将RSA与Logstash等连接起来

Question

我想知道是否可以使用logstash或任何其他开源或免费日志管理工具来收集和索引数据，然后将该索引输入RSA envision或任何其他企业SIEM工具。

这样做有好处吗？

还有各种日志管理和SIEM工具的索引- (Splunk，RSA envision，HP Arcsight Logger，Logstash等)互相兼容？

我的组织正计划购买RSA envision设备，是否有任何方法来限制或选择某些类型的日志文件(例如:安全日志或Apache日志)，以便只监视这些日志，从而减少EPS (每秒事件)？

Answer 1

索引是特定于暹粒工具的，取决于它们在后端使用的DB和它们使用的数据库模式系统。因此，这些索引不能相互兼容。需要考虑的问题是，该索引是否可以根据客户的需要进行定制？或者暹粒允许索引多个字段(Ex:用户名、源IP、dest IP等)

所有的SIEMs都提供了选择只需要的日志类型的方法。