用户行为审计系统可支持多种网络日志的采集(包括NAT1.0、FlOW1.0、NetStream V5),对于不支持上述日志的设备,可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG1.0格式的日志。
同时用户行为审计系统采用分布式的体系结构,支持多点采集,可以同时采集多个设备的日志信息,为网络管理员监控网络提供了灵活有效的支持。
用户行为审计系统可根据用户需要,通过各种条件的组合对网络日志进行快速分析。针对不同的日志类型,管理员可以获得不同的用户行为审计信息:
NAT1.0日志:包括经过NAT转换前的源IP地址、源端口,经过NAT转换后的源IP地址、源端口,所访问的目的IP、目的端口、协议号、开始时间、结束时间、操作字等关键信息。
FLOW1.0日志:包括源IP、目的IP、源端口、目的端口、流起始时间、结束时间、操作字等关键信息。
DIG1.0日志:探针型采集器直接从交换机的镜像端口采集用户的上网信息,对用户访问外部网络的流进行分类统计,并生成探针(DIG)日志记录。
DIG1.0日志包含两种格式日志,DIGFLOW1.0和DIGEST1.0。DIGFLOW1.0日志内容为IP层数据报文信息,其中包含数据报文的流量信息和协议类型信息,而DIGEST1.0日志内容为应用层协议数据报文信息,包含数据报文的摘要信息。两种格式的DIG1.0日志在采集器进行日志采集时同时生成。利用DIG1.0日志的记录信息,可以实现对用户网络行为的监控,审查用户的访问信息、使用的应用信息等,全面审查用户的网络使用行为。
l DIGFLOW1.0日志记录包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、源端口号、目的端口号、协议类型(目前区分TCP、UDP和ICMP三种协议)、输入包个数、输出包个数、输入字节数、输出字节数;
l DIGEST1.0日志记录包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、目的端口号、摘要信息(目前支持HTTP协议、FTP协议、SMTP协议报文)。
NetStream V5日志:包括日志的开始时间、结束时间、协议类型、源IP地址、目的IP地址、服务类型、入接口、出接口、报文数、字节数、流数、总激活时间等信息。通过NetStream日志的分析,可以使网络管理员深入地了解当前数据网络中的报文所包含的各种有价值的信息,可以实现网络监控、应用监控、用户监控等功能,并为网络规划提供重要参考。
日志审计界面
通过用户行为审计系统网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果。
用户行为审计系统可支持对日志的转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存,等需要时再将日志数据导入到系统中进行审计。
日志转储功能配置界面
