عمليات تقنية المعلومات

حاسبة حجم سجلات SIEM

أدخل الأحداث في الثانية ومتوسط حجم الحدث ومدة الاحتفاظ وحمل الفهرسة للحصول على حجم الاستيعاب اليومي بالـ GB وإجمالي تخزين الاحتفاظ بالـ TB. اضبط مضاعف الحمل نسبةً إلى نسبة الضغط الملاحظة لدى مزوّد SIEM. استخدم النتيجة أساساً للتخطيط — تحقق من أسبوع نموذجي من البيانات الفعلية قبل شراء تخزين طويل الأمد.

آخر مراجعة في ١٤‏/٠٥‏/٢٠٢٦ بواسطة فريق ToolSpilo التحريري.

طريقة المراجعة: تمت المراجعة مقابل إرشادات فوترة Microsoft Sentinel وتوجيهات Splunk للتقدير والأداء ومراجع احتفاظ PCI DSS ومبدأ تقليل مدة التخزين في GDPR. تم الحفاظ على جداول EPS والتخزين والطبقات المفيدة.

أداة الحاسبة

كيف تعمل هذه الحاسبة

استخدم الشرح لفهم طريقة الحساب والافتراضات وحدود النتيجة العملية قبل الاعتماد عليها.

المعادلة الأساسية

يُقدَّر الاستيعاب الخام اليومي بضرب EPS في متوسط حجم الحدث في ثواني اليوم، ثم تعديله بعامل حمل الفهرسة.

حيث:

  • DD = الحجم اليومي بالغيغابايت
  • EE = عدد الأحداث في الثانية
  • SS = متوسط حجم الحدث المضغوط بالبايت
  • OO = مضاعف الفهرسة والتخزين، حيث تعني 1.35 حملاً بنسبة 35%
  • RR = تخزين الاحتفاظ بالتيرابايت
  • TT = عدد أيام الاحتفاظ
D=E×S×86,400×O109D = \frac{E \times S \times 86{,}400 \times O}{10^9}
R=D×T1,000R = \frac{D \times T}{1{,}000}

مثال عملي — مؤسسة متوسطة الحجم

البيئة: 500 نقطة طرفية، 20 خادماً، 5 أجهزة شبكة، بيئتا سحابة

مصدر السجلEPS نموذجيمتوسط حجم الحدث
نقاط طرفية Windows (500)1,000800 بايت
خوادم Linux (20)300600 بايت
جدار الحماية / IDS (5)800500 بايت
السحابة (AWS/Azure)400700 بايت
الإجمالي2,500~650 بايت

مع E=2,500E = 2{,}500 وS=650S = 650 وO=1.35O = 1.35 وT=90T = 90:

D=2,500×650×86,400×1.35109190 GB/يومD = \frac{2{,}500 \times 650 \times 86{,}400 \times 1.35}{10^9} \approx 190 \text{ GB/يوم}

R=190×901,00017.1 TBR = \frac{190 \times 90}{1{,}000} \approx 17.1 \text{ TB}

بسعر 0.02/GBتخزينسحابي،تكلفالاحتفاظلـ90يوماًحوالي0.02/GB تخزين سحابي، **تكلف الاحتفاظ لـ 90 يوماً حوالي 342/شهر**.

معايير EPS حسب مصدر السجل

نوع المصدرEPS منخفضEPS نموذجيEPS مرتفع
Windows DC (لكل خادم)50200800
محطة عمل Windows (لكل جهاز)1310
خادم Linux (لكل جهاز)515100
جدار حماية Palo Alto / Fortinet1005005,000
مستشعر IDS/IPS2001,00010,000
تطبيق ويب (لكل عقدة)101002,000
AWS CloudTrail (لكل حساب)550500

اضرب EPS لكل جهاز في عدد الأجهزة في بيئتك. للتخطيط، أضف هامش 30–50% لأحداث الاستجابة للحوادث وإعداد مصادر سجل جديدة.

حمل الفهرسة

EPS الخام ليس ما يُخزّنه SIEM فعلياً. يُضيف المزوّدون بيانات وصفية واستخراج حقول وهياكل فهرسة:

العاملالأثر على حجم التخزين
استخراج الحقول (التحليل)+20–40%
هياكل الفهرسة+15–25%
الضغط−40–70% (يعتمد على نوع السجل)
الحمل الصافي النموذجي+10–50%

يعمل Splunk عادةً بـ 1.5–2× الحجم الخام؛ Elastic مع الضغط أقرب إلى 1.0–1.3×. استخدم حقل الحمل لإدخال نسبة مزودك الملاحظة من نشر تجريبي.

