思福迪logbase日志管理审计系统技术白皮书doc

思福迪logbase日志管理审计系统技术白皮书doc内容摘要：

Linux、 Solaris、 AIX 等所有主流 类 Unix 操作系统 的运行状态及系统日志 ； Windows 操作 系统日志 （ EventLog） 、服务器主机 运行状况 、网络 连接状态 等 ；  网络及 安全设备： 国内外主流网络及安全设备厂商 的各种 网络 设备 及安全 设备 ；所有支持syslog 的网络及安全设备；  应用系统 ： 支持对常见 Web 及应用中间件系统（ Apache、 IIS、 Tomcat、 Resin、Websphere、 WebLogic、 TUXEDO、 VisiBroker 等）、 EMAIL 系统、 FTP系统和常见应用 系统产生的系统运行及用户访问日志。 LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 14 / 28  协议型信息采集 对网络及安全设备的信息源采集主要是采用通用标准协议，包括 SYSLOG（ UDP514）、 OPSEC LEA 协议等，涉及设备包括路由器、交换机、防火墙、 VPN、IDS/IPS 等网络及安全设备。  日志文件采集 大部分应用系统、 WEB 服务、会产生以文件形式的日志存在在本地系统平台上，通过在相应的系统平台上安装 Agent 或脚本 来采集日志信息；也可提供共享协议和权限，让 LogBase 设备主动去采集文件，如通过 FTP、 HTTP 等方式获取。 注： Windows EventLog 必须通过安装 Agent 方式进行采集  系统状态 采集 对于服务器的系统、应用、服务、用户、网络和进程等相关日志信息通过syslog 配置进行采集。 审计效果  对 网络及安全设备运行状态跟踪 通过 Logbase 系统可以对各设备、操作系统、应用的运行状态日志进行实时监测，及时发现设备运行的异常情况，并第一时间通知管理员，为排查故障争取时间。  对 服务器运行状态跟踪 对各种 操作系统（如 Microsoft Windows NT/98/2k/XP、 Unix/Linux、Solaris、 FreeBSD、 UnixWare、 AIX、 HPUX、 OpenServer 等 ） 的运行状态进行 7*24 实时监控 ，通过日志分析及时发现潜在安全隐患 ，为管理员排查故障提供客观数据。 LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 15 / 28  海量日志集中审计 管理员希望能 够通过 Lobase 对操作系统、应用平台、网络及安全设备的海量日志进行集中审计与管理， 并实现有效的关联分析，发现其中的安全故障和隐患 ，减少安全事故响应时间。  提高安全事件分析能力 通过 Logbase，能够有效避免黑客入侵后删除主机上的入侵痕迹的情况，在发生安全事件后，随时都能够为管理员提供完整的日志数据，有利于管理员对安全事件进行深入分析，为安全事件责任定位提供客观证据。 LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 16 / 28 管理 操作 审计 (BH) Logbase “驭风” 系列堡垒主机系统，是由思福迪公司自主研发的新一代行为软硬件一体化操作审计系统，该系统不仅支持对明文的 TELNET、 FTP、数据库操作进行审计，也支持对加密的 SSH、 RDP 等协议进行审计，消除了传统行为审计系统中的审计盲点，结合 Logbase 日志审计系统，能够为信息安全保障体系建设提供了完美的审计解决方案。 协议支持清单  基本远程操作协议  SSH  TELNET  Rlogin  FTP  图形终端操作协议  RDP（ windows 远程桌面）  VNC  数据库远 程协议 Logbase BH 支持以下主流数据库远程访问协议审计  ORACLE  DB2  MSSQL SERVER  INFORMIX  MySQL  SYBASE 针对上述协议， Logbase BH 能够记录整个会话的完整过程，并形成指令日志LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 17 / 28 及回放文件 2 部分审计数据，指令日志供管理员针对操作指令进行快速审计，回放文件可供管理员针对特定的会话进行完整操作审计。 部署方式 Logbase BH 系统支持透明模式、单目、双目、分布式方式进行部署，可以充分满足不同网络对审计系统的需求。 Logbase BH 部署支持 ActiveActive 双机模式，避免产生单点故障而影响正常的维护通道。 具体请参考 Logbase BH 技术白皮书。 审计 效果 Logbase “驭风”堡垒主机系统能够让企业具备对管理员维护操作的全面监控能力。 Logbase BH 支持针对 Tel、 FTP、 SSH、 Rlogin 各类数据库操作记录进行查询 ，可 以根据上述操作协议中的用户名、 IP、端口、时间、操作指令、返回结果等等信息进行多重组合查询。 管理员可以通过 Logbase BH 强大的检索功能对关心的事件进行迅速定位。 