اخبار امنیت و شبکه

EPS و EPD

EPS و EPD
23
مرداد

مقدمه

در دنیای پیشرفته امروزی که تکنولوژی و اطلاعات به سرعت در حال پیشروی هستند، هر روز میلیون‌ها رویداد و وقوع در سیستم‌ها، شبکه‌ها، برنامه‌ها و سرویس‌ها رخ می‌دهند. اطلاعات مربوط به این رویدادها، معمولاً در فرمت لاگ‌ها ثبت می‌شوند که اطلاعاتی حیاتی از عملکرد و امنیت سیستم‌ها و شبکه‌ها را در بر می‌گیرند.

در این مقاله، به معرفی و بررسی مفهوم “نحوه ذخیره‌سازی لاگ در روز و ثانیه” (EPS و EPD) می‌پردازیم. این مفهوم به تعداد لاگ‌هایی اشاره دارد که در یک بازه‌ی زمانی معین، مانند یک روز یا یک ثانیه، تولید و ثبت می‌شوند.

EPS

EPS به معنی “رویدادها در ثانیه” (Events Per Second) است. این معیار نشان‌دهنده تعداد رویدادها یا وقایعی است که در یک سیستم یا شبکه به صورت مستمر تولید و ذخیره سازی می شوند. فرمول محاسبه جمع آوری لاگ آن به صورت تعداد لاگ بر ثانیه می باشد.

محدودیت‌های EPS می‌توانند بر اساس لایسنس‌های این نرم‌افزارها تنظیم شده باشند. به عبارت دیگر، تعداد رویدادهایی که یک نرم‌افزار می‌تواند به صورت همزمان پردازش کند، بر اساس لایسنس نرم‌افزار محدود می‌شود.

اهمیت EPS به این دلیل است که هرگاه EPS بسیار بالا باشد و سیستم نمی‌تواند با سرعت کافی رویدادها را پردازش کند، ممکن است با مشکلاتی همچون از دست دادن رویدادها، کاهش کارایی و کاهش کاربردی سیستم مواجه شویم. بنابراین، مدیران سیستم باید بتوانند EPS را کنترل کنند و مطمئن شوند که ظرفیت سیستم برای پردازش تعداد مورد انتظار رویدادها واکنش‌ها کافی است. این کار به تنظیم‌های پیشرفته، افزایش سرعت سخت‌افزارها و بهینه‌سازی‌های دیگر برای افزایش عملکرد سیستم می‌انجامد.

در زمینه مدیریت رویدادهای امنیتی و اطلاعات (SIEM)، EPS به عنوان یک معیار اساسی مورد استفاده قرار می‌گیرد SIEM. به منظور جمع‌آوری، تحلیل و پردازش رویدادها و لاگ‌ها از سیستم‌ها، برنامه‌ها و شبکه‌ها استفاده می‌شود. اندازه‌گیری EPS برای SIEM نشان می‌دهد که چه تعداد رویداد در یک بازه زمانی مشخص به SIEM وارد می‌شود و توسط آن پردازش می‌شود. این اطلاعات می‌تواند برای تعیین نرخ دریافت داده و قیمت‌گذاری سرویس‌های SIEM استفاده شود.

مقدار EPS می‌تواند در شبکه‌ها و سیستم‌های بزرگ به تعدادی در ده‌ها هزار رویداد در ثانیه برسد. این به معنای قدرت بالای پردازش و جمع‌آوری رویدادها توسط سیستم است. مثلاً، در یک شبکه بزرگ با تعداد کاربران و دستگاه‌های فراوان، ممکن است هزاران یا حتی ده‌ها هزار رویداد در ثانیه تولید شوند و سیستم SIEM باید بتواند این حجم بزرگ از رویدادها را به طور مؤثر و سریع پردازش کند.

 

نمونه نرم افزارها با قابلیت EPS :

 

  • FortiSIEM

FortiSIEM جمع‌آوری لاگ‌ها و رویدادها را به صورت تعداد بر ثانیه از منابع مختلف در سازمان فراهم می‌کند. با استفاده از ماژول‌هایی که بر روی دستگاه‌ها و سیستم‌های مختلف تنظیم می‌شوند، FortiSIEM قادر است لاگ‌ها را از منابع مانند سرورها، دستگاه‌های شبکه، دیوایس‌های امنیتی و سیستم‌های عملیاتی جمع‌آوری کند.

