【文章內(nèi)容簡介】 indows 2008 Server– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少2GB內(nèi)存，推薦4GB以上內(nèi)存– 500GB以上磁盤空間Linux– Redhat Enterprise Linux4– Redhat Enterprise Linux5– CentOS– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少2GB內(nèi)存，推薦4GB以上內(nèi)存– 500GB以上磁盤空間在雙Intel至強4核CPU，24GB內(nèi)存下，LEADSECRS的日志審計性能可達到平均9000EPS 平均EPS數(shù)值是指每日平均的EPS（Event Per Second）每秒事件數(shù)。后同。 硬件型規(guī)格LEADSECRS硬件型有兩種型號，分別是LEADSECRS500和LEADSECRS1000。型號規(guī)格指標(biāo)LEADSECRS500– 2U標(biāo)準(zhǔn)機架式，專用硬件平臺和安全操作系統(tǒng)– 日志審計性能可達平均3000EPS（約合每天120GB 。綜合存儲空間是指日志范式化后占用的存儲空間字節(jié)數(shù)，原始日志占用存儲空間字節(jié)數(shù)，為日志建立索引所需的存儲空間字節(jié)數(shù)，以及日志統(tǒng)計表存儲空間字節(jié)數(shù)的總和。后同。） – 5個千兆電口，1個百兆電口，支持多端口采集– 1個Console口– 有效存儲容量2TB 1000– 2U標(biāo)準(zhǔn)機架式，帶冗余電源，專用千兆硬件平臺和安全操作系統(tǒng)– 日志審計性能可達平均6000EPS（約合每天240GB） – 4個千兆電口，支持多端口采集；可擴展4個千兆采集口（電口/光口） – 1個Console口– 標(biāo)配采用Raid5，有效存儲容量3TB3 典型部署 單級部署如下圖所示，顯示了系統(tǒng)的一個單級部署場景。在這個單級部署場景中，審計中心可以直接采集審計數(shù)據(jù)源的日志，也可以通過外掛的日志采集器采集審計數(shù)據(jù)源的日志。 級聯(lián)部署如下圖所示，系統(tǒng)支持多級級聯(lián)部署。4 產(chǎn)品特點 高性能的日志管理技術(shù)架構(gòu)對了應(yīng)對海量日志管理帶來的挑戰(zhàn)，LEADSECRS采用了國內(nèi)領(lǐng)先的高性能日志采集、分析與存儲架構(gòu)，從產(chǎn)品技術(shù)架構(gòu)的層面，進行了系統(tǒng)性的設(shè)計，真正使得LEADSECRS產(chǎn)品成為一款能夠支撐持續(xù)海量日志管理的系統(tǒng)。LEADSECRS采取了多種高性能設(shè)計使得系統(tǒng)在日志采集、分析和存儲三個方面獲得了本質(zhì)的性能提升，如下表所示：關(guān)鍵點采用的先進技術(shù)達到的技術(shù)效果用戶價值和作用日志采集異步通訊、高速緩存、日志范式化流水線技術(shù)能夠?qū)Ａ慨悩?gòu)日志進行持續(xù)不斷地高速采集能夠采集網(wǎng)絡(luò)中大規(guī)模審計對象的日志日志存儲高速日志存儲、分布式數(shù)據(jù)存儲技術(shù)TB級日志存儲存儲長時間的日志信息，滿足合規(guī)的要求日志分析實時分析內(nèi)存實時計算、復(fù)雜事件處理（Complex Event Process，簡稱CEP）技術(shù)實時地對日志進行監(jiān)視和關(guān)聯(lián)分析及時發(fā)現(xiàn)安全異常，快速關(guān)聯(lián)出安全隱患查詢分析全文檢索、分布式查詢技術(shù)能夠快速的從TB級的日志信息中返回查詢結(jié)果快速從海量日志中進行定點查詢統(tǒng)計分析數(shù)據(jù)抽取、數(shù)據(jù)摘要等技術(shù)能夠?qū)崿F(xiàn)對TB級日志的快速報表生成快速生成各類安全日報、周報、月報等 詳盡的日志范式化與日志分類LEADSECRS對收集的各種日志進行范式化處理，將各種不同表達方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。審計人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計工作效率。