Ereignisprotokolle auf Windows®-Servern vermehren sich schnell. Und unabhängig davon, ob Ihr Netzwerkteam diese Protokolldaten speichern oder sortieren oder Reports darüber erstellen muss, sind Sie sich bewusst, dass sich in diesen Daten wertvolle Informationen verbergen. Nur erlauben Ihnen die Windows-Ereignisanzeige und andere Optionen des Windows-Betriebssystems nicht, Ereignisprotokolle ohne Mühe routinemäßig durchzusehen. Dazu wären endloses Durchblättern, Untersuchungen jeder einzelnen Zeile, „Spickzettel“ zum Auswerten der Daten usw. nötig. Und das ist längst nicht alles. Und sollte ein Notfall auftreten, für den es erforderlich ist, Protokolldaten schnell aufzurufen, zu sortieren und anzusehen, haben Sie mit dieser Vorgehensweise keine Chance.
Wenn Sie jedoch die IT eines kleinen oder mittelständischen Unternehmens verwalten, oder selbst wenn Sie für das Netzwerk eines Unternehmens der Enterprise-Klasse zuständig sind, werden die meisten Angebote auf dem Markt die Erfordernisse Ihres Unternehmens weit übersteigen oder nicht mit Ihrem Budget vereinbar sein. Mächtige Tools für die Enterprise-Klasse sind teuer – nicht nur hinsichtlich des Anschaffungspreises, sondern auch in der Betreibung – und setzen viele zusätzliche Aufgaben voraus. Auf der anderen Seite zwingen zweckgebundene Tools wie die Windows-Ereignisanzeige Sie zur Ausführung manueller Vorgänge und geben Ihnen keine Möglichkeit, eine umfassende Protokollmanagementstrategie durchzusetzen. Und da Ereignisprotokolldateien so schnell anwachsen und eine solch beträchtliche Größe annehmen, kann die alte Praktik, Protokolldateien linear und chronologisch durchzusehen, als veraltet angesehen werden – und das in Netzwerken jeder Größe. Alle Netzwerkadministratoren machen hier ungefähr dieselbe Erfahrung wie Sie.
Erweiterte Protokollüberprüfungsfunktionen für alle Netzwerke und IT-Budgets
WhatsUp Event Rover® bietet eine völlig neue Art, Ereignisprotokolle im Hinblick auf routinemäßige Überprüfung oder Reaktionen auf dringende Vorfälle zu durchsuchen. Das Tool ist einfach in der Verwendung, ermöglicht das mühelose Sortieren von Daten und sorgt darüber hinaus dafür, dass ursprüngliche Ereignisprotokollspeicher möglichst nicht beschädigt werden, wenn forensische oder lediglich routinemäßige Überprüfungen der Protokolle ausgeführt werden. Ab Version 2.5 wird das EVTX-Protokolldateiformat unterstützt. Auf diese Weise ist die Umstellung von Protokollen im Format EVT (Windows NT, Windows XP® und Windows Server 2003®) auf das Format EVTX (Windows Vista®, Windows Server 2008®, Windows 7® und folgende) gewährleistet. Und der vorteilhafte Preis von WhatsUp Event Rover macht die Protokollüberprüfung für Netzwerke und IT-Budgets jeder Größe erschwinglich.
Mit WhatsUp Event Rover können Sie:
- Windows-Protokolldateien mühelos sortieren und filtern und in strukturierten Ansichten darstellen
- Routinemäßige Überprüfungen und gezielte Audits ausführen, ohne die Integrität der Hauptprotokolldateien zu beeinträchtigen
- Exportieren und ohne weitere Konfiguration einfache Reports im HTML-Format erstellen
- Potenzielle Sicherheitsvorfälle erkennen, die zuvor definierten Ereignismustern entsprechen
- Während des anfänglichen Ladens Filter definieren, speichern und ausführen, um die Ansicht der Protokolle zu beschleunigen
- Beschädigte Protokolldateien wiederherstellen und anzeigen, ohne das Original zu ändern
- Sie können das Tool allein oder als Teil der kompletten WhatsUp-Produktfamilie von Event Log Management-Lösungen verwenden.
Die wichtigsten Funktionen von WhatsUp Event Rover:
Vereinfachte Protokolldatensuche mithilfe von strukturierten Ansichten
Im Mittelpunkt des revolutionären Ansatzes zur Protokolldateiüberprüfung von WhatsUp Event Rover steht die strukturierte Baumansicht des Tools. WhatsUp Event Rover optimiert die Genauigkeit und reduziert Fehlerquellen. Darüber hinaus macht WhatsUp Event Rover alles Rätselraten beim stichprobenmäßigen Überprüfen von Protokolldateien auf Sicherheitsereignisse überflüssig; die IDs aller häufig auftretenden Sicherheitsereignisse bieten ausführliche Beschreibungen.
Export von Ereignisprotokolldaten
In WhatsUp Event Rover werden grundlegende, sofort verfügbare Reporting- und Datenexportfunktionen geboten, die keine zusätzliche Konfiguration erfordern. Von der aktuell angezeigten Baumstruktur können unmittelbar HTML-Reports generiert werden, wobei die auf dem Bildschirm angezeigten Werte im Report getreu wiedergegeben werden. Zusammenhängende Ereignisgruppen können zur weiteren Überprüfung in durch Komma getrennte Textdateien exportiert, in Tabellen oder Datenbanken oder auch in die WhatsUp Event Analyst®-Anwendung importiert werden. Netzwerkadministratoren und Forensikprüfer können den von ihnen erstellten Reports Kommentare hinzufügen, um die Bedeutung der Daten weiter zu erklären.
Wahrung der Integrität von Protokolldateien während der Überprüfung
Mit WhatsUp Event Rover wird außerdem gesichert, dass routinemäßige Überprüfungen oder stichprobenmäßige Audits die Integrität der gespeicherten Protokolldateien nicht beeinträchtigen. Alle Überprüfungen werden in einer auf dem lokalen Computer gespeicherten Backup-Kopie der Protokolldatei ausgeführt. In WhatsUp Event Rover werden aktive Protokolldateien nicht bereinigt. Falls das Ereignisprotokoll wichtige Ergebnisse enthält, können Administratoren die Backup-Kopie der WhatsUp Event Rover-Bibliothek der gespeicherten Protokolle auf einfache Weise hinzufügen, damit dieses für weitere Überprüfungen oder forensische Analysen zur Verfügung steht.
Innovative EVTX-Protokollverarbeitungsfunktionen
Ab Version 2.5 bietet WhatsUp Event Rover die exklusiven Technologien LogRefiner™ und LogHealer™ von WhatsUp Gold. Damit ist WhatsUp Event Rover jetzt imstande, EVTX-Protokolldateien auf Windows Vista® oder späteren Betriebssystemen zu verarbeiten. Die LogHealer™-Technologie von WhatsUp Gold ermöglicht auch, den Administrator über potenziell beim Laden beschädigte EVTX-Dateien zu informieren. Außerdem führt das Tool automatisch Reparaturen an Kopien dieser Dateien aus, sodass diese in WhatsUp Event Rover durchgesehen werden können, wobei die ursprünglichen Dateien unverändert bleiben.
Erkennung kritischer Sicherheitsvorfälle
Für Netzwerkadministratoren ist es in vielen Fällen erforderlich, herauszufinden, ob eine Protokolldatei bestimmte Ereignismuster aufweist. Beispielsweise können zahlreiche Anmeldungsfehlschläge innerhalb einer kurzen Zeitspanne auf eine Brute-Force-Kennwortattacke hinweisen. Eine Flut von Fehlermeldungen von derselben Quelle innerhalb weniger Minuten kann hingegen ein potenzielles Hardware- oder Softwareproblem aufzeigen. WhatsUp Event Rover ermöglicht dem Administrator, diese Vorfälle zu definieren und zu speichern und nach diesen Ereignismustern zu suchen. Wenn ein Protokoll in den Arbeitsspeicher geladen wird, kann der WhatsUp Event Rover-Benutzer darin nach beliebigen Vorkommen von Vorfällen suchen, die diesen Kriterien entsprechen, und anschließend die einzelnen Ereignisse anzeigen, aus denen jedes Vorkommen besteht. Dann braucht der Administrator nur noch eine einzige Taste zu drücken, um diese Ereignisse in eine CSV-Datei zu exportieren oder einen HTML-Report der Ergebnisse zu erstellen.
F: Handelt es sich bei Event Rover® nicht einfach um eine andere Version der Microsoft Windows®-Ereignisanzeige?
