日志审计平台通过建立日志信息发送、日志信息接收、日志查询、日志统计分析、异常访问报警提醒、信息访问规则、应用服务器监控管理等功能模块,实现对业务系统访问日志的统一管理和智能分析报警,对非法访问或异常行为进行提醒,平台全面记录用户访问业务系统的条件、访问过程和返回结果,实现日志精确查询、全文检索及倒查。
系统特点
无需各类应用系统的技术支持,通过客户端web请求过滤,获取日志信息完成日志采集工作;
系统建设符合公安部下发的《公安信息系统应用日志安全审计平台日志采集规范》;
实现各类应用系统和资源库对用户登录、查询、新增、删除、修改、接口服务及审计日志管理7类操作的完整记录;
全面记录用户访问业务系统的条件、访问过程和返回结果,实现日志精确查询、全文检索及倒查;
实现对PKI数字证书登陆系统和口令登录多种方式访问系统的日志采集及证书信息记录;
建立以实时监测、特征预警、回溯追踪为主要内容的应用安全审计运维工作机制。
功能模块
一、前端探针系统:探针系统分为多个Client端(即需要安全审计的前端应用系统)和Server端,Client端实现日志记录、日志上传等功能,Server端实现Client端信息记录、日志接收、日志入库等功能。
二、日志存储系统:基于hadoop云计算技术搭建日志云存储平台,实现数据存储的自动冗余和备份,提高数据存储安全性。
三、应用服务器管理:包括应用管理、配置下载、应用监控和应用访问规则配置。
四、日志查询
精确查询:按照访问IP地址、应用服务器名称、应用服务器地址、访问参数、访问用户的PKI数字证书信息、访问时间段等信息进行精确化查询,实现查询人或查询系统的历史记录追溯;全文检索:实现按照任意关键字和组合关键字的全文检索;日志倒查:通过日志信息对应用访问情况、访问轨迹进行倒查,按照查询人或者查询系统进行历史记录追溯。
五、日志分析
日志采集量统计:按时间、应用种类、区域等统计和图表展示;
日志访问量统计:按照时间、区域、应用、日志类型等不同维度进行统计和排名。
六、安全监测:包括应用在线情况监控、安全监测,
登录异常监测和行为异常监测;图形化展现某一时间段内在线人数情况,包括最多在线人数、当前在线人数、最少在线人数。
