網(wǎng)絡(luò)空間作為繼陸地、海洋、天空及太空之外的第五維空間，其安全問(wèn)題已經(jīng)上升到國(guó)家安全的高度。隨著《網(wǎng)絡(luò)安全法》2017年6月1日正式實(shí)施，我國(guó)網(wǎng)絡(luò)安全法律法規(guī)體系基本法缺位的問(wèn)題得到了徹底解決。 

《網(wǎng)絡(luò)安全法》第二十一條：

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

日志審計(jì)的必要性

日志，作為行為或狀態(tài)詳細(xì)描述的載體，其時(shí)效性與信息豐富程度在企業(yè)安全事件分析、事件回溯和取證過(guò)程中起到重要作用。

在法律層，日志也是重要的電子證據(jù)，先進(jìn)的日志記錄、監(jiān)控和審計(jì)手段，可以幫助客戶有效地減少信息破壞、信息泄露的問(wèn)題，對(duì)違法行為起到一定威懾作用。

日志應(yīng)用現(xiàn)狀

等保合規(guī)核心要義是通過(guò)信息手段保障信息系統(tǒng)安全，目前企業(yè)在進(jìn)行日志側(cè)等保合規(guī)管理時(shí)落實(shí)不到位，突顯幾個(gè)問(wèn)題：

企業(yè)信息系統(tǒng)和設(shè)備多樣化，日志存儲(chǔ)分散，應(yīng)用效率低，審計(jì)難度大。

需求：日志集中采集存儲(chǔ)，方便審計(jì)，并能根據(jù)要求進(jìn)行生命周期管理。

企業(yè)中專業(yè)日志分析人員較少，且自研系統(tǒng)往往導(dǎo)致高投入低回報(bào)。

需求：需要成熟的日志分析工具，具備靈活性和開(kāi)箱即用的日志分析功能。

隨著業(yè)務(wù)發(fā)展，系統(tǒng)中越來(lái)越多的設(shè)備帶來(lái)更多的監(jiān)控分析需求，而重復(fù)建設(shè)監(jiān)控系統(tǒng)導(dǎo)致成本上升且效率難以保障。

需求：一個(gè)既能滿足等保合規(guī)日志管理需求，同時(shí)具備系統(tǒng)運(yùn)維監(jiān)控能力的綜合管理平臺(tái)。

信息安全和運(yùn)維工作是持續(xù)優(yōu)化，不斷迭代的過(guò)程，固化的分析內(nèi)容往往跟不上審計(jì)和運(yùn)維優(yōu)化的需求。

需求：需要系統(tǒng)本身帶有豐富的報(bào)表功能，在此基礎(chǔ)上支持客戶自定義分析模型，采用低代碼模式滿足新增需求，避免附加成本的投入。

日志作為企業(yè)重要的數(shù)據(jù)資產(chǎn)，其安全性不可小覷。企業(yè)在做產(chǎn)品選型的時(shí)候也是慎之又慎，會(huì)考慮多方因素如政策導(dǎo)向、產(chǎn)品成熟度、價(jià)格以及公司實(shí)力與背景等。

需求：產(chǎn)品需要符合信創(chuàng)發(fā)展要求，能有效規(guī)避政策風(fēng)險(xiǎn)，具備豐富的同業(yè)實(shí)施案例。企業(yè)往往更傾向于專項(xiàng)領(lǐng)域中專業(yè)的分析產(chǎn)品。
等保2.0要求下日志應(yīng)用新視角
核心需求：等保合規(guī)是企業(yè)信息安全持續(xù)優(yōu)化的基石

企業(yè)每天產(chǎn)生上百GB至數(shù)十TB網(wǎng)絡(luò)安全日志及業(yè)務(wù)日志，這些日志散落存儲(chǔ)在各設(shè)備及服務(wù)器上。這種情況下，網(wǎng)絡(luò)安全事件一旦發(fā)生，事件的監(jiān)測(cè)、回溯以及取證的難度都非常大。
數(shù)據(jù)采集與日志標(biāo)準(zhǔn)化

具備高性能吞吐和豐富的數(shù)據(jù)源采集能力，支持網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)、以及Kafka或自定義接口的全域數(shù)據(jù)采集。此外，非標(biāo)準(zhǔn)格式的日志可以通過(guò)數(shù)據(jù)標(biāo)準(zhǔn)化功能進(jìn)行結(jié)構(gòu)化處理后，實(shí)現(xiàn)進(jìn)一步的采集與分析。
審計(jì)與數(shù)據(jù)可視化
根據(jù)等級(jí)保護(hù)要求從安全審計(jì)、入侵防范以及監(jiān)控管理等維度，對(duì)網(wǎng)絡(luò)安全設(shè)備、主機(jī)安全、應(yīng)用安全和系統(tǒng)運(yùn)維管理等多方面進(jìn)行指標(biāo)細(xì)化，從而形成監(jiān)控儀表盤和日?qǐng)?bào)/周報(bào)/月報(bào)等。用戶也可以根據(jù)需要，通過(guò)簡(jiǎn)單的拖拽操作實(shí)現(xiàn)儀表盤或?qū)徲?jì)報(bào)表的調(diào)整。

