Eventlog Analyzer
ELA如何确认是分布式版本?
1.在许可界面可以查看 2.在仪表板下拉列表框可以查看 3.如果是分布式版本,您将在安装目录\ManageEngine\EventLog Analyzer文件夹中找到Enterprise.txt。 4.许可文件中也可以查看
ELA优化建议及研发反馈
1.ELA需要稳定性,据所知我们有个ELA有日志收集进程,有时候会自己死掉或者挂住或者停止,可能是日志量过大,可能是客户磁盘被占满导致,这样会导致ELA不工作,或者日志数据无法正常展示。日志停止收集是很严重事件。建议产品里的该进程能否变成多线程模式(杀不死),如果外在环境导致无法收集(界面或者邮件 及时提醒管理员,比如磁盘可用空间过低,系统可能停止运行日志收集)---像某些友商就可支持,性能不足时(系统里就会提醒,建议cpu/内存/磁盘)加到多少-(有点像 windows 系统 电量低的效果) ...
系统资源配置计算器
访问计算器链接:https://www.manageengine.com/products/eventlog/tuning-guide.html#calculate 参考下图:
从日志每秒收集数量方面判断客户该使用白金版还是分布式版
版本选择取决于设备产生的 EPS(每秒事件数)。独立版本每秒最多可处理 3000 个 winlog 或 20000 个 syslog。如果虽然设备超过1000但产生的 EPS 较少,可以选择白金版本;否则,就需要考虑分布式版本。安装时可参考此链接:https://www.manageengine.com/products/eventlog/system_requirement.html
如何在不登录产品的情况下查到产品构建号?
除了在产品的许可和支持栏里面了解到产品的构建号外,还可以到产品安装文件包下的 conf 文件夹中的 product conf 文件中查看产品的构建号。
ELA 对于产品里默认设备之外的日志审计方式
如果设备或应用支持 Syslog,则可通过 Syslog 转发将日志转发到 ELA。如果不支持 Syslog,可以通过将日志导入到 ELA,然后再创建自定义解析。但是没有预置报表,需要跟研发定制报表。 以下是相关文档: 1. ...
ELA平台里设备名称是否可以更改?
答:可以更改,请参考链接:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/Configurations/manage-hosts-2.html#:~:text=edit%20Device%20Type%2C-,Display%20Name,-%2C%20and%20Log%20Collection
是否可以直接查询一年以内的日志,不用在去手动加载归档?
答:归档日志必须加载到ELA中才能生成报表。无法在ELA中自动加载归档日志。虽然可以根据需要考虑延长保留期,但还是建议还是使用默认时长32天,因为延长保留期会大大增加ELA服务器的资源利用率,设置保留期参考链接:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/AdminSettings/db-storage-settings.html ...
如何加载服务器里的存量日志到ELA?
答:ELA 可以通过使用 “历史记录收集功能” 对日志查看器中存在的日志进行收集,请参考此链接:https://pitstop.manageengine.com/portal/en/kb/articles/enabling-historic-log-collection-in-eventlog-analyzer 进行设置。
Eventlog Analyzer将日志转发给SIEM时, IP地址是设备原有的IP地址还是ELA的IP地址?
转发日志的源IP将是EventLog Analyzer的IP,message中可以找到原始设备的主机名(下图mani-13777就是主机名)
Eventlog Analyzer将日志转发给SIEM时, 是否会保留日志副本?
EventLog Analyzer从配置的设备收集日志,然后将其作为syslog日志转发到指定的IP地址,同时将相同的日志存储在本地的ElasticSearch中。
ELA是否支持日志转发到SIEM?
支持的,能够将收集到的日志以syslog形式转发。具体配置可参考:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/Configurations/log-forwarder.html
手动安装ELA代理及路径(Windows篇)
Windows客户端安装代理 场景:在windows server客户端192.168.0.35上安装代理(客户端系统:windows server 2016) 1. 安装代理前,登录并查看ELA Web Console: 设置-管理代理下还没有192.168.0.35的显示 2. 访问到ELA服务器端并找到ELA代理: 代理路径:C:\Program Files\ManageEngine\EventLog Analyzer\lib\native 代理名称:EventLogAgent.msi ...
ELA可以装在麒麟系统上吗
可以
ela 忘记了登录密码怎么重置 ?
ELA 可以转发日志到Splunk上吗?
答:可以的。方法如图所示:
分布式可以独立换标吗?
