這里的“日志”和我們日常生活中的理解大有不同。
什么是日志?
簡單的說,日志就是計算機系統、設備、軟件等在某種情況下記錄的信息。具體內容取決於日志的來源。例如:
- unix操作系統會記錄用戶登錄和注銷等信息的日志
- 防火牆會記錄訪問控制協議acl通過和拒絕等消息的日志
- 有些系統在用戶登錄時或者在系統本身認為會發生一些故障時發出帶有告警信息的日志
- 有些產品會在本身存儲不足時發出帶有磁盤儲量不足的信息的日志
對於運維管理人員來說這些含有重要數據信息(用戶登錄信息,系統錯誤信息,磁盤信息,數據庫信息等)的日志非常重要,可以通過這些日志信息對整體系統進行分析並查找問題根源解決問題。也就是說,通過日志,IT管理人員可以了解系統的運行狀況、安全狀況。甚至是運行狀況。
日志的重要性
在一個完整的信息系統中,日志是以一個很重要的功能組成部分,當系統中出現一些管理員操作或者系統本身的報錯行為時,日志就相當於系統這一天的工作匯報,系統每天都干了什么,有沒有告警信息,哪些出了問題,問題可不可識別,在系統遭受安全攻擊時,系統的登陸錯誤、異常訪問等都會一日之的形式記錄下來,通過分析這些日志,讀懂這些系統的工作匯報你可以知道系統這一天遭受了哪些攻擊、完成了哪些任務。同時查看日志也為安全事件發生以后,日后查明何人所為做了什么有了一個很好的取證信息來源,日志可以為審計進行審計跟蹤。
為什么需要日志分析
高效運維要求:海量的原始數據,使得數據結構變得復雜,面臨較大的數據傳輸壓力、存儲壓力,數據孤立分散,無法關聯分析。日志審計能夠通過自定義設置,快速完成日志的分類、解析與保存工作,提供管理人員便捷的海量日志數據的收集與分析管理功能。
安全設備:做個集成商運維工程師或者網絡運維工程師的都清楚,市場上各式各樣的安全設備很多,但是沒有一個廠商的產品能夠全面的覆蓋全部的安全產品。一般一個機房建設安全的話,它包含的安全設備絕對不可能都是一家的,絕對有不一樣的廠商,這個時候分析日志就變成了很繁重的工作。
系統安全管理要求:網絡已經從千兆邁向了萬兆,企業需要監測和分析比以往更多的數據,海量數據面臨新型安全威脅。日志審計能夠幫助用戶獲悉信息系統的安全運行狀態,識別針對信息系統的攻擊和入侵,以及來自內部的違規和信息泄露,能夠為事后的問題分析和調查取證提供必要的信息。
法律法規要求:日志審計已成為企業滿足合規內控要求所必須的一項基本要求。2017年6月1日起施行的《中華人民共和國網絡安全法》中規定:采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日志不少於六個月。《網絡安全等級保護基本要求》(GB∕T 22239-2019)中規定:二到四級需要對網絡、主機、應用安全三部分進行日志審計,留存日志需符合法律法規規定。
這就要求所有的軟硬件設備必須要有日志輸出且在整個集成系統中必須要有日志審計設備用於設備運行過程中的日志的分析、輸入、並通過日志審計程序分析后輸出系統日志是否發生異常。
什么是日志審計
對於海量而又繁雜的日志數據,如果需要人為的每天去讀取的話,把人累死也做不完這些工作,這個時候就需要日志審計對每天日志中記錄的信息進行審計和檢查,對於日志中涉及到的重要信息,對其真實性的完整性進行考察。
總的來說,日志審計就是通過集中采集信息系統中的系統安全事件、用戶訪問記錄、系統運行日志、系統運行狀態等各類信息,經過規范化、過濾、歸並和告警分析等處理之后,以統一格式的日志形式及進行集中的存儲和管理,結合豐富的日志統計匯總及關聯分析功能,實現對信息系統日志的全面審計。
藍隊雲日志審計平台
藍隊雲日志審計平台能夠通過主被動結合的手段,實時不間斷地采集用戶網絡中各種不同廠商的安全設備、網絡設備、主機、操作系統、以及各種應用系統產生的海量日志信息,並將這些信息匯集到審計中心,進行集中化存儲、備份、查詢、審計、告警、響應,並出具豐富的報表報告,獲悉全網的整體安全運行態勢。
產品功能:
1、可視日志審計
用戶可登錄管理中心首頁查看可視化的日志審計相關數據,可視化首頁支持快速導航到各個功能板塊,包括資產數、日志總數、告警數等相關數據。
2、資產分類管理
支持靈活的資產分類功能,實現對資產的分類管理。對所有采集數據,系統自動進行范式化處理,將各種廠商各種類型的日志格式轉換成系統一的格式再進行分類。
3、過濾與歸並
對采集到的日志進行基於策略的過濾和歸並,提升審計的效率。日志過濾和合並策略支持用戶自定義,系統默認不進行過濾和合並。
4、大數據存儲與搜索
支持對收集的日志進行分布式安全存儲和備份。系統支持TB級的海量數據加密存儲,滿足合規與內控條款的相關需求。備份數據可手工恢復,用作日志回查。
5、強大的日志分析功能
支持根據內置或自定義進行實時分析策略、統計分析策略,提供強大的日志關聯分析能力,有助於提升審計管理工作的效率,降低審計的復雜性。
6、威脅告警及分析
通過關聯分析規則,系統能夠對符合關聯規則條件的日志產生告警。基於攻擊鏈模型,對已發現的攻擊步驟進行推理,預測未來攻擊事件。
7、支持日志查詢
系統提供日志的查詢功能,便於從海量數據中獲取有用的日志信息。用戶可自定義查詢策略,支持快速查詢和模糊查詢功能。
8、綜合管理功能
涵蓋報表管理、用戶管理、系統管理等關功能,滿足企業個性化、多樣性的管理需求。管理可視化,可直接通過表單查看相關數據
產品優勢
1、安全簡單的部署
產品配置簡單,采用旁路部署,對網絡現狀不產生任何影響;橫向集群方式可以支持海量日志的收集、存儲、分析、展示。
2、全面的日志收集
采用分布式采集,支持自定義數據采集策略,支持各種協議采集,支持各種日志類型,方便實現多設備的海量日志采集。
3、集中化日志存儲管理
平台將對日志進行集中化收集與存儲,形成日志管理體系;對所有采集的數據進行范式化處理,提高日志分析效率。
4、強大的安全分析能力
數據實時審計分析,支持對防火牆、IDS、IPS、防病毒、網絡設備、主機、應用等安全事件進行審計,對違規登錄、配置變更、關鍵服務器入侵等行為進行告警。
隨着網絡設備的逐步增多,網絡系統運維成了一件難事,如果沒有這種日志審計平台的輔助,運維人員需要登陸到每台設備上去查看日志,這將是很大的工作量,無法有效管理,多種設備之間無法形成聯系,容易形成信息孤島,通過統一的日志審計平台,將所有設備日志都收集到平台及進行統一管理,統一分析。