Feature
Benefit
Splunk
ArcSight ESM
Symantec SSIM
EMC ( RSA – Network Intelligence ) enVision
Installation
Multiple platforms supported
Các nhu yếu, những chuẩn, doanh nghiệp yên cầu
Hỗ trợ đa hệ quản lý và điều hành ( window, linux, MacOXS ). Có thể setup một cách thuận tiện trên mỗi nền tảng tương ứng. Splunk tương hỗ hầu hết những định dạng phổ cập lúc bấy giờ như : FAT, FAT32, hoặc những file mạng lưới hệ thống với độ bảo mật thông tin cao như : ext2 / 3, reiser3, FFS, UFS, NFS, ZFS, HFS, VxFS, NTFS .
Đa nền tảng ( window, linux, solaris ) tương hỗ cho DB và quản trị những liên kết. Có những tính năng thiết kế xây dựng sẵn cho quy trình setup Oracle. Nhưng tất cả chúng ta phải cần đến những dịch vụ tương hỗ của ArcSight cho quy trình tiến hành Oracle trong thực tiễn. Không những vậy tất cả chúng ta còn phải cần đến những DBA có kinh nghiệm tay nghề để duy trì và quản trị mạng lưới hệ thống DB .
chỉ tương hỗ trên Linux w / DB2
NL chỉ phân phối 1 số ít thiết bị trên những nền tảng không tương hỗ ( MSFT không tương hỗ cho Windows 2000 ). NL chỉ sử dụng window file system cho những tàng trữ tài liệu, sự kiện .
Collection Layer Capabilities
Real Time Indexing of the data
năng lực lập chỉ mục can đảm và mạnh mẽ để tối ưu hóa tìm kiếm, tùy chỉnh hoặc sinh những báo cáo giải trình mạng lưới hệ thống
Splunk phân phối năng lực can đảm và mạnh mẽ trọng việc index dữ liệu mà không có bất kể trở ngại nào. Dữ liệu đó hoàn toàn có thể nhiều hay ít, hoặc hoàn toàn có thể là những cấu trúc XML phức tạp. Không cần phải viết một nghiên cứu và phân tích cú pháp trước khi lập chỉ mục, thậm chí còn những định dạng log file mới .
Phải cần rất nhiều nghiên cứu và phân tích cú pháp và những quy tắc cho toàn bộ những định dạng log. Các sự kiện phát sinh theo thời hạn thực được lưu trong những trường tài liệu, Nên cần phải tốn nhiều khoảng trống hơn để tàng trữ những tài liệu đó. Cần phải xác nhận với những nhà sản xuất để xác nhân rằng những trường tài liệu đó trọn vẹn đúng chuẩn. Điều này hoàn toàn có thể dẫn đến thực trạng mất tài liệu nếu nhà cung ứng nghĩ rằng những tài liệu đó không quan trọng. Tất cả những trường được lập chỉ mục không thiếu cho nghiên cứu và phân tích báo cáo giải trình hoặc tìm kiếm. Sau khi lập những chỉ mục và phân loại. những tài liệu sự kiện này sẽ được tối thiểu 2,5 lần so với những tài liệu thô khởi đầu
Không có chỉ mục hoặc thông thường. Cần kiến thiết xây dựng trình nghiên cứu và phân tích cú pháp mới và những quy tắc cho toàn bộ những định dạng log trước khi tìm kiếm và báo cáo giải trình hoàn toàn có thể triển khai .
RSA sử dụng địa chỉ IP bên trong những tài liệu sự kiện như chỉ số duy nhất, nó được gọi là IPDB. Không theo thời hạn thực và không phải tổng thể những trường tài liệu được lập chỉ mục. Bên cạnh trưởng địa chỉ IP, cần phải viết nghiên cứu và phân tích cú pháp và những quy tắc cho tổng thể những định dạng log trước khi tìm kiếm và báo cáo giải trình hoàn toàn có thể được thực thi .
