赛诺朗基全局事件管理技术方案.doc

h 全局事件管理 第 2 页 共 33 页 管理理念 随着信息技术的飞速发展 信息系统中的各类数据正变得越来越复杂 多样化 分散 海 量 对于信息专家和决策者来说 从这些数据中提取关心的信息正日益困难 当数据存在并可以读取时 还需要使用多种五花八门的工具对其进行处理和解读 有时还 可能找不到合适的工具 使用这些工具往往需要特定的技能 花费时间学习才能熟练运用 每 个产生数据的设备或应用程序一般会提供自己的监控工具 采用自己的数据处理方法 管理方 式和使用规则或限制 对于运行产生的事件 记录和日志等数据 情况就更趋复杂 每个设备和系统会产生自己 的日志文件 采用自己规定的格式 数据内容代表特定的意义 更有甚者 具有同样配置的同 类设备 还可能因为版本 设置等原因 产生不同格式和内容的日志 主主机机 防防火火墙墙 入入侵侵防防御御 数数据据库库 应应用用程程序序 目目录录服服务务防防病病毒毒 怎怎么么造造成成的的 是是否否正正常常 我我现现在在需需要要作作什什 么么决决策策 什什么么时时候候发发生生 的的 发发生生了了什什么么 持持续续多多长长时时间间 为为什什么么会会发发生生 有有多多少少次次 谁谁造造成成的的 网网络络设设备备 CheckPoint Eventia Analyzer Reporter NetApp Content Reporter Blue Coat Reporter CiscoWorks Crystal Report Microsoft Operation Manager 低低效效率率 低低效效能能 主主机机 防防火火墙墙 入入侵侵防防御御 数数据据库库 应应用用程程序序 目目录录服服务务防防病病毒毒 怎怎么么造造成成的的 是是否否正正常常 我我现现在在需需要要作作什什 么么决决策策 什什么么时时候候发发生生 的的 发发生生了了什什么么 持持续续多多长长时时间间 为为什什么么会会发发生生 有有多多少少次次 谁谁造造成成的的 网网络络设设备备 主主机机 防防火火墙墙 入入侵侵防防御御 数数据据库库 应应用用程程序序 目目录录服服务务防防病病毒毒 怎怎么么造造成成的的 是是否否正正常常 我我现现在在需需要要作作什什 么么决决策策 什什么么时时候候发发生生 的的 发发生生了了什什么么 持持续续多多长长时时间间 为为什什么么会会发发生生 有有多多少少次次 谁谁造造成成的的 网网络络设设备备 CheckPoint Eventia Analyzer Reporter NetApp Content Reporter Blue Coat Reporter CiscoWorks Crystal Report Microsoft Operation Manager 低低效效率率 低低效效能能 从用户角度来看 需求非常清晰明了 即能够简捷 准确地了解这些设备的运行情况 此 外 还需要采用更统一和直观的标准化方式获得所有设备的信息 这就是赛诺朗基全局事件管 理系统的首要目标和主要任务 全局事件管理 第 3 页 共 33 页 收收集集 过过滤滤 储储存存 发发送送 展展现现 分分析析 调调查查 关关联联 绑绑定定 报报警警 报报表表 显显示示 采采取取措措施施 怎怎么么造造成成的的 是是否否正正常常 我我现现在在需需要要作作什什 么么决决策策 什什么么时时候候发发生生 的的 发发生生了了什什么么 持持续续多多长长时时间间 为为什什么么会会发发生生 有有多多少少次次 谁谁造造成成的的 主主机机 防防火火墙墙 入入侵侵防防御御 数数据据库库 应应用用程程序序 目目录录服服务务防防病病毒毒 网网络络设设备备 收收集集 过过滤滤 储储存存 发发送送 展展现现 分分析析 调调查查 关关联联 绑绑定定 报报警警 报报表表 显显示示 采采取取措措施施 怎怎么么造造成成的的 是是否否正正常常 我我现现在在需需要要作作什什 么么决决策策 什什么么时时候候发发生生 的的 发发生生了了什什么么 持持续续多多长长时时间间 为为什什么么会会发发生生 有有多多少少次次 谁谁造造成成的的 主主机机 防防火火墙墙 入入侵侵防防御御 数数据据库库 应应用用程程序序 目目录录服服务务防防病病毒毒 网网络络设设备备 向用户提供一套工具 一个接口 一致的方式来查看和处理所有日志数据 无论设备种类 存放地点 数据格式 容量大小 实时数据还是按需提取 彼此关联还是松散集合 这就是赛 诺朗基全局事件管理系统带来的数据管理新体验 构造通用的全局事件管理能力 