แนะนำ Softnix Logger

Softnix Logger (SLG)

Product Overview

softnix-loger-slgSoftnix Logger (SLG) คือระบบจัดการ Logs File แบบรวมศูนย์หรือ Centralized Logs Management ที่นิยมเรียกกันว่า Logger Server รองรับการจัดเก็บ Logs ของระบบคอมพิวเตอร์ Server หรืออุปกรณ์เครือข่ายคอมพิวเตอร์ เช่น Firewall , Router , Switch, Windows Server, Linux Server, Unix Server และอื่นๆ มากมาย

ทำไมต้องจัดเก็บ Logs File ? ปัจจุบัน พรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ 2550 ได้เล็งเห็นถึงโทษจากภัยคุกคามในเครือข่ายคอมพิวเตอร์ ไม่ว่าจะเป็นการขโมยข้อมูล การโจมตี ทำลาย ทำให้เกิดความเสียหายต่างๆ Logs File คือสิ่งเดี่ยวที่จะพิสูจน์การบุกรุก การโจมตี การขโมย ต่างๆได้ และจะเป็นสิ่งที่ผู้รักษากฏหมายจะใช้ในการสืบสวนและสอบสวนหาผู้กระทำความผิดมาลงโทษ ดังนั้นหน้าที่ของผู้ให้บริการเครือข่ายคอมพิวเตอร์จะต้องเก็บรักษา Logs File นั้นให้เป็นอย่างดี และหากไม่จัดเก็บไว้ จะต้องมีโทษทางกฏหมาย

คุณสมบัติเด่น Softnix Logger

สอดคล้องตามหลักเกณ์ในการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตาม พรบ. ฯ
Softnix Logger เป็นระบบจัดเก็บ Log File ที่ผ่านการรับรองมาตรฐานจาก NECTEC มศอ.๔๐๐๓.๑ – ๒๕๕๒ (NECTEC STANDARD NTS 4003.1-2552) จึงมั่นใจได้ว่า Log ที่จัดเก็บด้วยระบบ Softnix Logger มีความเชื่อมั่น ถูกต้อง และยืนยันได้ในชั้นศาล โดยปัจจุบัน หน่วยงานภาครัฐขนาดใหญ่ ภาคเอกชน ให้การยอมรับ ใช้ระบบการจัดเก็บ Log ของเราอย่างมากมาย
การจัดเก็บ Log (Log Collection)
Softnix Logger รองรับการจัดเก็บ Log ในรูปแบบ Syslog , FTP, SFTP และรองรับ Syslog Agent ระบบทำหน้าที่บริหารจัดการ Log แบบรวมศูนย์ (Centralized Log Management) และสำหรับระบบเครือข่ายขนาดใหญ่ Softnix Logger Forwarder สามารถรับ Log แบ่ง Load หรือวางที่สำนักงานสาขาและส่งผ่าน Log เข้าสู่ Centralized Log Server ที่สำนักงานใหญ่ แบบตั้งเวลาได้ เพื่อประหยัด Bandwidth
การเก็บรักษา (Log Store)
Softnix Logger จัดเก็บ Raw Data โดยมีการบีบอัด (Data Compression) ด้วยอัตราส่วน 20:1 และมีระบบรักษาความถูกต้องของข้อมูล โดยมีวิธีการเข้ารหัสและการยืนยันความคงสภาพของข้อมูล (Data Integrity) โดยวิธีการ MD5 และ SHA-1
การสืบค้นและรายงาน (Search and Report)
โดย Softnix Logger มีระบบ Data Indexing ที่มีประสิทธิภาพ สามารถ Index ข้อมูลมากกว่า 2,000 Message ต่อวินาที และสามารถสืบค้นได้อย่างรวดเร็ว โดยใช้เงือนไขต่างๆเช่น ค้นหาตาม ชื่อ Host , Time , Message โดยใช้เงือนไขแบบ AND , OR, NOT อีกทั้งระบบยังมีส่วนของ Log Analyzer ที่สามารถวิเคราะห์สร้างรายงานเชิงปริมาณของ Log File เพื่อใช้ในการวิเคราะห์และพัฒนาระบบเครือข่าย โดยมีรูปแบบรายงานมากกว่า 800 ชนิด แยกตามชนิดของอุปกรณ์หรือระบบ
ติดตามและแจ้งเตือน (Monitor and Alert)
ระบบสามารถสร้าง Filter เหตุการณ์ตามเงือนไขต่างๆ เพื่อใช้ในการติดตามเหตุการณ์ หรือแจ้งเตือนโดยการ Alert ไปยัง Email อีกทั้งความสามารถที่สำคัญ ระบบสามารถแจ้งเตือนทันที หากพบว่าไม่มี Log ส่งเข้ามายังระบบตามระยะเวลาที่กำหนด เพื่อให้ Admin ที่ดุแลระบบรีบทำการแก้ไขโดยทันที

