一、不依赖第三方日志服务器

• 节省硬件成本
• 节省机柜空间及电费
• 不产生额外的网络流量，同时节省网关CPU资源
• 不需要添加额外的访问控制策略，避免被入侵后利用
• 即使WEB等服务器被黑，在网关处仍然有WEB等审计日志留存
• 第三方日志服务器缺乏权限管理，容易泄露日志
• 第三方日志服务器缺乏归档管理，容易撑爆磁盘，导致不可长久使用
• 第三方日志服务器缺乏针对日志内容的统计分析

二、日志归档管理

• 加密压缩保存，节省磁盘空间
• 留存xx天，自动删除最老的日志
• 监控磁盘空间，极端情况下，自动删除以前的日志，为新日志腾出空间

三、日志权限管理

• 记录所有管理员的操作，只能审计管理员查看
• 策略管理员只能查看其它日志，不能删除
• 只有审计管理员可以删除日志

四、日志实时监控

• 监控原始日志，提取整理成留存的日志
• 监控日志内容关键词，阻拦来源IP或目的IP
• 监控用户认证记录，防暴力破解
• WebAdmin界面提示有新日志产生，实时滚动显示最新日志
• 可以配置同步输出日志到Syslog服务器，并实时打印，防止日志被人为删除

五、大数据管理

• 内置Netflow Agent，将Netflow信息发送至外部PC Netflow接收器，在外部PC上做查询，不影响网关工作
• 在外部PC上下载包过滤日志，用专门的软件查看、查询，不影响网关工作
• 在网关上实时监控网络流量，但不留存包过滤日志

六、日志统计分析 

6.1 时效性

• 针对最近N条或最近N小时日志的统计分析，实时性强

6.2 关联性

• 显示源IP绑定的用户名
• 在线主机状态中查看流量对应的日志记录
• DNS日志统计中，显示对应的WEB记录，区分非WEB流量
• 实时监控及包过滤日志中，除时间、IP、端口、协议等信息外，还包含有流量对应的总控策略号及Pass、Deny等信息，方便调试、排查ACL

6.3 统计分类

• 来源IP：活跃用户
• 日志内容：热门应用

6.4 日志查询

• 模糊查询，支持搜索关键词SED语法表示
• 针对某一源IP，切换日志类型，快捷查询各类日志记录

6.5 上网轨迹分析

• 某一个源IP的所有日志，按时间先后顺序排列显示，每种日志只显示最近的2条

6.6 图形显示统计结果

• 饼图
• 柱状图

思维导图：