「运维有小邓」如何高效管理企业网络设备日志？

一、需求分析

日志审计需求主要源自两个方面的驱动力：一，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。二，从国家法律法规和行业标准规范的角度出发，日志审计已经成为满足合规与内控需求的必备功能，例如：《网络安全法》第二十一条 （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计；《互联网安全保护技术措施规定》第八条要求“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”；《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。

网络安全法

二、产品介绍

卓豪ManageEngine推出的EventLog Analyzer，是一款全面且高效日志审计系统及日志分析管理解决方案。

系统能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

系统具有分布式、全文索引、扩展、实时格式化数据搜索和原始数据关键字搜索、高可靠性等特点，帮助用户进行基于日志的综合审计和日志全生命周期管理，从而最大化的保障网络、主机和应用系统安全机制的有效性。

EventLog Analyzer

三、功能特点

1、支持大规模部署和功能扩展： 支持分布式采集和分布式存储，支持大数据量日志审计。2、丰富灵活的报表报告： 内置丰富的报表模板，包括统计报表、明细报表、趋势报表和综合审计报告，支持自定义。

3、可视化日志审计： 提供丰富的可视化视图，包括资产拓扑图、IP地图定位、多维分析图、视网膜分析图等

4、详尽的日志范式化和日志分类： 支持将各种不同表达方式的日志转换成统一的描述形式，并进行日志分类。

5、威胁情报采集与利用： 支持导入或者主动抓取的方式获取内外部相关威胁情报信息，并将其应用于关联分析。

6、混合式检索技术： 支持对范化后的字段值进行全部日志记录的搜索，同时支持全文检索技术。

7、灵活强大的交互式分析： 交互式查询技术可以通过自定义的仪表盘同存储的所有日志进行交互查询。

8、融合大数据技术： 采用领先的高性能日志采集技术、分布式存储与索引、流式集中事件及情境关联分析技术。