Eventlog Analyzer
ELA的agent出现未定义错误怎么办?
需检查的前置条件 •端口:请确保防火墙中用于访问 SOC(EventLog Analyzer)URL 的端口 8400/8445 已开放入站和出站。 •连通性检查 •Ping 测试:从代理计算机分别使用 SOC 服务器的 IP 地址和主机名对 SOC 服务器执行 Ping 测试。Ping 响应延迟应低于 5 毫秒。 •URL 访问:请检查是否能够分别使用 SOC 服务器的 IP 地址和主机名/完全限定域名访问其 URL。 •防病毒软件 •应将路径 C:\Program Files ...
如何将EventLog Analyzer迁移到另一台计算机
将 EventLog Analyzer 安装迁移到另一台计算机 1. 停止 EventLog Analyzer 服务器 (Windows 系统)点击 “开始”→“运行”→输入 services.msc 并点击 “确定”→停止 “ManageEngine EventLog Analyzer” 服务。 (Linux 系统)执行以下命令停止服务(示例输出如下): /etc/init.d/eventloganalyzer stop 示例输出: Stopping ManageEngine EventLog ...
ES 缓存记录(CachedRecord)超限
“ES 缓存记录(CachedRecord)超限” 常发生在以下两个场景: 1. 因资源(内存/RAM、CPU)不足导致日志处理延迟时。 2. 日志流量突然激增或出现波动时。 请监控系统,确认缓存记录最终是否会被处理,或是其数量仍在持续增加。若数量持续上升,建议您计算“每秒事件数(Events Per Second, EPS)”,以帮助分析系统负载与容量情况。 在EventLog Analyzer中计算EPS的步骤: 1. 进入【搜索】(Search)标签页。 2. ...
如果ELA账户被锁定怎么解锁
ELA的admin账户在多次登录失败后会显示无法登录,运行密码重置脚本也不行,那么就需要解锁admin账户,具体如下:
如何手动安装ELA的linux中的agent
在以下位置手动拷贝代理,然后使用./+<代理文件名称>的方式执行安装
审计日志存储
ELA技术员及管理员审计日志将存储在 ES / Data 文件夹中,半年审计保留时间配置如下: 日志查看导出方法如下: ELA归档的日志源审计日志将存储在 ES /archives 文件夹中:
如何使用 EventLog Analyzer 代理程序执行离线日志收集?
目标 当代理程序与 EventLog Analyzer 服务器之间出现连接中断或通信丢失时,代理程序可以执行离线日志收集,并将日志存储到指定大小的数据目录中。一旦重新建立连接,日志将被转发。本文提供启用离线日志收集机制和定义数据目录大小的分步说明。 前提条件 您需要拥有 EventLog Analyzer 控制台的管理员角色或管理代理的自定义角色。 确保已安装代理程序,且日志收集工作正常。 确保代理程序通信端口(应用程序 Web 端口)已双向启用。默认端口为:HTTP 和 TCP 是 ...
如何获取UniqueID?
通过执行 <安装目录>/bin目录下: 1) UniqueID.exe (Windows操作系统) 2) UniqueIDLinux.sh (Linux操作系统) 3) UniqueIDSolaris.sh (Solaris操作系统) 获得Unique ID. UniqueID是一个基于计算机MAC ID的 10 位字符串. **注:部分产品<安装目录>/bin目录下无UniqueID命令,此种情况下无需提供UniqueID
ELA看不到日志接收器
在ELA中我们无法收集到syslog设备传过来的日志,通常情况下会去主页右上角找到日志接收器,但是有些情况下点开后是白色页面,看不到任何日志接收器的影子,在这种情况下大概率就是日志接收器没有被成功安装。 网络捕获驱动程序是允许 EventLog Analyzer 捕获并处理来自各种来源的传入网络日志的文件,包括 npf.sys、Packet.dll 和 wpcap.dll 等文件。这些文件必须存储在 Windows 系统目录中,以确保任何需要它们的应用程序都能访问到。 ...
如果不小心在log360中同时安装了ADAP和ELA并且同步数据了怎么办?
在Log360中集成了ELA和ADAP,它们会互相同步设备。在有些情况下,这些设备可能在ELA中并不需要,但是在ADAP中时需要的。子啊ELA中又无法删除,因为这会报告一个错误:无法删除继承的设备。在此情况下我们可以在Log60中删除ELA和ADAP这两个软件的集成,然后再到各自软件中删除或添加设备即可。
如果出于许可考虑,想要换一台服务器审计,那旧的服务器归档日志建议该如何处理?
