该文档介绍了赛诺朗基的全球事件管理方案，强调了日志分析的重要性及其在安全管理和问题诊断中的应用。文档详细阐述了专利的STIM技术及其优势，涵盖了系统部署方式和客户支持服务。整体突出其高效性、灵活性以及兼容性，适用于各种设备和数据格式。

1. 机密资料 – 第 页 – 赛诺朗基 版权所有 全局事件管理方案 赛诺朗基 · 中国 —— 构建信息系统参谋部和司令部

2. 议程 什么是日志？ 从日志分析到全局事件管理 核心技术及优势 快捷高效的系统部署 案例分析 公司简介 机密资料 – 第 页 – 赛诺朗基 版权所有

3. 议程 什么是日志？ 从日志分析到全局事件管理 核心技术及优势 快捷高效的系统部署 案例分析 公司简介 机密资料 – 第 页 – 赛诺朗基 版权所有

4. 关于日志 日志内容 (What) 审计或稽核记录 交易或进程记录 入侵记录 连接记录 系统性能记录 用户操作记录 各种报警和提示记录 … 日志来源 (From) 防火墙 / 入侵防御 路由器 / 交换机 漏洞检测 服务器、 PC 、主机 存储设备、打印机 业务应用程序 数据库 防病毒 虚拟专用网 VPN 门禁、监控 VOIP ，视频，即时消息 … 机密资料 – 第 页 – 赛诺朗基 版权所有

5. 通过日志分析能获得什么？ 发现威胁和预警 查找事故原因和提出解决方法 取证、调查、数字证据勘察 自动进行审计、稽核，生成合规报告 检查实际操作是否符合内部流程和规范 信息系统和网络的疑难排查、问题定位 系统和网络性能管理 在日常运行维护的工作中： 识别安全隐患 识别违规事件或操作 识别欺骗性操作 识别运行问题 监测系统性能异常 数字证据分析 建立管理基线 发现运行负载趋势 机密资料 – 第 页 – 赛诺朗基 版权所有

6. 议程 什么是日志？ 从日志分析到全局事件管理 核心技术及优势 快捷高效的系统部署 案例分析 公司简介 机密资料 – 第 页 – 赛诺朗基 版权所有

7. 不同的工具 各式各样的界面 多个控制台 不同的展现方式 不同的配置 各种不同的技能要求 多个信息来源 费时费力 毫无关联 机密资料 – 第 页 – 赛诺朗基 版权所有 目前的处境 本地策略 静态策略 互不相关的设备 没有依赖关系 不同的内容、功能 不同的格式 海量数据 CheckPoint Eventia Analyzer - Reporter NetApp Content Reporter Blue Coat Reporter CiscoWorks Crystal Report Microsoft Operation Manager 低效率、低效能 主机 防火墙 入侵防御 数据库 应用程序 目录服务 防病毒 怎么造成的 ? 是否正常 ? 我现在需要作什么决策 ? 什么时候发生的 ? 发生了什么 ? 持续多长时间 ? 为什么会发生 ? 有多少次 ? 谁造成的 ? 网络设备

8. 构建参谋部和司令部 机密资料 – 第 页 – 赛诺朗基 版权所有 专 项 设 备 和 应 用 自动收集数据 信息集中管理 多设备、多事件 关联分析 实时发现问题 自动报警和反应 处 理 功 能 应 用 场 景 问题诊断 网络安全 管理 …… 参见应用场景文档 性能监控 操作规范 监控 系统使用 分析 防垃圾 邮件 访问 控制 入侵 防御 音频 视频 内容 过滤 漏洞 管理 专用 设备 路由器 交换机 服务器 门禁 存储 VPN 邮件 防火墙 防病毒 打印机 数据库 网站 防窃 应用

9. 全局事件管理的范围 机密资料 – 第 页 – 赛诺朗基 版权所有 管理时间点 处理深度 历史 实时 浅 深 SEM SIM GEM 全局事件管理

10. 系统逻辑结构 机密资料 – 第 页 – 赛诺朗基 版权所有 工作流 采集 Syslog 、正文文件、数据库、加密日志 知识库 可快捷完成源数据到展示的操作 自定义筛选信息、多来源事件关联实时与历史关联 数据映射、摘要汇总与统计，设置条件 / 操作 自动生成报告图表，实时关联监控、报警和反应 采集归档 筛选关联 整理归纳 报表和操控 端到端工作流引擎，自动执行您的指令 模板化知识库，可修改、可定制

