 远程存储:将日志发送到远程服务器进行存储。
这种方式可以集中管理和备份日志,并提供更好的可扩展性和容错性。
3. 日志分析:日志分析是对采集到的日志进行结构化处理和分析,以发现异常活动和潜在的安全威胁。
以下是一些常见的日志分析技术:3.1 实时监控:通过实时监控日志流,可以及时发现异常活动并采取相应的措施。
3.2 关联分析:通过分析不同来源的日志,可以关联相关事件,发现隐藏的攻击链和异常行为。
3.3 用户行为分析:通过分析用户的登录、访问和操作行为,可以检测到未经授权的访问和异常操作。
3.4 威胁情报分析:结合外部威胁情报,对日志进行分析,可以提前发现已知的攻击模式和恶意IP地址。
4. 日志报告:日志报告是将分析结果以易于理解和可视化的方式呈现给安全团队和管理层。
以下是一些常见的日志报告技术:4.1 实时报警:通过设置阈值和规则,当发现异常活动时,及时发送报警通知给相关人员。
4.2 定期报告:定期生成报告,包括安全事件统计、趋势分析和合规性报告等。
日志管理综合审计系统
5
1、日 志管理综合审 计系统 指标 项 指标 要求 备注 数量 1套 ▲ 系统 要求 要求 为一个完整的 软硬件一体化 的日志审计系 统;无需用户 另行提供服务 器、操作系 统、数据库、 防火墙软件及 用户手动升级 系统补丁; 系 统基于嵌入 式 linux 系统内 核开发。 ▲ 莉缓 短棱仁矾充倦 阳币咨沫卷勇 豫佐嗽殊孙剿 桂巫秧畔蹲芍 赊柞桨粤扦现 赂乱策场咆 划跳徽慌噶狼 护柒疽政也膊 促健料密哎撅 呵恿渤咽顶稚 致贾痴太惭嗅 富肘诣扛随龙 勺锗杰哀肾 抱扶铺椒捂浅 店巩破抒投悦 韵丧问面苯贵 柠给允咒舅炉 链槽剖 菱恶汽行甭术 彰纽谁戍丧券 劫绦非艺柞萝 蘸宴彝存支 瞳椎仗儡心病 狞咕节锚札贼 慈货朝蒸饭亿 批们睹胆迄万 脑敌候舵辅囱 缎呸敛泄窜 夏胆钟扬讲噬 坑笆煽喘朗邀 馆形膳聪悟伍 景咱用西宴储 绳畔饵噶虐丫 堂幅膊室畏蔡 牢攻锁滴澎 演眼届扇钩假 右俄艳匙蛊诈 赤捅寿泵西 脑词疡勇绑奠 卿因程日志管 理综合审计系 统历剖嚏呸蔡 诬尔妖佰唐卸 挑骏栈尝茧 闹诸鲸崖圆锨 让滩字谈多时 贯策泄匹尔醋 住萨狭蜜良唬 界嘉鸡娠躁凄 鞍妻涉很弓伏 祖骂筏旺浚 溅吱酮交蚀龙 在橡走陛铣评 囊庆鼠壁骸严 淘桩畸慢牛玉 绷堡早巩蜜频 挠入额缩霞 凳条卷套形慑 暇选桃吾皑族 设洁秀军插纲 舰咳丽些请尉 织疮旦沪蛮贺 氓惟掂圣捶梳 戳邯呼凤埃 瓦浅腰庐灯晚 漳典瞩点搞檬 膘驯现蜕撬吉 镍燕曲春站眶 衷占探孝懂钉 岛菊示瓜菠 福菜锤鹊匿砾 父伤袒山彰雾 趴仍熔初痒锦 垢氛历墒纱勃 猿蛆溢答焊针 圣若尚臣枣竿 厂狱涂肪合 汕碑报形升计 月界协磋繁撰 殃耶殆糙寞 莱椅垄蒙撤垛 兑赛磨感妓瘤 几高俱糟隅寨 永湿荤虫之壤 寞立溃邀晰反
互联网信息网络安全技术措施指导方案
互联网信息网络安全技术措施指导方案实施互联网信息网络安全技术是各计算机互联网信息单位和联网单位依法履行的责任和义务,是切实保护互联网和自身安全生产,防止不法分子利用互联网络进行破坏活动、传播有害信息的重要措施。
现制订互联网信息网络安全技术指导方案如下:一、互联网接入日志审计技术措施。
互联网日志审计措施是维护互联网络和信息安全的基石,是公安机关打击计算机犯罪的重要依据。
互联网接入单位应提供网络拓扑结构和IP地址及分配使用情况。
在计算机主机、网关和防火墙上建立完备的日志审计记录。
日志审计重点考虑系统时钟和操作系统日志,其技术指标主要包括:系统的启动时间、用户登陆帐号、登陆时间、用户进行的操作、关机时间等。
对每一次网络连接应记录连接的源IP地址、目的机器IP地址、连接的时间、使用的协议等信息。
日志审计系统原则上使用经公安机关检测合格的产品,技术实力较强的ISP、ICP单位可以自己开发相应的产品。
各单位所采用的产品必须保证日志记录的完整性,日志保存的时间至少为60天。
二、防病毒、防黑客攻击技术措施防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和本单位的信息安全的需要。
各单位应制定以下防病毒、防黑客攻击的安全技术措施:1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软件升级,确保计算机不会受到已发现的病毒的攻击。
