- SIEMは必要な機能をかなりの部分実装されたプロダクト
- 利用する場合は設計のポイントを自分たちの組織に合わせて考え、必要な機能が満たされているかをよく考える必要あり
- すべての要件を完璧に満たせる製品・サービスはあまり無い
- 欠けている部分は何らかの方法で補う必要がある
- コストを考える
- 製品・サービスではほとんどの場合、ログ投入流量がコストの最大要因になる
- サービスの場合、ログ流量課金
- プロダクトでも流量ライセンス、あるいは箱物の値段
- 製品・サービスではほとんどの場合、ログ投入流量がコストの最大要因になる
- ログ収集、保存、検索を分割できるのが強み
- ただし保存や検索が分割してしまい管理の手間が増えるというのはある
- コスト最適化はやりやすい