日志审计平台能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂 商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并 将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具 丰富的报表报告，获悉全网的整体安全运行态势。

  系统能够采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用 系统产生的日志，通过 Syslog、SFTP、JDBC、本地采集、协议定制开发等进行采集。用户 仅需安装部署审计中心，无需另装采集器，即可实现对日志的采集工作。系统也支持通过 日志采集器和日志代理的方式采集日志，完全取决于用户的实际需要。

  日志审计平台主要有三部分组成，一部分是采集器，对采集的数据进行格式化分析处 理，保存原始日志和格式化后的日志，同时产生告警；一部分是数据库，把采集分析的内 容存入数据库；一部分是 web 服务器，管理员可以通过 http 方式对日志告警等进行管理。

   用户登录即可进入综合展示首页。通过首页，能够快速的导航到各个功能。用户能够 通过仪表板从不同的方面对日志进行审计，可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。用户可 以自定义仪表盘，按需设计仪表盘显示的内容和布局，可以为不同角色的用户建立不同维度的仪表盘。

   支持自定义安全审计策略，支持从任意维度观测安全事件的走向。 

   支持对防火墙、IDS、IPS、防病毒、网络设备、主机、应用等安全事件进行审计，对违规登录、配置变更、关键服务器入侵等行为进行告警。

   基于统计的分析。支持自定义安全统计分析策略，支持以柱状、饼状、堆叠图等形 式对采集的安全事件按统计分析策略进行分析，能对主机登录失败次数、活跃病 毒、设备故障排行、最多访问用户排行等场景进行统计分析和告警。

   基于关联的分析。支持自定义关联分析规则，能对符合关联规则条件的原始事件进 行分析，解决单一设备无法识别的一些安全威胁。如绕过防火墙等。

   快速实时的告警。入库即完成分析，满足规则即刻告警。

   支持将告警数据推送到绩效评估工作平台。

   通过采集企业内部的各种安全相关元数据，利用大数据技术形成安全大数据，开展安全分析，应对合规要求、消除告警噪音、识别高级威胁、开展复杂场景安全分析。