我正在考虑购买SIEM /日志pipe理解决scheme。 我读过不less评论,但是想知道你们是否有任何个人喜好。 我特别感兴趣的两款产品是Splunk和NitroSecurity的ESM和ELM产品。 谢谢。
Splunk为我工作得很好。 您可以轻松地尝试,并且对于less量日志没有许可成本。 日志分析界面不错,产品支持优秀。 Windows支持正在改善,但我还没有尝试目前的版本来评论更多。
我还没有尝试NitroSecurity产品。
你有一个相当标准的环境或具体的不寻常的SIEM需求?
Splunk和Nitro是完全不同的问题的两种完全不同的解决scheme。 SIEM空间被定义为日志pipe理(SIM)和事件pipe理(SEM)。 Nitro在将SIM和SEM等一些东西整合到SMB空间的低端套装方面做得很好。 Splunk实际上只是非常好的ITsearch。 它缺乏SIM的大部分function,不包括在Gartner SIEM魔力象限中。
所以问题是你真正想要达到什么目的? 如果您正在寻找日志pipe理,那么无可争议的领导者就是企业领域的LogLogic。 如果你正在寻找SEM,那么有一些供应商(包括LL)提供可行的解决scheme。
Forrester和Bloor在这方面都有很好的论文。
只要你知道我的偏见,我为LogLogic工作。
安迪·莫里斯产品营销LogLogic
我一直使用EventTracker,它适合我。 我select了它,因为我不必为所有的模块支付额外的费用,一切都包含在一个许可证费用中,而且作为一个附加价值,还包括对windows系统的变更监控。
另外看看SIEM区域的新玩家accelops.net( http://www.accelops.net )。 它将SIEM解决scheme与性能,可用性和变更pipe理相结合,成为全新的networking监控趋势。