用全局事件管理进行智能预警

1、2021/4/21用全局事件管理进行智能预警当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。一方面，网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全事件和日志，却没有统一的进行管理，使得各个系统之间缺乏协同，整体安全无法得到保障。另一方面，企业和组织日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。企业和组织迫切需要一个全面的、面向企业和组织IT计算环境的、集中的安全审计平台及其系统，这个系统能够收集来自企业和组织计算环境中各种设备和应用的日志，并进行存储、监控、分析、报警、响应和报告。赛诺朗基借助在安全领域

2、的长期积累，结合北京联通分公司信息化部的特殊性，提供面向联通客户的安全日志审计平台赛诺朗基，真正满足单设备和多设备的趋势分析和预警。赛诺朗基全局事件管理系统作为一个统一的日志监控与审计平台，能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。预警的重要性性能容量操作链接等Gartner研究副总裁Debra Curtis表示： “许多IT机构还在依靠终端用户通过服务台来通知其运营故障和速度放缓等情况。然而，这使得IT处于一种被动状态IT只能在问题已经发生后才发现并解 决这些问题。主动预防问题、预测潜在

3、问题、并在它们影响业务前加以解决，才能使IT更具效率，从而提高客户满意度。” 2021/4/22赛诺朗基全局管理解决方案赛诺朗基TM的通用日志解析引擎具有操作便捷、用途广泛的特点。它无需专用数据库、无需专用服务器、无需专门配备网络服务器或专用开发工具。同时，它对输入的事件或数据格式也没有限制，可以是实时或历史数据，可以来自于网络设备、硬件、软件、操作系统注册表或文件系统。赛诺朗基TM管理套件还可以管理所有非结构化、非关系型的正文文件，解析日志，筛选数据或事件，并提取需要和关注的信息。赛诺朗基TM管理套件还能帮助您实现事故调查取证，统计各类事件，对原始数据进行加工、变换、映射等，以获取有用的信息

4、。在这些功能的基础上，你还可以利用管理套件实现自动报警、报表生成、可视化监控、自动工作流等控制和管理功能。这就是赛诺朗基TM的灵动安全管理，它使你能够轻而易举地具备上面这些能力！ 赛诺朗基解决方案的优势2021/4/23赛诺朗基三大专利技术智能加速索引： 免数据库，无需数据聚合和归一化处理 使系统不会受制于集中存放日志的数据库，因而消除了系统的性能瓶颈。 适用于结构化和非结构化数据内容 可处理无限增长的数据量 连续一致的数据 (所有动态数据产生后即成为历史数据) 色标解析和图形关联： 消除对信息格式和设备种类的限制 只需用鼠标点选想要解析的字段并设置相应的解析规则 提供强大分析和多设备关联能力

5、 无论这些信息是实时的或者历史数据 网格型安全系统架构： 消除系统性能瓶颈，提供无限可扩展性 可以不受限制地同时处理多项数据任务 可以指定某个管理服务器专门处理一类任务或数据 部署还非常灵活，可以是集中式的，也可以是分布式的部署方式。 突出的技术特点2021/4/24运行信息的采集主动采集： 主要用于采集操作系统、业务系统、中间件和数据库日志的统一收集和管理 ，如Windows、Linux、AIX、应用系统（包括Apache、IIS、Oracle等）被动采集： 主要用于采集设备日志，如防火墙、路由器、交换机、入侵防御等。实时数据采集： 赛诺朗基有多种方式来进行实时数据采集。它内置一个Syslo

6、g服务器，可以实时接收支持这种格式的设备日志数据。 对于那些不能自动发送日志数据的设备或系统，可以通过安装赛诺朗基实时监测代理来收集设备的日志或事件信息。 在收集日志的过程中可以定义日志中重点关注的字段，忽略无关紧要的信息，从而把主要精力集中在那些主要问题上。 赛诺朗基提供了全面的交互环境，在筛选设计过程中，用户可以一边观察实际日志文件的数据，一边定义筛选字段和解析方式 通过这些采集器和监测代理，赛诺朗基可以保证日志跟踪零丢失。不管是数据采集本身还是对它们的展现，即使在每秒数千行日志数据洪峰，也能从容完成。实时采集。2021/4/25单个设备的趋势分析赛诺朗基能够对单个设备的日志进行趋势分析，

7、当设备出错或系统性能下降时将执行指定的行为，可以设置单独的警告和行为规则以提高通知能力。系统的性能日志提供了对这些性能数据进行记录的能力。当计数器到达、高于或低于所定义的阈值时，警告将向用户发送通告，从而在系统性能达到极限时，及时通知系统管理员采取必要的措施，有效避免可能的系统瘫痪。当某些活动（例如磁盘输入、输出（I/O）操作或页面错误）发生时，跟踪日志将记录详细的系统应用程序事件。当该事件发生时，操作系统将系统数据记录到指定的文件中。当使用计数器日志时，经过一个更新间隔，该服务从系统中取得数据，而不是等待某一个特定的事件。通过监控系统的性能日志，对CPU、I/O、内存等性能指标设置不同的阈值