赛诺朗基全局事件管理系统是一套完整 易用的信息系统事件日志管理解决方案 具有专 利创新技术和独特的系统架构 它能够帮助用户处理长达数年或每日数十亿条记录的数据 迅 速获得这些数据背后的关键信息 体验从未有过的强大功能和超群性能 赛诺朗基无需搭配数据库系统 无需专用服务器和网页服务器 也不需要专用开发工具 赛诺朗基能够收集海量日志或事件信息 无论是直接从设备中 注册表中或文件中 无论 是实时获取还是在需要的时候随时提取 赛诺朗基能管理所有的正文文件 分析日志数据 过滤海量数据 筛选出需要和关心的各 种信息 赛诺朗基能够进行事故调查和证据提取 跟踪用户及系统操作行为 检查系统运行维护是 否规范 监视特定事件的发生 等等大量管理类任务 并且采用非常快捷 灵活的方式来实 现 当然 用户还可以利用获取的信息生成报警 创建报表 统计图表 实时视图 实现自定 义工作流等 赛诺朗基能快捷 高效地完成上面所有的管理运行任务 全局事件管理 第 4 页 共 33 页 赛诺朗基使日志收集工作再也不会收到各种限制 它能够收集从任何设备 按任何日志格 式 甚至包括用户自己开发系统的自定义日志文件生成的日志数据 再也不需要另外的工具 花费额外的时间去学习那些工具的使用 赛诺朗基是目前业界唯一实现了无论数据来源和格式 实时还是按需方式 都能一致性地 分析和管理日志数据的方案 系统组件 赛诺朗基全局事件管理系统包含以下四个组件 管理服务器SECmanage 可安装一个或多个管理服务器 数据采集器SECcollect 可安装一个或多个数据采集器 实时监测代理SECagent 可安装一个或多个监测代理 网页服务器SECweb 可生成一个或多个全局事件管理门户 管理服务器 管理服务器 SECmanage 是赛诺朗基全局事件管理系统的核心组件 SECmanage管理服务器是套件的核心 它可以针对实时或历史日志数据进行各种分析和 管理操作 还可以实时 在线 或者按要求 离线 处理数据和执行各种指令 管理服务器主要功能 系统访问权限和用户管理 内部资源管理 设备及管理对象的环境配置 数据处理 规则和报警处理 配置管理 全局事件管理 第 5 页 共 33 页 创建图表 创建报告 数据归档 工作流处理和监控 系统工况监测 系统变更管理 管理服务器是运行在Windows操作系统上的软件模块 一般需要50MB到150MB的运行 内存 实际内存消耗根据所处理的日志文件大小和应用的筛选器而不同 数据采集器 数据采集器 SECcollect 是可同时侦听多个设备的日志或信息的软件模块 SECcollect数据采集器的主要功能 采集数据 解析数据 筛选数据 存储数据 压缩数据 封装数据 加密数据 转发数据 数据采集器可安装在Windows 或 UNIX 平台上 包括Linux AIX HP UX Solaris 等等 全局事件管理 第 6 页 共 33 页 数据采集器可以存储原始数据 筛选后的数据或者同时存储这两种数据 数据采集器工作时不会造成干扰 它不主动轮询或侦测数据 而是实时地接收由管理服务 器配置好的那些设备发送过来的信息 发送协议可以是UDP TCP 或OPSEC的 LEA 协议 实时监测代理实时监测代理SECagent用于主动采集它所在设备的各种信息 包括文件 目录 事件管 理器 Event Viewer 注册表和其它事件 通常SECagent应用在那些不会自动发送这些信 息的设备上 SECagent可以安装在任意Windows或UNIX Linux 平台的设备上 独具特色的网格型系统架构独具特色的网格型系统架构 赛诺朗基系统架构是功能强大 性能超群的网格型计算架构 网格型计算架构非常适合那些需要不受限制地同时处理多项数据任务的情况 对于日志数 据来说 这是最佳选择 在日志处理领域 还没有第二家能够实现这一架构 当每天需要处理17 Terabytes 日志数据时 可以设置多个SECmanager来并行处理 在 网格型系统架构下 可以指定某个管理服务器专门处理一类任务或数据 比如生成报表 关联 分析 字段绑定 报警 存档 日志解析 数据分析等等 更进一步 赛诺朗基网格型架构的部署还非常灵活 可以是集中式的 也可以是分布式的 部署方式 在集中式部署方式中 赛诺朗基管理服务器和数据采集器都安装在同一台服务器硬件上 而分布式部署方式中 管理服务器和数据采集器可以分别安装在不同的服务器硬件上 这种灵 全局事件管理 第 7 页 共 33 页 活的部署方式 非常适合试点然后推广的项目推进模式 