You are on page 1of 1199



LogRhythm Client Console

Reference Guide
© LogRhythm, Inc. All rights reserved.
This document contains proprietary and confidential information of LogRhythm, Inc., which is protected by copyright and 
possible non-disclosure agreements.  The Software described in this Guide is furnished under the End User License 
Agreement or the applicable Terms and Conditions (“Agreement”) which governs the use of the Software.  This Software 
may be used or copied only in accordance with the Agreement.  No part of this Guide may be reproduced or transmitted in 
any form or by any means, electronic or mechanical, including photocopying and recording for any purpose other than what 
is permitted in the Agreement.
The information contained in this document is subject to change without notice.  LogRhythm, Inc. makes no warranty of any 
kind with respect to this information. LogRhythm, Inc. specifically disclaims the implied warranty of merchantability and 
fitness for a particular purpose. LogRhythm, Inc. shall not be liable for any direct, indirect, incidental, consequential, or 
other damages alleged in connection with the furnishing or use of this information.
LogRhythm is a registered trademark of LogRhythm, Inc. All other company or product names mentioned may be 
trademarks, registered trademarks, or service marks of their respective holders.
LogRhythm Inc.
4780 Pearl East Circle
Boulder, CO 80301
(303) 413-8745

LogRhythm Customer Support

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 2
LogRhythm Confidential
Welcome to LogRhythm Help
This product manual is available as application Help in the LogRhythm Client Console. Additionally, you can see the 
Support Portal to view the online product manual in HTML format, or download it as a PDF file. If updates or corrections are 
made to the product manual,  the PDF and  Online Help are updated with the latest information. The application Help is 
updated in the Client Console when a new software version is released.

Help Revisions
Version 7.2.5, 5/25/2017  
The following table provides details about new features in recent LogRhythm releases. See the Release Notes for more 

LogRhythm  Last Help 
Additions and Changes to the LogRhythm Help
Version Update
7.2.5 5/18/17  l Added a toggle for AI Cloud access to the User Profile Manager. For more information, see 
the Security Roles topic. Removed the AI Cloud flag from the Platform Manager's Global 
System Settings.
 l Added some additional configuration details to the Splunk Integration and Log Collection 
 l Supported versions for the following collection interfaces have been updated:
 o eStreamer (6.0 and 6.1)
 o Nessus (6.10.2)
 o Rapid7 Metasploit (4.13.0)
 o Rapid7 Nexpose (6.4.24)
 o Retina and Retina CS (5.8.1)
 o Tripwire IP360 (7.5.1)
7.2.4 3/24/17  l Updated the content in the Check Point Log Collection topic to clarify system requirements 
and how to create the System Monitor configuration file.
 l Modified the Carbon Black device configuration guide to reflect the updated Log Source — Cb 
7.2.3 1/19/17  l Improved the way Access Control List (ACL) changes are logged by Realtime FIM. For more 
information, see Logging Discretionary Access Control List (ACL) Changes.
 l Added limited support for Unicode characters in collected logs. For more information, see 
Supported Character Sets and Languages.
 l Enabled logging of HTTP and HTTPS responses from the following API-based collection 
 l Amazon Web Services
 l Box
 l Cradlepoint
 l Nessus Cloud
 l O365
 l Added access permissions to SmartResponse plugins to enable more granular control for 
viewing and running SmartResponse actions from the Web Console. For more information, 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 3
LogRhythm Confidential
LogRhythm  Last Help 
Additions and Changes to the LogRhythm Help
Version Update
see SmartResponse Plugin Manager.
 l Added a flag to the Platform Manager's Global System Settings to enable AI Cloud in the 
Web Console. 
7.2.2 11/4/16  l LogRhythm now supports adding Entities in bulk from a CSV file. For more information, see 
Add Entities from File.
 l LogRhythm now supports adding Entity Networks in bulk from a CSV file. For more 
information, see Add Network Records from File.
 l The User Profile Manager now supports profiles that allow or deny all Log Sources by default. 
For more information, see Manage a User Profile.
 l Incoming Log Sources can be evaluated for automatic acceptance using IP range rules or 
regex pattern matching rules. For more information, see Accept New Log Sources 
 l System Monitor support was added for Debian 8.
7.2.1 9/15/16  l The system now supports virtual log sources collected across network load balancers. For 
more information, see Load Balanced Virtual Log Sources.
 l Collection from Tenable Security Center is now supported. For more information, see 
Tenable Security Center Collection.
 l The subject on outgoing report emails can now be configured. For more information, see 
Create a Scheduled Report.
 l Users can now save a SecondLook restore, similar to saving a Tail or an Investigation. For 
more information, see SecondLook.
 l SmartResponse Plugin actions can now be tested in the SmartResponse Plugin Manager. 
For more information, see SmartResponse.
7.2.0 7/27/2016  l Bulk System Monitor updates with the System Monitor Package Manager are now supported 
for Windows and Linux platforms. For more information, please see Bulk Updates with the 
System Monitor Package Manager.
 l LogRhythm now supports .NET 4.5.2, which will be installed by any component installers 
that require it.
 l Communication over TLS 1.2 is supported between LogRhythm components running on 
 l The Advanced Configuration Tool features were moved into the Client Console. Users can 
now apply recommended configuration values, according to the selected platform, for 
System Monitors, Data Processors, the Platform Manager, and AI Engine.
 l Contextual data reporting enables highly granular control over creating reports for complex 
environments, providing the ability to pull specific, relevant, and powerful data quickly when 
alarms are triggered. Five new reports have been added to the Client Console:
 o AlarmsWithEventDetailAndHostContext_ByEntity_Day
 o AlarmsWithEventAndActivityDetailAndHostContext_ByEntity_Day
 o AlarmNotificationListAndHostContext_ByNotifyee_Entity_Day
 o AlarmsWithAggregateEventsAndHostContext_ByEntity_Day
 o AlarmDetailsWithHostContext

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 4
LogRhythm Confidential
LogRhythm  Last Help 
Additions and Changes to the LogRhythm Help
Version Update
These new reports provide more specific details around origin hosts and impacted hosts,
including OS type, brief descriptions, and additional details such as domain controller
designation or web server configuration settings.
 l The maximum value for the Data Processor's cached DNS TTL properties were lengthened 
to 24 hours (DNSCachedRecordTTL, DNSCacheRecordExternalIPToNameTTL, and 
DNSCacheRecordInternalIPToNameTTL). For more information, please see Configure Data 
Processor Properties.
 l System Monitor support was added for the following operating systems (all are 64-bit):
 o CentOS 7.1
 o Oracle Linux 7.2
 o SUSE 11 & 12.1
 o Ubuntu 12.04 & 14.04
 l LogRhythm's metadata schema was expanded with 18 additional fields to support improved 
 l An Entity name can now be up to 200 characters in length. The full name can be up to 410 
characters in length.
 l Searching for Hosts and Networks is now available in Entities.
 l The following collection interfaces have been updated:
 o AWS
 o Cradlepoint API v2.0
 o Metasploit
 o Nessus
 o NeXpose
 o Okta
 o Salesforce
 o Tripwire IP360

Contact LogRhythm Support

Normal Business Hours:
7:00 AM - 6:00 PM Mountain Time 

LogRhythm Support Portal (Preferred)
Preferred method to guarantee timely advanced support.


Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 5
LogRhythm Confidential
Phone Support
Support Queue Phone Number
11 x 5 Support Queue 866-255-0862
11 x 5 Support Queue 720-407-3990
Corporate 303-413-8745, Option 2
Customers that purchase Platinum Support will be provided a phone number to contact Support Services outside of normal 
business hours.

Tracking Open Issues

When requests are received via the Support Portal, email, or phone support, a ticket will be opened and a confirmation 
email is automatically generated.  Follow up emails and calls are made as appropriate to satisfy the request. Tickets can be 
tracked on the My Support tab of the Support Portal.

Other Ways to Communicate

Other methods to communicate with LogRhythm and the LogRhythm community:

 l Submit feedback via the Feedback form.
 l Join the Community to share news and views about Log Management, SIEM, and how you use LogRhythm.

LogRhythm Terminology
Platform Manager (PM). The LogRhythm Platform Manager is a Windows Server system.  There is one Platform Manager 
per deployment to provide centralized event management, incident management, analysis, reporting, and configuration. 
The Platform Manager houses the Knowledge Base and the following databases: EMDB, Alarms, Events, and LogMart. 
The LogRhythm Alarming and Response Manager (ARM) and LogRhythm Job Manager services run on the Platform 
Data Processor (DP). The LogRhythm Data Processor is a Windows Server system. There can be one or more Data 
Processors per deployment to provide event processing and forwarding. The Mediator Server service runs on the Data 
Processor. The Mediator Server contains the Message Processing Engine (MPE) and the AI Engine Data Provider. In 
medium to large installations, Data Processors should be dedicated systems. In low-volume deployments, a Data 
Processor can coexist on the same system as the Platform Manager (known as an XM).

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 6
LogRhythm Confidential
Data Indexer (DX). The LogRhythm Data Indexer is a Windows Server or Linux system. The Data Indexer provides high-
performance, distributed, and highly scalable indexing and searching of machine and forensic data. Indexers store both the 
original and structured copies of data to enable search-based analytics.
AI Engine. The AI Engine is a Windows Server system. It is LogRhythm’s advanced analysis platform that performs 
correlation, pattern recognition, and behavioral analysis. It receives logs from the Mediator Server’s AI Engine Data 
Provider and sends events to the Platform Manager. There are no databases for the AI Engine. The AI Engine 
Communication Manager and AI Engine Server run on the AI Engine.
System Monitor. The System Monitor is a software component that provides local and remote log data collection across 
various operating systems, including Windows, Linux, AIX, HPUX, and Solaris. See the LogRhythm Compatibility and 
System Monitor Functionality Guide for a list of all supported operating systems and *NIX distributions. The System 
Monitor is a central log data collector, collecting logs from many devices, servers, databases, and applications, performing 
host activity monitoring, and forwarding logs to the Data Processor via authenticated TCP connections.
SQL Trace File Converter (TFC). The LogRhythm SQL TFC is a software component that converts SQL Server trace files 
into UTF8 encoded text files that LogRhythm Windows and UNIX System Monitor Agents can read and forward to the 
Mediator for processing.
Client Console - The LogRhythm Client Console provides deployment administration and user interaction with a 
LogRhythm deployment. The Client Console is the single pane of glass for viewing logs, events, alerts, and reports. The 
Client Console can be installed on various Windows operating systems. See the LogRhythm Compatibility and System 
Monitor Functionality Guide for supported operating systems.
See the Glossary  for a comprehensive list of LogRhythm terminology and acronyms.

Deployment Architecture
Topic Contents
 l Deployment Architecture Overview
 l General Guidelines for Deployment Architecture

Deployment Architecture Overview

LogRhythm has been designed with a highly flexible modular architecture.  Each key LogRhythm function exists in a 
separate software program, or service.  The individual services are installed on hosts to create the overall LogRhythm 
solution.  All LogRhythm services can be installed on a single server providing all LogRhythm capabilities or the services 
can be installed on separate servers in high performance and redundant configurations.

