日志审计设备是什么意思？日志审计设备配置根据什么？日志审计设备的功能是什么？

2022-08-01 10:36:11 来源：中国市场网

0浏览评论0条

日志审计设备的日志源指的是设备所审计的日志的来源，常见的日志源一般是服务器、防火墙、活动目录、入侵检测、终端设备、数据库、web 服务器、dns 服务器等等，日志审计设备会从这些设备或者系统中获取日志来进行审计，日志审计设备或者系统需要提前绑定日志源否则无法进行日志审计，也可以随时解绑日志源。

日志审计设备应具备以下功能：

日志监控功能

提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，支持查看 CPU、磁盘、内存总量及当前使用情况;支持查看资产的概览信息及资产关联的事件分布。

日志采集功能

提供全面的日志采集能力：支持网络安全设备、网络设备、数据库、windows/linux 主机日志、web 服务器日志、虚拟化平台日志以及自定义等日志。提供多种的数据源管理功能：支持数据源的信息展示与管理、采集器的信息展示与管理以及 agent 的信息展示与管理;提供分布式外置采集器、Agent 等多种日志采集方式;支持 IPv4、IPv6 日志采集、分析以及检索查询。

日志存储功能

提供原始日志、范式化日志的存储，可自定义存储周期，支持 FTP 日志备份以及 NFS 网络文件共享存储等多种存储扩展方式。

日志检索功能

提供丰富灵活的日志查询方式，支持全文、key-value、多 kv 布尔组合、括弧、正则、模糊等检索;提供便捷的日志检索操作，支持保存检索、从已保存的检索导入见多条件等。

日志分析功能

提供便捷的日志分析操作，支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志。

日志转发功能

支持原始日志、范式化日志转发。

日志事件告警功能

内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则;支持时间的查询、查询结果统计以及统计结果的展示等;支持对告警规则的自定义，可设置针对事件的各种筛选规则、告警等级等。

日志报表管理功能

支持丰富的内置报表以及灵活的自定义报表模式，支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持 html，pdf，word 格式的报表文件以及报表 logo 的灵活配置。