這裡的「日誌」和我們日常生活中的理解大有不同。

什麼是日誌？

簡單的說，日誌就是電腦系統、設備、軟體等在某種情況下記錄的資訊。具體內容取決於日誌的來源。例如：

• unix作業系統會記錄用戶登錄和註銷等資訊的日誌
• 防火牆會記錄訪問控制協議acl通過和拒絕等消息的日誌
• 有些系統在用戶登錄時或者在系統本身認為會發生一些故障時發出帶有告警資訊的日誌
• 有些產品會在本身存儲不足時發出帶有磁碟儲量不足的資訊的日誌

對於運維管理人員來說這些含有重要數據資訊（用戶登錄資訊，系統錯誤資訊，磁碟資訊，資料庫資訊等）的日誌非常重要，可以通過這些日誌資訊對整體系統進行分析並查找問題根源解決問題。也就是說，通過日誌，IT管理人員可以了解系統的運行狀況、安全狀況。甚至是運行狀況。

日誌的重要性

在一個完整的資訊系統中，日誌是以一個很重要的功能組成部分，當系統中出現一些管理員操作或者系統本身的報錯行為時，日誌就相當於系統這一天的工作彙報，系統每天都幹了什麼，有沒有告警資訊，哪些出了問題，問題可不可識別，在系統遭受安全攻擊時，系統的登陸錯誤、異常訪問等都會一日之的形式記錄下來，通過分析這些日誌，讀懂這些系統的工作彙報你可以知道系統這一天遭受了哪些攻擊、完成了哪些任務。同時查看日誌也為安全事件發生以後，日後查明何人所為做了什麼有了一個很好的取證資訊來源，日誌可以為審計進行審計跟蹤。

為什麼需要日誌分析

高效運維要求：海量的原始數據，使得數據結構變得複雜，面臨較大的數據傳輸壓力、存儲壓力，數據孤立分散，無法關聯分析。日誌審計能夠通過自定義設置，快速完成日誌的分類、解析與保存工作，提供管理人員便捷的海量日誌數據的收集與分析管理功能。

安全設備：做個集成商運維工程師或者網路運維工程師的都清楚，市場上各式各樣的安全設備很多，但是沒有一個廠商的產品能夠全面的覆蓋全部的安全產品。一般一個機房建設安全的話，它包含的安全設備絕對不可能都是一家的，絕對有不一樣的廠商，這個時候分析日誌就變成了很繁重的工作。

系統安全管理要求：網路已經從千兆邁向了萬兆，企業需要監測和分析比以往更多的數據，海量數據面臨新型安全威脅。日誌審計能夠幫助用戶獲悉資訊系統的安全運行狀態，識別針對資訊系統的攻擊和入侵，以及來自內部的違規和資訊泄露，能夠為事後的問題分析和調查取證提供必要的資訊。

法律法規要求：日誌審計已成為企業滿足合規內控要求所必須的一項基本要求。2017年6月1日起施行的《中華人民共和國網路安全法》中規定：採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月。《網路安全等級保護基本要求》（GB∕T 22239-2019）中規定：二到四級需要對網路、主機、應用安全三部分進行日誌審計，留存日誌需符合法律法規規定。

這就要求所有的軟硬體設備必須要有日誌輸出且在整個集成系統中必須要有日誌審計設備用於設備運行過程中的日誌的分析、輸入、並通過日誌審計程式分析後輸出系統日誌是否發生異常。

什麼是日誌審計

對於海量而又繁雜的日誌數據，如果需要人為的每天去讀取的話，把人累死也做不完這些工作，這個時候就需要日誌審計對每天日誌中記錄的資訊進行審計和檢查，對於日誌中涉及到的重要資訊，對其真實性的完整性進行考察。

總的來說，日誌審計就是通過集中採集資訊系統中的系統安全事件、用戶訪問記錄、系統運行日誌、系統運行狀態等各類資訊，經過規範化、過濾、歸併和告警分析等處理之後，以統一格式的日誌形式及進行集中的存儲和管理，結合豐富的日誌統計匯總及關聯分析功能，實現對資訊系統日誌的全面審計。

藍隊雲日誌審計平台

藍隊雲日誌審計平台能夠通過主被動結合的手段，實時不間斷地採集用戶網路中各種不同廠商的安全設備、網路設備、主機、作業系統、以及各種應用系統產生的海量日誌資訊，並將這些資訊彙集到審計中心，進行集中化存儲、備份、查詢、審計、告警、響應，並出具豐富的報表報告，獲悉全網的整體安全運行態勢。

產品功能：

1、可視日誌審計
用戶可登錄管理中心首頁查看可視化的日誌審計相關數據，可視化首頁支援快速導航到各個功能板塊，包括資產數、日誌總數、告警數等相關數據。

2、資產分類管理
支援靈活的資產分類功能，實現對資產的分類管理。對所有採集數據，系統自動進行範式化處理，將各種廠商各種類型的日誌格式轉換成系統一的格式再進行分類。

3、過濾與歸併
對採集到的日誌進行基於策略的過濾和歸併，提升審計的效率。日誌過濾和合併策略支援用戶自定義，系統默認不進行過濾和合併。

4、大數據存儲與搜索
支援對收集的日誌進行分散式安全存儲和備份。系統支援TB級的海量數據加密存儲，滿足合規與內控條款的相關需求。備份數據可手工恢復，用作日誌回查。

5、強大的日誌分析功能
支援根據內置或自定義進行實時分析策略、統計分析策略，提供強大的日誌關聯分析能力，有助於提升審計管理工作的效率，降低審計的複雜性。

6、威脅告警及分析
通過關聯分析規則，系統能夠對符合關聯規則條件的日誌產生告警。基於攻擊鏈模型，對已發現的攻擊步驟進行推理，預測未來攻擊事件。

7、支援日誌查詢
系統提供日誌的查詢功能，便於從海量數據中獲取有用的日誌資訊。用戶可自定義查詢策略，支援快速查詢和模糊查詢功能。

8、綜合管理功能
涵蓋報表管理、用戶管理、系統管理等關功能，滿足企業個性化、多樣性的管理需求。管理可視化，可直接通過表單查看相關數據

產品優勢

1、安全簡單的部署
產品配置簡單，採用旁路部署，對網路現狀不產生任何影響；橫向集群方式可以支援海量日誌的收集、存儲、分析、展示。

2、全面的日誌收集
採用分散式採集，支援自定義數據採集策略，支援各種協議採集，支援各種日誌類型，方便實現多設備的海量日誌採集。

3、集中化日誌存儲管理
平台將對日誌進行集中化收集與存儲，形成日誌管理體系；對所有採集的數據進行範式化處理，提高日誌分析效率。

4、強大的安全分析能力
數據實時審計分析，支援對防火牆、IDS、IPS、防病毒、網路設備、主機、應用等安全事件進行審計，對違規登錄、配置變更、關鍵伺服器入侵等行為進行告警。

隨著網路設備的逐步增多，網路系統運維成了一件難事，如果沒有這種日誌審計平台的輔助，運維人員需要登陸到每台設備上去查看日誌，這將是很大的工作量，無法有效管理，多種設備之間無法形成聯繫，容易形成資訊孤島，通過統一的日誌審計平台，將所有設備日誌都收集到平台及進行統一管理，統一分析。