如果出于许可考虑,您想要换一台服务器审计,那旧的服务器归档日志建议作如下处理: 1. 关于旧设备的归档日志:建议还保留在原位置下。 2. 关于旧设备:建议采用在ELA中禁用的方式不要直接从ELA中删除此设备,这样可将此设备之前的归档日志按需要恢复到ELA中再进行查看。
怎么查ELA中Java 版本是什么?
Windows 代理安装方式
1. 代理获取方式 方式1. 代理存放位置获取:<Dir>\ManageEngine\EventLog Analyzer\lib 方式2: 网页访问获取: 可通过以下 URL 在客户端机器上直接下载代理程序,只需替换相应字段: <eventlog_server>:<eventlog_server_port>/event/downloadMsi.nms?platform=windows 说明: <eventlog_server>:需替换为 Eventlog Analyzer 服务器的 IP ...
报表导出时遇到了限制怎么办?
请按照下面的方式设定限制,但导出数量限制要考虑产品服务器的配置情况,太多可能会影响使用性能:
ELA 怎么帮助企业满足合规性?
概述:客户可以使用EventLog Analyzer的对应合规性的预置报表来帮助客户满足合规要求,可以根据报表内容与常见合规标准(如HIPAA、PCI-DSS、SOX、ISO 27001、GDPR等)的映射关系进行说明。 针对合规性,要注意日志保留的设置: 1. Elasticsearch 数据(实时日志): EventLog Analyzer 收集或接收的日志会同时存储为 Elasticsearch (ES) 数据和存档文件。 ES(实时)数据的保留期限基于以下路径中的配置: **设置 → ...
完全停止ELA的方法
停止ela 服务。 进入 <目录>:ManageEngine\EventLog Analyzer\bin 文件夹,在此处以管理员身份打开命令提示符(CMD)。依次执行以下命令:shutdown.bat、stopDB.bat、stopSEC.bat。 打开任务管理器 > 详细信息 > 选择列 - 映像路径名称 > 检查是否有任何后台进程是从事件日志分析器的安装目录中运行的。如果有,请点击 “结束进程树”。 启动ela。
ELA如何更改产品上显示的时区?
如果发现产品时区不正确,可以通过修改产品服务器的时区来修改产品上如下面位置的时区。
ELA如何更改日志源设备时区?
请在下面位置更改日志源时区:
ELA天融信和深信服的内置报表如何显示?
1.支持版本:12465及以上 2.新安装:安装时选择中国区域可以显示。如果安装时未选择可以按照步骤3操作以显示 3.现有版本:保证在12465及以上版本后,可以在如下位置启用报表:
ELA更换SQL数据库后,更改了数据库密码,如何在ELA中更新?
1.ELA安装目录tools文件夹 2.以管理员身份打开命令提示符,执行ChangeDBServer.bat - -config,将弹出如下截图所示的窗口,更新密码即可:
访问ELA时为什么有些界面是灰色的?
因为变成了免费版本,有些功能无法使用。更新许可后即可使用全部功能。
ELA能审核云账户吗?有哪些?
ELA目前可以审计:AWS和Salesforce(2025.3.17更新)
ELA 装到Linux系统的机器上如何审计MS SQL的日志?
S1. 在 MS SQL Server 上手动配置审核策略(参考此链接:https://downloads.zohocorp.com/dnd_120/ADAudit_Plus/3nN602s64V64Spb/permissions-required-for-sql-server-auditing_1.pdf) S2. 在 MS SQL Server 上安装 ELA 代理 S3. 在 ELA 的产品界面上配置 MS SQL Server
查看EventLog Analyzer迁移是否成功的方法
以下是一些查看EventLog Analyzer迁移是否成功的方法: ### 检查服务运行状态 - **登录界面检查**:尝试使用浏览器访问EventLog Analyzer的登录页面,如果能够成功登录,并且页面加载正常,没有出现错误提示,通常表示服务已经正常启动并运行,这是迁移成功的一个重要标志。 - **进程检查**:在服务器的任务管理器中,查看与EventLog ...
如何审计无预置报表日志源的日志?
对于那些无预置报表日志源的日志,ELA也可以进行审计并可以自制报表与告警。 可以采用以下两种方式获取日志: 1. 通过转发Syslog日志的方式转发到ELA上。 2. 从 ELA 导入要审计的日志。 待日志接收到ELA平台之后,可以通过“搜索” 模块对这些日志进行自定义日志解析、自定义报表以及自定义告警等操作。
Oracle数据库算ELA哪个许可项?
Oracle算应用的分类,MySql和MS Sql都算应用,如下图:
ELA中ESXi算哪个许可项?