11. 功能模块 机密资料 – 第 页 – 赛诺朗基 版权所有 系统 用户 管理 系统 工况 检视 系统 部件 配置 自 定 义 工 作 流 模 板 化 知 识 库 正文文件 Syslog 数据库 Ethereal OPSEC LEA SECagent SNMP TRAP 信 息 源 抽取 整理 采 集 处 理 采集 拆分 合并 压缩 解压 鉴证 加解密 密封 归 档 数据映射 摘要汇总 整 理 归 纳 触发规则 定时排期 对应行动 报表 / 报告 实时图示 报 表 与 操 控 提醒 / 报警 筛选 关联 联合 解析 转换 筛 选 关 联

12. 一个工具 一种界面 一个控制台 一套配置 自动报警 自动报表生成 自动执行指令 标准展现方式 多设备关联 机密资料 – 第 页 – 赛诺朗基 版权所有 全局管理的效果 收集 – 过滤 – 储存 – 发送 – 展现 分析 – 调查 – 关联 – 绑定 报警 – 报表 – 显示 – 采取措施 本地策略 静态策略 互不相关的设备 没有依赖关系 不同的内容、功能 不同的格式 海量数据 怎么造成的 ? 是否正常 ? 我现在需要作什么决策 ? 什么时候发生的 ? 发生了什么 ? 持续多长时间 ? 为什么会发生 ? 有多少次 ? 谁造成的 ? 主机 防火墙 入侵防御 数据库 应用程序 目录服务 防病毒 网络设备

13. 满足用户多方面的需求 机密资料 – 第 页 – 赛诺朗基 版权所有 对运行事件进行整理 自动生成行业或政府的合规报告 核查 IT 和业务治理规范的执行 自动生成报警、监控、报表 对实时事件进行监管和处理 运行管理工作流程自动化 持续的安全控制策略管理 对多种类型的设备事件进行关联 快速、高效地进行事故调查取证 对威胁及风险进行量化管理 对配置变动和操作行为进行管理 各类数据的一致性和变动管理 作为应用系统数据网关 对系统运行质量进行量化和持续管理 及时和自动进行问题分析及诊断 自动触发事故应急预案

14. 机密资料 – 第 页 – 赛诺朗基 版权所有 符合多种合规要求

15. 议程 什么是日志？ 从日志分析到全局事件管理 核心技术及优势 快捷高效的系统部署 案例分析 公司简介 机密资料 – 第 页 – 赛诺朗基 版权所有

16. 机密资料 – 第 页 – 赛诺朗基 版权所有 免数据库 全球首创的专利技术 全局事件管理 STIM 专利加速索引技术 可视化解析引擎 性能随硬件透明提升 基于文件和流程的协作 自动工作流 实时和历史数据同步处理 网格计算架构

17. 免数据库的智能索引技术（ STIM ） 机密资料 – 第 页 – 赛诺朗基 版权所有 数据库特性， A.C.I.D. （原子性、一致性、隔离性、持久性） 存储动态数据 结构化数据内容 有限的历史数据时限 日志的特性 日志就是踪迹，代表已经发生的事情 静态数据和踪迹又有所区别 STIM 仿“戴森吸尘器”的原理 气旋 ( 免滤网 ) STIM 专利加速索引 ( 免数据库 ) STIM = 基于智能文件的加速索引技术 连续一致的数据 ( 所有动态数据产生后即成为历史数据 ) 适用于结构化和非结构化数据内容 可处理无限增长的数据量 有关戴森吸尘器： http://www.chinese.dyson.cn/

18. 机密资料 – 第 页 – 赛诺朗基 版权所有 专利 STIM 技术的好处 适用范围更广 支持所有设备类型 支持所有数据格式 独一无二的日志解析能力和易用性 无数据容量封顶等限制 可与隐身环境集成 无数据保存时间的限制 功能更强劲 没有系统瓶颈 业界领先的事件调查和分析能力 可支持实时、按需及批处理等方式 处理速度和性能大幅提升 可处理每日产生的海量数据 可同时处理历史数据 无与伦比的灵活性及功能完备性 无限的数据绑定能力 可随时启动数据归档及恢复，并在此过程中照常提供系统服务 无需另设的备份 / 复原方案 归档和恢复数据时与对应的系统配置自动兼容

