点击此处展开EventLog Analyzer 的用户界面选项卡可帮助您导航到产品的不同部分。选项卡包括:
“仪表板”选项卡包含多个仪表板,可帮助你洞察重要的网络活动。当你单击“仪表板”选项卡时,将默认显示以下仪表板:
此选项卡通过生成日志趋势、Syslog 严重性事件、Windows 严重性事件以及最新警报等图形化报表,提供安全事件的总体概览。这些报表基于在特定时间范围内发生的事件生成(可自定义)。将鼠标指针悬停在图表或图形上,可查看特定设备的事件数量、其IP 地址以及事件的严重性(信息、通知、调试、警告、警报、错误、严重、紧急)。
此选项卡为您提供有关您环境中的网络流量的信息。它提供有关流量趋势、已允许和已拒绝的网络连接等详细信息,帮助您跟踪感兴趣的事件。
安全概览仪表板整合来自网络设备的事件,例如 IDS/IPS、端点安全解决方案、漏洞扫描器以及其他威胁检测解决方案。该仪表板包含报表,帮助安全团队跟踪诸如漏洞和威胁等关键安全事件。它还提供一个关于 IDS/IPS 攻击的交互式小部件,帮助您识别攻击类型、攻击尝试次数以及攻击发生的时间。
仪表板还包含告警计数概览小部件,用于显示在指定的时间范围内触发的告警数量。
您可以通过导航到 设置 → 添加选项卡 → VPN 概览,自定义仪表板选项卡以包含 VPN 概览选项卡。EventLog Analyzer 会监控 VPN 会话活动并生成报告,帮助您可视化关注的事件。VPN 概览仪表板通过显示诸如实时会话数量、总登录时长、平均登录时长、已关闭会话以及用户排行及状态等小组件,为您提供有关 VPN 用户和会话活动的洞察。您还可以分别导航到 设置 → 添加小组件 和 设置 → 重新排序小组件,通过添加和重新排序小组件来自定义 VPN 仪表板。
此选项卡可帮助您轻松管理已检测到的安全事件。仪表板显示全部、进行中、未分配和逾期事件的数量。它还提供平均解决时间。仪表板提供以下洞察:
仪表板选项卡还包含日志来源、日期和时间选择以及设置图标。
当您单击“日志源”选项卡时,会显示三个选项卡:
设备部分显示 EventLog Analyzer 正在收集日志的所有系统(Windows、Linux、IBM AS/400、HP-UX 等)和设备(routers、交换机等)的完整列表。显示的设备列表会根据从下拉列表中选择的设备组进行分类(默认:所有组)。您可以在此部分添加新设备(+设备),或添加并计划新的报表(+计划)。您可以根据设备的 IP 地址或设备名称进行搜索,删除某个设备或一组设备,以及禁用/启用来自某个设备或一组设备的日志收集。
设备列表表格显示的详细信息包括:设备类型、事件摘要(错误、警告、故障、其他)、设备的连接状态、上次获取日志消息的时间,以及该设备所属的设备组。将鼠标移到任意设备上会显示一些选项:
您甚至可以通过单击列选择器图标自定义设备表中要显示的列,或者增加每页显示的设备数量(每页最少 5 台设备,最多 200 台设备)。通过下拉菜单,您可以仅列出活动设备或已启用设备,并可选择将已同步的设备从 Active Directory Audit Plus 中排除。
EventLog Analyzer 允许您安排报表生成、导出,以及通过电子邮件进行再分发。
您还可以通过 导出为 选项将报告导出为 PDF 或 CSV 格式。这些生成的报告将包含设备详细信息,例如显示名称、IP 地址、总数、上次消息时间、下次扫描时间以及设备状态。
application 部分提供一个概览饼图(可下钻到原始日志信息),并列出其 application 日志已被接收或导入到 EventLog Analyzer 的设备,这些日志适用于 IIS W3C Web Server、IIS W3C FTP Server、MS SQL Server、Oracle Live Audit、DHCP Windows/Linux Server、Apache Web Server 或 Print Server。显示的设备列表根据从下拉列表中选择的 application 类型 进行分类。可通过从操作下拉列表中选择 +导入 将 application 日志导入到 EventLog Analyzer。
