2024年企業(yè)級日志分析產(chǎn)品市場前景及投資研究報告

目錄1概述2345市場規(guī)模競爭格局發(fā)展趨勢典型案例企業(yè)級日志分析產(chǎn)品在不斷深化的政策布局下快速發(fā)展2019年12月1日等保2.0正式實施，等保2.0對企業(yè)日志分析和審計產(chǎn)品的部署提出了明確要求，導(dǎo)致日志分析產(chǎn)品得到了大幅的發(fā)展。同時，隨著2021年《個人信息保護(hù)法》和《數(shù)據(jù)安全法的》的推出，對信息系統(tǒng)和網(wǎng)絡(luò)檢測和監(jiān)控的要求不斷提高，相對于傳統(tǒng)分布式的安全產(chǎn)品部署，組織對安全管理中心的建設(shè)要求激增，也使得企業(yè)級日志分析產(chǎn)品得到了長足的發(fā)展，從初期為應(yīng)對監(jiān)管的合規(guī)化，轉(zhuǎn)變?yōu)閷θ诛L(fēng)險的全面化監(jiān)測，再向結(jié)合人工智能的智能化、自動化響應(yīng)方向發(fā)展。網(wǎng)絡(luò)安全相關(guān)法律法規(guī)網(wǎng)絡(luò)安全建設(shè)核心方向企業(yè)級日志分析產(chǎn)品加速發(fā)展類別法律法規(guī)名稱類別行業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全法第二十一條明確提出“采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月”的要求。GA/T

911-2019信息安全技術(shù)

日志分析產(chǎn)品安全技術(shù)要求本標(biāo)準(zhǔn)將日志分析產(chǎn)品安全技術(shù)要求分為安全功能、自身安全功能和安全保障要求三大類。網(wǎng)絡(luò)安全法云原生日志平臺云日志分析平臺《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）基本要求中，項明確要求“應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求”。GB/T

42453—2023信息安全技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求標(biāo)準(zhǔn)明確了網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)框架，并規(guī)定了核心組件的通用技術(shù)要求。此標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品、系統(tǒng)或平臺的規(guī)劃、設(shè)計、開發(fā)、建設(shè)和測評。等保2.0第五十四條提出“個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計”。個人信息保護(hù)法《金融行業(yè)態(tài)勢感知與信息共享平臺要求金融機(jī)構(gòu)（銀行業(yè)、保險業(yè)）定期報送安全數(shù)據(jù)，而這些數(shù)據(jù)本身就來自日志數(shù)據(jù)接入標(biāo)準(zhǔn)說明》

