Sawmill Analytics 8.6 – Loganalyse von Servern und Firewalls

Transcription

Sawmill Analytics 8.6 – Loganalyse von Servern und Firewalls
Sawmill Analytics 8.6
– Loganalyse von Servern und Firewalls
1. Einleitung
Sawmill Analytics ist ein umfassendes Analyse-Werkzeug für die Zugriffs- und Datenanalyse von
Server-Logs aller Art (z.B. Proxy, Mail, Firewall, Media-Server etc.).
Die Analyse der Daten, die Server und Firewalls erzeugen, dient der Sicherheit, der Gewährleistung
der Netzperformance und - im Fall der Webserver-Logs - der Erfolgs- und Schwachstellenanalyse der
Internetpräsenz.
Die Reports werden dynamisch erstellt und erlauben dadurch beliebige Teilbereiche gesondert zu
analysieren. Die Reports lassen sich weitreichend an eigene Bedürfnisse anpassen (direkt über das
Webinterface oder über eine Skriptsprache - zudem bieten wir die Anpassung als Dienstleistung an).
Sawmill Analytics läuft auf fast allen Plattformen und erkennt über 900 verschiedene Logformate.
Inhalt
1.
Einleitung ......................................................................................................................................... 1
2.
Einsatzbereiche ............................................................................................................................... 2
3.
Vorteile ............................................................................................................................................ 2
4.
Besonderheiten von Sawmill bei der Analyse von Webseiten ........................................................ 3
5.
Versionen und Preise....................................................................................................................... 3
6.
Versionen: Lite, Professional, Enterprise ........................................................................................ 4
7.
Vergleich der Sawmill-Versionen .................................................................................................... 6
8.
Installation ....................................................................................................................................... 7
9.
Unterstützte Plattformen .............................................................................................................. 30
10.
Unterstützte Logformate........................................................................................................... 30
11.
Kontakt, Vertrieb & Support ..................................................................................................... 44
Copyright: HAAGE&PARTNER Computer GmbH
Autor: Markus Nerding
Stand: 07.05.2013
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
1 / 44
2. Einsatzbereiche

Zugriffs- und Datenanalyse von Server-Logs (Proxy, Mail, Firewall)

Überwachung der Netzwerksicherheit und Performance

Erfolgs- und Schwachstellenanalyse von Webpräsenzen
3. Vorteile

Dynamische Reports mit beliebiger Detailtiefe

Flexible Log- und Reportfilter

Besuchertracking bis auf Stadt-Level mittels GeoIP

Mächtige Scriptsprache für weitreichende Anpassungen

Passwortgestütze Benutzerverwaltung

Reports per Mail versenden

Erkennung von über 900 Logformate

Lauffähig auf fast allen Plattformen (Windows, MacOS, Linux uvm.)

Betriebssystemunabhängige Lizenz

Einfache Bedienung über Webinterface

Aufgabenplaner zu Automatisierung von Vorgängen

CVS-Export (für Bearbeitung in Excel)

Anpassbar an Ihre Intranet oder Website-CI (nur Enterprise-Version)

Sehr kostengünstig

Mehrfach von der Fachpresse ausgezeichnet
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
2 / 44
4. Besonderheiten von Sawmill bei der Analyse von Webseiten
Sawmill erzeugt keine statischen Reports, wie bei vielen andere Analysetools, sondern dynamische
Reports, bei denen Sie immer auf Teilbereiche zugreifen können, beispielsweise auf alle Zugriffe auf
ein Unterverzeichnis in der letzten Woche.
Ein weiterer Schwerpunkt ist die Analyse der Wege der Benutzer durch die Webpräsenz. Neben der
Einstiegs- und Ausstiegsseite wird auch der genaue Weg der Benutzer sichtbar. Interessant ist dabei
auch die Ansicht der Verweildauer der Besucher auf einer bestimmten Webseite.

dynamische Erzeugung der Reports aus der internen Datenbank

Angabe der Einstiegs- und Ausstiegsseiten

Angabe der Wurm-Angriffe

verschiedene Session-Statistiken

Verweildauer der Besucher auf einer Seite

Pfad der Besucher durch die Webpräsenz

Verarbeitung beliebig vieler Log-Dateien von beliebig vielen Servern
5. Versionen und Preise
Die Preise für die Professional-Version beginnen bei 200 EUR (für 1 Profil), die Enterprise-Version bei
660 EUR (für 1 Profil), die LITE-Version bei 99 EUR (für 1 Profil).
Weitere Informationen erhalten Sie auf unserer Webseite:
www.sawmill-analytics.de
oder
www.haage-partner.de/sawmill/
Wir erstellen Ihnen auch gerne ein individuelles Angebot: sawmill@haage-partner.de
Die genannten Preise sind inkl. Mehrwertsteuer.
Alle Angaben ohne Gewähr. Irrtümer und Änderungen vorbehalten.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
3 / 44
6. Versionen: Lite, Professional, Enterprise
Sawmill Professional. . . universelle Log-Auswertung
Die Version 8 von Sawmill Professional bietet neue Funktionen wie Besucheridentifikation (nach
Region und Stadt über GeoIP), eine neue Scriptsprache, ein neues Filtersystem, Verbesserungen der
Leistung und der Benutzeroberfläche.

Neues Benutzerinterface - Komplett überarbeitetes Benutzerinterface mit einem modernen
Aussehen und klarer Bedienung.

Neue Scriptsprache - Die neue, mächtige Scriptsprache ermöglicht den schnellen und
einfachen Entwurf von Filtern.

Zoomfilters - Eine neue Filtermethode, um dynamisch in die Reports zu blicken.

Verfolgen von nummerischen Feldern, inkl. Dauer und Bandbreite - Version 7 kann die
Dauer eines Ereignisses ermitteln, einschließlich der Serverantwortzeit und der Bandbreite
für Senden und Empfangen.

Installation als Windows-Dienst - Zusätzlich zum CGI- und Webserver-Modus, kann Sawmill
7 auch als Standard-Windows-Dienst installiert werden.

Haupttabelle - Version 8 kombiniert alle Datenbankfelder und Logeinträge in einer Tabelle,
so dass praktisch jeder Abfrage möglich ist.

Viele Leistungsverbesserungen - Durch neue Designtechniken und die konsequente Nutzung
von C++ konnte eine signifikante Steigerung der Leistung erreicht werden.

Profil-Lizensierung - Die Lizensierung erfolgt nach Profilen, weitere Profile können erworben
und direkt aktiviert werden.

Unterstützung von mehreren Log-Quellen - Lokal, Netzwerk, FTP und HTTP.

Beliebige Boolesche Filter - Filterung mit Booleschen-Ausdrücken in jeder Kombination von
Feldern mit jedem Booleschen Operator.

Passwortgestütze Benutzerverwaltung

Erstellung von HTML-Seiten - Export von statischen HTML-Dateien.

GeoIP-Länder- und Städte-Datenbank - Identifiziert die Besucher nach Land und Stadt.

Entfernen von Daten aus der Datenbank - Erlaubt das Entfernen von Daten aus der
Datenbank.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
4 / 44
Sawmill Enterprise. . . skalierbare Verarbeitung von Logdateien
Die Enterprise-Version ist für die Verarbeitung von sehr großen Logdateien und den Einsatz einer
SQL-Datenbank ausgelegt.
Sawmill Enterprise bietet zusätzlich zu den Funktionen von Sawmill Professional folgendes:

SQL-Support - Unterstützung von MySQL, Oracle und MS SQL; externe Abfrage und
Weiterverarbeitung der Daten möglich.

Datenbank-Cluster - Aufbau von Datenbank-Clustern möglich.

Zusammenführen von Datenbanken - Kombinieren der Daten mehrerer Datenbanken.

