产品功能介绍

1、日志治理系统L O G B A S E为满足用户对网络根底架构及其应用系统的平安事件进行自动化、智能化集中治理和分析的要求,LogBase为用户提供了功能强大的事件采集模块、完善的日志分析模块,高 效的日志治理及存储模块,庞杂的日志分析和治理工作从此变得轻松、简单.4.6.1 事件采集功能采集对象LogBase支持的采集对象包括：? 操作系统：Linux、Solaris、AIX等所有主流类Unix操作系统的运行状态及系统日志；Windows操作系统的事件日志EventLog、效劳器主机性能、网络连接状态等；? 网络及平安设备：天融信、绿盟、东软、联想网御、Cisco、Checkpoint、Ju

2、niper、Fortinet、等国内外主流网络及平安设备厂商的各种网络设备及平安设备；? 主流数据库访问行为：支持对ORACLE、MS-SQL、SYBASE、Informix > DB2等主流数据库网络访问协议 的解析.? 常见网络协议访问行为：支持对HTTP FTP SMTP POP3 Telnet、MSN BT等常见内网及互联网应用层访问 协议的解析.? 应用系统：支持对常见 Web及应用中间件系统Apache IIS、Tomcat、Resin、WebsphereWebLogic、 TUXEDO、VisiBroker等、EMAIL系统、FTP系统和常见应用系统产生的系统运行及用 户访

3、问日志.采集方式LogBase的平安事件采集由基于网络监听的硬件探测器设备、基于网络协议采集的硬件探测器设备和软件形式的软件探针等三类探测器完成,对不同类型的事件类型采用不同 的采集手段.?网络监听方式部署在网络中的硬件探测器设备通过监听及协议复原方式获取,采取旁路方式部 署在网络中,通过交换机镜像对网络流量进行采集分析.主要完成以下网络操作行为 的收集工作：(1)对用户通过数据库客户端对各种数据库系统的各种操作行为,包括登录、查询、修改、删除、数据定义和权限治理等；(2)上网行为日志(Web访问、Email、BT、Msn等)、Telnet访问、FTP访问行为 等.?协议访问方式(本方案建议方

4、式)部署在网络中的硬件探测器设备通过通用协议接收或获取各种日志,可分为两类：(1)专用日志协议,以Syslog日志为代表的网络及系统日志协议是目前所有的 网络设备、平安设备、Unix主机中比较通用的日志协议,其它类似协议还有SNMPTrap、OPSEC-LEA等,LogBase依据特定协议接受或主动询问获得相关系统日志.(2)文件访问协议,系统治理员通过 FTP、SMB、HTTP等协议将操作系统、 应用系统产生的文件型日志开放给 LogBase探测器设备,由探测器设备主动下载日志 文件、从而分析并采集日志.?软件探针方式对于主机上的各种非文件形式的日志、无法通过 SNMP等协议获取的操作系统运

5、 行状态等信息,LogBase支持采用在对象主机上安装软件探针(Agent)方式进行日志 采集.如通过在 Windows主机上安装Agent完成收集Event Log、性能监控、网络连接 状态、进程运行状态等信息的收集；通过在 Unix主机上安装Agent完成对用户通过加 密协议或Console进行的Shell操作的记录采集等.4.6.2 存储治理LogBase将采集到的各类事件经过格式化预处理过后,统一以日志的形式送往治理及 查询中央和存储中央.LogBase采用专有的特殊文件系统对标准化的日志进行存储,同时也支持Mysql等标准数据库存储.LogBase文件存储机制是根据日志系统的特殊性进

6、行专门研发,为海量日 志的存储及检索进行了优化设计,在海量日志的情况下,具有其他同类日志审计产品无法比较的速度优势LogBase产品内置高达数百G产品具体容量见相关产品资料的硬盘存储空间,内置存 储空间土§采用Raid5硬盘阵列,可有效预防由于硬盘硬件问题而带来的数据丧失,同时LogBase支持外挂存储系统,如：NAS、SAN、磁盘柜等,从而实现存储空间的海量扩充.LogBase支持对日志进行以下治理操作：?日志归档包括：手工与自动两种方式.操作员可以设置归档范围类型、时间；? 日志备份：支持归档文件的多种备份方式Tape/Ftp/Samba/NFS ;?日志导入：原始日志批量导入和

7、归档文件导入；?日志导出：支持将日志以文件形式导出；? 在已归档日志范围内,系统治理员可对日志记录进删除操作.4.6.3 多级审计功能LogBase审计体系由实时审计引擎、日志检索引擎、综合审计引擎组成.实时审计：LogBase在获取原始日志/事件后,通过实时审计引擎进行实时审计,如有 匹配实时告警规那么的日志,那么产生告警动作.条件查询：输入查询条件,检索引擎对日志库的信息进行高速检索,输出结果集,可组合条件；综合审计分析：提供审计检索模板、动态和静态两类统计分析报表,可以满足不同的 审计分析需求.4.6.4 实时分析规那么库组织方式LogBase实时分析规那么库以二维形式存储,以二叉树方式

8、进行高效规那么匹配,匹配规 那么成功时,进行告警输出,并执行下一行为继续下一规那么、跳转规那么、规那么匹配结束规那么组成结构? 规那么根本信息：规那么编号、规那么名称、规那么描述；? 规那么条件：规那么匹配的依据.正那么表达式进行规那么匹配.通过语义进行内容搜索；行为主体、行为时间、行为内容比较运算符：等于、大于、小于、不等于、区间、模糊.逻辑运算符：与、或.? 规那么动作：规那么匹配成功的日志进行相应的动作.日志分类原始、重要、告警告警等级；设置告警等级,对告警性质进行分类告警方式邮件、短信、声音,其中可以多种告警方式并用等；告警消息；用户可以接受,查看的告警提示信息接收告警组；可以处理告警对象集合4.6.5 查询分析LogBase系统采用了自主开发的基于海量日志索引的日志检索引擎,预防了在采用关 系数据库在处理海量日志数据时的低效率问题,采用了 “基于预测的动态索引技术、“数据正交分组技术及“适应磁盘的索引存储等核心技术手段,实现了对日志的高速检索.通过日志类型、日志时间区间、日志所属效劳、日志对应关键字段进行查询,查询可 以通过与、或方式进行多级查询条件组合,提升查询准确性.例如：查询2006-2-20 23:00:00至2006-2-21 4:00:00期间内,配置过.78交换机的全部 日志.4.