酒店网络审计网关部署完成后，一个经常被忽视的问题是：日志到底要保存多久？法律说六个月，但"够用"和"合法"不是同一个标准。在实际运营中，日志存储策略直接影响到能否在需要的时候拿出有效证明。

一、法定底线：六个月，但不是唯一标准

根据《网络安全法》第二十一条和公安部82号令，提供互联网上网服务的单位需保存用户上网日志不少于六个月。这是法定最低要求，是必须满足的底线，但不是终点。

实际执法中，各地公安网安部门在调取日志时有时会追溯到更早的时间点，尤其是涉案调查中，有可能要查8个月甚至一年前的记录。如果你的系统只保存了刚好六个月，在某些情况下就会处于被动。此外，酒店集团总部或品牌商的内审要求，有时也高于法定标准。

二、日志量决定了实际能保多久

理解日志存储不能只看"月数"，要看"设备存储空间÷每天日志产生量"。

一家100间客房的中型酒店，高峰期同时在线终端约300个，每天产生的审计日志（包含URL记录、DNS查询、会话记录）大约在200MB到500MB之间，视流量类型和日志精细程度而定。如果设备内置存储是500GB，大约可以保存3到8个月。听起来勉强够用，但如果酒店在节假日流量翻倍，或者厂商的日志压缩率没有达到预期，就可能在六个月前就触发自动覆盖。

大型度假酒店和商务酒店的情况更严峻。500间客房的大酒店，每天日志量可能超过2GB，内置1TB的设备不到两个月就存满，之后每天都在覆盖旧数据。很多酒店在这个问题上栽过跟头：部署了审计网关，以为高枕无忧，结果半年后被调查，打开日志系统才发现最早只能查到45天前的数据。

三、扩展存储是必须认真对待的选项

对于中大型酒店，单靠设备内置存储保障六个月日志留存是不现实的，需要在选型阶段就考虑外接存储方案。常见的做法有：外接NAS（网络附加存储）、对接本地服务器的存储空间、或者使用审计云平台做日志归档。

NAS方案在中型酒店中最常见，成本可控，但需要有人定期维护磁盘健康状态，避免磁盘故障导致日志丢失。云归档方案运维压力小，但需要评估带宽占用和长期费用。无论选哪种，审计网关本身需要支持自动日志同步到外部存储，不能依赖人工定期导出。

四、日志完整性不只是时长的问题

保存了六个月，不代表这六个月的日志是完整可用的。日志完整性还包括几个维度：

字段是否完整：每条记录是否包含源IP、用户标识、时间戳、目的地址、协议类型等必需字段？如果设备因负载过高导致字段缺失，即使日志文件存在，也是不完整的记录。

时间连续性：中间有没有因为设备重启、断电、存储故障导致的日志空白期？几小时的空白可能无关紧要，几天的空白在调查中就会被质疑。

防篡改机制：日志是否有哈希校验或写保护机制？如果日志可以被任意修改，在提交给公安部门时其法律效力会受到质疑。

五、建议的实操存储策略

结合合规要求和实际运维能力，一个相对稳健的策略是：设备本地存储保证最近三个月的快速查询；外部存储（NAS或云归档）覆盖六个月到一年的完整记录；每月做一次日志完整性抽查，确认时间连续、字段完整、导出功能正常。同时设置存储容量告警，在达到80%时提前预警，留出处理时间。

审计日志的价值，只在被需要的那一刻才体现。那个时刻来临之前，你唯一能做的就是保证它在，并且完整。