市场上对强大的日志管理解决方案的需求负责合规性、安全性和 IT 运营的团队逐渐意识到深入研究企业日志数据可以在加强风险防范、快速检测威胁和改善服务水平协议 (SLA)方面带来巨大的价值。Sarbanes Oxley、PCI、FISMA、HIPAA 和 GLBA 等法规要求长期保留来自于不同位置的日志数据,如网络设备、安全设备以及数据库和自己开发的应用程序等等,因此需要有一种低耗高效的方法来收集和存储审计相关的数据。鉴于日志格式千变万化而且日志量不断增长,企业需要一种支持快速收集大量日志的日志管理基础结构。另外,企业还需要能够通过直观的界面访问聚合信息,利用界面中提供的逻辑导航路径对万亿兆字节(TB)的日志数据进行分析处理。负责 IT 运营、取证、网络和技术支持的团队只是部分受益于访问日志数据的群体。随时快速查询企业中生成的日志数据的功能可以在需要时为分析提供相关信息,直观地洞察网络,了解系统和应用程序的状况以及可用性,并改善网络和系统的故障排除能力。
ArcSight Logger:满足日志管理需要的解决方案ArcSight Logger作为交钥匙式硬件化解决方案,不但满足了收集、存储和分析企业范围的日志数据的需求,而且可以快速对各种来源的日志高效进行收集,并存储到高度压缩的但仍可搜索或自管理的日志数据存储库中。ArcSight Logger 可以作为一个独立的日志聚合设备使用,也可以作为ArcSight ESM™ 部署的补充。ArcSight Logger 的核心功能包括:
• 高性能的日志聚合。ArcSight Logger 以稳定的速度捕获原始日志,每台硬件日志采集速度高达每秒75,000(EPS)多条事件。
• 广泛的设备支持。ArcSight Logger 支持从任何原始 Syslog 或日志文件源收集数据。此外,它还支持巨大的 ArcSight SmartConnectors 库,能够从35 类 170 多种不同源中进行优化收集。ArcSightFlexConnector 技术还可以将那些为了满足法律法规的要求而使用的其他自定义源和内部应用程序的日志数据合并到一起。
低耗高效的存储空间。每个 ArcSight Logger 设备都预装了 2 TB 而且启用了 RAID 的存储空间。所有的日志数据在存储之前都进行了高压缩,每个设备中可以存储约 15 TB 的原始数据。
• 可扩展性。托管安全服务供应商 (MSSP) 和数据中心位置分散以及办公地点在远程位置的大型企业可以分层或对等的方式部署多个 ArcSight Logger设备,以便收集本地和远程的数据。如果部署 32 个ArcSight Logger 设备,则可以以大约 2,000,000EPS 速率进行收集,还可以存储 500 TB 的原始日志数据。分散在不同位置的 ArcSight Logger 设备以阵列方式运行,这样用户就能够根据具体的访问控制要求有选择地或统一地查询设备中的日志数据。
• 动态和分布查询。ArcSight Logger 的基于 Web的搜索界面简单易用,通过它可执行简单搜索,也可以输入正则表达式和布尔逻辑符执行复杂查询。用户使用向下钻取(drill-down)和钻过
(drill-across)功能可以直观地对存储在任意数量的 ArcSight Logger 设备中的数以万亿兆的数据进行查询,从而增加动态结果集的大小。
• 易于部署。日志聚合功能与 ArcSight Logger 强化的硬件化 1U 设备、优化的文件存储和内置的监控功能无缝集成。无需数据库管理专业技术,100% 基于 Web 的图形用户界面,无需安装客户端,进一步简化了部署工作。
• 审核日志数据。ArcSight Logger 中集成了大量的审核和诉讼最佳惯例。从企业收集的原始日志数据应该在接收时进行完整性检查,方法是使用由 NIST 800-92(日志管理标准)批准的 SHA-1 哈西函数算法。更细粒度的基于角色的访问控制可以保护系统和事件数据。
• 自动化保存策略。可以按源的类型定义多个保存策略,以满足监管部门提出的数据保存期限的要求。这些策略自动执行,无需手动处理数据或进行清除。
• 内容包。常见合规性监控和 IT 操作查询通常以内容包的形式提供。这些内容包代表了基于 NIST800-53 和 ISO-17799 标准的最佳惯例,具有很高的权威性。ArcSight 产品系列之间的集成
ArcSight Logger 可以与 ArcSight 领先的安全信息和事件管理 (SIEM) 产品 ArcSight ESM相互集成。这种集成可以使 ArcSight Logger 灵活地将安全事件转发到 ArcSight ESM,实时进行跨设备的关联、可视化和威胁检测。ArcSightESM 也可以将关联后的警报发送回 ArcSightLogger用于搜索和存档。
主要作用
• 综合的日志聚合功能,可以聚合任何 Syslog 或日志文件,并可以搜索170 多种日志来源;
• 更加良好的合规性,可以安全地收集和存储数据,进行完整性检查,以及自动应用保存策略;
• 更大的容量和更好的扩展性,可以保存两年以上的压缩日志,每个设备处理性能高达 75,000 EPS.