Logbase BH 支 持对各类支持的协议进行视频回放，管理员可以根据 IP、时间段等信息查找关心的 RDP、 VNC 等操作的回放文件并进行在线视频回放，也可以根据查询结果直接定位至 TELNET、 SSH、数据库、 FTP 等远程维护操作的回放文件直接进行回放审计。 回放过程能够还原上述协议中的所有操作行为，就如同对管理员的操作显示器进行监控一样。 Logbase BH 系统支持通过规则设定异常及非法操作行为，一旦检测到这些异常的操作行为， BH 将直接阻断此操作，并断开该操作的 TCP 连接，因而能够有效防止各类违规操作事件的发生。 同时 BH 也支持对危险 指令的告警功能， 目前告警方式主要支持：短信、邮件、等等。 LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 18 / 28 通过 Logbase 系统强大的报表功能，不仅能够帮助企业建立起完善的内控 审计 体系，也能帮助企业满足诸如《 SOX 法案》等法规对内控的需求。 第 四章 管理 功能及 特性 实时 监控 Logbase 可以 对安全事件日志及操作行为进行实时监控， 也能够对设备的日志量、系统负载等情况进行检测，对其中的异常行为、违规行为、异常状态等事件采用短信、邮件等方式进行实时告警。 Logbase 内置了常见系统的安全审计规则，客户可根据自身情况增加自定义审计规则。 查询分析 LogBase 系统在接收日志信息时，根据不同的日志种类进行不同的格式化处理，在保留所有日志原始信息的同时将日志根据字段进行分割处理。 用户在检索日志时，可以根据日志的类型，字段内容进行精细匹配，如：日志源 IP、日志生成时间、任意字段内容等；从而实现日志的快速准确定位； 综合分析 Logbase 通过动态 报表的方式对 审计结果 进行统计分析。 用户可以根据自身的实际需求在预定义的报表模板上调整相关设置，进行报表生成。 Logbase 默认内置丰富的报表模板，其中大部分报表均符合 SOX法案 对信息系统的 审计需 求。 LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 19 / 28 数据管理 LogBase 将采集到的各类事件 经过 格式化预处理过后 ， 统一以日志的形式 送往 管理及查询中心和存储中心。 LogBase 采用专有的特殊文件系统对规范化的日志进行存储，同时也支持Mysql 等标准数据库存储。 LogBase 文件存储机制为思福迪根据日志系统的特殊性进行专门研发，为海量日志的存储及检索进行了优化设计，在海量日志的情况下，具有其他同类日志审计产品无法比拟的速度优势。 LogBase 产品内置高容量 (产品具体容量见相关产品资料 )的硬盘存储空间，内置存储空间均采用 Raid 硬盘阵列，可有效防 止由于硬盘硬件问题而带来的数据丢失，同时 LogBase 支持外挂存储系统，如： NAS、 SAN、磁盘柜等，从而实现存储空间的海量扩充。 LogBase 支持对日志进行以下管理操作：  日志归档包括：手工与自动两种方式。 操作员可以设置归档范围（类型、时间） ；  日志备份： 支持归档文件的多种备份方式（ Tape/Ftp/Samba/NFS）；  日志导入 ：原始日志批量导入和归档文件导入；  日志导出：支持将日志以文件形式导出；  在已归档日志范围内，系统管理员可对日志记录进删除操作。 权限管理 LogBase 支持严格完善的权限管理系统，管理员可以为每一个审计用户分配 合适的权限。 权限分配安装 2级方式进行：  限制页面功能模块访问，如查询模块、报表模块等等 LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 20 / 28  审计目标限制，可以限制用户只能查看哪些主机或类型的日志，避免在多用户环境下，用户越权访问其他日志信息。 设备管理 LogBase 日常管理工作均 HTTPS 进行管理，管理模块独立于其他功能模块，对管理模块的攻击行为不会对系统正常功能造成影响。 同时 Logbase 也支持串口及 SSH 方式对设备进行 配置 维护。 产品特性及优势 日志高速检索及分析能力 LogBase 系统采用了思福迪公司自主开发的基于海量日志索引的日志检索引擎，避免了在采用关系数据库在处理海量日志数据时的低效率问题，采用了“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”等核心技术手段，实现了对日志的高速检索能力。 LogBase 500 PRO 的检索及吞吐能力如下：  500万条缓存日志检索时间小于 5 秒；  提供不小于 2020条日志 /秒的日志接受及实时分析能力； 审计记录安全保障  系统 内部存储为 SATA 硬盘 Raid 阵列，即能保障日志信息在设备内的安全存储需求， 又能保障高效的检索速度；  系统 内置安全防火墙系统，可以设定严格的访问源，从而避免了绝大部分的无关流量，进一步保障系统本身的安全性；  系统 底层采用 嵌入式 64 位 Linux 系统，系统内核已进行全面精简、优化，从而在内核级别保障系统本身及日志的安全性； LogBase 日志管理审计系统白皮书 169。 版权所有 2020 杭州思福迪信息技术有限公司 21 / 28  当网络出现不稳定、中断情况；探。