分析產(chǎn)品的輸出。第二十九條提出“開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強(qiáng)風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補(bǔ)救措施……”。日志分析系統(tǒng)集中日志管理數(shù)據(jù)安全法《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》第八條要求“記錄、跟蹤網(wǎng)絡(luò)運行狀態(tài)，監(jiān)測、記錄用戶各種信息、網(wǎng)絡(luò)安全事件等安全審計功能”。合規(guī)化全面化智能化第一百二十六條指出“商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計的需要”。《商業(yè)銀行內(nèi)部控制指引》：安在新媒體整理企業(yè)級日志分析產(chǎn)品發(fā)展歷史企業(yè)級日志分析產(chǎn)品的發(fā)展經(jīng)歷了多個階段。早期開發(fā)人員在代碼中寫日志用于程序調(diào)試和簡單故障排查。隨后，出現(xiàn)了簡單的將日志輸出到文件的系統(tǒng)。隨著技術(shù)發(fā)展和數(shù)據(jù)量增長，專業(yè)日志分析工具開始出現(xiàn)。如log4j等日志框架被廣泛應(yīng)用，也經(jīng)歷了多種日志框架競爭和發(fā)展的時期。再到后來，分布式架構(gòu)下日志分析平臺不斷演進(jìn)，從簡單的收集存儲到利用復(fù)雜架構(gòu)進(jìn)行高效處理和分析，并且在大數(shù)據(jù)、人工智能時代，日志分析系統(tǒng)朝著智能化、實時化、綜合多維度分析的方向持續(xù)發(fā)展和完善。2000年2015年第二階段：本地集中化日志管理階段第四階段：分布式日志分析階段?隨著分布式系統(tǒng)和集群架構(gòu)的流行，日志分析系統(tǒng)適應(yīng)分布式場景。支持多數(shù)據(jù)源和多種日志格式。分析功能進(jìn)一步增強(qiáng)，例如能進(jìn)行跨節(jié)點日志關(guān)聯(lián)分析、基本的趨勢分析等。日志分析平臺出現(xiàn)。?簡單的日志收集工具出現(xiàn)，開發(fā)了一些簡單的腳本和工具對本地集中的日志進(jìn)行一些諸如按時間排序、簡單的文本搜索等基本操作來輔助分析。日志集中管理系統(tǒng)出現(xiàn)。2022年第六階段：云原生與大模型深度融合階段1990年?云原生架構(gòu)和人工智能大模型的發(fā)展推動將大規(guī)模數(shù)據(jù)訓(xùn)練出更準(zhǔn)確的模型用于日志分析。日志分析系統(tǒng)將成為大數(shù)據(jù)分析平臺的一個重要組件。針對不同行業(yè)（如金融、電商、制造業(yè)等）的特殊需求和場景進(jìn)行定制化開發(fā)和優(yōu)化。云原生日志管理及安全托管運營服務(wù)MSS出現(xiàn)。2017年第一階段：簡單文本記錄與人工分析階段2010年第五階段：實時處理與智能分析階段第三階段：基礎(chǔ)日志分析系統(tǒng)階段?程序中通過簡單的打印語句（如最初編程語言中的簡單輸出到控制臺等）生成日志。日志只是分散的文本文件存放在各個系統(tǒng)或應(yīng)用所在的服務(wù)器本地。當(dāng)要進(jìn)行分析時，主要靠人工去查看日志文件來定位和理解系統(tǒng)運行情況、排查故障等。?可以實時采集、處理日志流數(shù)據(jù)，實現(xiàn)秒級甚至亞秒級的監(jiān)控和分析響應(yīng)。同時能夠識別復(fù)雜事件模式和關(guān)聯(lián)關(guān)系。開展智能分析，通過語義分析理解日志含義?？梢暬潭葮O大提升，與其他系統(tǒng)實現(xiàn)深度集成，實現(xiàn)快速的反饋和響應(yīng)機(jī)制。云日志管理平臺出現(xiàn)。?出現(xiàn)了專門的日志分析軟件和系統(tǒng)?？梢詫崿F(xiàn)對日志格式的基本解析，提取關(guān)鍵信息（如時間戳、事件類型、錯誤代碼等）形成結(jié)構(gòu)化數(shù)據(jù)。開始構(gòu)建簡單的日志存儲索引，便于快速查詢。日志分析系統(tǒng)出現(xiàn)。企業(yè)級日志分析產(chǎn)品產(chǎn)業(yè)鏈企業(yè)級日志分析產(chǎn)品產(chǎn)業(yè)鏈分上中下游，上游包括數(shù)據(jù)產(chǎn)生源頭及相關(guān)基礎(chǔ)設(shè)備和技術(shù)。數(shù)據(jù)源如各類業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器等不斷生成日志數(shù)據(jù)；基礎(chǔ)設(shè)備有存儲硬件等用于暫存日志；相關(guān)技術(shù)提供方如數(shù)據(jù)采集技術(shù)研發(fā)商等，為日志的獲取提供支持。中游為日志分析系統(tǒng)核心環(huán)節(jié)，負(fù)責(zé)日志的收集、傳輸、存儲、處理、分析、呈現(xiàn)等功能模塊的搭建和優(yōu)化，提供多樣化的日志分析解決方案，滿足不同行業(yè)和規(guī)?？蛻粜枨?。下游涉及眾多核心用戶應(yīng)用領(lǐng)域，包括政府、金融、通信、能源、互聯(lián)網(wǎng)、制造等行業(yè)企業(yè)級日志分析產(chǎn)品產(chǎn)業(yè)鏈企業(yè)級日志分析產(chǎn)品部署結(jié)構(gòu)上游中游下游用戶日志管理中心日志收集與分析管理中心操作系統(tǒng)日志中間件日志數(shù)據(jù)庫能力增強(qiáng)政府金融通信能源互聯(lián)網(wǎng)制造……企業(yè)級日志分析產(chǎn)品云服務(wù)日志分析日志應(yīng)用態(tài)勢感知直銷渠道采集節(jié)點審計查詢采集分析節(jié)點采集分析節(jié)點采集分析節(jié)點網(wǎng)絡(luò)設(shè)備性能指標(biāo)應(yīng)用數(shù)據(jù)分析場景UEBA日日志采集日志存儲志預(yù)處理告警機(jī)制安全服務(wù)分析引擎轉(zhuǎn)發(fā)節(jié)點SIEM/SOC轉(zhuǎn)發(fā)服務(wù)器機(jī)房日志源轉(zhuǎn)發(fā)服務(wù)器網(wǎng)絡(luò)日志源轉(zhuǎn)發(fā)服務(wù)器系統(tǒng)日志源可視化分析模型旁路抓包AppSDK……APT防護(hù)開發(fā)接口日志源安全集成解決方案：安在新媒體整理中國企業(yè)級日志分析產(chǎn)品滲透率僅18.75%，是網(wǎng)絡(luò)安全高潛力品類企業(yè)級日志分析產(chǎn)品在國內(nèi)存在較大增長潛力，是企業(yè)網(wǎng)絡(luò)安全防護(hù)水平升級的重點產(chǎn)品。一方面企業(yè)級日志分析產(chǎn)品是發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患的利器，另一方面，其又是組織從事件驅(qū)動過渡到風(fēng)險驅(qū)動的安全管理水平的標(biāo)志。國內(nèi)企業(yè)級日志分析產(chǎn)品滲透率僅18.75%。較歐美企業(yè)總體來說水平較低，隨著監(jiān)管和數(shù)字化轉(zhuǎn)型升級的需求，該品類普及后將迎來較大的市場增量。中國企業(yè)級日志分析產(chǎn)品行業(yè)滲透率海外國家企業(yè)級日志分析產(chǎn)品滲透率46.77%53.23%48.90%51.10%69.20%30.80%71.33%84.90%

