帶你(nǐ)了(le)解日(rì)志(zhì)審計(jì)-行(xíng)業(yè)資訊-東莞市續一秒網絡科技有限公司-

帶你(nǐ)了(le)解日(rì)志(zhì)審計(jì)

2024-08-19

一(yī)、什(shén)麽是(shì)日(rì)志(zhì)審計(jì)

日(rì)志(zhì)審計(jì)是(shì)一(yī)站(zhàn)式的(de)日(rì)志(zhì)數(shù)據管理(lǐ)平台，全面收集IT系統中各類設備（如(rú)安全設備、網絡設備、服務器(qì)、主機(jī)、應用(yòng)系統、服務器(qì)等）産生(shēng)的(de)日(rì)志(zhì)，并進行(xíng)存儲、監控、審計(jì)、分γ(fēn)析、告警、響應和(hé)報(bào)告的(de)系統。提供事(shì)前預警和(hé)事(shì)後審計(jì)的(de)安全能(néng§)力，是(shì)網絡安全建設的(de)重要(yào)組成部分(fēn)。

二、日(rì)志(zhì)審計(jì)的(de)部署方式

單機(jī)旁路(lù)部署：一(yī)般旁挂接入于網絡關鍵節點，無需改變現(xiàn)有(yǒu)網絡架構，日(rì)志(zhì)審計(jì)設備與日(rì)志(zhì)源設備能(né&ng)網絡可(kě)達即可(kě)。
分(fēn)布式部署：在多(duō)分(fēn)支場(chǎng)景中，在每個(gè)分(fēn)支節點部署數(shù)據采集器(qì)或代≠理(lǐ)，将各分(fēn)支的(de)日(rì)志(zhì)數(shù)據傳輸到(dào)總部的(de)日(rì)志(zhì)審計(jì)平台進行(xíng)統一(yī)的(dδe)數(shù)據處理(lǐ)和(hé)分(fēn)析。此架構不(bù)僅保障了(le)日(rì)志(zhì)數(shù)據的(de)完整性，還(hái)提高(gāo)了(le)日(rì)志(z'hì)審計(jì)系統的(de)擴展性和(hé)可(kě)靠性。

三、日(rì)志(zhì)審計(jì)的(de)功能(néng)

日(rì)志(zhì)采集：支持syslog、snmp、kafka、ftp、sftp、webservice、winlogbeat等多(duō)種日(rì)志(zhì)協議(yì)，覆蓋主流安™全設備、主機(jī)及應用(yòng)，保障日(rì)志(zhì)信息的(de)全面收集。
日(rì)志(zhì)解析：通(tōng)過預置的(de)解析規則實現(xiàn)不(bù)同廠(chǎng)商日(rì)志(zhì)源的(de)日(rì¥)志(zhì)解析、過濾和(hé)聚合，将采集到(dào)的(de)原始數(shù)據轉義為(wèi)可(kě)分(fēn)析的(de)格式。
關聯分(fēn)析：支持全維度、跨設備、細粒度的(de)關聯分(fēn)析，內(nèi)置衆多(duō)關聯規則，幫助IT運維人(rén)員(yuán)發現(xiàn)企業(yè)網絡中潛在的(de)安全事(s®hì)件(jiàn)和(hé)風(fēng)險。
數(shù)據檢索：提供豐富靈活的(de)日(rì)志(zhì)查詢方式，支持全文(wén)、key-value、多(duō)kv布爾組合等多∏(duō)種檢索方式，方便用(yòng)戶快(kuài)速定位日(rì)志(zhì)信息。
日(rì)志(zhì)監控：提供日(rì)志(zhì)監控能(néng)力，支持對(duì)采集器(qì)、采集器(qì)資産的(de)實時(shí)狀态進行(xíng)監控，确保日✘(rì)志(zhì)系統的(de)穩定運行(xíng)。
日(rì)志(zhì)存儲：提供原始日(rì)志(zhì)、範式化(huà)日(rì)志(zhì)的(de)存儲，支持自(zì)定義存儲周期和(hé)多(duō)種存儲擴展方式。
日(rì)志(zhì)轉發：支持原始日(rì)志(zhì)、範式化(huà)日(rì)志(zhì)的(de)轉發，方便與其他(tā)安全設備進行(xíng)聯動。
日(rì)志(zhì)事(shì)件(jiàn)告警：內(nèi)置豐富的(de)單源、多(duō)源事(shì)件(jiàn)關聯分(fēn)析規則，支持自(zì)定義事(±shì)件(jiàn)規則，當檢測到(dào)異常或重要(yào)安全事(shì)件(jiàn)時(shí)，及時(shí)通(σtōng)知(zhī)管理(lǐ)員(yuán)。
日(rì)志(zhì)報(bào)表管理(lǐ)：支持豐富的(de)內(nèi)置報(bào)表以及靈活的(de)自(zì)定義報(bào)表模式，滿足不(bù)同審計(jì)需求。

四、數(shù)據采集方式

主動收集：wmi、jdbc、webservice、ftp、sftp
被動接收：syslog、winlogbeat、snmp trap、kafka

五、日(rì)志(zhì)審計(jì)的(de)價值

滿足法律法規要(yào)求： 如(rú)《網絡安全法》第21條要(yào)求企業(yè)留存相(xiàng)關網絡日(rì)志(zhì)6個(gè)月(yuè)
提升安全運維管理(lǐ)能(néng)力：通(tōng)過全面收集和(hé)分(fēn)析日(rì)志(zhì)信息，及時(shí)發現(xiàn)潛在的(de)安全威脅和(hé)異常行(xíng)為(wèi)事(shì)件(γjiàn)，為(wèi)企業(yè)整體(tǐ)安全防線提供有(yǒu)力支持。
助力事(shì)後分(fēn)析和(hé)調查取證：當發生(shēng)安全事(shì)件(jiàn)時(shí)，日(rì)志(zhì)審計(jì)設備能(néng)夠提供必要(yào)的(de)信息支持↑事(shì)後分(fēn)析和(hé)調查取證工(gōng)作(zuò)。

六、日(rì)志(zhì)審計(jì)的(de)主流廠(chǎng)商

根據賽迪顧問(wèn)發布的(de)《中國(guó)日(rì)志(zhì)審計(jì)産品市(shì)場(chǎng)研究報(bào)告(2∏023)》，啓明(míng)星辰的(de)日(rì)志(zhì)審計(jì)産品以12.7%的(de)市(shì)場(chǎng)份額占據國 (guó)內(nèi)日(rì)志(zhì)審計(jì)市(shì)場(chǎng)第一(yī)，并且從(cóng)201γ9年(nián)到(dào)2022年(nián)，啓明(míng)星辰已連續領跑國(guó)內(nèi)日(rì)志(zhì)審計(jì)産品市(sh♦ì)場(chǎng)。

除了(le)啓明(míng)星辰外(wài)，深信服、安恒信息、奇安信等廠(chǎng)商也(yě) 是(shì)中國(guó)日(rì)志(zhì)審計(jì)市(shì)場(chǎng)的(de)重要(yào)參與者。