市面上有一些开源的SYSLOG日志管理软件,但如果想商用的话,距离客户的要求差距还是蛮大的。我从思福迪日志管理综合审计系统(LogBase LEC)中截了一些图,这是一款集网络审计、数据库审计、日志审计于一体的硬件设备,本文集中展示了运营商、银行系统广泛使用的日志管理产品的一些功能。
支持各类常见的日志采集方式,不但包括纯粹的SYSLOG,还包括更多形式的日志采集,包括但不仅限于:Windows、URL、数据库访问等本身不支持SYSLOG的数据采集/分析方式。
多种多样的检索、分析界面,我最喜欢用的是“高级检索”,除了各种日志,还支持对数据库的分析,如下图:
可以对HIS数据库中,操作时间超过3秒、影响行数超过100行的操作进行查询。不但可以对SQL进行优化,亦可进行非正常语句的分析,如统方事件的发现、告警,实现防统方的目的(使用场景:医院、等级保护项目)
另外,商业产品,必须展现给客户简单易懂的界面,所以报表功能必须强大。不但可以支持自定义报表,亦可定期(每天、每周、每月等)生成邮件,发送给管理员。当然,合规报表也是必须的,做等级保护、SOX合规项目会感觉很爽!
SYSLOG采集方式下的“网络及安全设备”分类下面,目前内置分析模板的日志类型是这么多,没有的可以放到“其它”下面,当然亦可由厂家进行定制,这个时间很快!一般24小时可以搞定(对,商业的技术支持就是如此)
数据采集方式包括:日志导入、SYSLOG、OPSEC LEA、镜像数据采集、文件定时采集等方式,满足不同场景下的日志采集需求。
内置镜像数据分析(网络行为审计、数据库操作审计)
支持文件定时采集,比如Unix、SQL Server、MySQL、Tomcat、Apache、WebLogic、WebSphere、Resin、Nginx等……当然,限于下拉菜单和截图的展现方式,这里只能看到几个,实际要多的多。
内置规则是必须的!如:root用户登录失败、普通用户登录失败、增加用户、删除用户、系统重启,必须有内置告警规则。
同样,系统内置了Windows日志的告警,对Windows系统、应用、安全日志,均可进行有效管理。
作为一款支持旁路数据分析的设备,思福迪日志管理综合审计系统支持Oracle、Sybase、Informix、DB2、MySQL、MS SQL的SQL语句分析与告警,见下图:
同样,上面提到,针对数据库的SQL语句,可以设定完善的查询条件,进行数据库优化、HIS防统方用。
联系站长:张百川(网路游侠),QQ:55984512,亦可直接致电:15339230081
