日志审计系统的选型指南

日志审计系统的选型指南

那么，如何选择合适的日志审计系统呢？在评估日志审核系统时，您需要考虑哪些因素？我认为至少应该考虑以下几个方面。

1、一个全面的日志审计系统需要能够从网络上的异构设备收集日志，因此需要多样化的日志收集方法。日志捕获包括Syslog、SNMP、NetFlow、ODBC/JDBC。建议通过OPSEC LEA等日志提供支持，并支持在日志文件或数据库中搜索日志。

2、我们还需要考虑日志捕获性能。如果网络中存在大量日志，则对日志系统性能的要求相对较高。如果由于性能问题导致大量日志丢失，则根本不会影响审核。目前，日志审计产品国际评估中最重要的指标是“每秒事件数”。也称为EPS。这通常表示基于每个日志0、5K到1K字节的数量，系统每秒可以捕获的日志条目的数量。通常，EPS值越高，系统性能越好。

3、应提供准确的查询方法。格式因日志信息的类型而异。日志审计系统在收集日志后，必须进行一定的处理，例如标准化日志格式，以集成来自多个制造商的日志进行统计分析和审计。统一格式不能破坏原始日志。小心。否则，日志的法律效力将大大降低。

4、为了使收集到的日志在安全过滤中发挥更强大的作用，具有技术知识水平的管理员需要能够主动调查大量日志中隐藏的安全问题的日志相关性分析工具。因此，有这些要求的用户将重点检查产品的实时相关性分析功能。对

5、我们需要提供一种高容量的存储管理方法。用户有大量的日志数据。如果没有正确的管理方法，不仅难以检查和查询，而且占用过多的存储空间对用户来说是浪费投资。

6、日志系统存储的冗余性非常重要。如果集中收集的日志数据由于硬件或系统损坏而丢失，则损失可能很大。在选择软件日志审核系统时，用户将在配置RAID 5或专用存储设备等服务器时检查存储冗余。必须在选择硬件日志审核系统时，有必要验证硬件冗余以避免出现问题。

7、提供多种实时报警方式。当发现安全问题时，应立即发出警报，并提供自定义报告功能，使用户能够生成满足其需求的报告。

以上建议是笔者为日志审计系统选择的建议。然而，在现实中，还应该考虑其他方面，如制造商的支持服务能力、产品案例应用等，此处未列出。

总之，随着信息安全基础设施的日益复杂，简单的日志管理时代已经进入了系统日志检查时代。日志在网络和信息安全中的价值和作用越来越重要。