【文章內(nèi)容簡(jiǎn)介】 Linux、 Solaris、 AIX 等所有主流 類 Unix 操作系統(tǒng) 的運(yùn)行狀態(tài)及系統(tǒng)日志 ； Windows 操作 系統(tǒng)日志 （ EventLog） 、服務(wù)器主機(jī) 運(yùn)行狀況 、網(wǎng)絡(luò) 連接狀態(tài) 等 ； ? 網(wǎng)絡(luò)及 安全設(shè)備： 國(guó)內(nèi)外主流網(wǎng)絡(luò)及安全設(shè)備廠商 的各種 網(wǎng)絡(luò) 設(shè)備 及安全 設(shè)備 ；所有支持syslog 的網(wǎng)絡(luò)及安全設(shè)備； ? 應(yīng)用系統(tǒng) ： 支持對(duì)常見 Web 及應(yīng)用中間件系統(tǒng)（ Apache、 IIS、 Tomcat、 Resin、Websphere、 WebLogic、 TUXEDO、 VisiBroker 等）、 EMAIL 系統(tǒng)、 FTP系統(tǒng)和常見應(yīng)用 系統(tǒng)產(chǎn)生的系統(tǒng)運(yùn)行及用戶訪問日志 。 LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 14 / 28 ? 協(xié)議型信息采集 對(duì)網(wǎng)絡(luò)及安全設(shè)備的信息源采集主要是采用通用標(biāo)準(zhǔn)協(xié)議，包括 SYSLOG（ UDP514）、 OPSEC LEA 協(xié)議等，涉及設(shè)備包括路由器、交換機(jī)、防火墻、 VPN、IDS/IPS 等網(wǎng)絡(luò)及安全設(shè)備。 ? 日志文件采集 大部分應(yīng)用系統(tǒng)、 WEB 服務(wù)、會(huì)產(chǎn)生以文件形式的日志存在在本地系統(tǒng)平臺(tái)上，通過在相應(yīng)的系統(tǒng)平臺(tái)上安裝 Agent 或腳本 來(lái)采集日志信息；也可提供共享協(xié)議和權(quán)限，讓 LogBase 設(shè)備主動(dòng)去采集文件，如通過 FTP、 HTTP 等方式獲取。 注： Windows EventLog 必須通過安裝 Agent 方式進(jìn)行采集 ? 系統(tǒng)狀態(tài) 采集 對(duì)于服務(wù)器的系統(tǒng)、應(yīng)用、服務(wù)、用戶、網(wǎng)絡(luò)和進(jìn)程等相關(guān)日志信息通過syslog 配置進(jìn)行采集 。 審計(jì)效果 ? 對(duì) 網(wǎng)絡(luò)及安全設(shè)備運(yùn)行狀態(tài)跟蹤 通過 Logbase 系統(tǒng)可以對(duì)各設(shè)備、操作系統(tǒng)、應(yīng)用的運(yùn)行狀態(tài)日志進(jìn)行實(shí)時(shí)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)設(shè)備運(yùn)行的異常情況，并第一時(shí)間通知管理員，為排查故障爭(zhēng)取時(shí)間 。 ? 對(duì) 服務(wù)器運(yùn)行狀態(tài)跟蹤 對(duì)各種 操作系統(tǒng)（如 Microsoft Windows NT/98/2k/XP、 Unix/Linux、Solaris、 FreeBSD、 UnixWare、 AIX、 HPUX、 OpenServer 等 ） 的運(yùn)行狀態(tài)進(jìn)行 7*24 實(shí)時(shí)監(jiān)控 ，通過日志分析及時(shí)發(fā)現(xiàn)潛在安全隱患 ，為管理員排查故障提供客觀數(shù)據(jù)。 LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 15 / 28 ? 