Product Edition

Software Appliance Edition

SoftnixLoggerSoftwareEdition

Softnix Logger EP Enterprise Edition

  • CentOS 5 64Bit Customized
  • External Storage Support SAN,NAS,iSCSI
  • Unlimited Device Client
  • License limit by storage volume
  • VLAN 802.1q Support
  • Security Hardening
  • Flexibility for your network and hardware
  • Sawmill Log Analyzer (Option)

Hardware Appliance Edition

log server - Copy

Softnix Logger EP Enterprise Edition

  • SLG-SA1 for Small Enterprise
  • SLG-SA2 for Medium Enterprise
  • SLG-SA3 for Large Enterprise

Screenshot

slg_dashboard_big
Dashboard
แสดงรายงานภาพรวมของระบบ เช่น System Information , Graphic Event Per Second, Live Log Monitor, Resource Used , Service Status
slg_search_big
Log Search
ระบบ Log Indexing ของ Softnix Logger สามารถ Index ข้อมูล Log ขนาดใหญ่มากกว่า 1.5GB เสร็จภายใน 20 นาที (ขึ้นอยู่กับขนาดของ Server) และทำให้สามารถ Search Log โดยใช้เงือนไขต่างๆ เช่น AND OR NOT ได้อย่างมีประสิทธิภาพ และมีความรวดเร็ว ไม่ช้าเช่นการค้นหาจาก Database RDBM
slg_archiving_big
Log Archives
สำหรับ Raw Log ที่ส่งเข้ามาจัดเก็บ ทุกวันจะมีการ Compress บีบอัดประมาณ 20 เท่า พร้อมทั้งทำกระบวนการ Hashing โดยวิธีการ MD5 และ SHA-1 โดยจะเก็บรหัส MD5,SHA-1 เก็บไว้ที่ Server และใส่ไว้ใน Archiving File ด้วย เพื่อใช้ในการตรวจสอบรหัสของไฟล์ในภายหลัง ที่ต้องการเช็คความคงสภาพของไฟล์
slg_ntp_big
Network Time Server
ระบบทำหน้าที่เป็น Time Server Stratum 2 รองรับให้ Server หรือ Network Device ทำการ Sync. Time เพื่อมั่นใจได้ว่า เวลาตรงกันทั้งหมด
slg_report_big
Log Analyzer
สามารถสร้าง Report แสดงรายงานเชิงปริมาณ เพื่อให้ทราบถึงปริมาณการใช้งานที่มากที่สุด หรือการเปรียบเทียบเชิงปริมาณ เพื่อใช้เป็นประโยชน์ต่อการวิเคราะห์และพัฒนาระบบงานได้เป็นอย่างดี
slg_permission_big
Permission
สามารถกำหนดสิทธิ์ให้กับ User Admin เช่น จัดการได้เฉพาะบาง Function หรือเฉพาะ Log File หรือการกำหนดระดับการดูแล โดยกำหนดได้ทั้งสิทธิ์ Data Admin และ System Admin

Support Plan

Level 3 Level 4 Level 5
Software Maintenance*
Basic Support*
Availability
8×5
24×7
Response Time 4 2 Call
Telephone Support*
Remote Support*
Email Support*
Call-Back Hotline
SMS Support*
On Site* (Time) 3 Call Call
Assistance for the following services
Installation
Setup Device Log Collector (SLG) < 5 < 10 > 10
Technical Training
Migration
Custom Feature Request Assessment
Monthly Service Report

* Basic Support: Included Email support 24 working hours response availability Monday-Friday 8:00-17:00
* Softnix Customer Portal : Ticket Support, Ticket Follow up, Knowledgebase, Download, Technical Document

What is Softnix Logger ?

