日志审计与分析系统具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的能力。

通过设备的部署，一方面可以集中收集、长时间存放所有的记录日志，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生。

另一方面，设备强大的日志审计能力可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

1.主要功能

设备包括审计中心、日志采集器和日志代理三个部件。日志采集器和日志代理实现对审计数据源（主机/服务器类、网络类和安全类等）的日志信息统一收集，然后上传给审计中心进行集中化存储、分析和审计：

1.1审计中心

即设备的管理中心，是设备的核心部件，实现了对日志的集中化存储、备份、查询、审计、告警、响应，以及出具报表报告。用户的审计员通过浏览器即可登陆审计中心，进行各种审计操作。

审计中心内置日志采集功能，可以直接收集审计数据源的日志信息。审计中心也可以汇聚来自日志采集器和日志代理的日志信息。

1.2日志采集器

通过部署日志审计与分析系统采集器专用设备，实现对异构审计数据源的日志采集，功能同审计中心的日志采集模块，用以辅助审计中心解决特定日志采集的问题，并可以实现分布式日志采集能力。

日志采集器收集的日志可以转发给审计中心。

1.3系统架构

采用分层协同工作设计，总体上含web展示（展示层）、后台处理（管控层、分析层、大数据层、预处理层）、数据采集（采集层）。

数据采集：系统内置的采集模块对多种数据来源进行收集和识别，再转交给后台处理层进行处理。

后台处理：采集后的数据先由预处理层进行分类、过滤及解析；再交由大数据层进行实时数据流统计；分析层将大数据层的数据进一步进行数据挖掘、绘制网络及业务拓扑、交互分析等处理，对事件数据进行控制及告警。

WEB展示：对采集数据和分析结果以便捷阅读的方式展示，是管理员与日志审计系统进行人机交互的通道 ，通过网页的形式为管理员提供数据与分析结果的可视化展示及业务与系统的管理功能。

2.应用部署

2.1单一部署

单一的部署环境在不改变原有的网络基础之上，旁路方式接入到网络当中，并且设备只需要一个网口接口做管理及采集日志，节省网络交换的端口资源。

2.2分布式部署

分布式部署做到各个分支机构的日志汇总到总部统一展示、分析，并且部署方式同样采用旁路方式，不会对网络造成安全风险。