- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
(产品管理)LOGBASE 产品
功能介绍
4.6 日志管理系统——LOGBASE
为满足用户对网络基础架构及其应用系统的安全事件进行自动化、智能化集
中管理和分析的要求,LogBase 为用户提供了功能强大的事件采集模块、完善的
日志分析模块,高效的日志管理及存储模块,庞杂的日志分析和管理工作从此变
得轻松、简单。
4.6.1 事件采集功能
采集对象
LogBase 支持的采集对象包括:
操作系统:
Linux 、Solaris 、AIX 等所有主流类 Unix 操作系统的运行状态及系统日志;
Windows 操作系统的事件日志(EventLog)、服务器主机性能、网络连接状
态等;
网络及安全设备:
天融信、绿盟、东软、联想网御、Cisco 、Checkpoint 、Juniper 、
Fortinet 、等国内外主流网络及安全设备厂商的各种网络设备及安全设备;
主流数据库访问行为:
支持对ORACLE 、MS-SQL 、SYBASE 、Informix 、DB2 等主流数据库网络访问协
议的解析。
常见网络协议访问行为:
支持对HTTP 、FTP 、SMTP 、POP3 、Telnet 、MSN 、BT 等常见内网及互联网应
用层访问协议的解析。
应用系统:
支持对常见 Web 及应用中间件系统(Apache 、IIS 、Tomcat 、Resin 、
Websphere 、WebLogic 、TUXEDO 、VisiBroker 等)、EMAIL 系统、FTP 系统和常见
应用系统产生的系统运行及用户访问日志。
采集方式
LogBase 的安全事件采集由基于网络监听的硬件探测器设备、基于网络协议
采集的硬件探测器设备和软件形式的软件探针等三类探测器完成,对不同类型的
事件类型采用不同的采集手段。
网络监听方式
部署于网络中的硬件探测器设备通过监听及协议仍原方式获取,采取旁
路方式部署于网络中,通过交换机镜像对网络流量进行采集分析。主要完成
以下网络操作行为的收集工作:
(1)对用户通过数据库客户端对各种数据库系统的各种操作行为,包括
登录、查询、修改、删除、数据定义和权限管理等;
(2)上网行为日志(Web 访问、Email 、BT 、Msn 等) 、Telnet 访问、FTP
访问行为等。
协议访问方式(本方案建议方式)
部署于网络中的硬件探测器设备通过通用协议接收或获取各种日志,可
分为俩类:
(1)专用日志协议,以Syslog 日志为代表的网络及系统日志协议是目
前所有的网络设备、安全设备、Unix 主机中比较通用的日志协议,其它类
似协议仍有 SNMPTrap 、OPSEC-LEA 等,LogBase 依据特定协议接受或主动询
问获得关联系统日志。
(2)文件访问协议,系统管理员通过FTP 、SMB 、HTTP 等协议将操作系
统、应用系统产生的文件型日志开放给 LogBase 探测器设备,由探测器设备
主动下载日志文件、从而分析且采集日志。
软件探针方式
对于主机上的各种非文件形式的日志、无法通过 SNMP 等协议获取的操作
系统运行状态等信息,LogBase 支持采用于对象主机上安装软件探针
(Agent )方式进行日志采集。如通过于Windows 主机上安装Agent 完成收集
EventLog 、性能监控、网络连接状态、进程运行状态等信息的收集;通过于
Unix 主机上安装Agent 完成对用户通过加密协议或Console 进行的 Shell 操
作的记录采集等。
4.6.2 存储管理
LogBase 将采集到的各类事件经过格式化预处理过后,统壹以日志的形式送
往管理及查询中心和存储中心。
LogBase 采用专有的特殊文件系统对规范化的日志进行存储,同时也支持
Mysql 等标准数据库存储。LogBase 文件存储机制是根据日志系统的特殊性进行
专门研发,为海量日志的存储及检索进行了优化设计,于海量日志的情况下,具
有其他同类日志审
文档评论(0)