本系列故事纯属虚构，如有雷同实属巧合

小B是Q公司的安全攻城狮，最近Q公司不太平，出现了好几次的安全攻击事件。可在事后小B却找不到被攻击的真正原因，于是领导下命令给小B，必须做到对攻击事件的检测与溯源，不然就可以卷铺盖回家了。

听到此话的小B冷汗连连，找到最近几次攻击的记录文档，认真剖析未发现真相的原因，总结如下：

• 系统未记录日志：部分系统无日志信息可用。
• 日志信息无备份：日志被攻击者删除，或因存储空间不够被删除，无备份日志可用。
• 采集维度不详细：日志格式为默认配置，不够详细，不能从中提取太多有效价值信息。
• 采集信息不准确：类似IP等用户识别维度信息不准确，不能定位到攻击者。
• 记录结果不统一：相同字段在不同的日志中类型不统一，无法进行日志关联。

找到了原因，小B就知晓了要想解决这些问题，就必须实现统一日志分析平台。拥有了这个平台，那么在下一次面对攻击时就不会那么两眼一抹黑了。

小B说目的

建设统一日志分析平台，小B需要先向领导汇报得到领导的支持。首要就是向领导说明搭建统一日志分析平台的目的。

日志分析在企业内部是一项很基础的核心技术，不光运用在安全团队中，还运用在IT研发团队、业务团队中。不同的是目的：

• 从安全来看：安全团队提取日志分析主要是为了
  
  发现未知安全事件、对已知的安全事件进行溯源分析
  
  。还有另外一个很重要的目的是
  
  国家层面的监管合规要求
  
  。
• 从IT研发来看：企业内部的非安全