日志審計系統是一款用于信息系統日志審計的安全產品。能夠通過主被動結合的手段，實時不間斷地采集用戶網絡中各種不同廠商的安全設備、網絡設備、主機、操作系統、以及各種應用系統產生的海量日志信息，并將這些信息匯集到審計中心，進行集中化存儲、備份、查詢、審計、告警、響應，并出具豐富的報表報告，獲悉全網的整體安全運行態勢，實現全生命周期的日志管理。具有廣泛的應用范圍和客戶群，在政府、電信、金融、電力、公安、軍工、企業等行業均有成功的應用。

功能特點

?集中化的日志綜合審計

提供了強大的日志綜合審計功能，為不用層級的用戶提供了多視角、多層次的審計視圖。系統提供全局監視儀表板、實時審計視圖、內置或自定義策略的統計視圖、超強的日志查詢和報表管理功能，支持日志的模糊查詢和自定義報表。

?高性能的日志管理技術架構

為了應對海量日志管理帶來的挑戰，采用了國內領先的高性能日志采集、分析與存儲架構，從產品技術架構的層面，進行了系統性的設計，真正使得產品成為一款能夠支撐持續海量日志管理的系統。

?高適應性日志采集

日志審計類產品的一項核心能力就是對審計數據源的日志采集。對于用戶而言，采集日志面臨的最大挑戰就是：審計數據源分散、日志類型多樣、日志量大。為此，綜合采用多種技術手段，充分適應用戶實際網絡環境的運行情況，采集用戶網絡中分散在各個位置的各種廠商、各種類型的海量日志。

?詳盡的日志范式化和日志分類

對收集的各種日志進行范式化處理，將各種不同表達方式的日志轉換成統一的描述形式。審計人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計工作效率。與此同時，將原始日志都原封不動地保存了下來，以備調查取證之用。審計員也可以直接對原始日志進行模糊查詢。

?基于策略的安全事件分析

系統為用戶在進行安全日志及事件的實時分析和歷史分析的時候提供了一種全新的分析體驗——基于策略的安全事件分析過程。用戶可以通過豐富的事件分析策略對全網的安全事件進行全方位、多視角、大跨度、細粒度的實時監測、統計分析、查詢、調查、追溯、地圖定位、可視化分析展示等。

?可視化日志審計

為用戶提供了豐富的可視化審計視圖，充分提升審計效率。包括：審計對象拓撲圖、IP在線世界地圖定位、IP離線世界地圖定位、事件分時圖、事件拓撲圖、事件多維分析圖等。

?豐富靈活的報表報告

出具報表報告是安全審計系統的重要用途，內置了豐富的報表模板，包括統計報表、明細報表、綜合審計報告，審計人員可以根據需要生成不同的報表。系統內置報表生成調度器，可以定時自動生成日報、周報、月報、季報、年報，并支持以郵件等方式自動投遞，支持以PDF、Excel、Word等格式導出，支持打印。

系統還內置了一套報表編輯器，用戶可以自行設計報表，包括報表的頁面版式、統計內容、顯示風格等。

?支持大規模部署和功能擴展

支持大規模分布式部署，包括分布式采集和分布式存儲，支持大規模大數據量日志審計，還能與SOC安全管理平臺融合。

典型應用

?單級單機部署

單級單機部署是最簡潔的系統部署模式，適用于大部分網絡環境。用戶僅需在一臺服務器上部署審計中心部件。此時，審計中心可以直接采集管理對象的日志信息。系統使用者通過瀏覽器登錄安全管理平臺的WEB站點即可依照相關的權限進行各種管理操作。

?采集器分布式部署

采集器分布式部署是指將日志采集功能采用分布式采集器部件進行部署的模式。以下情形，可考慮采集器分布式部署：需要進行管理的節點規模較大，且分散在物理網絡中的多個位置；有的被審計節點與審計中心不在同一個邏輯網絡中；有的被審計節點與審計中心所在網絡是跨廣域網連接的，且廣域網接入的帶寬容量有限。

?存儲分布式部署

存儲分布式是指通過部署分布式事件存儲器，將海量安全事件分散存儲在不同的存儲器上，通過數據分布式處理技術實現天量數據的高性能處理能力。

?級聯部署

級聯部署是指部署多個管理中心，并構建起一個總中心連接若干個分中心的部署模式。該模式適用于具有分支機構或者垂直管理下屬機構的企事業單位，以適應用戶多級管理的體制。

技術優勢

系統簡單實用、界面美觀大方、內置豐富的儀表板，適用于各級管理人員; 

具有國內領先的高性能日志管理技術，使得系統在日志采集、分析和存儲三個方面獲得了本質的性能提升。

獨有的審計數據源擴展機制，可以方便地實現新設備類型的日志采集。

自學習的事件范式化技術，提高日志分析效率。

支持分布式日志采集和事件存儲、審計中心級聯，支持大規模部署。

對用戶網絡和業務影響最小：在實現對用戶網絡中的IT設施進行集中日志審計的同時，采取多種技術手段，力求對用戶網絡和業務的影響最小化。

具備完善的自身安全性設計，保證系統自身的安全等級符合用戶的整體安全策略。

日志審計系統與安全管理平臺采用完全相同的技術框架，因此，安全管理平臺建設可以在現有日志審計系統的基礎上，將日志審計系統作為安管平臺的日志采集輸入部件。同時，由于兩者具有完全相同的界面框架，因而日志審計系統的界面可以與安管平臺的界面進行整合，就像一個系統一樣。