Агрегация логов
Что такое Агрегация логов?
Агрегация логовСбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения.
Агрегация логов — это практика передачи журналов с серверов, конечных устройств, облачных сервисов, сетевого оборудования и приложений в центральное хранилище, такое как SIEM или озеро логов. Агенты и syslog-релеи собирают исходные события, нормализуют их к общей схеме, обогащают метаданными и записывают в индексированное хранилище, чтобы аналитики могли выполнять запросы по всей инфраструктуре. Это основа для детектирования, охоты за угрозами, реагирования на инциденты и нормативного хранения. Операционно важны синхронизация времени, охват источников, корректность парсинга, стоимость хранения и защита целостности журналов.
● Примеры
- 01
Пересылка Linux auditd, журнала событий Windows и AWS CloudTrail в один индекс SIEM.
- 02
Использование syslog-релея для отправки логов межсетевого экрана в холодное хранилище сроком на год.
● Частые вопросы
Что такое Агрегация логов?
Сбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения. Относится к категории Защита и операции в кибербезопасности.
Что означает Агрегация логов?
Сбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения.
Как защититься от Агрегация логов?
Защита от Агрегация логов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Агрегация логов?
Распространённые альтернативные названия: Централизованное логирование, Сбор логов.