日志審計(jì)系統(tǒng)是一款用于信息系統(tǒng)日志審計(jì)的安全產(chǎn)品。能夠通過主被動(dòng)結(jié)合的手段，實(shí)時(shí)不間斷地采集用戶網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息，并將這些信息匯集到審計(jì)中心，進(jìn)行集中化存儲(chǔ)、備份、查詢、審計(jì)、告警、響應(yīng)，并出具豐富的報(bào)表報(bào)告，獲悉全網(wǎng)的整體安全運(yùn)行態(tài)勢(shì)，實(shí)現(xiàn)全生命周期的日志管理。具有廣泛的應(yīng)用范圍和客戶群，在政府、電信、金融、電力、公安、軍工、企業(yè)等行業(yè)均有成功的應(yīng)用。

功能特點(diǎn)

?集中化的日志綜合審計(jì)

提供了強(qiáng)大的日志綜合審計(jì)功能，為不用層級(jí)的用戶提供了多視角、多層次的審計(jì)視圖。系統(tǒng)提供全局監(jiān)視儀表板、實(shí)時(shí)審計(jì)視圖、內(nèi)置或自定義策略的統(tǒng)計(jì)視圖、超強(qiáng)的日志查詢和報(bào)表管理功能，支持日志的模糊查詢和自定義報(bào)表。

?高性能的日志管理技術(shù)架構(gòu)

為了應(yīng)對(duì)海量日志管理帶來的挑戰(zhàn)，采用了國(guó)內(nèi)領(lǐng)先的高性能日志采集、分析與存儲(chǔ)架構(gòu)，從產(chǎn)品技術(shù)架構(gòu)的層面，進(jìn)行了系統(tǒng)性的設(shè)計(jì)，真正使得產(chǎn)品成為一款能夠支撐持續(xù)海量日志管理的系統(tǒng)。

?高適應(yīng)性日志采集

日志審計(jì)類產(chǎn)品的一項(xiàng)核心能力就是對(duì)審計(jì)數(shù)據(jù)源的日志采集。對(duì)于用戶而言，采集日志面臨的最大挑戰(zhàn)就是：審計(jì)數(shù)據(jù)源分散、日志類型多樣、日志量大。為此，綜合采用多種技術(shù)手段，充分適應(yīng)用戶實(shí)際網(wǎng)絡(luò)環(huán)境的運(yùn)行情況，采集用戶網(wǎng)絡(luò)中分散在各個(gè)位置的各種廠商、各種類型的海量日志。

?詳盡的日志范式化和日志分類

對(duì)收集的各種日志進(jìn)行范式化處理，將各種不同表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。審計(jì)人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計(jì)工作效率。與此同時(shí)，將原始日志都原封不動(dòng)地保存了下來，以備調(diào)查取證之用。審計(jì)員也可以直接對(duì)原始日志進(jìn)行模糊查詢。

?基于策略的安全事件分析

系統(tǒng)為用戶在進(jìn)行安全日志及事件的實(shí)時(shí)分析和歷史分析的時(shí)候提供了一種全新的分析體驗(yàn)——基于策略的安全事件分析過程。用戶可以通過豐富的事件分析策略對(duì)全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實(shí)時(shí)監(jiān)測(cè)、統(tǒng)計(jì)分析、查詢、調(diào)查、追溯、地圖定位、可視化分析展示等。

?可視化日志審計(jì)

為用戶提供了豐富的可視化審計(jì)視圖，充分提升審計(jì)效率。包括：審計(jì)對(duì)象拓?fù)鋱D、IP在線世界地圖定位、IP離線世界地圖定位、事件分時(shí)圖、事件拓?fù)鋱D、事件多維分析圖等。

?豐富靈活的報(bào)表報(bào)告

出具報(bào)表報(bào)告是安全審計(jì)系統(tǒng)的重要用途，內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動(dòng)生成日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)，并支持以郵件等方式自動(dòng)投遞，支持以PDF、Excel、Word等格式導(dǎo)出，支持打印。

系統(tǒng)還內(nèi)置了一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁(yè)面版式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等。

