日志分析管理系统.ppt

快客日志分析管理系统快客日志分析管理系统 Date Log Manager System交流提纲交流提纲日志管理面临的问题分析日志管理面临的问题分析 Quark DLM Quark DLM系统介绍系统介绍日志管理面临的问题分析日志管理面临的问题分析n 伴随着信息技术的飞速发展和企业信息化程度的不断提高，多业务融合的宽带网络已经成为企业正常运营的重要保障。为了确保一个稳定、安全、高效的网络运营环境，管理员不得不常常面临以下问题n如何实时监控网络的异常状态？如何实时监控网络的异常状态？n如何跟踪网络应用资源的使用情况？如何跟踪网络应用资源的使用情况？n如何实现对众多设备、主机日志信息的集中分析和管理如何实现对众多设备、主机日志信息的集中分析和管理n不同日志格式的兼容问题？不同日志格式的兼容问题？n海量日志的有效提取、分析？海量日志的有效提取、分析？n如何有效的规划和部署网络资源？如何有效的规划和部署网络资源？n网管的困惑网管的困惑：问题的解决过于依赖于管理员，需要手动提取信息、人工逐项排查，缺少一个集中、统一、高效日志信息管理和展示平台。n系统定位n系统功能n系统特色n系统组成及部署n系统部署效果分析n系统兼容性列表DLM系统介绍系统介绍 DLM系统是定位于为用户提供一个集中统一的日志综合管理平台，实现对多种网络设备、安全设备、主机设备以及其他应用系统的日志集中搜集、分析与展现。实现对整个网络系统的基于物理拓扑的日志监控、分析与审计，以便管理员实现对网络平台和面向应用的“事前”管理、“事中”监控和“事后”分析。 系统实现了跨厂商、跨平台、跨区域的统一日志分析与审计，为用户提供面向对象的综合网络资源统一管理平台，对网络系统中的网络设备和安全设备进行全面监控和实时告警，确保整体系统的正常运行。系统定位系统定位 n拓扑管理拓扑管理 基于物理结构的拓扑管理，能够直观展示用户物理网络拓扑状况。 n设备管理设备管理 支持对多厂家、多类型的设备管理，可对网络设备、安全设备、主机设备等进行集中统一管理 。 n设备日志管理设备日志管理 基于Syslog标准协议的日志综合分析和集中管理，能够实现对不同设备、主机、用系统的日志综合分析和集中展现。n报警管理报警管理 实现对报警信息的灵活配置和管理，同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理n统计、报表管理统计、报表管理 基于设备、报警类别、日期等因素进行组合统计和报表，为管理人员提供直观的统计信息和报表信息 系统功能系统功能物理网络拓扑结构展示物理网络拓扑结构展示系统功能系统功能-拓扑管理拓扑管理在网络拓扑中进行设备运行状态管理在网络拓扑中进行设备运行状态管理系统功能系统功能-拓扑管理拓扑管理拓扑编辑拓扑编辑系统功能系统功能-拓扑管理拓扑管理系统功能系统功能-设备管理设备管理nA、设备类别、设备类别nB、设备类型、设备类型nC、新增设备、新增设备系统功能系统功能-设备日志管理设备日志管理日志设置的两种方式：日志设置的两种方式：A、日志类别：依据厂家和设备类型进行分类、日志类别：依据厂家和设备类型进行分类B、日志类型：依据日志信息的类型进行分类、日志类型：依据日志信息的类型进行分类开放的用户自定义接口，具有良好的扩展性，能够与众多设备、开放的用户自定义接口，具有良好的扩展性，能够与众多设备、主机、应用系统的日志信息进行有效管理主机、应用系统的日志信息进行有效管理日志管理：日志管理：A、实时日志管理、实时日志管理B、历史日志管理、历史日志管理C、日志关联分析，关联日志综合分析、日志关联分析，关联日志综合分析D、处理日志、处理日志系统功能系统功能-设备日志管理设备日志管理报警配置：报警配置：A、报警级别，级别可由用户自行灵活定义、报警级别，级别可由用户自行灵活定义B、报警方式，提供声音、消息、邮件和短信报警功能、报警方式，提供声音、消息、邮件和短信报警功能系统功能系统功能-报警管理报警管理报警配置：报警配置：报警规则配置，支持多个级报警规则配置，支持多个级别、别、4种报警方式，同时提供种报警方式，同时提供报警阀值配置功能报警阀值配置功能系统功能系统功能-报警管理报警管理报警配置：报警配置：报警策略应用，应用到报警策略应用，应用到特定的设备上。