摘要: 因为公司业务的关系(思福迪,LogBase),最近走访用户几乎关注点都是日志管理、数据库审计、运维审计(堡垒机)。 在和客户沟通的过程中,发现运维审计一般都用的非常好,数据库审计用的一般,日志管理审计(包括SOC)用的非常差!下面针对用的最差的产品简单说几句吧...
因为公司业务的关系(思福迪,LogBase),最近走访用户几乎关注点都是日志管理、数据库审计、运维审计(堡垒机)。
在和客户沟通的过程中,发现运维审计一般都用的非常好,数据库审计用的一般,日志管理审计(包括SOC)用的非常差!下面针对用的最差的产品简单说几句吧:
1、产品花哨的功能过多。我们想想,生活中用的最好的产品是什么?筷子、菜刀、剪指刀……为什么呢?简单、易用。网络安全产品也一样,如果一个产品功能过多,让主要的功能湮没在纷繁的按钮、菜单中,那么,你会喜欢用吗?电冰箱、洗衣机、电视的不同型号价格差很大,真的那些功能真的那么有用?真不见得。倒是因为那么多功能,造成操作复杂,要是有个不识字的人来,还真的不会操作了。甚至我们到别人家去,别人家的不是一个型号的遥控器,我们都要琢磨下。日志管理也是如此,常见的功能都要有,但是一定不要想什么都做上。如果你想把桌面管理、远程维护,甚至介质管理、数据库权限分配都想做进去,那么真的……真的很难做好。
每一个功能都有用,但是你想过没有,把用户最不需要的20%功能砍掉?之所以这么说,是因为有时候遇到一个需求变态,沉溺于空想的用户,提出一些不切实际的要求,想做成单子就满足了他们,然后这个功能就一直在了。但是,别的用户真的不需要。
SOC的功能够多了吧?但是你去运营商和他们谈谈SOC,看看他们的态度如何?因为失败的例子太多了……运营商这样的规模尚且失败的例子比比皆是,你以为您的单位比省级运营商大多少?执行力度比他们强多少呢?
有的产品加入了工单处理模块、服务评价模块,听起来挺诱人不是吗?没错。但是您的信息中心有多少人?如果只有三五个人,真的不需要。本来出问题,吆喝一声,3分钟搞定,现在填个单子就要3分钟……当然,知识库,有必要,只是需要积累。
2、产品数据库问题。刚才游侠在新浪微博上谈到,有的日志管理产品在数据量大了之后,几乎不能用。有不少用户都和我说:刚开始测试的时候,设备少,一切都好。后来正式实施之后,设备突然多了,日志量大的很,然后每次点“搜索”的时候,要么界面无响应(有些好一点的,等几分钟会正常),甚至有的要十几分钟之后才能出来结果,好不容易发现一点蛛丝马迹,点“下一页”,又要等十几分钟!这不是坑爹,是什么呢?
好的日志管理,中小企业可以用MS SQL、Oracke数据库,够用。但是如果日志量过大,还是建议够用NoSQL技术或者做分布式。现在对实时性要求很高的网站都开始慢慢摒弃关系型数据库了,开始用文本或者用其做分布式(也有用SQL做分布式的,只不过代价太高)。如Facebook、Google等。如果你的日志量很大,而准备选购的产品是关系型数据库,游侠提醒您:前1个月可能很好,但是过一段日志多了之后,用的时候动辄就卡,真想砸了它。
3、关于选型产品和价格。SOC比日志管理要诱人得多,当然价格也高得多。如果比运营商、电力行业规模更大,更有钱,可以试试挑战下他们失败过的课题,否则真不建议您趟这趟浑水。科技以人为本,产品应该是易于部署、易于操作、易于查询、易于关联分析的。游侠最近遇到多家单位用的日志管理或SOC都在百万以上,但是和他们认真沟通之后,他们却说用不成,理由如本文2所说:查询速度差异太大!测试期间数据量小,一切正常,用一段之后,原形毕露。
还是提醒下您:想购买产品,调查需谨慎!
简单说几句,希望能给希望采购日志管理或SOC产品的您有所帮助。当然,一孔之见,欢迎拍砖。
相关产品:
网路游侠 https://www.youxia.org
