01极地日志审计系统技术白皮书

极地综合日志审计系统

技术白皮书

北京市海淀区上地安宁庄西路9号金泰富地大厦8层

电话：010-********

传真：010-********

客服：400-01234-18

邮编：100085

网站：https://www.wendangku.net/doc/e514016980.html,

目录

1前言 (1)

1.1 适用对象 (1)

1.2 适合产品 (1)

1.3 技术支持 (1)

2极地日志审计系统 (2)

3产品特点 (4)

3.1 统一日志监控 (4)

3.2 全面的日志采集手段 (5)

3.3 丰富的日志类型支持 (5)

3.4 灵活的部署模式 (7)

3.5 遵照合规性要求的日志审计 (7)

3.6 日志归一化分析 (8)

3.7 高性能日志采集分析与海量存储 (9)

3.8 可视化日志分析 (9)

3.9 快速响应 (9)

4产品简介 (10)

4.1 产品组成 (10)

4.2 功能列表 (10)

4.3 部署方式 (11)

4.3.1 单一部署 (11)

4.3.2 主从部署 (11)

4.3.3 混合部署 (11)

4.4 系统自身安全性保证 (12)

4.5 支持的产品 (12)

5产品功能 (14)

5.1 安全仪表盘 (14)

5.2 资产管理 (14)

5.3 实时监视 (15)

5.3.1 事件趋势分析 (15)

5.3.2 事件调查 (15)

5.3.3 事件分配 (16)

5.4 事件查询 (16)

5.5 统计分析 (16)

5.6 态势分析 (17)

5.7 告警与响应管理 (17)

5.7.1 告警查看 (17)

5.7.2 告警规则 (17)

5.8 报表管理 (18)

5.9 系统管理 (19)

5.9.1 系统配置 (19)

5.9.2 采集引擎管理 (19)

5.9.3 系统自身健康监视 (19)

5.9.4 系统日志 (19)

5.10 权限管理 (19)

6产品价值和优势 (20)

6.1 价值 (20)

6.2 优势 (20)

1前言

《极地日志审计系统使用手册》介绍了网络管理系统的操作及使用，涉及如何配置网络管理系统服务器、如何使用WEB控制台对网络设备、安全设备、主机设备、数据库、中间件、服务、链路性能、设备配置以及机房环境进行集中管理。

本手册涵盖了极地日志审计系统的全部功能的使用说明。根据用户购买的产品模块的不同，实际的操作界面可能会与本手册的描述存在差异，请以最终购买的产品模块及其界面为准。

1.1适用对象

本系统适用于系统管理员、企业网络运行维护人员及网络管理的技术支持人员。

1.2适合产品

本手册适合极地日志审计系统。

1.3技术支持

公司主页https://www.wendangku.net/doc/e514016980.html,，透过网站主页为用户及合作伙伴提供技术支持，可在任何地方，任何时间获取实时的网络安全解决方案、安全信息和各种安全资料，并提供远程的产品咨询服务。

2极地日志审计系统

当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击，也有来自于企业和组织内部的违规和泄漏。

为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM，等等。这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求：

尤其是国家信息系统等级保护制度的出台，明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

综上所述，企业和组织迫切需要一个全面的、面向企业和组织IT资源（信息系统保护环境）的、集中的安全审计平台及其系统，这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志，并进行存储、监控、审计、分析、报警、响应和报告。

JLAS借助在安全领域的长期积累，结合中国信息安全领域的特殊性，自主研制出了面向中国客户的安全日志审计平台——极地日志审计系统，真正满足了客户的安全审计需求。

极地日志审计系统作为一个统一日志监控与审计平台，能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。如果客户网络中重要网络和业务系统无法产生日志，极地日志审计系统也能够通过部署硬件采集引擎的方式主动侦测网络中的协议通讯，并转化为日志，汇集到审计中心。

