日志審計是指每天對記錄的信息進行審計和檢查。對于一個日志審計系統來說，其功能構成至少應包括四個基本功能：信息采集、信息分析、信息存儲和信息顯示。日志審計是將信息系統中的系統安全事件、用戶訪問記錄、系統操作日志、系統運行狀態等各類信息進行集中采集，并經過規范化、過濾、合并和報警分析等處理，以統一格式的日志形式進行集中存儲和管理，結合豐富的日志統計匯總和關聯分析功能，實現對信息系統日志的全面審計。

日志審計系統具有以下功能：

日志監控：提供日志監控功能，支持監控采集器和采集器資產的實時狀態，支持查看CPU、磁盤、內存的總量和當前使用情況；支持查看資產的概況信息和與資產相關的事件分布。

日志采集：提供全面的日志采集能力：支持網絡安全設備、網絡設備、數據庫、windows/linux主機日志、web服務器日志、虛擬化平臺日志和自定義日志；提供各種數據源管理功能：支持數據源的信息顯示和管理、采集器的信息顯示和管理、代理的信息顯示和管理；提供分布式外部采集器和采集器。提供分布式外部采集器和代理等多種日志采集方式；支持IPv4和IPv6日志采集、分析和檢索查詢。

日志存儲：提供原始日志和范式化日志的存儲，可自定義存儲周期，支持FTP日志備份和NFS網絡文件共享存儲等多種存儲擴展方式

日志檢索：提供豐富靈活的日志查詢方式，支持全文、key-value、多kv布爾組合、括號、正則、模糊等多種檢索方式；提供便捷的日志檢索操作，支持保存檢索、從保存檢索中導入查看多種條件等。

日志分析：提供便捷的日志分析操作，支持對日志進行分組，可采用分組查詢和從葉子節點直接查詢的方式分析日志。

日志轉發：支持原始日志、范式日志轉發

日志事件預警：內置豐富的單源和多源事件關聯分析規則，支持自定義事件規則，根據日志、字段的布爾邏輯關系自定義規則等；支持時間查詢、查詢結果統計和統計結果顯示等；支持自定義報警規則，可設置事件的各種過濾規則、報警級別等。

日志報表管理：支持豐富的內置報表和靈活的自定義報表模式，支持編輯報表目錄界面、引用統計、設置報表標題、顯示頁眉和頁碼、基本報表配置（名稱、描述等）；支持實時報表、定時報表、定期任務報表等；支持html、pdf、word格式報表文件和報表標識的靈活配置。