LOGBASE产品功能介绍

1、4.6日志管理系统LOGBASE为满足用户对网络基础架构及其应用系统的安全事件进行自动化、智能化集中管理和分析的要求，LogBase为用户提供了功能强大的事件采集模块、完善的日志分析模块，高效的日志管理及存储模块，庞杂的日志分析和管理工作从此变得轻松、简单。4.6.1事件采集功能采集对象LogBBasee支持的采采集对象象包括：操作系统统：Linuux、SSolaariss、AIIX等所所有主流流类Unnix操操作系统统的运行行状态及及系统日日志；Winddowss操作系统统的事件件日志（EEvenntLoog）、服务器器主机性性能、网网络连接接状态等等；网络及安安全设备备：天融信、绿盟、东软

2、、联想网网御、Cissco、Cheeckppoinnt、Junnipeer、Forrtinnet、等国内外外主流网网络及安安全设备备厂商的的各种网网络设备备及安全全设备；主流数据据库访问问行为：支持对OORACCLE、MS-SQLL、SYYBASSE、IInfoormiix、DDB2等等主流数数据库网网络访问问协议的的解析。常见网络络协议访访问行为为：支持对HHTTPP、FTTP、SSMTPP、POOP3、Tellnett、MSSN、BBT等常常见内网网及互联联网应用用层访问问协议的的解析。应用系统统：支持对常常见Weeb及应应用中间间件系统统（Appachhe、IIIS、Tommcatt、R

3、eesinn、Weebsppherre、WWebLLogiic、TUXXEDOO、ViisiBBrokker等等）、EMAAIL系系统、FFTP系系统和常常见应用用系统产产生的系系统运行行及用户户访问日日志。采集方式式LogBBasee的安全全事件采采集由基基于网络络监听的的硬件探探测器设设备、基基于网络络协议采采集的硬硬件探测测器设备备和软件件形式的的软件探探针等三三类探测测器完成成，对不不同类型型的事件件类型采采用不同同的采集集手段。网络监听听方式部署在网网络中的的硬件探探测器设设备通过过监听及及协议还还原方式式获取，采取旁旁路方式式部署在在网络中中，通过过交换机机镜像对对网络流流量进行行

4、采集分分析。主主要完成成以下网网络操作作行为的的收集工工作：（1）对对用户通通过数据据库客户户端对各各种数据据库系统统的各种种操作行行为,包包括登录录、查询、修改、删除、数据定定义和权限管管理等；（2）上上网行为为日志(Webb访问、Emaail、BT、Msnn等)、Tellnett访问、FTPP访问行行为等。协议访问问方式（本方案案建议方方式）部署在网网络中的的硬件探探测器设设备通过过通用协协议接收收或获取取各种日日志，可可分为两两类：（1）专专用日志志协议，以Syysloog日志志为代表表的网络络及系统统日志协协议是目目前所有有的网络络设备、安全设设备、UUnixx主机中中比较通通用的日日

5、志协议议，其它它类似协协议还有有SNMMP TTrapp、OPPSECC-LEEA等，LoggBasse依据据特定协协议接受受或主动动询问获获得相关关系统日日志。（2）文文件访问问协议，系统管管理员通通过FTTP、SSMB、HTTTP等协协议将操操作系统统、应用用系统产产生的文文件型日日志开放放给LoogBaase探探测器设设备，由由探测器设设备主动动下载日日志文件件、从而而分析并并采集日日志。软件探针针方式对于主机机上的各各种非文文件形式式的日志志、无法法通过SSNMPP等协议议获取的的操作系系统运行行状态等等信息，LoggBasse支持持采用在在对象主主机上安安装软件件探针（Ageent）

6、方式进进行日志志采集。如通过过在Wiindoows主主机上安安装Aggentt完成收收集Evventt Loog、性性能监控控、网络络连接状状态、进进程运行行状态等等信息的的收集；通过在在Uniix主机机上安装装Ageent完完成对用用户通过过加密协协议或CConssolee进行的的Sheell操操作的记记录采集集等。4.6.2 存存储管理理LogBBasee将采集集到的各各类事件件经过格式式化预处处理过后后，统一以以日志的的形式送送往管理及及查询中中心和存存储中心心。LogBBasee采用专专有的特特殊文件件系统对对规范化化的日志志进行存存储，同同时也支支持Myysqll等标准准数据库库存储