极地日志审计系统能够实时地对采集到的不同类型的信息进行归一化分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故，消除了管理员在多个控制台之间来回切换的烦恼，同时提高工作效率。

极地日志审计系统能够实时采集数据流，对一段时间内的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，进而对异常流量和行为进行审计。

对于集中存储起来的海量信息，极地日志审计系统可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。

极地日志审计系统能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，实现安全审计的管理闭环。

极地日志审计系统为客户提供了丰富的报表模板，使得用户能够从各个角度对企业和组织的安全状况进行审计，并自动、定期地产生报表。用户也能够自定义报表。

3产品特点

极地日志审计系统（JLAS）系统的主要特点包括以下十个方面：

1)统一日志监控

2)全面的日志采集手段

3)丰富的日志类型支持

4)灵活的部署模式

5)遵照合规性要求的日志审计

6)日志归一化分析

7)高性能日志采集分析和海量存储

8)安全事故追溯

9)可视化日志分析

10)快速响应和协同防御

3.1统一日志监控

极地日志审计系统将企业和组织的IT资源环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来，使得用户通过单一的管理控制台对IT环境的安全信息（日志）进行统一监控。

统一安全监控给客户带来的直接收益就是态势感知。通过态势感知，客户实现对全网综合安全的总体把控。态势感知的核心客户体验是JLAS特有的安全仪表盘：每个频道包括多个监控窗口，可以显示多方面的安全信息，窗口可以缩放、可以移动换位、可以更换布局、可以调台，显示管理员想看的内容。极地日志审计系统提供丰富的频道切换器，用户可以在不同的频道间切换。同时，用户也可以自定义频道。

态势感知不是简单的信息堆积和罗列，这些信息是统一收集并归一化之后的信息，是用一种共同语言表达出来的。否则的话，不同的事件用各自的语言表达出来，意思各不相同，用户就会陷入管理的泥沼。

借助极地日志审计系统的统一日志监控，用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。与此同时，由于企业和组织的所有安全信息都汇聚到一起，使得用户可以全面掌控IT环境的安全状况，对安全威胁做出更加全面、准确的判断。

借助极地日志审计系统，用户可以进行细致深入的安全日志查询、分析、审计，出具各种审计报表报告。

3.2全面的日志采集手段

极地日志审计系统能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息，确保用户能够收集并审计所有必需的日志信息，避免出现审计漏洞。同时，极地日志审计系统尽可能地使用被审计节点自身具备的日志外发协议，尽量不在被审计节点上安装任何代理，保障被审计节点的完整性，使得对被审计节点的影响最小化。

极地日志审计系统支持通过Syslog、SNMP、、ODBC/JDBC、内部私有TCP/ UDP等网络协议进行日志采集。

针对能够产生日志，但是无法通过网络协议发送给极地日志审计系统的情形，系统为用户提供一个软件的通用采集引擎。该采集引擎能够自动将指定的日志（文件或者数据库记录）发送到审计中心。例如，针对Windows操作系统日志、Norton的防病毒日志，等等。

如果客户网络中无法采集日志，则可以在网络中部署一个硬件采集引擎设备主动的收集网络中的通讯信息，转化为日志，并传送给极地日志审计系统。例如，该硬件采集引擎可以旁路部署在数据库系统所在的交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到极地日志审计系统审计中心。

可见，极地日志审计系统中的日志已经超越了传统日志的概念，真正实现了对全网IT 资源的日志产生、收集、分析和审计。

3.3丰富的日志类型支持

极地日志审计系统能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

目前，极地日志审计系统能够审计的日志类型和内容如下表所示1：

3.4灵活的部署模式

极地日志审计系统的部署方式十分灵活，对网络环境的适应性极强，既能够支持单一的中小型网络，也支持跨区域、分级分层、物理/逻辑隔离的大规模网络。

极地日志审计系统产品分为软件形态和硬件形态两种，用户可以根据自身需要选择。

针对单一的网络，用户既可以购买软件版，也可以购买硬件版，只需要将系统以单一部署的模式安放在任何网络可达的位置即可，无需更改现有网络的任何拓扑结构。系统安装上线后，将网络中设备、应用和系统的日志发送目标地址指向审计中心即可。

