三级等保中的日志审计功能有什么不同？

堡垒机自身所具备的运维日志审计功能和三级等保中要求中需要额外购买的日志审计功有什么不同呢？相信这一点很多小伙伴都很疑惑，下面就跟小云一起了解下吧！

在开展三级等保工作中对日志审计的要求指的是什么呢？这要求的内容主要是对重要用户和重要安全事件进行审计，虽然堡垒机自带的运维日志审计功能和三级等保所购买的日志审计都可以实现，但是二者所应用场景不同。

首先，堡垒机自身是不会对服务器日志进行实时收集的，而仅只是对通过堡垒机进行的运维操作进行审计。简单来说，就是如果没有登陆堡垒机，那么就不会在堡垒机上留下痕迹，哪怕服务器绑定只能堡垒机才能登陆，但本身还是存在漏洞。这样就会造成可利用漏洞或绕过的风险发生，从而造成安全事故。

其次，服务器运行应用或与外界有数据交互时，应用需要调用数据与用户之间进行交互，就会在服务器上留下操作痕迹，而这些痕迹在堡垒机上是看不到的。如果这时候不法分子通过应用层面的漏洞绕过堡垒机来登陆服务器，并进行提权操作，再清除日志，那么这些操作堡垒机也不会记录。

最后，三级等保对日志审计的要求是需要能够实时和完全记录的，堡垒机自身所具备的运维日志审计功能只能记录运维人员操作，而三级等保所购买的日志审计是可以记录服务器上的所有操作，并且可以更好的对安全事件进行朔源和根据操作进行分析，及时发现可能存在的入侵和风险。

那么有哪些是单独买堡垒机审计不用必须上日志审计的呢？一般对测评报告分数没要求或者系统不是那么重要的情况下，可不上日志审计，开起设备自身审计功能就可以了。