2024企业级日志分析产品市场调查报告
AI智能总结
关于本报告 目录 2 企业级日志分析产品在不断深化的政策布局下快速发展 2019年12月1日等保2.0正式实施,等保2.0对企业日志分析和审计产品的部署提出了明确要求,导致日志分析产品得到了大幅的发展。同时,随着2021年《个人信息保护法》和《数据安全法的》的推出,对信息系统和网络检测和监控的要求不断提高,相对于传统分布式的安全产品部署,组织对安全管理中心的建设要求激增,也使得企业级日志分析产品得到了长足的发展,从初期为应对监管的合规化,转变为对全局风险的全面化监测,再向结合人工智能的智能化、自动化响应方向发展。 云原生日志平台 日志分析系统 集中日志管理 企业级日志分析产品发展历史 企业级日志分析产品的发展经历了多个阶段。早期开发人员在代码中写日志用于程序调试和简单故障排查。随后,出现了简单的将日志输出到文件的系统。随着技术发展和数据量增长,专业日志分析工具开始出现。如log4j等日志框架被广泛应用,也经历了多种日志框架竞争和发展的时期。再到后来,分布式架构下日志分析平台不断演进,从简单的收集存储到利用复杂架构进行高效处理和分析,并且在大数据、人工智能时代,日志分析系统朝着智能化、实时化、综合多维度分析的方向持续发展和完善。 2015年 2000年 第二阶段:本地集中化日志管理阶段 第四阶段:分布式日志分析阶段 •随着分布式系统和集群架构的流行,日志分析系统适应分布式场景。支持多数据源和多种日志格式。分析功能进一步增强,例如能进行跨节点日志关联分析、基本的趋势分析等。日志分析平台出现。 •简单的日志收集工具出现,开发了一些简单的脚本和工具对本地集中的日志进行一些诸如按时间排序、简单的文本搜索等基本操作来辅助分析。日志集中管理系统出现。 2022年 第六阶段:云原生与大模型深度融合阶段 •云原生架构和人工智能大模型的发展推动将大规模数据训练出更准确的模型用于日志分析。日志分析系统将成为大数据分析平台的一个重要组件。针对不同行业(如金融、电商、制造业等)的特殊需求和场景进行定制化开发和优化。云原生日志管理及安全托管运营服务MSS出现。 2017年 第一阶段:简单文本记录与人工分析阶段 2010年 第五阶段:实时处理与智能分析阶段 第三阶段:基础日志分析系统阶段 •程序中通过简单的打印语句(如最初编程语言中的简单输出到控制台等)生成日志。日志只是分散的文本文件存放在各个系统或应用所在的服务器本地。当要进行分析时,主要靠人工去查看日志文件来定位和理解系统运行情况、排查故障等。 •可以实时采集、处理日志流数据,实现秒级甚至亚秒级的监控和分析响应。同时能够识别复杂事件模式和关联关系。开展智能分析,通过语义分析理解日志含义。可视化程度极大提升,与其他系统实现深度集成,实现快速的反馈和响应机制。云日志管理平台出现。 •出现了专门的日志分析软件和系统。可以实现对日志格式的基本解析,提取关键信息(如时间戳、事件类型、错误代码等)形成结构化数据。开始构建简单的日志存储索引,便于快速查询。日志分析系统出现。 企业级日志分析产品产业链 企业级日志分析产品产业链分上中下游,上游包括数据产生源头及相关基础设备和技术。数据源如各类业务系统、网络设备、服务器等不断生成日志数据;基础设备有存储硬件等用于暂存日志;相关技术提供方如数据采集技术研发商等,为日志的获取提供支持。中游为日志分析系统核心环节,负责日志的收集、传输、存储、处理、分析、呈现等功能模块的搭建和优化,提供多样化的日志分析解决方案,满足不同行业和规模客户需求。下游涉及众多核心用户应用领域,包括政府、金融、通信、能源、互联网、制造等行业 中国企业级日志分析产品渗透率仅18.75%,是网络安全高潜力品类 企业级日志分析产品在国内存在较大增长潜力,是企业网络安全防护水平升级的重点产品。一方面企业级日志分析产品是发现网络安全隐患的利器,另一方面,其又是组织从事件驱动过渡到风险驱动的安全管理水平的标志。