SIEM Ürünlerinde Arşiv Log Kapasitesini Canlı Log Olarak Algılamak
SIEM veya log yönetimi çözümlerinde logların yönetimi önemlidir. Burada 2 farklı kavram ortaya çıkar.
- Canlı Loglar
- Arşiv Loglar
Canlı loglar logları veri olarak kullanabilmenizi sağlar. Arşivdeki loglar sıkıştırılmış text dosyalardır. Üzerinde birşey yapabilmek, aradığını bulabilmek veya istatistik bir rapor oluşturabilmek için o arşivdeki logları canlıya dönmeniz gerekir.
Logların arşivlenmesi sıkıştırıp bir kenara kaldırmak demektir.
Logların canlıda ne kadar az disk alanı ile ne kadar uzun süre tutulabildiği çok çok önemli bir parametredir.
Örnek bir karşılaştırma için:
1500 EPS logu olan bir sistemde 700 MB ile
Lucene veya elastic temelli sistemlerde
Canlıda 7 Gün,
Arşivde 15 Gün
SureLog da ise
Canlıda 240 Gün
Arşivde 365 Gün
tutabilirsiniz.
Bu sistemlerin detaylı disk kullanım analalizleri için aşağıdaki makale incelenebilir.
