Coleta de logs abrangente no EventLog Analyzer
A primeira etapa no gerenciamento de logs é coletar dados de logs. A coleta de logs pode ser uma tarefa desafiadora, pois alguns sistemas, como firewalls, sistemas de detecção de intrusões e sistemas de prevenção de intrusões, possuem EPS (eventos por segundo) que geram grandes quantidades de dados de logs. Para coletar e processar esses dados em tempo real, independentemente do volume de dados de logs e do número de dispositivos na rede, as organizações precisam de um mecanismo robusto de coleta de logs.
Cada rede tem diferentes sistemas e ambientes que geram vários formatos de logs, como logs de eventos, syslogs e outros logs de aplicações. As informações obtidas de um log de roteador diferem daquelas obtidas de um firewall. Além disso, alguns logs não podem ser coletados diretamente, como aqueles em DMZs. Em resumo, os coletores de log precisam ser suficientemente flexíveis para acomodar todos os dispositivos e aplicações de rede.
Coleta de logs baseada em agentes e sem agentes
O EventLog Analyzer pode coletar logs de várias fontes, como sistemas Windows, sistemas Unix/Linux, aplicações, bancos de dados, firewalls, roteadores, switches e IDS/IPS. Os dispositivos Windows não exigem que os agentes coletem logs, enquanto os dispositivos syslog exigem, principalmente para fins de balanceamento de carga. Dessa forma, o EventLog Analyzer foi projetado para oferecer suporte a mecanismos de coleta de logs baseados em agentes e sem agentes para atender a todos os dispositivos e aplicações na rede. A arquitetura do EventLog Analyzer é escalável e pode suportar até 20.000 fontes de logs.
Antes de começar a usar o software de gerenciamento de logs, certifique-se de definir as configurações de coleta de logs de cada dispositivo. Dessa forma, você economizará espaço de armazenamento, salvando apenas os logs realmente necessários. Você pode definir as configurações de coleta de logs usando a política de grupo local ou o serviço syslog.
Coleta universal de logs
O EventLog Analyzer também oferece suporte à coleta universal de logs com sua tecnologia Universal Log Parsing and Indexing (ULPI), que permite aos administradores de segurança decifrar e analisar quaisquer dados de logs, independentemente da sua origem e formato. Os dados de logs coletados são agregados centralmente e apresentados em um único console para fontes de logs em todos os locais.
Coleta de logs personalizada
O EventLog Analyzer oferece suporte à coleta de logs personalizada, o que significa que pode coletar eventos de arquivos de texto em computadores Windows e Linux. Algumas aplicações não seguem os serviços de geração de logs padrão — log de eventos do Windows e syslog — e registram informações como arquivos de texto. Quando esses logs são coletados, eles são analisados em campos personalizados criados para esses dados de log específicos.