基础设施日志统一采集手册

基础设施日志统一采集手册一、总则（一）目的明确。为规范基础设施日志统一采集工作，提升运维管理效率，本手册旨在明确采集范围、技术要求、实施流程及监督机制，确保日志数据的完整性、准确性与时效性。（二）适用范围。本手册适用于公司所有生产、办公类基础设施设备，包括但不限于服务器、网络设备、存储系统、安全设备等，覆盖数据中心、办公区域及远程站点。二、组织架构（一）权责划定。各单位主要负责人是第一责任人，分管信息化的领导是直接责任人，技术部门需指定专人负责具体实施。运维团队需配合完成设备接入与数据核对。（二）职责分工。信息中心统筹规划采集标准，制定技术规范；各业务部门负责本领域设备的日志配置与维护；安全部门监督数据合规性；审计部门定期检查执行情况。（三）协作机制。建立跨部门沟通群组，每月召开例会通报进度，重大问题需3日内协调解决。所有变更需经信息中心审批备案。三、采集范围与标准（一）设备类型。必须采集以下设备日志：操作系统（Windows/Linux）、数据库（MySQL/Oracle）、中间件（Tomcat/WebLogic）、网络设备（交换机/路由器）、安全设备（防火墙/IDS）。（二）日志类别。核心日志包括系统运行日志、安全审计日志、应用访问日志、性能监控日志，禁止选择性采集。日志格式需统一为UTF-8编码，时间戳采用UTC标准。（三）采集频率。关键设备需实现5分钟级实时采集，非关键设备不得低于15分钟采集一次。数据传输需采用加密通道，存储周期不少于90天。四、技术实施要求（一）采集工具。统一采用公司指定的日志采集平台（LogHubV3.0），禁止使用第三方自研工具。需配置自动发现功能，新设备接入后30分钟内自动纳入监控。（二）接口规范。所有设备必须开放514端口（Syslog）或TCP/UDP9999端口（Syslog+TLS）。采集端需支持SNMPv3认证，密码复杂度不低于12位。（三）异常处理。采集中断需触发告警，30分钟内未恢复需人工介入。日志缺失需记录在案，分析未采集原因并整改。采集数据需每日完整性校验，误差率不得超1%。五、实施流程（一）前期准备。各部门需在收到通知后7日内完成设备清单确认，信息中心同步提供采集配置模板。网络部门需预留专用采集网段。（二）配置实施。技术部门需根据模板完成设备日志配置，配置完成后需进行3轮测试：本地验证、传输测试、平台入库验证。每轮测试需记录测试报告。（三）上线验收。采集系统正式运行后，需连续监控72小时，记录采集成功率、延迟率等指标。信息中心组织联合验收，验收合格后纳入运维考核。六、数据管理规范（一）存储要求。日志数据需存储在专用日志服务器，采用分布式存储架构，单条日志大小不超过5MB。存储节点需做异地备份。（二）脱敏处理。涉及敏感信息的日志需进行脱敏，如用户ID、密码明文等。脱敏规则需经安全部门审核，脱敏日志不得低于采集总量80%。（三）使用授权。仅授权部门主管、信息安全、运维分析人员可访问原始日志。数据使用需填写申请单，经部门负责人审批。所有查询需记录操作日志。七、监督与考核（一）检查机制。信息中心每月抽取10%设备进行现场核查，重点检查采集端口开放情况。安全部门每季度开展日志完整性抽查。（二）考核标准。采集完整率低于95%的部门，扣除当月信息化考核分。连续3次检查不合格的，需更换技术负责人。考核结果与绩效直接挂钩。（三）奖惩措施。对主动优化采集方案、发现重大日志问题的部门，给予年度评优资格。对恶意屏蔽日志的，按管理权限追责。八、附则（一）版本管理。本手册自发布之日起生效，信息中心负责每年修订一次，重大变更需发布补充说明。各部门需在收到修订版后5日内更新本地存档。（二）解释权属。本手册由信息中心负责解释，各部门执行过程中遇到的问题需汇总至运维支持平台。平台需在24小时内给出