1、日志管理解決方案的測試和評(píng)估作者：valen出處：IT專家網(wǎng)2010-08-25 10:24日志管理是所有企業(yè)都應(yīng)該部署的技術(shù)，但卻只有很少的企業(yè)部署了良好的日志管理。收集和分析計(jì)算機(jī)和設(shè)備日志在很多方面都發(fā)揮著重要作用，包括信息安全、操作管理、應(yīng)用程序監(jiān)控、系統(tǒng)故障排除和合規(guī)審計(jì)等，良好的日志管理解決方案能幫助加強(qiáng)企業(yè)安全。安全審計(jì)應(yīng)該是很多企業(yè)調(diào)查日志管理工具的首要原因。Verizon公司的“2008年數(shù)據(jù)泄漏調(diào)查報(bào)告”(該報(bào)告正迅速成為計(jì)算機(jī)犯罪統(tǒng)計(jì)數(shù)據(jù)的最可靠資源)顯示“82%的數(shù)據(jù)泄漏事故在實(shí)際事故發(fā)生前就能找到蛛絲馬跡，不管具體使用的是何種類型的事件監(jiān)控，結(jié)果都相同：關(guān)于數(shù)據(jù)泄漏攻

2、擊的信息并沒有被通知或者采取行動(dòng)”。本文對七種不同的日志管理硬件和軟件解決方案進(jìn)行了分析，包括ArcSight Logger 4.0、GFI EventsManager v.8.2、 LogLogic MX3020 v.4.9.1、 LogRhythm LR2000-XM v.5.0、 NitroSecurity NitroView ESM and ELM v.8.4、Splunk 4.1.2和Trustwave SIEM。此次產(chǎn)品評(píng)估和分析的目的在于讓大家了解日志管理的特性和功能，包括什么功能可以區(qū)分不同解決方案。我們根據(jù)相同評(píng)估標(biāo)準(zhǔn)來為每個(gè)產(chǎn)品評(píng)分(1到10分，10分為最高分)，這些產(chǎn)品都

3、是互不相同的，屬于不同產(chǎn)品類別。舉例來說，ArcSight的單設(shè)備Logger屬于嚴(yán)格意義上的日志管理解決方案，因而缺少NitroSecurity的雙設(shè)備SIEM(安全信息和事件管理)解決方案的很多功能。本文的產(chǎn)品評(píng)估僅僅側(cè)重于日志管理功能，并且產(chǎn)品評(píng)分表也只反映其日志管理功能。當(dāng)然，從給定價(jià)格的角度來看，解決方案提供更多的功能絕對是好事。本文評(píng)估的產(chǎn)品特性和功能與收集、存儲(chǔ)和審查企業(yè)可能需要密切關(guān)注的各種類型事件日志有關(guān)。雖然你不需要了解日志管理完整的詳盡的原理信息，但你需要記住日志管理生命周期的幾個(gè)階段：政策定義、配置、收集、規(guī)范化、索引、存儲(chǔ)、相關(guān)性、基線、警報(bào)和報(bào)告。此次測試是在一個(gè)小

4、型實(shí)驗(yàn)室進(jìn)行的，包括15到20臺(tái)計(jì)算機(jī)(包括物理和虛擬的)，模擬Windows、Linux、BSD、路由器和無線客戶端的小型企業(yè)網(wǎng)絡(luò)。有些功能是當(dāng)產(chǎn)品在大型真正的生產(chǎn)網(wǎng)絡(luò)或者供應(yīng)商傳教的遠(yuǎn)程實(shí)驗(yàn)室運(yùn)行時(shí)來測試的。測試評(píng)分表40%20%20%20%ArcSight Logger 4.0108899.0優(yōu)秀40%20%20%20%GFI EventsManager 8.278887.6良好40%20%20%20%LogLogic MX3020 (版本4.9.1)89888.2很好40%20%20%20%LogRhythm LR2000-XM (版本5.0)99999.0優(yōu)秀40%20%20%20%

