Eventlog Analyzer
EventLog Analyzer-关于分布式部署
一般对于比较复杂的大型网络、设备不在同一城市,用户可以采用分布式部署ELA;如果公司网络设备数太多,需要实现集中监控和分散管理,也可以采用分布式部署方式; 关于分布式部署: 1.EventLog Analyzer在Managed Server(被控端)和Central Server(/Admin Server)上的安装过程没区别;需要后期执行脚本; 1.1在Central Server上: ...
EventLog Analyzer-更改日志索引位置
更改索引位置的步骤: - 先停止EventLog Analyzer服务 - 找到/ES/config并找到elasticsearch.yml文件 - 编辑文件的path.data参数,包含新索引位置并保存文件(管理员身份编辑并保存) 举例1:path.data:["./../ES/data"] 示例2:path.data:["C:\\ES\\DATA"] 示例3:path.data:["\\\\Remote_Machinename\\ES\\data\\"]["C:\\ES\\DATA"]
EventLog Analyzer中内置的PGSQL数据库都存了什么数据?
ELA的数据库存的是以下信息的元数据:设备信息、报表配置文件、相关性等日志外的数据; ELA的日志数据不存在数据库中,产品中看到的日志(即online live logs)存在ES中,脱机的已被归档的日志存在指定的archives目录中。 请查看EventLog Analyzer安装目录文件夹的知识库文章了解更多信息。
ManageEngine\EventLog Analyzer\ES\data\ELA-C1\nodes\0\indices文件夹太大了?
ES中的indices文件夹中存储的是日志数据的索引,当用户在产品UI执行日志搜索时,产品会参考索引文件以检索所需的数据。 当DB retention设置的天数太长,且日志量大的时候,Online live logs太多,索引也会过多,导致indices文件夹很大。 检查DB保留天数: 如果这里的天数不是很长,比如只有30天,那请在浏览器中访问ELA产品URL后面加上rawConfig.do。 ...
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹太大了?
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹中是缓存的日志数据,即收到了日志,但是在排队等待处理。 引起该文件夹过大的原因有多种: 1.运行ELA的服务器上或者公司内其他专用服务器上的杀毒软件(Antivirus scanner)在扫描ManageEngine文件夹,误把产品运行时产生的如Java文件当成恶意病毒程序,由此影响产品正常运行,日志都在排队处理,却处理不了。 ...
EventLog Analyzer\ES\archive和EventLog Analyzer\archive分别是什么文件夹?
EventLog Analyzer中的日志处理经历两个阶段: 第一阶段:收到原始日志数据时,日志保留方式是Online retention(联机保留); 即产品在运行的时候,产品界面UI中显示的那些日志数据是来自EventLog Analyzer\ES\archive。 即下图设置的该天数内的日志数据: 第二阶段:但是日志不能永久通过Online索引,这会影响产品运行性能,这就涉及到第二阶段“Offline retention”(脱机保留); ...
EventLog Analyzer安装目录文件夹占用磁盘空间太多
首先我们需要定位是ManageEngine下的EventLog Analyuzer具体哪个文件夹占用了大量的磁盘空间,不一定是产品问题。 以下是可以检查的几个文件夹: 1. 脱机日志数据归档文件夹(即对应的归档处设置的Archives):\ManageEngine\EventLog Analyzer\archive 2. ES文件夹:\ManageEngine\EventLog Analyzer\ES 2.1 ES里面的日志缓存文件夹:\ManageEngine\EventLog ...
ELA里面有4万多条日志,但是只能导出2万条,和归档设置有关系吗?
初步判断是报表导出条目限制。可以浏览到:设置---管理设置---产品设置,将直接导出报表限制改为50000或者100000,然后再次尝试导出。
ELA支持的设备类型的列表明细:
可以参考此链接: https://www.manageengine.com/products/eventlog/supported-data-sources.html,内容是如下的界面:
ELA日志接收器显示有日志进来,但是报表和搜索中都无法搜到对应的日志,怎样解决?
问题:sophos的防火墙设备已经配置了日志转发,ELA的日志收集器显示已经收到了日志,但是报表和搜索中都无法搜到对应的日志。 解决方案:经过排查,是ELA的服务器开启了防火墙,关闭防火墙后日志可以正常显示。如需要继续开启防火墙,可以打开对应的端口:UDP 513, 514或者TCP 514,这个端口是基于Sophos中配置的端口的,然后对应开启ELA服务器的入站UDP513或514或TCP 514即可。
EventLog Analyzer如何审计到MSSQL的DDL/DML活动
EventLog Analyzer可以通过审计和分析日志来监视数据库管理员的访问和活动。 如果想审计DDL/DML活动,请启用下图所示的高级审核。 了解更多请访问官网介绍: https://www.manageengine.cn/products/eventlog/help/ ...
如何在EventLog Analyzer中导出一个包含所有设备的状态的文件?
之前有几个客户问过是否可以导出一个关于设备在产品中的状态的文件? 比如像报表标签下:针对某个报表,可以导出该报表数据到一个文件。 虽然该需求并不常见,因为大部分的设备(几乎所有设备)都是启用的(Enabled)并都在活跃(Active)状态,但是EventLog Analyzer产品其实也支持上述需求,操作如下: 1.导航到产品主页>点击查看所有设备->创建计划; (可以将指定计划报表结果发送到指定的邮箱地址,也可以直接在产品页面进行下载。格式有PDF和CSV。) 2. ...
Windows设备中安装EventLog Analyzer agent的方法
第一种方法:从产品的UI界面推,自动安装代理; 第二种方法:下载代理安装文件,手动在设备上安装,填写那台EventLog服务器的IP或主机名、端口号,协议; 第三种方法:如果以上两种方法都试了,终端设备的账号也有admin权限,WMI正常工作,请以管理员运行CMD命令窗口,运行如下script: msiexec.exe /i "EventLogAgent.msi" /qn /norestart /L*v "Agent_Install.log" ...
ELA-关于MS SQL配置和许可问题
为什么MS SQL单独作为插件收费而不像其他的application或者database按应用许可收费? 答:MS SQL的日志收集方法不同于比如MySQL的日志收集方法,除了常规的日志收集方法外,ELA还采用了审核策略和MS-SQL审核的列完整性监控,我们可以在产品中看到SQL Server的报表多达一百多个。 关于许可: 答:添加MSSQL实例,主机也会占用一个许可,共两个许可;一个是单独的MSSQL addon许可,一个是主机设备许可。 如果没有添加MSSQL主机,直接添加MSSQL呢? ...
关于EventLog Analyzer产品URL白名单
如果由于公司内部策略,EventLog Analyzer服务器网络访问受限,请将以下链接加入到白名单: https://creator.zoho.com/ https://log360feeds.manageengine.com https://log360cloud.manageengine.com
如何启用EventLog Analyzer中的高级威胁分析模块(Advanced Threat Analytics)
启用EventLog Analyzer中的高级威胁分析模块(Advanced Threat Analytics)的前提是已购买该插件的许可; 配置步骤如下: 1.首先注册一个Log360 cloud账户,链接是https://log360feeds.manageengine.com/,如已经有Log360 cloud账户,请直接第二步; 2.然后使用此账户登录Log360,链接是https://log360cloud.manageengine.com/,登陆进来后,在Agent ...
EventLog Analyzer中是否可以自定义保留几个月的数据查看?
数据库中的数据保留时间,请在下图设置(默认是32天): 超过该设定的时间,日志数据将从数据库中删除,但这“不影响”下图的归档: 如果想查看已经从数据库中删掉的旧数据,您需要在归档那里加载回到数据库即可。
EventLog Analyzer中在配置时需要开放哪些端口?
请查看以下链接,对于启用端口的详细解释: https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/SetuptheProduct/eventlog-prerequisites.html
关于EventLog Analyzer产品中高级威胁分析模块
1. 高级威胁分析是什么? EventLog Analyzer中的高级威胁分析功能可以为每个潜在恶意URL、域和IP地址的信誉打分,提供一个可视化的威胁的严重性。这是一个单独的许可。 2. 购买高级威胁后如何配置? 需要有一个Log360 Cloud账户进行配置。点击链接https://log360cloud.manageengine.com 注册一个账户。注册后,在产品里导航至“设置”>“管理设置”>“代理配置”,复制访问密钥并粘贴到“高级威胁分析”选项卡中显示的“访问密钥”框中,然后单击“ ...
关于EventLog Analyzer产品许可中的应用程序数量的许可
关于EventLog Analyzer产品许可->应用程序数量的许可: 使用的应用程序数量的许可(第1张截图)对应着产品中4个地方的配置(第2张截图)↓ 注意:MS SQL Server 不包含在上述所说的应用程序的许可里面,SQL Server是单独按Add-on收费的。请参考ELA-关于MS SQL配置和许可问题 (manageengine.cn)
EventLog Analyzer产品升级时报错-数据库启动不起来
在升级EventLog Analyzer产品时,升级不成功,提示连接数据库有问题: 如下这样的截图: 或者 解决方法:运行initpgsql.bat一般可解决数据库启动不起来的问题,不会影响数据库中存储的数据或配置,注意不是运行reinitializeDB!!
ELA迁移配置
如果有客户不需要数据,只想迁移ELA内相关配置,可以按以下方式进行迁移 1.在新的位置安装ELA确保新旧版本一致 2.将旧版本的PGSQL, CONF 和 Data 文件夹拷贝到新位置 3.登录新位置的ELA,确认配置是否都在。
EventLog Analyzer中关于文件完整性监视报表
关于Linux: 默认的有预定义的Linux文件完整性监视的报表,如果购买了Linux文件服务器的许可。如下图: 关于Windows: 1.如果您使用了ADAudit Plus产品,并且在Log360平台集成了ADAudit Plus产品和EventLog Analyzer产品,那当两者同步了之后,在EventLog Analyzer产品中“可能”会出现一些关于Windows文件完整性监视的报表。如下图供您参考: 2.如果只单独使用了EventLog ...
EventLog Analyzer产品中如何更改某些报表(字段的最*值和最*值)显示的行数?
在EventLog Analyzer产品中,有时候显示出来的报表数据,其显示的行数比较少,可以更改吗? 类似如下这样的报表:匹配的最大值/最小值等这样的显示结果的行数: 产品中,默认的是这样报表会显示10行,如果需要显示更多匹配的结果,在设置-管理设置-产品设置处更改“前N个报表显示的行”即可。
EventLog Analyzer产品获取不到任何数据?
场景描述:用户安装完EventLog Analyzer产品后,也安装为服务,可以从Web端访问了产品了,但是在配置后,没有任何的数据?最简单的添加完Windows设备后,在Search搜索标签下也搜不到任何日志信息。 如果EventLog Analyzer产品获取不到任何数据,要考虑是不是安装路径没有排除在AntiVirus之外。如下图所示: - 解决方案:把ManageEngine文件夹以及子文件夹排除在反病毒扫描工具(/杀毒软件)的范围之外(白名单)。
Syslog无法收集,日志报错内存即将用尽
syslog设备收集不正常,serverout日志报错显示内存即将用尽。 解决办法: 1. Stop the EventLog Analyzer service. 2. Navigate to <EventLog Analyzer home>/server/conf. 3. Open the file wrapper.conf. 4. Search for wrapper.java.maxmemory. 5. The default value for this ...
EventLog Analyzer支持云版本吗?
答,支持云版本,详情请到https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/AdminSettings/log360-cloud.html查询。
能列举几个用户案例吗?
1)北京铁路局的技术人员在针对网络设备及其他信息系统和设备发生故障而影响运输生产安全的事故分析中发现:有不少故障在发生前会产生大量错误日志,结合现有的监控和维护 手段,查看日志方法比较单一。使用了EventLog Analyzer实时对核心生产网络设备、客票相关设备和应用服务器小型机进行监控,减少技术人员的工作强度。在设备发生重大故障时,通过短信方式通知机房值班人员及相应的技术人员,提高应急响应时间,最大限度缩小故障的影响范围。 ...
EventLog Analyzer有哪些功能优势和亮点?
答: 1)支持监控整个网络范围内的重要日志 2)支持日志的过滤功能,可在海量信息中分析特定数据 3)支持分布式部署 4)无需安装客户端软件/代理 5)内嵌数据库,安装部署简单 6)100%基于Web,方便用户访问 7)采用ES(elastic search)技术,专门应对海量日志查询,并可进行复杂条件搜索。
EventLog Analyzer对存储空间有哪些要求?如何计算?
下表是EventLog Analyzer运行的机器需要的内存和磁盘空间。内存和磁盘的要求依赖于Evenglog Analyzer处理日志主机的数量、每秒接收的日志数量、每天接收的日志数量。(以下要求计算自100个主机和平均每个日志大小为350字节) 日志量 内存大小 每月日志归档需要的磁盘空间 100/秒或3 GB/天 1 GB 300 GB 500/秒或14 GB/天 2 GB 1440 GB 1000/秒或28 GB/天 4 GB 2880 GB
EventLog Analyzer支持分布式部署吗?
答:支持分布式部署,EventLog Analyzer的分布式部署功能可以很好的解决跨地理位置的企业对于其管理分支机构主机日志/Syslog过程中所遇到这样或那样的问题,使此项任务可以简单的执行。 更多详情请到https://www.manageengine.cn/products/eventlog/help/index.html查阅
EventLog Analyzer是做什么用的?
ELA是一款全方位的日志分析解决方案,能够做到包括:日志收集,关联事件,发出告警。产生报表,及日志归档等多项功能。并进行深度的审计及合规性管理,并且可以基于已有的数据进行相关性分析,做出风险提示。
ela服务器硬盘空间满了 他们增加了硬盘 并重新定义了归档路径,现在在ela上看不到以前的数据了
请执行如下步骤修改索引地址,问题即可解决。
如果不考虑硬件因素,对1千万规模日志执行搜索需要多长时间得到结果 ?
Thank you for your patience on this. Please find the requested information below. Searching 10M data using Search Tab will approximately take 2 seconds. Testing specs are given below, System Details: WIndows server 2012 R2 Standard. Processor: Intel ...
如何在ela中为FIM配置告警 ?
在ela在告警页面添加告警配置文件无法配置FIM告警,需要到主页--》文件监视—》添加告警。
使用抓包软件测试,ELA服务器能收到linux发送的syslog的日志。但是在添加设备的时候失败,ELA的日志分析仪也查看不到该这个的日志。
OP与ELA装在了同一台服务器,UDP 514端口被OP占用。 需要将syslog发送到ELA服务器的UDP 513端口或TCP 514端口。
安装ela时,360安全软件提示出现病毒
我们的EventLog Analyzer有一个全球恶意IP和危险网站列表,一旦来自这些ip或网站访问到您的设备,我们的EventLog Analyzer就会自动触发告警(如下链接所示)。所以杀毒软件可能认为是病毒,您可以放心使用。弹出是否允许,选择全部允许即可。
ELA如何应对勒索攻击?
Hi Prasannanayagi, Customer think his DC server was attacked by ransom virus. which product can help him ? ela ? Prasannanayagi Yes. EventLog Analyzer can help him. If he has setup File Integrity Monitoring, they can check the file created flow ...
ela安装linux系统,导入Windows日志中文乱码
用nxlog将windows日志作为syslog转发到ela
ELA中的数据库访问功能都可以执行哪些sql操作 ?
可以查询到所有的表,只能执行select操作。
Next page