日志审计分析系统
主被动结合、集中展示日志
日志审计分析系统可以采集系统中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息,并将数据信息汇集到展示平台,进行集中存储、展现、查询和审计。
产品特色 CHARACTERISTIC
产品功能 FUNCTION

数据采集

系统支持主动、被动相结合的数据采集方式,同时也支持通过Agent采集日志数据;Agent支持采集日志监控、文件监控、流量包监控数据。

支持Syslog、SNMP、JDBC、WMI、FTP、文件等进行数据采集;支持日志转发。

支持在Web端配置日志过滤规则;支持在Agent控制采集时间、过滤级别。


日志解析

系统支持网络流量解析,协议包括:ICMP、DNS、HTTP、FTP、POP、SMTP、MySQL、PgSQL、TNS、Redis、Cassandra、MongoDB、Sybase等。支持日志归一化处理,将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理,提炼出有用信息清晰、明确的展示给管理者。


数据存储

系统支持对所管理设备的日志原始数据完整存储;支持数据本地集中存储、本地离线备份存储、FTP离线存储、网络存储;海量数据加密存储,防止攻击者篡改或清除日志;支持存储空间图像化、动态监控,超过阀值进行告警;支持数据自动、手动备份以及备份数据恢复查看。


资产管理

 可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作;支持手动添加资产、导入资产、导出资产;支持根据日志接收情况,自动添加设备IP为日志源资产。

支持为资产指定名称、IP地址、设备类别、设备类型、业务类型、采集器线程、以及日志源启停状态等属性信息。


实时监控

系统支持实时告警数、资产总数、日志事件总数、系统健康状况的显示。支持查看详情,支持告警弹框、声音提醒;支持全屏显示系统主要工作状态与安全状态。

同时系统也提供TOP10资产事件趋势、事件EPS趋势,告警信息统计饼状图、趋势图、仪表盘等。支持实时显示日志采集速度,CPU、内存、存储等系统负载。


告警管理

系统支持在告警信息页面,点击统计图,以环形图形式对告警类型进行统计;支持根据时间范围、级别、规则类型、告警全文关键字等方式快速检索安全事件告警,检索结果支持Excel等格式导出。

可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式。支持邮件、声音、syslog等多种告警方式,支持在全局显示告警提醒。


数据查询

系统支持实时日志查看,默认提供近15分钟最新日志信息;支持多条件组合查询;支持原始日志全文检索;支持等于、大于、小于,正则表达式等查询条件;支持短语查询、字段值精确查询、通配符检索;支持搜索条件保存、读取和删除;通过日志柱状趋势图,可以查看指定时间段的日志数量。

支持丰富的过滤条件:设备IP、来源IP、目的MAC、来源端口、目的端口、目的地址IPV6、源MAC、源地址IPV6、操作用户、目的IP、事件名称、域名、事件级别、应用名称、请求信息、服务名称、错误信息、响应信息、资源类型、错误码、接收字节、数据库表名、状态码、协议、发送字节、请求方式等。


图表可视化分析

实时展示合规分析图表,如等级保护、SOX、ISO27001、PCI等;提供按照全网概况、操作系统分析、安全设备分析、网络设备分析、数据库分析、Web应用分析、连接关系、事件关系、网络流量等进行分类的分析图组。分析图提供多维度的图表展示,如柱状图、饼状图、堆叠图、折线图、散点图、桑基图等;支持自定义图表和图表组。

支持自动生成主机访问关系图谱。关系图谱支持无限级延伸,支持点击业务主机节点自动绘制访问关系;支持关系图谱搜索、过滤,支持自定义关系节点图标、支持基于节点下钻查看日志信息、查看和拓展该点关系图等。


系统管理

系统支持用户按角色管理,支持三权分立;支持安全策略限制非法用户访问系统;系统具有防恶意暴力破解账号与口令功能;持组件状态查看监控。