WinCollect 10-Übersicht

WinCollect ist eine Syslog-Ereignisweiterleitung, mit der Administratoren Ereignisse aus Windows-Protokollen an IBM® QRadar®weiterleiten können. WinCollect kann Ereignisse von Systemen lokal erfassen oder so konfiguriert werden, dass andere Windows-Systeme über Fernzugriff nach Ereignissen abgefragt werden.

WinCollect verwendet die API des Windows-Ereignisprotokolls, um Ereignisse zusammenzustellen. Anschließend sendet WinCollect die Ereignisse an QRadar.

In einer eigenständigen Implementierung wird die WinCollect -Software auf einem Windows-Host installiert, der nicht über QRadar verwaltet wird, um die Protokollquellen zu steuern. Es gibt keine Leistungsunterschiede zwischen einem verwalteten und einem eigenständigen Agenten. Der Agent kann Ereignisse von sich selbst (lokal) erfassen und/oder eine Verbindung zu einem fernen Windows-Endpunkt herstellen, um Ereignisse (fern) zu erfassen. Der Agent sendet dann sowohl lokale als auch ferne Ereignisse an Ihre QRadar -Implementierung.

Sie können auch eigenständige WinCollect implementieren, um Ereignisdaten auf einem Windows-Host zu konsolidieren, wobei WinCollect Ereignisse erfasst, die an QRadargesendet werden.

Der eigenständige Modus WinCollect verfügt über folgende Funktionen:

• Konfigurieren Sie jeden WinCollect -Agenten mithilfe der WinCollect 10 -Konsole.
• Aktualisieren Sie die WinCollect -Software mit dem Software Update Installer.
• Ereignisspeicher, um sicherzustellen, dass keine Ereignisse gelöscht werden.
• Erfasst weitergeleitete Ereignisse von Microsoft-Subskriptionen.
• Filtert Ereignisse mithilfe von XPath-Abfragen oder Ausschlussfiltern.
• Unterstützt Installationen virtueller Maschinen.
• Senden Sie Ereignisse über TLS Syslog an QRadar .
• Erstellt bei der Agenteninstallation automatisch eine lokale Quelle.
• Konfigurieren Sie den WinCollect 10-Agenten für die Kommunikation über IPv6.