La consolidación de logs es un tema al que desde hace algún tiempo le llevo dedicando mis reflexiones. Hoy quiero plasmar por escrito algunas de ellas.
Hemos visto aparecer en el mercado distintas marcas que comercializan este tipo de soluciones. Algunas son fabricantes de software de seguridad con abolengo, otras son nuevas marcas de software que luchan por abrirse camino, y otras incluso son firmas consultoras con una apuesta clara por el software. Por qué tanto interés?
La consolidación de logs surge cuando las empresas tienen tantos logs que no saben qué hacer con ellos. Todos los sistemas actuales generan logs, en mayor o menor medida. Logs que normalmente se procesan a nivel estadístico, como mucho. Sin embargo, las empresas necesitan algo más. Las estadísticas no dejan de ser más datos, y lo que se busca hoy en día son respuestas.
La consolidación de logs ofrece un valor añadido. Es capaz de procesar distintas fuentes de logs para ofrecer resultados. Clásicamente, información sobre ataques. Pero la verdadera ventaja no está en su uso habitual, sino en la filosofía que subyace. Se trata de hacer que los logs sean útiles. Procesarlos, consolidarlos, para generar información. Son soluciones muy útiles, y sin embargo abren un gran campo de investigación.
En las empresas actuales no basta con correlar eventos. Es necesario identificar los sucesos singulares, y por supuesto es necesario poder relacionarlos si queremos que los logs sean útiles. Sin embargo, el potencial de la filosofía de correlación puede ir mucho más lejos. ¿Por qué utilizar estas herramientas sólo para correlar eventos?
Los motores de consolidación de logs utilizan técnicas muy concretas de "Data Mining" para llevar a cabo su trabajo. Por qué no vamos más allá? Estas mismas técnicas pueden ser utilizadas para la detección de tendencias, para analizar el funcionamiento y, sobre todo, la funcionalidad de los sistemas. En las empresas actuales se implanta tecnología sin saber exactamente cuáles son los beneficios reales. Y es aquí donde este tipo de motores pueden prestarnos su ayuda.
Si ampliamos la funcionalidad de los consolidadores de logs, tendremos una herramienta que nos permita analizar de forma conjunta el funcionamiento operativo de los sistemas. Cómo se usan, qué respuestas dan en el día a día. Y si se desarrolla una herramienta que permita analizar estos datos de forma global y extraer conclusiones, estaremos dando un paso adelante. Estaremos acercando la tecnología al negocio. Y en el fondo, no es eso lo que se persigue?
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario