摘要: 网路游侠:最近身边有一些朋友在找日志审计、日志管理产品的需求,其实需求也就是常见产品的功能清单,也基本是用户在采购中需要注意的一些事项。不大想自己写了,就从百度文库找了一篇现成的文档。当然,功能描述的比较中性,很多厂家的都可以满足。在这里贴给大家看: 一、总体...
网路游侠:最近身边有一些朋友在找日志审计、日志管理产品的需求,其实需求也就是常见产品的功能清单,也基本是用户在采购中需要注意的一些事项。不大想自己写了,就从百度文库找了一篇现成的文档。当然,功能描述的比较中性,很多厂家的都可以满足。在这里贴给大家看:
一、总体要求
支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设备进行自动采集。
支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件,并将日志统一格式化处理。
对采集的日志可分类实时监控和自动告警。
对收集的日志信息可按日志所有属性进行组合查询和提供报表。
能按日志来源、类型、日期进行存储,支持日志加密压缩归档。
不影响日志源对象运行性能和安全。
操作简便直观,可用性好。
二、具体要求
2.1日志收集对象要求
序号 | 设备类型 | 品牌 | 日志类型 |
1 | 网络交换设备 | 支持思科、华为、H3C网络设备产品 | 网络设备开机、重启、关机时间记录;网络设备宕机时间记录; 网络设备运行性能记录; 配置修改的记录; 设备异常记录; |
2 | 网络安全设备 | 支持H3C、天融信防火墙、SYMANTEC NORTON防病毒系统、北电VPN、安氏IDS/IPS | 安全设备系统事件记录;配置发生修改记录; 规则/策略更新记录; 动态连接记录; 授权访问记录; 拒绝IP连接记录; 应用记录(FTP,HTTP等); 安全事件记录 |
3 | 操作系统 |
Windows系列 UNIX系列(AIX、HP-UX、Solaris 、LINUX系统) | 系统日志、安全日志、应用日志。 CPU、内存、磁盘、接口流量利用率,服务和TCP连接数; DNS日志、目录服务日志、文件复制服务日志 |
4 | 数据库日志 | ORACLE、MS SQL SERVER | 采集数据库系统日志,启动、登录、错误; 数据库关键进程运行情况日志 |
5 | Web服务器 | 支持IIS、APACHE、TOMCAT | IIS WEB服务产生的启动和错误日志; 采集Apache产生的error.log文件里的启动和错误日志 |
6 | 其他应用系统平台 | WINDCHILL应用日志 | 采集Winchill服务器产生的登录、修改和错误日志 |
用户可根据自己的需求很容易定制开发新的日志收集代理。
2.2 日志收集方式要求
需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。
主动信息采集
对路由器、交换机、防火墙、VPN、IDS/IPS等网络设备的日志采集支持采用SYSLOG(UDP514)和OPSEC LEA协议形式自动采集。
日志文件采集
支持本地系统平台上通过安装Agent采集日志文件中的日志信息。
性能状态探测
能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。
2.3日志分析功能要求
2.3.1告警功能
支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。
监控台支持对收集的全部日志进行分类实时监控。
应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。
能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息,支持自定义报警日志的类型。
通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计,按数据源输出监控分析报表。
支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。
2.4 日志存储功能要求
可将收集的日志进行集中存储在日志服务器或外部存储设备。
支持将日志进行分对象、类型、日期进行归档存储。
可对日志进行加密、压缩存储。
2.5 性能要求
对存储空间无限制
检索效率每10万条日志<1秒。
对数据源的系统CPU、内存的资源占用小于5%。
2.6 易用性要求
支持分布式部署
操作界面友好,易于操作
2.7 安全性要求
应保证只有授权管理员和可信主机才有权使用产品的管理功能,对授权管理员和可信主机应进行身份鉴别。
应能够对审计数据进行备份/删除。
管理员无法直接接触日志,日志无法更改,删除,保证客观性。
★ 游侠安全网 www.youxia.org 欢迎各安全爱好者、安全厂家投稿。
游侠公司也做日志管理,有需求欢迎联系QQ:55984512
