综合日志审计平台

综合日志审计平台作为信息系统的综合性管理平台，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全；通过基于国际标准化的关联分析引擎，为客户提供全维度、跨设备、细粒度的关联分析，透过事件的表象真实地还原事件背后的信息，为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体安全状况 [1]  。

综合日志审计平台旨在实现网络资产安全状况的统一管理，使企业的利益受损风险降低，广泛适用于政府、金融、运营商、公安、电力能源、税务、工商、社保、交通、卫生、教育、电子商务及各企事业单位等。

综合日志审计平台由采集器、通信服务器、关联引擎及平台管理器组成。

●采集器：全面支持Syslog、SNMP日志协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合，同时可将收集的日志通过转发功能转发到其它网管平台等。

●通信服务器：实现采集器与平台间的通信，将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理。通信服务器可以接收多个采集器的日志；在平台尚未支持统一日志格式时，能够根据要求，将定义的统一日志转换为所需要的日志格式。

●关联引擎:实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，客户可轻松实现各资产间的关联分析。

●平台管理器：实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力、事后的合规性统计分析处理，可对数据进行二次挖掘分析。

●集中配置管理：系统支持分布式部署，可以在中心平台进行各种管理规则，各种配置策略自动分发，支持远程自动升级等，极大的降低了分布式部署的难度，提高了可管理性。

●灵活的可扩展性：提供多种定制接口，实现强大的二次开发能力，及与第三方平台对接和扩展的能力。

●其他功能：支持各种网络部署需要，包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。

●全面的智能收集功能：不断的连接检查和完整性检查以及可自定义的缓存功能，可确保平台接收到所有数据，并对传输链的各个环节进行监控；可配置过滤和聚合功能可以消除无关数据，并且合并重复的设备日志，强大的数据压缩功能可节省昂贵的带宽。

●标准化日志：各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述：事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。

●创新的日志解析能力：解析规则激活，仅当接收到对应的日志后，规则才会被激活，同时支持未识别日志水印处理，采用多级解析功能和动态规划算法，实现灵活的未解析日志事件处理，同时支持多种解析方法（如正则表达式、分隔符、MIB信息映射配置等）；日志解析性能与接入的日志设备数量无关。

●先进的关联算法：标准化之上的关联规则，适应性强；实时的内存关联功能可确保获得高性能的处理能力，可定制性强，几乎可根据通用事件的任何字段进行关联；直观的规则语法，可以让用户根据自己情况进行灵活定制，内置重要的关联规则库，可以即装即用。

●可维护性及可扩展性：系统具有对自身的维护配置功能，如：系统参数设置、系统日志管理等。 硬件系统采用模块结构，保证系统内存、CPU及储存容量的扩展；硬件配置的升级不会引起软件的修改和开发；每个组件都可以横向扩展，通过增加设备满足业务需求。

综合日志审计平台可以方便部署到现有网络环境中，只需网络能够到达平台即可实现信息资产日志的收集与处理。

简单部署

多级部署