86.80%15.10%

13.20%87.30%12.70%89.60%

91.30%10.40%

8.70%91.76%8.24%93.77%6.23%97.02%

97.60%66.60%56.90%50.90%37%28.67%18.75%2.98%

2.40%美國德國法國日本中國：安在新媒體整理國產(chǎn)日志分析產(chǎn)品品牌乘風(fēng)而上，推進(jìn)技術(shù)本土化2017年是中國日志分析產(chǎn)品發(fā)展的分水嶺，隨著《網(wǎng)絡(luò)安全法》、等級保護(hù)2.0的實施，日志分析產(chǎn)品銷量開始井噴。同時，國產(chǎn)日志分析產(chǎn)品替代外資品牌的過程逐漸加速，2019年中美科技戰(zhàn)開始，導(dǎo)致眾多歐美安全公司市場份額下降，不少企業(yè)陸續(xù)退出中國；2020年7月，全球唯一讀時建模計算引擎的日志分析產(chǎn)品巨頭Splunk宣布關(guān)閉其海外成立的第一個研發(fā)中心--Splunk上海研發(fā)中心，當(dāng)月炎凰數(shù)據(jù)正式成立，該事件成為日志分析產(chǎn)品進(jìn)程中一個里程碑。經(jīng)過我國技術(shù)人員不斷努力攻關(guān)克難，終于突破國外核心技術(shù)壁壘，于2021年，炎凰數(shù)據(jù)的Splunk平替產(chǎn)品橫空出世，填補(bǔ)了我國日志分析產(chǎn)品獨立自主可持續(xù)發(fā)展技術(shù)路徑上的空白。同時，眾多國產(chǎn)安全廠商也承接住了外資品牌退出后形成的市場增量。不過，2022年開始，受新冠疫情和地緣政治影響，市場遇冷，增長不及預(yù)期。但預(yù)測隨著新技術(shù)的賦能，經(jīng)歷市場環(huán)境調(diào)整后，2025年日志分析產(chǎn)品市場有望重新進(jìn)入快速增長通道。企業(yè)級日志分析產(chǎn)品發(fā)展趨勢2019年全球唯一讀時建模計算引擎的日志分析廠商Splunk于2020年7月Splunk宣布關(guān)閉其上海研發(fā)中心，當(dāng)月炎凰數(shù)據(jù)成立2017年網(wǎng)絡(luò)安全法發(fā)布，對日志管理提出6個月的保存期要求2014年ELKStack等開源日志分析平臺開始流行，眾多安全廠商和大型企業(yè)基于開源基礎(chǔ)開發(fā)日志分析產(chǎn)品2021年Splunk的增速30%25%20%15%10%5%廠商炎凰2008年等保1.0提出日志分析系統(tǒng)的整改要求數(shù)據(jù)發(fā)布替代產(chǎn)品國產(chǎn)企業(yè)級日志分析產(chǎn)品銷量井噴2022年疫情導(dǎo)致市場遇冷增長不及預(yù)期0%2012201320142015201620172018201920202021202220232024外資品牌日志分析產(chǎn)品市場規(guī)模增速（%）中國品牌日志分析產(chǎn)品市場規(guī)模增速（%）：安在新媒體整理日志分析產(chǎn)品國家/行業(yè)標(biāo)準(zhǔn)出臺，政策上不斷推動市場普及進(jìn)程安全功能要求基本級增強(qiáng)級l2019年3月19日，公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布GA/T911-2019《信息安全技術(shù)日志分析產(chǎn)品安全技術(shù)要求》。本標(biāo)準(zhǔn)將日志分析產(chǎn)品的安全等級按照其安全功能要求、自身安全功能要求和安全保障要求的強(qiáng)度劃分為基本級和增強(qiáng)級。一般來說，基本級產(chǎn)品適合等級保護(hù)二級及以下系統(tǒng)，增強(qiáng)級適合等級保護(hù)三級系統(tǒng)使用。日志數(shù)據(jù)源●●●●●●●●●●●●標(biāo)準(zhǔn)協(xié)議接收代理方式采集日志文件導(dǎo)入日志采集及時性數(shù)據(jù)篩選日志數(shù)據(jù)采集日志采集和存儲日志數(shù)據(jù)的預(yù)處理l2023年10月1日起，GB/T42453-2023《信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》正式實施，該標(biāo)準(zhǔn)由公安部第三研究所檢測認(rèn)證中心牽頭編寫發(fā)布，標(biāo)準(zhǔn)明確了網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)框架，并規(guī)定了核心組件的通用技術(shù)要求。此標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品、系統(tǒng)或平臺的規(guī)劃、設(shè)計、開發(fā)、建設(shè)和測評。數(shù)據(jù)轉(zhuǎn)換●●日志記錄生成●●●●○○●●●●○○○●●○●○●●●●●●●●●●●●●●●●●●安全保護(hù)日志記錄存儲防止日志記錄丟失日志記錄備份數(shù)據(jù)整合日志記錄處理ll2023年07月《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》新版公布，國家已將日志分析產(chǎn)品、網(wǎng)絡(luò)安全態(tài)勢感知等產(chǎn)品列入其中。數(shù)據(jù)拆分事件辨別事件定級《金融行業(yè)態(tài)勢感知與信息共享平臺數(shù)據(jù)接入標(biāo)準(zhǔn)說明》2023年11月，隨著金融監(jiān)管的加強(qiáng)，金融監(jiān)督管理總局的主要職責(zé)第一條：“依法對除證券業(yè)之外的金融業(yè)實行統(tǒng)一監(jiān)督管理，強(qiáng)化機(jī)構(gòu)監(jiān)管、行為監(jiān)管、功能監(jiān)管、穿透式監(jiān)管、持續(xù)監(jiān)管，維護(hù)金融業(yè)合法、穩(wěn)健運行?！边@就要求金融機(jī)構(gòu)（銀行業(yè)、保險業(yè)）定期報送安全數(shù)據(jù)，而這些數(shù)據(jù)本身就來自日志分析產(chǎn)品的輸出。而隨著監(jiān)管要求的不斷變化與調(diào)整，具備多源異構(gòu)讀時建模處理能力的產(chǎn)品往往會在此類場景以分鐘級完成多源異構(gòu)日志數(shù)據(jù)的快速響應(yīng)與落地，具有較大優(yōu)勢。事件統(tǒng)計日志記錄分析日志實現(xiàn)和報警潛在危害分析異常行為分析關(guān)聯(lián)事件分析日志記錄數(shù)據(jù)挖掘日志查詢統(tǒng)計報表分析報告報警機(jī)制○不具備●具備開發(fā)接口GB/T42453-2023《信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》框架GA/T911-2019《信息安全技術(shù)日志分析產(chǎn)品安全技術(shù)要求》框架目錄1概述2345市場規(guī)模競爭格局發(fā)展趨勢典型案例userid:134146,docid:174610,date:2024-09-11,企業(yè)級日志分析產(chǎn)品市場情況企業(yè)級日志分析產(chǎn)品經(jīng)過多年發(fā)展，截止2023年底，已形成了25.8億規(guī)模的市場，預(yù)計到2028年，將突破39.7億元。在企業(yè)級日志分析產(chǎn)品的用戶中，互聯(lián)網(wǎng)、金融、運營商、制造業(yè)和

