2024年企业级日志分析产品市场调查报告

本报告由安在新媒体发起编制，本报告的版权本报告由安在新媒体发起编制，本报告的版权归安在新媒体所有，报告中所有的文字、图片、表格均受到中国知识产权法律法规的保护。本报告基于企业网络安全专家联盟（诸子云）甲方社群所实施的数据安全细分领域的产品用户调查，所形成的市场分析报告。本报告通过对细分领域企业级日志分析产品用户端的调研和分析，试图从用户的角度来描述用户眼中的产品和行业情况，力图展示一个真实的行业形象。由于采集和分析的样本可能存在一定的局限性，因此如有勘误，敬请告知。1概述1概述2市场规模2市场规模3竞争格局3竞争格局4发展趋势4发展趋势5典型案例5典型案例化化化法企业级日志分析产品的发展经历了多个阶段。早期开发人员在代码中写日志用于程序调试和简单故障排查。随后2000年2000年•简单的日志收集工具出现，开发了一些简单的脚本和工具对本地集中的日志进行一些诸如按时间排序、简单的文本搜索等基本操作来辅助分析。日志集中管理系统出现。2015年2015年1990年1990年•程序中通过简单的打印语句（如最2010年2010年•出现了专门的日志分析软件和系统2017年2017年2022年2022年用户能力增强态势感知UEBA务SIEM/SOCAPT防护成应用化日志采集日志存储日志预处理分析用户能力增强态势感知UEBA务SIEM/SOCAPT防护成应用化日志采集日志存储日志预处理分析点回回回点回回点企业级日志分析产品在国内存在较大增长潜56.90%50.90%37%18.75%66.60%98%240%2...中国企业级日志分析产品行业渗透率海外国家企业级日志分析产品渗透率56.90%50.90%37%18.75%66.60%98%240%2...46.77%46.77%53.23%15.10%13.20%12.70%10.40%870%824%615.10%13.20%12.70%10.40%870%824%623%48.90%69.20%71.33%84.90%86.80%87.30%89.60%91.30%91.76%93.77%97.02%51.10%30.80%28.67%97.60%全球唯一读时建模计算引擎的全球唯一读时建模计算引擎的等保1.0提出日志分析系统的整改要求ELKStack等开源日志分析平台开始流行，众多安全厂商和大型企业基于开源基础开发日志分析产品网络安全法发布，对日志管理提出6个月的保存期要求日志分析厂商Splunk于2020年7月Splunk宣布关闭其上海研发中心，当月炎凰数据成立Splunk的国产替代厂商炎凰数据发布替代产品国产企业级日志分析产品销量井喷疫情导致市场遇冷增长不及预期日志分析产品国家/行业标准出台，政策上不断推动市场普及进程术委员会发布GA/T911-2019《信息安日志分析产品安全技术要求》。本标准将日全功能要求和安全保障要求的强度划分为基准适用于网络安全态势感知产品、系统或平金融监督管理总局的主要职责第一条：“依机构监管、行为监管、功能监管、穿透式监要求金融机构（银行业、保险业）定期报送源异构读时建模处理能力的产品往往会在此景以分钟级完成多源异构日志数据的快速响GB/T42453-2023《信息安安全功能要求基本级增强级采集和存储日志数据源●●日志数据采集标准协议接收●●代理方式采集●●日志文件导入●●日志采集及时性●●日志数据的预处理数据筛选●●数据转换●●日志记录生成●●日志记录存储安全保护●●防止日志记录丢失●●日志记录备份●●实现和报警日志记录处理数据整合○●数据拆分○●日志记录分析事件辨别●●事件定级●●事件统计●●潜在危害分析●●异常行为分析○●关联事件分析○●日志记录数据挖掘○●日志查询●●统计报表●●分析报告○●报警机制●●开发接口○●○不具备●具备1概述1概述2市场规模2市场规模3竞争格局3竞争格局4发展趋势4发展趋势5典型案例5典型案例企业级日志分析产品市场规模（亿元）用户行业分布39.735.531.228.426.725.825.326.426.725.825.3城市线级年度预算水平政府/社会机构28%个体企业政府/社会机构28%民营企业24%国资企业33%外资企业国资企业33%36.05%8.14%8.14%6.98%3.49%36.05%8.14%8.14%6.98%3.49%25.58%25.58%11.63%小微企业,17.40%中型企业,27.90%大型企业,54.70%无安全专职有安全专职88%18.6%38.4%18.6%38.4%19.8%18.6%4.7%主要担心的问题是安全如何不拖业务后主要担心的问题是安全如何不拖业务后腿，如何协同配合实现安全价值，重保机制已建立，同时重大安全事件的应急机制已基本完备该买的安全技术产品已基本到位，已开始思考或实施安全产品的协同运营实务，处理一般的安全事件已不太担心已通过了ISO27001认证或等保测评等外部的合规检查，但真正应对有组织黑客团队攻击的能力还是较弱有安全专职，有能力应对小黑客的扫描或攻击，但内