Pulpit zarządzania

Każdy produkt ma pulpit konsoli zarządzania, który wyświetla istotne statystyki - czasu rzeczywistego i krótkoterminowe - o samym systemie zarządzania logiem, jak ia także o monitorowanych zdarzeniach. Większość pulpitów pokazuje: liczniki wiadomości o zdarzeniach, wydajności lokalnej CPU oraz powiadomienia o zdarzeniach krytycznych.

Niemal wszystkie umożliwiają dostosowywanie pulpitu i pozwalają na konfigurowanie tego, co jest pokazywane użytkownikowi lub w poszczególnych rolach. Większość rozwiązań pozwala administratorowi (który ma pełne uprawnienia) na ustawianie bardziej ograniczonych ról. Są to przeważnie role typy read-only, gdzie żadne z ustawień konfiguracyjnych nie może być modyfikowane, ale użytkownicy mogą uruchamiać raporty i oglądać predefiniowane wykresy i pomiary. Większość rozwiązań dopuszcza też zdefiniowanie jedynie kilku ról i pozwalaumożliwia administratorowi na zdefiniowanieokreślenie, które z widoków są udostępniane w poszczególnych rolach. Część pozwala na definiowanie szerszych ról, gdzie można dla każdej z nich określaustalać każdy atrybut i pole na ekranie.

Gromadzenie logów

Zbieranie informacji z logów monitorowanych klientów to jedno z kluczowych zadań narzędzi do zarządzania logami. Większość z nich wykorzystuje dwie metody zbierania informacji: bez agenta i z agentem. Brak agenta oznacza, że administrator nie musi rozprowadzać, instalować i konfigurować dodatkowego oprogramowania na każdym kliencie. Aczkolwiek bezagentowe zbieranie logów także wymaga planowania i pewnej pracy. Większość narzędzi zbiera logi, używając mechanizmów ekspediowania syslog, kwerend WMI (Windows Management Instrumentation) lub innych zdalnych metod. Wszystkie wymagają niezbędnych modyfikacji reguł, jeżeli w grę wchodzi zapora ogniowa.

Agenty na kliencie mają zalety, które trudno znaleźć przy bezagentowym zbieraniu informacji. Większość z nichagentów ma dużo opcji konfiguracyjnych, które pozwalają uzyskać bardziej precyzyjną kontrolę nad tym, o których zdarzeniach i jak są zbierane dane. Agent może wybierać na przykład tylko krytyczne zdarzenia, a resztę przechowywać lokalnie do późniejszego przeglądania. Może też oferować skompresowaną transmisję, pozwalającaą na upakowanie większej liczby zdarzeń oraz przesyłanie ich w krótszym czasie i przy mniejszej zajętości pasma sieci. Agent może także a również możliwość przechowywaćnia zdarzenia w sytuacji, gdy scentralizowane zarządzanie jest offline.

W rozbudowanych agentach może być dostępny pomiar użytkowania sieci i CPU, oraz mechanizm regulowaniea szybkości przesyłania komunikatów w razie powstawania zatorów.

Pamięć logów

Przechowywanie dziesiątków milionów, a nawet miliardów komunikatów zajmuje sporo powierzchni dyskowej. Większość urządzeń jest wyposażona w dyski RAID o terabajtowych pojemnościach. Oba typy produktów - programowe i sprzętowe - zapewniają pewien rodzaj kompresji, ale jej wydajność bywa różna.

Każdy z produktów pozwala na eksportowanie lub archiwizowanie danych. Dane eksportowane eksportowane są zazwyczaj trzymane przechowywane offline i do przeszukiwania muszą być importowane w całości. Niektóre rozwiązania są bardziej elastyczne i pozwalają na definiowanie filtrów przy imporcie, co ogranicza wolumen sprowadzanych danych.

Większość produktów przechowuje aktywne dane w postaci pierwotnej, ale archiwizowane lub eksportowane dane też pozostają w tej postaci, a to oznacza, że import danych wiąże się z ich analizą składniową i koniecznością ponownego indeksowania. Jednak dane w postaci pierwotnej są często wymagane przez różne regulacje prawne.