日志审计系统的全部不见得都是审计

本文仅简单谈点个人对于日志审计系统的感受。

市场上有很多关于日志审计的产品，如思福迪、HP Arcsight、Splunk、安恒明御、国都兴业、启明天钥等等，此类产品一般都是为安全服务的，但是最近看了下网康的上网行为审计系统，大有启发。个人觉得日志审计系统应该有更大的用途或者作为，而且它也具备了一定条件：

1、一般日志审计产品均有日志的标准化功能，故应该可以用于分析各类数据（包括一些业务数据）；

2、日志审计系统一般具有大规模的分层和分级部署模式，故应能支持海量数据的收集和基础分析能力。

但目前此类产品还是仅被使用于一般安全领域，也就是专门来"挑刺"的，故向客户提供的价值较为有限，也不能充分利用其特性，所以有的用户就说"本来裸奔挺好，为什么非要穿个马甲"；但我认为此类产品完全可以用于大数据的分析（即可作为大数据分析的通用平台），而更进一步地可以用于分析客户业务数据价值，前提条件是：

1、提供更为灵活的字段定义，以用于数据格式的解析和展示；

2、提供更为强大的数据检索功能；

3、提供更为强大的客户报表支撑功能；

4、提供更多的统计模型（如正态、F分布、Student分布、卡方分布等）以支撑用户对于历史数据和趋势数据的分析、预测；

5、提供更多样化的数据挖掘功能（如关联分析、聚类挖掘、神经网络挖掘、决策树挖掘）以完全支撑客户对于数据的任意挖掘。

这样能够大大拓宽此类产品的应用领域和产品自身价值。