5、NitroSecurity NitroView ESM 5750 and ELM 2250108999.2優(yōu)秀40%20%20%20%Splunk 4.1.288898.2很好40%20%20%20%Trustwave SIEM89888.2很好在本文的測試中，并沒有測試供應(yīng)商性能或者壓縮報(bào)告，這兩者通常都被夸大。有些供應(yīng)商感到很遺憾，因?yàn)樗麄兯暦Q的最大競爭優(yōu)勢是迅速處理大量數(shù)據(jù)。我們建議在購買任何日志管理產(chǎn)品前，測試真實(shí)性能，我們看到過很多日志管理產(chǎn)品在處理幾百臺(tái)機(jī)器時(shí)游刃有余，而處理幾千臺(tái)機(jī)器時(shí)則慢如蝸牛。所有這些測試的產(chǎn)品都很不錯(cuò)，能夠有效部署在任何企業(yè)網(wǎng)絡(luò)中。測試的產(chǎn)品中，沒有一個(gè)產(chǎn)

6、品不能提供值，當(dāng)然有些產(chǎn)品能提供更多值。每個(gè)測試的產(chǎn)品都有無數(shù)有用的功能，并且完全可以勝任生產(chǎn)環(huán)境的日志管理工作。此次評(píng)估的最主要目的是為了突出每個(gè)產(chǎn)品獨(dú)特的功能，這樣大家可以決定選擇哪款日志管理產(chǎn)品來幫助實(shí)現(xiàn)生產(chǎn)環(huán)境的有效日志管理。日志管理評(píng)估指南本節(jié)將討論的是每個(gè)日志管理產(chǎn)品提供的各種功能，并提供評(píng)估其他任何日志管理解決方案的標(biāo)準(zhǔn)。首先需要作出的決定就是是否選擇使用“包羅萬象”的設(shè)備或者軟件產(chǎn)品。大多數(shù)日志管理產(chǎn)品都是以設(shè)備的形式，純粹是因?yàn)樵O(shè)備通常在處理性能和存儲(chǔ)要求方面能夠比在通用操作系統(tǒng)運(yùn)行的軟件產(chǎn)品更簡便。當(dāng)然，管理員也能夠配置和優(yōu)化軟件產(chǎn)品的主機(jī)操作系統(tǒng)讓軟件產(chǎn)品像設(shè)備產(chǎn)品一樣有

7、效，畢竟，設(shè)備也只是運(yùn)行日志管理軟件的操作系統(tǒng)主機(jī)而已。只不過設(shè)備產(chǎn)品已經(jīng)完成了硬配置和優(yōu)化工作。設(shè)備的缺點(diǎn)就是，它們往往局限于現(xiàn)成的配置和磁盤能力，而基本操作系統(tǒng)(通常是Linux或者Windows系統(tǒng))的補(bǔ)丁修復(fù)也是個(gè)問題。雖然本文測試的設(shè)備供應(yīng)商都聲稱會(huì)將基本操作系統(tǒng)的漏洞修復(fù)和更新作為其正常產(chǎn)品升級(jí)(通常為自動(dòng)化)的一部分，我們發(fā)現(xiàn)很多產(chǎn)品仍然在運(yùn)行舊版本的代碼，例如Apache網(wǎng)絡(luò)服務(wù)器，存在很多已知漏洞。如果你決定使用設(shè)備產(chǎn)品，詢問供應(yīng)商他們是否會(huì)及時(shí)更新基本操作系統(tǒng)的漏洞修復(fù)程序。如果根據(jù)使用條款允許的話，可以考慮在購買前測試產(chǎn)品的漏洞問題。工作量分配測試的產(chǎn)品中，大多數(shù)產(chǎn)品都提

8、供一體化功能，也就是說他們的產(chǎn)品可以作為管理控制臺(tái)、數(shù)據(jù)采集器、存儲(chǔ)設(shè)備、索引(搜索查詢結(jié)果和過濾器)、報(bào)告生成器。此外，大多數(shù)產(chǎn)品都可以配置為提供一個(gè)或者多個(gè)功能服務(wù)，而不需要執(zhí)行所有功能。如果你要從幾百個(gè)客戶端收集日志信息的話，工作量分配無疑是非常重要的。這并不是日志管理產(chǎn)品本身的瓶頸問題，對于設(shè)備產(chǎn)品來說，它通常會(huì)有四個(gè)或者四個(gè)以上千兆以太網(wǎng)接口，但是網(wǎng)絡(luò)只能夠維持這么多的額外流量才不會(huì)造成應(yīng)用程序和操作性能問題。從1000臺(tái)計(jì)算機(jī)發(fā)送日志信息到一個(gè)日志管理器會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。與供應(yīng)商合作來解決日志管理工作量分配問題，以最大限度提高系統(tǒng)環(huán)境的性能。本文中的每個(gè)產(chǎn)品都可以作為本身的存儲(chǔ)和轉(zhuǎn)發(fā)

