Logbase日志审计系统技术白皮书

L o g B a s e日志管理审计系统

技术白皮书

杭州思福迪信息技术有限公司

SAFETYBASE INFOTECH CO.LTD

目录

第一章概述 (3)

第二章为什么需要日志审计系统 (4)

第三章 Logbase日志审计系统总体介绍 (6)

2.1 产品简介 (6)

2.2 体系架构 (6)

第四章产品功能 (8)

4.1日志采集 (8)

4.2集中存储 (8)

4.3异常事件监控告警 (9)

4.4日志检索 (10)

4.5综合报表分析 (10)

第五章部署方式 (12)

第六章产品特性 (13)

6.1 高速检索能力 (13)

6.2安全保障能力高 (13)

6.3 灵活的查询条件 (14)

6.4 自定义日志类型支持 (14)

第一章概述

随着政府、企事业单位等各类组织的正常工作开展对信息化的依赖程度越来越高，信息系统安全防护体系的重要性也随之增高。对各类日志进行日常性安全审计是信息系统安全维护的重点工作之一，目前，由于日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等原因，手工开展日志审计工作已逐渐变为一项不可能完成的任务。

Logbase日志审计系统是思福迪自主研发的日志审计产品，它具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的能力。Logbase日志审计系统能够对操作系统（windows、Unix、Linux、BSD）、网络设备(路由器、交换机)、安全设备(防火墙、代理设备等、防病毒系统)、应用系统（WEB服务器、邮件服务器、FTP服务器、中间件系统等）、数据库系统记录日志等各类不同日志进行集中采集，并集中存储到Logbase日志审计系统中，同时审计系统能够对各日志中的异常事件如：系统故障、黑客入侵、违规访问、配置更改等事件进行审计。

通过Logbase日志审计系统的部署，一方面可以集中收集、长时间存放所有的记录日志，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生，另一方面，Logbase日志审计系统强大的日志审计功能可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

第二章为什么需要日志审计系统

标准法规合规性需求

随着国家、各行业对信息安全理论研究的深入，日志审计系统在各个相关的国家、行业标准及要求中均被多次提及，如：《信息安全等级保护》、《信息安全风险管理规范》、《基于互联网电子政务信息安全指南》、《银行业金融机构信息系统管理指引》等等。

此外，国外、国际上的相关标准、规范也均明确提出信息安全审计系统的重要性，如SOX法案、ISO27001/ISO17799等均要求企业对重要系统、设备的运行日志进行保留，并进行周期性第三方审计。

安全技术保障体系建设需求

一个完整的信息安全技术保障体系应由保护(P)、检测(D)、响应(R)三部分构成，而日志审计是检测安全事件的不可或缺重要手段之一。目前，大部分信息系统的所依赖的网络入侵检测系统只能检测部分来之网络的攻击事件，对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力，而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。日志审计系统通过分析各设备、系统、应用、数据库产生的运行日志，能够及时发现入侵检测系统检测到的各类安全隐患，并及时给予告警，从而避免安全事件的发生。

技术管理需求

由于信息系统的规模、复杂性日益增加，采用手工方式对日志信息进行审计存在诸多弊端，如：

安全性低：日志信息分散在各系统中，极易被恶意篡改或清除；

审计效率低：由于日志信息数量庞大，人工很难对海量日志进行审计；

审计不全面：往往在事故发生后，管理人员才会去查看相关设备的日志信息，其他更多设备的日志却被忽略；

由于目前的应用系统往往都是相互关联的，一个故障现象，往往要对数台甚至更多网络设备及主机的日志进行关联分析才能确定真正的故障原因，缺乏有效的统一日志审计平台可能导致无法快速进行故障定位，企业追究安全事件责任也会缺乏客观依据。

因此，有必要在现有信息系统中部署统一、高效、全面的日志安全审计系统，一方面可以满足法规、标准的要求，另一方面可以切实加强组织对整个信息系统的安全监控能力，完善信息安全技术体系建设。

第三章 Logbase日志审计系统总体介绍

2.1 产品简介

LogBase日志审计系统是思福迪公司自主研发的拥有自主知识产权的专业

日志安全审计产品，系统通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

LogBase日志审计系统提供对信息系统中各类主机、数据库、应用和设备的安全事件进行实时采集、实时分析、异常报警、集中存储和事后分析功能，支持分布式、跨平台部署，具备对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的日志安全审计能力。

通过Logbase系统，企业管理员随时了解整个IT系统的运行情况，及时发现系统异常事件及非法房屋行为；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，Logbase可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。

因此，Logbase可以帮助用户有效降低IT系统的故障而带来的损失，降低IT系统的运维成本和管理的复杂度，显著提高系统整体的安全性、可靠性和运行效率，保证IT系统7X24的正常、持续、稳定运行，降低信息系统的整体安全风险。

2.2 体系架构

Logbase日志审计系统基于嵌入式Linux系统进行开发，由日志采集模块、