Sip-Logger 智能日志分析管理系统 Sip-Logger 企业级日志分析平台

产品概述

Sip-Logger 是一款企业级日志分析管理系统，旨在帮助企业实现安全日志的集中采集、分析挖掘、合规审计、实时监控、日志二次转发及安全告警等功能，能够同时满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。

产品架构与性能

• 架构：采用B/S架构操作方式，无需安装客户端软件，方便用户随时随地通过浏览器进行访问和操作。

• 性能：以SIP-Logger-A600为例，该设备具备6个千兆电口和2个万兆光口，平均每秒处理日志数（EPS）最大性能可达2500，可用存储量在RAID1模式下为2TB。

功能特性

• 数据采集：支持多种方式采集第三方日志，涵盖网络设备、安全设备、操作系统、中间件、数据库等780+款设备的日志。通过主被动结合的手段，实时采集海量日志信息，并进行集中化存储、备份、查询、审计、告警、响应，出具相关的合规报表报告，实现全生命周期的日志管理。

• 数据范式化：内置众多标准化脚本，可处理不同系统或设备产生的不同格式的日志，即使对于某些特殊设备，也提供了定制方法。

• 数据过滤：支持多字段过滤，配置完成后，logstash会根据配置的过滤条件将匹配上的日志丢弃。

• 数据转发：支持将归一化后的数据通过syslog协议转发到第三方系统中，包括对接安全感知平台，且转发配置灵活。

• 数据分析：提供审计策略和关联策略。审计策略可从海量日志中提取用户关心的那部分日志，将原始日志解析成用户可理解事件；关联策略可从海量日志中提取风险，支持用户自定义关联规则。

• 告警监控：用户可以定义过滤器以监控需要特别关注的告警信息，也可根据个人需求设置告警的提示音、界面显示方式等；还可针对告警进行清除或确认等处理。

产品优势

• 全面的采集能力：支持200+款设备日志归一化，30+款设备日志深度分析匹配规则产生安全事件，采用Logstash数据采集框架采集数据，大大提升了接入性能。

• 强大的检索查询：亿级（TB）原始日志查询耗时低于1秒，支持统一日志检索，包括精确匹配和模糊匹配等，还支持多条件组合查询。

• 丰富的合规报表：支持导出5种类型的报表，包括主机安全报表（Linux、Windows）、数据库安全报表、网络设备安全报表、应用安全报表等。

• 灵活的部署方式：支持单机、分布式采集。

• 简便易用的界面风格：系统通过提供入门向导、个人工作台、任务通知、快捷菜单等方式，为用户提供了简单易用的界面，即使是初次使用也容易上手。

• 灵活通用的系统设计：具有可配置的安全概览等系统功能菜单，支持用户自定义的事件关联策略、审计策略，灵活的日志标准化解析脚本，还具有优秀扩展性的第三方接口。

产品价值

• 可发现：具备对海量安全事件的采集、分析、处理报告能力，可以实时动态展现当前安全事件态势，实时获知异常安全事件或审计违规告警。按需展现各类关注事件的分布状况，可集中管理各类安全事件和安全资产，能够智能化分析安全事件对业务系统可能产生的实际影响和危害，减轻通过人工甄别大量事件的工作难度，提高管理工作效率，降低运维工作负担。

• 可告警：发现安全事件风险是为了更好更快的处理。Sip-Logger具备安全告警功能，可通过技术手段将发现的安全事件告警纳入到日常安全运维流程中。

• 可审计：具备针对各类信息安全管理标准或要求的日志审计能力，提供针对诸如等级保护要求、SOX信息安全审计要求、企业内部下发的信息安全工作要求的审计策略，支持通过技术手段实现日志审计工作的自动执行、自动核查、自动报告功能。

• 可度量：针对信息安全事件日志的采集、分析、处理情况，结合信息安全资产的IT属性，能够实现对企业信息安全情况的分析和审计。可度量企业信息安全的安全水平，给出企业对各种审计要求的符合性程度，指导企业的信息安全管理和建设工作。

产品应用场景

• 日志代理探针场景：主要解决NAT/代理场景下，统一收集多源头的日志进行归一化后进行转发，本身不存储日志；弥补在以SIP为核心的解决方案中，SIP在NAT/代理场景下数据源对接上的不足，增强SIP的整体方案竞争力。

• 等保合规场景：网络安全等级保护2.0国家标准和《网络安全法》要求，满足全网日志统一收集和集中审计。

• 

• 

• 

• 

• 

• 

• 

• 

• 

•