Multiprozessor-Support

Anpassen der Benutzeroberfläche - Die Benutzeroberfläche von Sawmill kann über
Templates komplett an eine andere CI angepasst werden.
Sawmill Lite. . . die Lösung für Einsteiger
Sawmill Lite bietet alles, was man für eine schnelle und umfassende Analyse von Logdateien braucht.
Die Funktionen entsprechen weitgehend mit denen der Pro-Version, lediglich Funktionen zur
fortgeschrittenen Filterung und Anpassung sind nicht enthalten. So kann man auch mit dieser
Version alle Arten von Logs auswerten; Seitenzugriffe, Einstiegs- und Ausstiegsseiten analysieren, die
Klickpfade der Besucher verfolgen, Suchbegriffe und Werbekampagnen auswerten und
Schwachstellen der Webpräsenz feststellen. Bei der Analyse der Besucher kann man diese nach Land,
Bundesland und Stadt auswerten.
Über 850 Logformate werden automatisch bei der Profil-Erstellung vom Assistenten erkannt, die
verschiedenen Statistiken und Auswertungen werden direkt im Webbrowser angezeigt. Der Einstieg
in die Loganalyse ist damit auch ohne Fachwissen möglich.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
5 / 44
7. Vergleich der Sawmill-Versionen
Funktion
Lite
Pro
Enterprise
Unterstützte Logformate
850+
900+
900+
- Autom. Erkennung der Logformate
Ja
Ja
Ja
Logquellen
1
Unbegrenzt
Unbegrenzt
- Lokal und FTP
Ja
Ja
Ja
- HTTP und Befehlszeile
-
Ja
Ja
- Rekursiv und reguläre Ausdrücke
-
Ja
Ja
Loganalyse
Unbegrenzt
Unbegrenzt
Unbegrenzt
- Tabellen und Diagramme
Ja
Ja
Ja
- Analyse über Webbrowser
Ja
Ja
Ja
- Einstiegs/Aussteigs-Seiten
Ja
Ja
Ja
- Besucherströme (Klickpfade)
Ja
Ja
Ja
- Analyse der Besucherherkunft (Links)
Ja
Ja
Ja
- GeoIP (bis auf Stadt-Level)
Ja
Ja
Ja
- Auswertung der Suchbegriffe
Ja
Ja
Ja
Benutzer
Unbegrenzt
Unbegrenzt
Unbegrenzt
- Benutzer-Editor
Ja
Ja
Ja
Integrierter Webserver
Ja
Ja
Ja
Integrierte Datenbank
Ja
Ja
Ja
- MySQL-Datenbank
-
-
Ja (+Cluster)
- Externe Datenbankabfragen mit MySQL
-
-
Ja
- Datenbanken zusammenführen
-
-
Ja
Zeitplaner
-
Ja
Ja
Logfilter-Editor
-
Ja
Ja
Reportfilter
-
Ja
Ja
Scriptsprache (salang)
-
Ja
Ja
DNS-Lookup
-
Ja
Ja
GUI-Anpassung
-
Reports
Unbebrenzt
Multiprozessor-Support
-
-
Ja
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
6 / 44
8. Installation
Die Installation von Sawmill ist sehr einfach. Man braucht dafür nur einen Computer mit einem der
unterstützten Betriebssysteme (Windows, MacOS, Linux etc.). Ein Server-Betriebssystem ist nicht
notwendig. Der Computer kann prinzipiell auch ein Desktop-PC sein, an dem normal gearbeitet wird
oder ein „Server“, der z.B. noch als Mailserver dient. Dabei ist jedoch zu beachten, dass während der
Logverarbeitung oder der Aufbereitung der Reports einige Rechenleistung benötigt wird, so dass sich
bei größeren Datenmengen und häufigen Zugriffen auf die Reports ein eigener PC für Sawmill
empfiehlt.
Hinweis: Die Installationspartition sollte ausreichend Platz für die Logdatenbank(en) haben. Diese
kann schnell auf einige GB anwachsen. Standardmäßig wird die Logdatenbank im Sawmill-Verzeichnis
angelegt, doch kann sie auch an einem beliebigen anderen Ort eingerichtet werden.
Sawmill kann unter Windows und MacOS im Server- oder im CGI-Modus installiert werden. Der
Servermodus ist die Standardinstallation und bietet mehrere Vorteile:

Die Installationsroutine erledigt die komplette Installation.

Sawmill wird direkt als Webserver für die Administration und die Reportausgabe über den
Webbrowser eingerichtet.

Die Aufgabensteuerung zur Automatisierung von Sawmill kann direkt über den integrierten
Aufgabenplaner (Scheduler) erfolgen.
Unter Windows und MacOS gibt es ein Installationsprogramm, das alle Schritte automatisch
vornimmt. Man wählt nur ein Verzeichnis für Sawmill aus, der Rest wird von der Installationsroutine
vorgenommen. Nach der Installation wird Sawmill unter Windows standardmäßig als Dienst
eingebunden, man kann den Server aber auch durch Doppelklick auf das Programmsymbol bzw. die
Datei sawmill.exe starten. Daraufhin öffnet sich ein DOS-Fenster, das ein paar Startinformationen
ausgibt und nicht geschlossen werden darf.
Zur Administration und Ausgabe der Reports wird Sawmill über die IP-Adresse des entsprechenden
Computers z.B. 192.168.1.x und den Port 8988 aufgerufen. Der Aufruf lautet dann beispielsweise:
http://192.168.1.200:8988. Erfolgt der Aufruf auf dem gleichen PC, auf dem Sawmill installiert ist, so
lautet der Aufruf: http://127.0.0.1:8988
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
7 / 44
Vergeben Sie einen Benutzernamen und ein Kennwort und klicken Sie auf „Login“. Bei der
Testversion können Sie nun noch die Version wählen. Danach befinden Sie sich im
Administrationsbereich von Sawmill:
Sie befinden Sie nun im Administrationsmenü.
Als Erstes sollten Sie Sawmill auf die deutsche Sprache umstellen. Wenn Sie lieber die englische
Sprachversion von Sawmill verwenden wollen, so können Sie diesen Schritt überspringen. Die
Umstellung ist jederzeit möglich, auch getrennt für jeden Benutzer.
Auf deutsche Sprache umstellen
Das Grundpaket von Sawmill ist in englischer Sprache, enthält aber seit der Version 8.0 auch
deutsche Sprachdateien, die exklusiv von der HAAGE&PARTNER Computer GmbH erstellt werden.
Bitte wechseln Sie nach dem Start von Sawmill in den Bereich „Preferences“ und dort in „General“.
Hier können Sie die Sprache auswählen und dann oberhalb auf „Save Changes“ klicken.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
8 / 44
Rechtliches: Wenn Sie die deutsche Übersetzung längerfristig verwenden wollen, dann müssen Sie
Sawmill bei der HAAGE&PARTNER Computer GmbH oder einem von uns autorisierten Händler
erwerben.
Hinweis: Diese Beschreibung ist für die Windows-Version im Servermodus. Bei anderen Versionen ist
die Vorgehensweise ähnlich. Bitte lesen Sie dies gegebenenfalls in der Originalanleitung nach.
Das erste Profil
Ein Profil ist die Konfiguration für die Analyse einer oder mehrerer gleichartiger Logdateien. Klicken
Sie dazu in der Admin-Ansicht (in der Sie sich z.B. nach dem Start von Sawmill befinden) auf den Link
„Neues Profil erstellen“ oben links.
Hinweis: Das folgende Beispiel bezieht sich auf die Auswertung eines Weblogs eines Internetauftritts.
Logdateien von Firewalls und anderen Servern enthalten andere Felder, die Vorgehensweise bei der
Einrichtung und Analyse ist aber weitgehend identisch.
Es öffnet sich das Dialogfenster für das neue Profil.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
9 / 44
1. Die Logquelle: Im ersten Feld wird nach dem Ort der Logdatei gefragt. Diese kann sich auf Ihrem
lokalen Datenträger befinden oder Sie greifen über FTP oder HTTP direkt auf die Dateien auf dem
Webserver zu. Die zweite oder dritte Methode ist in der Regel einfacher, denn Sie müssen die
Logdaten nicht erst auf dem lokalen Datenträger zwischengespeichert, doch dafür dauert die Analyse
meistens etwas länger.
Wenn sich die Dateien auf einem lokalen Datenträger befinden, geben Sie bei Pfadnamen den Pfad
und gegebenenfalls auch den Dateinamen ein. Im Beispiel wird der Pfad auf ein Verzeichnis
(D:\_logs\hbv-aktuell) angegeben und gleichzeitig die Option „Unterverzeichnisse verarbeiten“
aktiviert. Dadurch werden alle Logdateien, die sich im Verzeichnis befinden, zur Analyse
herangezogen. Wenn Sie nur eine Datei analysieren wollen, dann lautet der Pfadnamen z.B.
„D:\_logs\hbv-aktuell\access.log.01.gz“. Sie können auch mit Wildcards arbeiten, z.B. „D:\_logs\hbvaktuell\access*“. Dann werden alle Dateien im Verzeichnis verwendet, die mit „access“ beginnen.
Ein FTP-Zugriff könnte so aussehen:
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
10 / 44
Mit „Passende Dateien anzeigen“ können Sie prüfen, ob der Pfad und das Muster richtig gesetzt sind.
Die daraufhin erscheinende Liste muss dann die gewünschten Dateien enthalten.
Die Daten bei einer FTP-Übertragung sind Hostname, Benutzername, Kennwort und Pfadname.
Ansonsten ist das Vorgehen das Gleiche. Klicken Sie nun auf „Weiter“.
2. Das Logformat: In den meisten Fällen wird das Logformat automatisch erkannt. Ist das Format
nicht eindeutig, so erscheint ein Auswahlfeld. In der Dokumentation zur Hard- oder Software, die das
Format erzeugt kann man den richtigen Typ finden. Ansonsten hilft unter Umständen ein Blick in die
Logdatei mit einem Editor oder man probiert die Formate nacheinander aus.
Wenn alle Daten in der Auswertung richtig sind, hat man das richtige Format getroffen. Klicken Sie
dann auf „Weiter“.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
11 / 44
3. Die Datenbank-Optionen. In der Regel sollte man die interne Datenbank bevorzugen, da diese die
beste Performance bietet. Wenn Sie jedoch für spezielle Auswertungen extern auf die Datenbank
zugreifen wollen, dann kann es sinnvoll sein, MySQL, MS SQL oder Oracle zu verwenden.
4. Die Logformat-Optionen. Hier werden die Werte festgelegt, die später in der Analyse angezeigt
werden sollen.
Der wichtigste Wert ist bei einer Weblogdatei die Anzahl der Besucher. Pageviews gibt an, wieviele
Seiten sich die Besucher angesehen haben. Hits ist ein relativ unnötiger Wert, da bei einer Webseite
sowohl die Seite selbst, als auch jede Grafik einen Hit auslöst. Der Wert ist daher viel höher als die
Werte für Besucher und Pageviews, aber in den meisten Fällen recht aussagelos. Die Größe gibt an,
welche Datenmenge zu den Besuchern übertragen wurde. Der Wert ist besonders deshalb wichtig,
weil es bei den meisten Internetanbietern ein Übertragungslimit gibt und die Datenmenge hiermit
kontrolliert werden kann.
6. Der Profilname. Im letzen Schritt geben Sie dem Profil einen Namen und fertig ist die Einrichtung.
Klicken Sie auf „Fertigstellen“.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
12 / 44
Sawmill erstellt nun alle benötigten Verzeichnisse, Dateien und Datenbanken für das neue Profil.
Danach zeigt sich der folgende Bildschirm:
Sie können nun wählen, ob die Logdaten eingelesen und der Report angezeigt werden soll oder ob
Sie die Konfiguration bearbeiten wollen.
Klicken Sie auf „Daten verarbeiten & Reports anzeigen“, um den Vorgang zu starten.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
13 / 44
Der Admin-Bereich
Nach dem Programmstart befinden Sie sich im Admin-Bereich, dem Herzstück von Sawmill. Von hier
aus können Sie neue Profile anlegen, die Profile ändern und löschen, den Aufgabenplaner
(Scheduler) aufrufen, Benutzer (User) anlegen und bearbeiten und die Lizenzierung ändern, z.B.,
wenn Sie einen Lizenzcode für Sawmill gekauft haben.
Diese Punkte werden hier aber nicht weiter erläutert, denn wir wollen uns im weiteren mit der
Analyse des soeben angelegten Profils beschäftigen. Hierfür klicken Sie auf den Punkt „Report
anzeigen“.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
14 / 44
Die Report-Ansichten
Wenn Sie bei einem neuen Profil zum ersten Mal die Report-Ansicht aufrufen, muss die Datenbank
erst noch erstellt werden. Dabei werden die Log-Quellen eingelesen und verarbeitet. Dieser Vorgang
kann je nach Größe der Logdaten einige Minuten oder gar Stunden in Anspruch nehmen.
Der Verlaufsdialog gibt einen Überblick über den Zeitbedarf. Wenn Sie in Zukunft schneller auf Ihre
Reports zugreifen wollen, können Sie die Datenbankerstellung aus neuen Logdaten einmal nachts
oder auch stündlich durchführen lassen. Hierzu verwenden Sie den Aufgabenplaner, der im AdminBereich angewählt werden kann.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
15 / 44
Wenn die Datenbankerstellung abgeschlossen ist, wird die Reportübersicht angezeigt. Hier finden Sie
die Basisdaten des Profils: Hits, Pageviews, Besucher, Größe etc.. Im oberen Bereich finden Sie
Funktionen zur Konfiguration des Reports:

Datumsauswahl: Hier können Sie den Datumsbereich des Reports einstellen.

Filter: Hier können Filter aktiviert werden, um bestimmte Daten ein- oder auszublenden.

Makros: Hier können Makros erstellt und geändert werden.

Druckversion: Zeigt eine spezielle Druckversion des Reports.

Verschiedenes: Enthält die Funktionen Report versenden, Reportänderungen speichern, Als
neuen Report speichern und Datenbank-Information
Unter Verschiedenes > Datenbank-Information können Sie eine Datenbank-Aktualisierung einleiten,
wenn es neuere Logdaten gibt, die noch nicht in den Report einbezogen wurden.
Im linken Bereich finden Sie die Unterpunkte des Reports, von denen wir uns im Folgenden einige
ansehen werden.
Im Bereich Datum und Zeit ist in der Regel Tag der interessanteste Report. Im oberen Bereich sehen
Sie den Verlauf der Hits im Zeitbereich. Darunter sind die Werte für die einzelnen Tage.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
16 / 44
Die Liste ist im Beispiel nach dem Datum sortiert. Die Sortierung können Sie mit einem Klick auf den
Spaltentitel ändern.
Weitere Anpassungen können unter Anpassen vorgenommen werden.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
17 / 44
Der wichtigste Wert ist bei einer Weblogdatei die Anzahl der Besucher. Pageviews gibt an, wieviele
Seiten sich die Besucher angesehen haben. Hits ist ein relativ unnötiger Wert, da bei einer Webseite
sowohl die Seite selbst, als auch jede Grafik einen Hit auslöst. Der Wert ist daher viel höher als die
Werte für Besucher und Pageviews, aber in den meisten Fällen recht aussagelos. Die Größe gibt an,
welche Datenmenge zu den Besuchern übertragen wurde. Der Wert ist besonders deshalb wichtig,
weil es bei den meisten Internetanbietern ein Übertragungslimit gibt und die Datenmenge hiermit
kontrolliert werden kann.
Im angepassten Report (siehe Bild oben) werden nun die Graphen für Hits, Besucher und Größe
angezeigt.
Der so angepasste Report kann schnell über die Funktion Verschiedenes > Reportänderungen
speichern abgespeichert werden.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
18 / 44
Weitere Reports im Bereich „Datum und Zeit“ sind „Wochentage“ und „Tageszeit“. Bei
„Wochentage“ können Sie die Zugriffsverteilung nach Wochentagen analysieren und bei „Tageszeit“
sehen Sie die Zeiten, zu denen die meisten Zugriffe stattfinden.
Im Bereich „Inhalt“ sind die Reports „Seiten/Verzeichnisse“, „Seiten“ und „Dateitypen“ enthalten.
„Seiten/Verzeichnisse“ zeigt dabei einen Report der Einzelseiten in den Verzeichnissen der
Webseitenstruktur. Im Report „Seiten“ befinden sich die Einzelseiten.
Die Standardsortierung ist bei diesen Reports nach Hits. Sinnvoller ist aber oft eine Sortierung nach
Besuchern. Über Anpassen können Sie beispielsweise die Sortierung auf Besucher ändern und das
Diagramm und die %-Werte für Hits abschalten und diese für Besucher aktivieren. Mit der Funktion
Verschiedenes > Reportänderungen speichern können Sie diese Einstellungen dauerhaft
abspeichern.
Wollen Sie die Werte der einzelnen Dateien sehen, dann wählen Sie den Report
„Seiten/Verzeichnisse“ und dort den entsprechenden Unterordner „/darmstadt/“, dann erhalten Sie
einen Report, der nur die Dateien im Verzeichnis „/darmstadt/“ beinhaltet.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
19 / 44
In der Bildmitte sehen Sie ein Zoom-Symbol und den Bereich gelb unterlegt, damit man gleich sieht,
dass man sich in einer Zoomansicht befindet. Mit dem Menü „Reportansicht“ können Sie auch alle
anderen Ansichten auf den Bereich „/darmstadt/“ anwenden. Sie können auch noch eine
Verzeichnisebenen tiefer gehen, indem Sie auf den Eintrag „/darmstadt/homepage“ klicken. Sawmill
setzt hier keine Grenzen.
Probieren Sie es ein wenig aus, dann werden Sie verstehen, was „dynamische Reports“ bei Sawmill
bedeutet.
Der letzte Report im Bereich „Inhalt“ zeigt die „Dateitypen“. Hier können Sie beispielsweise sehen,
wie viele Besucher Ihre PDF-Dateien oder ZIP-Archive geladen haben. Wie Sie im oberen Beispiel
sehen, ergeben Grafikdateien wie GIF und JPG, sowie CSS und JavaScript-Dateien keine Pageviews,
da es sich hierbei nicht um Seiten handelt. Diese Einstellung kann im Konfigurationsbereich jederzeit
angepasst werden.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
20 / 44
Der Report „Hostname“ zeigt die IP-Adressen der zugreifenden Besucher an.
Der Report „Domainbeschreibung“ zeigt in der Standardeinstellung nicht viel an, da die IPs nicht in
die Domainnamen aufgelöst werden. Diese Option müssen Sie erst konfigurieren. Gleiches gilt für
„ISP“ und „Domäne“.
Der Report „Land“ zeigt an, woher die Besucher kamen. Mit „Region“ und „Stadt“ geht es weiter ins
Detail.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
21 / 44
Der Report „Authentifizierte Benutzer“ zeigt die Personen an, die sich beim System mit Namen
angemeldet haben, z.B. beim Zugriff per FTP.
Die Reporte „Bildschirmauflösung“ und „Bildschirmtiefe“ enthalten nur dann Daten, wenn diese
Werte in der Logdatei vorhanden sind. In unserem Beispiel hat die Logdatei dafür keine Werte
erfasst.
Der Report „Webbrowser“ zeigt die am meisten verwendete Webbrowser an. Die Liste ist vor allem
für Webdesigner wichtig, um zu sehen, ob sich die Optimierung von Seiten für einen bestimmten
Browsertyp lohnt.
Der Report „Betriebssystem“ zeigt die verwendeten Betriebssysteme der Besucher an.
Der Report „Verweise“ zeigt an, von welchen Seiten die Besucher auf Ihre Seite gekommen sind.
Hiermit können Werbeaktionen verfolgt werden oder aber auch die Bedeutung einzelner Seiten, wie
z.B. der Suchmaschine Google, die oft auf vorderen Plätzen zu finden ist. Hier sehen Sie auch, ob sich
Werbemaßnahmen gelohnt haben bzw. auf welchen Seiten sich Werbung lohnen würde, weil dort
offensichtlich viele potentielle Interessenten surfen.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
22 / 44
Der Report „Verweisende Domain“ zeigt die Landesdomains der Besucher. Damit kann die Analyse
auch für bestimmte Länderdomains geführt werden.
Der Report „Suchmaschinen“ ist ebenfalls für Werbezwecke sehr aufschlussreich, da er die von den
Besuchern verwendeten Suchmaschinen darstellt. In unserem Beispiel wird die Dominanz von Google
deutlich sichtbar.
Der Report „Suchbegriff“ zeigt die Begriffe, die Suchende in den Suchmaschinen eingegeben haben.
Da jedoch meistens nach einer Kombination gesucht wird, um die Suche weiter einzuschränken,
werden diese Kombinationen in der Ansicht „Suchbegriffe“ dargestellt.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
23 / 44
Der Report „Suchmaschinen/Begriffe“ zeigt die Suchbegriffe, sortiert nach Suchmaschinen.
Der Report „Serverdomains“ zeigt Ihnen, auf welche Domainnamen zugegriffen wurde.
Der Report „Würmer“ zeigt die Würmer an, die versucht haben, Ihren Server anzugreifen.
Der Report „Spider“ zeigt eine Aufstellung der Suchroboter und Spider, die Ihre Site regelmäßig
durchsuchen, um den Suchindex aktuell zu halten.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
24 / 44
Der Report „Serverantworten“ gibt wichtige Auskünfte über die Reaktionen des Servers auf
Anfragen. Jede Anfrage an den Server wird mit einer Serverantwort beantwortet. Wirklich
interessant ist primär die Antwort „404 (Nicht gefunden)“, denn diese Seiten wurden nicht gefunden.
Mit eine der wichtigsten Ansichten sind die „Ungültigen Links“. Hier sehen Sie, welche Dateien auf
Ihrem Server gesucht, aber nicht gefunden wurden (Servermeldung 404). „robots.txt“ und
„favicon.ico“ sind hier jedoch unwichtige Dateien, die nur von Suchmaschinen und Browsern
benötigt werden. Die anderen Einträge weisen jedoch auf fehlende Dateien, bzw. Schreibfehlern in
Links hin. Die betroffenen Webmaster sollten diese Informationen schnellstmöglich erhalten.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
25 / 44
Der Report „Sessions“ geht nun ins Detail. Mit einer Session versucht man, einen Besucher genau
einzugrenzen, damit man ihm die aufgerufenen Seiten zuordnen kann. Die „Session Übersicht“ gibt
die Werte als Zahlenmaterial aus.
Der Report „Einstiegsseiten“ zeigt die Seiten, auf die Besucher zuerst auf die Site zugegriffen haben.
Wichtig ist auch die „Ausstiegsseiten“, also die Seite, auf der die Besucher die Site verlassen haben.
Dies könnte zum einen das Ziel der Suche der Kunden sein, unter Umständen zeigt sich aber hier
auch eine Schwachstelle der Site, weil der Kunde hier nicht mehr weiterkommt und deshalb die Site
verlässt.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
26 / 44
Der Report „Pfad durch eine Seite“ zeigt, von woher die Besucher auf eine Seite gekommen sind und
wohin Sie danach gegangen sind. Über die Links kann man sich durch die gesamte Website klicken. Es
ist sehr wichtig, die Ströme der Besucher zu kennen, um zu sehen, was die Besucher interessiert, wie
sie sich auf der Website bewegen und wo Schwachstellen liegen.
Der Report „Session-Pfade“ zeigt basierend auf den Session-Informationen den Weg der Besucher
durch die Site. Die Darstellung zeigt wie viele Besucher von einer Seite auf eine andere gewechselt
sind und wo Sie die Site verlassen haben. Damit lassen Sie die Besucherströme sehr gut verfolgen
und entsprechende Maßnahmen planen, um die Besucher gezielt durch die Site zu leiten.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
27 / 44
Der Report „Zusammenfassung“ zeigt alle vorherigen Report auf einer Seite an. Damit kann man sich
schnell einen Überblick über die Daten verschaffen.
Weitere Konfigurationsoptionen
Sawmill wird mit einer Standardeinstellung ausgeliefert, die der Administrator an die persönlichen
Bedürfnisse, bzw. die Erfordernisse der Firma anpassen kann. Dies Betrifft sowohl Sicherheitsaspekte
(Passwortschutz) als auch alle Datenbankparameter (Felder, Struktur, Querverweise). Alle
Änderungen werden im Webinterface vorgenommen.
Aufgabenplaner (Scheduler). Wenn täglich sehr große Mengen von Logdaten anfallen, empfiehlt es
sich, diese nachts, bzw. frühmorgens generieren zu lassen.
Der Aufgabenplaner erledigt beliebig viele dieser Vorgänge an jedem Tag und auch zu jeder Stunde.
Für besonders schnelle Analysen können sogar die HTML-Dateien vorberechnet werden.
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
28 / 44
Flexibel anpassbar
Die Reports werden dynamisch erstellt und erlauben beliebige Teilbereiche gesondert zu analysieren.
Über einen Report-Editor können Reports geändert und neu zusammengestellt werden.
Eine interne Scriptsprache ermöglicht zudem die fast grenzenlose Anpassung von Sawmill an die
eigenen Gegebenheiten und Bedürfnisse. Die Scriptsprache wird auch für das gesamte SawmillSystem verwendet. Dadurch liegt alles offen und kann entsprechend angepasst werden.
Sie können diese Anpassungen Inhouse vornehmen oder durch uns ausführen lassen. Wir erstellen
Ihnen gerne ein Angebot.
Schlusswort
Dies war eine kurze Einführung in die Analyse mit Sawmill. Der Leistungsumfang ist jedoch erheblich
größer und kann nicht im Rahmen einer Kurzanleitung beschrieben werden. Hier verweisen wir
zunächst auf die umfangreiche Originaldokumentation, die Ihnen über den Menüpunkt „Hilfe“ im
Webinterface zur Verfügung steht.
Sollten Sie sich bereits mit Analysewerkzeugen auskennen, werden Sie sich sicherlich sehr schnell mit
Sawmill zurechtfinden und gewünschte Anpassungen der Ansichten und Parameter sehr schnell
durchführen können.
Es ist empfehlenswert, die Logdaten chronologisch auf einem Datenträger zu sichern. Dann können
Sie auch zu einem späteren Zeitpunkt noch grundlegende Änderungen an der Datenbank
vornehmen.
Wir wünschen Ihnen viel Erfolg mit Sawmill.
Ihr HAAGE & PARTNER-Team
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland
Stand: 07.05.2013
29 / 44
9. Unterstützte Plattformen
Sawmill läuft auf fast allen Plattforen. Derzeit sind dies:

