Logbase日志審計系統(tǒng)技術(shù)白皮書

LogBase日志管理審計系統(tǒng)技術(shù)白皮書LOGBaseXZ日志專家杭州思福迪信息技術(shù)有限公司SAFETYBASEINFOTECHCO.LTD目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章概述3\o"CurrentDocument"第二章為什么需要日志審計系統(tǒng)4\o"CurrentDocument"第三章Logbase日志審計系統(tǒng)總體介紹6\o"CurrentDocument"2.1產(chǎn)品簡介6\o"CurrentDocument"2.2體系架構(gòu)6\o"CurrentDocument"第四章產(chǎn)品功能8\o"CurrentDocument"4.1日志采集8\o"CurrentDocument"4.2集中存儲84.3異常事件監(jiān)控告警9\o"CurrentDocument"4.4日志檢索10\o"CurrentDocument"4.5綜合報表分析10第五章部署方式12\o"CurrentDocument"第六章產(chǎn)品特性13\o"CurrentDocument"6.1高速檢索能力13\o"CurrentDocument"6.2安全保障能力高13\o"CurrentDocument"6.3靈活的查詢條件146.4自定義日志類型支持14第一章概述隨著政府、企事業(yè)單位等各類組織的正常工作開展對信息化的依賴程度越來越高，信息系統(tǒng)安全防護體系的重要性也隨之增高。對各類日志進行日常性安全審計是信息系統(tǒng)安全維護的重點工作之一，目前，由于日志存放分散、數(shù)量多、格式不統(tǒng)一、保存周期短、易被篡改破壞等原因，手工開展日志審計工作已逐漸變?yōu)橐豁棽豢赡芡瓿傻娜蝿?wù)。Logbase日志審計系統(tǒng)是思福迪自主研發(fā)的日志審計產(chǎn)品，它具備對整個信息系統(tǒng)中的各類日志進行集中采集、集中管理、集中審計的能力。Logbase日志審計系統(tǒng)能夠?qū)Σ僮飨到y(tǒng)（windows、Unix、Linux、BSD）、網(wǎng)絡(luò)設(shè)備（路由器、交換機）、安全設(shè)備（防火墻、代理設(shè)備等、防病毒系統(tǒng)）、應(yīng)用系統(tǒng)（WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、中間件系統(tǒng)等）、數(shù)據(jù)庫系統(tǒng)記錄日志等各類不同日志進行集中采集，并集中存儲到Logbase日志審計系統(tǒng)中，同時審計系統(tǒng)能夠?qū)Ω魅罩局械漠惓Ｊ录纾合到y(tǒng)故障、黑客入侵、違規(guī)訪問、配置更改等事件進行審計。通過Logbase日志審計系統(tǒng)的部署，一方面可以集中收集、長時間存放所有的記錄日志，避免日志遭到惡意篡改或刪除而在安全事件發(fā)生時無據(jù)可查的狀況發(fā)生，另一方面，Logbase日志審計系統(tǒng)強大的日志審計功能可以為組織審計人員提供日志實時監(jiān)控、高效檢索、審計報表等日志審計手段，從而使原本不可能完成的海量日志審計工作可以在短時間內(nèi)輕松完成，大大減少信息部門的工作量。第二章為什么需要日志審計系統(tǒng)標準法規(guī)合規(guī)性需求隨著國家、各行業(yè)對信息安全理論研究的深入，日志審計系統(tǒng)在各個相關(guān)的國家、行業(yè)標準及要求中均被多次提及，如：《信息安全等級保護》、《信息安全風險管理規(guī)范》、《基于互聯(lián)網(wǎng)電子政務(wù)信息安全指南》、《銀行業(yè)金融機構(gòu)信息系統(tǒng)管理指引》等等。此外，國外、國際上的相關(guān)標準、規(guī)范也均明確提出信息安全審計系統(tǒng)的重要性，如SOX法案、ISO27001/ISO17799等均要求企業(yè)對重要系統(tǒng)、設(shè)備的運行日志進行保留，并進行周期性第三方審計。