NetWrix Event Log Manager 4.0 Обзор программы для управления...

NetWrix Event Log Manager Обзор программы для управления

журналами событий

NetWrix Event Log Manager – Обзор программы для управления журналами событий

2

СОДЕРЖАНИЕ

Функции программы ................................................................................................................................... 3

Обзор NetWrix Enterprise Management Console ....................................................................................... 4

Настройка программы ................................................................................................................................ 5

Создание управляемого объекта ........................................................................................................... 5

Работа с мастером новых уведомлений ............................................................................................. 13

Настройка фильтров архивирования данных аудита ........................................................................ 15

Создание подписки на отчет ................................................................................................................ 17

Импортирование данных аудита ............................................................................................................. 19

Сбор данных .............................................................................................................................................. 20

Просмотр данных в NetWrix Event Viewer .............................................................................................. 22

Отчеты ........................................................................................................................................................ 23

Итоговые отчеты по событиям ............................................................................................................. 23

Расширенные отчеты ............................................................................................................................ 24

Просмотр отчета в браузере ................................................................................................................ 27

Скачать программу .................................................................................................................................... 28

О компании NetWrix ................................................................................................................................. 29


3

Функции программы Работая с журналами событий, Вы наверняка сталкивались с тем, что необходимо анализировать

данные отдельно на каждом из доменов. К тому же, если не приняты специальные (не отмечено

“Архивировать данные журналов” в …), записи имеются свойство очищаться (перезаписываться). А

свободное место имеет свойство быстро заканчиваться. Поэтому для дополнения

функциональности журналов событий разрабатываются специальные решения. Какие-то из них

перерастают в масштабные SIEM системы, какие-то призваны решать вполне конкретные задачи

по анализу, оповещению и консолидированию. Именно о последнем варианте речь и пойдет в

этом обзоре.

NetWrix Event Log Manager – программа, предназначенная для консолидации данных журналов

событий и их архивирования, а также создания оповещений на заданные события в режиме

реального времени. У нас только что вышел новый релиз программы (v 4.0), в котором

присутствует следующий функционал:

Консолидация всех данных журнала событий и syslog’a по всех сети в центральное хранилище (в новой версии добавлен мониторинг syslog журналов Red Hat Linux и Ubuntu 11

Сжатие и архивирование собранных данных для удобного анализа, предотвращения потери данных и целей аудита.

Хранение записей журналов в базе данных SQL.

Определение критических событий и отправка уведомлений по электронной почте.

Отчеты на основе служб отчетности SQL (SRS) с возможностью фильтрации, группировки и сортировки; стандартные отчеты для выполнения требований нормативов по ИБ (GLBA, HIPAA, SOX, and PCI).

Формирование отчетов за любой указанный период в прошлом.

То, как программа работает, можно видеть на рисунке ниже.


4

Обзор NetWrix Enterprise Management Console Работа с полной версией программы осуществляется через консоль NETWRIX ENTERPRISE

MANAGEMENT CONSOLE, которая позволяет конфигурировать наблюдаемые объекты, задавать их

настройки и настраивать отчеты (в бесплатной версии конфигурирование и настройка

осуществляется в одном окне).

Внутри консоли можно:

Управлять настройками всех программ NetWrix для аудита изменений через единый

интерфейс

Создавать и конфигурировать Наблюдаемые объекты для Windows и Syslog-платформ

Активировать и настроить расширенные отчеты (на основе SSRS)

Активировать и настроить уведомления в режиме реального времени

Активировать и настроить долгосрочное архивирование данных

Посмотреть отчеты во встроенном браузере

Активировать и настроить подписку на отчеты

Осуществить единократную настройку всех наблюдаемых объектов


5

Настройка программы В NetWrix Event Log Manager необходимо настроить наблюдаемые объекты. Под наблюдаемым

объектом понимается “коллекция компьютеров, события на которых подлежат мониторингу”.

Создание управляемого объекта 1) В узле консоли Managed Objects выберите Create New Managed Object.

Для удобства объекты можно группировать в папки (Create New Folder).

2) Выберите Computer Collection


6

Введите учетную запись, которая будет использоваться программой для сбора данных (в виде

<domain name>\<account name>). Выбранная учетная запись должна быть учетной записью

локального администратора на том компьютере, на котором установлен NetWrix Event Log

Manager, и на целевых компьютерах (сбор данных с которых будет осуществляться).

3) Настройка email


7

4) Уточнение имени коллекции компьютеров

Если это необходимо, то Вы можете использовать отдельную учетную запись для сбора данных с

этой коллекции компьютеров (отличную от той, что была указана ранее), выберите Custom.

5) Добавление модулей


8

6) Настройки отчетов

На данном этапе можно как автоматически установить и настроить новый экземпляр SQL Server

Express Edition, либо использовать имеющийся SQL Server со службой отчетности SQL (SSRS).

Мастер настройки отчетов (при выбранном пункте “Automatically install and configure a new

instance of SQL Server Express Edition).


9

7) Добавление компьютеров (папок, экземпляров SQL сервер) в коллекцию

Можно выбрать либо Windows, либо syslog платформы (включая Ubuntu 11 и Red Hat Linux)


10

Далее можно выбрать то, что подлежит мониторингу. Это может быть единичный компьютер,

компьютеры в рамках определенного диапазона IP адресов. Также можно импортировать список

компьютеров из .txt файла.

8) Активирование режима сжатия данных


11

Данный режим подразумевает, что будет установлен агент, который будет запущен на

наблюдаемых компьютерах для сбора и предварительной фильтрации данных. Данные будут

отправляться в сжатом виде в NetWrix Event Log Manager

9) Уточните получателей summary отчетов

Добавляем получателя

Шаги по настройке уведомлений и прочего рассмотрим чуть позже.