FortiSIEM از طریق پروتکل‌هایی مانند syslog، SNMP، WMI و API‌ها به دستگاه‌ها متصل می‌شود و لاگ‌ها را جمع‌آوری می‌کند. همچنین، FortiSIEM قابلیت‌های دیگری مانند تجزیه و تحلیل داده‌ها، ذخیره‌سازی، نمایش و گزارش‌دهی را نیز در اختیار کاربران قرار می‌دهد.

بعد از جمع‌آوری لاگ‌ها، FortiSIEM این اطلاعات را تجزیه و تحلیل می‌کند تا الگوهای عملکردی، رفتارهای غیرمعمول و تهدیدات امنیتی را شناسایی کند. همچنین، این پلتفرم امکاناتی برای دسته‌بندی رویدادها، پیش‌بینی خطرات و اتخاذ تصمیمات امنیتی هوشمندتر را فراهم می‌کند.

 

  • ArcSight

ArcSight، یکی از پرکاربردترین و پیشرفته‌ترین سیستم‌های مدیریت اطلاعات رویداد و امنیت (SIEM) است. این سیستم توسط شرکت Micro Focus توسعه داده شده است و برای جمع‌آوری، مدیریت و تحلیل لاگ‌ها و رویدادهای امنیتی در سازمان‌ها به صورت تعداد بر ثانیه استفاده می‌شود.

با استفاده از ArcSight، می‌توانید لاگ‌ها و رویدادها را از منابع مختلفی مانند سرورها، دستگاه‌های شبکه، دیوایس‌های امنیتی و برنامه‌های مختلف جمع‌آوری کنید. ArcSight از فرآیند انتقال داده (Data Ingestion) برای جمع‌آوری این لاگ‌ها استفاده می‌کند، که ممکن است شامل پروتکل‌های مختلفی مانند syslog، SNMP و RESTful APIs باشد.

بعد از جمع‌آوری لاگ‌ها، ArcSight این اطلاعات را تجزیه و تحلیل می‌کند تا الگوها، رویدادهای مشکوک و تهدیدات امنیتی را شناسایی کند. با استفاده از الگوریتم‌ها و قوانین سفارشی، ArcSight می‌تواند به صورت زمانی واکنش نشان دهد، هشدارهای امنیتی را صادر کند و امکانات گزارش‌دهی جامع را فراهم کند.

همچنین، ArcSight امکاناتی مانند تحلیل رویدادها در زمان واقعی، کشف تهدیدات پیشرفته، مدیریت رخدادهای پیچیده و همکاری بین تیم‌های امنیتی را فراهم می‌کند. این ابزار قدرتمند باعث می‌شود تا سازمان‌ها بتوانند به صورت بهبود یافته‌ای روی رویدادهای امنیتی و تهدیدات احتمالی راه‌اندازی کنند و به شناسایی و پاسخ‌دهی به آنها بپردازند.

 

EPD

EPDبه معنی “رویدادها در روز” (Events Per Day) است. این معیار نشان‌دهنده تعداد رویدادهایی است که در روز ذخیره می شوند. فرمول محاسبه جمع آوری لاگ آن به صورت حجم بر روز می باشد.

با استفاده از EPD، می‌توانید الگوها و روندهای روزانه را شناسایی کنید. ممکن است ببینید که در ساعت‌های خاصی از روز، مثلاً در ساعات پربازدید، تعداد درخواست‌ها بیشتر است. این اطلاعات می‌تواند به شما در برنامه‌ریزی منابع و بهینه‌سازی سیستم کمک کند.

EPD یک معیار مفید است زیرا اطلاعات دریافتی را برای دوره زمانی طولانی‌تری نمایش می‌دهد و به تحلیلگران داده امکان می‌دهد الگوها، روندها و تغییرات روزانه را در مجموعه داده‌ها شناسایی کنند. این اطلاعات می‌تواند در تصمیم‌گیری‌های بیزینسی و بهبود فرآیندها مورد استفاده قرار گیرد

در محیط‌های سیستم‌ها و شبکه‌ها، لاگ‌ها معمولاً اطلاعات و رویدادهایی هستند که توسط سیستم‌ها و برنامه‌ها در فایل‌های خاصی ثبت می‌شوند. این لاگ‌ها می‌توانند شامل اطلاعات مربوط به رویدادهای امنیتی، خطاها، فعالیت‌ها، ورود و خروج کاربران و موارد دیگر باشند. با استفاده از لاگ‌ها، مدیران سیستم و شبکه می‌توانند به رویدادها و عملکرد سیستم‌ها دسترسی داشته باشند و به نحو ایمن و کارآمدی آن‌ها را مدیریت کنند.

