EventLog Analyzer中的综合日志收集

日志管理的第一步是收集日志数据。日志收集可能是一项具有挑战性的任务,因为某些系统(例如,防火墙、入侵检测系统和入侵防御系统)具有生成大量日志数据的EPS(每秒事件数)。无论日志数据量和网络中的设备数量如何,实时收集和处理日志数据要求机构具有强大的日志收集机制。

基于代理的和无代理的日志收集

EventLog Analyzer可以从多个日志源收集日志,例如,Windows系统、Unix/Linux系统、应用程序、数据库、防火墙、路由器、交换机和IDS/IPS。Windows设备不需要代理就可收集日志,而syslog设备需要代理主要是为了负载均衡。因此,EventLog Analyzer被设计为支持基于代理的和无代理的日志收集机制,以迎合网络中的所有设备和应用程序。EventLog Analyzer的架构可调整规模,可支持最多20,000个日志源。

开始使用日志管理软件之前,务必配置每个设备的日志收集设置。这样一来,可通过仅保存真正需要的日志来节省存储空间。您可以使用本地组策略或syslog服务来配置日志收集设置。

通用日志收集

而且,EventLog Analyzer支持使用通用日志解析和索引(ULPI)技术进行通用日志收集,这允许安全管理员解密和分析任何日志数据,而不理会其来源和格式如何。对于不同位置的日志源,所收集的日志数据将集中汇总并显示在单个控制台中。

自定义日志收集

EventLog Analyzer支持自定义日志收集,这意味着它可以通过Windows和Linux计算机上的文本文件收集事件。某些应用程序未遵循标准日志记录服务(Windows事件日志和syslog),而是将信息记录为文本文件。收集这些日志后,它们将解析为针对该特定日志数据创建的自定义字段。