中小企业的企业级事件日志工具

对于中小企业，有许多免费或者便宜的工具可供选择。不过，对于有复杂需求的中小企业，可能会考虑一些专门针对企业级应用的日志收集和管理套件，下面我介绍的就是这样一些会让你感兴趣的企业级日志工具。

GFI EventsManager 7.0
GFI EventsManager 7.0（http://www.gfi.com/eventsmanager）具有一些强大的功能，并且比其之前的版本GFI LANguard Security Event Log Monitor 5.0有了很大改进。EventsManager支持Windows事件日志、系统日志和符合互联网联合会（World Wide Web Consortium，W3C）标准的日志文件，如Microsoft IIS日志，但是不支持Internet认证服务（Internet Authentication Service，IAS）日志。
EventsManager提供基于规则的事件日志管理，部署迅速，能够快速过滤不必要的事件，并专注于和当前状态密切相关的事件。最新版本的产品具有经过优化的多线程事件处理引擎，能有效提高事件扫描性能并支持插件。GFI宣称其产品每小时可以处理600万条事件。
EventsManager通过使用用户创建的扫描配置文件来设置各种类别的规则，例如，可以对服务器和工作站设置不同的规则并快速应用，而对于全部设备可以采用通用的配置文件，然后再针对性地创建独立的配置文件。
EventsManager能够让那些天书一般的Windows事件日志更加直观，并提供了扩展的报表功能，包括许多预定义的报表，如用户帐号使用和管理报表、策略更改和应用管理报表，以及趋势报告。EventsManager采用各种实时提醒手段通知系统管理员和操作人员——包括邮件、网络消息和通过网关的短消息提醒。此外，EventsManager具有事件过滤功能，利用预定义的事件查询或是通过查询创建器创建自己的查询，可以从庞大的日志中迅速提取出感兴趣的条目，并支持用彩色标记出特殊的事件。GFI EventsManager 7.0采用Microsoft SQL Server 7.0或更新版本或是Microsoft SQL Server Desktop Engine（MSDE）保存收集的事件。
在企业级事件管理产品市场，我建议你重新考查一下这个新版本的产品，即使你曾经考虑并测试过之前版本的EventsManager。3个节点的EventsManager报价为800美元，500节点报价为32000美元，对于500节点以上和咨询授权，价格可以另行商讨。

Total Event Log Management Suite
Dorian Software Creations公司的Total Event Log Management Suite（http://www.doriansoft.com/totalsolution/index.htm）产品是一系列工具的集合。该套件的工具之一Event Archiver 6.0可以收集Windows事件日志并保存在数据库或是其它地方，但不支持IIS或IAS的文本日志文件或系统日志。Event Archiver采用了无代理技术，将被监控系统上的事件日志拉到中央服务器上。Event Archiver支持将多个计算机分组加入管理域，从而应用策略设置对每个计算机分组自动归档指定的不同事件类型。在Event Archiver中预定义了可以选择收集的100多个事件，收集的日志文件能被保存在ODBC兼容的数据库中，并支持SQLOLEDB提供商进行大型数据库导入操作。
套件中的另一个工具Event Analyst 5.0可用于分析保存的日志，该工具可以在保存的事件日志文件或数据库中搜索指定的事件，并采用预设的报表格式或基于过滤的动态查询创建HTML形式的报表。
套件中的第三个工具是Event Alarm 4.0，这是一个Windows服务，在后台运行并监视网络设备产生的Windows事件日志和系统日志。这也是个不需要代理的工具，而且可以监视远程系统。该工具还有一个“减少假阳性（False Positive Reduction）”的功能，允许用户选择忽略某些特定的已知与当前环境无关的事件。和Event Archiver一样，Event Alarm内置了100多个预定义的事件，管理员可以直接选择。当被关注的事件被记录到数据库时，Event Alarm可以采用多种方式通知系统管理员和操作人员，包括邮件、网络消息、转发事件详情到系统日志服务器，以及网络广播通知安装了Dorian Software Creations公司的专用通知工具的管理员。
套件中的最后一个工具是Event Rover，该工具可以采用树状视图显示Windows事件日志，以及将数据导出到HTML格式的报表中。Event Rover能连接到Dorian Software Creations公司网站http://www.eventlogs.com，查询Windows事件日志中独立条目的含义。
报价1499.99美元的Event Log Management Suite可以支持5台服务器、25个工作站以及无限制的系统日志设备或是10台服务器和无限制的系统日志设备，支持15台服务器和无限制的系统日志设备则报价2199.99美元，而对于其它的服务器和工作站数量组合，请直接和Dorian Software Creations公司联系报价。

Sentry II
Engagent公司的Sentry II（http://www.engagent.com/newsite/products/product_sentryII.htm）不仅仅是简单的Windows事件日志、SNMP陷阱和系统日志管理工具，还能够主动监视TCP/IP和Windows服务、其它正在运行的进程以及系统性能。Sentry II监视的Windows系统从Windows 95直到Windows Server 2003，同时支持32位和64位操作系统。通过使用SNMP陷阱和系统日志事件捕捉，Sentry II还能监视UNIX和Linux服务器及网络设备，但是不支持IIS和IAS文本日志文件。该工具使用的代理可以运行在Windows Server 2003、Windows NT Server或是Windows 2000 Server。
Sentry II监视事件并在关键事件出现时通过邮件、短信、寻呼、SNMP、系统日志、弹出窗口和自定义的程序警告通知系统管理员和操作人员。被收集的事件保存在Microsoft Access或者SQL Server数据库，归档事件的报表可以创建为PDF、HTML、Microsoft Excel、Microsoft Word以及其它格式。Sentry II还可以通过事件标识符、用户名、事件源和描述搜索事件日志，结果可以被打印、电邮或输出为文档。产品报价请直接联系Engagent公司。