安全技術(shù)保障體系建設(shè)需求一個完整的信息安全技術(shù)保障體系應(yīng)由保護(P)、檢測(D)、響應(yīng)(R)三部分構(gòu)成，而日志審計是檢測安全事件的不可或缺重要手段之一。目前，大部分信息系統(tǒng)的所依賴的網(wǎng)絡(luò)入侵檢測系統(tǒng)只能檢測部分來之網(wǎng)絡(luò)的攻擊事件，對運維人員的違規(guī)操作、系統(tǒng)運行異常、設(shè)備故障等安全事件缺乏監(jiān)控能力，而這些異常事件恰恰是對內(nèi)部信息系統(tǒng)安全威脅的最大部分。日志審計系統(tǒng)通過分析各設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫產(chǎn)生的運行日志，能夠及時發(fā)現(xiàn)入侵檢測系統(tǒng)檢測到的各類安全隱患，并及時給予告警，從而避免安全事件的發(fā)生。技術(shù)管理需求由于信息系統(tǒng)的規(guī)模、復(fù)雜性日益增加，采用手工方式對日志信息進行審計存在諸多弊端，如：安全性低：日志信息分散在各系統(tǒng)中，極易被惡意篡改或清除；審計效率低：由于日志信息數(shù)量龐大，人工很難對海量日志進行審計；審計不全面：往往在事故發(fā)生后，管理人員才會去查看相關(guān)設(shè)備的日志信息，其他更多設(shè)備的日志卻被忽略；由于目前的應(yīng)用系統(tǒng)往往都是相互關(guān)聯(lián)的，一個故障現(xiàn)象，往往要對數(shù)臺甚至更多網(wǎng)絡(luò)設(shè)備及主機的日志進行關(guān)聯(lián)分析才能確定真正的故障原因，缺乏有效的統(tǒng)一日志審計平臺可能導(dǎo)致無法快速進行故障定位，企業(yè)追究安全事件責任也會缺乏客觀依據(jù)。因此，有必要在現(xiàn)有信息系統(tǒng)中部署統(tǒng)一、高效、全面的日志安全審計系統(tǒng)，一方面可以滿足法規(guī)、標準的要求，另一方面可以切實加強組織對整個信息系統(tǒng)的安全監(jiān)控能力，完善信息安全技術(shù)體系建設(shè)。第三章Logbase日志審計系統(tǒng)總體介紹2.1產(chǎn)品簡介LogBase日志審計系統(tǒng)是思福迪公司自主研發(fā)的擁有自主知識產(chǎn)權(quán)的專業(yè)日志安全審計產(chǎn)品，系統(tǒng)通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計匯總及關(guān)聯(lián)分析功能，實現(xiàn)對信息系統(tǒng)日志的全面審計。LogBase日志審計系統(tǒng)提供對信息系統(tǒng)中各類主機、數(shù)據(jù)庫、應(yīng)用和設(shè)備的安全事件進行實時采集、實時分析、異常報警、集中存儲和事后分析功能，支持分布式、跨平臺部署，具備對各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、WEB服務(wù)、中間件、數(shù)據(jù)庫和其它應(yīng)用進行全面的日志安全審計能力。通過Logbase系統(tǒng)，企業(yè)管理員隨時了解整個IT系統(tǒng)的運行情況，及時發(fā)現(xiàn)系統(tǒng)異常事件及非法房屋行為；另一方面，通過事后分析和豐富的報表系統(tǒng)，管理員可以方便高效地對信息系統(tǒng)進行有針對性的安全審計。遇到特殊安全事件和系統(tǒng)故障，Logbase可以確保日志完整性和可用性，協(xié)助管理員進行故障快速定位，并提供客觀依據(jù)進行追查和恢復(fù)。因此，Logbase可以幫助用戶有效降低IT系統(tǒng)的故障而帶來的損失，降低IT系統(tǒng)的運維成本和管理的復(fù)雜度，顯著提高系統(tǒng)整體的安全性、可靠性和運行效率，保證IT系統(tǒng)7X24的正常、持續(xù)、穩(wěn)定運行，降低信息系統(tǒng)的整體安全風險。