Event Classifcation Technology
Tự động phân loại tài liệu, sự kiên
Splunk được cho phép người dùng thêm, sửa đổi, xóa những phân loại của những tài liệu sự kiện một cách tự động hóa trên giao diện web. Người dùng hoàn toàn có thể phong cách thiết kế chỉnh sửa bất kể những trường tài liệu và phân loại
Các phân loại sự kiện được cố đinh bởi nhà phân phối cho 6 loại ( Object, Behavior, Outcome, Technique, Device Group, Significance ). Người dùng cuối không hề phong cách thiết kế chỉnh sửa bất kể những trường, phân loại tài liệu riêng của họ. Tất cả những đổi khác phải được thực thi bởi những nhà sản xuất
không tương hỗ .
không tương hỗ
litigation quality requirements
Yêu cầu phải hoàn toàn có thể cung ứng những báo cáo giải trình chủ trương tuân thủ một cách đúng chuẩn
Splunk phân phối ở mức độ rất cao cho việc duy trì tài liệu. Các tài liệu được lập chỉ mục và tài liệu thô được tàng trữ nén và không đổi khác gì .
Cần được được cho phép ở mỗi thời gian thu gom để lưu một bản sao của những tài liệu thô bắt đầu. Tốn Ngân sách chi tiêu rất cao cho việc tàng trữ tài liệu như : người cần phải sẵn sàng chuẩn bị gấp đôi dung tích tàng trữ. Nếu kích cỡ của tài liệu thô là lớn hơn so với số lượng giới hạn tài liệu thô bên trong cơ sở tài liệu. Một số tài liệu thô hoàn toàn có thể sẽ bị rút ngắn, gây nên thực trạng mất tài liệu .
Chỉ có tương hỗ ” As-is ” tài liệu bằng cách giữ những bản ghi thô. Không có sự bảo vệ tính toàn vẹn tài liệu. Không nén những tài liệu thô .
Chỉ có tương hỗ ” As-is ” tài liệu bằng cách giữ những bản ghi thô .
Supported Devices and data types
Bao phủ rộng khắp. Thiết bị không được tương hỗ hoàn toàn có thể dẫn đến rủi ro tiềm ẩn gặp khó khăn vất vả trong quy trình tiến hành
Splunk hoàn toàn có thể thu thập dữ liệu từ thư mục, tập tin b, những cổng UDP / TCP, những truy vấn cơ sở tài liệu. Splunk tương hỗ không chỉ những tập tin logs, nó cũng hoàn toàn có thể tương hỗ những tài liệu nguồn vào từ những sự kiện như : configurations, scripts and code, messages, traps and alerts, system activity reports, stack traces and system metrics .
Giới hạn những tập tin log của chỉ từ hơn 200 loại sản phẩm. Nếu có bất kể bản tăng cấp của phiên bản ứng dụng hoặc firmwire của thiết bị. Người dùng phải chờ những nhà sản xuất tăng cấp những nghiên cứu và phân tích cú pháp và quy tắc, hoặc người dùng cần phải tăng trưởng những nghiên cứu và phân tích cú pháp bằng việc sử dụng những công cụ lập trình .
Chỉ tương hỗ những tập tin log của khoảng chừng 30 thiết bị. CheckPoint, Cisco và Juniper chỉ có 1 số ít ít. Không tương hỗ cho những ứng dụng, DBS, và người mua không được tương hỗ những bộ công cụ SDK tương hỗ tăng trưởng
Chủ yếu là tương hỗ log từ những thiết bị mạng hoặc những loại sản phẩm bảo mật thông tin. Không tương hỗ quá nhiều trên những ứng dụng và thiết bị DB .
Search and Alerting
Data Searching and navigation
Tìm kiếm hạ tầng IT của bạn trong thời hạn thực là rất quan trọng để có năng lực hiển thị dữ thế chủ động thực trạng hạ tầng CNTT và tích hợp trên những nhóm IT khác nhau .
