2024年企業(yè)級日志分析產(chǎn)品市場調(diào)查報(bào)告

本報(bào)告由安在新媒體發(fā)起編制，本報(bào)告的版權(quán)本報(bào)告由安在新媒體發(fā)起編制，本報(bào)告的版權(quán)歸安在新媒體所有，報(bào)告中所有的文字、圖片、表格均受到中國知識產(chǎn)權(quán)法律法規(guī)的保護(hù)。本報(bào)告基于企業(yè)網(wǎng)絡(luò)安全專家聯(lián)盟（諸子云）甲方社群所實(shí)施的數(shù)據(jù)安全細(xì)分領(lǐng)域的產(chǎn)品用戶調(diào)查，所形成的市場分析報(bào)告。本報(bào)告通過對細(xì)分領(lǐng)域企業(yè)級日志分析產(chǎn)品用戶端的調(diào)研和分析，試圖從用戶的角度來描述用戶眼中的產(chǎn)品和行業(yè)情況，力圖展示一個(gè)真實(shí)的行業(yè)形象。由于采集和分析的樣本可能存在一定的局限性，因此如有勘誤，敬請告知。1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例化化化法企業(yè)級日志分析產(chǎn)品的發(fā)展經(jīng)歷了多個(gè)階段。早期開發(fā)人員在代碼中寫日志用于程序調(diào)試和簡單故障排查。隨后2000年2000年?簡單的日志收集工具出現(xiàn)，開發(fā)了一些簡單的腳本和工具對本地集中的日志進(jìn)行一些諸如按時(shí)間排序、簡單的文本搜索等基本操作來輔助分析。日志集中管理系統(tǒng)出現(xiàn)。2015年2015年1990年1990年?程序中通過簡單的打印語句（如最2010年2010年?出現(xiàn)了專門的日志分析軟件和系統(tǒng)2017年2017年2022年2022年用戶能力增強(qiáng)態(tài)勢感知UEBA務(wù)SIEM/SOCAPT防護(hù)成應(yīng)用化日志采集日志存儲日志預(yù)處理分析用戶能力增強(qiáng)態(tài)勢感知UEBA務(wù)SIEM/SOCAPT防護(hù)成應(yīng)用化日志采集日志存儲日志預(yù)處理分析點(diǎn)回回回點(diǎn)回回點(diǎn)企業(yè)級日志分析產(chǎn)品在國內(nèi)存在較大增長潛56.90%50.90%37%18.75%66.60%98%240%2...中國企業(yè)級日志分析產(chǎn)品行業(yè)滲透率海外國家企業(yè)級日志分析產(chǎn)品滲透率56.90%50.90%37%18.75%66.60%98%240%2...46.77%46.77%53.23%15.10%13.20%12.70%10.40%870%824%615.10%13.20%12.70%10.40%870%824%623%48.90%69.20%71.33%84.90%86.80%87.30%89.60%91.30%91.76%93.77%97.02%51.10%30.80%28.67%97.60%全球唯一讀時(shí)建模計(jì)算引擎的全球唯一讀時(shí)建模計(jì)算引擎的等保1.0提出日志分析系統(tǒng)的整改要求ELKStack等開源日志分析平臺開始流行，眾多安全廠商和大型企業(yè)基于開源基礎(chǔ)開發(fā)日志分析產(chǎn)品網(wǎng)絡(luò)安全法發(fā)布，對日志管理提出6個(gè)月的保存期要求日志分析廠商Splunk于2020年7月Splunk宣布關(guān)閉其上海研發(fā)中心，當(dāng)月炎凰數(shù)據(jù)成立Splunk的國產(chǎn)替代廠商炎凰數(shù)據(jù)發(fā)布替代產(chǎn)品國產(chǎn)企業(yè)級日志分析產(chǎn)品銷量井噴疫情導(dǎo)致市場遇冷增長不及預(yù)期日志分析產(chǎn)品國家/行業(yè)標(biāo)準(zhǔn)出臺，政策上不斷推動市場普及進(jìn)程術(shù)委員會發(fā)布GA/T911-2019《信息安日志分析產(chǎn)品安全技術(shù)要求》。