1．系統(tǒng)架構(gòu)

日志審計系統(tǒng)功能邏輯上分為日志產(chǎn)生層、日志收集層、分析處理層和監(jiān)控展示層，系統(tǒng)功能架構(gòu)如附圖27所示。

日志產(chǎn)生層是日志審計系統(tǒng)的信息源，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等。

日志收集層主要完成對審計日志的采集、日志格式標準化和日志歸并、過濾等功能。

分析處理層作為審計數(shù)據(jù)的控制管理、事件存儲和日志收集代理之間的連接紐帶，它是整個日志審計系統(tǒng)的核心組件，負責對所收集的審計數(shù)據(jù)進行存儲歸檔、監(jiān)控統(tǒng)計、關(guān)聯(lián)計算和報表統(tǒng)計等，分析處理層還負責與外部的系統(tǒng)進行安全交互。

監(jiān)控展現(xiàn)層包括門戶訪問和管理控制功能。門戶訪問功能提供統(tǒng)一的WEB門戶，并和身份管理系統(tǒng)結(jié)合，進行統(tǒng)一認證，負責安全審計數(shù)據(jù)的風險展現(xiàn)、查詢、分析等功能，它為用戶提供審計信息分析、告警響應(yīng)、工單處理等。管理控制提供參數(shù)調(diào)整、性能監(jiān)視、用戶權(quán)限分配、數(shù)據(jù)管理、告警規(guī)則建模、報表定制等功能。