日志管理解决方案的测试和评估.pdfVIP

日志管理解决方案的测试和评估 日志管理解决方案的测试和评估 作者：valen 出处：IT 专家网 2010-08-25 10:24 　　 日志管理是所有企业都应该部署的技术，但却只有很少的企业部署了良好的日志管理。 收集和分析计算机和设备日志在很多方面都发挥着重要作用 ，包括信息安全、操作管理、应 用程序监控、系统故障排除和合规审计等，良好的日志管理解决方案能帮助加强企业安全。 安全审计应该是很多企业调查日志管理工具的首要原因。Verizon 公司的 “2008 年数据泄 漏调查报告”(该报告正迅速成为计算机犯罪统计数据的最可靠资源)显示 “82%的数据泄漏 事故在实际事故发生前就能找到蛛丝马迹 ，不管具体使用的是何种类型的事件监控 ，结果都 相同：关于数据泄漏攻击的信息并没有被通知或者采取行动”。 　　本文对七种不同的日志管理硬件和软件解决方案进行了分析，包括 ArcSight Logger 4.0 、 GFI EventsManager v.8.2 、 LogLogic MX3020 v.4.9.1 、 LogRhythm LR2000-XM v.5.0 、 NitroSecurity NitroView ESM and ELM v.8.4 、Splunk 4.1.2 和 Trustwave SIEM。此次产品评估和分析的目的在于让大家了解日志管理的特性和功能，包 括什么功能可以区分不同解决方案。我们根据相同评估标准来为每个产品评分(1 到 10 分， 10 分为最高分) ，这些产品都是互不相同的，属于不同产品类别。 　　举例来说，ArcSight 的单设备 Logger 属于严格意义上的日志管理解决方案，因而缺 少 NitroSecurity 的双设备 SIEM(安全信息和事件管理)解决方案的很多功能。本文的产品 评估仅仅侧重于日志管理功能 ，并且产品评分表也只反映其日志管理功能。当然，从给定价 格的角度来看，解决方案提供更多的功能绝对是好事。 　　本文评估的产品特性和功能与收集、存储和审查企业可能需要密切关注的各种类型事件 日志有关。虽然你不需要了解日志管理完整的详尽的原理信息 ，但你需要记住日志管理生命 第 1 页第 1 页 日志管理解决方案的测试和评估 周期的几个阶段：政策定义、配置、收集、规范化、索引、存储、相关性、基线、警报和报 告。 　　此次测试是在一个小型实验室进行的 ，包括 15 到 20 台计算机(包括物理和虚拟的) ，模 拟 Windows、Linux、BSD、路由器和无线客户端的小型企业网络。有些功能是当产品在 大型真正的生产网络或者供应商传教的远程实验室运行时来测试的。 测试评分表 40% 20% 20% 20% 9.0 ArcSight Logger 4.0 10 8 8 9 优秀 40% 20% 20% 20% 7.6 GFI EventsManager 8.2 7 8 8 8 良好 40% 20% 20% 20% LogLogic MX3020 ( 版本 8.2 8 9