Eventlog Analyzer
ela如何重置admin用户密码
进入<EventLog Analyzer Home>\troubleshooting> 目录,执行"resetPwd.bat"即可重置密码.
ELA如何卸载可确保无残留?
通过以下流程卸载ELA,可确保无残留: 1. 卸载程序:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/SetuptheProduct/install-eventlog-analyzer.html#Howtouninstall 2. 卸载完程序后,可以转到<Home>:\ManageEngine文件夹,删除里面的EventLog Analyzer文件夹。 3. ...
近期有客户反映在上传日志网址中上传日志时需要选择模式,应该怎么选择呢?
模式如下图:(研发也反映客户上传的日志不完整,明明已经上传了整个Logs文件夹) 经过和研发同事的确认,一般情况下选择Debugging,Log analysis会去除大的文件及Archive文件,导致上传的日志文件不完整。Migration在上传产品日志以及DB backup日志时选择。
ELA-升级时提示需要Import Certificate
对于最新的EventLog Analyzer升级到12231Build时,在应用Service Pack提示需要Certificate,如何解决? 请从此链接:https://www.manageengine.com/certificate/ppmsigner_publickey.crt下载证书文件,点击上传证书,然后再进行升级。 如果还有问题,请联系support。
ELA中可以设置技术员只看部分设备的报表吗?
可以实现。通过将对应的设备设置为设备组,然后在如下界面选择对应的设备组即可:
ELA-日志处理能力-log flow/日志流量最大值
1.标准版: 最大(同时):Windows logs: 1500 - 2000 win logs/sec & Syslog:15000 Syslogs/sec 2.企业版(分布式):每1个探针可参照上面的1个标准版。 备注:日志处理能力除考虑系统软硬件要求外,应参考上面的日志流量不是日志源数量上限,关于日志流量在产品右上角日志接收器查看或者参考此文章估算。
ELA-在哪里可以设置CachedRecord触发告警的阈值?
如下图,在产品设置的通知下面,可以定义当未处理的日志文件到达多少时,需要触发告警发送通知。 对应到产品的安装路径中,是下图ES中的CachedRecord文件夹中的live log数。 -正常状态:没有或几乎没有待处理的日志: -不正常状态:很多传过来的live logs,在排队处理,一直在增加: 注意:对于该告警发送时间间隔(5分钟)不可更改,请管理员收到通知后及时处理,以防未处理的日志堆积太多导致产品停掉。
ELA-出现“Cached record limit exceeded. Kindly do the needful.”文件夹超出阈值告警,应如何排查?
如下图,如果EventLog Analyzer产品出现了这样的告警或者管理员收到了这样的告警通知,如何处理? Cached record limit exceeded. Kindly do the needful. 超出缓存记录限制。请缓存必要的数据。 这样的告警什么意思? 答:如下图,产品安装目录中CachedRecord中待处理的live logs过多,产品无法处理不断传过来的日志,当达到一定数量后就会触发告警。 如何排查原因和处理? 答:考虑以下几种情况: ...
EventLog Analyzer-扫描出CVE-2021-44832漏洞如何处理(已是最新build12214)?
请先确认产品已经升级到最新的Build12214了! 升级产品到最新的build12214后,CVE-2021-44228,CVE-2021-45046和CVE-2021-45105漏洞已经分别修复。 但是如果此时还是扫描出CVE-2021-44832漏洞,请查看以下内容: Four high severity vulnerabilities, (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 and CVE-2021-44832), ...
ELA-ELA中告警事件可以生成SDP的工单吗?
EventLog Analyzer支持与ServiceDesk Plus集成,告警事件会自动在工单系统中生成工单,测试如下: 配置如下:
ELA-关于添加Symantec Endpoint Protection风险源
Symantec Endpoint Protection host是Windows的配置步骤: 1.如果SEP主机是Windows Server,建议先在ELA产品的管理设备-Windows设备那里添加SEP主机; (如果SEP主机是Linux,当配置了SEP的syslog service之后,如果该主机设备没有预先在ELA中添加,则它会自动出现在管理设备的syslog设备列表。所以对于Windows主机,为了避免在配置SEP的syslog ...
ELA-最新的Log4j vulnerabilities(CVE-2021 44228 & CVE-2021-45046) workaround
Please find the steps to mitigate the vulnerabilities CVE- 2021-44228 and CVE-2021-45046 on EventLog Analyzer. 1. Download/unzip the jar files from the below patch, ...
ELA-Windows用户账户锁定报表在哪里查看?
1.EventLog Analyzer中Windows用户账户锁定报表在哪里查看? 答:在Windows Server的“报表”中,对于Windows用户账户锁定报表,只有概览: 用户需要通过自定义条件去创建一个这个报表;其中报表的基本条件应包括:基于Windows Server(或非Server)组设备/也可以基于Windows设备IP/其他条件(包含),然后再加EventID为4740(等于). 【可参考ELA-Windows用户登录报表在哪里查看? ...
