Quelle est la limite réelle d'EPS (Events Per Second) d'un FAZ-3000G ?

Dans nos benchmarks 2026, le FortiAnalyzer 3000G soutient environ 45 000 EPS avec une indexation complète et un enrichissement des métadonnées, surpassant significativement Splunk sur un matériel équivalent grâce à son backend hybride SQL/NoSQL optimisé.

Puis-je transférer des journaux de FortiAnalyzer vers Splunk ?

Oui, via la fonction de transfert de journaux. Vous pouvez filtrer les journaux par gravité ou par type, en n'envoyant que les journaux « Alerte » et « Urgence » à Splunk tout en conservant les journaux « Information » et « Avis » sur FAZ pour économiser sur les coûts d'indexation.

Pourquoi quelqu'un choisirait-il Splunk plutôt que FortiAnalyzer ?

Splunk est largement supérieur pour les environnements multi-fournisseurs où vous devez corréler simultanément les journaux d'AWS, Cisco et CrowdStrike. FAZ est un outil cloisonné optimisé pour l'écosystème Fortinet.

Comment FortiAnalyzer gère-t-il la multi-location par rapport à Splunk ?

FAZ utilise des « ADOMs » (Domaines administratifs) pour séparer logiquement les journaux et fournir un contrôle d'accès basé sur les rôles, ce qui est essentiel pour les MSP ou les grandes entreprises mondiales ayant des exigences strictes en matière de résidence des données.

Le moteur de reporting de FortiAnalyzer est-il meilleur que le SPL de Splunk ?

Le moteur de reporting de FortiAnalyzer est basé sur le SQL standard. Cela permet des requêtes très performantes sur la base de données sans la surcharge de calcul élevée requise par les recherches de type MapReduce de Splunk.

Qu'est-ce que FortiSOC et ai-je besoin de Splunk SOAR à la place ?

FortiSOC est un module intégré à FAZ qui fournit une gestion des incidents et des playbooks automatisés, vous permettant de mettre en quarantaine des appareils ou de bloquer des adresses IP directement à partir d'un déclencheur de journal sans avoir besoin d'une plateforme SOAR séparée.

FortiAnalyzer vs Splunk : Pourquoi la « taxe Splunk » tue votre SOC en 2026

En 2026, le débat entre FortiAnalyzer (FAZ) et Splunk pour la journalisation FortiGate ne porte plus sur quel outil présente les graphiques « les plus jolis » ; il s'agit du compromis architectural fondamental entre l'enrichissement natif des métadonnées et l'ingestion de données à usage général. Bien que Splunk reste le roi incontesté du SOC d'entreprise multi-fournisseurs, ses coûts de licence croissants – dépassant souvent 150 $ par Go/jour pour l'indexation haute performance – signifient que son utilisation pour les journaux de trafic bruts FortiGate est un désastre fiscal. Pour les organisations utilisant une pile fortement basée sur Fortinet, FortiAnalyzer n'est pas seulement un outil de journalisation ; c'est un multiplicateur de force qui fournit un contexte profond que Splunk ne peut tout simplement pas reproduire sans une équipe de quatre ingénieurs de corrélation à temps plein.

Le paysage de 2026 : Volume de journaux vs. Densité de signal

Alors que nous avançons en 2026, le volume pur de journaux générés par un cluster FortiGate 1000F ou 3000F peut facilement dépasser 500 Go par jour dans un environnement d'entreprise de taille moyenne. Si vous enregistrez chaque session, y compris les métadonnées d'inspection TLS, les requêtes DNS et les métriques de performance SD-WAN, la « taxe Splunk » devient insoutenable. Le modèle de tarification de Splunk, même avec ses récents pivôts vers une tarification basée sur la charge de travail, pénalise toujours les données à volume élevé et à haute vélocité caractéristiques des NGFW modernes.

