日志审计系统的作用

日志审计是一种基于大数据架构的日志审计系统,针对大量分散的异构日志进行集中采集、统一管理、存储、统计分析的一体化产品,可协助企业满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证提供依据。

统计展示
提供首页仪表盘以及多样的可视化统计,来展示当前的分析情况
 
首页仪表盘
提供丰富的内置仪表盘图表,支持查看数据源、资产、最新时间、系统资源、日志总量、日志分类统计、最新告警以及资产时间等的可视化统计图表;
 
自定义仪表盘
提供灵活的自定义仪表盘功能,可灵活按需自定义符合业务场景的可视化统计图标;
 
可视化统计
丰富的内置统计项,支持280+内置统计项,支持保存统计项、支持自定义分类,支持趋势图、折线图、柱状图、饼图、表格等统计项图标的自定义展示;
 
日志管理
提供丰富的日志管理功能,可以对日志进行监控,采集,存储,检索和分析
 
日志采集
提供全面的日志采集能力;
 
提供强大的数据源管理功能;
 
提供分布式外置采集器、Agent等多种日志采集方式;
 
支持IPv4、IPv6日志采集、分析以及检索查询;
 
日志存储
提供原始日志、范式化日志的存储,可自定义存储周期
 
支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式
 
日志检索
 
提供丰富灵活的日志查询方式,支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索;
 
提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等;
 
日志分析
 
提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志;
 
事件管理
可以设置多样化的规则来管理事件,并以此生成告警或者生成报表
 
事件告警
 
内置丰富的单源、多源事件关联分析规则,支持自定义事件规则,可按照日志、字段布尔逻辑关系等方式自定义规则;可设置针对事件的各种筛选规则、告警等级等;
 
报表管理
 
支持丰富的内置报表以及自定义报表模式,并支持编辑报表内容;支持实时报表、定时报表、周期性任务报表等方式;支持多种格式的报表文件以及报表logo的灵活配置。

采集多样
支持多种标准协议的日志采集方式,也支持有代理和无代理的日志采集方式,支持的设备范围但不限于网络设备、安全设备、数据库、中间件、终端主机等设备。
 
算法强悍
引入了FLINK组件,利用FLINK强大的分布式流式关联分析及迭代计算能力,实现多源事件关联分析能力,为事中及时告警、事后回溯审计提供准确、有力的支撑。
 
处理高效
使用大数据技术,在并发内存处理机制方面能够带来数倍于其它采用磁盘访问方式的解决方案,借助离线计算引擎在小时级别内,即可完成对海量日志的处理。
 
分析精准
提供一套简洁有效的日志统一分类,使用独有的技术将日志快速标准化,并基于安全分析需要进行数据的过滤和强化,丢弃无法使用的噪音信息,提升日志查询和分析效率。

应用场景1:异构日志集中存储
场景描述:协助企业解决日志分散、种类繁多、数量巨大的问题,高效的收集日志、处理日志、分析提取日志时间,可提升企业的日常运维效率、变被动审计为主动告警。
 
优势/特点:高效统一管理资产日志;日志集中采集、统一管理、存储、统计分析。
 
建议搭配云主机,云安全产品使用
 
应用场景2:等保合规
场景描述:合理配置存储资源,可以保存安全产品、企业应用等日志达6个月及以上,协助企业满足等保合规要求。
 
优势/特点:满足网络安全法要求;满足等保合规日志留存6个月的要求
 
建议搭配云主机,云硬盘,云安全产品使用