以下是您应该考虑的一些不同功能，请注意您可能不需要所有这些功能，并且其中一个可能并不比另一个更好 - 但它们是需要考虑的要点：

• 覆盖范围：
  • 服务器上的 Windows 事件日志，所有当前版本
  • 客户端上的 Windows 事件日志，您组织中的所有版本（您会惊讶于还有多少 Win98...）
  • 根据您的喜好在 Linux/Unix 服务器上进行 syslog
  • 根据使用的常见风格，Linux/Unix 工作站（如果有）上的 syslog
  • 通用 SNMP 陷阱
  • 您可能拥有的其他操作系统...
  • 网络设备（如果你想把它放在哪里）：防火墙、路由器、网关、代理、WAF、IDS/IPS 等
  • Web/App 服务器日志：例如 IIS、Apache、WebSphere、WebLogic 等，无论您拥有什么
  • 数据库
  • 邮件服务器
  • MQ 服务器（如果您拥有它们并且它们很重要）
  • AD/目录/IdM 服务器
  • 安全和控制服务器，例如内容过滤网关、HPOV、MS SMS 等。
  • 等您认为关键的任何其他基础设施
  • 申请日志！正如我在上面的评论中所说，这是至关重要的，但最常被忽视。虽然没有真正的通用格式（有一些结构但没有特定数据），但 SIEM 产品/解决方案应该
    ：能够接收和一般解析各种格式和文件，例如 CSV、XML、平面文件等。
    b．理想情况下，能够定义特定格式并识别数据
• 代理与无代理（又名推与拉）
  • 每个都有优点，哪个更好取决于您的特定环境。
  • 最好是支持这两种模型，并在适当的情况下使用每个模型
  • 更好的是支持直接登录到它的内置 API。
• 聚合和合并
• 相关性——即将来自不同来源的不同事件联系在一起形成一个有意义的事件。理想情况下应该使用多种技术
• 报告和仪表板 - 应该类似于 BI，用于趋势分析和特定事件/用户调查
• 自动分析和主动警报，具体取决于配置。应该足够灵活以满足您的需求和期望。分析引擎应该能够（近）实时识别某些类别的滥用/欺诈/攻击。
• 历史数据，以及随时间变化的报告/分析/相关性
• 如果相关，一些产品提供“合规”包，以帮助满足特定的监管要求。
• 高可用性
• 充分保护日志数据的机密性和完整性，结合使用加密、访问控制、自记录等。
• 远程管理（当然是安全的）
• 如果/当你到达那里时，可以插入 SOC

您可以查看 Anton Chuvakin 的日志管理买家清单