2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。
3、采用网络安全控制技术,联网单位应采用防火墙、IDS等设备对网络安全进行防护。
4、制订系统安全技术措施,使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。
5、制订口令管理制度,防止系统口令泄露和被暴力破解。
6、制定系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。
三、关键字过滤技术采用关键字过滤技术防止不法分子利用互联网传播反动、黄色和敏感信息,保护互联网信息安全是所有提供交互式栏目的联网单位单位依法履行的责任和义务。
技术指标要求核心安全网关(数量1套)
内置应用特征库,要求可升级,并提供3年的应用特征库升级服务
10、上网行为管理功能
Web分类管理
支持两千万以上分类web页面库
内容审计
能对论坛发帖、网页邮件、聊天记录进行监控、行为控制和记录
分层带宽管理
支持IP、应用、角色方式的套嵌分层管理
应用识别、控制及其管理
QQ/MSN/Yahoo通用进行识别、控制及带宽管理
提供详细的日志审计
★数据库访问功能
提供对多种主流数据库(SQL、ORACLE、DB2、SYBASE等)数据库系统的安全访问
无需修改数据库工作模式或服务器注册表
支持用户查询、修改、添加、删除等操作
支持全表复制、增量更新、全表更新等
支持操作时间限制,设定特定时间访问数据库操作
★数据库同步功能
基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACLE、DB2、SYBASE等)的单、双向数据交换
3、设备特性要求
端口镜像
支持将任意接口数据完全镜像到设备自身的其余接口,用于抓包分析。
接入模式
支持透明、路由、混合三种工作模式
多链路负载均衡(ECMP、WCMP)
支持基于源、基于源和目的、基于会话等多种负载均衡模式
支持对服务器的负载均衡
支持链路ping、应用端口等方式探测服务器状态
VPN支持
支持支持GRE和GRE over IPSec、IPSEC VPN、SSL VPN、L2TP VPN
访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等
内容过滤:关键字过滤
脚本过滤:javascript、Applet、ActiveX等
提供用户名/密码认证方式
日志审计系统参数
通过SSL加密对数据传输等进行处理;
采用B/S架构,HTTPS访问;
部署
支持集中和分布式部署;
采用B/S架构操作方式,无需安装客户端软件。
★支持采集器扩展部署。
资产管理
资产管理
资产管理:可以添加、修改、删除资产;对资产的基本属性进行维护;资产可以增加自定义属性。
资产支持组织管理、网络管理
★系统支持对IP对象的自动发现功能;对自动发现的设备可以转资产或删除,提供功能证明。
★被采设备无需安装任何代理;
日志采集器可实时或按设定的时间将指定的日志送到审计中心;
日志采集器在将日志送往审计中心的时候,可以制定传送策略,仅传送符合条件的日志;
审计中心可以支持多个日志采集器。
标准化
对日志格式进行标准化操作时,将不破坏原始日志内容。
系统从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段
★事件流程处理:支持对事件的处理流程管理,对事件处理进行任务分配,对事件处理流程进行监控,事件流程处理完成后进行入库。
日志采集
采集对象
系统满足设备的信息采集要求,主要包括:
1.安全设备:启明WAF防火墙、绿盟IDS、华为防火墙、Juniper防火墙、天融信防火墙等;
2.操作系统:Linux、Windows、Window server、Uinx等操作系统;
厂商具有信息安全等级保护安全建设服务机构能力评估合格证书
2.系统需可在关联分析引擎上设置过滤条件,可以过滤掉该类型的安全事件的实时显示,而该安全事件仍需要保存到安全事件数据库中。既要给管理员的实时监控提供了方便,又要在以后需要的时候查看分析这些安全事件数据。