Window (x86, x64)(ab Windows XP)

Linux (x86, x64)

Mac OS X (PowerPC, x86, x64)

Solaris (SPARC, x86, x64)

FreeBSD (x86)

OpenBSD (x86)
Es ist auch ein verschlüsselter Source-Code verfügbar, der auf anderen Plattformen compiliert und
dann gestartet werden kann.
Das Betriebssystem ist nur für das Sawmill-Programm interessant, das Konfigurieren und das
Verwenden der Statistiken kann von jedem Computer aus mit einem normalen Webbrowser
erfolgen.
10.
Unterstützte Logformate
Sawmill unterstützt direkt die folgenden 900+ Log-Formate (Stand: Mai 2013):

















3Com 3CRGPOE10075 WAP
3Com NBX 100
3Com OfficeConnect/WinSyslog
4ipnet WHG
Marshal8e6 8e6 Web Filter
M86 Security 8e6 Web filter
A10 Networks AX Series Auththentication
A10 Networks AX Series ADC and Server
Load Balancer
AboCom Systems, Inc. VPN Firewall
Greatstone activePDF
IBM AIX CPU Utilization
Akamai HTTP Streaming (W3C)
Aladdin eSafe Gateway
SafeNet eSafe Gateway
Aladdin Mail Security Gateway
eSafe Mail Security Gateway
Aladdin eSafe Sessions (with URL
category)
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland


















SafeNet eSafe Sessions (with URL
category)
Aladdin eSafe Sessions
SafeNet eSafe Sessions
Aladdin eSafe Sessions v5/v6
NetSafe eSafe Sessions v5/v6
Amavis Mail Virus Scanner
Amazon Cloudfront Streaming
Amazon S3
Xylogics Annex Terminal Server
Bay Networks Annex Terminal Server
Nortel Annex Terminal Server
ASSP Anti-spam SMTP Proxy
Apache Custom (Use with your format
string)
Apache Error
Apache Error (syslog required)
Apache SSL Request
Apache NCSA Combined (NetTracker)
Apache NCSA Combined With Cookie Last
Stand: 07.05.2013
30 / 44
































Apache NCSA Combined With Cookie Last
(with JSESSIONID)
Apache NCSA Combined With Server
Domain After Agent
Apache NCSA Combined With Server
Domain After Date
Apache NCSA Combined With Server
Domain After Host
Apache NCSA Combined With Server
Domain After Size
Apache NCSA Combined With Server
Domain Before Host
Apache NCSA Combined With Visitor
Cookie
Apache NCSA Combined With WebTrends
Cookie
Apache NCSA Combined
Apache NCSA Combined with Syslog
NCSA Common Agent
Apple File Service
Apple AppleShare IP Manager
Applied Identity WELF
ARBOR Networks eSeries Broadband
Traffic Management
Computer Associates ARCserve NT
ArGo Software Design Mail Server
ArGo Software Design Mail Server
(ddmmyyyy)
Argsoft Mail Server
Argus Firewall
Array Networks Integrated Web Traffic
Manager 500/1000
Array Networks APV Application Delivery
Controller
Array Networks SPX 3000 Welf/Squid
combined
Array Networks SPX 3000 VPN
Aruba Networks Aruba Mobility
Controllers
Aruba Networks Aruba Wireless LAN
Switch
Ascend Communications
Xtera AscenLink
Persits Software AspEmail
Astaro Security Gateway
Astaro Mail Security
Atlassian Confluence
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland




































Atom Error Log
ASDS AutoAdmin
Autodesk Network License Manager
(FlexLM)
Autodesk Network License Manager
(Ehanced Reports)
Avaya Identify Engines
Aventail SSL VPN
SonicWall Aventail SSL VPN
Aventail Web Access SSL VPN
SonicWall Web Access SSL VPN
Symantec Backup Exec
Veritas Backup Exec
Barracuda Networks, Inc. Spam Firewall
300
Barracuda Networks, Inc. Spam Firewall
400
Barracuda Networks, Inc. Spam Firewall
600
Barracuda Spyware Filter
Barracuda Web Application Firewall
(Access)
Barracuda Web Application Firewall
(Access) (With Field Header)
Barracuda Web Application Firewall
(Audit)
Barracuda Web Application Firewall
Barrier Group Firewall
Biscom Delivery Server (BDS FTP)
BEA Systems WebLogic non-extended
Bea Systems WebLogic Aplication Server
BEA WebLogic
Oracle WebLogic
Clickcadence Beatbox Hits
Biodata BigFire Firewall
Internet Systems Consortium BIND
(Berkeley Internet Name Domain)
ISC Bind9 Query DNS Server
ISC Bind9 Query DNS Server (with
timestamp)
ISC Bind9 Update (with timestamp)
ISC Bind Query DNS Server
ISC Bind Query DNS Server (with
timestamp)
ISC Bind Response Checks
ISC Bind Security
BindView EMS Reporting
Stand: 07.05.2013
31 / 44











































