InfoWorld的日志管理系统评测

2010年8月4日，InfoWorld对市面上多款日志管理产品进行了一次测评——《InfoWorld review: Better network security, compliance with log management》。
该报告首先指出，“收集和分析计算机和设备日志在很多方面都发挥着重要作用，包括信息安全、运维管理、应用监控、系统故障排除和合规审计等。安全审计则是大部分企业首先调查日志管理工具的首要原因。”
该报告还引用了Verizon在2008年发布的DBIR，“Evidence of events leading up to 82 percent of data breaches was available to the organization prior to actual compromise. Regardless of the particular type of event monitoring in use, the result was the same: Information regarding the attack was neither noticed nor acted upon.\"
对于其评测的产品情况，各位自己可以去看看，我在这里想要强调的是该报告提出了客户在衡量或者测试日志管理产品的时候，应该考虑的几个重要指标：
1）产品形态：硬件还是软件？各有优缺点；【我的体会，下同：国外一般都是硬件为主，有的兼有软件。我们的产品也是软件硬件兼有】
2）是否负载分担技术，主要是指网络带宽调节功能。【主要是在大事件吞吐量的时候，如何保证系统端的网络带宽占用尽可能不影响现有网络的正常运行，例如采用多端口技术、事件采集转发装置等】
3）Dashboard（仪表板）功能，主要是考察自定义仪表板的能力和功能
4）日志收集技术：包括有代理技术和无代理技术，各有优缺点。【一般以无代理技术为主，有代理技术为辅。另外，要注意，无代理技术并不代表就不需要对日志源设备节点进行必要的配置了】
5）日志存储的问题，包括存储的空间大小，存储的可靠性（例如RAID），还有备份恢复、压缩的问题。
6）实时分析能力【这对于LM产品而言也许不是最重要的，但是在SIEM中十分强调这个。实时分析一般基于内存数据检索技术，并且一般伴随事件过滤技术、可视化技术，事件追踪技术。毕竟，大部分日志都是一闪而过，没有好的交互界面，管理员将无所适从】
7）历史查询能力【这应该是LM产品的核心功能了，比较好的技术包括查询场景技术，或者叫预定义查询过滤器，还有组合查询条件技术，有的还具有类似搜索引擎的全文关键字检索技术】
8）告警，尤其是告警抑制功能。
9）报表。【包括内置报表，自定义报表工具。此外，报表是否符合客户的实际应用需求也要考察

最后，报告给出一份参考的测评明细表。

	厂家1	厂家2	厂家3	厂家4	……
Appliance or software?
Supports parsed/structured events
Supports raw/unstructured events
Agentless data capture
Can capture data with client agents
Customizable dashboard
Windows client agent
Linux client agent
BSD client agent
Solaris client agent
AIX client agent
OS X client agent
Allows syslog forwards
Captures SNMP traps
Network bandwidth throttling
Transmission compression
Storage compression
FIPS 140-2 compliance
Requires client-side certificate authentication
CPU monitoring
Event message stat monitoring
Max. internal storage
Store and forward events
Web interface
CLI
Context-sensitive graphs
Can create alerts
SIEM functions
Queries across peers
English expression queries
Graphical query builder
Raw data searches
Reports on raw/unstructured data
Can save queries/filters
Can export data
Pre-defined reports
Customizable reports
Can archive events
Device/host groups
Storage groups
Can schedule tasks
User privilege roles/groups
Customizable access options per group
Cost

BTW，如果您不想看E文的话，这里有份 中文译文，虽然不完整。