Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

в 10:28, , рубрики: Блог компании NetWrix, журналы событий, логи, системное администрирование, метки: ,

Недавно мы публиковали пост, посвященный 10 критически важным event ID, мониторинг которых необходимо осуществлять. И, честно говоря, были очень удивлены тому, сколько пользователей скачали нашу программу для управления журналами Event Log Manager, о которой мы писали в самом конце статьи. Поэтому в этом посте мы хотели бы рассказать о том, что из себя представляет программа и какие задачи по управлению журналами помогает решать. Также в конце обзора есть презентация, в которой демонстрируется работа программы. Заинтересованных приглашаем под кат.

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0


Работая с журналами событий, Вы наверняка сталкивались с тем, что необходимо анализировать данные отдельно на каждом из доменов. К тому же, если не приняты специальные (не отмечено “Архивировать данные журналов” в …), записи имеются свойство очищаться (перезаписываться). А свободное место имеет свойство быстро заканчиваться. Поэтому для дополнения функциональности журналов событий разрабатываются специальные решения. Какие-то из них перерастают в масштабные SIEM системы, какие-то призваны решать вполне конкретные задачи по анализу, оповещению и консолидированию. Именно о последнем варианте речь и пойдет в этом обзоре.

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0NetWrix Event Log Manager – программа, предназначенная для консолидации данных журналов событий и их архивирования, а также создания оповещений на заданные события в режиме реального времени. У нас только что вышел новый релиз программы (v 4.0), в котором присутствует следующий функционал:
• Консолидация всех данных журнала событий и syslog’a по всех сети в центральное хранилище (в новой версии добавлен мониторинг syslog журналов Red Hat Linux и Ubuntu 11).
• Сжатие и архивирование собранных данных для удобного анализа, предотвращения потери данных и целей аудита.
• Хранение записей журналов в базе данных SQL.
• Определение критических событий и отправка уведомлений по электронной почте.
• Отчеты на основе служб отчетности SQL (SRS) с возможностью фильтрации, группировки и сортировки; стандартные отчеты для выполнения требований нормативов по ИБ (GLBA, HIPAA, SOX, and PCI).
• Формирование отчетов за любой указанный период в прошлом.

Принцип работы программы продемонстрирован на рисунке ниже.
Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Обзор NETWRIX ENTERPRISE MANAGEMENT CONSOLE

Работа с полной версией программы осуществляется через консоль NETWRIX ENTERPRISE MANAGEMENT CONSOLE, которая позволяет конфигурировать наблюдаемые объекты, задавать их настройки и настраивать отчеты (в бесплатной версии конфигурирование и настройка осуществляется в одном окне).

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Внутри консоли можно:
• Управлять настройками всех программ NetWrix для аудита изменений через единый интерфейс
• Создавать и конфигурировать Наблюдаемые объекты для Windows и Syslog-платформ
• Активировать и настроить расширенные отчеты (на основе SSRS)
• Активировать и настроить уведомления в режиме реального времени
• Активировать и настроить долгосрочное архивирование данных
• Посмотреть отчеты во встроенном браузере
• Активировать и настроить подписку на отчеты
• Осуществить единократную настройку всех наблюдаемых объектов

Сбор данных

NetWrix Event Log Manager собирает данные аудита, хранит их в архиве аудита и/или базе данных SQL и отправляет итоговые отчеты по событиям (по умолчанию в 3:00).
Чтобы вручную получить итоговые результаты по событиям, необходимо в консоли NetWrix Enterprise Management Console раскрыть узел Managed Objects, выбрать наблюдаемый объект и нажать Run.

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Итоговые результаты, полученные по электронной почте

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Пример уведомления в режиме реального времени

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Отчеты

В NetWrix Event Log Manager доступны два типа отчетов
• Итоговые отчеты по событиям
• Расширение отчеты (на основе служб отчетности SQL Server)

Итоговые отчеты по событиям

Данные отчеты содержат итоговую информацию об ошибках, которые произошли с момента последнего формирования отчета. По умолчанию итоговые отчеты отправляются указанным получателям каждые 24 часа
Если ошибок не произошло, то отчет имеет следующий вид

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Если в ходе сбора данных была замечена ошибка, то следующего вида письмо отправляется сразу всем получателям:

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Расширенные отчеты

Функционал NetWrix Event Log Manager позволяет создавать отчеты на основе служб отчетности SQL сервера.
В программе имеется множество уже готовых шаблонов отчетов
Доступ к отчетам можно получить через консоль (Managed Object — <Ваш_наблюдаемый_объект> — Event Log Manager — Reports)

Доступны следующие виды отчетов
• Best Practice Reports
• General Reports
• Regulatory Compliance

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Отчеты можно просматривать как в консоли, так и в браузере

Просмотр в консоли:

Выберите нужный отчет Managed Objects — <Ваш_наблюдаемый_объект> — Event Log Manager — Reports — <тип_отчета>

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Задайте фильтры и запустите отчеты (View Report)

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Просмотр отчета в браузере

В браузере введите адрес SQL Server Report Manager. Отобразится следующая страница

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Выберите тот отчет, который Вам нужен и настройте, при необходимости, фильтры.

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Данные также можно посмотреть через подписку

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Импортирование данных аудита

NetWrix Database Importer – это инструмент, предназначенный для импортирования данных из архива аудита в базу данных SQL. Вы можете использовать его, чтобы вручную импортировать события в базу данных SQL, если Вы первоначально настроили его только на запись событий в архив аудита или для восстановления в случае повреждения базы данных SQL.
Для начала необходимо уточнить период, данные за который будут импортироваться (отдельно для каждого объекта).

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Просмотр данных в NetWrix Event Viewer

Необходимо задать параметры (выбрать наблюдаемый объект, компьютер, тип журнала, и период).

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

События записываются в .evt файл. Их можно посмотреть потом с помощью Windows Event Viewer

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Создание подписки на отчет

В NetWrix Event Log Manager Вы можете настроить автоматическую отправку отчетов посредством создания подписки. Отчеты будут генерироваться автоматически и отправляться заранее определенным получателям.
Чтобы создать подписку необходимо раскрыть Managed Objects — <your_managed_object> — узел Event Log Manager и выбрать Subscriptions

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Нажмите Add и запуститься мастер создания подписки (Report Subscription Wizard)

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Задайте имя подписки и выберите отчет, на основании которого будет формироваться подписка.

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Задайте параметры подписки (формат, фильтры, сортировку)

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Далее можно выбрать периодичность отправки отчетов по подписке:
• Ежедневно
• Еженедельно
• Ежемесячно
Впоследствии подписки можно изменять через консоль NetWrix Enterprise Management Console.

Также можно настроить Отчеты, нажав на кнопку Configure

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Наглядно можно посмотреть все то же в презентации

Ну и, конечно, скачивайте саму программу на нашем сайте!
Доступна бесплатная версия для 10 контроллеров доменов и 100 компьютеров.

Автор: NetWrixRU

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js