More Related Content Similar to Centralized Log Server Thai version (20) More from Softnix Technology (6) Centralized Log Server Thai version2. Log Compliance Computer Related Crime Act B.E.2550 Computer Related Crime Act B.E.2550 Security Information Management (SIM) Sniffer Internet Monitoring/Recorder Centralized Syslog 7. NECTEC STANDARD NTS 4003.1 – 2552 จุดประสงค์ : เพื่อให้วิธีการรับ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์เป็นไปโดยชอบตาม กฏหมายและหลักการที่ถูกต้อง ลดความเสี่ยงต่อการสูญเสียความถูกต้องสมบูรณ์ของข้อมูลจราจรทางคอมพิวเตอร์ ออกแบบมาจาก ISO/IEC 17799:2005 10. Syslog / Non Syslog New Routers Firewall IPS/IDP Antivirus Switches Windows/Linux All Clear text Logs Retention Data Integrity (Hashing, Archiving) Indexing Server Web (HTTP/S) Data Base Event Searching Dash Board Log Analyzer 23. Network Time Server ประกาศกระทรวง ICT “ เพื่อให้ข้อมูลจราจรมีความถูกต้องและนำไปใช้ประโยชน์ได้จริง ผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่เกิน 10 มิลลิวินาที ” 24. Server,Device,Application ที่รองรับ Regulation RFC3164 standard Server Device Application Windows Server Event log, Application log, authentication log & DHCP Linux / Unix Server All Syslog & Real time text log Web Server Apache & IIS Mail Server Exchange, Lotus Note & Postfix Proxy Server Squid & ISA Security Device Application Firewall / IPS Juniper, Astaro, Fortinet, WatchGuard, SonicWall, Cisco PIX & etc. MS Firewall Windows ISA Antivirus Kaspersky & etc. Switching Device Supported Router / Switch Cisco router / Switch & etc. 48. Softnix Maintenance Service Program Level2 Level 3 Level4 Level5 Software Maintenance* Basic Support* Availability 8x5 24x7 Response Time NBD* 4 2 Call Telephone Support* Remote Support* Email Support* Call-Back Hotline SMS Support* On Site* (Time) 2 3 Call Call Off-Site Backup* Call Call Call Call Call Assistance for the following services Installation Setup Device Log Collector (SLG) <5 <10 >10 Technical Training Migration Custom Feature Request Assessment Monthly Service Report Pilot Design* System Planning and Provissioning* Editor's Notes กลุ่มสินค้าที่เกี่ยวข้องกับระบบจัดการ Log ในปัจจุบันมีอยู่หลายประเภท โดยสามารถแยกตามลักษณะและหน้าที่การทำงานได้ดังนี้ Sniff คือกลุ่ม Product ที่มีวิธีการจับ Traffic ในเครือข่าย เพื่อหาต้นทาง ปลายทาง และ Service ที่มันทำงาน โดยวิธีการ Sniffer หรือิดักเอาข้อมูลระหว่างเครือข่าย วิธีการแบบนี้จะๆได้ Log Traffic แต่ไม่ได้ Service Log ซึ่ง Service Log คือ Log ของระบบต้นทางที่เป็นการทำงานของ Server นั้นๆ เช่น Mail Server จะมี Log ของการทำงานเกี่ยวกับ Mail , Proxy Server ก็จะมี Log ของการเข้าเว็บไซต์ต่างๆของผู้ใช้ Internet Monitoring / Internet Recorder คือกลุ่ม Product ที่มีเป้าหมายในการตรวจสอบ ติดตาม พฤติกรรมการใช้งาน Internet ของผู้ใช้ โดยจะสามารถตรวจสอบได้ในระดับข้อมูล Content ด้วย เช่น การรับส่งเมล์ของผู้ใช้ ระบบนี้จะสามารถจับข้อมูลได้จนถึงเนื้อหาของเมล์ที่ User รับส่ง หรือหากเป็นการพูดคุย MSN ก็จะเห็นข้อความสนทนากันได้เลย สินค้าในกลุ่มนี้จะเหมาะกับธุระกิจที่ต้องการตรวจสอบเป็นหลักและจะต้องมีการยินยอมจาก Users ว่าจะมีการตรวจสอบในส่วนนี้ เพราะจะมีส่วนที่ผิดกฏหมายในการระเมิดสิทธิส่วนบุคคลด้วย Centralized Log Server หรือ Syslog Server ในสินค้ากลุ่มนี้จะเน้น Service Log คือ Log ที่เกิดจากกิจกรรมการทำงานของ Server ต่างๆ โดยนำ Log จาก Server ต่่างๆมารวบรวมและวิเคราะห์เหตุการณ์ สินค้าในกลุ่มนี้จะมีความน่าเชื่อถือสูง เพราะเหตุการณ์ต่างๆล้วนเกิดจาก Application นั้นจริงๆ ซึ่งถูกนิยมนำไปใช้งานในด้านระบบการจัดการความปลอดภัยในองค์กร ซึ่งสินค้าในกลุ่มนี้กฏกระทรวงเทคโนโลยีสารสนเทศและการจัดการว่าด้วยหลักเกณฑ์ในการจัดเก็บ Log File ตามพรบ . ก็กำหนดไว้ว่าให้จัดเก็บด้วยวิธีนี้ Softnix Logger คือ Syslog Server ที่อยู่ในกลุ่มของ Centralized Log Server กลุ่มนี้สามารถต่อยอดเป็น SIM หรือ Security Information Management ได้ เจาะเข้าไปในกลุ่ม Centralized Log Management สามารถแบ่งตามฟังก์ชั่นหรือหน้าที่ได้ดังต่อไปนี้ หน้าที่ SIM คือ การทำหน้าที่ในการวิเคราะห์เหตุการณ์ หาความสัมพันธ์ของเหตุการณ์ วิเคราะห์ความเสี่ยง โดยระบบ SIM จะต้องมีข้อมูลป้อนให้มันทั้ง Log และ Event โดย Log ก็คือ Raw Log จาก Server ต่างๆ อาจจะส่งมาแบบ syslog ก็ได้ ส่วน event คือเหตุการณ์จะได้มาจากการ Sniff หรือจับ Capture Package ในแบบ in-line mode ก็ได้ โดย SIM จะนำข้อมูลทุกอย่างมาวิเคราะห์ โดย SIM จะเหมาะสำหรับองค์กรที่มุ่งเน้นระบบที่จะนำมาจัดการความปลอดภัยเป็นหลัก โดยมุ่งเน้น Compliance กับมาตรฐานการรักษาความปลอดภัยสากล เช่น PCI,SOX,HIPAA เป็นต้น หน้าที่ SEM หรือ Security Event Management ระบบที่ทำหน้าที่นี้จะทำงานโดยการนำ Raw Log จาก Server ต่างๆมาจัดเก็บและสามารถวิเคราะห์ ทำรายงาน หรือค้นหาเหตุการณ์ได้ SEM จะเป็นระบบที่ตรงตามหลักเกณฑ์การจัดเก็บ Log ตาม พรบ . ของไทย Softnix Logger จะอยู่ใน SEM Function มุ่งเน้นหน้าที่จัดการและจัดเก็บ Log ตามพรบ . กำหนดเป็นหลัก ประกาศกระทรวงฯ ที่ระบุถึงหลักเกณฑ์ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ Softnix Logger ผ่านการตรวจสอบและรับรองตามมาตรฐาน มศอ . 