2024年企業(yè)級日志分析產品市場調查報告

本報告由安在新媒體發(fā)起編制，本報告的版權本報告由安在新媒體發(fā)起編制，本報告的版權歸安在新媒體所有，報告中所有的文字、圖片、表格均受到中國知識產權法律法規(guī)的保護。本報告基于企業(yè)網絡安全專家聯(lián)盟（諸子云）甲方社群所實施的數據安全細分領域的產品用戶調查，所形成的市場分析報告。本報告通過對細分領域企業(yè)級日志分析產品用戶端的調研和分析，試圖從用戶的角度來描述用戶眼中的產品和行業(yè)情況，力圖展示一個真實的行業(yè)形象。由于采集和分析的樣本可能存在一定的局限性，因此如有勘誤，敬請告知。1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例化化化法企業(yè)級日志分析產品的發(fā)展經歷了多個階段。早期開發(fā)人員在代碼中寫日志用于程序調試和簡單故障排查。隨后2000年2000年?簡單的日志收集工具出現(xiàn)，開發(fā)了一些簡單的腳本和工具對本地集中的日志進行一些諸如按時間排序、簡單的文本搜索等基本操作來輔助分析。日志集中管理系統(tǒng)出現(xiàn)。2015年2015年1990年1990年?程序中通過簡單的打印語句（如最2010年2010年?出現(xiàn)了專門的日志分析軟件和系統(tǒng)2017年2017年2022年2022年用戶能力增強態(tài)勢感知UEBA務SIEM/SOCAPT防護成應用化日志采集日志存儲日志預處理分析用戶能力增強態(tài)勢感知UEBA務SIEM/SOCAPT防護成應用化日志采集日志存儲日志預處理分析點回回回點回回點企業(yè)級日志分析產品在國內存在較大增長潛56.90%50.90%37%18.75%66.60%98%240%2...中國企業(yè)級日志分析產品行業(yè)滲透率海外國家企業(yè)級日志分析產品滲透率56.90%50.90%37%18.75%66.60%98%240%2...46.77%46.77%53.23%15.10%13.20%12.70%10.40%870%824%615.10%13.20%12.70%10.40%870%824%623%48.90%69.20%71.33%84.90%86.80%87.30%89.60%91.30%91.76%93.77%97.02%51.10%30.80%28.67%97.60%全球唯一讀時建模計算引擎的全球唯一讀時建模計算引擎的等保1.0提出日志分析系統(tǒng)的整改要求ELKStack等開源日志分析平臺開始流行，眾多安全廠商和大型企業(yè)基于開源基礎開發(fā)日志分析產品網絡安全法發(fā)布，對日志管理提出6個月的保存期要求日志分析廠商Splunk于2020年7月Splunk宣布關閉其上海研發(fā)中心，當月炎凰數據成立Splunk的國產替代廠商炎凰數據發(fā)布替代產品國產企業(yè)級日志分析產品銷量井噴疫情導致市場遇冷增長不及預期日志分析產品國家/行業(yè)標準出臺，政策上不斷推動市場普及進程術委員會發(fā)布GA/T911-2019《信息安日志分析產品安全技術要求》。本標準將日全功能要求和安全保障要求的強度劃分為基準適用于網絡安全態(tài)勢感知產品、系統(tǒng)或平金融監(jiān)督管理總局的主要職責第一條：“依機構監(jiān)管、行為監(jiān)管、功能監(jiān)管、穿透式監(jiān)要求金融機構（銀行業(yè)、保險業(yè)）定期報送源異構讀時建模處理能力的產品往往會在此景以分鐘級完成多源異構日志數據的快速響GB/T42453-2023《信息安安全功能要求基本級增強級采集和存儲日志數據源●●日志數據采集標準協(xié)議接收●●代理方式采集●●日志文件導入●●日志采集及時性●●日志數據的預處理數據篩選●●數據轉換●●日志記錄生成●●日志記錄存儲安全保護●●防止日志記錄丟失●●日志記錄備份●●實現(xiàn)和報警日志記錄處理數據整合○●數據拆分○●日志記錄分析事件辨別●●事件定級●●事件統(tǒng)計●●潛在危害分析●●異常行為分析○●關聯(lián)事件分析○●日志記錄數據挖掘○●日志查詢●●統(tǒng)計報表●●分析報告○●報警機制●●開發(fā)接口○●○不具備●具備1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例企業(yè)級日志分析產品市場規(guī)模（億元）用戶行業(yè)分布39.735.531.228.426.725.825.326.426.725.825.3城市線級年度預算水平政府/社會機構28%個體企業(yè)政府/社會機構28%民營企業(yè)24%國資企業(yè)33%外資企業(yè)國資企業(yè)33%36.05%8.14%8.14%6.98%3.49%36.05%8.14%8.14%6.98%3.49%25.58%25.58%11.63%小微企業(yè),17.40%中型企業(yè),27.90%大型企業(yè),54.70%無安全專職有安全專職88%18.6%38.4%18.6%38.4%19.8%18.6%4.7%主要擔心的問題是安全如何不拖業(yè)務后主要擔心的問題是安全如何不拖業(yè)務后腿，如何協(xié)同配合實現(xiàn)安全價值，重保機制已建立，同時重大安全事件的應急機制已基本完備該買的安全技術產品已基本到位，已開始思考或實施安全產品的協(xié)同運營實務，處理一般的安全事件已不太擔心已通過了ISO27001認證或等保測評等外部的合規(guī)檢查，但真正應對有組織黑客團隊攻擊的能力還是較弱有安全專職，有能力應對小黑客的掃