根据等保主机安全审计要求，等保应用安全审计要求，等保网络设备安全审计要求，国家安全法要求等多项政策规定系统中需建立日志审计。日志审计系统可以了解系统的运行状况，安全状况，甚至是运营的状况。

由于一款综合性的日志审计与分析系统要能够收集网络中异构设备的日志，因此日志收集的手段应要丰富，建议至少应支持Syslog、SNMP、Trap、数据库、本地文件、控制台标准输出、TCP Socket等多种采集日志方式。

对于一个日志审计系统，从功能组成上至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能：

1)信息采集功能：系统能够通过某种技术手段获取需要审计的日志信息。对于该功能，关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度（细致程度）。

2)信息分析功能：是指对于采集上来的信息进行分析、审计。这是日志审计系统的核心，审计效果好坏直接由此体现出来。在实现信息分析的技术上，简单的技术可以是基于数据库的信息查询和比较；复杂的技术则包括实时关联分析引擎技术，采用基于规则的审计、基于统计的审计、基于时序的审计，以及基于人工智能的审计算法，等等。

3)信息存储功能：对于采集到原始信息，以及审计后的信息都要进行保存，备查，并可以作为取证的依据。在该功能的实现上，关键点包括海量信息存储技术、以及审计信息安全保护技术。

4)信息展示功能：包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能，等等。这部分功能是审计效果的最直接体现，审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。

只有通过专业的日志审计

1）实现对各种IT设备和信息系统的日志的收集，标准化，分类和统一存储。

2）对各种日志进行实时审计分析，发现违规行为，并能进行告警响应。

3）对审计信息进行统计分析，提供日志审计报告报表，多角度对网络系统的安全状况进行审计。

在这方面，东软集团公司自主研发的SOC-LA日志审计系统就是其中的佼佼者。东软NetEye成立于1996年，连续多年保持稳健成长。以业务驱动安全为核心，致力于业务安全的技术研究，为客户提供基于业务安全的网络安全防御体系。随着信息安全的不断发展，信息系统的多样化导致日志数量巨大、日志格式多样、用户无法进行重点分析、难以挖掘各类日志之间的关联关系等问题，为解决此类问题东软结合在网络安全领域多年的理论和实践经验特推出面向政府、企业和各类组织的日志审计系统，东软NetEye日志审计系统（SOC-LA）支持多种日志采集方式、日志支持种类多、扩展灵活，可智能关联各类日志信息，能够为用户从纷繁复杂的日志中萃取出具有价值的部分。