日志审计是什么

日志审计是指每天对记录的信息进行审计和检查。对于一个日志审计系统来说，其功能构成至少应包括四个基本功能：信息采集、信息分析、信息存储和信息显示。日志审计是将信息系统中的系统安全事件、用户访问记录、系统操作日志、系统运行状态等各类信息进行集中采集，并经过规范化、过滤、合并和报警分析等处理，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总和关联分析功能，实现对信息系统日志的全面审计。

日志审计系统具有以下功能：

日志监控：提供日志监控功能，支持监控采集器和采集器资产的实时状态，支持查看CPU、磁盘、内存的总量和当前使用情况；支持查看资产的概况信息和与资产相关的事件分布。

日志采集：提供全面的日志采集能力：支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志和自定义日志；提供各种数据源管理功能：支持数据源的信息显示和管理、采集器的信息显示和管理、代理的信息显示和管理；提供分布式外部采集器和采集器。提供分布式外部采集器和代理等多种日志采集方式；支持IPv4和IPv6日志采集、分析和检索查询。

日志存储：提供原始日志和范式化日志的存储，可自定义存储周期，支持FTP日志备份和NFS网络文件共享存储等多种存储扩展方式

日志检索：提供丰富灵活的日志查询方式，支持全文、key-value、多kv布尔组合、括号、正则、模糊等多种检索方式；提供便捷的日志检索操作，支持保存检索、从保存检索中导入查看多种条件等。

日志分析：提供便捷的日志分析操作，支持对日志进行分组，可采用分组查询和从叶子节点直接查询的方式分析日志。

日志转发：支持原始日志、范式日志转发

日志事件预警：内置丰富的单源和多源事件关联分析规则，支持自定义事件规则，根据日志、字段的布尔逻辑关系自定义规则等；支持时间查询、查询结果统计和统计结果显示等；支持自定义报警规则，可设置事件的各种过滤规则、报警级别等。

日志报表管理：支持丰富的内置报表和灵活的自定义报表模式，支持编辑报表目录界面、引用统计、设置报表标题、显示页眉和页码、基本报表配置（名称、描述等）；支持实时报表、定时报表、定期任务报表等；支持html、pdf、word格式报表文件和报表标识的灵活配置。