Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 701

日志聚合

审核人Cybersecurity entrepreneur & security researcher

日志聚合 是什么?

日志聚合将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。


日志聚合是指将服务器、终端、云服务、网络设备和应用程序的日志统一发送到中心存储中,例如 SIEM 或日志湖。代理或 syslog 转发器采集原始事件,将其规范化为统一模式,补充元数据并写入有索引的存储,使分析人员能够跨整个环境进行查询。聚合是检测、威胁狩猎、事件响应以及合规留存的基础。运营上需要关注时间同步、数据源覆盖率、解析准确度、存储成本,以及保护日志的完整性,以防止攻击者篡改证据。

示例

  1. 01

    将 Linux auditd、Windows 事件日志与 AWS CloudTrail 转发到同一 SIEM 索引。

  2. 02

    使用 syslog 转发器将防火墙日志写入冷存储桶并保留一年。

常见问题

日志聚合 是什么?

将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。 它属于网络安全的 防御与运营 分类。

日志聚合 是什么意思?

将多个系统的事件日志收集、规范化并集中存储到统一平台,以便检索、分析和长期保留。

如何防御 日志聚合?

针对 日志聚合 的防御通常结合技术控制与运营实践,详见上方完整定义。

日志聚合 还有哪些其他名称?

常见的别称包括: 集中日志, 日志收集。

相关术语