Interesujący jest moduł Service Watcher pozwalający na monitorowanie usług systemowych na poszczególnych komputerach. W przypadku zmiany stanu usługi (start/stop) w dzienniku tworzone jest odpowiednie zdarzenie i wysyłane do serwera. Oprócz standardowego powiadomienia, w konfiguracji monitorowania usług można włączyć ponowne uruchomienie usługi w przypadku zmiany przez nią stanu, wykonanie zewnętrznej aplikacji (np. usunięcie pliku tymczasowego, na którym dana usługa pracuje) czy też ponowne uruchomienie monitorowanego systemu.

Oczywiście zdarzają się sytuacje, w których usługa systemowa pracuje, natomiast nie ma do niej dostępu. W wykrywaniu takich problemów może pomóc moduł TCP/IP Watcher, którego zadaniem jest sprawdzanie dostępności usług sieciowych. Konfiguracja modułu polega na wybraniu usługi, zdefiniowaniu czasu sprawdzania oraz określeniu warunków, w jakich ostrzeżenie może być wygenerowane.

Moduł Performance Monitor jest funkcjonalnym odpowiednikiem wbudowanego w system Windows NT/2000/XP oprogramowania Performance Monitor. Jedną z istotniejszych różnic jest możliwość ustalenia przedziału czasu występowania zdarzenia dla skonfigurowanego progu, co uchroni przed zbyt częstym pojawianiem się alarmów.

Z modułem Performance Monitor jest powiązany Historical Performance Reporting, pozwalający na zapisywanie stanów poszczególnych elementów systemu w ciągu zadanych przedziałów czasowych oraz analizę tych danych i wizualizację za pomocą wykresów. Syslog Watcher jest narzędziem umożliwiającym zbieranie zdarzeń, np. z urządzeń aktywnych, natomiast Text File Watcher pozwala monitorować zmiany zachodzące w plikach tekstowych, np. z programu backupowego. LogCaster został też wyposażony w moduł raportowania, choć ustępuje on funkcjonalnie dwóm pozostałym narzędziom.

LogCaster, mimo ubogiego graficznie interfejsu, posiada rozbudowane możliwości konfiguracji filtrów i raporty z założenia tworzone tylko dla profesjonalistów.

S.E.L.M. (GFI)

GFI, wykorzystując usługę działającą na centralnym serwerze, podłącza się do zdalnego komputera i "zasysa" dane o zdarzeniach do centralnej bazy.

Security Event Log Monitor jest kolejnym programem, który można bez obaw polecić jako narzędzie do analizy zdarzeń systemowych i zdarzeń aplikacji w systemach Windows NT/2000/XP (i żadnych innych). Zasada działania programu jest inna niż w przypadku LogCastera. Wykorzystując wysoko wydajną usługę działającą na centralnym serwerze, oprogramowanie podłącza się do zdalnego kmputera i "zasysa" dane o zdarzeniach do centralnej bazy.

Proces gromadzenia i analizy danych może odbywać się w czasie rzeczywistym, co jest przydatne z punktu widzenia aktualności informacji, jednak w wielu sytuacjach, zwłaszcza w sieciach WAN, mogą występować problemy z przepustowością pasma. Dane mogą też być gromadzone w określonych przedziałach czasowych, co nie obciąża sieci na stałe, lecz nie pozwala także na otrzymywanie informacji o bieżących zagrożeniach. Dla każdego serwera można opcje skonfigurować oddzielnie.

Zmniejszanie ilości zbieranych danych z dzienników przez wyłączenie poszczególnych opcji audytu nie jest dobrym rozwiązaniem. Ciekawą funkcją S.E.L.M. jest opcja czyszczenia dzienników po skopiowaniu ich na serwer z działającym oprogramowaniem S.E.L.M. Alternatywnie można skonfigurować program w taki sposób, aby przechowywał listę zdarzeń, np. tylko z ostatnich 24 godzin.

Do innych zalet S.E.L.M. należą: kategoryzowanie zdarzeń oraz monitorowanych komputerów, duża liczba gotowych szablonów raportów oraz łatwość i wygoda tworzenia nowych wzorców kategorii zdarzeń. Użyteczną opcją programu jest możliwość zdefiniowania przedziałów czasowych, w których będą sprawdzane logi poszczególnych komputerów. Stacje robocze mogą mieć priorytet niski bądź odpowiednio wyższy. Podczas konfiguracji również można wybrać, który z dzienników na wybranym komputerze ma być monitorowany i który z nich ma być archiwizowany na serwerze. Trochę inaczej niż w przypadku LogCastera, twórcy GFI rozwiązali problem powiadamiania o zdarzeniach za pomocą poczty.

Częstotliwość "odpytywania" komputerów o zdarzenia może być regulowana elastycznym systemem priorytetów nadawanych komputerom w zależności od tego, jaki poziom bezpieczeństwa jest dla nich przewidziany. Serwery będące kontrolerami domeny bądź serwerami bazodanowymi mogą mieć priorytet wysoki, natomiast serwerom wydruku priorytet ten można obniżyć. Moduł powiadamiania umożliwia również określenie zdarzeń, które mają być ignorowane w przypadku wygenerowania ich przez konkretne osoby. Przykładem może być zakładanie konta przez użytkownika mającego ku temu uprawnienia.

Opcja Event Analysis systemu S.E.L.M. pozwala na przeprowadzanie analiz pod kątem określonych zdarzeń, np. uruchamianie pewnych plików lub programów. Monitorowaniu można poddać np. plik cmd.exe, za pomocą którego w systemach Windows często wykonywane są różnego rodzaju próby naruszenia bezpieczeństwa.

S.E.L.M. został skonstruowany w taki sposób, aby mógł pomijać zdarzenia pozornie ważne, lecz w gruncie rzeczy nie mające znaczenia, np. fakt logowania się usługi systemowej do usługi systemowej innego systemu (nazwa użytkownika ze znakiem $). Program umożliwia również ignorowanie wszelkiego rodzaju zdarzeń generowanych przez program, a także zdarzeń, w których pole User name lub Domain jest puste.

Dzięki kategoryzacji zebranych zdarzeń S.E.L.M. pozwala łatwo dotrzeć do informacji zdefiniowanych jako ważne i istotne dla prawidłowego działania systemu. Również zdarzenia oznaczone niższym stopniem ważności są odpowiednio pogrupowane. Dużą zaletą narzędzia jest możliwość tworzenia różnego rodzaju filtrów wybierających spośród wpisów te niezbędne w danej chwili. Do gotowych kategorii można także dodawać własne.