【51CTO.com快譯】日志管理軟件可幫助IT管理人員了解來自IT系統(tǒng)的大量日志數(shù)據(jù)，并采取相應(yīng)行動，以便調(diào)查研究安全問題、防止停運，并改善在線客戶體驗。實際上，日志是專門化的業(yè)務(wù)信息來源，同時為監(jiān)管合規(guī)提供了審計跟蹤記錄。

[[174202]]

　　據(jù)IT Central Station社區(qū)的企業(yè)用戶的在線評價顯示，五大日志管理軟件產(chǎn)品是Splunk、LogRhythm、AlienVault、 HPE ArcSight Logger和SevOne。那些用戶表示，在選擇日志管理軟件時，要考慮的最重要標準是速度、穩(wěn)定性、易用性和強大的搜索功能。

　　下面，用戶贊揚了一些最喜愛的功能，但同時也給了廠商一點小小的鞭策。

　　編者按：日志管理軟件廠商的這些評價來自IT Central Station社區(qū)。它們僅代表用戶的觀點，基于用戶各自的體驗。

　　Splunk

　　寶貴的功能特性：

　　“出色的日志管理功能，并擁有靈活、全面的搜索功能。它易于擴展、易于使用。”

　　— Vinod S.，一家咨詢公司的企業(yè)風險咨詢經(jīng)理

　　“可快速提供分散在幾臺服務(wù)器上的操作型數(shù)據(jù)，防止或更快速地應(yīng)對停運或性能下降問題。”

　　— Enrico M.，一家制造公司的集成架構(gòu)師

　　“性能高、易于擴展，最重要的是，它提供了收集和顯示數(shù)據(jù)的創(chuàng)新方法。”

　　— Hristo D.，一家能源/公用事業(yè)公司的系統(tǒng)/應(yīng)用軟件專家

　　有待改進的地方：

　　“讓它適合安全操作中心(SOC)環(huán)境的操作型工作流程、用例框架和故障單系統(tǒng)。”

　　— Vinod S.，一家咨詢公司的企業(yè)風險咨詢經(jīng)理

　　“設(shè)置和添加新的來源可以更容易些――Splunk的每個新版本都在改進這方面的操作。”

　　— Hristo D，一家能源/公用事業(yè)公司的系統(tǒng)/應(yīng)用軟件專家

　　“沒有聚合：發(fā)送到Splunk的日志按原來的樣子接收，并發(fā)送到數(shù)據(jù)存儲系統(tǒng)。它沒有聚合。這對日志收集和搜索性能而言是好事，但是對確定底層存儲資源的合理大小而言是壞事。”

　　— Vinod S.，一家咨詢公司的企業(yè)風險咨詢經(jīng)理

　　LogRhythm

　　寶貴的功能特性：

　　“我查看取證分析數(shù)據(jù)的速度是最有用的方面。”

　　— Matthew M.，一家酒店服務(wù)公司的信息安全首席專家

　　“該產(chǎn)品易于部署，易于學習如何使用。相比其他安全信息與事件管理(SIEM)產(chǎn)品，Web控制臺是我見過的最棒的。”

　　— SrInfoSysSpec477.，一家制造公司的高級信息安全專家

　　“先進的智能引擎(實際上是整個套件)功能非常強大。這取決于你怎么使用它。安全管理是它最擅長的方面。”

　　— Ghias M.，一家制造公司的IT安全專家

　　有待改進的地方：

　　“我很想看到實時事件儀表板。我知道是有儀表板，但需要改進。要真正成為這方面的專家，你得花上20或30個小時，可我沒這個時間。”

　　— ITDirector685.，一所大學的信息技術(shù)主管

　　“報告方面用起來有難度。我們最近進行了更新，解決了許多錯誤，并增添了許多優(yōu)秀的功能。但是報告這塊表現(xiàn)平平。”

　　— Ryan C.，一家金融服務(wù)公司的信息安全分析員

　　“添加實例(你應(yīng)該能夠創(chuàng)建模板及/或消除位置)可以大大加快速度，最好加以簡化。”

　　— VPInfoSec751.，一家金融服務(wù)公司的副總裁兼信息安全官

　　AlienVault

　　寶貴的功能特性：

　　“AlienVault結(jié)合了集中式日志、基于主機的入侵檢測(IDS)和網(wǎng)絡(luò)IDS，提供了出色的可見性，得以深入了解你的網(wǎng)絡(luò)。”

　　— Jan W.，一家科技咨詢公司的安全顧問

　　“靈活性?？梢詫嵤┤娑ㄖ频牟寮湍_本等。我們還沒有發(fā)現(xiàn)任何局限性。”

