Eventlog Analyzer
ELA如何更改产品上显示的时区?
如果发现产品时区不正确,可以通过修改产品服务器的时区来修改产品上如下面位置的时区。
ELA如何更改日志源设备时区?
请在下面位置更改日志源时区:
ELA天融信和深信服的内置报表如何显示?
1.支持版本:12465及以上 2.新安装:安装时选择中国区域可以显示。如果安装时未选择可以按照步骤3操作以显示 3.现有版本:保证在12465及以上版本后,可以在如下位置启用报表:
ELA更换SQL数据库后,更改了数据库密码,如何在ELA中更新?
1.ELA安装目录tools文件夹 2.以管理员身份打开命令提示符,执行ChangeDBServer.bat - -config,将弹出如下截图所示的窗口,更新密码即可:
访问ELA时为什么有些界面是灰色的?
因为变成了免费版本,有些功能无法使用。更新许可后即可使用全部功能。
ELA能审核云账户吗?有哪些?
ELA目前可以审计:AWS和Salesforce(2025.3.17更新)
CSP能审核的云账户都有哪些?
主要有:Azure,AWS,Google云,Salesforce,如下图所示:(2025.3.17更新)
查看EventLog Analyzer迁移是否成功的方法
以下是一些查看EventLog Analyzer迁移是否成功的方法: ### 检查服务运行状态 - **登录界面检查**:尝试使用浏览器访问EventLog Analyzer的登录页面,如果能够成功登录,并且页面加载正常,没有出现错误提示,通常表示服务已经正常启动并运行,这是迁移成功的一个重要标志。 - **进程检查**:在服务器的任务管理器中,查看与EventLog ...
如何审计无预置报表日志源的日志?
对于那些无预置报表日志源的日志,ELA也可以进行审计并可以自制报表与告警。 可以采用以下两种方式获取日志: 1. 通过转发Syslog日志的方式转发到ELA上。 2. 从 ELA 导入要审计的日志。 待日志接收到ELA平台之后,可以通过“搜索” 模块对这些日志进行自定义日志解析、自定义报表以及自定义告警等操作。
Oracle数据库算ELA哪个许可项?
Oracle算应用的分类,MySql和MS Sql都算应用,如下图:
ELA中ESXi算哪个许可项?
算设备。Hyper-V也算设备,只有Vcenter算应用。
ELA云版本(Log360 Cloud)是按照日志容量收费吧? 这个是全日志容量还是每月?最少数量单位是GB吗?
ELA云版本即Log360 Cloud,不是按月收费而是按年付费。是全日志容量,单位是GB,如下图: 拿标准版举例,150G一年是指一年最多150G的存储(日志最多保存180天)。假如用户买了150GB空间,那这里有2个条件,时间(1年)和存储空间(150GB)。比如用户使用了1年,但是存储空间没达到150GB,那第二年他仍然需要续费。再比如,用户使用才半年,而日志大小已经超出150GB,那用户也要再次购买许可。
ELA-日志归档提示Archive file is missing
归档日志中显示0 Bytes,归档状态是Archive file is missing 解决办法: 1、此数据因归档日志太小 ...
ELA导入日志时最小间隔是多少,可以实时吗?
最小间隔为10分钟,如下图所示,即使输入数字1(即每1分钟导入),保存时会显示提示,如下图:
ELA收集Windows日志可以实时收集吗?最短间隔是多少?
可以实时收集,如果之前设置的不是实时收集,可以在下图位置更新为实时:
如何实现实时收集多台设备日志?
假设要实时审核几百台设备,可以通过在 计算机上安装 ELA代理,然后再为每台安装代理的计算机各自关联25台设备。也就是是说,ELA 每一个装代理的机器可以关联25个设备做实时审计。具体方案如下图: 代理需要满足下面配置: 代理计算机至少有 10 个逻辑处理器。(查看方式如下图位置)
ELA归档时使用的加密算法是什么,有官方文档说明吗?
主要使用AES 256和SHA-256。 官方文档链接:https://download.manageengine.com/log-management/encryption-standards-of-log360-modules.pdf (Log360各组件使用的加密算法都在里面了)
ELA收到的Paloalto的数据,并归档,应用什么软件打开查看?
可以在ELA本身如下界面加载归档(第3步选择日志源就可以对应PA设备),请参考截图中步骤:
ELA里面PaloAlto设备信息显示不全,如何解决?
1.首先确保syslog已经转发到ELA(客户反馈日志接收器里面已经有日志,搜索里面有可以看到数据) 2.确保PA设备成功配置(报表PA设备处是否显示添加PA设备):如显示在syslog设备里面查看对应的PA设备是否正确更新为PA设备还是默认的Unix,如果是Unix,点击更新,选择PA设备,再查看报表。(有客户通过更新成功解决问题)
ELA安装代理与不安装代理收集日志的区别
ELA 默认使用无代理收集日志。在无代理收集日志中,需要为日志收集打开端口,如 139 (RPC)、135 (WMI)、445 (DCOM) 端口。如果这些端口因公司政策而无法开启,可以选择代理收集的方式。但即使是在基于代理的日志收集中,也需要为日志收集打开 EventLog Analyzer 的网络服务器端口(默认为 8400)。此外,如果需要使用文件完整性监控(FIM)功能,也需要安装代理。 相关文档参考: ...
ELA如何确认是分布式版本?