算设备。Hyper-V也算设备,只有Vcenter算应用。
ELA云版本(Log360 Cloud)是按照日志容量收费吧? 这个是全日志容量还是每月?最少数量单位是GB吗?
ELA云版本即Log360 Cloud,不是按月收费而是按年付费。是全日志容量,单位是GB,如下图: 拿标准版举例,150G一年是指一年最多150G的存储(日志最多保存180天)。假如用户买了150GB空间,那这里有2个条件,时间(1年)和存储空间(150GB)。比如用户使用了1年,但是存储空间没达到150GB,那第二年他仍然需要续费。再比如,用户使用才半年,而日志大小已经超出150GB,那用户也要再次购买许可。
ELA-日志归档提示Archive file is missing
归档日志中显示0 Bytes,归档状态是Archive file is missing 解决办法: 1、此数据因归档日志太小 ...
ELA导入日志时最小间隔是多少,可以实时吗?
最小间隔为10分钟,如下图所示,即使输入数字1(即每1分钟导入),保存时会显示提示,如下图:
ELA收集Windows日志可以实时收集吗?最短间隔是多少?
可以实时收集,如果之前设置的不是实时收集,可以在下图位置更新为实时:
如何实现实时收集多台设备日志?
假设要实时审核几百台设备,可以通过在 计算机上安装 ELA代理,然后再为每台安装代理的计算机各自关联25台设备。也就是是说,ELA 每一个装代理的机器可以关联25个设备做实时审计。具体方案如下图: 代理需要满足下面配置: 代理计算机至少有 10 个逻辑处理器。(查看方式如下图位置)
ELA归档时使用的加密算法是什么,有官方文档说明吗?
主要使用AES 256和SHA-256。 官方文档链接:https://download.manageengine.com/log-management/encryption-standards-of-log360-modules.pdf (Log360各组件使用的加密算法都在里面了)
ELA收到的Paloalto的数据,并归档,应用什么软件打开查看?
可以在ELA本身如下界面加载归档(第3步选择日志源就可以对应PA设备),请参考截图中步骤:
ELA里面PaloAlto设备信息显示不全,如何解决?
1.首先确保syslog已经转发到ELA(客户反馈日志接收器里面已经有日志,搜索里面有可以看到数据) 2.确保PA设备成功配置(报表PA设备处是否显示添加PA设备):如显示在syslog设备里面查看对应的PA设备是否正确更新为PA设备还是默认的Unix,如果是Unix,点击更新,选择PA设备,再查看报表。(有客户通过更新成功解决问题)
ELA安装代理与不安装代理收集日志的区别
ELA 默认使用无代理收集日志。在无代理收集日志中,需要为日志收集打开端口,如 139 (RPC)、135 (WMI)、445 (DCOM) 端口。如果这些端口因公司政策而无法开启,可以选择代理收集的方式。但即使是在基于代理的日志收集中,也需要为日志收集打开 EventLog Analyzer 的网络服务器端口(默认为 8400)。此外,如果需要使用文件完整性监控(FIM)功能,也需要安装代理。 相关文档参考: ...
ELA如何确认是分布式版本?
1.在许可界面可以查看 2.在仪表板下拉列表框可以查看 3.如果是分布式版本,您将在安装目录\ManageEngine\EventLog Analyzer文件夹中找到Enterprise.txt。 4.许可文件中也可以查看
ELA优化建议及研发反馈
1.ELA需要稳定性,据所知我们有个ELA有日志收集进程,有时候会自己死掉或者挂住或者停止,可能是日志量过大,可能是客户磁盘被占满导致,这样会导致ELA不工作,或者日志数据无法正常展示。日志停止收集是很严重事件。建议产品里的该进程能否变成多线程模式(杀不死),如果外在环境导致无法收集(界面或者邮件 及时提醒管理员,比如磁盘可用空间过低,系统可能停止运行日志收集)---像某些友商就可支持,性能不足时(系统里就会提醒,建议cpu/内存/磁盘)加到多少-(有点像 windows 系统 电量低的效果) ...
系统资源配置计算器
访问计算器链接:https://www.manageengine.com/products/eventlog/tuning-guide.html#calculate 参考下图:
从日志每秒收集数量方面判断客户该使用白金版还是分布式版
版本选择取决于设备产生的 EPS(每秒事件数)。独立版本每秒最多可处理 3000 个 winlog 或 20000 个 syslog。如果虽然设备超过1000但产生的 EPS 较少,可以选择白金版本;否则,就需要考虑分布式版本。安装时可参考此链接:https://www.manageengine.com/products/eventlog/system_requirement.html
Next page