随着企业IT环境日益复杂,对日志的管理与分析出现了海量日志、数据分散、检索过慢及缺乏安全可控管理手段等问题。同时,网络安全法、等级保护2.0的颁布实施,使日志管理与分析愈发重要。
目前业界对日志的处理主要包括日志采集、范式化、存储、检索及分析等。其处理架构为:首先,从日志源中进行日志采集与过滤;其次,进行标准化及存储;再次,进行处理分析,包括:实时分析、统计分析、关联分析及审计分析等;最后,以可视化的图表进行数据展现。通过对日志进行统一管理与分析,可有效提升企业日志管理及安全审计水平。SiCAP基于标准的日志处理架构,可满足以下功能:
1. 全方位日志采集:支持丰富的日志源日志采集(操作系统、网络设备、应用系统、安全设备、数据库等)以及多种的日志采集方式(SysLog、SNMP Trap、FTP、WebService、文件、agent等)
2. 日志范式化:根据定义的规则,对日志进行规范化展示与存储
时间IP地址日志等级日志内容……3. 日志聚类:
(1) 支持自动识别日志信息并有效聚合,提升检索效率
(2) 支持聚类模式下日志查看与检索
4. 日志检索:
(1) 支持对存储日志进行检索,检索速度可在毫秒级
(2) 支持多种条件组合检索与二次检索
5. 日志分析:
(1) 基于日志分级、分类、聚合、规则及智能算法,可实现规则分析、数量突变分析、异常模式分析与异常告警等功能
6. 日志可视化:
(1) 支持多维度丰富的统计报表(日志报表、日志策略报表、日志事件报表、日志等保报表等),快速掌握日志信息
(2) 支持多种图表、图形等可视化元素,可便捷查看和了解日志统计、趋势和异常告警
7. 安全合规审计:
(1) 具备完善的日志存储、分类、加密等能力
(2) 实现了日志全生命周期管理
(3) 满足了《网络安全法》及《等保2.0》的相关要求