第1章日志基本知识1

1.1日志概述1

1.1.1日志设备产生的原因1

1.1.2日志管理设备的定义2

1.1.3日志的作用3

1.2日志审计5

1.2.1信息系统审计概念5
1.2.2日志审计概念7
1.2.3日志审计法律法规9
1.2.4日志审计面临挑战11

1.3日志收集与分析系统11

1.3.1日志收集与分析系统介绍11
1.3.2系统功能13
1.3.3日志旁路部署17
1.3.4日志全生命周期管理17
1.3.5合规性要求19
思考题21

第2章日志收集22

2.1概述22

2.2收集对象22

2.2.1操作系统22
2.2.2网络设备25
2.2.3安全设备26
2.2.4应用系统27
2.2.5数据库27

2.3收集方式29

2.3.1Syslog29

2.3.2SNMPTrap30
2.3.3JDBC/ODBC32
2.3.4FTP37
2.3.5文本38
2.3.6WebService39
2.3.7第三方系统39

2.4日志收集器39

思考题41

第3章事件归一化42

3.1事件过滤42

3.1.1事件过滤介绍42
3.1.2事件过滤使用的方法43

3.2归一化的原因46

3.3归一化的方法及效果47

3.3.1归一化的方法47
3.3.2归一化的效果54
思考题56

第4章日志存储57

4.1概述57

4.2日志存储策略57

4.2.1日志存储格式57
4.2.2关系数据库存储策略58
4.2.3键值数据库存储策略60
4.2.4Hadoop分布式存储策略63

4.3存储方式66

4.3.1在线存储66
4.3.2近线存储68
4.3.3离线存储70
4.3.4日志存储的实际应用72
思考题73

第5章关联分析74

5.1概述74

5.2实时关联分析75

5.3事件关联方式76

5.3.1递归关联76
5.3.2统计关联77
5.3.3时序关联79
5.3.4跨设备事件关联80

5.4告警响应80

5.4.1告警响应介绍80
5.4.2告警方式81
5.4.3响应方式82

5.4.4告警查询85

5.5实时统计分析86

5.5.1事件全球定位系统86
5.5.2动态雷达图86
5.5.3事件行为分析87
5.5.4主动事件图88
思考题89

第6章查询与报表90

6.1概述90

6.2事件查询90

6.2.1普通条件查询90
6.2.2模糊查询91
6.2.3查询场景92
6.2.4查询任务93

6.3日志报表的分类93

6.3.1报表概述93
6.3.2预定义报表93
6.3.3自定义审计报表94
6.3.4中间表98
思考题100

第7章典型案例101

7.1高校日志审计解决方案101

7.1.1背景及需求101
7.1.2解决方案及分析102

7.2金融行业日志审计解决方案104

7.2.1背景及需求104
7.2.2解决方案及分析106

7.3航空公司日志审计解决方案109

7.3.1背景及需求109

7.3.2解决方案及分析110

7.4政府日志审计解决方案112

7.4.1背景及需求112

7.4.2解决方案及分析113

7.5日志的高级应用：如何通过日志溯源114

7.5.1某企业的撞库事件分析114
7.5.2某企业短信平台事件分析116
思考题117

附录A英文缩略语118

参考文献121