1、2021/4/21用全局事件管理進(jìn)行智能預(yù)警當(dāng)今的企業(yè)和組織在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面。一方面，網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用和業(yè)務(wù)系統(tǒng)在工作中都產(chǎn)生了大量的安全事件和日志，卻沒有統(tǒng)一的進(jìn)行管理，使得各個(gè)系統(tǒng)之間缺乏協(xié)同，整體安全無法得到保障。另一方面，企業(yè)和組織日益迫切的信息系統(tǒng)審計(jì)和內(nèi)控、以及持續(xù)增強(qiáng)的業(yè)務(wù)持續(xù)性需求，也對(duì)當(dāng)前日志審計(jì)提出了嚴(yán)峻的挑戰(zhàn)。企業(yè)和組織迫切需要一個(gè)全面的、面向企業(yè)和組織IT計(jì)算環(huán)境的、集中的安全審計(jì)平臺(tái)及其系統(tǒng)，這個(gè)系統(tǒng)能夠收集來自企業(yè)和組織計(jì)算環(huán)境中各種設(shè)備和應(yīng)用的日志，并進(jìn)行存儲(chǔ)、監(jiān)控、分析、報(bào)警、響應(yīng)和報(bào)告。賽諾朗基借助在安全領(lǐng)域

2、的長(zhǎng)期積累，結(jié)合北京聯(lián)通分公司信息化部的特殊性，提供面向聯(lián)通客戶的安全日志審計(jì)平臺(tái)賽諾朗基，真正滿足單設(shè)備和多設(shè)備的趨勢(shì)分析和預(yù)警。賽諾朗基全局事件管理系統(tǒng)作為一個(gè)統(tǒng)一的日志監(jiān)控與審計(jì)平臺(tái)，能夠?qū)崟r(shí)不間斷地將企業(yè)和組織中來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)全網(wǎng)綜合安全審計(jì)。預(yù)警的重要性性能容量操作鏈接等Gartner研究副總裁Debra Curtis表示： “許多IT機(jī)構(gòu)還在依靠終端用戶通過服務(wù)臺(tái)來通知其運(yùn)營(yíng)故障和速度放緩等情況。然而，這使得IT處于一種被動(dòng)狀態(tài)IT只能在問題已經(jīng)發(fā)生后才發(fā)現(xiàn)并解 決這些問題。主動(dòng)預(yù)防問題、預(yù)測(cè)潛在

3、問題、并在它們影響業(yè)務(wù)前加以解決，才能使IT更具效率，從而提高客戶滿意度。” 2021/4/22賽諾朗基全局管理解決方案賽諾朗基TM的通用日志解析引擎具有操作便捷、用途廣泛的特點(diǎn)。它無需專用數(shù)據(jù)庫(kù)、無需專用服務(wù)器、無需專門配備網(wǎng)絡(luò)服務(wù)器或?qū)Ｓ瞄_發(fā)工具。同時(shí)，它對(duì)輸入的事件或數(shù)據(jù)格式也沒有限制，可以是實(shí)時(shí)或歷史數(shù)據(jù)，可以來自于網(wǎng)絡(luò)設(shè)備、硬件、軟件、操作系統(tǒng)注冊(cè)表或文件系統(tǒng)。賽諾朗基TM管理套件還可以管理所有非結(jié)構(gòu)化、非關(guān)系型的正文文件，解析日志，篩選數(shù)據(jù)或事件，并提取需要和關(guān)注的信息。賽諾朗基TM管理套件還能幫助您實(shí)現(xiàn)事故調(diào)查取證，統(tǒng)計(jì)各類事件，對(duì)原始數(shù)據(jù)進(jìn)行加工、變換、映射等，以獲取有用的信息

4、。在這些功能的基礎(chǔ)上，你還可以利用管理套件實(shí)現(xiàn)自動(dòng)報(bào)警、報(bào)表生成、可視化監(jiān)控、自動(dòng)工作流等控制和管理功能。這就是賽諾朗基TM的靈動(dòng)安全管理，它使你能夠輕而易舉地具備上面這些能力！ 賽諾朗基解決方案的優(yōu)勢(shì)2021/4/23賽諾朗基三大專利技術(shù)智能加速索引： 免數(shù)據(jù)庫(kù)，無需數(shù)據(jù)聚合和歸一化處理 使系統(tǒng)不會(huì)受制于集中存放日志的數(shù)據(jù)庫(kù)，因而消除了系統(tǒng)的性能瓶頸。 適用于結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)內(nèi)容 可處理無限增長(zhǎng)的數(shù)據(jù)量 連續(xù)一致的數(shù)據(jù) (所有動(dòng)態(tài)數(shù)據(jù)產(chǎn)生后即成為歷史數(shù)據(jù)) 色標(biāo)解析和圖形關(guān)聯(lián)： 消除對(duì)信息格式和設(shè)備種類的限制 只需用鼠標(biāo)點(diǎn)選想要解析的字段并設(shè)置相應(yīng)的解析規(guī)則 提供強(qiáng)大分析和多設(shè)備關(guān)聯(lián)能力

