概述
EventLog Analyzer是一个基于Web的,实时的用于日志收集和合规性管理的信息安全和事件管理(SIEM)解决方案,可以提升你内部网络的安全,满足你最新的IT审计需求。通过无代理的架构,EventLog Analyzer可以对日志进行收集、分析、查找、报表、归档。支持大量的日志类型:系统日志(Windows、Linux、UNIX等等),网络设备(路由、交换机等等),应用程序(Oracle、Apache等等)。提供了对网络中用户活动、策略违反、网络异常和内部威胁的深刻洞察。网络管理员和IT经理用Evenglog Analyzer进行网络系统审计,为各种法案(SOX、HIPAA、PCI DSS、GLBA等)生成合规性报表。
EventLog Analyzer可以用于:
- 监视跨越地理区域的服务器、工作站、设备和应用程序的网络活动。
- 监视用户活动,例如用户的登录/注销、登录失败、对象访问等等。
- 生成排行报表:网络事件、用户活动和网络事件趋势。
- 生成法案的合规性报表:PCI-DSS、HIPAA、FISMA、SOX、GLBA以及其他的法律法规。
- 提供对各种日志的搜索进行日志取证,并把查询结果保存为报表。
- 配置通过邮件或短信对指定的事件、网络异常和合规性违反进行告警。
- 生成告警或通过执行脚本或程序来自动修复安全问题。
- 定制IT报表来进行内部安全审计。
- 为IT审计员创建定制的合规性报表。
- 指定自动生成报表,分发报表的计划。
- 防篡改的日志归档数据可以用来进行法学鉴定和合规性审计。
从机器和应用程序中获取日志
ManageEngine EventLog Analyzer支持分布式的Windows主机的事件日志,Linux/Unix主机、路由器、交换机和其他网络设备的Syslog,IIS Web/FTP服务器、打印机服务器、微软SQL Server、Oracle数据库服务器、DHCP Windows/Linux服务器的应用日志。要进行实时的事件日志收集,应该要收集日志的Windows主机上开启DCOM、WMI、RPC服务。要进行实时的syslog收集,确保在Evenglog Analyzer中配置了具体(Cisco设备或UNIX或HP-UX或Solaris或IBM AIX)机器的syslog或者syslog-ng服务端口。而对于应用程序日志,EventLog Analyzer周期性(通过HTTP或FTP)地从应用所在主机上导入日志。你可以导入分析Windows和Linux的原来的老日志。
- 对于实时Windows事件日志收集,必须在远程Windows计算机中启用DCOM,WMI和RPC,以便EventLog Analyzer收集日志。
- 对于实时syslog收集,请确保将syslog侦听器端口配置为侦听该特定设备(Cisco设备,UNIX,HP-UX,Solaris或IBM AIX)上运行syslog或syslog-ng服务的端口。
- 对于应用程序日志,可以安排定期从应用程序设备导入日志(HTTP或FTP)。您还可以从Windows和Linux计算机上导入和分析较旧的日志。
搜索任意日志并提取新的字段来扩展搜索
EventLog Analyzer提供了支持搜有的日志类型的“通用日志搜索”引擎。通用日志搜索通过“字段提取”来实现,除了Evenglog Analyzer默认提供用于分析和索引日志的字段,你可以从你日志中定义/提取新的字段。当创建了新的字段后,Evenglog Analyzer在随后收集的日志中,自动分析索引这些新的字段。这样大大地提高了搜索性能,并其实现了对任意日志类型的支持。
获取IT审计报表来对网络安全和规章制度合规性进行评估
EventLog Analyzer默认提供了大量报表来定位重要的内部安全事件。这些报表包括:网络事件、网络审计和网络活动趋势的排行报表。Evenglog Analyzer提供了方便地,不受数量限制的定制报表功能,可以满足IT部门的负责需求。除了大量SOX、HIPAA、GLBA、FISMA和PCI法案的报表,EventLog Analyzer可以让你定制报表来满足其他法案的要求,例如ISO27001/2、美国联邦存款保险公司(FDIC)审计要求。通过Evenglog Analyzer你可以计划周期性地为众多用户生成和分发多种格式的报表。
实时的事件收集,及时的告警通知和快速修复
EventLog Analyzer提供了其他强大的功能,如实时的事件收集和及时的告警通知。你可以配置基于阈值或者异常事件进行告警通知,你可以通过邮件或短信立即收到告警通知。当生成告警的时候,你可以执行定制的脚本或程序来快速修复出现的问题。
|