防火墻日志分析系統的設計與實現

0 引言 一般而言，防火墻設備都有日志記錄的功能。這些數量龐大的日志既記錄沒備運行的一般狀態，也記錄了違背安全規則等信息。很明顯，如果能及時準確分析這些信息，可以對設備運行狀態及網絡安全狀況有清晰的認識，進而實現安全審計及入侵檢測等應用。要實現這個目標需要解決幾個問題，第一個問題是把日志及時從防火墻設備中導出，因為設備里面的存儲空間有限，所存儲的日志如果不及時導出。就會被新日志覆蓋。第二個問題是自動對日志進行處理，例如預處理，統計，或者進行挖掘。如果僅靠手工進行日志分析，效率是非常低下的。最后還需要把處理結果進行存儲，并提供一個良好的接口供用戶查詢。本文以思科防火墻設備ASA5505生成的日志為例，根據其日志的格式特點，給出了預處理，統計分析，處理結果存儲及用戶查詢界面設計等一系列流程。最后還給出了一個基于后臺程序進行日志數據處理及以B／S模式提供數據查詢的日志分析系統的設計和實現方法。