ELA-Windows用户登录报表在哪里查看?
1.EventLog Analyzer中Windows Server的用户登录报表在哪里查看? 答:在“报表”中,对于Windows Server的用户登录报表,只有概览: 用户需要自定义条件去创建报表,其中报表的基本条件应包括:基于Windows Server组设备/也可以基于Windows Server IP/其他条件(包含),然后再加EventID为4624(等于): 2.Windows非Server(如Windows ...
ELA的代理在哪个位置?
在如下位置可以找到代理,安装到对应的服务器即可:
ELA-有时输入中文拼音它会自动填充为英文字母?
如图,在EventLog Analyzer产品中,如果产品选择中文,在一些下拉菜单中想要输入中文筛选出对应的字段名,却发现拼音还没有在键盘上输入完成,它就自动变成英文字母了,有时候会发生这种情况,有时候不会。 举例,用户想搜索"事件",拼音输入shi,结果自动变为shshi。 用户想搜索"文件**",它会自动变为we'wen状态。 针对以上bug,可在12.1.0版本(如12146)中使用补丁包修复,后续12.2.0build中会正式修复,用户可下载附件补丁包,按照以下步骤修复问题: ...
ELA-添加设备验证用户凭证提示“Unknown error”
在EventLog Analyzer中添加设备,验证用户凭证时提示“Unknown error/未知错误”,请确认提供的账户或该账户所在的组有COM安全权限: "权限被拒"提示请参考ELA & ADAP提示“权限被拒” (manageengine.cn)
ELA & ADAP提示“权限被拒”
运行wmimgmt.msc,右击WMI 控件(本地),选择属性,在安全标签下展开Root,选择CIMV2,点击右下角安全设置,查看所提供的账户允许的WMI Namespace Security权限: (1)如果在EventLog Analyzer中添加设备时,提供的账户凭证提示Access denied: 请确认提供的账户是否允许WMI Namespace Security的以下权限: Execute Methods/执行方法; Enable Account/启用账户; Remote ...
ELA-删除设备后它之前的日志数据可以恢复吗?
当您删除设备时,一定会有如下提示,然后设备的日志数据也会随之从产品中删除: 即使用户重新在产品中又添加了该设备,那该设备在产品中的DeviceID标识也是变了的,它又是一个全新添加的设备了,由于之前的报表、告警、相关性等数据在当时删除设备时已全部删除,所以我们可以考虑它的归档日志文件有可能还在。 如果归档文件还在,用户可通过“导入日志”办法查看以前的日志数据: -找到该设备之前在归档路径中的文件(gz压缩文件): ...
ELA-收集日志时是否可以排除一些noisy日志?
比如说,某Windows一天收集1000万条数据,其中6000万条是信息类的,用户不想存储信息类的,举例配置如下筛选条件: 这是EventLog Analyzer产品收集网络设备日志时的筛选或排除条件,与产品本身的Log Level两者没有任何联系。
ELA密码忘记的话,怎么通过脚本来重置下密码?
可以在以下位置进行重置:
ELA怎样安装为服务?
要安装为服务,可以访问EventLog Analyzer安装目录下的bin文件夹,以管理员身份运行service.bat -i 就可以成功安装服务,如果需要移除服务,可以运行service.bat -r,如下图所示位置:
ela有记录软件自己admin和技术员登录的日志吗?
以下位置可以查看登录历史:
ela有记录软件自己的操作事件吗,如添加设备?
以下位置可以查看admin和技术员添加设备的日志:
ELA-产品通过邮件发送的计划报表的zip附件是否可以设置密码?
EventLog Analyzer支持为报表附件设置密码来提取zip文件。 如下图,在设置>管理设置>隐私设置处启用“为分发及导出报表启用密码保护”选项。 注意:启用此选项将允许您从现在开始使用密码保护ELA通过电子邮件发送的附件,还包括 以PDF和CSV格式导出的报表(如下图)。
ELA-支持Linux服务器磁盘空间占满的告警通知吗?
ELA支持Linux服务器磁盘空间近满的告警,可在告警中找到该告警条件进行设置:
ELA-产品默认收到的UDP packet最大多少KB?
为保证产品收集日志性能良好,目前ELA产品默认收到的UDP包最大是5KB; 如果转发过来的Syslog包大于5KB会被dropped,超过5KB的packet需要开发在数据库中手动increase the limit of UDP packet。 可先查看syslog.out中[UDPCollector::WSAGetOverlappedResult][Error]0X2738**********
ELA-计划报表中的附件是否可直接设置成PDF格式(而非zip包)?
如下图,在产品设置中可修改报表附件的格式: 如果邮件中包含1个以上的报表,还是统一的zip压缩包;单个报表可以设置成PDF或CSV格式。
ELA-收到的Syslog日志乱码?