国内企业级日志分析产品渗透率仅18.75%。较欧美企业总体来说水平较低,随着监管和数字化转型升级的需求,该品类普及后将迎来较大的市场增量。 国产日志分析产品品牌乘风而上,推进国产替代技术本土化 2017年是中国日志分析产品发展的分水岭,随着《网络安全法》、等级保护2.0的实施,日志分析产品销量开始井喷。同时,国产日志分析产品替代外资品牌的过程逐渐加速,2019年中美科技战开始,导致众多欧美安全公司市场份额下降,不少企业陆续退出中国;2020年7月,全球唯一读时建模计算引擎的日志分析产品巨头Splunk宣布关闭其海外成立的第一个研发中心--Splunk上海研发中心,当月炎凰数据正式成立,该事件成为日志分析产品国产替代进程中一个里程碑。经过我国技术人员不断努力攻关克难,终于突破国外核心技术壁垒,于2021年,炎凰数据的Splunk平替产品横空出世,填补了我国日志分析产品独立自主可持续发展技术路径上的空白。同时,众多国产安全厂商也承接住了外资品牌退出后形成的市场增量。不过,2022年开始,受新冠疫情和地缘政治影响,市场遇冷,增长不及预期。但预测随着新技术的赋能,经历市场环境调整后,2025年日志分析产品市场有望重新进入快速增长通道。企业级日志分析产品国产替代发展趋势 日志分析产品国家/行业标准出台,政策上不断推动市场普及进程 l2019年3月19日,公安部信息系统安全标准化技术委员会发布GA/T 911-2019《信息安全技术日志分析产品安全技术要求》。本标准将日志分析产品的安全等级按照其安全功能要求、自身安全功能要求和安全保障要求的强度划分为基本级和增强级。一般来说,基本级产品适合等级保护二级及以下系统,增强级适合等级保护三级系统使用。 l2023年10月1日起,GB/T 42453-2023《信息安全技术网络安全态势感知通用技术要求》正式实施,该标准由公安部第三研究所检测认证中心牵头编写发布,标准明确了网络安全态势感知技术框架,并规定了核心组件的通用技术要求。此标准适用于网络安全态势感知产品、系统或平台的规划、设计、开发、建设和测评。 l2023年07月《网络关键设备和网络安全专用产品目录》新版公布,国家已将日志分析产品、网络安全态势感知等产品列入其中。 l《金融行业态势感知与信息共享平台数据接入标准说明》2023年11月,随着金融监管的加强,金融监督管理总局的主要职责第一条:“依法对除证券业之外的金融业实行统一监督管理,强化机构监管、行为监管、功能监管、穿透式监管、持续监管,维护金融业合法、稳健运行。”这就要求金融机构(银行业、保险业)定期报送安全数据,而这些数据本身就来自日志分析产品的输出。而随着监管要求的不断变化与调整,具备多源异构读时建模处理能力的产品往往会在此类场景以分钟级完成多源异构日志数据的快速响应与落地,具有较大优势。 目录 概述 2 企业级日志分析产品市场情况 企业级日志分析产品经过多年发展,截止2023年底,已形成了25.8亿规模的市场,预计到2028年,将突破39.7亿元。在企业级日志分析产品的用户中,互联网、金融、运营商、制造业和软件/IT服务是几个比较主要的采购行业。 企业级日志分析产品用户画像 企业级日志分析产品的购买用户,主要是集中在北上广深等一线及新一线城市,追求高安全保障能力的大中型企业为主。这些企业多数已建立了专业安全团队,同时,年度安全预算投入较多,且有保障,总体上已达到较高的安全水平。 企业级日志分析产品的购买驱动力 七成用户购买企业级日志分析产品的原因是为了满足法律法规要求。采购过程中,用户主要担心的三个问题分别是:1、顾虑产品部署后不可预计二次策略开发的投入成本;2、担心产品无法兼容企业内部多样化的异构日志;3、担心产品在处理海量日志时出现性能瓶颈。 采购企业级日志分析产品的决策因素 超过六成的用户在采购企业级日志分析产品时,关注三个决定性因素,分别是:1、售后服务的稳定性;2、类型行业的案例;3、方案性价比。