Octopus Link 北京信联云通-云课堂 云教室 虚拟化教室
北京信联云通
NAR 网络日志审计方案
TOP
目录
2011-07-29
NAR网络日志审计方案
网络安全
日志审计
NAR

引言

文档目的

该文档对NAR审计报表系统的技术指标进行详细说明。

什么是安全日志审计系统

NAR是一款针对通用应用网关的日志审计与报表查询系统。首先NAR可以接收来自通用应用网关的日志,在经过分析后将日志信息按类存储在数据库中 。NAR的管理员可以系统对日志进行查询、审计、日志备份、生成报表等动作。

报表审计系统

系统特性

强大的处理能力
NAR采用了多线程的设计,能更好的利用多核CPU的特性,因此也有了更好的性能。多CPU时,采用CPU绑定与自由分配相结合的方式,让CPU的调度更加均匀。在处理分析日志时,采用简单实用的正则表达式,提高了日志分析的性能。
另外,在IO读写方面,采用了SQL语句组织与写入分离的形式,不能及时写入数据库的内容会被缓存起来,保证不会有数据的丢失。
综上所述,NAR可以达到最高超过7000条/秒的性能。
更稳定的运行
NAR采用的独特的设计,以达到长时间稳定运行的目的,并且在运行过程中不会出错。另外,NAR系统中除监控应用网关的状态之外,还能够实时监测本机的运行状态,如设备运行出现异常,将会对设备自身资源进行重启,进一步保证了其稳定性。
更迅捷的反应
NAR在日志查询、报表生成方面做了很多优化,因此在日志查询时,能够有迅捷的反应。因为通用的日志是有分类的,并且每个大类别中,又有小的分类。所以在日志分析时,为每个类别分配了一个唯一的CODE(编码),在查询时直接选择CODE,而不用再进行复杂的正则匹配。
在查询时,NAR采用了多线程的工作模式,可以同时满足用户的多个查询。对于长久没能反应过来的查询,系统会将其关闭,并回收其资源。
更好地应付突发流量
在使用中,难免会遇到突发大流量的情况,NAR很好的解决了这一问题,首先NAR本身具有不俗的性能,大于7000条/秒的处理能力,保证其在一般情况下不会出现丢失日志的情况。除此之外,NAR设计了强大的缓存,可以最多缓存100万条日志,保证在极端情况下,日志也不会丢失。
另外,NAR也支持运行在代理模式下,可以进一步保证系统的吞吐。
更加节省空间
NAR大量采用了数据库字典的设计方式,为用户节省了大量的空间(至少在三分之一以上),同时也保证了查询的效率。
数据信息更加安全
NAR采用了多表设计,即一个数据库中有多个同样的表,每张表中存储等量的数据,用户备份时,每次备份一张表中的内容,这样既方便了用户的备份要求,同时也保证了数据的安全,减少了大数据操作经常失败的可能性。
另外,NAR还提供通过FTP备份数据、以及自动备份与临界备份的功能(在数据达到某个临界值时,执行数据备份)。

产品型号

为了满足用户的不同需求,NAR提供两种不同的中端型号,分别是NAR-1100和NAR-2000。高端设备型号为NAR-3000.
NAR-1100
该型号支持的应用网关最大为2个,支持的日志存储空间为20G。(备份空间为200G。)
NAR-2000
该型号支持的应用网关最大为10个,支持的日志存储空间为100G。(备份空间为350G)
特性自定义
除了上面固定的型号外,NAR还提供了用户自定义的方式,用户可以根据自己的具体需求,来定义自己的应用网关支持数和日志存储空间。

系统管理

灵活的用户管理功能

审计报表系统提供了灵活的用户管理功能,缺省管理员是通用,初次使用后,管理员可以用通用登录,添加新的管理员,并记得修改密码。
管理员可以分为管理级别和查看级别,管理级别可以添加、删除用户。而查看级别的管理员可以查看报表。

借口管理功能

NAR提供了简单的接口管理功能,管理员可以通过该功能查看接口的详细信息,并设置接口的IP地址、掩码等。

路由管理功能

NAR提供了简单的静态路由管理功能,管理员可通过该功能,查看设备的路由状态。也可以添加、删除、修改系统的路由条目。

设备管理功能

对于NAR系统来说,设备是一个资源,在许可允许的情况下,管理员可以添加网关设备。设备添加后,NAR即可接收来自该设备的日志信息。
对于已经添加的设备,可以通过修改功能来变更,也可以删除后重新添加。

