日志审计系统的基本原理与部署方式

日志审计系统简介

什么是日志审计？

综合日志审计平台，通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

通过日志审计系统，企业管理员随时了解整个IT系统的运行情况，及时发现系统异常事件；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，日志审计系统可以帮助管理员进行故障快速定位，并提供客观依据进行追查和恢复。[百度百科]

为什么需要日志审计平台？

1. 日志审计的合规要求，由于网络安全法的颁布实施，由原先的不合规转变成了不合法。如果不对要求的相关日志不做留存6个月以上，一旦追查，将面临法律责任。
2. 安全运营的挑战。随着网络设备的增多，以及服务器数量的增多，如果没有统一的综合日志审计平台，那么需要登录到每台设备上查看日志，不利于运维人员管理。而且众多设备会产生海量的日志，无法有效管理。多种设备形成信息孤岛，日志无法关联分析。通过统一的日志审计平台，将所有设备日志都收集到日志平台进行统一管理，统一分析。

日志审计的核心目标：

• 多源数据归一化
• 日志存储集中化
• 关联分析自动化
• 安全态势立体化

日志审计的主要功能

设计思路：

统一日志采集：

• 对不同日志源 (主机系统、网络设备、安全设备、应用中间件、数据库等)所产生的日志进行收集，实现日志的集中管理和存储。支持解析任意格式、任意来源的日志，通过解析规则标准化。
• 使用无代理的方式收集日志。
• 支持代理方式的日志收集。

关联分析：

• 预置多种事件关联规则。
• 定位外部威胁、黑客攻击、内部违规操作，设备异常。
• 简单灵活定义关联规则。

实时告警：

• 通过邮件、短信、声音对发生的告警进行及时通知，并可通过接口调用自动运行程序或脚本。
• 通过告警策略定义，对各类风险 和事件进行及时告警或预警，提升运维效率。

日志取证分析：

• 深入分析原始日志事件，快速定位问题的根本原因。
• 生成取证报表，例如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等。

监管合规：

• 提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表。
• 支持创建自定义合规性报表

日志审计系统产品功能结构：

产品功能

图：日志审计系统产品功能结构

日志审计系统的主要工作原理是，通过日志采集器，各种设备将日志推送到日志审计平台，然后日志审计平台通过日志解析，日志过滤，日志聚合等进行关联分析，从而进行告警，统计报表，也可以进行资产管理，日志检索等。

日志的转发方式：

日志转发一般可以通过：Syslog转发，Kafka转发，http转发。

日志收集一般支持：Syslog、SNMP等日志协议。

日志审计系统常见模块：

• 日志事件获取模块：安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息，以及安全产品的安全事件报警信息等，及时发现正在和已经发生的安全事件，通过响应模块采取措施，保证网络和业务系统的安全、可靠运行。
• 资产管理模块：资产管理实现对网络安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。
• 规则库模块：规则库已支持主流网络设备、主机系统、数据库系统等，而且还应涵盖已经部署的安全系统，包括防火墙系统、防病毒系统等。并提供新日志格式适配功能，支持从安全运营中心平台接收新日志解析映射规则配置。用户可以根据该适配功能，对新日志格式进行自行适配。
• 统计报表功能：具备强大的统计功能，可快速生成多种专业化的报表并支持自定义图表的设定集展示。
• 权限管理模块：超级管理员可根据用户角色分配平台查看、操作各模块的权限，用户可以访问而且只能访问自己被授权的资源

日志审计平台的部署方式

硬件产品部署方式：

一般日志审计系统采用旁路部署即可，只要到达全部设备网络可通即可。

支持单机部署和分布式部署。