General Topics Network Security

EVENT LOG ANALİZ VE RAPORLAMA ARAÇLARI

Murat Kaya

 |  Apr 20, 2012

Snare Backlog – Freeware

ManageEngine® EventLog Analyzer

GfiEventsManager

AdventNet EventLog Analyzer – Freeware

Snare BackLog

The Snare BackLog is a program that provides a central collection facility for a variety of log sources, including Snare Agents for Windows, Solaris, AIX, Irix, ISA Server, IIS Server, Lotus Notes (and others), plus any device capable of sending data to a syslog server.

The Snare BackLog is the ‘little brother’ of the InterSect Alliance ‘Snare Server’ appliance. The Snare Server provides a robust collection, analysis, reporting and archival environment, using a web-based interface, and database-based storage. The Snare BackLog contains only the basic ‘collection’ component, with no analysis capabilities, but should be useful for many individuals, or small organisations.

http://www.intersectalliance.com/projects/SnareBackLog/index.html

ManageEngine® EventLog Analyzer

Event logs from Windows workstations, servers, domain controllers; and syslog’s from unix systems or devices like routers, switches contain records of all events like security, application, systems, directory service, and others, occurring within an organization network systems & devices. System Log management, which includes syslog management and event log management, is an important need in almost all enterprises to identify security incidents, policy violations, fraudulent activity, and operational issues. The need for a complete log management solution is often underestimated; leading to long hours spent sifting through tons of log messages to troubleshoot a single problem. Efficient log analysis reduces system downtime, increases network performance, and helps tighten security policies in the enterprise. Also regulatory compliance like HIPAA, GLBA, PCI, and Sarbanes-Oxley (SOX) require logs to be archived or stored, and reports to provided for audits.

ManageEngine® EventLog Analyzer (ELA) is a web-based, agent-less syslog and event log management solution for organizations Intranet Security & Compliance. ELA collects, analyzes, archives, and reports on event logs from distributed Windows host and syslog’s from UNIX hosts, Routers, Switches, and other syslog devices.

ELA provides extensive Event, Trend, Compliance (PCI, SOX, HIPAA, & GLBA) and User activity reports along with Customized reporting facility.

Instant Reports
Generate reports in real-time and get instant access into last events generated. View last ten events generated, for any host from which event logs are collected.

Powerful Multi-level Filters and Drill-down
Define event filter to specify criteria such as event type, severity, etc. in reports. Drill down from event reports to see specific event details about a host or a group.

Security Analysis
Identify unauthorized and failed logins, and malicious user(s). Set alerts for suspicious hosts, and monitor events exclusively.

Host Grouping
Group hosts together based on your business needs, generate event reports, and analyze trend patterns exclusively.

Anytime, Anywhere Access & Management
Generate reports and set up archiving from just a web browser.

Built-in Database
Integrated MySQL database is already configured to store all log data. No external database configurations are needed.

Host OS Support
Can be installed and run on Windows and Linux systems making it suitable for deployment in a wide range of enterprises.

Customizable Reports
Build custom reports with event filters and report format options tailored to meet your specific needs.

Report Scheduling
Automatically generate reports at specified time intervals and get them delivered via e-mail.

Multiple Report Export Formats
Generate and view reports in HTML, PDF, and CSV formats.

http://manageengine.adventnet.com/products/eventlog/index.html

GfiEventsManager

Bilgi işlem gurusu olmanıza gerek yok!
Olay günlükleri, karmaşıklıkları ve büyüklükleri yüzünden çok sık kullanılamayan ama ağ güvenliğini ve performansı gözlemlemek için değerli bir araçtır. Kurumlar büyüdükçe, olay günlüğü yönetimi ve saklama yönünde daha yapısal bir yaklaşım gerekmektedir. SANS Entsitüsü tarafından yapılan bir ankete göre sistem yöneticilerinin %44’ü günlükleri bir aydan fazla saklamadıkları sonucu çıkmıştır.

