事件日志管理

Windows 设备是大多数企业网络中最受欢迎的选择。为了处理这些设备生成的数 TB 的事件日志数据,安全管理员可以使用EventLog Analyzer,这是一个强大的日志管理工具,提供端到端的事件日志管理。该解决方案可以自动化流程,包括收集网络中的日志,并在预定时间归档这些日志。

以下部分涵盖了事件日志管理中涉及的各个步骤,并解释了 EventLog Analyzer 如何处理这些步骤。

事件日志收集

事件日志管理工具的一个重要功能是从每个可能的来源收集事件日志。EventLog Analyzer 的事件日志收集功能非常出色,支持无代理和基于代理的日志收集方法。

 
 

无代理事件日志收集:

此方法涉及使用 Windows 设备中的本机机制收集事件日志。EventLog Analyzer 可以与网络中的 Windows 设备通信,并通过 WMI、DCOM 和 RPC 等机制收集事件日志。

了解更多>>
 
 

基于代理的事件日志收集:

在本地机制无法用于日志收集的情况下,EventLog Analyzer 与事件日志收集代理捆绑在一起。此代理需要安装在日志源中,以便与 EventLog Analyzer 的服务器通信并将事件日志传送到该服务器。

了解更多>>

事件日志过滤器

网络中生成的大多数事件日志表示日常活动。这带来了两个挑战:

  • 发现提供安全信息的事件日志。
  • 维护用于保存所有收集的事件日志所需的存储空间。

为了应对这些挑战,EventLog Analyzer 提供了事件日志过滤器,可用于对收集的日志进行排序,以查找从安全角度来看具有重要意义的日志。这些可自定义的过滤器基于事件日志源、用户或日志组件。所有事件日志都可以通过 EventLog Analyzer 自动存档以备将来参考。

事件日志解析器

为了从收集的事件日志中获得最大收益,日志管理工具解析事件日志至关重要。EventLog Analyzer 有一个内置的事件日志解析器,可以对事件日志进行规范化、解析和索引。

通过例子理解解析

让我们记录一个包含设备名称和用户名的日志;虽然这些信息很容易获得,但不清楚哪个名称是给设备的,哪个是给用户的。EventLog Analyzer 的事件日志解析器将事件日志分解,以便不同的信息(例如,设备名称和用户名)各自显示为自己的日志,然后将它们分组到适当的部分。

事件日志分析和关联

日志分析对于事件日志管理工具作为一种有效的安全工具执行非常重要。EventLog Analyzer使用其日志解析器加速事件日志分析EventLog Analyzer 的关联引擎进一步加强了这一点。

EventLog Analyzer 的关联引擎可以通过自动从其数据库中检索事件日志并将它们与来自其他来源的格式化日志进行比较,从而使您免于手动关联日志数据的繁琐过程。这将有助于检测可能代表网络攻击的任何事件链。

事件日志搜索和取证分析

IT 管理员通常需要在其组织中执行取证日志分析。在取证日志分析期间,管理员必须搜索日志以找到他们需要的信息,但是 Windows 设备生成的大量事件日志使得手动搜索这些日志几乎不可能。

EventLog Analyzer有一个易于学习和使用的专用搜索模块。它支持包含通配符和布尔运算符的搜索查询;您还可以执行分组和范围搜索。要使用 EventLog Analyzer 搜索事件日志,您可以利用连续提示来构建逻辑查询,此工具将呈现与您的查询匹配的所有日志。

事件日志归档

归档和正确处理收集的事件日志是事件日志管理周期的重要组成部分。此外,主要的 IT 安全监管机构会仔细审查组织对事件日志归档的流程。它们中的大多数规定了需要存储事件日志的天数,然后才能永久删除日志。

通过部署 EventLog Analyzer,组织可以自动化事件日志归档。您可以指定将收集的事件日志移至存档的天数,并自定义永久删除存档事件日志的天数。这些值可以根据您的业务需要遵守的合规性要求和内部审计要求来决定。EventLog Analyzer 的事件日志存档功能将帮助企业遵守所有主要 IT 要求,例如 HIPAA、SOX、GLBA、PCI DSS 和 GDPR。

其它功能

系统日志管理

从路由器、交换机、防火墙、IDS/IPS、Linux/Unix 服务器等收集和分析 Syslog 数据。获取每个安全事件的深入报表。接收异常和违规的实时告警。

应用日志分析

分析来自 IIS 和 Apache Web 服务器、Oracle 和 MS SQL 数据库、DHCP Windows 和 Linux 应用程序等的应用程序日志。通过报表和实时告警缓解应用程序安全攻击。

Active Directory 日志监控

监控来自 Active Directory 基础结构的所有类型的日志数据。实时跟踪故障事件并构建自定义报表以监控您感兴趣的特定 Active Directory 事件。

IIS日志监控

集中监控和审计 IIS Web 服务器日志。通过使用即时电子邮件/短信告警检测异常事件来保护 IIS 服务器。获取有关服务器错误和攻击的预定义报表。

特权用户监控

监控和跟踪特权用户活动以满足 PUMA 要求。获取有关登录失败、登录失败原因等关键活动的现成报表。

IT合规管理

符合监管要求的严格要求,即 PCI DSS、FISMA、HIPAA 等,并提供预定义的报表和告警。自定义现有报表或构建新报表以满足内部安全需求。

需要功能吗?告诉我们。
如果您想查看 EventLog Analyzer 中实现的其他功能,我们很乐意听到。点击此处继续。

 

保持冷静并为 GDPR 做好准备。
获取我们的“安全管理员的
GDPR生存指南”。