什么是日志？

简单的说，日志就是计算机系统、设备、软件等在某种情况下记录的信息，包括系统日志、应用程序日志、安全日志等，如：

• 操作系统记录的用户登录和注销等信息的日志；
• 工业防火墙会记录访问控制协议通过或拒绝消息的日志；
• 入侵检测系统（IDS）记录的网络通联行为的日志；
• 某些安全设备发出内存使用不足信息的日志等；

在一个完整的信息系统中，存储的日志信息非常重要，当系统中出现问题时，日志就相当于系统这一天的工作记录：系统干了什么，有无告警信息，哪些出了问题。在系统遭受攻击时，系统的错误操作、异常访问等都会以日志的形式记录下来，运维管理员可以通过这些日志对整体系统进行分析，查找问题根本原因、寻找攻击者留下的痕迹等。可以说，通过日志可以了解系统的整体运行状况、安全状况。

为什么需要日志分析？

• 安全设备多样化：市场上安全设备数量众多，某一安全厂商覆盖全部的安全产品较为困难，那么就形成了多品牌、多类型的安全设备部署在同一网络环境中的现状，分析日志就变成了很繁重困难的工作。
• 日志数据异构化：每个设备中不同安全厂商的标准不一样，每种设备类型的日志格式也不尽相同，各有各的表达，即使是表达同一件事情，也都有各自的表达方式。这些日志形成了一种数量庞大、种类繁多、形式各异、无法理解的“日志信息孤岛”局面。
• 高效运维管理要求：海量的原始数据，使得数据结构变得复杂，面临较大的数据传输压力、存储压力，数据孤立分散，无法关联分析。日志审计能够通过自定义设置，快速完成日志的分类、解析与存储工作，提供运维管理人员高效的海量日志数据的收集与分析管理功能。
• 法律法规要求：GB/T 22239-2019《信息安全技术 信息系统安全等级保护基本要求》中明确：对于二级以上的信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。同时，《中华人民共和国网络安全法》中规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月，如果不满足相关要求，一旦追查，将负法律责任。

综上，这就要求所有的软硬件设备必须要有日志输出且在整个集成系统中必须要有日志审计设备将所有设备日志都收集到平台及进行统一管理，统一分析，并通过日志审计程序分析后输出系统日志是否发生异常。

什么是日志审计？

通俗来说，日志审计就是通过集中采集信息系统中的系统安全事件、系统运行日志等各类日志信息，经过范式化、过滤、归并和告警分析等处理之后，以统一的格式进行日志集中的存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。一般来说，日志审计具备的功能应包含：

• 日志采集功能：系统将需要审计的日志信息发送到日志审计设备上进行日志的采集。
• 日志分析功能：对于采集到的日志信息进行分析审计，这是日志审计的核心功能。
• 日志存储功能：对于采集到的原始日志信息，以及分析后的日志信息进行存储，以便后期作为取证的依据。
• 日志展示功能：对日志信息进行分析整合与分析之后，根据设置的策略进行分类和显示。

安盟华御日志审计系统

安盟华御数据收集与分析系统（以下简称“日志审计系统”）能够通过Syslog、WMI、SNMP Trap、JDBC、FTP、Agent、Http/Https、API、SMB、Kafka等采集方式，采集和汇聚各种主流操作系统、网络设备、安全设备、Web服务器、数据库、虚拟平台等异构日志，并将其进行关联分析，帮助运维人员从海量的日志中精准识别安全事件，及时对安全事件进行溯源，同时满足网络安全法对日志保存六个月以上的要求，为取证分析提供数据支撑。

日志审计系统主要由采集器、解析引擎、分析引擎、关联引擎、搜索引擎作为核心数据处理与驱动组件，为全文检索模块、管理分析模块、分类审计模块、日志微态势、场景审计模块、资产管理模块、异常告警模块、数据报表模块以及系统管理模块提供支持，最终在Web浏览器上体现数据交互与视觉交互的效果。

产品特色：

全面的日志采集能力：
（1）支持 Syslog、SNMP Trap等10+种日志采集协议
（2）支持2000+种设备日志采集
（3）同时适用于传统网络与工业网络环境

强大的关联分析能力：
（1）内置5000+条日志特征动作库
（2）支持实时关联分析、历史关联分析、逻辑关联分析、统计关联分析等规则

高效的全文检索引擎：
（1）支持从亿级（TB）日志信息查询秒级响应检索结果
（2）支持基于关键字、多种逻辑关系符的组合运用精确查询

实时的监控告警与快速响应：
（1）通过邮件、短信等方式进行告警
（2）对安全事件实时监控并告警，提升运维效率

典型应用：