Splunk phân phối Ad-hoc tìm kiếm và điều hướng bằng cách sử dụng từ khóa tìm kiếm. Kết quả tìm kiếm hoàn toàn có thể điều hướng phân loại theo thời hạn hoặc bằng cách nhấn vào những từ khoá khác để hoàn toàn có thể hiển thị cụ thể hơn những hiệu quả. Các mẫu bảng tinh chỉnh và điều khiển được hỗ trỡ rất nhiều từ SplunkBase
Hoạt động rất phức tạp để hoàn toàn có thể phong cách thiết kế một bảng tinh chỉnh và điều khiển mới để hoàn toàn có thể hoạt động giải trí trong thời hạn thực dưới dạng lưới, đồ thị, màn hình hiển thị tài liệu, và biểu đồ. Dữ liệu bảng tinh chỉnh và điều khiển hoàn toàn có thể được update tự động hóa. Chỉ tối đa cho 10 lần tìm kiếm tài liệu. Tìm kiếm trong một thời hạn dài sẽ rất chậm .
Không có drill down trên biểu đồ, 30 giây vận tốc làm tươi – thiếu năng lực tìm hiểu và không trực quan
Không có drill down trên biểu đồ – thiếu năng lực tìm hiểu và không trực quan
Automatic Alerting Technology
Các máy tính ngày càng tạo ra tài liệu IT nhanh hơn để con người hoàn toàn có thể theo kịp. Các công dụng cảnh báo nhắc nhở tự động hóa hoàn toàn có thể cải tổ thời hạn giải quyết và xử lý sự cố cho những nhà quản trị IT .
Splunk cung ứng công dụng cảnh báo nhắc nhở tương tác. Người dùng hoàn toàn có thể thông số kỹ thuật những điều kiện kèm theo tìm kiếm ngay cả khi nó đến từ nhiều loại sự kiện. Cảnh báo sẽ được kích hoạt trong thời hạn thực nếu những tài liệu nguồn vào là tương thích với điều kiện kèm theo được chỉ định. Cảnh báo hoàn toàn có thể gồm có gửi email, tạo ra nguồn cấp tài liệu RSS và kích hoạt những API cho bên thứ 3 hoặc những công cụ .
Người dùng hoàn toàn có thể thông số kỹ thuật những điều kiện kèm theo tìm kiếm thành những quy tắc đối sánh tương quan khác nhau để kích những cảnh báo nhắc nhở trong thời hạn thực. Tương quan quy tắc tương hỗ nhiều loại tài liệu. Chức năng cảnh báo nhắc nhở gồm có email, kích hoạt API hoặc những công cụ. Không có công dụng RSS
không
Chỉ tập trung chuyên sâu trên tài liệu chèn. Quy định mối đối sánh tương quan tập trung chuyên sâu vào lọc và đếm tài liệu .
Data Analysis for IT Operation
giám sát những hạ tầng có yếu tố, sự cố xảy ra
Splunk tương hỗ giám sát những hạ tầng từ việc giám sát mạng lưới hệ thống sẵn có để phát hiện lỗi ví dụ điển hình như quản trị đổi khác và những lỗi ứng dụng thông thường .
Không tương hỗ
Không tương hỗ
Không tương hỗ
Data Analysis for Security
Theo dõi những cuộc tiến công và phản ứng sự cố nhanh gọn
Splunk tương hỗ giám sát bảo mật thông tin tài liệu, phát hiện gian lận, những mối rình rập đe dọa nội bộ, sử dụng sai của những nguồn tài nguyên vv …
Hỗ trợ giám sát những mối rình rập đe dọa bên ngoài và mối rình rập đe dọa nội bộ .
Hỗ trợ giám sát những mối rình rập đe dọa bên ngoài và mối rình rập đe dọa nội bộ .
Hỗ trợ giám sát những mối rình rập đe dọa bên ngoài và mối rình rập đe dọa nội bộ .