2.2體系架構(gòu)Logbase日志審計系統(tǒng)基于嵌入式Linux系統(tǒng)進行開發(fā)，由日志采集模塊、?版權(quán)所有2008杭州思福迪信息技術(shù)有限公司6/14日志審計模塊、日志管理等主要模塊組成。LogBase日志審計系統(tǒng)采用B/S架構(gòu)，管理員通過HTTPS方式對主機進行管理。Logbase的系統(tǒng)架構(gòu)如圖3.1所示。采集^^￡jx)gbased管理!■E「圖3.1LogBase日志審計系統(tǒng)架構(gòu)示意圖第四章產(chǎn)品功能4.1日志采集Logbase日志審計系統(tǒng)經(jīng)過多年的研發(fā)，已經(jīng)具備跨平臺、分布式日志采集能力。支持廣泛的采集對象：操作系統(tǒng)：windows>unix、Linux、BSD等?網(wǎng)絡(luò)設(shè)備：cisco、華為等?安全設(shè)備：防火墻、代理設(shè)備、負載均衡設(shè)備、AV等應(yīng)用日志：WEB（IIS、apache等）、Mail、FTP等數(shù)據(jù)庫日志：ORACLE、MSSQL記錄文件等采集方式：專用采集Agent:通過安裝在主機中的軟件Agent進行采集?日志協(xié)議采集：支持SYSLOG、SNMPTRAP等采集協(xié)議Logbase不僅支持對已知日志類型的采集分析，也支持通過Logbase擴展模塊采集其他未知的日志類型。4.2集中存儲Logbase日志審計系統(tǒng)內(nèi)置大容量（產(chǎn)品具體容量見相關(guān)產(chǎn)品資料）的硬盤存儲空間，能夠滿足大多數(shù)環(huán)境下客戶對日志的存儲需求，設(shè)備采用Raid硬盤陣列，可有效防止由于硬盤硬件問題而帶來的數(shù)據(jù)丟失。同時Logbase還支持外掛存儲系統(tǒng)，如：NAS、SAN、磁盤柜等，從而實現(xiàn)存儲空間的海量擴充。?版權(quán)所有2008杭州思福迪信息技術(shù)有限公司8/14Logbase采用磁盤空間"零”管理機制，管理員無需對存儲空間進行人工管理，系統(tǒng)將在磁盤空間不足時自動清理最早的歷史數(shù)據(jù)，從而保障系統(tǒng)的正常運行。LogBase支持對歷史日志進行以下管理操作：＞日志備份：支持按照類型、時間范圍等方式對歷史日志進行備份；備份文件為加密格式，只能導(dǎo)入Logbase系統(tǒng)中才能查看；＞日志恢復(fù)：對備份的日志恢復(fù)到Logbase系統(tǒng)中，進行再次審計；4.3異常事件監(jiān)控告警Logbase日志審計系統(tǒng)具備對采集到的日志進行實時分析能力，依照系統(tǒng)內(nèi)置的安全事件規(guī)則庫，對日志信息進行實時事件匹配，并對其中的異常事件、重點關(guān)注事件進行多種方式的告警，便于安全維護人員及時發(fā)現(xiàn)信息系統(tǒng)中的異常狀況Logbase日志審計系統(tǒng)內(nèi)置大量的安全事件監(jiān)測規(guī)則，檢測對象涵蓋windows＞unix、linux、web、ftp、mail、網(wǎng)絡(luò)設(shè)備、防火墻、數(shù)據(jù)庫等多個系統(tǒng)。安全事件分析內(nèi)容包括：系統(tǒng)故障、帳號登錄、帳號管理、服務(wù)管理、網(wǎng)絡(luò)配置、關(guān)鍵配置文件訪問更改、WEB攻擊、設(shè)備故障等各個方面。安全事件庫通過支持用戶自定義方式進行擴充，管理員可以在規(guī)則維護界面中根據(jù)需要自行添加安全監(jiān)控事件。告警方式目前支持：短信、郵件、屏幕等方式。4.4日志檢索LogBase系統(tǒng)在接收日志信息時，根據(jù)不同的日志種類進行不同的格式化處理，在保留所有日志原始信息的同時將日志根據(jù)字段進行分割處理。用戶在檢索日志時，可以根據(jù)日志的類型，字段內(nèi)容進行多重條件精細匹配，如：日志源^、日志生成時間、任意字段內(nèi)容等；從而實現(xiàn)日志的快速準確定位；Logbase日志審計系統(tǒng)支持對每次查詢結(jié)果的導(dǎo)出功能，管理員可以將查詢結(jié)果以.csv格式下載到本地，便于人工二次處理或給其他分析系統(tǒng)使用。4.5綜合報表分析除了通過實時異常事件告警、檢索分析之外，Logbase日志審計系統(tǒng)還為審計人員提供了直觀靈活的報表功能。

