2同行回答
需要从日志采集,日志分析,日志展现三个层次去考虑。日志采集需要考虑现成支持的广度,非标准支持设备日志采集的简易程度;日志分析需要考虑日志查询的速度和方便性,解析能力,关联规则的有效性,攻击告警输出接口,扩展性等;日志展现需要考虑平台的自身展现能力如仪表盘和报表模板等,对外接口的开放性等。产品方面可以参考Gartner的各方面评价。
浏览1815
所谓水无常势,日志分析其实也是同样的。与其找所谓的解决方案,还不如把关注点放在大的格局上面,先通过分析工具的统计功能,找到异常点,然后再层层深入,这样可以解决大篇的问题,否则一头扎进去,基本就是“特烦恼”了。工具,其实在日志分析的过程中起到了决定性的作用,比如splunk、科来的网络分析软件、360的星图都还不错。
另外,再通过日志分析师,把其它问题解决,就OK了。
所以,所谓的日志分析解决方案,其实就是好工具+分析师。
浏览1806