5、 無論這些信息是實(shí)時(shí)的或者歷史數(shù)據(jù) 網(wǎng)格型安全系統(tǒng)架構(gòu)： 消除系統(tǒng)性能瓶頸，提供無限可擴(kuò)展性 可以不受限制地同時(shí)處理多項(xiàng)數(shù)據(jù)任務(wù) 可以指定某個(gè)管理服務(wù)器專門處理一類任務(wù)或數(shù)據(jù) 部署還非常靈活，可以是集中式的，也可以是分布式的部署方式。 突出的技術(shù)特點(diǎn)2021/4/24運(yùn)行信息的采集主動(dòng)采集： 主要用于采集操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、中間件和數(shù)據(jù)庫(kù)日志的統(tǒng)一收集和管理 ，如Windows、Linux、AIX、應(yīng)用系統(tǒng)（包括Apache、IIS、Oracle等）被動(dòng)采集： 主要用于采集設(shè)備日志，如防火墻、路由器、交換機(jī)、入侵防御等。實(shí)時(shí)數(shù)據(jù)采集： 賽諾朗基有多種方式來進(jìn)行實(shí)時(shí)數(shù)據(jù)采集。它內(nèi)置一個(gè)Syslo

6、g服務(wù)器，可以實(shí)時(shí)接收支持這種格式的設(shè)備日志數(shù)據(jù)。 對(duì)于那些不能自動(dòng)發(fā)送日志數(shù)據(jù)的設(shè)備或系統(tǒng)，可以通過安裝賽諾朗基實(shí)時(shí)監(jiān)測(cè)代理來收集設(shè)備的日志或事件信息。 在收集日志的過程中可以定義日志中重點(diǎn)關(guān)注的字段，忽略無關(guān)緊要的信息，從而把主要精力集中在那些主要問題上。 賽諾朗基提供了全面的交互環(huán)境，在篩選設(shè)計(jì)過程中，用戶可以一邊觀察實(shí)際日志文件的數(shù)據(jù)，一邊定義篩選字段和解析方式 通過這些采集器和監(jiān)測(cè)代理，賽諾朗基可以保證日志跟蹤零丟失。不管是數(shù)據(jù)采集本身還是對(duì)它們的展現(xiàn)，即使在每秒數(shù)千行日志數(shù)據(jù)洪峰，也能從容完成。實(shí)時(shí)采集。2021/4/25單個(gè)設(shè)備的趨勢(shì)分析賽諾朗基能夠?qū)蝹€(gè)設(shè)備的日志進(jìn)行趨勢(shì)分析，

7、當(dāng)設(shè)備出錯(cuò)或系統(tǒng)性能下降時(shí)將執(zhí)行指定的行為，可以設(shè)置單獨(dú)的警告和行為規(guī)則以提高通知能力。系統(tǒng)的性能日志提供了對(duì)這些性能數(shù)據(jù)進(jìn)行記錄的能力。當(dāng)計(jì)數(shù)器到達(dá)、高于或低于所定義的閾值時(shí)，警告將向用戶發(fā)送通告，從而在系統(tǒng)性能達(dá)到極限時(shí)，及時(shí)通知系統(tǒng)管理員采取必要的措施，有效避免可能的系統(tǒng)癱瘓。當(dāng)某些活動(dòng)（例如磁盤輸入、輸出（I/O）操作或頁面錯(cuò)誤）發(fā)生時(shí)，跟蹤日志將記錄詳細(xì)的系統(tǒng)應(yīng)用程序事件。當(dāng)該事件發(fā)生時(shí)，操作系統(tǒng)將系統(tǒng)數(shù)據(jù)記錄到指定的文件中。當(dāng)使用計(jì)數(shù)器日志時(shí)，經(jīng)過一個(gè)更新間隔，該服務(wù)從系統(tǒng)中取得數(shù)據(jù)，而不是等待某一個(gè)特定的事件。通過監(jiān)控系統(tǒng)的性能日志，對(duì)CPU、I/O、內(nèi)存等性能指標(biāo)設(shè)置不同的閾值