特定的设备上。系统功能系统功能-报警管理报警管理报警管理报警管理提供对实时报警和历史报警信息的查看和管理提供对实时报警和历史报警信息的查看和管理A、实时报警管理、实时报警管理B、历史报警管理、历史报警管理C、报警故障管理、报警故障管理系统功能系统功能-报警管理报警管理报警管理报警管理历史报警管理历史报警管理系统功能系统功能-报警管理报警管理 故障管理故障管理将已知报警信息，由于某种原因暂时无法处理，为了避免由于将已知报警信息，由于某种原因暂时无法处理，为了避免由于不断产生告警而影响管理，对报警升级故障进行管理，不影响告警日志接收。不断产生告警而影响管理，对报警升级故障进行管理，不影响告警日志接收。系统功能系统功能-报警管理报警管理统计报表：统计报表：可提供对实时数据统计排名和历史数据的统计报表实时数据统计排名：实时数据统计排名：基于设备日志排序和日志类型排序报表打印和多种格式导出报表打印和多种格式导出系统功能系统功能-报警管理报警管理系统特色系统特色 综合上面分析DLM系统具有如下功能特色： 部署灵活、管理简单部署灵活、管理简单 全面的日志信息采集与管理全面的日志信息采集与管理 灵活的日志信息统计与分析灵活的日志信息统计与分析 灵活的扩展性灵活的扩展性 丰富的报表功能丰富的报表功能 管理界面友好管理界面友好DLM系统主要由以下四个部分组成（部署方式灵活，可以根据网络规模、网络流量、组网设备、拓扑结构采用不同的组网设计和安装配置策略，以适应不同的性能和审计目标的要求。） 日志接收代理日志接收代理 收集网络中各种运行设备的日志信息，过滤后发送给过滤分析中心处理。日志接收代理是日志审计系统的触角，日志审计系统主要通过日志接收代理收集各类网络设备发送来的系统日志信息。 过滤分析中心过滤分析中心 接收日志代理转发的日志信息，经过统计分析引擎处理后，集中保存在日志数据库，通过系统管理平台将分析结果呈现给用户。 日志数据库日志数据库 保存各种日志信息、系统配置信息。 系统管理平台系统管理平台 提供给用户一个方便、直观的管理接口。通过管理器用户可以查看日志、报表等各种信息结果。系统组成及部署方式系统组成及部署方式系统组成及部署方式系统组成及部署方式 统部署方式采用旁路接入方式，系统部署不改变现有网络拓扑结构，只要网络可达，即可方便部署。系统部署效果系统部署效果 通过部署DLM能够为用户带来如下直观效果：日志管理系统是网管系统的一个更好补充；日志管理系统提供网络设备故障告警功能，及时提醒网络管理员故障发生点；日志管理系统大大提高了网络管理人员的工作效率；日志管理系统能够长期保存历史信息，提供了事件的取证功能；日志管理系统提供多种报表分析功能。系统部署效果系统部署效果DLM用户实际应用效果展示-APR攻击：系统部署效果系统部署效果DLM用户实际应用效果展示设备接口异常：系统部署效果系统部署效果DLM用户实际应用效果展示设备硬件异常：系统部署效果系统部署效果DLM用户实际应用效果展示用户登录配置信息：兼容设备列表兼容设备列表 ： Cisco全系列； 华为全系列，包括NE16等中高端路由/交换设备； JUNIPER、天融信、安智等安全设备； 锐捷全系列； Windows平台、Linux平台等常见操作系统日志 任何提供标准Syslog日志的防火墙、路由器、交换机或其他设备，客户只需提供该设备的日志样本，即可加入本系统； Snmp trap(SNMP 陷阱)：某种入口，到达该入口会使SNMP被管设备主动通知SNMP管理器，而不是等待SNMP管理器的再次轮询。 同时雄智伟业提供定制开发，以满足对其他各种操作系统日志、应用系统日志以及其同时雄智伟业提供定制开发，以满足对其他各种操作系统日志、应用系统日志以及其他系统日志的集中管理与分析。他系统日志的集中管理与分析。