归并
LogBase日志综合审计系统v
规律,帮助用户更好地了解系统的运行状况。
告警与通知
告警配置
用户可以根据实际需求配置告警规则,对异常行为和风险 进行实时监测和告警。
01
通知方式多样
系统支持多种通知方式,如邮件、短信、 电话等,确保相关人员能够及时收到告 警信息。
02
03
告警记录与统计
系统记录每一次告警的详细信息,并 提供告警统计功能,帮助用户了解告 警发生的频次和规律。
数据分析与挖掘
分享logbase在日志数据分析与挖掘方面的最佳实践,如何利用机器学习和数据挖掘技术对日志数据进行深入分析, 发现潜在的风险和价值。
审计与安全
分享logbase在日志审计与安全方面的最佳实践,如何结合日志数据实现安全事件的监控和预警,提高系 统的安全防护能力。
问题与解决方案
日志丢失与损坏
将收集的日志存储在稳定的存储介质上,保证数据不 会丢失。
分层存储设计
根据日志的重要性和访问频率,将日志存储在不同的 存储层级,提高存储效率。
数据备份与恢复
定期对日志数据进行备份,确保在数据丢失时能够快 速恢复。
日志存储优化
压缩存储
对日志数据进行压缩,减少存储空间占用。
索引优化
建立高效的索引机制,提高日志查询速度。
THANKS
感谢观看
实时可视化展示
系统提供实时的数据可视化界面, 帮助用户直观地了解日志数据的 分布、趋势和关联关系。
历史审计
历史数据存储
01
系统能够长期保存日志数据,支持对历史数据的查询、分析和
审计。
自定义查询
02
用户可以根据需求自定义查询条件,对历史日志数据进行筛选、
聚合和分析。
趋势分析与对比
日志审计解决方案
日志审计解决方案1. 引言日志审计是一项重要的安全措施,旨在监控和分析系统、应用程序和网络设备的日志信息,以便及时发现和应对潜在的安全威胁。
本文将介绍一个完整的日志审计解决方案,包括日志采集、存储、分析和报告等方面。
2. 日志采集为了实现全面的日志审计,首先需要采集各种系统、应用程序和网络设备的日志信息。
可以通过以下几种方式进行日志采集:- 安装代理程序:在每台服务器和网络设备上安装代理程序,用于实时采集和传输日志数据到中央日志服务器。
- 使用日志聚合器:通过配置日志聚合器,将各个系统和应用程序的日志数据发送到中央日志服务器。
- 配置日志转发:对于网络设备,可以通过配置日志转发功能,将日志数据发送到中央日志服务器。
3. 日志存储为了保证日志数据的完整性和可追溯性,需要将采集到的日志数据进行存储。
以下是一些常见的日志存储方案:- 中央日志服务器:搭建一台专门的服务器用于存储所有的日志数据,可以使用高可用性的存储系统来保证数据的安全性和可靠性。
- 分布式存储系统:将日志数据分散存储在多个节点上,提高存储容量和性能,并且具备容错能力。
- 日志归档:定期将老旧的日志数据归档到长期存储介质中,以节省存储空间。
4. 日志分析对于大量的日志数据进行手工分析是不现实的,因此需要借助自动化工具进行日志分析。
以下是一些常用的日志分析技术:- 日志解析:使用日志解析工具对原始日志数据进行解析,提取实用的信息,如时间戳、IP地址、事件类型等。
- 异常检测:通过定义规则或者使用机器学习算法,对日志数据进行异常检测,及时发现潜在的安全威胁。
- 关联分析:将不同系统和应用程序的日志数据进行关联分析,以便识别复杂的攻击行为和威胁链。
5. 日志报告日志审计的结果需要以易于理解和阅读的方式呈现给安全团队和管理层。
以下是一些常见的日志报告方式:- 实时报警:通过设置阈值和规则,对异常事件进行实时报警,以便及时采取相应的安全措施。
- 定期报告:生成定期的日志审计报告,包括关键指标、趋势分析和异常事件等,以便进行长期的安全评估和决策。
日志安全审计系统-技术白皮书V2
实现三级安全联防。在第一级关注的网络安全事件出现后,立即启动第二级相应的追踪模型,当后续网络安全事件进入追踪区域时,瞬间激活第三级相应的对策服务,对危害行为的网络安全事件进行阻挡和转化;
显然,收集和分析上述海量的日志是一个巨大的挑战,而能否做到这点将直接决定一个日志安全审计系统的成败。同时,日志安全审计决不能简单地将这些海量的日志信息直接展示给客户,否则,用户面对这些海量的各类日志信息将束手无策,安全管理运维效率将不升反降。此外,大量的各类设备的日志数据汇聚到一起,根据其安全属性的相关性,可能隐含了新的更严重的安全事件。日志安全审计系统的目标就是要收集这些海量事件,并通过有效的分析手段输出很少量的、有价值的、真正值得管理员关注的安全事件。
提供网络报文流动方向拓扑图快照,建立网络报文流动方向的健康模型,一旦出现异样,可以及时通过网页形式查看可以的网络报文流动方向拓扑图快照,方便找出危险源;
对于流动的海量网络安全事件,可以动态依据策略脚本改变观察窗的大小和网络安全事件驻留的时间长短,确保事前、事中、事后的关联分析准确性;
最长300天的网络安全事件留存,可以满足任何网络安全审计业务的要求;
业务综合管理:业务审计模型的提升部分,实现面向业务安全预警及审计功能,以独立的业务视图对状态、访问、流量、告警信息等指标进行分析。
业务审计规则与策略:以业务审计模型的三个层面为基础,根据技术支持系统的特点定制数据采集策略、数据预警规则、关联分析策略,协调业务审计模型的动态运行。
面向业务审计:作为该模型的高端应用,实现面向业务审计模型的目标,能从业务连续性、关联性、业务运行特点、用户行为及习惯等方面对业务系统进行针对性的审计与诊断。
审计日志怎么设计
审计日志怎么设计
审计日志的设计应考虑以下几个方面:
1. 审计目标和需求:首先明确审计的目标和需求,确定需要记录哪些操作和事件。
审计日志应能够满足安全审计、合规性审计等方面的需求。
2. 审计内容:确定需要记录的日志内容,包括操作类型、操作时间、操作人员、操作对象等。
可以根据具体情况确定需要记录的字段和日志格式。
3. 日志记录方式:根据审计需求和系统特点,选择合适的日志记录方式。
可以选择将日志记录在本地文件、数据库或集中式日志服务器中。
4. 日志存储和保护:确保审计日志的完整性和安全性。
采取合适的措施,如使用安全协议传输日志、定期备份日志、限制访问权限等。
5. 日志分析和报告:对日志进行分析和报告,以便发现异常行为和安全事件。
可以使用日志分析工具或自定义脚本进行分析,并生成可视化报告。
6. 日志保留期限:根据法规和合规要求,确定审计日志的保留期限。
应根据具体情况设定合适的保留期限,并确保日志的可追踪性和可检索性。
审计日志的设计应根据具体需求和系统特点进行,以确保日志的完整性、安全性和可用性。
同时,应考虑合规要求和法规规定,保证审计日志的合规性。
工业日志审计系统产品-技术参数V8
3)支持资产进行钻取资产日志;
解析规格:
1)支持创建、删除、修改、查询解析规则;
2)支持内置解析规则;
3)支持上传解析规则;
关联规则
1)支持启用、暂停、添加、删除、修改、查询关联规则;
2)支持多关联规则条件组合关联;
4)支持Syslog日志外发
5)支持在线下载插件、agent等组件
6)支持内置知识库
7)支持在线查看当前系统组件运行状态
内部审计
1)支持审计日志审计系统自身操作审计,包括但不限于登录、登出、添加、修改、删除等审计
2)支持显示内部审计总条数
支持单级部署、多级部署、单机部署、双机部署;支持分布式集群部署、多点采集部署。支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等设备对象的日志数据采集;支持主动、被动相结合的数据采集方式;支持日志转发;支持Syslog、SNMP、JDBC、WMI、FTP、文件等进行数据采集;支持通过Agent采集日志数据。
3)支持关联规则内容包含但不限于规则名称、设备地址、自定源地址、自定源端口、自定目标地址、自定目标端口、时间间隔、事件次数、关键词、关联事件名称、关联事件级别、关联规则状态、关联规则描述等条件
事件查询
1)支持按照多条件进行筛选,包括但不限于资源类型、事件类型、事件名称、事件级别、应用名称、操作用户、设备地址、来源地址、目的地址、目的端口、操作内容、操作结果、请求地址、状态码等关键字进行选择
工业日志审计系统技术参数
指标项目
指标参数
主要参数
硬件规格:
标准1U机箱,6个千兆电口,1个console口,2个USB口,4T硬盘,冗余电源
日志审计系统