La différence fondamentale réside dans la Protocol Awareness. FortiAnalyzer comprend le schéma FortiOS nativement. Lorsqu'un FortiGate envoie un journal via le mode FortiSIEM ou le syslog-over-TLS standard, FAZ effectue un mappage automatique session-utilisateur-application. Splunk, à l'inverse, traite cela comme des données non structurées ou semi-structurées qui doivent être analysées via un Universal Forwarder ou le Fortinet Add-on pour Splunk. Lors de nos tests chez TechLeague, la surcharge de calcul requise pour analyser 50 000 EPS (Events Per Second) dans Splunk est près de 3 fois supérieure aux exigences matérielles d'une appliance FAZ-3000G dédiée.

Performances matérielles : FAZ-3000G vs. Clusters d'indexeurs Splunk

Pour gérer 100 000 EPS en continu, vous pouvez déployer un seul FortiAnalyzer 3000G. Cette appliance 2U offre jusqu'à 120 To de stockage et 45 000 journaux/sec en continu avec indexation et 90 000 en mode de réception de données uniquement. Le prix de vente suggéré est d'environ 95 000 $, plus le support FortiCare continu.

Pour égaler cela dans un environnement Splunk, il vous faudrait :

3x Indexers (équivalents C6i.4xlarge sur AWS ou Dell R760s dédiés)
1x Search Head
Stockage dédié (les IOPS doivent être élevés pour une récupération rapide)
Licence Splunk Enterprise (dont le coût pourrait facilement atteindre 250 000 $/an pour ce volume)

Si vous recherchez des exigences de rétention à long terme (par exemple, 365 jours pour la conformité PCI-DSS 4.0 ou SOC2), FAZ gère cela en hiérarchisant les données en « Analytics » (base de données SQL) et « Archive » (fichiers plats compressés). Le déplacement des données d'Analytics vers Archive est une simple bascule de l'interface utilisateur ou une commande CLI :

config system log-settings
    set retention-days 365
    set analytics-retention-days 90
end

Intégration du workflow SOC : L'avantage FortiSOC

L'un des plus grands changements en 2026 est la maturité de FortiSOC au sein de FortiAnalyzer. FortiAnalyzer ne stocke plus seulement les journaux ; il orchestre les réponses. Dans un environnement Fortinet natif, lorsqu'une menace de haute gravité est détectée (par exemple, un heartbeat C2 connu), FAZ peut automatiquement déclencher une quarantaine sur le FortiGate ou FortiSwitch via le Fabric. Ceci est intégré de manière native.

Dans Splunk, pour atteindre cela, il faut Splunk SOAR (anciennement Phantom). Bien que Splunk SOAR soit extrêmement puissant, la complexité de l'écriture des playbooks basés sur Python pour communiquer avec l'API FortiGate est significative. Cela conduit à une « pourriture de l'intégration », où les scripts se cassent lors des mises à niveau du firmware FortiOS. FAZ, faisant partie du même cycle de publication, maintient une compatibilité API de 100 % entre les versions.

Approfondissement : Analyse SD-WAN et ZTNA

Splunk est notoirement peu efficace pour visualiser les journaux de jitter, de latence et de perte de paquets SD-WAN sans un développement massif de tableaux de bord personnalisés. Le tableau de bord de surveillance SD-WAN de FortiAnalyzer fournit nativement les métriques de performance par membre et la visibilité de la direction des applications. Pour tout ingénieur gérant un déploiement SD-WAN mondial, la capacité de voir pourquoi une décision de direction a été prise via le champ service_id dans les journaux — sans avoir à analyser chaque ligne par regex — est inestimable.

Le coût caché de Splunk : Mappage et extraction de champs

Un piège courant que nous rencontrons lors des missions de conseil chez TechLeague est le problème du « parseur cassé ». Les mises à jour FortiOS (comme le passage de 7.4 à 7.6) introduisent souvent de nouveaux champs de journal pour des fonctionnalités comme la cryptographie post-quantique ou la détection améliorée des clients IA. FortiAnalyzer met à jour son schéma automatiquement avec la mise à niveau du firmware.

