支持采集的对象包括安全设备、网络设备、操作系统、数据库、应用系统、中间件、虚拟机等，支持主动、被动、通过Agent相结合的方式数据采集。可通过Syslog、SNMP 、SNMP Trap、HTTP(S)、telnet、WMI、文件等方式采集日志，并支持自定义过滤规则。支持日志标准化解析，将不同格式日志解析为多个字段。除内置支持多种常用系统类型日志解析外，还可自定义添加无限种类日志类型解析模板。

可对解析后日志、安全事件、告警事件、原始日志等的查询，可通过时间段、资产类别、设备名称、型号、网络地址、采集方式、关键字等多种方式组合查询，并支持将查询结果进行保存、导出，同时支持查询属性设置裁剪，便于后续快捷使用。

支持根据事件库匹配分析以及自定义组合关联事件、数据挖掘策略，实现深入的审计分析功能。可发现各类异常日志和和行为，并触发告警、生成报表。系统仪表盘采用数据驱动图形，可直观的实时显示运行状态、系统资源、阶段统计等信息。

系统内置丰富的事件类和关联类告警策略，且支持灵活自定义策略。可区分各种告警来源及告警级别，对于告警的处理状态跟踪包括处置/忽略状态，操作人员、时间等，并具备告警合并和在一个时间段内抑制报警次数功能，可指定告警接收人员及告警方式（包括短信、邮件、界面提示等）。

支持按日/周/月/年等时间周期定时自动生成统计报表，也可按需单次指定生成报表。所有报表的内容支持自定义模板，可按需定制内容组合。支持对报表进行多条件组合搜索，可在线查看或下载保存已生成报表。

采用大数据构架安全存储，可支持高达百亿级别海量高性能存储。支持对日志数据后台导入/导出，并支持日志本地备份/还原，异地FTP备份等机制，能够有力保障存储可靠，防止日志丢失。