审计syslog设备活动

从交换机到路由器,几乎所有网络设备都会生成syslog。因为您的网络中有大量生成syslog的设备,所以审计过程(包括跟踪、监控和分析所有syslog)需要花费大量时间和精力。但是,无论这些任务需要多少精力去完成,您的机构都不能跳过这些设备的系统审查。审计有助于识别网络安全漏洞、加强网络安全策略、提高网络性能并缩短系统停机时间。

EventLog Analyzer会自动收集和分析来自所有网络设备的syslog数据并为每个设备生成审计报表,从而减轻网络设备审计带来的压力。EventLog Analyzer的审计报表是预定义的和可定制的、可安排自动传送、可以多种格式提供,最重要的是易于理解。通过创建可通过短信或电子邮件发送实时通知的告警,您可监控网络中发生的关键事件。

除了审计报表和实时告警之外,EventLog Analyzer还可对所有syslog数据进行安全归档以备将来使用。发生安全事故时,请使用日志搜索功能深入了解具体事故以回溯攻击途径。这类取证调查有助于减轻威胁并针对更深入问题进行积极防御。EventLog Analyzer可以让您实时掌握所有网络活动的情况,从而让您全面掌控网络设备。使用EventLog Analyzer审计网络设备的其他优势包括:

  • 可定制的中央仪表板。
  • 预定义的和可定制的审计报表及合规报表。
  • 能够跟踪与帐户管理、特权用户帐户、网络文件系统以及用户登录和注销活动相关的关键事件的能力。
  • 进行安全的、加密的和灵活的日志归档。
  • 通过电子邮件或短信发送的有关所有关键事件的实时告警。
  • 用于执行日志取证的高级日志搜索选项。

EventLog Analyzer支持来自所有网络设备(包括Unix/Linux机器、VMware和IBM AS/400/iSeries机器)以及运行macOS的计算机的syslog数据。EventLog Analyzer为所有这些设备提供超过130个报表,这些报表按如下形式分类:

登录和注销报表:

监控所有用户登录尝试,并识别成功的或失败的登录的趋势。查看哪些用户已登录以及他们使用的登录方法,包括SSH、SU、FTP和通过远程设备登录。

用户帐户管理报表:

查看所有基于用户的信息,以跟踪新的、已删除的、已禁用的和已重命名的用户和帐户,以及密码修改和用户权限级别更改。跟踪关键对象及其活动,以迅速检测安全威胁。

Unix邮件服务器报表:

根据发件人和远程设备查看与Unix邮件服务器有关的所有信息,例如,已接收电子邮件、已发送电子邮件和已拒绝电子邮件。审计您的邮件服务器的收件人和发件人排名、电子邮件错误、失败发送、无效电子邮件地址和存储容量。跟踪邮件服务器的操作及邮件服务器中发生的所有事务。

Unix FTP服务器报表:

通过FTP活动概述以及基于用户和远程设备的已上传和已下载文件、登录、连接、空闲会话、无传输超时和FTP操作的信息,了解文件传输协议(FTP)服务器中发生的一切。

Unix威胁报表:

监控您的网络遭受的所有攻击。通过深入分析这些威胁报表来制定积极应对措施。使用这些报表来识别反向查找错误、无效设备配置错误、无效ISP错误和拒绝服务攻击。

其他Unix报表:

还可针对Unix机器的各个方面生成其他预定义报表。一些最常用报表提供有关以下方面的信息:

  • 基于用户的成功的和拒绝的NFS安装。
  • 成功的和失败的SUDO命令。
  • 可移动USB连接。
  • 定制作业更改。
  • 已禁用的服务。
  • 已连接的和已断开连接的会话。
  • 不受支持的协议版本。
  • 设备名称和地址不匹配错误。

VMware服务器报表:

获取有关VM上的访客登录、已创建的和已删除的VM、VM中的关键更改以及VM事件概述的信息。

严重性报表、关键报表和系统报表:

  • 严重性报表:根据严重性(例如,紧急、告警、关键、错误、警告、通知、参考和调试)来跟踪事件。
  • 关键报表:根据事件、设备、远程设备查看所有关键活动以及有关趋势和整体活动的信息。
  • 系统报表:查看有关syslog服务、磁盘空间容量、yum更新、系统关闭、ASP存储容量、硬件错误和系统时间更新的信息。