Eventlog Analyzer
ELA-添加设备验证用户凭证提示“Unknown error”
在EventLog Analyzer中添加设备,验证用户凭证时提示“Unknown error/未知错误”,请确认提供的账户或该账户所在的组有COM安全权限: "权限被拒"提示请参考ELA & ADAP提示“权限被拒” (manageengine.cn)
ELA & ADAP提示“权限被拒”
运行wmimgmt.msc,右击WMI 控件(本地),选择属性,在安全标签下展开Root,选择CIMV2,点击右下角安全设置,查看所提供的账户允许的WMI Namespace Security权限: (1)如果在EventLog Analyzer中添加设备时,提供的账户凭证提示Access denied: 请确认提供的账户是否允许WMI Namespace Security的以下权限: Execute Methods/执行方法; Enable Account/启用账户; Remote ...
ELA-删除设备后它之前的日志数据可以恢复吗?
当您删除设备时,一定会有如下提示,然后设备的日志数据也会随之从产品中删除: 即使用户重新在产品中又添加了该设备,那该设备在产品中的DeviceID标识也是变了的,它又是一个全新添加的设备了,由于之前的报表、告警、相关性等数据在当时删除设备时已全部删除,所以我们可以考虑它的归档日志文件有可能还在。 如果归档文件还在,用户可通过“导入日志”办法查看以前的日志数据: -找到该设备之前在归档路径中的文件(gz压缩文件): ...
ELA-收集日志时是否可以排除一些noisy日志?
比如说,某Windows一天收集1000万条数据,其中6000万条是信息类的,用户不想存储信息类的,举例配置如下筛选条件: 这是EventLog Analyzer产品收集网络设备日志时的筛选或排除条件,与产品本身的Log Level两者没有任何联系。
ELA密码忘记的话,怎么通过脚本来重置下密码?
可以在以下位置进行重置:
ELA怎样安装为服务?
要安装为服务,可以访问EventLog Analyzer安装目录下的bin文件夹,以管理员身份运行service.bat -i 就可以成功安装服务,如果需要移除服务,可以运行service.bat -r,如下图所示位置:
ela有记录软件自己admin和技术员登录的日志吗?
以下位置可以查看登录历史:
ela有记录软件自己的操作事件吗,如添加设备?
以下位置可以查看admin和技术员添加设备的日志:
ELA-产品通过邮件发送的计划报表的zip附件是否可以设置密码?
EventLog Analyzer支持为报表附件设置密码来提取zip文件。 如下图,在设置>管理设置>隐私设置处启用“为分发及导出报表启用密码保护”选项。 注意:启用此选项将允许您从现在开始使用密码保护ELA通过电子邮件发送的附件,还包括 以PDF和CSV格式导出的报表(如下图)。
ELA-支持Linux服务器磁盘空间占满的告警通知吗?
ELA支持Linux服务器磁盘空间近满的告警,可在告警中找到该告警条件进行设置:
ELA-产品默认收到的UDP packet最大多少KB?
为保证产品收集日志性能良好,目前ELA产品默认收到的UDP包最大是5KB; 如果转发过来的Syslog包大于5KB会被dropped,超过5KB的packet需要开发在数据库中手动increase the limit of UDP packet。 可先查看syslog.out中[UDPCollector::WSAGetOverlappedResult][Error]0X2738**********
ELA-计划报表中的附件是否可直接设置成PDF格式(而非zip包)?
如下图,在产品设置中可修改报表附件的格式: 如果邮件中包含1个以上的报表,还是统一的zip压缩包;单个报表可以设置成PDF或CSV格式。
ELA-收到的Syslog日志乱码?
