LogSpace

LogSpace — это СУБД, разработанная Positive Technologies специально для задач хранения больших объёмов информации о событиях из разнообразных источников для нужд подразделений ИБ.

Обзор Зачем нужен Преимущества

Основная проблема

Трудности при обработке и хранении больших объемов информации о событиях

Хранение данных требует слишком больших объемов дискового пространства

События очень разнообразны по своей структуре

Из-за строкового хранения данных традиционные СУБД не способны обрабатывать десятки тысяч событий в секунду

Зачем нужен LogSpace

За сутки SIEM-система пропускает через себя сотни миллионов записей из разных логов размером в сотни гигабайт. Даже с возможностями современных аппаратных платформ обработка и хранение таких объемов данных представляют серьезный инженерный вызов. Все разработчики SIEM-систем делятся на две группы: обладатели проприетарных БД и пользователи open-source-решений.

Вызовы при использовании open-source-СУБД:

Колоночные СУБД неплохо справляются с хранением структурированной информации, но теряют эффективность при работе с исходным текстовым представлением событий;
Решения, ориентированные на обработку текстовой информации (Elasticsearch), заметно проигрывают колоночным СУБД в эффективности хранения структурированной информации;
Нет влияния на развитие разработки и возможности гарантировать пользователю качество хранения данных.

Мы учли проблемы открытых СУБД, и разработали собственную базу данных, которая использует колоночный формат и при этом учитывает специфику хранения логов.

Преимущества LogSpace

Разработка ведется на C++

С++ — популярный язык программирования, производительный и не утяжеляющий ПО, что очень важно при разработке высоконагруженных систем

Колоночный формат хранения

Колоночное хранение данных позволяет обрабатывать сотни миллионов записей в сутки и при этом значительно снижает нагрузку на SIEM-систему

SQL для работы с данными

Привычный пользователю формат работы с данными

Высокая плотность сжатия

За счет уменьшения размера событий ИБ, поступающих в MaxPatrol SIEM, мы в шесть раз увеличили объем либо сроки хранения данных в LogSpace по сравнению с open-source-СУБД

Автоадаптируемость

Блоки одного файла колонки в одном сегменте могут быть кодированы по-разному. LogSpace автоматически выбирает наиболее эффективную кодировку в зависимости от реальных данных, что позволяет работать с любыми событиями, не ограничиваясь теми, что поддерживаются MaxPatrol SIEM «из коробки»

Безопасное резервное копирование

Гибкая система резервного копирования, основанная на принципе zero-overhead (вы не платите за то, чем не пользуетесь), поддерживает частичное архивирование и моментальное восстановление

18 апреля 2024

MaxPatrol SIEM: оголяемся технологически. Активоцентричность и хранение данных

Мы продолжаем серию вебинаров, в которых раскрываем секреты разработки MaxPatrol SIEM — основного инструмента крупнейших SOC России. Во втором выпуске поговорим об активоцентричности и выборе идеальной СУБД

Еще больше информации — у наших экспертов

Оставьте контакты, и мы расскажем, как наши решения повысят защищенность вашей компании, поможем с выбором продукта и ответим на любые вопросы.

Указав ИНН организации, вы сможете быстрее получить детальную информацию.

Пилот продукта

Заполнить заявку на знакомство с продуктами

Консультация

Узнать больше о нас и нашей работе

Будь в курсе!

Подписаться на наш новостной дайджест

Для российских компаний

Для зарубежных компаний

Выберите продукт

Компания/ИНН/Юридический адрес

Почта

+7 (555) 555-55-55

Я даю АО «Позитив Текнолоджиз» согласие на обработку моих персональных данных для цели ответа на мою заявку.

Я даю согласие на получение рекламных и иных маркетинговых сообщений от АО «Позитив Текнолоджиз» и обработку моих персональных данных для указанной цели.