【文章內(nèi)容簡介】 Linux、 Solaris、 AIX 等所有主流 類 Unix 操作系統(tǒng) 的運行狀態(tài)及系統(tǒng)日志 ； Windows 操作 系統(tǒng)日志 （ EventLog） 、服務(wù)器主機 運行狀況 、網(wǎng)絡(luò) 連接狀態(tài) 等 ； ? 網(wǎng)絡(luò)及 安全設(shè)備： 國內(nèi)外主流網(wǎng)絡(luò)及安全設(shè)備廠商 的各種 網(wǎng)絡(luò) 設(shè)備 及安全 設(shè)備 ；所有支持syslog 的網(wǎng)絡(luò)及安全設(shè)備； ? 應(yīng)用系統(tǒng) ： 支持對常見 Web 及應(yīng)用中間件系統(tǒng)（ Apache、 IIS、 Tomcat、 Resin、Websphere、 WebLogic、 TUXEDO、 VisiBroker 等）、 EMAIL 系統(tǒng)、 FTP系統(tǒng)和常見應(yīng)用 系統(tǒng)產(chǎn)生的系統(tǒng)運行及用戶訪問日志 。 LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 14 / 28 ? 協(xié)議型信息采集 對網(wǎng)絡(luò)及安全設(shè)備的信息源采集主要是采用通用標準協(xié)議，包括 SYSLOG（ UDP514）、 OPSEC LEA 協(xié)議等，涉及設(shè)備包括路由器、交換機、防火墻、 VPN、IDS/IPS 等網(wǎng)絡(luò)及安全設(shè)備。 ? 日志文件采集 大部分應(yīng)用系統(tǒng)、 WEB 服務(wù)、會產(chǎn)生以文件形式的日志存在在本地系統(tǒng)平臺上，通過在相應(yīng)的系統(tǒng)平臺上安裝 Agent 或腳本 來采集日志信息；也可提供共享協(xié)議和權(quán)限，讓 LogBase 設(shè)備主動去采集文件，如通過 FTP、 HTTP 等方式獲取。 注： Windows EventLog 必須通過安裝 Agent 方式進行采集 ? 系統(tǒng)狀態(tài) 采集 對于服務(wù)器的系統(tǒng)、應(yīng)用、服務(wù)、用戶、網(wǎng)絡(luò)和進程等相關(guān)日志信息通過syslog 配置進行采集 。 審計效果 ? 對 網(wǎng)絡(luò)及安全設(shè)備運行狀態(tài)跟蹤 通過 Logbase 系統(tǒng)可以對各設(shè)備、操作系統(tǒng)、應(yīng)用的運行狀態(tài)日志進行實時監(jiān)測，及時發(fā)現(xiàn)設(shè)備運行的異常情況，并第一時間通知管理員，為排查故障爭取時間 。 ? 對 服務(wù)器運行狀態(tài)跟蹤 對各種 操作系統(tǒng)（如 Microsoft Windows NT/98/2k/XP、 Unix/Linux、Solaris、 FreeBSD、 UnixWare、 AIX、 HPUX、 OpenServer 等 ） 的運行狀態(tài)進行 7*24 實時監(jiān)控 ，通過日志分析及時發(fā)現(xiàn)潛在安全隱患 ，為管理員排查故障提供客觀數(shù)據(jù)。 LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 15 / 28 ? 海量日志集中審計 管理員希望能 夠通過 Lobase 對操作系統(tǒng)、應(yīng)用平臺、網(wǎng)絡(luò)及安全設(shè)備的海量日志進行集中審計與管理， 并實現(xiàn)有效的關(guān)聯(lián)分析，發(fā)現(xiàn)其中的安全故障和隱患 ，減少安全事故響應(yīng)時間 。 ? 提高安全事件分析能力 通過 Logbase，能夠有效避免黑客入侵后刪除主機上的入侵痕跡的情況，在發(fā)生安全事件后，隨時都能夠為管理員提供完整的日志數(shù)據(jù)，有利于管理員對安全事件進行深入分析，為安全事件責任定位提供客觀證據(jù)。 LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 16 / 28 管理 操作 審計 (BH) Logbase “馭風” 系列堡壘主機系統(tǒng)，是由思福迪公司自主研發(fā)的新一代行為軟硬件一體化操作審計系統(tǒng)，該系統(tǒng)不僅支持對明文的 TELNET、 FTP、數(shù)據(jù)庫操作進行審計，也支持對加密的 SSH、 RDP 等協(xié)議進行審計，消除了傳統(tǒng)行為審計系統(tǒng)中的審計盲點，結(jié)合 Logbase 日志審計系統(tǒng)，能夠為信息安全保障體系建設(shè)提供了完美的審計解決方案。 