2010年8月4日，InfoWorld對市面上多款日志管理產(chǎn)品進(jìn)行了一次測評(píng)——《InfoWorld review: Better network security, compliance with log management》。
該報(bào)告首先指出，“收集和分析計(jì)算機(jī)和設(shè)備日志在很多方面都發(fā)揮著重要作用，包括信息安全、運(yùn)維管理、應(yīng)用監(jiān)控、系統(tǒng)故障排除和合規(guī)審計(jì)等。安全審計(jì)則是大部分企業(yè)首先調(diào)查日志管理工具的首要原因。”
該報(bào)告還引用了Verizon在2008年發(fā)布的DBIR，“Evidence of events leading up to 82 percent of data breaches was available to the organization prior to actual compromise. Regardless of the particular type of event monitoring in use, the result was the same: Information regarding the attack was neither noticed nor acted upon.\"
對于其評(píng)測的產(chǎn)品情況，各位自己可以去看看，我在這里想要強(qiáng)調(diào)的是該報(bào)告提出了客戶在衡量或者測試日志管理產(chǎn)品的時(shí)候，應(yīng)該考慮的幾個(gè)重要指標(biāo)：
1）產(chǎn)品形態(tài)：硬件還是軟件？各有優(yōu)缺點(diǎn)；【我的體會(huì)，下同：國外一般都是硬件為主，有的兼有軟件。我們的產(chǎn)品也是軟件硬件兼有】
2）是否負(fù)載分擔(dān)技術(shù)，主要是指網(wǎng)絡(luò)帶寬調(diào)節(jié)功能。【主要是在大事件吞吐量的時(shí)候，如何保證系統(tǒng)端的網(wǎng)絡(luò)帶寬占用盡可能不影響現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)行，例如采用多端口技術(shù)、事件采集轉(zhuǎn)發(fā)裝置等】
3）Dashboard（儀表板）功能，主要是考察自定義儀表板的能力和功能
4）日志收集技術(shù)：包括有代理技術(shù)和無代理技術(shù)，各有優(yōu)缺點(diǎn)。【一般以無代理技術(shù)為主，有代理技術(shù)為輔。另外，要注意，無代理技術(shù)并不代表就不需要對日志源設(shè)備節(jié)點(diǎn)進(jìn)行必要的配置了】
5）日志存儲(chǔ)的問題，包括存儲(chǔ)的空間大小，存儲(chǔ)的可靠性（例如RAID），還有備份恢復(fù)、壓縮的問題。
6）實(shí)時(shí)分析能力【這對于LM產(chǎn)品而言也許不是最重要的，但是在SIEM中十分強(qiáng)調(diào)這個(gè)。實(shí)時(shí)分析一般基于內(nèi)存數(shù)據(jù)檢索技術(shù)，并且一般伴隨事件過濾技術(shù)、可視化技術(shù)，事件追蹤技術(shù)。畢竟，大部分日志都是一閃而過，沒有好的交互界面，管理員將無所適從】
7）歷史查詢能力【這應(yīng)該是LM產(chǎn)品的核心功能了，比較好的技術(shù)包括查詢場景技術(shù)，或者叫預(yù)定義查詢過濾器，還有組合查詢條件技術(shù)，有的還具有類似搜索引擎的全文關(guān)鍵字檢索技術(shù)】
8）告警，尤其是告警抑制功能。
9）報(bào)表。【包括內(nèi)置報(bào)表，自定義報(bào)表工具。此外，報(bào)表是否符合客戶的實(shí)際應(yīng)用需求也要考察

最后，報(bào)告給出一份參考的測評(píng)明細(xì)表。

	廠家1 ?	廠家2 ?	廠家3 ?	廠家4 ?	…… ?	?	?
Appliance or software?	?	?	?	?	?	?	?
Supports parsed/structured events	?	?	?	?	?	?	?
Supports raw/unstructured events	?	?	?	?	?	?	?
Agentless data capture	?	?	?	?	?	?	?
Can capture data with client agents	?	?	?	?	?	?	?
Customizable dashboard	?	?	?	?	?	?	?
Windows client agent	?	?	?	?	?	?	?
Linux client agent	?	?	?	?	?	?	?
BSD client agent	?	?	?	?	?	?	?
Solaris client agent	?	?	?	?	?	?	?
AIX client agent	?	?	?	?	?	?	?
OS X client agent	?	?	?	?	?	?	?
Allows syslog forwards	?	?	?	?	?	?	?
Captures SNMP traps	?	?	?	?	?	?	?
Network bandwidth throttling	?	?	?	?	?	?	?
Transmission compression	?	?	?	?	?	?	?
Storage compression	?	?	?	?	?	?	?
FIPS 140-2 compliance	?	?	?	?	?	?	?
Requires client-side certificate authentication	?	?	?	?	?	?	?
CPU monitoring	?	?	?	?	?	?	?
Event message stat monitoring	?	?	?	?	?	?	?
Max. internal storage	?	?	?	?	?	?	?
Store and forward events	?	?	?	?	?	?	?
Web interface	?	?	?	?	?	?	?
CLI	?	?	?	?	?	?	?
Context-sensitive graphs	?	?	?	?	?	?	?
Can create alerts	?	?	?	?	?	?	?
SIEM functions	?	?	?	?	?	?	?
Queries across peers	?	?	?	?	?	?	?
English expression queries	?	?	?	?	?	?	?
Graphical query builder	?	?	?	?	?	?	?
Raw data searches	?	?	?	?	?	?	?
Reports on raw/unstructured data	?	?	?	?	?	?	?
Can save queries/filters	?	?	?	?	?	?	?
Can export data	?	?	?	?	?	?	?
Pre-defined reports	?	?	?	?	?	?	?
Customizable reports	?	?	?	?	?	?	?
Can archive events	?	?	?	?	?	?	?
Device/host groups	?	?	?	?	?	?	?
Storage groups	?	?	?	?	?	?	?
Can schedule tasks	?	?	?	?	?	?	?
User privilege roles/groups	?	?	?	?	?	?	?
Customizable access options per group	?	?	?	?	?	?	?
Cost	?	?	?	?	?	?	?

BTW，如果您不想看E文的話，這里有份中文譯文，雖然不完整。

總結(jié)

以上是生活随笔為你收集整理的InfoWorld的日志管理系统评测的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。