GrAALF:Supporting Graphical Analysis of Audit Logs for Forensics abstract。

解决的问题

系统层次的审计是系统审计中重要一环,包含很多底层信息,可以捕获恶意用户活动,但是对于一台服务器来说每小时可以生成超过250万审计日志。对如此巨大的数据进行存储和处理,将会非常消耗计算能力和时间。

Architecture

arch
因此,本文提出一个图形化系统 GrAALF 来有效加载、存储、处理、查询和展示系统事件,支撑计算机系统审计。

与其他相关系统,如AIQL、SAQL相比,GrAALF 提供了:

  • 更加灵活的多后台存储方案
  • 易于使用的符合直觉的记录查询
  • 提供了近乎实时追溯更长的系统事件序列的能力,以帮助识别和隔离
  • 同样重要的,AIQL、SAQL并不开源,而GrAALF是开源的

系统组成

整个系统大致分为三层:

  • 日志获取层,log ingestion layer
  • 日志存储层,log storage layer
  • 查询与可视化层,query and visualization layer

最后是系统性能分析和 case study,文章发表在 software impact (软件类?)。