日志处理过程

日志处理过程

支持记录的日志

  • 操作审计日志

    操作审计日志

    详细的主机Bash操作日志,满足主机操作行为回溯需求,提供操作者IP,操作终端,操作用户,操作详情等关键信息。

  • 网络连接日志

    网络连接日志

    记录主机连出与被连入的日志,过滤部分无意义的Web访问与超短连接,记录主机真实网络连接变化。

  • 登录日志

    账号&登录日志

    提供登录成功、失败、登出等所有登录日志记录;同时监控账号与账号组变化,包括增加,删除,修改,密码与权限变化等。

  • 进程启动日志

    进程启动日志

    记录系统新启动进程信息,包括进程的启动时间与用户,父进程,命令行等,可还原任一进程的启动现场,重现攻击过程。

  • DNS解析日志

    DNS解析日志

    获取Web DNS解析日志,并与主机关联,通过域名与主机的关系,提供Web角度的分析日志,供Web类入侵排查使用。

  • 持续增加中…

    持续增加中…

产品特点

  • 1

    自研SQL语法,支持跨日志灵活查询,灵活便捷

    自研QSL语法,采用”字段名+连接符+查询关键字“的检索方式,具有极强的扩展性与灵活性,可跨日志查询数据,发现数据特点与安全线索

  • 2

    提供可视化工具,方便数据分析

    默认提供数据时间分布分析,并支持"时间下钻"功能,可分析任一时间段的数据分布;同时支持对日志任一字段的总数统计,分值统计等常见分析功能

  • 3

    积累大量安全查询场景,简化使用难度

    根据不同日志的特点,结合安全经验,系统提供了多种日志查询角度,可快速发现一些数据特征,方便进一步排查。查询场景也允许客户自定义,方便二次查询

  • 4

    多种数据输出方式,适配主流分析系统

    系统提供了多种安全日志的输出功能,包括API,SYSLOG,CSV文件导出等,可快速对接企业的其他数据分析平台,进行关联分析或二次开发