　　— David R.，一家科技服務(wù)公司的首席信息安全官

　　“我要面對許多不同的網(wǎng)絡(luò)，AlienVault在分析客戶的環(huán)境、查找需要解決的問題時，提供了最重要的信息。”

　　— Jacques T.，一家科技咨詢公司的安全顧問

　　有待改進的地方：

　　“報告方面可以做一些改進;比如說，安全漏洞報告只告訴你什么安全漏洞敞開、并列出它們，可是沒有簡要地表明它們已存在了多久、自上一次掃描以來哪些安全漏洞已被堵住。”

　　— InfoSecOfficer506.，一家消費品公司的集團信息安全官

　　“警報部分的功能非常強大，不過我仍發(fā)覺不得不回過頭去查看事件，才能找到更多的詳細信息。要是我可以從警報信息直接瀏覽事件就好了。”

　　— Trevor S.，一個當?shù)卣块T的信息系統(tǒng)網(wǎng)絡(luò)技術(shù)員

　　“配置有點復(fù)雜，界面有點笨拙。解讀結(jié)果有難度。”

　　— Alan O.，一家制藥/生物科技公司的高級基礎(chǔ)設(shè)施分析員

　　HPE ArcSight Logger

　　寶貴的功能特性：

　　“它擁有出色的查詢語法和響應(yīng)機制。大量數(shù)據(jù)的復(fù)雜查詢通常只需要幾分鐘、最多幾分鐘。”

　　— Lance A.，一家零售商的高級安全和合規(guī)工程師

　　“服務(wù)器能夠深入實時地發(fā)現(xiàn)網(wǎng)絡(luò)上的所有活動。”

　　— NwkSpecialist534.，一個政府部門的網(wǎng)絡(luò)專家

　　“對我們來說最寶貴的功能就是相比SIEM產(chǎn)品，默認情況下的設(shè)備支持和多租戶成熟度。”

　　— Mayur M.，一家科技服務(wù)公司的SIEM管理員

　　有待改進的地方：

　　“就連接件而言，由于未提供支持，一些遺留設(shè)備存在一些問題。”

　　— QAConsultant390.，一家科技公司的質(zhì)量保證顧問/安全測試專業(yè)人員

　　“我不會介意增添幾項功能，比如(根據(jù)名稱和源地址等)對事件進行實時分類，而不是每次都要求運行報告。”

　　— Zulfikhar N.，一家科技服務(wù)公司的安全解決方案交付工程師

　　SevOne

　　寶貴的功能特性：

　　“對我們來說最寶貴的功能就是可以靈活地處理不同的系統(tǒng)和不同的功能。我們將它用于網(wǎng)絡(luò)、服務(wù)系統(tǒng)和配電裝置等。”

　　— Tools&AutomationMngr916.，一家科技公司的工具和自動化經(jīng)理

　　“我們發(fā)現(xiàn)帶來最大好處的功能就是經(jīng)過增強的報告、網(wǎng)絡(luò)流量數(shù)據(jù)收集和數(shù)據(jù)保留。”

　　— Jonas S.，一家科技供應(yīng)商的SaaS工程師

　　“對我們來說最寶貴的功能就是它可以監(jiān)控大量的網(wǎng)絡(luò)設(shè)備。它有許多實用功能;不僅可以監(jiān)控基本的參數(shù)，比如處理器、磁盤和內(nèi)存方面的度量指標，還能夠監(jiān)控網(wǎng)絡(luò)流量。”

　　— InfoMngmtSrEng609.，一家科技服務(wù)公司的信息管理高級工程師

　　有待改進的地方：

　　“我認為，下游抑制有待改進。抑制現(xiàn)在必須都得手動進行，但是我認為，SevOne已規(guī)劃這方面加以改進。”

　　— Eric S.，一家航空航天/國防公司的首席技術(shù)官

　　“它需要一個添加門戶網(wǎng)站的平臺。一些低級功能以及運行方式得到一番改進就好了。”

　　— Abdul-Bari K.，一家通信服務(wù)提供商的高級軟件工程師

　　“必須充分規(guī)劃好初始安裝，以便適合你的環(huán)境。該產(chǎn)品始終在不斷改進，大量的互補產(chǎn)品還在醞釀之中。”

　　— Ken O.，一家科技服務(wù)公司的網(wǎng)絡(luò)管理開發(fā)和支持人員

　　http://www.infoworld.com/article/3131599/security/5-tools-for-making-sense-of-system-logs.html

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】