4003.1-2552 ซึ่งเป็นมาตรฐานที่กำหนดหลักเกณฑ์ของสินค้าที่จะนำมาจัดเก็บ Log ตามพรบ . กำหนด เพื่อให้ข้อมูลหลักฐาน ซึ่งก็คือ Log นั้นมีความน่าเชื่อถือสูง เป็นที่ยอมรับทั่วกันเป็นมาตรฐาน ระบบที่ผ่านมาตรฐานนี้จึงมั่นใจได้ว่า ฟังก์ชั่นหรือหน้าที่ รวมทั้งหลักการทำงานของระบบ ถูกต้องตามมาตรฐาน โดยทางการหน่วยงานภาครัฐให้การยอมรับ เพื่อการันตีได้ว่าหลักฐาน Log file มีความน่าเชื่อถือสูง สามารถนำไปแสดงในชั้นศาลได้อย่างมั่นใจ มาตรฐานนี้ ได้กำหนดหลักเกณฑ์ต่างๆไว้อย่างเข้มงวด เช่น คุณลักษณะ การแสดงเครื่องหมาย คุ่มือ ข้อกำหนดของระบบ และวิธีการจัดการ Log การจัดเก็บที่ถูกวิธี แก้ไขไม่ได้ ลบไม่ได้ เป็นต้น ความสามารถหลักโดยสรุปของ Softnix Logger ระบบ Web Base Management สามารถจัดการระบบผ่าน Web Browser จึงทำให้การบริหารจัดการของผู้ดูแลระบบทำได้ง่าย ระบบทีการทำ Data Hashing และ Archiving ซึ่งก็คือ กระบวนการสร้างรหัสความคงสภาพ โดยรหัสนี้จะเป็นตัวบ่งบอกว่า Log File นั้นถูกต้อง โดยหากมีการนำ Log นี้ออกไปและไปแก้ไขลบหลักฐาน รหัสนี้จะเปลี่ยน ทำให้ไม่ตรงกับรหัสที่บันทึกไว้ที่ Server จะทำให้หลักฐานนั้นหมดความน่าเชื่อถือไปเลย ส่วนการ Archiving คือการรวบรวมและบีบอัด Log file เพื่อให้ประหยัดพื้นที่ในการจัดเก็บ ระบบนั้นจะจัดเก็บ Clear text log หรือที่เรียกว่า Raw Data เป็นหลัก จะไม่มีการเปลี่ยนแปลงใดๆ แก้ไขใดๆ โดยจะยึดตามระบบต้นทาง ระบบจะจัดเก็บ Log 90 วันเป็นขั้นต่ำ ไม่สามารถปรับให้จัดเก็บต่ำกว่านี้ได้ เนื่องจากกฏหมายบังคับให้จัดเก็บ 90 วันเป็นขั้นต่ำ ไม่สามารถลบหรือแก้ไข Log ได้ ระบบมี Time Server เพื่อใช้ในการปรับเวลาให้ตรงกัน ระบบสามารถตั้งค่า Alert ทางอีเมล์สำหรับเหตุการณ์ที่ Match กับ Kayword ที่กำหนดไว้ หรือตรงกับประเภทของเหตุการณ์ที่กำหนดไว้ โดยตั้งเงือขไขในการตรวจจับเพื่อให้ Alert เมื่อตรวจจับเจอได้ ในฟังก์ชั่นนี้จะเหมาะอย่างยิ่งกับ IT Audit เพื่อให้ตรวจสอบ เฝ้าเหตุการณ์ที่เกิดขึ้นได้ ระบบ Log Analyzer คือความสามารถเพิ่มเติม เป็น Option ให้เลือก โดยไม่มีมาใน License หลัก โดยหากต้องการสามารถสั่งซื้อเพิ่มได้ โดยความสามารถนี้ จะทำรายงานโดยเฉพาะ โดยมันจะทำรายงานจาก Log โดยมันจะรู้ว่า Log นั้นเป็น Log ของอะไร เช่น IIS, Apache, Cisco PIX, Juniper เป้นต้น โดยมันจะรู้จักชนิดของ Log มากกว่า 800 ชนิด ซึ่งครอบคุมอุปกรณ์ที่เป็นที่นิยมใช้งานทั่วโลก การทำงานของ Softnix Logger เมื่อ Log ส่งเข้ามา Softnix Logger โดยทั่งผ่านวิธีการส่ง Syslog หรือช่องทางอื่นๆ เช่น FTP,sFTP,CIFS,NFS,Manual Upload มันจะถูกส่งเข้ามาจัดเก็บยังส่วนจัดเก็บ Raw Log โดยส่วนนี้ทุกๆวันระบบจะทำการ Hashing เพื่อสร้างรหัสความคงสภาพ (Integrity) และบีบอัด