- Ключевые основные моменты
- Все возможности
- Управление журналами
- Управление журналами приложений
- Аудит соответствия требованиям в ИТ
- Мониторинг безопасности
- Мониторинг сетевых устройств
- Отчеты о мониторинге системы и пользователей
- Связанные продукты
- Log360 (On-Premise | Cloud) Интегрированная служба SIEM с расширенной аналитикой угроз и анализом поведения пользователей и объектов (UEBA) на базе машинного обучения
- ADManager Plus Управление и отчетность Active Directory, Microsoft 365 и Exchange
- ADAudit Plus Аудит изменений Active Directory, файлов и серверов Windows в режиме реального времени
- ADSelfService Plus Самообслуживание паролей, многофакторная проверка подлинности (MFA) конечных устройств, условный доступ и корпоративный единый вход (SSO)
- DataSecurity Plus Аудит файлов, предотвращение утечки данных и оценка связанных с данными рисков
- Exchange Reporter Plus Отчетность, аудит и мониторинг для гибридной службы Exchange и Skype
- M365 Manager Plus Управление, отчетность и аудит для Microsoft 365
- RecoveryManager Plus Резервное копирование и восстановление для Active Directory, Microsoft 365 и Exchange
- SharePoint Manager Plus Отчетность и аудит SharePoint
- AD360 Управление удостоверениями и доступом работников для гибридных экосистем
Сетевые устройства генерируют различные события, которые регистрируются локально, где их может просмотреть и проанализировать администратор. Однако если в сети имеется большое количество устройств, сбор журналов событий с каждого из этих устройств будет трудоемким и нецелесообразным.
Syslog (протокол ведения журналов системы) - это стандартный протокол, который решает эту проблему путем отправки системных журналов или сообщений о событиях на центральный сервер системного журнала. Этот протокол включен на большинстве сетевых устройств, включая маршрутизаторы, коммутаторы и межсетевые экраны. Протокол также доступен в системах на базе Unix и Linux, а также на веб-серверах, таких как Apache.
EventLog Analyzer действует как сервер системного журнала и собирает сообщения о событиях с устройств по всей сети. Он также может пересылать собранные журналы на сторонний сервер или в приложения для управления информационной безопасностью и событиями безопасности (SIEM).
Как работает пересылка системных журналов EventLog Analyzer
Пересылка системных журналов EventLog Analyzer предназначена для получения системных журналов и отправки данных в соответствующую систему. EventLog Analyzer прослушивает назначенный порт протокола пользовательских дейтаграмм (UDP), которым по умолчанию является порт 513. Получив журналы, инструмент пересылки UDP в EventLog Analyzer пересылает информацию на указанный сервер назначения. Журналы с устройств системных журналов пересылаются как необработанные журналы, в то время как журналы из других источников событий преобразуются в RFC3164 или RFC5424 и пересылаются на нужный целевой хост.
Самым большим преимуществом EventLog Analyzer является то, что он может функционировать и как сервер системного журнала, и как инструмент пересылки.
Преимущества пересылки syslog
Пересылка системного журнала позволяет гарантировать, что критические события регистрируются и хранятся в месте, отдельном от исходного сервера. Первым шагом злоумышленника после взлома системы является заметание следов, оставленных им в журнале, однако эти пересланные события будут вне его досягаемости. Репликация собранных журналов на другом сервере может использоваться в качестве резервной копии в случае потери исходных данных. Воспроизведенные данные также можно использовать для перекрестной проверки исходных данных на предмет их подмены.
Другие функции
SIEM
EventLog Analyzer предлагает возможности управления журналами, мониторинга целостности файлов и корреляции событий в реальном времени в единой консоли, что помогает удовлетворить потребности SIEM, бороться с атаками безопасности и предотвращать утечки данных.
Мониторинг журналов событий Windows
Анализируйте данные журнала событий для обнаружения событий безопасности, таких как изменения файлов/папок, изменения реестра и многое другое. Подробно изучайте атаки DDoS, Flood, Syn и Spoof с помощью предустановленных отчетов.
Анализ журналов приложений
Анализируйте журналы приложений с веб-серверов IIS и Apache, баз данных Oracle и MS SQL, приложений DHCP Windows/Linux и т. д. Уменьшите риск атак на безопасность приложений с помощью отчетов и оповещений в режиме реального времени.
Мониторинг журналов Active Directory
Мониторинг всех типов данных журналов из инфраструктуры Active Directory. Отслеживайте сбои в режиме реального времени и создавайте индивидуальные отчеты для мониторинга интересующих вас событий Active Directory.
Мониторинг привилегированных пользователей
Мониторинг и отслеживание действий привилегированных пользователей для соблюдения требований PUMA. Получайте готовые отчеты о критических действиях, таких как сбои входа в систему, причины сбоев входа в систему и многое другое.
Криминалистический анализ журналов
Проводите углубленный криминалистический анализ для отслеживания атак и выявления первопричин инцидентов. Сохраняйте поисковые запросы как профиль оповещения для снижения будущих угроз.