日志管理的第一步是收集日志数据。日志收集可能是一项具有挑战性的任务,因为某些系统(如防火墙、入侵检测系统和入侵防御系统)具有生成大量日志数据的 EPS(每秒事件数)。为了实时收集和处理日志数据,无论日志数据量和网络中的设备数量如何,组织都需要强大的日志收集机制。
每个网络都有不同的系统和环境,这些系统和环境生成各种日志格式,例如事件日志、系统日志和其他应用程序日志。从路由器日志获得的信息与从防火墙获得的信息不同。此外,某些日志无法直接收集,例如 DMZ 中的日志。总而言之,日志收集器需要足够灵活,以适应所有网络设备和应用程序。
日志收集工具
- EventLog Analyzer可以从多个日志源收集日志,例如Windows系统,Unix / Linux系统,应用程序,数据库,防火墙,路由器,交换机和IDS / IPS。Windows 设备不需要代理收集日志,而系统日志设备需要它们主要用于负载平衡目的。
- EventLog Analyzer旨在支持基于代理和无代理的日志收集机制,以满足网络中的所有设备和应用程序的需求。
- EventLog Analyzer的架构是可扩展的,可以支持多达20,000个日志源。
通用日志收集
EventLog Analyzer 还通过其通用日志解析和索引 (ULPI) 技术支持通用日志收集,该技术使安全管理员能够破译和分析任何日志数据,无论其来源和格式如何。收集的日志数据集中聚合,并显示在单个控制台中,用于跨位置的日志源。
自定义日志收集
EventLog Analyzer支持自定义日志收集,这意味着它可以从Windows和Linux计算机上的文本文件中收集事件。某些应用程序不遵循标准日志记录服务(Windows 事件日志和系统日志),而是将信息记录为文本文件。收集这些日志时,它们将解析为为该特定日志数据创建的自定义字段。
系统日志和 Windows 事件日志收集
EventLog Analyzer 从分布式 Windows 设备收集事件日志,或从分布式 Linux 和 UNIX 设备、交换机和路由器 (Cisco) 收集系统日志。实时生成事件日志报告,以显示整个网络中的重要系统信息。
- 无需代理/客户端日志收集软件
- Windows 事件日志和 Linux/Unix 系统日志集合
- 思科交换机和路由器日志收集
无需代理/客户端日志收集软件
对于事件日志收集,EventLog Analyzer应用程序不需要在从中收集日志的每台计算机上安装单独的代理。相反,收集 Windows 事件日志和系统日志消息的代理作为EventLog Analyzer服务器本身的一部分存在。这样,EventLog Analyzer应用程序执行事件日志收集任务,而不会在设备上引入额外的负载。
Windows 事件日志和 Linux/Unix 系统日志集合
EventLog Analyzer 收集由 Windows 和 UNIX 计算机生成的事件,而无需部署代理。设置EventLog Analyzer以收集和报告来自服务器的事件,对于Windows和UNIX系统来说都是一个简单的过程。
思科交换机和路由器日志收集
收集思科交换机和路由器生成的日志。设置思科交换机和路由器以将系统日志发送到EventLog Analyzer非常简单。
使用代理收集 Windows 事件日志
EventLog Analyzer从分布式 Windows 设备收集事件日志。无代理日志收集包含在体系结构中。添加了使用代理收集 Windows 事件日志,以便于跨 WAN 和防火墙轻松收集日志。
注意:使用代理收集日志是可选的。默认情况下,EventLog Analyzer部署无代理日志收集。如果企业 IT 安全策略不允许打开 WMI 端口等,则可以选择使用代理从设备收集日志。代理必须安装在其中一个设备中,它可以收集 LAN 中多达 25 台设备的日志。
事件日志收集代理
EventLog Analyzer 代理收集由 Windows 设备生成的事件日志。安装和设置代理以收集和报告来自Windows设备的事件日志是一个简单的过程。安装代理后,将显示结果状态“成功/失败<有原因>/重试”。如果代理自动安装失败,可以手动安装。代理可以部署在网络或子网中的任何服务器中。它作为“服务”安装在该服务器中。
代理将由EventLog Analyzer 服务器自动发现,代理将自动从Windows设备收集日志。代理远程收集日志。它预处理日志并以实时且不间断的方式传输到服务器。
代理可以从大约 25 台设备收集日志。可以根据需要将设备分配给任何代理进行日志收集,也可以由EventLog Analyzer服务器直接收集日志,而无需代理。可以取消从一个代理分配设备,并根据管理员的要求将其分配给另一个设备。
如果删除或卸载代理,分配给代理的所有设备的日志收集将自动无缝切换到无代理直接收集模式。如果安装了代理的设备被删除,在这种情况下,分配给该特定代理的所有设备的日志收集将自动无缝切换到无代理直接收集模式。
EventLog Analyzer 的内置系统日志服务器自动配置和收集来自网络设备的系统日志,允许管理员执行系统日志分析,并提供对安全事件的深入见解。
