日志采集分析审计系统核心功能有哪些?
通常,日志捕获、分析和审计系统的核心功能包括日志捕获、日志存储、日志分析、日志查询、日志监控、日志事件警告和统计显示。
1、收集会议记录
系统必须提供全面的日志捕获功能,以支持网络安全设备、网络设备、数据库、Windows/Linux主机日志、Web服务器日志、虚拟化平台日志和自定义日志。
提供多种数据源管理功能,包括查看和管理数据源中的信息、查看和管理收集器中的信息,查看和管理代理中的信息以及分布式外部收集器和代理,以提供多种日志收集方法。IPv4和IPv6日志捕获、分析和检索支持。
2、日志存储
支持多种存储扩展方法,包括原始日志和标准日志的存储、自定义存储周期、FTP协议备份和NFS网络文件共享存储。通常,支持ES等大数据技术的存储方法需要至少6个月的日志数据存储。
3、协议分析
提供方便的日志分析任务,支持对日志进行分组查询,支持对表单节点日志进行直接查询分析。
4、协议查询
提供全面灵活的日志查询方法,支持全文、键值、多个kv布尔组合、括号、正则、模糊等查询。
提供简单的日志搜索操作,支持保存和搜索,并从保存的搜索中获取多个条件。
5、协议监控
收集器可以实时监控日志源,查看日志源的基本信息和事件信息,并提供日志监控功能,支持对收集器和收集器资产的实时监控。如果确定特定收集器在一段时间内没有提交日志数据,则源系统或网络您需要确认传输没有问题。
平台级对平台自身组件的实时监控确保了平台自身的稳定运行。支持显示CPU、硬盘和内存的总量和当前使用情况,支持资产汇总和资产相关事件分布显示
6、日志事件报告
可以进行单事件关联和多事件关联分析。基于日志、布尔逻辑关系等方法,可以支持自定义事件规则。时间查询、查询结果统计,支持显示统计结果,支持调整预警规则,并为事件设置不同的过滤规则和预警级别。
统计关联:基于统计状态规则的关联分析,例如事件的多次发生。一个典型的例子是,由于暴力破解,通常会在一段时间内尝试登录同一个帐户,但都失败了。
时间相关性:分析时间规则,例如一个动作发生后又发生另一个动作。如果同一帐户的频繁日志和失败日志持续一段时间,将显示成功日志。人们可能相信这次暴力袭击是成功的。
逻辑关联:基于满足的条件(例如,正在进行的操作)的逻辑关联,例如访问设备的白名单中不包括的IP地址等。
7、统计报告
支持全面的集成报告和灵活的自定义报告模型,按天、周、月、年生成专业审计报告,支持实时报告、定期报告和定期任务报告。编辑报表目录界面,引用统计信息,设置报表标题,显示标题和页码,支持配置报表的基本内容(名称、说明等),支持HTML、PDF和Word格式的报表文件和报表徽标的灵活配置。可视化交互界面显示当前审核状态,并显示合同审核操作的结果和价值。
通过定义人员角色,可以根据角色定义个人监控平台,过滤重要和重要事件,监控指标,使日常审计更加方便和安全,有效提高日志审计的关注度和及时性。
