欢迎user
UBA用户行为审计组件可支持多种网络日志的采集(包括NAT1.0、FLOW1.0、NetStream V5),对于不支持上述日志的设备,可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG格式的日志。
UBA用户行为审计组件采用分布式的体系结构,支持多点采集,统一Web界面审计分析,可以同时采集多个设备的日志信息,为网络管理员监控网络提供了灵活有效的支持。
UBA用户行为审计组件可根据用户需要,通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计,并对审计结果提供灵活的排序、分组、保存等功能。
网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果,日志审计包括:
通用日志审计:审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、来源/目的端口、使用的协议及应用名。
Web访问审计:审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、端口、用户访问的站点、用户访问的网页等。
文件传输审计:审计内容包括接入用户名、用户传输文件起止时间、来源/目的IP地址、端口、ftp用户名、传输文件名、传输方式(上传/下载)等。
邮件审计:审计内容包括接入用户名、邮件发送时间、来源/目的IP地址、发件人、收件人、邮件主题等。
地址转换审计:审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、来源/目的端口、使用的协议及应用名、NAT转换后IP地址/端口等。
日志审计界面
结合EAD端点准入解决方案,UBA用户行为审计组件可高效地管理网络用户,建立详细的用户访问互联网的日志,提供行之有效的网络管理和用户行为跟踪审计策略,帮助管理员分析用户的上网行为。
端口不固定的应用,如P2P等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类,UBA可基于用户全面审计网络中的七层应用使用信息。
组件已经将大部分常见的端口不固定的应用设定为组件预定义的应用,如:BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。用户可根据需要,定义其它的应用识别。七层应用识别只对DIG日志有效,对其他类型的日志无效。
UBA用户行为审计组件提供基于任务的自动跟踪审计功能,可以根据接入用户名、用户访问网页的URL等各种查询审计条件灵活制定审计任务。任务一旦制定,组件将自动跟踪审计当前时间段内满足查询条件的所有用户及日志信息。审计任务 包括:地址转换、Web访问、文件传输、邮件、通用等多种类型。
UBA用户行为审计组件支持对海量日志进行转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存,同时组件提供转储日志查询工具,用户可直接对转储日志进行查询操作。
UBA系统提供专业的报表,包括访问站点、会话数、应用分布、未知应用的TopN报表,SMTP、HTTP、FTP的应用分析报表,每种报表都可以按照天、周等周期和图形、列表等形式输出。通过使用这些自带的报表,管理员可以非常清楚的了解当前用户对网络的使用情况。
用户访问站点TopN日报表
该组网方式可以为宽带运营商或教育网提供网络日志审计功能,便于对访问非法站点的用户行为进行跟踪。该组网方式非常灵活,可以根据运营商或教育网等不同的运营特点,实现多种方式的日志记录与审计能力。例如,如果在Internet出口需要作NAT转换,并且使用了H3C设备的NAT功能,用户行为审计组件就可以接收NAT日志进行处理。如果在Internet出口不需要做NAT转换,则可以通过FLOW格式或NetStream V5格式的日志记录用户的上网行为。该组网方式下,需要配套设备支持NAT、FLOW或NetStream日志输出。
NetStream/NAT/FLOW日志审计组网方式
探针式采集器能够与任何支持端口镜像功能的交换机或集线器配合,采集网络中的报文信息,并为用户行为审计提供统计信息。该组网方式最大的优点在于不用依赖于具体设备,从而可以更有效的保护用户的已有投资,主要面向出口容量不大的教育或行业用户。
DIG日志审计组网方式
UBA用户行为审计组件是H3C公司自主开发的网络日志审计产品,用户可以根据实际需求选购相应配置。
型号 | 产品描述 |
H3C iMC-智能管理平台(for Windows) | 必配,支持Windows操作系统。智能管理平台For Windows |
H3C iMC-UBA用户行为审计组件(含1000用户)-纯软件(CD)中文版 | 对用户日志进行审计时必配,完成用户日志采集、处理、分析与审计,提供配置、告警功能 |
H3C iMC-UBA用户行为审计组件-每增加1000用户应用软件费用 | 选配,1000用户License费用 |
H3C iMC-UBA用户行为审计组件-每增加5000用户应用软件费用 | 选配,5000用户License费用 |
H3C iMC-DIG日志探针组件(500M)-纯软件(CD) | 选配,配合探针组网方式使用 |
参数 | |
硬件平台 | 用户行为审计服务器:PC服务器:Xeon 3.0 G×2(及以上)、内存2G(及以上)、硬盘6*72G(10K) SCSI RAID5(及以上)、48倍速光驱、100M网卡、642 RAID卡(192M)、显卡支持分辨率1024*768、声卡 探针:PC服务器:主频 3.0G或以上、内存2G DDR()、硬盘SATA 80G(及以上)、48倍速CDROM、集成2个1000M自适应网卡(2×1000MB Pro(on board)) 客户端:PC:主频1.8G(及以上)、内存512MB(及以上)、硬盘20GB(及以上)、48倍速光驱、100M网卡、显卡支持分辨率1024*768、声卡 |
操作组件 | UBA 服务器:Windows 2000 Server/Server 2003(简体中文版) DIG探针服务器:兼容并稳定运行Redhat AS5.0或ES 3.0操作系统 浏览器:IE5.5及以上版本、FireFox1.5及以上版本 |
数据库 | SQL Server 2000 Standard简体中文版(SP4) SQL Server 2005 Workgroup简体中文版(SP2) |