本標(biāo)準(zhǔn)將日全功能要求和安全保障要求的強(qiáng)度劃分為基準(zhǔn)適用于網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品、系統(tǒng)或平金融監(jiān)督管理總局的主要職責(zé)第一條：“依機(jī)構(gòu)監(jiān)管、行為監(jiān)管、功能監(jiān)管、穿透式監(jiān)要求金融機(jī)構(gòu)（銀行業(yè)、保險(xiǎn)業(yè)）定期報(bào)送源異構(gòu)讀時(shí)建模處理能力的產(chǎn)品往往會在此景以分鐘級完成多源異構(gòu)日志數(shù)據(jù)的快速響GB/T42453-2023《信息安安全功能要求基本級增強(qiáng)級采集和存儲日志數(shù)據(jù)源●●日志數(shù)據(jù)采集標(biāo)準(zhǔn)協(xié)議接收●●代理方式采集●●日志文件導(dǎo)入●●日志采集及時(shí)性●●日志數(shù)據(jù)的預(yù)處理數(shù)據(jù)篩選●●數(shù)據(jù)轉(zhuǎn)換●●日志記錄生成●●日志記錄存儲安全保護(hù)●●防止日志記錄丟失●●日志記錄備份●●實(shí)現(xiàn)和報(bào)警日志記錄處理數(shù)據(jù)整合○●數(shù)據(jù)拆分○●日志記錄分析事件辨別●●事件定級●●事件統(tǒng)計(jì)●●潛在危害分析●●異常行為分析○●關(guān)聯(lián)事件分析○●日志記錄數(shù)據(jù)挖掘○●日志查詢●●統(tǒng)計(jì)報(bào)表●●分析報(bào)告○●報(bào)警機(jī)制●●開發(fā)接口○●○不具備●具備1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例企業(yè)級日志分析產(chǎn)品市場規(guī)模（億元）用戶行業(yè)分布39.735.531.228.426.725.825.326.426.725.825.3城市線級年度預(yù)算水平政府/社會機(jī)構(gòu)28%個(gè)體企業(yè)政府/社會機(jī)構(gòu)28%民營企業(yè)24%國資企業(yè)33%外資企業(yè)國資企業(yè)33%36.05%8.14%8.14%6.98%3.49%36.05%8.14%8.14%6.98%3.49%25.58%25.58%11.63%小微企業(yè),17.40%中型企業(yè),27.90%大型企業(yè),54.70%無安全專職有安全專職88%18.6%38.4%18.6%38.4%19.8%18.6%4.7%主要擔(dān)心的問題是安全如何不拖業(yè)務(wù)后主要擔(dān)心的問題是安全如何不拖業(yè)務(wù)后腿，如何協(xié)同配合實(shí)現(xiàn)安全價(jià)值，重保機(jī)制已建立，同時(shí)重大安全事件的應(yīng)急機(jī)制已基本完備該買的安全技術(shù)產(chǎn)品已基本到位，已開始思考或?qū)嵤┌踩a(chǎn)品的協(xié)同運(yùn)營實(shí)務(wù)，處理一般的安全事件已不太擔(dān)心已通過了ISO27001認(rèn)證或等保測評等外部的合規(guī)檢查，但真正應(yīng)對有組織黑客團(tuán)隊(duì)攻擊的能力還是較弱有安全專職，有能力應(yīng)對小黑客的掃描或攻擊，但內(nèi)部未建立安全體系，無法應(yīng)對有組織黑客團(tuán)伙的攻擊不時(shí)出現(xiàn)一些安全事件，領(lǐng)導(dǎo)出事時(shí)會安排