eLog安全事件管理中心技术白皮书

华为 eLog V200R007C00 安全事件管理中心技术白皮书

目录

1摘要/ Summary (4)

2客户问题简介/Introduction (5)

3解决方案/Solution (6)

3.1系统组成 (6)

3.2系统主要功能 (7)

3.3系统主要性能指标 (7)

3.4典型组网 (7)

3.5典型场景 (9)

3.6关键技术 (10)

4结论/Conclusion (13)

5缩略语表/Acronyms and Abbreviations (14)

1 摘要/ Summary eLog 是华为面向日志管理的B/S 架构管理平台。具有完善的华为防火墙日志采集

和安全业务分析功能。eLog 满足日志统一管理和分析、上网NAT 追踪、企业员工上网行为分析等多种应用场景。

本文档从技术角度上介绍eLog 系统的功能和解决方案。

2 客户问题简介/Introduction

网络中有大量的安全设备，这些设备都有自己的独立的管理界面，通过管理界面可以查看基于单个设备的安全报表。但是每台设备的报表只能展示整个企业的部分安全状态，客户非常希望有一套系统能够集中采集全部安全设备的日志，同时输出基于全网数据的安全报表。这套系统最好还能够清晰展现网络中当前正在发生或者历史上已经发生的安全事件，从而能快速做出应对。

同时，企业的安全设备和网络设备，每种设备都会发各种各样的日志。客户需要一套系统能够将不同防火墙的不同种类的日志都采集并存储起来，并通过提供查询功能实现日志审计。

在大型企业中，客户也需要这套系统能提供NAT 溯源能力，以满足法规要求：在《互联网信息服务管理办法》第十四条中规定：互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存不少于

60 日，并在国家有关机关依法查询时，予以提供。

3 解决方案/Solution 3.1系统组成

在该图中，各组件功能如下表所示：

组件功能

分析器提供日志源管理，采集器管理，报表查询，安全态势，日志审计等功能。提供北向接口供第三方查询数据。同时提供基于https 的WEB GUI 访问接口，管理员可以通过浏览器对整套eLog 系统进行管理。

采集器负责来自不同防火墙不同类别的日志的采集、分类、格式化、存储等功能。同时定时汇聚报表数据发送给分析器。

3.2系统主要功能

3.3系统主要性能指标

3.4典型组网

3.4.1集中式组网

集中式组网方案成本较低，适用于网元数量低于100 台，网络中日志量未超过集

中式部署的eLog 系统处理性能，且网元分布集中的网络环境，选择该组网方式

需要考虑以下因素：

所管理网元的组网情况

集中式组网时，建议所管理的网元部署在相同的局域网，如果网元部署在广域网，集

中式部署会导致大量的日志信息占用广域网的带宽，影响正常的业务。

日志量

集中式组网时，建议日志量不要超过一台日志采集器的处理能力。如果现网的日

志量超过了一台日志采集器的处理能力，应该考虑使用分布式部署。

eLog 分析器与采集器集中式部署的组网如下图所示。

日志采集器和eLog 分析器安装在同一台服务器上，日志采集器集中接收和采集

3.4.2分布式组网

分布式组网方案适用于性能要求高或者网元分布分散的网络环境。日志量超过集

中式部署处理能力，或者网元超过100 台，或者网元分散在多个不同城市等场景

均建议采用分布式组网方案。选择该组网方式需要考虑以下因素：

所管理网元的组网情况

网元分布在多个区域，区域间需要通过广域网或者VPN 连接。每个区域部署一

台日志采集器，可以避免大量的日志信息占用带宽，节约租用带宽的成本。

日志量

当现网的日志量超过了一台日志采集器的处理能力，需要使用分布式部署。

eLog 分析器与采集器分布式部署的组网如下图所示。

网络日志源

安全日志源

Eudemon/USG

Intranet

分析器

网络日志源

安全日志源

Eudemon/USG 采集器

日志采集器和eLog 分析器安装在不同的物理服务器上，多台日志采集器可以共

用一台eLog 分析器，一台eLog 分析器最多可管理15 台日志采集器。日志采集

器可以部署在不同的子网，采集所在子网的网元日志。分布式部署时，请勿将eLog 分

析器与日志采集器部署在同一物理服务器上，以免影响系统性能。

3.5典型场景

3.5.1安全业务分析（含上网行为管理）

在企业员工上网行为管理的应用场景下，eLog 对防火墙等网络网元的会话日志和

安全日志进行采集和分析，从而追踪企业员工的上网行为（上网流量TopN，上

网时长TopN，WEB 访问分析，邮件分析等），分析企业员工上网行为。

eLog 可以进行按用户的上网流量、上网时长、上网关键字、Web 访问、邮件收

发、上网应用、网络威胁、文件外发等的分析和查询，管理人员可以根据分析结果

对用户上网行为进行管理。

3.5.2NAT 溯源

对Eudemon/USG 防火墙的会话日志进行采集和分析，获取NAT 信息（包括目的

IP 地址、目的端口、NAT 前源IP 地址和协议等），结合身份关联数据源（如AAA

服务器），从而追踪NAT 用户的上网行为。

3.6关键技术

3.6.1超强采集性能

采集器采用华为RH2288H V5 服务器为业务提供强劲动力。结合分布式的文件数

据库，单台采集器可处理每秒高达25 万EPS 的二进制会话日志或15000 条

syslog/Dataflow 业务日志。

3.6.2海量存储

采集器配置了12 块6T 的磁盘，配合实时压缩，可以应对海量日志的长时间的留

存。

采集器可以增加外接磁盘阵列扩容存储，单台采集器最大支持扩容84 块6T 盘

的磁盘阵列。

分析器配置了 6 块2T 的本地磁盘，可以存储海量的报表数据。

3.6.3低资源占用

单台高配置采集器，虽然提供了超强性能和海量存储，但只会占用客户机房2U

的空间。为客户的运营节省了成本。

同时，采用高能效电源模块，采用80PLUS®白金高能效电源模块，满足能源之星

标准，并通过中国环境标志产品认证。采用DEMT(Dynamic Energy Management

Technology)节能技术，可按需动态调整服务器运行状态，提高各种负载下能效，

将电能损耗控制在最合理水平。

3.6.4日志归一化管理

日志信息来自不同类型的设备和应用程序，日志格式和采集方式差异性很大，通

过统一的日志模型，对日志处理的全过程进行归一化处理。

日志需要经过以下的处理步骤：

日志采集