《日志审计管理系统需求说明书.docx》由会员分享,可在线阅读,更多相关《日志审计管理系统需求说明书.docx(5页珍藏版)》请在三一办公上搜索。
1、日志审计管理系统需求说明书日志审计管理系统需求说明书 一、总体要求 n 支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设备进行自动采集。 n 支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件,并将日志统一格式化处理。 n 对采集的日志可分类实时监控和自动告警。 n 对收集的日志信息可按日志所有属性进行组合查询和提供报表。 n 能按日志来源、类型、日期进行存储,支持日志加密压缩归档。 n 不影响日志源对象运行性能和安全。 n 操作简便直观,可用性好。 二、具体要求 2.1日志收集对象要求 序号 设备类型 品牌 日志类型 1 网络交换设备 支持思科、华为、H3
2、C网络设备产品 支持H3C、天融信防火墙、SYMANTEC NORTON防病毒系统、北电VPN、安氏IDS/IPS 2 网络安全设备 3 操作系统 4 5 数据库日志 Web服务器 Windows系列 UNIX系列(AIX、HP-UX、Solaris 、LINUX系统) ORACLE、MS 采集数据库系统日志,启动、登录、SQL SERVER 错误;数据库关键进程运行情况日志 支持IIS、IIS WEB服务产生的启动和错误日志; 网络设备开机、重启、关机时间记录; 网络设备宕机时间记录; 网络设备运行性能记录; 配置修改的记录; 设备异常记录; 安全设备系统事件记录; 配置发生修改记录; 规则
3、/策略更新记录; 动态连接记录; 授权访问记录; 拒绝IP连接记录; 应用记录; 安全事件记录 系统日志、安全日志、应用日志。 CPU、内存、磁盘、接口流量利用率,服务和TCP连接数; DNS日志、目录服务日志、文件复制服务日志 6 APACHE、采集Apache产生的error.log文件里TOMCAT 的启动和错误日志 其他应用系统WINDCHILL应采集Winchill服务器产生的登录、修平台 用日志 改和错误日志 用户可根据自己的需求很容易定制开发新的日志收集代理。 2.2 日志收集方式要求 需要支持的协议有syslog、snmp trap、windows log、checkpoint
4、 opsec、database、file、xml、soap等等。 n 主动信息采集 对路由器、交换机、防火墙、VPN、IDS/IPS等网络设备的日志采集支持采用SYSLOG和OPSEC LEA协议形式自动采集。 n 日志文件采集 支持本地系统平台上通过安装Agent采集日志文件中的日志信息。 n 性能状态探测 能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。 2.3日志分析功能要求 2.3.1告警功能 n 支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。 n 监控台支持对收集的全部日志进行分类实时监控。 n 应该能够将各种不同的日志格
5、式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。 n 能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息,支持自定义报警日志的类型。 n 通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计,按数据源输出监控分析报表。 n 支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。 2.4 日志存储功能要求 n 可将收集的日志进行集中存储在日志服务器或外部存储设备。 n 支持将日志进行分对象、类型、日期进行归档存储。 n 可对日志进行加密、压缩存储。 2.5 性能要求 n 对存储空间无限制 n 检索效率每10万条日志1秒。 n 对数据源的系统CPU、内存的资源占用小于5%。 2.6 易用性要求 n 支持分布式部署 n 操作界面友好,易于操作 2.7 安全性要求 n 应保证只有授权管理员和可信主机才有权使用产品的管理功能,对授权管理员和可信主机应进行身份鉴别。 n 应能够对审计数据进行备份/删除。 n 管理员无法直接接触日志,日志无法更改,删除,保证客观性。
