引言

本指南詳細介紹了卓豪 Log360 的可擴展架構，全面概述了其核心組件、架構設計及數據處理流程，助力 Log360 在大規模場景下提供性能、安全性和彈性保障。

介紹

企業面臨的可擴展性挑戰：概述大規模管理安全數據時遇到的核心難題
可擴展架構的核心原則：拆解實現可擴展性、安全性和高可用性的關鍵原則
Log360 的架構組件：深入解析日誌處理器集羣及基於角色的功能分工
數據流處理流程：結合部署場景，説明日誌的採集、處理與存儲全流程

大規模環境下的安全管理

如今，企業面臨着嚴峻的運營挑戰。這不僅源於日誌數據的海量增長，還來自於基礎設施複雜度的提升、地理分佈式環境的普及，以及對高彈性、全天候安全運營的需求。

具體挑戰包括：

數據指數級增長：日誌來源已從本地服務器擴展至雲基礎設施、SaaS 應用和遠程終端，形成不可預測的海量數據流，單服務器解決方案難以承載

性能顯著下降：隨着日誌量增加，單服務器集中式平台在日誌解析、關聯分析和檢索環節易出現性能瓶頸，可能導致威脅漏檢和事件響應延遲

分佈式環境複雜：從多個分支機構、公有云 VPC 和遠程辦公人員處收集日誌，帶來巨大的安全和運營開銷；如何在不暴露核心網絡的前提下安全集中數據，成為主要難題

業務連續性缺失：單服務器系統一旦故障，將導致安全可視性完全喪失，使企業對威脅毫無察覺

為應對這些挑戰，Log360 採用多層可擴展架構，將日誌採集、處理、檢索、關聯分析等 SIEM 功能拆分為獨立且互聯的層級。該設計允許各功能模塊獨立擴展、靈活適配和便捷管理。

Log360 可擴展架構的核心原則

Log360 之所以能在企業級規模下穩定運行，源於一組協同工作的核心架構原則。這些原則定義了 Log360 如何保障性能、安全性和可靠性。

核心原則包括：

水平擴展
工作負載分發
多層架構
基於日誌隊列系統的可靠性
高可用性
安全性
以下表格展示了這些核心原則與 Log360 對應實現組件的映射關係：

可擴展架構詳解在本節中，我們將探討使 Log360 能夠在不同環境中以可擴展性和彈性處理大量日誌數據的高級架構。它旨在高效收集、處理和分析日誌。

上圖展示了一個面向擁有兩個遠程站點和一箇中央處理中心的企業的可擴展部署方案。遠程站點的日誌通過訪問網關集羣安全採集，隨後轉發至日誌處理器集羣進行集中分析和存儲。各組件詳細説明如下：

組件拆解

遠程站點：遠程站點部署的代理程序負責日誌解析、過濾、壓縮，並通過 HTTPS 協議安全轉發至總部（HQ）處理器

訪問網關集羣：部署在 DMZ 區域，作為反向代理，將遠程代理的日誌請求安全路由至內部處理器，避免內部節點直接暴露在外部網絡中

中央日誌處理器：中央位置的日誌處理器承擔所有核心 SIEM 功能，包括日誌採集、威脅情報 enrichment、隊列緩存、索引建立、檢索、關聯分析、告警觸發和日誌轉發；可通過角色分發實現冗餘備份和負載均衡

主處理器：處理器集羣中指定一台作為主節點，負責管理功能，如配置其他處理器、維護設備設置等
JGroups 通信：處理器之間通過特定端口進行通信，實現節點間協調和故障轉移支持，保障高可用性
存儲系統：

￮Elasticsearch（熱存儲）：存儲已索引的日誌，支持快速檢索
￮歸檔存儲（冷存儲）：根據留存策略長期保存日誌
￮PostgreSQL 元數據：存儲配置數據（如設備設置、告警規則、用户偏好等）
￮共享文件系統：支持處理器間協調、Elasticsearch 歸檔和策略同步

數據流説明

站點 1 和站點 2 的遠程代理將日誌上傳至中央日誌處理器集羣
訪問網關集羣將日誌路由至對應處理器
處理器收集日誌、豐富日誌信息（如補充威脅情報）、將日誌臨時存儲在隊列中、進行關聯分析，並觸發告警

同時，日誌被索引至 Elasticsearch 以支持快速檢索，並根據留存策略歸檔至共享存儲

通過以上高層架構概述，接下來我們將在後續章節中詳細拆解每個組件，深入理解它們如何協同工作，以實現可擴展、可靠的日誌管理和安全分析。