為什么要對日志進行審計

對日志進行審計目的如下：

• 日志審計是信息安全管理的需要：因為日志審計是日常信息安全管理中最為重要的環節之一；能從紛繁復雜的日志中萃取出具有價值的部分是各類信息安全管理者、參與者、相關者最大的訴求，故選擇一款高可靠、高性能、具備強大功能的日志集中審計系統就成為必須；

• 日志審計是是安全技術保障體系建設要求的需要：一個完整的信息安全技術保障體系應由檢測、保護和響應三部分組成，而日志審計是檢測安全事件的不可或缺重要手段之一。目前，大部分信息系統的所依賴的IDS/IPS系統只能檢測部分來之網絡的入侵事件，對運維人員的違規操作、系統運行異常、設備故障等安全事件缺乏監控能力，而這些異常事件恰恰是對內部信息系統安全威脅的最大部分。日志審計系統通過分析各設備、系統、應用、數據庫產生的運行日志，能夠及時發現檢測系統檢測到的各類安全隱患，并及時給予告警，從而避免安全事件的發生；

• 日志審計是是各種規范符合性要求的需要：如《信息安全等級保護》（幾乎各級均要求提供審計功能）、《信息安全風險管理規范》、《基于互聯網電子政務信息安全指南》、《銀行業金融機構信息系統管理指引》等等。此外，國際上的相關標準、規范也均明確提出信息安全審計系統的重要性，如ISO27001等均要求企業對重要系統、設備的運日志進行保留，并且周期性地進行第三方審計。

日志審計系統最起碼應該有以下功能：

• 日志監控功能提供日志監控能力，支持對采集器、采集器資產的實時狀態進行監控，支持查看CPU、磁盤、內存總量及當前使用情況；支持查看資產的概覽信息及資產關聯的事件分布。

• 日志采集功能：提供全面的日志采集能力，支持網絡安全設備、網絡設備、數據庫、windows/linux主機日志、web服務器日志、虛擬化平臺日志以及自定義等日志。提供多種的數據源管理功能：支持數據源的信息展示與管理、采集器的信息展示與管理以及agent的信息展示與管理；提供分布式外置采集器、Agent等多種日志采集方式；支持IPv4、IPv6日志采集、分析以及檢索查詢。

• 日志存儲功能：提供原始日志、范式化日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網絡文件共享存儲等多種存儲擴展方式。

• 日志檢索功能：提供豐富靈活的日志查詢方式，支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索；提供便捷的日志檢索操作，支持保存檢索、從已保存的檢索導入見多條件等。

• 日志分析功能：提供便捷的日志分析操作，支持對日志進行分組、分組查詢以及從葉子節點可直接查詢分析日志。

• 日志轉發功能：支持原始日志、范式化日志轉發。

• 日志事件告警功能：內置豐富的單源、多源事件關聯分析規則，支持自定義事件規則，可按照日志、字段布爾邏輯關系等方式自定義規則；支持時間的查詢、查詢結果統計以及統計結果的展示等；支持對告警規則的自定義，可設置針對事件的各種篩選規則、告警等級等。

• 日志報表管理功能：支持豐富的內置報表以及靈活的自定義報表模式，支持編輯報表的目錄接口、引用統計項、設置報表標題、展示頁眉和頁碼、報表配置基本內容（名稱、描述等）；支持實時報表、定時報表、周期性任務報表等方式；支持html，pdf，word格式的報表文件以及報表logo的靈活配置。

回答所涉及的環境：聯想天逸510S、Windows 10。