BindView User Logins
Bindview Windows Event Log
Funkwerk Bintec VPN Access
Bitblock Systems HTTP Access
Bluecoat ProxySG (Custom)
Bluecoat Instant Messenger
Bluecoat ProxySG 810
Bluecoat ProxySG (Alt)
Bluecoat RealMedia
Bluecoat Squid
Bluecoat W3C (ELFF)
Bluecoat Windows Media
Bluesocket Wireless LAN
Bomgar Box
Borderware Security Device
WatchGuard Borderware Security Device
Borderware Runstats
BPF BPFT Traflog
BPF Traffic Daemon (BPFT v.4)
BPF BPFT4 (with interface)
BroadVision Error
BroadVision Observation
BroadWeb BEMS*
BroadWeb XKeeper*
BroadWeb BandKeeper*
BroadWeb NetKeeper*
BroadWeb Eulen*
BroadWeb NH6*
BroadWeb UTM*
Broadweb NetKeeper NK3128
Bulletproof FTP Server (dd/mm/yy, 24hour)
Gene6 G6 FTP Server (dd/mm/yy, 24hour)
Bulletproof FTP Server (dd/mm/yyyy)
Gene6 G6 FTP Server (dd/mm/yyyy)
Bulletproof FTP Server (dd/mm/yyyy, 24
hour)
Gene6 G6 FTP Server (dd/mm/yyyy, 24
hour)
Bulletproof FTP Server (mm/dd/yy)
Gene6 G6 FTP Server (mm/dd/yy)
Bulletproof FTP Server (mm/dd/yyyy)
Gene6 G6 FTP Server (mm/dd/yyyy)
Bulletproof FTP Server (yyyy/mm/dd)
Gene6 G6 FTP Server (yyyy/mm/dd)
Bulletproof FTP Sessions
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland








































Gene6 G6 FTP Sessions
Cell Technology IPS
Cellopoint Email Firewalll
Centricity FirstClass (mmddyyyy)
Centricity FirstClass
CFT Account
Check Point SNMP
Cisco Systems 3750 Switch
Cisco Systems 827 Router (Kiwi, Full Dates,
Tabs)
Cisco Systems Access Control Server
Cisco Systems Access Register
Cisco Systems ACNS with SmartFilter
Cisco Systems AS5300 Access Server
Cisco Systems CE Common (Content
Engine)
Cisco Systems CE (Content Engine)
Cisco Systems EMBLEM
Cisco Systems IDS/NetRanger
Cisco Systems IOS DHCP Server
Cisco IPS
Cisco IronPort Web Services Appliance
(WSA S-Series) (W3C)
Cisco Systems NetFlow
Cisco Systems NetFlow (flow-export)
Cisco Systems NetFlow (FlowTools ASCII
Export)
Cisco Systems NetFlow (nfdump -o long)
Cisco Systems NetFlow (no dates)
Cisco Systems NetFlow (version 1)
Cisco Systems PIX/ASA Security Appliance
Cisco Systems Router (No Syslog)
Cisco Systems Router
Cisco Systems SCA
Cisco Systems Secure Server (RAS)
Cisco Systems SOHO77
Cisco Systems Voice Router
Cisco VPN Concentrator
Cisco Systems VPN Concentrator
(mmddyyyy)
Cisco Systems VPN Concentrator (Comma
delimited)
Cisco Systems VPN Concentrator (Alt)
Cisco Systems VPN Concentrator
Date/Time Header
Cisco WAAS TCP Proxy 4.0
Cisco WAAS TCP Proxy
Stand: 07.05.2013
32 / 44











































Cisco Systems Ciscoworks Syslog Server
Citrix Firewall Manager Syslog
Citrix NetScaler
Sourcefire ClamAV
Clavister SG Series (comma-separated)
Clavister Firewall (CSV)
Clavister Firewall (with syslog)
Clavister SG
Radvision Click to Meet
Cognos PowerPlay Enterprise Server
IBM Cognos PowerPlay Enterprise Server
Cognos Ticket Server
IBM Cognos Ticket Server
Adobe ColdFusion Application Server
Adobe ColdFusion Application Server
(CSV)
Adobe ColdFusion Web Server
NCSA Combined Proxy
NCSA Common Access
Claranet Common Access
4D WebSTAR Common Access
Kerio WebSTAR Common Access
NCSA Common Access with full URLs
NCSA Common Error
NCSA Common Proxy
NCSA Common Referrer
CommuniGate Systems Communigate
Mail Server
CommuniGate Systems CommuniGate Pro
Generic Complete Syslog Messages
(report full syslog message in one field)
Coradiant Object Tracking
Coradiant TrueSight v2.0
CP Secure Content Security Gateway
Critical Path Mail Server (POP/IMAP)
Critical Path Mail Server (SMTP)
RedHat Linux crond
The Fedora Project Linux crond
Cellopoint CelloOS crond
Generic CSV (Comma-Separated Values)
Canto Cumulus Digital Asset Management
IWI CWAT
CyberGuard Firewall Audit(non-WELF)
CyberGuard Firewall (WELF)
CyberGuard Firewall
Dade Behring User Account (With
Duration)
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland












































Dade Behring User
DansGuardian Content Filter 2.2
DansGuardian Content Filter 2.4
DansGuardian Content Filter 2.9
Datagram SyslogServer
Declude Spam Filter
Declude Virus Filter
DeepMail IMAP/POP3/SMTP Server
Digital Insight Magnet
D-link DI-804HV Router
Infoblox DNSone DHCP
IBM Domino Access
Lotus Notes Domino Access
IBM Domino Agent
Lotus Notes Domino Agent
IBM Domino Error
Lotus Notes Domino Error
IBM Domino Referrer
Lotus Notes Domino Referrer
Dorian Event Archiver
Dovecot Secure IMAP server
Unix du Disk Tracking
Fiserv Easy Lender Login Audit (comma
separated)
Edgecast Networks Media server
EDM Web Services Identity
Qualcomm EIMS Error
Qualcomm EIMS SMTP (12 hour)
Qualcomm Internet Mail Server 3.2
Chenziyi Email Catcher
Enterasys Networks Dragon IDS
JTC eSafe Sessions (with URL category)
SafeNet eSafe Sessions (with URL
category)
Adiscon EventReporter (v.7)
Adiscon EventReporter v.6
GNU Event Log to Syslog
Exim Internet Mailer 4
Exim Internet Mailer
OCLC EZproxy Custom (Use with your
LogFormat string)
OCLC EZproxy
F5 Load Balancer
F5 Networks Application Security Manager
F5 SSL VPN
FastHost HTTP Access
FedEx Tracking
Stand: 07.05.2013
33 / 44










































FileMaker FileMaker 3
FileMaker Web Server
FileZilla FTP Server
FileZilla FTP Server (m/d/yyyy)
WatchGuard Firebox
F5 FirePass SSL VPN (with syslog)
F5 FirePass 4100 SSL VPN
Checkpoint Firewall-1 (fw log -ftn export)
Checkpoint Firewall-1 (fw log export)
Checkpoint Firewall-1 (logexport)
Checkpoint Firewall-1 (loggrabber with
syslog)
Checkpoint Firewall-1 (loggrabber)
Checkpoint Firewall-1 Log Viewer 4.1
Checkpoint Firewall-1 NG Full
Checkpoint Firewall-1 NG General (text
export)
Checkpoint Firewall-1 NG (text export)
Checkpoint Firewall-1 (text export)
Checkpoint Firewall-1 via Syslog
Webtrends firewall
SoftArc FirstClass server
Open Text FirstClass server
Fiserv Easy Lender Login Audit
OpenSight Software FlashFXP
Macromedia Flash Media Server
Adobe Flash Media Server
Macromedia Flex/JRun
Fortinet FortiGate Firewall (comma
separated)
Fortinet Fortigate Firewall
Fortinet Fortigate Firewall (space
separated)
Fortinet Fortigate Traffic
Fortinet FortiMail Event
Fortinet FortiMail
Fortinet Fortigate Firewall (syslog
required)
Foundry Networks BigIron Switch
Brocade BigIron Switch
Foundry Networks ServerIron Switch
Brocade ServerIron Switch
GNU FreeRADIUS
Logika FusionBot
McAfee Gauntlet Firewall
McAfee Gauntlet Firewall (yyyymmdd)
Gene6 SARL FTP Server
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland







































Gene6 SARL FTP Server (W3C)
GFI MailSecurity Attachment & Content
Filter
GFI MailEssentials Spam Filter
Globalscape EFT
Gordano Messaging Suite POP
Gordano Messaging System Post
Gordano Messaging System SMTP
Global Technology Associates GNAT Box
(sylog required)
Global Technology Associates GNAT Box
Syslogger
Google HTTP Access
Novell GroupWise Internet Agent
Accounting (2-digit years)
Novell GroupWise Internet Agent
Accounting (4-digit years)
Novell GroupWise Post Office Agent
Novell GroupWise Web Access
(dd/mm/yy)
Novell Groupwise Web Access
(mm/dd/yy)
GTA Gnatbox GB-Ware
GTB Inspector
HCTech Guardix
Novell GW Guardian Antivirus
Novell GW Guardian Anti-Spam
Real Networks Helix Session Manager
Real Networks Helix Server Style 5
Real Networks Helix Server
hMailServer - www.hmailserver.com
SMTP Mail Server
Provos honeyd
Hosting.com Access
Hewlett Packard Audit Log
SDSU htdig
Microsoft IAS Alternate
Microsoft IAS Comma-Separated
IBM HTTP Server
IBM Tivoli Access Manager
IBM Tivoli Access Manager WebSEAL
IBM Tivoli NetView
IBM WebSEAL Request
IBM WebSEAL Request
Xiph Foundation Icecast (Alternate)
Xiph Foundation Icecast
Icecast Playlist
Stand: 07.05.2013
34 / 44








































