SIEM Çözümlerinde Logların Canlıda Tutulması ile Arşivde Tutulmasının Farkı
SIEM ve log yönetimi sistemleri topladığı logları saklarken 2 farklı şekilde saklar. Bu yöntemler:
- Canlı Loglar: Ara yüzden anında erişilebilen loglar.
- Arşiv Loglar: SIEM ürününde toplanan günlükler, belirli sayıda işlemden sonra arşive kaldırılır ve ayrı bölümde saklanır.
Canlı log ( bazı sistemlerde indexlenmiş log olarak adlandırılır) datanın sıkıştırılmadan saklandığı ya da çok az sıkıştırıldığı bir bölümken arşiv aynı datanın sıkıştırılarak saklandığı ve tekrardan sıkıştırılmış dosyalardan açılıp canlıya çekilmeden (indexlenmeden ) kullanılamayan bir başka bölümünü temsil eder.
Arşiv loglarını tekrar kullanabilmek için:
- Sıkıştırılmış dosyaların açılması
- Açılan dosyaların indexlenmesi veya canlıya çekilmesi gerekir.
Arşiv loglarını tekrar kullanabilmek için geçecek süre iki parametreye göre değişir:
- Arşivden geri dönülecek süre: 1 saat mi? 1 gün mü? 1 ay mı?
- Arşivden dönüldüğünde arşiv verisinin 40 ile 100 kat daha fazla yere ihtiyaç olacağı için diskteki boş alan
Yukarıdaki parametrelere göre arşivden geri dönmek saatler ile günler arası bir zaman isterken boşta da aktif kullanılan disk miktarının onlarca katı disk miktarının olması gerekebilir.
Peki arşivde tutmanın loglar lazım olduğunda bu kadar iş çıkarmasına rağmen loglar neden uzun süreler canlıda tutulmuyor da 15 gün ile 30 gün arası bir süre sonra arşive kaldırılıyor? Bu sorunun cevabı ihtiyaç duyulan disk miktarı. Canlı loglar eğer özel bir yönteminiz yok ise çok fazla disk gerektirir.
Genel resim yukarıdaki gibi olmakla beraber sadece SureLog [1] canlı logları 100 kata kadar sıkıştırarak kullanabilir.
Surelog dünyada logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür [2].
SureLog 2500 EPS log trafiğini 365 gün canlıda tutmak için en fazla 3 TB disk kullanır.
En iyi şartlarda ise bu 1 TB a kadar düşebilir.
Refaranslar:
