Le principe du security information management (SIM) est de gérer les évènements du système d'information (SI).

Appelés également SEM (security event management) ou SEIM (security event information management) ou encore SIEM (security information and event management), ils permettent de gérer et corréler les logs. On parle de corrélation car ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs évènements à une même cause.

Face au nombre d'évènements générés par les composants d'un système d'information, il est difficile de les traiter à la volée.

Les SIM permettent :

1. la collecte
2. l'agrégation
3. la normalisation
4. la corrélation
5. le reporting
6. l'archivage
7. le rejeu des évènements