主页 » 功能 » 日志管理 » 什么是日志收集

什么是日志收集

日志管理的第一步是收集日志数据,日志收集可能是一项具有挑战性的任务,因为防火墙、入侵检测系统和入侵防御系统等一些系统具有生成大量日志数据的EPS(每秒事件)。为了实时收集和处理日志数据,无论日志数据量和网络中的设备数量如何,组织都需要一个强大的日志收集机制。

每个网络都有不同的系统和环境,可以生成各种日志格式,例如事件日志、系统日志和其他应用程序日志。从路由器日志中获得的信息不同于从防火墙获得的信息。此外,一些日志无法直接收集,例如非军事区中的日志。总而言之,日志收集器需要足够灵活,以容纳所有网络设备和应用程序。

基于代理和无代理的日志收集

EventLog Analyzer可以从多个日志源收集日志,如Windows系统、Unix/Linux系统、应用程序、数据库、防火墙、路由器、交换机和IDS/IPS。Windows设备不需要代理收集日志,而syslog设备主要出于负载平衡目的需要它们。因此,EventLog Analyzer旨在支持基于代理和无代理的日志收集机制,以适应网络中的所有设备和应用程序。EventLog Analyzer的架构是可扩展的,可以支持多达20,000个日志源。

在开始使用日志管理软件之前,请务必配置每个设备的日志收集设置。这样,您将仅通过保存您真正需要的日志来节省存储空间。您可以使用本地组策略或syslog服务配置日志收集设置。

通用日志收集

EventLog Analyzer还通过其通用日志解析和索引(ULPI)技术支持通用日志收集,该技术使安全管理员能够破译和分析任何日志数据,无论其来源和格式如何。收集的日志数据被集中聚合,并呈现在单个控制台中,用于跨位置的日志源。

自定义日志收集

EventLog Analyzer支持自定义日志收集,这意味着它可以从Windows和Linux计算机上的文本文件中收集事件。一些应用程序不遵循标准日志服务(Windows事件日志和syslog),而是将信息记录为文本文件。当收集这些日志时,它们被解析为为该特定日志数据创建的自定义字段。

轻松监控网络中的所有日志源。

获取您的免费试用