Warning: Changing the default SQL Server Collation from “SQL_Latin1_General_CP1_CI_AS” is not supported 
and can leave your deployment in a non-working state.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 7
LogRhythm Confidential
General Guidelines for Deployment Architecture
A minimal deployment of LogRhythm consists of:

 l One Platform Manager
 l One Data Processor
 l One Data Indexer  
 l One System Monitor 

The modular nature of LogRhythm's components allows the Platform Manager, Data Processor, and Data Indexer to reside 
on the same server for low-volume deployments, or on dedicated  servers for high volume deployments. The following 
general guidelines apply to  any LogRhythm deployment large or small:

Note: See the LogRhythm Support Portal to determine which SQL Server 2008 R2 Service Pack is 
currently being used.

 l The Platform Manager and its associated database contain the record of events  generated by LogRhythm as well as 
all the LogRhythm configuration data. It is  important that the Platform Manager always be placed in a secure internal 
The Platform Manager is a Windows server running SQL Server 2008 R2 and should be  deployed accordingly.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 8
LogRhythm Confidential
 l The Data Processor forwards Agent log data to the Data Indexer. It is the recommended practice to deploy Data 
Processors and Data Indexers in a  secure internal network. However, in some scenarios it may be advisable to  
place the Data Processor in a DMZ when Agents will be used to collect from Remote  Sites.  
The Data Processor is a Windows server. The Data Indexer is a Windows or Linux server, and it should be  
protected with strict access controls placed on devices that can connect to the log repository if deployed in a DMZ 
or an untrusted environment.   
 l Communications to DMZ or remotely deployed Data Processors, from Platform Managers  and Consoles, can be 
encrypted to provide secure log delivery. 
 l The System Monitor, which collects log data and forwards it to a Data Processor, can:
 o be deployed on supported Windows, Linux, or UNIX systems in an internal DMZ or on remote network hosts.
 o encrypt collected log data before forwarding it across untrusted  networks (for example, the Internet).
 o read collected log data before forwarding it across untrusted  networks (for example, flat files).
 o read local Windows Event Logs (the Windows System Monitor).
 o read Windows Event Logs residing on remote systems (the Windows System Monitor).
 o have an  integrated Syslog server  for collection of Syslog data.
 o have an integrated NetFlow server (the Windows System Monitor) for collecting NetFlow/J-Flow  data from Cisco 
 o have an integrated sFlow server for collecting Flow data from network devices.
 o have an integrated SNMP trap receiver.
 o collect the following logs:
 o Check Point Firewall logs
 o Cisco IDS logs
 o Logs residing in database tables
 o Qualys, Nessus, and other vulnerability scanners

LogRhythm Health and Maintenance

 l LogRhythm Health and Maintenance Overview
 l Monitor LogRhythm Health
 l Understand Database Capacity
 l LogRhythm Maintenance

LogRhythm Health and Maintenance Overview

During the deployment of your LogRhythm solution, LogRhythm provides configuration and tuning to ensure your solution 
starts off at an optimal configuration for your log processing needs. The health and maintenance of your LogRhythm 
solution is crucial for its optimal performance.
Maintaining a healthy LogRhythm deployment requires regular maintenance and monitoring to ensure your system is 
operating efficiently and effectively. While this doesn’t require a lot of work on the part of the end user, it is important to 
understand how to monitor the health of your solution and maintain a healthy deployment. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 9
LogRhythm Confidential
Monitor LogRhythm Health
There are many ways to keep your system healthy and various monitoring tools are provided to give you a status of your 
deployment's health.
The Deployment Monitor provides a quick snapshot of the health of your system including details such as the status of 
your hosts, host performance, database utilization, Data Processor metrics, and log volume statistics. It can be accessed 
from the Client Console by a LogRhythm Administrator.
The LogRhythm  Performance Counters provide visibility into the performance of the various LogRhythm components.
The Log Processing Reports provide input into system performance and the efficiency of rules being used in log 
LogRhythm diagnostic alarm rules provide alarms to notify you of errors or warnings related to the LogRhythm 
components.  These alarm rules are imported with the Knowledge Base and are required for all deployments. The Alarm 
Rule Group is QsEMP: Log Management. These alarms should be enabled and configured to notify appropriate personnel. 
They are managed from the Alarm Rules tab within Deployment Manager.

For more detailed information, you can review the log files. All LogRhythm components have log files that provide specific 
details of the component's state and current processing. The log files are stored in the logs folder in the location where the 
component files were installed (for example, C:\Program Files\LogRhythm\LogRhythm Job Manager\logs) and are also 
available from the component's Local Configuration Manager. The components log at a level of detail as specified in the 
Log Level value within the properties of the component, which is configured within the Client Console.  Log Level is set to 
‘info’ by default, but can be updated as necessary to provide more or less detail.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 10
LogRhythm Confidential
Understand and Manage Oversubscription
LogRhythm Oversubscription means that the number of logs being processed in your system, given how your system is 
currently configured, has surpassed your deployments size and processing capacity.
LogRhythm Appliances are sized to provide different levels of processing capability. They are also configured to support 
optimal processing. As you start processing more logs and depending on the configuration of your Mediator and System 
Agent advanced properties, your deployment may need to be reconfigured or expanded to support these needs.
The Mediator and System Monitor Agent have advanced property values such as max memory, queue size, max queue 
size, max logs cached, and flush batch that are configured at your initial deployment to best serve your platform. If these 
values change, they could impact the performance of your solution and cause oversubscription to occur.
To fully understand oversubscription, an understanding of the System Monitor Agent and Mediators state and suspense 
handling, as well as Database capacity is required. These are described below.

Understand State Handling in the System Monitor Agent and Mediator

The LogRhythm System Monitor Agent and the Mediator manage logs through queues to prevent log data loss. When 
these components shutdown they take whatever data they have in memory and write it to disk. Likewise, when the agent 
or the mediator starts up, the data on the disk is ready back into memory to continue processing.

System Monitor Agent:

 l On service shutdown, the System Monitor Agent will write its Message Queue to the state/processedlogs directory.
 l On service startup, the System Monitor Agent will read its Message Queue from the state/processedlogs directory.

 l On service shutdown, the Mediator will write its queues (unprocessed, processed, archive, loginsert, eventinsert, 
ldsengine) to the appropriate state directory.
 l On service shutdown, the Mediator will write final queue state/suspense counts to the scmedsvr.log (INFO level).
 l On service startup, the Mediator will read its state data file back into the queues.

Understand Suspense Handling in the System Monitor Agent and Mediator

A suspense state is reached when one of the following conditions is met

 l ArchiveQueue size > QueueSize
 l Available state drive disk space < 10GB (that is, disk space for suspense and state spool files)

In a suspense state, the mediator will disconnect all agents and will not allow connection until resources have stabilized. 
Each service will spool incoming logs to disk to maintain the processing level.  The component will systematically read the 
spooled log data files back into the queues and process them as soon as the log rate has decreased back to its specified 
operating rate. The spooled suspense files live in the component’s state directory.
When a System Monitor receives more data than its current configuration can handle, it will begin removing data from 
memory and persisting it to disk. When the Agent is no longer under the unsustainable load it will gradually read the disk 
persisted data back in to continue processing.
When a Mediator receives more data than its current configuration can handle, it will begin removing data from memory and 
persisting it to disk. When the Mediator is no longer under the unsustainable load, it will gradually read the disk persisted 
data back to continue processing.

Understand Database Capacity

There are a total of five databases that exist within the LogRhythm Solution as listed below.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 11
LogRhythm Confidential
 l Platform Manager Database. LogRhythmEMDB
 l Alarms Database. LogRhythm_Alarms
 l Case Management Database. LogRhythm_CMDB
 l Events Database. LogRhythm_Events
 l LogMart Database. LogRhythm_LogMart

The LogMart and Events databases have a Time to Live (TTL) setting within the Global Data Management Settings. This 
value determines the number of days the data for that database should be stored online before being removed by the 
maintenance process. Setting these values high will take up more capacity in the database.

Warning: Changing the default SQL Server Collation from “SQL_Latin1_General_CP1_CI_AS” is not supported 
and can leave your deployment in a non-working state.

Platform Manager (EMDB), Alarms, CMDB, Events, and LogMart Databases

The EMDB, Alarms, CMDB, Events, and LogMart databases are set for auto growth, so they will continue to grow until the 
host system runs out of disk space.
If disk space is not available, the LogRhythm components will issue errors in the log files to indicate that there is a problem. 
You may see some of the following logs:

 l Mediator: ***WARNING*** Suspend condition detected: The minimum disk space available for log data spool files 
is less than 1 GB
 l Agent: CanLoadSpoolFiles=False : Reason=Agent run state not RUNNING or MaxLogQueueMemory exceeded
 l Agent: ***WARNING*** Received Data Processor unavailable message from mediator 1

Enable all of the Alarm Rules in the Alarm Rule Group ‘QsEMP: Log Management’ and configure them to notify the 
appropriate personnel to ensure you receive alerts.
As with any production server, disk space must be monitored. This can be set up so that LogRhythm itself is monitoring 
with alarms or other third party monitoring tools, that might be in the environment, are monitoring.

LogRhythm AI Engine Data File Processing

See AI Engine for an overview and details regarding the AI Engine.
Each AI Engine Communication Manager has local, persistent storage for the log data files it receives from Mediators.  The 
AI Engine reads the log data files, processes them, and then deletes the data files from the file system based on the 
configurable parameter MaxLogDataSize, which is the maximum amount of log data to keep on disk.
If the size of the data files exceeds the configurable amount, the AI Communication Manager begins to delete the oldest 
data files while continuing to write the newest logs to new data files on the file system.  The AI Communication Manager 
writes logs to the Windows Event Log indicating that the deletions are occurring.
The value is configured in the AIEEngine.ini configuration file on the AI Engine System:

# Maximum amount of log data from Data Processors to keep on disk (in MB).
# If this amount is exceeded, the AI Engine Communication Manager will begin to delete the
# oldest data files until the data file size is less than the specified maximum.
# Values: 100-1000000 (100 MB - 1000 GB)
# Default: 2000 (2 GB)

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 12
LogRhythm Confidential
On the mediator side, the AI Engine data is stored in memory until the limit is reached. The data will then be written out to 
spool files until it can be transmitted to AI Engine. When the storage limit is reached, the oldest spool file will be deleted.
The parameters are configured by accessing the LogRhythm Data Processor Advanced Properties window and filtering the 
Name field for MaxDataQueueSize or MaxSpoolStorage. For more information on configuring these parameters, see 
Configure Data Processor Properties.

As with any production server, disk space must be monitored. This can be set up so that LogRhythm itself is monitoring 
with alarms or other third party monitoring tools, that might be in the environment, are monitoring.

LogRhythm Maintenance
LogRhythm has several maintenance jobs that age data from the databases and rebuild indexes to maintain efficient 
search functions. If the maintenance jobs do not run, it will have an impact on your system and could create suspense 
conditions and fill the databases to capacity.
The database maintenance jobs are implemented as SQL Server Agent jobs. Two jobs are in place on any LogRhythm 
database server:

 l LogRhythm Weekday Maintenance. Runs Mon-Fri at a default time of 12:15 AM

 l Platform Manager Sunday Maintenance. Runs Sunday at a default time of 12:15 AM

There is one additional job that appears on Platform Managers only

 l LogRhythm Backup is called by the Platform Manager Sunday Maintenance Job

Each job is made up of individual steps that perform a specific maintenance function. It is critical that the SQL Server 
Agent service be running on all LogRhythm database servers to ensure all maintenance is performed on schedule.  To 
ensure the Startup Type is set to Automatic and that the Status is Started, open the Services application and find SQL 
Server Agent (MSSQLSERVER) in the list.

