关于ADAudit Plus中的DataEngine XNode服务

关于DataSecurity Plus中的DataEngine XNode服务:

DataEngine是ADAuditPlus的一个新组件，用于更有效地存储和检索日志数据。

DataEngine将取代审计日志的数据库，这意味着更快地搜索和检索数据。它还增强了解决方案的可伸缩性。

如下截图所示，目前Powershell审计和文件审计的数据被存储在DataEngine中，其他数据存储在数据库。

• Related Articles

• 关于DataSecurity Plus中的DataEngine XNode服务

  关于DataSecurity Plus中的DataEngine XNode服务: 该服务主要是与文件分析和数据风险评估两个组件有关的服务；（与文件审核也有关系，文件审核性能优化） 文件分析和风险评估：每天扫描服务器，需要获取很多基于文件信息（甚至内容），而这些大量的信息对空间和资源占用要求非常高，所以不采取像文件审核的数据存储在数据库中的那种方式，而是存储在DataEngine中，而且相比数据库，DataEngine还能增强产品的可扩展性/伸缩性（就是搜索和检索数据会更快）。 ...

• ADAudit Plus DataEngine 服务

  此服务在6000版本之前没有。如果产品版本高于 6000 安装了 ADAudit Plus 服务却没有自动显示DataEngine服务，请尝试停止并启动 ADAudit Plus 服务，这时 DataEngine 服务也将会自动安装并启动。 DataEngine的功能：可从数据库中高效地检索数据并显示在UI上。

• ADAudit Plus什么时候需要安装代理？

  ADAudit Plus什么时候需要安装代理？ 第一，如果是大型企业网络架构，建议使用代理，可以降低宽带使用率和平滑处理采集数据； 第二，无论网络规模大或小，但是如果（File servers&Windows servers）需要“实时”收集数据，则需要使用代理，“计划”的情况下可以不用代理； 无论域控是否安装代理，都是实时收集日志的，但是也可以对域控收集日志后计划同步到ADAudit Plus：

• 在ADAudit Plus中如何配置SIEM集成

  如下图所示： 输入SIEM解决方案所在的服务器IP地址或者主机名、端口(确保端口513/514没被占用）和RFC，然后右上角选择需要转发的ADAudit Plus中的日志事件。 比如使用的卓豪的日志分析产品Event log Analyzer，配置如下： 如果在ADAudit Plus中日志转发状态为Success和EventLog Analyzer中的LogReceiver中显示收到了syslog，那说明配置成功了。

• DSP-apps\dataengine-xnode\data\main\violated-files文件夹占用太多磁盘空间

  优化方案：附件Patch for strict Regex to avoid false positives，步骤和说明都包含在附件中。 （该Patch为内部测试的，还未正式发布。） 如果不想继续使用风险分析功能，不建议直接把这整个文件夹删除，请按照以下步骤腾出空间： 1.先停掉产品； 2.在以下路径，手动删掉对应的文件： \apps\dataengine-xnode\data\main\violated-files\RAViolationRecords ...