日志审计（一）

一、简介及需求概述

       日志管理包含日志的产生、收集、审计分析（范式化后）和存储的全过程。

       日志审计产品是一种基于大数据技术，用于收集、存储、分析和管理系统、应用程序和网络设备产生的日志数据的解决方案。这些产品能够帮助企业监测和审计其信息系统的活动，识别潜在的安全威胁、异常行为和合规性问题。

       需求点：①合规：刚需存储6个月及安全审计要求；

                     ②内生：1)监测与跟踪可疑的行为；2)信息孤岛，内部综合安全分析（数据格式不统一、关联分析难度大、溯源取证压力大）；

                     ③资金：云上存储太贵，采购产品本地存储。

       核心法律法规：GB/T 22239-2019《信息安全技术网络安全等级保护要求》、《中华人民共和国网络安全法》，其他行标中都有相应说明。

二、逻辑架构

三、主要功能

1. 日志收集和存储：收集来自各种源（如服务器、防火墙、路由器、数据库等）生成的日志数据，并将其集中存储在一个中心化的位置（一个庞大的时序数据库），以便后续分析查询。

2. 日志解析和标准化：将收集到的日志转换为统一的格式，以便进行后续的分析和处理。帮助用户更好地理解日志内容，并对其进行搜索和过滤。

3. 行为分析和关联分析：利用机器学习、行为分析和关联分析等技术，对大量的日志数据进行智能分析，以发现潜在的安全漏洞和威胁模式。识别异常行为、内部威胁和高级持续性威胁（APT）等。

4. 合规性支持：通常包含与各种合规性标准（如PCI DSS、HIPAA、GDPR、SOX法案等）相符的预定义报告和规则库，以帮助企业满足合规性要求，并生成符合相关标准的审计报告。

5. 可视化和报告：产品提供直观的可视化界面，以便用户能够方便地查看和分析日志数据。它们还支持生成定制化的报告，用于安全事件响应、合规性审计和安全性评估等目的。

四、杂记

       性能、功能、市场的矛盾点始终伴随着商用产品，既要又要。

        ①大数据时代，数据量大，主被动采集，代理模式采集的效率是一个参考指标；

        ②海量异构设备及系统，私有协议数据（加密），安全认知，厂商保守政策等等，日志的范式化是一个问题。标准化格式下的个性化解析给了商用产品可扩展性指标；

        ③审计分析两方面：审计策略配置规则（需有安全知识注入）和报表展示能力（专注安全指标即可）；

        ④数据分区、数据压缩、索引和归档对于数据存储及高性能数据写入及查询极其重要；

        ⑤数据加密，访问控制和审计追踪这些基本能力需对标数据保密性和完整性要求。