如下图,ELA产品中显示的Syslog日志乱码如何解决? 有时候网络设备发过来的Syslog packet的编码可能需要在产品中更新一下,比如这个防火墙发过来的Syslog packet的编码是GB2312,那在产品中如下位置可以更新这个Syslog的Encoding,就不会乱码了。 至于Syslog packet的Encoding格式,可以咨询设备厂商。
ELA-日志级别设置
关于日志级别设置,如果用户遇到一些(一般是syslog)问题时,用户可以协助开发者在这里设置EventLog Analyzer服务器的日志级别,debug用的。 ...
导出安全策略匹配日志的时候,中文会乱码,这个怎么解决?
问题截图: 解决方案: 乱码的问题,可以在管理设备---syslog设备点击更新 将编码改为GB2312再尝试一下:
ELA-(天融信、深信服等)防火墙syslog转发过来了但ELA没收到?
无论日志接收器那里是否有syslog packet发过来,但是防火墙设备在管理设备-syslog设备下拉列表已自动出现了,另Wireshark抓包也看到发送过来了,但是搜索、报表、管理设备下最近10个事件等却都没数据。 这种情况是syslog确实发送到本机了,但EventLog Analyzer实际却没有从513、514端口监听到。 (一般对于支持的华为、思科、H3C、Fortinet、Juniper等设备不会出现,但对于如天融信、深信服等网络设备可能会出现。) 执行如下DB ...
ELA如何修改归档的位置?
1.登录到EventLog Analyzer界面。 2.转到设置选项卡→管理设置→管理存档。 3.单击归档页面右上角的设置。 4.编辑归档位置并保存更改。 注意:如果要移动现有归档文件,请将文件从现有位置复制到您选择的目的地。 默认情况下,存档将位于<安装文件夹> / ManageEngine / EventLog Analyzer / archive中。 (如需更改索引位置,详见另一个关于更改索引位置的知识库)
EventLog Analyzer计算器中的EPS怎么计算?
如下图中的EPS,指得是日志量,Event per Second: 如何计算得出EPS,好了解对安装得服务器的性能要求: 1.日志接收器: 2.如果日志流量不稳定,比如周一日志量很大,周末日志量比较小,建议以下方式得出EPS: 选择windows或者syslog设备+日志类型+时间段->用下方的events数除以该时间段内的秒数,就能得出该类设备的EPS; (如选择最近7天,即除以604800秒;选择昨天,即除以86400秒;多次计算就可得出大概的EPS值是多少。)
EventLog Analyzer-一些报表中显示最匹配和最不匹配时只显示10行?
EventLog Analyzer-一些报表中显示最匹配和最不匹配时只显示10行? 可以在以下地方更改想要显示的行数:
EventLog Analyzer-关于分布式部署
一般对于比较复杂的大型网络、设备不在同一城市,用户可以采用分布式部署ELA;如果公司网络设备数太多,需要实现集中监控和分散管理,也可以采用分布式部署方式; 关于分布式部署: 1.EventLog Analyzer在Managed Server(被控端)和Central Server(/Admin Server)上的安装过程没区别;需要后期执行脚本; 1.1在Central Server上: ...
EventLog Analyzer-更改日志索引位置
更改索引位置的步骤: - 先停止EventLog Analyzer服务 - 找到/ES/config并找到elasticsearch.yml文件 - 编辑文件的path.data参数,包含新索引位置并保存文件(管理员身份编辑并保存) 举例1:path.data:["./../ES/data"] 示例2:path.data:["C:\\ES\\DATA"] 示例3:path.data:["\\\\Remote_Machinename\\ES\\data\\"]["C:\\ES\\DATA"]
EventLog Analyzer中内置的PGSQL数据库都存了什么数据?
ELA的数据库存的是以下信息的元数据:设备信息、报表配置文件、相关性等日志外的数据; ELA的日志数据不存在数据库中,产品中看到的日志(即online live logs)存在ES中,脱机的已被归档的日志存在指定的archives目录中。 请查看EventLog Analyzer安装目录文件夹的知识库文章了解更多信息。
ManageEngine\EventLog Analyzer\ES\data\ELA-C1\nodes\0\indices文件夹太大了?
ES中的indices文件夹中存储的是日志数据的索引,当用户在产品UI执行日志搜索时,产品会参考索引文件以检索所需的数据。 当DB retention设置的天数太长,且日志量大的时候,Online live logs太多,索引也会过多,导致indices文件夹很大。 检查DB保留天数: 如果这里的天数不是很长,比如只有30天,那请在浏览器中访问ELA产品URL后面加上rawConfig.do。 ...
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹太大了?
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹中是缓存的日志数据,即收到了日志,但是在排队等待处理。 引起该文件夹过大的原因有多种: 1.运行ELA的服务器上或者公司内其他专用服务器上的杀毒软件(Antivirus scanner)在扫描ManageEngine文件夹,误把产品运行时产生的如Java文件当成恶意病毒程序,由此影响产品正常运行,日志都在排队处理,却处理不了。 ...
EventLog Analyzer\ES\archive和EventLog Analyzer\archive分别是什么文件夹?
EventLog Analyzer中的日志处理经历两个阶段: 第一阶段:收到原始日志数据时,日志保留方式是Online retention(联机保留); 即产品在运行的时候,产品界面UI中显示的那些日志数据是来自EventLog Analyzer\ES\archive。 即下图设置的该天数内的日志数据: 第二阶段:但是日志不能永久通过Online索引,这会影响产品运行性能,这就涉及到第二阶段“Offline retention”(脱机保留); ...
EventLog Analyzer安装目录文件夹占用磁盘空间太多
首先我们需要定位是ManageEngine下的EventLog Analyuzer具体哪个文件夹占用了大量的磁盘空间,不一定是产品问题。 以下是可以检查的几个文件夹: 1. 脱机日志数据归档文件夹(即对应的归档处设置的Archives):\ManageEngine\EventLog Analyzer\archive 2. ES文件夹:\ManageEngine\EventLog Analyzer\ES 2.1 ES里面的日志缓存文件夹:\ManageEngine\EventLog ...
ELA里面有4万多条日志,但是只能导出2万条,和归档设置有关系吗?
初步判断是报表导出条目限制。可以浏览到:设置---管理设置---产品设置,将直接导出报表限制改为50000或者100000,然后再次尝试导出。
ELA支持的设备类型的列表明细:
可以参考此链接: https://www.manageengine.com/products/eventlog/supported-data-sources.html,内容是如下的界面:
ELA日志接收器显示有日志进来,但是报表和搜索中都无法搜到对应的日志,怎样解决?
问题:sophos的防火墙设备已经配置了日志转发,ELA的日志收集器显示已经收到了日志,但是报表和搜索中都无法搜到对应的日志。 解决方案:经过排查,是ELA的服务器开启了防火墙,关闭防火墙后日志可以正常显示。如需要继续开启防火墙,可以打开对应的端口:UDP 513, 514或者TCP 514,这个端口是基于Sophos中配置的端口的,然后对应开启ELA服务器的入站UDP513或514或TCP 514即可。
EventLog Analyzer如何审计到MSSQL的DDL/DML活动
EventLog Analyzer可以通过审计和分析日志来监视数据库管理员的访问和活动。 如果想审计DDL/DML活动,请启用下图所示的高级审核。 了解更多请访问官网介绍: https://www.manageengine.cn/products/eventlog/help/ ...
如何在EventLog Analyzer中导出一个包含所有设备的状态的文件?
之前有几个客户问过是否可以导出一个关于设备在产品中的状态的文件? 比如像报表标签下:针对某个报表,可以导出该报表数据到一个文件。 虽然该需求并不常见,因为大部分的设备(几乎所有设备)都是启用的(Enabled)并都在活跃(Active)状态,但是EventLog Analyzer产品其实也支持上述需求,操作如下: 1.导航到产品主页>点击查看所有设备->创建计划; (可以将指定计划报表结果发送到指定的邮箱地址,也可以直接在产品页面进行下载。格式有PDF和CSV。) 2. ...
Windows设备中安装EventLog Analyzer agent的方法
第一种方法:从产品的UI界面推,自动安装代理; 第二种方法:下载代理安装文件,手动在设备上安装,填写那台EventLog服务器的IP或主机名、端口号,协议; 第三种方法:如果以上两种方法都试了,终端设备的账号也有admin权限,WMI正常工作,请以管理员运行CMD命令窗口,运行如下script: msiexec.exe /i "EventLogAgent.msi" /qn /norestart /L*v "Agent_Install.log" ...
ELA-关于MS SQL配置和许可问题
为什么MS SQL单独作为插件收费而不像其他的application或者database按应用许可收费? 答:MS SQL的日志收集方法不同于比如MySQL的日志收集方法,除了常规的日志收集方法外,ELA还采用了审核策略和MS-SQL审核的列完整性监控,我们可以在产品中看到SQL Server的报表多达一百多个。 关于许可: 答:添加MSSQL实例,主机也会占用一个许可,共两个许可;一个是单独的MSSQL addon许可,一个是主机设备许可。 如果没有添加MSSQL主机,直接添加MSSQL呢? ...
关于EventLog Analyzer产品URL白名单
如果由于公司内部策略,EventLog Analyzer服务器网络访问受限,请将以下链接加入到白名单: https://creator.zoho.com/ https://log360feeds.manageengine.com https://log360cloud.manageengine.com
如何启用EventLog Analyzer中的高级威胁分析模块(Advanced Threat Analytics)
启用EventLog Analyzer中的高级威胁分析模块(Advanced Threat Analytics)的前提是已购买该插件的许可; 配置步骤如下: 1.首先注册一个Log360 cloud账户,链接是https://log360feeds.manageengine.com/,如已经有Log360 cloud账户,请直接第二步; 2.然后使用此账户登录Log360,链接是https://log360cloud.manageengine.com/,登陆进来后,在Agent ...
EventLog Analyzer中是否可以自定义保留几个月的数据查看?
数据库中的数据保留时间,请在下图设置(默认是32天): 超过该设定的时间,日志数据将从数据库中删除,但这“不影响”下图的归档: 如果想查看已经从数据库中删掉的旧数据,您需要在归档那里加载回到数据库即可。
EventLog Analyzer中在配置时需要开放哪些端口?
请查看以下链接,对于启用端口的详细解释: https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/SetuptheProduct/eventlog-prerequisites.html
关于EventLog Analyzer产品中高级威胁分析模块
1. 高级威胁分析是什么? EventLog Analyzer中的高级威胁分析功能可以为每个潜在恶意URL、域和IP地址的信誉打分,提供一个可视化的威胁的严重性。这是一个单独的许可。 2. 购买高级威胁后如何配置? 需要有一个Log360 Cloud账户进行配置。点击链接https://log360cloud.manageengine.com 注册一个账户。注册后,在产品里导航至“设置”>“管理设置”>“代理配置”,复制访问密钥并粘贴到“高级威胁分析”选项卡中显示的“访问密钥”框中,然后单击“ ...
关于EventLog Analyzer产品许可中的应用程序数量的许可
关于EventLog Analyzer产品许可->应用程序数量的许可: 使用的应用程序数量的许可(第1张截图)对应着产品中4个地方的配置(第2张截图)↓ 注意:MS SQL Server 不包含在上述所说的应用程序的许可里面,SQL Server是单独按Add-on收费的。请参考ELA-关于MS SQL配置和许可问题 (manageengine.cn)
EventLog Analyzer产品升级时报错-数据库启动不起来
在升级EventLog Analyzer产品时,升级不成功,提示连接数据库有问题: 如下这样的截图: 或者 解决方法:运行initpgsql.bat一般可解决数据库启动不起来的问题,不会影响数据库中存储的数据或配置,注意不是运行reinitializeDB!!
Next page