关于日志审计的相关内容介绍

对于海量而又繁杂的日志数据，如果需要人为的每天去读取的话，把人累死也做不完这些工作，这个时候就需要日志审计对每天日志中记录的信息进行审计和检查，对于日志中涉及到的重要信息，对其真实性的完整性进行考察。

1、定义

总的来说，日志审计就是通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理之后，以统一格式的日志形式及进行集中的存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

2、组成

日志采集功能：系统通过配置某些技术手段如端口镜像等将需要审计的日志信息发送到审计安全设备上，日志审计通过这种手段对日志进行采集。

日志分析功能：对于采集到的日志信息进行分析审计，这是日志审计系统的核心，一般通过观察审计信息就可以体现出此款审计产品的好坏。

日志存储功能：对于采集到的原始信息，以及审计后的信息不可随意丢弃，都需要对其进行保存和备查，以便后期作为取证的依据。

信息展示功能：在日志审计系统对日志信息进行分析整理之后，会将数据整合在进行分析，根据管理员设置的策略进行分类和显示，对于具体问题进行告警。

3、为什么需要

互联网不断发展，网络设备的逐步增多，网络系统运维成了一件难事，如果没有这种日志审计平台的辅助，运维人员需要登陆到每台设备上去查看日志，这将是很大的工作量，无法有效管理，多种设备之间无法形成联系，容易形成信息孤岛，通过统一的审计平台，将所有设备日志都收集到平台及进行统一管理，统一分析。