Softnix Logger คือระบบจัดการ Log file แบบรวมศูนย์ หรือที่เรียกกันว่า Centralized Log Management . Softnix Logger ทำหน้าที่แบบ SEM – Security Event Management โดยการรวบรวม Log , ระบบสืบค้น, เก็บรักษาอย่างปลอดภัย, มีระบบ Alert เหตุการณ์, ออกรายงาน

Softnix Logger ไม่ใช่ SIM – Security Information Management เนื่องจากระบบ SIM มุ่งเน้นในเรื่องของการวิเคราะห์เหตุการณ์ หาความสัมพันธ์ของเหตุการณ์ และรายงานผลด้านความปลอดภัย รวมทั้งการประเมินความเสี่ยงของภัยคุกคาม โดยข้อมูลของ SIM จะไม่ใช่เฉพาะเพียงข้อมูลของ Log File แต่จะเป็นข้อมูลที่ได้ทั้งหมดเท่าที่จะหาได้ เช่น Network Flow, IDP, Vulnerability Assessment (VA) อื่นๆ เพื่อนำข้อมูลที่ได้มาวิเคราะห์เหตุการณ์ ดังนั้น SIM จึงเหมาะสำหรับองค์กรที่ต้องการระบบบริหารจัดการด้านความปลอดภัยของ IT Network ซึ่งนอกเหนือความต้องการระบบบริหารจัดการ Log File และการเก็บรักษา Log File ที่ปลอดภัย ตามจุดประสงค์ของพรบ.ที่ต้องการให้จัดเก็บ รวมทั้งงบประมาณที่ต้องใช้กับระบบ SIM จะค่อนข้างสูงมาก

SEM_SoftnixLogger

ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ

“มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษา เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น”

ด้วยเหตุผลข้างต้น Softnix Logger ซึ่งถูกออกแบบให้เหมาะสมกับระบบจัดเก็บ Log File
ตามข้อแนะนำของประกาศกระทรวง ฯ จึงเหมาะสำหรับองค์กรเพื่อใช้เก็บ Log File ตามกฏหมายที่สุด

Features

โครงสร้างการทำงานของ Softnix Logger

arc_logger

Management System
Softnix Logger สามารถบริหารจัดการได้ผ่าน Web Browser ซึ่งสามารถควบคุมได้ผ่านเครือข่าย ง่ายต่อการบริหารจัดการ รองรับการควบคุมได้ทั้งระบบ เช่น การจัดการค่าทาง Network, การสั่ง Restart/Shutdown, และอื่นๆที่จำเป็น

Log Monitoring
เป็นระบบคอยตรวจสอบการทำงานของ Log ที่ถูกส่งมาจาก Device ต่างๆ โดยจะคอยตรวจสอบว่า หากไม่มีการส่ง Log มาเกินช่วงระยะเวลาที่กำหนด จะมีระบบแจ้งเตือน เพื่อป้องกันการที่ Device Log ต่างๆไม่ส่ง Log มา ด้วยสาเหตุที่ไม่คาดคิด

EPS Graphic
EPS (Event Per Second) คือระบบกราฟิกรายงานปริมาณ Log ที่ส่งเข้ามาเทียบต่อวินาที เพื่อดูความหนาแน่นของ Log และประเมินประสิทธิภาพของระบบ โดยระบบของ Softnix Logger รองรับ EPS ได้มากกว่า 1500 EPS โดยขึ้นอยู่กับรุ่นและ Hardware ที่ใช้ติดตั้ง

