做SIEM和安全管理平台，用什么来存储事件？

当SIEM和安管平台面对海量的事件，必须做出选择，用什么技术来存储这些事件？很早，我们就知道关系型数据库可以做这个事儿。但是，随着事件量的增大，关系型数据库越来越不堪重负。于是，人们开始重新思考，有的选择了直接操作文件系统，有的开始自己在文件系统上封装一个分布式处理层，还有的开始拥抱NoSQL，NewSQL。

但是，还有人继续沉浸在对传统的关系型数据的痴迷之中。看看关系型数据库市场这些年来的惨烈竞争，Oracle俨然已经成为企业级市场的执牛耳者。Oracle 10g, 11g，哪怕这些都是2007年代的技术。的确，如果你是别的应用，我没啥可说，但就针对于SIEM和安管的事件这种WORM的东东而言，oracle 11g实在是太古老了。那么oracle 12c呢？云时代的Oracle？或者Oracle NoSQL？抑或Oracle CEP？无论如何，Oracle也要考虑一下BDA，CEP。但是考虑的还是太少。IBM DB2也不敌不过oracle,不过在DBA时代，都推出了InfoSphere BigInsights和Infoshphere Streams。

对于SIEM和安管平台，事件需要的就是存放的地方而已，不需要重量级的数据管理接口，更需要极强的扩展性和面向语义的索引技术。我更看好HDFS、NoSQL、分布式计算和存储技术在SIEM和安管领域的应用前景。