eLog安全事件管理中心技术白皮书Word文档下载推荐.docx
《eLog安全事件管理中心技术白皮书Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《eLog安全事件管理中心技术白皮书Word文档下载推荐.docx(8页珍藏版)》请在冰豆网上搜索。
在《互联网信息服务管理办法》第十四条中规定:
互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。
互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存不少于60日,并在国家有关机关依法查询时,予以提供。
3解决方案/Solution
3.1系统组成
在该图中,各组件功能如下表所示:
组件
功能
分析器
提供日志源管理,采集器管理,报表查询,安全态势,日志审计等功能。
提供北向接口供第三方查询数据。
同时提供基于https的WEBGUI访问接口,管理员可以通过浏览器对整套eLog系统进行管理。
采集器
负责来自不同防火墙不同类别的日志的采集、分类、格式化、存储等功能。
同时定时汇聚报表数据发送给分析器。
3.2系统主要功能
提供各类安全报表,如IPS报表,AV报表等。
提供基于IPv4会话日志的NAT溯源
3.3系统主要性能指标
单采集器能处理峰值250000EPS的二进制会话日志
单采集器能处理峰值15000EPS的业务日志(syslog或Dataflow)
最多支持15台采集器水平扩展
最多支持50台采集器水平扩展(仅NAT溯源场景)
3.4典型组网
3.4.1集中式组网
集中式组网方案成本较低,适用于网元数量低于100台,网络中日志量未超过集中式部署的eLog系统处理性能,且网元分布集中的网络环境,选择该组网方式需要考虑以下因素:
所管理网元的组网情况
集中式组网时,建议所管理的网元部署在相同的局域网,如果网元部署在广域网,集中式部署会导致大量的日志信息占用广域网的带宽,影响正常的业务。
日志量
集中式组网时,建议日志量不要超过一台日志采集器的处理能力。
如果现网的日志量超过了一台日志采集器的处理能力,应该考虑使用分布式部署。
eLog分析器与采集器集中式部署的组网如下图所示。
日志采集器和eLog分析器安装在同一台服务器上,日志采集器集中接收和采集
3.4.2分布式组网
分布式组网方案适用于性能要求高或者网元分布分散的网络环境。
日志量超过集中式部署处理能力,或者网元超过100台,或者网元分散在多个不同城市等场景均建议采用分布式组网方案。
选择该组网方式需要考虑以下因素:
网元分布在多个区域,区域间需要通过广域网或者VPN连接。
每个区域部署一台日志采集器,可以避免大量的日志信息占用带宽,节约租用带宽的成本。
当现网的日志量超过了一台日志采集器的处理能力,需要使用分布式部署。
eLog分析器与采集器分布式部署的组网如下图所示。
日志采集器和eLog分析器安装在不同的物理服务器上,多台日志采集器可以共用一台eLog分析器,一台eLog分析器最多可管理15台日志采集器。
日志采集器可以部署在不同的子网,采集所在子网的网元日志。
分布式部署时,请勿将eLog分析器与日志采集器部署在同一物理服务器上,以免影响系统性能。
3.5典型场景
3.5.1安全业务分析(含上网行为管理)
在企业员工上网行为管理的应用场景下,eLog对防火墙等网络网元的会话日志和安全日志进行采集和分析,从而追踪企业员工的上网行为(上网流量TopN,上网时长TopN,WEB访问分析,邮件分析等),分析企业员工上网行为。
eLog可以进行按用户的上网流量、上网时长、上网关键字、Web访问、邮件收发、上网应用、网络威胁、文件外发等的分析和查询,管理人员可以根据分析结果对用户上网行为进行管理。
3.5.2NAT溯源
对Eudemon/USG防火墙的会话日志进行采集和分析,获取NAT信息(包括目的IP地址、目的端口、NAT前源IP地址和协议等),结合身份关联数据源(如AAA服务器),从而追踪NAT用户的上网行为。
3.6关键技术
3.6.1超强采集性能
采集器采用华为RH2288HV5服务器为业务提供强劲动力。
结合分布式的文件数据库,单台采集器可处理每秒高达25万EPS的二进制会话日志或15000条syslog/Dataflow业务日志。