9、收集器，這意味著你有一個(gè)日志管理層可以在轉(zhuǎn)發(fā)數(shù)據(jù)(通常是壓縮)到中央日志管理層之前收集所有本地流量。很多產(chǎn)品都可以轉(zhuǎn)發(fā)事件到其他產(chǎn)品，特別是那些支持syslog和SNMP的產(chǎn)品。而有幾個(gè)產(chǎn)品(包括軟件和設(shè)備產(chǎn)品)可以只作為收集器或者索引器，這兩個(gè)也是占用CPU最多的操作。向供應(yīng)商提供你的網(wǎng)絡(luò)數(shù)據(jù)(網(wǎng)絡(luò)帶寬、有效功率和需要監(jiān)測的客戶端數(shù)量)以及企業(yè)日志管理計(jì)劃。然后讓供應(yīng)商提供他們推薦的工作量分配配置。對于設(shè)備產(chǎn)品來說，這往往意味著不同位置的不同硬件模型。性能是非常重要的，不僅對于避免網(wǎng)絡(luò)擁堵問題，也關(guān)系到實(shí)時(shí)或者歷史數(shù)據(jù)分析、打印報(bào)告和進(jìn)行更深入的分析。當(dāng)你需要處理幾千萬到幾十億的事件信息時(shí)，

10、你肯定不想為了簡單的查詢回復(fù)而等待10分鐘。如果你的解決方案涉及多個(gè)日志管理節(jié)點(diǎn)，請確保查詢和報(bào)告可以在各個(gè)節(jié)點(diǎn)間允許哦那個(gè)，這意味著在管理控制臺(tái)的一次點(diǎn)擊能夠執(zhí)行所有產(chǎn)品的搜索和報(bào)告。這些測試的產(chǎn)品在工作量分配方面都相當(dāng)靈活，而唯一例外就是GFI EventsManager。大部分供應(yīng)商都會(huì)聲稱他們的產(chǎn)品適用于任何類型的環(huán)境，并且很多供應(yīng)商還表示他們安裝的解決方案每天都在處理數(shù)百億的信息，而沒有任何客戶投訴。在花大筆錢購買日志管理產(chǎn)品前，務(wù)必要進(jìn)行完全測試，并獲取供應(yīng)商關(guān)于性能方面的書面保證。管理控制臺(tái)儀表板每個(gè)日志管理產(chǎn)品都有管理控制臺(tái)儀表板，顯示關(guān)于日志管理系統(tǒng)本身和所監(jiān)測事件的關(guān)鍵實(shí)時(shí)

11、和短時(shí)期總統(tǒng)計(jì)數(shù)據(jù)。大多數(shù)儀表板都會(huì)報(bào)告事件消息數(shù)、本地CPU性能以及關(guān)于任何重要事件的通知。幾乎所有供應(yīng)商都允許儀表板自定義，讓用戶自己配置儀表板顯示信息。在大多數(shù)情況下，儀表板顯示是上下文相關(guān)的。你可以點(diǎn)擊顯示的圖形來獲取更詳細(xì)的信息。少數(shù)產(chǎn)品(例如NitroSecurity)允許大量修改，幾乎所有數(shù)據(jù)、圖形或者警報(bào)都可以顯示。用戶角色是很重要的，大多數(shù)產(chǎn)品都允許管理員(擁有完全權(quán)限)來設(shè)置更多有限角色。例如，有些產(chǎn)品允許有限的管理員被定義，以防萬一當(dāng)需要管理員級(jí)別權(quán)限而僅涉及預(yù)定義客戶端：所有windows計(jì)算機(jī)、所有思科路由器等。大多數(shù)產(chǎn)品都有一個(gè)只讀角色，不能對任何配置設(shè)置作修改，但

