|
全面的Windows事件日志监控、分析、报告和存档
几乎所有公司都非常需要Windows事件日志管理。为了网络审计等目的,符合诸如HIPAA,GLBA,PCI和Sarbanes-Oxley
(SOX或SARBOX)等多种规则,需要存档日志。除此之外,系统管理员认为事件日志是通过网络发现主机性能问题的重要资源。但是对完整的syslog监控方案的需求常常被低估,从而导致要花费很长的时间在大量事件日志中查找,以排除一个简单的问题。有效的事件日志分析能够降低系统中断时间,提升网络性能,帮助加强公司网络安全。
EventLog Analyzer可以收集,分析,报告,存档网络中从所有Windows系统接收的所有事件日志。EventLog
Analyzer同时还支持来自其它支持syslog的系统和设备的日志。
Windows 事件日志监控是EventLog Analyzer的主要功能之一。EventLog
Analyzer识别许多Windows事件ID,其中一些列表如下:
|
Windows
事件 ID |
Windows Vista 事件 ID |
事件类型 |
描述 |
512, 513, 514, 515, 516, 518, 519, 520 |
4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616 |
系统事件 |
本地系统进程,例如系统启动,关闭和系统时间的改变。 |
517 |
4612 |
清除的审计日志 |
所有审计日志清除事件 |
528, 540 |
4624 |
成功用户登录 |
所有用户登录事件 |
529, 530, 531, 532, 533, 534, 535, 536, 537, 539 |
4625 |
登录失败 |
所有用户登录失败事件 |
538 |
4634 |
成功用户退出 |
所有用户退出事件 |
560, 562, 563, 564, 565, 566, 567, 568 |
4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664 |
对象访问 |
当访问一给定的对象(文件,目录等)
访问的类型(例如读,写,删除) ,访问是否成功或失败,谁实施了这一行为 |
612 |
4719 |
审计政策改变 |
审计政策的改变 |
624, 625, 626, 627, 628, 629, 630, 642, 644 |
4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740 |
用户帐号改变 |
用户帐号的改变,像用户帐号创建,删除,改变密码等等 |
(631 to 641) and (643, 645 to 666) |
4727 to 4737, 4739 to 4762 |
用户组改变 |
对一个用户组的所有改变,例如添加或移除一个全局组或本地组,从全局组或本地添加或移除成员等等 |
672, 680 |
4768, 4776 |
成功用户帐号验证 |
当一个域用户帐号在域控制器认证时,生成用户帐号成功登录事件。 |
675, 681 |
4771, 4777 |
失败用户帐号验证 |
失败用户帐号登录事件,当一个域用户帐号在域控制器认证时
,生成不成功用户帐号登录事件。 |
682, 683 |
4778, 4779 |
主机会话状态 |
会话重新连接或断开 |
使用EventLog Analyzer,可以存档或存储这些Windows事件日志,并且生成实时事件日志报表。
用户可以迅速获取通过主机,用户,进程和主机组生成的多种事件报表。还可以获得预置顺应性报表,符合HIPAA, GLBA, PCI,
和Sarbanes-Oxley的审计要求。
|
|