Düzgün bir günlük yönetimi aşağıdaki çeşitli konularda size yardımcı olur:

• Bilgi sistemi ve ağ güvenliği
• Sistem sağlığı gözlemleme
• Yasalara ve mevzuata uygunluk
• Forensic araştırmaları

Ağ-çapında güvenlik olayı analizi
GFI EventsManager Windows günlük olayları, W3C ve Syslog kullanan tüm cihazlardan verileri toplar ve önemli verileri tanımlamak için en iyi kuralları ve filtrelemeyi uygular. Bu, şirketten dışarıya bilgi çıkıp çıkmadığını, çalışanların bilgisayarlarını açtıklarını, bilgisayarlarında neler yaptıklarını ve gün içinde hangi dosyalara eriştiklerini takip etmenizi sağlar. GFI EventsManager ayrıca kritik olaylar olduğunda size gerçek-zamanlı uyarı sağlar ve yapılacak eylem hakkında öneride bulunur.

Neden GFI EventsManager kullanılmalı?

• Firewallar, sunucular, routerlar, switchler, telefon sistemleri, bilgisayarlar vb. tarafından yaratılan Syslog, W3C ve Windows olaylarını merkezileştirir
• Sihirbaz yardımıyla yapılandırma kullanıcı operasyonunu ve bakımı kolaylaştırır
• Saatte 6 milyon olayın üzerinde ölçeklenebilen rakipsiz olay tarama performansı
• Mükemmel olay sınıflandırma ve yönetimi için önceden yapılandırılmış olay işleme kuralları
• Otomatik 7×24 olay aktivite gözlemleme ve uyarı
• Etkin ağ aktivitesi gözlemleme ve yatırımın çabuk geri dönüşü için güçlü raporlama

Ağ çapında olay günlüklerinin analizini kolaylaştırır

Ağ yöneticisi olarak, log analizini korkutucu bir işlem haline getiren şifreli ve çok büyük boyutlardaki kayıtların konusunda tecrübelisiniz. GFI EventsManager, ağ kaynaklarınız tarafından üretilen Windows olay günlükleri, W3C günlükleri ve Syslog olaylarını ağ çapında kontrol ve yönetim sağlayan bir günlük işleme çözümüdür. GFI EventsManager günlükleri işleyen ve kolay ve kullanıcı dostu bir şekilde merkezi olarak bilgi sunan, akıllı bir olay işlemcisi içerir.

Şifreli windows olaylarını “tercüme eder”

Şifreli günlükler günlük analizini çok uzun bir işlem haline getirir. GFI EventsManager genellikle şifreli olan olay tanımlarını, temiz, kısa açıklamalar ve yapılacak eylemler için tavsiyeler şeklinde “tercüme eder”.

Merkezi olay günlüğü

Olay günlükleri bir kullanıcı veya bir otomatik/arkaplan süreci tarafından sürekli ve otomatik olarak yaratılırlar ve günlükler çoğu kez farklı yerlerde depolanırlar. GFI EventsManager yakalanana tüm olay günlüklerini uzakta da olsa bir SQL veritabanına depolar. Ayrıca olay günlükleriniz için zamanlanmış yedekleme görevide yapılandırabilirsiniz.

Yüksek performanslı tarama motoru

GFI EventsManager maksimum tarama performansı için arlanmış ve tamamen yeniden tasarlanmış olay tarama motoru içermektedir. Testler 6 milyon olay/saat tarama ile veri toplanabildiğini göstermektedir. Ayrıca, plug-in tabanlı metodolojisi varolan kodla karışmadan ek özelliklerin ve modullerin entegre edilebilmesine olanak sağlamaktadır.

Gerçek-zamanlı uyarılar

GFI EventsManager önemli olaylar veya izinsiz eylemler saptadığında size uyarılar gönderebilir. Script gibi eylemleri tetikletebilir veya bir veya daha çok kişiye email, ağ mesajı ve email-to-SMS gateway veya servisi yoluyla SMS uyarıları yollayabilirsiniz.

Gelişmiş olay günlüğü desteği

GFI EventsManager Windows olay günlükleri, Syslog olayları ve W3C olay günlükleri gibi çeşitli olay günlüklerini işler. Bu, tipik bir kurumsal ağda çoğunlukla mevcut olabilecek farklı donanım ve yazılımlı sistemlerden daha çok veri toplayabilmenize olanak sağlar.

