基于分层结构统一日志系统研究.docVIP

基于分层结构统一日志系统研究 　　摘要：中国移动通信集团内蒙古有限公司随着信息化技术的发展，各种类型的设备、系统的大量使用，产生了大量的日志，而对日志的有效管理、使用，将直接影响到信息化技术的效率和安全。因此，对信息化系统日志进行自动化、智能化集中管理和分析，成为信息化日志研究的新需求。 　　关键词：分层统一 　　日志　移动通信 　　中图分类号：TN91 　　文献标识码：A 　　文章编号：1007-3973(2011)010-055-02 　　1、统一日志系统架构 　　本文介绍的统一日志系统，就满足了以上需求，统一日志系统架构该系统共分4层：管理对象层、数据采集层、应用服务层、应用展现层。实现了以下功能：实时监测：从分析、审计信息网络活动的角度，提供预警、实时响应、事后分析和系统恢复等方面的支持，使安全防护从单纯的被动防护演进到积极的主动防御。多维度：基于网络与主机相结合的立体型结构，横向实现了网络审计的广大，纵向实现了主机审计的细度，全方位、多角度的对网络和主机进行审计与保护。多层次：从系统级、进程级、应用级以及各协议层、应用层等多层次的对各种硬件设备、应用平台进行审计与监控。多平台：由于审计过程中，对不同的操作系统审计内容，审计方式都不相同，因此，审计系统将对现有的Windows系列、Linux、各种商用Unix等进行专有审计系统的开发。自适应：由于网络结构越来越复杂，主机资源也在不断的更新，因此，该审计系统对一些常用的主机资源有自动识别功能，并自动装载相应的审计或保护模块。关联分析：各系统、各模块、各引擎协的日志都收集到统一平台后，将进行关联分析，从而达到共同保护整个网络、主机，实现统一的日志审计，只要有一个点出现问题，就将反应在整体上。可扩展性：统一日志系统不仅能满足现有网络、主机、各系统的需求，更能适应于技术的快速发展，通过插件技术，可以自动更新和动态装载。 　　2、统一日志系统功能 　　通过采集各种网络设备、安全设备、操作系统及系统软件平台的安全事件日志及各种消息、主动探测运行状态等手段，全面地监测、记录信息系统各部分的动态信息及配置变更，提供实时告警并输出各种综合分析报告，为系统管理人员提供了一个监测面广、响应及时、具有强大分析能力的信息系统。通过统一日志系统，不仅能够实现对安全事件中，对已经发生的破坏行为提供有效的追究证据，而且还能对潜在的问题起到警告作用，从而帮助管理员及时、准确的发现系统入侵行为或潜在的系统漏洞，更能够通过对主机、网络、应用系统日志的分析，使管理员今早发现性能的不足。 　　2.1日志采集 　　该系统能够实现对信息化各系统平台日志文件的采集工作，其中包括Solaris、Windows、Linux以及Oracle等。对网络及安全设备的信息源采集主要是采用通用标准协议(syslog)，涉及设备包括路由器、交换机、防火墙、等网络及安全设备。 　　2.2统一格式 　　日志统一分类：减少日志间可读性方面的差距；日志统一呈现：不同日志、同样呈现方式，使管理人员脱离原始日志杂乱无章呈现方式。内容合理转换：将特殊的代码、符号进行书面化(如中文)方式呈现，加强可读性。 　　2.3日志数据 　　预处理审计系统提供基于一定策略对原始日志数据进行筛选等预处理功能，预处理工作在将原始日志存入数据库前完成统一分析防止数据丢失当与审计中心连接出现故障时，要有一定的措施防止审计数据丢失。确保该时段内的各项审计日志在连接正常之后传输到审计中心。 　　2.4日志存储 　　该系统对抓到数据包进行分析、匹配、统计，并且将信息记录下来。通过对数据流的重组，按照管理员的规则，将所有对要保护的数据库的操作都记录下来，并且还可以将语句还原。审计系统以一种安全的方式对日志进行保存，保证在线三个月的有效查询期，并提供对日志报表的导入、导出功能。 　　2.5实时监视 　　审计系统需要对部分或者全部数据源所产生的日志进行实时监视，监视及告警规则应支持灵活调整，以满足不同的监视需求。审计中心是以软件实现，提供Windows下的图形化界面，方便用户使用。它是网络管理员操作审计系统的人机界面，通过它可以设置各种审计规则；看到数据采集器发来的报警信息，查看具体的报警信息、浏览历史数据、生成各种报表等。 　　2.6条件查询 　　提供至少基于时间、源地址、目的地址、协议类型、危险级别等字段的组合查询，方便管理员对日志进行快速定位。 　　2.7统计报表 　　审计系统应能够手动或自动生成统计报表，至少能按各数据源生成报表。 　　3、统一日志系统技术创新 　　3.1分布式体系结构 　　统一日志系统由于是对多种硬件和多种操作系统进行全面、多角度的日志分析系统，因此，统一日志系统的总体架构就是一个分布式结构的，日志