Már a kérdés is elég sok problémát 'elárul', de lássuk:
Röviden: nincs, több SIEM-mel csak magadat (illetve a SOC csapatot) szivatod. És várhatóan az üzemeltetési kölségek is többszöröződnének...
Bővebben:
Attól függ, mi a jelenlegi, és mirt nem gyűjt naplókat?
Sőt: egyátalán nem gyűjt, vagy csak a kliensekről nem?
De az is fontos hány kliensről beszélünk, és mekkora (Event Per Sec /Flow Per Minute) SIEM-ről?
Kliensekről egyébként direktben nem is szokták ám gyűjteni, mert az nagyon drága móka...
és ugye a kliensek jellgükből adodóan nincsenek is mindig live kapcsolatban a SIEM-mel.
Tehát mindenképp kell valami buffer - azaz köztes loggyűjtés/elemzés/szűrés szokott lenni a megoldás.
És/Vagy: komolyabb helyeken lokális EDR fut a klienseken, aminek eleve van központi log gyűjtő megoldása, ahonnan csak a problémás 'eseteket' küldi a SIEM-nek.
szerk: én a kliensek alatt a desktopokat értettem, ha te a szervereket és a hálózati eszközöket is, akkor kicsit más a helyzet:
- Linux/Unix szerverek, és hálózati eszközök (általában) alapból tudnak remote syslog-ot, azoknál ez a bevett módszer.
- Windows-ok esetén a Microsoft saját log gyűjtő (WEC) megoldása, amire ugyan kell valamilyen agent, hogy eljusson végül a SIEM-re, de így nem kell minden serverre agent.