针对物理/逻辑隔离的网络环境，用户可以选购具有多端口采集功能的极地日志审计系统硬件型产品。例如，针对电子政务网络中典型的内外网隔离的情况，极地日志审计系统支持两个日志采集端口，分别采集内网和外网的日志信息，并借助权限管理功能，分别进行内网和外网的日志审计。

针对跨区域、分级分层的大规模网络，极地日志审计系统支持主从式部署模式。首先，在不同的物理节点上部署多套极地日志审计系统系统；然后，借助极地日志审计系统内置的级联功能，可以实现一对多的主从式连接，即多个从极地日志审计系统系统将指定的日志和告警汇集到主极地日志审计系统系统。通过主从式部署，实现了大规模网络尤其是跨广域网环境下的日志综合审计。

最后，极地日志审计系统还支持混合部署模式。如果客户网络中无法采集日志，则可以在网络中部署一个硬件采集引擎主动收集网络中的通讯信息，转化为日志，并传送给极地日志审计系统。例如，该采集引擎采用旁路部署的方式放置在数据库系统所在的交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到极地日志审计系统管理中心。

3.5遵照合规性要求的日志审计

信息系统审计2是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。

为了建立健全内控体系，国家、行业都颁布了一系列的法律法规，从美国的SOX方案，

到国内针对电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件，以及最新颁布的《企业内部控制规范基本规范》。所有这些法律法规都直接或者间接的指出了要将日志审计作为信息系统审计的基本技术手段。此外，《信息系统安全等级化保护基本要求》也对安全审计、尤其是日志审计做出了明确的要求：《企业内部控制基本规范》的第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”

《商业银行内部控制指引》的第一百二十六条要求“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。

《银行业信息科技风险管理指引》第二十一条明确要求商业银行信息科技部门要“定期向信息科技管理委员会提交本银行信息安全评估报告”，“信息安全策略的制定应涉及合规性管理领域”。第二十七条指出“银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。”

《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能。证券公司信息系统日志应至少保存15年”。

《信息系统等级化保护基本要求》的技术要求中，从第二级开始，针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在管理要求中，“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储；从第三级开始提出了“监控管理与安全管理中心”的控制点要求。

大量的审计实践表明，日志审计是信息系统审计最基本而且必要的技术手段，也是投入产出比最高的方式。极地日志审计系统特有的基于规则的审计引擎能够为各个行业客户制定出与上述要求相一致的实时/历史审计场景。

3.6日志归一化分析

极地日志审计系统收集企业和组织中的所有安全日志和告警信息，通过归一化分析引擎，协助用户准确、快速地识别安全事故，从而及时做出响应。

日志归一化是极地日志审计系统区别于传统安全日志审计系统的关键特征。极地日志

审计系统将异构的日志变成系统可识别的统一的日志，屏蔽了不同厂商以及不同类型的产品之间的日志差异，使得日志归一化分析成为可能；而传统的日志审计系统仅针对原始日志的时间、源/目的IP地址等信息进行简单分解，其他主要内容则原封不动，全部存储在数据库中，仅仅提供普通的日志查询功能。

更加地，极地日志审计系统在进行日志归一化的同时，还保留了原始日志记录，便于将来进行具有司法证据效力的调查取证分析。

3.7高性能日志采集分析与海量存储

极地日志审计系统可以将采集来的所有日志、事件和告警信息统一存储起来，建立一个企业和组织的集中日志存储系统，实现了国家标准和法律法规中对于日志存储的强制性要求，降低了日志分散存储的管理成本，提高了日志管理的可靠性，消除了本地日志存储情况下可能被抹掉的危险，也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。