軟件/IT服務(wù)是幾個比較主要的采購行業(yè)。企業(yè)級日志分析產(chǎn)品市場規(guī)模（億元）用戶行業(yè)分布39.735.531.228.426.426.725.825.3222020192020202120222023

2024E

2025E

2026E

2027E

2028E：安在新媒體整理企業(yè)級日志分析產(chǎn)品用戶畫像企業(yè)級日志分析產(chǎn)品的購買用戶，主要是集中在北上廣深等一線及新一線城市，追求高安全保障能力的大中型企業(yè)為主。這些企業(yè)多數(shù)已建立了專業(yè)安全團(tuán)隊，同時，年度安全預(yù)算投入較多，且有保障，總體上已達(dá)到較高的安全水平。中國企業(yè)級日志分析產(chǎn)品用戶畫像城市線級年度預(yù)算水平25.58%企業(yè)規(guī)模36.05%小微企業(yè),17.40%大型企業(yè),54.70%11.63%8.14%8.14%6.98%3.49%中型企業(yè),27.90%50w以下50-100w

100-500w

500-1000w

1000-2000w

2000-5000w

5000w以上企業(yè)專職數(shù)企業(yè)安全水位企業(yè)類型主要擔(dān)心的問題是安全如何不拖業(yè)務(wù)后腿，如何協(xié)同配合實現(xiàn)安全價值，重保機(jī)制已建立，同時重大安全事件的應(yīng)急機(jī)制已基本完備個體企業(yè)4%優(yōu)化（5級）18.6%無安全專職12%政府/社會機(jī)構(gòu)28%該買的安全技術(shù)產(chǎn)品已基本到位，已開始思考或?qū)嵤┌踩a(chǎn)品的協(xié)同運營實務(wù)，處理一般的安全事件已不太擔(dān)心已管理（4級）民營企業(yè)24%38.4%已通過了ISO27001認(rèn)證或等保測評等外部的合規(guī)檢查，但真正應(yīng)對有組織黑客團(tuán)隊攻擊的能力還是較弱已定義19.8%18.6%（3級）有安全專職，有能力應(yīng)對小黑客的掃描或攻擊，但內(nèi)部未建立安全體系，無法應(yīng)對有組織黑客團(tuán)伙的攻擊可重復(fù)（2級）外資企業(yè)11%不時出現(xiàn)一些安全事件，領(lǐng)導(dǎo)出事時會安排安全建設(shè)，不出事時則無預(yù)算或少預(yù)算，安全保護(hù)處于零星狀態(tài)初始級4.7%國資企業(yè)33%有安全專職88%（1級）安全級別定義企業(yè)安全級別：安在新媒體整理企業(yè)級日志分析產(chǎn)品的購買驅(qū)動力七成用戶購買企業(yè)級日志分析產(chǎn)品的原因是為了滿足法律法規(guī)要求。采購過程中，用戶主要擔(dān)心的三個問題分別是：1、顧慮產(chǎn)品部署后不可預(yù)計二次策略開發(fā)的投入成本；2、擔(dān)心產(chǎn)品無法兼容企業(yè)內(nèi)部多樣化的異構(gòu)日志；3、擔(dān)心產(chǎn)品在處理海量日志時出現(xiàn)性能瓶頸。企業(yè)購買動機(jī)企業(yè)購買顧慮顧慮產(chǎn)品部署后不可預(yù)計二次策略開發(fā)的投入成本78.40%76.50%滿足法律法規(guī)要求71.30%擔(dān)心產(chǎn)品無法兼容企業(yè)內(nèi)部多樣化的異構(gòu)日志擔(dān)心產(chǎn)品在處理海量日志時出現(xiàn)性能瓶頸73.20%監(jiān)測系統(tǒng)運行狀態(tài)識別安全威脅與攻擊提供安全運營管理效率便于責(zé)任界定與溯源整合多源日志數(shù)據(jù)支持內(nèi)部審計51.20%顧慮產(chǎn)品在面對大量日志數(shù)據(jù)涌入時，無法及時處理顧慮在遇到技術(shù)問題時，供應(yīng)商不能迅速技術(shù)支持擔(dān)心產(chǎn)品無法適應(yīng)公司規(guī)模擴(kuò)大帶來的日志審計需求變化擔(dān)心產(chǎn)品無法深入分析日志內(nèi)容，挖掘潛在風(fēng)險和異常行為顧慮產(chǎn)品性價比和投資回報率72.67%70.13%44.20%68.65%42.80%39.00%65.40%62.83%顧慮產(chǎn)品無法長時間穩(wěn)定運行，容易出現(xiàn)故障、死機(jī)等情況擔(dān)心產(chǎn)品無法滿足對應(yīng)的合規(guī)要求59.30%44.20%18.20%顧慮供應(yīng)商不能夠提供全面、系統(tǒng)的培訓(xùn)服務(wù)擔(dān)心與現(xiàn)有系統(tǒng)集成不兼容、數(shù)據(jù)傳輸故障燈問題擔(dān)心產(chǎn)品自身存在漏洞導(dǎo)致日志數(shù)據(jù)泄露問題擔(dān)心產(chǎn)品數(shù)據(jù)存儲容量不足，存儲方式不安全39.50%36.10%23.30%20.80%10.60%：安在新媒體整理采購企業(yè)級日志分析產(chǎn)品的決策因素超過六成的用戶在采購企業(yè)級日志分析產(chǎn)品時，關(guān)注三個決定性因素，分別是：1、售后服務(wù)的穩(wěn)定性；2、類型行業(yè)的案例；3、方案性價比。