8、檢查這些硬件隨時(shí)間的狀態(tài)變化，在發(fā)生警告后，賽諾朗基可以通過發(fā)送一個(gè)或多個(gè)電子郵件、發(fā)送Net Send指令到指定的IP地址或向某個(gè)子網(wǎng)廣播、在管理服務(wù)器屏幕上彈出一個(gè)消息窗口、執(zhí)行一個(gè)命令和程序，或者一個(gè)包含命令的批處理文件來通知管理員。用戶可以對(duì)關(guān)注的事件設(shè)置自動(dòng)提示和報(bào)警。所有的提醒和報(bào)警會(huì)被記錄為系統(tǒng)內(nèi)部日志，這樣用戶還可以像處理其它日志文件一樣處理這些事件，以建立更復(fù)雜或者多重的報(bào)警、設(shè)置行動(dòng)和反應(yīng)等。趨勢(shì)、波動(dòng)、閾值、動(dòng)態(tài)平均等。2021/4/26多設(shè)備關(guān)聯(lián)分析賽諾朗基提供了強(qiáng)大的關(guān)聯(lián)分析引擎。無論是單一來源的多個(gè)事件之間，還是不同設(shè)備的多個(gè)事件之間，無論是數(shù)據(jù)在線（實(shí)時(shí)事件），還

9、是離線（日志已存儲(chǔ)在網(wǎng)絡(luò)中的某個(gè)地方）。 它可以處理任意關(guān)聯(lián)目標(biāo)及其組合，采用任意字段作為關(guān)鍵詞，為關(guān)聯(lián)分析提供了無限的可能性。作為關(guān)聯(lián)分析關(guān)鍵詞的字段，它的值可以具有唯一性，也可以是不唯一的。用戶還可以為關(guān)聯(lián)分析設(shè)置一個(gè)偵測(cè)窗，以指定管理分析的時(shí)間區(qū)間，符合分析條件的事件數(shù)量，以及限定事件的數(shù)量等。關(guān)聯(lián)分析的輸出結(jié)果可以按用戶的要求進(jìn)行配置以便進(jìn)行不同的后續(xù)處理。用戶還可以使用聚合日志工具（Join）來合并不同設(shè)備的日志到一個(gè)文件中，或通過工作流設(shè)置來定時(shí)或按需啟動(dòng)合并任務(wù)。 2021/4/27多種展現(xiàn)方式賽諾朗基TM的數(shù)據(jù)映射功能，可以對(duì)原始數(shù)據(jù)進(jìn)行加工、轉(zhuǎn)換并形成意義明確、可讀性強(qiáng)的管理

10、信息。相對(duì)于和枯燥、晦澀的原始數(shù)據(jù)打交道，經(jīng)過映射和轉(zhuǎn)化的信息可以更好地與您的具體需求和環(huán)境相結(jié)合。這將極大地增強(qiáng)報(bào)告可讀性、提高報(bào)警的反應(yīng)速度、更快地采取應(yīng)對(duì)措施！您可以根據(jù)管理目標(biāo)任意定制報(bào)告和圖表。基于同一組數(shù)據(jù)，您可以自動(dòng)生成各種類型和格式（HTML或PDF）的報(bào)表，包括不同的內(nèi)容、圖形（曲線圖或3D立體圖）、摘要、說明、表格、徽標(biāo)、圖像和符號(hào)等等，所有這些都依您的需求而定。每當(dāng)賽諾朗基TM系統(tǒng)運(yùn)行時(shí)（例如啟動(dòng)系統(tǒng)、構(gòu)造圖形或收集日志數(shù)據(jù)等），不管是在交互模式還是在工作流模式下，系統(tǒng)規(guī)則模塊都會(huì)監(jiān)視這些活動(dòng)并與一系列預(yù)定義的觸發(fā)條件進(jìn)行比對(duì)。當(dāng)某一觸發(fā)條件滿足時(shí)，一個(gè)或一系列預(yù)先設(shè)置好