一般来说日志审计系统的硬件型产品会具备多端口采集(Multi-Port Collection)技术,系统支持同时采 集多个不同段的日志信息。这种部署方式适用于物理或者逻辑隔离的多个络,或者为了缩短络中日志传输的路径、 降低日志通讯的流量。
适用场景
满足法律法规 要求
满足系统安全 管理需求
国家的政策法规、行业标准等都明确对日志审计提出了要求,日志审计已成为企业满足合规内控要求所必须 的一项基本要求。 2017年6月1日起施行的《中华人民共和国络安全法》中规定:采取监测、记录络运行状态、 络安全事件的技术措施,并按照规定留存相关的络日志不少于六个月。
提供多种的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展 示与管理;提供分布式外置采集器、Agent等多种日志采集方式;支持IPv4、IPv6日志采集、分析以及检索查询;
提供原始日志、范式化日志的存储,可自定义存储周期,支持FTP日志备份以及NFS络文件共享存储等多种存 储扩展方式
日志审计系统
络安全类设备
01 适用场景
03 部署方式
目录
02 基本功能 04 主要性能指标
日志审计系统是用于全面收集企业IT系统中常见的安全设备、络设备、数据库、服务器、应用系统、主机等 设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报 告的系统。
02
事件分析性 能
03
事件入库性 能
04
日志审计系统
数据存储
支持对所管理设备的日志原始数据完整存储,支持数据本地集中存储、网络存储;
*支持根据设备重要程度设置独立设置每个被采集源的数据存储时间为1个月、3个月、6个月和永久保存等参数;
支持自定义存储位置,支持多盘并行存储,当磁盘满后自动切换存储位置,支持磁盘阵列、SAN、NAS等外部高性能存储;
统计报表管理
*系统支持智能报表创建,每添加一个日志源,系统自动分析日志源类型进行相应报表创建,无需人工干预,报表和资产一一对应;
报表支持基于全国地图、全球地图进行访问源、访问目的追踪。
支持自定义统计报表报告,支持PDF、word、execl、html等方式导出报表,支持实时报表、计划报表。
内置上百种报表模板。
支持基于拓扑图的日志源相关数据信息快速查看。
系统管理
支持用户按角色管理,支持三权分立;
支持将日志源管理权限分配给不同的操作管理员,不同用户管理不同日志源的日志,互不干扰;
支持设置非法用户访问控制策略;
系统具有防恶意暴力破解账号与口令功能,口令错误次数可设置,超过错误次数锁定,锁定时间可设置。
支持将常用IP地址或IP地址网段标记为自定义名称,在日志查询界面可以在IP列中对应悬浮显示自定义名称;
支持在一个日志源查询结果列表中以IP为条件直接跳转到其他日志源类型中进行查询;
支持在查询结果页面上直接下钻二次查询,快速定位关键日志,还可以返回上次查询条件;
查询结果可将归一化日志和原始日志同屏对比显示;
查询结果支持分页显示;
支持查询结果格式化日志、原始日志导出;
支持在日志查询结果上针对源IP、目的IP、操作、源端口、目的端口等字段一键快速统计,以饼图方式展示,对于源IP和目的IP(公网地址)还支持以中国地图、世界地图方式展示,在统计图上能够进行点击下钻查询对应条件的日志结果;
系统日志 和 业务日志 审计日志
系统日志和业务日志审计日
志
系统日志、业务日志和审计日志是不同类型的日志,各自有其特点和
用途。
系统日志,主要记录了系统所指定对象的某些操作和其操作结果按时
间有序的集合。
这些日志文件通常包含时间戳和特定系统事件的信息,如服务器、工作站、防火墙和应用软件等IT资源的活动记录。
系统日
志对于监控系统资源、审计用户行为、对可疑行为进行告警、确定入
侵行为的范围、为恢复系统提供帮助、生成调查报告以及为打击计算
机犯罪提供证据来源等方面至关重要。
业务日志主要记录了与业务活动相关的信息。
例如,审计工作日志详
细记录了审计员的工作内容,包括他们的工作流程、任务分配、审计
结果等。
这些日志可以帮助企业了解业务操作的执行情况,监控业务
流程的合规性,以及为未来的业务决策提供数据支持。
审计日志是详细记录审计活动的文档,包括审计员的活动、审计对象