Microsoft IIS (ODBC log source)
Microsoft IIS Advanced Logging Module
Microsoft IIS Extended (W3C)
Microsoft IIS (with syslog)
Microsoft IIS Extended
Microsoft IIS FTP Server
Microsoft IIS
Microsoft IIS (dd/mm/yy)
Microsoft IIS (dd/mm/yyyy)
Microsoft IIS (mm/dd/yyyy dates)
Microsoft IIS (yy/mm/dd)
Microsoft IIS SMTP (Comma Separated)
Microsoft IIS SMTP Common
Microsoft IIS SMTP W3C
Ipswitch Imail Syslog Header
Ipswitch IMail
Ipswitch IMail Server
Ipswitch Imail Server Alternate
Imperva WAF
InfiNet Firewall
Ingate Firewall
INN News
INN News (Alternate)
eSoft Instagate Firewall/VPN
Instagate Sys*
Intel NetStructure VPN Gateway
Dartware InterMapper Event
Dartware InterMapper Outages
Dartware InterMapper Outages
(ddmmyyyy 24 hr time)
Dartware Intermapper Outages
(mmmddyyyy, AM/PM)
IBM Internet Security Systems Network
Sensors
InterSafe HTTP Content Filter
TrendMicro Interscan E-mail
TrendMicro Interscan Email VirusWall
TrendMicro Interscan Messaging Security
Suite (emanager)
TrendMicro Interscan Messaging Security
Suite (virus)
TrendMicro Interscan Messaging Security
Suite
TrendMicro Interscan Messaging Security
Suite
TrendMicro Interscan Proxy (dd/mm/yyyy)
TrendMicro Interscan Proxy (mm/dd/yyyy)
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland













































InterScan VirusWall
Trend Micro InterScan Viruswall
Trend Micro Interscan VirusWall
TrendMicro Interscan Web Security Suite
Cisco IOS Debug IP Packet Detailed (Using
Syslog Server)
GNU IP Traffic LAN Statistics
GNU ipchains
IPCop Syslog Server
iPolicy Networks ipEnforcer
FreeBSD IPFW
Oracle iPlanet Error
Oracle iPlanet Messaging Server
Sun-Netscape iPlanet Messenger Server 5
iPlanet Netscape Directory Server
Netscape iPlanet
SolarWinds IPMon (Using Syslog Server)
St. Bernard Software iPrism (with syslog)
St. Bernard Software iPrism Monitor
St. Bernard Software iPrism-RT
Netfilter IPtables Configuration
Netfilter IPtables
GNU IPTraf
GNU IPTraf TCP/UDP Services
CiperTrust Ironmail AV (Sophos)
Secure Computing Ironmail AV (Sophos)
McAfee Ironmail AV (Sophos)
CiperTrust Ironmail CSV
Secure Computing Ironmail CSV
McAfee Ironmail CSV
CiperTrust Ironmail SMTP Proxy
Secure Computing Ironmail SMTP Proxy
McAfee Ironmail SMTP Proxy
CiperTrust Ironmail SMTPO
Secure Computing Ironmail SMTPO
McAfee Ironmail SMTPO
CiperTrust Ironmail Sophosq
Secure Computing Ironmail Sophosq
McAfee Ironmail Sophosq
CiperTrust Ironmail Spam
Secure Computing Ironmail Spam
McAfee Ironmail Spam
IronPort Bounce
Cisco/IronPort Bounce
IronPort C Series Secure Email
Cisco/IronPort C Series Secure Email
Stand: 07.05.2013
35 / 44





































Cisco IronPort IronPort S-Series Access
Logs HR Profile for Extended Squid Format
Cisco IronPort IronPort S-Series Access
Logs Sec Ops Profile for Extended Squid
Format
Cisco IronPort IronPort S-Series Traffic
Monitor Logs v2008-04-03 for WSA v5.1
Cisco IronPort IronPort S-Series Traffic
Monitor Logs v2008-08-22 for WSA v5.2+
ISC DHCP Leases
ISC DHCP
Internet Security Systems Firewall
Unknown Publisher IST
Jataayu Carrier WAP Server
Oracle Java Administration MBEAN
Sun Microsystems Java Bean Application
Serve
Oracle Java Bean Application Serve
JBoss (Red Hat) Application Server
Atlassian JIRA
Juniper SRX3400
Juniper SRX240
Juniper IDP
Juniper Media Flow Controller (Access
Logs) (W3C)
Juniper Media Flow Controller Access
(2_0_9_Apple_MFC variant, 2012-07-21)
Juniper Media Flow Controller Access
(Apple variant, 2012-07-21)
Juniper Media Flow Controller (Access
Logs) (NCSA)
NetScreen Traffic
Juniper Networks NetScreen Traffic
Juniper Networks Secure Access 4000
Juniper Networks Secure Access 6000
Juniper SSL VPN
Juniper SA-2500
Kaspersky Labs AVP Client (Spanish)
Kaspersky Labs AVP Server (Spanish)
Kaspersky Labs Mail Server for Linux
Kaspersky Labs Mail Server
KEIKO PLAN-N Access Control Software
Kerio Mail Server
Kerio Connect
Kerio Network Monitor HTTP
Kerio Network Monitor
Kerio Winroute Firewall
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland



































Kernun DNS Proxy
Kernun HTTP Proxy
Kernun Proxy
Kernun SMTP Proxy
Kingdon, Inc. Kingdon Firewall
Solarwinds Kiwi Syslog (dd-mm-yyyy
dates)
Kiwi Syslog (dd-mm-yyyy dates)
Solarwinds Kiwi (mm-dd-yy dates, with
type and protocol)
Kiwi (mm-dd-yy dates, with type and
protocol)
SolarWinds Syslog Daemon (mm-dd-yyyy
dates)
Kiwi Syslog Daemon (mm-dd-yyyy dates)
SolarWinds (mmm/dd dates,
hh:hh:ss.mmm UTC times)
Kiwi (mmm/dd dates, hh:hh:ss.mmm UTC
times)
SolarWinds Syslog (yyyy/m/d hh:mm, tab
separated)
Kiwi Syslog (yyyy/m/d hh:mm, tab
separated)
SolarWinds Syslog (Space-separated
YYYY/MM/DD)
Kiwi Syslog (Space-separated
YYYY/MM/DD)
SolarWinds Kiwi CatTools CatOS Port
Usage
Kiwi CatTools CatOS Port Usage
Solarwinds Kiwi Syslog (ISO/Sawmill)
Kiwi Syslog (ISO/Sawmill)
Kiwi Syslog (Logged to Access MDB, then
exported tab-separated)*
SolarWinds Syslog (UTC)
Kiwi Syslog (UTC)
SolarWinds Syslog (YYYYMMDD Comma)
Kiwi Syslog (YYYYMMDD Comma)
Tinline Know-how
KS-Soft Host Monitor
Advanced Network Software Host monitor
Lancom Systems Router
Lava Soft Lava2 Firewall
Limelight Networks Flash Media Server
Cisco Linksys Router
Cisco LinkSys VPN Router
L-Soft LISTSERV
Stand: 07.05.2013
36 / 44













































Sun Microsystems log4j (with your format
string)
LogSat Spam Filter
LRS VPSX Accounting
L-Soft LSMTP Access
L-Soft LSMTP
Alcatel-Lucent Brick Firewall
Alcatel-Lucent VPN Firewall Brick
Lyris MailShield
Apple MacOS X FTP
MailEnable W3C Mail Server
GNU Mailer Daemon
GFI MailEssentials
GNU Mailman Post
GNU Mailman Subscribe
Smartmax MailMax SE Mail
SmartMax MailMax SE SMTP
MailScanner Syslog Required
MailScanner
MailScanner Virus
Eridani MailStripper
Clearswift MAILsweeper (24 Hour)
Clearswift MAILsweeper (AM/PM)
Clearswift MAILSweeper (long)
McAfee E1000 Mail Scanner
McAfee Email Gateway
IronMail IronMail (showevents export)
McAfee Email Security Appliance
McAfee IntruShield Alert
McAfee Secure Messaging Gateway (SMG)
VPN Firewall
McAfee Web Gateway
McAfee Webshield
McAfee Webshield XML
Alt-N Technologies MDaemon 7 (All)
Alt-N Technologies MDaemon 7
Alt-N Technologies MDaemon 8+
Merak POP/IMAP Server
Merak SMTP Server
Arm Research Labs Message Sniffer
Metavante CEB Failed Logins
FIS CEB Failed Logins
Metavante
FIS Metavante
Microsoft Elogdmp (CSV)
Microsoft Event Log Query
Microsoft Exchange Internet Mail
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland









































