XLog网络日志审计系统

伴随着信息技术的飞速发展和企业信息化程度的不断提高，多业务融合的宽带网络已经成为企业正常运营的重要保障。为了确保一个稳定、安全、高效的网络运营环境，管理员不得不常常面临以下问题——如何监控用户的网络应用行为？如何跟踪网络应用资源的使用情况？如何识别网络中的异常流量和性能瓶颈？如何有效的规划和部署网络资源？

这些问题的解决依赖于管理员对网络运行详细状况的及时获取，为此，华为3Com公司推出了XLog网络日志审计系统（Network Log Audit System, XLog），可以与路由器、交换机、BAS等网络设备共同组网，根据用户要求采集不同类型的网络流量信息，并通过聚合、分析与统计，为网络管理员提供用户行为审计、流量异常监控和网络部署优化的数据基础和决策依据。

XLog是一种低成本、可扩展的网络日志信息审计与分析系统，能够与路由器、以太网交换机、BAS设备等共同组网，完成对NAT、FLOW、DIG等多种网络日志的采集、统计与分析，可以追溯网络使用行为，监视异常活动，为合理的网络规划提供重要参考。

全面的日志采集

XLog支持多种类型网络流量日志的处理，管理员可以依据组网设备的特性、网络拓扑的特点以及日志分析的目标等因素灵活选择日志采集和分析模式，实时记录稍纵即逝的网络流量信息。

NAT日志

NAT设备在网络上日益广泛的应用给安全审计带来了一些问题——NAT转换屏蔽了内网IP地址，造成用户访问外网的源IP地址丢失，给定位和审计用户不法行为（如访问非法网站）带来了困难。为此，华为3Com公司推出了NAT日志，可以通过NE系列路由器、BAS等设备记录NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端口，以及所访问的目的IP、目的端口、协议号、开始时间和结束时间等关键信息。通过XLog对NAT日志的采集、聚合和记录，管理员就可方便地跟踪用户通过NAT设备访问网络的详细情况，从而轻易的解决这类安全审计问题。

FLOW日志

FLOW日志是华为3Com公司的BAS、防火墙、计费网关等设备所产生的网络流量日志。FLOW日志记录了用户访问外部网络的流信息，包括源IP、目的IP、源端口、目的端口、流起始时间、结束时间以及出入流量等关键信息。通过XLog对FLOW日志的分析与统计，可以形成网络使用状况报表，如各部门流量统计、应用使用量统计、应用吞吐量趋势等报表，帮助管理员可以及时掌握网络的运行状态。

DIG日志

DIG日志又称为探针日志，是由探针型采集器直接从交换机的镜像端口、共享式HUB或分流器中采集的用户上网信息，并对访问网络的数据流进行分类统计和内容摘要而生成的日志记录。探针型采集器具有良好的适应性，可以应用于不支持NAT、FLOW日志生成的网络环境。利用DIG日志，XLog可以生成管理员非常关心的网络流量以及用户上网行为信息。比如，用户通过FTP下载或上传的文件名、通过浏览器访问的网站和URL名称、通过E-Mail发送的邮件主题等。

灵活的统计分析

XLog具有强大的过滤、聚合、统计与分析能力，可以在全面采集网络流量信息的基础上，为管理员提供实用、精简、完备的网络使用信息。

XLog日志分析系统具有独特的数据清理技术，通过剪裁、过滤、聚合等技术手段，有效地剔除了重复的、冗余的和细枝末节的数据，可以在确保关键信息不丢失的前提下，将庞杂、无序的各种网络日志组合成完备、紧凑的网络行为数据，最大程度地减少数据存储的空间，提高分析效率。

基于XML模板的数据分析引擎是XLog网络日志审计系统的核心技术。XLog数据分析引擎可以通过灵活定制的统计分析策略，从庞大的网络日志数据中挖掘出用户关心的统计信息，为网络管理员提供不同层面的决策支持。

按需定制的报表与审计

清晰、直观的网络行为审计和流量分析结果展示，是面向审计目标的XLog网络日志审计系统为管理员提供决策支持的重要手段。

XLog提供了灵活扩展、按需定制的报表引擎。可以通过基于XML的报表模板，根据用户统计分析的需求和目标自定义统计规则，并自动生成柱状图、饼图、曲线图等直观的统计报表。比如，访问量发展趋势图、访问频度排名表、应用吞吐量趋势图等。

XLog还可根据用户需要，通过各种组合条件对海量的网络日志进行快速分析。管理员可以从日志审计结果中准确了解终端用户的上网行为——用户何时访问了某网站？何时访问了某网页？发送了哪些Email？向外传送了哪些文件等。

可扩展的体系结构

XLog网络日志审计系统采用了易于扩展的分布式结构，由日志接收器、日志处理器、统计分析引擎、报表引擎以及配置管理台等部件组成，可以根据网络规模、网络流量、组网设备、拓扑结构采用不同的组网设计和安装配置策略，以适应不同的性能和审计目标的要求。