日志審計系統簡介

什么是日志審計？

綜合日志審計平臺，通過集中采集信息系統中的系統安全事件、用戶訪問記錄、系統運行日志、系統運行狀態等各類信息，經過規范化、過濾、歸并和告警分析等處理后，以統一格式的日志形式進行集中存儲和管理，結合豐富的日志統計匯總及關聯分析功能，實現對信息系統日志的全面審計。

通過日志審計系統，企業管理員隨時了解整個IT系統的運行情況，及時發現系統異常事件；另一方面，通過事后分析和豐富的報表系統，管理員可以方便高效地對信息系統進行有針對性的安全審計。遇到特殊安全事件和系統故障，日志審計系統可以幫助管理員進行故障快速定位，并提供客觀依據進行追查和恢復。[百度百科] 

為什么需要日志審計平臺？

1. 日志審計的合規要求，由于網絡安全法的頒布實施，由原先的不合規轉變成了不合法。如果不對要求的相關日志不做     留存6個月以上，一旦追查，將面臨法律責任。
2. 安全運營的挑戰。隨著網絡設備的增多，以及服務器數量的增多，如果沒有統一的綜合日志審計平臺，那么需要登錄到每臺設備上查看日志，不利于運維人員管理。而且眾多設備會產生海量的日志，無法有效管理。多種設備形成信息孤島，日志無法關聯分析。通過統一的日志審計平臺，將所有設備日志都收集到日志平臺進行統一管理，統一分析。

日志審計的核心目標：

• 多源數據歸一化
• 日志存儲集中化
• 關聯分析自動化
• 安全態勢立體化 

日志審計的主要功能

設計思路：

統一日志采集：

• 對不同日志源 (主機系統、網絡設備、安全設備、應用中間件、數據庫等)所產生的日志進行收集，實現日志的集中管理和存儲。支持解析任意格式、任意來源的日志，通過解析規則標準化。
• 使用無代理的方式收集日志。
• 支持代理方式的日志收集。

關聯分析：

• 預置多種事件關聯規則。
• 定位外部威脅、黑客攻擊、內部違規操作，設備異常。
• 簡單靈活定義關聯規則。

實時告警：

• 通過郵件、短信、聲音對發生的告警進行及時通知，并可通過接口調用自動運行程序或腳本。
• 通過告警策略定義，對各類風險 和事件進行及時告警或預警，提升運維效率。

日志取證分析：

• 深入分析原始日志事件，快速定位問題的根本原因。
• 生成取證報表，例如攻擊威脅報表、Windows/Linux系統審計報表以及合規性審計報表等。

監管合規：

• 提供Windows審計、Linux審計、PCI、SOX、ISO27001等合規性報表。
• 支持創建自定義合規性報表

日志審計系統產品功能結構：

圖：日志審計系統產品功能結構

日志審計系統的主要工作原理是，通過日志采集器，各種設備將日志推送到日志審計平臺，然后日志審計平臺通過日志解析，日志過濾，日志聚合等進行關聯分析，從而進行告警，統計報表，也可以進行資產管理，日志檢索等。

日志的轉發方式：

日志轉發一般可以通過：Syslog轉發，Kafka轉發，http轉發。

日志收集一般支持：Syslog、SNMP等日志協議。

日志審計系統常見模塊：

• 日志事件獲取模塊：安全事件監控系統是實時掌握全網的安全威脅狀況的重要手段之一。通過事件監控模塊監控各個網絡設備、主機系統等日志信息，以及安全產品的安全事件報警信息等，及時發現正在和已經發生的安全事件，通過響應模塊采取措施，保證網絡和業務系統的安全、可靠運行。
• 資產管理模塊：資產管理實現對網絡安全管理平臺所管轄的設備和系統對象的管理。它將其所轄IP設備資產信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。
• 規則庫模塊：規則庫已支持主流網絡設備、主機系統、數據庫系統等，而且還應涵蓋已經部署的安全系統，包括防火墻系統、防病毒系統等。并提供新日志格式適配功能，支持從安全運營中心平臺接收新日志解析映射規則配置。用戶可以根據該適配功能，對新日志格式進行自行適配。
• 統計報表功能：具備強大的統計功能，可快速生成多種專業化的報表并支持自定義圖表的設定集展示。
• 權限管理模塊：超級管理員可根據用戶角色分配平臺查看、操作各模塊的權限，用戶可以訪問而且只能訪問自己被授權的資源

日志審計平臺的部署方式

硬件產品部署方式：

一般日志審計系統采用旁路部署即可，只要到達全部設備網絡可通即可。

支持單機部署和分布式部署。