<p class="shortdesc"></p> <p class="p">安全日志审计包括采集器、Agent、通信服务器及关联引擎等组件，可监控并采集各种设备产生的日志，进行解析和可视化展示。</p> <p class="p">根据对Syslog、SNMP协议的支持情况，被监控设备分为标准设备（支持Syslog或SNMP trap）和非标准设备（不支持Syslog和SNMP trap）。</p> <div class="p"> <img class="image" id="architecture__image_cg3_xvz_dsb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112057-19504f379191.png" width="550"> </div> <div class="p"> <ul class="ul" id="architecture__ul_jcw_cwz_dsb"> <li class="li"><span class="ph" id="architecture___Toc528533022"><strong class="ph b">采集器</strong></span><p class="p">采集器主要完成日志 收集和格式标准化处理。采集器将采集的日志数据过滤并转化为统一定义的标准数据格式，然后压缩、归并，上传给平台。</p></li> <li class="li"><strong class="ph b">Agent</strong><p class="p">Agent用于采集非标准设备上的日志，并通过Syslog方式将采集到的日志发送给采集器。Agent可以采集文本型日志、数据库表中的数据 ，以及Windows主机日志及性能信息；同时支持采集IIS、Apache Web服务器日志以及MySQL、SQL Server等数据库的日志；还支持通过SNMP Trap方式对主流安全设备、网络设备的性能数据进行采集。</p></li> <li class="li"><strong class="ph b">通信服务器</strong><p class="p">通信服务器完成采集器与平台间的通信，将格式统一后的日志写入数据库，同时提交给关联分析模块进行分析处理。通信服务器可以同时接收多个采集器的日志。</p></li> <li class="li"><strong class="ph b">关联引擎</strong><div class="p">安全日志审计平台收集到的事件种类多、数量大，为了更有效地对这些海量的事件进行分析和处理，确保可以第一时间对各种存在的安全问题采取响应措施，平台必须具有强大的事件处理和分析功能。目前对事件进行处理和分析最有效的方法就是事件的关联，包括实时关联分析、跨设备关联分析和基于事件因果关系、事件安全要素、跨协议层、多层架构、时间回溯、关联结果 等内容。<img class="image" id="architecture__image_fh1_qwz_dsb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112057-16a6e6119ab0.png"></div></li> </ul> </div>