海量日志集中審計(jì) 管理員希望能 夠通過 Lobase 對(duì)操作系統(tǒng)、應(yīng)用平臺(tái)、網(wǎng)絡(luò)及安全設(shè)備的海量日志進(jìn)行集中審計(jì)與管理， 并實(shí)現(xiàn)有效的關(guān)聯(lián)分析，發(fā)現(xiàn)其中的安全故障和隱患 ，減少安全事故響應(yīng)時(shí)間 。 ? 提高安全事件分析能力 通過 Logbase，能夠有效避免黑客入侵后刪除主機(jī)上的入侵痕跡的情況，在發(fā)生安全事件后，隨時(shí)都能夠?yàn)楣芾韱T提供完整的日志數(shù)據(jù)，有利于管理員對(duì)安全事件進(jìn)行深入分析，為安全事件責(zé)任定位提供客觀證據(jù)。 LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 16 / 28 管理 操作 審計(jì) (BH) Logbase “馭風(fēng)” 系列堡壘主機(jī)系統(tǒng)，是由思福迪公司自主研發(fā)的新一代行為軟硬件一體化操作審計(jì)系統(tǒng)，該系統(tǒng)不僅支持對(duì)明文的 TELNET、 FTP、數(shù)據(jù)庫(kù)操作進(jìn)行審計(jì)，也支持對(duì)加密的 SSH、 RDP 等協(xié)議進(jìn)行審計(jì)，消除了傳統(tǒng)行為審計(jì)系統(tǒng)中的審計(jì)盲點(diǎn)，結(jié)合 Logbase 日志審計(jì)系統(tǒng)，能夠?yàn)樾畔踩Ｕ象w系建設(shè)提供了完美的審計(jì)解決方案。 協(xié)議支持清單 ? 基本遠(yuǎn)程操作協(xié)議 ? SSH ? TELNET ? Rlogin ? FTP ? 圖形終端操作協(xié)議 ? RDP（ windows 遠(yuǎn)程桌面） ? VNC ? 數(shù)據(jù)庫(kù)遠(yuǎn) 程協(xié)議 Logbase BH 支持以下主流數(shù)據(jù)庫(kù)遠(yuǎn)程訪問協(xié)議審計(jì) ? ORACLE ? DB2 ? MSSQL SERVER ? INFORMIX ? MySQL ? SYBASE 針對(duì)上述協(xié)議， Logbase BH 能夠記錄整個(gè)會(huì)話的完整過程，并形成指令日志LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 17 / 28 及回放文件 2 部分審計(jì)數(shù)據(jù)，指令日志供管理員針對(duì)操作指令進(jìn)行快速審計(jì)，回放文件可供管理員針對(duì)特定的會(huì)話進(jìn)行完整操作審計(jì)。 部署方式 Logbase BH 系統(tǒng)支持透明模式、單目、雙目、分布式方式進(jìn)行部署，可以充分滿足不同網(wǎng)絡(luò)對(duì)審計(jì)系統(tǒng)的需求。 Logbase BH 部署支持 ActiveActive 雙機(jī)模式，避免產(chǎn)生單點(diǎn)故障而影響正常的維護(hù)通道。 具體請(qǐng)參考 Logbase BH 技術(shù)白皮書。 審計(jì) 效果 Logbase “馭風(fēng)”堡壘主機(jī)系統(tǒng)能夠讓企業(yè)具備對(duì)管理員維護(hù)操作的全面監(jiān)控能力 。 Logbase BH 支持針對(duì) Tel、 FTP、 SSH、 Rlogin 各類數(shù)據(jù)庫(kù)操作記錄進(jìn)行查詢 ，可 以根據(jù)上述操作協(xié)議中的用戶名、 IP、端口、時(shí)間、操作指令、返回結(jié)果等等信息進(jìn)行多重組合查詢。管理員可以通過 Logbase BH 強(qiáng)大的檢索功能對(duì)關(guān)心的事件進(jìn)行迅速定位。 