为什么要对日志进行审计

对日志进行审计目的如下：

• 日志审计是信息安全管理的需要：因为日志审计是日常信息安全管理中最为重要的环节之一；能从纷繁复杂的日志中萃取出具有价值的部分是各类信息安全管理者、参与者、相关者最大的诉求，故选择一款高可靠、高性能、具备强大功能的日志集中审计系统就成为必须；

• 日志审计是是安全技术保障体系建设要求的需要：一个完整的信息安全技术保障体系应由检测、保护和响应三部分组成，而日志审计是检测安全事件的不可或缺重要手段之一。目前，大部分信息系统的所依赖的IDS/IPS系统只能检测部分来之网络的入侵事件，对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力，而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。日志审计系统通过分析各设备、系统、应用、数据库产生的运行日志，能够及时发现检测系统检测到的各类安全隐患，并及时给予告警，从而避免安全事件的发生；

• 日志审计是是各种规范符合性要求的需要：如《信息安全等级保护》（几乎各级均要求提供审计功能）、《信息安全风险管理规范》、《基于互联网电子政务信息安全指南》、《银行业金融机构信息系统管理指引》等等。此外，国际上的相关标准、规范也均明确提出信息安全审计系统的重要性，如ISO27001等均要求企业对重要系统、设备的运日志进行保留，并且周期性地进行第三方审计。

日志审计系统最起码应该有以下功能：

• 日志监控功能提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，支持查看CPU、磁盘、内存总量及当前使用情况；支持查看资产的概览信息及资产关联的事件分布。

• 日志采集功能：提供全面的日志采集能力，支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志。提供多种的数据源管理功能：支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理；提供分布式外置采集器、Agent等多种日志采集方式；支持IPv4、IPv6日志采集、分析以及检索查询。

• 日志存储功能：提供原始日志、范式化日志的存储，可自定义存储周期，支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式。

• 日志检索功能：提供丰富灵活的日志查询方式，支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索；提供便捷的日志检索操作，支持保存检索、从已保存的检索导入见多条件等。

• 日志分析功能：提供便捷的日志分析操作，支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志。

• 日志转发功能：支持原始日志、范式化日志转发。

• 日志事件告警功能：内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则；支持时间的查询、查询结果统计以及统计结果的展示等；支持对告警规则的自定义，可设置针对事件的各种筛选规则、告警等级等。

• 日志报表管理功能：支持丰富的内置报表以及灵活的自定义报表模式，支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容（名称、描述等）；支持实时报表、定时报表、周期性任务报表等方式；支持html，pdf，word格式的报表文件以及报表logo的灵活配置。