LogRhythm Health Checks and Tune-Up Services

LogRhythm is designed to run with a minimum of required maintenance. However, as with any complex system, a 
LogRhythm Deployment can benefit from periodic assessment, maintenance, and tuning.
LogRhythm’s Health Check and Tune-Up Services are designed to regularly assess a customer’s deployment and ensure 
it is fully operational and functioning.
You can read more about these services on the LogRhythm website. Contact your Customer Relationship Manager to 
learn more and/or to sign up for these services.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 13
LogRhythm Confidential
Networking and Communication
Topic Contents
 l Networking and Communication Overview
 l LogRhythm Networking Considerations
 l LogRhythm Networking Communications

Networking and Communication Overview

There are general guidelines, considerations, and standards to consider prior to deploying your solution within a Network. 
This document covers the networking and communication considerations and requirements to help you deploy your 
solution. Refer to the Deployment Architecture for details regarding deployment options and scenarios.

LogRhythm Networking Considerations

LogRhythm Server IP Addresses

When possible, we recommend LogRhythm servers have two network interfaces cards (NICs). The LogRhythm 
Appliances include two 100 / 1000Mb Ethernet interfaces.  W e recommend using both interfaces, one for log data 
collection, the other for management. All IP addresses must be statically assigned.

DNS Resolution
It is recommended that the LogRhythm server acting as the Platform Manager be entered into DNS so it is addressable by 

Domain Membership
A LogRhythm server does not need to be a member of the Windows Domain to function correctly. However, when 
possible, we do recommend adding it, as it does make remote event log collection easier to manage.

Remote Event Log Collection User Account

A special user account must be created on the domain for remote event log collection. More information is available in 
Collect Windows Event Logs Remotely.

LogRhythm Networking Communications

LogRhythm components communicate over UDP or TCP on specific ports. TLS is used when receiving logs at the Data 
Processor from the LogRhythm System Monitor and also when sending logs from the Data Processor to AI Engine. 
The following table lists all network communications and interactions within a LogRhythm deployment. It will assist 
system and network administrators with configuration of network access control devices and software.

Component Interaction

Client Client Port Server Server Port Protocol Communications

LogRhythm Components
AI Engine Random Platform Manager 1433 TCP Bidirectional, Client
Client Console Random Platform Manager 1433 TCP Bidirectional, Client
Client Console Random Data Indexer 13130, 13132 TCP Bidirectional, Client

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 14
LogRhythm Confidential
Component Interaction

Client Client Port Server Server Port Protocol Communications

Data Indexer Random Platform Manager 1433 TCP Bidirectional, Client
Data Indexer Random Platform Manager 16000 TCP Unidirectional, Client
Data Processor Random Platform Manager 1433 TCP Bidirectional, Client
Data Processor 3334, 3335 AI Engine 30000, 30001 TCP/TLS Bidirectional, Client
Data Processor Random Data Indexer 13100 TCP Bidirectional, Client
Data Processor Random Data Indexer 13200, 13202 TCP Bidirectional, Client
Data Processor Random AI Engine 22409 TCP Bidirectional, Client
LogRhythm API Random Platform Manager 1433 TCP Bidirectional, Client
LR API Clients Random LogRhythm API 433 TCP Bidirectional, Client
LogRhythm KB n/a Platform Manager 80, 443 TCP Bidirectional
LogRhythm Web Random LogRhythm Services 1433 TCP Bidirectional, Client or
Server Host Server Initiated
System Monitor 3333 Data Processor 443 TCP/TLS Bidirectional, Client
System Monitor 3333 Data Processor 40000 TCP Unidirectional, Client
Web Browser Random Data Indexer (Linux) 8111 TCP Bidirectional, Client
Web Browser Random Data Indexer 8110 TCP Bidirectional, Client
(Windows) Initiated
Web Browser Random Data Indexer (Linux) 80, 443 TCP Bidirectional, Client
Web Browser Random Data Indexer 9100 TCP Bidirectional, Client
(Windows) Initiated
Web Console Random LogRhythm Web 8443 HTTPS Bidirectional, Client
Client Server Initiated
Web Console Random Data Indexer 13130, 13132 TCP Bidirectional, Client
Client Initiated

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 15
LogRhythm Confidential
Component Interaction

Client Client Port Server Server Port Protocol Communications

Notifications and Alerts
LogRhythm Random SMTP Server 25 TCP Unidirectional, Client
Platform Manager Initiated
LogRhythm Random SNMP Manager 162 UDP Unidirectional, Client
Platform Manager Initiated
LogRhythm ** McAfee ePO Server ** ** **
Platform Manager
Devices Sending Logs
UDP Syslog Random LogRhythm Agent 514 UDP Unidirectional
TCP Syslog Device Random LogRhythm Agent 514 TCP Unidirectional
NetFlow v1, v5 or Configurable LogRhythm Agent 5500 UDP Unidirectional
v9 Device
IPFIX Device Configurable LogRhythm Agent 5500 UDP Unidirectional
J-Flow Device Configurable LogRhythm Agent 5500 UDP Unidirectional
sFlow Device Configurable LogRhythm Agent 6343 UDP Unidirectional
SNMP Trap Device Configurable LogRhythm Agent 161 UDP Unidirectional
Remote Log Collection
LogRhythm Agent Random Windows Host 135, 137, 138, TCP/RPC Bidirectional, Client
(Windows Event Logs) 139,445 Initiated
LogRhythm Agent Random Database Server DB Server TCP/ODBC Bidirectional, Client
(UDLA) dependent* Initiated
LogRhythm Agent Random Check Point Firewall 18184 TCP/OPSEC Bidirectional, Client
LEA Initiated
LogRhythm Agent Random Cisco IDS (SDEE) 443 TCP/HTTPS Bidirectional, Client
LogRhythm Agent Random Nessus Server 8834 TCP/HTTPS Bidirectional, Client
LogRhythm Agent Random Qualys Server 443 TCP/HTTPS Bidirectional, Client
LogRhythm Agent Random Metasploit Server 3790 TCP/HTTPS Bidirectional, Client
LogRhythm Agent Random Nexpose Server 3780 TCP/HTTPS Bidirectional, Client
LogRhythm Agent Random Retina Server 1433 TCP/ODBC Bidirectional, Client
LogRhythm Agent 4444 eStreamer Server 8302 TCP/HTTPS Bidirectional, Client

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 16
LogRhythm Confidential
Component Interaction

Client Client Port Server Server Port Protocol Communications


* The server port for UDLA collection will vary based on the database server being queried.
(SQL Server default = TCP 1433; MySQL default 3306; Oracle default = TCP 1521; DB2 default = TCP 50000)
** LogRhythm alarms are forwarded to EPO via the McAfee agent installed on a Platform Manager. See your McAfee ePO 
documentation and configuration to determine the ports utilized by McAfee agents and EPO servers.

Agent to Data Processor Communications

Agents communicate with Data Processors via a secure, proprietary TCP-based application protocol. Communications are 
encrypted with TLS using either unilateral or bilateral authentication.   The TCP port Agents send data from, and the TCP 
port Data Processors listen on, is user configurable.

Unidirectional Agent Communication

LogRhythm provides support for secure transmission from an unclassified server to a top secret server. The System 
Monitor Agents support unidirectional communication without receiving any control or data transmissions from the Data 
Processor or Platform Manager. The table and diagram below shows the unidirectional communication from the Agent(s) 
within the unclassified sector to the Data Processor within the top secret sector. Starting with LogRhythm 6.1.2, multiple 
agents are supported.

Client Client Port Server Server Port Protocol Communications

LogRhythm Agent 3333 LogRhythm Data Processor 400001 TCP Unidirectional
1After upgrading to 6.20, the default port is 40000. However, any existing mediators will retain the value they had before the 


LogRhythm Licensing
Topic Contents
 l LogRhythm Licensing Overview
 l LogRhythm Master License File
 l Licensing Considerations
 l Data Processor Licensing
 l Log Message Source Licensing
 l System Monitor Pro and Lite Licensing
 l SQL Server and CAL Licensing

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 17
LogRhythm Confidential
LogRhythm Licensing Overview
LogRhythm licensing has been designed to allow licenses to be assigned and transferred between components centrally.  
There is no need to type license keys directly into each LogRhythm component, making deployment much simpler.  
Instead, you  import your license file into the LogRhythm License Manager and assign available licenses to the deployed 

LogRhythm Master License File

The LogRhythm Solution requires a LogRhythm license file which contains a LogRhythm Master License and Component 
Licenses. The Master License is tied to an individual customer for a single deployment of LogRhythm (1 Platform Manager 
and 1 or more Data Processors). Component Licenses fall within the Master License and are used to license specific 
LogRhythm components within the same LogRhythm deployment.
A LogRhythm license file can contain the following component and subscription licenses:

 l Platform Manager License (always)
 l Data Processor License(s)
 o Software License
 o Appliance License
 l Log Message Source License(s)
 o Quantity License
 o Unlimited License 
 l System Monitor Lite License(s)
 l System Monitor Pro License(s)
 l GeoIP Resolution Subscription License

Refer to the LogRhythm Licensing Help for information on how to import and assign specific licenses.

Licensing Considerations
 l The License for Platform Manager is automatically assigned. Licenses for all other components are assigned when 
the component is created or assigned via the LogRhythm Deployment Manager. 
 l Deployment Manager will attempt to license all newly created components. If a license is unavailable, you will be 
notified. A license can later be assigned via the Deployment Manager. 
 l Deployment Manager will first try to assign a System Monitor Pro license to an agent, if one is available; otherwise, 
it will assign a System Monitor Lite license.
 l When a Data Processor starts, it validates its license. If a license is not assigned, has expired, or has been 
tampered with, the Data Processor Mediator Server process will terminate. 
 l When the Data Processor Mediator Server process authenticates System Monitor Agents, it validates the license of 
the Agent and all reporting Log Message Sources. 
 l If the Agent is not assigned a license, has expired, or been tampered with, the Agent will not be allowed to connect 
to the Data Processor. 
 l If a Data Processor has exceeded the assigned number of Message (Log) Source licenses (in limited licensing 
mode) additional log sources will not be able to send log messages to the Data Processor. 

Data Processor Licensing

A LogRhythm Data Processor is licensed in one of two modes:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 18
LogRhythm Confidential
 l Software Mode. Used if you purchased the LogRhythm licenses as a software package.
 l Appliance Mode. Used if you purchased the LogRhythm licenses as part of a LogRhythm appliance.

Each Data Processor also has a Log Source licensing mode that determines the number of log sources the Data Processor 
is licensed to handle:

 l Limited Mode. Data Processor is licensed to handle a fixed number of log sources.
 l Unlimited Mode. Data Processor is licensed to handle an unlimited number of log sources.

