Gestión de Syslog para Dispositivos y Sistemas Linux/Unix

Recolección, Análisis, Resguardo y Reportes de Mensajes de Registro

La gestión de los syslogs o registros del sistema son una importante necesidad en casi todas las empresas. Los administradores de sistemas se apoyan en los syslogs como una fuente fundamental para solucionar problemas de rendimiento en sistemas y dispositivos de la red. La necesidad de una solución completa de monitoreo de syslogs a menudo se subestima; dando lugar a largas horas de análisis manual a través de miles de syslogs para solucionar un solo problema. Un análisis de registro de eventos eficiente reduce el tiempo de inactividad del sistema, aumenta el rendimiento de la red y ayuda a asegurar el seguimiento de las políticas de seguridad en la empresa.

EventLog Analyzer recoge los eventos de todos los syslogs escuchando al puerto Syslog (UDP). Nuestra solución de monitoreo de registros puede analizar, reportar y archivar los eventos syslog (incluyendo syslog-ng) recibidos de todos los sistemas y dispositivos en la red. El analizador de eventos administra los syslogs de los sistemas Unix, Linux, Solaris, HP-UX, IBM AIX y dispositivos tales como routers, switches, etc.

La aplicación de análisis de registro de eventos permite generar informes de registro del sistema en tiempo real y almacenar estos syslogs para futuras consultas. Cuenta con acceso instantáneo a una amplia variedad de informes para los eventos syslog generados a través de hosts, usuarios, procesos y grupos de hosts.

EventLog Analyzer también es compatible con los registros de eventos recibidos desde equipos (servidores y estaciones de trabajo) Windows.

Recolección, Análisis y Generación de Reportes de Logs del Servidor de Impresión

 

 

EventLog Analyzer recolecta logs de los servidores de Impresión, analiza y genera reportes claros en relación al uso compartido del escritorio de la impresora.

Los reportes proveen información acerca de trabajos de impresión inteligentes de los Usuarios:

  • Impresora utilizada
  • Nombre del usuario
  • ID y nombre de los documentos impresos
  • Número de páginas impresas
  • Tamaño del archivo
  • Fecha y hora de la impresión
  • Puertos utilizados

Adicionalmente provee una vista general del Servidor de Impresión y reportes del uso compartido del escritorio de las impresoras.

El reporte de Trabajos de impresión dará una introspección profunda en relación al tipo de documentos sensibles que se están imprimiendo, como documentos a los que se ha Modificado la Prioridad y documentos con Insuficientes Privilegios.

Obtenga configurado el Servidor de impresión y reciba reportes del Servidor de Impresión sin perder de vista la seguridad interna.

Monitoreo de logs Terminal Server de Windows con Eventlog Analyzer.

¡De seguimiento a lo que los usuarios hacen en el Terminal Server en tiempo real!

Las organizaciones permiten a los empleados trabajar, desde casa y en viajes de negocio, proveyéndoles conexión remota a la red. Los profesionales de seguridad de TI, necesitan dar seguimiento a las actividades de este tipo de usuarios, mediante el monitoreo de logs del terminal server en tiempo real para evadir amenazas.

Con el monitoreo del log del Terminal Server implementado, el personal de seguridad de TI nunca pierde control sobre de los usuarios  remotos y a los recursos a los que acceden. Cada acción se captura en la información log generada por el terminal server. Si esta información es analizada, puede proporcionar introspección de seguridad vital para asegurar la red de amenazas potenciales.

Una gran parte de organizaciones importantes pueden lograr el cumplimiento estricto de requerimientos establecidos por entidades regulatorias para prevenir brechas de seguridad.

Monitoreo de Logs del Terminal Server de Windows utilizando Eventlog Analyzer.

TS Reports largePermite monitorear y generar reportes en relación a las actividades del usuario que ocurren en los servicios del escritorio remoto de Windows, mediante el monitoreo y el análisis de la información en los logs del Terminal Server en tiempo real. Analiza el tiempo empleado por los usuarios en cada sesión de conexión remota, que usuarios han iniciado sesión en el servidor, que recurso se ha accedido, si la autorización se ha brindado a los usuarios, si el usuario se ha conectado exitosamente al recurso, y más.

