日志审计(原生版)采用何种接入方案?
- windows设备通过agent采集,优点在于能够快速地集成现有数据,形成数据能力。
- 其他设备通过syslog采集snmptrap方式采集,优点在于不侵入应用系统,相关数据的准备由数据源系统自行准备,有利于数据源系统开展数据责任授权及控制扩散范围。
日志审计(原生版)采集日志需要做哪些操作?
进入日志审计后,您需要先配置采集资产,针对采集日志样式进行配置,以及配置对应告警规则。配置完成后,触发日志,可在平台中检索采集到的日志和告警结果。涉及配置流程如下:
日志审计(原生版)如何实现自适应采集解析能力?
通过数据自适应,将采集到多种类型、多种格式的原始事件信息根据预先配置的解析规则进行解析,支持正则解析,分隔符解析,json解析,key-value形式解析,实现新增日志类型无需开发能力。且日志解析结果已内置支持80+个字段,并支持动态扩展。
日志审计(原生版)如何实现检索分析?
检索分析功能底层基于elasticsearch索引支持检索功能,为用户提供日志检索及分析能力,支持字段高级逻辑搜索和全文检索,提供丰富的字段用于索引、检索,字段可由用户自定义添加配置,可支持用户自定义时间范围内检索数据,并支持对检索数据进行导出。