联创助江苏省电力公司实现日志统一管理

电力18讯：    天极网

　　1. 日志统一管理系统介绍

　　产品目标是能够及时收集被管IT系统中所有主机、网络设备、应用系统运行产生的安全事件，对收集到的安全事件信息根据严重程度、影响的范围、事件类型、数量等进行规格化和保存，具有过滤、统计等功能，并能向管理员提供对安全事件信息进行集中管理，定制规则，和告警处理功能。日志管理系统的功能由日志数据的采集、规格化和保存、分类统计、报表展示和事件查询、告警处理等功能组成。日志信息及其处理、统计的结果可以以图形、表格等丰富的表现形式进行展现。同时为了方便管理人员的管理，系统提供自管理子系统，可以方便地管理用户、机构、被管理的设备和权限等。

　　客户建立了日志统一管理系统，能通过及时收集整个IT环境中的安全事件，及时掌握整个系统范围内发生的异常行为，跟踪、分析异常行为产生的设备、影响的范围、对现有系统的影响程序，从而得到各种统计分析报表，从整体上了解系统运行的变化趋势。系统的告警子系统可以根据用户定制的不同规则，将一系列事件转换成告警，并通过IT设备状态面板直观的显示给用户。

　　2. 江苏电力公司环境介绍

　　电力公司采用的硬件运行环境包括一台PC SERVER，一台数据库服务器，一台后台日志服务器，数据库采用DB2 8.1，后台模块的操作系统采用RED HAT LINUX 企业版，具体管理的日志源设备为:

　　・主机:Windows 2000 Server、Windows XP Enterprise、Redhat Linux、IBM AIX系统;

　　・网络设备:CISCO系列的6509、12000;

　　・代理:SQUID;

　　3. 解决方案

　　在省电力公司作系统实施前准备时，用户反映，希望该系统能帮助他们解决如下问题:

　　A. 日志源设备状态管理。用户希望系统管理人员能很方便的通过客户端界面，查看到当前管理的各个设备状态信息;

　　B. 在对收到日志事件的进一步处理时，系统管理员要能对处理本身这一动作作记录，包括提交处理意见和处理完毕后的响应;

　　C. 具有处理SQUID PROXY设备日志数据的能力。SQUID设备具有每天产生海量数据的特点。对于该设备，无论是保存数据还是作条件查询，消耗的系统资源和时间都是不可忽视的。

　　针对上面提到的问题，我们在现场实施过程中，有针对性的进行了客户化改造，包括在系统客户界面弹出时提供一个设备状态列表，以供系统管理员直观的浏览系统的资源状况;对系统告警模块增加了告警处理的后续动作的改造，包括对系统的告警流程处理，对告警的查询功能，和提供及时处理告警的查询;在SQUID设备，我们提供了一个单独的数据采集和处理模块，通过对该模块性能的优化，尽可能提高系统在接受海量数据时的处理速度。

　　现在省电力公司已把这套系统上到他们的信息系统环境中，系统运行良好。