|
 |
||||||||||||||||||||||||
雄智科技集多年在軟件、網絡、安全行業的產品研發經驗,結合現代企業網絡管理的特點和目標,自主研發了一套可視化網絡日志分析與審計系統――Quark DLM。該系統為用戶提供了一套基于網絡設備、安全設備以及其他設備的智能化日志集中分析與審計平臺,簡化了管理工作量,提高了管理工作效率。
Quark DLM系統是定位于為用戶提供一個統一的日志匯總平臺,實現對多種網絡系統、安全系統以及其他系統的日志集中搜集、展現與分析,實現對整個網絡系統的基于物理拓撲的日志監控、分析與審計,以便管理員實現基于網絡平臺和面向應用的"事前"管理、"事中"監控和"事后"分析。本系統實現了跨廠商、跨平臺、跨地區的統一日志分析與審計,為用戶提供面向對象的綜合網絡資源統一管理,對網絡系統中的網絡設備和安全設備進行全面監控和實時告警,確保網絡系統、網絡設備、安全設備的正常運行。
本系統主要由日志接收代理、過濾分析中心、日志數據庫、審計系統管理器四個部分組成,可以根據網絡規模、網絡流量、組網設備、拓撲結構采用不同的組網設計和安裝配置策略,以適應不同的性能和審計目標的要求。
1) 日志接收代理收集網絡中各種運行設備的日志信息,過濾后發送給過濾分析中心處理。日志接收代理是日志審計系統的觸角。日志審計系統主要通過日志接收代理收集各類網絡設備發送來的系統日志信息。
2) 過濾分析中心接收日志代理轉發的日志信息,經過統計分析引擎處理后,集中保存在日志數據庫,通過審計系統管理臺將分析前、后的結果呈現給用戶。
3) 日志數據庫保存各種日志信息、系統配置信息。
4) 系統管理平臺提供給用戶一個方便、直觀的管理接口。通過管理器用戶可以查看日志、報表等各種信息結果。本系統部署方式如下圖所示,網絡中的各種運行設備只需簡單配置,將日志發送到日志分析系統所在主機上即可。
日志接收代理、過濾分析中心及日志數據庫可以安裝在同一臺主機上,其最低配置要求如下:
屬性 參數硬件平臺 PC 服務器(推薦3.0G CPU、1G內存、2*72G) 操作系統 Windows 2000/2003 Server 數據庫 SQL Server 2000
Quark DLM系統通過提供一個統一的日志集中管理平臺,系統通過提供一個統一的集中管理平臺,實現對日志采集、分析過濾中心、日志數據庫的集中管理。具體功能如下:
日志采集:通過設置日志收集源和日志代理來定義收集哪些設備的哪些日志;并根據設置的內容接收設備發送來的日志信息;
過濾分析:根據過濾條件,丟棄不需要的日志類型;實時監控需要監控的各類日志;對審計日志能夠提供完整性保護,防止非授權用戶對日志信息進行修改;
審計日志數據自動歸檔:提供對日志數據歸檔功能;將接收到的指定類型的日志,按照規定格式進行分析,保存,供統計分析使用;
日志查詢:支持按照日志類型查詢日志;支持按照日志格式查詢日志;支持按照審計設備查詢日志;可以生成日志生成分析報表和趨勢圖,幫助管理員發現系統漏洞和安全事件以及其發生的規律;能夠保存較長時間范圍內的系統日志信息;
報表統計任務:支持以多種方式查詢網絡中的日志記錄信息,以報表的形式顯示;統計報表的生成是基于日志源的,管理員通過輸入相應的參數來有計劃地訂制一批報表任務,報表任務可根據用戶預先設定的條件立即執行或按一定周期執行;
報表模版:日志審計系統內置了豐富的報表模板供用戶使用, 報表模板定義了報表中顯示的日志內容;
報表瀏覽:對查詢到的日志記錄信息,能夠以報表的形式顯示;支持瀏覽和導出報表;
用戶管理:支持基于用戶組的權限分配和管理,權限包括管理員和操作員;
設備組管理:支持根據IP地址范圍定義設備組;支持設備組的添加、刪除和修改操作;
數據庫管理:支持數據庫備份;支持歷史數據庫管理;
能夠管理需要采集日志的設備IP地址以及設備類型,提供添加/修改/刪除管理設備IP地址及設備類型的功能;
根據設備型號確定需要采集的日志信息種類;
系統提供了手動或自動生產網絡拓撲;
在該拓撲圖上,能夠動態實時反映的網絡布線信息,設備運行狀態及鏈路的流量變化情況等,幫助用戶一目了然的掌控整個網絡的實時運行狀態;
通過網絡監控系統,可以顯示網絡拓撲、關聯和管理事件、監視網絡的健康狀況、采集網絡性能數據以及報表管理。
當網絡中的設備出現故障,機器死機或網絡聯路斷掉,系統能在短時間內生成報警信號,并在拓撲圖中將該設備標記出來,便于網絡管理人員發現診斷;
雙擊拓撲圖中的網絡設備可以直接看到該設備所匯總的日志信息;
日志采集接收所有發送到本系統的日志信息,根據需要管理的設備列表,過濾不在列表內的設備日志,將可管理的設備日志傳遞給日志過濾系統;日志過濾系統根據可管理得日志類型,過濾不符合規則的日志,然后將正確日志類型的日志傳遞給日志分析系統;日志分析系統根據指定的日志格式,分析收到的日志,將日志按照指定格式,分類保存在數據庫中。
1) 日志的收集通過本地代理的接收方式收集來自網絡中不同設備日志及實時監視信息,同時將收集到的信息根據統一的信息格式進行標準化處理。
