Falcon LogScale 以強大、靈活且直覺的平台，提供跨分散式系統的即時可觀測性，助您取得寶貴洞察資訊。該技術可即時彙總串流資料，並提供混合選項，讓您選擇擷取資料的駐留位置。Falcon LogScale 的創新無索引架構以平均 15 倍的資料壓縮率，解決麻煩的資料儲存難題。

Falcon LogScale 讓您能夠：

• 彙總、擷取和分析來自各種來源的大量串流日誌資料。
• 集中儲存資料，提高資料的精度與基數，進而達成全系統分析以找出關聯事件。
• 以次秒級的延遲速度高效查詢日誌資料，讓大規模的資料管理更輕鬆、更具成本效益。
• 以最低的運算資源負擔，實現業界領先的資料壓縮率。
• 執行完整精度調查，讓您自信地掌握網路攻擊的全貌。
• 建立可設定且可共用的儀表板，讓 IT 團隊輕鬆視覺化和分析複雜系統。
• 檢查應用程式層資料和基礎設施層資訊，讓所有微服務都有完整的可觀測性。
• 彙整上游與下游事件，以獲得深入洞察資訊並預防問題。

現今的資料成長速度無比猛烈，而傳統的日誌管理解決方案缺乏所需技術或易用性，無法滿足現代 IT 的需求。傳統解決方案將日誌當成通用資料庫處理，以過時的索引技術來組織和搜尋資料集。這不僅會消耗過多的 CPU 和記憶體資源，而增加硬體成本，也會導致資料擷取和搜尋延遲，拖慢取得結果的速度，進而阻礙調查並產生額外的風險和費用。

組織通常缺乏真正的可觀測性。作為現代資料架構的關鍵要素，日誌對於診斷系統健康狀況和啟動調查有著極為重要的地位。然而，體驗過傳統日誌管理解決方案的 IT 團隊，都深知管理分散式和舊有系統日誌會有很多挑戰，這些挑戰可能包括：

• 記錄大量資料時，成本過高
• 搜尋速度緩慢，妨礙調查

Falcon LogScale 的開發目標很簡單：讓使用者能以簡單且具成本效益的方式查看日誌、開始提出問題，並經由搜尋錯誤或依特定參數篩選來深入挖掘問題。

為此，Falcon LogScale 採用以下原則：

• 創造簡單的方法來擷取和管理大量日誌，並以易用的查詢語言執行疑難排解
• 建構系統，以具有成本效益的方式保存日誌資料供未來參考，並有效處理和容納突然暴增的大量資料
• 提供可自訂且可共用的儀表板，讓團隊能輕鬆視覺化資料、調查與協作
• 協助使用者以互動方式尋找與探索資料
• 保持簡單，但仍具備強大功能

Falcon LogScale 可讓組織理解大量電腦生成的資料、即時精確地找出可用性問題，並在任何複雜的運算環境中辨識資安威脅。對於企業而言，這款獨特又強大的工具每日可輕鬆擷取數 TB 的資料。可以將其視為日誌管理的「發電站」。

新需求與即時回應的支援要求，帶動出全新的開發速度。企業需要更快速地開發及持續部署應用程式和解決方案。所有相關資料的完整可觀測性是成功部署、減少使用者中斷及消除系統漏洞的關鍵。

數位轉型改變了應用程式的開發和部署方式。現今，應用程式和系統不僅具有高度靈活性，也會利用新的容器與雲端技術快速開發與持續交付新服務。Falcon LogScale 讓 DevOps、SecOps 和 ITOps 團隊能在單一解決方案中，即時傳送與接收所有相關日誌資料的可見性，並且提供靈活的混合部署選項。直覺式介面和易於使用的查詢語言，讓所有使用者都能輕鬆使用日誌，並觀察及操作整個系統。

現在，從大量日誌資料中即時取得洞察的需求，比以往任何時刻都更加迫切。Falcon LogScale 為使用者提供最佳化的時間序列資料庫引擎，可即時擷取和彙總大量的日誌資料。為了理解組織的系統，需要即時擷取數兆位元的資料，以便進一步的分析、視覺化和留存。Falcon LogScale 的強大功能，讓無限制的日誌記錄成為事件管理、疑難排解與稽核情境的寶貴解決方案。

在 Falcon LogScale 中使用資料壓縮，可以帶來多種益處：

• 節省磁碟空間。
• 從磁碟讀取資料時更快。從磁碟讀取資料至記憶體時仍保持壓縮狀態。舉例來說，如果磁碟的讀取速度是每秒 1 GB，在 10 倍的壓縮係數下，Falcon LogScale 能夠以每秒 10 GB 的速度將資料讀入 RAM。這也是 Falcon LogScale 的搜尋速度遠快於磁碟實際讀取速度的原因。
• 從記憶體讀取資料到 CPU 更快。保持資料的壓縮狀態，就能更有效地運用 RAM 與 CPU 之間的頻寬。Falcon LogScale 盡可能地讓資料在靠近 CPU 的位置保持壓縮狀態，之後才會在 CPU 快取中解壓縮資料並搜尋資料。