Kural-tabanlı olay günlüğü yönetimi

GFI EventsManager, belirli koşulları sağlayan olayları filtreleyen ve sınıflandıran, önceden yapılandırılmış bir olay işleme kurallar setiyle beraber gelmektedir. Bu hazır kuralları herhangi bir yapılandırma yapmadan veya bu kuralları sizin ağ yapınıza uyacak şekilde düzenleyerek çalıştırabilirsiniz.

Gelişmiş olay filtreleme özellikleri

GFI EventsManager’ın güçlü filtrelemesi kaydedilen olay günlüklerini eler ve sizin back-end’deki veritabanınızdan herhangi bir kayıt silmeden gerekli olayları görebilmenizi sağlar. Ayrıca, bazı belirli olayları farklı renklerde seçebilir veya entegre olay bulma aracını kullanabilirsiniz.

Olay günlüğü tarama profilleri

Tarama profilleri olay günlüğü gözlemleme kurallarını belirli bir bilgisayar veya bilgisayar grubuna uygulayarak, olay günlükleri işleme kurallarının merkezi olarak ayarlanmasını sağlar. Bunun yanında, sadece belirli departmanlardaki bilgisayarlara uygulayabileceğiniz kural setleri yaratabilirsiniz. Bilgisayar bazında ek olarak daha detaylı özel olay günlüğü kuralları sağlayan ayrı ayrı tamamlayıcı profiller yaratabilirsiniz.

Ağınızda olan önemli güvenlik bilgileri hakkında raporlar alın

GFI EventsManager reporter güvenlik eğilimlerini tanımlamanızı sağlar. Özelleştirebileceğiniz standart raporlarını kullanın veya baştan tamamen özel raporlar yaratın. Standart raporlar aşağıdaki başlıkları içerir:

• Hesap kullanım raporları
• Hesap yönetimi raporları
• Politika değişim raporları
• Nesne erişim raporları
• Uygulama yönetimi raporları
• Print Server raporları
• Windows olay günlüğü sistem raporları
• Olay eğilimleri raporları

Değişik kurumsal gereksinimleri sağlayan bir İsviçre çakısı

GFI EventsManager kurumunuzun aşağıdaki 4 konuyu adreslemesine yardımcı olur:

• Bilgi sistemi ve ağ güvenliği: Davetsiz misafirleri ve güvenlik ihlallerini saptama
• Sistem sağlığı gözlemleme: Sunucularınızı proaktif bir şekilde gözlemleme
• Yasalara ve mevzuata uygunluk: Mevzuata uygunluğu sağlamaya yardım
• Forensic araştırmaları: Herhangi bir şey ters gittiği zaman bir referans noktası

Diğer Özellikler:

• Gürültüyü veya tüm güvenlik olayları içinde çok büyük bir oranı oluşturan önemsiz olayları kaldırır
• Gerçek-zamanlı 24 x 7 x 365 gün gözlemleme ve uyarı
• Yerleşik durum gözlemcisi ile GFI EventsManager ve ağınızın durumunu grafiksel olarak gözlemleme
• Raporların zamanlanması ve otomatik email dağıtımı

Sistem Gereksinimleri:

• Net Framework2.0.
• Microsoft Data Access Components (MDAC) 2.6 veya üstü.
• MSDE/SQL Server 2000 veya üstüne erişim..

http://www.sistem24.com.tr/v2/tr_index.asp?id=659

AdventNet EventLog Analyzer Freeware

AdventNet EventLog Analyzer is a web-based event management tool that collects, analyzes, and reports on application, system, security, file server, and DNS server event logs from enterprise-wide Windows and UNIX systems. Features include event archiving, automatic alerting, pre-defined event reports, and compliance reports for HIPAA, GLBA, and SOX requirements.

EventLog Analyzer improves security and reduces downtime of critical servers on your enterprise network. Features such as instant reports and automated archiving help in analyzing and troubleshooting system problems quickly.

Why use EventLog Analyzer?

* Monitor network-wide critical security events

* Receive instant alerts on critical events on specific servers

* Archive distributed events to a central location

* No client software/agents required

http://www.eventloganalyzer.com/