原廠產品簡介

      HP ArcSight Logger 提供業界領先且符合成本效 益的日誌管理解決方案，可統一任何類型企業設備資料的搜尋、報告、警示和分析，以供 IT GRC、IT 維運、SIEM 和日誌分析。
      HP 的資安智慧和風險管理 (SIRM) 平台正在改變企業資安的面貌。這套 SIRM 平台運用先進的威脅研究，加上能夠有效交叉比對資事件和漏洞，功能之強大獨一無二。由於我們能夠在營運關鍵流程和應用的環境下，針對資安資產提供無可比擬的能見度，因此可以幫助客戶有效管理風險並符合法規。
      HP ArcSight Logger 是通用日誌管理解決方案，可跨任何類型的企業日誌資料統一搜尋、報告、警示和分析，賦予其獨特的能力來收集、分析和儲存現今網路產生的龐大資料量。這套解決方案支援 Windows®和 Linux 環境中的多種部署方式，例如應用裝置、軟體、虛擬機器以及雲端。
產品介紹
透過日誌管理解決方案統一企業 IT 資料
HP ArcSight Logger

產品方案功能

◆產品介紹
ArcSight Logger 提供安全的硬體化日誌管理解決方案，它可以收集和分析所有企業日誌(Log)資料，同時提供壓縮、高效能、自動管理的日誌存儲資料庫。

◆主要功能
綜合的日誌收集功能，可以收集任何Syslog 或日誌檔，並可以搜尋170多種日誌來源:
• 符合安全法規需求，可以安全地收集和存儲資料，進行完整性檢查，以及自動應用保存策略
• 更大的容量和更好的擴充性，可以保存兩年以上的壓縮日誌，每個設備處理性能高達 75,000 EPS(每秒收集事件數)

◆市場對強大日誌需求
由於法規、安全性需求和IT運營團隊逐漸意識到深入研究企業日誌資料可以再加強風險防範、快速檢測威脅和改善服務水準協定(SLA)方面帶來巨大的價值。

Sarbanes Oxley、PCI、FISMA、HIPAA 和 GLBA 等法規要求長期保留來自於不同位置的日誌資料，如網路設備、安全設備以及資料庫和自己開發的應用程式等等，因此需要有一種高效率的方法來收集和存儲審計相關資料。鑒於日誌格式千變萬化而且日誌量不斷增 長，企業需要一種支援快速收集大量日誌的日誌管理基礎結構。另外，企業還需要能夠通過直觀的介面流覽收集資訊，利用介面中提供的邏輯導航路徑對萬億百萬位元組 (TB)的日誌資料進行分析處理。

負責IT運營、取證、網路和技術支援的團隊只是部分受益於流覽日誌資料的群組。隨時快速查詢企業中產生日誌資料的功能可以在需要時為分析提供相關資訊，直觀地洞察網路，瞭解系統和應用程式的狀況以及可用性，並改善網路和系統的故障排除能力。

◆ArcSight滿足日誌需求的解決方案
ArcSight Logger作為安全硬體化解決方案，不但滿足了收集、存儲和分析企業範圍日誌資料的需求，而且可以快速對各種來源的日誌快速收集，並存儲到高度壓縮的但仍可搜索或自管理的日誌資料存儲庫中。ArcSight Logger 可以作為一個獨立的日誌聚合設備使用，也可以作為ArcSight ESM™ 部署的擴充。

ArcSight Logger 的核心功能包括：

• 高性能的日誌收集。ArcSight Logger 以穩定的速度捕獲原始日誌，每台硬體日誌採集速度高達每秒75,000(EPS)多條事件。
• 廣泛的設備支援。ArcSight Logger 支援從任何原始Syslog 或日誌檔源收集資料。此外，它還支援大量的 ArcSight SmartConnectors 庫，能夠從 35 類 170 多種不同來源中進行優化收集。ArcSight FlexConnector 技術還可以將那些為了滿足法律、法規的要求而使用其他自訂源和內部應用程式的日誌資料合併到一起。
• 低耗高效的存儲空間。每個ArcSight Logger 設備 都預裝了2 TB 而且啟用了 RAID 的存儲空間。所有的日誌資料在存儲之前都進行了高壓縮，每個設備中可以存儲約 15 TB 的原始資料。
• 可擴展性。託管安全服務供應商 (MSSP) 和資料中心位置分散以及辦公地點在遠端位置的大型企業可以分層或對等的方式部署多個 ArcSight Logger 設備，以便收集本地和遠端的資料。如果部署 32 個 ArcSight Logger 設備，則可以以大約 2,000,000 EPS 速率進行收集，還可以存儲500 TB 的原始日誌資料。分散在不同位置的 ArcSight Logger 設備 以陣列方式運行，這樣使用者就能夠根據具體的訪問控制要求有選擇地或統一地查詢設備中的日誌資料。 
• 動態和分佈查詢。ArcSight Logger 基於 Web 的搜索介面簡單易用，通過它可執行簡單搜索，也可以輸入規則運算式和布林邏輯符執行複雜查詢。用戶使用向下鑽取(drill-down)和鑽過 (drill-across)功能可以直觀地對存儲在任意數量的ArcSight Logger 設備中的數以萬億兆的數 據進行查詢，從而增加動態結果集的大小。 
• 易於部署。日誌聚合功能與ArcSight Logger 強化的硬體化 1U 設備、優化的檔存儲和內置的監控功能無縫集成。無需資料庫管理專業技術，100% 基於 Web 的圖形化使用者介面，無需安裝客戶端，進一步簡化了部署工作。 
• 審核日誌資料。ArcSight Logger 中集成了大量的審核和訴訟最佳慣例。從企業收集的原始日誌資料應該在接收時進行完整性檢查，方法是使用由 NIST 800-92（日誌管理標準）批准的 SHA-1 哈西函數演算法。更細細微性的基於角色的存取控制可以保護系統和事件資料。 
• 自動化保存策略。可以按源的類型定義多個保存策略，以滿足監管部門提出的資料保存期限的要求。這些策略自動執行，無需手動處理資料或進行清除。 
• 內容包。常見合規性監控和 IT 操作查詢通常以內 容包的形式提供。這些內容包代表了基於 NIST 800-53 和 ISO-17799 標準的最佳慣例，具有很 高的權威性。

◆ArcSight產品整合
ArcSight Logger 可以與 ArcSight 領先的安全資訊和事件管理 (SIEM) 產品 ArcSight ESM 相互整合。這種整合可以使ArcSight Logger 靈活地將安全事件轉發到 ArcSight ESM，即時進行跨設備的關聯、視覺化和威脅檢測。ArcSight ESM也可以將關聯後的警報發送回 ArcSight Logger用於搜索和存檔。
ArcSight Logger 可以捕獲和存儲來自任何來源的事件資料，然後將與安全相關的部分轉發給 ArcSight ESM 進行即時威脅檢測，並通過 ArcSight T RM 即時進行回應。