所有从网络中获取的事件在存储到数据库或触发相应的警报之前都会在这里进行处理。它按照管理员的配置过滤不需要的日志,并将原始日志规范化为标准格式。
根据配置的告警配置文件发送邮件或短信通知。
存储来自整个网络中已配置设备的原始和规范化日志信息。ADAudit Plus自带PostgreSQL数据库,如果需要,用户也可以选择使用Microsoft SQL数据库。
收集信息并建立正常活动的基线模型,以定义动态阈值。当检测到异常时,触发警报。
运行在浏览器上的web接口,连接tomcat的web服务器组件,监听端口号8081。
ADAudit Plus自带一个内置的PostgreSQL数据库,监听端口号33307。产品和数据库之间的交互使用Java数据库连接性(JDBC)接口进行。该产品还提供连接MSSQL和MySQL数据库的支持。
ADAudit Plus通过ADSI与Active Directory交互。ADSI是微软提供的一组组件对象模型(COM)接口,用于访问目录服务的特性。
ADAudit Plus使用Windows Eventlog API从Windows服务器和工作站查询事件日志。
ADAudit Plus可以将所有事件转发到您选择的SIEM解决方案。目前,该工具提供了对Splunk, ArcSight(CEF)和syslog标准的开箱即用支持。
ADAudit Plus可以通过电子邮件或短信向用户发送关键警报。SMTP服务器配置用于发送电子邮件,短信提供商配置用于发送短信。
