La première étape de la gestion des journaux consiste en la collecte des données de journal. La collecte des journaux peut s’avérer difficile, car certains systèmes comme les pare-feux ou les systèmes de détection et de prévention d’intrusion utilisent des événements par seconde, ce qui génère de grands volumes de données de journal. Pour collecter et traiter des données de journal en temps réel, quels que soient leur volume et le nombre de systèmes du réseau, les organisations ont besoin d’un solide mécanisme de collecte.
Chaque réseau compte des systèmes et des environnements différents qui génèrent divers formats de journaux, comme ceux d’événements, Syslog et d’applications. Les données provenant d’un routeur sont différentes de celles d’un pare-feu. De plus, on ne peut pas collecter directement certains journaux, comme ceux dans des DMZ. Finalement, il faut des collecteurs de journaux suffisamment flexibles pour gérer tous les périphériques réseau et les applications.
EventLog Analyzer peut collecter les journaux de plusieurs sources comme les systèmes Windows, les systèmes Unix/Linux, les applications, les bases de données, les pare-feux, les routeurs, les commutateurs et les systèmes IDS/IPS. Les systèmes Windows n’exigent pas d’agent pour collecter des journaux alors que ceux Syslog en ont besoin surtout à des fins de répartition de charge. EventLog Analyzer vise donc à gérer à la fois les méthodes de collecte avec ou sans agent pour couvrir tous les systèmes et les applications du réseau. Son architecture adaptable peut prendre en charge jusqu’à 20 000 sources de journaux.
Avant de commencer à utiliser une solution de gestion des journaux, veillez à configurer les paramètres de collecte des journaux de chaque élément. Vous économisez ainsi de l’espace de stockage en ne conservant que les journaux vraiment nécessaires. On peut configurer les paramètres de collecte des journaux dans la stratégie de groupe local ou le service Syslog.
EventLog Analyzer gère la collecte de journaux universels grâce à sa technologie d’analyse et d’indexation de journaux universels (ULPI), qui permet de déchiffrer et d’analyser toutes les données quels que soient la source et le format des journaux. Les données de journal collectées sont regroupées et présentées dans une console centrale pour les sources des différents points.
EventLog Analyzer gère la collecte de journaux personnalisés, permettant de collecter des événements à partir de fichiers texte sur des ordinateurs Windows ou Linux. Certaines applications n’utilisent pas les services de journalisation standards (événements Windows et syslog), mais des données de journal au format texte. Une fois les journaux collectés, ils sont analysés via des champs personnalisés que l’on crée pour des données précises.