Logsign SIEM ürününüze WMI olarak eklenen bir cihazın loglarını web arayüzü ve CLI üzerinden iki farklı şekilde kontrol edebilirsiniz.
Web arayüzünden kontrol etmek için Settings > Device Management > Device List den kaynak listesini açıyoruz. Kontrol etmek istegimiz loglar için kaynağın sağındaki büyüteç simgesini tıklıyoruz.
CLI kullanarak kontrol etmek için öncelikle Logsign SIEM e ssh ile bağlanmamız gerekiyor.
Kaynak loglarını ham loglar içinde veya normalizasyonu tamamlanan loglar içerisinde aşağıdaki komutları kullanarak görebiliriz.
Ham loglar /opt/var/log klasöründe collected.raw.customer ismi ile baslayan gz uzantili dosyaya yazılmaktadır.
zcat collected.raw.customer@1238@0.0.0.0.2019-11-13.gz komutu ile ham loglari goruntuleyebilirsiniz. Ornek komuttaki tarih bilgisini degistirmeniz gerekecektir. Sadece belli bir kaynaktan alinan loglari goruntulemek icin asagidaki ornekteki gibi bir filtre kullanabilirsiniz.
Ayni ornek icin, asagida normalizasyonu tamamlanan loglari gorebilirsiniz.
