UserGate SIEM журналирует данные о событиях Unix-систем и других сетевых устройств, использующих стандарт syslog, с помощью модуля log-collector. Эти данные содержат сведения о работе системы, ее состоянии, наличии ошибок, сбоях в работе, а также о событиях безопасности.

Модуль log-collector выполняет предварительную обработку и фильтрацию собранных данных, что позволяет UserGate SIEM использовать только необходимую информацию для обработки и последующего анализа. В веб-консоли UserGate SIEM вы можете настраивать параметры модуля log-collector, используемого в качестве syslog-сервера для сетевых устройств, а именно выбирать транспортный протокол (TCP или UDP) и порт подключения, а также настраивать TLS-шифрование для протокола TCP. Кроме того, вы можете настраивать правила syslog для фильтрации данных о событиях по нужным параметрам (например, по уровню важности событий).

В ходе обработки данных, полученных от модуля log-collector, UserGate SIEM записывает их в единое хранилище. Поддерживаются такие стандарты журналирования событий, как RFC 3164 и RFC 5424. Для стандарта RFC 5424 расширенные данные записываются в поле data хранилища. Вы можете просматривать все записи о событиях стандарта syslog в веб-консоли UserGate SIEM в разделе Журналы и отчеты ➜ Журналы ➜ Syslog (см. раздел «Журнал syslog»).