NXLog 商業版本服務

功能項目

NXLog CE

NXLog EE

功能特色

AIX Audit Format  (xm_aixaudit)

✓

與 im_file 模組整合，用以收集與解析 AIX 系統的稽核事件。

Apple System Log (xm_asl)

✓

可以讀取 Apple 系統的 ASL 記錄格式。

Solaris OS Basic Security Module (BSM) Auditing API (im_bsm, xm_bsm)

✓

可經由檔案 (xm_bsm) 或直接從核心 (im_bsm) 讀取與處理 BSM 稽核事件。

ArcSight Common Event Format (xm_cef)

✓

可以產生與讀取 ArcSight CEF 格式事件。

CSV (xm_csv)

✓

✓

產生或解析分隔符號的記錄格式，此為 xm_csv 模組的基本功能。

Graylog Extended Log Format

(xm_gelf)

✓

✓

接收 GELF 格式資料，也可在轉發出去時將資料轉換為 GELF 格式。

JSON (xm_json)

✓

✓

將原始事件轉換為 JSON 格式，以及由 JSON 記錄中解析事件。

Key-Value Pairs (xm_kvp)

✓

✓

將格式簡化為鍵值對 (KVPs) 資料的快速方法。

Log Event Extended Format (

xm_leef)

✓

產生與讀取 IBM Security QRadar 產品所用的 Event Extended Format (LEEF) 格式。

DNS Server Logs (xm_msdns)

✓

✓

讀取 Windows DNS 伺服器記錄並解析事件中常用的 20 多種欄位。

Multiline Log Messages

(xm_multiline)

✓

✓

處理多行事件的完整解決方案。支援標題列、結尾列以及固定行數的任何組合。

NetFlow Payload (xm_netflow)

✓

與 im_udp 模組整合，可以容易的解析 Netflow 協定 v1、v5、v7、v9 以及 IPFIX 版本。

Radius NPS (xm_nps)

✓

允許解析在 NPS 資料庫格式中的資料，例如微軟 IAS 與 NPS 格式。

SNMP Trap Messages (xm_snmp)

✓

支援讀取 SNMP v1、v2c、v3 Trap 訊息。

Syslog (xm_syslog)

✓

✓

支援讀取與寫入所有 Syslog 類型格式，包括 BSD、IETF 以及 Snare。

W3C Extended Log File Format

(xm_w3c)

✓

支援解析 W3C Extend 記錄檔案格式、Zeek 格式以及微軟 Exchange 郵件追蹤記錄。

Binary WTMP Files (xm_wtmp)

✓

搭配 im_file 使用，可處理二進位 wtmp 事件檔案。

XML (xm_xml)

✓

✓

可以解析與寫入 XML 格式資料。

Parsing With Grok Patterns

(xm_grok)

✓

Parsing With the Pattern Database

(xm_pattern)

Go (im_go, om_go, xm_go)

✓

可以使用 GO 或 Golang 開發記錄處理模組。

Java (im_java, om_java, xm_java)

✓

可容易的開發與 NXLog 架構整合的 Java 應用程式。

Perl (im_perl, om_perl, xm_perl)

✓

✓

Perl 具備原生的正規表示式功能，可以快速開發簡潔的指令稿，用於高效能、複雜的記錄解析。

Python (im_python, om_python,

xm_python)

✓

可以使用 Python 指令稿自訂記錄的讀取、處理與輸出方式。

Ruby (im_ruby, om_ruby, xm_ruby)

Ruby 具有結構化資料格式 (例如 XML 與 JSON) 的原生支援，可用來開發自訂記錄處理的應用程式。

Converting via Character Sets

(xm_charconv)

✓

記錄資料可以在解析前先進行字元集 (Code Page) 轉換。

Blacklisting and Whitelisting of Log Entries (xm_filelist)

✓

依據每個檔案的內容，可以用來設定允許與拒絕清單。

File Operations (xm_fileop)

✓

提供簡便的方式，為指定的記錄檔案實現記錄輪替與保留策略。

Manipulating Fields (xm_rewrite)

✓

Encryption and Decryption of Logs (xm_crypto)

✓

啟用記錄資料的 AES 對稱式加解密，以確保在網路傳輸時的內容安全。

Compression and Decompression of Logs (xm_zlib)

✓

經由 gzip 或 zlib 的壓縮，可以大幅降低頻寬使用率。

Resolving IP addresses to Hostnames (xm_resolver)

✓

當記錄資料需要有較高可讀性時，使用主機名稱會比 IP 位址來的更好。

Secure Remote Administration

(xm_admin)

✓

經由 HTTP/HTTPS 產生 JSON 或 SOAP 格式資料，以供 NXLog 或各種監測系統進行安全的遠端管理。

Execution of External Scripts

(im_exec, om_exec, xm_exec)

✓

支援在觸發時執行外部應用程式或指令稿。

Changes in Files and Directories

(im_fim)

✓

監測特定檔案與目錄的異動，進行完整性監測。

Passive Monitoring of Network

Traffic (im_pcap)

✓

讓 NXLog 以被動模式監測與記錄各種通訊協定的網路流量。

Windows Registry Monitoring

(im_regmon)

✓

提供 Windows 登錄檔的監測，當發生異動時產生事件記錄。

Accounting Logs From a Linux or

BSD Kernel (im_acct)

