網(wǎng)絡(luò)空間作為繼陸地、海洋、天空及太空之外的第五維空間，其安全問題已經(jīng)上升到國家安全的高度。隨著《網(wǎng)絡(luò)安全法》2017年6月1日正式實施，我國網(wǎng)絡(luò)安全法律法規(guī)體系基本法缺位的問題得到了徹底解決。 

《網(wǎng)絡(luò)安全法》第二十一條：

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。

日志審計的必要性

日志，作為行為或狀態(tài)詳細(xì)描述的載體，其時效性與信息豐富程度在企業(yè)安全事件分析、事件回溯和取證過程中起到重要作用。

在法律層，日志也是重要的電子證據(jù)，先進(jìn)的日志記錄、監(jiān)控和審計手段，可以幫助客戶有效地減少信息破壞、信息泄露的問題，對違法行為起到一定威懾作用。

日志應(yīng)用現(xiàn)狀

等保合規(guī)核心要義是通過信息手段保障信息系統(tǒng)安全，目前企業(yè)在進(jìn)行日志側(cè)等保合規(guī)管理時落實不到位，突顯幾個問題：

企業(yè)信息系統(tǒng)和設(shè)備多樣化，日志存儲分散，應(yīng)用效率低，審計難度大。

需求：日志集中采集存儲，方便審計，并能根據(jù)要求進(jìn)行生命周期管理。

企業(yè)中專業(yè)日志分析人員較少，且自研系統(tǒng)往往導(dǎo)致高投入低回報。

需求：需要成熟的日志分析工具，具備靈活性和開箱即用的日志分析功能。

隨著業(yè)務(wù)發(fā)展，系統(tǒng)中越來越多的設(shè)備帶來更多的監(jiān)控分析需求，而重復(fù)建設(shè)監(jiān)控系統(tǒng)導(dǎo)致成本上升且效率難以保障。

需求：一個既能滿足等保合規(guī)日志管理需求，同時具備系統(tǒng)運(yùn)維監(jiān)控能力的綜合管理平臺。

信息安全和運(yùn)維工作是持續(xù)優(yōu)化，不斷迭代的過程，固化的分析內(nèi)容往往跟不上審計和運(yùn)維優(yōu)化的需求。

需求：需要系統(tǒng)本身帶有豐富的報表功能，在此基礎(chǔ)上支持客戶自定義分析模型，采用低代碼模式滿足新增需求，避免附加成本的投入。

日志作為企業(yè)重要的數(shù)據(jù)資產(chǎn)，其安全性不可小覷。企業(yè)在做產(chǎn)品選型的時候也是慎之又慎，會考慮多方因素如政策導(dǎo)向、產(chǎn)品成熟度、價格以及公司實力與背景等。

需求：產(chǎn)品需要符合信創(chuàng)發(fā)展要求，能有效規(guī)避政策風(fēng)險，具備豐富的同業(yè)實施案例。企業(yè)往往更傾向于專項領(lǐng)域中專業(yè)的分析產(chǎn)品。
等保2.0要求下日志應(yīng)用新視角
核心需求：等保合規(guī)是企業(yè)信息安全持續(xù)優(yōu)化的基石

企業(yè)每天產(chǎn)生上百GB至數(shù)十TB網(wǎng)絡(luò)安全日志及業(yè)務(wù)日志，這些日志散落存儲在各設(shè)備及服務(wù)器上。這種情況下，網(wǎng)絡(luò)安全事件一旦發(fā)生，事件的監(jiān)測、回溯以及取證的難度都非常大。
數(shù)據(jù)采集與日志標(biāo)準(zhǔn)化

