智能运维安全管理平台技术点-日志管理与分析

随着企业IT环境日益复杂，对日志的管理与分析出现了海量日志、数据分散、检索过慢及缺乏安全可控管理手段等问题。同时，网络安全法、等级保护2.0的颁布实施，使日志管理与分析愈发重要。

目前业界对日志的处理主要包括日志采集、范式化、存储、检索及分析等。其处理架构为：首先，从日志源中进行日志采集与过滤；其次，进行标准化及存储；再次，进行处理分析，包括：实时分析、统计分析、关联分析及审计分析等；最后，以可视化的图表进行数据展现。通过对日志进行统一管理与分析，可有效提升企业日志管理及安全审计水平。SiCAP基于标准的日志处理架构，可满足以下功能：

1. 全方位日志采集：支持丰富的日志源日志采集（操作系统、网络设备、应用系统、安全设备、数据库等）以及多种的日志采集方式（SysLog、SNMP Trap、FTP、WebService、文件、agent等）

2. 日志范式化：根据定义的规则，对日志进行规范化展示与存储

3. 日志聚类：

(1) 支持自动识别日志信息并有效聚合，提升检索效率

(2) 支持聚类模式下日志查看与检索

4. 日志检索：

(1) 支持对存储日志进行检索，检索速度可在毫秒级

(2) 支持多种条件组合检索与二次检索

5. 日志分析：

(1) 基于日志分级、分类、聚合、规则及智能算法，可实现规则分析、数量突变分析、异常模式分析与异常告警等功能

6. 日志可视化：

(1) 支持多维度丰富的统计报表（日志报表、日志策略报表、日志事件报表、日志等保报表等），快速掌握日志信息

(2) 支持多种图表、图形等可视化元素，可便捷查看和了解日志统计、趋势和异常告警

7. 安全合规审计：

(1) 具备完善的日志存储、分类、加密等能力

(2) 实现了日志全生命周期管理

(3) 满足了《网络安全法》及《等保2.0》的相关要求