12、該角色用戶可以運(yùn)行報(bào)告和查看預(yù)定義圖表和數(shù)據(jù)。大多數(shù)產(chǎn)品都只允許2至4個(gè)角色被定義，值允許管理員來定義顯示什么屏幕。其他產(chǎn)品(包括Splunk、NitroSecurity和LogLogix)允許更多的角色定義，屏幕上的每個(gè)屬性和域都可以根據(jù)每個(gè)角色來定義。日志收集從各種被監(jiān)測客戶端收集日志信息是所有日志管理產(chǎn)品的主要功能，大多數(shù)產(chǎn)品既有無代理模式又有客戶端代理模式來收集日志。沒有代理意味著管理員不需要為每個(gè)客戶端分配、安裝和配置額外軟件。但是，無代理日志收集仍然需要規(guī)劃。大多數(shù)產(chǎn)品使用syslog轉(zhuǎn)發(fā)、WMI查詢或者其他遠(yuǎn)程方法來收集日志(后兩者通常需要客戶端管理員密碼)。如果涉及防火墻的話，

13、這些方法都需要必要的規(guī)則修改。不管怎樣，都不要認(rèn)為無代理沒有運(yùn)行或者會(huì)發(fā)揮巨大作用?？蛻舳舜砭哂袩o代理收集方法不具備的優(yōu)勢。大多數(shù)代理都有多個(gè)配置選擇，允許管理員對哪些事件被收集以及如何收集有更細(xì)粒度的控制。例如，不是發(fā)送每條日志信息到中央服務(wù)器，代理可以僅發(fā)送關(guān)鍵事件，并且如果需要的話，還可以本地存儲(chǔ)事件信息以備以后的檢索?？蛻舳舜硗ǔＤ軌蛱峁﹤鬏攭嚎s，允許更多的時(shí)間在更多的時(shí)間使用更少的網(wǎng)絡(luò)帶寬來發(fā)送。被監(jiān)測的客戶端可以一次添加一個(gè)(通常通過IP地址或者域名)，使用大量輸入(一次添加多個(gè)設(shè)備)或者使用某種發(fā)起查詢進(jìn)程(通常通過Active Directory瀏覽或者IP地址掃描)。帶部

14、分產(chǎn)品允許“設(shè)備組”被創(chuàng)建，來收集一個(gè)或多個(gè)既定組名的受監(jiān)測客戶端，根據(jù)某種屬性來分組，例如設(shè)備類型、IP地址或者名稱。設(shè)備組然后可以作為單一實(shí)體被監(jiān)測，這樣當(dāng)試圖監(jiān)測某特定類型設(shè)備時(shí)更容易實(shí)現(xiàn)警報(bào)和報(bào)告?？蛻舳舜硪部梢杂脕泶鎯?chǔ)事件，例如當(dāng)集中日志管理工具離線時(shí)。最先進(jìn)代理的最佳功能之一就是衡量網(wǎng)絡(luò)和/或本地CPU使用率，并節(jié)流信息發(fā)送率直到網(wǎng)絡(luò)不在擁堵。最后，很多代理都有“心跳”功能，讓客戶端沒有在一定時(shí)間內(nèi)傳輸信息就會(huì)發(fā)出警報(bào)，雖然這可以被“零基準(zhǔn)”警報(bào)模擬。毫不奇怪，長期的SIEM領(lǐng)跑者ArcSight比其它競爭對手擁有更多的客戶端代理。如上所述，日志管理產(chǎn)品擁有的解析數(shù)據(jù)越多，就能夠

15、更快更有效地從大量數(shù)據(jù)中篩選特定數(shù)據(jù)類型。一個(gè)產(chǎn)品最大的不同就是，該產(chǎn)品定義了多少解析器。例如ArcSight就捆綁了超過100個(gè)定義的數(shù)據(jù)收集器。在更低端領(lǐng)域，有些產(chǎn)品只有幾十個(gè)解析器或者聲稱他們的通用解析器效率相同。但在一般情況下，解析器越能夠模擬你的環(huán)境就越好(但這不是唯一的判斷點(diǎn))。有些日志管理產(chǎn)品允許管理員創(chuàng)建他們自己的解析器，這在很多環(huán)境都非常有用。相關(guān)補(bǔ)充說明：大多數(shù)產(chǎn)品都聲稱擁有windows事件日志收集代理。然而，很多這些代理都是在微軟最新windows版本推出前創(chuàng)建的，并不能對這些最新操作系統(tǒng)版本進(jìn)行細(xì)致的分析。很多解析器和代理了解三種傳統(tǒng)默認(rèn)日志：應(yīng)用程序、安全和系統(tǒng)，但

