01极地日志审计系统技术白皮书讲义.doc

极地综合日志审计系统 技术白皮书 北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话：010传真：010客服：400-01234-18 邮编：100085 网站： 目 录 1 前 言 1 1.1 适用对象 1 1.2 适合产品 1 1.3 技术支持 1 2 极地日志审计系统 2 3 产品特点 4 3.1 统一日志监控 4 3.2 全面的日志采集手段 5 3.3 丰富的日志类型支持 5 3.4 灵活的部署模式 7 3.5 遵照合规性要求的日志审计 7 3.6 日志归一化分析 8 3.7 高性能日志采集分析与海量存储 9 3.8 可视化日志分析 9 3.9 快速响应 9 4 产品简介 10 4.1 产品组成 10 4.2 功能列表 10 4.3 部署方式 11 4.3.1 单一部署 11 4.3.2 主从部署 11 4.3.3 混合部署 11 4.4 系统自身安全性保证 12 4.5 支持的产品 12 5 产品功能 14 5.1 安全仪表盘 14 5.2 资产管理 14 5.3 实时监视 15 5.3.1 事件趋势分析 15 5.3.2 事件调查 15 5.3.3 事件分配 16 5.4 事件查询 16 5.5 统计分析 16 5.6 态势分析 17 5.7 告警与响应管理 17 5.7.1 告警查看 17 5.7.2 告警规则 17 5.8 报表管理 18 5.9 系统管理 19 5.9.1 系统配置 19 5.9.2 采集引擎管理 19 5.9.3 系统自身健康监视 19 5.9.4 系统日志 19 5.10 权限管理 19 6 产品价值和优势 20 6.1 价值 20 6.2 优势 20  前 言 《极地日志审计系统使用手册》介绍了网络管理系统的操作及使用，涉及如何配置网络管理系统服务器、如何使用WEB控制台对网络设备、安全设备、主机设备、数据库、中间件、服务、链路性能、设备配置以及机房环境进行集中管理。 本手册涵盖了极地日志审计系统的全部功能的使用说明。根据用户购买的产品模块的不同，实际的操作界面可能会与本手册的描述存在差异，请以最终购买的产品模块及其界面为准。 适用对象 本系统适用于系统管理员、企业网络运行维护人员及网络管理的技术支持人员。 适合产品 本手册适合极地日志审计系统。 技术支持 公司主页www.jidisec，透过网站主页为用户及合作伙伴提供技术支持，可在任何地方，任何时间获取实时的网络安全解决方案、安全信息和各种安全资料，并提供远程的产品咨询服务。 日志审计系统 IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，实现安全审计的管理闭环。 极地日志审计系统为客户提供了丰富的报表模板，使得用户能够从各个角度对企业和组织的安全状况进行审计，并自动、定期地产生报表。用户也能够自定义报表。 产品特点 极地日志审计系统（JLAS）系统的主要特点包括以下十个方面： 可视化日志分析 快速响应和协同防御 统一日志监控 极地日志审计系统将企业和组织的IT资源环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来，使得用户通过单一的管理控制台对IT环境的安全信息（日志）进行统一监控。 统一安全监控给客户带来的直接收益就是态势感知。通过态势感知，客户实现对全网综合安全的总体把控。态势感知的核心客户体验是JLAS特有的安全仪表盘：每个频道包括多个监控窗口，可以显示多方面的安全信息，窗口可以缩放、可以移动换位、可以更换布局、可以调台，显示管理员想看的内容。极地日志审计系统： 审计日志类型 审计日志内容 Windows操作系统 账户登录日志 账户管理日志 目录服务访问日志 审核登录日志 对象访问日志 审核策略更改日志 特权使用日志 详细跟踪日志 审核系统日志 文件操作日志：指定目录下的文件/子目录修改、删除日志 操作系统性能日志 *NIX操作系统 账户登录注销日志 服务启停日志 帐户管理日志 su日志 MODEM活动日志 FTP会话 Web访问日志 防火墙、VPN 安全规则日志： IDS阻断日志 连接阻断日志 连接通过日志 NAT日志 代理日志 IDS日志 VPN日志 用户认证日志 内容过滤日志 病毒过滤日志 设备状态日志 HA日志 设备性能日志 交换机/路由器 操作日志 设备故障日志 设备性能日志 设备状态日志：例如端口开关，设备启动与停止，等等 负载均衡、流控设备 操作日志 设备状态日志 系统日志 入侵检测系统、入侵防御系统 入侵告警日志 系统规则库升级日志 系统登录注销 系统启停 防病毒系统、防病毒