极地日志审计系统在进行数据管理的时候，对数据存储算法进行了充分优化。

极地日志审计系统提供多种日志存储策略，能够方便地进行日志备份和恢复。

3.8可视化日志分析

事件可视化是指极地日志审计系统以图形化的方式将归一化后的事件形象展示出来的过程。

3.9快速响应

极地日志审计系统在识别出安全事故后，能够自动或者用户手工的对威胁进行响应，采取安全对策，从而形成安全审计的闭环。

极地日志审计系统由于可以综合分析来自防火墙、IDS、系统日志、网络等等一系列的信息，因而能够更为精确地定位安全威胁，使得实时自动阻止攻击变得更加可行。

在发生告警后，极地日志审计系统可以通过电子邮件、SNMP Trap等方式对外发出通告；能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。

极地日志审计系统可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止正

在进行的攻击。极地日志审计系统可以与众多第三方网络设备、安全设备进行联动。例如，在发现攻击后，阻断网络交换机的端口，或者更改防火墙和入侵检测系统的安全规则，阻止攻击的扩散和恶化。极地日志审计系统支持与市场上大部分安全设备和网络设备之间的策略联动。

极地日志审计系统的响应方式包括带内响应和带外响应两种。前面提到的是带内响应，即依靠现有的网络基础设施进行响应。带外响应则可以在网络已经出现运行中断的情况下发出重要的安全事件，及时提醒管理员，使得管理员通过收到的告警进行分析和快速响应。4产品简介

4.1产品组成

极地日志审计系统产品包括管理（审计）中心和可选的采集引擎两个部分。产品采用B/S架构，管理员无需安装任何客户端软件，通过IE浏览器登录管理中心即可进行各种操作。其中，管理中心包括硬件和软件两种形态供用户选择。具体请与公司销售人员联系。

4.2功能列表

4.3部署方式

4.3.1单一部署

极地日志审计系统可应用于各种大中小型企事业单位和机构，其办公地点可能分布在许多地方，他们的业务系统需要跨越不同的局域网段来部署。典型的，将极地日志审计系统管理中心服务器放置在网管中心或者安全中心，然后对被审计对象进行必要的配置，使得他们的日志信息能够发送到管理中心。管理员通过浏览器可以从任何位置登录管理中心服务器，进行各项操作。特别地，借助极地日志审计系统硬件型产品独有的多端口采集技术，系统支持同时采集多个不同网段的日志信息。这种部署方式适用于物理或者逻辑隔离的多个网络，或者为了缩短网络中日志传输的路径、降低日志通讯的流量。

4.3.2主从部署

对于大型、全国性的、分级的网络环境，可以采用主从部署的方式，将多个极地日志审计系统管理分支统一接入到一个主极地日志审计系统管理中心。

在这种模式下，各级极地日志审计系统管理中心的部署方式与单一部署方式基本相同。管理员只需要在下级管理中心配置将本级事件信息转发给上级管理中心的策略。

4.3.3混合部署

如果客户网络中无法采集日志，则可以在网络中部署一个硬件采集引擎主动收集网络中的通讯信息，转化为日志，并传送给极地日志审计系统。

例如，用户要针对数据库系统进行日志审计，但是出于性能的考虑，无法开启数据库

自身的日志记录，同时也不能在数据库服务器上安装代理。此时，用户可以将一个硬件采集引擎采用旁路部署的方式放置在数据库系统所在的交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到极地日志审计系统。

