Accès au contenu

Technologie Log Refiner™

Il existe un certain nombre de complications liées aux stratégies de journaux existantes - habituellement conçues pour le format EVT bientôt "révolu" - et aux données de journaux qui sont générés par Windows Vista, Server 2008 et les versions plus récentes via le nouveau format EVTX. La technologie exclusive LogRefiner™ de gestion des journaux d'événements de WhatsUp vous permet d'évoluer vers le format EVTX à votre rythme et selon les conditions que vous définissez. De nombreuses normes de conformité exigent que les données de journaux soient conservées pendant plusieurs années. De fait, dans la plupart des cas, il sera nécessaire de faire coexister les formats EVTX et EVT au moins pour quelque temps encore.

La technologie exclusive et brevetée LogRefiner™ de gestion des journaux d'événements de WhatsUp offre les fonctionnalités principales suivantes :

Traitement des fichiers EVT de bas niveau sous Windows Vista et versions ultérieures

La technologie LogRefiner ™ peut lire, filtrer, et générer des rapports sur des fichiers EVT des systèmes de bas niveau directement en parallèle des fichiers EVTX sous Windows Vista et des systèmes d'exploitation plus récents dans l'application WhatsUp Event Analyst. Aucune information ne vient à manquer au moment de la conversion des fichiers EVT de bas niveau dans les nouveaux formats et tous les champs des journaux d'événements sont correctement traités la première fois.

Simplification des champs entre les journaux EVT et EVTX

Le format des journaux EVTX prend en charge plus de types de champs que la version EVT.  La technologie LogRefiner™ aide à consolider automatiquement les champs étendus Mot-clé et Codeop en particulier au niveau du champ Tâche (Catégorie) afin qu'il y ait une structure des données commune lorsque l'on travaille avec des fichiers journaux EVT et EVTX.

Cohérence des champs à travers les journaux

Dans les journaux de sécurité Windows Vista, aucune information sur l'utilisateur effectuant l'action ou affecté par l'action n'est enregistrée dans le champ ‘Utilisateur’ lorsqu'un événement est consigné. Au lieu de cela, toutes les informations sur l'utilisateur sont placées dans le champ ‘Description’ de l'événement. La technologie LogRefiner™ ajoute la possibilité de replacer les informations sur l'utilisateur les plus pertinentes dans le champ ‘Utilisateur’ au fur et à mesure de la lecture et du traitement des fichiers EVTX. En aidant à conserver la cohérence des données de journaux et leur formatage, cette fonctionnalité représente une aide considérable pour l'administrateur de sécurité réseau ou l'autorité chargée de la conformité dans la consultation des données consolidées.

Audits réussis et audits manqués

Un autre changement majeur dans les journaux de sécurité de Windows Vista est que tous les événements y sont enregistrés comme “Informationnels.” Pour distinguer l'événement représentant une action réussie de celui qui représente une action n'ayant pas abouti, l'administrateur doit se référer au champ ‘Mot-clé’ de l'événement.  LogRefiner™ offre la possibilité de préciser lors de l'enregistrement si l'événement était un audit réussi ou un audit manqué, y compris concernant les fichiers EVTX, ce qui aide grandement le réviseur des données de journaux générées par les différents systèmes hôtes sous Windows.

La fonctionnalité PrecisionParser ™ étend la corrélation des deux journaux EVT et EVTX

PrecisionParser - un composant de la technologie LogRefiner - a d'abord été lancé afin d'étendre sa capacité de corrélation. Bien qu'il s'agisse d'un dérivé de LogRefiner, les utilisateurs n'ont pas à attendre de travailler avec le format EVTX pour bénéficier de cette puissante fonctionnalité. Avec PrecisionParser, le moteur de génération de rapports personnalisés intégré à Whatsup Event Analyst permet désormais d'analyser, regrouper, trier les champs secondaires clés de quasiment tout type d'événement de sécurité.

La fonctionnalité PrecisionParser™ de WhatsUp offre de nombreux avantages parmi lesquels :

Une réelle indépendance des formats des journaux

Les formats des données des journaux de sécurité analysables comprennent des fichiers au format natif EVT et EVTX, des fichiers texte avec la virgule comme séparateur produits par Event Archiver et Event Analyst, et des tableaux de bases de données Microsoft Access, SQL, ou Oracle produits par Event Archiver et Event Analyst. La prise en charge de multiples formats de journaux de Dorian se distingue totalement des packages des autres fournisseurs, lesquels dépendent de schémas de tableaux de bases de données multiples tentant de normaliser les données des journaux au moment de la collecte, plutôt que de normaliser les données au moment de l'analyse.

Une réelle indépendance des systèmes d'exploitation et des niveaux du service pack

La technologie PrecisionParser peut traiter quasiment toutes les données de journaux de sécurité collectées à partir de différents systèmes d'exploitation Microsoft, depuis Windows NT 4.0 à Windows Server 2008. Ceci est très important compte tenu du fait que Microsoft enrichit fréquemment au fil du temps les données consignées dans les événements des journaux de sécurité, souvent après l'application des services packs. Si un champ secondaire personnalisé n'est pas présent dans un ancien événement du système d'exploitation, le moteur de génération de rapports personnalisés en tient compte et indique simplement que le champ n'a pas été trouvé.

Corrélation à travers des événements de sécurité corrélés pourtant différents

Une corrélation est possible parmi des événements de sécurité différents partageant des champs secondaires en commun dans leurs descriptions. Par exemple, beaucoup d'événements de journaux de sécurité traitent les identifiants, les identifiants de connexion, et les adresses IP. Des rapports personnalisés associés à des filtres avancés peuvent être conçus à l'aide de la technologie PrecisionParser ™ pour montrer diverses activités d'événements qui sont en réalité corrélées via ces champs.

Prise en charge d'occurrences multiples dans le même champ secondaire

Quoique moins courant dans les anciens événements de sécurité, Windows Vista et Windows Server 2008 et les versions ultérieures incluent aujourd'hui souvent le même champ secondaire deux fois dans le champ ‘Description’. Par exemple, Event ID 4724 décrit la réinitialisation des mots de passe d'un utilisateur par l'administrateur. Pourtant, l'ordre de l'utilisateur indiqué dans le champ ‘Description’ détermine à qui appartient le mot de passe réinitialisé, et qui le réinitialise. Au moment de définir les champs personnalisés pour les rapports, basés sur la technologie PrecisionParser™, WhatsUp Event Analyst vous permet de faire cette subtile distinction en indiquant si vous souhaitez analyser la seconde, la troisième, ou la ‘énième’ occurrence de ce champ.