16、是不能允許管理員從Windows Vista、Windows7和Windows Server 2008提供的100-plus內(nèi)置審查中進(jìn)行選擇。Splunk是一款理解新windows日志格式的工具，不過，我們還沒能找到一款工具能夠與更新的windows內(nèi)置事件轉(zhuǎn)發(fā)技術(shù)結(jié)合(即使該產(chǎn)品承載在windows操作系統(tǒng)上并能夠使用這項(xiàng)更新的技術(shù))。Windows自帶的事件轉(zhuǎn)發(fā)可以替代所有其他代理和無代理方法。如同大多數(shù)產(chǎn)品的通病，日志管理并沒有更上最新客戶端變化的步伐。日志存儲(chǔ)存儲(chǔ)數(shù)百萬到數(shù)十億信息需要占用大量磁盤空間。大多數(shù)設(shè)備在RAID配置中都有兆兆級(jí)磁盤存儲(chǔ)。雖然軟件和硬件產(chǎn)品都聲稱能夠進(jìn)行某種

17、存儲(chǔ)壓縮，但是根據(jù)很多客戶對傳輸壓縮的投訴，供應(yīng)商所謂的存儲(chǔ)壓縮讓我們將信將疑。他們的存儲(chǔ)壓縮統(tǒng)計(jì)數(shù)據(jù)通常都是基于最小的事件日志信息以及最高的壓縮數(shù)值，這并不能反映真實(shí)世界的結(jié)果。不過，大家需要找供應(yīng)商弄清楚產(chǎn)品是軟件還是合并？產(chǎn)品支持的最大磁盤空間(或者文件大小)以及配置？支持何種RAID陣列？不同RAID配置有不同的性能特點(diǎn)，也就是說，有些寫入很快，有些讀取更快，靈活度是一個(gè)考量因素。供應(yīng)商是否支持對收集日志數(shù)據(jù)的數(shù)字簽名以滿足驗(yàn)證需求？大多數(shù)產(chǎn)品都有最大日志尺寸，這與底層主機(jī)操作系統(tǒng)的限制有關(guān)。如果產(chǎn)品是設(shè)備產(chǎn)品，數(shù)據(jù)能被存儲(chǔ)到外部驅(qū)動(dòng)陣列嗎？多少數(shù)據(jù)可以有效被檢索和簡便地恢復(fù)？每個(gè)產(chǎn)品

18、都允許數(shù)據(jù)導(dǎo)出或者存檔。導(dǎo)出數(shù)據(jù)通常是離線狀態(tài)，必須一起輸入以確保可搜索性。有幾個(gè)解決方案能夠靈活處理這個(gè)問題，例如LogRhythm允許管理員定義過濾器來導(dǎo)入需要的數(shù)據(jù)，而不是所有數(shù)據(jù)。有些產(chǎn)品還有所謂的“存儲(chǔ)組”，這是專門為某特定任務(wù)單獨(dú)定義的邏輯分區(qū)，例如PCI合規(guī)，或者特定設(shè)備分組，如思科無線路由器。除了為報(bào)告目的組織某種類型數(shù)據(jù)外，存儲(chǔ)組還可以用來確保特定應(yīng)用程序有足夠磁盤空間來滿足特定政策要求，例如，保存數(shù)據(jù)兩年。ArcSignt在這方面很有實(shí)力，包括有效的尺寸參數(shù)和CPU優(yōu)先。最后，你還需要確定事件日志數(shù)據(jù)是否是以供應(yīng)商的專有格式(原始的未過濾和非結(jié)構(gòu)化格式)被存儲(chǔ)或者檢索？大多

19、數(shù)產(chǎn)品都是以專有格式存儲(chǔ)有效數(shù)據(jù)，但是卻是以原始格式檢索和導(dǎo)出數(shù)據(jù)。這意味著重新導(dǎo)入的數(shù)據(jù)將需要被再次解析和檢索才能使用，但是如果原始數(shù)據(jù)(假設(shè)這些數(shù)據(jù)進(jìn)行了數(shù)字簽名)需要用于法律目的，這也更容易帶來產(chǎn)銷監(jiān)管鏈問題。實(shí)時(shí)審查大多數(shù)產(chǎn)品都允許多傳入數(shù)據(jù)的實(shí)時(shí)查看并顯示一些主要趨勢。如果你有一個(gè)中等規(guī)模的系統(tǒng)，每秒中都有數(shù)百條到數(shù)千條信息傳入，快速實(shí)時(shí)查看所有數(shù)據(jù)就失去了吸引力。所有產(chǎn)品都允許實(shí)時(shí)數(shù)據(jù)被過濾以僅僅顯示與特定任務(wù)相關(guān)的事件。通常這些過濾器可以保存為搜索歷史數(shù)據(jù)和生成相關(guān)報(bào)告。最好的實(shí)時(shí)查看器允許用戶點(diǎn)擊特定數(shù)據(jù)字段來查看事件。舉例來說，也許你正在查看關(guān)于某特定工作站的輸入數(shù)據(jù)，然后你

