【文章內容簡介】 indows 2008 Server– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少2GB內存，推薦4GB以上內存– 500GB以上磁盤空間Linux– Redhat Enterprise Linux4– Redhat Enterprise Linux5– CentOS– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少2GB內存，推薦4GB以上內存– 500GB以上磁盤空間在雙Intel至強4核CPU，24GB內存下，LEADSECRS的日志審計性能可達到平均9000EPS 平均EPS數(shù)值是指每日平均的EPS（Event Per Second）每秒事件數(shù)。后同。 硬件型規(guī)格LEADSECRS硬件型有兩種型號，分別是LEADSECRS500和LEADSECRS1000。型號規(guī)格指標LEADSECRS500– 2U標準機架式，專用硬件平臺和安全操作系統(tǒng)– 日志審計性能可達平均3000EPS（約合每天120GB 。綜合存儲空間是指日志范式化后占用的存儲空間字節(jié)數(shù)，原始日志占用存儲空間字節(jié)數(shù)，為日志建立索引所需的存儲空間字節(jié)數(shù)，以及日志統(tǒng)計表存儲空間字節(jié)數(shù)的總和。后同。） – 5個千兆電口，1個百兆電口，支持多端口采集– 1個Console口– 有效存儲容量2TB 1000– 2U標準機架式，帶冗余電源，專用千兆硬件平臺和安全操作系統(tǒng)– 日志審計性能可達平均6000EPS（約合每天240GB） – 4個千兆電口，支持多端口采集；可擴展4個千兆采集口（電口/光口） – 1個Console口– 標配采用Raid5，有效存儲容量3TB3 典型部署 單級部署如下圖所示，顯示了系統(tǒng)的一個單級部署場景。在這個單級部署場景中，審計中心可以直接采集審計數(shù)據(jù)源的日志，也可以通過外掛的日志采集器采集審計數(shù)據(jù)源的日志。 級聯(lián)部署如下圖所示，系統(tǒng)支持多級級聯(lián)部署。4 產品特點 高性能的日志管理技術架構對了應對海量日志管理帶來的挑戰(zhàn)，LEADSECRS采用了國內領先的高性能日志采集、分析與存儲架構，從產品技術架構的層面，進行了系統(tǒng)性的設計，真正使得LEADSECRS產品成為一款能夠支撐持續(xù)海量日志管理的系統(tǒng)。LEADSECRS采取了多種高性能設計使得系統(tǒng)在日志采集、分析和存儲三個方面獲得了本質的性能提升，如下表所示：關鍵點采用的先進技術達到的技術效果用戶價值和作用日志采集異步通訊、高速緩存、日志范式化流水線技術能夠對海量異構日志進行持續(xù)不斷地高速采集能夠采集網絡中大規(guī)模審計對象的日志日志存儲高速日志存儲、分布式數(shù)據(jù)存儲技術TB級日志存儲存儲長時間的日志信息，滿足合規(guī)的要求日志分析實時分析內存實時計算、復雜事件處理（Complex Event Process，簡稱CEP）技術實時地對日志進行監(jiān)視和關聯(lián)分析及時發(fā)現(xiàn)安全異常，快速關聯(lián)出安全隱患查詢分析全文檢索、分布式查詢技術能夠快速的從TB級的日志信息中返回查詢結果快速從海量日志中進行定點查詢統(tǒng)計分析數(shù)據(jù)抽取、數(shù)據(jù)摘要等技術能夠實現(xiàn)對TB級日志的快速報表生成快速生成各類安全日報、周報、月報等 詳盡的日志范式化與日志分類LEADSECRS對收集的各種日志進行范式化處理，將各種不同表達方式的日志轉換成統(tǒng)一的描述形式。審計人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計工作效率。