Testom poddano rozwiązania - zarówno sprzętowe, jak i programowe - służące do zbierania i analizowania zapisów w logach: ArcSight Logger 4.0, GFI EventsManager v.8.2, LogLogic MX3020 v.4.9.1, NitroSecurity NitroView ESM and ELM v.8.4 oraz Trustwave SIEM.

Mały przewodnik po rozwiązaniach do zarządzania logami

Jedna z pierwszych decyzji to wybór rodzaju rozwiązania: urządzenie typu "wszystko w jednym" czy pakiet programowy? Większość produktów do zarządzania logami jest dostarczana w postaci specjalizowanego urządzenia (appliance) z tego prostego powodu, że w rozwiązaniach tych łatwiej osiągnąć wymaganą wydajność i dostępność pamięci niż w narzędziach programowych, pracujących na platformach systemów operacyjnych ogólnego przeznaczenia. Produkty programowe mogą być tak skonfigurowane i zoptymalizowane, aby były równie efektywne jak appliance (na ogół już prekonfigurowane przez jego dostawcę).

Ujemną cechą appliance jest ograniczony wybór konfiguracji i pojemności dyskowych, a przypisany mu system operacyjny - najczęściej dystrybucja Linuksa lub Windows - może być trudny do łatania. Chociaż większość dostawców appliance biorących udział w testach deklarowało dostarczanie na bieżąco aktualnych łatek w ramach normalnej procedury uaktualniania (często automatycznej), to jednak w czasie testów stwierdzono, że część produktów wykorzystuje starsze wersje kodu, np. Apache, ze znanymi lukami, dla których są już dostępne łatki. Jeżeli decydujemy się na użycie appliance, to należy upewnić się, jak szybko dostarczane są uaktualnienia dla systemu operacyjnego. Można też rozważyć przetestowanie produktu pod kątem luk przed zakupem.

Rozkład obciążeń

Większość testowanych rozwiązań zapewnia funkcjonalność typu "wszystko w jednym", co oznacza zintegrowanie: funkcji konsoli zarządzania, gromadzenia danych, pamięci masowej, indeksowania (dla kwerend wyszukujących i filtrów) oraz generatora raportów.

Jeżeli planuje się zbieranie komunikatów z logów z kilku setek klientów, istotne jest rozkładanie obciążeń. Problem nie leży w wąskim gardle samego urządzenia - mają one zazwyczaj cztery lub więcej interfejsów Gigabit Ethernet - ale sieć może obsłużyć tylko ograniczony wolumen dodatkowego ruchu, nie powodując problemów wydajnościowych aplikacji. Wysyłając komunikaty logu z tysiąca komputerów do pojedynczej instancji zarządzania logami ,- można "zamulić" każdą sieć.

Każdy z testowanych produktów może działać jako kolektor typu store-and-forward, co oznacza, że ma jeden punkt zbierania całego ruchu lokalnego przed przesłaniem danych (zazwyczaj skompresowanych) do centralnej, nadrzędnej instancji zarządzania logiem. Wiele rozwiązań może także ekspediować zdarzenia do innych, zwłaszcza tych obsługujących syslog i SNMP. Niektóre, - zarówno te programowe, jak i appliance, - mogą działać wyłącznie jako kolektory lub w funkcji indeksowania, które to operacje najbardziej obciążają CPU.