11、的行動(dòng)就會(huì)被系統(tǒng)執(zhí)行。管理員也可以通過設(shè)置提示來決定是否自動(dòng)執(zhí)行這些行動(dòng)。規(guī)則還可以設(shè)置為一系列行動(dòng)對(duì)應(yīng)于一系列觸發(fā)條件，可完全由用戶按需求定制。規(guī)則定制內(nèi)容包括監(jiān)視內(nèi)容，觸發(fā)條件和對(duì)應(yīng)的行動(dòng)?？刂剖侄?。2021/4/28自動(dòng)工作流采用自動(dòng)工作流，用戶就可以在早上一上班時(shí)從郵箱中獲得一份關(guān)于昨天系統(tǒng)運(yùn)行細(xì)節(jié)的報(bào)告！用戶可以創(chuàng)建任務(wù)并配置一個(gè)執(zhí)行時(shí)間表來完成例行的重復(fù)性日志分析工作，從容分身處理其它事務(wù)。工作流的內(nèi)容可以是解析日志文件、啟動(dòng)復(fù)雜的數(shù)據(jù)請(qǐng)求、運(yùn)行實(shí)時(shí)數(shù)據(jù)采集、數(shù)據(jù)映射和轉(zhuǎn)換、執(zhí)行自定義規(guī)則、使用日志文件工具甚至運(yùn)行一個(gè)可執(zhí)行文件！ 還可以創(chuàng)建數(shù)據(jù)摘要、生成報(bào)表、保存分析結(jié)果等。這些

12、內(nèi)容定義好后，用戶可以同時(shí)、多次運(yùn)行這些功能。用戶擁有對(duì)自動(dòng)工作流功能的完全控制，還可以決定何時(shí)保留哪些中間結(jié)果。在自動(dòng)工作流的交互界面中，有下列子功能模塊：應(yīng)用篩選器、數(shù)據(jù)請(qǐng)求、數(shù)據(jù)采集項(xiàng)、數(shù)據(jù)庫(kù)查詢運(yùn)行數(shù)據(jù)映射、觸發(fā)規(guī)則、日志工具、行動(dòng)生成摘要、報(bào)表、文件工作流分支、循環(huán)等2021/4/29圖形化數(shù)據(jù)挖掘技術(shù)賽諾朗基提供的實(shí)時(shí)視圖功能實(shí)現(xiàn)了基于時(shí)間的圖形化關(guān)聯(lián)分析能力。通過實(shí)時(shí)視圖，用戶可以觀察到運(yùn)行情況的演變過程。用戶可以選擇一個(gè)時(shí)間段或者實(shí)時(shí)跟蹤，還可以選擇不同的參數(shù)，比如一個(gè)或多個(gè)字段、元字段以及任意不同數(shù)據(jù)來源的組合。視圖的時(shí)間區(qū)間可以進(jìn)行設(shè)置，還可以隨著圖形放大和縮小功能來自動(dòng)進(jìn)

13、行調(diào)整，以獲得最佳視覺效果。通過賽諾朗基實(shí)時(shí)視圖功能，用戶獲得了一個(gè)多維度、實(shí)時(shí)、跨設(shè)備的實(shí)時(shí)圖形監(jiān)控工具。有了這個(gè)工具，用戶就能統(tǒng)觀全局，方便地跟蹤網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)等各項(xiàng)信息科技資產(chǎn)的表現(xiàn)和運(yùn)行情況。用實(shí)時(shí)視圖功能，用戶可以可視化一些抽象的系統(tǒng)指標(biāo)，在同一時(shí)間并行觀察它們的演進(jìn)和變化，并與標(biāo)準(zhǔn)或正常的變化模式、參照值等進(jìn)行比較、關(guān)聯(lián)?？梢圆捎蒙钊爰?xì)節(jié)或聚合總覽的方式來查看事件。視圖縮放功能可以使用戶方便地查看日志中一個(gè)指標(biāo)的實(shí)時(shí)演變過程，并可以隨時(shí)點(diǎn)擊一下鼠標(biāo)就獲得某個(gè)時(shí)刻該指標(biāo)的數(shù)值和前后關(guān)聯(lián)信息。實(shí)時(shí)視圖能夠幫助用戶在大量相似的事件中一眼看出重要或異常的情況，及時(shí)作出進(jìn)一步的調(diào)查以搞清產(chǎn)生的原因，以采取必要的措施。賽諾朗基視圖是基于多維度實(shí)時(shí)圖形元素的技術(shù)，能夠在一個(gè)屏幕上同時(shí)展現(xiàn)大量的指標(biāo)和刻度值。用戶