Windows 设备是大多数企业网络中最受欢迎的选择。为了处理这些设备生成的数 TB 的事件日志数据，安全管理员可以使用EventLog Analyzer，这是一个强大的日志管理工具，提供端到端的事件日志管理。该解决方案可以自动化流程，包括收集网络中的日志，并在预定时间归档这些日志。

EventLog Analyzer

以下部分涵盖了事件日志管理中涉及的各个步骤，并解释了 EventLog Analyzer 如何处理这些步骤。

一、事件日志收集

事件日志管理工具的一个重要功能是从每个可能的来源收集事件日志。EventLog Analyzer 的事件日志收集功能非常出色，支持无代理和基于代理的日志收集方法。

二、事件日志过滤器

网络中生成的大多数事件日志表示日常活动。这带来了两个挑战：

发现提供安全信息的事件日志。

维护用于保存所有收集的事件日志所需的存储空间。

为了应对这些挑战，EventLog Analyzer 提供了事件日志过滤器，可用于对收集的日志进行排序，以查找从安全角度来看具有重要意义的日志。这些可自定义的过滤器基于事件日志源、用户或日志组件。所有事件日志都可以通过 EventLog Analyzer 自动存档以备将来参考。

日志过滤

三、事件日志解析器

为了从收集的事件日志中获得最大收益，日志管理工具解析事件日志至关重要。EventLog Analyzer 有一个内置的事件日志解析器，可以对事件日志进行规范化、解析和索引。

通过例子理解解析

让我们记录一个包含设备名称和用户名的日志；虽然这些信息很容易获得，但不清楚哪个名称是给设备的，哪个是给用户的。EventLog Analyzer 的事件日志解析器将事件日志分解，以便不同的信息（例如，设备名称和用户名）各自显示为自己的日志，然后将它们分组到适当的部分。

四、事件日志分析和关联

日志分析对于事件日志管理工具作为一种有效的安全工具执行非常重要。EventLog Analyzer使用其日志解析器加速事件日志分析。EventLog Analyzer 的关联引擎进一步加强了这一点。

关联日志

EventLog Analyzer 的关联引擎可以通过自动从其数据库中检索事件日志并将它们与来自其他来源的格式化日志进行比较，从而使您免于手动关联日志数据的繁琐过程。这将有助于检测可能代表网络攻击的任何事件链。

五、事件日志搜索和取证分析

IT 管理员通常需要在其组织中执行取证日志分析。在取证日志分析期间，管理员必须搜索日志以找到他们需要的信息，但是 Windows 设备生成的大量事件日志使得手动搜索这些日志几乎不可能。

EventLog Analyzer有一个易于学习和使用的专用搜索模块。它支持包含通配符和布尔运算符的搜索查询；您还可以执行分组和范围搜索。要使用 EventLog Analyzer 搜索事件日志，您可以利用连续提示来构建逻辑查询，此工具将呈现与您的查询匹配的所有日志。

日志归档

六、事件日志归档

归档和正确处理收集的事件日志是事件日志管理周期的重要组成部分。此外，主要的 IT 安全监管机构会仔细审查组织对事件日志归档的流程。它们中的大多数规定了需要存储事件日志的天数，然后才能永久删除日志。

通过部署 EventLog Analyzer，组织可以自动化事件日志归档。您可以指定将收集的事件日志移至存档的天数，并自定义永久删除存档事件日志的天数。这些值可以根据您的业务需要遵守的合规性要求和内部审计要求来决定。EventLog Analyzer 的事件日志存档功能将帮助企业遵守所有主要 IT 要求，例如 HIPAA、SOX、GLBA、PCI DSS 和 GDPR。

了解EventLog Analyzer的更多功能，请关注“运维有小邓”，小邓将带您了解更多IT运维新知识！