网御星云日志审计系统产品白皮书VDocument number：BGCG-0857-BTDO-0089-2022密级：公开产品白皮书网御安全管理系统-日志审计系统目录11.1日志审计需求分析日志，是对IT系统在运行过程中产生的事件的记录。

通过日志，IT 管理人员可以了解系统的运行状况。

而通过对安全相关的日志的分析，IT管理者可以检验信息系统安全机制的有效性，这就是安全日志审计，简称日志审计。

而日志的产生、收集、审计分析和存储的全过程称作日志管理。

日志审计需求主要源自于两个方面的驱动力。

一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。

有研究指出，69%的攻击行为实际上都有日志留存，而根据国际著名的安全研究与教育组织SANS发布的《2011年度日志管理调查报告》显示，在受访的747个大中小规模的组织中，超过89%的组织都进行了日志管理。

而他们进行日志管理的首要原因是监测与跟踪可疑的行为，例如非授权访问、内部信息泄露，等等。

另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能，例如：GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。

而日志审计是符合这些要求的基本手段。

《互联网安全保护技术措施规定》（公安部82号令）第八条要求具备“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”。

《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。

日志应当能够满足各类内部和外部审计的需要”。

《银行业信息科技风险管理指引》第第二十七条要求银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。

《保险公司信息系统安全管理指引（试行）》第四十四条要求“对主机系统进行审计，妥善管理并及时分析处理审计记录。

对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计”。

1.2日志审计面临的挑战当前客户在进行日志审计的过程中几乎都面临着相似的挑战。

这其中最主要的三个挑战是：日志分散、日志格式不统一、日志量巨大。

日志分散客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。

并且这些设备都分散在网络的不同位置。

他们各自产生日志，并有各自的控制台进行日志查看，这对审计人员而言简直就是噩梦，根本没有精力去查看这么多控制台，更不要说分析其中的日志信息了。

日志格式不统一每种设备类型的日志格式都不相同，各有各的表达，即时是表达同一件事情，也都有各自的表达方式。

例如同样的登录失败信息，防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。

这迫使审计人员去了解每种设备类型的格式。

日志量巨大很多设备，尤其是网络安全设备产生的日志量十分巨大，单个防火墙每秒就可能产生上千条的日志信息，而全网的设备每天产生的日志量就更加可观，可能数以百GB计。

审计员去查看这么多的日志根本不可能，即便是将它们存起来都是个问题。

1.3如何应对挑战客户需要日志审计，更需要应对所面临的挑战。

客户需要从组织策略、处理流程和技术体系等多方面进行统筹考量，客户应该借助一个日志审计平台来为其审计工作提供技术支撑。

这个日志审计平台应该能够实现对客户分散的海量日志进行收集，对这些日志格式进行规范化统一描述，实现对日志的集中化存储、分析、审计和展示，并符合相关法规标准的符合性要求。

22.1产品简介网御星云推出的网御安全管理系统日志审计系统（以下简称LEADSEC-RS）是立足于公司十年信息安全积累的基础之上，基于客户需求的日志审计平台及日志管理解决方案。

日志审计系统能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

LEADSEC-RS融合多种信息安全技术和管理理念，充分实现组织、管理、技术三个体系的合理调配，帮助用户进行基于日志的综合审计和日志全生命周期管理，从而最大化的保障网络、主机和应用系统安全机制的有效性。

LEADSEC-RS具有广泛的应用范围和客户群，在政府、电信、金融、电力、军工等行业均有成功的应用。

2.2系统组成LEADSEC-RS包括审计中心、日志采集器和日志代理三个部件。

日志采集器和日志代理实现对审计数据源（主机/服务器类、网络类和安全类等）的日志信息统一收集，然后上传给审计中心进行集中化存储、分析和审计。

同时，审计中心自身也可以直接收集审计数据源的日志信息。

审计中心审计中心，即LEADSEC-RS的管理中心，是LEADSEC-RS的核心部件，实现了对日志的集中化存储、备份、查询、审计、告警、响应，以及出具报表报告。

用户的审计员通过浏览器即可登陆审计中心，进行各种审计操作。

审计中心内置日志采集功能，可以直接收集审计数据源的日志信息。

审计中心也可以汇聚来自日志采集器和日志代理的日志信息。

日志采集器日志采集器可以安装并独立运行在一台服务器上，实现对异构审计数据源的日志采集，功能同审计中心的日志采集模块，用以辅助审计中心解决特定日志采集的问题，并可以实现分布式日志采集能力。

