网络设备会生成各种事件,这些事件在本地记录,管理员可以在其中查看和分析事件。但是,如果您的网络托管大量设备,则从这些设备中的每一个收集事件日志将既耗时又不切实际。
Syslog或系统日志记录协议是一种标准协议,可通过将系统日志或事件消息发送到中央syslog服务器来解决此问题。大多数网络设备(包括路由器,交换机和防火墙)都启用了此协议。Syslog还可以在基于Unix和Linux的系统以及Apache之类的Web服务器上使用。
EventLog Analyzer充当系统日志服务器,并从网络中的设备收集事件消息。它还能够将收集到的日志转发到第三方服务器或安全信息和事件管理(SIEM)应用程序。
EventLog Analyzer的syslog转发器旨在接收syslog并将数据发送到适当的系统。EventLog Analyzer侦听指定的用户数据报协议(UDP)端口,默认情况下为端口513。在收到日志后,EventLog Analyzer中的UDP转发器会将信息转发到指定的目标服务器。来自syslog设备的日志将作为原始日志转发,而来自其他事件源的日志将转换为RFC3164或RFC5424,并将其转发到所需的目标主机。
EventLog Analyzer的最大优点是它既可以充当系统日志服务器,又可以充当转发器。
Syslog转发提供了一种确保关键事件被记录并存储在与原始服务器不同的位置的方法。攻击者在破坏系统后的第一步是掩盖他们留在日志中的轨道,但是这些转发的事件将不为所动。如果原始数据丢失,则可以将在另一台服务器上收集的日志的复制用作备份。复制的数据还可以用于交叉检查原始数据是否已被篡改。
EventLog Analyzer在单个控制台中提供日志管理,文件完整性监视和实时事件关联功能,可帮助满足SIEM需求,应对安全攻击并防止数据泄露。
分析事件日志数据以检测安全事件,例如文件/文件夹更改,注册表更改等。使用预定义的报表详细研究DDoS,Flood,Syn和Spoof攻击。
分析来自IIS和Apache Web服务器,Oracle和MS SQL数据库,DHCP Windows和Linux应用程序等的应用程序日志。通过报表和实时告警缓解应用程序安全攻击。
监视来自Active Directory基础结构的所有类型的日志数据。实时跟踪故障事件并生成自定义报表,以监视您感兴趣的特定Active Directory事件。
监视和跟踪特权用户活动,以满足PUMA要求。获取有关关键活动(如登录失败,登录失败的原因等)的现成报表。
进行深入的取证分析,以回溯攻击并确定事件的根本原因。将搜索查询另存为告警配置文件,以减轻将来的威胁。
需要功能吗?告诉我们
如果您想查看EventLog Analyzer中实现的其他功能,我们希望听到。点击此处继续
免费版