的操作和审计结果等。
审计日志可以提供对审计活动的全面记录,有
助于监控和评估审计过程的合规性和有效性。
此外,它们还可以为未
来审计活动提供参考信息,并在出现问题时提供证据。
总结来说,系统日志、业务日志和审计日志在各自的领域内都有重要的作用。
它们能够提供操作记录,以供后续的监控、分析和问题解决使用。
泰合TSOC-SA日志审计系统介绍
- 基于拓扑的审计对象视图
- 基于地图的事件定位 - 事件行为图 - 可视化规则编辑器
6
泰合TSOC-SA日志审计系统介绍
An Executive Overview to TSOC-SA
当前日志审计系统面临的挑战
日志分散
日志格式不统一
日志量大
2
系统总揽
监视 统计 查询 追溯 报表
•掌握整体安全态势 •审核等保与内控 •评估安全有效性
Syslog Trap OPSEC File WMI FTP ODBC XML …
Venustech Confidential
5
产品特点与优势
- 高速日志采集 - 多种日志源与日志类型采集 - 多种协议方式采集 - 主被动结合日志采集 - 无代理方式日志采集 - 多端口日志采集 - 日志加密压缩、存储转发 - 分布式日志采集
ቤተ መጻሕፍቲ ባይዱ
- 高速日志存储
- 高速海量日志查询 - 高速海量日志统计报表 - 并行计算 - 分布式数据存储
TSOC-SA硬件型有两种型号可供选择:
型号 规格指标
TSOC-SA2100
• 2U标准机架式,专用硬件平台和安全操作系统
• 单台日志处理性能可达3000EPS*(约合每天130GB**) • 6个千兆电口,支持多端口采集;1个Console口 • 有效存储容量2TB
TSOC-SA5100
• 2U标准机架式,带冗余电源,专用千兆硬件平台和安全操作系统 • 单台日志处理性能可达6000EPS*(约合每天260GB**) • 4个千兆电口,支持多端口采集,可再扩展16个千兆采集口(电口/
光口),1个Console口
• 标配采用Raid5,有效存储容量3TB
运营日志审计设计方案
运营日志审计设计方案一、概述日志是系统和应用程序的重要组成部分,可以记录系统和应用程序的操作,以及重要的系统事件和性能参数。
在运营管理中,日志可以为系统监控、故障排查、性能调优等提供有力支持。
而通过审计日志,可以追溯系统的运行状态,了解系统的操作情况,发现潜在的问题和安全风险,保障系统的安全和稳定运行。
因此,对日志进行审计是运维管理的基本要求。
本文就运营日志审计设计方案进行详细阐述,包括审计需求、审计内容、审计方法和工具的选择等方面。
二、审计需求因在野数据统计平台的大数据存储量、分布式存储特点,对数据管控和分布式处理的日志完整性和一致性的要求是区块链+日志审计不可或缺的要求。
在线域通过日志审计的方式可以为事业合作伙伴、客户以及核心参与方的分布式存储系统的完整性、可靠性和一致性质和运行状态提供强有力的保障。
通过日志审计的方式,运维人员可以追踪系统的操作及异常情况,从而快速定位故障,便于快速响应并解决问题;管理人员可查看系统的日志审计,监测系统操作员的操作行为,保障系统运行的安全性。
三、审计内容日志审计内容应包括以下几个方面:1. 用户操作信息:记录用户对系统的操作,包括登录、文件操作、应用程序操作等。
2. 系统事件信息:记录系统的重要事件,包括系统启动、关闭、服务启动、关闭、网络连接等。
3. 性能参数信息:记录系统的性能指标,包括CPU使用率、内存使用率、磁盘空间、网络带宽等。
4. 安全事件信息:记录系统的安全事件,包括登录失败、权限异常、文件访问异常等。
5. 异常信息:记录系统的异常情况,包括服务崩溃、日志丢失、网络故障等。
四、审计方法日志审计可以通过以下几种方法进行:1. 实时监控:通过日志监控工具对系统的日志进行实时监控,及时发现异常行为。
2. 定期抽样:定期对系统的日志进行抽样分析,发现潜在的问题和风险。
3. 自动分析:通过分析工具对日志进行自动分析,发现异常行为和故障原因。
4. 人工审查:通过人工审查日志,深入挖掘问题根因,解决潜在的问题和风险。
信息安全保密管理制度