Log Message Source Licensing

Each Log Message Source from which an Agent collects logs must have a corresponding license except for the following 
log sources (which are considered part of the Agent): Data Loss Defender (DLD), User Activity Monitor (UAM), Process 
Monitor (PM), Network Connection Monitor (NCM), File Integrity Monitor (FIM), Syslog Server, and IPFIX/NetFlow/J-Flow 
Server. However, virtualized Log Message Sources collected by the Syslog or NetFlow/J-Flow Servers do need Log 
Message Source licenses.
Log Message Source licenses are available in packs of varying size. Data Processors use license packs as a whole, as 
assigned in the Data Processor Licensing Wizard. As Agents connect, they authenticate Log Message Sources, which 
consume licenses on a first come, first served basis. As Agent connections to the Data Processor close, the Log Message 
Source licenses are returned to an unclaimed state, and can be consumed by the next connecting Agent. 

System Monitor Pro and Lite Licensing

You must license each LogRhythm System Monitor to connect to a Data Processor and forward data. LogRhythm provides 
two types of System Monitor licenses:

 l System Monitor Lite
 l System Monitor Pro

When a System Monitor is registered in the Deployment Manager, it will automatically be assigned a System Monitor Pro 
license, if one is available; otherwise it will assign a System Monitor Lite license. To view the features associated with 
System Monitor Lite and Pro licenses, see the System Monitor Functionality by License: Lite vs. Pro table in LogRhythm 
Compatibility and System Monitor Functionality Guide.

SQL Server and CAL Licensing

Warning: Changing the default SQL Server Collation from “SQL_Latin1_General_CP1_CI_AS” is not supported 
and can leave your deployment in a non-working state.

LogRhythm includes SQL Server Enterprise Runtime as part of the LogRhythm Solution (Appliance or Software).  
LogRhythm also provides an initial number of User Client Access Licenses (CALs) for SQL Server Licensing. The initial 
CALs are included in the purchase of the LogRhythm Solution; however, if you require additional CALs above the initial set 
included, they must be purchased from LogRhythm.
CALs apply to a single deployment for LogRhythm (1 Platform Manager and 1 or more Data Processors). Because CALs 
apply to a LogRhythm deployment, they are only provided with EM or XM Appliances and EM or XM Software Sales.
Either 3 or 5 user CALs are included with a LogRhythm purchase depending on the software and/or appliance purchased. 
Client Access Licenses (CALs) provide one device CAL for the appliance services and allow up to four simultaneous 
LogRhythm Client Console connections. Deployments that require more than four must purchase additional CALs to 
ensure license compliance. If you require additional SQL Server CALs, contact your Customer Relationship Manager 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 19
LogRhythm Confidential
The LogRhythm Solution will come with a SQL Server End User License Agreement (EULA) for the specific appliance 
purchased. View your license to determine the number of CALs you have purchased. Below is an example of the top 
section of the EULA for an appliance.
The LogRhythm Solution will come with a SQL Server End User License Agreement (EULA) for the specific appliance 
purchased. Below is an example of the top section of the EULA for a LRX2 or LRX3 appliance.

Every user who has a login for LogRhythm requires one user CAL. Please note the following:

 l 1 CAL is automatically used by the LogRhythm Administrator default account
 l 1 CAL is automatically used by the LogRhythm Analyst default account

To determine the number of CALs a LogRhythm deployment requires, refer to the Person tab in Deployment Manager.  
Count every Person record where ‘Has Login’ is checked.  This is the number of CALs required.  For example, in the 
following screenshot, this deployment would require 4 CALs. Neither ‘SNMP Trap Manager’ nor ‘Text Notification Manager’ 
has a login; therefore, only 4 CALS are required.

Understand LogRhythm Log Processing

Topic Contents
 l Understand LogRhythm Log  Processing Overview
 l Log Processing Basics
 l Initial Processing   
 l Metadata Processing
 l Windows Event Log Example
 l Flat File Log Example
 l UDLA Log Example
 l Metadata Fields
 l Log Message Classifications
 l Risk-Based Priority (RBP)
 l Configuration and Log Processing

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 20
LogRhythm Confidential
Understand LogRhythm Log Processing Overview
LogRhythm processes your organization's raw log data and presents it in a way that makes it easier to analyze and protect 
your network operations.
For a complete list of metadata fields that LogRhythm parses, calculates, and derives from raw log data, see Metadata 

Log Processing Basics

The devices in your network are generating thousands of raw logs at every moment. These logs are generated in a wide 
variety of formats, and they represent varying degrees of importance in maintaining and protecting your network. 
LogRhythm processes raw log data to make information available to you in a meaningful and uniform context.
Understanding how LogRhythm processes the raw log data will help you configure your LogRhythm deployment to get the 
fullest benefit and most useful output. LogRhythm log processing includes:

 l Initial Processing
 l Assign a Log Source 
 l Identify a Common Event 
 l Assign a Classification 
 l Identify Events
 l Metadata Processing 
 l Parsed data
 l Calculated
 l Derived data

In the following examples, we will use this raw log:
08 13 2009 15:21:19 <LOC4:ERRR> Aug 13 2009 15:21:19 GSC-Internet-FW: %ASA-3-106014:
Deny inbound icmp src INSIDE: dst INSIDE: (type 0, code 0)
After the example log is reviewed, examples are provided for other common types of logs.

Initial Processing
Assign a Log Source
Log Sources are unique log originators on a specific Host. A Host can have more than one Log Source. For example, a 
typical Windows Server Host would include System Event Logs, Application Event Logs, and Security Event Logs. 
LogRhythm identifies the Log Source to:

 l Determine where the log originated.
 l Assign the Log Source to the correct set of base rules called a Message Processing Engine (MPE) policy.
 l Process the log against the assigned MPE policy.   Processing against an MPE policy instead of the complete set of 
rules is a tremendous gain in efficiency. The information in the example log allows LogRhythm to identify it as a 
Cisco ASA Log Source. Now LogRhythm can  process the log against a specific rule base.

Identify a Common Event

Processing the log against the appropriate rule base identifies the Common Event—a short, plain-language description of 
the log.
Assign a Classification
Based on the Common Event, LogRhythm can assign a classification which includes one of three major classifications–
Operations, Audit, or Security–and a more specific sub-classification. Here are some examples:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 21
LogRhythm Confidential
 l Audit: Authentication Failure
 l Operations: Network Deny
 l Security: Suspicious

Results for initial processing of our example log:
Log Source =  Cisco ASA
Matched Rule = PIX-106014: Denied Packet
Common Event = Denied Packet
Classification = Operations: Network Deny
Identify Events
LogRhythm recognizes that some logs are more important to your organization's operation, security, and compliance than 
others. In the identification process, more important logs are designated as Events–generally this will be around 10% of 
your total log activity.

Metadata Processing
LogRhythm parses, calculates, and derives metadata from logs. The metadata fields go into a database  to help speed 
performance when you use LogRhythm search tools such as Investigator, Personal Dashboard, and Reporting.   Logs 
identified as Events and the associated metadata are also sent to LogMart unless specifically configured not to do so.
See the LogRhythm Metadata Fields table for a complete list of metadata fields.
LogRhythm derived metadata fields store network and host information pulled from the log message.
NOTE: Where space is restricted such as column headings, reports, and grids, i and o are used as abbreviations for 
Impacted and Origin. For example, Impacted Zone and Origin Zone may appear as iZone and oZone. Other metadata fields 
also use abbreviations, or short names, in report column headings when space is restricted. 
After additional processing, the following information is available for our example log:
Raw Log
08 13 2009 15:21:19 <LOC4:ERRR> Aug 13 2009 15:21:19 GSC-Internet-FW: %ASA-3-106014: 
Deny inbound icmp src INSIDE: dst INSIDE: (type 0, code 0)
Log Processed Information:
Log Source =  Cisco ASA
Matched Rule = PIX-106014: Denied Packet
Common Event = Denied Packet
Classification = Operations/Network Deny

Vendor Message ID = %ASA-4-106014
Protocol = ICMP
Origin Host =
Impacted Host =

Windows Event Log Example

Raw Windows Event Log

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 22
LogRhythm Confidential
8/20/2008 11:17 AM TYPE=SuccessAudit USER=NT AUTHORITY\SYSTEM COMP=ServerOne SORC=Security 
CATG=Logon/Logoff EVID=540   MESG=Successful Network Logon:  User Name: john.smith Domain:LEARNING   Logon 
ID:(0x0,0x18DF 15   ) Logon Type:3  Logon Process:Kerberos  Authentication Package:  Kerberos Workstation Name:Logon 
GUID:{06cc19fa-e96f-81ba-9ccb-17f0a4319ff4}  Caller User Name:-  Caller Domain:-  Caller Logon ID:-  Caller Process ID: -  
Transited Services: -  Source Network Address: Source Port:2678
Windows Event Log Processed Information
Log Source =   Microsoft Event Log for XP/2000/2003 – Security
Matched Rule: EVID 540: Successful Logon
Common Event = Network Authentication - Admin
Classification = Audit / Authentication Success
Metadata Fields:

Vendor Message ID= 540
Origin Host =
Domain = Learning
Session = 0x0,0x18DF15
Process = Kerberos
Login = john.smith

Flat File Log Example

Raw Flat File Log
917322,2009-01-26 15:07:33.250,516,"POS1050.pcommerce.local","","W","Alert","File access 
control","TESTMODE: The process '<remote application>' (as user SFORCE\Stuart.Young) attempted to access 
'C:\Iris\Bin\RestartSVS.bat'. The attempted access was a write (operation = OPEN/CREATE). The operation would have 
been denied.","FACL_DENY_TESTMODE","RestartSVS.bat","<remote application >",,,,,867,"Remote applications, 
read/write all files (file access via network share)",122,"Microsoft SQL Server",," SFORCE\Stuart.Young"
Flat File Processed Information
Log Source = Flat File – Cisco Security Agent
Matched Rule = FACL_DENY_TESTMODE: Alert
Common Event: File Access Denied
Classification = Audit / Access Failure
Metadata Fields:

Origin Login = Stuart.Young
Domain = SFORCE
Process = remote application
Object = RestartSVS.bat

UDLA Log Example

Raw UDLA Log

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 23
LogRhythm Confidential
URL=Host126 FULL_URL=http://Host126/b/ss/seatimesseattletimescom,seatimesglobalprod/1/= KEYWORD_ID=
UDLA Log Processed Information
Log Source = UDLA – WebSense
Matched Rule = EVID 1026: URL Access Allowed
Common Event = URL Access Allowed
Classification: Audit / Access Success
Metadata Fields:

Vendor Message ID= 1026
Origin Host =
Impacted Host =
Impacted Port = 80
URL = http://Host126/b/ss/seatimesseattletimescom,seatimesglobalprod/1/
Bytes In = 4712
Bytes Out = 8503

Metadata Fields
The following table lists the metadata fields that LogRhythm parses, derives, and calculates from collected log data. These 
fields are utilized in various areas of LogRhythm, including reports, tails, investigations, and so on.

Note: Not all fields are visible in all areas of LogRhythm.

If space is restricted, such as in a report with many columns, some fields display a short name or abbreviation.

