本文共 480 字,大约阅读时间需要 1 分钟。
日志审计系统是“我要什么” 主要收集各类设备的日志:路由器、防火墙、交换机、数据库等的日志 主要基于agent、syslog、snmp trap等 主要面向合规中“审计”部分的要求 收集上来的一般是原始日志 相对而言,soc偏重运营、工单处理 是收集日志上来之后“我要怎么办” 如筛选日志审计系统中报警级别“高”以上的日志 一线监控提交给二线监控,做分析,或提交客户 主要是事后响应,可以做服务 而事实上,现在很多做SOC的都在从产品到服务过度 由于此前很多做SOC的把产品说的无所不能 因此客户的期望值很高,但是实际上…… 绝大多数的SOC实际上就是作为日志收集器在用 花了做SOC的钱,做的是日志审计的事 日志审计系统可以作为SOC的一部分 SOC的实时性要求更高 但是如果仅仅是做合规,那么日志审计就完全可以了 并且,至少在运营商,SOC做的并不好 据我所知,现在运营商有些提到SOC非常谨慎 因为失败的例子太多了……而日志管理相对好一点
本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/544783
转载地址:http://nlbnl.baihongyu.com/