8、检查这些硬件随时间的状态变化，在发生警告后，赛诺朗基可以通过发送一个或多个电子邮件、发送Net Send指令到指定的IP地址或向某个子网广播、在管理服务器屏幕上弹出一个消息窗口、执行一个命令和程序，或者一个包含命令的批处理文件来通知管理员。用户可以对关注的事件设置自动提示和报警。所有的提醒和报警会被记录为系统内部日志，这样用户还可以像处理其它日志文件一样处理这些事件，以建立更复杂或者多重的报警、设置行动和反应等。趋势、波动、阈值、动态平均等。2021/4/26多设备关联分析赛诺朗基提供了强大的关联分析引擎。无论是单一来源的多个事件之间，还是不同设备的多个事件之间，无论是数据在线（实时事件），还

9、是离线（日志已存储在网络中的某个地方）。 它可以处理任意关联目标及其组合，采用任意字段作为关键词，为关联分析提供了无限的可能性。作为关联分析关键词的字段，它的值可以具有唯一性，也可以是不唯一的。用户还可以为关联分析设置一个侦测窗，以指定管理分析的时间区间，符合分析条件的事件数量，以及限定事件的数量等。关联分析的输出结果可以按用户的要求进行配置以便进行不同的后续处理。用户还可以使用聚合日志工具（Join）来合并不同设备的日志到一个文件中，或通过工作流设置来定时或按需启动合并任务。 2021/4/27多种展现方式赛诺朗基TM的数据映射功能，可以对原始数据进行加工、转换并形成意义明确、可读性强的管理

10、信息。相对于和枯燥、晦涩的原始数据打交道，经过映射和转化的信息可以更好地与您的具体需求和环境相结合。这将极大地增强报告可读性、提高报警的反应速度、更快地采取应对措施！您可以根据管理目标任意定制报告和图表。基于同一组数据，您可以自动生成各种类型和格式（HTML或PDF）的报表，包括不同的内容、图形（曲线图或3D立体图）、摘要、说明、表格、徽标、图像和符号等等，所有这些都依您的需求而定。每当赛诺朗基TM系统运行时（例如启动系统、构造图形或收集日志数据等），不管是在交互模式还是在工作流模式下，系统规则模块都会监视这些活动并与一系列预定义的触发条件进行比对。当某一触发条件满足时，一个或一系列预先设置好

11、的行动就会被系统执行。管理员也可以通过设置提示来决定是否自动执行这些行动。规则还可以设置为一系列行动对应于一系列触发条件，可完全由用户按需求定制。规则定制内容包括监视内容，触发条件和对应的行动。控制手段。2021/4/28自动工作流采用自动工作流，用户就可以在早上一上班时从邮箱中获得一份关于昨天系统运行细节的报告！用户可以创建任务并配置一个执行时间表来完成例行的重复性日志分析工作，从容分身处理其它事务。工作流的内容可以是解析日志文件、启动复杂的数据请求、运行实时数据采集、数据映射和转换、执行自定义规则、使用日志文件工具甚至运行一个可执行文件！ 还可以创建数据摘要、生成报表、保存分析结果等。这些

12、内容定义好后，用户可以同时、多次运行这些功能。用户拥有对自动工作流功能的完全控制，还可以决定何时保留哪些中间结果。在自动工作流的交互界面中，有下列子功能模块：应用筛选器、数据请求、数据采集项、数据库查询运行数据映射、触发规则、日志工具、行动生成摘要、报表、文件工作流分支、循环等2021/4/29图形化数据挖掘技术赛诺朗基提供的实时视图功能实现了基于时间的图形化关联分析能力。通过实时视图，用户可以观察到运行情况的演变过程。用户可以选择一个时间段或者实时跟踪，还可以选择不同的参数，比如一个或多个字段、元字段以及任意不同数据来源的组合。视图的时间区间可以进行设置，还可以随着图形放大和缩小功能来自动进

13、行调整，以获得最佳视觉效果。通过赛诺朗基实时视图功能，用户获得了一个多维度、实时、跨设备的实时图形监控工具。有了这个工具，用户就能统观全局，方便地跟踪网络、服务器、应用系统等各项信息科技资产的表现和运行情况。用实时视图功能，用户可以可视化一些抽象的系统指标，在同一时间并行观察它们的演进和变化，并与标准或正常的变化模式、参照值等进行比较、关联。可以采用深入细节或聚合总览的方式来查看事件。视图缩放功能可以使用户方便地查看日志中一个指标的实时演变过程，并可以随时点击一下鼠标就获得某个时刻该指标的数值和前后关联信息。实时视图能够帮助用户在大量相似的事件中一眼看出重要或异常的情况，及时作出进一步的调查以搞清产生的原因，以采取必要的措施。赛诺朗基视图是基于多维度实时图形元素的技术，能够在一个屏幕上同时展现大量的指标和刻度值。用户