2) 事件的處理對接收到的已格式化的事件信息進行處理,首先按審計策略進行事件的過濾,然后對大量的同類事件進行歸并處理,避免產生事件風暴。事件的歸并能簡化后續的分析及方便用戶的查看。處理后的事件分別發送至實時檢測引擎及數據庫系統。
3) 實時檢測對處理后的事件進行實時的審計,根據事件的不同,系統設有多個不同的審計引擎。基于審計分析引擎的應用,可以根據制定的響應策略對不同事件進行不同方式的響應。
4) 事件的可視化分析通過對系統數據庫中歷史數據的分析,從不同角度(按網絡設備、時間、事件類型等),按系統預設的不同模板生成分析結果,并根據用戶的要求通過豐富的圖表來顯示分析的結果。分析涵蓋了對事件的歸類統計及事件的變化發展趨勢。
本系統具有如下特點:
·部署簡單
本系統的存在對終端用戶透明,而不影響終端用戶的正常工作。只需對需要采集日志的網絡設備作簡單配置(配置系統將系統日志發送到指定服務器即可),易于管理和維護的。
·全面的日志信息采集及管理
系統全面支持安全設備(如防火墻等)、網絡設備(如交換機、路由器等)多種產品的系統日志數據的采集和分析。支持對不同日志格式的分類、篩選、最大效率保存;日志自動導出、導入、刪除、備份、恢復等日志管理功能。提供了多樣、靈活的日志信息查詢,同時支持按用戶設定的條件進行不同日志的相關查詢,幫助管理員實現更加全面、深入的分析事件。
·高柔韌性及可靠性的類微內核系統模式
微內核(Micro-Kernel)是經典的高可靠性OS設計模式,本系統為了實現系統可靠性與性能的平衡采用了一種類似微內核的系統模式。可以通過在系統內核上簡單地添加或移去功能插件來滿足不同用戶的要求并實現對系統的擴展。建立在內核之上的分立功能插件實現了錯誤的隔離,從而提高了系統安全性。這一系統模式貫穿了系統的各個部分。
·采用XML技術實現信息交換
本系統的數據文件及其部分系統的配置采用XML文件形式存儲,XML不僅提供了清晰的結構化的信息表現能力,同時作為一種流行的標準的信息交換形式,使得系統的數據及信息可以在不同平臺及系統間自由交換,為與其它系統、平臺進行有效整合提供了保障。
·靈活的統計分析
本系統具有強大的過濾、聚合、統計與分析能力,可以在全面采集設備日志信息的基礎上,為管理員提供實用、精簡、完備的網絡狀態使用信息。本系統具有獨特的數據清理技術,通過剪裁、過濾、聚合等技術手段,有效地剔除了重復的、冗余的和細枝末節的數據,可以在確保關鍵信息不丟失的前提下,將龐雜、無序的各種日志組合成完備、緊湊的網絡行為數據,最大程度地減少數據存儲的空間,提高分析效率。基于XML模板的數據分析引擎是日志分析與審計系統的核心技術。數據分析引擎可以通過靈活定制的統計分析策略,從龐大的日志數據中挖掘出用戶關心的統計信息,為網絡管理員提供不同層面的決策支持。
·按需定制的報表與審計
清晰、直觀的網絡狀態審計和分析結果展示,為管理員提供決策支持的重要手段。本系統提供了靈活擴展、按需定制的報表引擎。可以根據用戶統計分析的需求和目標自定義統計規則,并自動生成柱狀圖、餅圖、曲線圖等直觀的統計報表。比如,設備接口狀態趨勢圖、地址沖突頻度排名表、設備溫度異常趨勢圖等。本系統還可根據用戶需要,通過各種組合條件對海量的日志進行快速分析。管理員可以從日志審計結果中準確了解網絡設備的運行狀態——設備每月端口DOWN/UP的次數、設備地址沖突的次數、設備異常流量、設備板卡異常狀態等。
·報表內容多樣
本系統能準確記錄整個系統使用情況,根據各種記錄類型分類生成。通過靈活的時間檢索方式,為系統管理提供實時、準確、直觀的依據。管理中心提供多種類型的報表內容。例如端口狀態日志、設備流量異常日志、設備板卡異常日志、設備運行狀態日志等。每一種報表類型包含了詳細的報表功能。報表管理也為管理員提供用戶自定義報表任務類型,可以在任意時刻檢索日志。報表內容采用餅狀圖、線性圖、柱狀圖與具體記錄數據相結合的表示方式,達到很好的可供分析效果。
·可擴展性
平臺的設計已考慮到網絡系統及各種安全技術的發展狀況和趨勢,確保平臺在設計、實施、運行、管理、維護等各個階段既能夠滿足現在已部署的安全產品的集中管理,也能夠滿足未來將要部署的各類安全產品的集中管理并進行擴展。此外,系統平臺設計采取成熟的技術和模塊化設計,可根據實際需要對應用模塊進行裁減。
Quark DLM目前能夠搜集分析國內外知名品牌產品的日志信息,包括:
1、Cisco全系列;
2、華為全系列,包括NE16等中高端路由/交換設備;
3、 UNIPER,東軟,天融信,東方華盾,邁普、等防火墻;
4、銳捷全系列;
5、Windows、Linux、Unix操作系統;
6、任何提供標準Syslog日志的防火墻、路由器、交換機、主機設備、應用系統或其他設備,客戶只需提供該設備的日志樣本,即可加入本系統;同時雄智科技提供定制開發,以滿足對其他各種操作系統日志、應用系統日志以及其他系統日志的集中管理與分析。