Microsoft Exchange Server 2000 (CSV)
Microsoft Exchange Server 2000/2003
Microsoft Exchange Server 2000/2003
Microsoft Exchange Server 2007/2010
Microsoft Exchange Server
Microsoft Exchange 2007 (via syslog)
Microsoft Forefront Threat Management
Gateway
Microsoft IAS (XML)
Microsoft IAS/NPS
Microsoft ICF (Internet Connection
Firewall)
Microsoft ISA 2004 CSV
Microsoft ISA Server
Microsoft ISA Server Packet
Microsoft ISA WebProxy (ODBC log
source)
Microsoft ISA WebProxy (CSV)
Microsoft Media Server
Microsoft SharePoint Server
Microsoft Port Reporter
Microsoft Proxy
Microsoft Proxy (Bytes Received Field
Before Bytes Sent)
Microsoft Proxy (d/m/yy)
Microsoft Proxy (d/m/yyyy)
Microsoft Proxy (m/d/yyyy)
Microsoft Proxy Packet Filtering
Microsoft SQL Profiler 2005 Export with
DB/Host
Microsoft SQL Profiler Export
Microsoft Windows DHCP Server
Microsoft Windows DHCP Server
Microsoft Windows Firewall
Microtech ImageMaker
Microtech ImageMaker
MikroTik Router
MikroTik Web Proxy
Clearswift MIMEsweeper
FreeBSD Minirsyslogd
Mirapoint SMTP
Mirapoint Message Server
Miva Merchant Access
Miva Merchant Combined Access
Generic MM/DD-HH:MM:SS Timestamp
Syslog Server
Apache Mod Gzip
Stand: 07.05.2013
37 / 44













































Adiscon MonitorWare
Adiscon MonitorWare (Alternative)
Microsoft MPS
Microsoft Provisioning System
Mitsubishi msieser HTTP
Mitsubishi msieser SMTP
Blue-Canoe MTS Professional
N2H2 Novell Border Manager
N2H2
N2H2 Sentian
Nagios
NcFTP (Alternate)
NcFTP Xfer Server
NEMX PowerTools for Exchange
Juniper Networks Neoteris
Netscreen Neoteris SSL Web Client Export
Tenable Nessus
Ulrich Callmeier Network log daemon
NetApp Filers Audit
NetApp NetCache 5.5+
BlueCoat NetCache 5.5+
NetApp NetCache
BlueCoat NetCache
NetContinuum Application Security
Gateway
Netegrity SiteMinder Access
Netegrity SiteMinder Event
NetForensics Syslog
Netgear DG834G
Netgear FR328S
NetGear FVL328 (logging to syslog)*
Netgear FVL328 (logging to syslog)
Netgear FVS318
Netgear FVS318 With Syslog
Netgear Firewall
Netgear Security
Netgear Security (logging to syslog)
AEP Netilla
Netkey
NCR Netkey
Motorola Netopia 4553
Stairways NetPresenz
Stairways NetPresenz (24-hour times,
d/m/y dates)
Stairways NetPresenz (d/m/y dates)
Netscape Netscape Extended
Netscape Messenger 4.0
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland








































Juniper Networks NetScreen IDP
Juniper Networks Netscreen-25
Juniper Networks NetScreen-204
Juniper NetScreen SSG
Juniper Networks Netscreen SSL Gateway
Juniper Networks NetScreen Traffic (get
log traffic)
Juniper Networks Netscreen Web Client
Export
Microsoft Netstat
RedHat Netstat
GNU/Linux Netstat
HP Netstat
Net-Wall
Generic Network Syslog
Neustar Webmetrics
Nmap Security Scanner
nnSoft nnBackup
No Syslog Header (use today's date, or use
date/time from message)
Nokia IP350/Checkpoint NG
Norstar PRELUDE and CINPHONY ADC
Nortel Contivity (VPN Router/Firewall)
Nortel Meridian 1 Automatic Call
Distribution (ACD)
Nortel Networks Instant Internet
Nortel SSL VPN
Symantec Norton Personal Firewall 2003
Connection
Novell Border Manager 3.8
Novell Border Manager (W3C)
Novell iChain (W3C Extended)
Novell iChain (W3C)
NovellNetMail 3.5
Novell NetMail
GNU General Public License NTsyslog
BSD NVDCMS
O'Reilly Web Access
Open WebMail
OpenBSD Packet Filter Firewall (tcpdump neqttr)
Openfind Mail2000
Jive Software OpenFire IM
OpenVPN technologies OpenVPN
Openwave Systems Intermail
Optima Transaction Log
Stand: 07.05.2013
38 / 44












































Oracle Application Server (Java
Exceptions)
Oracle Database Audit
Oracle Express Authentication
Oracle Failed Login Attempts
Hyperion Essbase
Oracle Essbase
Oracle Listener
Packet Dynamics W3C Log Export
Paloalto Firewall(CEF)
Palo Alto Networks Firewall (Integrated
Threat & Traffic)
Palo Alto Networks Firewall (Threat)
Palo Alto Networks Firewall (Traffic)
GNU Passlogd Syslog (Full Messages)
GNU Passlogd
PeopleSoft AppServer
Microsoft Performance Monitor
PHP Error
Piolink Network Loadbalance
Cisco PIX Firewall Syslog Server
Eutron Planet-Share InterFax
Parallels Plesk Server Administrator
Oracle Policy Directory Audit
Oracle Policy Directory Security Audit Trail
Evidian PortalXPert
Psionic Technologies PortSentry
Cisco PortSentry
Tenon Intersystems Post Office Mail
Server
Postfix mail server
Symantec Brightmail Gateway
PostWorks IMAP Server
PostWorks POP3 Server
PostWorks SMTP Server
FreeBSD praudit
GNU Privoxy
GNU ProFTP
Sysgenic Group Proxy-Pro GateKeeper
Fortech, Ltd Proxy Plus
Microsoft PSLogList
GNU PureFTP
GNU PureFTP (Syslog)
QBIK WinGate
Qmail Scanner (Syslog Required)
Qmail Scanner (TAI64N dates)
Qmail Scanner
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland












































Apple Quicktime Streaming Error
Apple Quicktime/Darwin Streaming Server
IBM RACF Security
Livingston Radius Accounting
Livingston Radius Accounting II
Livingston Radius ACT
Radware DefensePro
Radware Linkproof OnDemand Switch
Radware Load Balancing (Using Syslog
Server)
Raiden FTP Server
Raiden MAILD
Netgear RAIDiator Error
Unknown Publisher Rapid Firewall
Symantec Raptor Firewall
Symantec Raptor (Exception Reporting)
RealNetworks RealProxy
RealNetworks RealServer Error
RealNetworks RealServer
RealNetworks RealServer Alternate
Redcreek System Message Viewer
RSA SecurID Audit Admin
RSA SecurID Audit Runtime
Ruby
Maxum Development Rumpus FTP
Maxum Development Rumpus HTTP
Office Efficiencies SafeSquid (Extended
Logging)
Office Efficiencies SafeSquid
Office Efficiencies SafeSquid (Orange)
Office Efficiencies SafeSquid Standalone
GNU Samba
Sambar Server
SAS Firewall
Flowerfire Sawmill Messages
Flowerfire Sawmill Tagging Server
Sawmill Task Log
Sawmill Unified Media
TrendMicro ScanMail for Exchange
Generic Seconds since Jan 1 1970
Timestamp Syslog
eEye Digital Security SecureIIS
Sendmail No Syslog
Sendmail For NT
Sendmail (Syslog Required)
Separ URL Filter
Rhino Software Serv-U FTP Server
Stand: 07.05.2013
39 / 44





































Woodstone Servers Alive (Statistics)
Woodstone Servers Alive
Sharetech / Abocom Firewall
Open Door Networks ShareWay IP
GNU Shorewall
Nullsoft SHOUTcast Media Server / DNAS
(Distributed Network Audio Server)
Nullsoft SHOUTcast Media Server / DNAS
(Distributed Network Audio Server) (W3C)
Secure Computing Corporation Secure
Firewall (Sidewinder)
Secure Computing Sidewinder
Secure Computing Sidewinder Syslog
JH Software Simple DNS
Sun Microsystems SIMS (Sun Internet Mail
Server)
NuSpectra SiteCAM
JP-Secure SiteGuard
PROVISIO GmbH SiteKiosk
Provisio SiteKiosk
CA Technologies SiteMinder Policy Server
CA Technologies SiteMinder Web Acccess
Manager
CA Technologies SiteMinder WebAgent
Franz Krainer SL4NT (dd.mm.yyyy,
commas without spaces)
Franz Krainer SL4NT (dd/mm/yyyy)
Franz Krainer SL4NT
Franz Krainer slnt4
SchedMD SLURM
SmarterTools SmarterMail
N2H2 SmartFilter (Bess Edition)
Secure Computing SmartFilter (Bess
Edition)
SmartMax POP
SmartMax SMTP
GNU SmoothWall
Smoothwall Network Guardian and
Advanced Firewall
SmoothWall SmoothGuardian 3.1
InterSect Alliance SNARE Epilog Collected
Oracle Listener
InterSect Alliance Snare for AIX
Intersect Alliance Snare
Generic SNMP Manager
Sourcefire Snort 2 (syslog required)
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland









































Sourcefire Snort (standalone, mm/dd
dates)
Sourcefire Snort (standalone, mm/dd/yy
dates)
Sourcefire Snort (syslog required)
Sourcefire SNORT Portscan
Generic Socks 5
Software602
SolarWinds Syslog Server
SonicWall SonicWall 5
SonicWALL Aventail Client/server Access
SonicWALL Aventail XML Report
SonicWall NSA (Network Security
Appliance)
SonicWall SonicWall or 3COM Firewall
SonicWall TZ 170 Firewall
Sophos Antispam Message
Sophos Antispam PMX
Sophos Mail Monitor for SMTP
Sophos Web Appliance
Sourcefire Defense Center
Sourcefire IDS
Apache SpamAssassin
OpenBSD spamd (SpamAssassin Daemon)
Squarespace
SquareSpace Tomcat Tomsquare
GNU Squid Common
GNU Squid Common - Syslog Required
GNU Squid Event
SquidGuard Plugin for Squid
Shalla Secure Services squidGuard
Squid Proxy server
Squid Web cache daemon
GNU Squid With Full Headers
GNU Squid with ncsa_auth Package
Juniper Networks Steel Belted Radius ACT
Stonesoft StoneGate Firewall
O2 Micro Succendo SSL VPN
Netscape Netscape Directory Server
Sun Microsystems Sun ONE Directory
Server
Oracle Sun ONE Directory Server
Sun Microsystems Sun ONE Directory
Server Audit
Oracle Sun ONE Directory Server Audit
Sun Microsystems Sun ONE Directory
Server Error
Stand: 07.05.2013
40 / 44








