Field Short Name Description

Account The user account referenced or impacted by log activity.
Account by Active The user account, grouped by Active Directory Group, referenced or
Directory Group impacted by log activity.
Action Action An action taken by a device.
Address (Sender or For Sender, this is the email originator or VOIP caller number. For
Recipient) Recipient, this is the email address or VOIP caller number.
Amount Amount of an item.
Application The application impacted by the log activity.
City (Impacted) iCity The city impacted by the log activity, as resolved by GeoLocation.
City (Origin) oCity The origin city of the log activity, as resolved by GeoLocation.
Classification Class Identification of one of three major activity groups–Operations, Audit,
or Security–and a more specific sub-classification.
Classification Type ClassType One of three major activity groups: Operations, Audit, or Security

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 24
LogRhythm Confidential
Field Short Name Description
Command The command that was executed within the log activity.
Common Event Event A short, plain-language description of the log that determines its
Count The number of times the log entry occurred when aggregated with
other identical log entries.
Country (Impacted) iCountry The country impacted by the log activity, as resolved by GeoLocation.
Country (Origin) oCountry The origin country of the log activity, as resolved by GeoLocation.
CVE CVE Common Vulnerabilities and Exposure. This field is used to refer to
specific vulnerabilities for a product.
Direction Dir Direction of activity between a log's Origin and Impacted Zones.
Values can be Internal, External, Outbound, Local, or Unknown.
Domain Impacted DomainImpacted The impacted domain in a log message.
Domain Origin DomainOrigin The domain from which a log message originated.
Duration Running time of a session, job, activity, etc.
Entity (Impacted) iEntity The resolved Entity of the impacted host.
Entity (Origin) oEntity The resolved Entity of the origin host.
First Normal Date Min_NormDateMin First occurrence of a single log in an aggregated log.
Group User group or role referenced or impacted by log activity.
Hash Hash The digital signature, or mathematical equivalent, of the file that
retrieves data from a URL or is the combination of other downloaded
Host (Impacted) / iHost The host or device impacted by log activity.
Impacted Host
Host (Origin) / Origin oHost The host or device from which log activity originated.
Hostname (Impacted) iHostname The name of the host, such as a DNS name or Netbios name,
impacted by log activity.
Hostname (Origin) oHostname The name of the host, such as a DNS name or Netbios name, from
which log activity originated.
Impacted Application iApp Application or service impacted by the event.
Impacted Host Bytes Number of bytes received or input from a device, system, or process.
Impacted Host Bytes Average of data received from a device, system, or process
Received (Average) calculated from user criteria.
Impacted Host Bytes Sum of data received from a device, system, or process calculated
Received (Sum) from user criteria.
Impacted Host Bytes Number of bytes sent from a device, system, or process.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 25
LogRhythm Confidential
Field Short Name Description
Impacted Host Bytes Average of data sent from a device, system, or process calculated
Sent (Average) from user criteria.
Impacted Host Bytes Sum of data sent from a device, system, or process calculated from
Sent (Sum) user criteria.
Impacted Host Bytes Amount of data sent and received from a device, system, or process.
Impacted Host Bytes Average of data sent and received from a device, system, or process
Total (Average) calculated from user criteria.
Impacted Host Bytes Sum of data sent and received from a device, system, or process
Total (Sum) calculated from user criteria.
Impacted Host Packets Items, such as packets, received or input from a device, system, or
Received process.
Impacted Host Packets Average of the received items or packets calculated from user criteria.
Received (Average)
Impacted Host Packets Sum of the received items or packets calculated from user criteria.
Received (Sum)
Impacted Host Packets Items, such as packets, sent or output from a device, system, or
Sent process.
Impacted Host Packets Average of the sent items or packets calculated from user criteria.
Sent (Average)
Impacted Host Packets Sum of the sent items or packets calculated from user criteria.
Sent (Sum)
Impacted Host Packets Items, such as packets, sent and received from a device, system, or
Total process.
Impacted Host Packets Average of the sent or received items or packets calculated from user
Total (Average) criteria
Impacted Known iKnownApp Known application or service, such as HTTP, POP3, or Telnet. The
Application MPE maps information in the rule or the log text to a known service.
Interface (Impacted) dInterface The impacted interface number of a device or the physical port
number of a switch.
Interface (Origin) sInterface The origin interface number of a device or the physical port number of
a switch.
IP Address (Origin) oIP The IP address that was the origin of the log activity.
IP Address (Origin) iIP The IP address impacted by the log activity.
IP Address Range A range of IP addresses from which the log activity originated.
IP Address Range A range of IP addresses impacted by the log activity.
Item/Packets In/Out Sum_ItemsInOut The sum of items or packets sent and received calculated from user
(Sum) criteria

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 26
LogRhythm Confidential
Field Short Name Description
Known Host (Impacted) iKnownHost The host record associated with a specific Entity that was impacted
by the log activity.
Known Host (Origin) oKnownHost The host record associated with a specific Entity that was the origin of
the log activity.
Last Normal Date Max_NormDateMax The latest occurrence of a single log in an aggregated log
Location (Impacted) iLoc The impacted country, region, or city in the log activity, as derived
from the GeoIP resolution
Location (Origin) oLoc Country, region, or city where the logged activity originated as derived
from GeoLocation.
Log Count The number of times a log entry occurred in an aggregate log.
Log Count (Average) Avg_LogCount The average number of times a log entry occurred in an aggregate log
calculated from user criteria.
Log Count (Sum) Sum_LogCount The total number of times a log entry occurred in an aggregate log
calculated from user criteria.
Log Source LogSource A unique log originator on a specific Host.
Log Source Entity Entity A logical collection of unique networks, devices, and systems.
Log Source Host LogSourceHost The system or device where the Log Source originates.
Log Source Root Entity EntityRoot The root entity (top-most entity) for a log source.
Log Source Type LogSourceType The type of facility or source where the log originated.
Login The user associated with the log activity.
MAC Address dMAC The MAC address of the impacted host or device.
MAC Address (Origin) sMAC The MAC address of the origin host or device.
Message Text The text of the message.
MPE Rule The Message Processing Engine (MPE) rule that identified the log
message and assigned it a Common Event.
NAT IP Address dNATIP The IP address from which the impacted IP was translated via NAT
(Impacted) device logs.
NAT IP Address (Origin) sNATIP The IP address from which the origin IP was translated via NAT
device logs.
NAT IP Address Range The range of IP addresses from which the impacted range was
(Impacted) translated via NAT device logs.
NAT IP Address Range The range of IP addresses from which the origin range was translated
(Origin) via NAT device logs.
NAT TCP/UDP Port dNATPort The TCP/UDP port from which the impacted port was translated via
(Impacted) NAT device logs.
NAT TCP/UDP Port sNATPort The TCP/UDP port from which the origin port was translated via NAT
(Origin) device logs.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 27
LogRhythm Confidential
Field Short Name Description
NAT TCP/UDP Port The impacted TCP/UDP port range from which the port range was
Range (Impacted) translated via NAT device logs.
NAT TCP/UDP Port The origin TCP/UDP port range from which the port range was
Range (Origin) translated via NAT device logs.
Network (Impacted) iNet Known Network that was impacted by the log activity.
Network (Origin) oNet Known Network that was the origin of the log activity.
Normal Date NormDate The creation date contained in the log. It can be in UTC or user-
selected time zone.
Object A resource such as a file, file path, or registry key that is referenced or
impacted by log activity.
Object Name ObjectName The name for an Object.
Note: Object will store the full path and name but ObjectName will
only store the object name.
Object Type ObjectType A pair with an Object and an Object Name for example, the content
type from HTTP logs.
Origin Login oLogin The login ID that was the origin of the log activity.
Origin Login by Active The login ID that was the origin of the log activity, grouped by Active
Directory Group Directory Group.
Parent Process ID ParentProcessId An ID number for a service or process running on a device, also
known as PID.
Parent Process Name ParentProcessName The name of a process currently running on a system.
Parent Process Path ParentProcessPath The logical storage path for a given process.
Policy Policy The LogRhythm Policy (FIM, RIM, Agent, etc.) resulting in the log
being generated.
Priority Calculated Risk Based Priority (RBP) of the log entry.
Process The name or value that identifies a process.
Process ID ProcessID The ID associated with a process.
Protocol Prot the network protocol applicable to the log message.
Quantity The item quantity.
Rate Rate of an item.
Reason Reason The reason code within a log message. For example:
Checkpoint: reason=mlx Syslog - AirTight IDS/IPS: REASON=1
Recipient The email address or VOIP number of a recipient. For non-email logs,
it might represent the receiver of some form of information.
Region iRegion The geographic region that was impacted by the log activity, as
(Impacted) resolved by GeoLocation.
Region (Origin) oRegion The geographic region from which the log activity originated, as
resolved by GeoLocation.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 28
LogRhythm Confidential
Field Short Name Description
Response Code ResponseCode The response code that is returned from a prior command.
Result Result Anything indicating a result, including but not limited to a code.
Sender The origin email address or VOIP caller number. For non-email logs, it
might represent the sender of some form of information.
Serial Number SerialNumber The serial number for a specific device or system.
Session The user, system, or application session.
Session Type SessionType If a session code is already in use for TCP or UDP protocols, this field
is used for a session type that could be ssh, console, etc. Upon the
establishment of a network connection, a session type will be defined
for that connection.
Severity The value indicating the severity of the log.
Size The size of an item.
Status Status The current waiting state for a process, system state, network state,
or attempted action.
Subject The subject field from an email. For other logs, it might represent the
subject of some form of communicated information.
TCP/UDP Port iPort The destination or client TCP/UDP port.
TCP/UDP Port (Origin) oPort The source or client TCP/UDP port.
TCP/UDP Port Range The destination or client TCP/UDP port range.
TCP/UDP Port Range The source or client TCP/UDP port range.
Threat Id ThreatId An identification number specified for a given threat, as defined from a
third party security system or device, such as a firewall, IPS/IDS, AV,
Endpoint Protection System, etc.
Threat Name ThreatName The name of a specific threat as defined from a third party security
system or device, such as a firewall, IPS/IDS, AV, Endpoint
Protection System, etc.
URL The URL referenced or impacted by log activity.
User Agent UserAgent A unique string which identifies the browser or application and
provides system specific details to servers hosting visited websites.
User (Login or Account) The login or account name of the user.
User by Active The login or account name of the user, grouped by Active Directory
Directory Group Group.
Vendor Info VendorInfo Human readable strings that may contain clarifying information not
easily encapsulated by CE/Classification or a rule name.
Vendor Message ID VendorMsgID A unique, vendor-assigned value that identifies the log message.
Version A value representing the version, such as OS version, patch version,

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 29
LogRhythm Confidential
Field Short Name Description
Zone (Impacted) iZone The resolved Zone impacted by the activity - Internal, External, or
Zone (Origin) oZone The resolved Zone that was the origin of the activity - Internal,
External, or DMZ.

Log Message Classifications

LogRhythm uses classifications to group similar log messages into logical containers. These classifications provide 
organization to vast amounts of log  data, making it easier to sort through and understand. Classifications fall under three 
main categories: 

 l Audit
 l Security
 l Operations

Audit Classifications
The following tables provide Audit classification information. This table lists descriptions and examples. 

