1、2021/4/21用全局事件管理進行智能預警當今的企業和組織在IT信息安全領域面臨比以往更為復雜的局面。一方面，網絡中的各種網絡設備、安全設備、主機、應用和業務系統在工作中都產生了大量的安全事件和日志，卻沒有統一的進行管理，使得各個系統之間缺乏協同，整體安全無法得到保障。另一方面，企業和組織日益迫切的信息系統審計和內控、以及持續增強的業務持續性需求，也對當前日志審計提出了嚴峻的挑戰。企業和組織迫切需要一個全面的、面向企業和組織IT計算環境的、集中的安全審計平臺及其系統，這個系統能夠收集來自企業和組織計算環境中各種設備和應用的日志，并進行存儲、監控、分析、報警、響應和報告。賽諾朗基借助在安全領域

2、的長期積累，結合北京聯通分公司信息化部的特殊性，提供面向聯通客戶的安全日志審計平臺賽諾朗基，真正滿足單設備和多設備的趨勢分析和預警。賽諾朗基全局事件管理系統作為一個統一的日志監控與審計平臺，能夠實時不間斷地將企業和組織中來自不同廠商的安全設備、網絡設備、主機、操作系統、用戶業務系統的日志、警報等信息匯集到審計中心，實現全網綜合安全審計。預警的重要性性能容量操作鏈接等Gartner研究副總裁Debra Curtis表示： “許多IT機構還在依靠終端用戶通過服務臺來通知其運營故障和速度放緩等情況。然而，這使得IT處于一種被動狀態IT只能在問題已經發生后才發現并解 決這些問題。主動預防問題、預測潛在

3、問題、并在它們影響業務前加以解決，才能使IT更具效率，從而提高客戶滿意度。” 2021/4/22賽諾朗基全局管理解決方案賽諾朗基TM的通用日志解析引擎具有操作便捷、用途廣泛的特點。它無需專用數據庫、無需專用服務器、無需專門配備網絡服務器或專用開發工具。同時，它對輸入的事件或數據格式也沒有限制，可以是實時或歷史數據，可以來自于網絡設備、硬件、軟件、操作系統注冊表或文件系統。賽諾朗基TM管理套件還可以管理所有非結構化、非關系型的正文文件，解析日志，篩選數據或事件，并提取需要和關注的信息。賽諾朗基TM管理套件還能幫助您實現事故調查取證，統計各類事件，對原始數據進行加工、變換、映射等，以獲取有用的信息

4、。在這些功能的基礎上，你還可以利用管理套件實現自動報警、報表生成、可視化監控、自動工作流等控制和管理功能。這就是賽諾朗基TM的靈動安全管理，它使你能夠輕而易舉地具備上面這些能力！ 賽諾朗基解決方案的優勢2021/4/23賽諾朗基三大專利技術智能加速索引： 免數據庫，無需數據聚合和歸一化處理 使系統不會受制于集中存放日志的數據庫，因而消除了系統的性能瓶頸。 適用于結構化和非結構化數據內容 可處理無限增長的數據量 連續一致的數據 (所有動態數據產生后即成為歷史數據) 色標解析和圖形關聯： 消除對信息格式和設備種類的限制 只需用鼠標點選想要解析的字段并設置相應的解析規則 提供強大分析和多設備關聯能力

5、 無論這些信息是實時的或者歷史數據 網格型安全系統架構： 消除系統性能瓶頸，提供無限可擴展性 可以不受限制地同時處理多項數據任務 可以指定某個管理服務器專門處理一類任務或數據 部署還非常靈活，可以是集中式的，也可以是分布式的部署方式。 突出的技術特點2021/4/24運行信息的采集主動采集： 主要用于采集操作系統、業務系統、中間件和數據庫日志的統一收集和管理 ，如Windows、Linux、AIX、應用系統（包括Apache、IIS、Oracle等）被動采集： 主要用于采集設備日志，如防火墻、路由器、交換機、入侵防御等。實時數據采集： 賽諾朗基有多種方式來進行實時數據采集。它內置一個Syslo

6、g服務器，可以實時接收支持這種格式的設備日志數據。 對于那些不能自動發送日志數據的設備或系統，可以通過安裝賽諾朗基實時監測代理來收集設備的日志或事件信息。 在收集日志的過程中可以定義日志中重點關注的字段，忽略無關緊要的信息，從而把主要精力集中在那些主要問題上。 賽諾朗基提供了全面的交互環境，在篩選設計過程中，用戶可以一邊觀察實際日志文件的數據，一邊定義篩選字段和解析方式 通過這些采集器和監測代理，賽諾朗基可以保證日志跟蹤零丟失。不管是數據采集本身還是對它們的展現，即使在每秒數千行日志數據洪峰，也能從容完成。實時采集。2021/4/25單個設備的趨勢分析賽諾朗基能夠對單個設備的日志進行趨勢分析，

7、當設備出錯或系統性能下降時將執行指定的行為，可以設置單獨的警告和行為規則以提高通知能力。系統的性能日志提供了對這些性能數據進行記錄的能力。當計數器到達、高于或低于所定義的閾值時，警告將向用戶發送通告，從而在系統性能達到極限時，及時通知系統管理員采取必要的措施，有效避免可能的系統癱瘓。當某些活動（例如磁盤輸入、輸出（I/O）操作或頁面錯誤）發生時，跟蹤日志將記錄詳細的系統應用程序事件。當該事件發生時，操作系統將系統數據記錄到指定的文件中。當使用計數器日志時，經過一個更新間隔，該服務從系統中取得數據，而不是等待某一個特定的事件。通過監控系統的性能日志，對CPU、I/O、內存等性能指標設置不同的閾值

