Haga clic aquí para expandir

Archivo

Los archivos de registro procesados ​​por EventLog Analyzer se archivan periódicamente para auditorías internas, forenses y de cumplimiento. Puede configurar lo siguiente según sus requisitos:

  • Intervalo de archivo
  • Tipo de registros que deben archivarse
  • Ubicación de almacenamiento de los archivos archivados
  • Periodo de retención

Los archivos archivados se pueden cifrar y sellar la hora para que sean seguros y a prueba de manipulaciones.

¿Cómo ver los registros archivados?

Para ver sus archivos, en la pestaña Configuración de EventLog Analyzer, vaya a Configuración de administrador> Administrar archivos.

Se carga la página Registros archivados y proporciona información sobre:

  • Lista de dispositivos de los que se recopilan los registros
  • Tipo de dispositivo (formato)
  • El período de tiempo ('Desde' y 'Hasta') indica el período de tiempo durante el cual EventLog Analyzer recopila los registros y los almacena en un archivo de almacenamiento.
  • Tamaño de los datos de registro archivados de cada uno de los dispositivos
  • La columna de integridad indica si los registros archivados están intactos o han sido alterados. La integridad de los archivos archivados se indica mediante cuatro estados:
  1. Verificado: los registros archivados están intactos.
  2. Falta el archivo de almacenamiento: cuando no se encuentra el archivo plano durante el proceso de compresión / compresión.
  3. Archivo de almacenamiento no encontrado: cuando un archivo de almacenamiento no se encuentra en la ubicación donde está almacenado en la base de datos.
  4. El archivo de almacenamiento está alterado: cuando se edita el archivo de almacenamiento original / alguna parte del archivo se elimina externamente. En caso de que un archivo haya sido eliminado o manipulado, se enviará una notificación por correo electrónico inmediatamente y se mostrará en la pantalla el mensaje "Archivo de archivo manipulado".
  • El estado del archivo se indica mediante cuatro estados diferentes:
    1. Cargado: los archivos archivados ya están cargados en la base de datos. Haga clic en 'Ver' para ver el archivo de almacenamiento
    2. Los datos ya están disponibles: si el archivo de almacenamiento está en la base de datos de Elastic Search
    3. Datos parcialmente disponibles: si algunos de los datos del archivo están en la base de datos ElasticSearch
    4. No cargado: si el archivo comprimido no está en la base de datos ElasticSearch.

    ¿Cómo ver un archivo de archivo específico?

    Para ver un archivo de archivo específico, haga clic en la casilla de verificación correspondiente al dispositivo.

    También puede ver los archivos de registro archivados que se crean durante un período de tiempo específico. Para hacerlo, haga clic en el icono de calendario en la esquina superior derecha de la página y especifique el período de tiempo deseado.

    ¿Cómo filtrar y ver un conjunto de archivos de almacenamiento?

    Si desea ver un conjunto de archivos según el tamaño o el estado de los datos del archivo, puede hacerlo haciendo clic en el icono de filtro     junto a Tamaño o Estado y estableciendo los valores adecuados. Los archivos se filtrarán en función de los valores dados.

    ¿Cómo ordenar la lista de archivos comprimidos?

    Al hacer clic en el icono desplegable     junto a Dispositivos / Desde / A, puede ordenar la lista en orden ascendente. Se ordenará en función de los valores de las columnas respectivas. Al hacer clic nuevamente, puede ordenar la lista en orden descendente.

    ¿Cómo cargar archivos de almacenamiento?

    Para cargar sus archivos archivados, en la pestaña Configuración de EventLog Analyzer, vaya a Configuración de administrador> Administrar archivos.

    1. Verifique el estado del archivo archivado correspondiente al dispositivo. Si no está cargado, haga clic en el botón Cargar archivo para cargar el archivo en la base de datos y buscar en los registros.
    2. Una vez que el estado del archivo cambie a Cargado, haga clic en el botón Ver correspondiente.

    Nota: Para soltar un archivo, selecciónelo y haga clic en el botón Descargar archivo.

    Nota: Si el estado del archivo dice "Datos parcialmente disponibles" y si procede a cargar el archivo, podría haber una duplicación de los datos.

