外圍網絡設備（如防火墻、路由器、交換機等）是關鍵組件，因為它們控制進出公司網絡的流量。因此，監視這些設備的活動有助于 IT 管理員解決操作問題，并保護網絡免受攻擊者的攻擊。通過收集和分析這些設備的日志來監控這些設備是修復操作問題、發現和緩解入侵以及在發生違規時進行徹底取證分析的主要步驟。

EventLog Analyzer網絡設備日志監控軟件，可收集、分析、關聯、搜索并安全地存儲來自所有網絡設備的日志。

網絡設備日志監控軟件

• 日志收集
• 日志分析

日志收集

EventLog Analyzer是一款具有內置功能的網絡日志監控軟件，可幫助管理員收集和分析來自不同類型的網絡設備（如路由器，交換機，入侵檢測和防御系統以及防火墻）的日志數據。

此設備支持基于代理和無代理的日志收集選項。此外，該工具還具有自動設備檢測功能，允許掃描和發現網絡中的網絡設備，并添加它們以進行日志監控。還可以使用自定義日志解析器為自定義日志定義正則表達式模式。

日志分析

EventLog Analyzer分析網絡設備的日志，并以實時儀表板和報告的形式提供可操作的見解，憑借其分析儀表板和報告，可以幫助管理員：

• 防火墻監控：深入了解防火墻登錄活動、策略修改和規則修改。為思科、SonicWall、PaloAlto、瞻博網絡防火墻等提供開箱即用的日志分析支持。
• 路由器監控：了解詳細信息，例如誰在什么時間和從哪里登錄到路由器、配置更改、允許和拒絕的連接、錯誤等。
• IDS/IPS 監控：了解安全威脅，根據用戶和來源對其進行分類，以發現惡意用戶和受感染的計算機。詳細了解已阻止、檢測到和允許的攻擊。

除了這些內置的安全分析小部件外，還允許創建自定義報告和儀表板，以滿足內部安全要求。管理員可以自定義分析功能，以提供特定報告，可以選擇網絡中要為其生成報告的所需設備和設備組以及需要生成的報告組。這些自定義報告將滿足組織中的內部審核，并更精細地跟蹤感興趣的關鍵事件。

路由器日志分析

路由器是任何計算機網絡的構建塊，引導網絡中的流量。管理員需要確保路由器已配置并正常工作，以確保網絡安全。

來自路由器的系統日志數據包含有價值的信息，清楚地了解網絡中的活動。路由器系統日志審核具有多種應用，例如監控員工的互聯網活動、協助取證調查和路由器攻擊檢測。但是監控路由器活動可能具有挑戰性，因為每天都有大量的網絡流量通過它們，大多數事件每天都會發生，因此很難識別實際威脅網絡安全的異常事件。

路由器日志審核

• EventLog Analyzer 為路由器和其他網絡設備提供支持，它會掃描網絡并發現可以添加以進行審核的路由器和其他系統日志設備，預定義路由器日志報告可讓管理員深入了解網絡活動，而實時警報可讓管理員立即檢測可疑活動。
• 跟蹤管理員登錄以及這些管理員所做的路由器配置更改，路由器配置報告可確保對網絡配置所做的所有更改都經過授權，并且不會在網絡安全中造成任何漏洞。
• 可以跟蹤鏈路狀態以密切關注它們是打開還是關閉，還可以審核路由器錯誤以最大程度地減少網絡停機時間。
• 路由器日志包含有關通過網絡的流量的信息。因此，當出現問題時，它們和其他網絡設備日志在進行取證調查中起著至關重要的作用。EventLog Analyzer使用日志搜索引擎回溯安全事件，以準確了解發生了什么。

交換機日志監控

• 切換登錄報告
• 交換機配置和系統事件報告
• 交換機連接報告
• 按協議切換流量報告

切換登錄報告

監控所有成功和失敗的交換機登錄，或使用單獨的報告來跟蹤每種類型的登錄（例如SSH和VPN），查看哪些設備、用戶和遠程設備最常登錄到交換機，并跟蹤登錄活動趨勢。

交換機配置和系統事件報告

監控交換機配置更改，并確定哪些用戶和設備正在進行這些更改，跟蹤網絡交換機上的所有上行鏈路和下行鏈路，以及鏈路狀態的錯誤和更改。還可以監控交換機端口及其狀態，檢查哪些接口已打開或關閉，并跟蹤其他硬件事件，以確保網絡交換機始終處于良好工作狀態。

交換機連接報告

查看網絡交換機接受或拒絕的所有連接的列表，確定大多數這些連接請求來自何處，以及網絡上接收這些請求的目標設備，使用連接趨勢報告識別連接模式。

按協議切換流量報告

根據協議監控交換機流量，并提供單獨的報告，為管理員提供有關 TCP、UDP 和 ICMP 流量的詳細信息，發現哪些源向交換機發送的流量最多，或運行概述報告以查看通過網絡交換機的所有流量，還可以使用單個報告監控各種與流量相關的錯誤，這些報告提供有關每種錯誤類型的詳細信息。

防火墻日志分析

防火墻提供對進入組織網絡的網絡流量的來源和類型的可見性。這使得防火墻日志成為重要的信息源，包括所有連接的源地址、目標地址、協議和端口號等詳細信息，此信息可以提供對未知安全威脅的見解，是威脅管理中的重要工具。

EventLog Analyzer 從防火墻設備收集日志并將其組織在一個位置，使安全管理員可以輕松監控防火墻日志、進行防火墻分析和檢測異常。

進行防火墻監控

• 登錄審核：該解決方案以分析報告的形式提供對成功和失敗用戶登錄的見解，這些報告包括有關登錄事件源、發生時間等的信息。
• 配置更改審核：分析防火墻日志數據，并提供對配置更改和配置錯誤的見解，該工具提供詳細信息，例如誰進行了配置更改、何時進行以及從何處進行了更改。此信息不僅有助于有效審核，還有助于遵守 PCI DSS、HIPAA、FISMA 等法規要求，這些要求要求企業審核防火墻配置更改。
• 用戶帳戶更改審核：這些報告提供有關用戶添加和刪除以及用戶權限級別更改的見解，從而提供用戶帳戶活動的可見性。
• 防火墻流量監控：提供來自允許和拒絕連接的流量信息，這些報告提供的詳細信息經過分類，并根據源、目標、協議和端口以及時間戳直觀地表示流量，使安全管理員能夠跟蹤網絡流量。

EventLog Analyzer 通過事件關聯提供有效的事件檢測過程，借助內置關聯規則，可以檢測防火墻事件中的安全威脅。當發現任何可疑活動時，會向安全管理員發送即時警報，這有助于加快響應過程，在早期階段提醒管理員注意可能的威脅，以便他們可以有效地保護組織的網絡免受重大損害。