日志審計系統怎么區分

一般根據不同的會話來區分日志審計系統，具體分為以下這些：

• HTTP 會話審計

  從流量中還原 HTTP 會話數據，并根據會話特征進一步深度解析 HTTP BBS訪問、HTTP 網頁標題、HTTP 威脅情報、HTTP DGA 域名（DGA 域名庫、機器學習）、搜索關鍵詞及其他 HTTP 會話等，數據中至少包含請求方法、返回值、主機名、網頁地址、用戶代理、語言、服務器類型等數據。

• DNS 會話審計

  從流量中還原 DNS 會話數據，并根據會話特征進一步深度解析 DNS 威脅情報、DNS DGA 域名、DNS 解碼錯誤、DNS 解析錯誤、DNS 解析超時，數據中至少包含請求域名（FQDN）、DNS 服務器地址、DNS 服務器端口、請求返回解析地址等信息。

• FTP 會話審計

  從流量中還原 FTP 會話數據，數據中至少包含登錄用戶、傳輸文件名以及操作命令等信息。

• Telnet 會話審計

  從流量中還原 Telnet 會話數據，數據中至少包含登錄用戶以及操作命令的實際內容等信息。數據庫會話審計從流量中還原主流數據庫會話數據，如 Mysql、SQLServer、Oracle 等主流數據庫，數據中至少應包含登錄用戶名、操作命令（抓取 SQL 語句）等信息。

• 郵件會話審計

  從流量中還原郵件會話數據，包括 POP3，SMTP、IMAP 協議，數據中至少包含收件人、發件人、主題、附件名稱等信息。

• TLS 會話審計

  從流量中還原 TLS 會話數據，主要針對 SSL/TLS 握手部分（非加密），數據中至少包含服務器及客戶端證書、服務器名稱等信息。

• 工控會話審計

  從流量中還原應用協議為 IEC104、MMS、MODBUS、OPC、OPCUA、EthernetI IP 和 CIP 的工控會話，數據中包含工控會話的 MODBUS 的功能碼、功能描述，支持解析 IEC、EthernetI IP 和 CIP 的命令等信息。

回答所涉及的環境：聯想天逸510S、Windows 10。