也能够不受任何限制地扩充系统范围 和提高系统性能 由于赛诺朗基的免数据库技术 使系统不会受制于集中存放日志的数据库 因而消除了系 统的性能瓶颈 这样 当明天必须每日处理 500 Terabytes 日志数据时 只需添加足够数量的管理服务 器和相应的硬件 就能立即达到这一要求 管理服务器和数据采集器之间将建立双向数据通讯 从管理服务器到数据采集器的数据提取 从数据采集器到管理服务器的实时事件或数据的转发 管理服务器和数据采集器之间的通讯都经过加密处理并通过SSL封装传输以加强安全性 同样 数据采集器和实时监测代理之间的通讯也是经过加密处理并通过SSL封装传输 系统高可用性系统高可用性 在很多应用环境中 高可用性是非常重要的系统要求 在有些企业 它甚至是必须满足的 要求 赛诺朗基的网格型架构和免数据库技术使得高可用性的实现轻而易举 不费任何周折 从具体实现上说 赛诺朗基管理服务器的配置文件是一个正文文件 它可以由多个管理服 务器共享 无论是服务器 文件服务器 NAS或SAN等存储介质 从各处收集上来的数据 事件和日志也都是赛诺朗基格式的正文文件 它们可以在文件服 务器 NAS或SAN中存储 备份和加密 Manager 分分布布式式分分布布式式 管管理理端端 收收集集端端收收集集端端 设设备备设设备备 主主机机主主机机 ManagerManager 分分布布式式分分布布式式 管管理理端端管管理理端端 收收集集端端收收集集端端收收集集端端 设设备备设设备备 主主机机主主机机主主机机 主主机机 整整体体集集中中式式整整体体集集中中式式 收收集集端端 管管理理端端 设设备备设设备备 主主机机主主机机 整整体体集集中中式式整整体体集集中中式式 收收集集端端 管管理理端端 设设备备设设备备 主主机机 全局事件管理 第 8 页 共 33 页 高可用性配置方式高可用性配置方式 多层次备用机制多层次备用机制 高可扩展性配置方式高可扩展性配置方式 没有任何限制没有任何限制 高可扩展性高可扩展性 经过长达4年的研究和开发 赛诺朗基得以成功地研制出STIM专利技术 SECNOLOGY Turbo Indexing Methodology 这个技术的宗旨就是要避免使用数据库来存放日志数据 这是由于我们深刻认识到日志数据及其处理的特点 一 数据量很大 某些大型系统每天就会 产生几百个 的日志量 二 日志信息一旦生成将不再变化 与订单等动态数据有显著的区别 三 日志内容通常由开发者形成 格式五花八门 很难做到统一 数据库技术显然不适用于这 些特点的数据 从另一个角度看 数据库技术在处理日志数据时的风险是相当大的 比如 数据库的记录 数量有限 需要定期滚动 数据库的表 字段定义等不能随意更改 数据库一旦发生故障 必 须有可恢复的数据等 为避免出现这些问题 采用数据库技术的日志处理方案大都对支持的设 全局事件管理 第 9 页 共 33 页 备 格式和变更等有严格的限制 对可分析数据的期限作出规定 而如果是直接导入日志到数 据库 那么一旦数据库发生故障 将丢失一部分数据 采用一个集中的日志数据库 是一种简陋和过时的日志管理方案 它通常是由于上一代产 品就已定型或者系统原型设计时还没有今天这样的海量数据 赛诺朗基没有采用这种短视和急功近利的做法 而是针对日志管理的特点和需求 专注于 创新 STIM技术的成功是显而易见的 它带来的成果也是巨大的 STIM 避免了所有关系型数据库带来的问题和麻烦 同时实现了数据库技术无法实现的 而对于高效日志管理又是必须的功能和特色 赛诺朗基是市场上最强大的日志管理解决方案 在同一个平台上的评测表明 赛诺朗基的 日志分析处理比同类产品快100到3000倍 赛诺朗基在多个层次上进行优化 以显著降低对存储容量的要求 减少中间文件或过程文 件至最低要求 最后也是最关键的 是大大降低了对内存低限的要求 更进一步来说 由于所有数据都是日志文件形式存在 赛诺朗基彻底消除了系统架构中的 所有瓶颈 这样 当有一天系统硬件性能提高30 用户什么都不用做 甚至连配置都不用修改 日 志处理和管理的性能就能透明地提升30 高可扩展性系统架构高可扩展性系统架构 消除系统瓶颈消除系统瓶颈 随硬件全透明地提升性能随硬件全透明地提升性能 全局事件管理 第 10 页 共 33 页 采用采用 STIM 技术的技术的 50 条理由条理由 赛诺朗基智能加速索引技术的优点赛诺朗基智能加速索引技术的优点 其它产品其它产品赛诺朗基赛诺朗基 1系统瓶颈有无 o 2处理速度和性能表现低高 3高可用性设置非常复杂极为容易 