帮助您选择合适的日志管理解决方案的 10 个问题

一个好的日志管理解决方案为安全、工程、IT 和合规团队提供了可观测性。但是有这么多可用的选项，您如何选择合适的选项？

原文链接：https://www.crowdstrike.com/blog/10-questions-to-help-choose-the-right-log-management-solution/?utm_medium=soc&utm_source=twtr&utm_term=spklr&utm_content=8466343707&utm_campaign=%5Bglobal%5D

在评估潜在的日志管理解决方案时，首先要提出这 10 个问题，以根据您的需求找到安全性、性能和价值的适当平衡，并揭示可能阻碍您的任何限制。

1. 它如何处理实时搜索？

实时搜索是每个日志管理用例的基础。但对于使用实时搜索功能而不是将其构建到架构中的供应商来说，结果可能会令人失望，因为这样做通常会限制实时搜索和警报的数量。

为避免性能问题，请寻找旨在从一开始就处理实时引入和搜索的日志管理解决方案。如果他们有自己的流数据引擎并且不严重依赖索引，那就更好了，索引会阻碍实时性能。

2. 它是否支持我不断发展的安全策略？

询问解决方案是否适用于现在和将来要监视的数据。例如，如果您是 AWS 客户，则需要一个可以导入 CloudWatch 数据的日志管理解决方案，即使您现在不使用该数据也是如此。选择可以摄取结构化和非结构化数据的工具也是明智的，因为这为未来提供了最大的灵活性。

3. 搜索日志数据容易吗？

如果一个解决方案很难使用，很少有人会使用它。为了最大限度地利用，日志管理工具应具有易于使用的查询语言和简单的用户界面。较新的日志管理产品往往提供比传统选项更简化的界面，传统选项通常与多年来添加的所有功能杂乱无章。

4. 是否有无限摄取计划？

优化安全性和应用程序性能首先要从系统中提取所有日志数据。没有这个，你就不可能有真正的可观察性。要达到您的团队可以探索未知未知数的状态，请选择以鼓励您记录所有内容的方式定价的日志管理工具。现代解决方案具有无限的摄取计划，可以记录所有数据。

5. 数据在搜索之前是否必须编入索引？

传统的日志管理解决方案使用索引来优化历史数据的搜索。不幸的是，这会减慢数据到达的速度，因为它在数据可用于搜索和警报之前增加了额外的步骤。

需要流式传输实时数据的用户（如安全分析师或应用程序开发人员）应寻找无索引日志管理选项，这些选项使用时间序列数据库体系结构来减少前期处理时间并提供对传入数据的近乎即时的访问。

6. 需要多少维护？

如果解决方案需要过多的维护，管理员可能会停止执行某些维护任务，使其仅部分正常运行。这个问题困扰着开源和付费解决方案。

寻找维护要求最低的解决方案。询问索引是一个有用的起点。如果解决方案需要大量索引，则可能需要更多资源和配置时间来维护。相比之下，无索引解决方案通常需要的维护时间要少得多。

7. 如何可视化流数据？

工具处理和可视化数据的效果越好，检测趋势、发现问题和共享信息的速度就越快。寻找具有流式处理引擎的解决方案，该引擎可在数据到达时立即更新图表。质量日志管理选项提供了时间表，使查看者能够监控性能下降，并在性能不佳的基础架构完全失败之前替换或修复它。

8. 它压缩了多少我的数据？

传统的日志管理系统可能根本不压缩数据。对于繁重的索引，它们实际上可能需要比原始日志更多的存储空间。

现代日志管理将数据平均压缩 5-15 倍，这有助于：

• 减少计算、存储和传输资源
• 加速搜索
• 允许历史数据更长时间的数据保留

数据压缩技术越好，数据在活动内存中保留的时间就越长，由于文件更小，从磁盘传输的数据更少，搜索结果越快。压缩数据时，它还减少了所需的存储空间量，从而降低了需要将数据存储保留数月甚至数年的组织的成本。

9. 总拥有成本是多少？

许可费用通常很容易从供应商处获得;但是，服务器成本、维护成本和培训成本可能不那么简单。换句话说，一开始看起来负担得起的产品最终可能会超出预算。

例如，采用高级压缩技术的解决方案通常更便宜，因为压缩的数据越多，存储数据所需的硬件就越少，而通过云网络传输数据的成本就越低。维护成本不太明显，但当您的团队每周花费几个小时配置解决方案时，维护成本就会变得明显。

寻找具有简化 UX 的现代日志管理解决方案，这些解决方案易于配置，无需昂贵的培训课程即可使用。确定易用性的一个好方法是让您的工程师尝试免费试用。

10. 几年后我的成本会是什么样子？

随着数据量的增加，今天看起来负担得起的日志管理选项可能变得负担不起，从而增加了许可成本、硬件和存储成本、培训成本以及增加更多员工来管理软件的成本。

为避免被定价过高，请选择从一开始就将维护和硬件成本降至最低的解决方案，并随着数据需求的增长提供可预测的价格。

面向现代企业的日志管理

CrowdStrike Falcon LogScale是一种现代日志管理和可观测性解决方案。Falcon LogScale专为当今的IT环境而构建，可满足下一代日志管理的所有需求：PB级、实时搜索、直观的搜索语言和高级数据压缩。^®

简而言之，Falcon LogScale可以轻松且经济实惠地记录所有内容并以无与伦比的速度和规模搜索日志。此外，Falcon LogScale提供较低的总拥有成本，没有隐藏费用。该技术会随着您的发展而扩展，即使您转向无限制日志记录，也能保持经济实惠。

想要将Falcon LogScale的成本与其他日志管理解决方案进行比较吗？查看Falcon LogScale基础设施节约估算器。

其他资源

• 免费试用Falcon LogScale社区版。
• 联系我们安排Falcon LogScale的个性化演示。
• 收听推特空间剧集对总体经济影响的影响^™了解CrowdStrike Falcon LogScale的优势和成本节约。
• 访问Falcon LogScale产品页面了解更多信息。