系统注册功能

在没有注册或注册失效的情况下,系统是不能正常运行的,NAR将不再接收日志,设备也不能添加。注册成功后,系统可以正常工作,如果有更新的需求,可以对系统的许可进行升级,获取更多的功能和容量等。
同时,管理员可以备份系统的注册信息,以备系统重装或升级后继续使用。在系统注册的界面上,还可以看到注册时间、使用期限、设备许可、容量许可等信息。

完善的日志操作

对于数据库的日志信息,管理员可以设置定期备份的间隔,缺省是30天,在日志操作的相关页面,可以看到日志备份的相关内容。
在日志使用空间达到许可允许的容量后,系统会自行备份最老的日志,并压缩成tar.gz包,管理员可以设置FTP的参数,并将备份的内容下载到FTP服务器进行备份。备份后的数据,管理员可以将其删除。
值得注意的是,日志表一共是20张,每张都有一定的容量,在到达容量限制后,会自动跳到下一张表中。在日志操作中,管理员可以看到每张表的使用情况,以及现在正在使用哪一张表进行存储。
管理员可以手动备份某一张表,并将备份后的文件下载到FTP服务器上。

系统维护

NAR系统提供了简单的系统维护功能,的后台提供了简单的防火墙功能,一般只允许本地的ICMP、UDP的514、TCP的8080、22等商品被访问。
系统安装NAR系统后,系统的ssh、console、tty会被NAR提供的SHELL所接替,方便了专业人员对设备进行维护,同时也尽量保护了日志设备的安全。减少用户的误操作。

系统监控

硬件信息

NAR系统提供了简单的系统监控功能,管理员可以通过界面查看设备的运行情况,包括硬盘的使用、CPU的状况、系统的注册号、内存信息、版本信息等。

系统信息

NAR系统提供了简单的系统监控功能,管理员可以通过其看到系统中运行的版本、运行状态、以及设备的在线、离线等。

报表查询

用户认证类

NAR提供了用户认证类日志的审计功能,管理员可以设置查询的条件,并选择以某个类型为中心查询。
可以设置的条件有时间、用户名、来源IP、VPN名称、设备等。
可以设备的查询中心有以时间、以设备、以源IP、以用户、以事件等级、以事件次数、以停留时间、以认证失败来源IP。

WEB访问类

NAR提供了WEB访问类日志的审计功能,管理员可以设置查询的条件,并选择以某个类型为中心查询。
可以设置的条件有时间、用户名、来源IP、VPN名称、设备、动作、目的IP等。
可以设备的查询中心有以时间、以设备、以源IP、以用户、以事件等级、以事件次数、以拒绝存取来源IP、以异常请求来源IP。

四层访问类

NAR提供了四层访问类日志的审计功能,管理员可以设置查询的条件,并选择以某个类型为中心查询。
可以设置的条件有时间、用户名、来源IP、VPN名称、设备等。
可以设备的查询中心有以时间、以设备、以源IP、以用户、以事件等级、以事件次数、以异常请求来源IP。

VPN访问类

NAR提供了VPN访问类日志的审计功能,管理员可以设置查询的条件,并选择以某个类型为中心查询。
可以设置的条件有时间、用户名、来源IP、VPN名称、设备等。
可以设备的查询中心有以时间、以设备、以源IP、以用户、以事件等级、以事件次数、以异常请求来源IP、以拒绝认证来源IP。

系统管理类

NAR提供了系统管理类日志的审计功能,管理员可以设置查询的条件,并选择以某个类型为中心查询。
可以设置的条件有时间、用户名、来源IP、VPN名称、设备、信息内容关键字等。
可以设备的查询中心有以时间、以设备、以事件等级、以事件次数。

日志关键字查询类

上面的五个方面实际并没有完全列出全部的日志类型,为了让管理员能够审计到所有的日志类型,NAR提供了日志关键字查询的功能,该功能可以让管理员查到所有类型的日志,由于日志量巨大,因此对此处的查询尽量多设置一些条件,尤其是时间条件。
该处的查询结果不是报表形式的,查询的结果直接就是最终的日志信息。

历史记录查询

所有管理员的查询历史都会被记录在历史查询表中,方便其他管理员查看,或者其本人查看。
历史记录也有较大的数据量,建议管理员及时删除不再需要的历史记录,以尽量节省硬盘空间。

产品实施与解决方案

旁路接入

NAR采用旁路的形式接入,不会对用户原来的网络拓扑有任何影响。
解决方案
案例分享
服务支持
京ICP备 13001115. 2014 Octopus link, Inc. All rights reserved.
4000652530
北京市朝阳区安定路1号