另外,用户在对新产品和新升级版本的采购时,普遍会谨慎观望,在产品成熟前不会选择购买。 企业级日志分析产品的用户使用评价 企业级日志分析产品已经较好满足了用户的需求,但仍然存在一些问题。根据本次调查统计结果显示,企业级日志分析产品总计满意度为81.50分。企业用户认为企业级日志分析产品已经在一定程度上实现了高度的集中化管理,但在关联分析过程中,存在分析不准确、漏报误报率较高等问题,而有些产品对一些老旧设备日志也难以接入。这些用户对企业级日志分析产品仍有更多维度的期待,比如,用户对企业级日志分析产品的使用除了主要考虑在法律合规,还包括简单易用、问题可视化、灵活报表、事件溯源快速取证、预防预警等方面。 企业级日志分析产品的用户意见反馈 调查显示,用户在企业级日志分析产品的部署和使用过程中,还经常遇到了不少应用难点,比如,ETL过程繁琐费时、日志采集不全或过滤效果差、关联分析困难、产品缺乏平台能力、灵活定制能力弱、扩展性差、厂商支持不到位等问题。同时,不少用户也反馈了在产品使用过程中的一些心得和建议。 目录 概述 2 中国市场主要厂商竞争格局 目前,中国企业级日志分析产品市场竞争较为激烈,市场上存在众多产品和服提供商。竞争格局主要分为以下几个类别:(1)传统软件厂商:如IBM、启明星辰等,依托自身技术积累和品影响力,在企业级日志分析产品市场占据一定市场份额。 (2)新兴互联网企业:如阿里云、腾讯云等,通过云计算、大数据等技术优势,为企业提供日志分析服务。(3)专业日志分析厂商:如Splunk、炎凰数据、日志易等,专注于日志分析领域,提供丰富的产品和解决方案,其中Splunk和炎凰数据作为平台厂商均基于自研平台展开场景落地,而其它厂商则更多侧重在场景应用。(4)其他:如ELK、Solr等利用开源代码自研自建日志分析系统。从中国市场的整体竞争格局看,传统软件厂商市场占比47.48%,专业日志分析厂商市场占比27.28%,新兴互联网企业市场占比17.17%,另外,其他厂商占比7.7%。 中国市场主要厂商类型 市场集中度高,头部品牌优势明显,日志基础软件技术实现突破 中国企业级日志分析产品市场呈现出多种特点:(1)市场集中度较高,前5大厂商市场规模占比超过50%;以启明星辰、奇安信、H3C、安恒信息、日志易为代表的国产品牌占据了市场头部位置, 扭转了国际品牌在中国市场的优势地位;(2)开源自研架构中,阿里云推出的HoloInsight可对ELK、Solr进行替代;而基于开源ELK二次开发的分布式多用户全文搜索引擎技术路线上,如,国产厂商启明星辰、奇安信、日志易等也可在一定程度替代IBM、Sumologic、DataDog等厂商,(3)闭源架构中在最先进的机器数据搜索引擎技术路线上,国产厂商炎凰数据也实现了关键核心技术突破,已可全面替代该产品领域最有特色的Splunk这样的国际厂商。 国产技术基本完成对国外技术的替代 经过多年的发展,国内企业级日志分析产品从技术路线来说,分为两支,一支为基于分布式多用户全文搜索引擎技术研发的产品,另一支为基于机器数据搜索引擎开发而来的产品,两路分支目前都基本实现了国产产品对国外技术的替代。但由于先发优势,国外产品仍然在部分功能上存在优势,有待国产厂商后续进一步突破和发展。 全球企业级日志分析产品市场加速整合 对近三年全球企业级日志分析产品市场投融资情况做了调查,调查显示企业级日志分析产品正在和网络安全运营行业快速整合。其中数据整合和智能化成为关键趋势。Palo Alto Networks对IBM QRadar SaaS资产的收购,以及将Watsonx语言模型技术集成到其Cortex XSIAM平台的举措,凸显了行业对打通数据壁垒、实现信息共享的需求。这种整合不仅提高了安全分析的效率,也增强了对潜在威胁的预测和响应能力。随着安全威胁的不断演变,单一产品往往难以应对复杂多变的网络环境,因此,通过集成和合