另外，用戶在對新產(chǎn)品和新升級版本的采購時，普遍會謹(jǐn)慎觀望，在產(chǎn)品成熟前不會選擇購買。采購決定因素對新產(chǎn)品的態(tài)度：安在新媒體整理企業(yè)級日志分析產(chǎn)品的用戶使用評價企業(yè)級日志分析產(chǎn)品已經(jīng)較好滿足了用戶的需求，但仍然存在一些問題。根據(jù)本次調(diào)查統(tǒng)計結(jié)果顯示，企業(yè)級日志分析產(chǎn)品總計滿意度為81.50分。企業(yè)用戶認(rèn)為企業(yè)級日志分析產(chǎn)品已經(jīng)在一定程度上實現(xiàn)了高度的集中化管理，但在關(guān)聯(lián)分析過程中，存在分析不準(zhǔn)確、漏報誤報率較高等問題，而有些產(chǎn)品對一些老舊設(shè)備日志也難以接入。這些用戶對企業(yè)級日志分析產(chǎn)品仍有更多維度的期待，比如，用戶對企業(yè)級日志分析產(chǎn)品的使用除了主要考慮在法律合規(guī)，還包括簡單易用、問題可視化、靈活報表、事件溯源快速取證、預(yù)防預(yù)警等方面。影響企業(yè)級日志分析產(chǎn)品滿意度的因素總體滿意度：81.50/100企業(yè)用戶覺得日志分析系統(tǒng)的利益點76.6%滿意度低，重要度高滿意度高，重要度高集中化管理技術(shù)支持響應(yīng)慢高可用性穩(wěn)定性差符合法律法規(guī)操作復(fù)雜靈活的關(guān)聯(lián)分析引擎對加密流量中的異常行為難以有效分析關(guān)聯(lián)分析不準(zhǔn)確，漏報誤報率高能夠分析數(shù)據(jù)庫操作中的違規(guī)語句高效的處理性能75.3%當(dāng)檢測到網(wǎng)絡(luò)攻擊時，利用多種方式如短信、郵件告警某些老舊設(shè)備或自研系統(tǒng)日志難以獲取問題可視化方便的對歷史事件進(jìn)行溯源和審計采集方式不靈活，導(dǎo)致日志收集不完整或不及時58%安全事件可溯源，可取證可視化報表維度多支持自定義規(guī)則與報表界面不直觀友好的用戶界面報告功能不完善可確保日志長期存儲培訓(xùn)與知識轉(zhuǎn)移不足良好的擴(kuò)展性能夠分析出網(wǎng)絡(luò)流量中的異常訪問模式54.5%日志格式兼容性差與其他系統(tǒng)的兼容性角色管理與授權(quán)分離防御進(jìn)入預(yù)防階段滿意度低，重要度低滿意度高，重要度低：安在新媒體整理企業(yè)級日志分析產(chǎn)品的用戶意見反饋調(diào)查顯示，用戶在企業(yè)級日志分析產(chǎn)品的部署和使用過程中，還經(jīng)常遇到了不少應(yīng)用難點，比如，ETL過程繁瑣費時、日志采集不全或過濾效果差、關(guān)聯(lián)分析困難、產(chǎn)品缺乏平臺能力、靈活定制能力弱、擴(kuò)展性差、廠商支持不到位等問題。同時，不少用戶也反饋了在產(chǎn)品使用過程中的一些心得和建議。企業(yè)級日志分析產(chǎn)品的應(yīng)用難點優(yōu)化企業(yè)級日志分析產(chǎn)品的建議不太建議在日志格式統(tǒng)一常見難點有解密流量、做太多的工作，日志種類太多，此工作量巨大，耗資源多，還不如將日志格式定粗一點，利用規(guī)則將日志利用起來。Nginx代理（導(dǎo)致源IP無法溯源）、規(guī)則覆蓋不全、流量覆蓋不全等。異構(gòu)日志處理，從合規(guī)等角度推進(jìn)日志規(guī)范化，拉研發(fā)一起標(biāo)準(zhǔn)化日志設(shè)定，老舊系統(tǒng)的日志就只有自己去把關(guān)鍵信息去解析出來，無法用的部分丟棄掉，然后重組存到集中日志平臺中去。一定要有二開能力，做日志融合工作，這樣才可以按照自己想法去優(yōu)化日志工作。建立安全數(shù)據(jù)標(biāo)準(zhǔn)，關(guān)聯(lián)分析起來很困難，各廠商嘴上都很厲害，實際實操都很困難。保障不同照相同標(biāo)準(zhǔn)進(jìn)行解析，不同

