Esta calculadora te ayuda a estimar la ingesta en GB/día en función del número de eventos por segundo (EPS) generados por distintas fuentes de logs.
Instrucciones
- Ingresa la cantidad de eventos por segundo (EPS) que genera cada tipo de fuente de log.
- Presiona el botón Calcular para obtener la utilización estimada en GB/día.
Consideraciones
- El cálculo se basa en tamaños de eventos promedio por tipo de fuente de log.
- El tráfico real puede variar según la configuración del SIEM, la cantidad de información registrada en cada evento y el comportamiento de los eventos durante el día.
- Importante. Este valor puede diferir del estimado para cotizar un servicio de SIEM basado en ingesta (GB) ya que cada proveedor tiene distintas consideraciones sobre el tamaño promedio de los paquetes.
Conversión de EPS a GB: Factores Determinantes
El cálculo de la ingesta de datos (GB) para un SIEM se ve influenciado por el tamaño de los eventos monitoreados a diferencia del esquema de eventos por segundo (EPS), que simplemente cuenta la cantidad de eventos sin considerar su tamaño.
Por ende, la selección de los logs que se envían al SIEM juega un papel crucial en el esquema de ingesta de datos (GB). Elegir cuidadosamente qué logs se recopilan y almacenan puede reducir los costos asociados.
Tamaño de los Eventos
El tamaño de los eventos en un SIEM varía dependiendo del tipo de log, el origen del evento y la cantidad de información que incluye. Aquí te explico algunos valores típicos y factores que afectan su tamaño.
- Fuente del Log:
- Firewalls e IDS/IPS: Logs con detalles extensos de tráfico de red, direcciones IP, puertos y reglas de seguridad.
- Windows Event Logs: Contienen eventos de autenticación, fallos de inicio de sesión, cambios en el sistema, etc.
- Syslog (Linux, dispositivos de red): Generan logs en formato de texto con estructura predefinida.
- Aplicaciones empresariales (ERP, CRM): Los logs pueden incluir información de usuario, transacciones y errores.
- Formato del Log:
- Texto plano: Generalmente más ligero, pero depende del contenido.
- JSON/XML: Más pesados debido a etiquetas adicionales, pero estructurados y más fáciles de analizar.
- Cantidad de Información por Evento:
- Eventos de autenticación (inicio de sesión) suelen ser pequeños.
- Eventos de tráfico de red pueden incluir múltiples campos y ser más grandes.
- Registros detallados como auditoría de seguridad pueden ser extensos.
Ejemplo de Tamaños Estimados por Tipo de Evento
Aquí algunos valores típicos del tamaño de eventos en bytes:
| Fuente del Log | Tamaño Estimado (Bytes por Evento) |
|---|---|
| Syslog (básico) | 100 – 300 |
| Windows Event Log | 200 – 700 |
| Firewall (Cisco, Palo Alto) | 500 – 1000 |
| IDS/IPS (Suricata, Snort) | 800 – 1500 |
| Proxy Web | 500 – 1200 |
| Endpoint Security (AV, EDR) | 400 – 1500 |
| Cloud Security Logs (AWS, Azure) | 300 – 1200 |
| SIEM Correlation Events | 1000 – 3000 |
Impacto de encriptación y compresión
Cuando hablamos de la ingesta diaria en GB de un SIEM a partir de los Eventos por Segundo (EPS), es importante entender que este cálculo no se ve afectado por la encriptación o compresión del enlace de transporte.
La encriptación solo impacta el tráfico de red, no el tamaño del evento almacenado en el SIEM.
La compresión solo se aplica a la información después de ser ingerida. Aunque algunos SIEMs pueden comprimir datos en almacenamiento (por ejemplo, Splunk tiene una relación de compresión del 50%), esto no cambia la cantidad de datos ingeridos diariamente.
📌 Dato importante: SIEMs como Splunk basan sus costos en la ingesta bruta antes de cualquier compresión interna lo cual es importante en el análisis de decisión entre un esquema de SIEM basado en EPS vs GB
- Calculadora RAID online - marzo 15, 2025
- Calculadora EPS a GB/día - marzo 13, 2025
- Comprobador de Contraseñas - marzo 11, 2025