10) Настройка оповещений в режиме реального времени

По умолчанию включены два типа оповещений: Системные ошибки и Ошибки приложений


12

Нажмите Add, чтобы добавить свое оповещение

Уведомление также можно создать через консоль NetWrix Enterprise Management Console


13

Работа с мастером новых уведомлений

1. Уточните свойства уведомления


14

2. Настройте фильтры и отправку получателям

По нажатию кнопки Add в разделе Event Filters открывается такой диалог


15

Выберите получателей (если необходимо). Можно кастомизировать отправляемое письмо.

Настройка фильтров архивирования данных аудита

Фильтры архивирования данных аудита определяют, какие события будут сохранены в архиве

аудита и/или базе данных SQL.

Настроить фильтры можно как через мастер New Managed Object Wizard


16

Так и через NetWrix Enterprise Management Console (выберите узел Audit Archiving Filters)


17

Создание подписки на отчет В NetWrix Event Log Manager Вы можете настроить автоматическую отправку отчетов посредством

создания подписки. Отчеты будут генерироваться автоматически и отправляться заранее

определенным получателям.

1) Чтобы создать подписку необходимо раскрыть Managed Objects

<your_managed_object> узел Event Log Manager и выбрать Subscriptions

2) Нажмите Add и запуститься мастер создания подписки (Report Subscription Wizard)


18

3) Задайте имя подписки и выберите отчет, на основании которого будет формироваться

подписка.

4) Задайте параметры подписки (формат, фильтры, сортировку)

Далее можно выбрать периодичность отправки отчетов по подписке:

Ежедневно

Еженедельно

Ежемесячно

Впоследствии подписки можно изменять через консоль NetWrix Enterprise Management Console.


19

Импортирование данных аудита NetWrix Database Importer – это инструмент, предназначенный для импортирования данных из

архива аудита в базу данных SQL. Вы можете использовать его, чтобы вручную импортировать

события в базу данных SQL, если Вы первоначально настроили его только на запись событий в

архив аудита или для восстановления в случае повреждения базы данных SQL.

Для начала необходимо уточнить период, данные за который будут импортироваться (отдельно

для каждого объекта).

Также можно настроить Отчеты, нажав на кнопку Configure


20

Сбор данных NetWrix Event Log Manager собирает данные аудита, хранит их в архиве аудита и/или базе данных

SQL и отправляет итоговые отчеты по событиям (по умолчанию в 3:00).

Чтобы вручную получить итоговые результаты по событиям, необходимо в консоли NetWrix

Enterprise Management Console раскрыть узел Managed Objects, выбрать наблюдаемый объект и

нажать Run.

Итоговые результаты, полученные по электронной почте


21

Пример уведомления в режиме реального времени


22

Просмотр данных в NetWrix Event Viewer Необходимо задать параметры (выбрать наблюдаемый объект, компьютер, тип журнала, и

период).

События записываются в .evt файл. Их можно посмотреть потом с помощью Windows Event Viewer


23

Отчеты В NetWrix Event Log Manager доступны два типа отчетов

Итоговые отчеты по событиям

Расширение отчеты (на основе служб отчетности SQL Server)

Итоговые отчеты по событиям Данные отчеты содержат итоговую информацию об ошибках, которые произошли с момента

последнего формирования отчета. По умолчанию итоговые отчеты отправляются указанным

получателям каждые 24 часа

Если ошибок не произошло, то отчет имеет следующий вид

Если ошибка была замечена в ходе сбора данных, то следующего вида письмо отправляется

сразу всем получателям:


24

Расширенные отчеты Функционал NetWrix Event Log Manager позволяет создавать отчеты на основе служб отчетности

SQL сервера.

В программе имеется множество уже готовых шаблонов отчетов

Доступ к отчетам можно получить через консоль (Managed Object

<Ваш_наблюдаемый_объект> Event Log Manager Reports)

Доступны следующие виды отчетов

• Best Practice Reports

• General Reports

• Regulatory Compliance


25

Отчеты можно просматривать как в консоли, так и в браузере

Просмотр в консоли:

Выберите нужный отчет Managed Objects <Ваш_наблюдаемый_объект> Event Log Manager

Reports <тип_отчета>


26

Задайте фильтры и запустите отчеты (View Report)


27

Просмотр отчета в браузере В браузере введите адрес SQL Server Report Manager. Отобразится следующая страница

Выберите тот отчет, который Вам нужен и настройте, при необходимости, фильтры.


28

Данные также можно посмотреть через подписку

Скачать программу

Программа доступна для скачивания на сайте компании NetWrix

www.netwrix.com/ru/event_log_archiving_consolidation_freeware.html

http://www.netwrix.com/ru/event_log_archiving_consolidation_freeware.html

http://www.netwrix.com/ru/event_log_archiving_consolidation_freeware.html


29

О компании NetWrix

NetWrix Corporation – высокоспециализированный разработчик программных решений для

аудита изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании

NetWrix, и никто из других разработчиков настолько не сфокусирован на этой области. NetWrix

предлагает решения для аудита изменений IT-инфраструктуры, которые были признаны

профессионалами по всему миру, о чем свидетельствуют многочисленные награды компании.

Основанная в 2006 году, компания занимает первое место в сфере аудита изменений, и тысячи

удовлетворенных клиентов по всему миру тому подтверждение. Штаб-квартира компании

находится в США, Нью-Джерси, Парамус, а ее региональные подразделения в Лос-Анжелесе,

Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.

NetWrix Event Log Manager 4.0 Обзор программы для управления...

Technology

Transcript of NetWrix Event Log Manager 4.0 Обзор программы для управления...