安全采集总体实施要求

1、安全日志采集对象需包含：网络设备、操作系统、数据库、中间件、应用系统、安全设备。

2、前置系统需具备日志接收和上传的能力，日志接收需要进行格式化及二次过滤。

3、接收集团的宏命令下发、宏命令配置，同步日志解析规则等。具体参考前置系统建设指导。

4、省采集机具备南北向接口能力，南向支持对宏命令的解析和虚实指令转换，北向支持日志解析的规则匹配、配置等。

5、省采集机自身需具备强可扩展性和自管理和监控能力，对异常模块实时上报。短铘辔嗟具体参考采集机建设指导和日志格式标准化实施指导。

6、日志格式标准化遵循松耦合，支持规则配置和扩展插件等多种方式。规则配置的规则库需要从集团统一获取。

7、安全采集的扩展插件方式需要遵循整体的框架体系，具体参考采集机建设指导。