從Day 13到Day 19 的介紹幾乎都和SIEM 安全資訊事件管理系統 有關聯，在社群分享交流的時候，大家常常會討論自己用過的工具和經驗，也會詢問是否有價格比較平民的選項，雖然商用的SIME價格會依不同環境變動，多數人都同意花錢買好的SIEM絕對有價值，除了售後服務和有經驗的工程師協助，SIEM與其他設備的整合也是考量之一，大量的內建政策和報表也在導入過程獲得正面迴響；然而對於社群裡的學生成員，希望找工具來學習日誌分析，或者任職於預算有限的公司資安人員，希望能多方進行測試、了解、熟悉SIEM 安全資訊事件管理系統後，再與廠商接洽，或者寧願全部自己動手來，完全使用開源軟體，享受高度自由性和客製化的人，大家通常會提供一些「我有聽說過…但是沒有試過，也許你可以試試看…」的無擔保建議。

第一個最常聽到的建議是「試試Splunk吧？」Splunk有提供免費測試帳號，可以測試雲端上各種不同授權方案，或者使用他們提供的Splunk Free授權，每天有500MB的限制，但是Splunk的情境模板例如Splunk Enterprise Security是另外授權的，現在雖然提出免費的輕量級分析應用模板Splunk Security Essentials (見文末連結)，能不能和Splunk Free搭配使用呢？這個就沒試過了；另一個常聽見的建議是「試試OSSIM如何？」OSSIM全名為Open Source Security Information Management，作為開源的SIEM，已經於2008年發展成AlienVault公司，有商務授權的獨立產品Unified Security Management (USM)，但是開源的OSSIM仍然存在並持續更新，可以下載使用。這麼分享了幾次，某天一位社群同好建議：「這樣給不負責任建議並不中立喔~這些東西看似免費，其實可能是廠商吸引用戶的方法，功能上很多限制。像你覺得一天500MB日誌真的夠用嗎？當你用著覺得好用，其實已經被廠商綁住了。」

「那怎麼辦？」
「可以建議他們試ELK Stack。」
「什麼？ELK？加拿大馬鹿？加拿大馬鹿疊在一起？」

因為我已經有在使用SIEM，所以並未進一步了解研究，直到這次多倫多的SecTor 2017 – Security Education Conference Toronto，台上主講人再次提到ELK Stack後，重新燃起興趣研究，才發現ELK真的不錯。 ELK Stack其實是三個不同開源專案的合稱：Elasticsearch、 Logstash和Kibana， 負責的公司正式改名為Elastic Stack (但大家還是叫習慣ELK)，Elasticsearch本身作為高效率、即時性的儲存、搜尋、分析引擎開源專案，被其他產品廣泛使用；Logstash用來進行各項系統設備log日誌動態蒐集、轉換；許多其他產品也運用Kibana將資料數據視覺化的強大能力，創建自己的圖示儀表板。所以整套ELK Stack其實包括SIEM的主要零件，作為開源專案起家，有免費的開源授權，也提供一年免費的Basic授權，一年過後可以繼續更新Basic授權，做為測試環境或學生們學習非常足夠了，想要投入預算獲得廠商支援，使用更多功能，或享用雲端方案，都有不同的授權方式，可以參考文末連結。

*截圖來自網站https://www.elastic.co/products

「強大的精靈寶可夢，弱小的精靈寶可夢，那只是人的一己之見。真正強大的訓練家應該為了用自己喜歡的精靈寶可夢獲勝而努力才對喔。你知道什麼才是最重要的呢？像以往那樣前進吧！冠軍在等妳啊！」- - 《精靈寶可夢》

你試過其他的開源產品嗎？歡迎留言討論。

介紹各種不同Splunk授權：Splunk Product Comparison
https://www.splunk.com/en_us/products/features-comparison-chart.html

來自《IThome》的介紹：內建大量情境模板，Splunk推免費資安事件調查加值應用
https://www.ithome.com.tw/review/117637

OSSIM介紹，還有功能比對：AlienVault OSSIM: The Open Source SIEM
https://www.alienvault.com/products/ossim

介紹不同Elastic授權，可以看免費Basic授權功能：Elastic Subscriptions
https://www.elastic.co/subscriptions