Logbase BH 支 持對(duì)各類支持的協(xié)議進(jìn)行視頻回放，管理員可以根據(jù) IP、時(shí)間段等信息查找關(guān)心的 RDP、 VNC 等操作的回放文件并進(jìn)行在線視頻回放，也可以根據(jù)查詢結(jié)果直接定位至 TELNET、 SSH、數(shù)據(jù)庫(kù)、 FTP 等遠(yuǎn)程維護(hù)操作的回放文件直接進(jìn)行回放審計(jì)?；胤胚^程能夠還原上述協(xié)議中的所有操作行為，就如同對(duì)管理員的操作顯示器進(jìn)行監(jiān)控一樣。 Logbase BH 系統(tǒng)支持通過規(guī)則設(shè)定異常及非法操作行為，一旦檢測(cè)到這些異常的操作行為， BH 將直接阻斷此操作，并斷開該操作的 TCP 連接，因而能夠有效防止各類違規(guī)操作事件的發(fā)生。同時(shí) BH 也支持對(duì)危險(xiǎn) 指令的告警功能， 目前告警方式主要支持：短信、郵件、等等。 LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 18 / 28 通過 Logbase 系統(tǒng)強(qiáng)大的報(bào)表功能，不僅能夠幫助企業(yè)建立起完善的內(nèi)控 審計(jì) 體系，也能幫助企業(yè)滿足諸如《 SOX 法案》等法規(guī)對(duì)內(nèi)控的需求。 第 四章 管理 功能及 特性 實(shí)時(shí) 監(jiān)控 Logbase 可以 對(duì)安全事件日志及操作行為進(jìn)行實(shí)時(shí)監(jiān)控， 也能夠?qū)υO(shè)備的日志量、系統(tǒng)負(fù)載等情況進(jìn)行檢測(cè)，對(duì)其中的異常行為、違規(guī)行為、異常狀態(tài)等事件采用短信、郵件等方式進(jìn)行實(shí)時(shí)告警。 Logbase 內(nèi)置了常見系統(tǒng)的安全審計(jì)規(guī)則，客戶可根據(jù)自身情況增加自定義審計(jì)規(guī)則。 查詢分析 LogBase 系統(tǒng)在接收日志信息時(shí)，根據(jù)不同的日志種類進(jìn)行不同的格式化處理，在保留所有日志原始信息的同時(shí)將日志根據(jù)字段進(jìn)行分割處理。用戶在檢索日志時(shí)，可以根據(jù)日志的類型，字段內(nèi)容進(jìn)行精細(xì)匹配，如：日志源 IP、日志生成時(shí)間、任意字段內(nèi)容等；從而實(shí)現(xiàn)日志的快速準(zhǔn)確定位； 綜合分析 Logbase 通過動(dòng)態(tài) 報(bào)表的方式對(duì) 審計(jì)結(jié)果 進(jìn)行統(tǒng)計(jì)分析。用戶可以根據(jù)自身的實(shí)際需求在預(yù)定義的報(bào)表模板上調(diào)整相關(guān)設(shè)置，進(jìn)行報(bào)表生成。 Logbase 默認(rèn)內(nèi)置豐富的報(bào)表模板，其中大部分報(bào)表均符合 SOX法案 對(duì)信息系統(tǒng)的 審計(jì)需 求。 LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 19 / 28 數(shù)據(jù)管理 LogBase 將采集到的各類事件 經(jīng)過 格式化預(yù)處理過后 ， 統(tǒng)一以日志的形式 送往 管理及查詢中心和存儲(chǔ)中心。 LogBase 采用專有的特殊文件系統(tǒng)對(duì)規(guī)范化的日志進(jìn)行存儲(chǔ)，同時(shí)也支持Mysql 等標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)存儲(chǔ)。 LogBase 文件存儲(chǔ)機(jī)制為思福迪根據(jù)日志系統(tǒng)的特殊性進(jìn)行專門研發(fā)，為海量日志的存儲(chǔ)及檢索進(jìn)行了優(yōu)化設(shè)計(jì)，在海量日志的情況下，具有其他同類日志審計(jì)產(chǎn)品無(wú)法比擬的速度優(yōu)勢(shì)。 