日志收集

日志管理的第一步是收集日志数据，日志收集可能是一项具有挑战性的任务，因为防火墙、入侵检测系统和入侵防御系统等一些系统具有生成大量日志数据的EPS（每秒事件）。为了实时收集和处理日志数据，无论日志数据量和网络中的设备数量如何，组织都需要一个强大的日志收集机制。

每个网络都有不同的系统和环境，可以生成各种日志格式，例如事件日志、系统日志和其他应用程序日志。从路由器日志中获得的信息不同于从防火墙获得的信息。此外，一些日志无法直接收集，例如非军事区中的日志。总而言之，日志收集器需要足够灵活，以容纳所有网络设备和应用程序。

基于代理和无代理的日志收集

EventLog Analyzer可以从多个日志源收集日志，如Windows系统、Unix/Linux系统、应用程序、数据库、防火墙、路由器、交换机和IDS/IPS。Windows设备不需要代理收集日志，而syslog设备主要出于负载平衡目的需要它们。因此，EventLog Analyzer旨在支持基于代理和无代理的日志收集机制，以适应网络中的所有设备和应用程序。EventLog Analyzer的架构是可扩展的，可以支持多达20,000个日志源。

在开始使用日志管理软件之前，请务必配置每个设备的日志收集设置。这样，您将仅通过保存您真正需要的日志来节省存储空间。您可以使用本地组策略或syslog服务配置日志收集设置。

通用日志收集

EventLog Analyzer还通过其通用日志解析和索引（ULPI）技术支持通用日志收集，该技术使安全管理员能够破译和分析任何日志数据，无论其来源和格式如何。收集的日志数据被集中聚合，并呈现在单个控制台中，用于跨位置的日志源。

自定义日志收集

EventLog Analyzer支持自定义日志收集，这意味着它可以从Windows和Linux计算机上的文本文件中收集事件。一些应用程序不遵循标准日志服务（Windows事件日志和syslog），而是将信息记录为文本文件。当收集这些日志时，它们被解析为为该特定日志数据创建的自定义字段。