Logbase日志审计系统技术白皮书(2)

LogBase日志管理审计系统白皮书

第三章 Logbase日志审计系统总体介绍

2.1 产品简介

LogBase日志审计系统是思福迪公司自主研发的拥有自主知识产权的专业日志安全审计产品，系统通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

LogBase日志审计系统提供对信息系统中各类主机、数据库、应用和设备的安全事件进行实时采集、实时分析、异常报警、集中存储和事后分析功能，支持分布式、跨平台部署，具备对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的日志安全审计能力。

通过Logbase系统，企业管理员随时了解整个IT系统的运行情况，及时发现系统异常事件及非法房屋行为；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，Logbase可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。

因此，Logbase可以帮助用户有效降低IT系统的故障而带来的损失，降低IT系统的运维成本和管理的复杂度，显著提高系统整体的安全性、可靠性和运行效率，保证IT系统7X24的正常、持续、稳定运行，降低信息系统的整体安全风险。

2.2 体系架构

Logbase日志审计系统基于嵌入式Linux系统进行开发，由日志采集模块、

? 版权所有2008 杭州思福迪信息技术有限公司 6 / 14

LogBase日志管理审计系统白皮书

日志审计模块、日志管理等主要模块组成。LogBase日志审计系统采用B/S架构，管理员通过HTTPS方式对主机进行管理。 Logbase的系统架构如图3.1所示。

? 版权所有2008 图3.1 LogBase日志审计系统架构示意图

杭州思福迪信息技术有限公司

7 / 14

LogBase日志管理审计系统白皮书

第四章 产品功能

4.1日志采集

Logbase日志审计系统经过多年的研发，已经具备跨平台、分布式日志采集能力。 支持广泛的采集对象：

? 操作系统：windows、unix、Linux、BSD等 ? 网络设备：cisco、华为等

? 安全设备：防火墙、代理设备、负载均衡设备、AV等 ? 应用日志：WEB(IIS、apache等)、Mail、FTP等 ? 数据库日志：ORACLE、MSSQL记录文件等 采集方式：

? 专用采集Agent：通过安装在主机中的软件Agent进行采集 ? 日志协议采集：支持SYSLOG、SNMP TRAP等采集协议

Logbase不仅支持对已知日志类型的采集分析，也支持通过Logbase扩展模块采集其他未知的日志类型。

4.2集中存储

Logbase日志审计系统内置大容量(产品具体容量见相关产品资料)的硬盘存储空间，能够满足大多数环境下客户对日志的存储需求，设备采用Raid硬盘阵列，可有效防止由于硬盘硬件问题而带来的数据丢失。

同时Logbase还支持外挂存储系统，如：NAS、SAN、磁盘柜等，从而实现存储空间的海量扩充。

? 版权所有2008 杭州思福迪信息技术有限公司 8 / 14

LogBase日志管理审计系统白皮书

Logbase采用磁盘空间“零”管理机制，管理员无需对存储空间进行人工管理，系统将在磁盘空间不足时自动清理最早的历史数据，从而保障系统的正常运行。

LogBase支持对历史日志进行以下管理操作：

? 日志备份：支持按照类型、时间范围等方式对历史日志进行备份；备份

文件为加密格式，只能导入Logbase系统中才能查看；

? 日志恢复：对备份的日志恢复到Logbase系统中，进行再次审计；

4.3异常事件监控告警

Logbase日志审计系统具备对采集到的日志进行实时分析能力，依照系统内置的安全事件规则库，对日志信息进行实时事件匹配，并对其中的异常事件、重点关注事件进行多种方式的告警，便于安全维护人员及时发现信息系统中的异常状况

Logbase日志审计系统内置大量的安全事件监测规则，检测对象涵盖windows、unix、linux、web、ftp、mail、网络设备、防火墙、数据库等多个系统。安全事件分析内容包括：系统故障、帐号登录、帐号管理、服务管理、网络配置、关键配置文件访问更改、WEB攻击、设备故障等各个方面。安全事件库通过支持用户自定义方式进行扩充，管理员可以在规则维护界面中根据需要自行添加安

? 版权所有2008 杭州思福迪信息技术有限公司 9 / 14

LogBase日志管理审计系统白皮书

全监控事件。

告警方式目前支持：短信、邮件、屏幕等方式。

4.4日志检索

LogBase系统在接收日志信息时，根据不同的日志种类进行不同的格式化处理，在保留所有日志原始信息的同时将日志根据字段进行分割处理。用户在检索日志时，可以根据日志的类型，字段内容进行多重条件精细匹配，如：日志源IP、日志生成时间、任意字段内容等；从而实现日志的快速准确定位；

Logbase日志审计系统支持对每次查询结果的导出功能，管理员可以将查询结果以.csv格式下载到本地，便于人工二次处理或给其他分析系统使用。

4.5综合报表分析

除了通过实时异常事件告警、检索分析之外，Logbase日志审计系统还为审计人员提供了直观灵活的报表功能。

? 版权所有2008 杭州思福迪信息技术有限公司 10 / 14