用户界面标签

EventLog Analyzer的用户界面标签可帮助您导航到产品的不同部分。这些标签包括:

仪表板

仪表板标签包含多个仪表板，使您能够深入了解重要的网络活动。当您点击仪表板时，默认情况下会显示以下仪表板:

• 事件概览
• 网络概览
• 安全概览
• VPN概览

事件概览

此标签通过生成图形报表(如日志趋势、系统日志严重性事件、Windows严重性事件和最近的告警)显示安全事件的高级概述。这些报表是针对在特定时间范围内发生的事件生成的(可以自定义)。将鼠标指针悬停在图表或图形上将提供有关特定设备的事件计数、其IP地址和事件严重性(信息、通知、调试、警告、告警、错误、严重和紧急)的信息。

网络概览

此标签为您提供有关环境中的网络流量的信息。它提供有关流量趋势、允许和拒绝的网络连接的详细信息，以及更多帮助您跟踪感兴趣的事件的信息。

安全概览

安全概述仪表板整合了来自网络设备的事件，如IDS/IPS、终端安全解决方案、漏洞扫描仪和其他威胁检测解决方案。此仪表板包含可帮助安全团队跟踪关键安全事件(如漏洞和威胁)的报表。它还有一个关于IDS/IPS攻击的交互部件，可以帮助您识别攻击类型、攻击尝试次数和攻击发生的时间。

该仪表板还包含告警计数概述部件，该部件显示在给定时间范围内触发的告警数量。

VPN概览

您可以通过点击到设置 → 添加标签 → VPN概览来自定义仪表板标签以包括VPN概述。EventLog Analyzer监控VPN会话活动并生成报表，帮助您可视化感兴趣的事件。VPN概览将通过显示实时会话计数、总登录小时数、平均登录时间、已关闭会话以及顶级用户和状态等部件，让您深入了解VPN用户和会话活动。您还可以分别通过设置 → 添加部件和设置 → 重新排序部件来添加和重新排序部件，从而自定义VPN仪表板。

仪表板标签还包含日志源、日期和时间选择以及设置图标。

日志源标签

当您点击日志源后，将会显示3个标签:

• 设备
• 应用
• 文件完整性监控

设备

设备部分显示系统(Windows、Linux、IBM AS/400、HP-UX等)和设备(路由器、交换机等)的完整列表。EventLog Analyzer正在从中收集日志。显示的设备列表根据从下拉列表中选择的设备组进行分类(默认为所有组)。您可以从此部分添加新设备(+ 设备)，或添加和新计划报表(+ 计划)。您可以根据特定设备的IP地址或设备名称搜索、删除设备或设备集，以及禁用/启用从特定设备或设备集收集日志。

设备列表表格显示详细信息，如设备类型、事件摘要(错误、警告、故障、其他)、设备的连接状态、上次获取日志消息的时间以及设备所属的设备组。将鼠标移动到任何设备上都会弹出一些选项:

• 查看从特定设备收集的最近10个事件。
• 更新设备详细信息。
• Ping设备。
• 启用/禁用从设备收集日志。

您甚至可以通过点击列选择器图标来自定义要在设备表中显示的列，或增加每页显示的设备数(从每页最少5个设备增加到每页最多200个设备)。使用下拉菜单，您可以仅列出活动设备或启用的设备，并可以选择将同步设备排除在ADAudit Plus之外。

应用

应用部分提供了一个概述饼形图(可以细化到原始日志信息)，并列出了从哪些设备接收到或导入到EventLog Analyzer中的IIS W3CWeb服务器、IIS W3Cftp服务器、MS SQL服务器、Oracle Live Audit、DHCP Windows/Linux服务器、ApacheWeb服务器或打印服务器的应用日志。显示的设备列表根据从下拉列表中选择的应用类型进行分类。通过从动作下拉列表中选择+ 导入，可以将应用日志导入EventLog Analyzer。

应用设备列表显示设备名称、应用类型、事件总数、最近记录、导入时间、开始时间和结束时间等详细信息。点击设备名称或饼图中的相应部分，可获得应用事件数据的完整概览，并生成相应的报表。您甚至可以通过点击列选择器图标来自定义要在应用设备表中显示的列。

