H3CXlogUBAS-eLog攻防手册.ppt

8 H3C XLog UBAS- RG eLog攻防手册 产品营销部 软件组 更新日期： 2008-10-26 修订记录 为什么要对用户行为进行审计 了解XLog UBAS eLog的应对 我们可以看到UBAS做了这么多的过滤、聚合工作，最主要的目的就是提升对日志的统计分析能力和降低数据存储和日志处理的压力 本质： 数据处理能力差 缺乏对数据存储空间的有效监控 eLog除了提供NAT日志的采集查询，还针对锐捷的ACE和防火墙设备提供了URL日志的采集查询功能 XLog UBAS的优劣分析 优势 部署灵活，接收、处理、管理中心、数据库都可以独立部署。 提供了丰富的过滤、聚合策略编辑功能 支持全面的日志采集，尤其是对于镜像端口可直接部署采集DIG日志进行分析使之不限于H3C设备 劣势 在DHCP环境下不能提供基于用户的日志分析，虽然能够定位到IP却不一定能够定位到人 没有提供对存储空间进行监控的功能 无法独立提供流量统计功能 eLog的优势分析 eLog的优势分析 eLog的优势分析 eLog的优势分析 eLog的优势分析 提供对存储空间的监控告警功能 记住eLog 缪芬 刷新攻防手册内容 V1.1 2008-10-28 缪芬 套用新模板。 V1.0 2008-9-26 作者 修订描述 修订版本 修订日期 术语表 iMC：intelligent Management Center 智能管理中心 UBAS: User Behavior Audit System用户行为审计系统 NAT：Network Address Translation网络地址转换 URL：Uniform / Universal Resource Locator 统一资源定位符 * 按公安部要求提供上网记录 提供事后审计 按萨班斯法案要求进行审计 用户行为 审计系统 用户行为审计系统的用户需求背景 UBAS是XLog的一个子系统 资料来源：XLog配置手册 功能介绍 审计用户网络访问日志 访问网络的源IP、端口 用户使用的协议类型 产生了多少字节的流量 …… 掌握用户上网行为 何时访问了非法网站？ 何时访问了哪些网页？对什么感兴趣？ 发送了哪些Email ? 向外发送了哪些文件？ …… 发现可疑用户和网络异动 网络监控和决策支持的助手 XLog UBAS介绍 资料来源：用户行为审计系统主打胶片 日志采集 NAT日志 Flow日志 NetStream日志 DIG日志 DIG摘要日志 NAT转换前后的IP地址和端口信息 用户源IP地址、端口 访问目的站点IP、端口号、协议类型 网络访问的流量（包数、字节数等）、时间 用户行为（HTTP、FTP、SMTP等）内容摘要 XLog UBAS介绍 资料来源：用户行为审计系统主打胶片 日志剪裁和过滤 网络流量的智能提取和剪裁 基于策略的日志过滤 灵活组合的过滤策略 剔除与审计、监控无关的网络数据 过滤可信任的网络日志 提高统计分析效率，及时响应网络审计操作 减轻日志处理和数据存储的压力，适应大规模的网络应用环境 过 滤 策 略 源IP过滤 目的IP过滤 NAT地址过滤 协议过滤 …… 性能 出色源于 XLog UBAS介绍 资料来源：用户行为审计系统主打胶片 日志过滤 XLog UBAS介绍 资料来源：用户行为审计系统主打胶片 以过滤的方式试图减少有效数据数量，一定程度上也会导致数据缺乏连续性 日志聚合 XLog UBAS介绍 资料来源：用户行为审计系统主打胶片 采用聚合的方式降低了数据的存储量，但同时也会影响到日志查询的效率 实时的系统监控 管理中心 处理器 接收器 告警上报 告警发布 实时告警 邮件告警 告警查询 强大的自身运行监控的功能 保证了系统运行的可靠性 确保管理员及时掌握系统运行状态 XLog UBAS介绍 资料来源：用户行为审计系统主打胶片 基本功能，eLog也做了很好的实现 灵活的分布式部署 强大的可伸缩性 按需定制的解决方案 适应不同规模的网络环境 处理器 接收器 探针 应用服务器 数据库 管理/监控终端 接收器、处理器、管理中心、数据库既可以合并在一台机器上， 也可以独立出来以满足日志处理的性能要求 接收器/处理器的数目可根据需要处理的数据量的大小灵活配置 XLog UBAS介绍 资料来源：用户行为审计系统主打胶片 如此“灵活”的部署方式，处理能力是否超群呢？ eLog的应对 具有绝对优势的数据处理能力 通过DIG只能处理300M 支持单点能够收集带宽1000M链路的URL URL处理能力 1万条/秒 2万条/秒 NAT处理能力 UBAS eLog 基于用户的统计、分析 能够基于用户对流