告警按照告警類別做映射數(shù)據(jù)按關(guān)聯(lián)分析很麻煩，沒經(jīng)驗就設(shè)置不好，所以寄希望于人工智能分析，但目前還很困難。要想利用好日志管理，最好盡量少地址轉(zhuǎn)換或者可以備注，無法有效地址溯源發(fā)現(xiàn)也沒啥用，因為后續(xù)的溯源追蹤會很難搞。日志分析，狹隘的可以說是SIEM查日志配置告警，這個其實就基本靠寫正則解析獲取自己的字段，過程很痛苦，但是基于WEBUI鼠標(biāo)提取字段還是很方便的。正則提取字段，建立ETL是一個耗時費力的工作，真不想干。羨慕使用Splunk的同行：安在新媒體整理目錄1概述2345市場規(guī)模競爭格局發(fā)展趨勢典型案例中國市場主要廠商競爭格局目前，中國企業(yè)級日志分析產(chǎn)品市場競爭較為激烈，市場上存在眾多產(chǎn)品和服提供商。競爭格局主要分為以下幾個類別：（1）傳統(tǒng)軟件廠商：如IBM、啟明星辰等，依托自身技術(shù)積累和品影響力，在企業(yè)級日志分析產(chǎn)品市場占據(jù)一定市場份額。（2）新興互聯(lián)網(wǎng)企業(yè)：如阿里云、騰訊云等，通過云計算、大數(shù)據(jù)等技術(shù)優(yōu)勢，為企業(yè)提供日志分析服務(wù)。（3）專業(yè)日志分析廠商：如Splunk、炎凰數(shù)據(jù)、日志易等，專注于日志分析領(lǐng)域，提供豐富的產(chǎn)品和解決方案，其中Splunk和炎凰數(shù)據(jù)作為平臺廠商均基于自研平臺展開場景落地，而其它廠商則更多側(cè)重在場景應(yīng)用。（4）其他：如ELK、Solr等利用開源代碼自研自建日志分析系統(tǒng)。從中國市場的整體競爭格局看，傳統(tǒng)軟件廠商市場占比47.48%，專業(yè)日志分析廠商市場占比27.28%，新興互聯(lián)網(wǎng)企業(yè)市場占比17.17%，另外，其他廠商占比7.7%。中國市場主要廠商類型中國市場競爭格局類別說明代表廠商（不分先后順序）其他,7,7%新興互聯(lián)網(wǎng)企業(yè),17,17%依托自身技術(shù)積累和品影響力，在企業(yè)級日志分析產(chǎn)品市場占據(jù)一定市場份額。傳統(tǒng)軟件廠商傳統(tǒng)軟件廠商,47,48%專業(yè)日志分

專注于日志分析領(lǐng)域，提供豐析廠商

富的產(chǎn)品和解決方案。新興互聯(lián)網(wǎng)

通過云計算、大數(shù)據(jù)等技術(shù)優(yōu)企業(yè)勢，為企業(yè)提供日分析服務(wù)。專業(yè)日志分析廠商,27,28%利用開源代碼自研自建日志分析系統(tǒng)。其他：安在新媒體整理市場集中度高，頭部品牌優(yōu)勢明顯，日志基礎(chǔ)軟件技術(shù)實現(xiàn)突破中國企業(yè)級日志分析產(chǎn)品市場呈現(xiàn)出多種特點：（1）市場集中度較高，前5大廠商市場規(guī)模占比超過50%；以啟明星辰、扭轉(zhuǎn)了國際品牌在中國市場的優(yōu)勢地位；、H3C、安恒信息、日志易為代表的國產(chǎn)品牌占據(jù)了市場頭部位置，（2）開源自研架構(gòu)中，阿里云推出的HoloInsight可對ELK、Solr進(jìn)行替代；而基于開源ELK二次開發(fā)的分布式多用戶全文搜索引擎技術(shù)路線上，如，國產(chǎn)廠商啟明星辰、

、日志易等也可在一定程度替代IBM、Sumologic、DataDog等廠商，（3）閉源架構(gòu)中在最先進(jìn)的機(jī)器數(shù)據(jù)搜索引擎技術(shù)路線上，國產(chǎn)廠商炎凰數(shù)據(jù)也實現(xiàn)了關(guān)鍵核心技術(shù)突破，已可全面替代該產(chǎn)品領(lǐng)域最有特色的Splunk這樣的國際廠商。中國企業(yè)級日志分析產(chǎn)品市場CR5市場規(guī)模占比中國企業(yè)級日志分析產(chǎn)品市場競爭格局技術(shù)路線國際品牌特點機(jī)器數(shù)據(jù)的搜索引擎技術(shù)先進(jìn)性，讀時建模、面向異構(gòu)日志源CR5市場規(guī)模50.4%綜合廠商，強(qiáng)大的整合和交付能力分布式多用戶全文搜索引擎專業(yè)品牌，精準(zhǔn)把控日志管理痛點注：CR5排名不分先后開源自研中小企業(yè)自研首選：安在新媒體整理國產(chǎn)技術(shù)基本完成對國外技術(shù)的替代經(jīng)過多年的發(fā)展，國內(nèi)企業(yè)級日志分析產(chǎn)品從技術(shù)路線來說，分為兩支，一支為基于分布式多用戶全文搜索引擎技術(shù)研發(fā)的產(chǎn)品，另一支為基于機(jī)器數(shù)據(jù)搜索引擎開發(fā)而來的產(chǎn)品，兩路分支目前都基本實現(xiàn)了國產(chǎn)產(chǎn)品對國外技術(shù)的替代。但由于先發(fā)優(yōu)勢，國外產(chǎn)品仍然在部分功能上存在優(yōu)勢，有待國產(chǎn)廠商后續(xù)進(jìn)一步突破和發(fā)展。中外品牌企業(yè)級日志分析產(chǎn)品技術(shù)對比采集存儲分析可視化示例數(shù)據(jù)源范圍采集技術(shù)處理能力部署方式關(guān)聯(lián)分析智能分析可視化及報告定制化具有豐富的內(nèi)置關(guān)聯(lián)規(guī)則和報告，可滿足合規(guī)性要求并通過審計。設(shè)計基于MITRE