    ¿Cómo eliminar archivos comprimidos?

    Para eliminar sus archivos archivados, en la pestaña Configuración de EventLog Analyzer, vaya a Configuración de administrador> Administrar archivos.

    1. Seleccione los archivos archivados seleccionando las casillas de verificación correspondientes.
    2. Elimine los archivos archivados haciendo clic en el icono Eliminar   .

    ¿Cómo configurar los ajustes de archivo?

    Para configurar los ajustes de archivo,

    Haga clic en el enlace Configuración en la esquina superior derecha de la pantalla.

    Configure el intervalo de archivo, el período de retención, la opción de cifrar, la marca de tiempo de los archivos de almacenamiento, la ubicación para guardar los archivos de almacenamiento y la ubicación para guardar los archivos de índice en esta pantalla.

    Nota: El archivo y el almacenamiento de la base de datos son operaciones asincrónicas. Estas operaciones no están relacionadas.

    1. Asegúrese de que el archivado esté habilitado. Por defecto, está habilitado. Anule la selección del botón de alternancia para desactivar el archivado.
    2. Para proteger los archivos de almacenamiento, habilite el cifrado de los archivos. Por defecto, estará deshabilitado.
    3. Ingrese el período de retención del archivo para los archivos archivados. El período predeterminado es Forever.
    4. Los registros se pueden archivar en dos formatos; “Registros sin procesar con campos analizados” y “Registros sin procesar”. Los "registros sin procesar con campos analizados" se almacenarán con los metadatos y los "registros sin procesar" se almacenarán sin metadatos. El espacio de almacenamiento para los registros sin procesar será menor, pero solo se pueden generar informes básicos con estos datos.
    5. Ingrese la ubicación de almacenamiento para los archivos archivados en el cuadro Ubicación del archivo. Haga clic en "Verificar ubicación" para validar la ubicación.
    6. Ingrese la dirección de correo electrónico de notificación. Los correos electrónicos de notificación sobre la integridad del archivo se enviarán a los ID de correo electrónico especificados. Para múltiples ID de correo electrónico, use comas en el medio.
    7. Ingrese el período de retención de registros para los archivos de almacenamiento cargados. El período predeterminado es de 7 días.
    8. Haga clic en Avanzado . Ingrese los valores para los siguientes tres parámetros que se muestran en la pantalla:
      1. Elija el intervalo de tiempo requerido para la creación de archivos. Los registros se escriben en archivos planos en el período de tiempo especificado. El valor predeterminado es de 8 horas.
      2. Elija el intervalo de tiempo requerido para crear un archivo zip. Los archivos planos se comprimen (proporción 20: 1) y los archivos zip se crean en el período de tiempo especificado. El valor predeterminado es 1 día.
      3. Habilite la marca de tiempo de archivo si es necesario. Por defecto, está deshabilitado.
    9. Guarde la configuración y cierre la ventana. Para archivar instantáneamente, haga clic en el botón Comprimir ahora junto a Intervalo de creación de zip.

    Pasos para mover los índices de Elasticsearch de EventLog Analyzer a una nueva ubicación

    Nota:

    La carpeta ES \ repo contiene archivos temporales para archivos ES

    La carpeta ES \ data contiene datos

    ES \ carpeta de archivo contiene archivos ES

    ES \ repo, ES \ data y ES \ archive nunca deben apuntar a la misma carpeta

    Ejemplos:

    Para la ruta de red remota, use el siguiente formato:

    • path.data: ["// nombre de la máquina remota / carpeta compartida / datos"]
    • path.repo: ["// nombre de la máquina remota / carpeta compartida / repositorio"]

    Para el almacenamiento local de Windows, utilice el siguiente formato:

    • path.data: ["C: \\ ManageEngine \\ EventLog Analyzer \\ ES \\ data"]
    • path.repo: ["C: \\ ManageEngine \\ EventLog Analyzer \\ ES \\ repo"]

    Para el almacenamiento local de Linux, utilice el siguiente formato:

    • path.data: ["/ opt / ManageEngine / EventLog Analyzer / ES / data"]
    • path.repo: ["/ opt / ManageEngine / EventLog Analyzer / ES / repo"]

    Caso 1: EventLog Analyzer como configuración independiente (no integrado con Log360)

    1. Apagar EventLog Analyzer.
    2. Vaya a <inicio de Eventlog> \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación y guarde el archivo.
    3. Mueva los archivos de la carpeta <ManageEngine> \ <Eventlog> \ ES \ data a la nueva ubicación.

