日志审计分析系统
主被动结合、集中展示日志
日志审计分析系统可以采集系统中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息,并将数据信息汇集到展示平台,进行集中存储、展现、查询和审计。
产品特色 CHARACTERISTIC
产品功能 FUNCTION
数据采集 系统支持主动、被动相结合的数据采集方式,同时也支持通过Agent采集日志数据;Agent支持采集日志监控、文件监控、流量包监控数据。支持Syslog、SNMP、JDBC、WMI、FTP、文件等进行数据采集;支持日志转发。支持在Web端配置日志过滤规则;支持在Agent控制采集时间、过滤级别。 日志解析 系统支持多种数据库日志解析,包括:MySQL、PgSQL、TNS、Redis、Cassandra、MongoDB、Sybase等。支持日志归一化处理,将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理,提炼出有用信息清晰、明确的展示给管理者。 资产管理 可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作;支持手动添加资产、导入资产、导出资产;支持根据日志接收情况,自动添加设备IP为日志源资产。 实时监控 系统支持实时告警数、资产总数、日志事件总数、系统健康状况的显示。支持查看详情,支持告警弹框、声音提醒;支持全屏显示系统主要工作状态与安全状态。 告警管理 系统支持在告警信息页面以环形图形式对告警类型进行统计;支持根据时间范围、级别、规则类型、告警全文关键字等方式快速检索安全事件告警,检索结果支持Excel等格式导出。可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式。支持邮件、声音、syslog等多种告警方式,支持在全局显示告警提醒。 数据查询 系统支持实时日志查看,默认提供近15分钟最新日志信息;支持多条件组合查询;支持原始日志全文检索;支持等于、大于、小于,正则表达式等查询条件;支持短语查询、字段值精确查询、通配符检索;支持搜索条件保存、读取和删除;通过日志柱状趋势图,可以查看指定时间段的日志数量。支持丰富的过滤条件:设备IP、来源IP、目的MAC、来源端口、目的端口、目的地址IPV6、源MAC、源地址IPV6、操作用户、目的IP、事件名称、域名、事件级别、应用名称、请求信息、服务名称、错误信息、响应信息、资源类型、错误码、接收字节、数据库表名、状态码、协议、发送字节、请求方式等。 图表可视化分析 实时展示合规分析图表,如等级保护、SOX、ISO27001、PCI等;提供按照全网概况、操作系统分析、安全设备分析、网络设备分析、数据库分析、Web应用分析、连接关系、事件关系、网络流量等进行分类的分析图组。分析图提供多维度的图表展示,如柱状图、饼状图、堆叠图、折线图、散点图、桑基图等;支持自定义图表和图表组。支持自动生成主机访问关系图谱。关系图谱支持无限级延伸,支持点击业务主机节点自动绘制访问关系;支持关系图谱搜索、过滤,支持自定义关系节点图标、支持基于节点下钻查看日志信息、查看和拓展该点关系图等。