日志管理解决方案的测试与评估.docx

日志管理解决方案的测试和评估作者：valen出处：IT专家网2010-08-25 10:24　　日志管理是所有企业都应该部署的技术，但却只有很少的企业部署了良好的日志管理。收集和分析计算机和设备日志在很多方面都发挥着重要作用，包括信息安全、操作管理、应用程序监控、系统故障排除和合规审计等，良好的日志管理解决方案能帮助加强企业安全。安全审计应该是很多企业调查日志管理工具的首要原因。Verizon公司的“2008年数据泄漏调查报告”(该报告正迅速成为计算机犯罪统计数据的最可靠资源)显示“82%的数据泄漏事故在实际事故发生前就能找到蛛丝马迹，不管具体使用的是何种类型的事件监控，结果都相同：关于数据泄漏攻击的信息并没有被通知或者采取行动”。　　本文对七种不同的日志管理硬件和软件解决方案进行了分析，包括ArcSight Logger 4.0、GFI EventsManager v.8.2、 LogLogic MX3020 v.4.9.1、 LogRhythm LR2000-XM v.5.0、 NitroSecurityNitroView ESM and ELM v.8.4、Splunk 4.1.2和Trustwave SIEM。此次产品评估和分析的目的在于让大家了解日志管理的特性和功能，包括什么功能可以区分不同解决方案。我们根据相同评估标准来为每个产品评分(1到10分，10分为最高分)，这些产品都是互不相同的，属于不同产品类别。　　举例来说，ArcSight的单设备Logger属于严格意义上的日志管理解决方案，因而缺少NitroSecurity的双设备SIEM(安全信息和事件管理)解决方案的很多功能。本文的产品评估仅仅侧重于日志管理功能，并且产品评分表也只反映其日志管理功能。当然，从给定价格的角度来看，解决方案提供更多的功能绝对是好事。　　本文评估的产品特性和功能与收集、存储和审查企业可能需要密切关注的各种类型事件日志有关。虽然你不需要了解日志管理完整的详尽的原理信息，但你需要记住日志管理生命周期的几个阶段：政策定义、配置、收集、规范化、索引、存储、相关性、基线、警报和报告。　　此次测试是在一个小型实验室进行的，包括15到20台计算机(包括物理和虚拟的)，模拟Windows、Linux、BSD、路由器和无线客户端的小型企业网络。有些功能是当产品在大型真正的生产网络或者供应商传教的远程实验室运行时来测试的。测试评分表??40%20%20%20%?ArcSight Logger 4.0108899.0优秀?40%20%20%20%?GFI EventsManager 8.278887.6良好?40%20%20%20%?LogLogic MX3020 (版本?4.9.1)89888.2很好?40%20%20%20%?LogRhythm LR2000-XM (版本5.0)99999.0优秀?40%20%20%20%?NitroSecurityNitroView ESM 5750 and ELM 2250108999.2优秀?40%20%20%20%?Splunk 4.1.288898.2很好?40%20%20%20%?Trustwave SIEM89888.2很好　　在本文的测试中，并没有测试供应商性能或者压缩报告，这两者通常都被夸大。有些供应商感到很遗憾，因为他们所声称的最大竞争优势是迅速处理大量数据。我们建议在购买任何日志管理产品前，测试真实性能，我们看到过很多日志管理产品在处理几百台机器时游刃有余，而处理几千台机器时则慢如蜗牛。　　所有这些测试的产品都很不错，能够有效部署在任何企业网络中。测试的产品中，没有一个产品不能提供值，当然有些产品能提供更多值。每个测试的产品都有无数有用的功能，并且完全可以胜任生产环境的日志管理工作。此次评估的最主要目的是为了突出每个产品独特的功能，这样大家可以决定选择哪款日志管理产品来帮助实现生产环境的有效日志管理。　　日志管理评估指南　　本节将讨论的是每个日志管理产品提供的各种功能，并提供评估其他任何日志管理解决方案的标准。　　首先需要作出的决定就是是否选择使用“包罗万象”的设备或者软件产品。大多数日志管理产品都是以设备的形式，纯粹是因为设备通常在处理性能和存储要求方面能够比在通用操作系统运行的软件产品更简便。当然，管理员也能够配置和优化软件产品的主机操作系统让软件产品像设备产品一样有效，毕竟，设备也只是运行日志管理软件的操作系统主机而已。只不过设备产品已经完成了硬配置和优化工作。　　设备的缺点就是，它们往往局限于现成的配置和磁盘能力，而基本操作系统(通常是Linux或者Windows系统)的补丁修复也是个问题。虽然本文测试的设备供应商都声称会将基本操作系统的漏洞修复和更新作为其正常产品升级(通常为自动化)的一