Oracle Sun ONE Directory Server Error
SuperLumin Networks Nemesis
Sybase Error Log
Symantec AntiVirus Corporate Edition
Symantec AntiVirus Corporate Edition
(VHIST Exporter)
Symantec Antivirus
Symantec Brightmail Gateway (via syslog)
Symantec Enterprise Firewall 8
Symantec Enterprise Firewall
Symantec Gateway Security 2 (CSV)
Symantec Gateway Security 400 Series
Symantec Gateway Security
Symantec Gateway Security (via syslog)
Symantec Mail Security
Symantec Mail Security Syslog
Symantec System Console
Symantec Web Security CSV
Symantec Web Security
Syslog Syslog (yyyymmdd hhmmss)
Balabit IT Security Syslog NG (tab
separated)
BalaBit IT Security Syslog-NG
BalaBit IT Security Syslog-NG (No Year)
BalaBit IT Security Syslog NG Log (no date
in log data; yyyymmdd date in filename)
BalaBit IT Security Syslog-NG (No Time
Zone)
BalaBit IT Security Syslog NG Messages
SyrReset Mirc
Cisco Systems TACACS+ Accounting
BSD tcpdump
BSD tcpdump (-tt)
BSD tcpdump (-tt, with interface)
BSD tcpdump (-tt, with interface)
Alternate
Tellique
TerraPlay Accounting
Microsoft TFS MailReport Extended
MikroTik The Dude
Generic Timestamp (mm dd hh:mm:ss)
Tiny Software Personal Firewall
Steven Young and Robert James Kaes
tinyproxy
TippingPoint Technologies TippingPoint
IPS 2.5.1
3COM TippingPoint IPS 2.5.2
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland





































HP TippingPoint IPS 2.5.3
TippingPoint
3COM TippingPoint
HP TippingPoint
TippingPoint Technologies TippingPoint
SMS
3Com TippingPoint SMS
HP TippingPoint SMS
IBM Tivoli Storage Manager TDP for SQL
Server
Apache Tomcat (using Access Log Valve
pattern)
Apache Tomcat Alt
Apache Tomcat
Trend Micro Control Manager
Trend Micro Trend Micro InterScan
Messaging Security Suite (IMSS)
eManager
Trend Micro InterScan Web Security Suite
Access
Trend Micro ScanMail For Exchange
Trend Micro ServerProtect CSV Admin
Trend Micro Interscan WebManager
Trend Micro eManager Spam Filter
Unicomp Guinevere
Unicomp Guinevere Virus
Sun Solaris Auth
RedHat Linux Auth
The Fedora Project Linux
Cellopoint CelloOS
IBM AIX
Sun Solaris Daemon Syslog Messages
RedHat RedHat Linux Daemon Syslog
Messages
The Fedora Project Fedora Linux Daemon
Syslog Messages
Cellopoint CelloOS Daemon Syslog
Messages
Open Source UNIX FTP
Open Source Unix Syslog
Open Source Unix Syslog With Year
Unreal Streaming Technologies Unreal
Media Server
Generex UPS WEB/SNMP Manager
Microsoft URL-Scan (W3C)
Microsoft URLScan
Useful Utilities EZproxy
Stand: 07.05.2013
41 / 44











































OCLC EZproxy
Generic User Activity Tracking
UTM Firewall
UUDynamics SSL VPN
University of Wisconsin UW-IMAP
Vamsoft Open Relay Filter Enterprise
Edition
Vasco iKey Server
VBrick EtherneTV Portal Server
Vicomsoft Gateway
Vicomsoft Internet Gateway
Websense Vidius Combined
Vircom Mail Server
Visonys Airlock
vsftpd
Generic W3C Web Server
WallWatcher Firewall
Generic WAP Error
Jarle Aase War FTP Daemon
Jarle Aase War FTP Daemon (Alternate)
Watchguard Firebox (Cluster Traffic)
Watchguard Firebox Export Header
Watchguard Firebox Export Header
(dd/mm/yy dates)
Watchguard Firebox Export Header
(mm/dd/yy dates)
Watchguard Firebox Export (m/d/y)
Watchguard Firebox Export
Watchguard Firebox v60
Watchguard Firebox V60 Syslog required
Watchguard Firebox X Core e-Series
Watchguard Firebox XTM
Watchguard Historical Reports Export
Watchguard Firebox
Watchguard SOHO
Watchguard WELF
Watchguard WSEP Text Exports (Firebox II
& III & X)
Watchguard Firebox XML
BEA Systems WebLogic 8.1
Oracle BEA WebLogic 8.1
Websense
CCMedia Webnibbler
IBM WebSEAL Audit
IBM WebSEAL Authorization (XML)
IBM WebSEAL CDAS
IBM WebSEAL Error
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland


































IBM WebSEAL Security Manager
IBM WebSEAL Wand Audit
IBM WebSEAL Warning
Websense
IBM WebSphere Message Broker
Kerio WebSTAR FTP
Kerio WebSTAR
WebSTAR Proxy
Kerio WebSTAR Proxy
Kerio WebSTAR W3C Web Server
Clearswift Technologies Websweeper
Webtrends Extended
Webtrends Syslog for Firewalls and VPNs
Secure Computing WebWasher
McAfee WebWasher
Prrdeikes Welcome
Webtrends WELF date/time extraction (no
syslog header)
WebTrends WELF Stand-alone (no syslog)
Ipswitch Whatsup Syslog
Sentman WhistleBlower
Sentman WhistleBlower Performance
Metrics
Who's Clicking Who
Microsoft Windows Event Log (CSV export
dd/mm/yyyy)
Microsoft Windows (Server 2008/Vista)
Event Log (CSV Export, m/d/yyyy dates)
Microsoft DNS Server
Microsoft Windows 2000/XP Event
(export list-CSV) ddmmyyyy
Microsoft Windows 2000/XP Event (save
as-CSV) dd/mm/yyyy
Microsoft Windows 2000/XP/2003
Eventlog via Syslog
Microsoft Windows 7/2008 Eventlog via
Syslog
Microsoft Windows Event Log
Microsoft Windows Event Log (CSV)
Microsoft Windows Event (Comma
Delimited, m/d/yyyy days, h:mm:ss
AM/PM times)
Microsoft Windows Event Log (Tab
Delimited)
Microsoft Windows Event (comma or tab
delimited, no am/pm, 24h & ddmmyyyy)
Stand: 07.05.2013
42 / 44





































Microsoft Windows Event (24 hour times,
d/m/yyyy dates)
Microsoft Windows Event (ALTools
export)
Microsoft dumpel.exe
Microsoft Windows Event (dumpevt.exe
export)
Microsoft Windows NT Scheduler
Microsoft Windows NT Syslog
Microsoft Windows NT4 Event (save as
CSV)
Microsoft Windows Performance Monitor
Microsoft Windows Syslog
Microsoft Windows XP Event Log
(LogParser CSV Export)
Qbik WinGate Proxy (no Traffic lines,
dd/mm/yy dates)
Qbik WinGate Proxy (no Traffic lines,
mm/dd/yy dates)
Qbik WinGate Proxy (with Traffic lines)
Blue Coat Winproxy 5.1 (yyyy-mm-dd
dates)
Blue Coat WinProxy Alternate
Ositis Winproxy Common
Ositis Winproxy
Ositis Winproxy (2-digit years)
Kerio WinRoute Connection
Kerio WinRoute Mail
Kerio WinRoute Web
Bitvise Winsshd
Adiscon WinSyslog
Wipro Websecure Audit
Wipro Websecure Auth (Alternate Dates)
Wipro Websecure Auth
Wipro Websecure Debug
Ethereal Packet Analyzer
Wireshark Packet Analyzer
Wowza Media Systems Wowza Media
Server
Ipswitch WS_FTP
Sawmill Analytics WU-FTP
Washington University WU-FTP
Washington University WU-FTP (yyyy-mmdd Dates, Server Domain)
8e6 Technologies X-Stop
M86 Security X-Stop
GNU XMail SMTP Server
© 2013 HAAGE & PARTNER Computer GmbH, Deutschland










GNU XMail Spam
Forum Systems XWall
Yamaha RTX
Youngzsoft CCProxy
Zeus Technologies Zeus Web Server
Extended
Zeus Technology Zeus Web Server
(Alternate Dates)
Check Point Software Technologies Zone
Alarm
ZyXEL Communications
Zyxel Communications Zyxel Firewall
(Syslog Required)
Zyxel Communications Zywall Firewall
WELF
Stand: 07.05.2013
43 / 44
Das Format der Logdatei wird normalerweise automatisch erkannt. Sie können auch eigene Formate
definieren bzw. bestehende abändern, um Sawmill an Ihre Bedürfnisse anzupassen.
Wir bieten die Anpassung der Logfilter und Reportausgaben auch als Dienstleistung an. Setzen Sie
sich bitte ggf. mit unserem Support oder Vertrieb in Verbindung.
11.
Kontakt, Vertrieb & Support
Exklusivvertrieb für Deutschland, Österreich und Schweiz
HAAGE&PARTNER Computer GmbH
Emser Straße 2 · D-65195 Wiesbaden
Deutschland
Telefon:
Telefax:
(0611) 710 926 00
(0611) 710 926 01
Internet:
www.haage-partner.de
www.sawmill-analytics.de
Support
Hauptseite: www.sawmill-analytics.de
Tutorials: www.haage-partner.de/sawmill/workshops.html
Support: www.haage-partner.de/sawmill/support.html