深信服日志审计服务器

1.1. 产品简介

深信服日志分析管理系统针对信息安全事件的“可发现”、“可处理”、“可审计”、“可度量”四大目标进行规划和设计，提供众多基于日志分析功能，如安全日志的集中采集、分析挖掘、合规审计、实时监控、日志二次转发及安全告警等，能够同时满足企业审计合规需求及实际运维分析需求，及时有效的发现异常及违规事件，是企业日常信息安全工作的重要支撑平台。

1.1.1. 产品特点

此产品作为用户网络中所有设备日志的集中地，把成千上万条原始日志汇聚于此进行系统分析，极大地展示了它的强大之处，其特点如下：审计与数据可视化，根据等级保护要求从安全审计、入侵防范及管理等维度，对网络安全设备、主机安全、应用安全和系统运维管理等多方面进行细化，用户也可以根据需要，通过简单的拖拽操作实现仪表盘或审计报表的 调整。提升日常安全运维的水平，实现信息系统IT计算环境日志信息的集中管理，全面掌握IT计算环境运行过程中出现的隐患。

1.1.2. 产品优势

日志分析系统相比于目前业界的产品来说，优势如下：

（1）专业的日志分析：品具备高性能吞吐和丰富的数据源采集能力， 内置多种解析规则和审计关联策略，企业用户只需将日志数据接入，即可实现自动分析、报表和告警。

（2）日志全生命周期管理： 根据不同的数据源生命周期管理需求对数据进行分级管理、数据备份，且支持数据按需恢复。

（3）运维将本增效：日志旁路模式抓取，通过采集和分析日志时对业务并无影响; 日志中包含丰富信息，可直观反馈信息系统的状态、安全事件或业务特征; 通过进行日志分析或故障定位可以有效规避人为操作风险。并提高运维效率。

（4）高性能搜索引擎和灵活的分析模式：通过强大的检索分析功能强化用户自定义分析需求，ES的高性能吞吐能力、低资源消耗以及高稳定性已经得到了各行业客户的认可。 客户可根据自身数据日增量情况，采用分布式集群部署，来保障日志的高性能吞吐、实时监控等需求。

（5）开放的数据接口：可以随时通过syslog/Kafka对接第三方数据平台的输入与输出数据。为提高安全事件的处理能力，安全事件可以无缝对接到 SIEM/安全运营平台进行监测管理。

1.2. 产品体系架构

深信服日志分析管理系统，采用基于大数据组件架构，采用分层的数据处理结构设计，从数据采集到最终的数据分析呈现形成完整的处理逻辑过程。层次划分如下：

（1）数据采集层

采集包括主机数据、中间件数据、数据库、第三方网络和安全设备日志。该层提供多种接口进行多源日志数据的采集和对接，支持主动、被动相结合的数据采集方式，支持通过Agent采集日志数据，支持通过syslog、SNMP Trap、JDBC、WMI、webservice、FTP、文件/文件夹读取、Kafka等多种方式完成日志收集。

（2）数据预处理层

对采集的数据进行预处理，包括数据清洗、数据归并、数据富化，最终数据转换为平台可理解的格式化数据，以文件的形式进行存在，等待分析。

（3）大数据分析层

读取经过预处理后的数据进行离线计算，或读取ES（Eleastic Search）数据进行实时机算。在此进行全网安全数据的检测、分析和统计，并结合多源数据智能分析，发现安全威胁现状，同时，内置的多条安全关联规则可将数据进行归并告警。

（4）数据存储层

分析数据和结果存储在ES引擎（Eleastic Search）中，可提供快速的检索能力。同时，对用于近期需要快速呈现的统计结果数据存放到MongoDB，可快速读取，相比ES引擎无需渲染和消耗内存。

（5）数据服务层

基于APP的方式设计整个数据可视化的展示，基于从数据存储层获取数据的接口，读取展示数据，提供各种数据的安全可视服务及对外接口服务。可视化使用ext作为JS框架，基于ECharts作为图形库，以vue架构作为数据可视化呈现支撑。

1.3. 产品关键特性

本节主要讲解产品的关键特性。对于比较大的特性可以采用列表的方式单独写作。对于比较小的特性，特别是大特性下的小子项可以通过表格的形式列出，更清晰。

1.3.1. 攻击快速溯源

统一收集用户系统日志，通过历史数据的比对，找到异常地访问行为，同时利用登录的外网IP关联安全设备、操作系统、中间件等日志进行快速取证，帮助用户快速定位源头。

1.3.2. 运维增效

用户前期在等保自查过程中采用人工登记比对测评指标的情况，每次都需要登录系统查看各种配置状态，并做记录。该工作每天多次重复，耗时长，人工成本高且巡检效率低。应用日志审计后，仅需5分钟即可完成自动巡检，巡检效率大幅提升，故障定位也不再需要登录设备，有效避免了人员误操作风险。