日志审计系统是一款用于信息系统日志审计的安全产品。能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。具有广泛的应用范围和客户群，在政府、电信、金融、电力、公安、军工、企业等行业均有成功的应用。

功能特点

•集中化的日志综合审计

提供了强大的日志综合审计功能，为不用层级的用户提供了多视角、多层次的审计视图。系统提供全局监视仪表板、实时审计视图、内置或自定义策略的统计视图、超强的日志查询和报表管理功能，支持日志的模糊查询和自定义报表。

•高性能的日志管理技术架构

为了应对海量日志管理带来的挑战，采用了国内领先的高性能日志采集、分析与存储架构，从产品技术架构的层面，进行了系统性的设计，真正使得产品成为一款能够支撑持续海量日志管理的系统。

•高适应性日志采集

日志审计类产品的一项核心能力就是对审计数据源的日志采集。对于用户而言，采集日志面临的最大挑战就是：审计数据源分散、日志类型多样、日志量大。为此，综合采用多种技术手段，充分适应用户实际网络环境的运行情况，采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志。

•详尽的日志范式化和日志分类

对收集的各种日志进行范式化处理，将各种不同表达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息，从而大大提升审计工作效率。与此同时，将原始日志都原封不动地保存了下来，以备调查取证之用。审计员也可以直接对原始日志进行模糊查询。

•基于策略的安全事件分析

系统为用户在进行安全日志及事件的实时分析和历史分析的时候提供了一种全新的分析体验——基于策略的安全事件分析过程。用户可以通过丰富的事件分析策略对全网的安全事件进行全方位、多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、可视化分析展示等。

•可视化日志审计

为用户提供了丰富的可视化审计视图，充分提升审计效率。包括：审计对象拓扑图、IP在线世界地图定位、IP离线世界地图定位、事件分时图、事件拓扑图、事件多维分析图等。

•丰富灵活的报表报告

出具报表报告是安全审计系统的重要用途，内置了丰富的报表模板，包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表。系统内置报表生成调度器，可以定时自动生成日报、周报、月报、季报、年报，并支持以邮件等方式自动投递，支持以PDF、Excel、Word等格式导出，支持打印。

系统还内置了一套报表编辑器，用户可以自行设计报表，包括报表的页面版式、统计内容、显示风格等。

•支持大规模部署和功能扩展

支持大规模分布式部署，包括分布式采集和分布式存储，支持大规模大数据量日志审计，还能与SOC安全管理平台融合。

典型应用

•单级单机部署

单级单机部署是最简洁的系统部署模式，适用于大部分网络环境。用户仅需在一台服务器上部署审计中心部件。此时，审计中心可以直接采集管理对象的日志信息。系统使用者通过浏览器登录安全管理平台的WEB站点即可依照相关的权限进行各种管理操作。

•采集器分布式部署

采集器分布式部署是指将日志采集功能采用分布式采集器部件进行部署的模式。以下情形，可考虑采集器分布式部署：需要进行管理的节点规模较大，且分散在物理网络中的多个位置；有的被审计节点与审计中心不在同一个逻辑网络中；有的被审计节点与审计中心所在网络是跨广域网连接的，且广域网接入的带宽容量有限。

•存储分布式部署

存储分布式是指通过部署分布式事件存储器，将海量安全事件分散存储在不同的存储器上，通过数据分布式处理技术实现天量数据的高性能处理能力。

•级联部署

级联部署是指部署多个管理中心，并构建起一个总中心连接若干个分中心的部署模式。该模式适用于具有分支机构或者垂直管理下属机构的企事业单位，以适应用户多级管理的体制。

技术优势

系统简单实用、界面美观大方、内置丰富的仪表板，适用于各级管理人员; 

具有国内领先的高性能日志管理技术，使得系统在日志采集、分析和存储三个方面获得了本质的性能提升。

独有的审计数据源扩展机制，可以方便地实现新设备类型的日志采集。

自学习的事件范式化技术，提高日志分析效率。

支持分布式日志采集和事件存储、审计中心级联，支持大规模部署。

对用户网络和业务影响最小：在实现对用户网络中的IT设施进行集中日志审计的同时，采取多种技术手段，力求对用户网络和业务的影响最小化。

具备完善的自身安全性设计，保证系统自身的安全等级符合用户的整体安全策略。

日志审计系统与安全管理平台采用完全相同的技术框架，因此，安全管理平台建设可以在现有日志审计系统的基础上，将日志审计系统作为安管平台的日志采集输入部件。同时，由于两者具有完全相同的界面框架，因而日志审计系统的界面可以与安管平台的界面进行整合，就像一个系统一样。