application 设备列表显示诸如设备名称、application 类型、事件总数、最近记录、导入时间、开始时间和结束时间等详细信息。单击设备名称或饼图中的相应部分即可获取 application 事件数据的完整概览,并生成相应的报告。您甚至可以单击列选择器图标,自定义要在 application 设备表中显示的列。
文件完整性监控仪表板提供有关在 Windows、Linux 和 Unix 机器上对文件和文件夹所做更改的信息。它对被创建、删除、修改和重命名的文件和文件夹进行统计并生成报告。它还显示对文件和文件夹权限所做的更改。
在此仪表板的顶部,您可以找到管理文件完整性监控选项卡,它允许您添加、删除并管理用于文件完整性监控的设备。FIM 警报选项卡允许您配置针对异常文件和文件夹修改的警报。FIM 计划报告选项卡可帮助您查看并导出计划报告。
您可以使用提供的日期和时间框,在所需的时间范围内生成并查看所有审计报告。
设置图标会显示多个选项,您可以通过添加、管理和排序所显示的小部件和选项卡来自定义所有仪表板。您还可以使用刷新间隔选项来刷新产品中对时间范围所做的更改。
此选项卡显示一个仪表板,包含您网络中发生的所有事件的报告。在左上角,您可以找到一个下拉菜单,可根据设备、应用程序、文件监控、威胁、漏洞和虚拟机选择并查看报告。通过从此下拉菜单中单击所需选项,您还可以查看自定义报告、基于用户的报告以及排行与趋势报告。导出为下拉菜单可让您将报告导出为 CSV 或 PDF 格式。您可以在计划报告选项卡中单击+ 添加选项来安排报告。
在左侧窗格中,您可以找到多个预定义报告,这些报告会在将日志源添加到 EventLog Analyzer 时自动生成。您还可以单击屏幕左下角的管理报告选项卡来创建自定义报告。计划报告选项卡允许您查看现有的计划报告,并按需导出。
“合规”选项卡提供一组预定义报告,以满足各类合规政策(即 FISMA、PCI-DSS、SOX、HIPAA、GLBA、GPG 和 ISO 27001:2013)的要求。+添加选项允许您为新合规政策创建并选择所需的报告。编辑选项允许您自定义每个合规政策下可用的报告。
搜索选项卡提供两种用于搜索原始日志的选项:基本搜索或高级搜索。搜索结果显示在页面的下半部分,最终的搜索结果可以保存为报告(PDF 或 CSV 格式),也可以设置为按预定义的时间间隔生成,并自动通过邮件发送给一组已配置的用户。
如果您希望手动构建搜索查询,可以使用基本搜索。在这里,您可以使用短语搜索、布尔搜索、分组搜索和通配符搜索来构建搜索查询。您可以使用高级搜索,借助字段值对和关系运算符,以交互方式轻松构建复杂的搜索查询。可以从搜索结果中提取新字段,并构建正则表达式(regex)模式,以便在 EventLog Analyzer 接收的新日志中轻松识别、解析并为这些字段建立索引。
关联引擎会分析从网络各个部分收集的日志,并针对可疑的事件模式生成警报。默认情况下,仪表板会显示近期事件报告。您可以单击仪表板中的管理规则选项卡来创建和修改关联规则。
此选项卡会在仪表板中显示活动告警的数量及其严重性级别。您可以在仪表板中查看有关告警的表格信息,包括生成时间、状态,以及其对应的响应工作流(如果已配置)。
本节允许您根据您的需求配置 EventLog Analyzer。它包含如下三个子部分:
在本节中,您可以管理设备、设备组、应用来源、导入日志数据、威胁来源、文件完整性监控、漏洞数据、FIM 模板和 vCenter。您还可以在此处配置威胁管理和日志转发。
本节允许您通过管理告警配置文件、归档、技术人员和角色、数据库保留设置、日志收集过滤器、工作时间设置、产品设置、日志收集失败告警、仪表板配置文件、隐私设置、登录设置、域和工作组、报表配置文件、资源分组、自定义日志解析器、标签以及 Log360 Cloud 平台,来执行各种管理活动。
此部分可用于配置各类设置,包括通知设置、系统诊断、数据库访问、品牌重塑、NT 服务、连接设置和侦听端口。
此选项卡可帮助您轻松添加来自设备和应用程序的日志源。它还支持从其他来源导入日志。您可以在此选项卡添加告警配置文件、日志过滤器并创建自定义报告。
版权 © 2020,ZOHO Corp。保留所有权利。
下载 PDF