利用日志的特性對(duì)運(yùn)維或安全指標(biāo)進(jìn)行量化，挖掘企業(yè)信息系統(tǒng)安全的薄弱環(huán)節(jié)，持續(xù)優(yōu)化改善。

專業(yè)日志分析套件開(kāi)箱即用
有些用戶也許并不了解所有設(shè)備的日志，也不知日志分析從何處入手，專家經(jīng)過(guò)多年實(shí)踐研究，將網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等常規(guī)應(yīng)用轉(zhuǎn)換為專業(yè)分析指標(biāo)，用戶接入通用設(shè)備數(shù)據(jù)即可獲取審計(jì)或運(yùn)維指標(biāo)的呈現(xiàn)。
性能監(jiān)控（系統(tǒng)監(jiān)控）

用戶只需要開(kāi)啟性能系統(tǒng)采集功能，即可實(shí)現(xiàn)包括CPU負(fù)載，內(nèi)存使用情況、磁盤IO、網(wǎng)絡(luò)流量等監(jiān)控信息的自動(dòng)呈現(xiàn)，通過(guò)儀表板可以獲取該指標(biāo)的歷史同期趨勢(shì)對(duì)比，以幫助用戶快速判斷設(shè)備健康程度。

用戶可以根據(jù)需要，查看當(dāng)前進(jìn)程與前一日相比的增減情況，在安全事件定位方面非常有幫助。

性能監(jiān)控（數(shù)據(jù)庫(kù)）

數(shù)據(jù)庫(kù)監(jiān)控從性能、運(yùn)行狀態(tài)、操作審計(jì)以及庫(kù)告警維度切入，能夠?qū)?kù)狀態(tài)、實(shí)例狀態(tài)、表空間、SGA、連接數(shù)、慢查詢等數(shù)據(jù)庫(kù)關(guān)鍵指標(biāo)進(jìn)行全方位監(jiān)控分析。用戶通過(guò)平臺(tái)可以快速獲取數(shù)據(jù)庫(kù)健康狀態(tài)。

中間件日志監(jiān)控分析

全面支持常用中間件，包括Apache、Tomcat、JBoss、Weblogic等。中間件日志監(jiān)控分析從業(yè)務(wù)總體情況、中間件服務(wù)狀態(tài)、安全審計(jì)方向展開(kāi)。同時(shí)分析套件內(nèi)嵌告警模塊，并已完成告警分級(jí)，用戶僅需配置告警通知方式即可。

用戶可以通過(guò)提供的專業(yè)分析指標(biāo)實(shí)時(shí)掌握業(yè)務(wù)的健康狀態(tài)，如交易量、交易狀態(tài)、耗時(shí)、用戶地域等。當(dāng)指標(biāo)出現(xiàn)異常時(shí)，可以通過(guò)儀表板鉆取功能直接下鉆到詳細(xì)日志，從而實(shí)現(xiàn)故障快速定位。

業(yè)務(wù)監(jiān)控分析

可以通過(guò)解析日志內(nèi)容獲取業(yè)務(wù)系統(tǒng)狀態(tài)、交易狀態(tài)、交易量、趨勢(shì)、交易耗時(shí)、接口耗時(shí)等指標(biāo)信息，再通過(guò)自建模型統(tǒng)計(jì)分析后可以有效反映出業(yè)務(wù)系統(tǒng)當(dāng)前的狀態(tài)與健康程度。

日志實(shí)時(shí)監(jiān)控分析在提高運(yùn)維能力方面的優(yōu)勢(shì)：

日志使用旁路模式抓取，通過(guò)采集和分析日志時(shí)對(duì)業(yè)務(wù)并無(wú)影響；

日志的時(shí)效性更強(qiáng)，監(jiān)控時(shí)效性有保障；

日志中包含豐富信息，可以直觀地反饋信息系統(tǒng)的狀態(tài)、安全事件或業(yè)務(wù)特征；

進(jìn)行日志分析或故障定位可以有效規(guī)避人為操作風(fēng)險(xiǎn)，并提高運(yùn)維效率。