Data Searching
เป็นระบบค้นหา Log ภายในเครื่องที่รวดเร็ว และยืดหยุ่น โดยสามารถค้นหาได้ตามเงือนไขสำคัญต่างๆ เช่น ค้นหาตาม IP/Hostname ค้นหาตามระดับความสำคัญ ค้นหาตามประเภท Log ค้นหาตามวันเดือนปี และค้นหาตาม Keyword ที่สำคัญตัวอย่างการใช้งานประสิทธิภาพของ Log Query ต่อการค้นหา ติดตาม เหตุการณ์

Data Correlate
เป็นการค้นหาแบบปกติ แต่เพิ่มความสามารถของการเชื่อมโยงคำ เชื่อมโยงเหตุการณ์ เช่น ต้องการค้นหาข้อมูลใน Mail Log โดยต้องการดูว่าผู้ส่งคนนี้ ส่งอีเมล์ไปหาใครบ้างในช่วงเวลาใกล้เคียงกัน หรืออีเมล์ฉบับนั้น (MessageID) ถูกส่งไปหาใครบ้างโดยการ To,CC,BCC เป็นต้น ซึ่งมีความจำเป็นอย่างมากในการตรวจสอบ

Data Integrity
เป็นระบบที่สำคัญที่สามารถยืนยันความถูกต้องของ Logs File ทำให้มีความน่าเชื่อถือสูง โดยระบบจะทำการบันทึก Log File พร้อมกับการทำ Data Hashing และมีรหัสยืนยันความคงสภาพ (MD5) ซึ่งหากมีการแก้ไข Log เพื่อลบร่องรอยโดยผู้ไม่หวังดีในภายหลัง ก็จะทำให้ยืนยันได้ว่า Log นั้นไม่มีความน่าเชื่อถือ ไม่สามารถยึดถือได้

Log Filtering
เป็นระบบที่ออกแบบใช้สำหรับทำการ Filter ตามเงือนไขต่างๆ เพื่อจัดกลุ่ม หรือแยกประเภท อีกทั้งระบบยังรองรับการ Alert แบบเฝ้าระวังตามเหตุการณ์ที่กำหนดไว้ ให้แจ้งเตือนไปยังอีเมล์ เช่น Alert หากมีการโจมตี,การพยายาม Login, RAID มีปัญหา และอื่นๆมากมาย

SFTP Log Collector
นอกจากการจัดเก็บ Log ตาม Syslog แล้ว หากอุปกรณ์ network หรือ Server ไม่รองรับ Syslog แต่สามารถจัดส่ง Log เข้ามาเก็บได้ผ่าน FTP/SFTP ก็สามารถทำได้

System Report
เป็นระบบที่รายงานผลการทำงาน เช่น ปริมาณเหตุการณ์ของ Logs ปริมาณ Log ปริมาณ Network Traffic, ทรัพยากรระบบที่ใช้ไป

System Monitoring
เป็นระบบคอยตรวจสอบข้อผิดพลาดของระบบเพื่อแจ้งเตือนข้อผิดพลาดที่สำคัญ ต่างๆ เช่น การทำงานของระบบที่เกินพิกัด (Over Load), พื้นที่ Harddisk เต็ม, การหยุดการทำงานของระบบบางอย่างที่สำคัญ, และการ Login เข้าใช้งาน Softnix Logger

Network Time (NTP Server)
รองรับการทำหน้าที่เป็น Network Time Server ให้กับเครือข่าย โดยสามารถเช็คเวลา (Time Synchronization) กับเวลามาตราฐาน Stratum 1 ได้ เช่น สถาบันมาตรวิทยาแห่งชาติ

Syslog Agent
รองรับการจัดเก็บ Log จาก Server ที่ไม่รองรับ Syslog เช่นWindows Server Active Directory, Linux Samba, IIS, MS Exchange, ISA Server, Lotus Note โดยการติดตั้ง Syslog Agent ลงบน Server เพื่อจัดส่ง Log มายัง Softnix Logger

