1.1综合审计
VCLMS针对目前主流信息系统基础平台的特点,通过采集各种网络设备、安全设备、操作系统及应用软件平台的安全事件日志及各种消息、主动探测运行状态等手段,全面地监测、记录信息系统各部分的动态信息及配置变更,提供实时告警并输出各种综合分析报告,为系统管理人员提供了一个监测面广、响应及时、具有强大分析能力的综合日志管理平台
1.1.1支持类型
·操作系统:
Linux、Solaris、AIX等所有主流类Unix操作系统的系统日志;
Windows操作系统日志(EventLog);
·网络及安全设备:
国内外主流网络及安全设备厂商的各种网络设备及安全设备;
所有支持syslog的网络及安全设备;
·应用系统:
支持对常见Web及应用中间件系统(Apache、IIS、Tomcat、Resin、Websphere、WebLogic、TUXEDO、VisiBroker等)、EMAIL系统、FTP系统和常见应用系统产生的系统运行及用户访问日志。
1.1.2采集方式
·协议型信息采集
对网络及安全设备的信息源采集主要是采用通用标准协议,包括SYSLOG(UDP514)、OPSEC LEA协议等,涉及设备包括路由器、交换机、防火墙、VPN、IDS/IPS等网络及安全设备。
·日志文件采集
大部分应用系统、WEB服务、会产生以文件形式的日志存在在本地系统平台上,通过在相应的系统平台上安装Agent客户端来采集日志信息;也可提供共享协议和权限,让LogBase设备主动去采集文件,如通过FTP、HTTP等方式获取。
注:Windows EventLog必须通过安装Agent方式进行采集
1.1.3审计效果
·对网络及安全设备运行状态跟踪
通过VCLMS可以对各设备、操作系统、应用的日志进行实时监测,及时发现设备运行的异常情况,并第一时间通知管理员,为排查故障争取时间。
·海量日志集中审计
管理员能够通过VCLMS对操作系统、应用平台、网络及安全设备的海量日志进行集中审计与管理,并实现有效的关联分析,发现其中的安全故障和隐患,减少安全事故响应时间。
·提高安全事件分析能力
通过VCLMS能够有效避免黑客入侵后删除主机上的入侵痕迹的情况,在发生安全事件后,随时都能够为管理员提供完整的日志数据,有利于管理员对安全事件进行深入分析,为安全事件责任定位提供客观证据。
VCLMS产品内置高达数百G(产品具体容量见相关产品资料)的硬盘存储空间,内置存储空间均采用Raid硬盘阵列,可有效防止由于硬盘硬件问题而带来的数据丢失,同时VCLMS支持外挂存储系统,如:NAS、SAN、磁盘柜等,从而实现存储空间的海量扩充。
VCLMS支持对日志进行以下管理操作:
·日志归档包括:手工与自动两种方式。操作员可以设置归档范围(类型、时间) ;
·日志备份:支持归档文件的多种备份方式(Tape/Ftp/Samba/NFS);
·日志导入:原始日志批量导入和归档文件导入;
·日志导出:支持将日志以文件形式导出;
在已归档日志范围内,系统管理员可对日志记录进删除操作。
1.2实时监控
VCLMS可以对安全事件日志及操作行为等进行实时监控,也能够对设备的日志量等情况进行检测,对其中的异常行为、违规行为、异常状态等事件采用短信、邮件等方式进行实时告警。
VCLMS内置了常见系统的安全审计规则,客户可根据自身情况增加自定义审计规则。
1.3查询分析
对于运营商或者大型企业的关键的服务,每天一个服务产生的日志就可能达到100M以上。而对于整个数据中心,每天产生的日志数据量可能达到1T。这是十分惊人的数字,对这么庞大的数据规模进行处理是十分有挑战性的任务。VCLMS正是面向这种难题,提供超快速、实时数据分析能力的解决方案。
VCLMS系统使用低成本硬件系统提供针对海量数据的快速响应能力,可以实时的进行日志查询操作。
用户在查询日志时,可以根据日志的类型,字段内容进行精细匹配,如:日志源IP、日志生成时间、任意字段内容等;从而实现日志的快速准确定位;
1.4权限管理
VCLMS支持严格完善的权限管理,管理员可以为每一个用户分配合适的权限。
权限分配按照2级方式进行:
·限制页面功能模块访问,如查询模块、报表模块等等
·审计目标限制,可以限制用户只能查看哪些主机或类型的日志,避免在多用户环境下,用户越权访问其他日志信息。
1.5告警
VCLMS通过实时审计和综合审计产生告警。在匹配了预定义的审计规则后,产生的告警将通过声音、短信、显示报警框、发送Mail等方式及时发送相关人员,或自动运行相应的程序进行故障处理;提供全方位的告警监测和统计分析。
1.5.1灵活多样的报警方式
VCLMS报警方式有以下几种:
●发出声音
当事件发生时,VCLMS可以发出声音(铃)在所有控制台记录中发出声音(铃)。
●发送短信
发送短信警报,可以方便网络管理人员随时随地接收警报,有效跨越时间和区域的障碍。
●显示报警框
对于要求得到立即关注的事件,VCLMS可以在所有记录的控制台上显示一个警报框。控制台计算机将会重复发出警报,直至按下警报框中的停止按钮。
●发送电子邮件
根据预先设置,VCLMS可以给一组用户发送电子邮件通知。
★ 如果您需求日志管理综合审计系统,亦可与本站站长联系
张百川 QQ:55984512,电话:15339230081