協(xié)議支持清單 ? 基本遠程操作協(xié)議 ? SSH ? TELNET ? Rlogin ? FTP ? 圖形終端操作協(xié)議 ? RDP（ windows 遠程桌面） ? VNC ? 數(shù)據(jù)庫遠 程協(xié)議 Logbase BH 支持以下主流數(shù)據(jù)庫遠程訪問協(xié)議審計 ? ORACLE ? DB2 ? MSSQL SERVER ? INFORMIX ? MySQL ? SYBASE 針對上述協(xié)議， Logbase BH 能夠記錄整個會話的完整過程，并形成指令日志LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 17 / 28 及回放文件 2 部分審計數(shù)據(jù)，指令日志供管理員針對操作指令進行快速審計，回放文件可供管理員針對特定的會話進行完整操作審計。 部署方式 Logbase BH 系統(tǒng)支持透明模式、單目、雙目、分布式方式進行部署，可以充分滿足不同網(wǎng)絡(luò)對審計系統(tǒng)的需求。 Logbase BH 部署支持 ActiveActive 雙機模式，避免產(chǎn)生單點故障而影響正常的維護通道。 具體請參考 Logbase BH 技術(shù)白皮書。 審計 效果 Logbase “馭風”堡壘主機系統(tǒng)能夠讓企業(yè)具備對管理員維護操作的全面監(jiān)控能力 。 Logbase BH 支持針對 Tel、 FTP、 SSH、 Rlogin 各類數(shù)據(jù)庫操作記錄進行查詢 ，可 以根據(jù)上述操作協(xié)議中的用戶名、 IP、端口、時間、操作指令、返回結(jié)果等等信息進行多重組合查詢。管理員可以通過 Logbase BH 強大的檢索功能對關(guān)心的事件進行迅速定位。 Logbase BH 支 持對各類支持的協(xié)議進行視頻回放，管理員可以根據(jù) IP、時間段等信息查找關(guān)心的 RDP、 VNC 等操作的回放文件并進行在線視頻回放，也可以根據(jù)查詢結(jié)果直接定位至 TELNET、 SSH、數(shù)據(jù)庫、 FTP 等遠程維護操作的回放文件直接進行回放審計?；胤胚^程能夠還原上述協(xié)議中的所有操作行為，就如同對管理員的操作顯示器進行監(jiān)控一樣。 Logbase BH 系統(tǒng)支持通過規(guī)則設(shè)定異常及非法操作行為，一旦檢測到這些異常的操作行為， BH 將直接阻斷此操作，并斷開該操作的 TCP 連接，因而能夠有效防止各類違規(guī)操作事件的發(fā)生。同時 BH 也支持對危險 指令的告警功能， 目前告警方式主要支持：短信、郵件、等等。 LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 18 / 28 通過 Logbase 系統(tǒng)強大的報表功能，不僅能夠幫助企業(yè)建立起完善的內(nèi)控 審計 體系，也能幫助企業(yè)滿足諸如《 SOX 法案》等法規(guī)對內(nèi)控的需求。 第 四章 管理 功能及 特性 實時 監(jiān)控 Logbase 可以 對安全事件日志及操作行為進行實時監(jiān)控， 也能夠?qū)υO(shè)備的日志量、系統(tǒng)負載等情況進行檢測，對其中的異常行為、違規(guī)行為、異常狀態(tài)等事件采用短信、郵件等方式進行實時告警。 Logbase 內(nèi)置了常見系統(tǒng)的安全審計規(guī)則，客戶可根據(jù)自身情況增加自定義審計規(guī)則。 查詢分析 LogBase 系統(tǒng)在接收日志信息時，根據(jù)不同的日志種類進行不同的格式化處理，在保留所有日志原始信息的同時將日志根據(jù)字段進行分割處理。用戶在檢索日志時，可以根據(jù)日志的類型，字段內(nèi)容進行精細匹配，如：日志源 IP、日志生成時間、任意字段內(nèi)容等；從而實現(xiàn)日志的快速準確定位； 綜合分析 Logbase 通過動態(tài) 報表的方式對 審計結(jié)果 進行統(tǒng)計分析。