二、日志审计的部署方式

• 单机旁路部署：一般旁挂接入于网络关键节点，无需改变现有网络架构，日志审计设备与日志源设备能网络可达即可。

• 分布式部署：在多分支场景中，在每个分支节点部署数据采集器或代理，将各分支的日志数据传输到总部的日志审计平台进行统一的数据处理和分析。此架构不仅保障了日志数据的完整性，还提高了日志审计系统的扩展性和可靠性。

  
  

三、日志审计的功能

• 日志采集：支持syslog、snmp、kafka、ftp、sftp、webservice、winlogbeat等多种日志协议，覆盖主流安全设备、主机及应用，保障日志信息的全面收集。

• 日志解析：通过预置的解析规则实现不同厂商日志源的日志解析、过滤和聚合，将采集到的原始数据转义为可分析的格式。

• 关联分析：支持全维度、跨设备、细粒度的关联分析，内置众多关联规则，帮助IT运维人员发现企业网络中潜在的安全事件和风险。

• 数据检索：提供丰富灵活的日志查询方式，支持全文、key-value、多kv布尔组合等多种检索方式，方便用户快速定位日志信息。

• 日志监控：提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，确保日志系统的稳定运行。

• 日志存储：提供原始日志、范式化日志的存储，支持自定义存储周期和多种存储扩展方式。

• 日志转发：支持原始日志、范式化日志的转发，方便与其他安全设备进行联动。

• 日志事件告警：内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，当检测到异常或重要安全事件时，及时通知管理员。

• 日志报表管理：支持丰富的内置报表以及灵活的自定义报表模式，满足不同审计需求。

四、数据采集方式

• 主动收集：wmi、jdbc、webservice、ftp、sftp

• 被动接收：syslog、winlogbeat、snmp trap、kafka

五、日志审计的价值

• 满足法律法规要求： 如《网络安全法》第21条 要求企业留存相关网络日志6个月

• 提升安全运维管理能力：通过全面收集和分析日志信息，及时发现潜在的安全威胁和异常行为事件，为企业整体安全防线提供有力支持。

• 助力事后分析和调查取证：当发生安全事件时，日志审计设备能够提供必要的信息支持事后分析和调查取证工作。

六、日志审计的主流厂商