部未建立安全体系，无法应对有组织黑客团伙的攻击不时出现一些安全事件，领导出事时会安排安全建设，不出事时则无预算或少预算，安全保护处于零星状态安全级别定义企业安全级别可预计二次策略开发的投入成本；2、担心产品无法兼容企业内部多样化的异构日志；3、担心产品在处理海量日志时出顾虑产品部署后不可预计二次策略开发的投78.40%76.50%顾虑产品部署后不可预计二次策略开发的投担心产品无法适应公司规模扩大带来的日志审计需求变化担心产品无法适应公司规模扩大带来的日志审计需求变化65.40%62.83%59.30%44.20%39.50%36.10%23.30%20.80%采购决定因素对新产品的态度满意度低，重要度高稳定性差操作复杂对加密流量中的异常行为难以有效分析.某些老旧设备或自研系统日志难以获取●采集方式不灵活，导致日志收集不完整或不满意度高，重要度高高可用性●集中化管理.灵活的关联分析引擎●方便的对历史事件进行溯源和审计●界面不直观.友好的用户界面●可视化报表维度多.友好的用户界面●支持自定义规则与报表.能够分析出网络流量中的异常访问模式.培训与知识转移不足●角色管理与授权分离●满意度低，重要度低满意度高，重要度低76.6%76.6%75.3%75.3% 58%54.5%54.5%一定要有二开能力，做日志一定要有二开能力，做日志融合工作，这样才可以按照自己想法去优化日志工作。关联分析很麻烦，没经验就设置不好，所以寄希望于人工智能分析，但目前还很困难。正则提取字段，建立ETL是一个耗时费力的工作，真不想干。羡慕使用Splunk的同行常见难点有解密流量、Nginx代理（导致源IP无法溯源）、规则覆盖不全、流量覆盖不全等。关联分析起来很困难，各厂商嘴上都很厉害，实际实操都很困难。不太建议在日志格式统一做太多的工作，日志种类太多，此工作量巨大，耗资源多，还不如将日志格式定粗一点，利用规则将日志利用起来。异构日志处理，从合规等角度推进日志规范化，拉研发一起标准化日志设定，老旧系统的日志就只有自己去把关键信息去解析出来，无法用的部分丢弃掉，然后重组存到集中日志平台中去。建立安全数据标准，保障不同来源数据按照相同标准进行解析，不同来源告警按照告警类别做映射要想利用好日志管理，最好尽量少地址转换或者可以备注，无法有效地址溯源发现也没啥用，因为后续的溯源追踪会很难搞。日志分析，狭隘的可以说是SIEM查日志配置告警，这个其实就基本靠写正则解析获取自己的字段，过程很痛苦，但是基于WEBUI鼠标提取字段还是很方便的。1概述1概述2市场规模2市场规模3竞争格局3竞争格局4发展趋势4发展趋势5典型案例5典型案例类别说明代表厂商（不分先后顺序）传统软件厂传统软件厂商依托自身技术积累和品影响力，依托自身技术积累和品影响力，在企业级日志分析产品市场占据一定市场份额。NsrocusHNsrocusH3cDP石宣观安专业日志分专业日志分析厂商专注于日志分析领域专注于日志分析领域，提供丰富的产品和解决方案。新兴互联网新兴互联网企业通过云计算、大数据等技术优通过云计算、大数据等技术优势，为企业提供日分析服务。其他其他利用开源代码自研自建日志分利用开源代码自研自建日志分析系统。47,48%注：注：CR5排名不分先后CRCR5市场规模50.4%擎采集存储分析可视化IBMQRadar件启明星辰新一代泰合运营中心系统力强日处理事件数130GBSplunk日志管理平台术，能快速导入和存储异构数据，可动态调整数据模型和分析成千上万太字节的数据，在一些复杂查询中的潜在模式、趋势和关还可通过命令行和函数App和插件炎凰数据异构大数据即时分析平台提供数据导入、存储、分析、可CrowdStrike正拟以2至3亿美元收购厂商BionicCrowdStrike正在计划以2至3亿美元的价格收购硅谷应用安全态势管理PaloAltoNetworks宣布大手笔收购IBM的QRadarSaaS资产(SIEM)公司LogRhythm与Exabeam宣布合并思科以280亿美元收购SIEM巨头Splunk中国移动集团控股启明星辰中移动与启明星辰在业务上具有较强的互补性和协同华为哈勃C轮投资日志易炎凰数据完成A1和A1+轮融资两轮融资合计过亿元异构大数据分析引擎创业公司炎凰数据完成近亿元融资。这两轮融资所募资1概述1概述2市场规模2市场规模3竞争格局3竞争格局4发展趋势4发展趋势5典型案例5典型案例高线城市行业供应链突破高线城市行业供应链突破公有云服务合作下沉市场下沉市场渠道合作服务l云原生l云原生架构与云平与云平台集成企业级日志分析产品未来将进一步呈现行业化1概述1概述2市场规模2市场规模3竞争格局3竞争格局4发展趋势4发展趋势5典型案例5典型案例企业原有以结构化为主的数据处理能力很难满足当前的资产分析的数据。传统基于强预设模型的分析数据分析处理方式必须转向弱模型或者无模型的数据分析模式。个新挑战炎凰数据的产品都能够很好地应对。炎凰数据新一代异构大数据即时分析机器数据半结构化数据结构判断运营数据结构化数据机器数据半结构化数据结构判断运营数据结构化数据