sortie de l'équipement de réseau d'information pendant le fonctionnement appelé un journal, en temps réel d'exploitation du réseau dans diverses affaires, saisir le fonctionnement des différents modules fonctionnels sur un périphérique réseau.
• Prise en charge pare-feu sortie journal est la suivante:
Session Log : les
paquets O établiront une session sur le pare - feu après le traitement pare - feu. émission d'informations de session de support de pare - feu, l'administrateur peut selon les besoins réels, sélectionner la session après vieillissement en sortie, tandis que la sortie d'une nouvelle session, ou périodiquement des informations de session sortie.
perte Log :
paquets de sortie sont jetés après le pare - feu, des informations de support, et les paquets sont mis au rebut parce que la sortie. Les paquets de raison sont mis au rebut comprennent correspondent pas à la session est mis au rebut, et ne pas être mis au rebut par les contrôles de la politique de sécurité.
journal d'affaires :
sortie du journal des supports de pare - feu menace, le contenu du journal, la politique a frappé les journaux, les journaux Filtrage des messages, filtrage des URL, des journaux et des journaux d'audit et d' autres services connectent. En regardant l'entreprise du journal, les administrateurs réseau peuvent être informés des informations pertinentes, l' analyse en temps opportun et la localisation des défauts.
o contenu du fichier journal incluent le filtrage, le filtrage de contenu, journal de contrôle du comportement de l' application générée. Afficher les utilisateurs à transférer des fichiers ou des données, envoyer et recevoir des e-mail, visitez le site Web généré lorsque l'alarme et le blocage, comprendre la sécurité des risques du comportement des utilisateurs et la raison en est averti ou bloqué.
Un pare - feu disposé entre le réseau protégé et les réseaux externes en circulation au cours de la communication satisfait à une des conditions suivantes, un contenu du journal.
• Transfert de fichiers a frappé un fichier de configuration du filtre de fichier définit les règles de filtrage fichier.
• Transfert de données a atteint des règles de filtrage du contenu de filtrage de contenu défini dans le fichier de configuration.
• Le comportement HTTP de l' utilisateur (opération POST, la navigation sur le Web, l' accès proxy) a frappé les règles d'interdiction de contrôle appliquée du comportement définies dans le profil, et le contrôle de l' utilisateur les profils de seuil d'alarme définis par le comportement lors de l' application HTTP et télécharger la taille du fichier est supérieure ou de la résistance seuil de déclenchement.
• Les utilisateurs upload et download par taille de fichier FTP dépasse l'application du seuil d'alarme de contrôle de comportement défini dans le fichier de configuration ou des seuils de blocage, ainsi que l'utilisateur touche l'application du profil de contrôle du comportement défini par les règles de conduite interdit FTP pour supprimer le fichier.
o les journaux d'activité de l'utilisateur, les administrateurs peuvent voir l'utilisateur en ligne tels que le temps de connexion, de temps en ligne / gel long, informations de connexion utilisés par adresse IP, la compréhension de l'activité de l'utilisateur dans la situation actuelle du réseau, nous avons constaté que les utilisateurs se connectent ou des anomalies de réseau comportement d'accès, en temps opportun à traiter.
o stratégies ont frappé le journal, l'administrateur peut apprendre le trafic a frappé une politique de sécurité pour déterminer la politique de sécurité est configuré correctement et obtenir l'effet désiré, pour la localisation de défaut en cas de problème.
o les journaux d'audit, le processus de communication a frappé un profil de trafic définit les règles de l'audit, le journal d'audit est généré, les administrateurs peuvent apprendre le comportement des utilisateurs FTP, le comportement HTTP, le comportement, envoyer et recevoir du courrier, le comportement IM, rechercher des mots clés et configuration de la stratégie d'audit Entrée en vigueur et ainsi de suite.
o Filtre en regardant les journaux de messagerie, les administrateurs peuvent visualiser le type de protocole de l'envoi de l'utilisateur et recevoir du courrier, parce que pièce jointe contenant le nombre et la taille du courrier normal et légitime est bloqué, puis prendre des contre-mesures raisonnables.
o Quand un pare - feu disposé entre le réseau protégé et les réseaux externes, le trafic dans le processus de communication satisfait une des conditions suivantes, un message de journal de filtrage:
De • envoyer ou recevoir l' adresse du destinataire courrier / mail profil frappé filtrage référencé dans le groupe d'adresses e-mail.
• Envoyer ou recevoir des messages anonymes.
• objet du message, le corps, le nom de l' attachement a frappé le contenu du groupe mot - clé référence filtrage.
• Le nombre de pièces jointes sur la limite de filtrage des messages définis dans le fichier de configuration.
• Le courrier en une seule taille de pièce jointe dépasse la limite supérieure de la définition du profil de filtrage de messagerie.
• Adresse IP source du courrier a atteint un RBL local ou distant RBL liste noire liste noire.
journal système :
les informations de module de fonction de support de pare - feu O généré pendant le fonctionnement, cette partie de l'information est désignée par les informations de journal du système. Les journaux système comprennent des systèmes d'alarme, les utilisateurs se connectent ou hors tension, le système est en cours d' exécution, log liste noire générée.
• Sur le pare - feu, les différents types de principes de sortie du journal sont également des différences:
• Pour les journaux de session, les journaux et le port de perte de paquets journaux pré-allocation, pare - feu via un canal séparé, sortie directe à un serveur de journal, l'administrateur pour la visualisation et l' analyse.
