标签：ELK

1. 评估维度总览：核心能力与指标 • 日志覆盖：是否能采集系统日志、应用日志、网络设备及 CDN/防火墙日志。 • 解析能力：是否支持多种格式（JSON、CEF、syslog、Netflow）以及自定义 grok/解析模板。 • 关联与威胁情报：是否能将日志与威胁情报、IOC、资产库关联，提高命中率。 • 告警精度与延迟：误报率、漏报率、告警平