通过极地日志审计系统与硬件采集引擎的混合部署，实现了对无法产生日志的被审计对象的安全审计，做到全面审计，避免出现审计死角。

4.4系统自身安全性保证

作为一款安全管理类产品，极地日志审计系统产品自身具备完善的安全性保证，包括：

●产品内部的各个组件之间通信都支持加密传输，例如浏览器访问管理中

心支持HTTPS、通用采集引擎（GLC）与管理中心之间采用加密压缩

协议进行传输、多级管理中心之间采用加密协议进行传输，等等，保证

网络通讯的机密性。

●产品对采集到的日志都进行了加密存储，保证数据的完整性和机密性。

●产品具备自身运行健康状态监视功能，存储的数据支持自动备份和恢

复，保证系统的可用性。

●对于硬件型产品，底层的操作系统是安全操作系统。

4.5支持的产品

极地日志审计系统具备强大的数据收集能力，支持各种主流产品，通过SNMP、Syslog、、数据库ODBC/JDBC、内部私有TCP/ UDP、文件等多种方式完成数据收集功能。下表列举了部分极地日志审计系统支持的产品：

5产品功能

以下简要说明极地日志审计系统产品各组成部分的功能。

5.1安全仪表盘

安全仪表盘为用户提供了一个从总体上把握企业和组织整体安全情况的界面。通过安全仪表盘，用户可以快速导航到极地日志审计系统的各个功能界面，可以看到当前企业和组织的整体安全等级。通过安全仪表盘，用户可以以电视墙的形式，在每个独立的窗口中看到网络不同方面的实时安全信息，例如资产信息概要统计，最近5分钟的安全事件走势，最近1天的安全日志走势，最近最严重的安全事故，等等。通过这种方式，企业和组织的管理者可以方便地进行全网的安全态势监控。

用户可以根据角色的不同来定义监控频道，也可以根据所关注的业务系统来定义监控频道，每个监控频道中的窗口布局都能够自己决定：可以是两列布局，也可以是三列或者四列布局，每个窗口中显示的摘要信息也能够自行选择。监控频道中的每个窗口都能够移动、放大、缩小，窗口中显示的统计和摘要信息都能够点击、查看明细。监控频道能够最大化显示，作为运维中心的主控界面。

5.2资产管理

设备资产是企业和组织的IT环境的核心，承载了当今绝大部分企业和组织的业务。重要的资产的安全决定了企业和组织的核心竞争力和命脉。企业安全管理的一个很重要的工作就是确保资产安全，评估和分析在遭受安全威胁的情况下资产的受影响程度，从而进行企业和组织的安全风险管理。

极地日志审计系统为用户提供了一个管理各类设备资产的资产库。所有资产（保护对象）都以树形结构（管理域、安全域）进行组织和展示，并能够以此作为权限分配的依据，实现设定某人监控某些资产的需求。

极地日志审计系统按照安全域的方式组织设备资产，提供便捷的资产添加、修改、删除、查询与统计功能，便于安全管理和系统管理人员方便地查找所需设备资产的信息。同时，对于每个资产，用户可以对其关键度进行赋值。

用户可以在资产管理界面中查看当前安全域的资产统计摘要，可以实时的了解当前设备资产的不同等级的安全事件发生情况，并随时查看事件明细。

5.3实时监视

实时监视是极地日志审计系统的核心，用户可以通过实时监视界面对来自网络中各种IT资源的日志进行集中统一的监视。

借助极地日志审计系统基于场景的行为分析技术，用户可以定义不同的实时监视场景，从不同的观察侧面对海量的日志进行准实时分析，对安全事件进行统计分析。所有的实时监视条件都以场景的方式列举出来，用户可以方便的在各种分析场景之间快速切换，就像切换电视频道一样，大大提高分析工作的效率。

极地日志审计系统内置了大量的分析场景，用户无需学习，部署好系统后即可开展审计操作。极地日志审计系统也允许用户自定义场景，并对场景进行树型结构的分类和归档。

极地日志审计系统提供了一套强大的日志实时分析与审计工具，使得用户可以便捷、高效地进行各项操作，将主要的精力从发现和查找问题转到解决问题上来。

5.3.1事件趋势分析

在实时监视过程中，用户可以对关心的事件IP地址进行趋势分析，对一段时间内的网络流量或者网络连接数进行时间切片统计，并描绘趋势曲线。

5.3.2事件调查

在实时监视中，极地日志审计系统为用户提供了一套进行深入的日志审计与追踪的工具——事件调查工具。借助JLAS独有的安全事件搜索技术，管理员通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口等进行相关性日志检索。例如，管理员通过审计某条日志记录发现某用户违规访问一个敏感的外部IP地址，那么管理员可以通过事件调查工具查找最近5分钟内访问同一个敏感外部IP的其它用户的日志记