20、看到一個(gè)可疑的TCP端口。在某些產(chǎn)品中，點(diǎn)擊該端口值會(huì)將現(xiàn)有實(shí)時(shí)查看信息轉(zhuǎn)變?yōu)轱@示所有使用該相同端口的所有工作站。其他產(chǎn)品只能對歷史數(shù)據(jù)進(jìn)行這種轉(zhuǎn)變顯示或者要求你將信息查看變?yōu)椤罢{(diào)查員”模式。所有這些測試的產(chǎn)品都提供非常靈活的查看功能，其中LogLogix和LogRhythm在這方面是最強(qiáng)的。搜索存儲(chǔ)的數(shù)據(jù)根據(jù)感興趣類型和事件來搜索存儲(chǔ)數(shù)據(jù)同樣是日志管理重要的功能，這也使很多供應(yīng)商試圖將自身產(chǎn)品與其他競爭對手產(chǎn)品區(qū)別開來的領(lǐng)域。供應(yīng)商往往會(huì)吹噓他們的過濾搜索如何能夠快速從非常大量數(shù)據(jù)(盡快這些說法在本文中沒有進(jìn)行驗(yàn)證)進(jìn)行搜索工作。大多數(shù)供應(yīng)商都是基于關(guān)鍵字、英語短語和布爾邏輯來進(jìn)行搜索。有些

21、供應(yīng)商要求用戶輸入所有搜索表達(dá)式類型，而其他供應(yīng)商則提供圖形讓用戶選擇使用，“建立查詢”界面。根據(jù)點(diǎn)擊建立查詢在教育新管理員方面很有幫助，雖然有經(jīng)驗(yàn)的管理員大多數(shù)都喜歡輸入查詢的快速和靈活性。如果你的企業(yè)需要搜索大量原始、非結(jié)構(gòu)化事件日志，詢問供應(yīng)商是否支持非規(guī)范化數(shù)據(jù)間的搜索過濾？如果他們能夠提供這種搜索，具體是怎樣進(jìn)行搜索的？對非結(jié)構(gòu)化數(shù)據(jù)的搜索與結(jié)構(gòu)化數(shù)據(jù)的搜索有什么不同？很多供應(yīng)商只允許對原始數(shù)據(jù)的關(guān)鍵字搜索，而其他供應(yīng)商還允許布爾邏輯?？梢栽谕惍a(chǎn)品間執(zhí)行搜索嗎？在所測試的產(chǎn)品中，只有ArcSight、LogLogic、LogRhythm和Splunk可以在不同節(jié)點(diǎn)間執(zhí)行搜索。所有這

22、些產(chǎn)品都允許搜索過濾被保存。不過更好的產(chǎn)品則會(huì)讓搜索過濾轉(zhuǎn)變?yōu)閳?bào)告，并保存報(bào)告供日后使用，有些產(chǎn)品允許搜索過濾發(fā)送和共享，這在擁有很多日差查看器的非常大的系統(tǒng)環(huán)境尤其有幫助。另外，擁有很多內(nèi)置、預(yù)定義搜索過濾器也很不錯(cuò)。有些產(chǎn)品沒有或者只有一小部分樣品，而最好的產(chǎn)品應(yīng)該有幾十個(gè)預(yù)定義的有趣的查詢，并且通常是與一個(gè)或者多個(gè)合規(guī)要求聯(lián)系的。最常見的就是登陸失敗，一些產(chǎn)品(包括LogLogic)包括“近似文本”查詢，顯示你感興趣的特定消息前面和后面的10個(gè)左右的事件。警報(bào)警報(bào)是日志管理非常重要的功能，對于SIEM也是至關(guān)重要的功能。供應(yīng)商應(yīng)該能夠支持幾種不同類型的警報(bào)方式。所有被測試的產(chǎn)品都有電子郵