Dans Splunk, vous êtes à la merci des mises à jour du Fortinet Add-on pour Splunk sur Splunkbase. Si cet add-on est retardé, votre mappage CIM (Common Information Model) se brise. Cela signifie que vos tableaux de bord de sécurité de haut niveau affichent soudainement « Inconnu » pour les catégories d'applications ou les rôles d'utilisateur. Si votre SOC s'appuie sur ces balises pour l'alerte, vous êtes aveugle jusqu'à ce que les sourcetypes soient mis à jour manuellement. Cette surcharge administrative est une taxe cachée que la plupart des directeurs financiers ignorent jusqu'à ce qu'elle commence à coûter six chiffres en heures d'ingénierie.

Là où Splunk gagne encore : La réalité multi-fournisseurs

Je serais négligent de dire que FAZ est la solution pour tout le monde. Si votre environnement se compose de commutateurs Cisco Catalyst, de Load Balancers F5, d'AWS CloudTrail et d'EDR CrowdStrike, FortiAnalyzer est trop restrictif. Bien que FAZ puisse ingérer des journaux tiers (via les « Fabric Indicators » et syslog), il ne leur donne pas le même traitement analytique de niveau 1 que les journaux FortiGate.

La force de Splunk est sa capacité à corréler une alerte EDR de CrowdStrike avec un journal réseau d'un FortiGate et un événement de connexion d'Azure AD. Si vous avez une équipe SOC mature qui passe plus de temps en Python et SPL (Splunk Search Processing Language) que dans l'interface graphique du pare-feu, Splunk est votre plateforme. Mais pour les 90 % des organisations qui veulent juste savoir « Que s'est-il passé sur mon réseau et comment puis-je l'arrêter ? », Splunk est un gouffre financier sur-conçu.

Découvrez notre analyse approfondie des nouvelles fonctionnalités de FortiOS 7.6 pour voir à quel point les journaux deviennent encore plus complexes.

L'approche hybride : La stratégie « intelligente » de 2026

Les architectures les plus réussies que nous observons en 2026 utilisent une stratégie de filtrage des journaux. Dans ce modèle, FAZ agit comme le « gros porteur ». Tous les journaux FortiGate sont envoyés à FAZ pour une rétention d'un an et un dépannage quotidien. Ensuite, seuls les alertes de sécurité de grande valeur et exploitables (détections IPS, détections AV, blocs WAF) sont transférées de FAZ vers Splunk.

config log syslogd setting
    set status enable
    set server "splunk-indexer-cluster.internal"
    set mode transmission
    set format default
    set filter-type include
    set filter "level(alert)"
end

Cette approche « le meilleur des deux mondes » réduit l'ingestion Splunk jusqu'à 85 %, ce qui permet d'économiser des centaines de milliers de dollars tout en maintenant les avantages de corrélation multiplateforme d'un SIEM.

Tableau comparatif technique (données 2026)

Basé sur nos benchmarks pour une entreprise traitant 2 To/jour :

Caractéristique	FortiAnalyzer (FAZ-3000G)	Splunk Enterprise
Coût par Go	Faible (incluant le matériel/licence)	Élevé (120 $ - 180 $/Go indexé)
Intégration	Native Security Fabric	Manuelle via Add-ons/CIM
Efficacité du stockage	Élevée (agrégation SQL + fichier plat)	Modérée (fortement indexée)
Automation/SOAR	Playbooks natifs (FortiSOC)	Avancée (Splunk SOAR - coût supplémentaire)
Complexité	Convivial pour les ingénieurs réseau	Convivial pour les scientifiques des données/DevOps

Verdict final

Arrêtez d'envoyer des journaux de trafic bruts à Splunk. C'est un gaspillage de ressources informatiques et de capital. Si votre infrastructure est construite sur le Fortinet Security Fabric, FortiAnalyzer est le choix obligatoire pour la performance et la visibilité. Vous ne devriez utiliser Splunk que si vous avez le budget pour une équipe SIEM dédiée et un environnement hétérogène où la corrélation multi-fournisseurs est le principal moteur commercial. Pour tous les autres, la série FAZ-3000G offre des performances supérieures, un temps de réponse aux incidents amélioré et un TCO prévisible sur 5 ans.

Si vous avez du mal à dimensionner votre environnement de journalisation ou si vous avez besoin d'une architecture de filtrage de journaux personnalisée, consultez nos packages de consultation spécialisés sur techleague.io.