7、。LoggBasse文件件存储机机制是根根据日志志系统的的特殊性性进行专专门研发发，为海海量日志志的存储储及检索索进行了了优化设设计，在在海量日日志的情情况下，具有其其他同类类日志审审计产品品无法比比拟的速速度优势势。LogBBasee产品内内置高达达数百GG(产品品具体容容量见相相关产品品资料)的硬盘盘存储空空间，内内置存储储空间均均采用RRaidd5硬盘盘阵列，可有效效防止由由于硬盘盘硬件问问题而带带来的数数据丢失失，同时时LoggBasse支持持外挂存存储系统统，如：NASS、SAAN、磁磁盘柜等等，从而而实现存存储空间间的海量量扩充。LogBBasee支持对对日志进进行以下下管理操操作

8、：日志归档档包括：手工与与自动两两种方式式。操作作员可以以设置归归档范围围（类型型、时间间） ；日志备份份：支持持归档文文件的多多种备份份方式（Tappe/FFtp/Sammba/NFSS）；日志导入入：原始始日志批批量导入入和归档档文件导导入；日志导出出：支持持将日志志以文件件形式导导出；在已归档档日志范范围内，系统管管理员可可对日志志记录进进删除操操作。4.6.3 多多级审计计功能LogBBasee审计体体系由实实时审计计引擎、日志检检索引擎擎、综合合审计引引擎组成成。实时审计计：LoogBaase在在获取原原始日志志/事件件后，通通过实时时审计引引擎进行行实时审审计，如如有匹配配实时告告

9、警规则则的日志志，则产产生告警警动作。条件查询询：输入入查询条条件，检检索引擎擎对日志志库的信信息进行行高速检检索，输输出结果果集，可可组合条条件；综合审计计分析：提供审审计检索索模板、动态和和静态两两类统计计分析报报表，可可以满足足不同的的审计分分析需求求。4.6.4实时时分析规则库组组织方式式LogBBasee实时分分析规则则库以二二维形式式存储，以二叉叉树方式式进行高高效规则则匹配，匹配规规则成功功时，进进行告警警输出，并执行行下一行行为（继继续下一一规则、跳转规规则、规规则匹配配结束）。规则组成成结构规则基本本信息：规则编编号、规规则名称称、规则则描述；规则条件件：规则则匹配的依依据。

10、正则表达达式进行行规则匹匹配。通过语义义进行内内容搜索索；（行行为主体体、行为时间间、行为为内容）比较运算算符：等等于、大大于、小小于、不不等于、区间、模糊。逻辑运算算符：与与、或.规则动作作：规则则匹配成成功的日日志进行行相应的的动作。日志分类类（原始始、重要要、告警警）告警等级级；（设设置告警警等级，对告警警性质进进行分类类）告警方式式（邮件件、短信信、声音音，其中中可以多多种告警警方式并并用）等等；告警消息息；（用用户可以以接受，查看的的告警提提示信息息）接收告警警组；（可以处处理告警警对象集集合）4.6.5查询询分析LogBBasee系统采采用了自自主开发发的基于于海量日日志索引引的日

11、志志检索引引擎，避避免了在在采用关关系数据据库在处处理海量量日志数数据时的的低效率率问题，采用了了“基于预预测的动动态索引引技术”、“数据正正交分组组技术”及“适应磁磁盘的索索引存储储”等核心心技术手手段，实实现了对对日志的的高速检检索。通过日志志类型、日志时时间区间间、日志志所属服服务、日日志对应应关键字字段进行行查询，查询可可以通过过与、或或方式进进行多级级查询条条件组合合，提高高查询准准确性。例如：查查询20006-2-220 223:000:000至220066-2-21 4:000:000期间间内，配配置过110.334.556.778交换换机的全全部日志志。4.6.6综合合分析LogBBasee通过动动态报表表的方式式对审计计结果进进行统