录，从而追踪违规行为；管理员也可以查找某个日志记录中目的端口的含义，是MSN端口？还是BT端口？抑或是蠕虫端口？等等，从而快速了解当前用户的行为特征。

5.3.3事件分配

用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注，可以将该事件分配到黑白名单中。黑白名单建立了该属性的一个集合，可以被反复用于过滤器规则的制定。

5.4事件查询

事件查询为用户提供了历史日志和事件查询的手段。用户可以设定复杂的查询条件，从海量的历史事件数据库中快速检索到需要的日志/事件信息，从而协助管理员进行计算机取证分析，收集外部入侵或者内部违规的证据。

系统支持两种查询方式：普通查询和高级查询。

普通查询是指通过指定基本的查询条件及其组合进行查询的方式。用户可以指定的查询条件包括：日志类型、日志接收时间、日志等级、源/目的地址、源/目的端口、日志源设备地址、日志源设备类型、日志操作类型、日志结果类型等等。

高级查询是指基于场景的行为分析技术的查询方式。在高级查询方式下，用户可以自定义复杂的查询场景，从而随时可以调用、随时查询。系统也内置了大量的预定义查询场景。在建立查询场景的时候，系统允许用户使用任意的查询条件组合。

5.5统计分析

极地日志审计系统的统计分析是指针对一段时间内的历史事件进行统计和呈现。通过统计分析，用户可以清晰的把握过去一段时间内全网的安全态势，例如各类事件发生的情况、按IP/设备类型的严重事件排行、异常和违规事件的统计分布等等。

系统采用基于场景的行为分析技术，预定义了大量的统计场景，只需点击即刻观察到统计结果。用户也可以自定义任何需要的和复杂的统计场景。所有统计结果都以柱图、饼图等形式展示出来，并可以生成各种格式的报表导出。

5.6态势分析

极地日志审计系统能够进行日志流量的趋势分析，通过采集数据流或者防火墙的网络流量日志，对最近一段时间的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，并发现异常流量和行为。

极地日志审计系统允许用户定义不同的趋势分析场景，从不同的观察角度对来自企业和组织中的各类IP地址进行流量比较和分析。趋势分析场景的客户价值就在于每个场景都可以反复调用，省却了用户反复指定查询条件麻烦。

5.7告警与响应管理

5.7.1告警查看

告警管理为用户提供了告警列表，用户可以查看所有产生的告警信息及其明细。5.7.2告警规则

极地日志审计系统在日志分析引擎的驱动下，根据告警规则，针对来自企业和组织的海量事件进行实时分析，抽取出对于安全管理人员真正有用的安全信息，从而协助安全管理人员快速识别安全事件，进行日志审计。极地日志审计系统告警规则具有如下特性： 规则分为系统预定义规则和用户自定义规则两大类

用户在制定规则的时候，既可以设定审计的触发条件，也可以设定触发审计后的自动响应动作

修订告警规则无需重启系统或者某个模块，规则一旦被应用立即生效

规则编写支持各种运算符，还支持引用外部资源，包括过滤器、资产属性、自定义资源、黑白名单，等等

用户可以对规则触发条件设置计数。通过技术设置实现具有某些相同属性的事件的归并，从而发现某些攻击行为，例如水平端口扫描、垂直端口扫描、DoS攻击，等等。

在审计出安全事件并告警后，监控管理人员能够及时进行响应处理（发送邮件、SNMP Trap、执行程序脚本，等等）。