    Caso 2: EventLog Analyzer está integrado en Log360 y se instala con el instalador Log360 (incluido):

    En este caso, EventLog Analyzer usa un ES común que se comparte con otros módulos

    Nota:

    Con Log360, el módulo integrado tendrá solo un ES y se puede ubicar en la página Admin> Administración y administración de motores de búsqueda. Al hacer clic en los detalles, podemos ver que se está ejecutando desde la carpeta <ManageEngine> \ elasticsearch \ ES.

    1. Apague EventLog Analyzer y Log360.
    2. Apague ES común.
      1. Abra el símbolo del sistema como administrador en <ManageEngine> \ elasticsearch \ ES \ bin
      2. Ejecute stopES.bat
    3. Vaya a <ManageEngine> \ elasticsearch \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación y guarde el archivo.
    4. Mueva los archivos de la carpeta <ManageEngine> \ elasticsearch \ ES \ data a la nueva ubicación.

    Caso 3: EventLog Analyzer se integra manualmente en Log360:

    En este caso, EventLog Analyzer utilizará su ES existente (antes de la integración) y el ES común (después de la integración con Log360).

    Nota:

    De forma predeterminada, el módulo integrado tendrá dos ES y se puede ubicar en la página Admin> Administración y administración de motores de búsqueda. Al hacer clic en los detalles, podemos ver que uno se está ejecutando desde EventLog Analyzer, <Eventlog home> carpeta \ ES y otro desde <ManageEngine> \ elasticsearch \ ES carpeta.

    1. Apague EventLog Analyzer y Log360.
    2. Apague ES común.
      1. Abra el símbolo del sistema como administrador en <ManageEngine> \ elasticsearch \ ES \ bin
      2. Ejecute stopES.bat
    3. Vaya a <ManageEngine> \ elasticsearch \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación y guarde el archivo.
    4. Mueva los archivos de la carpeta <ManageEngine> \ elasticsearch \ ES \ data a la nueva ubicación.
    5. Vaya a <ManageEngine> \ <Eventlog> \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación (diferente de la proporcionada para ES común) y guarde el archivo.
    6. Mueva los archivos de la carpeta <ManageEngine> \ <Eventlog> \ ES \ data a la nueva ubicación.

    Pasos para mover los datos de Elasticsearch de EventLog Analyzer a una nueva ubicación

    Nota:

    La carpeta ES \ repo contiene archivos temporales para archivos ES

    La carpeta ES \ data contiene datos

    ES \ carpeta de archivo contiene archivos ES

    ES \ repo, ES \ data y ES \ archive nunca deben apuntar a la misma carpeta

    Ejemplos:

    Para la ruta de red remota, use el siguiente formato:

    • path.data: ["// nombre de la máquina remota / carpeta compartida / datos"]
    • path.repo: ["// nombre de la máquina remota / carpeta compartida / repositorio"]

    Para el almacenamiento local de Windows, utilice el siguiente formato:

    • path.data: ["C: \\ ManageEngine \\ EventLog Analyzer \\ ES \\ data"]
    • path.repo: ["C: \\ ManageEngine \\ EventLog Analyzer \\ ES \\ repo"]

    Para el almacenamiento local de Linux, utilice el siguiente formato:

    • path.data: ["/ opt / ManageEngine / EventLog Analyzer / ES / data"]
    • path.repo: ["/ opt / ManageEngine / EventLog Analyzer / ES / repo"]

    Caso 1: EventLog Analyzer como configuración independiente (no integrado con Log360)

    1. Apagar EventLog Analyzer.
    2. Navegue a <Eventlog home> \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación de datos y guarde el archivo.
    3. En <inicio de Eventlog> \ ES \ config \ elasticsearch.yml , actualice path.repo para incluir la nueva ubicación del repositorio (paralela al directorio de datos) y guarde el archivo.
    4. Mueva los archivos de la carpeta <ManageEngine> \ <Eventlog> \ ES \ data a la nueva ubicación.
    5. Cree una carpeta con el nombre de archivo (paralelo al nuevo directorio de datos).
    6. Mueva los archivos de la carpeta <ManageEngine> \ <Eventlog> \ ES \ a la nueva carpeta llamada archive .