Audit Classification Descriptions

Classification Description Examples Of
Startup and Logs reporting on activity pertaining to the starting and stopping of a  l System Started
Shutdown system, device, application, or other relevant object.  l System Rebooted
 l Audit Process Started
Server or provider Services, Daemons, Windows Services.
 l IPSEC Agent Started
Critical Service – prevent network access; related to infrastructure  l HTTPD Service Started
service, security or auditing, authentication, accessibility (most
 l SQL Server Service  
likely due to shutdown caused by failures)
 l Unexpectedly
 l Anti Virus Stopped
Configuration Logs reporting on activity pertaining to the state or configuration of a  l Software installed
system where not related to a Policy.  l Configuration changed
 l Software removed
Critical Service – changes to devices that can prevent network
access; are related to infrastructure service, security or auditing,  l Anti Virus Scheduled Scan 
authentication, accessibility deleted
 l Service Startup 
Ensure the following have RR = 0 -- Normal Registry and Active configuration changes
Directory modifications
 l Active Directory 
Configuration changed 
 l Active Directory Content 
changed (rr=0)

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 30
LogRhythm Confidential
Classification Description Examples Of
 l Enabling / Disabling 
Services and or Protocols
Policy Logs reporting on activity pertaining to the policy of a network,  l Domain Policy changed
system, device, or other relevant object. Includes configuration  l Audit Policy set
changes related to a Policy
 l Access Control Policy 
In general, most of the Policy changes will be set to RR=3 &
forwarded as it will be difficult to know if it is a user level change.  l Content Management 
 l User Level/Workstation 
 l Policy changed 
(Screensaver settings)
Account Logs reporting on activity related to user or system/computer  l User account/group created
Created account creation.
Account Logs reporting on the modification of a user or group outside  l User account properties (for 
Modified granting/revoking access. No group level or access level changes. example, name) changed 
 l Password changed 
Account Logs reporting on activity related to user or system/computer  l User account/group deleted
Deleted account deletion.
Access Logs reporting on activity related to granting of access rights and  l User added to group
Granted privileges.  l Access to file granted
 l Access to program granted
User account was modified to grant access on a permanent state.
 l Administrator role granted
 l Backup role granted
Access Logs reporting on activity related to revocation of access rights and  l User removed from group
Revoked privileges.  l Access to file revoked
 l Access to program revoked
 l Administrator role revoked
 l Backup role revoked
Authentication Logs reporting success user and system authentication activity.  l User logged on locally
Success User or system gaining access through any method of  l User logged on remotely
 l User VPN’s in
 l Program or system 
Authentication Logs reporting failed user and system authentication activity. Due  l User login failed
Failure to bad credentials or unauthorized attempt (user not allowed to log  l VPN login failed
 l Program or system 
authentication failed

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 31
LogRhythm Confidential
Classification Description Examples Of
Access Logs reporting successful read, write, or execute access on files,  l File read
Success programs, and other relevant objects.  l File modified
 l File deleted
Client Applications, Desktop Applications, Scripts
 l Program executed
Access Logs reporting failed read, write, or execute access on files,  l Unauthorized file read 
Failure programs, and other relevant objects. Client Applications, Desktop attempt
Applications, Scripts  l Unauthorized file 
modification attempt
 l Unauthorized file deletion 
 l Unauthorized program 
execution attempt
Other Audit Logs reporting on successful audited activity not otherwise  l Successful 
Success classifiable. authentication/authorization 
 l Kerberos ticket exchange 
 l Successful Credential 
Other Audit Logs reporting on failed audited activity not otherwise classifiable.  l Failed 
Failure authentication/authorization 
Kerberos ticket exchange 
Other Audit Logs reporting on audited activity not otherwise classifiable.

Audit Classification Defaults

This table gives Audit Classification defaults for Risk Rating (RR), Event Forwarding, and LogMart Forwarding.

Classification Default Risk Rating * Default Event Forwarding ** Default LogMart Forwarding
Startup and Shutdown 0 / 3 (Critical Service) If RR > 0 If RR > 0
Configuration 2 Yes Yes
Policy 2 Yes Yes
Account Created 3 Yes Yes
Account Modified 1 Yes Yes
Account Deleted 0 Yes Yes
Access Granted 3 / 5 if admin privilege granted Yes Yes
Access Revoked 0 No Yes
Authentication Success 0 / 1 if privileged user If RR > 0 Yes
Authentication Failure 0 Yes Yes
Access Success 0 No Yes

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 32
LogRhythm Confidential
Classification Default Risk Rating * Default Event Forwarding ** Default LogMart Forwarding
Access Failure 1 Yes Yes
Other Audit Success 0 No No
Other Audit Failure 1 Yes Yes
Other Audit 0 No No

* This is the usual Risk Rating assigned to a Common Event associated with this  classification.  However, Risk Ratings 
will vary by Common Event within the same  classification.  This value is a general default, not strictly enforced.
** This is the default setting for forwarding the log to the Platform Manager  assigned to a Common Event associated with 
this classification.

Security Classifications
The following tables provide   Security classification information. This table lists descriptions and examples. 

Security Classification Descriptions

Classification Description Examples Of
Compromise Logs reporting on a successful  l Admin privileges gained
system or network compromise.  l Unauthorized data access
 l Seizing control of the logical flow of program 
** Seen more on Host Intrusion
Detection Systems (HIDS) than
network based detection  l Modification of any critical file.
mechanisms. ** Creation of unauthorized processes.
 l Modification a system configuration via use of 
an exploit. 
Attack Logs reporting on activity indicative  l Buffer overflow
of a system or network attack  l SQL Injection attack
where it is either assumed to have
 l Forceful Browsing
been successful or cannot be
assumed to have failed. Attack is  l Session Hijacking
known to have originated from a  l Password Guessing (Dictionary)
“Bad Guy” source.
 l Known Exploits
Denial of Service Logs reporting on activity indicative  l DOS Attack
a denial of service where it is  l Distributed DOS Attack
assumed to have succeeded or
 l Resource Starvation
cannot be assumed to have failed.
 l Spinning (process starving CPU)
 l SynFlood Attack
 l Ping of Death
 l Win Nuke
 l Spam Flooding
 l Teardrop
Malware Logs reporting on activity indicative  l Trojan horse installed
 l Backdoor traffic observed

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 33
LogRhythm Confidential
Classification Description Examples Of
of malware installation,  l Worm propagated
propagation, or use.  l Virus activity observed
 l Spyware software installed
This classification is set to RR=9
because malware is indicative of
complex control of systems within
the environment possibly leading to
data loss with malicious intent,
theft, tampering, etc.
Suspicious Logs reporting on activity that is  l Multiple failed login attempts (5 – 10 times)
suspicious but not known to be an  l Packets with abnormal payloads
attack or unauthorized.
 l Use of default user accounts (root, 
administrator, guest) detected by an ids and 
not an audit log.
 l Access from outside anticipated use zone(s).
Reconnaissance Logs reporting on activity indicative  l Port Scan
of or directly indicating system or  l Port Probe
network reconnaissance.
 l Service enumeration
 l Program enumeration
 l User list enumeration
 l Directory enumeration
 l Web crawling
Misuse Logs reporting on activity indicative  l Public webmail usage
of system or network misuse.  l Pornographic content observed
 l Unauthorized program access
 l Content policy violation
 l P2P Usage
Activity Logs reporting on general system  l Packet type observed
or network activity.  l Packet payload dump
 l Interface set in promiscuous mode 
 l Attack Response
 l Forensic related activity
Failed Attack Logs reporting on attack activity  l Buffer overflow dropped
that was not successful, possibly  l SQL Injection dropped
due to preventative measures.
Failed Denial of Service Logs reporting on denial of service  l DOS attack prevented
activity that was not successful,  l Distributed DOS attack prevented
possibly due to preventative
Failed Malware Logs reporting on malware activity  l Trojan horse installation detected and dropped
that was not successful, possibly  l Worm propagation blocked

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 34
LogRhythm Confidential
Classification Description Examples Of
due to preventative measures.
Failed Suspicious Logs reporting on suspicious  l Packet with abnormal payload dropped
activity that was not successful,  l Hotmail usage blocked
possibly due to preventative
 l Pornographic content blocked
 l Unauthorized program access denied
Failed Activity Logs reporting on general system  l Drop Peer to Peer
or network activity that was not  l FTP Command Denied
successful, possibly due to
preventative measures
Other Security Logs reporting on security activity
not otherwise classifiable

Security Classification Defaults

This table gives defaults for Risk Rating (RR), Event Forwarding, and LogMart Forwarding.

Default Risk Rating Default Event Default LogMart

(RR)* Forwarding** Forwarding
Compromise 9 Forward All Forward All
Attack 8 Forward All Forward All
Denial of Service 8 Forward All Forward All
Malware 9 Forward All Forward All
Suspicious 6 Forward All Forward All
Reconnaissance 4 Forward All Forward All
Misuse 5 Forward All Forward All
Activity 0 Forward If Forward Events
Failed Attack 0 Forward None Forward All
Failed Denial of Service 0 Forward None Forward All
Failed Malware 0 Forward None Forward All
Failed Suspicious 0 Forward None Forward All
Failed Activity 0 Forward None Forward None
Other Security 0 Case by Case Forward Events

*This is the usual Risk Rating assigned to a Common Event associated with this  classification.  However, Risk Ratings 
will vary by Common Event within the same  classification.  This value is a general default, not strictly enforced.
**This is the default setting for forwarding the log to the Platform Manager  assigned to a Common Event associated with 
this classification.

Operations Classifications
The following tables provide Operations classification information. This table lists descriptions and examples. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 35
LogRhythm Confidential
Operation Classification Descriptions
Classification Description Examples Of
Critical Logs reporting critical conditions.  l Power supply failure
 l Unrecoverable error
 l CPU overheating
Error Logs reporting error conditions.  l Socket Initialization Failure
 l Certificate validation packet received with 
 l HTTP – 64 Server Error Failed Connection 
Warning Logs reporting warnings.  l Notification Limit Exceeded
 l Wireless Device Decreasing RX/TX Power
Information Logs reporting general information.  l Configuration File Loaded
 l Interface status OK
 l HTTP – 200 Success Response
Network Allow Logs reporting on network activity that  l Allowed Connection
was allowed per a device policy.  l Allowed Protocol
 l Allowed Packet
Network Deny Logs reporting on network activity that  l Denied Connection
was not allowed per a device policy.  l Denied/ Protocol
 l Denied/dropped Packet
Network Traffic Logs reporting on network traffic  l Network Flow Logs
activity such as flows, connections,  l Network Accounting Logs
and usage statistics
 l Packet Logs
Other Operations Logs reporting on operations activity not
otherwise classifiable

Operation Classification Defaults

This table gives defaults for Risk Rating (RR), Event Forwarding, and LogMart Forwarding.

