日志综合分析与管理解决方案.docVIP

PAGE 泰合中心 日志综合分析与管理系统 解决方案 北京启明星辰信息技术股份有限公司 Beijing Venus Information Tech. Inc. 2008年10月 泰合平台类系列解决方案（THS）之 日志综合分析与管理系统解决方案 PAGE i 目 录 TOC \t 国 标题1,1,封面标题,1,文章标题,1,章标题,1,国 标题2,2,国 标题3,3,国 标题4,4 1 文档管理 1 1.1 文档信息 1 1.2 分发控制 1 1.3 版本控制 1 2 日志管理现状及面临的挑战 2 2.1 日志管理现状 2 2.2 面临的挑战 2 3 日志分析与管理的需求 3 4 方案设计 3 4.1 设计原则 3 4.2 体系结构 4 4.3 系统概述 4 4.4 方案实现功能 5 4.4.1 日志数据源 6 4.4.2 日志集中采集 7 4.4.3 日志存储 10 4.4.4 告警监控 11 4.4.5 基于日志的审计 11 4.5 方案功能特色 12 4.5.1 支持海量数据存储 12 4.5.2 多样化的报表 12 4.5.3 丰富的分析功能 13 4.5.4 支持通用日志采集 13 4.5.5 灵活扩充新设备 13 4.5.6 日志日常维护 13 4.5.7 资产管理 13 4.5.8 用户管理 13 4.5.9 系统管理? 14 5 实施与部署 14 6 方案成效 15 PAGE 13 文档管理 文档信息 文档名称 泰合平台类系列解决方案（THS）之-日志综合分析与管理系统解决方案 保密级别 机密 文档编号 V1.0 制作人 制作日期 200 复审人 复审日期 适用范围 分发控制 编号 读者 文档权限 与文档的主要关系 1 泰合平台管理部 读、写 文档作者 2 泰合中心 审核 文档审核者 版本控制 时间 版本 说明 修改人 日志管理现状及面临的挑战 日志管理现状 目前大多数企业，特别是大型企业、机构对于异构、海量日志数据没有很好的管理办法，结果往往是： 日志采集效率低 不能完全捕获，数据格式不统一，缺少标准化的技术手段。 人员要求高 系统管理人员面对浩如烟海的日志信息，首先面临的一个问题是如此浩大的工作量是人工所无法完成的，另外，要求系统管理人员能够理解日志信息的内涵，对管理人员的要求很高。 各自为战，缺乏关联性 不同的系统管理员分管不同的信息系统，难免出现各自为政的局面，但是事故发生前的一系列事件之间却存在紧密的联系，二者之间的矛盾导致事故难于处理。 人力投入高，处理效果差 海量日志数据需要系统管理人员手工维护和管理，导致分析时间长，关键时刻很难发现问题。 面临的挑战 大型企业的网络规模庞大、系统复杂，其中包含各种网络设备、服务器、工作站、业务系统等。同时安全领域也逐步发展成复杂和多样的子领域，例如访问控制、入侵检测、身份认证等等。这些安全子系统通常在各个业务系统中独立建立，随着大规模安全设施的部署，管理成本不断飞速上升，同时对这些安全基础设施产品和它们产生的日志信息的管理成为日益突出的问题。 海量日志信息 企业中存在的各种IT设备提供大量的安全信息，特别是安全系统，例如入侵检测系统、防火墙和漏洞扫描系统等。这些数量庞大的信息使得管理员疲于应付，容易忽略一些重要但是数量较少的告警。海量日志信息是现代企业安全管理和审计面临的主要挑战之一。 孤立的安全信息 相对独立的IT设备产生了相对孤立的日志信息。企业缺乏智能的关联分析方法，分析多个日志信息之间的联系，揭示安全信息的本质。例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。 缺少标准的数据格式 另一个日志管理的障碍是计算机、防火墙、路由器、交换机，服务器和其他设备都有它们自己记录事件的格式，甚至同一厂家的不同服务器也会不同。Windows服务器有庞大的用户群，它就提供了几种不同格式的日志数据。 日志分析与管理的需求 通过对日志分析与管理（以下简称“系统”）的现状和面临的挑战，不难得到日志分析管理的需求： 海量日志数据的集中管理。 日志管理格式标准化。 事前预警、事中监控和事后分析。 制订统一的日志行业标准。 对日志进行生命周期管理。 符合政策、法规的规范性要求。 方案设计 设计原则 为保证系统的有效运行，应遵循以下原则进行系统设计： 开放性。日志分析与管理系统应参考各种相关的国际标准和安全标准。 可扩展性。日志分析与管理系统设计时具备良好的扩展性，方便以后可以以之为基础增加其它系统功能。 安