配置McAfee解决方案
最后更新于:
EventLog Analyzer从McAfee解决方案收集日志数据,并以图形化报表形式呈现。要使该解决方案开始收集日志数据,需将其添加为威胁源。
在事件日志分析器中配置McAfee时,请遵循以下步骤。
- 在 EventLog Analyzer 中配置 HTTPS。
- 启用所需的 TLS 端口。设置 > 系统设置 > 监听器端口
- 将McAfee ePO服务器配置为使用新创建的syslog服务器。
- 添加新注册服务器,并在服务器类型中选择Syslog。
- 输入Syslog服务器的完全合格域名(FQDN)。
- 在端口号处输入6514。若TLS中已更改监听端口号, 请输入该端口号。
- 点击启用事件转发。
- 点击测试连接。系统将显示Syslog连接成功的提示信息。
- 点击保存。
添加威胁源后,EventLog Analyzer将开始解析日志中的字段。 这些日志数据现可通过报表形式查看。
- 在事件日志分析器控制台中,依次导航至:设置 > 日志源配置 > 应用程序 > 安全应用程序 > 添加安全应用程序
- 选择插件类型为McAfee
- 点击“+”图标展开列表以添加新设备。
- 从下拉菜单中选择添加已配置设备、工作组设备、域设备等。
- 若需手动添加新设备,请点击手动配置,输入日志源名称后选择目标设备并点击添加。
可用报表:
- McAfee事件
- McAfee 威胁报表
- McAfee 病毒报表