• Pour journal d'entreprise, vous pouvez avoir une variété de chemin de sortie:
O par un canal séparé, sortie directe à un serveur de journal, l'administrateur pour la visualisation et l' analyse, la
sortie O à la base de données en mémoire, puis après les statistiques du module de traitement des requêtes de journal dans le journal et formulaire de rapport est affiché sur l'interface Web, consultez le journal spécifique;
O zone tampon dans le journal, et affiché sur l'interface Web du « panneau »;
O est sortie par le centre d'information.
• Pour journal système, le centre d'information de la sortie à travers le pare - feu. Tableau de bord de module logiciel de pare - feu sur le moyeu d'informations système, le journal du système peut être sortie dans la direction du serveur de journal, log tampon, la console (User Console Interface), une borne (l'interface utilisateur de VTY), les fichiers journaux. Les administrateurs peuvent afficher le journal du système sur le pare - feu, vous pouvez également consulter le journal système sur le serveur de journal.
• interne à l' entreprise a déployé un grand nombre d'hôtes, bases de données et d' autres applications, ainsi que les routeurs, les commutateurs, les pare - feu et d' autres équipements de réseau, en raison de la présence du format de journal de l' appareil n'est pas uniforme, une mauvaise lisibilité, difficile à stocker journal massif, le journal est difficile à la gestion unifiée et d' autres questions, il est difficile à détecter les risques de sécurité importants du journal.
• En ce qui concerne l'extension du réseau, diverses sources de journal de réseau ajouté au réseau, de sorte que la gestion des journaux de plus en plus difficile.
Peu à peu , promouvoir le processus d'information de l' entreprise, les systèmes informatiques sont de plus en plus utilisés dans les opérations commerciales, la question de la sécurité est devenue le centre d'attention des entreprises. Reflète principalement dans:
Connexion réseau dispersé des sources dans divers journaux, les journaux Web ne peuvent pas être gérés de manière centralisée.
En cas d'attaque, source de journal de sécurité de la défense va générer beaucoup de l' exploitation forestière, l'utilisateur ne peut pas trouver rapidement journal importante.
Dans un réseau hétérogène, les données du journal du journal unifié à partir de différentes sources pour produire une analyse très difficile.
durée limitée et la capacité du disque, les données du journal sont automatiquement effacées, et ne peut donc pas se tenir au courant du comportement de l'utilisateur.
• LogCenter la gestion centralisée de plusieurs appareils grâce à un journal, être en mesure de résoudre entièrement les problèmes ci - dessus:
par la collecte active ou passive reçu la source de journal géré par stockage centralisé journal.
Fournir des requêtes précises journal, la requête peut être fournie au besoin, rapidement filtré journal utile.
Prend en charge la méthode de collecte des journaux à plusieurs dimensions pour différentes sources journal Collect journaux et stockage Classifier, pour fournir une entrée de journal unifiée requête.
Ouvrez une session structure support de stockage en ligne tertiaire, vidage et le stockage de sauvegarde, les utilisateurs peuvent se connecter sans perdre la conservation à long terme. En utilisant des techniques de compression de données, le support de stockage des journaux massif, il offre journal de traitement haute performance.
• LogCenter Log Event Manager fournit plusieurs types de collection unifiée de l'exploitation forestière à grande échelle, le stockage, la plate-forme d'audit pour répondre à la gestion unifiée et l'analyse du journal, les employés de suivi Internet NAT analyse du comportement en ligne et d'autres scénarios, offrant une traçabilité NAT-pointe fonction et les capacités d'analyse des événements de sécurité.
Réaliser l' analyse commerciale ( en deux parties, front-end et back-end interface de l' interface utilisateur du système de service de journal, dont le principal fournisseur de front-end interface utilisateur et des rapports montrant l'interface de configuration, et fournir des services back-end et les alarmes de requête de rapport d'activité.) En coopération LogCenter Analyzer et Collector complet, fonctionne comme suit:
• module récepteur de journal: responsable de la réception ou la collecte de source de journal de journal, et envoie les journaux reçus au module d'analyse du journal.
• Journal module d'analyse: l' analyse de la crosse de journal reçu, des champs importants extraits du journal, détermination à un format fixe LogCenter peuvent être reconnus. Le journal analysé au module de stockage de journal pour le stockage, alors que les données envoyées au module d'analyse statistique et le module d' alarme pour l' analyse statistique et d' alarme.
• Journal module de stockage: chargé de stocker les journaux de grumes brutes et les journaux peuvent parse être stockés dans un collecteur local.
• modules statistiques: journal des statistiques des données utiles, et rapporté à l' analyseur LogCenter. Le LogCenter analyseur de données statistiques stockées dans la base de données, à des fins de rapports.
• Module d'analyse d'alarme: chargé de recevoir des alertes émises par les règles de l' analyseur de LogCenter, lors de la réception du journal des alarmes en conformité avec les règles, l'alarme est signalé à LogCenter. LogCenter informations d'alarme d'analyseur stockées dans la base de données.
• Connexion Module de requête: responsable de la réception de la requête émise par l'analyseur de LogCenter et de trouver les journaux du module de stockage de journal correspondent à la requête, les résultats de la requête a rapporté dernier analyseur de LogCenter.
• LogCenter en utilisant l' architecture B / S peut être géré partout, en tout temps. Expansion de l' entreprise et la maintenance du système est simple.
• réseau LogCenter lorsque le déploiement centralisé, la collecte des journaux et l' analyseur LogCenter installé sur le même serveur, reçoivent et les journaux de concentration virés du collecteur de source de journal.
• le déploiement de réseau distribué LogCenter, la collecte des journaux et l' analyseur LogCenter monté sur un serveur physique différent, multiple collection de journal peut partager un analyseur de LogCenter, un analyseur peut gérer jusqu'à collecteurs de journaux LogCenter 15 . collection journal peut être déployé dans différents sous - réseaux, la collecte journal de journal où le sous - réseau source.