系統(tǒng)提供的范式化字段包括日志接收時間 、日志產(chǎn)生時間、日志持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等，數(shù)量超過50個，使范式化后的日志詳盡而易讀，更能滿足復(fù)雜的多維度統(tǒng)計分析和審計要求。網(wǎng)御星云的安全技術(shù)人員還對每種日志進行了手工分類和分析工作，加入了日志類型字段，豐富了日志所蘊含的信息量，讓枯燥的日志信息變的更可理解。與此同時，LEADSECRS將原始日志都原封不同的保存了下來，以備調(diào)查取證之用。審計員也可以直接對原始日志進行模糊查詢。 集中化的日志綜合審計LEADSECRS提供了強大的日志綜合審計功能，為不用層級的用戶提供了多視角、多層次的審計視圖。系統(tǒng)首先為用戶提供了全局監(jiān)視儀表板，可以在一個屏幕中看到不同設(shè)備類型、不同安全區(qū)域的實時日志流曲線、統(tǒng)計圖，以及網(wǎng)絡(luò)整體運行態(tài)勢、待處理告警信息等。用戶可以自定義儀表板，按需設(shè)計儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。系統(tǒng)提供了實時審計視圖，審計員可以根據(jù)內(nèi)置或者自定義的實時監(jiān)視策略，從日志的任意維度實時觀測安全事件的走向，并可以進行事件調(diào)查、鉆取，并進行事件行為分析和來源定位。審計員可以實時監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機和應(yīng)用的高危安全事件；可以實時監(jiān)視各個部門、各個安全域、各個業(yè)務(wù)系統(tǒng)的重點安全事件；可以實時監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對關(guān)鍵服務(wù)器的入侵攻擊事件；等等。系統(tǒng)提供了統(tǒng)計視圖，審計員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計策略，從日志的多個維度實時進行安全事件統(tǒng)計分析，并以柱圖、餅圖、堆積圖等形式進行可視化的展示。審計員可以查看一段時間內(nèi)的主機流量排行、主機登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問用戶排行，等等。系統(tǒng)提供了日志查詢功能，用戶可以制定查詢策略，針對歸一化后的日志或者原始日志進行綜合條件查詢和模糊查詢。系統(tǒng)提供了規(guī)則關(guān)聯(lián)、統(tǒng)計關(guān)聯(lián)等分析方法，通過建立科學(xué)的分析模型，協(xié)助用戶對日志的分析深度與安全事件的識別準(zhǔn)確度得到進一步的提升。 可視化日志審計LEADSECRS為用戶提供了豐富的可視化審計視圖，充分提升審計效率。系統(tǒng)可以為用戶展示一幅審計數(shù)據(jù)源的拓撲圖，反映審計數(shù)據(jù)源的網(wǎng)絡(luò)拓撲關(guān)系，并且在拓撲節(jié)點上標(biāo)注出每個審計數(shù)據(jù)源的日志量和告警事件量。用戶點擊拓撲節(jié)點可以查詢?nèi)罩竞透婢畔⒃斍?。針對安全日志，用戶可以對其源目的IP地址進行追蹤，并在世界地圖上標(biāo)注出來。審計員也可以對一段時間內(nèi)的日志進行行為分析，通過生成一幅行為分析圖形象化地展示海量日志之間的關(guān)聯(lián)關(guān)系，從宏觀的角度來協(xié)助定位安全問題。 豐富靈活的報表報告出具報表報告是安全審計系統(tǒng)的重要用途，LEADSECRS內(nèi)置了豐富的報表模板，包括統(tǒng)計報表、明細報表、綜合審計報告，審計人員可以根據(jù)需要生成不同的報表。系統(tǒng)內(nèi)置報表生成調(diào)度器，可以定時自動生成日報、周報、月報、季報、年報，并支持以郵件等方式自動投遞，支持以PDF、Excel、Word等格式導(dǎo)出，支持打印。系統(tǒng)還內(nèi)置了一套報表編輯器，用戶可以自行設(shè)計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風(fēng)格等。 對用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小LEADSECRS在實現(xiàn)對用戶網(wǎng)絡(luò)中的IT設(shè)施進行集中日志審計的同時，采取多種技術(shù)手段，力求對用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。