产品优势

融合大数据技术的产品架构
为了应对海量日志管理带来的挑战,系统采用了国内领先的高性能日志采集范式化技术、大数据分布式存储与索引、流式集中事件及情境关联分析,从产品技术架构的层面,进行了系统性的设计,真正使得本产品成为一款能够支撑持续海量日志管理的系统。
多样的日志采集能力
日志审计类产品的一项核心能力就是对审计数据源的日志采集。对于用户而言,采集日志面临的最大挑战就是:审计数据源分散、日志类型多样、日志量大。为此,系统综合采用syslog数据采集、snmp数据采集、数据流采集等多种数据采集能力,充分适应用户实际网络环境的运行情况,采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志。产品功能
- • 全面支持Syslog、SNMP日志协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合
- • 日志审计系统支持针对不同格式的日志信息解析提取关键信息完成日志信息的过滤、日志合并和日志格式的统一化规整,规整后的日志字段包括日志接收时间 、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级等等,使规整后的日志简单易懂便于分析,统一化处理的日志格式可通过导入解析文件的方式灵活扩展
- • 系统提供基于规则的日志信息关联分析技术对海量日志数据进行多维度关联分析,第一时间发现网络中发生或隐藏的各类安全事件、安全威胁
- • 统内置大量的日志分析规则,并提供可视化的规则自定义配置界面,方便管理员快捷的制定针对安全事件关联分析的过滤规则、关联分析规则以及相对应安全事件的告警方式等
- • 日志审计提供安全告警能力,多维度图形化展示告警信息概况,以时间为轴线展示告警发展趋势以及列表展示告警详情。帮助管理员直观掌握网络环境安全现状,并对未来网络安全形势进行相应评估。告警信息实时刷新,管理员可通过多维度多条件的查询告警信息,准确定位实时安全事件来源
- • 支持通过任意字段从数以百亿级的日志信息中检索所需要的日志内容,并提供丰富的日志检索模板,让日志查询简单、易用。此外支持查询结果下钻上卷,支持原始日志与归一化日志同屏显示。支持查询结果显示界面快捷统计
- • 可根据制定的存储策略存储指定时间内的或一定空间容量的日志信息,可通过制定日志备份策略和日志空间告警阈值保障日志信息的可用性