Linux系统日志

许多机构都会使用Linux系统，审计Linux系统的syslog可以提供有关网络事件的重要信息。此信息可帮助您决定各种管理操作和安全操作。

审计Linux系统包括：

• 监控所有Linux系统登录和注销。
• 跟踪用户帐户和组的所有更改。
• 监控在网络中插入或取出可移动设备的所有实例。
• 跟踪所有sudo命令执行。
• 监控Linux邮件服务器和FTP服务器以识别所执行操作、错误等等。
• 了解所有潜在安全威胁，以便您可提前预防。
• 识别在每个严重性级别发生的所有事件，包括关键事件。
• 跟踪一些其他事件，例如，会话连接、NFS安装等等。

审计Linux系统允许您完全控制网络的安全和管理。但是，此任务很难完成。您可改用EventLog Analyzer，它是一个综合syslog管理解决方案，可维护Linux系统的安全。

使用EventLog Analyzer审计Linux系统

• 全面Linux日志管理和审计。
• 监控Linux进程、用户活动、邮件服务器等等。
• 超过100个专用于Linux系统的预定义报表，包括服务器错误报表、服务器使用情况报表和安全报表。
• 可根据需要定制、安排和导出报表，甚至可定义自定义报表。
• 报表以图形、列表和表格式提供，并且您可从任何报表条目轻松提取纯文本日志信息。
• 接收有关您想要实时跟踪的所有事件的即时电子邮件通知或短信通知。
• 关联功能提供了一组可定制规则，可在特定事件发生时逐一发出告警。
• 通过依赖于产品的日志取证功能，可对这些日志进行安全归档和轻松搜索。

Linux登录和注销报表

• 跟踪所有登录和注销，包括个别登录方法，例如，SU、SSH和FTP登录。
• 概述和排名报表将概述信息并提供登录最频繁的用户和设备列表。

可用的报表

用户登录 | SU登录 | SSH登录 | FTP或SFTP登录 | 登录概述 | 基于用户的登录排名 | 基于设备的登录排名 | 基于远程设备的登录排名 | Linux登录方法排名 | 登录趋势 | 用户注销 | SU注销 | SSH注销 | FTP或SFTP注销 | 注销概述

Linux失败登录报表

• 查看所有失败登录的列表。
• 排名报表显示登录尝试失败最频繁的用户。
• 识别多次连续认证失败的用户。
• 识别产生最多失败登录尝试的远程设备。

可用的报表

用户失败登录 | SU失败登录 | SSH失败登录 | FTP或SFTP失败登录 | 失败登录概述 | 基于用户的失败登录排名 | 基于设备的失败登录排名 | 基于远程设备的失败登录排名 | 失败登录方法排名 | 失败登录趋势 | 重复认证失败 | 无效用户登录尝试 | 使用长密码的失败登录 | 基于远程设备的重复登录失败 | 基于远程设备的重复认证失败

Linux用户帐户管理

• 发现已添加、已移除或已重命名的所有用户帐户和组。
• 识别失败的密码更改和新添加的用户。
• 了解发生最频繁的用户帐户管理任务。

可用的报表

已添加的用户帐户 | 已删除的用户帐户 | 已重命名的用户帐户 | 已添加的组 | 已删除的组 | 已重命名的组 | 密码更改 | 失败的密码更改 | 失败的添加用户操作 | Linux帐户管理事件排名

Linux可移动磁盘审计

• 审计您的Linux系统上的可移动设备的使用情况。
• 了解每次在网络中插入或取出可移动设备的详细信息。

可用的报表

插入USB| 拔出USB

Sudo命令

• 查看所有成功的和失败的sudo命令执行的详细信息。
• 识别尝试最频繁的sudo命令。

可用的报表

SUDO命令执行 | 失败的SUDO命令执行 | SUDO命令执行排名 | 失败的SUDO命令执行排名

Linux邮件服务器报表

• 获取电子邮件服务器使用模式的概述，并查看与已发送电子邮件和已接收电子邮件相关联的趋势。
• 识别发送和接收最多电子邮件的用户和远程设备。
• 发现发送、接收或拒绝最多电子邮件的域。
• 跟踪邮箱不可用、存储空间不足、命令序列无效等错误。
• 发现发生最频繁的错误。

可用的报表

已发送电子邮件概览 | 已邮件电子邮件概览 | 基于发件人的已发送电子邮件排名 | 基于远程设备的已发送电子邮件排名 | 从接收设备接收的电子邮件排名 | 发件人域排名 | 收件人域排名 | 已发送电子邮件趋势报表 | 已接收电子邮件趋势报表 | 基于发件人的已拒绝电子邮件报表 | 拒绝电子邮件的收件人排名 | 拒绝电子邮件错误排名 | 被拒绝域排名 | 被拒绝电子邮件概览 | 邮箱不可用 |存储空间不足 | 无效命令序列 | 无效电子邮件地址 | 电子邮件地址在远程端不存在 | 电子邮件错误排名 | 基于发件人的电子邮件错误排名 | 失败电子邮件传送

Linux错误和威胁

• 发现潜在的安全问题，以便您可以主动预防。
• 识别不需要更正的错误。

可用的报表

反向查找错误 | 无效设备配置错误 | 无效ISP错误 | 无效连接远程设备 | 拒绝服务攻击

Linux NFS事件

• 获取所有成功的和被拒绝的NFS安装的详细信息。
• 识别被拒绝NFS安装次数最多的用户和远程设备。

可用的报表

成功的NFS安装 | 被拒绝的NFS安装 | 基于用户的被拒绝NFS安装 | 基于远程设备的成功NFS安装排名 | 基于远程设备的被拒绝NFS安装排名

Linux的其他事件

• 获取有关所有定时作业的详细信息。
• 识别已被禁用服务。
• 查看已连接和已断开连接的会话的详细信息。
• 了解日志记录过程中的所有超时。
• 跟踪设备名或地址的不匹配错误。

可用的报表

定时作业 | 定时编辑 | 已启动定时作业 | 已终止定时作业 | 软件中止的连接 | 接收身份字符串 | 已连接的会话 | 已断开连接的会话 | 已禁止的服务 | 不受支持的协议版本 | 进行日志记录时发生超时 | 失败的更新 | 设备名不匹配错误 | 设备地址不匹配错误

Linux FTP服务器报表

• 获取所有文件下载和上传的详细信息。
• 查看有关登录、数据传输、空闲会话和连接期间发生的超时的详细信息。
• 识别执行最多FTP操作的用户和远程设备。

可用的报表

文件下载 | 文件上传 | 数据传输停止超时 | 登录超时 | 会话空闲超时 | 无传输超时 | 连接超时 | FTP报表概述 | 基于用户的FTP操作排名 | 基于远程设备的FTP操作排名

Linux系统事件

• 跟踪重要系统事件，例如，syslog服务的停止和重新启动、磁盘空间不足及yum命令的执行。

可用的报表

syslog服务已停止 | syslog服务已重新启动 | 磁盘空间不足 | 系统关闭 | Yum安装 | Yum更新 | Yum卸载

Linux严重性报表

• 查看在每个严重性级别（从紧急到调试）记录的事件。

可用的报表

紧急事件 | 告警事件 | 关键事件 | 错误事件 | 警告事件 | 通知事件 | 参考事件 | 调试事件

Linux重要报表

• 根据事件及导致生成事件的设备或远程设备来查看关键事件。
• 提供趋势报表以显示关键事件的出现模式。

可用的报表

事件的关键级别 | 基于事件的关键报表 | 基于设备的关键事件 | 基于远程设备的关键事件 | 关键事件趋势 | 关键事件概述