這麼做的代價是 CPU 需要耗費資源來解壓縮資料。但是，Falcon LogScale 使用的壓縮演算法 (LZ4) 能夠非常快速地解壓縮。這就是使用壓縮能帶來這麼多益處的原因。

Falcon LogScale 甚至可以設定使用資料壓縮效果更好的演算法 (ZFS 壓縮)。所以，使用何種壓縮方式就需要取捨，因為解壓縮所需的 CPU 資源也會有所不同。應根據叢集中可用的資料大小，以及叢集中磁碟與 CPU 資源的比例來選擇壓縮方式。壓縮率越好，從磁碟讀取資料就越快，但解壓縮的 CPU 時間就會更多。

對於管理系統和預防中斷來說，輕鬆理解機器資料並以更深入的洞察資訊迅速調查十分重要。複雜分散式系統中增加的互連資料促使開發人員重新思考雲端和全球 IT 策略，同時也重塑了傳統的開發和 DevOps 工作流程。Falcon LogScale 可讓組織理解大量資料、即時精確地找出可用性問題，並在任何複雜的運算環境中辨識弱點。Falcon LogScale 能擷取及彙總來自應用程式 (包括網頁和桌面應用)、伺服器和裝置的日誌資料或活動記錄。

現在，監控整個系統的健康狀態與穩定性，比以往更加重要。無論資料是結構化還是非結構化，DevOps 團隊需要即時觀測所有來源的所有資料，以便理解、視覺化和分析所運作的系統。

Falcon LogScale 讓團隊能監控針對內部和外部應用程式與系統執行的健康狀態檢查。

日誌資料有助於提供事件的脈絡，並且能讓使用者探索和識別程式碼中的弱點與問題。

DevOps、微服務與容器的發展，讓團隊更難輕鬆觀察現代的複雜系統並與之互動。現有的 SIEM 解決方案在辨識威脅與異常時，經常有不足之處。開發人員、安全團隊與營運管理者需對自己運作的服務負責。他們需要解決方案，以便透過簡單的方式，即時掌握應用程式、服務、伺服器、裝置等狀態。

瞭解所有資料及彼此間的關係，對於系統管理與預防安全事件來說十分重要。客戶需要考慮的資料量正急遽成長，所以，所有資料都具備完整可見性也越來越重要。

當其他解決方案仍以預設檢視或僅限於樣本資料等方式限制客戶存取資料時，Falcon LogScale 讓使用者能即時記錄所有資料，並取得任何想要的答案。Falcon LogScale 解鎖了無限制記錄的能力，同時也未增加系統複雜度。Falcon LogScale 的變革性網站授權移除了日誌限制，並推動組織文化改善網路安全、隱私與業務彈性。消除障礙並賦予客戶自主權，Falcon LogScale 讓使用者能自行決定日誌實務，無須受限於技術、硬體或財務資源。

探索與調查風險和異常現象時，安全團隊都會希望即時掌握整體系統狀態，而不只是依賴樣本資料或預設檢視。

Falcon LogScale 是專為安全專業人員量身打造的創新變革專屬日誌管理解決方案。Falcon LogScale 的核心是最佳化的時間序列資料庫引擎，可即時擷取與彙總大量日誌資料。Falcon LogScale 在擷取資料時不需進行大量索引處理，而是將硬體資源集中於搜尋，也就是最需要效能之處。

解決「為什麼效能下降？」「這個可疑的網路活動來自何處？」「過去 30 天出現哪些模式？」「目前正在發生什麼事？」等問題，就是 Falcon LogScale 設計時的目標 - 即時處理問題。Falcon LogScale 也會在資料進入系統時高效壓縮，有效儲存原始日誌資料。

Falcon LogScale 以涵蓋所有結構化與非結構化系統資料的全方位邊界安全平台，大幅提升威脅獵捕能力。此平台是專為即時擷取與彙總大量日誌資料而打造，並且能橫跨各類型的基礎設施來分析資料與找出相關性。

經過最佳化的 Falcon LogScale 專屬時間序列資料庫引擎，可即時擷取與彙總大量日誌資料，並在所有類型的基礎設施中分析資料分析及找出相關性，顯著強化威脅獵捕能力。

