イベントログを操作するとき、おそらく各ドメインのデータを個別に分析する必要があるという事実に出くわしました。 さらに、特別なものが受け入れられない場合(「アーカイブログデータ」がチェックインされない場合...)、レコードにはクリア(上書き)されるプロパティがあります。 また、空き領域にはすぐに不足する能力があります。 したがって、イベントログの機能を補完するために、特別なソリューションが開発されています。 それらの一部は大規模なSIEMシステムに発展し、一部は分析、通知、統合の非常に特定のタスクを解決するように設計されています。 このレビューでは、後者のオプションについて説明します。
NetWrix Event Log Manager-イベントログとそのアーカイブからのデータを統合し、リアルタイムで特定のイベントのアラートを作成するように設計されたプログラム。 プログラムの新しいリリース(v 4.0)をリリースしました。次の機能が含まれています。
•すべてのネットワークのすべてのイベントログとsyslogデータを中央リポジトリに統合します(新しいバージョンでは、 Red Hat LinuxおよびUbuntu 11ログのsyslog監視が追加されます)。
•便利な分析、データ損失の防止、および監査の目的のための収集データの圧縮とアーカイブ。
•SQLデータベースにログエントリを保存する。
•重要なイベントを特定し、電子メール通知を送信します。
•フィルター、グループ化、および並べ替えの機能を備えたSQL Reporting Services(SRS)に基づくレポート。 情報セキュリティ標準(GLBA、HIPAA、SOX、およびPCI)の要件を満たす標準レポート。
•過去の特定の期間のレポート。
プログラムの原理を下図に示します。
NETWRIX ENTERPRISE MANAGEMENT CONSOLEの概要
フルバージョンのプログラムの操作は、NETWRIX ENTERPRISE MANAGEMENT CONSOLEコンソールを介して実行されます。これにより、監視対象オブジェクトの設定、設定の設定、レポートの設定が可能になります(無料版では、設定と設定は1つのウィンドウで実行されます)。
コンソール内では、次のことができます。
•すべてのNetWrixプログラムの設定を管理して、単一のインターフェイスを介して変更を監査する
•WindowsおよびSyslogプラットフォームの監視対象オブジェクトを作成および構成する
•高度なレポートのアクティブ化と構成(SSRSに基づく)
•リアルタイム通知をアクティブにして構成する
•長期的なデータアーカイブをアクティブにして構成する
•組み込みのブラウザーでレポートを表示する
•レポートのサブスクリプションをアクティブ化および設定する
•すべての監視対象オブジェクトの1回限りのセットアップを実行する
データ収集
NetWrix Event Log Managerは、監査データを収集し、それを監査アーカイブおよび/またはSQLデータベースに保存し、イベント概要レポートを送信します(デフォルトでは、3:00)。
イベントの最終結果を手動で取得するには、NetWrix Enterprise管理コンソールで[ 管理オブジェクト]ノードを開き、監視対象オブジェクトを選択して[ 実行 ]をクリックする必要があります 。
メールの概要
リアルタイム通知の例
報告書
NetWrix Event Log Managerで利用できるレポートには2つのタイプがあります
•イベント概要レポート
•拡張レポート(SQL Server Reporting Servicesに基づく)
イベント概要レポート
これらのレポートには、最後のレポートが生成されてから発生したエラーに関する概要情報が含まれています。 デフォルトでは、要約レポートは指定された受信者に24時間ごとに送信されます。
エラーが発生していない場合 、レポートの形式は次のとおりです。
データ収集中にエラーが検出された場合、次のタイプのメッセージがすべての受信者にすぐに送信されます。
拡張レポート
NetWrix Event Log Manager機能を使用すると、SQL Serverレポートサービスに基づいてレポートを作成できます。
プログラムには、多くの既製のレポートテンプレートがあります
レポートへのアクセスは、コンソールから取得できます( 管理対象オブジェクト-<Your_observable_object>-イベントログマネージャー-レポート )
次の種類のレポートが利用可能です。
•ベストプラクティスレポート
•一般レポート
•規制コンプライアンス
レポートは、コンソールとブラウザーの両方で表示できます
コンソールで表示:
目的のレポートを選択します管理対象オブジェクト-<Your_observed_object>-イベントログマネージャー-レポート-<report_type>
フィルターの設定とレポートの実行(レポートの表示)
ブラウザでレポートを表示
ブラウザで、SQL Server Report Managerのアドレスを入力します。 次のページが表示されます。
必要なレポートを選択し、必要に応じてフィルターを構成します。
データはサブスクリプションでも表示できます。
監査データをインポートする
NetWrix Database Importerは、監査証跡からSQLデータベースにデータをインポートするように設計されたツールです。 監査アーカイブにイベントのみを記録するように最初に構成した場合、またはSQLデータベースが破損した場合に復元するように構成した場合、これを使用してイベントをSQLデータベースに手動でインポートできます。
最初に、データをインポートする期間を明確にする必要があります(各オブジェクトごとに)。
NetWrixイベントビューアーでデータを表示する
パラメーターを設定する必要があります(監視対象オブジェクト、コンピューター、ログの種類、および期間を選択します)。
イベントは.evtファイルに記録されます。 後でWindowsイベントビューアを使用して視聴できます。
レポートサブスクリプションを作成する
NetWrix Event Log Managerでは、サブスクリプションを作成して自動レポートを構成できます。 レポートは自動的に生成され、事前定義された受信者に送信されます。
サブスクリプションを作成するには、 管理オブジェクト-<your_managed_object>-Event Log Managerノードを展開し、サブスクリプションを選択する必要があります
[追加]をクリックすると、レポートサブスクリプションウィザードが起動します。
サブスクリプションの名前を入力し、サブスクリプションの生成に基づいてレポートを選択します。
サブスクリプションオプションの設定(形式、フィルター、並べ替え)
次に、サブスクリプションレポートの送信頻度を選択できます。
•毎日
•毎週
•毎月
その後、サブスクリプションはNetWrixエンタープライズ管理コンソールから変更できます。
[ 構成 ]ボタンをクリックしてレポートを構成することもできます。
プレゼンテーションでも同じことがはっきりとわかります
もちろん、プログラム自体を当社のWebサイトからダウンロードしてください !
10個のドメインコントローラーと100台のコンピューター用の無料バージョンが利用可能です。