23、件警報(bào)，并且大部分都允許SNMP轉(zhuǎn)發(fā)。出人意料的是，只有少數(shù)產(chǎn)品有短袖報(bào)警或者允許模擬調(diào)制解調(diào)器電話撥號(hào)(對于缺乏互聯(lián)網(wǎng)接口撥號(hào))。有些產(chǎn)品(包括NitroSecurity)界面有幫助她軟件(通常是Remidy)或者有他們自己的“服務(wù)臺(tái)”功能來幫助解決警報(bào)問題。大多數(shù)產(chǎn)品允許無限制的保健，但是有些產(chǎn)品，尤其是ArcSight Logger，僅允許有限次數(shù)的有效警報(bào)，確切來說，Logger允許五次有效警報(bào)。ArcSight的SIEM產(chǎn)品沒有這樣的限制。警報(bào)可以分為以下幾種類型。從最基本的情況來看，當(dāng)檢測到特定日志事件時(shí)，警報(bào)允許發(fā)送通知，所有產(chǎn)品都允許根據(jù)特定時(shí)間內(nèi)一定數(shù)量事件的警報(bào)。筆者最喜歡

24、的警報(bào)類型是基本警報(bào)，也就是產(chǎn)品本身確定環(huán)境的“正?！笔录愋?，而管理員來確定偏差百分比來發(fā)送警報(bào)。NitroSecurity支持每種信息類型的基本報(bào)警，而LogLogic基本報(bào)警限制于來自特定設(shè)備或者設(shè)備組的所有信息。不管你選擇的是哪種日志管理產(chǎn)品，請確保它有控制警報(bào)信息的功能。沒有什么比半夜收到來自單個(gè)事件的一百條警報(bào)更糟糕的事情了。報(bào)告所有產(chǎn)品都有內(nèi)置式報(bào)告，并允許報(bào)告進(jìn)行自定義化或者創(chuàng)建。最好的產(chǎn)品擁有數(shù)以百計(jì)的內(nèi)置報(bào)告(無論是免費(fèi)的還是額外收費(fèi)的)涉及特定安全或者合規(guī)需求：NERC、PCI、SOX、FISMA等。報(bào)告通常能夠以不同格式存儲(chǔ)：CSV、HTML、XLS、TXT和PDF等。

25、擁有越多的內(nèi)置報(bào)告越有幫助。一定要測試結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù)有關(guān)的報(bào)告差異。大多數(shù)供應(yīng)商不能夠處理非結(jié)構(gòu)化數(shù)據(jù)報(bào)告，或者不能夠適用于結(jié)構(gòu)化數(shù)據(jù)的總結(jié)和技術(shù)。有些供應(yīng)商將非結(jié)構(gòu)化數(shù)據(jù)納入到報(bào)告中，僅通過涵蓋完整的原始信息細(xì)節(jié)或份很小的數(shù)據(jù)匯總。除了與特定合規(guī)要求相關(guān)的中高層管理報(bào)告外，尋求支持技術(shù)故障排除的詳細(xì)報(bào)告。具有最佳報(bào)告功能的產(chǎn)品，包括ArcSight、LogRhythm和NitroSecurity，這些產(chǎn)品符合以上要求。有些產(chǎn)品實(shí)在工作流進(jìn)程運(yùn)行，合規(guī)報(bào)告可以發(fā)送命令鏈，并由相關(guān)責(zé)任方簽字。我們的建議就是找出哪些報(bào)告屬于內(nèi)置的，哪些報(bào)告是需要收取額外費(fèi)用的，并審查這些報(bào)告是否能夠符合你的合規(guī)要求。結(jié)論這七個(gè)被評(píng)估的產(chǎn)品包含數(shù)百個(gè)功能，并且具有極強(qiáng)的可配置型，每個(gè)產(chǎn)品都是值得考慮的日志管理產(chǎn)品。大家可以仔細(xì)閱讀上述產(chǎn)品分析，以及產(chǎn)品的差異，以尋找最適合企業(yè)環(huán)境的產(chǎn)品。然后對所選擇的產(chǎn)品進(jìn)行詳細(xì)的測試以衡量它是否合適以及性能問題。如果你還沒有使用全面的企業(yè)級(jí)日志管理解決方案，你有很多優(yōu)秀的產(chǎn)品可以選擇。最佳解決方案就是：僅發(fā)送你要求的警報(bào)類型，過濾掉不必要的信息，提供有用的儀表信息顯示，有效的報(bào)告幫助你確定是否滿足你的特定需求。日志管理部署