A: Nein. Event Rover optimiert nicht nur die Anzeige von Ereignisprotokollen, wie sie in diesem Tool üblich ist; die Architektur von Event Rover unterscheidet sich davon auch grundlegend. So ist die strukturierte Ansicht und die Sortierfunktionalitäten von Event Rover der traditionellen, eher linearen Überprüfung von Ereignisprotokollen um Lichtjahre voraus. Darüber hinaus ermöglicht Event Rover Administratoren, hinsichtlich der forensischen Analyse weitaus mehr zu erreichen als mit der älteren Protokollüberprüfungsmethode je möglich war; darunter automatisches Speichern lokaler Kopien von Protokolldateien vor der Überprüfung sowie Speichern der protokolleigenen Filtereinstellungen zur weiteren Verwendung.
F: Unterliegt die Testversion etwaigen Einschränkungen?
A: Ja. Es handelt sich um eine Testversion, die auf 30 Tage beschränkt ist. Im Testmodus können Sie bis zu 50 Maschinen untersuchen. Außerdem gelten bestimmte Einschränkungen hinsichtlich der LogHealer™-Funktion von Event Rover.
F: Welche Unterschiede bestehen zwischen WhatsUp Event Analyst und WhatsUp Event Rover?
A: Beide Module sind Bestandteil der WhatsUp Event Log Management-Lösung. Kurz gefasst ist Event Analyst ein robustes Protokolldatei-Reporting-Tool, während Event Rover der raschen forensischen Analyse und der Protokolldateiüberprüfung dient. Beide Produkte können unabhängig voneinander – oder zusammen – eingesetzt werden, oder parallel zu anderen Tools der WhatsUp Event Log Management-Lösung.
Im Vergleich zu Event Analyst bietet Event Rover ziemlich eingeschränkte Möglichkeiten für das Reporting. Jedoch profiliert sich Event Rover, wenn es um die rasche Ansicht und Filterung von Ereignisprotokollen einzelner Maschinen geht. Für das routinemäßige Generieren von Netzwerkaktivitäts-Reports für das Management empfehlen wir Event Analyst. Wenn Sie routinemäßig einzelne Maschinen aufsuchen und deren Protokolldateien durchsehen müssen, schafft Event Rover zu diesem Zweck schnellen Ersatz für die Ereignisanzeige. Sie werden tatsächlich Zeit sparen, Kopfzerbrechen und überbelastete Augen vermeiden.
F: Ich verfüge über Ereignisprotokolle von 10 Servern und 80 Workstations und möchte diese ansehen. Event Rover wird jedoch nur auf meiner Maschine ausgeführt. Wieviele Lizenzen benötige ich?
A: Die Lizenzierung von Event Rover basiert auf der Anzahl Server und/oder Workstations, für die Protokolle zur Ansicht oder Untersuchung generiert werden. Sie benötigen also in diesem Fall einen Block von 100-Lizenzen.
F: Bieten Sie eine Preisreduzierung für den Erwerb der gesamten Suite der Ereignisprotokollmanagement-Tools?
A: Ja. Prüfen Sie die Informationen zur WhatsUp Event Log Management-Lösung auf der Website.
F: Welche Dokumentation ist für Event Rover erhältlich?
A: Die Hilfedatei ist selbstverständlich Ihre erste Anlaufstelle im Fall von Problemen. Eine zusätzliche Dokumentation finden Sie in unserer Supportcenter-Bibliothek unter www.whatsupgold.com/support/. Spezifische Fragen können in unserer Knowledge Base gestellt werden, die ebenfalls über das Supportcenter verfügbar ist.
WhatsUp Event Rover® - Minimum System Requirements
Pentium IV class machine with a minimum 512MB of RAM and 4 GB of hard disk space
for log storage
Auditing Volume Analyzer
The Auditing Volume Analyzer is a freeware utility
offered to assist administrators in estimating the amount of event log data being
generated on a given network.
The only requirements to use the software are a Microsoft Windows NT / 2000 / XP
/ 2003 system and a user account with local administrator or domain administrator
rights, depending on the network structure.
The biggest benefit to using the Auditing Volume Analyzer is in capturing an accurate
picture of the storage demands associated with preserving event log data over time.
Most network professionals have no easy way of estimating the amount of event log
data produced by their servers and workstations. Because of this, administrators
may not fully comprehend the disk and database storage requirements to retain that
data over time to satisfy the auditing requirements of federal acts like HIPAA,
Sarbanes-Oxley, and Gramm-Leach-Bliley. Fortunately, the Auditing
Volume Analyzer quickly produces a comprehensive report that network administrators
can give to management when building their case for additional resources.
Download The Auditing Volume Analyzer Now
WUGspace