日志审计系统需求说明

2023年8月1日发(作者：)

日志审计系统需求

一、总体要求

 支持对操作系统、数据库系统、网络设备进行自动采集，记录所有系统操作和数据库操作。

 支持SYSLOG和OPSEC LEA标准日志协议，能通过代理收集日志文件，并将日志统一格式化处理。

 对采集的日志可分类实时监控和自动告警。

 对收集的日志信息可按日志所有属性进行组合查询和提供报表。

 能按日志来源、类型、日期进行存储。

 日志审计系统部署：日志审计系统网络拓扑，日志审计系统数据库服务器，采集器，分析入库服务器。

二、具体要求

2.1日志收集对象要求

序号 设备类型 品牌 日志类型

1

网络交换设备

支持思科、华为、H3C网络设备产品

Windows系列

UNIX系列(AIX、HP-UX、Solaris 、LINUX、麒麟凝思系统)

2 操作系统

网络设备开机、重启、关机时间记录；

网络设备宕机时间记录；

网络设备运行性能记录；

配置修改的记录；

设备异常记录；

系统日志、安全日志、应用日志。

CPU、内存、磁盘、接口流量利用率，服务和TCP连接数； DNS日志、目录服务日志、文件复制服务日志、用户操作记录。

3

数据库

采集数据库系统日志，启动、登录、ORACLE、MS

错误;数据库关键进程运行情况日志、SQL SERVER

数据库执行sql语句时的操作记录。

2.2 日志收集方式要求

需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。

 主动信息采集

对路由器、交换机网络设备的日志采集支持采用SYSLOG（UDP514）和OPSEC LEA协议形式自动采集。

 日志文件采集

支持本地系统平台上通过安装Agent采集日志文件采集日志信息。

 性能状态探测

能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。

2.3日志分析功能要求

2.3.1告警功能

 支持对紧急、严重日志进行自动报警，可自定义需报警的日志类型。

 监控台支持对收集的全部日志进行分类实时监控。

 应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。

 能自动对各种类型的日志进行实时分析，并能将紧急、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息，支持自定义报警日志的类型。

 通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计，按数据源输出监控分析报表。

 支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。

2.4 日志存储功能要求

 可将收集的日志进行集中存储在日志服务器或外部存储设备。

 支持将日志进行分对象、类型、日期进行归档存储。

 可对日志进行加密、压缩存储。

2023年8月1日发(作者：)

日志审计系统需求

一、总体要求

 支持对操作系统、数据库系统、网络设备进行自动采集，记录所有系统操作和数据库操作。

 支持SYSLOG和OPSEC LEA标准日志协议，能通过代理收集日志文件，并将日志统一格式化处理。

 对采集的日志可分类实时监控和自动告警。

 对收集的日志信息可按日志所有属性进行组合查询和提供报表。

 能按日志来源、类型、日期进行存储。

 日志审计系统部署：日志审计系统网络拓扑，日志审计系统数据库服务器，采集器，分析入库服务器。

二、具体要求

2.1日志收集对象要求

序号 设备类型 品牌 日志类型

1

网络交换设备

支持思科、华为、H3C网络设备产品

Windows系列

UNIX系列(AIX、HP-UX、Solaris 、LINUX、麒麟凝思系统)

2 操作系统

网络设备开机、重启、关机时间记录；

网络设备宕机时间记录；

网络设备运行性能记录；

配置修改的记录；

设备异常记录；

系统日志、安全日志、应用日志。

CPU、内存、磁盘、接口流量利用率，服务和TCP连接数； DNS日志、目录服务日志、文件复制服务日志、用户操作记录。

3

数据库

采集数据库系统日志，启动、登录、ORACLE、MS

错误;数据库关键进程运行情况日志、SQL SERVER

数据库执行sql语句时的操作记录。

2.2 日志收集方式要求

需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。

 主动信息采集

对路由器、交换机网络设备的日志采集支持采用SYSLOG（UDP514）和OPSEC LEA协议形式自动采集。

 日志文件采集

支持本地系统平台上通过安装Agent采集日志文件采集日志信息。

 性能状态探测

能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。

2.3日志分析功能要求

2.3.1告警功能

 支持对紧急、严重日志进行自动报警，可自定义需报警的日志类型。

 监控台支持对收集的全部日志进行分类实时监控。

 应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。

 能自动对各种类型的日志进行实时分析，并能将紧急、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息，支持自定义报警日志的类型。

 通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计，按数据源输出监控分析报表。

 支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。

2.4 日志存储功能要求

 可将收集的日志进行集中存储在日志服务器或外部存储设备。

 支持将日志进行分对象、类型、日期进行归档存储。

 可对日志进行加密、压缩存储。