如下图,ELA产品中显示的Syslog日志乱码如何解决? 有时候网络设备发过来的Syslog packet的编码可能需要在产品中更新一下,比如这个防火墙发过来的Syslog packet的编码是GB2312,那在产品中如下位置可以更新这个Syslog的Encoding,就不会乱码了。 至于Syslog packet的Encoding格式,可以咨询设备厂商。
ELA-日志级别设置
关于日志级别设置,如果用户遇到一些(一般是syslog)问题时,用户可以协助开发者在这里设置EventLog Analyzer服务器的日志级别,debug用的。 ...
导出安全策略匹配日志的时候,中文会乱码,这个怎么解决?
问题截图: 解决方案: 乱码的问题,可以在管理设备---syslog设备点击更新 将编码改为GB2312再尝试一下:
ELA-(天融信、深信服等)防火墙syslog转发过来了但ELA没收到?
无论日志接收器那里是否有syslog packet发过来,但是防火墙设备在管理设备-syslog设备下拉列表已自动出现了,另Wireshark抓包也看到发送过来了,但是搜索、报表、管理设备下最近10个事件等却都没数据。 这种情况是syslog确实发送到本机了,但EventLog Analyzer实际却没有从513、514端口监听到。 (一般对于支持的华为、思科、H3C、Fortinet、Juniper等设备不会出现,但对于如天融信、深信服等网络设备可能会出现。) 执行如下DB ...
ELA如何修改归档的位置?
1.登录到EventLog Analyzer界面。 2.转到设置选项卡→管理设置→管理存档。 3.单击归档页面右上角的设置。 4.编辑归档位置并保存更改。 注意:如果要移动现有归档文件,请将文件从现有位置复制到您选择的目的地。 默认情况下,存档将位于<安装文件夹> / ManageEngine / EventLog Analyzer / archive中。 (如需更改索引位置,详见另一个关于更改索引位置的知识库)
EventLog Analyzer计算器中的EPS怎么计算?
如下图中的EPS,指得是日志量,Event per Second: 如何计算得出EPS,好了解对安装得服务器的性能要求: 1.日志接收器: 2.如果日志流量不稳定,比如周一日志量很大,周末日志量比较小,建议以下方式得出EPS: 选择windows或者syslog设备+日志类型+时间段->用下方的events数除以该时间段内的秒数,就能得出该类设备的EPS; (如选择最近7天,即除以604800秒;选择昨天,即除以86400秒;多次计算就可得出大概的EPS值是多少。)
EventLog Analyzer-一些报表中显示最匹配和最不匹配时只显示10行?
EventLog Analyzer-一些报表中显示最匹配和最不匹配时只显示10行? 可以在以下地方更改想要显示的行数:
EventLog Analyzer-关于分布式部署
一般对于比较复杂的大型网络、设备不在同一城市,用户可以采用分布式部署ELA;如果公司网络设备数太多,需要实现集中监控和分散管理,也可以采用分布式部署方式; 关于分布式部署: 1.EventLog Analyzer在Managed Server(被控端)和Central Server(/Admin Server)上的安装过程没区别;需要后期执行脚本; 1.1在Central Server上: ...
EventLog Analyzer-更改日志索引位置
更改索引位置的步骤: - 先停止EventLog Analyzer服务 - 找到/ES/config并找到elasticsearch.yml文件 - 编辑文件的path.data参数,包含新索引位置并保存文件(管理员身份编辑并保存) 举例1:path.data:["./../ES/data"] 示例2:path.data:["C:\\ES\\DATA"] 示例3:path.data:["\\\\Remote_Machinename\\ES\\data\\"]["C:\\ES\\DATA"]
EventLog Analyzer中内置的PGSQL数据库都存了什么数据?
ELA的数据库存的是以下信息的元数据:设备信息、报表配置文件、相关性等日志外的数据; ELA的日志数据不存在数据库中,产品中看到的日志(即online live logs)存在ES中,脱机的已被归档的日志存在指定的archives目录中。 请查看EventLog Analyzer安装目录文件夹的知识库文章了解更多信息。
ManageEngine\EventLog Analyzer\ES\data\ELA-C1\nodes\0\indices文件夹太大了?
ES中的indices文件夹中存储的是日志数据的索引,当用户在产品UI执行日志搜索时,产品会参考索引文件以检索所需的数据。 当DB retention设置的天数太长,且日志量大的时候,Online live logs太多,索引也会过多,导致indices文件夹很大。 检查DB保留天数: 如果这里的天数不是很长,比如只有30天,那请在浏览器中访问ELA产品URL后面加上rawConfig.do。 ...
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹太大了?
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹中是缓存的日志数据,即收到了日志,但是在排队等待处理。 引起该文件夹过大的原因有多种: 1.运行ELA的服务器上或者公司内其他专用服务器上的杀毒软件(Antivirus scanner)在扫描ManageEngine文件夹,误把产品运行时产生的如Java文件当成恶意病毒程序,由此影响产品正常运行,日志都在排队处理,却处理不了。 ...
Next page