文档中心

日志审计LAS用户指南

最近更新时间：

1 产品介绍

1.1 什么是日志审计

日志审计（Log Auditor Service，以下简称 LAS）是云上统一日志收集与分析服务，能够不间断地将企业和组织中来自不同厂商主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，以实现全网综合安全审计。

1.2 为什么选日志审计

企业资产上云存在以下问题：服务器、应用系统、操作系统的日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等，人为的开展日志审计工作已逐渐变成为一项不可能完成的任务。日志审计系统(LAS)，具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的功能。

针对上述问题，日志审计服务提供以下解决方案：

• 确保安全事故处置取证

日志审计系统，可以集中收集长时间存放所有的日志记录，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生。

• 海量日志数据的集中审计管理

日志审计平台为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计功能，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

1.3 产品优势

1. 独享版日志审计服务

用户购买的日志审计服务是当前用户独享的，与其他用户的产品和数据在物理层间进行隔离，充分保证用户在云上日志信息的存储安全和使用安全。

2. 多种资产一体化支持

日志审计通过在目标主机上配置日志转发的方式进行日志采集；支持 Windows、Linux 主机、应用系统和中间件；支持 syslog、snmp 等协议。

3. 标准化日志管理

• 安全视角的日志描述：各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)。

• 安全视角的事件描述：事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。

• 创新的日志解析能力

当解析规则接收到对应的日志时，才会被激活。

支持未识别日志水印处理，采用多级解析功能和动态规划算法，实现灵活的未解析日志事件处理。

支持多种解析方法（如正则表达式、分隔符、MIB 信息映射配置等）。

日志解析性能与接入的日志设备数量无关。

• 先进的关联算法日志审计算法引擎采取了 In-Memory 的设计，全内存运算方式保证了事件分析的高效率和实时性，相比 SQL 的查询，具有适应性强、可定制、时序宽容、无惧乱序等优势。

1.4 产品功能

1. 事件查询

用户可自定义查询策略，基于资源类型、事件类型、事件名称、时间级别、来源地址、目的地址等信息进行组成查询，并支持模糊查询。

2. 原始日志

用户可自定义查询策略，基于资源类型、日志级别、应用名称、设备地址及时间段等信息进行组合查询，并支持模糊查询。

3. 告警管理

日志分析引擎的驱动下，根据告警规则，针对来自企业和组织的海量事件进行实时分析，抽取出对于安全管理人员有效的安全信息，从而协助安全管理人员快速识别安全事件，进行日志审计。

4. 解析规则

系统具备日志关联分析功能。系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式的关联规则，所有日志字段都可参与关联。规则支持统计计数功能，可以对达到一定统计数量的日志进行告警。

系统可通过脚本方式对指定时间范围内的历史日志进行相关性分析，发现历史日志中存在的入侵与违规。

1.5 产品架构

用户在目标资产上通过配置日志转发的方式，将目标主机上的日志信息发送到日志审计的server。

用户可通过云管访问日志审计server，可通过系统预置或者用户自定义日志匹配规则，实现对云上资产的日志集中审计。

日志审计包含以下模块：

• 系统管理控制台：提供系统的基本配置功能，包括网络配置、时间配置、重启、关机等，并提供系统服务的状态查询。

• 功能业务模块：提供身份认证、授权管理、日志审计、系统管理等功能，提供任务中心、Web 界面、Restful API 等服务，提供 H5 资源访问、SSH 协议、FTP/SFTP 协议、数据库协议等代理服务。

• 基础服务模块：提供缓存、数据库和文件存储等基础服务模块。

1.6 产品规格

1.6.1 售卖规格

目前 LAS 只有一种规格，主要用于对用户在云上的资产进行安全运维和审计，默认支持 10 个资产，最大可扩展至 2000 个资产。

1.6.2 功能规格

1.7 应用场景

1. 满足等保合规要求

《信息安全技术信息系统安全等级保护基本要求》中对三级信息系统提出了明确的安全审计要求，日志审计能够对基本要求中规定的网络及安全设备、主机、数据库和应用的日志进行统一的采集和存储，协助客户对审计记录数据进行统计、查询、分析，并生成审计报表。对于采集的所有日志记录信息，都记录了日期、时间、类型、主体标识、客体标识和结果等信息，同时原封不动地保存了原始日志信息。对于存储的审计记录，日志审计进行了完善的安全保护，避免遭受恶意的删除、修改或覆盖。

2. 满足企业内控审计要求

随着用户业务系统对网络依赖程度的日益加深，以及层出不穷的安全威胁，各行各业对网络安全的重视程度也日渐加强。针对上市公司、大中型企业（尤其是央企）、银行、证券、保险，国家和各行业主管部门出具了大量的内控、合规管理标准、规范、规定，对 IT 信息系统的安全审计提出了要求，日志审计能够帮助用户快速应对上述需求，降低用户满足合规性要求的总体成本。

1.8 使用限制

• 请确保日志审计 LAS 实例与被扫描资产在同一个 region。

• 日志审计 LAS 只能够对中国电子云上的资产进行审计操作。

• 单个日志审计 LAS 实例支持的最大资产规模为 500 个。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服