日志监控管理解决方案.pdfVIP

日志监控管理解决方案 前言 随着各个行业的 IT 业务系统的迅速发展，网络规模迅速扩大，主机、网络 设备、应用软件数量不断增多，业务资源访问、操作量不断增加，由于内控措施 不力造成的安全问题时有发生。依赖各通信网、业务网和各支撑系统中设备自身 的日志功能进行审计的做法已经无法满足企业用户目前和未来业务发展的要求， 无法满足业务发展的需求，因此很多企业急需建立统一的日志集中管理与审计系 统。 建设需求 目前，全网日志集中管理与审计需求主要包括： 1．全面的日志采集需求：根据企业系统中的主机、网络设备、应用系统类型 和网络分布，采取基于各设备自身产生的日志文件的本地型日志采集方式 和基于网络流量抓取的网络型日志采集方式，对全网设备、应用以及网络 中的各类操作进行全面的日志采集。 2 ．审计记录的规范化需求：由于全网设备种类繁多，各设备日志信息存储格 式、字段含义、通信协议差异较大。需要对采集到的各种设备日志进行归 一化处理，提取审计记录完整信息，为后续审计分析提供依据。 3． 基于策略的日志过滤、归并：面对海量原始日志，需要按照相关策略进 行过滤和归并，减轻日志数据传输压力和存储压力。 4 ． 本地型日志审计与网络型日志审计相结合的审计体系。本地型日志，主 要采用设备自身能力，记录较为详细的本地操作，各设备提供商可以更好 地理解、确定重要操作类型、重要操作指令和关键词等，然后通过多种采 集机制汇总到日志集中管理与审计系统。 5． 多维关联分析需求：对于来自各个资源的日志信息，提供多维的关联分 析功能。面向系统用户，将一个用户在多个设备上的操作进行横向关联分 析，形成以用户为主题的操作行为审计；面向特定安全事件，对于发生在 多个设备上的事件痕迹进行关联分析，形成一个完整的事件相关操作过程 1 的审计；从设备角度，形成本设备全部访问情况的安全审计报告。 6 ． 日志存储需求：原始日志信息是来自网络的第一手数据，需要长期存储， 并确保它们的完整性、保密性，不得随意访问、修改和删除。同时，由于 日志量较大，应提供压缩存储机制。 7． 符合Sox 法案内控报表需求：根据Sox 法案对企业内控的要求，应提供 符合Sox 法案要求的各种内控报表。 日志监控管理解决方案简介 1 方案架构说明 日志集中管理与审计框架结构如下图所示： 图：日志集中管理与审计系统框架 上图日志集中管理与审计系统的逻辑结构，整体功能分为四层： 第一层，数据采集适配层：日志集中管理与审计系统通过Syslog、ODBC、 SNMP Trap、Socket、File 等多种接口，采集各设备、系统和应用的本地型日 志；通过镜像等方式采集网络型日志，通过两种采集方式的合理配置，实现 对被管网元中所有用户操作行为的信息采集。 2 第二层，日志标准化层：将采集层采集到的不同类型、不同格式的日志 数据，通过标准化处理，形成归一化的日志格式，以便后续分析和审计。 第三层，日志分析层：通过对日志的横向和纵向的关联分析，发现异常 操作，找出可能存在的安全问题；对用户的操作、数据库访问进行回放，分 析用户权限是否合理，在发生问题时，可用作责任认定；将分析发现的问题 生成告警信息送上层处理，以及时通知用户，也可以转发到第三方系统处理， 如直接向电子运维系统派单。 第四层，展现层：主要包括四个关键的功能模块。审计策略功能主要完 成用户对审计策略的定制，修改等功能，并通过此模块向下层派发，实现审 计策略的更新；报表功能主要完成经报表呈现功能，支持用户灵活定制各种 报表，输出符合规范要求的报表，展现日志集中管理与审计系统的各类审计 结果；告警输出模块根据下层送来的分析结论，一方面生成