用戶可以根據(jù)自身的實際需求在預(yù)定義的報表模板上調(diào)整相關(guān)設(shè)置，進行報表生成。 Logbase 默認內(nèi)置豐富的報表模板，其中大部分報表均符合 SOX法案 對信息系統(tǒng)的 審計需 求。 LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 19 / 28 數(shù)據(jù)管理 LogBase 將采集到的各類事件 經(jīng)過 格式化預(yù)處理過后 ， 統(tǒng)一以日志的形式 送往 管理及查詢中心和存儲中心。 LogBase 采用專有的特殊文件系統(tǒng)對規(guī)范化的日志進行存儲，同時也支持Mysql 等標準數(shù)據(jù)庫存儲。 LogBase 文件存儲機制為思福迪根據(jù)日志系統(tǒng)的特殊性進行專門研發(fā)，為海量日志的存儲及檢索進行了優(yōu)化設(shè)計，在海量日志的情況下，具有其他同類日志審計產(chǎn)品無法比擬的速度優(yōu)勢。 LogBase 產(chǎn)品內(nèi)置高容量 (產(chǎn)品具體容量見相關(guān)產(chǎn)品資料 )的硬盤存儲空間，內(nèi)置存儲空間均采用 Raid 硬盤陣列，可有效防 止由于硬盤硬件問題而帶來的數(shù)據(jù)丟失，同時 LogBase 支持外掛存儲系統(tǒng)，如： NAS、 SAN、磁盤柜等，從而實現(xiàn)存儲空間的海量擴充。 LogBase 支持對日志進行以下管理操作： ? 日志歸檔包括：手工與自動兩種方式。操作員可以設(shè)置歸檔范圍（類型、時間） ； ? 日志備份： 支持歸檔文件的多種備份方式（ Tape/Ftp/Samba/NFS）； ? 日志導(dǎo)入 ：原始日志批量導(dǎo)入和歸檔文件導(dǎo)入； ? 日志導(dǎo)出：支持將日志以文件形式導(dǎo)出； ? 在已歸檔日志范圍內(nèi)，系統(tǒng)管理員可對日志記錄進刪除操作。 權(quán)限管理 LogBase 支持嚴格完善的權(quán)限管理系統(tǒng)，管理員可以為每一個審計用戶分配 合適的權(quán)限。 權(quán)限分配安裝 2級方式進行： ? 限制頁面功能模塊訪問，如查詢模塊、報表模塊等等 LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 20 / 28 ? 審計目標限制，可以限制用戶只能查看哪些主機或類型的日志，避免在多用戶環(huán)境下，用戶越權(quán)訪問其他日志信息。 設(shè)備管理 LogBase 日常管理工作均 HTTPS 進行管理，管理模塊獨立于其他功能模塊，對管理模塊的攻擊行為不會對系統(tǒng)正常功能造成影響。同時 Logbase 也支持串口及 SSH 方式對設(shè)備進行 配置 維護。 產(chǎn)品特性及優(yōu)勢 日志高速檢索及分析能力 LogBase 系統(tǒng)采用了思福迪公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了在采用關(guān)系數(shù)據(jù)庫在處理海量日志數(shù)據(jù)時的低效率問題，采用了“基于預(yù)測的動態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲”等核心技術(shù)手段，實現(xiàn)了對日志的高速檢索能力。 LogBase 500 PRO 的檢索及吞吐能力如下： ? 500萬條緩存日志檢索時間小于 5 秒； ? 提供不小于 2020條日志 /秒的日志接受及實時分析能力； 審計記錄安全保障 ? 系統(tǒng) 內(nèi)部存儲為 SATA 硬盤 Raid 陣列，即能保障日志信息在設(shè)備內(nèi)的安全存儲需求， 又能保障高效的檢索速度； ? 系統(tǒng) 內(nèi)置安全防火墻系統(tǒng)，可以設(shè)定嚴格的訪問源，從而避免了絕大部分的無關(guān)流量，進一步保障系統(tǒng)本身的安全性； ? 系統(tǒng) 底層采用 嵌入式 64 位 Linux 系統(tǒng)，系統(tǒng)內(nèi)核已進行全面精簡、優(yōu)化，從而在內(nèi)核級別保障系統(tǒng)本身及日志的安全性； LogBase 日志管理審計系統(tǒng)白皮書 169。 版權(quán)所有 2020 杭州思福迪信息技術(shù)有限公司 21 / 28 ? 當網(wǎng)絡(luò)出現(xiàn)不穩(wěn)定、中斷情況；探