CEF格式报表

EventLog Analyzer收集CEF格式的日志数据，并以图形报表的形式呈现。要开始收集此日志数据的解决方案，必须将设备添加为威胁源。

添加具有CEF格式日志的设备作为威胁源:

要添加使用CEF作为威胁源的应用程序，必须配置syslog服务。

1. 登录到支持CEF日志格式的应用程序或设备。
2. 进入syslog服务器配置。
3. 在日志格式字段，选择CEF格式。
4. 在Syslog服务器IP地址字段中，输入<EventLog Analyzer IP地址>。
5. 输入系统日志端口并保存配置。

添加威胁源后，EventLog Analyzer将开始解析日志中的字段。现在可以以报表的形式查看这些日志数据。

1. 在EventLog Analyzer控制台，点击设置 > 日志源配置 > 应用程序 > 安全应用 > 添加安全程序。
2. 点击+图标，从现有设备列表中选择您已添加的设备。
3. 从插件类型列表中选择CEF Format。
4. 点击添加。

可用报表有:

• CEF格式概览
• 非常严重的事件
• 高严重性事件
• 中严重性事件
• 低严重性事件
• 基于事件类ID事件排行
• 基于事件名称事件排行