Beneficios del Monitoreo de logs del Servidor de Terminales Windows con Eventlog Analyzer

  • Centralice el monitoreo de logs del Terminal Server. Obtenga información precisa en relación a recursos, actividades de usuarios y usuarios conectados, todo en un lugar centralizado.
  • De seguimiento a las actividades de los usuarios - Obtenga información detallada de las actividades de los usuarios y de los recursos a los cuales acceden. Conozca quienes están iniciando sesión a los servidores y el tiempo total que permanecen conectados.
  • Cubra los requerimientos de cumplimiento regulatorios. Monitoree las actividades de los usuarios con ayuda de conexiones remotas para cumplir con requerimientos de cumplimiento regulatorios, asegurando la red contra brechas y amenazas.
  • Número de sesiones de Terminal autorizadas – Conozca el número total de sesiones de terminal que fueron autorizadas en un periodo de tiempo determinado.

Monitoreo de Bitácoras de Eventos de Windows

Amenazas Internas - Representan grandes costos para las organizaciones

La mayoría de las violaciones de datos importantes han sucedido a causa del personal interno, y a pesar de esto muchas organizaciones no tienen un monitoreo interno para el seguimiento de las actividades internas de la red. Una encuesta realizada en 2011 por CyberSecurity Watch encontró que por lo menos el 33 por ciento de los ataques internos son más costosos que los ataques de afuera. La encuesta también indica que los ataques internos son cada vez más sofisticados y pueden causar graves daños a la reputación de una organización, la alteración crítica del sistema y la pérdida de información confidencial o reservada. (Descargar Encuesta - PDF)

El seguimiento de las actividades internas dentro de la red se ha convertido en el principal requisito para las organizaciones - grandes o pequeñas. Para proteger la red de las infracciones y de las amenazas, las organizaciones deben tomar medidas proactivas para garantizar la seguridad de su red y de sus datos. El monitoreo de los datos del registro de eventos es la forma más precisa para detectar anomalías de red, intentos de violación de datos e dar seguimiento a los intrusos de la red.

Mitigar las Amenazas Internas - Monitoreando los datos de registro de eventos

La mayoría de las organizaciones tienen un entorno de red que incluye servidores y estaciones de trabajo Windows. Los sistemas operativos de Microsoft Windows generan una variedad de registros de eventos y estos registros deben ser monitoreados, para ayudar a los administradores de red a asegurar su red contra amenazas internas y para la realización de investigación forense de registro. Los registros de sucesos contienen información vital, como inicios de sesión fallidos, errores de inicio de sesión, los intentos fallidos de acceso a archivos de seguridad, manipulación de registro de seguridad, etc., que le ayudan a mantener a su organización segura de las amenazas de la red.

Los registros de eventos se generan en formatos EVT y EVTX. Windows NT, XP, y las versiones de servidor y estaciones de trabajo de 2000 y 2003 soportan el formato de registro EVT y Windows Vista y Server 2008 utilizan versiones en el formato de registro EVTX. El monitoreo de estos registros de eventos de Windows (en formatos EVT y EVTX) a través de múltiples versiones se convierte en un reto para los administradores de red, además de que el monitoreo manual de estos datos de registro de eventos es engorroso y lento.

 


Caraterísticas de EventLog Analyzer - SIEM

Monitoreo y recolección de Registro de Eventos

Para la recolección de registro de eventos, este software de monitoreo de bitácoras no requiere un agente independiente para ser instalado en cada máquina desde la que se recogen los registros. EventLog Analyzer utiliza la tecnología de recopilación de registros sin agente para recopilar datos de registro de eventos de Windows.

Los registros de sucesos recogidos están disponibles en el dashboard con los recuentos basados en los errores, los mensajes de advertencia y otros eventos puntuales. Mediante el uso de estos recuentos, puede ver los datos de registro de Windows de una manera organizada, por lo que permite realizar un rápido diagnóstico de los problemas que surgieron en los sistemas operativos Windows.

windows-hosts-log-collection 

Monitoreo Registro Eventos para Cumplimiento de Normativas

El cumplimiento de la normativa se ha convertido en la máxima prioridad para los administradores de TI. Es crítico para las organizaciones observar las directrices de auditoría para el cumplimiento de las regulaciones, ya que no cumplir con estas normas puede resultar en severas sanciones. EventLog Analyzer permite a los administradores cumplir con los requisitos de las normas y realizar un análisis de los registros de eventos de sus servidores y estaciones de trabajo Windows en tiempo real.

