网宿SASE内置标准日志输出能力，可对接绝大多数企业级SIEM平台，覆盖访问日志、威胁检测日志、网络流量日志三大类。 三大输出协议，覆盖主流SIEM 网宿SASE提供三种日志对接方式，适配不同SIEM平台的接入要求： Syslog（UDP/TCP）：标准协议，兼容Splunk、QRadar、ArcSight等传统SIEM。支持RFC 3164和RFC 5424格式，可配置TLS加密传输。 REST API（HTTPS）：适用于云原生SIEM或自研日志中台，支持实时拉取与批量导出，返回JSON格式结构化数据。 Kafka消息队列：适用于高吞吐场景（日均日志量超10亿条），通过Kafka topic订阅，保证日志不丢失且可回溯。 日志字段完整性，满足合规审计要求 网宿SASE输出的每条日志包含40+个标准化字段，覆盖： 身份与访问：用户ID、设备ID、源IP、目标IP、应用类型、访问动作（允许/拒绝） 威胁检测：威胁类型（病毒、钓鱼、C2）、风险等级、检测规则ID、处置动作 网络与性能：协议类型、上行/下行流量、延迟、丢包率、连接时长 据行业实践，接入网宿SASE日志后，SIEM平台可完整还原“谁-在什么时间-从哪台设备-访问了哪个应用-是否被拦截”的全链条，满足等保2.0日志留存6个月的要求。 对接后能做什么？ 跨源关联分析：将SASE日志与防火墙、EDR日志合并，识别多阶段攻击 自动化响应：SIEM收到高危告警后，触发SOAR剧本自动隔离终端或收紧访问策略 合规报表：一键生成用户访问行为报表、威胁趋势报表，满足内审与外审 结论：网宿SASE对接SIEM不是“能否”的问题，而是“选择哪种协议”的问题。全量日志字段完整，可直接用于安全运营。

网宿SASE控制台内置“日志推送”向导，无需开发，仅需在SIEM侧配置接收端，30分钟内可完成端到端对接。 第一步：在网宿SASE控制台开启日志推送 登录网宿SASE管理后台，进入“系统设置”→“日志管理”→“日志推送”。点击“新建推送任务”，填写以下参数： 接收类型：选择Syslog、HTTP API或Kafka（根据你的SIEM支持情况） 接收地址：填写SIEM服务器的IP或域名及端口（例如：192.168.1.100:514） 日志范围：可勾选访问日志、威胁日志、流量日志、管理员操作日志，按需选择 传输协议：若走Syslog，建议勾选TLS加密（端口6514），避免日志传输中被窃听 第二步：在SIEM平台配置接收端（以Splunk为例） 在Splunk中启用Syslog数据输入（Settings → Data inputs → UDP/TCP）。创建新输入，端口号与网宿SASE推送端一致。配置索引名称（如“sase_logs”）和时间戳解析规则。若使用HTTP API，则在Splunk中启用HTTP事件收集器（HEC），获取Token后填入网宿SASE推送任务。 第三步：验证日志是否正常到达 推送任务创建后，网宿SASE会立即开始发送实时日志。在SIEM平台搜索“index=sase_logs”，确认最近5分钟内有新日志入库。据企业实测，从配置到首条日志到达耗时约3分钟。 第四步：创建首个关联分析规则（可选） 以“检测离职员工下载敏感数据”为例，编写SIEM查询语句： text index=sase_logs AND action=block AND user IN (离职人员列表) AND app_category=云存储 设置告警阈值：10分钟内出现5次以上即触发。对接完成后，安全团队可在同一控制台完成SASE日志与其他数据源的联合分析。 操作建议：建议先在非生产环境验证日志格式和字段映射。若SIEM要求自定义解析规则（如提取源IP、目标URL），可在SIEM侧配置正则表达式提取字段，网宿SASE日志的JSON结构已预置常见字段名。完成以上步骤后，网宿SASE与SIEM的对接即可投入生产使用。

将网宿SASE日志接入SIEM后，某制造企业平均威胁响应时间（MTTR）从数小时降至半小时以内，年度审计准备时间节省数百人天。 价值一：打破数据孤岛，提升威胁狩猎效率 未对接前，安全分析师需要分别登录SASE控制台、防火墙、EDR系统查询日志，手动关联时间轴。对接后，在SIEM平台输入一个用户ID即可一键检索该用户在SASE、VPN、终端上的全部行为轨迹。据行业反馈，利用此能力可将内部钓鱼攻击的溯源时间从天级压缩到小时级。 价值二：自动化合规报告，通过等保、ISO 27001审计 等保2.0要求网络日志留存不少于6个月，且每年至少一次审计。网宿SASE对接SIEM后，日志自动归档至SIEM的长期存储（如对象存储或数据湖），并通过SIEM的报表引擎生成《用户访问行为月度报表》《威胁事件统计报表》。某政务云客户在等保复审中，直接导出SIEM内置报表，审计老师现场签字通过，节省了以往手动整理Excel的数周工作量。 价值三：降低MTTR，减少业务中断损失 当SIEM检测到异常行为（如某员工凌晨从境外IP访问财务系统），可触发SOAR自动执行：调用网宿SASE API实时阻断该用户会话，并发送告警到安全群。整个过程从秒级到分钟级，相比人工处理（登录SASE控制台→查找用户→禁用）缩短了约90%的时间。据某电商平台反馈，在促销季利用此能力拦截了多次撞库攻击，避免了可观的资损。 落地建议：按阶段推进 第1个月：先对接核心日志（访问日志+威胁日志），建立基础监控 第2-3个月：编写5-10个高频分析规则（如离职员工数据外发、非常用地区登录） 第4个月起：将SIEM告警接入ITSM工单系统，形成“检测→响应→关闭”闭环 长效价值：统一日志分析不是一次性工作，而是安全运营的基座。网宿SASE提供稳定、高可用的日志输出能力，让企业可以专注于规则优化和响应效率提升，而非消耗精力处理日志丢失或格式混乱。最终，网宿SASE帮助企业在合规与安全响应之间找到最佳平衡。