日志审计分析系统可以集中记录、管理和审查整个信息系统的各种日志。
另一方面,您可以使用设备集中收集和存储所有记录的日志,以防止恶意的日志操作或删除,并且在发生安全事件时没有证据可验证。
此外,该设备强大的日志审计功能可以为组织审计人员提供实时日志监控、高效搜索、审计报告等日志审计方法,从而简化了大量短时间内无法完成的日志审计任务,大大降低了信息部门的工作量。
日志审计分析系统的主要功能
该设备由三个组件组成:审核中心、日志收集器和日志代理。日志收集器和日志代理从审计数据源(主机/服务器类、网络类、安全类等)收集日志信息,并将其上传到审计中心进行集中存储、分析和审查。
1、审计中心
设备管理中心是设备的关键组件,支持集中存储、备份、查询、审核、通知、响应和报告输出。审核人员可以通过浏览器登录审核中心,执行各种审核任务。
审计中心具有集成的日志捕获功能,可以直接从审计数据源收集日志信息。审计中心还可以从日志收集器和日志代理收集日志信息。
2、日志收集器
您可以为收集器日志审核和分析系统提供专用设备,以从异构审核数据源收集日志。此功能与Audit Center日志捕获模块相同,可以帮助Audit Center解决特定的日志捕获问题,并实现分布式日志捕获功能。
日志收集器收集的日志可以发送到审核中心。
3、系统架构
假设分层协同设计,它通常包括web渲染(显示层)、后端处理(控制层、分析层、大数据层、预处理层)和数据捕获(捕获层)。
数据采集:系统的集成数据采集模块捕获并识别多个数据源,并将其发送到后端处理层进行处理。
后台处理:采集的数据首先经过预处理层进行分类、过滤、分析,然后提交给大数据层进行实时数据流统计。分析层绘制数据挖掘、网络和业务拓扑图,通过交互分析等手段对大数据层的数据进行进一步处理。控制和报警事件数据
显示WEB:以易于阅读的方式显示收集到的数据和分析结果。管理员与协议评审系统之间的人机交互通道通过网页将数据和分析结果可视化给管理员,并提供业务和系统管理功能。
4、应用部署
1)一次性
单个部署环境可以在不改变现有网络基础设施的情况下迂回连接到网络,并且设备只需要网络接口来管理和收集日志,从而为网络交换节省端口资源。
2)分布式部署
分布式部署允许您一致地查看和分析从多个位置到总部的日志,并通过不影响网络安全的旁路进行部署。