分布式版本,SOC(security operation center)下每个被管理的服务器都可以换自己的标。
添加的设备状态为”拒绝访问”
解决方案 1: 一般这种问题是因为权限不够,建议用户使用域管理员账户。不方便使用域管理员的情况下,需要确保配置的服务账户满足文档中的权限:https://download.manageengine.com/products/eventlog/wmi-log-collection-guide.pdf 解决方案2: 请先到ELA安装目录下找到代理安装包:EventLogAgent.msi(默认路径:C:\ManageEngine\EventLog ...
ELA 能收nginx设备的日志吗?
目前,ELA 本身没有为 nginx 提供预置报表。但可以将日志从 nginx 转发到 ELA。ELA收到日志后,可以为其创建自定义解析规则,自定义报表以及自定义告警。 三种创建方式如下链接: 创建自定义解析规则 : https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/SearchLogs/extract-new-fields.html 创建自定义报表 : ...
如何查看ELA的用户审计日志?
可以根据以下方式查看ELA的用户审计日志: 但如果希望检查登录到ELA服务器的用户的日志,需要检查下事件查看器:运行 "eventvwr.msc"。
ela如何重置admin用户密码
进入<EventLog Analyzer Home>\troubleshooting> 目录,执行"resetPwd.bat"即可重置密码.
ELA如何卸载可确保无残留?
通过以下流程卸载ELA,可确保无残留: 1. 卸载程序:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/SetuptheProduct/install-eventlog-analyzer.html#Howtouninstall 2. 卸载完程序后,可以转到<Home>:\ManageEngine文件夹,删除里面的EventLog Analyzer文件夹。 3. ...
近期有客户反映在上传日志网址中上传日志时需要选择模式,应该怎么选择呢?
模式如下图:(研发也反映客户上传的日志不完整,明明已经上传了整个Logs文件夹) 经过和研发同事的确认,一般情况下选择Debugging,Log analysis会去除大的文件及Archive文件,导致上传的日志文件不完整。Migration在上传产品日志以及DB backup日志时选择。
ELA-升级时提示需要Import Certificate
对于最新的EventLog Analyzer升级到12231Build时,在应用Service Pack提示需要Certificate,如何解决? 请从此链接:https://www.manageengine.com/certificate/ppmsigner_publickey.crt下载证书文件,点击上传证书,然后再进行升级。 如果还有问题,请联系support。
ELA中可以设置技术员只看部分设备的报表吗?
可以实现。通过将对应的设备设置为设备组,然后在如下界面选择对应的设备组即可:
ELA-日志处理能力-log flow/日志流量最大值
1.标准版: 最大(同时):Windows logs: 1500 - 2000 win logs/sec & Syslog:15000 Syslogs/sec 2.企业版(分布式):每1个探针可参照上面的1个标准版。 备注:日志处理能力除考虑系统软硬件要求外,应参考上面的日志流量不是日志源数量上限,关于日志流量在产品右上角日志接收器查看或者参考此文章估算。
ELA-在哪里可以设置CachedRecord触发告警的阈值?
如下图,在产品设置的通知下面,可以定义当未处理的日志文件到达多少时,需要触发告警发送通知。 对应到产品的安装路径中,是下图ES中的CachedRecord文件夹中的live log数。 -正常状态:没有或几乎没有待处理的日志: -不正常状态:很多传过来的live logs,在排队处理,一直在增加: 注意:对于该告警发送时间间隔(5分钟)不可更改,请管理员收到通知后及时处理,以防未处理的日志堆积太多导致产品停掉。
ELA-出现“Cached record limit exceeded. Kindly do the needful.”文件夹超出阈值告警,应如何排查?
如下图,如果EventLog Analyzer产品出现了这样的告警或者管理员收到了这样的告警通知,如何处理? Cached record limit exceeded. Kindly do the needful. 超出缓存记录限制。请缓存必要的数据。 这样的告警什么意思? 答:如下图,产品安装目录中CachedRecord中待处理的live logs过多,产品无法处理不断传过来的日志,当达到一定数量后就会触发告警。 如何排查原因和处理? 答:考虑以下几种情况: ...
EventLog Analyzer-扫描出CVE-2021-44832漏洞如何处理(已是最新build12214)?
请先确认产品已经升级到最新的Build12214了! 升级产品到最新的build12214后,CVE-2021-44228,CVE-2021-45046和CVE-2021-45105漏洞已经分别修复。 但是如果此时还是扫描出CVE-2021-44832漏洞,请查看以下内容: Four high severity vulnerabilities, (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 and CVE-2021-44832), ...
