SIEM Çözümlerinin Az Log Miktarındaki Arama Performansına (Örnek 14 Milyon) Bakarak Çok Log Miktarındaki Arama Performansı(Örnek 79 Milyar) Nasıl Ölçülür?
Bu makalede herhangi bir sebepten hiç son 6 ay veya son 1 içerisinde loglarını geriye dönük arama ve raporlama ihtiyacı hissetmemiş ama aşağıdaki makaledekilere
benzer senaryolar yaşanırsa ne yaparım diye merak edenler için yaklaşık bir hesaplama modeli önereceğim.
Bu hesaplamada kullanılacak yöntem az log miktarındaki süreye bakıp çok log miktarı arama süresini kestirmeye çalışmaktır.
Kullandığınız SIEM sistemi üzerinde 14 milyon logu ararken (arşivden) 14 dakika harcıyorsanız 79 milyar logu (arşivden) ararken ne kadar süre alacağına bakacağız.
79 milyar/14 milyon=5642 kat fazla log var elimizde.
14 milyon için 14 dakika beklemiştik o zaman 79 milyar için
14 dakika * 5642=78988 dakika yani
78988 dakika /60 dakika /24 saat=55 gün yani yaklaşık 2 ay beklenir.
Kullandığım EPS değerleri ve konunun diğer boyutları için aşağıdaki makale incelenebilir
