信息技术日志分析产品安全检验规范(1)

本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术日志分析产品安全检验规范
1.范围
本规范规定了日志分析产品的安全功能要求和保证要求。
本规范适用于日志分析产品的生产及安全功能检测。
2.术语和定义
2.1 审计信息
泛指被审计产品作为审计处理对象的各种数据信息，包括日志以及各种安全设备产生的安全事件报告信息。
2.2 审计数据源
用以产生审计信息的软件系统或硬件设备。
2.3 审计中心
用于完成审计信息的分析处理功能的软件程序。
2.4 审计代理
为获取特定设备上的审计信息而运行在该设备上的软件程序。
3.日志分析产品的安全功能
3.1 日志收集
3.1.1 数据源控制
审计系统应该提供对审计数据源的授权控制机制，只有授权的审计数据源发送的审计信息才能被审计系统分析处理。
3.1.2  获取syslog日志
审计系统应支持在标准端口（udp:514）接收标准syslog日志。
3.1.3 基于代理的日志获取
审计系统应提供代理机制获取其审计信息，如操作系统日志，安全设备报警信息等。