H3CXlogUBAS-eLog攻防手册

1、1H3C XLog UBAS- RG eLog攻防手册攻防手册产品营销部 软件组更新日期： 2008-10-262修订记录修订记录修订日期修订版本修订描述作者2008-9-26V1.0套用新模板。缪芬2008-10-28V1.1刷新攻防手册内容缪芬3术语表术语表FiMC：intelligent Management Center 智能管理中心FUBAS: User Behavior Audit System用户行为审计系统FNAT：Network Address Translation网络地址转换FURL：Uniform / Universal Resource Locator 统一资源定位符

2、34按公安部要求提供上网记录提供事后审计按萨班斯法案要求进行审计为什么要对用户行为进行审计为什么要对用户行为进行审计用户行为审计系统的用户需求背景5了解了解XLog UBASUBAS是XLog的一个子系统资料来源：XLog配置手册6功能介绍功能介绍l审计用户网络访问日志审计用户网络访问日志 访问网络的源IP、端口 用户使用的协议类型 产生了多少字节的流量 l掌握用户上网行为掌握用户上网行为 何时访问了非法网站？ 何时访问了哪些网页？对什么感兴趣？ 发送了哪些Email ? 向外发送了哪些文件？ l发现可疑用户和网络异动发现可疑用户和网络异动网络监控和决策支持的助手网络监控和决策支持的助手XLo

3、g UBAS介绍介绍资料来源：用户行为审计系统主打胶片7 日志采集日志采集NAT日志日志Flow日志日志NetStream日志日志DIG日志日志DIG摘要日志摘要日志uNAT转换前后的IP地址和端口信息u用户源IP地址、端口u访问目的站点IP、端口号、协议类型u网络访问的流量（包数、字节数等）、时间u用户行为（HTTP、FTP、SMTP等）内容摘要XLog UBAS介绍介绍资料来源：用户行为审计系统主打胶片8 日志剪裁和过滤日志剪裁和过滤网络流量的智能提取和剪裁网络流量的智能提取和剪裁基于策略的日志过滤基于策略的日志过滤灵活组合的过滤策略灵活组合的过滤策略剔除与审计、监控无关的网络数据剔除与审

4、计、监控无关的网络数据过滤可信任的网络日志过滤可信任的网络日志提高统计分析效率，及时响应网络审计操作提高统计分析效率，及时响应网络审计操作减轻日志处理和数据存储的压力，适应大规模的网络应用环境减轻日志处理和数据存储的压力，适应大规模的网络应用环境过 滤 策 略源源IPIP过滤过滤目的目的IPIP过滤过滤NATNAT地址过滤地址过滤协议过滤协议过滤性能性能出色源于出色源于XLog UBAS介绍介绍资料来源：用户行为审计系统主打胶片9 日志过滤日志过滤XLog UBAS介绍介绍资料来源：用户行为审计系统主打胶片以过滤的方式试图减少有效数据数量，一以过滤的方式试图减少有效数据数量，一定程度上也会导致

5、数据缺乏连续性定程度上也会导致数据缺乏连续性10 日志聚合日志聚合XLog UBAS介绍介绍资料来源：用户行为审计系统主打胶片采用聚合的方式降低了数据的存储量，但采用聚合的方式降低了数据的存储量，但同时也会影响到日志查询的效率同时也会影响到日志查询的效率11 实时的系统监控实时的系统监控管理中心管理中心处理器处理器接收器接收器告警上报告警上报告警发布告警发布实时告警实时告警邮件告警邮件告警告警查询告警查询强大的自身运行监控的功能强大的自身运行监控的功能保证了系统运行的可靠性保证了系统运行的可靠性确保管理员及时掌握系统运行状态确保管理员及时掌握系统运行状态XLog UBAS介绍介绍资料来源：用户

6、行为审计系统主打胶片基本功能，基本功能，eLog也也做了很好的实现做了很好的实现12 灵活的分布式部署灵活的分布式部署强大的可伸缩性强大的可伸缩性按需定制的解决方案按需定制的解决方案适应不同规模的网络环境适应不同规模的网络环境R处理处理器器接收器接收器 探针探针应用服务器应用服务器数据库数据库管理管理/监控终端监控终端l接收器、处理器、管理中心、数据库既可以接收器、处理器、管理中心、数据库既可以合并合并在一台机器上，在一台机器上， 也可以也可以独立独立出来以满足日志处理的性能要求出来以满足日志处理的性能要求l接收器接收器/处理器的处理器的数目数目可根据需要处理的数据量的大小灵活配置可根据需要处

7、理的数据量的大小灵活配置XLog UBAS介绍介绍资料来源：用户行为审计系统主打胶片如此如此“灵活灵活”的部的部署方式，处理能力署方式，处理能力是否超群呢？是否超群呢？13eLog的应对的应对F我们可以看到UBAS做了这么多的过滤、聚合工作，最主要的目的就是提升对日志的统计分析能力和降低数据存储和日志处理的压力F本质： 数据处理能力差 缺乏对数据存储空间的有效监控14FeLog除了提供NAT日志的采集查询，还针对锐捷的ACE和防火墙设备提供了URL日志的采集查询功能eLog的应对的应对15XLog UBAS的优劣分析的优劣分析F优势 部署灵活，接收、处理、管理中心、数据库都可以独立部署。 提供

8、了丰富的过滤、聚合策略编辑功能 支持全面的日志采集，尤其是对于镜像端口可直接部署采集DIG日志进行分析使之不限于H3C设备F劣势 在DHCP环境下不能提供基于用户的日志分析，虽然能够定位到IP却不一定能够定位到人 没有提供对存储空间进行监控的功能 无法独立提供流量统计功能16eLog的优势分析的优势分析具有绝对优势的数据处理能力具有绝对优势的数据处理能力eLogUBASNAT处理能力处理能力2万条/秒1万条/秒URL处理能力处理能力支持单点能够收集带宽1000M链路的URL 通过DIG只能处理300M17eLog的优势分析的优势分析基于用户的统计、分析基于用户的统计、分析能够基于用户对流量、会话、能够基于用户对流量、会话、NAT日志、日志、URL日志进行统计日志进行统计18eLog的优势分析的优势分析对对URLURL日志的天然支持日志的天然支持无需额外部署，提供对锐捷无需额外部署，提供对锐捷ACE和防火墙和防火墙设备的设备的URL日志的天然支持日志的天然支持19eLog的优势分析的优势分析出口设备流量的统计分析出口设备流量的统计分析要进行流量的分析统要进行流量的分析统计工作，计工作，H3C必须部必须部署署Xlog的的NTAS组件，组件，而而NTAS与与UBAS却不却不能同时安装在同一台能同时安装在同