19. 机密资料 – 第 页 – 赛诺朗基 版权所有 专利 STIM 技术的好处 系统资源利用更高效 无需磁盘冗余容量要求 易于扩展的软件架构 无需加配数据库 可节省大容量数据的处理时间 避免因使用数据库带来的诸多系统硬性要求（如磁盘、内存、版本等） 操作和部署更简捷 与您的 NAS 或 SAN 数据全面兼容 无需任何附加软件 可自由选择数据存放地点 自由选择数据存储设备 无特定运行平台要求 无需其它第三方软件授权和维护费用 不局限于特定 SQL 数据库 不局限于特定操作系统 无需把设备和数据收集直连 无需二次开发工具 无需对各种日志进行归一化处理 无需对各种日志进行聚合处理（可分布式存放） 可独立于其它 IT 部门单独运行，减少协作难度

20. 机密资料 – 第 页 – 赛诺朗基 版权所有 专利 STIM 技术的好处 运行维护更完备 日志格式更改不用对已有存贮的数据作变更 无原始日志保存时间的限制 保持原始日志完整性 全面支持各种合规要求 易于实现各种高可用性配置 减轻管理员工作量和对意外的担心 可与第三方应用软件进行双向协作 可避免日志数据丢失（而数据库损坏则没有可导入备份）

21. 网格式计算架构 机密资料 – 第 页 – 赛诺朗基 版权所有 结果 结果 结果 结果 结果 结果 数据 文件 数据 文件 数据 数据 新事件 新事件 元事件 历史事件 收集端 收集端 收集端 收集端 收集端 收集端 管理端 管理端 管理端 管理端 管理端 管理端

22. 网格式计算架构（续） 机密资料 – 第 页 – 赛诺朗基 版权所有 结果 结果 结果 结果 结果 结果 数据 文件 数据 文件 数据 数据 新事件 新事件 元事件 历史事件 专用于 专用于 专用于 管理端 管理端 管理端 管理端 管理端 管理端 收集端 收集端 收集端 收集端 收集端 收集端

23. 出类拔萃的技术结晶 一套工具即可适用于所有事件的管理 可管理任何种类的事件 安全事件 网络事件 系统事件 应用事件 ... 无论它们按什么格式生成 国际标准、系统特定或自主定义 单行，多行或混杂可变行数 无论按什么方式处理 实时、按需或批量定时 无论它们何时发生 刚刚发生或很久以前 无论需要在何时处理 立即 , 稍后或定时 无论数据量多大 少量 , 海量或无限 机密资料 – 第 页 – 赛诺朗基 版权所有

24. 可支持的设备 事实上，没有一个支持设备列表 因为所有设备都可通过本系统来管理 只要是基于文本的文件，均可进行处理 还可处理下列非文本方式： 数据库事件 Ethereal 类网关专用 (.cap, .enc) 机密资料 – 第 页 – 赛诺朗基 版权所有 Snort Blue Coat Apache Check Point Juniper Arkoon Fortinet Squid Aladdin

25. 引人注目的优势 机密资料 – 第 页 – 赛诺朗基 版权所有 业界第一个且仅有的无需数据库解决方案 STIM (SECNOLOGY 加速索引方法 ) 长达 5 年的技术攻关及产品研发 60 多个理由让你对 STIM 替代数据库方案怦然心动 业界第一个且仅有的可视化解析引擎 可支持所有格式 出类拔萃的事件可视性 无与伦比的及时性和设备无关性 不再需要任何二次开发工具 业界第一个且仅有的历史数据并行处理解决方案 并行处理所有在 3 个月前发生的数据 更好地比对正常和异常情况 发现规律，获取更多知识和经验

26. 引人注目的优势（续） 机密资料 – 第 页 – 赛诺朗基 版权所有 目前唯一做到对运行硬件要求极低的方案 可在一台戴尔 Dimension 521 上达到每天处理 100 GB 数据量 (Intel® Pentium® 4 with 2.2 Ghz / 2 GB RAM /7,200 rpm) 可在一台戴尔 PowerEdge 6850 SAS 上达到每天处理 400 GB 数据量 (Intel® Xeon® with 3.6 Ghz / 8 GB RAM /15,000 rpm) 目前唯一无性能瓶颈的方案，可随硬件性能的提高，透明同步地提高性能 目前唯一能够一经安装即产生处理结果的方案，无需复杂的初始化和系统自学习之类等待过程 而整个安装过程您只需 60 秒

27. 机密资料 – 第 页 – 赛诺朗基 版权所有 简易，灵活的产品价格组成 管理端 + 2 个实时处理选件 与用户预算模型完美匹配 按数据量设置软件许可，一次花费永久使用 按每年需要解析的事件数量计算 按业务需要的多少支付相应的费用，公平合理 从较低的起点门槛一直到海量处理能力 按业务规模扩张随时升级处理能力并只用支付升级部分的费用 只要购买许可升级即可实现平滑升级 您已经购买的处理能力将不会失效 当年未用完的处理能力自动滚入下一年的处理额度中 所有功能均包含在产品中，无其它隐性花费 定价模式

