Przechowywanie - pamięć logów. Logi mogą łatwo osiągnąć rozmiar setek gigabajtów. Dlatego system zarządzania logiem zdarzeń musi ustalić nie tylko maksymalny rozmiar pamięci, ale także śledzić, jak długo przechowywać zdarzenia. Niektórzy administratorzy muszą zachowywać zapis zdarzeń na stałe, inni są obligowani przez politykę korporacyjną do usuwania ich po określonym czasie.

Przechowywanie tak dużych wolumenów danych wymaga sporej powierzchni dyskowej. Większość appliance do analizy logów jest wyposażana w dyski RAID o terabajtowych pojemnościach. Oba typy produktów - programowe i sprzętowe - zapewniają pewien rodzaj kompresji, ale jej wydajność jest różna.

Poziom odniesienia. Trudno odróżnić szumy od istotnych zdarzeń, bez ustalenia poziomu odniesienia właściwego dla każdego środowiska. Poziom odniesienia wyznacza się na podstawie pomiarów występowania zdarzeń normalnych, rejestrowanych w logu w znanych przedziałach czasowych. Każda godzina, dzień, miesiąc będzie kończyć się i mieć własny poziom odniesienia. Zwiększona aktywność logowania w większości przypadków następuje w godzinach porannych. Trzeba wiedzieć, co jest normą, aby zdefiniować istotne zdarzenia i alarmy.

Korelacja. Dobry system zarządzania zdarzeniami może automatycznie łączyć pozornie odmienne zdarzenia w ciąg logiczny. W wielu firmach wdraża się na przykład politykę blokowania kont (account lockout). Określa się wtedy maksymalną dopuszczalną liczbę prób wprowadzenia niewłaściwego hasła w określonym czasie, po której konto jest blokowane.

Hakerzy odgadują czasami hasła do tego samego konta na wielu komputerach jednocześnie, ponieważ próg lokautu dotyczy tylko danej maszyny. Rozkładając dużą liczbę prób na więcej maszyn, napastnik może zwiększyć swoje szanse na odgadnięcie hasła, zanim konto zostanie zablokowane. Dobry system zarządzania zdarzeniami powinien odnotowywać nagły wzrost poziomu prób odgadnięcia hasła w całym systemie.

Korelacja ma szczególnie znaczenie dla kojarzenia urządzeń mobilnych z ich użytkownikami. Smartfony i tablety to urządzenia w ruchu, przemieszczające się między różnymi sieciami, a ich adresy IP często się zmieniają. Na niektórych urządzeniach nawet fizyczne adresy MAC mogą zmieniać się w zależności od tego, jak są podłączane do sieci (jeden MAC dla połączeń bezprzewodowych, inny dla przewodowych). Dobry system zarządzania logiem umożliwia administratorowi skojarzenie poszczególnych adresów sieciowych z urządzeniami i ich użytkownikami.

Alarmy. Istotną cechą systemu zarządzania jest sposób filtrowania szumów i alarmowanie tylko o użytecznych zdarzeniach. Krytyczne zdarzenia powinny zawsze prowadzić do natychmiastowego alarmu. Alarmy powinny być wyzwalane przez zdarzenia wskazujące na: duże prawdopodobieństwo działań złośliwych, nadmierną aktywność systemu, nieoczekiwany spadek aktywności lub problemy z wydajnością aplikacji.

Dobry system zarządzania logiem powinien mieć predefiniowane, najbardziej oczywiste alarmy i umożliwiać administratorowi tworzenie własnych. Czasami alarm jest aktywowany po uwzględnieniu skorelowanych zdarzeń z wielu systemów. Występują również alarmy wynikające z określonej liczby szczególnych zdarzeń, pojawiających się w określonym czasie. Innym razem pojedyncze zdarzenie (np. logowanie do konta-pułapki) powinno być wystarczającym powodem uruchomienia alarmu. Przydatny rodzaj alarmu jest oparty na poziomie odniesienia, w którym system sam określa normalne wzorce zdarzeń dla danego środowiska, administrator natomiast definiuje, jaki procent odchyleń wywołuje alarm.

Alarmy powinny dopuszczać różne metody kontaktu z administratorem. Przede wszystkim za pośrednictwem poczty elektronicznej, wiadomości SMS czy SNMP. Najlepsze rozwiązania pozwalają na tworzenie interfejsu z innymi systemami monitorowania.

Dobry system powinien mieć wbudowany mechanizm dławienia alarmów. Taki dławik pozwala na jednokrotne wysłanie alarmu informującego o wystąpieniu powtarzającego się, tego samego zdarzenia.

Raporty. Raporty dostarczają zagregowanych statystyk i liczb alarmów w poszczególnych kategoriach: bezpieczeństwa, audytu, zgodności, monitorowania systemu oraz strojenia aplikacji.

Systemy zarządzania logami mają wbudowane raportowanie i pozwalają na dostosowywanie lub tworzenie własnych raportów. Są one zazwyczaj przechowywane w różnych formatach: CSV, HTML, XLS czy TXT, czasami także w PDF. Można je uruchamiać ad hoc lub według harmonogramu. W ocenie raportów warto zwrócić uwagę na różnice dotyczące danych strukturalizowanych i niestrukturalizowanych. Część dostawców nie radzi sobie w raportach z obróbką danych niestrukturalizowanych.

Część dostawców rozwiązań do zarządzania logami - ArcSight (HP), LogRhytm, LogLogic, McAfee - oferuje urządzenia specjalizowane (appliance), które skupiają się głównie na zarządzaniu informacją związaną z bezpieczeństwem, z ukierunkowaniem na wykrywanie zagrożeń i monitorowanie zgodności.