Data Analysis for Compliance
Tuân thủ thuận tiện mà không có hoạt động giải trí gây ảnh hưởng tác động
Splunkbase cung ứng out-of-the-box cho những nhu yếu như PCI, SOX .
Người dùng cuối hoàn toàn có thể mua thêm gói tương thích cho PCI, SOX …
Chưa có giải pháp
Chưa có giải pháp
Data Analysis for Business Intelligence
giám sát những ứng dụng quan trọng, chống rò rỉ tài liệu hoặc sử dụng ứng dụng trái phép
Splunk hoàn toàn có thể giám sátbất kỳ ứng dụng có log như Enterprise Web server log, J2EE application log. Splunk còn hoàn toàn có thể nhìn thấy những transaction khi chúng xảy ra .
Không tương hỗ
Không tương hỗ
Không tương hỗ
Reporting
Reporting Capability
Báo cáo từ nhóm IT cho đến người dùng khác nhau .
Splunk phân phối báo cáo giải trình hoặc hoàn toàn có thể thiết lập tự động hóa báo cáo giải trình . Các bảng báo cáo giải trình, thống kê thời hạn thực, biểu đồ tương tác, Pivot và đi sâu công dụng được tương hỗ. Báo cáo hoàn toàn có thể được lưu và tái sử dụng cho sau này. SplunkBased phân phối rất nhiều những mẫu báo cáo giải trình tuân theo những chuẩn như ” PCI ” hoặc ” SOX “
Báo cáo cho thời hạn dài là thật sự rất chậm. Và điều này nhu yếu báo cáo giải trình tài liệu thô phải trực tuyến và có sẵn. Cố gắng phân phối một tính năng mới của ” trend reporting “. Tuy nhiên, đây là công nghệ tiên tiến mà bạn cần phải thiết lập tìm kiếm của bạn trước thời hạn. Bạn không hề làm một quảng cáo tìm kiếm đặc biệt quan trọng trong một thời hạn dài. Cung cấp những mẫu báo cáo giải trình theo những chuẩn như ” ISO17799, SOX, PCI ” .
Các báo cáo giải trình linh động bị hạn chế. Không có báo cáo giải trình đơn cử tương thích
Lưu trữ tài liệu độc quyền thiếu lan rộng ra để hoàn toàn có thể tùy chỉnh báo cáo giải trình .
Storage
Disk consumption and housekeeping
Quản lý tàng trữ tốt hoàn toàn có thể phân phối hiệu suất cao và tối ưu hóa tàng trữ .
Splunk lập những chỉ mục và tài liệu được tàng trữ nén và không biến hóa gì. Nếu tài liệu nguồn vào trong định dạng nén, Splunk hoàn toàn có thể đọc những tập tin nén trực tiếp mà không cần giải nén những tài liệu thô. Splunk hoàn toàn có thể tự động hóa lấy những tài liệu cũ dựa trên chủ trương của người dùng .
Dựa trên Oracle RDBMS dẫn đến nhu yếu tàng trữ rất cao. Các tài liệu sự kiện trong RDBMS sẽ lớn gấp 2,5 lần những tài liệu thô bắt đầu .
Dựa trên DB / 2 dẫn đến nhu yếu tàng trữ cao. Không có phân vùng tài liệu. Cần thanh lọc tài liệu bằng DBA một cách định kỳ
Cần thanh lọc tài liệu bởi những thủ tục đặc biệt quan trọng ( special procedures ) .
Adminstration
Admin Interface
giao diện Web thuận tiện tiến hành. Giao diện CLI thuận tiện hơn cho người dùng để tích hợp những mẫu sản phẩm với những giải pháp khác .
Splunk cung ứng cả hai CLI và giao diện web .
ArcSight Administrator phải thiết lập ứng dụng người mua để quản trị thông số kỹ thuật ArcSight .
chỉ cung cấp giao diện web
chỉ cung ứng giao diện web