28. 机密资料 – 第 页 – 赛诺朗基 版权所有 支持与服务 01/13/10 无时不在 广博知识 专业技能 服务接待中心 网站在线支持 现场服务支持 技术支持中心 7 X 24 小时在线

29. 机密资料 – 第 页 – 赛诺朗基 版权所有 技术协助框架 本地语言支持的 服务请求 Call 本地化支持 全球支持体系 通过电话、邮件、网站提供支持和支持升级 代理商一线支持 专家 技术实验室 知识库 最终用户 EMEA Americas APAC

30. 议程 什么是日志？ 从日志分析到全局事件管理 核心技术及优势 快捷高效的系统部署 案例分析 公司简介 机密资料 – 第 页 – 赛诺朗基 版权所有

31. 系统部署方式 机密资料 – 第 页 – 赛诺朗基 版权所有 SECmanage SECcollect ( 可选 ) SECagent ( 可选 ) 分布式 收集端 设备 设备 主机 Manager 管理端 收集端 主机 收集端 管理端 代理 整体集中式 收集端 管理端 主机 设备 设备 主机

32. 传统的部署模式 机密资料 – 第 页 – 赛诺朗基 版权所有 收集端 Host 主机 收集端 Host 主机 收集端 Host 主机 管理端 实时数据流 总部 分部 1 分部 2 数据库 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备

33. 传统的系统部署（续） 机密资料 – 第 页 – 赛诺朗基 版权所有 收集端 Host 主机 收集端 Host 主机 收集端 Host 主机 管理端 实时数据流 瓶颈 总部 分部 1 分部 2 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备

34. 系统部署（续） 机密资料 – 第 页 – 赛诺朗基 版权所有 收集端 Host 主机 收集端 Host 主机 收集端 Host 主机 管理端 实时数据流 分部 2 分部 1 总部 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备

35. 系统部署（续） 机密资料 – 第 页 – 赛诺朗基 版权所有 收集端 Host 主机 收集端 Host 主机 收集端 Host 主机 按需数据流 总部 分部 1 分部 2 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备 管理端

36. 系统部署（续） 机密资料 – 第 页 – 赛诺朗基 版权所有 收集端 Host 主机 收集端 Host 主机 收集端 Host 主机 按需数据流 实时数据流 + 分部 2 分部 1 总部 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备 Device 设备 Host 主机 Device 设备 管理端

37. 易于实现的系统扩展 机密资料 – 第 页 – 赛诺朗基 版权所有 配置 + 数据 NAS-SAN- 文件 收集端 1 Device 设备 Host 主机 Device 设备 Host 主机 Device 设备 Host 主机 Device 设备 Host 主机 管理端 2 管理端 1 收集端 2 收集端 4 收集端 3

38. 易于实现的系统高可用性 机密资料 – 第 页 – 赛诺朗基 版权所有 主 备 主 备 管理端 管理端 配置 + 数据 NAS-SAN- 文件 主系统 备用系统 收集端 收集端 收集端 收集端 Device 设备 Host 主机 Device 设备 Host 主机 Device 设备 Host 主机 Device 设备 Host 主机

39. 机密资料 – 第 页 – 赛诺朗基 版权所有 从此高枕无忧了…哈哈！

40. 议程 什么是日志？ 从日志分析到全局事件管理 核心技术及优势 快捷高效的系统部署 案例分析 公司简介 机密资料 – 第 页 – 赛诺朗基 版权所有

41. 用户案例 某政府部门 市级数据中心，在社区、乡镇设有 100 多个分支机构 与公安、税务、医院、药店、保险公司连接 多台 AS400 、 RS6000 和 PC 服务器 多台思科、华为网络和防火墙设备 F5 负载均衡设备 机房 UPS 、空调、门禁等设备 20 多个业务应用系统

42. 用户需求 实时收集防火墙、交换机、路由器、 F5 设备、 AS400 、 RS6000 、 Windows Server 、应用系统、 UPS 、门禁、空调等设备日志进行关联管理 重点监控 AS400 、 RS6000 、 Windows Server 等服务器系统的访问以及自身异常事件 监控应用系统每天的访问流量统计，需要得知每个应用系统的访问来源 监控防火墙、交换机、路由器、 F5 等设备的运行状态以及负载 监控 UPS 运行是否为正常状态，如供电力不足则产生系统报警 监控门禁系统是否为正常状态，监控每天每人出入次数 监控空调设备日志，从中了解空调的运行温度、是否发生硬件异常等等