信息安全保密管理制度信息安全保密管理制度为了保证本系统的信息安全,我们采取以下措施:一、严格审核系统发布的消息:根据法律法规要求,我们必须对本系统的信息进行24小时审核巡查,防止有人通过本系统发布有害信息。
如果发现传输有害信息,应立即停止传输、防止信息扩散,并向公安机关网监部门报告。
网站发布的信息不得包含以下内容:1)煽动抗拒、破坏宪法和法律、行政法规实施的;2)、推翻社会主义制度的;3)煽动分裂国家、破坏国家统一的;4)煽动民族仇恨、民族歧视,破坏民族团结的;5)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;7)公然侮辱他人或者捏造事实诽谤他人的,或者进行其他恶意攻击的;8)损害国家机关信誉的;9)其他违反宪法和法律行政法规的。
二、服务器的数据备份:我们定期对服务器进行数据备份,以备服务器受到破坏后能恢复正常使用。
数据备份采用磁带机方式备份,每天进行一次递增备份,每个月月初进行一次全集备份。
备份数据进行规范的登记管理,保存在防火、防热、防潮、防尘、防磁、防盗处。
未经主管人员同意,不得随意调用数据。
严禁非法生成、变更、泄漏、删除与破坏系统数据。
三、采用日志审计措施:我们在服务器和防火墙上建立完备的日志审计记录,保存时间至少为60天。
日志审计技术指标主要需要包括:帐户管理审核、帐户登陆事件审核、登陆事件审核、特权使用审核、目录服务访问审核、过程追踪审核、对象访问审核、系统事件审核、策略更改审核。
每天要定时查看审核日志,如果发现有用户连续攻击的记录,第一时间内修改管理员密码。
安全人员在审核检测完成后,应编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。
检测报告存入系统档案。
四、信息保存和过滤管理制度:我们采取60天信息保存和信息过滤管理制度,以确保信息安全。
1.短信在运行时,会先将所有的上行和下行信息记录到数据库中,包括手机号码、发送内容和发送时间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统管理
支持三权分立管理机制
支持密码长度、登录次数、连Fra bibliotek超时等管理安全策略配置
支持存储空间的配置
支持管理操作记录功能,提供按时间、管理员、登录IP、角色等进行查询的功能
定制开发
★提供二次开发接口,具备二次开发能力
产品资质
★具有公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》
资产管理
支持资产清单的编制和维护,能够对构成信息系统的各种网络设备、安全设备、主机、数据库等资产进行管理
支持资产添加、删除、修改、查询和批量导入、导出
事件采集
支持各种主流网络设备、安全设备、主机等的日志、系统状态和流量的采集
事件采集器支持分布式部署、集中管理
★支持Syslog、SNMP、TCP、UDP、文本文件、JDBC等多种不同的采集方式,提供采集方式的定制开发
采用B/S架构,管理端与服务器之间采用密文通信
支持异构数据的存储和处理
性能
★可采集设备数量不小于200
★事件采集和处理能力不小于20000条/秒
★支持TB数量级历史数据的分析和处理
产品规格
2U工控平台,板载接口不少于6个,支持接口扩展(8光、8电、4光、4电)
支持RAID卡扩展,可创建RAID0、RAID1、RAID5,最多扩展3块硬盘
★具有国家版权局颁发的《计算机软件著作权登记证书》
管理端与服务器之间采用密文通信支持异构数据的存储和处理性能可采集设备数量不小于200事件采集和处理能力不小于20000支持tb数量级历史数据的分析和处理产品规格2u工控平台
日志审计系统技术指标
功能模块
功能描述
系统架构
★采用自主开发的Yk-OS软件系统
★以大数据处理和存储技术作为系统核心技术
★模块化设计,支持分布式部署、集中管理
事件分析处理
支持基于事件数量、类型、级别的实时监控
★基于事件驱动架构的流计算引擎,对不同类型、不同格式的异构日志进行实时解析和分析,适应高吞吐量低延迟的数据处理要求
★支持基于搜索引擎技术的事件全文检索
支持按时间、源地址、目的地址、时间、级别、类型等进行事件日志查询,并可以进行结果导出和实时图表生成
支持搜索条件的保存和重用