解读系统日志的五把利器

译文
网络
安全和系统管理员们在本文中谈论了Splunk、ArcSight和LogRhythm等日志管理产品的最佳功能和最差功能。

【51CTO.com快译】日志管理软件可帮助IT管理人员了解来自IT系统的大量日志数据,并采取相应行动,以便调查研究安全问题、防止停运,并改善在线客户体验。实际上,日志是专门化的业务信息来源,同时为监管合规提供了审计跟踪记录。

[[174202]]

  据IT Central Station社区的企业用户的在线评价显示,五大日志管理软件产品是Splunk、LogRhythm、AlienVault、 HPE ArcSight Logger和SevOne。那些用户表示,在选择日志管理软件时,要考虑的最重要标准是速度、稳定性、易用性和强大的搜索功能。

  下面,用户赞扬了一些最喜爱的功能,但同时也给了厂商一点小小的鞭策。

  编者按:日志管理软件厂商的这些评价来自IT Central Station社区。它们仅代表用户的观点,基于用户各自的体验。

  Splunk

  宝贵的功能特性:

  “出色的日志管理功能,并拥有灵活、全面的搜索功能。它易于扩展、易于使用。”

  — Vinod S.,一家咨询公司的企业风险咨询经理

  “可快速提供分散在几台服务器上的操作型数据,防止或更快速地应对停运或性能下降问题。”

  — Enrico M.,一家制造公司的集成架构师

  “性能高、易于扩展,最重要的是,它提供了收集和显示数据的创新方法。”

  — Hristo D.,一家能源/公用事业公司的系统/应用软件专家

  有待改进的地方:

  “让它适合安全操作中心(SOC)环境的操作型工作流程、用例框架和故障单系统。”

  — Vinod S.,一家咨询公司的企业风险咨询经理

  “设置和添加新的来源可以更容易些――Splunk的每个新版本都在改进这方面的操作。”

  — Hristo D,一家能源/公用事业公司的系统/应用软件专家

  “没有聚合:发送到Splunk的日志按原来的样子接收,并发送到数据存储系统。它没有聚合。这对日志收集和搜索性能而言是好事,但是对确定底层存储资源的合理大小而言是坏事。”

  — Vinod S.,一家咨询公司的企业风险咨询经理

  LogRhythm

  宝贵的功能特性:

  “我查看取证分析数据的速度是最有用的方面。”

  — Matthew M.,一家酒店服务公司的信息安全首席专家

  “该产品易于部署,易于学习如何使用。相比其他安全信息与事件管理(SIEM)产品,Web控制台是我见过的最棒的。”

  — SrInfoSysSpec477.,一家制造公司的高级信息安全专家

  “先进的智能引擎(实际上是整个套件)功能非常强大。这取决于你怎么使用它。安全管理是它最擅长的方面。”

  — Ghias M.,一家制造公司的IT安全专家

  有待改进的地方:

  “我很想看到实时事件仪表板。我知道是有仪表板,但需要改进。要真正成为这方面的专家,你得花上20或30个小时,可我没这个时间。”

  — ITDirector685.,一所大学的信息技术主管

  “报告方面用起来有难度。我们最近进行了更新,解决了许多错误,并增添了许多优秀的功能。但是报告这块表现平平。”

  — Ryan C.,一家金融服务公司的信息安全分析员

  “添加实例(你应该能够创建模板及/或消除位置)可以大大加快速度,最好加以简化。”

  — VPInfoSec751.,一家金融服务公司的副总裁兼信息安全官

  AlienVault

  宝贵的功能特性:

  “AlienVault结合了集中式日志、基于主机的入侵检测(IDS)和网络IDS,提供了出色的可见性,得以深入了解你的网络。”

  — Jan W.,一家科技咨询公司的安全顾问

  “灵活性。可以实施全面定制的插件和脚本等。我们还没有发现任何局限性。”

  — David R.,一家科技服务公司的首席信息安全官

  “我要面对许多不同的网络,AlienVault在分析客户的环境、查找需要解决的问题时,提供了最重要的信息。”

  — Jacques T.,一家科技咨询公司的安全顾问

  有待改进的地方:

  “报告方面可以做一些改进;比如说,安全漏洞报告只告诉你什么安全漏洞敞开、并列出它们,可是没有简要地表明它们已存在了多久、自上一次扫描以来哪些安全漏洞已被堵住。”

  — InfoSecOfficer506.,一家消费品公司的集团信息安全官

  “警报部分的功能非常强大,不过我仍发觉不得不回过头去查看事件,才能找到更多的详细信息。要是我可以从警报信息直接浏览事件就好了。”

  — Trevor S.,一个当地政府部门的信息系统网络技术员

  “配置有点复杂,界面有点笨拙。解读结果有难度。”

  — Alan O.,一家制药/生物科技公司的高级基础设施分析员

  HPE ArcSight Logger

  宝贵的功能特性:

  “它拥有出色的查询语法和响应机制。大量数据的复杂查询通常只需要几分钟、最多几分钟。”

  — Lance A.,一家零售商的高级安全和合规工程师

  “服务器能够深入实时地发现网络上的所有活动。”

  — NwkSpecialist534.,一个政府部门的网络专家

  “对我们来说最宝贵的功能就是相比SIEM产品,默认情况下的设备支持和多租户成熟度。”

  — Mayur M.,一家科技服务公司的SIEM管理员

  有待改进的地方:

  “就连接件而言,由于未提供支持,一些遗留设备存在一些问题。”

  — QAConsultant390.,一家科技公司的质量保证顾问/安全测试专业人员

  “我不会介意增添几项功能,比如(根据名称和源地址等)对事件进行实时分类,而不是每次都要求运行报告。”

  — Zulfikhar N.,一家科技服务公司的安全解决方案交付工程师

  SevOne

  宝贵的功能特性:

  “对我们来说最宝贵的功能就是可以灵活地处理不同的系统和不同的功能。我们将它用于网络、服务系统和配电装置等。”

  — Tools&AutomationMngr916.,一家科技公司的工具和自动化经理

  “我们发现带来最大好处的功能就是经过增强的报告、网络流量数据收集和数据保留。”

  — Jonas S.,一家科技供应商的SaaS工程师

  “对我们来说最宝贵的功能就是它可以监控大量的网络设备。它有许多实用功能;不仅可以监控基本的参数,比如处理器、磁盘和内存方面的度量指标,还能够监控网络流量。”

  — InfoMngmtSrEng609.,一家科技服务公司的信息管理高级工程师

  有待改进的地方:

  “我认为,下游抑制有待改进。抑制现在必须都得手动进行,但是我认为,SevOne已规划这方面加以改进。”

  — Eric S.,一家航空航天/国防公司的首席技术官

  “它需要一个添加门户网站的平台。一些低级功能以及运行方式得到一番改进就好了。”

  — Abdul-Bari K.,一家通信服务提供商的高级软件工程师

  “必须充分规划好初始安装,以便适合你的环境。该产品始终在不断改进,大量的互补产品还在酝酿之中。”

  — Ken O.,一家科技服务公司的网络管理开发和支持人员

  http://www.infoworld.com/article/3131599/security/5-tools-for-making-sense-of-system-logs.html

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:周雪 来源: 51CTO.com
相关推荐

2018-01-31 14:20:36

Linux分区管理fdisk

2017-02-13 16:46:16

日志管理工具

2013-09-05 09:37:49

2015-11-24 16:59:13

2020-01-10 11:18:17

Hystrix架构系统

2023-12-10 21:35:45

Linux服务器日志分析

2009-03-05 13:36:10

冲突云计算SOA

2022-11-21 06:55:08

golang协程

2020-03-09 08:00:08

ApacheWebserver日志

2022-05-25 11:17:33

日志系统维护

2022-09-01 15:47:47

编程工具AI

2011-05-18 09:44:39

虚拟化服务器安全

2014-04-25 11:28:00

私有云公共云

2022-09-21 09:27:51

日志系统

2010-08-09 10:11:08

FlexBuilder

2014-09-26 09:53:41

系统架构架构架构演变

2010-05-10 15:14:13

inotifyLinux文件系统

2020-12-31 08:30:00

推荐系统MatRec计算机

2015-04-27 09:18:18

2023-07-03 12:09:38

云日志云服务
点赞
收藏

51CTO技术栈公众号