管理应用

此模块允许您管理由EventLog Analyzer监视的应用程序。可以添加、删除和查看IIS服务器、Microsoft SQL服务器、Oracle数据库、打印服务器和终端服务器等应用程序。

添加MySQL服务器

添加要监视的MySQL服务器:

• 点击设置 > 管理应用源 > MySQL服务器。
• 点击+添加实例按钮。



• 输入设备名称或点击+图标从发现的MySQL服务器列表中选择。
• 输入MySQL服务器的端口号。

注意: 如果MySQL服务器的名称是手工输入的，则必须填写端口号。对于从发现的服务器列表中选择的MySQL服务器，将自动填写端口号。

• 从下拉列表中选择要使用的适当协议。
• 输入常规日志和错误日志的文件路径。
• 点击验证并保存以保存所做的变更。

高级设置

要更改时区和文件编码，请点击高级按钮，然后从提供的下拉列表中选择相关选项。

发现MySQL服务器的前提条件

在UNIX或Linux设备中发现MySQL服务器:

可以使用mysqld进程找到MySQL服务器配置文件。

• 安全Shell协议用于访问mysqld进程以获得配置文件路径。
• SFTP协议用于读取配置文件。

在Windows设备中发现MySQL服务器:

可以使用mysqld.exe进程找到MySQL服务器配置文件。

• WMI API用于访问mysqld.exe进程，获取配置文件路径。
• SMB协议用于读取配置文件。

此外，还将按顺序浏览配置文件参数:

--defaults-extra-file
--defaults-file

如果在mysqld或mysqld.exe进程中找不到MySQL配置文件，则会发生以下情况:

UNIX 或 Linux: 配置文件位置缺省为位置

• /etc/my.cnf
• /etc/mysql/my.cnf.

Windows: 配置文件位置缺省为以下位置

• C:/Windows/my.ini
• C:/Windows/my.cnf
• C:/my.ini
• C:/my.cnf

从命令行参数和配置文件中，可以发现MySQL服务器的常规日志路径和错误日志路径。

发现凭证:

对于Windows设备，按以下顺序选择用于发现的凭证:

1. 如果设备在域或工作组下，则为域/工作组凭证。
2. 设备凭证(如果在“管理设备”页面中提供)。
3. 登录凭证。

对于Linux设备，配置自动日志转发时使用的凭证将用于MySQL发现。

注意: 在Linux安装中，无法在Windows设备上发现MySQL服务器。

添加IIS服务器

1. 点击设置 > 配置 > 管理应用源。
2. 在应用源管理页面，点击+ 添加IIS服务器按钮。
3. 点击+ 按钮以浏览并添加IIS服务器。
4. 如果要使用默认凭证，请选中该复选框(默认凭证可以是设备、域或登录凭证)。或者，您可以在凭证字段中输入用户名和密码。
5. 从下拉菜单中选择时区，然后输入所需的监控间隔。
注意: 选择的时区必须与IIS服务器的时区相同。此外，EventLog Analyzer使用端口445(TCP)使用服务器消息块(SMB)协议读取IIS日志文件。
6. 点击+ 添加站点。从发现的站点列表中，选择要监视的站点。

   

   或者，您也可以通过在显示的弹出窗口中输入站点名称、协议和日志文件路径来手动添加站点。选择文件编码方案并计划日志文件滚动。



7. 点击添加，然后点击配置开始监控站点。

IIS配置更改日志

在IIS中收集配置更改日志的方式与为Windows收集日志的方式相似。这些日志通过Microsoft-IIS-Configuration/Operational事件源文件收集。

故障排除步骤:

1. 确保已成功配置配置日志。如果没有，您必须对其进行配置。
2. 必须启用已配置的设备。这可以在管理设备标签中完成。
3. 确保在设备的配置事件源文件中启用了Microsoft-IIS-Configuration/Operational选项。可以在管理设备标签中启用此选项。
4. 提供的凭证必须具有WMI访问权限。