Default Event
Classification Default Risk Rating * Default LogMart Forwarding
Forwarding **
Critical 9 Yes Yes
Error 7 Yes Yes
Warning 5 Yes Yes
Information 0 No No
Network Allow 0 No No
Network Deny 1 No No

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 36
LogRhythm Confidential
Default Event
Classification Default Risk Rating * Default LogMart Forwarding
Forwarding **
Network Traffic 0 No No
Other Operations 0 No No

*This is the usual Risk Rating assigned to a Common Event associated with this  classification.  However, Risk Ratings 
will vary by Common Event within the same  classification.  This value is a general default, not strictly enforced.
**This is the default setting for forwarding the log to the Platform Manager  assigned to a Common Event associated with 
this classification.

Risk-Based Priority (RBP)

 n Risk-Based Priority Overview
 n Risk-Based Priority Definitions
 n Risk-Based Priority Host Levels
 n Risk-Based Priority Network Levels
 n Source Threat Level (STL) Calculation
 n Destination Risk Level (DRL) Calculation
 n Sub-Class Risk Rating Values (SCR)

Risk-Based Priority Overview

LogRhythm uses the information and formulas given here to calculate Risk-Based Priority (RBP). RBP is a calculation that 
results in a number between 0 and 100. It is used to determine how serious/critical the event is based on several 
rating/probability factors.

Risk-Based Priority Definitions

 l BCR. Base-Class Risk Rating, (Audit: 1, Ops: 2, Security: 3)
 l CR. Classification Risk
 l CRR. Classification Risk Rating
 l CW. Classification Weight (Default is 5, set in Mediator Advanced Properties)
 l DRL. Destination Risk Level (set in Host, Basic Information tab)
 l DW. Destination Weight (Default is 5, Set in Mediator Advanced Properties)
 l ER. Event Risk (Risk Rating value set in MPE Policy Rule Editor)
 l ERR. Event Risk Rating
 l EW. Event Weight (Default is 5, Set in Mediator Advanced Properties)
 l FA. False Alarm Rating (set in MPE Properties) 
 l FW. False Alarm Weight (Default is 5, set in Mediator Advanced Properties)
 l MAX. Max Classification Rating = 27 (9 is the highest SCR * 3 is the highest BCR)
 l RBP. Risk-Based Priority
 l RP. Risk Points
 l SCR. Sub-Class Risk Rating

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 37
LogRhythm Confidential
 l STL. Source Threat Level (set in Host, Threat Level tab)
 l SW. Source Weight (Default is 5, Set in Mediator Advanced Properties)
 l TAP. Total Available Points: 9 * (CW + EW + SW + DW) = 180 (by default)

Risk-Based Priority Host Levels

STL. The Host Threat Level designates the amount of threat that is developed if the system were to be the origin of actions. 
A value of 0 means that actions originating from this host are of little cause for alarm or are possibly commonplace, and a 
value of 9 means that this system should not be the source of outgoing actions and that there is the greatest threat to 
security if such events are observed.
DRL. Host Risk Level represents the amount of risk developed if the system were to become compromised or the subject 
of some other issue. A value of 0 means no risk is involved in the loss of this system; a value of 9 means the most risk will 
be incurred if an issue arises. This is relevant when this host is the impacted system, target, or is acted upon by external 

Risk-Based Priority Network Levels

STL. The Network Threat Level designates the degree of threat when the network is the origin of actions. A value of 0 
means that actions originating from this network are of little cause for alarm or are possibly commonplace. A value of 9 
means that this network should not be the source of outgoing actions and that there is the greatest threat to security if such 
events are observed.
DRL. Network Risk Level represents the amount of risk developed if the network were to become compromised or the 
subject of some other issue. A value of 0 means no risk is involved in the loss of this network, a value of 9 means the most 
risk will be incurred if an issue arises. This is relevant when this network is the impacted network, target, or is acted upon 
by external forces.

Source Threat Level (STL) Calculation

If the log was resolved to a Known Origin Host, the value assigned the Host record for Threat Level will be used.

STL = Threat Level for Known Origin Host

Or, if an IP was parsed, network resolution is performed.  If a Network is found, the Network Risk Level is used.

STL = Risk Level of Resolved Network based on Known Origin Host IP Address

If a Risk Rating cannot be determined via a Known Host or Network

STL = Default Threat Level as defined in Data Processor Advanced Properties 

Destination Risk Level (DRL) Calculation

If the log was resolved to a Known Impacted Host, the Host Risk Level assigned the Host record will be used.

DRL = Host Risk Level for Known Impacted Host

Or, if an IP was parsed, network resolution is performed. If a Network is found, the Network Risk Level is used.

DRL = Risk Level of Resolved Network based on Known Impacted Host IP Address

If a Risk Level cannot be determined via a Known Host or Network

DRL = Default Risk Level as defined in Data Processor Advanced Properties

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 38
LogRhythm Confidential
Sub-Class Risk Rating Values (SCR)
The following table lists the sub-classes and their associated risk rating:

Sub-Class Rating
Audit 1
Audit/Authentication Success 0
Audit/Authentication Failure 3
Audit/Access Success 0
Audit/Access Failure 5
Audit/Account Created 2
Audit/Account Deleted 0
Audit/Other Audit Success 0
Audit/Account Modified 2
Audit/Access Granted 2
Audit/Access Revoked 0
Audit/Startup and Shutdown 0
Audit/Policy 0
Audit/Configuration 0
Audit/Other Audit Failure 4
Audit/Other 0
Security 3
Security/Reconnaissance 1
Security/Suspicious 5
Security/Misuse 2
Security/Attack 9
Security/Malware 6
Security/Denial of Service 7
Security/Compromise 9
Security/Vulnerability 5
Security/Failed Attack 0
Security/Failed Denial of Service 0
Security/Failed Malware 0
Security/Failed Suspicious 0
Security/Failed Misuse 0
Security/Failed Activity 0

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 39
LogRhythm Confidential
Sub-Class Rating
Security/Activity 0
Security/Other 3
Operations 2
Ops/Critical 9
Ops/Error 7
Ops/Warning 5
Ops/Information 1
Ops/Network Allow 0
Ops/Network Deny 3
Ops/Network Traffic 0
Ops/Other 2

Configuration and Log Processing

 n Configuration and Log Processing Overview
 n Entities and Known Hosts 
 n Zones
 n GeoLocation

Configuration and Log Processing Overview

LogRhythm can provide additional information depending on how you configure your deployment.

Entities and Known Hosts

Known Hosts are used in LogRhythm to:

 l Consolidate and roll-up log message activity.
 l Calculate Risk Based Priority and Direction.
 l Filter criteria.

A log message is identified with a Known Host using the Windows Host Name(s), DNS Host Name(s), and IP Address
(es). The Known Host is resolved in the following order:

 1.  If the Log Source Host Entity is a child entity:
 a.  Search for Hosts within the Log Source Host Root Entity
 b.  Search for Hosts within other child Entities within the Log Source Host Root Entity
 2.  If the Log Source Host Entity is a Root Entity, search for Hosts within any child Entities within Log Source Host 
Entity. This must resolve to a single Host. If the search returns more than one Host, it goes to Step 5.
 3.  If there is a public IP Address, search other Root Entities, but not their child Entities. This must resolve to a single 
Host. If the search returns more than one Host, it goes to Step 5.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 40
LogRhythm Confidential
 4.  Search for Hosts within the Global Entity.
 5.  Known Host is not resolved.

Hosts and Networks are also assigned a Zone value of Internal, External, or DMZ. The Zone is assigned in the following 

 1.  Use the Zone of the resolved Known Host.
 2.  Use the Zone of the resolved Network.
 3.  Use the IP address, 
 o If the IP Address is private, set the Zone to Internal.
 o If the IP Address is public, set the Zone to External.
 o If there is no IP Address, set the Zone to Unknown.

The  Geographic IP (GeoIP) location level (Country, Region, City) as shown below in Network Visualization.

Note: GeoLocation is currently only available for IPv4 addresses.

The level of resolution depends on how you set the GeoIPResolutionMode property in the Data Processor Advanced 
Properties. If GeoIPResolutionMode is set to None (the default), then GeoIP location cannot be resolved for logs or 
Network Visualization.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 41
LogRhythm Confidential
LogRhythm Security
Topic Contents
 l LogRhythm Security Overview
 l Public Key Infrastructure (PKI) Support
 l LogRhythm Users
 l Federal Information Processing Standards (FIPS)
 l Configure IPsec
 l Configure the Security Banners
 l User Identification and Authentication
 l User Security Permissions

LogRhythm Security Overview

This section provides information about some of the security features in LogRhythm, including passwords and password 
encryption, support for Public Key Infrastructure (PKI), users and security roles, and user security permissions.

LogRhythm Password Encryption

All passwords stored in configuration flat files, such as .ini files, or SQL Server database tables, such as SMTP server 
password in the EMDB.ARM table, are encrypted. All password entries in the Client Console are masked.

Note: LogRhythm supports passwords up to 255 characters long for SIEM services and the Client 

Encryption Method:

 l Generated key is (64 bytes) hashed (SHA1) into 20-byte array (160 bits)
 l AES encryption: cipher mode is ECB and padding mode is PKCS7

Where passwords are stored and entered in a LogRhythm deployment:

 l Configuration (.ini) files (scmedsvr, scarm, lrjobmgr, LRAIEEngine, sdee)
 l Database Tables
 o EMDB System Monitor
 l Client Console
 o Login
 o Log Exporter (SMTP)
 o Automatic Log Source Configuration (SNMP Connections)

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 42
LogRhythm Confidential
 l Local Configuration Managers (LCM)
 o Platform Manager
 o Data Processor
 o AI Engine
 o System Monitor Agent

The LogRhythm Encryption Utility does the following:

 l Encrypts passwords and writes output to the Client Console.
 l Encrypts Cisco IPS, Qualys, Nessus, NeXpose, Metasploit, Sourcefire, Retina, and eStreamer passwords used by 
the LogRhythm System Monitor for event and vulnerability collection. Encrypted passwords will be written to the 
value of the "Password=" parameter in the specified configuration (.ini) file — the configuration file must already 
 l The lrcrypt.exe file is located in one of the following locations: 
C:\Program Files\LogRhythm\LogRhythm System Monitor\lrcrypt.exe
C:\Program Files (x86)\LogRhythm\LogRhythm System Monitor\lrcrypt.exe
 l Usage: lrcrypt [-e passwordtoencrypt] [path\inifile]
 l For example, if the user runs lrcrypt -e password config\nessus.ini, the value specified by password will be 
encrypted and written as the value for the Password parameter in the nessus.ini file.

Important: To get encrypted values for other configuration file parameters — those other than Password — 
you must run lrcrypt without specifying the path to the .ini file. 

For example:
C:\Program Files\LogRhythm\LogRhythm System Monitor>lrcrypt -e mypassword
LogRhythm Password Encryption Utility
Encrypted password: 3||//y/XnKOyOls8HGOb6WaBw==
In this case, mark and copy the encrypted password value and manually paste it into the configuration file.

Note: For security reasons, you should ensure that strong passwords are used and that all 
passwords are protected.   