ATT&CK

鏈的置信度級別來驗證威脅，國際合規(guī)能力強(qiáng)分布式多用戶全文搜索引擎智能化自動學(xué)習(xí)和識別企業(yè)正常行為模式，從而更準(zhǔn)確地檢測出異常事件和潛在威脅提供豐富的合規(guī)性報告，大量內(nèi)置關(guān)聯(lián)規(guī)則和報告可幫助用戶滿足合規(guī)性要求并通過審計IBMQRadar對國際品牌設(shè)備采集能力強(qiáng)分布式多用戶全文搜索引擎每秒處理數(shù)百萬個事件基于設(shè)備的企業(yè)內(nèi)部部署或云端部署可使用外部威脅情報訂閱源涵蓋云原生云化版、軟件、軟硬一體化、國產(chǎn)化、高性能分布式等多種產(chǎn)品形態(tài)提供豐富的可視化視圖，包括資產(chǎn)拓?fù)鋱D、IP地圖定位、多維分析圖、視網(wǎng)膜分析圖等啟明星辰新一代泰合運營中心系統(tǒng)采用具有自主知識產(chǎn)權(quán)的分布式非關(guān)系型數(shù)據(jù)庫技術(shù)入庫速度每秒采集入庫可達(dá)150萬條事件，日處理事件數(shù)130GB采用先進(jìn)的日志分析算法和模型，能夠?qū)κ占降娜罩具M(jìn)行深度挖掘和關(guān)聯(lián)分析。日志分析系統(tǒng)采用組件化技術(shù)框架，便于功能擴(kuò)展。對國內(nèi)品牌設(shè)備采集能力強(qiáng)同上專注于異構(gòu)數(shù)據(jù)處理，采用“讀時建模”技術(shù)，能快速導(dǎo)入和存儲異構(gòu)數(shù)據(jù)，可動態(tài)調(diào)整數(shù)據(jù)模型和分析參數(shù)能夠每天收集和索引成千上萬太字節(jié)的數(shù)據(jù)，在一些復(fù)雜查詢或大規(guī)模數(shù)據(jù)場景下，響應(yīng)速度可達(dá)秒級提供了豐富的開箱即用的App和插件，積累了1000多個不同場景的App和插件實時索引任何類型的日志源，無需購買、編寫或維護(hù)特定的分析器或適配器。集成了機(jī)器學(xué)習(xí)算法和技術(shù)，可用于挖掘日志數(shù)據(jù)中的潛在模式、趨勢和關(guān)聯(lián)關(guān)系。通過GUIBuilder點擊就可以創(chuàng)建可視化圖表，還可通過命令行和函數(shù)來創(chuàng)建Splunk日志管理平臺基于設(shè)備的企業(yè)內(nèi)部部署或云端部署能關(guān)聯(lián)并分析跨越多個系統(tǒng)的復(fù)雜事件機(jī)器數(shù)據(jù)的搜索引擎建立了鴻鵠開放生態(tài)社區(qū)，開放插件開發(fā)，高度靈活的UDF、UDTF和更加易用的可視化儀表板以及相比Splunk更加易用WEBUI讀時建模字段加工提供數(shù)據(jù)導(dǎo)入、存儲、分析、可視化和告警等一系列服務(wù)，全方位覆蓋各種數(shù)據(jù)分析場景，且計算速度快，各種任務(wù)都能在幾秒內(nèi)響應(yīng)呈現(xiàn)結(jié)果，執(zhí)行邏輯可讀性高，基于SQL的語法便于開發(fā)人員上手通過儀表板構(gòu)建多個圖表，可實現(xiàn)數(shù)據(jù)可視化，幫助用戶更直觀地理解和分析數(shù)據(jù)炎凰數(shù)據(jù)異構(gòu)大數(shù)據(jù)即時分析平臺對非結(jié)構(gòu)化數(shù)據(jù)的即時查詢、分析和系統(tǒng)亞秒級響應(yīng)同上同上全面適配信創(chuàng)體系同上：專家訪談，網(wǎng)絡(luò)公開數(shù)據(jù)，安在新媒體整理全球企業(yè)級日志分析產(chǎn)品市場加速整合對近三年全球企業(yè)級日志分析產(chǎn)品市場投融資情況做了調(diào)查，調(diào)查顯示企業(yè)級日志分析產(chǎn)品正在和網(wǎng)絡(luò)安全運營行業(yè)快速整合。其中數(shù)據(jù)整合和智能化成為關(guān)鍵趨勢。PaloAltoNetworks對IBMQRadarSaaS資產(chǎn)的收購，以及將

Watsonx

語言模型技術(shù)集成到其

CortexXSIAM平臺的舉措，凸顯了行業(yè)對打通數(shù)據(jù)壁壘、實現(xiàn)信息共享的需求。這種整合不僅提高了安全分析的效率，也增強(qiáng)了對潛在威脅的預(yù)測和響應(yīng)能力。隨著安全威脅的不斷演變，單一產(chǎn)品往往難以應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，因此，通過集成和合作，構(gòu)建一個統(tǒng)一、智能且響應(yīng)迅速的安全運營平臺，成為行業(yè)發(fā)展的必然選擇。這要求安全廠商不僅要提供強(qiáng)大的單一產(chǎn)品，更要注重產(chǎn)品間的協(xié)同和數(shù)據(jù)的無縫流動，以構(gòu)建一個更加堅固的網(wǎng)絡(luò)安全防線。近三年企業(yè)級日志分析產(chǎn)品市場投資并購情況地區(qū)時間發(fā)起企業(yè)事件被投企業(yè)詳情CrowdStrike正在計劃以2至3億美元的價格收購硅谷應(yīng)用安全態(tài)勢管理ASPM初創(chuàng)廠商Bionic。然而，主要競爭對手微軟也在考慮收購Bionic，雙方市場競爭加劇。2024年8月CrowdStrike正擬以2至3億美元收購廠商BionicIBMQRadarSaaS客戶將遷移到PaloAltoNetworks的CortexXSIAM平臺。PaloAltoNetworks將IBM的Watsonx大型語言模型技術(shù)集成到XSIAM中。雙方計劃開設(shè)一個聯(lián)合安全運營中心。PaloAltoNetworks

