系统日志管理

系统日志记录协议 （syslog） 旨在标准化网络设备用于与日志服务器通信的消息格式。网络上的路由器、交换机、防火墙和 Unix/Linux 服务器等许多设备都支持它，从而更轻松地管理这些设备生成的日志。系统日志监控和管理对于每个组织减少系统停机时间、提高网络性能和加强企业的安全策略都很重要。

如何收集系统日志

每个系统日志服务器都包含两个通用组件，有助于收集、存储和分析过程：

• 系统日志侦听器：用户数据报协议侦听器端口收集它从所有网络设备接收的所有系统日志消息。
• 数据库：由于网络设备每秒生成大量数据，因此服务器应该能够处理它收到的如此大量的系统日志消息。

标准系统日志服务器提供基本的分析功能，例如查看和过滤日志数据。因此，为了确定单个问题，管理员通常必须花费大量时间筛选成堆的系统日志。

在保护大型网络时，重要的是在侦听器和数据库模块之上安装第三个组件，以使系统日志管理更容易。

系统日志管理软件：日志管理工具可以帮助管理员自动执行许多使用标准系统日志服务器时无法自动化的任务。还可以触发警报和通知，并自动执行响应选定消息的流程，以便管理员可以在出现问题时立即采取措施。

如何管理系统日志数据

凭借 EventLog Analyzer 的系统日志服务器，EventLog Analyzer 从各种风格的 Unix 操作系统（如 RedHat、Debian、Open SUSE、OpenBSD、Ubuntu、Solaris、HP-UX、IBM AIX 等）收集系统日志事件。收集后，将分析系统日志，并在仪表板上显示的简明报告中显示有关网络活动的见解。

EventLog Analyzer 的系统日志管理功能包括：

• 实时警报系统：EventLog Analyzer 具有 300 多个预定义的警报条件，可以快速识别安全事件并向管理员发送实时短信或电子邮件通知。
• 强大的关联引擎：EventLog Analyzer 提供基于规则的传入系统日志关联，使管理员能够发现外部攻击、分析其模式并识别网络漏洞。
• 图形仪表板：该解决方案的直观仪表板以图形和图表的形式显示信息，便于解释系统日志数据。通过根据严重性、类别、警报等组织数据，管理员可以立即识别 IT 运营问题和安全威胁。
• 开箱即用的报告：EventLog Analyzer 的详尽报告包包括 1，000 多个开箱即用的报告。该解决方案还具有自定义报告生成器，该生成器提供了基于多个条件（如系统日志事件类型、严重性、来源等）构建报告的选项。

审核网络设备系统日志

从交换机到路由器，几乎所有网络设备都会生成系统日志。由于网络中有如此多的系统日志设备，因此审核需要花费大量时间和精力，包括跟踪、监控和分析所有这些设备。但是，无论这些任务需要多少努力，企业都不能跳过对这些设备进行系统审查。审计可帮助管理员识别网络安全漏洞、收紧网络安全策略、提高网络性能并减少系统停机时间。

EventLog Analyzer 通过自动收集和分析来自所有网络设备的系统日志数据并为每个设备生成审计报告来减轻网络设备审计的压力。EventLog Analyzer 的审计报告是预定义和可定制的，可安排自动交付，有多种格式，最重要的是，易于理解。管理员可以通过创建通过短信或电子邮件实时通知，来密切关注网络中发生的关键事件。

除了审计报告和实时警报外，EventLog Analyzer 还安全地存档所有系统日志数据以供进一步使用。发生安全事件时，使用日志搜索功能向下钻取特定事件以回溯攻击媒介。此类取证调查有助于减轻威胁并主动防御进一步的问题。EventLog Analyzer让管理员实时了解所有网络活动，控制网络设备。使用EventLog Analyzer 审核网络设备的其他好处包括：

• 集中且可自定义的仪表板。
• 预定义和可定制的审计和合规性报告。
• 能够跟踪与帐户管理、特权用户帐户、网络文件系统以及用户登录和注销活动相关的关键事件。
• 安全、加密且灵活的日志归档。
• 通过电子邮件或短信发送所有关键事件的实时警报。
• 用于执行日志取证的高级日志搜索选项。

网络设备系统日志报告

EventLog Analyzer支持来自所有网络设备的系统日志数据，包括Unix/Linux机器、VMware、IBM AS/400/iSeries机器和运行macOS的计算机。EventLog Analyzer为所有这些设备提供了130多个报告，分类如下：

• 登录和注销报告
• 用户帐户管理报告
• Unix 邮件服务器报告
• Unix FTP 服务器报告
• Unix 威胁报告
• 其他 Unix 报告
• VMware 服务器报告
• 严重性、严重性和系统报告

登录和注销报告

监视所有用户登录尝试，并确定成功或失败登录的趋势。查看哪些用户登录以及他们使用的登录方法，包括 SSH、SU、FTP 和通过远程设备登录。

用户帐户管理报告

查看所有用户的信息，以跟踪新的、已删除的、禁用的和重命名的用户和帐户，以及密码修改和用户权限级别更改。密切关注关键对象及其活动，以快速检测安全威胁。

Unix 邮件服务器报告

查看与 Unix 邮件服务器相关的所有信息，例如基于发件人和远程设备的接收、发送和拒绝的电子邮件。审核邮件服务器的主要收件人和发件人、电子邮件错误、递送失败、电子邮件地址错误和存储容量。跟踪邮件服务器的操作以及其中发生的所有事务。

Unix FTP 服务器报告

通过 FTP 活动概述以及有关上传和下载的文件、登录名、连接、空闲会话、无传输超时和基于用户和远程设备的 FTP 操作的信息，查看文件传输协议 （FTP） 服务器中发生的所有事情。

Unix 威胁报告

密切关注网络面临的所有威胁，通过深入研究这些威胁报告来制定主动措施，使用这些报告可识别反向查找错误、错误设备配置错误、错误 ISP 错误和拒绝服务攻击。

其他 Unix 报告

管理员还可以生成有关 Unix 计算机各个方面的其他预定义报告。一些最常用的报告是：

• 基于用户的成功、拒绝和拒绝的 NFS 挂载。
• 成功和失败的 SUDO 命令。
• 可移动 USB 连接。
• Cron 作业更改。
• 已停用的服务。
• 已连接和已断开连接的会话。
• 不受保护的协议版本。
• 设备名称和地址不匹配错误。

VMware 服务器报告

获取有关虚拟机上的来宾登录、创建和删除的虚拟机、虚拟机中的关键更改以及虚拟机事件概述的信息。

严重性、严重性和系统报告

• 严重性报告：根据事件的严重性（例如紧急、警报、严重、错误、警告、通知、信息和调试）跟踪事件。
• 关键报告：根据事件、设备和远程设备查看所有关键活动，并提供有关趋势和总体活动的信息。
• 系统报告：查看有关系统日志服务、磁盘空间容量、yum 更新、系统关闭、ASP 存储容量、硬件错误和系统时间更新的信息。

EventLog Analyzer 的内置系统日志服务器自动配置和收集来自网络设备的系统日志，并提供对安全事件的深入洞察。通过审核来自外围设备（包括路由器、交换机、防火墙以及IDS 和 IPS）的日志数据，保护您的网络外围免受入侵。