日志審計分析系統(tǒng)可以集中記錄、管理和審查整個信息系統(tǒng)的各種日志。
另一方面,您可以使用設(shè)備集中收集和存儲所有記錄的日志,以防止惡意的日志操作或刪除,并且在發(fā)生安全事件時沒有證據(jù)可驗證。
此外,該設(shè)備強大的日志審計功能可以為組織審計人員提供實時日志監(jiān)控、高效搜索、審計報告等日志審計方法,從而簡化了大量短時間內(nèi)無法完成的日志審計任務,大大降低了信息部門的工作量。
日志審計分析系統(tǒng)的主要功能
該設(shè)備由三個組件組成:審核中心、日志收集器和日志代理。日志收集器和日志代理從審計數(shù)據(jù)源(主機/服務器類、網(wǎng)絡(luò)類、安全類等)收集日志信息,并將其上傳到審計中心進行集中存儲、分析和審查。
1、審計中心
設(shè)備管理中心是設(shè)備的關(guān)鍵組件,支持集中存儲、備份、查詢、審核、通知、響應和報告輸出。審核人員可以通過瀏覽器登錄審核中心,執(zhí)行各種審核任務。
審計中心具有集成的日志捕獲功能,可以直接從審計數(shù)據(jù)源收集日志信息。審計中心還可以從日志收集器和日志代理收集日志信息。
2、日志收集器
您可以為收集器日志審核和分析系統(tǒng)提供專用設(shè)備,以從異構(gòu)審核數(shù)據(jù)源收集日志。此功能與Audit Center日志捕獲模塊相同,可以幫助Audit Center解決特定的日志捕獲問題,并實現(xiàn)分布式日志捕獲功能。
日志收集器收集的日志可以發(fā)送到審核中心。
3、系統(tǒng)架構(gòu)
假設(shè)分層協(xié)同設(shè)計,它通常包括web渲染(顯示層)、后端處理(控制層、分析層、大數(shù)據(jù)層、預處理層)和數(shù)據(jù)捕獲(捕獲層)。
數(shù)據(jù)采集:系統(tǒng)的集成數(shù)據(jù)采集模塊捕獲并識別多個數(shù)據(jù)源,并將其發(fā)送到后端處理層進行處理。
后臺處理:采集的數(shù)據(jù)首先經(jīng)過預處理層進行分類、過濾、分析,然后提交給大數(shù)據(jù)層進行實時數(shù)據(jù)流統(tǒng)計。分析層繪制數(shù)據(jù)挖掘、網(wǎng)絡(luò)和業(yè)務拓撲圖,通過交互分析等手段對大數(shù)據(jù)層的數(shù)據(jù)進行進一步處理??刂坪蛨缶录?shù)據(jù)
顯示WEB:以易于閱讀的方式顯示收集到的數(shù)據(jù)和分析結(jié)果。管理員與協(xié)議評審系統(tǒng)之間的人機交互通道通過網(wǎng)頁將數(shù)據(jù)和分析結(jié)果可視化給管理員,并提供業(yè)務和系統(tǒng)管理功能。
4、應用部署
1)一次性
單個部署環(huán)境可以在不改變現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的情況下迂回連接到網(wǎng)絡(luò),并且設(shè)備只需要網(wǎng)絡(luò)接口來管理和收集日志,從而為網(wǎng)絡(luò)交換節(jié)省端口資源。
2)分布式部署
分布式部署允許您一致地查看和分析從多個位置到總部的日志,并通過不影響網(wǎng)絡(luò)安全的旁路進行部署。