4高可扩展性有限或不具备无任何限制 5在线和离线处理只能在线在线和离线均可 6支持的设备种类预定义清单所有 7可用于关联分析的字段很少所有字段 元字段 8支持的日志格式预定义的清单所有 9支持元字段无支持 10支持元事件部分支持支持 11支持元图表无支持 12设备和采集模块之间的连接必须直连可直连或间接连接 13需要额外的二次开发工具是否 14图形化字段解析无有 15灵活性限制有无 16每日处理数据容量限制有限制无限制 17总体数据容量限制有限制无限制 18处理和分析历史数据的能力无有 19可处理数据保留期限最长 3 个月无限制 20保留原始日志只保留提取字段所有数据 21原始日志一致性无有 22日志解析必须满足所有字段可选择部分字段 23日志格式变化的影响需修改数据库格式只修改解析定义 24未提取字段的调查无法进行可进行 25日志数据聚合必须不必 26日志归一化处理必须可选 27监管合规要求原始日志发生变化不影响原始日志 28支持外部应用否支持 29系统定期数据存档 恢复必须可选 30存档 恢复操作的影响系统服务停止系统照常运行 31存档和恢复映像的兼容性非常复杂可兼容 32系统自身特殊的备份 恢复要求必须无 33大容量数据处理时间需几小时仅需几分钟 34磁盘空间要求最高达原始数据的 1100 最多到原始文件的 100 35系统回滚 管理系统 数据库 数据非常复杂可立即完成 全局事件管理 第 11 页 共 33 页 等配置 36对其它 IT 部门的依赖性 如数据库管理 员 有无 37可集成隐身环境无可以 38需要管理员紧密照管是不需要 39对 SQL 数据库提供商的依赖性有无 40数据掩模无有 41需另配软件需另配备份软件不需要 42对硬件的刚性要求有无 43软件数据损坏有风险无 44需要独占系统平台需要不需要 45安装过程至少好几个小时60 秒 46与已有文件服务器 NAS SAN 的兼容 性 可能兼容 47可自由选择存储设备否是 48可自由选择数据存放地点否是 49支付其它软件授权 如数据库 是否 50支付其它软件维护费 如数据库 是否 数据库技术数据库技术免数据库技术免数据库技术 端到端解决方案端到端解决方案 效果立现 效果立现 赛诺朗基管理服务器安装完成后 就可以登录进入系统了 登录成功后 系统的工作台页 面是所有报表的列表栏 只需几次点击 就可以立即获得需要的报告 从列表中选择你希望生成的报表 点击工具栏上的 生成 图标 选择该报表的日志来源并确认 好了 这就行了 从日志来源生成的报表将自动生成 可以马上查看报表内容 全局事件管理 第 12 页 共 33 页 随需定制各种报表随需定制各种报表 在报表功能中 可通过创建新的类型和图表模块来生成各种个性化的报表 定制过程都集 成在系统中 既方便又易用 只要能学会使用鼠标 就能很快掌握这些定制报表的功能 更少限制 更多灵活性更少限制 更多灵活性 无需数据库 无需专用服务器 无需网络服务系统 无需二次开发工具 用户可以更少限制 更多灵活性地考虑如何达到管理目标 并立刻获得想要的结果 无需请求数据库管理员的授权或者协助 赛诺朗基管理日志的机制能够避免对原始数据带 来影响从而防止了对业务数据潜在的损坏风险 无需把所有的日志聚合到一个日志数据库中 而这类关系型的数据库通常需要占用比原始 数据大3到11倍的存储空间 这样您再也不用额外管理一个大型日志数据库 通常这样的数据 库将大大影响已有的运行环境 增加系统建设费用 增大系统部署和维护的复杂度 降低系统 性能 无限的日志解析能力无限的日志解析能力 赛诺朗基支持所有类型的日志格式 包括用户自己定制开发的应用程序所产生的日志 避 免了使用其它的二次开发工具 有了赛诺朗基专利图标解析工具 只需用鼠标点选想要解析的字段并设置相应的解析规则 简单 直观 高效 用户还可以定义元字段 元字段是虚拟的字段 它通常是几个字段或其它元字段组合 变 换而来 比如 原始日志的字段中有 发送字节数 和 接收字节数 两个字段 通过定义一 全局事件管理 第 13 页 共 33 页 个元字段 带宽 由这两个字段加和得到 这样就轻松实现了 带宽 信息的提取 同时不会 对原始数据造成任何影响 对于复杂的日志格式如一个事件采用多个行来描述 结构化的或混杂行的日志 可以通过 创建签名的方式来进行解析 签名方式无需任何编程或二次开发工具 与单行日志的解析一样 高效 便捷 全局事件管理 第 14 页 共 33 页 根据实际需求 可以定义签名的不同工作模式 既可以是一对一的联合模式One2One 