日志采集

全面采集網絡行為及數據庫操作日志、服務器主機及網絡設備日志、常規應用及業務系統日志，并對日志進行統一歸并處理，便于后續分析。

采集是日志審計（原生版）系統的重要功能模塊，它承載了日志或事件采集標準化、過濾、歸并功能，是系統進行分析的第一步，用戶通過指定需要采集的目標、相關采集參數（Syslog、SNMPTrap等被動方式無需指定）、相關的過濾策略和歸并策略等創建日志采集器，以收集相關設備或系統的日志。

不同的系統或設備所產生的日志格式是不盡相同的，這給分析和統計帶了巨大的麻煩，所以在日志審計（原生版）系統中內置了眾多的標準化腳本以處理這種情形；即便對于某些特殊的設備，如某個系統的新型號，您沒有發現相關的解析腳本，日志審計（原生版）系統也提供了相應的定制方法以解決這些問題。

日志檢索

基于海量數據的高速檢索能力，可以實現多重條件組合的快速檢索和精確定位，并且支持事件的交互式檢索分析快速生成圖表直觀呈現分析內容，并能直接保存成儀表板展示。

• 億級（TB）原始日志查詢耗時低于1秒；
• 支持簡單易用的日志查詢普通模式，根據系統預置的查詢條件，根據用戶需求查詢對應的日志，并且支持查詢條件的保存，供后續快捷使用；
• 支持更加精確的高級模式查詢，根據頁面的指導提示，通過組合查詢表達式完成精確查詢。

審計分析

對實時動態分析的日志進行歸并處理和監測，可及時發現高危安全事件，如用戶違規行為、數據泄露、攻擊利用和主機通信異常。

關聯分析策略是系統中的核心功能之一，主要關注各類日志之間的邏輯關聯關系。它不僅支持以預定義規則進行事件關聯，還能基于狀態、時序和歸并等方式發現關聯。

系統可審計以下不同類型日志或事件（需結合相關設備，如防火墻和IPS等）：網絡攻擊、有害代碼、漏洞、用戶訪問存取、系統運行、設備故障、配置狀態、網絡連接和數據庫操作等。

關聯事件的結果將在關聯事件中顯示，如果符合關聯策略，將以告警形式在實時監控模塊呈現給用戶。用戶可以對告警進行處理，以確保及時應對潛在的安全問題。

數據展示

提供可視化的總體概覽，通過儀表板可以直觀地展示日志數據的統計和分析結果，幫助用戶快速了解系統的運行狀態和問題。用戶可以自定義展示安全事件以及各類審計分析信息，提供實時的審計分析可視化界面。

全局監視儀表板，可展示不同設備類型、不同安全區域的實時日志流曲線、統計圖，以及網絡整體運行態勢、待處理告警信息等。

風險報表

用戶可以根據自己的需求，自由選擇需要包含在報表中的指標和數據，以便更好地滿足特定的業務需求。系統還提供了對預置報表模板的選擇和預覽功能。用戶可以瀏覽系統中已經存在的報表模板，并選擇其中的一個進行生產。這有助于用戶快速生成符合自己需求的報表，節省了手動設計和生成報表的時間和工作量。

在報表中，系統以柱狀圖、曲線圖和餅狀圖的方式統計安全報警和原始日志情況。這種可視化的報表展示方式使得數據更加直觀易懂，用戶可以更輕松地分析和理解報表中的信息。報表格式方面，系統支持PDF、Word等文件格式的導出。用戶可以根據需要選擇合適的文件格式，以便將報表分享給其他人或保存到本地進行進一步分析。

此外，系統還支持周期性生成報表并通過郵件推送給用戶。用戶可以設置報表的生成周期，例如每天、每周或每月定期生成報表，并通過電子郵件將其發送給用戶。這樣，用戶可以及時獲得最新的安全報警和日志信息，以便及時采取相應的措施。

響應處置

對實時審計產生的告警，系統還支持通過配置規則來指定場景告警進行響應通知。這意味著用戶可以根據自身需求，將不同類型的告警劃分為不同的場景，并設置相應的規則和通知方式。在郵件通知方面，系統提供了豐富的內容配置選項。用戶可以根據需要填充事件相關信息，以便在通知郵件中提供更詳細的上下文信息。此外，還可以配置郵件通知的時段，以確保及時通知用戶。系統能夠自動實時地發送告警通知給用戶，使用戶能夠及時了解安全報警和日志異常情況。用戶可以通過查看告警通知的內容，迅速判斷是否存在潛在的安全問題，并采取相應的措施進行處理。

通過以上功能的支持，系統能夠幫助用戶實現對實時審計中的告警進行快速、準確、有效的響應和處理。用戶的響應時間得到縮短，安全問題能夠得到及時解決，從而提升了系統的安全性和可靠性。