Cuando se habla de registros y seguridad, tres nombres se cruzan y se confunden: syslog, FortiAnalyzer y SIEM. Los tres tienen que ver con logs, y por eso la gente los mete en el mismo saco. Pero hacen cosas distintas, y la confusión tiene consecuencias reales: empresas que creen tener "detección" porque montaron un servidor de logs, y descubren en el peor momento que solo tenían un archivero. Vale la pena separarlos con claridad, porque registrar no es lo mismo que vigilar.
Syslog: el estándar para juntar y guardar
Syslog es, en el fondo, un estándar (y por extensión, un servidor) para que los dispositivos envíen sus mensajes de registro a un lugar central y ahí se guarden. Es la plomería básica: un equipo genera un evento, lo manda por syslog, un servidor syslog lo recibe y lo almacena. Es enormemente útil y necesario —centralizar los registros es el primer paso de todo—, pero un servidor syslog, por sí solo, no analiza, no correlaciona, no detecta ni alerta. Junta y guarda. Es un almacén ordenado de registros, no un vigilante. Buscar un ataque en un syslog crudo es leer millones de líneas a mano.
FortiAnalyzer: análisis, pero centrado en tu fábrica Fortinet
FortiAnalyzer sube un escalón: recoge los registros de los equipos Fortinet (FortiGate y compañía), los analiza, genera reportes, gráficas y cierta correlación dentro de ese ecosistema. Si tu seguridad está construida sobre la fábrica de Fortinet, FortiAnalyzer te da una visibilidad y unos reportes excelentes de ese mundo —lo desarrollamos en cuándo la correlación deja de ser un lujo—. Su naturaleza, sin embargo, está centrada en el universo Fortinet. No está pensado como el correlacionador universal de todas tus fuentes heterogéneas (tus servidores Windows, tu antivirus de otra marca, tus aplicaciones a la medida). Es una herramienta espléndida para lo que es, y conviene no pedirle lo que no es su rol.
Aclaración justa: el propio Fortinet tiene un producto de SIEM distinto (FortiSIEM) para el rol multi-fuente. La distinción no es "Fortinet vs SIEM", sino "analítica de la fábrica (FortiAnalyzer) vs correlación universal (un SIEM)".
SIEM: correlación universal para detectar
Un SIEM es la categoría cuyo trabajo es exactamente lo que las otras dos no hacen del todo: ingerir registros de fuentes muy diversas (de cualquier marca), normalizarlos a un lenguaje común, correlacionarlos entre sí y detectar patrones de amenaza, alertando en tiempo casi real. La diferencia de fondo con un syslog es abismal: el syslog te da los datos; el SIEM te dice qué significan juntos. Y la diferencia con FortiAnalyzer es de alcance: el SIEM no vive en un solo ecosistema de marca, sino que cruza todo tu entorno para ver el ataque que salta entre sistemas.
El mundo abierto: Wazuh
Los SIEM tienen fama de caros, y muchos lo son. Pero el mundo del código abierto tiene una respuesta seria que vale la pena conocer: Wazuh. Es una plataforma de seguridad open source, gratuita de licencia, que ofrece capacidades de SIEM (y más): recolección y análisis de logs, correlación, detección de amenazas, monitoreo de integridad de archivos y agentes en los equipos. Para organizaciones que quieren capacidades de SIEM sin el costo de licencia de las suites comerciales —y que tienen con quién montarlo y operarlo—, Wazuh es una opción real. Como siempre con el open source: la licencia es gratis, la operación no; su valor depende de que alguien lo configure y lo atienda con seriedad.
La tabla mental para no confundirlos
- Syslog: junta y guarda registros. Necesario, pero no vigila.
- FortiAnalyzer: analiza y reporta, centrado en la fábrica Fortinet. Excelente en su terreno.
- SIEM (comercial o Wazuh): correlaciona todas las fuentes y detecta. Es la capa de vigilancia real.
El error caro es pagar por, o confiar en, uno creyendo que hace el trabajo de otro. Un servidor syslog no te va a avisar de un ataque; un FortiAnalyzer no va a correlacionar tu servidor Windows con tu aplicación a la medida. Saber qué hace cada uno es lo que te permite construir detección de verdad y no un teatro de registros.