Con EventLog Analyzer se pueden generar informes de cumplimiento pre-definidos para satisfacer las solicitudes de auditorías tales como HIPAA, GLBA, PCI DSS, SOX, FISMA, ISO ISO 27001/2 y más. Los informes de este software de cumplimiento del registro de eventos también proporciona una función de valor añadido que le permite crear informes personalizados para cumplir con las crecientes solicitudes reglamentarias que exigen el cumplimiento en el futuro.

eventlogmonitoring-compliance 

Búsqueda y Análisis Forense en Bitácoras

EventLog Analyzer permite realizar una muy fácil investigación forense de los registro de eventos ya que permite utilizar su potente motor de búsqueda para buscar en todos los tipos de registros de eventos al instante y generar informes forenses sobre la base de los resultados obtenidos. Los administradores de red pueden ahora buscar en los registros de eventos y encontrar la entrada de registro exacto que causó la actividad de seguridad, encontrar el momento exacto en el que el evento de seguridad correspondiente sucedió, saber quien inició la actividad y también, el lugar desde donde se originó la actividad.

Esta función de búsqueda en este software de monitoreo de bitácoras ayudará a realizar un seguimiento rápido del intruso en la red y permitirá cumplir con las normativas para el análisis forense. EventLog Analyzer permite afinar la búsqueda con una robusta funcionalidad de búsqueda de registro de eventos, basada en identificadores de eventos específicos de interés para la política de la empresa o de un determinado tipo de evento: error, advertencia, fracaso, o categorías diversas. Los registros archivados de Windows pueden ser importados para llevar a cabo investigaciones adicionales.

windows-log-forensics-rawlog 

Generación de Informes de Servidores y Estaciones de Trabajo Windows

EventLog Analyzer incluye varios informes predefinidos en base a los registros de eventos recibidos desde servidores y estaciones de trabajo Windows. Estos informes muestran detalles como inicios de sesión fallidos, errores de inicio de sesión debido a contraseñas equivocadas, bloqueos de cuentas, fracaso en los intentos de acceso a archivos de seguridad, registro de seguridad, la manipulación de eventos, tendencias y mucho más.

Con el uso de estos informes, los administradores pueden determinar fácilmente los usuarios errantes, y las máquinas que funcionan mal, reduciendo de este modo el ciclo de resolución de problemas. EventLog Analyzer permite utilizar varios criterios para generar informes personalizados con criterios tales como: mensaje log, usuario, ID del evento, tipo de evento y la gravedad del evento.

reports-windows-log 

Configuración de Alertas en Tiempo Real

EventLog Analyzer genera alertas en tiempo real de los registros de eventos generados por los diferentes dispositivos. Estas alertas se notifican a los administradores cuando se genera un evento que coincidan con un criterio específico predefinido. Las alertas ayudan a los administradores a controlar los servidores, procesos y servicios críticos de la red de Windows en tiempo real.

Puede definir que servidor o estación de trabajo o grupo de estos es necesario vigilar. También puede activar una alerta basada en sucesos generados con un tipo de registro específico, evento ID, tipo de mensaje o la gravedad de registro. Las alertas de eventos se envían en tiempo real a través de correo electrónico, SMS o a través de programas personalizados.

set-alerts-windows-machines 

EventLog Analyzer - Automatiza el monitoreo de las bitácoras de eventos

EventLog Analyzer - Un software de monitoreo de registro de eventos que ofrece un seguimiento completo de los registros de eventos. Recoge, análisis, informes y datos de registro de archivos de eventos generados por la empresa de red de Windows - Servidores y estaciones de trabajo. Este software de monitoreo de registro de eventos es compatible con todos los formatos de registros de eventos de Windows (EVT y EVTX) generados por los diferentes sistemas operativos de Windows, tales como:

  • Windows Server 2012
  • Windows Server2008
  • Windows Server 2003
  • Windows NT
  • Windows 2000
  • Windows XP
  • Windows Vista
  • Windows 7
  • Todos los demás sistemas operativos de Microsoft Windows

Los datos de registro de eventos se recopilan mediante la tecnología sin agentes de todas sus máquinas Windows. Los datos de registro de eventos se controla y analiza a la ubicación central - máquina EventLog Analyzer Server. Este software de monitoreo de registro de Windows es capaz de supervisar los registros de eventos en todos los servidores y estaciones de trabajo de Windows en su red y le alerta en tiempo real, a través de SMS o correo electrónico cuando se producen anomalías en la red de la red.

