系统组成

天融信日志收集与分析系统主要由七个子系统组成。

系统组成

日志采集子系统日志采集子系统是整个系统的基础，负责收集各种设备、应用的日志。支持服务器直接采集和通过外部代理采集两种方式，适应不同的设备和应用日志。

日志处理子系统日志处理子系统负责将收集到的各种格式日志进行解析、归一化处理，提供给后续模块进行分析存储。

日志管理子系统管理该系统收集到的所有日志，包括系统自身产生的审计日志。支持日志的实时监视、查询、备份、导出管理。

日志存储子系统日志存储子系统支持存储系统收集到的所有日志。支持按照存储时间和空间多个维度的策略进行管理，支持海量日志管理。

统计分析子系统统计分析子系统支持实时统计分析，系统通过预置的上百种统计规则，实时统计分析收集到的日志。支持按照日、周、月、年等周期统计、展示日志分析结果。统计分析结果支持word、pdf等多种导出格式。

告警响应子系统告警响应子系统能够根据规则对特定日志触发告警和响应动作。

管理子系统管理子系统负责整个天融信日志收集与分析系统的配置与管理。包括系统参数配置、日志源管理等。

功能介绍

日志收集

通过配置多种类型的日志源，天融信日志收集与分析系统能够支持安全设备、网络设备、操作系统及应用协议等多种日志数据的收集。

目前，天融信日志收集与分析系统支持的日志类型主要包括：

网络设备日志安全设备日志主机服务器日志各种应用系统日志日志存储

天融信日志收集与分析系统集中存储所有收集到的日志。

集中存储集中存储可以提高日志的安全性并方便管理。支持灵活的存储策略，可以为不同日志源设置不同的存储策略。支持存储空间上限管理，当存储空间不足时会自动删除最旧的日志，优先存储最新产生的日志。

原始格式天融信日志收集与分析系统同时存储格式化日志和原始日志，以便能够最大限度还原原始信息，为准确取证提供保障。

日志查询

天融信日志收集与分析系统提供了多样、灵活的日志信息查询功能，方便管理员快速查找定位关键日志和准确地进行事后取证。

条件查询支持多条件组合查询日志数据，查询结果可以导出查看。如果不输入条件，默认查询所有该时间段内日志。查询结果倒序显示，也就是最近产生的日志在前面。

支持原始日志与格式化后日志对比显示查询结果可以同时显示符合条件的原始日志和格式化日志，可以帮助管理员更详细了解日志信息。

查询结果可导出日志查询结果可以导出到文件中，方便离线使用。

历史日志检索备份的历史日志可以重新导入查询，目前支持按照导出日志文件为单位进行查询管理。

统计报表

天融信日志收集与分析系统支持实时统计报表，能够根据预置的各种报表模板实时生成统计报表数据，达到快速生成并展示报表的效果。系统根据各种设备日志类型预置了丰富的报表模板，并提供日、周、月、年等统计周期。查看统计分析结果不再需要漫长的等待。

实时监视

天融信日志收集与分析系统可以实时监视系统运行状态，包括CPU、内存和磁盘空间使用率以及当前平均日志流量，方便管理员及时了解系统运行和负载情况，并能根据策略及时发出告警。

支持实时监视当前正在收集的日志。

告警响应

天融信日志收集与分析系统能够对系统状态和关键事件及时作出响应。目前支持邮件、SNMP trap、执行本地命令和声音等多种响应方式。

规划与部署

天融信日志收集与分析系统（以下简称TA-L）是一个分布式、跨平台的安全审计系统。它可以对安全系统、网络设备、操作系统、应用系统等产生的日志信息进行统一收集、集中存储，并采用先进的智能信息处理技术对其进行综合分析。通过跨平台的日志收集、告警响应和全面的安全状态分析等手段，TA-L系统可以协助用户对已发生的安全风险进行取证、查询，为提高安全管理效率提供了有力的技术武器。

用户可以根据网络的整体规模、安全需求，以及日志流量等信息进行综合分析，合理部署天融信日志收集与分析系统。