日志采集
借助系统的大数据技术架构,让客户实现对分散的具有大数据特征的日志的收集,对这些日志格式进行规范化统一描述,实现对日志大数据的分布式集群化存储,实现在日志大数据下对历史数据的分析和检测;在分布式存储计算节点的架构下大大提高安全分析人员对日志大数据的历史数据的分析效率,减少计算资源耗费;并在系统独有的交互式分析设计架构下实现了对日志大数据的事件调查,历史回溯,条件组合查询,结果查看等功能。有效地解决了大数据时代中日志大数据带来的挑战。
视图展示
全局监视仪表板,可展示不同设备类型、不同安全区域的实时日志流曲线、统计图,以及网络整体运行态势、待处理告警信息等。用户可以自定义仪表板,按需设计仪表板显示的内容和布局,可以为不同角色的用户建立不同维度的仪表板,进行事件调查、钻取,事件行为分析和来源定位,进行安全事件统计分析,并以柱图、饼图、堆积图等形式进行可视化的展示。
机制扩展
对于目前暂不支持的审计数据源,系统还提供了方便灵活的扩展机制。只要获得审计数据源的日志样本以及通讯协议方式,编写一份XML格式日志解析文件,导入系统,即可获得对该审计数据源的日志采集能力,无需编码。
日志范化
系统对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成统一的描述形式。除此之外系统还提供多个备用字段,供高级日志审计人员分析时使用,字段数量超过六十余个,并且可以根据安全审计员的需要进行数量扩展,提供更强大的日志描述信息,使范式化后的日志详尽而易读,更能满足复杂的多维度统计分析和审计要求。
事件分析
系统在安全审计员进行日常审计时,可将审计过程中选择的条件组合保存为策略,用户可以通过丰富的事件分析策略对全网的安全事件进行全方位、多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、可视化分析展示等等。
混合检索
系统提供的混合检索技术属于交互式分析技术,不仅提供了基于范式化后的格式数据内容的实时关联分析和统计报表,同时还提供强大的全文搜索能力。混合式检索技术包括通过对范化后的字段值进行全部日志记录的搜索,查询出包含搜索值的所有的日志记录,并分行显示。