＜网络安全＞《14 日志审计系统》

1 概念

日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响应和报告的系统。

日志审计系统是一种用于记录、监视和分析系统日志的工具或系统。它主要用于帮助组织实时监控与分析各种事件和行为的日志记录，以便检测潜在的安全威胁，了解系统性能和进行故障排除。日志审计系统通常能够收集、存储和分析来自各种源的日志数据，例如操作系统、应用程序、网络设备等。通过对日志数据进行集中管理和分析，日志审计系统帮助组织提高安全性、遵守合规性要求，并支持故障排除和性能优化。

2 基本功能

日志监控
提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，支持查看CPU、磁盘、内存总量及当前使用情况；支持查看资产的概览信息及资产关联的事件分布；
日志采集
提供全面的日志采集能力：支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志；
提供多种的数据源管理功能：支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理；提供分布式外置采集器、Agent等多种日志采集方式；支持IPv4、IPv6日志采集、分析以及检索查询；
日志存储
提供原始日志、范式化日志的存储，可自定义存储周期，支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
日志检索
提供丰富灵活的日志查询方式，支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索；
提供便捷的日志检索操作，支持保存检索、从已保存的检索导入见多条件等；
日志分析
提供便捷的日志分析操作，支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志；
日志转发
支持原始日志、范式化日志转发
日志事件告警
内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则；支持时间的查询、查询结果统计以及统计结果的展示等；支持对告警规则的自定义，可设置针对事件的各种筛选规则、告警等级等；
日志报表管理
支持丰富的内置报表以及灵活的自定义报表模式，支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容（名称、描述等）；支持实时报表、定时报表、周期性任务报表等方式；支持html，pdf，word格式的报表文件以及报表logo的灵活配置；

3 性能指标

日志监控
提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，支持查看CPU、磁盘、内存总量及当前使用情况；支持查看资产的概览信息及资产关联的事件分布；
日志采集
提供全面的日志采集能力：支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志；
提供多种的数据源管理功能：支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理；提供分布式外置采集器、Agent等多种日志采集方式；支持IPv4、IPv6日志采集、分析以及检索查询；
日志存储
提供原始日志、范式化日志的存储，可自定义存储周期，支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
日志检索
提供丰富灵活的日志查询方式，支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索；
提供便捷的日志检索操作，支持保存检索、从已保存的检索导入见多条件等；
日志分析
提供便捷的日志分析操作，支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志；
日志转发
支持原始日志、范式化日志转发
日志事件告警
内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则；支持时间的查询、查询结果统计以及统计结果的展示等；支持对告警规则的自定义，可设置针对事件的各种筛选规则、告警等级等；
日志报表管理
支持丰富的内置报表以及灵活的自定义报表模式，支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容（名称、描述等）；支持实时报表、定时报表、周期性任务报表等方式；支持html，pdf，word格式的报表文件以及报表logo的灵活配置；

4 日志审计系统的要求

1. 传统日志审计系统面临的挑战
   ·结构化数据库存储，横向扩展能力有限
   ·日志数据格式复杂，输出格式多种多样
   ·海量日志日积月累，检索查询速度缓慢

2. 日志审计系统的优点
   安全性增强：日志审计系统可以帮助组织实时监测和分析日志事件，以便发现潜在的安全漏洞和威胁。通过对日志数据进行分析，它可以识别异常活动、安全攻击和潜在的数据泄露，从而加强系统的安全性。
   合规性支持：日志审计系统可以帮助组织满足合规性要求，如PCI DSS、HIPAA等。它可以记录和审计敏感操作、访问控制事件和数据更改，以便进行合规性审核并提供必要的报告。
   故障排除与性能优化：通过分析系统日志，日志审计系统可以帮助组织快速发现和解决故障。它可以跟踪系统错误、异常行为和性能问题，使管理员能够迅速定位和解决潜在的技术故障，从而提高系统的可用性和性能。
   日志集中管理：日志审计系统可以收集和存储来自多个源的日志数据，使其集中管理和检索更加高效。这样可以避免手动搜索和分析多个日志源，简化日志管理流程。
   实时监控与报警：日志审计系统可以实时监控关键事件和行为，并根据预设的规则和阈值发送警报通知。这可以帮助管理员及时响应潜在的安全问题或异常活动。