支持从网络设备、安全设备、主机系统、数据库系统、中间件系统等IT基础设施采集日志，采用的协议和方式包括但不限于：Syslog、SNMP Trap、SSH、JDBC、FTP/SFTP、NetFlow、WMI、Kafka文件导入等方式。

将采集到的各种不同表达方式的日志，转换成的统一的描述形式，使日志详尽而易读，能满足复杂的多维度统计分析和审计要求；支持对原始日志和结构化日志进行存储，对日志进行签名保护，以及对安全事件的原始信息进行索引，并提供关键字检索。

系统支持存储原始日志信息、冷热数据的分离存储；对于热数据支持并发的和高性能的写入、查询和分析；对于冷数据支持长时间的数据存储，并支持15：1的超高压缩比对数据进行压缩存储。

系统支持自定义可视化仪表盘，可按资产、事件、审计、告警等维度展示；并能实现风险可视化，于世界地图上动态展示外部威胁的源与目的；同时，系统能以图像方式呈现攻击关联的源IP和目的IP，支持条件查询与相关数据展示。

漏洞知识库库内置CVE漏洞库、CNVD漏洞库、威胁情报库支持手动查询漏洞信息。威胁情报库可以与原始日志进行碰撞，得到威胁情报事件。

审计管理涵盖事件、策略、类型、人员等模块，内置丰富策略，便于用户高效配置。根据不同使用场景，用户可有重点地获取审计结果，配置不同审计人员身份查看对应结果，显著提升审计效率，专注关注事件。