3.6.2海量存储
采集器配置了12块6T的磁盘,配合实时压缩,可以应对海量日志的长时间的留存。
采集器可以增加外接磁盘阵列扩容存储,单台采集器最大支持扩容84块6T盘的磁盘阵列。
分析器配置了6块2T的本地磁盘,可以存储海量的报表数据。
3.6.3低资源占用
单台高配置采集器,虽然提供了超强性能和海量存储,但只会占用客户机房2U
的空间。
为客户的运营节省了成本。
同时,采用高能效电源模块,采用80PLUS®
白金高能效电源模块,满足能源之星标准,并通过中国环境标志产品认证。
采用DEMT(DynamicEnergyManagementTechnology)节能技术,可按需动态调整服务器运行状态,提高各种负载下能效,将电能损耗控制在最合理水平。
3.6.4日志归一化管理
日志信息来自不同类型的设备和应用程序,日志格式和采集方式差异性很大,通过统一的日志模型,对日志处理的全过程进行归一化处理。
日志需要经过以下的处理步骤:
●日志采集
通过多种途径接收和采集设备和应用系统产生的日志。
eLog可以支持无代理的日志采集方式。
可以支持通过二进制会话日志、Syslog、Dataflow、Netflow、FTP的采集方式,可以对设备日志和文本日志进行采集;
●日志分类
可以支持通过Syslog、NAT,FTP/SFTP的采集方式,可以对设备日志和文本日志进行采集;
●日志格式化
eLog使用自有的专利技术对日志进行格式化,格式化的规则支持快速升级。
通过日志格式化,可以将异构的日志转换为统一的日志格式;
●日志过滤
eLog提供日志过滤功能,根据用户设置的过滤策略对日志进行过滤。
丢弃无用的噪音信息,节省磁盘空间和提供日志分析的性能;
●日志存储
针对日志管理系统的存储特点,eLog将日志保持在文件数据库。
相对于关系数据库,文件数据库具有吞吐量大,资源占用率低的特点,能够很好的满足日志管理系统存储海量数据的要求;
●日志统计
3.6.5可靠性
日志管理系统需要输出大量的日志分析报表,满足用户的巡检要求和法规遵从性要求。
eLog通过对格式化后的日志数据进行统计分析,将分析结果记录在数据库中,可以支持快速的日志报表输出;
通过RAID6+热备盘的方式提供针对磁盘的三重保护。
针对eLog的采集器提供线程级别的监控,一旦发现问题,可迅速恢复故障并告警。
3.6.6水平扩展
单台采集器每秒可处理高达25万EPS的二进制会话日志或15000条Syslog/Dataflow业务日志,通过采集器的水平扩展,整套eLog系统的二进制会话日志处理能力最高可达375万EPS。
3.6.7分级部署
针对多站点的系统(仅适用NAT日志),下级采集器可以部署在异地的子站点,上级采集器和分析器部署在中心站点。
下级采集器将采集到的数据定时通过FTP/SFTP传到上级采集器,上级采集器提供本地留存和查询服务。
3.6.8采集方式
支持二进制会话、syslog、Dataflow、Netflow、FTP等多种采集方式。
并且通过灵活的架构可轻松扩展新的采集方式。
4结论/Conclusion
eLog支持对全系列华为网元等的日志管理,具有完善的日志采集和业务分析功能。
eLog可以满足日志统一管理和分析、上网NAT追踪、企业员工上网行为分析等多种应用场景。
通过部署eLog系统,一方面可以降低IT系统的维护成本,增强对华为安全设备系统故障和安全事件的及时响应能力;
一方面帮助企业应对法规的顺应性检查,增强IT系统的可审计性。
5缩略语表/AcronymsandAbbreviations
英文缩写
英文全称
中文全称
EPS
Eventpersecond
每秒事件量
NAT
NetworkAddressTranslation
网络地址转换
FTP
FileTransferProtocol
文件传输协议
SFTP
SecureFileTransferProtocol
安全文件传送协议
SOAP
SimpleObjectAccessProtocol
简单对象访问协议
HTTP
HypertextTransferProtocol
超文本传输协议
HTTPS
HypertextTransferProtocoloverSecureSocketLayer
基于安全传输层的超文本传输协议
全文完
升级会员 