安全建設(shè)，不出事時(shí)則無預(yù)算或少預(yù)算，安全保護(hù)處于零星狀態(tài)安全級別定義企業(yè)安全級別可預(yù)計(jì)二次策略開發(fā)的投入成本；2、擔(dān)心產(chǎn)品無法兼容企業(yè)內(nèi)部多樣化的異構(gòu)日志；3、擔(dān)心產(chǎn)品在處理海量日志時(shí)出顧慮產(chǎn)品部署后不可預(yù)計(jì)二次策略開發(fā)的投78.40%76.50%顧慮產(chǎn)品部署后不可預(yù)計(jì)二次策略開發(fā)的投擔(dān)心產(chǎn)品無法適應(yīng)公司規(guī)模擴(kuò)大帶來的日志審計(jì)需求變化擔(dān)心產(chǎn)品無法適應(yīng)公司規(guī)模擴(kuò)大帶來的日志審計(jì)需求變化65.40%62.83%59.30%44.20%39.50%36.10%23.30%20.80%采購決定因素對新產(chǎn)品的態(tài)度滿意度低，重要度高穩(wěn)定性差操作復(fù)雜對加密流量中的異常行為難以有效分析.某些老舊設(shè)備或自研系統(tǒng)日志難以獲取●采集方式不靈活，導(dǎo)致日志收集不完整或不滿意度高，重要度高高可用性●集中化管理.靈活的關(guān)聯(lián)分析引擎●方便的對歷史事件進(jìn)行溯源和審計(jì)●界面不直觀.友好的用戶界面●可視化報(bào)表維度多.友好的用戶界面●支持自定義規(guī)則與報(bào)表.能夠分析出網(wǎng)絡(luò)流量中的異常訪問模式.培訓(xùn)與知識轉(zhuǎn)移不足●角色管理與授權(quán)分離●滿意度低，重要度低滿意度高，重要度低76.6%76.6%75.3%75.3% 58%54.5%54.5%一定要有二開能力，做日志一定要有二開能力，做日志融合工作，這樣才可以按照自己想法去優(yōu)化日志工作。關(guān)聯(lián)分析很麻煩，沒經(jīng)驗(yàn)就設(shè)置不好，所以寄希望于人工智能分析，但目前還很困難。正則提取字段，建立ETL是一個(gè)耗時(shí)費(fèi)力的工作，真不想干。羨慕使用Splunk的同行常見難點(diǎn)有解密流量、Nginx代理（導(dǎo)致源IP無法溯源）、規(guī)則覆蓋不全、流量覆蓋不全等。關(guān)聯(lián)分析起來很困難，各廠商嘴上都很厲害，實(shí)際實(shí)操都很困難。不太建議在日志格式統(tǒng)一做太多的工作，日志種類太多，此工作量巨大，耗資源多，還不如將日志格式定粗一點(diǎn)，利用規(guī)則將日志利用起來。異構(gòu)日志處理，從合規(guī)等角度推進(jìn)日志規(guī)范化，拉研發(fā)一起標(biāo)準(zhǔn)化日志設(shè)定，老舊系統(tǒng)的日志就只有自己去把關(guān)鍵信息去解析出來，無法用的部分丟棄掉，然后重組存到集中日志平臺中去。建立安全數(shù)據(jù)標(biāo)準(zhǔn)，保障不同來源數(shù)據(jù)按照相同標(biāo)準(zhǔn)進(jìn)行解析，不同來源告警按照告警類別做映射要想利用好日志管理，最好盡量少地址轉(zhuǎn)換或者可以備注，無法有效地址溯源發(fā)現(xiàn)也沒啥用，因?yàn)楹罄m(xù)的溯源追蹤會很難搞。日志分析，狹隘的可以說是SIEM查日志配置告警，這個(gè)其實(shí)就基本靠寫正則解析獲取自己的字段，過程很痛苦，但是基于WEBUI鼠標(biāo)提取字段還是很方便的。1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例類別說明代表廠商（不分先后順序）傳統(tǒng)軟件廠傳統(tǒng)軟件廠商依托自身技術(shù)積累和品影響力，依托自身技術(shù)積累和品影響力，在企業(yè)級日志分析產(chǎn)品市場占據(jù)一定市場份額。