✓

可收集與處理來自 Linux 或 BSD 核心的記錄。

AIX Audit (im_aixaudit)

✓

搭配 xm_aixaudit 模組，可以由核心直接讀取與解析 AIX 稽核記錄。

Microsoft Azure Application Logs

(im_azure)

✓

解析由 TLS 與 SSL 協定收取的微軟 Azure 應用程式記錄。

Check Point Device Logs

(im_checkpoint)

✓

使用 OPSEC LEA 協定由 Check Point 遠端裝置收取記錄。

Database Logs via the libdbi library (im_dbi, om_dbi)

✓

✓

採用 libdbi 資料庫抽象函式庫擷取及儲存至外部資料庫的簡便方式。

Kernel Application Logs Using Event Tracing for Windows (im_etw)

✓

使用 Windows 事件追蹤 (ETW) 進行高效能的記錄收集。

Internal NXLog Logs (im_internal)

✓

讀取 NXLog 內部記錄。

Elasticsearch Server

(om_elasticsearch)

✓

轉送記錄到 Elasticsearch 伺服器。

Kafka Server Logs (im_kafka,

om_kafka)

✓

從 Kafka Topic 收集事件記錄以及將記錄轉發至 Kafka Topic。

Logs From the Kernel Log Buffer

(im_kernel)

✓

✓

從 Unix-like 作業系統的核心記錄緩衝區收集事件。

Windows Event Log (im_mseventlog, im_msvistalog)

✓

✓

採用原生 API 收集 Windows 事件記錄訊息。

Windows Event Collector

(im_wseventing)

✓

使用 Windows 事件轉寄架構，以從 Windows 事件記錄中收集事件資訊。

Kernel Logs via Audit Rules

(im_linuxaudit)

✓

使用自訂規則直接由核心擷取記錄，不需要安裝額外的稽核服務或使用者空間應用軟體。

Writing Logs to MySQL (om_eventdb)

✓

採用特定的結構描述 (Schema) 將記錄寫入 MySQL 資料庫，並可利用 Unix domain socket 提高輸送量。

Database Table Logs via ODBC

(im_odbc, om_odbc)

✓

使用 ODBC 將記錄儲存於 ODBC 支援的資料庫。

Forwarding Logs to Raijin Server

(om_raijin)

✓

批次傳送 JSON 記錄至 Raijin 伺服器，以便於進一步的分析與歸檔。

Redis Server Log Tranfers (im_redis, om_redis)

✓

可檢索儲存於 Redis 伺服器中的資料，並將記錄資料回寫至 Redis 伺服器。

Systemd Journal Logs (im_systemd)

✓

讀取、解析與處理 systemd 的記錄事件。

Windows Performance Counters

(im_winperfcount)

支援對各種 Windows 效能計數器輪詢並建立事件記錄。

Batched Compression

(im_batchcompress,

om_batchcompress)

✓

批次傳送與接收記錄訊息，並經過壓縮與加密傳送或接收至遠端 NXLog 代理程式。

Files (im_file, om_file)

✓

✓

從檔案中讀取記錄訊息，並經處理後的資料寫入檔案的作法。

WebHDFS (om_webhdfs)

✓

支援 WebHDFS 協定，可將記錄儲存於 Hadoop HDFS 檔案系統。

HTTP (im_http, om_http)

✓

經由 HTTP 協定進行記錄訊息傳遞，包括傳入與接收。

Named Pipes (im_pipe, om_pipe)

✓

此功能可利用 Unix-like 作業系統的具名管道傳送與接收記錄訊息。

TLS/SSL (im_ssl, om_ssl)

✓

✓

提供 TLS/SSL 加密安全管道轉發及檢索記錄。

TCP (im_tcp, om_tcp)

✓

✓

啟用 TCP 連接埠接收事件資料，以及經由 TCP 協定將事件資料傳送至遠端主機。

UDP (im_udp, om_udp)

✓

✓

使用 UDP 協定做為傳送或接收記錄資料的管道。

UDP With Spoofing (om_udpspoof)

✓

Unix Domain Sockets (im_uds,  om_uds)

✓

✓

經由 Unix domain socket 傳送或接收記錄資料。

ZeroMQ (im_zmq, om_zmq)

✓

支援以 ZeroMQ (可擴充的高輸送能力訊息傳遞函式庫) 進行訊息傳遞。

Collecting Mark (im_mark)

✓

用在定期特定動作，以確保在沒有接收到其它來源的記錄訊息時，記錄接收功能仍可以正常運作。

Testing NXLog Configuration (im_null, om_null)

✓

✓

提供測試方式並允許建立虛擬路由 (Dummy route)。

Generating Test Events (im_testgen)

以簡單的事件進行讀取與處理測試，確保系統能夠正常運作。

Simulation of Output Messages Blocking (om_blocker)

✓

✓

Buffering of Log Messages (pm_buffer)

✓

✓

利用設置記錄訊息緩衝區的方式，避免資料記錄的遺失。

Event Correlation (pm_evcorr)

✓

除了 NXLog 本身的功能之外，還提供與事件處理的相關功能，例如變數與使用狀況統計等。

✓

採用 ASLR 建置的執行檔，具有更高的記憶體洩漏保護力。 (只針對 Windows)

導入建置服務

技術支援服務 (以年度計)

$