Netwrix corporate blog
2 August 2012

Управляем журналами событий: Обзор программы NetWrix Event Log Manager 4.0

Недавно мы публиковали пост, посвященный 10 критически важным event ID, мониторинг которых необходимо осуществлять. И, честно говоря, были очень удивлены тому, сколько пользователей скачали нашу программу для управления журналами Event Log Manager, о которой мы писали в самом конце статьи. Поэтому в этом посте мы хотели бы рассказать о том, что из себя представляет программа и какие задачи по управлению журналами помогает решать. Также в конце обзора есть презентация, в которой демонстрируется работа программы. Заинтересованных приглашаем под кат.




Работая с журналами событий, Вы наверняка сталкивались с тем, что необходимо анализировать данные отдельно на каждом из доменов. К тому же, если не приняты специальные (не отмечено “Архивировать данные журналов” в …), записи имеются свойство очищаться (перезаписываться). А свободное место имеет свойство быстро заканчиваться. Поэтому для дополнения функциональности журналов событий разрабатываются специальные решения. Какие-то из них перерастают в масштабные SIEM системы, какие-то призваны решать вполне конкретные задачи по анализу, оповещению и консолидированию. Именно о последнем варианте речь и пойдет в этом обзоре.

NetWrix Event Log Manager – программа, предназначенная для консолидации данных журналов событий и их архивирования, а также создания оповещений на заданные события в режиме реального времени. У нас только что вышел новый релиз программы (v 4.0), в котором присутствует следующий функционал:
• Консолидация всех данных журнала событий и syslog’a по всех сети в центральное хранилище (в новой версии добавлен мониторинг syslog журналов Red Hat Linux и Ubuntu 11).
• Сжатие и архивирование собранных данных для удобного анализа, предотвращения потери данных и целей аудита.
• Хранение записей журналов в базе данных SQL.
• Определение критических событий и отправка уведомлений по электронной почте.
• Отчеты на основе служб отчетности SQL (SRS) с возможностью фильтрации, группировки и сортировки; стандартные отчеты для выполнения требований нормативов по ИБ (GLBA, HIPAA, SOX, and PCI).
• Формирование отчетов за любой указанный период в прошлом.

Принцип работы программы продемонстрирован на рисунке ниже.


Обзор NETWRIX ENTERPRISE MANAGEMENT CONSOLE


Работа с полной версией программы осуществляется через консоль NETWRIX ENTERPRISE MANAGEMENT CONSOLE, которая позволяет конфигурировать наблюдаемые объекты, задавать их настройки и настраивать отчеты (в бесплатной версии конфигурирование и настройка осуществляется в одном окне).



Внутри консоли можно:
• Управлять настройками всех программ NetWrix для аудита изменений через единый интерфейс
• Создавать и конфигурировать Наблюдаемые объекты для Windows и Syslog-платформ
• Активировать и настроить расширенные отчеты (на основе SSRS)
• Активировать и настроить уведомления в режиме реального времени
• Активировать и настроить долгосрочное архивирование данных
• Посмотреть отчеты во встроенном браузере
• Активировать и настроить подписку на отчеты
• Осуществить единократную настройку всех наблюдаемых объектов

Сбор данных



NetWrix Event Log Manager собирает данные аудита, хранит их в архиве аудита и/или базе данных SQL и отправляет итоговые отчеты по событиям (по умолчанию в 3:00).
Чтобы вручную получить итоговые результаты по событиям, необходимо в консоли NetWrix Enterprise Management Console раскрыть узел Managed Objects, выбрать наблюдаемый объект и нажать Run.



Итоговые результаты, полученные по электронной почте



Пример уведомления в режиме реального времени



Отчеты


В NetWrix Event Log Manager доступны два типа отчетов
• Итоговые отчеты по событиям
• Расширение отчеты (на основе служб отчетности SQL Server)

Итоговые отчеты по событиям

Данные отчеты содержат итоговую информацию об ошибках, которые произошли с момента последнего формирования отчета. По умолчанию итоговые отчеты отправляются указанным получателям каждые 24 часа
Если ошибок не произошло, то отчет имеет следующий вид



Если в ходе сбора данных была замечена ошибка, то следующего вида письмо отправляется сразу всем получателям:



Расширенные отчеты

Функционал NetWrix Event Log Manager позволяет создавать отчеты на основе служб отчетности SQL сервера.
В программе имеется множество уже готовых шаблонов отчетов
Доступ к отчетам можно получить через консоль (Managed Object — <Ваш_наблюдаемый_объект> — Event Log Manager — Reports)

Доступны следующие виды отчетов
• Best Practice Reports
• General Reports
• Regulatory Compliance



Отчеты можно просматривать как в консоли, так и в браузере

Просмотр в консоли:

Выберите нужный отчет Managed Objects — <Ваш_наблюдаемый_объект> — Event Log Manager — Reports — <тип_отчета>



Задайте фильтры и запустите отчеты (View Report)



Просмотр отчета в браузере

В браузере введите адрес SQL Server Report Manager. Отобразится следующая страница



Выберите тот отчет, который Вам нужен и настройте, при необходимости, фильтры.



Данные также можно посмотреть через подписку



Импортирование данных аудита



NetWrix Database Importer – это инструмент, предназначенный для импортирования данных из архива аудита в базу данных SQL. Вы можете использовать его, чтобы вручную импортировать события в базу данных SQL, если Вы первоначально настроили его только на запись событий в архив аудита или для восстановления в случае повреждения базы данных SQL.
Для начала необходимо уточнить период, данные за который будут импортироваться (отдельно для каждого объекта).



Просмотр данных в NetWrix Event Viewer



Необходимо задать параметры (выбрать наблюдаемый объект, компьютер, тип журнала, и период).



События записываются в .evt файл. Их можно посмотреть потом с помощью Windows Event Viewer



Создание подписки на отчет



В NetWrix Event Log Manager Вы можете настроить автоматическую отправку отчетов посредством создания подписки. Отчеты будут генерироваться автоматически и отправляться заранее определенным получателям.
Чтобы создать подписку необходимо раскрыть Managed Objects — <your_managed_object> — узел Event Log Manager и выбрать Subscriptions



Нажмите Add и запуститься мастер создания подписки (Report Subscription Wizard)



Задайте имя подписки и выберите отчет, на основании которого будет формироваться подписка.



Задайте параметры подписки (формат, фильтры, сортировку)



Далее можно выбрать периодичность отправки отчетов по подписке:
• Ежедневно
• Еженедельно
• Ежемесячно
Впоследствии подписки можно изменять через консоль NetWrix Enterprise Management Console.

Также можно настроить Отчеты, нажав на кнопку Configure



Наглядно можно посмотреть все то же в презентации



Ну и, конечно, скачивайте саму программу на нашем сайте!
Доступна бесплатная версия для 10 контроллеров доменов и 100 компьютеров.

-3
7.9k 11
Leave a comment
Top of the day