第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共6页4.6日志管理系统——LOGBASE为满足用户对网络基础架构及其应用系统的安全事件进行自动化、智能化集中管理和分析的要求,LogBase为用户提供了功能强大的事件采集模块、完善的日志分析模块,高效的日志管理及存储模块,庞杂的日志分析和管理工作从此变得轻松、简单。4.6.1事件采集功能采集对象LogBase支持的采集对象包括:操作系统:Linux、Solaris、AIX等所有主流类Unix操作系统的运行状态及系统日志;Windows操作系统的事件日志(EventLog)、服务器主机性能、网络连接状态等;网络及安全设备:天融信、绿盟、东软、联想网御、Cisco、Checkpoint、Juniper、Fortinet、等国内外主流网络及安全设备厂商的各种网络设备及安全设备;主流数据库访问行为:支持对ORACLE、MS-SQL、SYBASE、Informix、DB2等主流数据库网络访问协议的解析。常见网络协议访问行为:支持对HTTP、FTP、SMTP、POP3、Telnet、MSN、BT等常见内网及互联网应用层访问协议的解析。应用系统:支持对常见Web及应用中间件系统(Apache、IIS、Tomcat、Resin、Websphere、WebLogic、TUXEDO、VisiBroker等)、EMAIL系统、FTP系统和常见应用系统产生的系统运行及用户访问日第2页共6页第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共6页志。采集方式LogBase的安全事件采集由基于网络监听的硬件探测器设备、基于网络协议采集的硬件探测器设备和软件形式的软件探针等三类探测器完成,对不同类型的事件类型采用不同的采集手段。网络监听方式部署在网络中的硬件探测器设备通过监听及协议还原方式获取,采取旁路方式部署在网络中,通过交换机镜像对网络流量进行采集分析。主要完成以下网络操作行为的收集工作:(1)对用户通过数据库客户端对各种数据库系统的各种操作行为,包括登录、查询、修改、删除、数据定义和权限管理等;(2)上网行为日志(Web访问、Email、BT、Msn等)、Telnet访问、FTP访问行为等。协议访问方式(本方案建议方式)部署在网络中的硬件探测器设备通过通用协议接收或获取各种日志,可分为两类:(1)专用日志协议,以Syslog日志为代表的网络及系统日志协议是目前所有的网络设备、安全设备、Unix主机中比较通用的日志协议,其它类似协议还有SNMPTrap、OPSEC-LEA等,LogBase依据特定协议接受或主动询问获得相关系统日志。(2)文件访问协议,系统管理员通过FTP、SMB、HTTP等协议将操作系统、应用系统产生的文件型日志开放给LogBase探测器设备,由探测器设备主动下载日志文件、从而分析并采集日志。软件探针方式对于主机上的各种非文件形式的日志、无法通过SNMP等协议获取的操作系统运行状态等信息,LogBase支持采用在对象主机上安装软件探针(Agent)方式进行日志采集。如通过在Windows主机上安装Agent完成收集EventLog、性能监控、网络连接状态、进程运行状态等信息的收集;通过在Unix主机上安装Agent完成对用户通过加密协议或Console进行的第3页共6页第2页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共6页Shell操作的记录采集等。4.6.2存储管理LogBase将采集到的各类事件经过格式化预处理过后,统一以日志的形式送往管理及查询中心和存储中心。LogBase采用专有的特殊文件系统对规范化的日志进行存储,同时也支持Mysql等标准数据库存储。LogBase文件存储机制是根据日志系统的特殊性进行专门研发,为海量日志的存储及检索进行了优化设计,在海量日志的情况下,具有其他同类日志审计产品无法比拟的速度优势。LogBase产品内置高达数百G(产品具体容量见相关产品资料)的硬盘存储空间,内置存储空间均采用Raid5硬盘阵列,可有效防止由于硬盘硬件问题而带来的数据丢失,同时LogBase支持外挂存储系统,如:NAS、SAN、磁盘柜等,从而实现存储空间的海量扩充。LogBase支持对日志进行以下管理操作:日志归档包括:手工与自动两种方式。操作员可以设置归档范围(类型、时间);日志备份:支持归档文件的多种备份方式(Tape/Ftp/Samba/NFS);日志...
