مقدمه
در دنیای پیشرفته امروزی که تکنولوژی و اطلاعات به سرعت در حال پیشروی هستند، هر روز میلیونها رویداد و وقوع در سیستمها، شبکهها، برنامهها و سرویسها رخ میدهند. اطلاعات مربوط به این رویدادها، معمولاً در فرمت لاگها ثبت میشوند که اطلاعاتی حیاتی از عملکرد و امنیت سیستمها و شبکهها را در بر میگیرند.
در این مقاله، به معرفی و بررسی مفهوم “نحوه ذخیرهسازی لاگ در روز و ثانیه” (EPS و EPD) میپردازیم. این مفهوم به تعداد لاگهایی اشاره دارد که در یک بازهی زمانی معین، مانند یک روز یا یک ثانیه، تولید و ثبت میشوند.
EPS
EPS به معنی “رویدادها در ثانیه” (Events Per Second) است. این معیار نشاندهنده تعداد رویدادها یا وقایعی است که در یک سیستم یا شبکه به صورت مستمر تولید و ذخیره سازی می شوند. فرمول محاسبه جمع آوری لاگ آن به صورت تعداد لاگ بر ثانیه می باشد.
محدودیتهای EPS میتوانند بر اساس لایسنسهای این نرمافزارها تنظیم شده باشند. به عبارت دیگر، تعداد رویدادهایی که یک نرمافزار میتواند به صورت همزمان پردازش کند، بر اساس لایسنس نرمافزار محدود میشود.
اهمیت EPS به این دلیل است که هرگاه EPS بسیار بالا باشد و سیستم نمیتواند با سرعت کافی رویدادها را پردازش کند، ممکن است با مشکلاتی همچون از دست دادن رویدادها، کاهش کارایی و کاهش کاربردی سیستم مواجه شویم. بنابراین، مدیران سیستم باید بتوانند EPS را کنترل کنند و مطمئن شوند که ظرفیت سیستم برای پردازش تعداد مورد انتظار رویدادها واکنشها کافی است. این کار به تنظیمهای پیشرفته، افزایش سرعت سختافزارها و بهینهسازیهای دیگر برای افزایش عملکرد سیستم میانجامد.
در زمینه مدیریت رویدادهای امنیتی و اطلاعات (SIEM)، EPS به عنوان یک معیار اساسی مورد استفاده قرار میگیرد SIEM. به منظور جمعآوری، تحلیل و پردازش رویدادها و لاگها از سیستمها، برنامهها و شبکهها استفاده میشود. اندازهگیری EPS برای SIEM نشان میدهد که چه تعداد رویداد در یک بازه زمانی مشخص به SIEM وارد میشود و توسط آن پردازش میشود. این اطلاعات میتواند برای تعیین نرخ دریافت داده و قیمتگذاری سرویسهای SIEM استفاده شود.
مقدار EPS میتواند در شبکهها و سیستمهای بزرگ به تعدادی در دهها هزار رویداد در ثانیه برسد. این به معنای قدرت بالای پردازش و جمعآوری رویدادها توسط سیستم است. مثلاً، در یک شبکه بزرگ با تعداد کاربران و دستگاههای فراوان، ممکن است هزاران یا حتی دهها هزار رویداد در ثانیه تولید شوند و سیستم SIEM باید بتواند این حجم بزرگ از رویدادها را به طور مؤثر و سریع پردازش کند.
نمونه نرم افزارها با قابلیت EPS :
-
FortiSIEM
FortiSIEM جمعآوری لاگها و رویدادها را به صورت تعداد بر ثانیه از منابع مختلف در سازمان فراهم میکند. با استفاده از ماژولهایی که بر روی دستگاهها و سیستمهای مختلف تنظیم میشوند، FortiSIEM قادر است لاگها را از منابع مانند سرورها، دستگاههای شبکه، دیوایسهای امنیتی و سیستمهای عملیاتی جمعآوری کند.
