日志综合分析与管理解决方案V11.doc

泰合中心
日志综合分析与管理系统
解决方案
北京启明星辰信息技术股份有限公司
Beijing　Vｅnuｓ Ｉnｆormation　Teｃh。 Ｉnc．
2008年１0月
目　　录
1 文档管理ﻩ1
文档信息ﻩ1
分发控制 1
1
2ﻩ日志管理现状及面临的挑战 2
2．1ﻩ日志管理现状 2
面临的挑战 2
3 日志分析与管理的需求ﻩ3
4 方案设计 3
4．１ﻩ设计原则ﻩ3
4．2ﻩ体系结构 ４
4．3ﻩ系统概述ﻩ4
５
6
4． 7
４． 1０
。4 告警监控ﻩ1１
4。4。5 基于日志的审计ﻩ1１
4。５ 方案功能特色ﻩ12
４。5。1ﻩ支持海量数据存储 12
4．5．2ﻩ多样化的报表ﻩ12
丰富的分析功能ﻩ13
支持通用日志采集ﻩ13
4． 灵活扩充新设备 13
4。5。6 日志日常维护 13
资产管理 13
4．5．8ﻩ用户管理 13
４． 系统管理lﻩ14
5ﻩ实施与部署ﻩ１4
6 方案成效 15
文档管理
文档信息
文档名称
泰合平台类系列解决方案（THS）之—日志综合分析与管理系统解决方案
保密级别
机密
文档编号
V1．0
制作人
制作日期
2008年10月2２日
复审人
复审日期
适用范围
分发控制
编号
读者
文档权限
与文档的主要关系
1
泰合平台管理部
读、写
文档作者
2
泰合中心
审核
文档审核者
版本控制
时间
版本
说明
修改人
ﻬ日志管理现状及面临的挑战
日志管理现状
目前大多数企业，特别是大型企业、机构对于异构、海量日志数据没有很好的管理办法，
结果往往是：
日志采集效率低
不能完全捕获，数据格式不统一，缺少标准化的技术手段。
人员要求高
系统管理人员面对浩如烟海的日志信息，首先面临的一个问题是如此浩大的工作量是人工所无法完成的,另外，要求系统管理人员能够理解日志信息的内涵,对管理人员的要求很高。
各自为战，缺乏关联性
不同的系统管理员分管不同的信息系统，难免出现各自为政的局面，但是事故发生前的一系列事件之间却存在紧密的联系，二者之间的矛盾导致事故难于处理。
人力投入高，处理效果差
海量日志数据需要系统管理人员手工维护和管理，导致分析时间长，关键时刻很难发现问题。
面临的挑战
大型企业的网络规模庞大、系统复杂，其中包含各种网络设备、服务器、工作站、业务系统等。同时安全领域也逐步发展成复杂和多样的子领域，例如访问控制、入侵检测、身份认证等等。这些安全子系统通常在各个业务系统中独立建立，随着大规模安全设施的部署，管理成本不断飞速上升,同时对这些安全基础设施产品和它们产生的日志信息的管理成为日益突出的问题。
海量日志信息
企业中存在的各种IT设备提供大量的安全信息，特别是安全系统，例如入侵检测
系统、防火墙和漏洞扫描系统等。这些数量庞大的信息使得管理员疲于应付,容易忽略一些重要但是数量较少的告警。海量日志信息是现代企业安全管理和审计面临的主要挑战之一.
孤立的安全信息
，分析多个日志信息之间的联系，揭示安全信息的本质。例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。
缺少标准的数据格式
另一个日志管理的障碍是计算机、防火墙、路由器、交换机，服务器和其他设备都有它们自己记录事件的格式，，它就提供了几种不同格式的日志数据。
日志分析与管理的需求
通过对日志分析与管理（以下简称“系统”）的现状和面临的挑战，不难得到日志分析管理的需求:
海量日志数据的集中管理。
日志管理格式标准化。
事前预警、事中监控和事后分析。
制订统一的日志行业标准。
对日志进行生命周期管理。
符合政策、法规的规范性要求。
方案设计
设计原则
为保证系统的有效运行，应遵循以下原则进行系统设计:
开放性。日志分析与管理系统应参考各种相关的国际标准和安全标准.
可扩展性。日志分析与管理系统设计时具备良好的扩展性，方便以后可以以之为基础增加其它系统功能。