Products Edition

Softnix Logger – Software Appliance

ปัจจุบันปัจจัยที่มีผลต่อขนาดหรือระบบ Server ที่เหมาะสมกับการบันทึก Logs นั้นนอกเหนือจากปริมาณขนาดของ Harddisk หรือ Storage Device ที่เหมาะสมที่ต้องจัดเก็บให้เพียงพอต่อ 90 วัน (ขั้นต่ำตามกฏหมาย) ปัจจัยอย่างอื่นยังได้แก่ CPU, RAM ประสิทธิภาพของ LAN Card หรือแม้กระทั่งจำนวน LAN Card ที่อาจจะต้องใช้มากกว่า 1 Interface เพื่อรองรับระบบเครือข่ายที่สลับซับซ้อน Softnix Logger Software Appliance เพิ่มความยืดหยุ่นต่อระบบของลูกค้า โดยสามารถนำ Software Appliance ที่มีฟังก์ชั่นต่างๆเช่นเดียวกับ Hardware Appliance ไปติดตั้งยัง Server ที่เหมาะสมกับระบบเครือข่ายของลูกค้า เช่น Blade Server ,ระบบ Server ที่ใช้ SAN Storage หรือ Server ที่มีอยู่แล้ว โดยมีเสปกของเครื่องดังต่อไปนี้

Softnix_Logger_Software

Hardware Requirement*

  • CPU Intel Xeon quad-core
  • Memory 4GB หรือมากกว่า
  • RAID1 Hard disk 250GB ( รองรับไม่เกิน 5 Device logs **) , 500GB ( รองรับไม่เกิน 20 Device logs **),1TB ( 20 Device logs * ขึ้นไป)
  • 10/100/1000 Mbps Network Card

* เป็น Hardware Requirement เมื่อเทียบกับระบบเครือข่ายองค์กรโดยส่วนใหญ่ ที่มีปริมาณ EPS ไม่เกิน 100 EPS (event per second)
** Device Logs คือ Server หรืออุปกรณ์เครือข่ายที่จะต้องส่ง Log มาเก็บยัง Logger Server

Softnix Logger – Software Appliance Specifications

Compattibility Flexibility for your network and hardware
Operation System Softnix OS Based on Linux CentOS 6.3 Hardened
Device Log** Unlimited
Management Web Browser
Standard NECTEC STD. NTS4003.1-2552
** Device Logs คือ Server หรืออุปกรณ์เครือข่ายที่จะต้องส่ง Log มาเก็บยัง Logger Server
ข้อดี
– เลือก Server ที่เหมาะกับความต้องการ
– ระบบปฏิบัติการมีความปลอดภัย
– อับเกรดอุปกรณ์ HW อื่นๆได้ง่ายภายหลัง

Maintenance Services/Support

  • 1 ปี (มีส่วนลดสำหรับการต่ออายุ)
  • คู่มือการใช้งานและการดูแลระบบ
  • (8×5) HelpDesk Support ด้วย Tel.,Email,Web Site, Remote
  • ระบบอับเดท Software อัตโนมัติ
  • บริการ Onsite Service ด้วยคูปอง
  • ฟรีค่าติดตั้งสำหรับ Device Logs ไม่เกิน 5 เครื่อง

Softnix Logger Enterprise Edition – Hardware Appliance

log server - Copy

 

The Challenge
Most company must also implement logs management for compliance with Computer Related Crime Act B.E.2550. Most IT managers must be security and reliability solutions for logs retention and offers TCO many times lower than any application-base logs management product. This translates to significant savings in administration, management, and licensing cost
Softnix Logger Enterprise Edition
Softnix Logger designed for centralized logs management in the network. Softnix Logger provide syslog server open-standard platform, this appliance dramatically lowers complexity, reduces the administrative load and easily to manage. Plus, Softnix Logger includes log analysis and reporting features demanded in today’s

