Telemetry 遥测

为了分析,把数据从源头采集并传出去。 比 日志更宽——日志是其中一类,遥测还包括指标、追踪、性能数据等。

安全里的遥测来源

• 端点遥测 —— EDR 上报进程、文件、网络行为
• 网络遥测 —— 流量、连接(网络数据)
• 云遥测 —— API 调用、配置变更
• 应用遥测 —— 请求、错误、性能

为什么重要

遥测是 检测的原料。采不到的数据 = 看不见的盲区。 比如端点没装 EDR,这台机器上发生的事就完全是黑盒——遥测覆盖到哪,可见性就到哪。

跟日志的关系

	Log	Telemetry
范围	离散事件记录	更广,含指标/追踪/性能
关系	日志是遥测的一种	遥测是上位概念

数据采集后汇入 SIEM/可观测平台做关联分析。遥测覆盖面 = 检测能力的天花板。