LogBase 產(chǎn)品內(nèi)置高容量 (產(chǎn)品具體容量見相關(guān)產(chǎn)品資料 )的硬盤存儲(chǔ)空間，內(nèi)置存儲(chǔ)空間均采用 Raid 硬盤陣列，可有效防 止由于硬盤硬件問題而帶來(lái)的數(shù)據(jù)丟失，同時(shí) LogBase 支持外掛存儲(chǔ)系統(tǒng)，如： NAS、 SAN、磁盤柜等，從而實(shí)現(xiàn)存儲(chǔ)空間的海量擴(kuò)充。 LogBase 支持對(duì)日志進(jìn)行以下管理操作： ? 日志歸檔包括：手工與自動(dòng)兩種方式。操作員可以設(shè)置歸檔范圍（類型、時(shí)間） ； ? 日志備份： 支持歸檔文件的多種備份方式（ Tape/Ftp/Samba/NFS）； ? 日志導(dǎo)入 ：原始日志批量導(dǎo)入和歸檔文件導(dǎo)入； ? 日志導(dǎo)出：支持將日志以文件形式導(dǎo)出； ? 在已歸檔日志范圍內(nèi)，系統(tǒng)管理員可對(duì)日志記錄進(jìn)刪除操作。 權(quán)限管理 LogBase 支持嚴(yán)格完善的權(quán)限管理系統(tǒng)，管理員可以為每一個(gè)審計(jì)用戶分配 合適的權(quán)限。 權(quán)限分配安裝 2級(jí)方式進(jìn)行： ? 限制頁(yè)面功能模塊訪問，如查詢模塊、報(bào)表模塊等等 LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 20 / 28 ? 審計(jì)目標(biāo)限制，可以限制用戶只能查看哪些主機(jī)或類型的日志，避免在多用戶環(huán)境下，用戶越權(quán)訪問其他日志信息。 設(shè)備管理 LogBase 日常管理工作均 HTTPS 進(jìn)行管理，管理模塊獨(dú)立于其他功能模塊，對(duì)管理模塊的攻擊行為不會(huì)對(duì)系統(tǒng)正常功能造成影響。同時(shí) Logbase 也支持串口及 SSH 方式對(duì)設(shè)備進(jìn)行 配置 維護(hù)。 產(chǎn)品特性及優(yōu)勢(shì) 日志高速檢索及分析能力 LogBase 系統(tǒng)采用了思福迪公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了在采用關(guān)系數(shù)據(jù)庫(kù)在處理海量日志數(shù)據(jù)時(shí)的低效率問題，采用了“基于預(yù)測(cè)的動(dòng)態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲(chǔ)”等核心技術(shù)手段，實(shí)現(xiàn)了對(duì)日志的高速檢索能力。 LogBase 500 PRO 的檢索及吞吐能力如下： ? 500萬(wàn)條緩存日志檢索時(shí)間小于 5 秒； ? 提供不小于 2020條日志 /秒的日志接受及實(shí)時(shí)分析能力； 審計(jì)記錄安全保障 ? 系統(tǒng) 內(nèi)部存儲(chǔ)為 SATA 硬盤 Raid 陣列，即能保障日志信息在設(shè)備內(nèi)的安全存儲(chǔ)需求， 又能保障高效的檢索速度； ? 系統(tǒng) 內(nèi)置安全防火墻系統(tǒng)，可以設(shè)定嚴(yán)格的訪問源，從而避免了絕大部分的無(wú)關(guān)流量，進(jìn)一步保障系統(tǒng)本身的安全性； ? 系統(tǒng) 底層采用 嵌入式 64 位 Linux 系統(tǒng)，系統(tǒng)內(nèi)核已進(jìn)行全面精簡(jiǎn)、優(yōu)化，從而在內(nèi)核級(jí)別保障系統(tǒng)本身及日志的安全性； LogBase 日志管理審計(jì)系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 21 / 28 ? 當(dāng)網(wǎng)絡(luò)出現(xiàn)不穩(wěn)定、中斷情況；探