    Caso 2: EventLog Analyzer está integrado en Log360 y se instala con el instalador Log360 (incluido):

    En este caso, EventLog Analyzer usa un ES común que se comparte con otros módulos

    Nota:

    Con Log360, el módulo integrado tendrá solo un ES y se puede ubicar en la página Admin> Administración y administración de motores de búsqueda. Al hacer clic en los detalles, podemos ver que se está ejecutando desde la carpeta <ManageEngine> \ elasticsearch \ ES .

    1. Apague EventLog Analyzer y Log360.
    2. Apague ES común.
      1. Abra el símbolo del sistema como administrador en <ManageEngine> \ elasticsearch \ ES \ bin
      2. Ejecute stopES.bat
    3. Navegue a <ManageEngine> \ elasticsearch \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación de datos y guarde el archivo.
    4. También actualice path.data en <Eventlog home> \ ES \ config \ elasticsearch.yml para incluir la nueva ubicación de datos (la misma ubicación de datos que se mencionó en el paso 3).
    5. Actualice path.repo en <ManageEngine> \ elasticsearch \ ES \ config \ elasticsearch.yml a la nueva ubicación del repositorio (paralela a la nueva ruta de datos).
    6. Actualice path.repo en <Eventlog home> \ ES \ config \ elasticsearch.yml a la nueva ubicación del repositorio (la misma ubicación del repositorio que se mencionó en el paso 5).
    7. Mueva los archivos de <ManageEngine> \ elasticsearch \ ES \ data a la nueva ubicación.
    8. Cree una carpeta con el nombre de archivo (paralelo al nuevo directorio de datos).
    9. Mueva los archivos de la carpeta <ManageEngine> \ <Eventlog> \ ES \ a la nueva carpeta llamada archive .

    Caso 3: EventLog Analyzer se integra manualmente en Log360:

    En este caso, EventLog Analyzer utilizará su ES existente (antes de la integración) y el ES común (después de la integración con Log360).

    Nota:

    De forma predeterminada, el módulo integrado tendrá dos ES y se puede ubicar en la página Admin> Administración y administración de motores de búsqueda. Al hacer clic en los detalles, podemos ver que uno se está ejecutando desde EventLog Analyzer, <Eventlog home> carpeta \ ES y el otro desde <ManageEngine> \ elasticsearch \ ES carpeta.

    1. Apague EventLog Analyzer y Log360.
    2. Apague ES común.
    3. Abra el símbolo del sistema como administrador en <ManageEngine> \ elasticsearch \ ES \ bin
    4. Ejecute stopES.bat
    I. Cambio en ES común
    1. Vaya a <ManageEngine> \ elasticsearch \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación y guarde el archivo.
    2. Actualice path.repo en <ManageEngine> \ elasticsearch \ ES \ config \ elasticsearch.yml para incluir la nueva ubicación del repositorio (paralela a path.data).
    3. Mueva los archivos de <ManageEngine> \ elasticsearch \ ES \ data a la nueva ubicación.
    II. Cambio en ES local (la ruta aquí debe ser diferente a la dada para ES común)
    1. Vaya a <ManageEngine> \ <Eventlog> \ ES \ config \ elasticsearch.yml , actualice path.data para incluir la nueva ubicación (debe ser diferente de la proporcionada para ES común) y guarde el archivo.
    2. Actualice path.repo en <ManageEngine> \ <Eventlog home> \ ES \ config \ elasticsearch.yml a la misma ubicación de repositorio que la del ES común.
    3. Cree una carpeta con el nombre de archivo (paralelo al nuevo directorio de datos).
    4. Mueva los archivos de <ManageEngine> \ <Eventlog> \ ES \ data a la nueva ubicación.
    5. Mueva los archivos de la carpeta <ManageEngine> \ <Eventlog> \ ES \ a la nueva carpeta llamada archive .
    Obtener enlace de descarga