SIEM ÇÖZÜMLERİNDE CANLI LOG NEDEN KRİTİKTİR?

Konuya şöyle girmekte fayda var. Arşiv ham veri, canlı ise analiz edilebilecek veridir. Canlıda duran loglara anında erişirken arşivdekilere erişemezsiniz ve bazı senaryolarda erişmeniz ya günler alır veya imkansızlaşır. Dolayısı ile canlıda uzun süre tutabilen SIEM çözümleri ile tutamayanları iyi ayırt etmek gerekir.

Canlı imkanı logları veri olarak kullanabilmenizi sağlar. Arşivdeki loglar sıkıştırılmış text dosyalardır. Üzerinde bir şey yapabilmek, aradığını bulabilmek veya istatistik bir rapor oluşturabilmek için o arşivdeki logları canlıya dönmeniz gerekir. Aşağıda değişik teknolojilerin canlıda tutarken ihtiyaç duyduğu disk miktarlarının rakamsal karşılaştırmalarını bulabilirsiniz.

SIEM Ürünlerinde Arşiv Log Kapasitesini Canlı Log Olarak Algılamak

SIEM İçin Canlıda Log Tutma ve Aramanın Önemi

Canlı logun kritik olacağı bazı örnek senaryoları aşağıdaki linklerde bulabilirsiniz.

Canlı Log Neden Kritik? Arşiv Neden Yetersiz?

Logların Arşivden Dönülmesi mi?

Yukarıda da belirttiğim gibi arşivden dönmek başlı başına zaman ve iş yüküdür. Arşivden dönme ile ilgili aşağıdaki linklerde detayları bulabilirsiniz.

SIEM Çözümlerinde Logların Canlıda Tutulması ile Arşivde Tutulmasının Farkı

SIEM ve Logları Çok Uzun Süre Canlıda Tutmanın Kritikliği — Sahadan Tecrübeler

Son olarak da SureLog SIEM in konu ile ilgili verilerini paylaşayım