โดยบีบอัดได้มากกว่า 10 เท่า ส่วนเวลาเดียวกัน (Real Time) อีกส่วนคือ Indexing Server จะเป็นอีก Process ที่ทำงานอิสระ ส่วนนี้จะเข้าไปทำ Index จาก Raw log เพื่อให้สามารถ Search ย้อนหลังได้ตามที่เราต้องการ ซึ่งส่วนนี้จะทำให้เราสามารถ Search ข้อมูลจาก Log ได้อย่างรวดเร็วมาก โดยมีความเร็วมากกว่าการใช้ Database ประเภท RDBMS เป็นอย่างมาก อธิบายเพิ่มเติมในภาพนี้ได้ว่า Log ที่ถูกส่งเข้ามาในรูปแบบ Syslog จะมีส่วน Log Monitor จะทำการ Monitor Traffic ของ Log หากไม่มี Log จากระบบต้นทางนั้นๆส่งเข้ามา มันจะ Alert แจ้งไปยังผู้ดูแลระบบทันที เพื่อให้ทราบว่าไม่มี Log จากต้นทางส่งเข้ามา ซึ่งอาจจะเป็นได้ว่า Server ต้นทางนั้นล่ม หรือมีการปิดวิธีการส่ง Log เข้ามา วิธีการ Monitor Traffic Log นี้ถือได้ว่ามีประโยชน์อย่างยิ่ง ผู้ดูแลระบบจะมั่นใจได้ว่า มี Log ส่งเข้ามจัดเก็บอย่างสม่ำเสมอ ไม่มีปัญหาไม่มี Log หากต้องการ Log ขึ้นมา ตัวอย่างระบบ Web Management ของ Softnix Logger ซึ่งทุกอย่าง สามารถจัดการได้ผ่านหน้า Web Admin โดยทำงานผ่าน HTTPS หน้า Dashboard จะเป้นหน้าแรกที่เมื่อ Log in เข้าระบบจะพบ โดยหน้านี้จะรายงานผลทุกอย่างที่จำเป็น เช่น ปริมาณเหตุการณ์ Log , ขนาดของพื้นที่ใน Storage ที่ใช้งานไป Services ต่างๆของระบบที่ทำงานอยู่ รวมไปถึงค่า System Resource อื่นๆด้วย Softnix Logger สามารถค้นหาเหตุการณ์จาก Log file ได้ ในแบบ Full text search คือค้นหาได้ทุกอย่างใน Log โดยสามารถกำหนดเงือนไขในการค้นหาได้อย่างละเอียด เช่น ระบุ Host ที่ต้องการค้นหา ระบุช่วงวัน เวลา ระบุ Keyword ที่ต้องการค้นหา โดยเฉพาะ keyword สามารถกำหนดเงือนไขย่อยได้ เช่น AND , OR , NOT, TO ซึ่งจะคล้ายกับการ Search ใน google และที่สำคัญระบบการค้นหานี้จะมีความเร็วมาก ซึ่งเป็นความสามารถหลักอีกจุดของ Softnix Logger ที่ได้เปรียบสินค้าอื่นๆ ที่มีจุดอ่อนในการ Search กับข้อมูลขนาดใหญ่ๆ ซึ่งจะช้า อย่างมาก จนทำให้ไม่สามารถใช้งานในส่วนนี้ได้อย่างมีประสิทธิภาพ ระบบนี้ใช้ในการตรวจสอบการส่ง Log จากอุปกรณ์ network หรือ Server หรือการทำงานของ Agent เพื่อแก้ไขปัญหาที่ว่า Log ไม่ถูกส่งมาตามเวลาที่กำหนด ระบบนี้จะทำการเช็คล่าสุดเสมอว่า มี log ที่ส่งเข้ามาเก็บหรือเปล่า หากไม่มีการส่งมาภายในเวลาที่กำหนด ระบบจะทำการแจ้งผ่านไปทางเมล์ ให้ผู้ดูแลระบบเรียบทำการแก้ไขปัญหาทันที Softnix Logger ใช้เทคโนโลยีการ Index ข้อมูล Log โดยการสร้างความสัมพันธ์ของคำ เทคโนโลยีนี้ทำให้ Softnix Logger มีความสามารถที่ได้เปรียบเหนือคู่แข่ง ระบบ Index ของ Softnix Logger เมื่อนำไปใช้งานในระบบใหญ่ๆที่มีปริมาณข้อมูลมหาศาล สามารถทำงานแบบ Replicatation และ Distribution ได้ โดยมีหลายๆตัวทำงานแบ่งกัน เพื่อให้ระบบทำงานได้เร็วมากยิ่งขึ้น