宣布大手筆收購IBM的QRadarSaaS資產(chǎn)2024年8月2024年5月海外安全信息和事件管理(SIEM)公司LogRhythm，與提供人工智能驅(qū)動安全運營的全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者Exabeam宣布合并。(SIEM)公司LogRhythm與Exabeam宣布合并思科以280億美元收購SIEM巨頭SplunkCisco開始專注于將安全性內(nèi)置到網(wǎng)絡(luò)設(shè)備中。同時，生成式AI的崛起可能是此次收購的催化劑，思科可以通過利用Splunk的產(chǎn)品組合來快速啟動人工智能產(chǎn)品。2024年3月2023年8月中移動與啟明星辰在業(yè)務(wù)上具有較強(qiáng)的互補(bǔ)性和協(xié)同潛力。雙方準(zhǔn)備共建一體化安全運營中心，整合雙方的優(yōu)勢資源和技術(shù)能力，為客戶提供更加高效、全面的安全運營服務(wù)中國移動集團(tuán)控股啟明星辰哈勃C輪投資日志易中國

2023年1月2022年11月日志易獲哈勃C輪投資，從日志向安全、智能運維等領(lǐng)域延伸異構(gòu)大數(shù)據(jù)分析引擎創(chuàng)業(yè)公司炎凰數(shù)據(jù)完成近億元融資。這兩輪融資所募資金將主要用于產(chǎn)品縱深研發(fā)和垂直領(lǐng)域應(yīng)用的構(gòu)建，進(jìn)一步筑牢炎凰數(shù)據(jù)在自主構(gòu)建新一代異構(gòu)大數(shù)據(jù)即時分析平臺的領(lǐng)先優(yōu)勢。炎凰數(shù)據(jù)完成A1和A1+輪融資兩輪融資合計過億元目錄1概述2345市場規(guī)模競爭格局發(fā)展趨勢典型案例趨勢一：行業(yè)供應(yīng)鏈尋求突破，下沉市場蘊(yùn)含機(jī)遇企業(yè)級日志分析系統(tǒng)客群包括各線級城市的重點行業(yè)的大型企業(yè)，但一線/新一線城市當(dāng)前內(nèi)卷嚴(yán)重，改變思路布局下沉市場將獲取更大增量。2025年企業(yè)級日志分析產(chǎn)品市場重點客群和渠道高線城市行業(yè)供應(yīng)鏈突破大型企業(yè)及重點行業(yè)講究行業(yè)個性化特征，高線城市重點企業(yè)可從針對性行業(yè)的供應(yīng)鏈突破開始，圍繞金融、能源、運營商、車聯(lián)網(wǎng)等上下游企業(yè)開展布局。一線/新一線，大型企業(yè)：主要場景為更高效的風(fēng)險預(yù)警與發(fā)現(xiàn)，要求平臺更自動化、智能化，向智能預(yù)測方向發(fā)展。積極入住各公有云，打造日志即服務(wù)一線/新一線，中小企業(yè)：有望向性價比更高的云日志服務(wù)方向發(fā)展，由第三方托管日志監(jiān)控與告警（LaaS）。以服務(wù)的形式提供日志分析功能，企業(yè)無需購買和維護(hù)本地的硬件設(shè)備和軟件，只需通過網(wǎng)絡(luò)接入即可享受專業(yè)的日志分析服務(wù)。降低了企業(yè)的成本和管理復(fù)雜度，同時也便于快速部署和使用。公有云服務(wù)合作下沉市場政府及地方企業(yè)：隨著法律法規(guī)及政策的普及，下沉市場合規(guī)方向?qū)⒂休^大的需求爆發(fā)機(jī)會下沉市場渠道合作下沉市場的企業(yè)級日志分析產(chǎn)品滲透率較低，各廠商布局尚未完全落地，尤其是中西部地區(qū)，是未來日志分析產(chǎn)品市場的重要增長點：安在新媒體整理趨勢二：基于Kubernetes的統(tǒng)一日志服務(wù)平臺企業(yè)級日志分析系統(tǒng)伴隨著計算形態(tài)的發(fā)展在不斷演進(jìn)，大致分為3個主要階段：在單機(jī)時代，幾乎所有的應(yīng)用都是單機(jī)部署，當(dāng)服務(wù)壓力增大時，只能切換更高規(guī)格的IBM小型機(jī)。日志作為應(yīng)用系統(tǒng)的一部分，主要用作程序Debug，通常結(jié)合grep等Linux常見的文本命令進(jìn)行分析。隨著單機(jī)系統(tǒng)成為制約大型組織業(yè)務(wù)發(fā)展的瓶頸，在這個階段各個業(yè)務(wù)開始了分布式改造，服務(wù)之間的調(diào)用也從本地變?yōu)榉植际?，為了更好的管理、調(diào)試、分析分布式應(yīng)用，就需要各式各樣的監(jiān)控系統(tǒng)，這些系統(tǒng)的統(tǒng)一特點是將所有的日志進(jìn)行集中化的存儲。為了支持更快的開發(fā)、迭代效率，近年來開始了容器化改造，并開始了擁抱Kubernetes生態(tài)、業(yè)務(wù)全量上云、Serverless等工作。要實現(xiàn)這些改造，一個非常重要的部分是可觀察性的工作，而日志是作為分析系統(tǒng)運行過程的最佳方式。在這階段，日志無論從規(guī)模、種類都呈現(xiàn)爆炸式的增長，對日志進(jìn)行數(shù)字化、智能化分析的需求也越來越高，因此統(tǒng)一的日志平臺應(yīng)運而生。2024日志即服務(wù)（LaaS）云原生架構(gòu)云計算與云平臺集成趨勢三：行業(yè)化與場景化定制突