エンタープライズログ管理ソリューションに求めている機能は何ですか?
この質問は、ITプロフェッショナル、および企業のインフラストラクチャを管理する人々を対象としています。 開発者向けのツールについては、この関連する回答を参照してください。
そのようなイベントログ管理ソリューションの要件は何ですか?あなたは現在何をしているのですか、またはそのようなシステムから派生したいと思っていますか?
詳細:
私は 関連する質問 を見つけました。これは、アプリケーションがイベントログに保存する方法に焦点を当てていますが、この質問はそれに直交しています。ここでは、ログファイルを集約して分析するシステムに必要なツール、レポート、および周囲のアラートについて説明します。
エンタープライズ設定では、これには間違いなく次のものが含まれます:Windowsイベントログ、ファイアウォール、ルーターログ、syslogなど。
考慮すべきいくつかの異なる機能を以下に示します。これらのすべてが必要なわけではなく、一方が他方よりも優れていない場合があることに注意してください。
- カバレッジ:
- サーバー上のWindowsイベントログ、すべての現在のバージョン
- クライアント上のWindowsイベントログ、組織内のすべてのバージョン(Win98がいくつ残っているかは驚くでしょう...)
- linux/Unixサーバー上のsyslogは、好みに応じて
- linux/Unixワークステーション(使用している場合)での、使用中の一般的なフレーバーに応じたsyslog
- 汎用SNMPトラップ
- あなたが持っているかもしれない他のOS ...
- ネットワーク機器(必要な場合):ファイアウォール、ルーター、ゲートウェイ、プロキシ、WAF、IDS/IPSなど
- ウェブ/アプリサーバーログ:例IIS、Apache、WebSphere、WebLogicなど、他のあらゆるもの
- データベース
- メールサーバー
- MQサーバーがあり、それらが重要な場合
- AD /ディレクトリ/ IdMサーバー
- セキュリティおよび制御サーバー(例:コンテンツフィルタリングゲートウェイ、HPOV、MS SMSなど.
- など、その他の重要なインフラストラクチャ
- アプリケーションログ!上のコメントで述べたように、これは非常に重要ですが、ほとんどの場合無視されます。実際の一般的な形式はありませんが(構造はいくつかありますが、データ固有のものはありません)、SIEM製品/ソリューションは次のようにする必要があります。
a。さまざまな形式やファイルを受け取って一般的に解析できること。 CSV、XML、フラットファイルなど.
b。理想的には、特定のフォーマットを定義し、データを認識することができます
- エージェントvsエージェントレス(別名プッシュvsプル)
- それぞれに利点があり、それは実際には特定の環境に依存します。
- 両方のモデルのサポートが最適であり、適切な場合はそれぞれを使用します
- ベスターでさえ、直接ログに記録するための組み込みAPIのサポートです。
- 集約と統合
- 相関-異なるソースからの異なるイベントをリンクして、1つの意味のあるインシデントを形成します。理想的には、さまざまな手法を使用する必要があります
- レポートとダッシュボード-傾向分析と特定のインシデント/ユーザー調査の両方で、BIのようにする必要があります
- 構成に応じて、自動分析とアクティブなアラート。ニーズと期待に合わせて柔軟に対応できる必要があります。分析エンジンは、(ほぼ)リアルタイムで特定のクラスの誤用/詐欺/攻撃を特定できる必要があります。
- 履歴データ、および時間の経過に伴うレポート/分析/相関
- 関連する場合、一部の製品は「コンプライアンス」パッケージを提供し、特定の規制要件への適合を支援します。
- 高可用性
- 暗号化、アクセス制御、セルフロギングなどの組み合わせを使用して、ログデータの機密性と完全性の両方を十分に保護します。
- リモート管理(もちろん、安全)
- あなたがそこに着いたら/そのときにSOCにプラグインする可能性
Anton Chuvakinの Log Management Buyer Checklist をチェックしてください。