日志包括:
1,来自管理服务器的事件数据。
2,来自所有客户机的事件数据。
1,来自管理服务器的事件数据。
2,来自所有客户机的事件数据。
我们可以过滤日志,也可以将日志导出为CSV文件或日志服务器。
日志的类型:
Audit 审计
Application Control and Device Control 应用程序控制和设备控制
Compliance 遵从(属于SNAC组件)
Computer Status 计算机状态
Network Threat Protection 网络威胁防护
Proactive Threat Protection 主动威胁防护
Risks 风险
Scans 扫描
System 系统
Audit 审计
Application Control and Device Control 应用程序控制和设备控制
Compliance 遵从(属于SNAC组件)
Computer Status 计算机状态
Network Threat Protection 网络威胁防护
Proactive Threat Protection 主动威胁防护
Risks 风险
Scans 扫描
System 系统
事件日志中的时间戳基于服务器的时区,数据库中存放的是GMT时间,事件在传到服务器之前可以聚合。
日志在客户机上存储,每个事件源(如AV组件,Firewall组件)都有一个ID,Sylink定期将日志传到服务器,缺省每次最多发送100条,在服务器上为.dat文件
服务器将.dat中的日志分类存放在inbox目录下,如AV放在/inbox/security/av下,防火墙放在/inbox/security下等等。
接下来由Tomcat Apache服务器将inbox下的内容传入数据库。
当管理员通过控制台查看日志时,控制台通过JSP查询数据库,数据库返回检查内容。
结果输出页面是由IIS上的PHP程序生成的,有更好的格式,所以SEPM需要IIS的支持。
旧的SCS(借助于Blueline LogSender agent)或SEP客户端的日志以同样的方式发送给服务器,存储在/inbox/security/legacy目录下。
服务器将.dat中的日志分类存放在inbox目录下,如AV放在/inbox/security/av下,防火墙放在/inbox/security下等等。
接下来由Tomcat Apache服务器将inbox下的内容传入数据库。
当管理员通过控制台查看日志时,控制台通过JSP查询数据库,数据库返回检查内容。
结果输出页面是由IIS上的PHP程序生成的,有更好的格式,所以SEPM需要IIS的支持。
旧的SCS(借助于Blueline LogSender agent)或SEP客户端的日志以同样的方式发送给服务器,存储在/inbox/security/legacy目录下。
要查看日志,可以通过:
monitor页面,查看几乎实时的信息。
在notification子页面可以配置和查看notification
monitor页面,查看几乎实时的信息。
在notification子页面可以配置和查看notification
转载于:https://blog.51cto.com/simon/59391