添加Microsoft SQL服务器

1. 点击设置 > 配置 > 管理应用源。



2. 在应用源管理页面，点击+ 添加SQL Server实例。系统会自动发现并列出SQL Server实例。



3. 选择要监视的SQL Server实例，然后点击下一步。您将转到凭证配置页，并提示您输入有效凭证。
4. 如果要使用默认凭证，请选中该复选框(默认凭证可以是设备、域或登录凭证)。或者，您可以在凭证字段中输入用户名和密码，然后点击保存。

• 选择Windows服务器并输入有效凭证。或者，您可以使用默认凭证。

• 在给定字段中输入实例名称、端口号和凭证
• 启用或禁用高级审核。

  注意: 启用高级审核将创建审核策略，禁用高级审核将删除所选SQL Server实例上的审核策略。

• 从可用下拉菜单中选择实例身份验证方法(Windows或SQL身份验证)。
• 点击添加。

  

  高级审核

  启用高级审核时，将配置以下各项。

  DDL/DML 监控 服务器审核是使用服务器审核规范为以下审核操作类型创建的:

  1. FAILED_LOGIN_GROUP
  2. SUCCESSFUL_LOGIN_GROUP
  3. DATABASE_OBJECT_CHANGE_GROUP
  4. DATABASE_PRINCIPAL_CHANGE_GROUP
  5. SCHEMA_OBJECT_CHANGE_GROUP
  6. SERVER_PRINCIPAL_CHANGE_GROUP
  7. LOGIN_CHANGE_PASSWORD_GROUP
  8. SERVER_STATE_CHANGE_GROUP
  9. SCHEMA_ACCESS_CHANGE_GROUP

  注意:

  用户进行高级审核所需的最低权限是CONTROL SERVER。

  EventLog Analyzer支持以下版本的DDL/DML审核:

Microsoft SQL Server 2012之前的版本 - 企业版和数据中心版。

Microsoft SQL Server 2012及更高版本 - 企业版、数据中心版和标准版。

 

数据库审核

将只审核启用的SQL Server实例。报表中显示的数据在每天的最后一个小时进行检索和更新。

 

Column Integrity Monitoring

1. 列完整性监视报表提供有关受监视列中更改的信息，包括谁更改了值、更改了值的时间以及更改了值的数据库表。此外，还会显示旧值和新值。

2. 不会监视text、ntext和image等数据类型。

3. 必须仔细选择要监视的列，因为触发器用于监视更改，并且是性能密集型操作。

 

事件收集

以下是启用高级审核时收集的事件ID:

SQL Server DBCC信息报表 - 211, 427, 610, 8440, 9100, 15612, 15615, 2509, 2510, 2514, 17557

SQL Server主机活动报表 - 18100

SQL Server完整性报表 - 806, 825

SQL Servers登录报表 - 18453, 18454, 18455, 28046, 15537, 15538, 18401, 18451, 18456, 18461, 18462, 18463, 18464, 18465, 18466, 18467, 18468, 18470, 18471, 18486, 18487, 18488, 28048

SQL Server权限拒绝报表 - 229, 300, 230, 262, 916, 5011

SQL Server违规报表 - 17308, 17311

添加其他服务器

要添加Oracle数据库、打印服务器、终端服务器、Password Manager Pro和OpManager，请参考以下步骤：

注意: Oracle应用程序必须与特定的Windows或Linux设备相关联，打印服务器必须与特定的Windows设备相关联。

1. 点击设置 > 配置 > 管理应用源。
2. 在应用源管理页面，点击<其他服务器 > 添加应用。
3. 从下拉菜单中选择所需的应用程序。
4. 在给定字段中输入设备名称。或者，您也可以通过点击+按钮。
5. 点击添加。

故障排除

如果无法添加SQL Server或其他应用程序，请确保以下事项:

1. 使用的凭证是有效的，并且具有必要的权限。
2. 设备可达。

查看添加的SQL Server实例

EventLog Analyzer列出所有受监视的SQL Server实例。从此列表中，您可以启用、禁用或删除SQL Server实例。

查看所有其他监控的服务器

EventLog Analyzer列出正在监视的所有其他服务器，其中包括与应用程序关联的设备的详细信息、应用程序的类型、导入的文件总数以及查看相关报表的选项。