Q5: 日志审计系统选型的核心要点是什么？

Q5: 日志审计系统选型的核心要点是什么？

A: 日志审计系统是工控安全体系建设的重要组件，选型时需关注以下核心要点：

1. 多源采集能力：系统需支持采集多种数据源，包括防火墙日志、入侵检测日志、交换机日志、工控设备日志（PLC、HMI、DCS 控制器）、终端安全日志等。支持 Syslog、SNMP Trap、FTP、API 等多种采集方式。
2. 存储容量与性能：根据日志量和合规留存要求（通常需保存 180 天以上），评估存储容量。关注系统的写入性能是否能满足高峰期日志并发写入需求。
3. 关联分析能力：系统应支持多维度关联分析，能够将来自不同设备、不同时间点的日志进行关联，还原完整的攻击链路。内置工控场景的关联规则模板为佳。
4. 合规报表：系统应内置等保 2.0、行业监管等合规报表模板，支持一键生成审计报告，降低合规工作量。
5. 查询与检索：支持全文检索、多条件组合查询，能够在海量日志中快速定位目标事件。查询响应时间应在秒级。
6. 工控协议解析：能够解析常见工控协议的命令和参数，将原始二进制数据转换为可读的操作记录，便于审计分析。