日志审计系统的基本原理

综合日志审计平台，通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

通过日志审计系统，企业管理员随时了解整个IT系统的运行情况，及时发现系统异常事件；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，日志审计系统可以帮助管理员进行故障快速定位，并提供客观依据进行追查和恢复。[百度百科]

图：日志审计系统产品功能结构

日志审计系统的主要工作原理是，通过日志采集器，各种设备将日志推送到日志审计平台，然后日志审计平台通过日志解析，日志过滤，日志聚合等进行关联分析，从而进行告警，统计报表，也可以进行资产管理，日志检索等。

日志转发一般可以通过：Syslog转发，Kafka转发，http转发。

日志收集一般支持：Syslog、SNMP等日志协议。

一般日志审计系统采用旁路部署即可，只要到达全部设备网络可通即可。

支持单机部署和分布式部署。

●全面的智能收集功能：不断的连接检查和完整性检查以及可自定义的缓存功能，可确保平台接收到所有数据，并对传输链的各个环节进行监控；可配置过滤和聚合功能可以消除无关数据，并且合并重复的设备日志，强大的数据压缩功能可节省昂贵的带宽。

●标准化日志：各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述：事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。

●创新的日志解析能力：解析规则激活，仅当接收到对应的日志后，规则才会被激活，同时支持未识别日志水印处理，采用多级解析功能和动态规划算法，实现灵活的未解析日志事件处理，同时支持多种解析方法（如正则表达式、分隔符、MIB信息映射配置等）；日志解析性能与接入的日志设备数量无关。

●先进的关联算法：标准化之上的关联规则，适应性强；实时的内存关联功能可确保获得高性能的处理能力，可定制性强，几乎可根据通用事件的任何字段进行关联；直观的规则语法，可以让用户根据自己情况进行灵活定制，内置重要的关联规则库，可以即装即用。

●可维护性及可扩展性：系统具有对自身的维护配置功能，如：系统参数设置、系统日志管理等。 硬件系统采用模块结构，保证系统内存、CPU及储存容量的扩展；硬件配置的升级不会引起软件的修改和开发；每个组件都可以横向扩展，通过增加设备满足业务需求。

审计机关及各部门坚持填写审计工作日志，是加强审计机关管理教育的重要内容，也是促进廉政勤政，提高审计机关作风效能建设，营造审计机关良好的工作秩序和环境的重要措施。

一、审计工作日志的概念

审计工作日志，是指记载审计机关各科室在工作日所开展的工作事项的一种应用文体，属于日记的范畴。但工作日志与通常的个人日记二者又有明显区别。一般讲，日记具有个人性质的特点，并对每天所遇到的事和所做的'事的记录，兼记对这些事情的感受，或直接抒发自己的感情。而审计工作日志，多指非个人的，是审计机关及所属部门对工作事项、工作完成情况和工作中遇到问题和解决方法的记录，同时也是对工作情况的总结，包括经验教训和收获等的记录。审计工作日志，也不同于《审计机关审计项目质量控制办法（试行）》（中华人民共和国审计署令第6号）中规定的“ 审计日记”，审计日记是审计人员以人为单位按时间顺序反映其每日实施审计全过程的书面记录。

二、写审计工作日志的好处

写审计工作日志，是审计机关进行管理教育的重要措施，是加强机关作风效能建设的有效手段。坚持写审计工作日志好处主要有三点：

一是可以培养认真、严谨、细致的工作作风 。细节决定成败，作风决定形象，形象重于泰山。只有坚持严谨细致的作风，勤勤恳恳、履职尽职，把工作中的点点滴滴都认真做到了、做好了，才能把你的本职工作真正完成好，才能树立和维护审计监督机关良好的社会形象。

二是可以增强审计工作的计划性 。每天做了哪些工作，还有什么需要注意的事项，思考一下明天的工作内容，做一些备忘录以应对所开展的工作，可以使审计工作计划更周密，工作开展起来会更加得心应手。

三是可以增强审计干部的逻辑思维能力 。把每天的工作情况转变成文字的过程，也是对已完成的工作进行梳理的过程，这就会使你的思路更清晰，不仅会增强成就感，而且会使你更加自信，更勤奋地面对新的一天。此外，写审计工作日志，还可以对所开展的审计活动起着检索工作的作用。

总之，坚持写审计工作日志是一个良好的工作习惯，贵在持之以恒，所以长期坚持写审计工作日志，对于深化审计工作有百益而无一害。

三、怎样写审计工作日志

写审计工作日志其实不难，不要视为畏途，最简单的方式，就是你把它当成一个工作日记，平铺直叙地写当天都做了哪些工作，并在结尾的时侯总结一下当天的经验教训或者收获等。

具体说来，审计工作日志的内容要素应包括以下四点：

1、当天的工作重点，即主要精力用于做了些什么；

2、值得记录的工作方法，即在当天的工作中学习和领悟到的工作方法；

3、工作中的失误及解决方式，不要怕问题暴露，这是为了避免犯同样的错误；

4、明天或今后一段的工作中需要注意的事项，如连续性的工作，今天完成到什么地步，明天继续实施时从哪里开始，其中有什么变化等。

四、写审计工作日志的要求

1、全面及时了解审计工作和审计活动的开展情况，持之以恒地将每天工作情况完整记录下来，最好不要代记、补记；

2、为便于书写工作日志，可设计制作内容简明、书写方便的工作日志表；

3、写审计工作日志字迹要清晰，内容要属实，不得弄虚作假；

4、审计工作日志要妥善保管，以便查询或作为工作考勤的重要依据。

---