具備高性能吞吐和豐富的數(shù)據(jù)源采集能力，支持網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、中間件、數(shù)據(jù)庫、以及Kafka或自定義接口的全域數(shù)據(jù)采集。此外，非標(biāo)準(zhǔn)格式的日志可以通過數(shù)據(jù)標(biāo)準(zhǔn)化功能進(jìn)行結(jié)構(gòu)化處理后，實現(xiàn)進(jìn)一步的采集與分析。
審計與數(shù)據(jù)可視化
根據(jù)等級保護(hù)要求從安全審計、入侵防范以及監(jiān)控管理等維度，對網(wǎng)絡(luò)安全設(shè)備、主機(jī)安全、應(yīng)用安全和系統(tǒng)運(yùn)維管理等多方面進(jìn)行指標(biāo)細(xì)化，從而形成監(jiān)控儀表盤和日報/周報/月報等。用戶也可以根據(jù)需要，通過簡單的拖拽操作實現(xiàn)儀表盤或?qū)徲媹蟊淼恼{(diào)整。

利用日志的特性對運(yùn)維或安全指標(biāo)進(jìn)行量化，挖掘企業(yè)信息系統(tǒng)安全的薄弱環(huán)節(jié)，持續(xù)優(yōu)化改善。

專業(yè)日志分析套件開箱即用
有些用戶也許并不了解所有設(shè)備的日志，也不知日志分析從何處入手，專家經(jīng)過多年實踐研究，將網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、中間件、數(shù)據(jù)庫等常規(guī)應(yīng)用轉(zhuǎn)換為專業(yè)分析指標(biāo)，用戶接入通用設(shè)備數(shù)據(jù)即可獲取審計或運(yùn)維指標(biāo)的呈現(xiàn)。
性能監(jiān)控（系統(tǒng)監(jiān)控）

用戶只需要開啟性能系統(tǒng)采集功能，即可實現(xiàn)包括CPU負(fù)載，內(nèi)存使用情況、磁盤IO、網(wǎng)絡(luò)流量等監(jiān)控信息的自動呈現(xiàn)，通過儀表板可以獲取該指標(biāo)的歷史同期趨勢對比，以幫助用戶快速判斷設(shè)備健康程度。

用戶可以根據(jù)需要，查看當(dāng)前進(jìn)程與前一日相比的增減情況，在安全事件定位方面非常有幫助。

性能監(jiān)控（數(shù)據(jù)庫）

數(shù)據(jù)庫監(jiān)控從性能、運(yùn)行狀態(tài)、操作審計以及庫告警維度切入，能夠?qū)鞝顟B(tài)、實例狀態(tài)、表空間、SGA、連接數(shù)、慢查詢等數(shù)據(jù)庫關(guān)鍵指標(biāo)進(jìn)行全方位監(jiān)控分析。用戶通過平臺可以快速獲取數(shù)據(jù)庫健康狀態(tài)。

中間件日志監(jiān)控分析

全面支持常用中間件，包括Apache、Tomcat、JBoss、Weblogic等。中間件日志監(jiān)控分析從業(yè)務(wù)總體情況、中間件服務(wù)狀態(tài)、安全審計方向展開。同時分析套件內(nèi)嵌告警模塊，并已完成告警分級，用戶僅需配置告警通知方式即可。

用戶可以通過提供的專業(yè)分析指標(biāo)實時掌握業(yè)務(wù)的健康狀態(tài)，如交易量、交易狀態(tài)、耗時、用戶地域等。當(dāng)指標(biāo)出現(xiàn)異常時，可以通過儀表板鉆取功能直接下鉆到詳細(xì)日志，從而實現(xiàn)故障快速定位。

業(yè)務(wù)監(jiān)控分析

可以通過解析日志內(nèi)容獲取業(yè)務(wù)系統(tǒng)狀態(tài)、交易狀態(tài)、交易量、趨勢、交易耗時、接口耗時等指標(biāo)信息，再通過自建模型統(tǒng)計分析后可以有效反映出業(yè)務(wù)系統(tǒng)當(dāng)前的狀態(tài)與健康程度。

日志實時監(jiān)控分析在提高運(yùn)維能力方面的優(yōu)勢：

日志使用旁路模式抓取，通過采集和分析日志時對業(yè)務(wù)并無影響；

日志的時效性更強(qiáng)，監(jiān)控時效性有保障；

日志中包含豐富信息，可以直觀地反饋信息系統(tǒng)的狀態(tài)、安全事件或業(yè)務(wù)特征；

進(jìn)行日志分析或故障定位可以有效規(guī)避人為操作風(fēng)險，并提高運(yùn)維效率。