新版個人資料保護法預計將於今年11月25日公布施行細則,無論細則內容為何,可以知道的是,企業IT部門將在尋找能符合法規遵循的嚴格要求方面面臨更沉重的壓力。而Novell推出免費版的 Sentinel Log Manager 25,可讓使用者輕鬆體驗日誌管理如何作為用戶活動的監控基礎,並能協助防禦各種新型安全威脅的必備條件外,更可在面臨舉證需求時,在企業資訊洪流中更快速且精準地提供審核資料。
日誌管理是企業用以監控惡意威脅以及符合未來新版個人資料保護法要求的有力工具,而Novell Sentinel Log Manager 25免費版的推出,可協助企業更容易投入日誌管理作業,以增進安全性與確保法規遵循。其內含預設式樣本格式,可讓使用者輕鬆、快速地製作客製化遵循報告。此外,Novell Sentinel Log Manager 25也應用了非專利式儲存技術提供智慧型資料管理功能以及更大的儲存彈性。
隨著企業的不斷發展,並持續追求改善作業效率與環境,企業納入越來越多樣性的系統或改變其IT架構,且當企業各類成員所使用的應用程式與層級系統的活動不斷增加的時候,迫使企業投入更多的心力監控管理數百萬筆IT事件,便逐漸成為企業最大負擔。
此外,面對「個人資料保護法」,企業是否能在現今複雜的IT環境與龐大的資料量中有效與精準地檢索出稽核資料做為舉證,也是企業選擇解決方案的重大考量因素之一。
Novell Sentinel Log Manager為一款全方位的軟體裝置,可利用現有的硬體投資,透過角色定義、直覺性搜尋等特色,有效且精準的控管資料存取與搜尋,協助企業主動管理風險、簡化法規遵循作業,以及降低部署及管理成本。
初識Novell Sentinel Log Manager 25免費版
Sentinel Log Manager結合提供更多服務的SUSE Linux Enterprise Server 11和Sentinel Log Manager,是一款兼具彈性與可客製化的日誌管理解決方案。
Sentinel Log Manager利用強大的Novell技術和Novell Sentinel原有的整合架構,包括安全性資訊和事件管理(SIEM),以及身份識別管理的專業知識,提供一套可同時解決日誌收集與管理問題,以及降低安全與法規遵循風險的獨特日誌管理解決方案。
Sentinel Log Manager可收集、儲存、分析和管理IT基礎架構的事件與安全記錄,除可提供企業因法規要求的鑑識證據,亦具備調查回應與主動式安全管理功能,藉以簡化法規遵循作業。
面對日趨複雜化的IT基礎架構,Novell Sentinel Log Manager運用Sentinel資料收集架構,可在跨平台、跨系統的情況下,為資料庫、作業系統、目錄、防火牆、入侵偵測/預防系統、防毒應用程式、大型主機、Web與應用程式伺服器等,提供各種資料收集器。
此外,Sentinel Log Manager不同於其他解決方案需要進入系統進行個別設定,擁有簡單易操作的日誌管理介面,提供網路瀏覽器(Web GUI)與視覺化應用程式操作介面,更支援多國語言,對於中文日誌管理及中文關鍵字搜尋等,皆足以應對。
為讓企業實際了解Novell Sentinel Log Manager的強大功能與特色,Novell現在提供60天內完整版免費試用,在試用期間內企業可以運用最高達7,500EPS的事件收集,體驗這項解決方案在日誌管理上的獨特性;60天後,只要維持在25EPS,仍然可以永久使用。
Novell Sentinel Log Manager提供Syslog UDP日誌傳輸收集,也支援TCP和TLS協定傳送,確保傳送過程更安全可靠。此外,Sentinel Log Manager可自動偵測如PIX、Linux或Solaris等不同事件來源的類型進行資料收集與彙整。
如欲使用Novell Sentinel Log Manager,請前往「http://www.novell.com/promo/slm/slm25.html」進行下載,並依照指示步驟完成安裝。 安裝完成後,請先開啟瀏覽器,並在網址列中輸入「https://你的IP位置:8443/」即可,隨後請輸入個人登記之帳號及密碼進行登入。
