校园网计费系统的日志审计，看起来是一个安全合规问题，实际上更多是一个"日志能不能在需要的时候真的用上"的问题。很多学校的计费系统日志功能在功能列表里都有，但真要调日志的时候，往往会发现存的不全、查的不快、或者对不上账。

等保二级/三级对日志审计有明确要求：用户上网行为要可追溯，日志要保存至少六个月，日志本身不能被随意篡改。计费系统作为校园网认证计费的核心节点，它的日志覆盖范围至少应该包括：用户认证日志（什么账号、什么时间、从哪里认证成功）、在线状态日志（上线/下线时间、IP/MAC、使用流量）、操作日志（管理员做了什么配置变更、谁开了户、谁改了限速策略）。

但"有日志"和"日志能满足合规审计要求"之间，差距很大。有些系统的日志只存了认证成功与否，没有记录下线时间和使用流量，这种日志在等保测评时是会被扣分的。

六个月的最低保存期，说起来简单，实际落地时要考虑日志量和存储方案。校园网用户量大，认证日志每天可能就有几十万条，加上流量日志、操作日志，存储量不小。如果计费系统本地磁盘没有做规划，很可能跑着跑着磁盘满了，日志开始覆盖或者写入失败。

更稳妥的做法是：计费系统支持日志外送到 syslog 服务器或者日志审计平台，而不是只存在本地数据库里。这样即使计费系统本身出问题，日志副本还在，合规审计时也能拿得出来。

合规检查时会看：你能不能在合理时间内调出某天的某用户的完整上网记录？如果你的系统查一条记录要等几分钟，或者只能按账号查不能按 IP 查，那这个日志功能的实际使用价值就很低。

我见过一些学校的计费系统，日志查询界面很全，但底层表没有按时间分区，半年数据一查就慢查询。选型或者巡检的时候，建议专门测一下：在现有数据量下，按时间段+账号+IP 三个维度组合查询，响应时间是多少。

除了用户上网日志，管理员操作日志是另一块容易被忽视的。谁改了某个账号的限速值、谁批量导入了开户数据、谁把某个账号强制下线——这些操作如果没有记录，一旦出现误操作或者恶意操作，是查不出来的。

操作日志还有一个容易被忽视的点：操作账号本身是不是可追溯的。如果计费系统的管理员账号是共享的（大家用同一个 admin 账号登录），那操作日志里记的"操作人"就没有意义。配合认证计费系统的账号权限管理，做到每人用自己的账号操作，日志才能真正落实到人。

根据一些学校的等保测评经验，计费系统日志相关的不通过项通常集中在：日志保存期限不足六个月、日志内容不完整（缺少关键字段）、日志没有外送备份、操作日志没有落实到具体账号。这些问题在系统上线时就把要求提进去，比等保测评前突击整改要轻松得多。

校园网计费系统的日志审计能力，不是看功能列表里有没有"日志审计"这四个字，而是看上面这些具体场景能不能真的跑通。选型时建议让厂商现场演示：调一条真实的上网记录，看能拿到多少字段、多长时间能调出来。