ELA-ELA中告警事件可以生成SDP的工单吗?
EventLog Analyzer支持与ServiceDesk Plus集成,告警事件会自动在工单系统中生成工单,测试如下: 配置如下:
ELA-关于添加Symantec Endpoint Protection风险源
Symantec Endpoint Protection host是Windows的配置步骤: 1.如果SEP主机是Windows Server,建议先在ELA产品的管理设备-Windows设备那里添加SEP主机; (如果SEP主机是Linux,当配置了SEP的syslog service之后,如果该主机设备没有预先在ELA中添加,则它会自动出现在管理设备的syslog设备列表。所以对于Windows主机,为了避免在配置SEP的syslog ...
ELA-最新的Log4j vulnerabilities(CVE-2021 44228 & CVE-2021-45046) workaround
Please find the steps to mitigate the vulnerabilities CVE- 2021-44228 and CVE-2021-45046 on EventLog Analyzer. 1. Download/unzip the jar files from the below patch, ...
ELA-Windows用户账户锁定报表在哪里查看?
1.EventLog Analyzer中Windows用户账户锁定报表在哪里查看? 答:在Windows Server的“报表”中,对于Windows用户账户锁定报表,只有概览: 用户需要通过自定义条件去创建一个这个报表;其中报表的基本条件应包括:基于Windows Server(或非Server)组设备/也可以基于Windows设备IP/其他条件(包含),然后再加EventID为4740(等于). 【可参考ELA-Windows用户登录报表在哪里查看? ...
ELA-Windows用户登录报表在哪里查看?
1.EventLog Analyzer中Windows Server的用户登录报表在哪里查看? 答:在“报表”中,对于Windows Server的用户登录报表,只有概览: 用户需要自定义条件去创建报表,其中报表的基本条件应包括:基于Windows Server组设备/也可以基于Windows Server IP/其他条件(包含),然后再加EventID为4624(等于): 2.Windows非Server(如Windows ...
ELA的代理在哪个位置?
在如下位置可以找到代理,安装到对应的服务器即可:
ELA-有时输入中文拼音它会自动填充为英文字母?
如图,在EventLog Analyzer产品中,如果产品选择中文,在一些下拉菜单中想要输入中文筛选出对应的字段名,却发现拼音还没有在键盘上输入完成,它就自动变成英文字母了,有时候会发生这种情况,有时候不会。 举例,用户想搜索"事件",拼音输入shi,结果自动变为shshi。 用户想搜索"文件**",它会自动变为we'wen状态。 针对以上bug,可在12.1.0版本(如12146)中使用补丁包修复,后续12.2.0build中会正式修复,用户可下载附件补丁包,按照以下步骤修复问题: ...
ELA-添加设备验证用户凭证提示“Unknown error”
在EventLog Analyzer中添加设备,验证用户凭证时提示“Unknown error/未知错误”,请确认提供的账户或该账户所在的组有COM安全权限: "权限被拒"提示请参考ELA & ADAP提示“权限被拒” (manageengine.cn)
ELA & ADAP提示“权限被拒”
运行wmimgmt.msc,右击WMI 控件(本地),选择属性,在安全标签下展开Root,选择CIMV2,点击右下角安全设置,查看所提供的账户允许的WMI Namespace Security权限: (1)如果在EventLog Analyzer中添加设备时,提供的账户凭证提示Access denied: 请确认提供的账户是否允许WMI Namespace Security的以下权限: Execute Methods/执行方法; Enable Account/启用账户; Remote ...
ELA-删除设备后它之前的日志数据可以恢复吗?
当您删除设备时,一定会有如下提示,然后设备的日志数据也会随之从产品中删除: 即使用户重新在产品中又添加了该设备,那该设备在产品中的DeviceID标识也是变了的,它又是一个全新添加的设备了,由于之前的报表、告警、相关性等数据在当时删除设备时已全部删除,所以我们可以考虑它的归档日志文件有可能还在。 如果归档文件还在,用户可通过“导入日志”办法查看以前的日志数据: -找到该设备之前在归档路径中的文件(gz压缩文件): ...
ELA-收集日志时是否可以排除一些noisy日志?
比如说,某Windows一天收集1000万条数据,其中6000万条是信息类的,用户不想存储信息类的,举例配置如下筛选条件: 这是EventLog Analyzer产品收集网络设备日志时的筛选或排除条件,与产品本身的Log Level两者没有任何联系。
Next page