ADAudit Plus的日志转发（SIEM集成），是怎样的原理？

• Related Articles

• 在ADAudit Plus中如何配置SIEM集成

  如下图所示： 输入SIEM解决方案所在的服务器IP地址或者主机名、端口(确保端口513/514没被占用）和RFC，然后右上角选择需要转发的ADAudit Plus中的日志事件。 比如使用的卓豪的日志分析产品Event log Analyzer，配置如下： 如果在ADAudit Plus中日志转发状态为Success和EventLog Analyzer中的LogReceiver中显示收到了syslog，那说明配置成功了。

• DSP-SIEM集成转发的syslog是哪些日志？

  转发的是文件审核（File Audit）和技术员（Technicians）的审核日志：

• ADAudit Plus什么时候需要安装代理？

  ADAudit Plus什么时候需要安装代理？ 第一，如果是大型企业网络架构，建议使用代理，可以降低宽带使用率和平滑处理采集数据； 第二，无论网络规模大或小，但是如果（File servers&Windows servers）需要“实时”收集数据，则需要使用代理，“计划”的情况下可以不用代理； 无论域控是否安装代理，都是实时收集日志的，但是也可以对域控收集日志后计划同步到ADAudit Plus：

• 关于ADAudit Plus中的DataEngine XNode服务

  关于DataSecurity Plus中的DataEngine XNode服务: DataEngine是ADAuditPlus的一个新组件，用于更有效地存储和检索日志数据。 DataEngine将取代审计日志的数据库，这意味着更快地搜索和检索数据。它还增强了解决方案的可伸缩性。 如下截图所示，目前Powershell审计和文件审计的数据被存储在DataEngine中，其他数据存储在数据库。

• 安装Log360为服务后如何卸载和再次安装ADAudit和EventLog服务

  如果安装Log360为服务后，其中Log360UEBA、O365Manager Plus、ADAudit Plus和EventLog Analyzer四个组件会安装成服务。 但是如果不想其中某个组件以服务运行，那可以单独把某个组件Uninstall as Service. （1）对于UEBA和O365Manager两个组件，可以在开始-程序里找到Uninstall ** as Service： （2）对于ADAudit Plus和EventLog ...