Hello, Juste une petite Remarque : le pricing de la version 10.5 a été revu et les differences sont notables.
licensing perpetual ou à base de souscription avec plusieurs paliers selon le volume de log. Le Hardware et la maintenance associée est moins cher de 50%. Le storage en DAC est 50% moins cher. Pas de licence HA Selon les "use case" , on atteint les 75% de delta ( en virtuel pour ~2k EPS ) et un delta minimum de 25% en hardware par rapport à la 10.4 Cela dit RSA SA n'est effectivement pas un SIEM "generaliste" mais est plus orienté Secu plus abouti en terme d'indexation et plus simple à déployer en environnement non simpliste. Par exemple avec 2 FW de constructeurs différents, les métadonnées pour gérer le même objet ( ie : un user par ex ) sont généralement différents avec Splunk ou il y a peu d'indexation par défaut vs RSA ou on en a environ 170 de base . Ça sera un peu plus laborieux avec Splunk ... Cdt -----Original Message----- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Erik LE VACON Sent: mercredi 22 juillet 2015 10:03 To: Fabien GARZIANO Cc: Joe Yabuki; frnog-t...@frnog.org; admin; Nicolas Girardi; Duchet Rémy Subject: Re: [FRnOG] [TECH] Corrélation de log/Event Log MGMT Bonjour, En fonction du type de logs que tu traites, et si tu fais (aussi?) du SIEM orienté Sécu, je ne peux que recommander RSA SA (10.5), qui a fait un sacré bout de chemin depuis EnVision qui était incapable dans la plupart des cas, de sortir un rapport sans planter "en mode autiste" en plein milieu d'un "SELECT ... FROM..." un peu chargé. Cette nouvelle mouture est vraiment bien plus performante et flexible. A noter que la 10.4 présentait quelques soucis corrigés depuis. Point d'attention permanent néanmoins: vraiment valider les masters ISO fournis par le constructeur en POC, car parfois de la grouille dans la gestion des commits des releases côté support DEV, avec quelques surprises en déploiement. Globalement, c'est certes cher, mais les performances/la flexibilité ont un prix. On en déploie chez de gros clients (30-50K EPS+), et ca "juste marche" une fois les parsers bien adaptés/customisés pour les logs au format un peu exotiques. Le moteur de reporting est quant à lui vraiment abouti, y'a quasiment plus "qu'à faire du copier-coller pour les Powerpoint" :). @+ ----- Mail original ----- De: "Fabien GARZIANO" <fabien.garzi...@groupe-ocealis.com> À: "admin" <ad...@obfuscate.fr>, "Nicolas Girardi" <nicolas.gira...@virginmobile.fr>, "Duchet Rémy" <r...@duchet.eu> Cc: "Joe Yabuki" <joeyabuki...@gmail.com>, frnog-t...@frnog.org Envoyé: Mercredi 22 Juillet 2015 09:42:52 Objet: RE: [FRnOG] [TECH] Corrélation de log/Event Log MGMT Ca fait un bout de temps que je me dit que nous devrions basculer sur ELK, actuellement nous sommes sur du centreon-syslog (pour la centralisation sur notre plateforme de supervision) mais cela n'offre pas du tout la souplesse qui je crois existe dans un ELK. Nicolas : ELK en gratuit ? -----Message d'origine----- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de admin Envoyé : mercredi 22 juillet 2015 07:23 À : Nicolas Girardi; Duchet Rémy Cc : Joe Yabuki; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Corrélation de log/Event Log MGMT -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 +1 pour ELK Le 21 juillet 2015 19:56:46 GMT+02:00, Nicolas Girardi <nicolas.gira...@virginmobile.fr> a écrit : >Bonjour, > >Un stack ELK : >ElasticSearch >Logstash (avec redis en shipper) >Kibana > >Cdlt. > >Nicolas Girardi | Responsable Infrastructure | Société OmeA Telecom >Ltd. 12, Rue Belgrand, 92300 Levallois<x-apple-data-detectors://0> | >Fixe :+33141381048<tel:+33141381048> | Mobile >:+33632803852<tel:+33632803852> > >Le 21 juil. 2015 à 19:16, Duchet Rémy ><r...@duchet.eu<mailto:r...@duchet.eu>> a écrit : > >Bonjour, > >Nous utilisons Graylog comme base, pour tout nos devices. > >Rémy > >Le 21 juil. 2015 à 18:36, Joe Yabuki ><joeyabuki...@gmail.com<mailto:joeyabuki...@gmail.com>> a écrit : > >Bonjour à tous, > >Nous souhaitons mettre en place une solution de corrélation de logs. > >Il serait grandement intéressant d'avoir un retour d'expérience sur ce >que vous utilisez chez vous ? > >Merci, >Joe > >--------------------------- >Liste de diffusion du FRnOG >http://www.frnog.org/ > > >--------------------------- >Liste de diffusion du FRnOG >http://www.frnog.org/ > >--------------------------- >Liste de diffusion du FRnOG >http://www.frnog.org/ - -- Librement, Obf -----BEGIN PGP SIGNATURE----- Version: APG v1.1.1 iQI4BAEBCgAiBQJVryiyGxxhZG1pbiA8YWRtaW5Ab2JmdXNjYXRlLmZyPgAKCRDN w488H1IOXvYkEAC635WIbA1wTXYxo3o49E1P5oftD7wyYUrDPgyDAp/tQjFiHycl MBU1CyvOEcsiGzirRwpGzociIlhGtpWDUFhoRwjUXi55cbYDd1qAsTORMCU3e6pi sR0QfAZGMughjfs6WXdqR5cQ/752FvPAmisnJhWyf3ef1cw+dvi9Hx4suK2OqsUs 1pAiqhic9/obidmkxZzbppki6jhxJ5UE5zZDWW1nJaJ1OGccC6g3sUJmpcucfNoN 6YTc2eLcSWADcyzu/Ylas16d9O/djvwAEEE4DJTOtQrFSJDmx1rukXmoPw8TYSjB 1YqobOvRN8kOWgNfFTkJ9ah9iVdaLtrDezsJurDqelHEXgc1vNJSsMIO/KLItqO1 7Dag4laMuViUunSG0QIuGIsZJC5cYorRIm1sAuOvIluXTVLbR8shhKIWN/4cfUvf jwUQatQDcgcQxrwzhp8WpPAySPH84NTjbPAjiK77i0iEPorAGG9HPAuQeMIOq3uh QfaeuibD+qwprd1xNlhqRuSiEROBzDlY3dj2ZThS3uPO4CvxX0AtY0CJZNLrriAs w3AjPGyJD8bMfsZV1wyhT3lw50t5RAVw0I1aZUJapcP2LGI4GinDpW37uo7Gusdb 4sqg86eO2Zk+pvLdai0IJ8Svjzm5vC5IM3TZ1yaVNhZ3bVoGPRsmJy9TSA== =+gw+ -----END PGP SIGNATURE----- --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----- Aucun virus trouvé dans ce message. Analyse effectuée par AVG - www.avg.fr Version: 2015.0.6081 / Base de données virale: 4392/10271 - Date: 20/07/2015 ----- Aucun virus trouvé dans ce message. Analyse effectuée par AVG - www.avg.fr Version: 2015.0.6081 / Base de données virale: 4392/10271 - Date: 20/07/2015 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/