GrAALF:Supporting Graphical Analysis of Audit Logs for Forensics
GrAALF:Supporting Graphical Analysis of Audit Logs for Forensics abstract。
解决的问题
系统层次的审计是系统审计中重要一环,包含很多底层信息,可以捕获恶意用户活动,但是对于一台服务器来说每小时可以生成超过250万审计日志。对如此巨大的数据进行存储和处理,将会非常消耗计算能力和时间。
Architecture
因此,本文提出一个图形化系统 GrAALF 来有效加载、存储、处理、查询和展示系统事件,支撑计算机系统审计。
与其他相关系统,如AIQL、SAQL相比,GrAALF 提供了:
- 更加灵活的多后台存储方案
- 易于使用的符合直觉的记录查询
- 提供了近乎实时追溯更长的系统事件序列的能力,以帮助识别和隔离
- 同样重要的,AIQL、SAQL并不开源,而GrAALF是开源的
系统组成
整个系统大致分为三层:
- 日志获取层,log ingestion layer
- 日志存储层,log storage layer
- 查询与可视化层,query and visualization layer
最后是系统性能分析和 case study,文章发表在 software impact (软件类?)。
http://odymit.github.io/2022/04/12/GrAALF-Supporting-Graphical-Analysis-of-Audit-Logs-for-Forensics/
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.