Sentinel Log Manager角色存取控制
在正式開始操作Sentinel Log Manager前,Sentinel Log Manager早已貼心將不同管理者角色的事件調閱權限做好定義,使用者可依照已編寫好的存取角色搜尋語法,有效且精準的控管資料存取、報告與搜尋。
在登入系統後,可以點選介面左上角的〔管理者〕,在畫面中間的主介面左邊可以看到所有不同的角色。如Unix管理員、Windows管理員及使用者等等,依序點擊不同的角色後,可在右方看見每個角色被定義可收集事件的語法設定,使用者可遵循此設定外,亦可自行設定權限,對於要管理企業內部各式各樣的角色可說是非常便捷。
靈活且最佳化的資料儲存
與一般的日誌管理系統不同的是,Novell Sentinel Log Manager可以將收集到的資料儲存在標準儲存系統上,而無需特別購買專屬的儲存解決方案。
此外,這套解決方案會自動以10:1的比例壓縮資料,大幅降低儲存所需成本。另可擴充日誌儲存於網路儲存裝置,其支援NFS、CIFS、SAN或NAS,讓企業更可靈活運用IT儲存設備的投資。
系統管理者透過簡易的操作介面,自行設定日誌保留原則,有效管理儲存空間。首先在介面左上角點選〔儲存〕,在介面中間依序點選以及設定如儲存位置(NFS、CIFS或SAN等等),再來便是設定日誌收集資料達多少儲存空間百分比後,進行資料刪除及停止事件收集等,以確保系統儲存空間不會因為空間不足而造成系統無法運作。
直覺式搜尋
Novell Sentinel Log Manager搜尋日誌方式相當簡單,使用邏輯就如同使用Google搜尋資料(全文檢索),在搜尋列直接輸入欲查詢的事件關鍵字即可,如以下畫面中欲查詢系統當中login事件,直接在搜尋列中輸入「login」即可查出系統中所有相關事件。
另一個貼心的設計在於畫面左邊的聚合(Aggregation)欄位,將事件依不同屬性再進行細部篩選,而Taxonomy Level3可將此事件的行為再細分為login及login failure,方便使用者進一步定義出想查詢的相關事件。
進階篩選機制
使用者輸入事件查詢的關鍵字後,便可透過Novell Sentinel Log Manager所設計的聚合欄位快速將搜尋結果進行進階篩選。
在左方的聚合欄位所分類的項目非常之多,可以提供使用者更為精準地鎖定欲查詢的範圍,例如查詢事件相關的使用者、主機或是Taxonomy層級分類等。
在聚合欄位裡點選〔使用者(InitUserName)〕後,可以看見所收集到的使用者種類及個別的相關事件數,在此範例分別有系統(system)、未知名登入(ANONYMOUS LOGON)、管理員(administrator)及服務。
而在不同的欄位選項裡亦可查詢到已分類好的資訊,如〔主機名稱(InitHostName)〕裡可以看到系統中所搜集的所有主機清單以及其各別事件數目。
利用聚合分類功能直接設定下次的搜尋目標
除了自行輸入關鍵字作為事件搜尋基礎外,使用者亦可利用聚合欄位的分類直接設定搜尋目標,如下圖所示,可先在〔事件名稱(EventName)〕裡勾選「traffic-allowed」,然後點選〔新增至搜尋〕,便會在搜尋列中出現其搜尋語法。
依照以上敘述方式,使用者可進行更多分類篩選,並可設定為固定模式以方便下次相同事件稽核時,立即調閱資料。
此外,除單一篩選外,亦可以「and」進行多條件的搜尋。當搜尋列裡呈現事件及鎖定主機的搜尋語法為(evt:”traffic\-allowed”)AND(shn:”192.168.200.2”),搜尋出的事件便是兩個類別加總的結果。
快速製作所需的報表
Novell Sentinel Log Manager採用資料索引及單鍵報告兩種方法,大幅簡化用於稽核與法規遵循作業的報告產生程序。
使用以Lucene為基礎的強大搜尋引擎,使用者只要輸入所需報告的準則,Novell Sentinel Log Manager就會回傳一份足以滿足許多基本法規遵循和稽核需求的簡易結果清單。