也可以是多对一的优先模式Many2One 多对一的优先模式 Many2One 签名可以把分布在多个行上的一组结构化信息组合到一 个单一的签名结果中 非常适合即时的信息关联 避免了文件聚合操作 一对一的联合模式 One2One 适合于那些行与行之间无任何关系的混杂模式日志 One2One 签名模式的输出结果非常类似于一个标准的数据库表单 功能强大 易学易用功能强大 易学易用 赛诺朗基创新的科技理念以及先进的系统架构 为用户提供了一个易学易用 符合人机交 互工程学且高效的工作平台 使用户从烦琐而复杂的日志基础分析工作中解脱出来 全局事件管理 第 15 页 共 33 页 用户因此可以避免花费十几天的产品和工具使用培训 数周的需求定义和环境设置 数月 的等待以获得对一个新的设备或格式的支持或开发 甚至是不得不放弃对该设备的支持 这是真正的核心工具 无论是部署还是维护 它都提供了强大的功能和支持 却不会带来 负担和麻烦 用户再不需要再担心有什么日志处理不了 一旦安装并配置完成 用户就拥有了完成工作所需的一切 而且还可以立即获得结果 赛诺朗基的超群功能和性能在所有指标上都大大超越了竞争对手所能 为用户提供了无与 伦比的使用体验 不作先验假设不作先验假设 赛诺朗基是唯一建立在不作先验假设的理念之上的日志管理工具 即 正在寻找的信息可能以前并不知道 赛诺朗基能够识别 未知 但异常的信息 通常一般的日志管理工具都能够已经确切知道的信息或目标 有了赛诺朗基 就能得到更 多 用户甚至可以获得一些不知道其存在却很重要的信息 信息安全领域的专家都知道 真正 危险的不是那些被发现了数百万次的事件 已知事件 而是那些在不起眼的时候忽然发生的 事件 未知事件 您在前十大事件等统计中绝难发现这些未知事件的踪迹 不妄加评判不妄加评判 赛诺朗基有意不对分析结果做出解释或者判断 而是提供必要的工具和数据 让用户来加 以评判 赛诺朗基相信只有用户对自己的业务环境和管理需求最了解 我们提供必要的信息和知识 由用户自己掌握管理尺度是最有效的 实时数据采集实时数据采集 赛诺朗基内置了一个基于UDP协议的采集模块 它可以实时采集通过该协议在任意端口接 收的日志信息 包括但不限于Syslog SNMP等 对于那些不能通过Syslog或SNMP自动发送日志数据的设备或系统 可以安装赛诺朗基实 时监测代理来收集它们的日志或事件信息 通过这些采集器和监测代理 赛诺朗基可以保证日志跟踪零丢失 不管是数据采集本身还 是对它们的展现 即使在每秒数千行日志数据泛滥的情况下 也能从容完成 全局事件管理 第 16 页 共 33 页 赛诺朗基很快将发布支持SNMP服务器的增强版 可以收集和管理所有SNMP自陷信息并 将其与Syslog的信息进行关联 增强型多因素查询增强型多因素查询 赛诺朗基增强型的查询界面 允许用户提交多因素交叉 类SQL的数据查询请求 用户可以对任意数据来源进行查询 无论收集上来的日志是存储在第三方数据库中 还是 文本文件 无论是在线或离线 化繁为简 聚焦重点化繁为简 聚焦重点 赛诺朗基高效解析工具可以让您定义日志中重点关注的字段 忽略无关紧要的信息 从而 把主要精力集中在那些主要问题上 您可以只提取一个防火墙日志的源IP地址 目标IP地址及其策略代码 您可以创建筛选器 来解析单行或多行日志 并可为某个字段设置条件筛选以及同时处理多个字段及条件的组合 赛诺朗基提供了全面的交互环境 在筛选器设计过程中 用户可以一边观察实际日志文件 的数据 一边定义筛选字段和解析方式 您不必花费精力管理所有信息 通过筛选 您排除掉所有无用信息 全局事件管理 第 17 页 共 33 页 多设备信息关联多设备信息关联 赛诺朗基提供了强大的关联分析引擎 无论是单一来源的多个事件之间 还是不同设备的 多个事件之间 无论是数据是在线 实时事件 还是离线 日志已存储在网络中的某个地方 它可以处理任意关联目标及其组合 采用任意字段作为关键词 为关联分析提供了无限的可 能性 作为关联分析关键词的字段 它的值可以具有唯一性 也可以是不唯一的 用户还可以为关联分析设置一个侦测窗 以指定管理分析的时间区间 符合分析条件的事 件数量 以及限定事件的数量等 关联分析的输出结果可以按用户的要求进行配置以便进行不同的后续处理 用户还可以使用聚合日志工具 Join 来合并不同设备的日志到一个文件中 或通过工作 流设置来定时或按需启动合并任务 所有这些功能都具有性能超群 使用便捷的特点 图形化数据挖掘技术图形化数据挖掘技术 