安全日志和事件管理分析能力欠缺，工控网络设备及其安全防御设施产生大量的安全日志和事件，形成大量“信息孤岛”，不能实时地对采集到的不同类型的信息进行标准化处理和实时关联分析，从海量日志中迅速准确地识别安全事故。

日志类型：主机类、数据库类、中间件类、网络设备类、安全设备类、虚拟化类、应用系统日志。 采集方式：Syslog、SNMP Trap、(S)FTP、JDBC、SMB、文件导入。

数据库、应用系统：JDBC、ODBC、FTP、SMB； 网络设备、安全设备：Syslog、SNMP Trap、私有接口； 中间件: FTP、SMB、文件导入； 操作系统：Agent。

解析各类异构日志，变成系统可识别的统一的日志格式，屏蔽了不同厂商不同产品之间的日志差异，整理重塑成结构化字段，使日志检索和管理分析成为可能。

系统将每条日志范化后的字段都编入倒排索引，通过倒排索引技术，可以单个字段或字段组合快速反查原始日志，从而实现亿级数据秒级查询。

实时记录系统中各设备的登录、权限、账号、文件、外设、命令指令、配置变更、网络会话、安全攻击日志，对各类日志进行统计分析，筛选出可能存在的风险操作和攻击行为

监测和分析系统中各种日志源日志，对多源日志进行关联分析和告警归并等手段，减少误报警和重复告警，仅上报高阶告警。

从海量日志中提取隐含的、事先未知的、具有潜在价值的信息和知识。

策略配置和日志数据单独备份 全量和增量备份兼顾可靠性和存储空间利用高效性

支持年、月、日任意时间周期内的各类统计分析报表 支持导出各种筛选、过滤后的报表

大数据架构实现日志存储，可兼顾日志的结构化存储以及原始日志的非结构化存储，在实现海量数据的存储功能的同时，又可以保证数据的查询性能。采用分片技术实现海量数据的水平扩展和可靠性存储，通过分片副本保证数据的可靠性；采用类似键/值、列族、文档等非关系模型，实现海量日志的查阅和检索。将日志范化后的字段编入倒排索引，通过倒排索引技术，根据单个字段或字段组合快速反查原始日志，实现了亿级数据秒级查询效果。专利号：CN103618692A 一种日志快速匹配范化策略的技术，通过范化策略分组、快速索引、优先级排序、动态基线几重处理，将范化策略匹配的次数从几百次降低到10次以内，极大地提升了策略匹配效率。

范化：将不同的日志进行标准化解析，提取出日志中的关键信息的过程，其中还可能包括字段的映射、转换、二次计算等，最后将原始日志规范转换为系统定义的标准格式数据。

为保证网络稳定，生产系统经常使用AB组网方式，日志源会接入两个网络，需要对AB两个网络数据进行融合处理； 生产系统数据对接需要使用行业专有协议，如电力行业使用IEC104协议进行通信，创新性的通过IEC104协议与自动化系统实现对接。

涵盖各种安全事件和操作，覆盖到每个重要节点、每个用户的重点行为和重要安全事件审计，其中外设使用审计、命令指令审计、工业协议事件审计能力业界领先。

1、公安部颁发的日志分析类产品三级证书，满足GA/T 911-2019 《信息安全技术 日志分析产品安全技术要求》； 2、中国电力科学研究院检测报告，满足GB/T 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》； 3、国家工业控制系统与产品安全质量监督检验中心检测报告； 4、国家网络与信息系统安全产品质量监督检查中心的信息技术产品安全检测证书； 5、国产化飞腾平台兼容性证明； 6、CNAS机构的EMC电磁兼容、高低温、跌落等可靠性测试报告；