日志采集器收集的日志可以转发给审计中心。

日志代理日志代理用于安装并运行在审计对象上，实现对审计对象的数据源采集和转发。

目前，日志代理支持Windows操作系统，主要用于采集Windows 操作系统及其服务与应用的日志。

日志代理收集的日志可以转发给日志采集器，或者直接转发给审计中心。

2.3系统结构LEADSEC-RS采用组件式平台架构，实现了分层的逻辑架构，包括：审计数据源层、日志采集层、业务层和应用层。

如下图所示：审计数据源层审计对象层是指审计数据源对象，包括各类型的网络设备、安全设备、数据库、应用系统、主机等能产生相关日志的设备和信息系统。

日志采集层该层利用SYSLOG、SNMP、ODBC、OPSEC、文件等多种协议方式，从审计对象获取日志，并对原始日志信息进行范式化、分类、过滤、归并，统一推送到业务层进行分析、存储。

业务层利用关联分析引擎对采集的日志进行分析，触发规则，生成告警记录；通过高性能海量数据存储代理将日志进行快速存储；通过分布式查询引擎实现日志查询；通过日志聚合引擎实现日志抽取。

应用层面向系统的使用者，提供一个图形化的显示界面，展现安全审计系统的各功能模块，提供综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。

2.5支持审计数据源目前，LEADSEC-RS支持的部分厂商设备类型如下表所示：对于目前暂不支持的审计数据源，LEADSEC-RS还提供了方便灵活的扩展机制。

只要获得审计数据源的日志样本以及通讯协议方式，编写一份XML格式日志解析文件，导入系统，即可获得对该审计数据源的日志采集能力，无需编码。

LEADSEC-RS从产品形态上分为软件型和硬件型。

2.6.1软件型规格LEADSEC-RS软件型是一套软件包，可以安装在独立的服务器上运行，系统所需运行环境如下：在双Intel至强4核CPU，24GB内存下，LEADSEC-RS的日志审计性能可达到平均9000EPS1。

1平均EPS数值是指每日平均的EPS（Event Per Second）每秒事件数。

后同。

LEADSEC-RS硬件型有两种型号，分别是LEADSEC-RS500和LEADSEC-RS1000。

2该数值假设每条日志占用的综合存储空间为。

综合存储空间是指日志范式化后占用的存储空间字节数，原始日志占用存储空间字节数，为日志建立索引所需的存储空间字节数，以及日志统计表存储空间字节数的总和。

后同。

33.1单级部署如下图所示，显示了系统的一个单级部署场景。

Syslog 网络类FileSyslog网络类File网络类在这个单级部署场景中，审计中心可以直接采集审计数据源的日志，也可以通过外挂的日志采集器采集审计数据源的日志。

3.2级联部署如下图所示，系统支持多级级联部署。

44.1高性能的日志管理技术架构对了应对海量日志管理带来的挑战，LEADSEC-RS采用了国内领先的高性能日志采集、分析与存储架构，从产品技术架构的层面，进行了系统性的设计，真正使得LEADSEC-RS产品成为一款能够支撑持续海量日志管理的系统。

LEADSEC-RS采取了多种高性能设计使得系统在日志采集、分析和存储三个方面获得了本质的性能提升，如下表所示：4.2详尽的日志范式化与日志分类LEADSEC-RS对收集的各种日志进行范式化处理，将各种不同表达方式的日志转换成统一的描述形式。

审计人员不必再去熟悉不同厂商不同的日志信息，从而大大提升审计工作效率。

系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等，数量超过50个，使范式化后的日志详尽而易读，更能满足复杂的多维度统计分析和审计要求。

网御星云的安全技术人员还对每种日志进行了手工分类和分析工作，加入了日志类型字段，丰富了日志所蕴含的信息量，让枯燥的日志信息变的更可理解。

与此同时，LEADSEC-RS将原始日志都原封不同的保存了下来，以备调查取证之用。

审计员也可以直接对原始日志进行模糊查询。

4.3集中化的日志综合审计LEADSEC-RS提供了强大的日志综合审计功能，为不用层级的用户提供了多视角、多层次的审计视图。

系统首先为用户提供了全局监视仪表板，可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。

用户可以自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板。

系统提供了实时审计视图，审计员可以根据内置或者自定义的实时监视策略，从日志的任意维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。

审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个部门、各个安全域、各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件；等等。