การออกแบบวิธีการ Indexing ระบบขนาดใหญ่ สามารถปรึกษาทาง Softnix ได้ ตัวอย่างการระบุเงือนไขเวลาในการค้นหา โดยสามารถระบุเงือนไขเวลาได้ในหลักวินาทีได้เลย Raw Log ของไฟล์จะมีการสร้างรหัสความคงสภาพกำกับด้วย โดย Softnix Logger ใช้วิธีการสร้างรหัสความคงสภาพ 2 วิธีคือ MD5 และ SHA Version 1 โดยเฉพาะ SHA-1 นั้นถือได้ว่าเป็นวิธีการที่น่าเชื่อถือสูงสุดในตอนนี้ รหัสความคงสภาพนี้จะใช้ยินยันความถูกต้องของไฟล์ Log ว่าตรงกับตัวต้นฉบับหรือไม่ หากจะต้องนำ Log นั้นออกไปพิสูจน์ความน่าเชื่อถือ Softnix Logger สามารถทำการ Monitor เหตุการณ์เพื่อ Alert แจ้งทางอีเมล์หรือแยกเป็น File Raw Log เฉพาะเหตุการณ์ที่สัมพันธ์นี้เท่านั้น หลักการณ์ทำงานในส่วนนี้เช่น ให้ตรวจสอบ Log จาก Host ที่เลือกในช่อง Select Host โดยระบุเงือนไขเพิ่มเติมได้แบบ และ / หรือ ได้ว่าถ้าเป็นเหตุการณ์แบบ Facility ใด และ / หรือ Priority ใด และ / หรือ Keyword ใด ให้ - To Log file คือแยกเป็นไฟล์เฉพาะขึ้นมา แยกมาจากไฟล์หลัก โดยเราสามารถดาวน์โหลด Log เฉพาะเหตุการณ์นี้ออกมาดูได้ - To Mail ให้ระบุอีเมลืที่ต้องการจะส่งให้ หากระบบตรวจพบตามเงือนไขนี้ Softnix Logger สามารถทำงานได้ 2 Mode คือ Server Mode และ Proxy Mode โดย Server Mode จะทำหน้าที่เป็น Centralized Log Server จัดเก็บ Log ตามจุดประสงค์หลัก Proxy Mode จะทำหน้าที่รับ Log จากระบบต้นทางแล้วส่งต่อไป Server Mode โดยที่ตัวมันเองก็เก็บด้วย เหมาะสำหรับการติดตั้งยังสำนักงานสาขา เพื่อส่ง Log ต่อมาจัดเก็บที่สำนักงานใหญ่ นอกจากนี้ระบบยังสามารถปรับแต่งประสิทธิภาพให้เหมาะสมกับสภาพ Network และปริมาณการใช้งานได้ด้วย นอกจากนี้ Softnix Logger ยังมีกราฟฟิกที่แสดงปริมาณ Traffic ของ Log ที่ส่งเข้ามา ซึ่งดูง่าย คล้ายมีใน Network Monitor Software ทั่วไป และยังมีส่วนกำหนดค่าการ Alert โดยระบุอีเมล์ของผู้ที่จะรับ Alert เหตุการณ์ต่างๆ ซึ่งสามารถระบุว่าจะให้ Alert เหตุการณ์อะไรบ้าง เช่น พื้นที่ใกล้เต็ม ระบบ Softnix Logger มีปัญหาต่างๆ เป็นต้น Softnix Logger สามารถกำหนดชั้นความลับของข้อมูลได้ 2 วิธี วิธีที่ 1 คือการกำหนดสิทธิ์ในระดับ Function คือการกำหนดว่า Admin User อื่นๆที่เรากำหนดขึ้น ให้สามารถเห็นเมนูอะไรบ้างใน Softnix Logger ซึ่งเราสามารถกำหนดสิทธิ์ในการมอบหมายหน้าที่เฉพาะอย่างใดอย่างหนึ่งให้แก Admin คนอื่นๆได้ วิธีที่ 2 การกำหนดสิทธิ์ระดับ Log File โดยสามารถระบุได้ว่าจะให้เจอ Log File จาก Host อะไรได้บ้าง เช่น Admin ที่มีหน้าที่จัดการ Firewall ก็ควรจะสามารถตรวจสอบ Log ของ Firewall ได้อย่างเดียว ไม่ควรจะตรวจสอบหรือค้นหา Log ของ Server อื่นๆที่ตัวเองไม่เกี่ยวข้องได้ การกำหนดชั้นความลับแบบต่างๆนี้ Softnix Logger จะบันทึกเป็น Log ไว้ด้วย ว่าใครเข้ามาดูอะไร