欢迎user
用户行为审计系统可支持多种网络日志的采集(包括NAT1.0、FlOW1.0、NetStream V5),对于不支持上述日志的设备,可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG1.0格式的日志。
同时用户行为审计系统采用分布式的体系结构,支持多点采集,可以同时采集多个设备的日志信息,为网络管理员监控网络提供了灵活有效的支持。
用户行为审计系统可根据用户需要,通过各种条件的组合对网络日志进行快速分析。针对不同的日志类型,管理员可以获得不同的用户行为审计信息:
NAT1.0日志:包括经过NAT转换前的源IP地址、源端口,经过NAT转换后的源IP地址、源端口,所访问的目的IP、目的端口、协议号、开始时间、结束时间、操作字等关键信息。
FLOW1.0日志:包括源IP、目的IP、源端口、目的端口、流起始时间、结束时间、操作字等关键信息。
DIG1.0日志:探针型采集器直接从交换机的镜像端口采集用户的上网信息,对用户访问外部网络的流进行分类统计,并生成探针(DIG)日志记录。
DIG1.0日志包含两种格式日志,DIGFLOW1.0和DIGEST1.0。DIGFLOW1.0日志内容为IP层数据报文信息,其中包含数据报文的流量信息和协议类型信息,而DIGEST1.0日志内容为应用层协议数据报文信息,包含数据报文的摘要信息。两种格式的DIG1.0日志在采集器进行日志采集时同时生成。利用DIG1.0日志的记录信息,可以实现对用户网络行为的监控,审查用户的访问信息、使用的应用信息等,全面审查用户的网络使用行为。
l DIGFLOW1.0日志记录包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、源端口号、目的端口号、协议类型(目前区分TCP、UDP和ICMP三种协议)、输入包个数、输出包个数、输入字节数、输出字节数;
l DIGEST1.0日志记录包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、目的端口号、摘要信息(目前支持HTTP协议、FTP协议、SMTP协议报文)。
NetStream V5日志:包括日志的开始时间、结束时间、协议类型、源IP地址、目的IP地址、服务类型、入接口、出接口、报文数、字节数、流数、总激活时间等信息。通过NetStream日志的分析,可以使网络管理员深入地了解当前数据网络中的报文所包含的各种有价值的信息,可以实现网络监控、应用监控、用户监控等功能,并为网络规划提供重要参考。
日志审计界面
通过用户行为审计系统网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果。
用户行为审计系统可支持对日志的转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存,等需要时再将日志数据导入到系统中进行审计。
日志转储功能配置界面
系统 | 功能项 |
XLog用户行为审计系统 | NAT 1.0、FLOW 1.0、NetStream V5日志接收 |
NAT 1.0支持对NAT转换前后的IP地址进行审计 | |
探针式的流日志采集 | |
探针式的报文摘要采集(仅限于HTTP/FTP/SMTP) | |
多条件日志查询与审计 | |
日志聚合与过滤 | |
系统管理 | |
系统监控 | |
邮件告警 | |
日志转储 |
l NetStream/NAT/FLOW日志审计组网方式
该组网可以为宽带运营商或教育网提供网络日志审计功能,以便于跟踪访问非法站点的用户行为。该组网方式非常灵活,可以根据运营商或教育网等不同的运营特点,实现多种方式的日志记录与审计能力。例如,如果在Internet出口需要作NAT转换,并且使用了H3C设备的NAT功能,用户行为审计系统就可以接收NAT日志进行处理。如果在Internet出口不需要做NAT转换,则可以通过FLOW格式或NetStream V5格式的日志记录用户的上网行为。该组网方式下,需要配套设备支持NAT、FLOW或NetStream日志输出。
l DIG探针组网方式
探针式采集器能够与任何支持端口镜像功能的交换机或集线器配合,采集网络中的报文信息,并为用户行为审计提供统计信息。该组网方式最大的优点在于不依赖于具体设备,从而可以更有效的保护用户的已有投资,主要面向出口容量不大的教育或行业用户。
DIG日志审计组网方式
项目 | 数量 | 说明 | 备注 |
用户行为审计系统-纯软件(CD)中文版 | 1 | XLog日志审计系统,完成用户日志采集、处理、分析与审计,提供配置、告警功能 | 对用户日志进行审计时必配 |
用户行为审计系统-每增加1000在线用户应用软件费用 | 1 | 1000用户License费用 | 选配 |
用户行为审计系统-每增加2000在线用户应用软件费用 | 1 | 2000用户License费用 | 选配 |
用户行为审计系统-每增加5000在线用户应用软件费用 | 1 | 5000用户License费用 | 选配 |
用户行为审计系统-每增加10000在线用户应用软件费用 | 1 | 10000用户License费用 | 选配 |