1、安全日志采集对象需包含:网络设备、操作系统、数据库、中间件、应用系统、安全设备。
2、前置系统需具备日志接收和上传的能力,日志接收需要进行格式化及二次过滤。
3、接收集团的宏命令下发、宏命令配置,同步日志解析规则等。具体参考前置系统建设指导。
4、 省采集机具备南北向接口能力,南向支持对宏命令的解析和虚实指令转换,北向支持日志解析的规则匹配、配置等。
5、省采集机自身需具备强可扩展性和自管理和监控能力,对异常模块实时上报。具体参考采集机建设指导和日志格式标准化实施指导。
6、日志格式标准化遵循松耦合,支持规则配置和扩展插件等多种方式。规则配置的规则库需要从集团统一获取。
7、安全采集的扩展插件方式需要遵循整体的框架体系,具体参考采集机建设指导。
