2.1 日志管理相关法律

目前，涉及日志管理相关要求的法律主要是2017年6月1日开始实施的《网络安全法》，这是我国第一部全面规范网络空间安全管理的基础性法律。《网络安全法》第二十一条对日志管理提出了明确要求，具体如下：

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

解读：一般来说，防火墙、IDS、IPS、防病毒网关、杀毒软件和防DDoS攻击系统等属于这类技术措施。

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

解读：网络审计、行为审计、运维审计、日志管理分析、安全管理平台和态势感知平台等属于这类技术措施。

（四）采取数据分类、重要数据备份和加密等措施；

解读：数据安全越来越重要，等级保护方案需要充分考虑数据备份、数据传输和数据存储安全等内容。

（五）法律、行政法规规定的其他义务。

由此可见，日志在网络审计、安全审计、运维审计和事件回溯方面起到重要作用。而且该法律明确规定，相关设备日志至少存储6个月。