安全團隊可透過 Falcon LogScale 的即時主動式監控，調查任何威脅或入侵事件，並即時分析與探索網路邊界裝置每秒記錄的事件。

Gartner 在 2005 年根據一組特定功能，創造出「SIEM」一詞，這組功能也包括了即時分析事件資料，以便早期偵測目標式攻擊與資料外洩事件。此外，SIEM 可讓使用者收集、儲存、調查與報告日誌資料，以回應事件、取證及符合法規要求。此類技術會彙總來自安全裝置、網路基礎設施、系統與應用程式產生的事件資料。主要資料來源為日誌資料，但 SIEM 技術也能處理其他形式的資料，例如網路遙測資料。此外，SIEM 會整合事件資料與使用者、資產、威脅與弱點等背景資訊。使用者可以標準化資料，以便不同來源的事件、資料與背景資訊可用於網路安全、事件監控、使用者活動監控與法規報告等特定用途的分析。此技術可以針對安全監控即時分析事件，並支援歷史資料的查詢與長期分析。

Falcon LogScale 並未將重心放在這些特定功能上，不過事件即時分析與長期查詢等主題是此技術的強項。就我們的經驗來說，SIEM 解決方案很少是管理上的「一站式平台」；大多數功能都在 SIEM 系統外執行。例如，幾乎所有偵測與應對行為最終都會推送到 SOAR 平台或 ServiceNow 等服務。Falcon LogScale 的客戶通常會整合 Jira 等標準工單工具，以及 TheHive 等專用事件管理工具來處理。

以更快的速度偵測更多威脅，並以更智慧的方式進行調查。Falcon LogScale 提供即時的系統監控與調查能力，讓使用者能擷取大量資料以進行特殊查詢與搜尋。

監控與搜尋
Falcon LogScale 的即時可視性能讓安全團隊持續獲得深入洞察，進而立刻回應與行動以強化系統效能、預防基礎設施故障並抵禦攻擊。

開發人員、資安團隊和營運經理都需要即時掌握應用程式、服務、伺服器、裝置等狀態。Falcon LogScale 讓團隊能夠理解所有資料，進而最佳化應用程式效能、預防基礎設施故障，同時防範惡意軟體。

現在的系統越來越複雜，同時也有更多面向暴露在惡意駭客前，他們伺機竊取資料或將惡意軟體植入導致組織癱瘓的環境中。Falcon LogScale 讓企業能夠透過具有成本效益的平台，以簡單且直覺的搜尋語言，彙總及全方位檢視所有相關的網路安全資料來源，探索及管理不斷增長的威脅和弱點。

擷取與保留
資料保留時間受限時，會讓團隊難以看到攻擊的完整歷史，而威脅的背景資訊嚴重不足時，會妨礙調查人員有效率地尋找及修復威脅。無法存取歷史資料和背景資訊，可能導致偵測時間變長，並讓安全團隊因可見性缺口錯過關鍵威脅活動，增加潛伏時間，並使組織面臨資料外洩風險。

Falcon LogScale 提供每天擷取超過 1 PB 資料的能力，讓組織能擴大資料保留的範圍。Falcon Long Term Repository (LTR) 讓您能整合各種結構化、非結構化與半結構化資料，並提供一年或以上的資料保留延長期。讓您取得更多資料及更長的資料保留時間後，您的團隊就能在不斷擴大的攻擊面上獲得可見性和威脅背景。

Falcon LTR 讓您能對大量日誌資料執行深度、有背景資訊且更快速的分析，同時結合來自端點、工作負載和身分的豐富安全資料，包括 Falcon IOC 的相關分析。有了強大的搜尋與威脅獵捕功能，您就能觀察與分析所有即時資料或長期歷史資料並採取行動，進而更快速且更準確地偵測潛在威脅。

調查與回應
Falcon LogScale 的資料導向安全解決方案，能讓事件回應人員與威脅獵捕者透過直覺化的使用者介面即時視覺化、搜尋及探索網路資料。

Falcon LogScale 以符合成本效益的解決方案，為網路安全團隊提供資料導向的探索方法，能執行全方位日誌資料分析，同時降低傳統日誌管理的處理成本。

Falcon LogScale 以涵蓋所有結構化與非結構化系統資料的全方位邊界安全平台，大幅提升威脅獵捕能力。此平台是專為即時擷取與彙總大量日誌資料而打造，並且能橫跨各類型的基礎設施來分析資料與找出相關性。

安全團隊可透過 Falcon LogScale 的即時主動式監控，調查任何威脅或入侵事件，並即時分析與探索網路邊界裝置每秒記錄的事件。

在安全事件回應中，Falcon LogScale 使用者可透過集中式日誌即時存取並監控日誌，並可從任何來源傳送資料，讓稽核變得更快速、簡便且安全。

對於負責阻止攻擊和盡量縮短停留時間及其他時間緊迫情境的安全事件監控組織來說，Falcon LogScale 的即時可觀測性是不可或缺的資產。