而第二種方法便是透過Novell Sentinel Log Manager的單擊報告功能,可以立即將搜尋報告轉換成為正式的報告簡報,以顯示最常見的法規遵循以及稽核報告所需要的特定欄位和參數。使用者也可以客製化或是建立專屬於自己的格式化範本。
在確定事件查詢結果為所需的稽核資料後,使用者便可開始製作報表,首先點選「另存查詢」中的「另存為報表」,接著會跳出一個報表設定視窗。
接著在視窗中設定報表類型,可選擇視覺化選項以圖形化呈現報告,並可在檢視樣本中選擇欲呈現的結果分析模式,依序輸入報告名稱及各欄位後按下〔儲存〕即可。
下一步則是執行儲存好的報告,報告將會製作成PDF檔案,以便呈交。
Novell Sentinel Log Manager架構
Novell Sentinel Log Manager利用Novell Sentinel原有的資料收集技術建置,因此Sentinel Log Manager是一個具備彈性的獨立日誌管理解決方案,更可以整合Novell Sentinel的即時功能,並可透過名為Sentinel Link的技術從其資料收集來源中轉送至其事件。
由於Sentinel Log Manager建置在可調整的架構上,所以能夠符合大部分服務相關需求。為確保不同的服務之間能安全地進行通訊,因此Sentinel Log Manager以預設的方式將所有透過網路傳輸的所有通訊全部加密。
Novell Sentinel Log Manager採用與Novell Sentinel相同的訊息匯流排結構。訊息匯流排是以Active MQ Java Message Service(JMS)結構為基礎,能協助所有Sentinel Log Manager元件之間的通訊,以及與Novell Sentinel和其他能夠處理訊息匯流排通訊之其他解決方案(如Novell Identity Manager)的通訊。
訊息匯流排結構的設計,是讓Novell Sentinel Log Manager成為高度可調整系統的關鍵。此設計讓組織能夠調整單一裝置之外的解決方案(也就是Collection Managers)元件,並在多個分散的伺服器上獨立執行這些元件,不需要複製整個系統,也不必新增資料庫授權和昂貴的硬體。
當大量的資料穿梭在複雜的IT架構內,Novell Sentinel Log Manager能協助企業更清楚地掌握資料動向,為企業內部的日誌提供最完善的保存方式,並為日後可能的法律稽核做好準備。此外,在面對外部網路威脅所可能引發的資料外洩等疑慮,亦可以達到即時監控與提供分析機制。
例如Novell Sentinel Log Manager提供集中式的事件來源管理架構,有助於資料來源的整合。此架構讓資料收集器能在多種系統中進行各方面的設定、部署、管理與監控,以便讓組織能夠管理、監控Novell Sentinel Log Manager及其事件來源之間的相互關連性。
面對新版個資法的到來,以及IT架構日趨複雜化,一套效能強大的日誌管理系統便可以讓企業更加從容地來解決問題,而擁有強效搜尋功能及跨平台支援能力的Novell Sentinel Log Manager,便可以協助企業輕鬆應付新法規以及資料管理所帶來的難題。
學習參考資料
‧ Download site:
http://www.novell.com/promo/slm/slm25.html
‧ White Paper:
http://www.novell.net.tw/Solution/ISM/LM_whitepaper_ch.pdf
‧ Product information:
http://www.novell.com/products/sentinel-log-manager/
‧ Demo Video:
http://www.dlinktw.com.tw/Partner/NovellCampaign/
‧ Press release:
http://www.novell.com/news/press/2011/2/novell-offers-free-version-of-sentinel-log-manager.html