InfoWorld的日志管理系统评测
2010年8月4日,InfoWorld對市面上多款日志管理產品進行了一次測評——《InfoWorld review: Better network security, compliance with log management》。
該報告首先指出,“收集和分析計算機和設備日志在很多方面都發揮著重要作用,包括信息安全、運維管理、應用監控、系統故障排除和合規審計等。安全審計則是大部分企業首先調查日志管理工具的首要原因。”
該報告還引用了Verizon在2008年發布的DBIR,“Evidence of events leading up to 82 percent of data breaches was available to the organization prior to actual compromise. Regardless of the particular type of event monitoring in use, the result was the same: Information regarding the attack was neither noticed nor acted upon.\"
對于其評測的產品情況,各位自己可以去看看,我在這里想要強調的是該報告提出了客戶在衡量或者測試日志管理產品的時候,應該考慮的幾個重要指標:
1)產品形態:硬件還是軟件?各有優缺點;【我的體會,下同:國外一般都是硬件為主,有的兼有軟件。我們的產品也是軟件硬件兼有】
2)是否負載分擔技術,主要是指網絡帶寬調節功能。【主要是在大事件吞吐量的時候,如何保證系統端的網絡帶寬占用盡可能不影響現有網絡的正常運行,例如采用多端口技術、事件采集轉發裝置等】
3)Dashboard(儀表板)功能,主要是考察自定義儀表板的能力和功能
4)日志收集技術:包括有代理技術和無代理技術,各有優缺點。【一般以無代理技術為主,有代理技術為輔。另外,要注意,無代理技術并不代表就不需要對日志源設備節點進行必要的配置了】
5)日志存儲的問題,包括存儲的空間大小,存儲的可靠性(例如RAID),還有備份恢復、壓縮的問題。
6)實時分析能力【這對于LM產品而言也許不是最重要的,但是在SIEM中十分強調這個。實時分析一般基于內存數據檢索技術,并且一般伴隨事件過濾技術、可視化技術,事件追蹤技術。畢竟,大部分日志都是一閃而過,沒有好的交互界面,管理員將無所適從】
7)歷史查詢能力【這應該是LM產品的核心功能了,比較好的技術包括查詢場景技術,或者叫預定義查詢過濾器,還有組合查詢條件技術,有的還具有類似搜索引擎的全文關鍵字檢索技術】
8)告警,尤其是告警抑制功能。
9)報表。【包括內置報表,自定義報表工具。此外,報表是否符合客戶的實際應用需求也要考察
最后,報告給出一份參考的測評明細表。
| 廠家1 ? | 廠家2 ? | 廠家3 ? | 廠家4 ? | …… ? | ? | ? | |
| Appliance or software? | ? | ? | ? | ? | ? | ? | ? |
| Supports parsed/structured events | ? | ? | ? | ? | ? | ? | ? |
| Supports raw/unstructured events | ? | ? | ? | ? | ? | ? | ? |
| Agentless data capture | ? | ? | ? | ? | ? | ? | ? |
| Can capture data with client agents | ? | ? | ? | ? | ? | ? | ? |
| Customizable dashboard | ? | ? | ? | ? | ? | ? | ? |
| Windows client agent | ? | ? | ? | ? | ? | ? | ? |
| Linux client agent | ? | ? | ? | ? | ? | ? | ? |
| BSD client agent | ? | ? | ? | ? | ? | ? | ? |
| Solaris client agent | ? | ? | ? | ? | ? | ? | ? |
| AIX client agent | ? | ? | ? | ? | ? | ? | ? |
| OS X client agent | ? | ? | ? | ? | ? | ? | ? |
| Allows syslog forwards | ? | ? | ? | ? | ? | ? | ? |
| Captures SNMP traps | ? | ? | ? | ? | ? | ? | ? |
| Network bandwidth throttling | ? | ? | ? | ? | ? | ? | ? |
| Transmission compression | ? | ? | ? | ? | ? | ? | ? |
| Storage compression | ? | ? | ? | ? | ? | ? | ? |
| FIPS 140-2 compliance | ? | ? | ? | ? | ? | ? | ? |
| Requires client-side certificate authentication | ? | ? | ? | ? | ? | ? | ? |
| CPU monitoring | ? | ? | ? | ? | ? | ? | ? |
| Event message stat monitoring | ? | ? | ? | ? | ? | ? | ? |
| Max. internal storage | ? | ? | ? | ? | ? | ? | ? |
| Store and forward events | ? | ? | ? | ? | ? | ? | ? |
| Web interface | ? | ? | ? | ? | ? | ? | ? |
| CLI | ? | ? | ? | ? | ? | ? | ? |
| Context-sensitive graphs | ? | ? | ? | ? | ? | ? | ? |
| Can create alerts | ? | ? | ? | ? | ? | ? | ? |
| SIEM functions | ? | ? | ? | ? | ? | ? | ? |
| Queries across peers | ? | ? | ? | ? | ? | ? | ? |
| English expression queries | ? | ? | ? | ? | ? | ? | ? |
| Graphical query builder | ? | ? | ? | ? | ? | ? | ? |
| Raw data searches | ? | ? | ? | ? | ? | ? | ? |
| Reports on raw/unstructured data | ? | ? | ? | ? | ? | ? | ? |
| Can save queries/filters | ? | ? | ? | ? | ? | ? | ? |
| Can export data | ? | ? | ? | ? | ? | ? | ? |
| Pre-defined reports | ? | ? | ? | ? | ? | ? | ? |
| Customizable reports | ? | ? | ? | ? | ? | ? | ? |
| Can archive events | ? | ? | ? | ? | ? | ? | ? |
| Device/host groups | ? | ? | ? | ? | ? | ? | ? |
| Storage groups | ? | ? | ? | ? | ? | ? | ? |
| Can schedule tasks | ? | ? | ? | ? | ? | ? | ? |
| User privilege roles/groups | ? | ? | ? | ? | ? | ? | ? |
| Customizable access options per group | ? | ? | ? | ? | ? | ? | ? |
| Cost | ? | ? | ? | ? | ? | ? | ? |
BTW,如果您不想看E文的話,這里有份中文譯文,雖然不完整。
總結
以上是生活随笔為你收集整理的InfoWorld的日志管理系统评测的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 疯狂的程序员-第三章
- 下一篇: CCNA学习笔记12---黄毛丫头篇(访