我正在考虑购买 SIEM/日志管理解决方案。我读过不少评论,但想知道你们是否有个人偏好。我特别感兴趣的两款产品是 Splunk 和 NitroSecurity 的 ESM 和 ELM 产品。谢谢。
答案1
Splunk 对我来说效果很好。您可以非常轻松地试用它,而且少量日志无需许可证费用。日志分析界面很好,产品支持也很棒。Windows 支持正在改进,但我还没有试用当前版本,无法发表更多评论。
我还没有尝试过 NitroSecurity 产品。
您是否拥有相当标准的环境或特定的不寻常的 SIEM 需求?
答案2
Splunk 和 Nitro 是两种完全不同的解决方案,针对完全不同的问题。SIEM 领域被定义为日志管理 (SIM) 和事件管理 (SEM)。Nitro 很好地将 SIM 和 SEM 以及其他一些东西整合到 SMB 领域的低端捆绑包中。Splunk 实际上只是非常出色的 IT 搜索。它缺乏 SIM 的大部分功能,并且未包含在 Gartner SIEM 魔力象限中。
所以问题是你真正想要实现什么?如果你正在寻找日志管理,那么企业领域无可争议的领导者是 LogLogic。如果你正在寻找 SEM,那么有几家供应商(包括 LL)可以提供可行的解决方案。
Forrester 和 Bloor 都针对这一主题发表了优秀的论文。
为了让你知道我的偏见,我为 LogLogic 工作。
Andy Morris 产品营销 LogLogic
答案3
我一直在使用 EventTracker,它对我来说效果很好。我之所以选择它,是因为我不需要为所有模块支付额外费用,所有内容都包含在一个许可费用中,而且作为增值功能,它还附带对 Windows 系统的变更监控。
答案4
还请关注 SIEM 领域的新玩家 accelops.net (http://www.accelops.net)它将SIEM解决方案与性能、可用性和变更管理相结合,开创了网络监控的新趋势。
看http://www.accelops.net了解更多信息。