归档
EventLog Analyzer处理的日志文件会被定期的归档,以便用于内部、鉴定和合规性审计。归档的周期和保存时间是可配置的,同时归档文件可被加密和添加时间戳,使之安全可靠,防止出现篡改。
归档日志页面列出了设备、格式、时间范围、文件大小、完整性和状态。表中的完整性列指示归档的日志是完好无损还是已被篡改。要查看所需文件,请点击页面中的复选框。要查看特定时间范围的文件,请点击页面右上角的日历图标,然后设置所需的时间段。
此外,还可以通过分别点击大小和状态旁边的选择图标,根据数据的大小和状态过滤文件。
如何加载归档文件?
- 检查归档文件的状态。如果未加载,请点击加载归档文件按钮将文件加载到数据库并搜索日志。
- 一旦文件的状态更改为已加载,请点击相应的查看按钮。
注意: 要删除文件,请选择该文件,然后点击加载归档按钮。
如果文件的状态显示“数据部分可用”,并且如果您继续加载归档,则可能会出现数据重复。
如何删除归档文件?
- 通过选中相应的复选框选择归档文件。
- 使用删除链接删除归档文件。
文件完整性
表中的完整性列指示归档的日志是完好无损还是已被篡改。如果文件已被删除或篡改,将立即发送电子邮件通知,并在屏幕上显示消息“归档文件已被篡改”。
归档设置
在此屏幕中配置归档间隔、保留期、要加密的选项、归档文件的时间戳、归档文件的保存位置和索引文件的保存位置。
注意: 归档和数据库存储是异步操作。这些操作是无关的。
-
确保启用了归档。默认情况下,它处于启用状态。取消选中该复选框可禁用归档。
-
日志在指定的时间段写入平面文件。选择所需的时间间隔。默认值为8小时。
-
将压缩平面文件(比例为20:1),并在指定的时间段创建zip文件。选择所需的时间间隔。默认值为1天。
- 日志可以两种格式归档:带有解析字段的原始日志和原始日志。“带解析字段的原始日志”将与元数据一起存储,而“原始日志”将不带元数据存储。原始日志的存储空间将较小,但只能生成基本报告。
-
要保护归档文件,请启用文件加密。默认情况下,它将被禁用。
-
输入加载的归档文件的日志保留期。默认期限为7天
-
在归档位置框中输入归档文件的存储位置。点击“验证位置”。如果输入的存储位置有效,则会将其保存。
-
保存设置并关闭窗口。对于即时归档,请点击立即压缩按钮。
要更改日志数据的索引位置,请执行以下操作:
- 停止EventLog Analyzer服务器或服务。
- 导航到/es/config并找到elasticsearch.yml文件。
- 编辑文件的属性path.data参数以包括新的索引位置并保存文件。
- 启动EventLog Analyzer服务器或服务。
如果要移动现有索引,请将文件从现有位置复制到您选择的目标位置。默认情况下,索引将位于/ES/data位置。
注意: 如果要设置用于加密归档文件的动态密钥,请执行以下步骤:
1. 转到归档位置。默认情况下,文件归档位置为<EventLog Analyzer Home>\archive。创建文件EncryptedKey.enc。
2. 使用文本编辑器打开该文件,然后以文本形式输入动态密钥。密钥的长度应该正好是16个字符。
3. 重新启动EventLog Analyzer服务。
如果您希望将使用上述动态密钥归档的文件导入到其他安装的EventLog Analyzer中,请首先执行以下步骤:
1. 粘贴EncryptedKey.enc文件。
2. 重启产品。
3. 导入所需的归档文件。
| 
