網(wǎng)絡空間作為繼陸地、海洋、天空及太空之外的第五維空間，其安全問題已經上升到國家安全的高度。隨著《網(wǎng)絡安全法》2017年6月1日正式實施，我國網(wǎng)絡安全法律法規(guī)體系基本法缺位的問題得到了徹底解決。 

《網(wǎng)絡安全法》第二十一條：

（三）采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月。

日志審計的必要性

日志，作為行為或狀態(tài)詳細描述的載體，其時效性與信息豐富程度在企業(yè)安全事件分析、事件回溯和取證過程中起到重要作用。

在法律層，日志也是重要的電子證據(jù)，先進的日志記錄、監(jiān)控和審計手段，可以幫助客戶有效地減少信息破壞、信息泄露的問題，對違法行為起到一定威懾作用。

日志應用現(xiàn)狀

等保合規(guī)核心要義是通過信息手段保障信息系統(tǒng)安全，目前企業(yè)在進行日志側等保合規(guī)管理時落實不到位，突顯幾個問題：

企業(yè)信息系統(tǒng)和設備多樣化，日志存儲分散，應用效率低，審計難度大。

需求：日志集中采集存儲，方便審計，并能根據(jù)要求進行生命周期管理。

企業(yè)中專業(yè)日志分析人員較少，且自研系統(tǒng)往往導致高投入低回報。

需求：需要成熟的日志分析工具，具備靈活性和開箱即用的日志分析功能。

隨著業(yè)務發(fā)展，系統(tǒng)中越來越多的設備帶來更多的監(jiān)控分析需求，而重復建設監(jiān)控系統(tǒng)導致成本上升且效率難以保障。

需求：一個既能滿足等保合規(guī)日志管理需求，同時具備系統(tǒng)運維監(jiān)控能力的綜合管理平臺。

信息安全和運維工作是持續(xù)優(yōu)化，不斷迭代的過程，固化的分析內容往往跟不上審計和運維優(yōu)化的需求。

需求：需要系統(tǒng)本身帶有豐富的報表功能，在此基礎上支持客戶自定義分析模型，采用低代碼模式滿足新增需求，避免附加成本的投入。

日志作為企業(yè)重要的數(shù)據(jù)資產，其安全性不可小覷。企業(yè)在做產品選型的時候也是慎之又慎，會考慮多方因素如政策導向、產品成熟度、價格以及公司實力與背景等。

需求：產品需要符合信創(chuàng)發(fā)展要求，能有效規(guī)避政策風險，具備豐富的同業(yè)實施案例。企業(yè)往往更傾向于專項領域中專業(yè)的分析產品。
等保2.0要求下日志應用新視角
核心需求：等保合規(guī)是企業(yè)信息安全持續(xù)優(yōu)化的基石

企業(yè)每天產生上百GB至數(shù)十TB網(wǎng)絡安全日志及業(yè)務日志，這些日志散落存儲在各設備及服務器上。這種情況下，網(wǎng)絡安全事件一旦發(fā)生，事件的監(jiān)測、回溯以及取證的難度都非常大。
數(shù)據(jù)采集與日志標準化

具備高性能吞吐和豐富的數(shù)據(jù)源采集能力，支持網(wǎng)絡安全設備、業(yè)務系統(tǒng)、操作系統(tǒng)、中間件、數(shù)據(jù)庫、以及Kafka或自定義接口的全域數(shù)據(jù)采集。此外，非標準格式的日志可以通過數(shù)據(jù)標準化功能進行結構化處理后，實現(xiàn)進一步的采集與分析。
審計與數(shù)據(jù)可視化
根據(jù)等級保護要求從安全審計、入侵防范以及監(jiān)控管理等維度，對網(wǎng)絡安全設備、主機安全、應用安全和系統(tǒng)運維管理等多方面進行指標細化，從而形成監(jiān)控儀表盤和日報/周報/月報等。用戶也可以根據(jù)需要，通過簡單的拖拽操作實現(xiàn)儀表盤或審計報表的調整。

利用日志的特性對運維或安全指標進行量化，挖掘企業(yè)信息系統(tǒng)安全的薄弱環(huán)節(jié)，持續(xù)優(yōu)化改善。

專業(yè)日志分析套件開箱即用
有些用戶也許并不了解所有設備的日志，也不知日志分析從何處入手，專家經過多年實踐研究，將網(wǎng)絡安全設備、操作系統(tǒng)、中間件、數(shù)據(jù)庫等常規(guī)應用轉換為專業(yè)分析指標，用戶接入通用設備數(shù)據(jù)即可獲取審計或運維指標的呈現(xiàn)。
性能監(jiān)控（系統(tǒng)監(jiān)控）

用戶只需要開啟性能系統(tǒng)采集功能，即可實現(xiàn)包括CPU負載，內存使用情況、磁盤IO、網(wǎng)絡流量等監(jiān)控信息的自動呈現(xiàn)，通過儀表板可以獲取該指標的歷史同期趨勢對比，以幫助用戶快速判斷設備健康程度。

用戶可以根據(jù)需要，查看當前進程與前一日相比的增減情況，在安全事件定位方面非常有幫助。

性能監(jiān)控（數(shù)據(jù)庫）

數(shù)據(jù)庫監(jiān)控從性能、運行狀態(tài)、操作審計以及庫告警維度切入，能夠對庫狀態(tài)、實例狀態(tài)、表空間、SGA、連接數(shù)、慢查詢等數(shù)據(jù)庫關鍵指標進行全方位監(jiān)控分析。用戶通過平臺可以快速獲取數(shù)據(jù)庫健康狀態(tài)。

中間件日志監(jiān)控分析

全面支持常用中間件，包括Apache、Tomcat、JBoss、Weblogic等。中間件日志監(jiān)控分析從業(yè)務總體情況、中間件服務狀態(tài)、安全審計方向展開。同時分析套件內嵌告警模塊，并已完成告警分級，用戶僅需配置告警通知方式即可。

用戶可以通過提供的專業(yè)分析指標實時掌握業(yè)務的健康狀態(tài)，如交易量、交易狀態(tài)、耗時、用戶地域等。當指標出現(xiàn)異常時，可以通過儀表板鉆取功能直接下鉆到詳細日志，從而實現(xiàn)故障快速定位。

業(yè)務監(jiān)控分析

可以通過解析日志內容獲取業(yè)務系統(tǒng)狀態(tài)、交易狀態(tài)、交易量、趨勢、交易耗時、接口耗時等指標信息，再通過自建模型統(tǒng)計分析后可以有效反映出業(yè)務系統(tǒng)當前的狀態(tài)與健康程度。

日志實時監(jiān)控分析在提高運維能力方面的優(yōu)勢：

日志使用旁路模式抓取，通過采集和分析日志時對業(yè)務并無影響；

日志的時效性更強，監(jiān)控時效性有保障；

日志中包含豐富信息，可以直觀地反饋信息系統(tǒng)的狀態(tài)、安全事件或業(yè)務特征；

進行日志分析或故障定位可以有效規(guī)避人為操作風險，并提高運維效率。