Netværksenheder genererer forskellige hændelser, der logføres lokalt, hvor de kan gennemgås og analyseres af en administrator. Hvis dit netværk hoster et stort antal enheder, er det dog tidkrævende og upraktisk at indsamle hændelseslogfiler fra alle disse enheder.
Syslog, altså systemlogføringsprotokol, er en standardprotokol, der løser dette problem ved at sende systemlogfiler eller hændelsesmeddelelser til en central syslogserver. Denne protokol er aktiveret på de fleste netværksenheder, herunder routere, switche og firewalls. Syslog er også tilgængelig på Unix- og Linux-systemer og webservere som Apache.
EventLog Analyzer fungerer som en syslogserver og indsamler meddelelser om hændelser fra enheder i hele dit netværk. Den kan også videresende de indsamlede logfiler til en tredjepartsserver eller et SIEM-program (Security Information and Event Management).
EventLog Analyzers syslog-videresendelse er designet til at modtage syslogs og sende dataene til det relevante system. EventLog Analyzer lytter på den udpegede UDP-port (User Datagram Protocol), som standard port 513. Når EventLog Analyzers UDP-videresendelsesprogram modtager logfilerne, videresender det oplysningerne til den angivne destinationsserver. Logfiler fra syslogenheder videresendes som rå logfiler, mens logfiler fra andre hændelseskilder konverteres til RFC 3164 eller RFC 5424 og videresendes til den ønskede destinationsvært.
Den største fordel ved EventLog Analyzer er, at den kan fungere som både syslogserver og videresendelsesprogram.
Syslog-videresendelse er en måde til at sikre, at alvorlige hændelser logføres og gemmes et andet sted end på den oprindelige server. En angribers første træk efter at have kompromitteret et system er at dække de spor, de har efterladt i loggen, men disse videresendte hændelser vil være uden for deres rækkevidde. Replikering af de indsamlede logfiler på en anden server kan bruges som backup, hvis de oprindelige data går tabt. De replikerede data kan også bruges til at krydstjekke, om der er blevet pillet ved de originale data.
EventLog Analyzer tilbyder logadministration, overvågning af filintegritet og hændelseskorrelationsfunktioner i realtid i en enkelt konsol, hvilket hjælper med at opfylde SIEM-behov, bekæmpe sikkerhedsangreb, og forhindre databrud.
Analysér hændelseslogfildata for at opdage sikkerhedshændelser som fil- og mappeændringer, registreringsdatabaseændringer og meget mere. Undersøg DDoS-, flood-, syn- og spoof-angreb i detaljer med foruddefinerede rapporter.
Analysér programlogfiler fra IIS- og Apache-webservere, Oracle- og MS SQL- databaser, DHCP Windows- og Linux-programmer og meget mere. Afbød programsikkerhedsangreb med rapporter og advarsler i realtid.
Overvåg alle typer logdata fra Active Directory-infrastruktur. Spor fejlhændelser i realtid, og generer brugerdefinerede rapporter for at overvåge bestemte Active Directory-hændelser af interesse.
Overvåg og spor privilegerede brugeres aktiviteter for at opfylde PUMA-krav. Få klar-til-brug-rapporter om kritiske aktiviteter som mislykket login, årsagen dertil og meget mere.
Udfør dybtgående forensisk analyse for at rekonstruere angreb og identificere rodårsagen til hændelser. Gem søgninger som advarselsprofil for at afbøde fremtidige trusler.