Symantec DLP应用

EventLog Analyzer从Symnatec DLP应用程序收集日志数据，并以图形报表的形式呈现。要使解决方案开始收集此日志数据，必须将其添加为威胁源。

将Symantec DLP应用程序设备添加为威胁源:

要将Symnatec DLP应用程序设备添加为威胁源，必须配置syslog服务。

1. 找到并打开config\Manager.properties文件。文件路径如下
• Windows - \SymantecDLP\Protect\config 目录
• Linux - /opt/SymantecDLP/Protect/config 目录
2. 取消注释systemevent.syslog.host= line行，并指定EventLog Analyzer服务器的IP地址，如下:
   systemevent.syslog.host=xxx.xx.xx.xxx
3. 取消注释systemevent.syslog.port= line行，并指定514作为接受来自Symantec Enforce Server的连接的端口，如下:
   systemevent.syslog.port=514
4. 进行上述更改后，保存并关闭properties文件。

1. 在EventLog Analyzer控制台，点击设置 > 日志源配置 > 应用程序 > 安全应用 > 添加安全程序。
2. 点击+图标，从现有设备列表中选择您已添加的设备。
3. 从插件类型列表中选择Symantec DLP。
4. 点击添加。

一旦添加了威胁源，EventLog Analyzer就会开始解析日志中的字段。现在可以以报表的形式查看日志数据。

这些报表提供了以下方面的信息:

• 发件人
• 收件人
• 目标
• 协议
• 数据拥有者
• 严重度

此外，还提供了Symantec DLP概览报表。