?支持大規(guī)模部署和功能擴(kuò)展

支持大規(guī)模分布式部署，包括分布式采集和分布式存儲(chǔ)，支持大規(guī)模大數(shù)據(jù)量日志審計(jì)，還能與SOC安全管理平臺(tái)融合。

典型應(yīng)用

?單級(jí)單機(jī)部署

單級(jí)單機(jī)部署是最簡(jiǎn)潔的系統(tǒng)部署模式，適用于大部分網(wǎng)絡(luò)環(huán)境。用戶僅需在一臺(tái)服務(wù)器上部署審計(jì)中心部件。此時(shí)，審計(jì)中心可以直接采集管理對(duì)象的日志信息。系統(tǒng)使用者通過瀏覽器登錄安全管理平臺(tái)的WEB站點(diǎn)即可依照相關(guān)的權(quán)限進(jìn)行各種管理操作。

?采集器分布式部署

采集器分布式部署是指將日志采集功能采用分布式采集器部件進(jìn)行部署的模式。以下情形，可考慮采集器分布式部署：需要進(jìn)行管理的節(jié)點(diǎn)規(guī)模較大，且分散在物理網(wǎng)絡(luò)中的多個(gè)位置；有的被審計(jì)節(jié)點(diǎn)與審計(jì)中心不在同一個(gè)邏輯網(wǎng)絡(luò)中；有的被審計(jì)節(jié)點(diǎn)與審計(jì)中心所在網(wǎng)絡(luò)是跨廣域網(wǎng)連接的，且廣域網(wǎng)接入的帶寬容量有限。

?存儲(chǔ)分布式部署

存儲(chǔ)分布式是指通過部署分布式事件存儲(chǔ)器，將海量安全事件分散存儲(chǔ)在不同的存儲(chǔ)器上，通過數(shù)據(jù)分布式處理技術(shù)實(shí)現(xiàn)天量數(shù)據(jù)的高性能處理能力。

?級(jí)聯(lián)部署

級(jí)聯(lián)部署是指部署多個(gè)管理中心，并構(gòu)建起一個(gè)總中心連接若干個(gè)分中心的部署模式。該模式適用于具有分支機(jī)構(gòu)或者垂直管理下屬機(jī)構(gòu)的企事業(yè)單位，以適應(yīng)用戶多級(jí)管理的體制。

技術(shù)優(yōu)勢(shì)

系統(tǒng)簡(jiǎn)單實(shí)用、界面美觀大方、內(nèi)置豐富的儀表板，適用于各級(jí)管理人員; 

具有國(guó)內(nèi)領(lǐng)先的高性能日志管理技術(shù)，使得系統(tǒng)在日志采集、分析和存儲(chǔ)三個(gè)方面獲得了本質(zhì)的性能提升。

獨(dú)有的審計(jì)數(shù)據(jù)源擴(kuò)展機(jī)制，可以方便地實(shí)現(xiàn)新設(shè)備類型的日志采集。

自學(xué)習(xí)的事件范式化技術(shù)，提高日志分析效率。

支持分布式日志采集和事件存儲(chǔ)、審計(jì)中心級(jí)聯(lián)，支持大規(guī)模部署。

對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最?。涸趯?shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)中的IT設(shè)施進(jìn)行集中日志審計(jì)的同時(shí)，采取多種技術(shù)手段，力求對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。

具備完善的自身安全性設(shè)計(jì)，保證系統(tǒng)自身的安全等級(jí)符合用戶的整體安全策略。

日志審計(jì)系統(tǒng)與安全管理平臺(tái)采用完全相同的技術(shù)框架，因此，安全管理平臺(tái)建設(shè)可以在現(xiàn)有日志審計(jì)系統(tǒng)的基礎(chǔ)上，將日志審計(jì)系統(tǒng)作為安管平臺(tái)的日志采集輸入部件。同時(shí)，由于兩者具有完全相同的界面框架，因而日志審計(jì)系統(tǒng)的界面可以與安管平臺(tái)的界面進(jìn)行整合，就像一個(gè)系統(tǒng)一樣。