系統(tǒng)提供的范式化字段包括日志接收時間 、日志產生時間、日志持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網絡協(xié)議、網絡應用協(xié)議、設備地址、設備名稱、設備類型等，數(shù)量超過50個，使范式化后的日志詳盡而易讀，更能滿足復雜的多維度統(tǒng)計分析和審計要求。網御星云的安全技術人員還對每種日志進行了手工分類和分析工作，加入了日志類型字段，豐富了日志所蘊含的信息量，讓枯燥的日志信息變的更可理解。與此同時，LEADSECRS將原始日志都原封不同的保存了下來，以備調查取證之用。審計員也可以直接對原始日志進行模糊查詢。 集中化的日志綜合審計LEADSECRS提供了強大的日志綜合審計功能，為不用層級的用戶提供了多視角、多層次的審計視圖。系統(tǒng)首先為用戶提供了全局監(jiān)視儀表板，可以在一個屏幕中看到不同設備類型、不同安全區(qū)域的實時日志流曲線、統(tǒng)計圖，以及網絡整體運行態(tài)勢、待處理告警信息等。用戶可以自定義儀表板，按需設計儀表板顯示的內容和布局，可以為不同角色的用戶建立不同維度的儀表板。系統(tǒng)提供了實時審計視圖，審計員可以根據(jù)內置或者自定義的實時監(jiān)視策略，從日志的任意維度實時觀測安全事件的走向，并可以進行事件調查、鉆取，并進行事件行為分析和來源定位。審計員可以實時監(jiān)視防火墻、IDS、防病毒、網絡設備、主機和應用的高危安全事件；可以實時監(jiān)視各個部門、各個安全域、各個業(yè)務系統(tǒng)的重點安全事件；可以實時監(jiān)視全網的違規(guī)登錄事件、配置變更事件、針對關鍵服務器的入侵攻擊事件；等等。系統(tǒng)提供了統(tǒng)計視圖，審計員可以根據(jù)內置或者自定義的統(tǒng)計策略，從日志的多個維度實時進行安全事件統(tǒng)計分析，并以柱圖、餅圖、堆積圖等形式進行可視化的展示。審計員可以查看一段時間內的主機流量排行、主機登錄失敗次數(shù)排行、活躍病毒排行、網絡設備故障排行、最多訪問用戶排行，等等。系統(tǒng)提供了日志查詢功能，用戶可以制定查詢策略，針對歸一化后的日志或者原始日志進行綜合條件查詢和模糊查詢。系統(tǒng)提供了規(guī)則關聯(lián)、統(tǒng)計關聯(lián)等分析方法，通過建立科學的分析模型，協(xié)助用戶對日志的分析深度與安全事件的識別準確度得到進一步的提升。 可視化日志審計LEADSECRS為用戶提供了豐富的可視化審計視圖，充分提升審計效率。系統(tǒng)可以為用戶展示一幅審計數(shù)據(jù)源的拓撲圖，反映審計數(shù)據(jù)源的網絡拓撲關系，并且在拓撲節(jié)點上標注出每個審計數(shù)據(jù)源的日志量和告警事件量。用戶點擊拓撲節(jié)點可以查詢日志和告警信息詳情。針對安全日志，用戶可以對其源目的IP地址進行追蹤，并在世界地圖上標注出來。審計員也可以對一段時間內的日志進行行為分析，通過生成一幅行為分析圖形象化地展示海量日志之間的關聯(lián)關系，從宏觀的角度來協(xié)助定位安全問題。 豐富靈活的報表報告出具報表報告是安全審計系統(tǒng)的重要用途，LEADSECRS內置了豐富的報表模板，包括統(tǒng)計報表、明細報表、綜合審計報告，審計人員可以根據(jù)需要生成不同的報表。系統(tǒng)內置報表生成調度器，可以定時自動生成日報、周報、月報、季報、年報，并支持以郵件等方式自動投遞，支持以PDF、Excel、Word等格式導出，支持打印。系統(tǒng)還內置了一套報表編輯器，用戶可以自行設計報表，包括報表的頁面版式、統(tǒng)計內容、顯示風格等。 對用戶網絡和業(yè)務影響最小LEADSECRS在實現(xiàn)對用戶網絡中的IT設施進行集中日志審計的同時，采取多種技術手段，力求對用戶網絡和業(yè)務的影響最小化。