ELM Log Manager
另一个工具是TNT Software公司的ELM Log Manager 4.0（http://www.tntsoftware.com/products/elmlogmanager.aspx），该工具能够监视Windows事件日志、Microsoft ISA Server日志文件、IIS日志文件、SQL Server错误日志文件和其它应用程序日志文件，如自定义的日志文件、备份软件的日志文件、防病毒软件的日志文件和静态HTML文件。ELM Log Manager还支持系统日志和SNMP陷阱。该工具使用代理收集日志并保存在SQL Server 7.0或更新版本或者是MSDE数据库中，可以通过管理默认的保留时间来优化数据库使用。在用户定义的时间区间内，如果检测到某个指定事件发生了一定次数，可以设置ELM Log Manager发出警告，当然，也可以设置在用户定义的时间段，某个事件没有被探测到发生一定次数的时候发出警告——这是个独特的功能。
在中央控制台，管理员可以查看日志并搜索感兴趣的事件，工具内置的预定义报表可以让管理员迅速识别计算机、用户帐号创建和管理、用户权限提升、登录和注销、文件和注册表子键的对象访问以及组策略活动。ELM Log Manager通过电子邮件、命令行脚本、网络警告、即时消息、系统日志、SNMP、短信和其它实时方式通知系统管理员和操作人员。
TNT Software公司还提供了适合中小企业应用的其它工具，如ELM Event Log Monitor 4.0和ELM Enterprise Manager 4.0。ELM Event Log Monitor是简化版的ELM Event Log Manager，功能比ELM Event Log Manager少，ELM Enterprise Manager包含了ELM Log Manager的全部功能，并提供许多新的功能，比如实时监视应用程序和服务。关于产品报价请直接联系TNT Software公司。

EventTracker
Prism Microsystems公司的EventTracker（http://www.eventlogmanager.com）使用基于代理的架构管理日志，其标准代理每分钟能处理700条事件，而高性能代理每分钟可以处理7000条事件。对于Windows系统，EventTracker也支持无代理架构，这在不关注性能问题的时候很有用。EventTracker支持Windows事件日志、IIS和系统日志，采用附加工具，可以支持Linux和Sun Solaris系统，不支持IAS或SNMP陷阱。
除了监视安全相关的事件，EventTracker可以报告应用程序的启动和终止（有助于授权跟踪）、内存使用、磁盘空间、CPU利用率和服务的状态。对于关键事件，EventTracker采用电子邮件、寻呼和自定义的命令行脚本实时通知系统管理员和操作人员。EventTracker和Prism的EventTracker知识库紧密集成，可以查询各种设备和事件源产生事件的相关信息。EventTracker还支持网站和网络监视的插件，通过查找异常的或是意外的流量形式判定非认证的入侵。异常的流量形式包括黑客进行端口扫描、浏览不安全的网络共享或登录本地帐号相关的网络流量。EventTracker依靠一个可信任的配置文件——换句话说，即被允许的或合法的流量说明——识别潜在的攻击。EventTracker通过标准的报表模板提供了丰富的报表功能，并支持自定义的报表。EventTracker的一个强大功能是能集中保存加密的和标记的海量事件。关于产品报价信息请直接联系Prism Microsystems公司。

LogCaster for Security Auditing & Systems Management
RippleTech公司的LogCaster for Security Auditing & Systems Management（http://www.rippletech.com/products/logcaster.htm）采用代理架构，由代理收集重要的系统信息，经过过滤，传送到LogCaster Server，保存在SQL Server 2005、SQL Server 2000或是MSDE数据库中。LogCaster Server还可以收集系统日志事件，LogCaster代理收集Windows事件日志，基于预先定义的事件规则过滤掉不感兴趣的事件。代理程序可以处理文本文件，包括制表符分割和逗号分割数据（CSV）文件，使用与过滤事件日志类似的规则进行过滤。处理文本文件的功能可以用于设置LogCaster监视IIS、IAS和其它日志文件。
通过LogCaster管理控制台可以设置部署在被监视系统上的LogCaster代理，实时查看过滤的事件。一个不错的功能是LogCaster Server能将代理程序部署到远程系统上。LogCaster代理报告的内容包括服务和应用程序的运行状态变化以及系统性能变化，通过内置模板可以迅速设置监视规则。LogCaster采用电子邮件、寻呼、短信、广播消息和其它方式通知管理员。该工具提供了强大的报表功能，通过向导可以快速创建自定义报表模板。相比其它产品，该工具的一个优点是提供了关于自身活动的丰富日志，可以检查LogCaster是否工作正常并诊断产品问题。相关产品报价信息请直接联系RippleTech公司。

其它可选产品
本文介绍的工具在采购前都可以下载试用版本。当然，还有许多其它可选择的方案，例如，你可以考虑Microsoft Operations Manager（MOM） 2005或即将推出的Microsoft System Center Operations Manager 2007，其中有一个新的工具叫做“审计收集服务”（Audit Collection Services，ACS）。我将在以后的文章中介绍Ops Manager 2007和ACS，Secure Vantage Technologies（http://www.securevantage.com）提供了MOM 2005和Ops Manager 2007的ACS管理工具包和报表解决方案。