Erfassungstechnologie

Die Erfassungstechnologie von LogRhythm unterstützt die Aggregation von Protokolldaten, Sicherheitsereignissen und sonstigen Maschinendaten. Data Collectors können lokal oder remote arbeiten und werden zentral überwacht und verwaltet, um die Bereitstellung und Verwaltung zu vereinfachen. Die Skalierbarkeit bei der Bereitstellung wird darüber hinaus noch durch den Anwendungs-Lastausgleich zwischen den Datenprozessoren verbessert.

Datenblatt zur Erfassungstechnologie

Daten werden von Datensammlern über eine authentifizierte und verschlüsselte TLS-Kommunikation übertragen, die komprimiert werden kann, um die Breitbandnutzung zu minimieren. Datensammler können für unidirektionale Netzwerk-Kommunikationspfade konfiguriert werden, so dass klassifizierte Umgebungen und Ziele zur Einhaltung gesetzlicher Richtlinien unterstützt werden.

Datensammler stellen die Integrität der Daten bei einem Netzwerkausfall sicher, indem volatiler UDP-Datenverkehr auf intelligente Weise gespoolt und der Status nicht-volatiler Daten verfolgt wird. Die Widerstandsfähigkeit wird darüber hinaus noch durch das automatische Failover zwischen den Datenprozessoren gestärkt.

Data Collector-Gerät: Bietet eine hoch leistungsfähige Remote-Sammlung aller Maschinendaten, einschließlich Protokollmeldungen, Anwendungsdaten, Sicherheitsereignisse und Netzwerkflüssen. Eine einzelnes Collector-Gerät kann bis zu 10.000 Meldungen pro Sekunde von tausenden Geräten sammeln und übermitteln.

Datensammlungs-Software: Die lokale, agentenbasierte Sammlung wird von SysMon ausgeführt, einer Software, die auch als Endpunktüberwachung fungiert. SysMon kann auf Servern und virtuellen Maschinen unter Windows, Linux oder UNIX installiert werden. System Monitor konsolidiert und sammelt Protokoll- und Maschinendaten aus Remote-Umgebungen und der Cloud-Infrastruktur. Ein einzelner Agent, der als Datensammler agiert, kann tausende von Meldungen pro Sekunde von dutzenden von Geräten sammeln.

Universelle Erfassung

Datenerfasser sind mit zahlreichen Geräten und Formaten kompatibel, einschließlich benutzerdefinierten Protokollquellen, und unterstützen die folgenden Methoden:

  • UDP/TCP und sicheres Syslog
  • SNMP
  • Flussdaten (z. B. IPFIX, NetFlow, sFlow, J-Flow, SmartFlow)
  • LogRhythm Universal Database Log Adapter für System- und benutzerdefinierte Protokolle, die in Datenbanktabellen geschrieben werden (z. B. Oracle, SQL Server, MySQL) (ODBC- und JDBC-Protokolle)
  • Windows-Ereignisprotokolle (einschließlich benutzerdefinierte Ereignisprotokolle)
  • Flache Dateien (einzeilig und mehrzeilig, komprimiert oder unkomprimiert)
  • Herstellerspezifische APIs (Beispielquellen):
    • AS/400 und iSeries
    • Checkpoint OPSEC/LEA
    • Cisco SDEE
    • Sourcefire eStreamer
  • Vulnerability Scanner (Beispielquellen):
    • Qualys
    • Rapid7-
    • Tenable Security Center
  • Cloud-/SaaS-Lösungen (Beispielquellen):
    • Amazon AWS
    • Box
    • Cradlepoint
    • Office 365
    • Salesforce