NsrocusHNsrocusH3cDP石宣觀安專業(yè)日志分專業(yè)日志分析廠商專注于日志分析領(lǐng)域?qū)Ｗ⒂谌罩痉治鲱I(lǐng)域，提供豐富的產(chǎn)品和解決方案。新興互聯(lián)網(wǎng)新興互聯(lián)網(wǎng)企業(yè)通過云計(jì)算、大數(shù)據(jù)等技術(shù)優(yōu)通過云計(jì)算、大數(shù)據(jù)等技術(shù)優(yōu)勢，為企業(yè)提供日分析服務(wù)。其他其他利用開源代碼自研自建日志分利用開源代碼自研自建日志分析系統(tǒng)。47,48%注：注：CR5排名不分先后CRCR5市場規(guī)模50.4%擎采集存儲分析可視化IBMQRadar件啟明星辰新一代泰合運(yùn)營中心系統(tǒng)力強(qiáng)日處理事件數(shù)130GBSplunk日志管理平臺術(shù)，能快速導(dǎo)入和存儲異構(gòu)數(shù)據(jù)，可動態(tài)調(diào)整數(shù)據(jù)模型和分析成千上萬太字節(jié)的數(shù)據(jù)，在一些復(fù)雜查詢中的潛在模式、趨勢和關(guān)還可通過命令行和函數(shù)App和插件炎凰數(shù)據(jù)異構(gòu)大數(shù)據(jù)即時(shí)分析平臺提供數(shù)據(jù)導(dǎo)入、存儲、分析、可CrowdStrike正擬以2至3億美元收購廠商BionicCrowdStrike正在計(jì)劃以2至3億美元的價(jià)格收購硅谷應(yīng)用安全態(tài)勢管理PaloAltoNetworks宣布大手筆收購IBM的QRadarSaaS資產(chǎn)(SIEM)公司LogRhythm與Exabeam宣布合并思科以280億美元收購SIEM巨頭Splunk中國移動集團(tuán)控股啟明星辰中移動與啟明星辰在業(yè)務(wù)上具有較強(qiáng)的互補(bǔ)性和協(xié)同華為哈勃C輪投資日志易炎凰數(shù)據(jù)完成A1和A1+輪融資兩輪融資合計(jì)過億元異構(gòu)大數(shù)據(jù)分析引擎創(chuàng)業(yè)公司炎凰數(shù)據(jù)完成近億元融資。這兩輪融資所募資1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例高線城市行業(yè)供應(yīng)鏈突破高線城市行業(yè)供應(yīng)鏈突破公有云服務(wù)合作下沉市場下沉市場渠道合作服務(wù)l云原生l云原生架構(gòu)與云平與云平臺集成企業(yè)級日志分析產(chǎn)品未來將進(jìn)一步呈現(xiàn)行業(yè)化1概述1概述2市場規(guī)模2市場規(guī)模3競爭格局3競爭格局4發(fā)展趨勢4發(fā)展趨勢5典型案例5典型案例企業(yè)原有以結(jié)構(gòu)化為主的數(shù)據(jù)處理能力很難滿足當(dāng)前的資產(chǎn)分析的數(shù)據(jù)。傳統(tǒng)基于強(qiáng)預(yù)設(shè)模型的分析數(shù)據(jù)分析處理方式必須轉(zhuǎn)向弱模型或者無模型的數(shù)據(jù)分析模式。個(gè)新挑戰(zhàn)炎凰數(shù)據(jù)的產(chǎn)品都能夠很好地應(yīng)對。炎凰數(shù)據(jù)新一代異構(gòu)大數(shù)據(jù)即時(shí)分析機(jī)器數(shù)據(jù)半結(jié)構(gòu)化數(shù)據(jù)結(jié)構(gòu)判斷運(yùn)營數(shù)據(jù)結(jié)構(gòu)化數(shù)據(jù)機(jī)器數(shù)據(jù)半結(jié)構(gòu)化數(shù)據(jù)結(jié)構(gòu)判斷運(yùn)營數(shù)據(jù)結(jié)構(gòu)化數(shù)據(jù)