赛诺朗基提供的实时视图功能实现了基于时间的图形化关联分析能力 通过实时视图 用 户可以观察到运行情况的演变过程 用户可以选择一个时间段或者实时跟踪 还可以选择不同 的参数 比如一个或多个字段 元字段以及任意不同数据来源的组合 视图的时间区间可以进行设置 还可以随着图形放大和缩小功能来自动进行调整 以获得 最佳视觉效果 通过赛诺朗基实时视图功能 用户获得了一个多维度 实时 跨设备的实时图形监控工具 有了这个工具 用户就能统观全局 方便地跟踪网络 服务器 应用系统等各项信息科技资产 的表现和运行情况 全局事件管理 第 18 页 共 33 页 用实时视图功能 用户可以可视化一些抽象的系统指标 在同一时间并行观察它们的演进 和变化 并与标准或正常的变化模式 参照值等进行比较 关联 可以采用深入细节或聚合总览的方式来查看事件 视图缩放功能可以使用户方便地查看日 志中一个指标的实时演变过程 并可以随时点击一下鼠标就获得某个时刻该指标的数值和前后 关联信息 实时视图能够帮助用户在大量相似的事件中一眼看出重要或异常的情况 及时作出进一步 的调查以搞清产生的原因 以采取必要的措施 赛诺朗基视图是基于多维度实时图形元素的技术 能够在一个屏幕上同时展现大量的指标 和刻度值 用户还可以进一步按应用名称或数据地点来划分视图 以便更直观地了解运行情况 全局事件管理 第 19 页 共 33 页 用户还可以按业务线来组织视图 这就需要按一定条件横向组织多台设备和信息 例如 可以观察某个指定连接的所有活动会话数量 包括路由器 防火墙 Proxy 防病毒 交换机 服务器 数据库等等 还可以创建实时视图来观察DMZ区中所有设备的CPU占用率 或这些设 备能连接的IP地址等 归纳与统计归纳与统计 赛诺朗基的摘要功能可以方便地对任意字段或字段组合进行枚举和统计 字段组合可以是 某个字段 如源IP地址 或两个字段 如源IP地址 目的IP地址 或三个字段 源 目的 IP地址及协议 四个字段 源 目的IP地址 协议 端口 这些组合可以是无限的 尤其在安全管理领域 事件发生的次数并不是最重要的信息 事件的内容和发生的环境才 是关键 因此 多字段关联的归纳与统计就显得尤其重要了 有时偶尔发生一次的独立事件比 在99 99 的情况下都出现过的事件更值得关注 有了赛诺朗基的这个功能 用户可以轻而易 举地找出那些值得关注的事件 把原始数据转化为管理信息把原始数据转化为管理信息 赛诺朗基的数据映射功能 可以对原始数据进行加工 转换并形成意义明确 可读性强的 管理信息 相对于和枯燥 晦涩的原始数据打交道 经过映射和转化的信息可以更好地与用户的具体 需求和环境结合 这将极大地增强报告可读性 提高报警的反应速度 更快地采取应对措施 用户可以根据需求应用多个不同的数据映射来达到目的 用户还能在处理日志过程中进行 数据映射而不用对原始日志或数据做任何改动 应用不同的数据映射后 针对同一个原始数据 用户可以生成多种不同内容的报表 例如 用户有一组日志包含了IP地址 可以在第一张报表中显示原始数据 IP地址 在第二张报表 中显示为用户名称 在第三张报表中显示为公司VLAN名称 在第四张报表中显示为公司的部 门名称 在下面的例子中 所有目标IP地址为10 2 x x 的信息应显示为一个安全区 DMZ I 而所有源IP地址为195 168 x x 的信息应表示为一个本地私有网络 NETWORK P 这样 面对下面这个难以看懂的表格 全局事件管理 第 20 页 共 33 页 在采用了数据映射后 变成这样易读性极强的信息表 数据映射能帮助实现以下几个管理目标 提高事件能见度 增强日志可读性 使报警易于 理解和执行 使监控持续不断 24X7 可定制的报表可定制的报表 用户可以根据管理目标不限频率和数量地任意定制报告和图表 基于同一组数据 系统可以自动生成各种类型和格式 HTML或PDF 的报表 包括不同 的内容 图形 曲线图或3D立体图 摘要 说明 表格 徽标 图像和符号等等 所有这些 都可根据用户的需求而定 全局事件管理 第 21 页 共 33 页 全局事件管理 第 22 页 共 33 页 规则和触发机制规则和触发机制 在赛诺朗基系统运行过程中 例如启动系统 生成图形或收集日志数据等 不管是在交 互模式还是在工作流模式下 系统规则模块都会监视这些活动并与一系列预定义的触发条件进 行比对 当某一触发条件满足时 系统会自动执行一个或一系列预先设置好的行动 管理员也 可以通过设置提示 在发生行动前再作控制 规则可完全由用户按需求定制 它可以设置为于一系列触发条件对应一系列行动 规则定制内容包括监视内容 触发条件的判断和当条件满足时对应的行动 自定义行动和反应自定义行动和反应 系统提供六种类型的行动和反应 使用户可以应对任务事件和情况 发送一个或多个电子邮件 可定制发送内容 附件以及接收对象 发送Net Send 指令到指定的IP地址或向某个子网广播 在管理服务器屏幕上弹出一个消息窗口 执行一个命令和程序 或者一个包含命令的批处理文件 生成一个文本文件 文件内容可由一系列动态变量的值生成 透明模式 使用户可追踪报警并留下记录 在实时运行时 只要任意事件满足触发条件 行动和反应就会立即执行 另外 还可以通 过运行界面随需启动或通过工作流来执行 只要条件满足 可同时执行多个行动和反应 行动内容可设定为执行第三方应用程序 比如执行一个防火墙的配置更改 解析一个指定 的IP地址 把一个域名加入到黑名单中 或比较一个运行关键任务的服务器发生了哪些变动等 全局事件管理 第 23 页 共 33 页 提醒和警报提醒和警报 用户可以对关注的事件设置自动提示和报警 所有的提醒和报警会被记录为系统内部日志 这样用户还可以像处理其它日志文件一样处 理这些事件 以建立更复杂或者多重的报警 设置行动和反应等 统计 分析函数统计 分析函数 赛诺朗基内置了多种统计和分析函数以满足用户各方面的需求 ARRAY当其中一个字段为数值时 显示两个选中字段的所有值 AVERAGE计算所有非字符串型字段的平均值 COUNT计算选中字段具有不同数值的个数 COUNTRATE计算一个数值型字段在给定时间内具有不同数值的个数 该时间由用户定 义 GROUPSUM计算选中数值型字段组成的群中所有数值的加和 GROUPTOPCOUNT计算选中的一对字段 字段1 字段2 中不同数值的个数 显示前X个 字段1 每个字段1按前Y个字段2形成一组 其中X Y由用户指定 全局事件管理 第 24 页 共 33 页 FIRST显示选中字段第一个出现的内容 LAST显示选中字段最后一个出现的内容 LENGTH计算选中字符串型字段的字符串长度 LISTMAX显示由选中数值型字段按数值降序排列时 最大的X个数值 其中X为用户希 望显示数值的个数 LISTMIN显示由选中数值型字段按数值升序排列时 最小的X个数值 其中X为用户希 望显示数值的个数 MAX显示选中数值型字段中的最大值 MIN显示选中数值型字段中的最小值 ROOT计算选中数值型字段的平方根 SQUARE计算选中数值型字段的平方 SUM计算选中数值型字段数值的加和 SUMRATE计算选中数值型字段在给定时间内数值的加和 时间由用户指定 TOPCOUNT计算选中字段的值 显示最大的X个值 其中X由用户指定 TOPMAX显示选中数值型字段最大的X个数值 其中X为用户指定 TOPMIN显示选中数值型字段最小的X个数值 其中X为用户指定 自动工作流自动工作流 采用自动工作流 用户就可以在早上一上班时从邮箱中获得一份关于昨天系统运行细节的 报告 用户可以创建任务并配置一个执行时间表来完成例行的重复性日志分析工作 从容分身处 理其它事务 工作流的内容可以是解析日志文件 启动复杂的数据请求 运行实时数据采集 数据映射 和转换 执行自定义规则 使用日志文件工具甚至运行一个可执行文件 还可以创建数据摘要 生成报表 保存分析结果等 这些内容定义好后 用户可以同时 多次运行这些功能 用户拥有对自动工作流功能的完 全控制 还可以决定何时保留哪些中间结果 在自动工作流的交互界面中 有下列子功能模块 应用筛选器 数据请求 数据采集项 数据库查询 运行数据映射 触发规则 日志工具 行动 生成摘要 报表 文件 工作流分支 循环等 全局事件管理 第 25 页 共 33 页 归档处理归档处理 赛诺朗基提供了一整套归档机制来存储日志文件 可把它们放置在历史记录中或进行归档 处理 归档形式既可以是原始数据 也可以是经筛选的有用信息 全局事件管理 第 26 页 共 33 页 用户可以自定义归档策略以自动完成归档管理 归档策略的设定具有强大的灵活性 以适 应行业或地方的监管规则以及用户自身的要求 赛诺朗基能够按照需要的方式进行归档 包括必要的安全措施以及应遵循的授权许可 所 有归档相关的事务都能得到自动 妥善的处理 以保证在需要的时候能轻松找回这些归档数据 赛诺朗基归档管理模块专用于上述管理目标 这个模块作为一个系统服务运行 无论其它应用处于何种工作状态 都不影响它的运行 可以在管理服务器中对规定管理服务进行配置 一般来说 配置内容包括指定需要归档的 