Symantec Endpoint Protection host是Windows的配置步骤:
1.如果SEP主机是Windows Server,建议先在ELA产品的管理设备-Windows设备那里添加SEP主机;
(如果SEP主机是Linux,当配置了SEP的syslog service之后,如果该主机设备没有预先在ELA中添加,则它会自动出现在管理设备的syslog设备列表。所以对于Windows主机,为了避免在配置SEP的syslog service后自动出现在syslog设备那里,建议先添加主机在Windows设备那里。)
2.再配置SEP的syslog service,其中Syslog Server那里填写ELA服务器的IP地址;
3.在ELA的管理风险源那里选择SEP主机,并选择Symantec Endpoint Protection风险源;
(如果没有预先添加SEP主机,且这里是手动输入的,则见1中的情况。)
关于许可项:
由于添加Symantec Endpoint Protection风险源,它的主机也必须配置,所以这种情况会占用两个授权/许可项;
一个是Symantec Endpoint Protection(插件许可:应用许可),一个是它主机设备许可(Windows设备或者Unix设备。
一种特殊情况:
如果Symantec Endpoint Protection安装在Windows机器上,且该Windows设备日志通过如Nxlog转syslog,那么EventLog Analyzer不支持同时监听到该Windows转发的syslog和Symantec Endpoint Protection的syslog,即配置了后会发现产品内只有Windows转发的syslog,Symantec Endpoint Protection报表下没有数据。