一、不依赖第三方日志服务器
- 节省硬件成本
- 节省机柜空间及电费
- 不产生额外的网络流量,同时节省网关CPU资源
- 不需要添加额外的访问控制策略,避免被入侵后利用
- 即使WEB等服务器被黑,在网关处仍然有WEB等审计日志留存
- 第三方日志服务器缺乏权限管理,容易泄露日志
- 第三方日志服务器缺乏归档管理,容易撑爆磁盘,导致不可长久使用
- 第三方日志服务器缺乏针对日志内容的统计分析
二、日志归档管理
- 加密压缩保存,节省磁盘空间
- 留存xx天,自动删除最老的日志
- 监控磁盘空间,极端情况下,自动删除以前的日志,为新日志腾出空间
三、日志权限管理
- 记录所有管理员的操作,只能审计管理员查看
- 策略管理员只能查看其它日志,不能删除
- 只有审计管理员可以删除日志
四、日志实时监控
- 监控原始日志,提取整理成留存的日志
- 监控日志内容关键词,阻拦来源IP或目的IP
- 监控用户认证记录,防暴力破解
- WebAdmin界面提示有新日志产生,实时滚动显示最新日志
- 可以配置同步输出日志到Syslog服务器,并实时打印,防止日志被人为删除
五、大数据管理
- 内置Netflow Agent,将Netflow信息发送至外部PC Netflow接收器,在外部PC上做查询,不影响网关工作
- 在外部PC上下载包过滤日志,用专门的软件查看、查询,不影响网关工作
- 在网关上实时监控网络流量,但不留存包过滤日志
六、日志统计分析
6.1 时效性
- 针对最近N条或最近N小时日志的统计分析,实时性强
6.2 关联性
- 显示源IP绑定的用户名
- 在线主机状态中查看流量对应的日志记录
- DNS日志统计中,显示对应的WEB记录,区分非WEB流量
- 实时监控及包过滤日志中,除时间、IP、端口、协议等信息外,还包含有流量对应的总控策略号及Pass、Deny等信息,方便调试、排查ACL
6.3 统计分类
- 来源IP:活跃用户
- 日志内容:热门应用
6.4 日志查询
- 模糊查询,支持搜索关键词SED语法表示
- 针对某一源IP,切换日志类型,快捷查询各类日志记录
6.5 上网轨迹分析
- 某一个源IP的所有日志,按时间先后顺序排列显示,每种日志只显示最近的2条
6.6 图形显示统计结果
- 饼图
- 柱状图
参考: