SIEM Çözümlerinde Canlı Logdan Aramak 30–40 Kat Daha Hızlıdır

Ortalama 2500 EPS maksimum 5000 EPS log akışı olan bir yapıda 1 yıl sonunda toplamda,
2500 EPS*60 saniye*60 dakika*24 saat*365 gün=78,840,000,000 log oluşur. Yani yaklaşık 79 milyar kayıt.

Eğer bu logların tamamını anında erişilebilir tutmak isterseniz (Canlı Log), SIEM çözümünden çözümüne değişmekle birlikte örnek olarak açık kaynak elasticsearch temelli bir sistemde ve en az 20 alanı indekslediğimizi kabul ederseniz 80–140 TB arası diske ihtiyacınız olur. Aşağıda hangi teknoloji hangi indeksleme yöntemini kullanıyor detayları var.

Eğer bu logları sıkıştırabilen bir SIEM iniz varsa bu 3 TB a düşer.
Dolayısı ile 79 milyar kayıtın tamamında (yani son 1 yıl) arama yaparsanız birkaç saatte sonuç alırsınız.
Eğer canlı logları (indeksler de dahil) sıkıştırabilen bir SIEM iniz yoksa ve 80–140 TB çok derseniz o zamanda çözüm olarak 1 yılı erişilebilir (canlı) tutmak yerine bunu 30 günle kısıtlayıp geri kalanını arşivde tutmak yoluna gitmek zorunda kalırsınız. O zaman da son 1 yıl yani yaklaşık 79 milyar kayıtın tamamında arama yine yukarıda örnek verdiğimiz sistemde 1 ay gibi bir süre alır.

Entrepreneur,Security Analyst,Research.

Entrepreneur,Security Analyst,Research.