Zu Inhalt wechseln

Log Refiner™-Technologie

Mit den existierenden Protokollstrategien, meist für das in absehbarer Zeit veraltete EVT-Format entworfen, und den von Windows Vista, Server 2008 und höher generierten Protokolldaten im EVTX-Format besteht eine Anzahl an Komplikationen. Die exklusive Technologie des WhatsUp Event Log Management LogRefiner™ ermöglicht Ihnen, auf das EVTX-Format umzusteigen – nach Ihrem Rhythmus und zu Ihren Bedingungen. Zahlreiche innerbetriebliche und behördliche Auflagen erfordern, dass Protokolldaten mehrere Jahre lang aufbewahrt werden müssen. Daher werden in den meisten Fällen EVTX- und EVT-Formate zumindest noch für einige Zeit noch zusammen erhalten werden müssen.

Die exklusive LogRefiner™-Technologie von WhatsUp Event Log Management bietet die folgenden Hauptfunktionen:

Verarbeitung des früheren EVT-Dateiformats in Windows Vista und höher

Mit der LogRefiner™-Technologie ist es möglich, EVT-Dateien aus früheren Systemversionen direkt zusammen mit den EVTX-Dateien aus Windows Vista und neueren Betriebssystemen in der WhatsUp Event Analyst-Anwendung zu lesen, zu filtern und Reports darüber zu erstellen. Beim Konvertieren der EVT-Dateien aus früheren Systemen in neue Formate gehen keine Informationen verloren und alle Ereignisprotokollfelder werden das erste Mal ordnungsgemäß verarbeitet.

Feldanpassung zwischen EVT- und EVTX-Protokollen

Das EVTX-Protokollformat unterstützt mehr Feldtypen als die EVT-Version. Die LogRefiner™-Technologie trägt dazu bei, die erweiterten „Keyword“- und „Opcode“-Felder automatisch im „Task (Category)“-Feld zu konsolidieren, sodass beim Arbeiten mit EVT- und EVTX-Protokolldateien eine gemeinsame Datenstruktur vorhanden ist.

Konsistenz der Felder zwischen Protokollen

Im Sicherheitsprotokoll von Windows Vista werden keine Informationen über den Benutzer, der eine Aktion ausführt bzw. der durch eine Aktion betroffen ist, im Feld ‘User’ aufgezeichnet, wenn ein Ereignis protokolliert wird. Alle Benutzerinformationen werden stattdessen in das Feld „Description“ des Ereignisses geschrieben. Die LogRefiner™-Technologie bringt die Möglichkeit, die wichtigsten Benutzerinformationen zurück in das „User“-Feld zu platzieren während die EVTX-Dateien gelesen und verarbeitet werden. Indem die Konsistenz der Protokolldaten und deren Formatierung auf diese Weise erhalten bleibt, hilft diese Funktion dem Netzwerksicherheitsadministrator bzw. dem mit der Einhaltung der Richtlinien beauftragten Mitarbeiter außerordentlich bei der Durchsicht der konsolidierten Daten.

Erfolgsaudits und Fehleraudits

Eine weitere wesentliche Änderung im Sicherheitsprotokoll von Windows Vista besteht darin, dass alle Ereignisse als „Informational“ aufgezeichnet werden. Um zu unterscheiden, ob ein Ereignis eine erfolgreiche oder eine fehlgeschlagene Aktion darstellt, muss der Administrator das „Keyword“-Feld des Ereignisses untersuchen. LogRefiner™ bietet die Möglichkeit, richtig aufzuzeichnen, ob es sich bei einem Ereignis um ein Erfolgsaudit (Success Audit) oder ein Fehleraudit (Failure Audit) handelt – auch im Fall von EVTX-Dateien – was dem Prüfer der aus den verschiedenen Windows-Hostsystemen generierten Protokolldaten die Arbeit wesentlich vereinfacht.

PrecisionParser™-Funktionalität erweitert die Korrelation von EVT- und EVTX-Protokollen

PrecisionParser ist eine Komponente der LogRefiner-Technologie und wurde vor allem eingeführt, um die Korrelationsfunktionalität des Produkts zu erweitern. PrecisionParser ist zwar ein Ableger von LogRefiner, Benutzer brauchen jedoch nicht zu warten, bis sie das EVTX-Format verwenden, um von den leistungsstarken Funktionen des Produkts zu profitieren. Mit PrecisionParser können für nahezu alle Sicherheitsereignisse die Schlüsselteilfelder in der benutzerdefinierten WhatsUp Event Analyst-Reporting-Engine analysiert, gruppiert und sortiert werden.

Die WhatsUp PrecisionParser™-Funktionalität bietet zahlreiche Vorteile, darunter:

Echte Unabhängigkeit des Protokollformats

Analysierbare Datenformate von Sicherheitsprotokollen sind u.a. native EVT- und EVTX-Dateien, von Event Archiver und Event Analyst generierte kommagetrennte Textdateien und von Event Archiver und Event Analyst generierte Microsoft Access-, SQL-,oder Oracle-Datenbanken. Die Unterstützung mehrerer Protokollformate durch Dorian steht in starkem Kontrast zu den Produkten anderer Anbieter, welche von zahlreichen Datenbanktabellenschemas abhängen, um zu versuchen, die Protokolldaten zur Zeit der Erfassung zu normalisieren, anstatt sie zur Zeit der Analyse zu normalisieren.

Echte Unabhängigkeit von Betriebssystem und Service Pack-Levels

Die PrecisionParser-Technologie ist in der Lage, geradezu alle von verschiedenen Microsoft-Betriebssystemen erfassten Sicherheitsprotokolldaten zu verarbeiten – von Windows NT 4.0 bis Windows Server 2008. Dies ist von zentraler Wichtigkeit, da Microsoft oft die in Sicherheitsprotokollereignissen berichteten Daten erweitert, häufig, nachdem Service Packs installiert werden. Wenn ein benutzerdefiniertes Teilfeld nicht in einem älteren Betriebssystemereignis vorhanden ist, passt sich die Reporting-Engine problemlos an und meldet einfach, dass das Feld nicht gefunden wurde.

Korrelation zwischen miteinander verbundenen, jedoch verschiedenen Sicherheitsereignissen

Eine Korrelation oder Wechselbeziehung zwischen verschiedenen Sicherheitsereignissen ist möglich, wenn diese gemeinsame Teilfelder in ihren Beschreibungen aufweisen. Beispielsweise verarbeiten viele Sicherheitsereignisprotokolle IDs, Anmelde-IDs und IP-Adressen. Mithilfe der PrecisionParser™-Technologie können benutzerdefinierte Reports mit fortgeschrittenen Filtern entworfen und so Ereignisaktivitäten gezeigt werden, die über diese Felder miteinander in Beziehung stehen.

Unterstützung mehrerer Vorkommen desselben Teilfelds

Während dies in älteren Sicherheitsereignissen seltener ist, verwenden Windows Vista, Windows Server 2008 und höhere Versionen häufig denselben Teilfeldnamen zweimal im „Description“-Feld. Beispielsweise beschreibt „Event ID 4724“ das Zurücksetzen von Benutzerkennwörtern durch einen Administrator. Die Reihenfolge der Benutzerliste im „Description“-Feld bestimmt jedoch, wessen Kennwort zurückgesetzt wurde und von wem. Beim Definieren benutzerdefinierter Felder für Reports ermöglicht Ihnen WhatsUp Event Analyst auf der Grundlage der PrecisionParser™-Technologie, diesen feinen Unterschied zu machen, indem Sie angeben, ob Sie das zweite, dritte oder „n“-te Vorkommen dieses Felds parsen möchten.