專注于光通信行業10年,主營華為、中興等品牌光端機、SDH、PCM、OLT等光各種光傳輸、光接入、波分交換設備!
資訊頻道
聯系我們
客服QQ:442341201
微信:vipvop88888518
工作時間
周一至周五:09:00-17:30 周六至周日:10:00-16:00
聯系方式
銷售:18123938879
客服:18691888046
商務:13421390426
   打印 繁體 關閉

為什么需要專業的日志審計與分析工具 葉蓬 啟明星辰泰合 2014-08-18

發布日期:2019-10-12 18:27:34 瀏覽:1950次

當今的企業和組織在IT信息安全領域面臨比以往更為復雜的局面。這既有來自于企業和組織外部的層出不窮的入侵和攻擊,也有來自于企業和組織內部的操作違規和信息泄露。

為了不斷應對新的安全挑戰,企業和組織先后部署了防病毒系統、防火墻、入侵檢測系統、漏洞掃描系統、UTM,等等,這些復雜的IT資源及其安全防御設施、 包括網絡設備、系統及應用在運行過程中不斷產生大量的日志和事件。這些日志對于網絡的正常運營非常重要,它記錄了系統每天發生各種各樣的事情,你可以通過 它來檢查錯誤發生的原因,監控用戶的使用行為,發現異常情況或者受到攻擊時攻擊者留下的痕跡。

盡管審查日志可以幫助管理人員發現很多安全入侵和違規行為,但是由于這項工作對于管理人員的專業技術水平較高,往往很難普及,大多數情況下只能作為專業安全服務公司提供的一項服務。

此外,從信息與網絡安全的發展趨勢來看,網絡攻擊的手段越來越多樣化,并且攻擊手法越來越隱蔽,并且攻擊者可以借助不同的技術手段設置多重跳板,追查變得 無比困難。從企業和組織內部來看,各類IT資源,設備飛速膨脹,設備本身產生的日志數量也呈指數級增長,且設備的日志審計都相對孤立,無法形成有效的關 聯,其單獨的日志分析結果對安全問題沒有太大幫助,而海量日志的產生也使分析成為空想,導致日志只能簡單丟棄,使網絡安全的檢測與審計變為空談。

可以說,當前復雜的業務網絡環境使得即便是有經驗的安全專家也難以透過傳統的日志審查方式去審計網絡安全,而必須借助提高日志審計效率的外部工具。


針對上述挑戰,網絡上出現了各種日志收集、分析和審計工具,并且很多是開源和免費的。那么,這些免費的日志審計工具,甚至是一些功能簡單的商業產品,是否能滿足日常的日志審計和分析需要呢?

在回答這個問題之前,先讓我們來看看一個日志審計系統應該由哪幾部分組成。

對于一個日志審計系統,從功能組成上至少應該包括信息采集、信息分析、信息存儲、信息展示四個基本功能:

1) 信息采集功能:系統能夠通過某種技術手段獲取需要審計的日志信息。對于該功能,關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度(細致程度)。

2)信息分析功能:是指對于采集上來的信息進行分析、審計。這是日志審計系統的核心,審計效果好壞直接由此體現出來。在實現信息分析的技術 上,簡單的技術可以是基于數據庫的信息查詢和比較;復雜的技術則包括實時關聯分析引擎技術,采用基于規則的審計、基于統計的審計、基于時序的審計,以及基 于人工智能的審計算法,等等。

3)信息存儲功能:對于采集到原始信息,以及審計后的信息都要進行保存,備查,并可以作為取證的依據。在該功能的實現上,關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。

4)信息展示功能:包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能,等等。這部分功能是審計效果的最直接體現,審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。


在了解了日志審計系統的基本組成之后,我們可以來看看免費和簡單的商業日志審計工具在以上基本功能點上的表現:

1)從日志的收集方面看,這些工具和產品支持的手段比較單一,僅支持一些常用的方式如Syslog、SNMP。手段單一會造成有些日志信息無法采集,例如對存放在數據庫或者文件中的日志就不能很好的收集。另外,這類工具收集的性能也比較低,日志量一大,就無法處理了。

2)從日志的存儲方式看,這些工具和產品一般把收集來的日志重新存成文本格式,而又沒有搜索引擎作為支撐,因此,無論查詢和分析都非常困難。有的借助數據 庫技術,但是沒有進行特別的優化,僅僅借助傳統關系型數據庫自身的表現,難以快速檢索和分析海量的日志。同時,這類工具和產品也無法提供歸檔和恢復功能, 對長時間的日志保存提供不了解決方案。

3)在日志分析方面,想要通過這些工具和產品來發現攻擊進行報警就更困難了。例如我們要發現在一段時間內某用戶重復多次登錄同一臺服務器都失敗的日志告 警,這是一個不特定的告警條件,沒有明確的用戶名,沒有明確的服務器地址,達到條件的都需告警,對一般的日志工具和產品來說這根本是完成不了的任務。

4)作為簡易的日志審計工具,主要功能在于提供一個低成本的日志收集方案,存儲、分析和展示能力都大大弱化了。這些日志審計工具一般都缺少易用的操控界 面,只提供基于條件組合的查詢,并且都以表格的形式一行行地將符合條件的日志顯示出來,只能稱得上是日志查找。一旦日志量大了,條件復雜了,查找效率便無 法保證。


事實上,在我們參與的日志審計及IT內控項目中,大部分客戶之前都或多或少地采用了一些免費的和簡易的日志采集分析工具。而由于網絡環境的日益復雜,以及來自外部的IT內控與合規審計需求日趨強烈,這些客戶都無一例外地轉而尋求獲得更加專業的商業解決方案。

應該說,免費的或者簡易的日志審計工具也有其用武之地,一般用于小規模的日志采集和存儲的場合,以及一些進行輔助性日志收集的場合。對于關鍵業務信息系統 和網絡的日志信息,對于用來做合規審計的日志信息,對于海量的日志信息,對于異構環境下的多源日志信息,簡易日志工具都難以勝任,此時的日志審計和分析必 須使用專業的日志審計和分析工具。


那么,專業的日志審計與分析工具都具有哪些優勢呢?其實,這些優勢也正好是上述簡易日志工具的缺陷,包括:

1)日志采集的手段多樣化,支持的日志源種類多,適合企業復雜的異構環境所需,日志采集的速度高,處理性能好。

2)具有較強的日志分析與審計能力。如果是采用基于數據庫存儲的日志分析技術,那么會對數據庫存儲進行優化,例如存儲前的歸一化技術,索引技術,按時間劃分表技術等。而如果是更加先進的基于內存的實時日志分析技術,則會有一個關聯分析引擎,能夠實現基于狀態機的規則匹配。

3)日志存儲能力強,能夠存儲上百GB,甚至是幾個TB的日志量。同時有一套較完備的海量日志歸檔、備份、檢索、統計分析機制。

4)日志分析結果的展示能力很強,例如有的先進產品具有很強的日志可視化技術。所謂“一圖勝千言”,通過大量的日志分析圖表形象的展示日志之間的內在關 系。此外,大部分的專業日志審計產品都有較強的統計分析和報表功能,方便用戶進行統計分析,并產生報表報告,供日常運維工作之用。

綜上所述,只有通過專業的日志審計分析工具,我們才能達到如下的目標:

(1)實現對各種IT設備和信息系統的日志的收集,標準化,分類和統一存儲。

(2)對各種日志進行實時審計分析,發現違規行為,并能進行告警響應。

(3)對審計信息進行統計分析,提供日志審計報告報表,多角度對網絡系統的安全狀況進行審計。


  • 聯系我們
  • 聯系電話:0755-83462189 18123938879 18691888046
  • 聯系地址:廣東省深圳市羅湖區清水河三路博豐大廈15層
国内少妇高潮嗷嗷叫在线播放