文件完整性监控

文件完整性监视仪表板提供有关对Windows、Linux和Unix计算机上的文件和文件夹所做更改的信息。它对创建、删除、修改和重命名的文件和文件夹进行制表和报表。它还显示对文件和文件夹权限所做的更改。

在此仪表板的顶部，您可以找到管理文件完整性监视标签，该标签允许您添加、删除和管理文件完整性监视设备。FIM 告警标签允许您配置异常文件和文件夹修改的告警。FIM计划报表标签可帮助您查看和导出计划报表。

日期和时间

您可以使用提供的日期和时间框生成和查看所需时间范围内的所有审计报表。

设置图标

设置图标显示多个选项，可通过添加、管理和排序显示的部件和标签来自定义所有仪表板。您还可以使用刷新间隔选项刷新产品中对时间范围所做的更改。

报表

此标签显示一个仪表板，其中包含网络中发生的所有事件的报表。在左上角，您可以找到一个下拉菜单，允许您选择和查看基于设备、应用程序、文件监控、威胁、漏洞和虚拟机的报表。您还可以通过点击此下拉菜单中的所需选项来查看自定义报表、基于用户的报表以及排行和趋势报表。通过导出为下拉菜单，您可以将报表导出为sCSV或PDF格式。您可以通过点击计划报表中的+ 添加选项来计划报表。

在左窗格中，您可以找到在将日志源添加到EventLog Analyzer时自动生成的多个预定义报表。您还可以通过点击屏幕左下角的管理报表标签来创建自定义报表。计划报表标签允许您查看现有的计划报表，并在需要时将其导出。

合规性

合规性标签提供各种合规性政策(即FISMA、PCIDSS、SOX、HIPAA、GLBA、GPG和ISO 27001：2013年)所要求的一组即用报表。+ 添加选项允许您创建和选择您选择的新合规性策略所需的报表。编辑选项允许您自定义每个合规性策略下可用的报表。

搜索

搜索标签提供了两个选项来搜索原始日志：基本搜索或高级搜索。搜索结果显示在页面的下半部分，最终搜索结果可以保存为报表(PDF或CSV格式)，也可以计划以预定义的时间间隔生成并自动发送到指定的邮箱地址。

如果您对手动构建搜索查询感兴趣，则可以使用基本搜索。在这里，您可以使用短语搜索、布尔搜索、分组搜索和通配符搜索来构建搜索查询。您可以使用高级搜索通过字段值对和关系运算符轻松交互地构建复杂的搜索查询。可以从搜索结果中提取新的字段，并且可以构建正则表达式(Regex)模式，以便在EventLog Analyzer接收的新日志中轻松识别、解析和索引这些字段。

相关性

相关性引擎分析从网络的不同部分收集的日志，并针对可疑的事件模式生成告警。默认情况下，仪表板显示最近事件的报表。您可以通过点击仪表板中的管理规则来创建和修改关联规则。

告警

此标签显示仪表板中的活动告警数量及其严重性。您可以在仪表板中查看有关告警的表格信息、告警的生成时间、状态及其对应的响应工作流(如果已配置)。

设置

本节允许您根据需要配置EventLog Analyzer。它有三个小节，如下所示:

配置设置

此部分允许您管理设备、设备组、应用程序源、导入日志数据、威胁源、文件完整性监视、漏洞数据、FIM模板和vCenter。您还可以从此部分配置威胁管理和日志转发。

管理设置

此部分允许您通过管理告警配置文件、归档、技术员和角色、数据库保留设置、日志收集过滤器、工作时间设置、产品设置、日志收集失败告警、仪表板配置文件、隐私设置、登录设置、域和工作组、报表配置文件、资源分组、自定义日志解析器、标记和Log360 Cloud平台来执行各种管理活动。

系统设置

此部分允许您配置各种设置，包括通知设置、服务器诊断、数据库访问、重新标记、NT服务、连接设置和监听程序端口。

添加

该标签允许您轻松添加来自设备和应用的日志源。它还允许您从其他来源导入日志。您可以从此选项卡添加告警配置文件、日志过滤器和创建自定义报表。