แก้ไขเปลี่ยนแปลง Config อะไรบ้างของระบบ Softnix Logger ทำหน้าที่เป็น Time Server ได้ด้วย ประโยชน์ของ Time Server คือ เป็นต้วที่ใช้อ้างอิงเวลาให้กับ Server อื่นๆ เพื่อให้เวลาจาก Server ต่างๆที่มาอ้างอิงนี้เวลาตรงกันทั้งหมด เป็นประโยชน์ต่อการวิเคราะห์เหตุการณ์จาก Log ที่เกี่ยวข้องกับเวลา โดยประกาศกระทรวงฯได้กำหนดหลักเกณฑ์ในส่วนนี้ไว้ด้วยว่า ผู้ดูแลระบบควรมีการตั้งค่าเวลาใน Server หรืออุปกรณ์ Network ต่างๆให้มีเวลาตรงกัน โดยการไป Synchronize Time จาก Time Server อันเดียวกันทั้งหมด โดย Time Server นั้นต้องมีเวลาที่ตรงกับ Time Server ที่มีคุณสมบัติเป็น Stratum 0 ซึ่งเวลาที่ Stratum 0 Server กับ Time Server ที่เราอ้างอิง จะต้องผิดพลาดไม่เกิน 10 มิลลิวินาที Softnix Logger สามารถทำหน้าที่เป็น Time Server ได้ โดยระบบถูกกำหนดให้ Sync Time กับ Time Server ของมาตรวิทยา ซึ่งเป็นหน่วยงานหลักของประเทศไทยที่กำหนดเรื่องมาตรฐานเวลาในประเทศไทย โดย Time Server ของมาตรวิทยามีคุณสมบัติเป็น Stratum 1 Server softnix Logger ยังสามารถรายงานสถานะของเวลาได้ว่ามีเวลาที่ผิดพลาดกับ Stratum 0 นั้นกี่มิลลิวินาที ทำให้มั่นใจได้ว่าเวลาที่ Softnix Logger นั้นถูกต้องเพียงใด Softnix Logger รองรับอุปกรณ์ทุกชนิดที่ Support Syslog และหากไม่ Support Syslog เช่น Windows Server จะมี Syslog Agent เพื่อทำหน้าที่แปลง Log File เป็น Syslog ส่งเข้ามา Softnix Logger ได้ ซึ่งครอบคุมระบบ Server อุปกรณ์เครือข่ายในปัจจุบัน ระบบวิเคราะห์ Log File พร้อมทั้งรายงานผล รองรับ Log File หลากหลายรูปแบบ มากกว่า 800 ชนิด โดยระบบมีการวิเคราะห์ Format ของ Log File อัตโนมัติ ทำให้ระบบรู้ว่าเป็น Log ประเภทอะไร รายงานผลถูกต้อง ตัวอย่างรายงานผลของ Web Server Log เช่น IIS,Apache ซึ่งจะทราบถึงจำนวน Page View, Hits Count ตัวอย่าง Report ของอุปกรณ์ Bluecoat รายงานแสดงผล Bandwidth ที่ถูกใช้งาน การดาวน์โหลดไฟล์จาก internet โดยระบุได้ว่ามาจาก IP อะไร ดาวน์โหลดจากเว็บไซต์อะไร และ username อะไร ตัวอย่างของการรายงานผลของ Web Server Log ทำให้ทราบว่า ผู้เข้าเว็บไซต์ ใช้ Keyword อะไรบ้างใน Google เพื่อเข้าเว็บไซต์ รายงาน Proxy Log โดยทราบถึงเว็บที่เข้ามากที่สุด ตัวอย่าง Report ของ Mail Server รองรับ Postfix, Sendmail, Exchange ตัวอย่าง Report ของ Firewall ทำให้ทราบว่า IP อะไร ใช้ Bandwidth มากที่สุด ในกรณีที่ใช้ Firewall ใน Mode ของ Authentication จะทำให้ทราบเพิ่มเติมว่า user อะไร ใช้ Bandwidth มากที่สุด Report สามารถกำหนดสิทธิ์ในการควบคุม ดูแลได้ในลักษณะของ Rule Based กำหนดส่ง Report ไปแจ้งทาง Email รองรับการปรับแต่ง จากระบบส่วนกลางสามารถ Monitor การทำงานของ Softnix Logger Forwarder Server ของสาขาได้แบบ Real Time