1.在许可界面可以查看 2.在仪表板下拉列表框可以查看 3.如果是分布式版本,您将在安装目录\ManageEngine\EventLog Analyzer文件夹中找到Enterprise.txt。 4.许可文件中也可以查看
ELA优化建议及研发反馈
1.ELA需要稳定性,据所知我们有个ELA有日志收集进程,有时候会自己死掉或者挂住或者停止,可能是日志量过大,可能是客户磁盘被占满导致,这样会导致ELA不工作,或者日志数据无法正常展示。日志停止收集是很严重事件。建议产品里的该进程能否变成多线程模式(杀不死),如果外在环境导致无法收集(界面或者邮件 及时提醒管理员,比如磁盘可用空间过低,系统可能停止运行日志收集)---像某些友商就可支持,性能不足时(系统里就会提醒,建议cpu/内存/磁盘)加到多少-(有点像 windows 系统 电量低的效果) ...
系统资源配置计算器
访问计算器链接:https://www.manageengine.com/products/eventlog/tuning-guide.html#calculate 参考下图:
从日志每秒收集数量方面判断客户该使用白金版还是分布式版
版本选择取决于设备产生的 EPS(每秒事件数)。独立版本每秒最多可处理 3000 个 winlog 或 20000 个 syslog。如果虽然设备超过1000但产生的 EPS 较少,可以选择白金版本;否则,就需要考虑分布式版本。安装时可参考此链接:https://www.manageengine.com/products/eventlog/system_requirement.html
如何在不登录产品的情况下查到产品构建号?
除了在产品的许可和支持栏里面了解到产品的构建号外,还可以到产品安装文件包下的 conf 文件夹中的 product conf 文件中查看产品的构建号。
ELA 对于产品里默认设备之外的日志审计方式
如果设备或应用支持 Syslog,则可通过 Syslog 转发将日志转发到 ELA。如果不支持 Syslog,可以通过将日志导入到 ELA,然后再创建自定义解析。但是没有预置报表,需要跟研发定制报表。 以下是相关文档: 1. ...
ELA平台里设备名称是否可以更改?
答:可以更改,请参考链接:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/Configurations/manage-hosts-2.html#:~:text=edit%20Device%20Type%2C-,Display%20Name,-%2C%20and%20Log%20Collection
是否可以直接查询一年以内的日志,不用在去手动加载归档?
答:归档日志必须加载到ELA中才能生成报表。无法在ELA中自动加载归档日志。虽然可以根据需要考虑延长保留期,但还是建议还是使用默认时长32天,因为延长保留期会大大增加ELA服务器的资源利用率,设置保留期参考链接:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/AdminSettings/db-storage-settings.html ...
如何加载服务器里的存量日志到ELA?
答:ELA 可以通过使用 “历史记录收集功能” 对日志查看器中存在的日志进行收集,请参考此链接:https://pitstop.manageengine.com/portal/en/kb/articles/enabling-historic-log-collection-in-eventlog-analyzer 进行设置。
Eventlog Analyzer将日志转发给SIEM时, IP地址是设备原有的IP地址还是ELA的IP地址?
转发日志的源IP将是EventLog Analyzer的IP,message中可以找到原始设备的主机名(下图mani-13777就是主机名)
Eventlog Analyzer将日志转发给SIEM时, 是否会保留日志副本?
EventLog Analyzer从配置的设备收集日志,然后将其作为syslog日志转发到指定的IP地址,同时将相同的日志存储在本地的ElasticSearch中。
ELA是否支持日志转发到SIEM?
支持的,能够将收集到的日志以syslog形式转发。具体配置可参考:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/Configurations/log-forwarder.html
手动安装ELA代理及路径(Windows篇)
Windows客户端安装代理 场景:在windows server客户端192.168.0.35上安装代理(客户端系统:windows server 2016) 1. 安装代理前,登录并查看ELA Web Console: 设置-管理代理下还没有192.168.0.35的显示 2. 访问到ELA服务器端并找到ELA代理: 代理路径:C:\Program Files\ManageEngine\EventLog Analyzer\lib\native 代理名称:EventLogAgent.msi ...
ELA可以装在麒麟系统上吗
可以
ela 忘记了登录密码怎么重置 ?
ELA 可以转发日志到Splunk上吗?
答:可以的。方法如图所示:
分布式可以独立换标吗?
分布式版本,SOC(security operation center)下每个被管理的服务器都可以换自己的标。
添加的设备状态为”拒绝访问”
解决方案 1: 一般这种问题是因为权限不够,建议用户使用域管理员账户。不方便使用域管理员的情况下,需要确保配置的服务账户满足文档中的权限:https://download.manageengine.com/products/eventlog/wmi-log-collection-guide.pdf 解决方案2: 请先到ELA安装目录下找到代理安装包:EventLogAgent.msi(默认路径:C:\ManageEngine\EventLog ...
ELA 能收nginx设备的日志吗?
目前,ELA 本身没有为 nginx 提供预置报表。但可以将日志从 nginx 转发到 ELA。ELA收到日志后,可以为其创建自定义解析规则,自定义报表以及自定义告警。 三种创建方式如下链接: 创建自定义解析规则 : https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/SearchLogs/extract-new-fields.html 创建自定义报表 : ...
如何查看ELA的用户审计日志?
可以根据以下方式查看ELA的用户审计日志: 但如果希望检查登录到ELA服务器的用户的日志,需要检查下事件查看器:运行 "eventvwr.msc"。
Next page