8、檢查這些硬件隨時間的狀態變化，在發生警告后，賽諾朗基可以通過發送一個或多個電子郵件、發送Net Send指令到指定的IP地址或向某個子網廣播、在管理服務器屏幕上彈出一個消息窗口、執行一個命令和程序，或者一個包含命令的批處理文件來通知管理員。用戶可以對關注的事件設置自動提示和報警。所有的提醒和報警會被記錄為系統內部日志，這樣用戶還可以像處理其它日志文件一樣處理這些事件，以建立更復雜或者多重的報警、設置行動和反應等。趨勢、波動、閾值、動態平均等。2021/4/26多設備關聯分析賽諾朗基提供了強大的關聯分析引擎。無論是單一來源的多個事件之間，還是不同設備的多個事件之間，無論是數據在線（實時事件），還

9、是離線（日志已存儲在網絡中的某個地方）。 它可以處理任意關聯目標及其組合，采用任意字段作為關鍵詞，為關聯分析提供了無限的可能性。作為關聯分析關鍵詞的字段，它的值可以具有唯一性，也可以是不唯一的。用戶還可以為關聯分析設置一個偵測窗，以指定管理分析的時間區間，符合分析條件的事件數量，以及限定事件的數量等。關聯分析的輸出結果可以按用戶的要求進行配置以便進行不同的后續處理。用戶還可以使用聚合日志工具（Join）來合并不同設備的日志到一個文件中，或通過工作流設置來定時或按需啟動合并任務。 2021/4/27多種展現方式賽諾朗基TM的數據映射功能，可以對原始數據進行加工、轉換并形成意義明確、可讀性強的管理

10、信息。相對于和枯燥、晦澀的原始數據打交道，經過映射和轉化的信息可以更好地與您的具體需求和環境相結合。這將極大地增強報告可讀性、提高報警的反應速度、更快地采取應對措施！您可以根據管理目標任意定制報告和圖表。基于同一組數據，您可以自動生成各種類型和格式（HTML或PDF）的報表，包括不同的內容、圖形（曲線圖或3D立體圖）、摘要、說明、表格、徽標、圖像和符號等等，所有這些都依您的需求而定。每當賽諾朗基TM系統運行時（例如啟動系統、構造圖形或收集日志數據等），不管是在交互模式還是在工作流模式下，系統規則模塊都會監視這些活動并與一系列預定義的觸發條件進行比對。當某一觸發條件滿足時，一個或一系列預先設置好

11、的行動就會被系統執行。管理員也可以通過設置提示來決定是否自動執行這些行動。規則還可以設置為一系列行動對應于一系列觸發條件，可完全由用戶按需求定制。規則定制內容包括監視內容，觸發條件和對應的行動。控制手段。2021/4/28自動工作流采用自動工作流，用戶就可以在早上一上班時從郵箱中獲得一份關于昨天系統運行細節的報告！用戶可以創建任務并配置一個執行時間表來完成例行的重復性日志分析工作，從容分身處理其它事務。工作流的內容可以是解析日志文件、啟動復雜的數據請求、運行實時數據采集、數據映射和轉換、執行自定義規則、使用日志文件工具甚至運行一個可執行文件！ 還可以創建數據摘要、生成報表、保存分析結果等。這些

12、內容定義好后，用戶可以同時、多次運行這些功能。用戶擁有對自動工作流功能的完全控制，還可以決定何時保留哪些中間結果。在自動工作流的交互界面中，有下列子功能模塊：應用篩選器、數據請求、數據采集項、數據庫查詢運行數據映射、觸發規則、日志工具、行動生成摘要、報表、文件工作流分支、循環等2021/4/29圖形化數據挖掘技術賽諾朗基提供的實時視圖功能實現了基于時間的圖形化關聯分析能力。通過實時視圖，用戶可以觀察到運行情況的演變過程。用戶可以選擇一個時間段或者實時跟蹤，還可以選擇不同的參數，比如一個或多個字段、元字段以及任意不同數據來源的組合。視圖的時間區間可以進行設置，還可以隨著圖形放大和縮小功能來自動進

13、行調整，以獲得最佳視覺效果。通過賽諾朗基實時視圖功能，用戶獲得了一個多維度、實時、跨設備的實時圖形監控工具。有了這個工具，用戶就能統觀全局，方便地跟蹤網絡、服務器、應用系統等各項信息科技資產的表現和運行情況。用實時視圖功能，用戶可以可視化一些抽象的系統指標，在同一時間并行觀察它們的演進和變化，并與標準或正常的變化模式、參照值等進行比較、關聯。可以采用深入細節或聚合總覽的方式來查看事件。視圖縮放功能可以使用戶方便地查看日志中一個指標的實時演變過程，并可以隨時點擊一下鼠標就獲得某個時刻該指標的數值和前后關聯信息。實時視圖能夠幫助用戶在大量相似的事件中一眼看出重要或異常的情況，及時作出進一步的調查以搞清產生的原因，以采取必要的措施。賽諾朗基視圖是基于多維度實時圖形元素的技術，能夠在一個屏幕上同時展現大量的指標和刻度值。用戶