一、什么是日志审计
日志审计是一站式的日志数据管理平台,主要致力于提供事前预警、事后审计的安全能力, 通过对日志数据的全面采集、解析和深度的关联分析,及时发现各种安全威胁和异常行为事件。日志审计是指通过集中采集信息系统中的各类信息,如系统安全事件、用户访问记录、系统运行日志等,经过规范化、过滤、归并和告警分析等处理,以统一格式的日志形式进行集中存储和管理的过程。
二、部署模式
1.单机旁路部署
日志审计单机旁路部署是一种常见的部署模式,主要通过在网络的关键节点旁路接入日志审计设备来实现对日志的收集和分析。无需更改现有网络,直接接入到客户指定的交换机上即可,只要网络能通。
2.旁路分布式部署
日志审计旁路分布式部署是一种在企业网络中广泛使用的高效部署模式,主要用于全面收集和分析来自不同网络设备和系统的日志数据。在分布式环境中,日志审计系统通过在每个网络节点或关键位置部署采集器或代理,将各节点的日志数据传输到中心审计平台进行统一处理和分析。这样不仅能够确保日志数据的完整性,还能够提高系统的可扩展性和可靠性。
三、日志接入方式
1、交换机/路由器网络设备通过syslog接入日志审计
交换机、路由器,防火墙等网络设备配置Syslog协议方式发送日志至平台
以H3C的交换机为例,日志审计IP为192.168.1.1
system-view
info-center enable info-center source default channel loghost log level
debugging
info-center loghost 192.168.1.1 facility local0
2、Linux服务器配置rsyslog接入到日志审计
登录资产,使用vim /etc/rsyslog.conf 命令修改rsyslog.conf文件,
添加以下内容: *.* @192.168.1.1 //192.168.1.1为日审IP
修改完成后,使用systemctl restart rsyslog命令重启rsyslog服务
四、功能描述
1. 日志收集与采集
- 全面采集:支持从各种网络设备、安全设备、服务器、应用系统等收集Syslog、SNMP、Windows事件日志等多种类型的日志信息。
- 实时获取:能够实时捕获并维护日志数据的完整性,确保没有数据丢失或篡改。
- 标准化输入:将不同格式的原始日志数据解析并转换为统一的标准化格式,便于后续处理。
2. 日志存储与管理
- 安全存储:使用加密和其他安全措施保护日志数据在存储过程中的安全性和私密性。
- 高效检索:对日志数据进行索引和优化存储,实现快速检索和访问。
- 长期保存:按照合规要求对日志数据进行长期保存,支持法规审计和历史查询。
3. 日志分析与关联
- 关联分析:通过内置的规则引擎对标准化日志进行跨设备、细粒度的关联分析,以发现潜在的安全事件和风险。
- 异常检测:利用先进的数据分析技术识别异常行为和潜在的安全威胁。
- 趋势预测:分析日志数据中的长期趋势,预测可能的安全漏洞和性能问题。
4. 告警与响应
- 实时告警:当检测到异常或重要安全事件时,系统可以配置告警规则,通过邮件、短信等方式及时通知管理员。
- 自动化响应:根据预定义的响应策略自动执行相应的安全操作,如隔离受影响的系统或关闭恶意连接。
5. 报表与报告
- 定制化报表:根据不同的审计需求生成定制化的报表,包括安全概览、事件统计和趋势分析。
- 合规报告:提供符合法律法规要求的报告,帮助企业通过外部审计和内部合规检查。
6. 用户界面与访问控制
- 友好的用户界面:提供直观的Web界面或客户端应用程序,方便管理员进行操作和管理。
- 访问控制:实施严格的权限管理,确保只有授权人员才能访问日志审计系统和数据。
7. 系统与数据保护
- 高可用性:采用集群和冗余设计确保系统的高可用性和可靠性。
- 数据备份:定期备份重要日志数据,防止因系统故障或意外情况导致数据丢失。
8. 可扩展性与集成
- 灵活扩展:支持模块化和插件化,可以根据业务需求轻松扩展功能。
- 系统集成:能够与企业现有的IT基础设施和安全系统集成,形成统一安全监控体系。