Symantec Endpoint解决方案
EventLog Analyzer 从 Symantec Endpoint Solutions 收集日志数据并以图形报表的形式呈现。对于开始收集此日志数据的解决方案,必须将其添加为威胁源。
添加 Symantec Endpoint Solutions 设备作为威胁源:
要将 Symnatec Endpoint Solutions 设备添加为威胁源,必须配置 syslog 服务。
- 以管理员身份登录到 Symantec Endpoint Protection 设备。
- 点击管理 > 服务器。选择必须从中导出日志数据的本地站点或远程站点。
- 点击配置外部日志。
- 在常规标签,从更新频率列表中,选择将日志数据发送到文件的频率。
- 在主日志服务器列表中,选择日志应发送到的管理服务器。
- 勾选启用将日志传输到系统日志服务器选项。
- 在给定的字段中输入以下详细信息。
- Syslog服务器- 输入EventLog Analyzer IP地址或域名。
- 目的地端口 - 选择要使用的协议,并输入syslog服务器应用于侦听syslog消息的目标端口。
- 日志设施 - 输入您希望系统日志配置文件使用的日志工具的编号。有效值范围为0到23。或者,您可以使用缺省值。
- 点击确定。
- 在EventLog Analyzer控制台,点击设置 > 日志源配置 > 应用程序 > 安全应用 > 添加安全程序。
- 点击+图标,从现有设备列表中选择您已添加的设备。
- 从插件类型列表中选择Symantec Endpoint。
- 点击添加。
一旦添加了威胁源,EventLog Analyzer就会开始解析日志中的字段。现在可以以报表的形式查看日志数据。
这些报表提供了以下方面的信息:
- 安全风险
- 病毒检测
- 端口扫描
- 商业应用安装
- 威胁活动
- HIPS活动
EventLog Analyzer还提供了以下报表:
|