如捍計1asifi斂tn哩岫牲火E目理解□如捍計1asifi斂tn哩岫牲火E目理解□抑心m*料*遇瞄―|注！fl□點音砸X^tJS0宜電而Iniwr豐計國白定安承計尚簾推整；割成誦晚STSlWm寺毓郴,,?HlULffiltEKEEzL^IKlWklVO?m2IB至|00M-1PWM:56HA?=雌Ifl皂|24響諧向1械H瞧mn■眼5CWM9-2B11?的倔533?1*M障25同駐iiE畛計桃吉HEL略式200M9-2B1144^7蘭成蹣3B7IMBa*LM岬躊輔TJ?責曲件炯腌nmLP§a：2QDM9-271133:45生標;由&D6KEg*JM除37肺辛映*1是瑩雖君注柱市計HTMLSi式73QQ-49-jT11ID9Q生虐茂由擊看IEEHKt就掘巨登㈱M握者HIM式20(iM9-2r1Q.50.1S生隅構(gòu)1a^lMI*相住秉旋幃受量臺納審州站HTML胳式20OM9-2710.49.-M網(wǎng)蛔命瞭HTML舅式2Ma-flg-2J1&.47.52生成貳吻nUH3-1明諼昔5懺1(MJ曰E面計熹舌HTML幫武洶1D47-Wi?r3KB*<l聊1?捷明?品SVSLC哦用附HTW.tK^2CHJM9-27ICr湖9笙底刮h3.13?2*1MIf墻定I康與|Logbase日志審計系統(tǒng)內(nèi)置了大量的安全審計報表，如《windows系統(tǒng)事件統(tǒng)計報告》、《windows安全事件分析報告》、《unix系統(tǒng)高危日志分析報告》、《網(wǎng)站訪問分析報告》等等。報表支持以HTML、EXCEL等方式導(dǎo)出。除了系統(tǒng)內(nèi)置的報表模板外，Logbase還支持靈活的自定義報表模板擴展功能，管理員可以根據(jù)需要，隨時增加需要的審計報表。I日花窗HM免胡湖M成51罰節(jié)整.紋5聰若出茉翌dIt篇段杏曜#種員:圉立.麟瞰田路曜置,陽倘航黃于1由妨弟)卜mW審全畔外曾IM睨S3，Iffl■日城*嶙聒-■瘀邸TIOBC=E題二帝己志增與「曰志岳叫月廠日就安村祠rsjhmi^r.essa:由口志ti度h靠地！ii■,菱駕疝*±tn*w?RiD「m注*亶］旗ElI

第五章部署方式—05衰WindowsAgentLinux/uniKAgentLogbase日志審計系統(tǒng)部署方式靈活，只需為其分配一個獨立IP地址即可第五章部署方式—05衰WindowsAgentLinux/uniKAgent網(wǎng)絡(luò)中的設(shè)備通過syslog、snmptrap協(xié)議自動發(fā)送日志到審計系統(tǒng)中，或者通過Logbase采集agent軟件從操作系統(tǒng)中采集各類日志信息。第六章產(chǎn)品特性6.1高速檢索能力LogBase系統(tǒng)采用了思福迪公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了在采用關(guān)系數(shù)據(jù)庫在處理海量日志數(shù)據(jù)時的低效率問題，采用了“基于預(yù)測的動態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲”“即時結(jié)果反饋技術(shù)”等核心技術(shù)手段，實現(xiàn)了對日志的高速檢索能力。對Logbase緩存中的日志，四重以內(nèi)組合條件查詢，能夠在5秒內(nèi)即返回完整的檢索結(jié)果。6.2安全保障能力高?系統(tǒng)內(nèi)部存儲為Raid5陣列，即能保障日志信息在設(shè)備內(nèi)的安全存儲需求，又能保障高效的檢索速度；?