市面上有一些开源的SYSLOG日志管理软件,但如果想商用的话,距离客户的要求差距还是蛮大的。我从思福迪日志管理综合审计系统(LogBase LEC)中截了一些图,这是一款集网络审计、数据库审计、日志审计于一体的硬件设备,本文集中展示了运营商、银行系统广泛使用的日志管理产品的一些功能。

支持各类常见的日志采集方式,不但包括纯粹的SYSLOG,还包括更多形式的日志采集,包括但不仅限于:Windows、URL、数据库访问等本身不支持SYSLOG的数据采集/分析方式。

1

多种多样的检索、分析界面,我最喜欢用的是“高级检索”,除了各种日志,还支持对数据库的分析,如下图:

2

可以对HIS数据库中,操作时间超过3秒、影响行数超过100行的操作进行查询。不但可以对SQL进行优化,亦可进行非正常语句的分析,如统方事件的发现、告警,实现防统方的目的(使用场景:医院、等级保护项目)

另外,商业产品,必须展现给客户简单易懂的界面,所以报表功能必须强大。不但可以支持自定义报表,亦可定期(每天、每周、每月等)生成邮件,发送给管理员。当然,合规报表也是必须的,做等级保护、SOX合规项目会感觉很爽!

3

SYSLOG采集方式下的“网络及安全设备”分类下面,目前内置分析模板的日志类型是这么多,没有的可以放到“其它”下面,当然亦可由厂家进行定制,这个时间很快!一般24小时可以搞定(对,商业的技术支持就是如此)

4

数据采集方式包括:日志导入、SYSLOG、OPSEC LEA、镜像数据采集、文件定时采集等方式,满足不同场景下的日志采集需求。

内置镜像数据分析(网络行为审计、数据库操作审计)

5

支持文件定时采集,比如Unix、SQL Server、MySQL、Tomcat、Apache、WebLogic、WebSphere、Resin、Nginx等……当然,限于下拉菜单和截图的展现方式,这里只能看到几个,实际要多的多。

6

内置规则是必须的!如:root用户登录失败、普通用户登录失败、增加用户、删除用户、系统重启,必须有内置告警规则。

7

同样,系统内置了Windows日志的告警,对Windows系统、应用、安全日志,均可进行有效管理。

8

作为一款支持旁路数据分析的设备,思福迪日志管理综合审计系统支持Oracle、Sybase、Informix、DB2、MySQL、MS SQL的SQL语句分析与告警,见下图:

9

同样,上面提到,针对数据库的SQL语句,可以设定完善的查询条件,进行数据库优化、HIS防统方用。

厂家技术支持,本站站长:张百川(网路游侠),QQ:55984512,亦可直接致电:15339230081

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。