طبقات التخزين

ليس كل بيانات الاحتفاظ بحاجة لنفس سرعة الوصول أو تكلفة التخزين:

الطبقةوقت الوصولالتكلفة النسبيةالاستخدام النموذجي
ساخن (SSD)<1 ثانيةمرتفعة7–30 يوماً الأخيرة، التحقيق النشط
دافئ (أقراص دوارة)ثوانٍمتوسطة30–90 يوماً، الاستعلامات الروتينية
بارد (تخزين كائنات، S3)دقائقمنخفضة جداً90–365+ يوماً، أرشيف الامتثال

بنية متعددة الطبقات — ساخن للبيانات الحديثة وبارد للامتثال — يمكنها تقليل تكلفة التخزين بنسبة 60–80% مقارنة بالاحتفاظ بكل شيء على SSD. تحقق من دعم SIEM للتخزين متعدد الطبقات قبل التصميم عليه.

الأسئلة الشائعة

هل يجب استخدام EPS الذروة أم المتوسط؟

استخدم EPS المتوسط لتحديد حجم التخزين وEPS الذروة لتخطيط سعة خط الاستيعاب.

يتحدد التخزين بالحجم الإجمالي عبر الزمن — متوسط EPS × الثواني هو المقياس الصحيح. لكن خط الاستيعاب (ناقلات السجلات، المُجمِّعون، طوابير الرسائل) يجب أن يستوعب أحمال الذروة دون إسقاط الأحداث. تبلغ الذروة أثناء الاستجابة للحوادث والفحوصات وساعات العمل 5–10 أضعاف متوسط EPS. حدّد حجم الاستيعاب للذروة وحجم التخزين للمتوسط.

كيف أجد EPS الفعلي لديّ؟

إذا كان لديك SIEM أو نظام إدارة سجلات موجود، استعلم عن مقياس الأحداث في الثانية من لوحة المراقبة التشغيلية. معظم منصات SIEM تعرض EPS كمقياس تشغيلي مدمج.

للنشر الجديد، شغّل مصادر السجل في خط أنابيب نموذجي لأسبوع واحد — يُفضَّل أن يشمل يوم عمل وعطلة نهاية أسبوع وفترة نشاط مرتفع. اقسم إجمالي الأحداث على إجمالي الثواني للحصول على متوسط EPS. هذه العينة أكثر موثوقية بكثير من التقدير النظري وستكشف أيضاً متوسطات حجم الحدث من البيانات الحقيقية.

ما مدة الاحتفاظ التي يجب التخطيط لها؟

ابدأ بالمتطلبات القانونية والتنظيمية ومتطلبات العملاء والسياسات الداخلية. لا تفترض أن مدة احتفاظ واحدة تناسب كل منظمة أو كل نوع من السجلات.

مرتكزات مفيدة للتخطيط:

  • PCI DSS يتطلب عادة الاحتفاظ بسجل التدقيق لمدة لا تقل عن 12 شهرًا، مع إتاحة آخر 3 أشهر على الأقل للتحليل الفوري.
  • مبدأ تقليل مدة التخزين في GDPR لا يحدد مدة ثابتة لكل سجلات الأمن؛ يجب الاحتفاظ بالبيانات الشخصية فقط بقدر ما يلزم للغرض والأساس القانوني.
  • SOC 2 وISO 27001 والسياسات الأمنية الداخلية تعتمد عادة على الضوابط والعقود وتقييم المخاطر وتوقعات المدققين.

من منظور الصيد التهديدي، تحتفظ فرق كثيرة ببيانات 30 إلى 90 يومًا قابلة للبحث وتنقل الأقدم إلى تخزين أرخص. أكد تصميم الاحتفاظ النهائي مع فرق الامتثال والقانون والأمن.

كيف يؤثر ضغط SIEM على تقدير التخزين؟

بيانات السجلات تُضغط بشكل جيد جداً — الصيغ النصية (syslog وJSON وCEF) تحقق عادةً ضغطاً بنسبة 70–85%. لكن مزودي SIEM يخزّنون أكثر من مجرد أحداث خام: حقول محللة وفهارس مقلوبة للبحث السريع وحالة الارتباط والبيانات الوصفية.

النتيجة الصافية تتباين بشكل ملحوظ:

  • Splunk SmartStore: توقع 1.5–2× حجم الأحداث الخام بعد الفهرسة
  • Elastic (ECS + ILM) مع تفعيل الضغط: 1.0–1.4× الخام
  • Microsoft Sentinel (Log Analytics): ~1.2× الخام لمعظم أنواع السجلات

شغّل نشراً تجريبياً بمصدر سجل أو اثنين قبل الالتزام ببنية تخزين. أدوات تحديد الحجم من المزودين توفر تقديرات ابتدائية لكنها تميل للمحافظة.