網絡安全設備：日志審計系統 Draft 0 個改進

在一個完整的信息系統里面，日志系統是一個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為，并按照某種規范表達出來。我們可以使用日志系統所記錄的信息為系統進行排錯，優化系統的性能，或者根據這些信息調整系統的行為。在安全領域，日志可以反應出很多的安全攻擊行為，比如登錄錯誤，異常訪問等。日志還能告訴你很多關于網絡中所發生事件的信息，包括性能信息、故障檢測和入侵檢測。日志會成為在事故發生后查明“發生了什么”的一個很好的“取證”信息來源。日志可以為審計進行審計跟蹤。

基本功能

日志監控

提供日志監控能力，支持對采集器、采集器資產的實時狀態進行監控，支持查看CPU、磁盤、內存總量及當前使用情況；支持查看資產的概覽信息及資產關聯的事件分布；

日志采集

提供全面的日志采集能力：支持網絡安全設備、網絡設備、數據庫、windows/linux主機日志、web服務器日志、虛擬化平臺日志以及自定義等日志；

提供多種的數據源管理功能：支持數據源的信息展示與管理、采集器的信息展示與管理以及agent的信息展示與管理；提供分布式外置采集器、Agent等多種日志采集方式；支持IPv4、IPv6日志采集、分析以及檢索查詢；

日志存儲

提供原始日志、范式化日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網絡文件共享存儲等多種存儲擴展方式

日志檢索

提供豐富靈活的日志查詢方式，支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索；

提供便捷的日志檢索操作，支持保存檢索、從已保存的檢索導入見多條件等；

日志分析

提供便捷的日志分析操作，支持對日志進行分組、分組查詢以及從葉子節點可直接查詢分析日志；

日志轉發

支持原始日志、范式化日志轉發

日志事件告警

內置豐富的單源、多源事件關聯分析規則，支持自定義事件規則，可按照日志、字段布爾邏輯關系等方式自定義規則；支持時間的查詢、查詢結果統計以及統計結果的展示等；支持對告警規則的自定義，可設置針對事件的各種篩選規則、告警等級等；

日志報表管理

支持豐富的內置報表以及靈活的自定義報表模式，支持編輯報表的目錄接口、引用統計項、設置報表標題、展示頁眉和頁碼、報表配置基本內容（名稱、描述等）；支持實時報表、定時報表、周期性任務報表等方式；支持html，pdf，word格式的報表文件以及報表logo的靈活配置；

部署方式

單一部署Stand-alone

典型的，將日志審計系統的管理中心服務器放置在網管中心或者安全中心，然后對被審計對象進行必要的配置，使得他們的日志信息能夠發送到管理中心。管理員通過瀏覽器可以從任何位置登錄管理中心服務器，進行各項操作，如圖所示：

一般來說日志審計系統的硬件型產品會具備多端口采集（Multi-Port Collection）技術，系統支持同時采集多個不同網段的日志信息。這種部署方式適用于物理或者邏輯隔離的多個網絡，或者為了縮短網絡中日志傳輸的路徑、降低日志通訊的流量。

主從部署Master-Slave

對于大型、全國性的、分級的網絡環境，可以采用主從部署的方式，將多個日志審計系統的管理分支統一接入到一個主的日志審計系統管理中心。

在這種模式下，各級日志審計系統管理中心的部署方式與單一部署方式基本相同。管理員只需要在下級管理中心配置將本級事件信息轉發給上級管理中心的策略。

主要性能指標

事件采集能力

代表每秒鐘收集的日志條目數量

事件分析性能

每秒鐘實時關聯分析日志的數量

事件入庫性能

數據庫每秒鐘存儲事件日志條數

事件存儲能力

日志在線分析事件的總容量

事件查詢性能

系統查詢每百GB事件日志所消耗的時間

控制臺并發數

同時并發的管理管制臺數量。