分享一款可视化界面的日志管理工具

自从计算机系统诞生,日志分析就作为故障诊断的手段之一,也就有了日志管理一说。但初期的日志管理,大多以收集IT网络资源产生的各种日志,统一存储,以备查询为目的。

而到了上世纪90年代末期,出现了SIM(Security Information Management - 安全信息管理)和SEM(Security Event Management - 安全事件管理)这两个技术,这些技术建立在最早的日志管理之上,并更多地关注日志采集后的分析、审计、发现问题。

当时在产品化方面还比较初级,多见于研究领域。直到2005年,Gartner提出了SIEM的概念,首次将SIM和SEM整合到了一起,强调SIM关注于内控,包括特权用户和内部资源访问控制的行为监控,合规性管理;而SEM则关注于内外部的威胁行为监控,安全事故应急处理,更偏重于安全本身。从此,日志分析管理才算掀开了新的篇章。

好的日志管理解决方案,必须解决客户在合规性、运维支撑、威胁检测、取证分析方面的需求,除了集中管理、存储来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)外,还应能够实时监控、历史分析、审计分析、调查取证、出具报表。

鉴别出来自外部的入侵和内部的违规、误操作行为,从而实现IT资源合规性管理的目标,提升企业和组织的安全运营、威胁管理和应急响应能力。推荐的这一款EventLog Analyzer日志审计就特别好用。

在国外,IT环境及IT行为合规性的重要性,早就得到政府、机构和企业的认可。而日志分析和审核被认为是达到合规性的一个重要手段和途径。因此在构建IT环境时,除了采购所需的硬件设备之外,还会配备必要的软件产品。

而国内,用户大都集中在硬件投资上,而忽略了配套软件或监管手段。即使有的单位上了相应的项目,大多也以SOC为主,搞所谓的高大全、华而不实,起不到应有的作用。

据权威机构对来自58个国家的数万份问卷调查统计,有超过52%的IT机构依然靠人工或者自制脚本进行日志管理,而采用专用解决方案管理日志的IT机构不足48%。在国内部署专用解决方案的数量要远低于该数值。

就日志分析而言,实现异源日志的全收集、海量存储,通过强大的分析、搜索引擎,为用户提供多方位、全视角的分析报表,才能满足SIEM的管理要求。从而为客户带来实实在在的管理效益。

EventLog Analyzer能够支持一切人类可读格式的日志。如 - Windows/Linux/Unix主机的事件日志;路由器及交换机等Syslog的设备;IIS网络服务器、IIS FTP服务器、MS SQL服务器、Oracle 数据库服务器、DHCP - Windows和DHCP - Linux服务器的应用日志。

日志统一集中管理 - 对采集的所有日志、事件和告警信息统一完整存储,帮助企业和组织建立一个集中日志数据库,为故障排除和信息取证提高可靠的来源和依据。

过滤与钻取机制

根据事件类型、严重程度等设置日志过滤规则,有选择地保存关键的事件日志,便于搜索特定事件和优化数据库容量。从事件报表深入钻取,查看有关某台主机或设备的事件具体信息。

日志数据关联功机制

为了解除复杂的网络攻击,IT安全管理人员必须对网络基础架构的日志数据进行实时关联。增强网络安全性,在攻击或破坏发生之前,主动检测网络上的异常事件。日志数据相关性自动检测并提供关于漏洞、网络用户活动、策略违规、网络异常、系统停机时间和网络安全威胁的实时告警。

实时告警与自动响应

系统预定义丰富的告警标准,同时支持灵活自定义告警的标准,便于监控特定的对象。当生成的事件符合标准时,系统产生告警并自动通过短信、Email、SNMP Trap等方式通知用户,并能够自动执行预定义命令行程序。

自动报表

内建丰富的Top-N、趋势、合规性和用户活动报表,并支持创建自定义报表,便于通过报表和图表数据直观查看和分析事件日志的分析结果。系统还能够自动生成分析报告,输出PDF或CSV格式文件,并通过Email提交给用户。

分布式日志审计

提供分布式版本,便于从分布式网络采集和分析事件日志,实现日志统一管理。满足跨地域企业和管理服务提供商的日志审计需求,降低企业总体拥有成本(TCO)。

使用EventLog Analyzer,管理员可通过监控并分析来自各种网络设备和应用程序的日志数据,更好地了解安全威胁并满足监管合规要求。

该合规报表软件通过收集、分析和存档从您的网络基础设施接收到的Windows事件日志和Syslog,让您生成预定义/自定义的合规报表,如GDPR,PCI DSS、FISMA、GLBA、SOX、HIPAA、ISO 27001等。

EventLog Analyzer通过实时监控您的网络和敏感数据,轻松生成合规报表。该解决方案可帮助各组织为自定义时间段内的日志数据进行保留/归档。根据灵活的时间段归档日志数据可帮助管理员对归档日志执行取证分析,以满足合规审核要求、调查数据窃取及追踪网络入侵者。

官方下载链接:

https://www.manageengine.cn/products/eventlog/