2010年8月4日,InfoWorld对市面上多款日志管理产品进行了一次测评——《InfoWorld review: Better network security, compliance with log management》。
该报告首先指出,“收集和分析计算机和设备日志在很多方面都发挥着重要作用,包括信息安全、运维管理、应用监控、系统故障排除和合规审计等。安全审计则是大部分企业首先调查日志管理工具的首要原因。”
该报告还引用了Verizon在2008年发布的DBIR,“Evidence of events leading up to 82 percent of data breaches was available to the organization prior to actual compromise. Regardless of the particular type of event monitoring in use, the result was the same: Information regarding the attack was neither noticed nor acted upon.\"
对于其评测的产品情况,各位自己可以去看看,我在这里想要强调的是该报告提出了客户在衡量或者测试日志管理产品的时候,应该考虑的几个重要指标:
1)产品形态:硬件还是软件?各有优缺点;【我的体会,下同:国外一般都是硬件为主,有的兼有软件。我们的产品也是软件硬件兼有】
2)是否负载分担技术,主要是指网络带宽调节功能。【主要是在大事件吞吐量的时候,如何保证系统端的网络带宽占用尽可能不影响现有网络的正常运行,例如采用多端口技术、事件采集转发装置等】
3)Dashboard(仪表板)功能,主要是考察自定义仪表板的能力和功能
4)日志收集技术:包括有代理技术和无代理技术,各有优缺点。【一般以无代理技术为主,有代理技术为辅。另外,要注意,无代理技术并不代表就不需要对日志源设备节点进行必要的配置了】
5)日志存储的问题,包括存储的空间大小,存储的可靠性(例如RAID),还有备份恢复、压缩的问题。
6)实时分析能力【这对于LM产品而言也许不是最重要的,但是在SIEM中十分强调这个。实时分析一般基于内存数据检索技术,并且一般伴随事件过滤技术、可视化技术,事件追踪技术。毕竟,大部分日志都是一闪而过,没有好的交互界面,管理员将无所适从】
7)历史查询能力【这应该是LM产品的核心功能了,比较好的技术包括查询场景技术,或者叫预定义查询过滤器,还有组合查询条件技术,有的还具有类似搜索引擎的全文关键字检索技术】
8)告警,尤其是告警抑制功能。
9)报表。【包括内置报表,自定义报表工具。此外,报表是否符合客户的实际应用需求也要考察

最后,报告给出一份参考的测评明细表。

 
 厂家1
 		 厂家2
 		 厂家3
 		 厂家4
 		 ……
 
 
 
Appliance or software?
 
 
 
 
 
 
 
Supports parsed/structured events
 
 
 
 
 
 
 
Supports raw/unstructured events
 
 
 
 
 
 
 
Agentless data capture
 
 
 
 
 
 
 
Can capture data with client agents
 
 
 
 
 
 
 
Customizable dashboard
 
 
 
 
 
 
 
Windows client agent
 
 
 
 
 
 
 
Linux client agent
 
 
 
 
 
 
 
BSD client agent
 
 
 
 
 
 
 
Solaris client agent
 
 
 
 
 
 
 
AIX client agent
 
 
 
 
 
 
 
OS X client agent
 
 
 
 
 
 
 
Allows syslog forwards
 
 
 
 
 
 
 
Captures SNMP traps
 
 
 
 
 
 
 
Network bandwidth throttling
 
 
 
 
 
 
 
Transmission compression
 
 
 
 
 
 
 
Storage compression
 
 
 
 
 
 
 
FIPS 140-2 compliance
 
 
 
 
 
 
 
Requires client-side certificate authentication
 
 
 
 
 
 
 
CPU monitoring
 
 
 
 
 
 
 
Event message stat monitoring
 
 
 
 
 
 
 
Max. internal storage
 
 
 
 
 
 
 
Store and forward events
 
 
 
 
 
 
 
Web interface
 
 
 
 
 
 
 
CLI
 
 
 
 
 
 
 
Context-sensitive graphs
 
 
 
 
 
 
 
Can create alerts
 
 
 
 
 
 
 
SIEM functions
 
 
 
 
 
 
 
Queries across peers
 
 
 
 
 
 
 
English expression queries
 
 
 
 
 
 
 
Graphical query builder
 
 
 
 
 
 
 
Raw data searches
 
 
 
 
 
 
 
Reports on raw/unstructured data
 
 
 
 
 
 
 
Can save queries/filters
 
 
 
 
 
 
 
Can export data
 
 
 
 
 
 
 
Pre-defined reports
 
 
 
 
 
 
 
Customizable reports
 
 
 
 
 
 
 
Can archive events
 
 
 
 
 
 
 
Device/host groups
 
 
 
 
 
 
 
Storage groups
 
 
 
 
 
 
 
Can schedule tasks
 
 
 
 
 
 
 
User privilege roles/groups
 
 
 
 
 
 
 
Customizable access options per group
 
 
 
 
 
 
 
Cost
 
 
 
 
 
 
 

BTW,如果您不想看E文的话,这里有份中文译文,虽然不完整。