 

نمونه نرم افزار با قابلیت EPD :

 

  • Splunk

یک پلتفرم قدرتمند است که برای جمع‌آوری، تجزیه و تحلیل لاگ‌ها که به صورت per day لاگ را ذخیره سازی می کند. با استفاده از Splunk، می‌توانید لاگ‌ها را به صورت روزانه ثبت کنید و قابلیت جستجو و تحلیل پیشرفته را بر روی آن‌ها داشته باشید.

Splunk جزو ابزارهای بسیار قوی برای جمع‌آوری و مدیریت لاگ‌ها و رویدادها است Splunk امکان جمع‌آوری لاگ‌ها را از منابع مختلف فراهم می‌کند و از روش‌های متنوعی برای این کار استفاده می‌کند.

به‌طور کلی، روش‌های زیر را می‌توان برای جمع‌آوری لاگ‌ها در Splunk استفاده کرد ، که این روش ها عبارتند از:

-ارسال مستقیم لاگ‌ها به Splunk: می‌توانید لاگ‌ها را مستقیماً به Splunk ارسال کنید. این عمل ممکن است از طریق API‌های Splunk، استفاده از پروتکل‌های مانند syslog یا استفاده از فرمت‌های خاصی مانند JSON صورت گیرد.

-استفاده از Forwarders: Splunk از Forwarders برای جمع‌آوری لاگ‌ها در سرورها و دستگاه‌های مختلف استفاده می‌کند. Forwarder یک برنامه کوچک است که در دستگاه‌های مختلف نصب می‌شود و لاگ‌ها را به Splunk ارسال می‌کند.

-خواندن لاگ‌ها از منابع خارجی: Splunk می‌تواند لاگ‌ها را از منابع خارجی مانند پایگاه‌داده‌ها، فایل‌ها، سرویس‌های وب و دیگر منابع جمع‌آوری کند. با استفاده از قابلیت‌های خاص Splunk می‌توانید این لاگ‌ها را به Splunk متصل کنید و تجزیه و تحلیل کنید.

Splunk از قدرتمندترین قابلیت‌ها برای تحلیل و دسته‌بندی لاگ‌ها به صورت زمانی و موقعیتی استفاده می‌کند. با این کار، شما می‌توانید از داده‌های لاگ به‌عنوان منبع اطلاعات ارزشمند برای گزارش‌دهی، پیش‌بینی خطرات و کشف رفتارهای غیرمعمول استفاده کنید.

 

تفاوت بین  EPS و EPD

تفاوت بین EPS و  (EPD در حقیقت مربوط به نرخ و مقدار رویدادها است که در طول یک ثانیه یا روز ذخیره سازی و نگه داری می شوند. در زیر تفاوت بین این دو مفهوم را توضیح می‌دهم:

Event per Second (EPS): EPS به تعداد رویدادها در یک ثانیه اشاره دارد. این معیار به نرخ رخداد رویدادها در طول زمان کوتاهی، به طور معمول یک ثانیه، توجه می‌کند. EPS می‌تواند نشان دهنده توانایی یک سیستم در پردازش و پذیرش تعداد زیادی رویداد در زمان کوتاه باشد.

Event per Day (EPD): EPD به تعداد رویدادها در طول یک روز اشاره دارد. این معیار نشان می‌دهد که در طول یک روز (معمولاً 24 ساعت) تعداد چند رویداد به وقوع می‌پیوندد. EPD معمولاً برای تجزیه و تحلیل الگوها و روندها در طول مدت زمان بلندتر استفاده می‌شود. برای مثال، اگر تحلیلگران داده بخواهند تغییرات روزانه در فعالیت سیستم را بررسی کنند، از مقدار EPD استفاده خواهند کرد.

بنابراین، تفاوت اصلی بین EPS و EPD در بازه زمانی مورد بررسی است. EPS بر روی نگه داری نرخ رویدادها در یک ثانیه تمرکز دارد، در حالی که EPD بر روی نگه داری تعداد رویدادها در یک روز تمرکز دارد. هر دو معیار مهم هستند و بسته به نیازهای مختلف و محیط مورد استفاده، می‌توانند برای ارزیابی و مدیریت رویدادها مورد استفاده قرار بگیرند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *