syslog日志转换器_日志搜索，自定义事件日志，syslog监控

来自日志搜索的实时告警模式

EventLog Analyzer提供了几个选项来自定义报表。根据您的要求&＃xff0c;您可以使用新的报表配置文件创建新的自定义报表。除了新的自定义报表之外&＃xff0c;还可自定义现有的预建(预填充)报表以满足您的需求。通过使用这些自定义报表&＃xff0c;由于报表已针对特定数据进行删减&＃xff0c;因此管理员可以轻松进行日志分析。

自定义报表

根据特定的事件筛选器&＃xff0c;从选定的一组设备上创建关于事件日志的新报表。

自定义现有报表

EventLog Analyzer允许您自定义报表。有了此功能&＃xff0c;您将能够修改预建报表以满足您的要求。如果它适合您的要求&＃xff0c;您可以自定义现有的预建报表&＃xff0c;而无需创建自己的自定义报表。

将搜索转换为告警配置文件以快速减轻攻击

SIEM解决方案的基本组成部分之一是其告警工具。实时告警让您可以完全控制网络中发生的重要事件&＃xff0c;因此您不仅可以更快地解决问题&＃xff0c;还可在安全威胁造成任何实际损害之前处理这些威胁。除了实时短信和电子邮件告警外&＃xff0c;EventLog Analyzer还允许您在告警触发时运行脚本&＃xff0c;以便您可以立即开始减轻攻击。

每次攻击都遵循一种模式&＃xff0c;通过EventLog Analyzer&＃xff0c;您可以在搜索查询中捕获该模式&＃xff0c;并将其保存为告警配置文件。这样&＃xff0c;当网络中发生特定的事件模式时&＃xff0c;您会实时收到告警。关注感兴趣的安全事件&＃xff0c;以减少检测和响应安全操作中心的安全威胁所需的时间。

将搜索查询保存为告警配置文件

日志搜索让您能够深入查看大量日志并找到您所需的信息。使用EventLog Analyzer&＃xff0c;您可以轻松地将搜索查询保存为告警配置文件。

例如&＃xff0c;假设您输入查询A&＃61;"x" and B&＃61;"y" and C&＃61;"z"。您可以将此搜索查询保存为告警配置文件&＃xff0c;当在网络中出现A&＃61;"x" and B&＃61;"y" and C&＃61;"z"时&＃xff0c;系统会实时通知您。这是事件的静态关联。

通过电子邮件或短信获得通知&＃xff0c;甚至在触发告警时选择运行脚本。调整触发条件&＃xff0c;例如在特定时间间隔内发生某事件的次数&＃xff0c;这样便仅在您想要发生告警时才会触发告警。告警配置文件是使用设备日志来减轻威胁的基本部分。