Feature

  • Easy to deploys
  • Web based and CLI Management
  • Minimum 90 days raw log retention
  • Data Integrity with MD5,SHA-1
  • NTP Server Time Referred
  • Support forward log to external syslog device such as SIM,SIEM
  • System alert for log not response
  • Log indexing and fast searching
  • System monitoring and alert for critical
  • Permission access to data
  • Support standard syslog (rfc3164) and non-standard log such as Windows log
  • Support Snare agent for non-standard log

Softnix Logger Enterprise Appliance

Server Type SLG-SA1 SLG-SA2 SLG-SA3
User Environment Small-Medium Medium Enterprise Large Enterprise
Processor Intel Xeon E3-1200,v2 Intel Xeon E3-1200,v2 Intel Xeon E3-1200,v2
Device Support Unlimited Unlimited Unlimited
EPS 10,000 15,000 30,000
Protocol Support Syslog,CIFS,NFS,sFTP,FTP Syslog,CIFS,NFS,sFTP,FTP Syslog,CIFS,NFS,sFTP,FTP
Memory 8GB 16GB 32GB
Networking 2x Gigabit 2x Gigabit 2x Gigabit
Internal Storage Capacity 500 GB (500GB x 2 – Raid1) 7200 rpm 1TB (1TB x2 – Raid 1) 7200 rpm (hot plug) 2TB-4TB 7200 rpm (hot plug)
External Storage Support Support Support
Power Supply 350 Watt 350 Watt 400 Watt Redundant
Standard FCC,CE, RoHS FCC,CE, RoHS FCC,CE, RoHS
Server Size/Chassis 1U rack height 1U rack height 1U rack height
Maintenance Support 1 year maintenance support include installation, onsite 3 time/year, helpdesk by phone, remote, email, customer portal system
Dimensions Height 1.7″(43mm), Width 17.2″(437mm), Depth 19.8″(503mm). Supported Rack 19″ Standard

* Appliance platform based on Super Micro, any information can see www.supermicro.com

Deployment

Site-2-Site
การติดตั้งแบบ Site-2-Site เหมาะสำหรับองค์กรที่มีสำนักงานสาขาและสำนักงานใหญ่ โดยกำหนดให้ Server ที่สาขาส่ง Log File มาเก็บที่ Softnix Logger ที่วางที่สาขาตนเอง โดย Softnix Logger ที่สาขาตั้งค่าให้ทำงานแบบ Proxy Mode ระบบจะทำการ Forward ข้อมูลไปยัง Softnix Logger ที่สำนักงานใหญ่แบบ Real Time หรือสามารถกำหนดค่าให้ส่ง Log มาตามช่วงเวลาก็ได้ โดยการกำหนดค่าแบบ Schedule Mode

Softnix-Logger-Collector

Multi Subnet
สำหรับองค์กรที่มีหลาย Network สามารถเพิ่ม LAN Card เพื่อรับ Log จาก Server ใน Network ต่างๆที่ต้องการ โดย Softnix Logger รองรับการทำงานทุกๆ Network

logger_multinetwork

VLAN Network
สำหรับเครือข่ายที่เป็น VLAN เช่น Data Center หรือองค์กรขนาดใหญ่ Softnix Logger รองรับมาตรฐาน VLAN 802.1q

logger_vlan

Enterprise Solution for Large Scale Network
ระบบนี้รองรับ Server จำนวนมาก เช่น Internet Data Center ที่มี Server จำนวนมาก โดย Softnix Logger Forwarder จะทำหน้าที่รับ Log จาก Server ต่างๆชั่วคราว แล้วตั้งเวลาให้ส่งต่อมายัง Softnix Logger Centralized Server เพื่อจัดเก็บแบบรวมศูนย์ โดยสามารถเพิ่มจำนวน Softnix Logger forwarder ได้มากตามต้องการ เพื่อให้เหมาะสมต่อระบบการทำงาน จากระบบ สามารถมี Indexing Server เพื่อทำหน้าที่ Index Log จาก Centralized Server เพื่อใช้ในการสืบค้น

logger_enterprise

SLG Brochure

slgbrochure