43. 生成报告一 此报告显示被访问前五名的应用系统

44. 生成报告二 此报告显示用户系统被哪些客户端访问以及访问次数

45. 此界面是赛诺朗基系统根据 UPS 接入设备提供的日志，发现 UPS 供电端断掉时，赛诺朗基系统自己产生的报警。这个报警是弹出框形式出现的，其报警方式可以是由建群发、网络广播、执行第三方指令、以及写入报警文件供第三方读取等等； 生成报告三

46. 用户案例 某高校 35 台 Windows Server 2003 服务器以及 10 台 UNIX 服务器 10 台 H3C 可控交换机、 2 台 H3C 路由器 2 台防火墙，一台为太极另一台为 WatchGuard 一台 Allot 流控设备和一台 F5 的负载均衡设备 一台深信服上网行为管理设备

47. 用户需求 要求每天监控 Windows Server 上的错误日志，并且进行错误最多数排名 要求监控 UNIX 主机是否有异常行为，比如盗取管理员口令等 实时监控 F5 设备的负载状况 要求针对每个网段的学生所登陆的网站进行审计，比如：学生登陆了含有敏感字的网站、或者发布了非法言论等 将所有设备的日志进行一年的保存，以备随时查看 …

48. 本图列出 Windows Server 2003 中两条出现次数最多的错误日志

49. 上图实时监控 F5 设备的运行负载状况 实时监控图

50. 生成用户访问报告 上图报告是针对哪些 IP 地址（可以用赛诺朗基系统更改成具体用户）的用户访问了含有“ sex” 敏感字的网址以及访问次数

51. 用户案例 某生产企业（北京总部） 卡巴斯基防病毒应用程序 VPN 设备连接全国各分部 CISCO 交换机三台、 CISCO 路由器一台 CISCO PIX 一台 用友 ERP 系统

52. 用户需求 要求实时监控 ERP 系统的运转情况，发现问题及时通过网络广播报警 监控 VPN 设备和全国各分部连接情况（总部要求工作时间为连接时间），发现 VPN 连接断开，及时弹出报警信息 分别监控 CISCO 交换机、路由器和 PIX 的运行状态 监控卡巴斯基防病毒软件的病毒防护情况，并生成病毒列表报告 …

53. 此消息为赛诺朗基系统根据对用友 ERP 系统的监控，发现 IP 地址为 192.168.0.164 的主机宕机（可能代表 ERP 系统客户端没有登陆或其他情况） ERP 系统告警

54. 上图是黑龙江分公司和北京总部的 VPN 连接断开，塞诺朗基系统弹出的报警！ VPN 连接告警

55. 如图报告是卡巴斯基防病毒软件每天防护的病毒列表 生成报告

56. 上图为 CISCO 设备的实时运行状态监控图 实时监控报告

57. 议程 什么是日志？ 从日志分析到全局事件管理 核心技术及优势 快捷高效的系统部署 案例分析 公司简介 机密资料 – 第 页 – 赛诺朗基 版权所有

58. 公司介绍 向 IT 管理者和专家提供广泛适用、功能强大、快捷简便的 管理工具 ， 实现 集中 、 全面 和 自动 地掌握和管理信息系统运行中发生的所有状况，并能按需要的方式、时间、保证数据完整地去管理。 我们的使命

59. 公司概览 成立于 2002 年 5 月，总部位于美国加州旧金山 管理团队由网络、安全及管理等业界资深人士组成 公司人力资源集中在企业级软件和信息安全技能方面 全球设立 16 个分支机构 历经 5 年精心研发后才发布商用版本 在产品研发方面进行大量投入，在本领域已获得 4 个专利，并另有 7 个专利申请 全部采用渠道的销售策略 在全球 1000 强等大型企业及中小企业拥有大量用户 与业界 OEM 制造商、运营商和技术厂商结成广泛的策略联盟

60. 我们的用户 银行、证券及保险 能源、电信及矿业 消费品及零售业 制造业、医疗保健 教育、出版、娱乐、服务 政府、军队、交通、水务

61. 市场赞誉

62. 中国区业务 中国区独家总代理商 北京恒安永通科技有限公司 联系方式 电话： 010-51286202 邮件： [email_address] 网站 www.haytone.cn 机密资料 – 第 页 – 赛诺朗基 版权所有

63. 机密资料 – 第 页 – 赛诺朗基 版权所有 最好的综合日志分析技术 独有的全局事件管理方案