▶ 事件采集强 
▶ 事件分析多
▶ 事件入库快
▶ 事件存储大
▶ 事件查询快 
▶ 控制并发多

▶ 提供日志监控能力，支持对采集器、采集器资产的实时状态进行监控，支持查看CPU、磁盘、内存总量及当前使用情况；支持查看资产的概览信息及资产关联的事件分布。

▶ 提供全面的日志采集能力：支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志。

▶ 提供原始日志、范式化日志的存储，可自定义存储周期，支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式。

▶ 提供丰富灵活的日志查询方式，便捷的日志检索操作。

▶ 提供便捷的日志分析操作，支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志。

▶ 支持原始日志、范式化日志转发。

▶ 内置丰富的单源、多源事件关联分析规则，支持自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则；支持时间的查询、查询结果统计以及统计结果的展示等；支持对告警规则的自定义，可设置针对事件的各种筛选规则、告警等级等。

▶ 支持丰富的内置报表以及灵活的自定义报表模式。

单一部署
       将日志审计系统的管理中心服务器放置在网管中心或者安全中心，对被审计对象进行必要的配置，使得他们的日志信息能够发送到管理中心。
主从部署
       将多个日志审计系统的管理分支统一接入到一个主的日志审计系统管理中心。