一、建设需求
1. 核心指标
1.1. 单台设备的日志量及性能要求:
1.1.1. 自身存储量:不少于2TB并具有一定的扩展能力。
1.1.2. 能够存储/检索的日志记录数量:不少于6亿条日志记录。
1.1.3. 处理速度:不小于每秒2000条,对于来自日志源的突发日志量有较好的应急缓冲处理能力。
1.2. 支持日志记录的全文搜索和统计功能。搜索统计功能必须能够覆盖该设备存储的所有日志记录(见1.1.1与1.1.2中对日志量的要求),支持对日志记录原始内容的搜索。
1.3. 具有良好的扩展性,随着未来设备的加入,单台设备可无缝扩展为集群。
1.4. 具有自我维护和管理功能,能够监控自身或集群的工作状态,节省日常管理维护的工作量。
2. 日志收集与分析
2.1. 具有灵活的日志收集方式,支持有代理和无代理部署模式,代理程序能够跨平台使用。
2.2. 可以处理主流交换机、路由器,以及防火墙、IDS/IPS、WAF等安全设备的日志记录。
2.3. 可以处理Linux平台中的各类系统日志,包括标准syslog日志、安全审计日志、启动日志、调试信息等。
2.4. 可以处理任何符合RFC3164/RFC5424标准的syslog格式日志,形式上包括本地日志文件或通过网络转发。
2.5. 支持通过SNMP Trap收集设备SNMP相关数据。
2.6. 支持从外部数据库中导入日志记录。
3. 日志格式化
3.1. 对于标准syslog格式(RFC3164/RFC5424)的日志,可自动识别、格式化并提取其中的主要字段。
3.2. 对于主流Web应用的日志记录(IIS,Apache,Tomcat,Nginx等),可自动识别、格式化并提取其中的主要字段。
3.3. 对于日志记录内容的识别,具有充分的可扩展性,提供对特殊应用/特殊格式日志信息的定制化处理。
3.4. 能够将格式化后的日志记录(含自定义字段),以标准syslog形式转发至其他网络设备。
4. 日志分析
4.1. 统计指标包括计数、求和、取平均、取最大/最小值、发生频度与间隔等,支持数据的分类汇总统计。
4.2. 内置统计规则支持针对典型安全日志的关键参数统计,如主机登录失败次数、主机流量排行、包含特定关键字的Web访问请求次数、网络设备登录次数、配置修改次数等
4.3. 允许用户自定义日志数据的统计规则,包括需要统计的字段、计算方式和统计范围。范围包括时间范围、查询条件和筛选条件。查询条件中,可查询的字段可以含用户自定义的字段,可指定多个约束条件并可通过布尔表达式进行组合。
4.4. 支持针对整个日志消息(不限于某一个字段)的查询。
4.5. 能够针对系统中各类日志设置告警规则,支持灵活的告警阈值和告警条件组合,告警方式包括邮件与syslog输出两种。
4.6. 针对TB/亿级别的日志量,提供近实时的统计数据监控功能,通过趋势图等方式监控各类指标和数据的趋势。
5. 日志管理和使用
5.1. 支持将原始日志原文的重新导出。
5.2. 能够根据保存期限自动清理过期日志,释放存储空间。根据日志规模的变化,系统即可无缝扩张,也可无缝缩减。
5.3. 支持从数据库或CSV文件中直接导入日志记录。
5.4. 支持以JSON等形式导出结构化的日志数据。
6. 数据展示
6.1. 用户可针对任意日志或安全事件的字段的内容进行查询,可查询的字段含用户自定义的字段,可指定多个约束条件并可通过布尔表达式进行组合。
6.2. 用户可针对查询结果应用多个筛选器,展示模块的内容可跟随筛选后的查询结果自动更新。
6.3. 用户可直接针对日志消息内容进行全文查询,并根据相关程度排序返回结果。
6.4. 用户可指定多个不同查询条件进行对比展示。
6.5. 统计规则的结果可以以柱状图、饼状图、Top-N、趋势图等形式展示,可设置刷新周期,实现近实时的日志数据监视功能。
6.6. 针对符合RFC3164/RFC5424标准的日志,可根据日志源、严重程度、优先级、应用程序名称等字段进行分类统计和排名。
