• 背景

LogBase针对目前主流信息系统基础平台的特点，通过采集各种网络设备、安全设备、操作系统及系统软件平台的安全事件日志及各种消息、主动探测运行状态等手段，全面地监测、记录信息系统各部分的动态信息及配置变更，提供实时告警并输出各种综合分析报告，为系统管理人员提供了一个监测面广、响应及时、具有强大分析能力的信息系统基础设施安全事件管理平台。

• 需求

以信息系统安全运维为出发点，统一管理日志及安全事件，预防、及时发现系统故障和安全事故，为恢复和追查提供依据。包括以下风险管理内容：

• 对网络及安全设备运行状态和配置更改跟踪

第一时间发现网络故障，保留与故障产生相关的设备异常日志，为进一步处理提供有效依据。另外，正常情况下，设备投入使用后其配置是不会轻易更改，防止非授权的配置修改。

•  对服务器运行状态跟踪

各种服务器上安装着不同操作系统（如Microsoft Windows NT/98/2k/、Unix/Linux、Solaris、FreeBSD、UnixWare、AIX、HP-UX、OpenServer等），管理员无法7*24实时监控服务器运行情况，总是导致应用故障后才发现。

• 对海量安全日志事件的处理

包括安全设备（防火墙、IDS/IPS、防病毒/垃圾邮件等）每天会产生海量的安全事件；操作系统的系统及安全日志；大量的数据库、网络和主机的用户操作行为。要么无法获取，要么每个厂商都分别有不同的管理平台，管理分析能力参次不齐。管理员希望能对以上信息集中管理，并实现有效的关联分析，发现其中的安全故障和隐患。

• 主要功能
•  
• 审计源采集：
  • 协议型信息采集

对网络及安全设备的信息源采集主要是采用通用标准协议，包括SYSLOG（UDP514）、OPSEC LEA协议等，涉及设备包括路由器、交换机、防火墙、VPN、IDS/IPS等网络及安全设备。

• 日志文件采集

对于部分应用系统、WEB服务、会产生以文件形式的日志存在在本地系统平台上，通过在相应的系统平台上安装Agent，通过Agent采集日志文件中的日志信息；或者提供共享协议和权限，让LogBase设备主动去采集文件。

• 系统状态采集

对于系统平台的CPU、内存、硬盘、端口使用率，应用的响应时间，服务和进程状态，TCP连接数等

• 数据库、网络及主机行为事件采集

采用LOGBASE其它对应的解决方案及配件。

• 审计输出：
  • 实时的规则告警

帮助用户根据自身情况定制针对性的规则，一旦出现运行故障或安全事件及时通知管理员。

• 丰富的统计和关联分析

基于时间跨度的跟踪及数据量统计、基于指定事件的列表、对比和轨迹分析报告