EventLog Analyzer - Beneficios de una Herramienta de Monitoreo de Bitácoras de Eventos

  • Recolección de bitácoras sin agentes - Capacidad para recopilar, normalizar, controlar, generar reportes y archivo de los eventos de Windows en formatos de registro EVT y  EVTX.
  • Datos de registro de eventos monitoreados y generación de informes de auditorías para cumplimiento normativo.
  • Repositorio central para los datos de registro de eventos de Windows
  • Detección de los eventos de seguridad de red, como inicios de sesión fallidos, el acceso a objetos, limpieza de registros de auditoría, etc.
  • Compatible con todas las versiones de Windows: Windows 2003, 2008 y 2012 Server, Windows NT, Windows 2000, Windows XP, Windows 7 y Windows Vista Recibe alertas en tiempo real cuando ocurren anomalías en la red de la red de Windows.
  • Opciones de búsqueda simple y avanzada para la búsqueda de registro bruto en los datos de registro de eventos de Windows.

Monitoree los logs del Directorio Activo con Eventlog Analyzer

El Directorio Activo forma la parte central de la administración del Dominio de Microsoft Windows.  Es un componente muy crítico, una falla en él, puede deteriorar la red entera. Cuando el servicio del directorio falla, los detalles son inmediatamente registrados en los logs. Si los logs son analizados cuidadosamente, la causa raíz de la falla puede ser encontrada. Cualquier operación en los objetos del Directorio Activo tienen que ser capturada. Las operaciones del Directorio Activo en los objetos de servicio del directorio y el contexto del nombre de la fuente de réplica directamente  afecta los accesos del usuario y la operaciones de las máquina en la red. Por lo que monitorear los eventos de log del Directorio Activo es crítico para asegurar un funcionamiento fluido de la red.

EventLog Analyzer puede monitorear los logs del Directorio Activo y dar seguimiento a cualquier incidente de falla específica en tiempo real. Con esto puede alertar al administrador de red instantáneamente, para que se puedan tomar medidas de remediación  y así evitar una falla en la red.

Tiene la flexibilidad de crear reportes personalizados para monitorear eventos específicos del Directorio Activo. Los ID´s de los eventos del Directorio Activo pueden ser monitoreados.

ad-dashboard

ad-events

 

Asegure que el inicio de sesión esté activo para los eventos del Directorio Activo y no está filtrado por el filtro de eventos del EventLog Analyzer.

Una breve descripción del Directorio Activo

El Directorio Activo es un servicio de directorio de la red de Dominio de Microsoft Windows. Forma parte del sistema operativo del Servidor de Windows. El servidor que corre el Directorio Activo se le llama Controlador de dominio. Provee a los administradores una administración centralizada y seguridad a la red. Autentica y autoriza a todos los usuarios y computadoras en el dominio de red de Windows. Asigna y refuerza las políticas de seguridad en todas las computadoras. Utiliza el Protocolo de Acceso de Directorio Ligero (LDAP). Los logs del Directorio Activo se almacenan en el Visor de Eventos del Sistema Operativo de Windows.

ID´s de Eventos relacionados con el Directorio Activo

ID´s de Eventos de Windows Server 2002 y 2003 para el Servicio del Directorio:

Windows 565 – Objeto Abierto (Directorio Activo)

 Windows 566 – Operación de Objeto (W3 Directorio Activo)

ID´s de Eventos de Windows Server 2008 para el Servicio del Directorio:

Windows 4661 – La manipulación de un objeto fue solicitada.

Windows 4662 – Una operación fue ejecutada sobre un objeto.

 Windows 4928 – Se estableció un contexto del nombre de la fuente de réplica del Directorio Activo

Windows 4929 - Se removió un contexto del nombre de la fuente de réplica del Directorio Activo

Windows 4930 - Se modificó un contexto del nombre de la fuente de réplica del Directorio Activo

Windows 4931 – Se modificó un contexto del nombre del destino de réplica del Directorio Activo Windows 4932 – Se comenzó una sincronización de una réplica del  contexto del nombre de la fuente

 Windows 4933 - Se comenzó una sincronización de una réplica del  contexto del nombre de la fuente

 Windows 4934 – Los atributos de un objeto del Directorio Activo fueron replicados.

 Windows 4935 – Falla de replicación inicia.

 Windows 4936 – Falla de replicación termina.

 Windows 4937 – Un objeto lento fue removido de la réplica.

 Windows 5136 – Un objeto del Servicio del Directorio fue modificado.

 Windows 5137 - Un objeto del Servicio del Directorio fue creado.

 Windows 5138 - Un objeto del Servicio del Directorio fue recuperado.

 Windows 5139 - Un objeto del Servicio del Directorio fue movido.

 Windows 5141 - Un objeto del Servicio del Directorio fue borrado.