数据以及归档阶段设置 例如 可以定义下面这样的三个归档阶段 阶段 1 o数据存留期间 3 周 o删除原来的数据 否 o压缩数据 否 o对数据加密处理 否 o采用MD5对数据进行密封 阶段 2 o数据存留期间 3 个月 o删除原来的数据 是 o压缩数据 采用ZIP方式 o对数据加密处理 采用Triple DES 密钥来自 ABC txt 文件 o采用MD5对数据进行密封 阶段 3 全局事件管理 第 27 页 共 33 页 o数据存留期间 1 年 o删除原来的数据 是 o压缩数据 采用ZIP方式 o对数据加密处理 采用Triple DES 密钥来自 XYZ txt 文件 o采用 MD5对数据进行密封 对于存储位置 用户可以为每个阶段分别定义 例如 阶段 1 数据存储在原来的位置上 阶段 2 把归档数据存储在本地网 NAS 上 阶段 3 把归档数据存储在外部介质 如光盘 上 内置日志工具内置日志工具 赛诺朗基内置多种工具以帮助用户提高工作效率 扩展系统效能 这些工具包括 Fetch 把所有待处理的日志文件找出来 Split 有规律地分拆一个日志文件为几个小的文件 Merge 组合几个日志文件为一个单一文件 Compress 压缩日志文件以节省空间和传输带宽 Decompress 解压经过压缩后的文件 某些设备发送的日志是经过压缩的 可以利用此 工具自动解压 Encrypt 对文件进行加密操作 Decrypt 对文件进行解密操作 Seal 对文件或文件集进行密封 Certify 检查文件或文件集的密封戳 Arrange 对所有数据文件按用户需要的形式和内容进行整理 Join 把来自于不同数据源的事件进行关联合并 全局事件管理 第 28 页 共 33 页 赛诺朗基能够直接打开和处理压缩的日志文件 包括归档的日志文件 不需要经过另一 个解压缩的程序 解压缩的过程是通过内置的功能自动识别并解压的 因此可以与其它未经压 缩的日志文件处理方式相同 赛诺朗基甚至还可以直接解压 Ethereal 网络嗅探文件 如后缀 为 enc 和 cap 的文件 最近 由于越来越多的设备采用压缩方式发送日志数据 这项功能已不是多提供一个可有 可无的工具了 而且用户希望实时完成这些解压工作以规避工作的中断或延误 赛诺朗基能同 时满足这两种需求 只有像赛诺朗基这样在处理过程的同时进行解压缩 才能真正做到自动工作流 并全面支 持各种设备或格式 如此 也能节省数据传送的带宽 减少网络的负担 所有这些日志工具都可以在自动工作流中作为任务来执行 系统工况检视系统工况检视 赛诺朗基的系统工况检视能实时查看和控制系统运行的各个方面 提供所有运行模块的状 态 并持续更新各模块的运行记录到历史文件中 深度定制用户权限深度定制用户权限 赛诺朗基系统平台可同时支持多个管理员及用户访问 每个用户的权限档案由超级管理员 Root 设置和定义 超级管理员是唯一能够修改配置和用户权限的用户 相关权限所指向的对象是赛诺朗基系统环境中的各个模块以及生成的各级各类分析或运行 结果 全局事件管理 第 29 页 共 33 页 网页服务门户网页服务门户 软件及服务模式软件及服务模式 赛诺朗基提供了一个网页服务门户 所有授权用户 无论身在何地 从内网还是外网 都 可以通过浏览器 IE Firefox等 访问系统 使用赛诺朗基全局事件管理的强大功能 通过WEB界面 无需在工作站上安装任何程序 用户就可以上传日志源文件 选择相应的 工作流进行处理 获得运行结果 报表和报警提示等 用户可以把结果 在赛诺朗基网页服务器上 也可以下载到自己的工作站中 可用工作流由赛诺朗基管理员根据各用户角色的不同预先定义在网页服务器中 每个用户 都根据对应权限拥有自己安全的存储空间 在该空间内进行创建 移动 删除文件和目录的操 作 全局事件管理 第 30 页 共 33 页 与其它系统协作与其它系统协作 赛诺朗基可与业界的大多数安全管理 系统管理和网络管理程序进行协作 赛诺朗基全局 事件管理系统可以接收和发送日志数据 处理结果和运行记录等 当然 前提是这些系统经过 正确的配置并处于正常运行状态中 运行环境的技术要求运行环境的技术要求 赛诺朗基的运行环境技术要求可以分为两个部分 硬件和系统软件 赛诺朗基可独立运行 在操作系统之上 因而不需要其它中间件或数据库软件等应用技术环境 运行环境的系统软件要求运行环境的系统软件要求 SECmanage 管理端 Windows XP 2000 2003 安装了最新的 service packs SECco