描或攻擊，但內部未建立安全體系，無法應對有組織黑客團伙的攻擊不時出現(xiàn)一些安全事件，領導出事時會安排安全建設，不出事時則無預算或少預算，安全保護處于零星狀態(tài)安全級別定義企業(yè)安全級別可預計二次策略開發(fā)的投入成本；2、擔心產品無法兼容企業(yè)內部多樣化的異構日志；3、擔心產品在處理海量日志時出顧慮產品部署后不可預計二次策略開發(fā)的投78.40%76.50%顧慮產品部署后不可預計二次策略開發(fā)的投擔心產品無法適應公司規(guī)模擴大帶來的日志審計需求變化擔心產品無法適應公司規(guī)模擴大帶來的日志審計需求變化65.40%62.83%59.30%44.20%39.50%36.10%23.30%20.80%采購決定因素對新產品的態(tài)度滿意度低，重要度高穩(wěn)定性差操作復雜對加密流量中的異常行為難以有效分析.某些老舊設備或自研系統(tǒng)日志難以獲取●采集方式不靈活，導致日志收集不完整或不滿意度高，重要度高高可用性●集中化管理.靈活的關聯(lián)分析引擎●方便的對歷史事件進行溯源和審計●界面不直觀.友好的用戶界面●可視化報表維度多.友好的用戶界面●支持自定義規(guī)則與報表.能夠分析出網絡流量中的異常訪問模式.培訓與知識轉移不足●角色管理與授權分離●滿意度低，重要度低滿意度高，重要度低76.6%76.6%75.3%75.3% 58%54.5%54.5%一定要有二開能力，做日志一定要有二開能力，做日志融合工作，這樣才可以按照自己想法去優(yōu)化日志工作。關聯(lián)分析很麻煩，沒經驗就設置不好，所以寄希望于人工智能分析，但目前還很困難。正則提取字段，建立ETL是一個耗時費力的工作，真不想干。羨慕使用Splunk的同行常見難點有解密流量、Nginx代理（導致源IP無法溯源）、規(guī)則覆蓋不全、流量覆蓋不全等。關聯(lián)分析起來很困難，各廠商嘴上都很厲害，實際實操都很困難。不太建議在日志格式統(tǒng)一做太多的工作，日志種類太多，此工作量巨大，耗資源多，還不如將日志格式定粗一點，利用規(guī)則將日志利用起來。異構日志處理，從合規(guī)等角度推進日志規(guī)范化，拉研發(fā)一起標準化日志設定，老舊系統(tǒng)的日志就只有自己去把關鍵信息去解析出來，無法用的部分丟棄掉，然后重組存到集中日志平臺中去。建立安全數據標準，保障不同來源數據按照相同標準進行解析，不同來源告警按照告警類別做映射要想利用好日志管理，最好盡量少地址轉換或者可以備注，無法有效地址溯源發(fā)現(xiàn)也沒啥用，因為后續(xù)的溯源追蹤會很難搞。日志分析，狹隘的可以說是SIEM查日志配置告警，這個其實就基本靠寫正則解析獲取自己的字段，過程很痛苦，但是基于WEBUI鼠標提取字段還是很方便的。1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例類別說明代表廠商（不分先后順序）傳統(tǒng)軟件廠傳統(tǒng)軟件廠商依托自身技術積累和品影響力，依托自身技術積累和品影響力，在企業(yè)級日志分析產品市場占據一定市場份額。NsrocusHNsrocusH3cDP石宣觀安專業(yè)日志分專業(yè)日志分析廠商專注于日志分析領域專注于日志分析領域，提供豐富的產品和解決方案。新興互聯(lián)網新興互聯(lián)網企業(yè)通過云計算、大數據等技術優(yōu)通過云計算、大數據等技術優(yōu)勢，為企業(yè)提供日分析服務。其他其他利用開源代碼自研自建日志分利用開源代碼自研自建日志分析系統(tǒng)。47,48%注：注：CR5排名不分先后CRCR5市場規(guī)模50.4%擎采集存儲分析可視化IBMQRadar件啟明星辰新一代泰合運營中心系統(tǒng)力強日處理事件數130GBSplunk日志管理平臺術，能快速導入和存儲異構數據，可動態(tài)調整數據模型和分析成千上萬太字節(jié)的數據，在一些復雜查詢中的潛在模式、趨勢和關還可通過命令行和函數App和插件炎凰數據異構大數據即時分析平臺提供數據導入、存儲、分析、可CrowdStrike正擬以2至3億美元收購廠商BionicCrowdStrike正在計劃以2至3億美元的價格收購硅谷應用安全態(tài)勢管理PaloAltoNetworks宣布大手筆收購IBM的QRadarSaaS資產(SIEM)公司LogRhythm與Exabeam宣布合并思科以280億美元收購SIEM巨頭Splunk中國移動集團控股啟明星辰中移動與啟明星辰在業(yè)務上具有較強的互補性和協(xié)同華為哈勃C輪投資日志易炎凰數據完成A1和A1+輪融資兩輪融資合計過億元異構大數據分析引擎創(chuàng)業(yè)公司炎凰數據完成近億元融資。這兩輪融資所募資1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例高線城市行業(yè)供應鏈突破高線城市行業(yè)供應鏈突破公有云服務合作下沉市場下沉市場渠道合作服務l云原生l云原生架構與云平與云平臺集成企業(yè)級日志分析產品未來將進一步呈現(xiàn)行業(yè)化1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例企業(yè)原有以結構化為主的數據處理能力很難滿足當前的資產分析的數據。傳統(tǒng)基于強預設模型的分析數據分析處理方式必須轉向弱模型或者無模型的數據分析模式。個新挑戰(zhàn)炎凰數據的產品都能夠很好地應對。炎凰數據新一代異構大數據即時分析機器數據半結構化數據結構判斷運營數據結構化數據機器數據半結構化數據結構判斷運營數據結構化數據