FortiSIEM از طریق پروتکلهایی مانند syslog، SNMP، WMI و APIها به دستگاهها متصل میشود و لاگها را جمعآوری میکند. همچنین، FortiSIEM قابلیتهای دیگری مانند تجزیه و تحلیل دادهها، ذخیرهسازی، نمایش و گزارشدهی را نیز در اختیار کاربران قرار میدهد.
بعد از جمعآوری لاگها، FortiSIEM این اطلاعات را تجزیه و تحلیل میکند تا الگوهای عملکردی، رفتارهای غیرمعمول و تهدیدات امنیتی را شناسایی کند. همچنین، این پلتفرم امکاناتی برای دستهبندی رویدادها، پیشبینی خطرات و اتخاذ تصمیمات امنیتی هوشمندتر را فراهم میکند.
-
ArcSight
ArcSight، یکی از پرکاربردترین و پیشرفتهترین سیستمهای مدیریت اطلاعات رویداد و امنیت (SIEM) است. این سیستم توسط شرکت Micro Focus توسعه داده شده است و برای جمعآوری، مدیریت و تحلیل لاگها و رویدادهای امنیتی در سازمانها به صورت تعداد بر ثانیه استفاده میشود.
با استفاده از ArcSight، میتوانید لاگها و رویدادها را از منابع مختلفی مانند سرورها، دستگاههای شبکه، دیوایسهای امنیتی و برنامههای مختلف جمعآوری کنید. ArcSight از فرآیند انتقال داده (Data Ingestion) برای جمعآوری این لاگها استفاده میکند، که ممکن است شامل پروتکلهای مختلفی مانند syslog، SNMP و RESTful APIs باشد.
بعد از جمعآوری لاگها، ArcSight این اطلاعات را تجزیه و تحلیل میکند تا الگوها، رویدادهای مشکوک و تهدیدات امنیتی را شناسایی کند. با استفاده از الگوریتمها و قوانین سفارشی، ArcSight میتواند به صورت زمانی واکنش نشان دهد، هشدارهای امنیتی را صادر کند و امکانات گزارشدهی جامع را فراهم کند.
همچنین، ArcSight امکاناتی مانند تحلیل رویدادها در زمان واقعی، کشف تهدیدات پیشرفته، مدیریت رخدادهای پیچیده و همکاری بین تیمهای امنیتی را فراهم میکند. این ابزار قدرتمند باعث میشود تا سازمانها بتوانند به صورت بهبود یافتهای روی رویدادهای امنیتی و تهدیدات احتمالی راهاندازی کنند و به شناسایی و پاسخدهی به آنها بپردازند.
EPD
EPDبه معنی “رویدادها در روز” (Events Per Day) است. این معیار نشاندهنده تعداد رویدادهایی است که در روز ذخیره می شوند. فرمول محاسبه جمع آوری لاگ آن به صورت حجم بر روز می باشد.
با استفاده از EPD، میتوانید الگوها و روندهای روزانه را شناسایی کنید. ممکن است ببینید که در ساعتهای خاصی از روز، مثلاً در ساعات پربازدید، تعداد درخواستها بیشتر است. این اطلاعات میتواند به شما در برنامهریزی منابع و بهینهسازی سیستم کمک کند.
EPD یک معیار مفید است زیرا اطلاعات دریافتی را برای دوره زمانی طولانیتری نمایش میدهد و به تحلیلگران داده امکان میدهد الگوها، روندها و تغییرات روزانه را در مجموعه دادهها شناسایی کنند. این اطلاعات میتواند در تصمیمگیریهای بیزینسی و بهبود فرآیندها مورد استفاده قرار گیرد
در محیطهای سیستمها و شبکهها، لاگها معمولاً اطلاعات و رویدادهایی هستند که توسط سیستمها و برنامهها در فایلهای خاصی ثبت میشوند. این لاگها میتوانند شامل اطلاعات مربوط به رویدادهای امنیتی، خطاها، فعالیتها، ورود و خروج کاربران و موارد دیگر باشند. با استفاده از لاگها، مدیران سیستم و شبکه میتوانند به رویدادها و عملکرد سیستمها دسترسی داشته باشند و به نحو ایمن و کارآمدی آنها را مدیریت کنند.
نمونه نرم افزار با قابلیت EPD :
-
Splunk
یک پلتفرم قدرتمند است که برای جمعآوری، تجزیه و تحلیل لاگها که به صورت per day لاگ را ذخیره سازی می کند. با استفاده از Splunk، میتوانید لاگها را به صورت روزانه ثبت کنید و قابلیت جستجو و تحلیل پیشرفته را بر روی آنها داشته باشید.
Splunk جزو ابزارهای بسیار قوی برای جمعآوری و مدیریت لاگها و رویدادها است Splunk امکان جمعآوری لاگها را از منابع مختلف فراهم میکند و از روشهای متنوعی برای این کار استفاده میکند.
بهطور کلی، روشهای زیر را میتوان برای جمعآوری لاگها در Splunk استفاده کرد ، که این روش ها عبارتند از:
-ارسال مستقیم لاگها به Splunk: میتوانید لاگها را مستقیماً به Splunk ارسال کنید. این عمل ممکن است از طریق APIهای Splunk، استفاده از پروتکلهای مانند syslog یا استفاده از فرمتهای خاصی مانند JSON صورت گیرد.
-استفاده از Forwarders: Splunk از Forwarders برای جمعآوری لاگها در سرورها و دستگاههای مختلف استفاده میکند. Forwarder یک برنامه کوچک است که در دستگاههای مختلف نصب میشود و لاگها را به Splunk ارسال میکند.
-خواندن لاگها از منابع خارجی: Splunk میتواند لاگها را از منابع خارجی مانند پایگاهدادهها، فایلها، سرویسهای وب و دیگر منابع جمعآوری کند. با استفاده از قابلیتهای خاص Splunk میتوانید این لاگها را به Splunk متصل کنید و تجزیه و تحلیل کنید.
Splunk از قدرتمندترین قابلیتها برای تحلیل و دستهبندی لاگها به صورت زمانی و موقعیتی استفاده میکند. با این کار، شما میتوانید از دادههای لاگ بهعنوان منبع اطلاعات ارزشمند برای گزارشدهی، پیشبینی خطرات و کشف رفتارهای غیرمعمول استفاده کنید.
تفاوت بین EPS و EPD
تفاوت بین EPS و (EPD در حقیقت مربوط به نرخ و مقدار رویدادها است که در طول یک ثانیه یا روز ذخیره سازی و نگه داری می شوند. در زیر تفاوت بین این دو مفهوم را توضیح میدهم:
Event per Second (EPS): EPS به تعداد رویدادها در یک ثانیه اشاره دارد. این معیار به نرخ رخداد رویدادها در طول زمان کوتاهی، به طور معمول یک ثانیه، توجه میکند. EPS میتواند نشان دهنده توانایی یک سیستم در پردازش و پذیرش تعداد زیادی رویداد در زمان کوتاه باشد.
Event per Day (EPD): EPD به تعداد رویدادها در طول یک روز اشاره دارد. این معیار نشان میدهد که در طول یک روز (معمولاً 24 ساعت) تعداد چند رویداد به وقوع میپیوندد. EPD معمولاً برای تجزیه و تحلیل الگوها و روندها در طول مدت زمان بلندتر استفاده میشود. برای مثال، اگر تحلیلگران داده بخواهند تغییرات روزانه در فعالیت سیستم را بررسی کنند، از مقدار EPD استفاده خواهند کرد.
بنابراین، تفاوت اصلی بین EPS و EPD در بازه زمانی مورد بررسی است. EPS بر روی نگه داری نرخ رویدادها در یک ثانیه تمرکز دارد، در حالی که EPD بر روی نگه داری تعداد رویدادها در یک روز تمرکز دارد. هر دو معیار مهم هستند و بسته به نیازهای مختلف و محیط مورد استفاده، میتوانند برای ارزیابی و مدیریت رویدادها مورد استفاده قرار بگیرند.