防火墙和路由器等设备日志或操作系统和应用系统日志是反映网络安全与性能问题的最终信息来源。然而,在过去并没有快速向下挖掘(drill down)大容量日志,解决故障的系统工具。现有方案又存在众多弊端,速度也较慢:安全仪表版仅用来总结或关联信息,系统日志服务器(Syslog Server)则需要花费几个小时,甚至几天的时间来检索,其明显的缺点是耗时太长。日志审计系统改变了日志使用的方式,提高了数据的可访问性和可操作性,提供了全方位简化和改善日志管理的解决方案,通过管理基于日志数据的实时的、与网络密切相关的信息来改善网络的安全性、可用性,使网络运行更好、更快和更智能。从远程和中心设备捕获和汇聚日志数据,进行深层实时分析,并提供简单的和自动化的方案对日志数据长期归档。设计理念完全符合相关部门有关日志管理的建议,那就是:日志应该由专用设备存储;跨平台日志应使用统一格式存储;不同周期的日志应使用不同方式处理。 本文阐述了日志审计系统在目前网络环境中的重要性以及它的作用,同时对设计中所需要用到的基本技术作了简要的介绍。随后从总体上描述系统的框架设计及设计思想,并对系统中探测器、采集中心、存储中心、检索引擎和配置管理中心五大功能模块的设计做了详细的说明,其中包括了每个模块所需要完成的功能及其子模块介绍。最后,利用摘要代码或伪代码给出了各个功能模块的一些关键技术的实现细节,并对每一段代码部分都做了一定的解释。