InfoWorld的日志管理系统评测

2010年8月4日,InfoWorld对市面上多款日志管理产品进行了一次测评——《InfoWorld review: Better network security, compliance with log management》。
该报告首先指出,“收集和分析计算机和设备日志在很多方面都发挥着重要作用,包括信息安全、运维管理、应用监控、系统故障排除和合规审计等。安全审计则是大部分企业首先调查日志管理工具的首要原因。”
该报告还引用了Verizon在2008年发布的DBIR,“Evidence of events leading up to 82 percent of data breaches was available to the organization prior to actual compromise. Regardless of the particular type of event monitoring in use, the result was the same: Information regarding the attack was neither noticed nor acted upon.\"
对于其评测的产品情况,各位自己可以去看看,我在这里想要强调的是该报告提出了客户在衡量或者测试日志管理产品的时候,应该考虑的几个重要指标:
1)产品形态:硬件还是软件?各有优缺点;【我的体会,下同:国外一般都是硬件为主,有的兼有软件。我们的产品也是软件硬件兼有】
2)是否负载分担技术,主要是指网络带宽调节功能。【主要是在大事件吞吐量的时候,如何保证系统端的网络带宽占用尽可能不影响现有网络的正常运行,例如采用多端口技术、事件采集转发装置等】
3)Dashboard(仪表板)功能,主要是考察自定义仪表板的能力和功能
4)日志收集技术:包括有代理技术和无代理技术,各有优缺点。【一般以无代理技术为主,有代理技术为辅。另外,要注意,无代理技术并不代表就不需要对日志源设备节点进行必要的配置了】
5)日志存储的问题,包括存储的空间大小,存储的可靠性(例如RAID),还有备份恢复、压缩的问题。
6)实时分析能力【这对于LM产品而言也许不是最重要的,但是在SIEM中十分强调这个。实时分析一般基于内存数据检索技术,并且一般伴随事件过滤技术、可视化技术,事件追踪技术。毕竟,大部分日志都是一闪而过,没有好的交互界面,管理员将无所适从】
7)历史查询能力【这应该是LM产品的核心功能了,比较好的技术包括查询场景技术,或者叫预定义查询过滤器,还有组合查询条件技术,有的还具有类似搜索引擎的全文关键字检索技术】
8)告警,尤其是告警抑制功能。
9)报表。【包括内置报表,自定义报表工具。此外,报表是否符合客户的实际应用需求也要考察

最后,报告给出一份参考的测评明细表。

 
厂家1
 
厂家2
 
厂家3
 
厂家4
 
……
 

 

 
Appliance or software?

 

 

 

 

 

 

 
Supports parsed/structured events

 

 

 

 

 

 

 
Supports raw/unstructured events

 

 

 

 

 

 

 
Agentless data capture

 

 

 

 

 

 

 
Can capture data with client agents

 

 

 

 

 

 

 
Customizable dashboard

 

 

 

 

 

 

 
Windows client agent

 

 

 

 

 

 

 
Linux client agent

 

 

 

 

 

 

 
BSD client agent

 

 

 

 

 

 

 
Solaris client agent

 

 

 

 

 

 

 
AIX client agent

 

 

 

 

 

 

 
OS X client agent

 

 

 

 

 

 

 
Allows syslog forwards

 

 

 

 

 

 

 
Captures SNMP traps

 

 

 

 

 

 

 
Network bandwidth throttling

 

 

 

 

 

 

 
Transmission compression

 

 

 

 

 

 

 
Storage compression

 

 

 

 

 

 

 
FIPS 140-2 compliance

 

 

 

 

 

 

 
Requires client-side certificate authentication

 

 

 

 

 

 

 
CPU monitoring

 

 

 

 

 

 

 
Event message stat monitoring

 

 

 

 

 

 

 
Max. internal storage

 

 

 

 

 

 

 
Store and forward events

 

 

 

 

 

 

 
Web interface

 

 

 

 

 

 

 
CLI

 

 

 

 

 

 

 
Context-sensitive graphs

 

 

 

 

 

 

 
Can create alerts

 

 

 

 

 

 

 
SIEM functions

 

 

 

 

 

 

 
Queries across peers

 

 

 

 

 

 

 
English expression queries

 

 

 

 

 

 

 
Graphical query builder

 

 

 

 

 

 

 
Raw data searches

 

 

 

 

 

 

 
Reports on raw/unstructured data

 

 

 

 

 

 

 
Can save queries/filters

 

 

 

 

 

 

 
Can export data

 

 

 

 

 

 

 
Pre-defined reports

 

 

 

 

 

 

 
Customizable reports

 

 

 

 

 

 

 
Can archive events

 

 

 

 

 

 

 
Device/host groups

 

 

 

 

 

 

 
Storage groups

 

 

 

 

 

 

 
Can schedule tasks

 

 

 

 

 

 

 
User privilege roles/groups

 

 

 

 

 

 

 
Customizable access options per group

 

 

 

 

 

 

 
Cost

 

 

 

 

 

 

 

BTW,如果您不想看E文的话,这里有份 中文译文,虽然不完整。

 

你可能感兴趣的:(职场,指标,评测,休闲,日志管理产品)