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 43
LogRhythm Confidential
Public Key Infrastructure (PKI) Support
LogRhythm is Public Key Enabled (PKE) and supports Public Key Infrastructures (PKI). The application supports Common 
Access Cards (CAC) so users can log in to the LogRhythm Client Console using CAC windows credentials and run the 
LogRhythm services using CAC certificates for client/server TLS communications.

 n LogRhythm Component Mutual TLS Authentication
 n Certificate Configuration for LogRhythm Component Connections
 n Certificate Configuration for Microsoft SQL Server Connections
 n Create Client and Server Certificates
 n Verify Certificates
 n Example: Configure Mutual Authentication in LogRhythm
 n Common Access Card (CAC) Use

LogRhythm Component Mutual TLS Authentication

LogRhythm services can operate in several modes that allow for increasing levels of security.  By default, the SIEM server 
services (for example, Mediator Server, AIE Communications Manager, SQL Server) use a self-generated server 
certificate to authenticate themselves to the client components that connect to them — System Monitors, AIE Data 
Providers, SQL Server clients).  By default, the client components do not provide a client certificate to the servers – they 
are unauthenticated (one-way authentication).  A better authentication method employs user-provided server certificates for 
these server services.  The best authentication method employs user-provided server certificates AND user-provided client 
certificates for the client services — mutual authentication.

SIEM Component Default Behavior

Server services (LogRhythm and Microsoft SQL Server) use self-generated, self-signed server certificates:

 l The Mediator service will generate a self-signed server certificate at process start-up and use that to establish TLS 
connections with System Monitor Agents.
 l The AIE Communication Manager service will generate a self-signed server certificate at start-up and use that to 
establish TLS connections with AIE Data Providers.
 l The Web UI Server service will generate a self-signed server certificate at start-up and use that to establish TLS 
connections with web clients.
 l The SQL Server service will generate a self-signed server certificate at process start-up and user that to establish 
TLS connections with the LogRhythm components.

Client services (System Monitor, AIE Data Provider, SQL Server clients) do NOT present a client certificate when 
connecting to the server services.

User Certificate-based Mutual Authentication

 l Support for user-specified TLS certificates for Windows/UNIX System Monitor Agent (client) and Mediator (server) 
communications (one- and two-way authentication).
 l Support for user-specified TLS certificates for AIE Data Provider (client, in the Mediator) and AIE Communication 
Manager (server) communications (one- and two-way authentication).
 l Support for user-specified TLS certificates for the Web UI Server (server, nginx) and web clients (browsers).

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 44
LogRhythm Confidential
 l Support for user-specified TLS certificates for SQL Server (server).  This certificate is used to authenticate and 
encrypt communications between SQL Server and the LogRhythm components: Client and Web Consoles, 
Mediator, ARM, Job Manager, and AIE Engine.  Note that SQL Server does not support client certificates (one-way 
authentication only).

Red certificates are server certificates and blue certificates are client certificates.

Certificate Deployment Options for SIEM Service TLS Communications

Software Component Client/Server No Certificate Self-generated Certificate User Certificate
System Monitor Agent Client X X
Mediator Server Server X X
AI Engine Data Provider Client X X
AI Engine Communication Manager Server X X
SQL Server Server X X

Certificate Configuration for LogRhythm Component Connections

This topic provides information about configuring certificate information for LogRhythm components. Please note the 

 l For LogRhythm client and server certificates, the Subject name can be the FQDN, short name, or IP address of the 
host machine.
 l Server certificates must contain the Server Authentication enhanced key usage value (–eku as 
well as the key exchange attribute (-sky exchange).

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 45
LogRhythm Confidential
 l Be sure to use a ‘CN=’ before the FQDN or IP address of the Subject for all certificates (SQL Server and 
LogRhythm client/server). For example:
 l Ensure there are no spaces surrounding — or in between — the ‘CN’ and ‘=’ and the Subject (FQDN/Name/IP).
 l Ensure that the client and server certificates have their signing certificate — the Root CA of the certificate — in the 
Trusted Root Certification Authorities store.

LogRhythm Mediator Server

Mediator Server Certificate Specification Settings. Use the specified server certificate instead of the certificate the 
Mediator service self-generates and self-signs when the service starts.  

Note: This certificate must have the server attributes ‘-eku’ and ‘–sky exchange’ 
and it must have an exportable key.

System Monitor Agent Client Certificate Enforcement Settings. Specify whether or not to require Agents to have 

certificates when they connect.  This is applied to all Agents that connect to the Mediator.

AI Engine Data Provider

AI Engine Data Provider Client Certificate Specification Settings. This is the client certificate user by the AIE Data 
Provider (in the Mediator) to authenticate with the AIE Communication Manager (running on AI Engine machine).

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 46
LogRhythm Confidential
AI Engine Communication Manager Server Certificate Enforcement Settings

LogRhythm AI Engine Communication Manager

AIE Communication Manager Server Certificate Specification Settings. Use the specified server certificate instead 
of the certificate the AIE Communication Manager self-generates and self-signs when the service starts. 

Note: This certificate must have the server attributes ‘-eku’ and ‘–sky exchange’ 
and it must have an exportable key.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 47
LogRhythm Confidential
AI Engine Data Provider Client Certificate Enforcement Settings

LogRhythm System Monitor Agent

Mediator Server Certificate Enforcement Settings

System Monitor Agent Client Certificate Specification Settings. This is the client certificate user by the Agent to 

authenticate with the Mediator Server.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 48
LogRhythm Confidential
LogRhythm Web UI
To specify a server certificate for the Web UI Server to use for incoming browser connections, edit the nginx.conf and 
nginx.conf.ejs files (in C:\Program Files\LogRhythm\LogRhythm Web Console) and specify both the ssl_certificate and 
ssl_certificate_key file values:
  server {  
    listen 443 ssl;
    ssl_protocols  TLSv1.2;
    ssl_ciphers  AES128-SHA;

The server certificate file is sent to every client that connects to the server.  The private key file is a secure object and 
should be stored with restricted access, however, it must be readable by nginx.  After making these edits, a restart of the 
LogRhythm Services Host Service is required for them to take effect.

Certificate Configuration for Microsoft SQL Server Connections

This topic provides information about configuring certificate information for SQL Server connections. Please note the 
For SQL Server certificates, you must use the machine FQDN for the Subject (for example, CN=LR-0292ED-  The short hostname or IP address will not work. 
The certificate must contain the Server Authentication enhanced key usage value (–eku and the key 
exchange attribute (-sky exchange).  If your server certificate does not have these properties, the certificate will not show 
up in the SQL Server Configuration Manager’s Certificates dropdown (see below).  The SQL Server Configuration Manager 
will look in both LocalMachine and CurrentUser MY stores for certificates to use.
To configure a server certificate and set the Force Protocol Encryption option for SQL Server, do the following:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 49
LogRhythm Confidential
 1.  Use the SQL Server Configuration Manager’s Server Network Utility to enable Force Protocol Encryption on the 

 2.  Click the Certificate tab, and select your server certificate from the Certificate menu.

 3.  Restart SQL Server.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 50
LogRhythm Confidential
Create Client and Server Certificates
This topic provides information about creating client and server certificates. Please note the following:

 l For SQL Server server certificates, the Subject name must be the FQDN of the host machine — IP addresses are 
not allowed.
 l For LogRhythm client and server certificates, the Subject name can be the FQDN of the host machine or its IP 
 l Be sure to put a ‘CN=’ before the FQDN or IP address of the Subject for all certificates (SQL Server and LogRhythm 
 l Ensure there are no spaces surrounding or in between the ‘CN’ and ‘=’ and the Subject (FQDN/IP).
 l Ensure that the client and server certificates have their signing certificate — the Root CA of the certificate — in the 
Trusted Root Certification Authorities store.

Note: Review this page about makecert.exe before carrying out the following procedures.

 1.  Using makecert.exe, generate a certificate authority (CA) that will issue subsequent server and client certificates.
makecert -r –a sha256 -n "CN=LogRhythm TEST Root CA" -sr LocalMachine -ss MY
This certificate will be created in the MY (Personal) store of the LocalMachine location.  It should be copied or moved 
to the Trusted Root Certification Authorities store so any server or client certificates it generates will be trusted.
 2.  Using makecert.exe, generate a server certificate issued by the test CA from step 1.  Be sure to include these 
parameters: ‘-pe’, ‘-eku’ and ‘–sky exchange’
makecert -pe –a sha256 -n "CN=" -sky exchange -eku -sr LocalMachine -ss MY -ir
LocalMachine -is MY -in "LogRhythm TEST Root CA"
This certificate will be created in the MY (Personal) store of the LocalMachine location.  Note that this command 
requires the Root CA cert to be in the MY (Personal) store of the LocalMachine location (-ir and –is parameters).
 3.  Using makecert.exe, generate a client certificate issued by the test CA from step 1.
makecert -n "CN=" -sr LocalMachine -ss MY -ir LocalMachine -is MY -in "LogRhythm TEST Root
CA" -a sha256
This certificate will be created in the MY (Personal) store of the LocalMachine location.  Note that this command 
requires the Root CA cert to be in the MY (Personal) store of the LocalMachine location (-ir and –is parameters).

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 51
LogRhythm Confidential
Verify Certificates
This topic provides information about verifying certificates with Windows Certificate Manager.
To view certificates with Windows Certificate Manager, do the following on the server where the certificates are installed:

 1.  Run mmc.exe.
 2.  On the File menu, click Add/Remove Snap-in.
 3.  Click the Certificates snap-in, and then click Add.

 4.  Select the Computer account option, and then click Next.

 5.  Select the Local computer option, and then click Finish.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 52
LogRhythm Confidential
 6.  Click OK in the Add or Remove Snap-ins dialog box.

Certificate Location: LocalMachine or CurrentUser
Certificate Store:  MY (Personal) or ROOT

 1.  Client and server certificates need to have their signing certificate (i.e., the Root CA certificate) in the Trusted Root 
Certification Authorities in order to pass the trusted authority check.
 2.  Server authentication: -sky exchange -eku

 3.  To verify your certificate is trusted — its signing certificate, the Root CA certificate, is in the LocalComputer’s 
Trusted Root Certification Authorities store — bring up the properties of your client or server certificate and click the 
Certification Path tab.
You should see a tree structure with your certificate as the leaf and its signing certificate as the root.  Additionally, 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 53
LogRhythm Confidential
the ‘Certificate status’ field at the bottom of the dialog should state: This certificate is OK.

If you did not create your own certificates, if you are not sure where your certificate came from, or to verify that your 
certificate has the right attributes, please note the following:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 54
LogRhythm Confidential
 1.  LogRhythm and SQL Server support any certificates that the Windows operating system can support, including 
certificates using SHA1 through SHA512 for the signature algorithm.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 55
LogRhythm Confidential
 2.  Review the certificate properties to ensure it is valid:
 l Look for the This certificate is OK message on the Certificate Path tab.
 l Review the information on the General tab:
Good certificate:

Bad certificates:

 3.  Make sure your certificate’s signing certificate — the Root certificate authority (CA) that was used to generate your 
client or server certificate — is in the LocalComputer’s Trusted Root Certification Authorities store:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 56
LogRhythm Confidential
 4.  If it is a server certificate, make sure it has Server Authentication as an enhanced key usage value:

Example: Configure Mutual Authentication in LogRhythm

This topic illustrates how to configure mutual authentication in an example LogRhythm deployment that contains a 
Platform Manager (PM), a Data Processor + Data Indexer (DPX), AI Engine, and two System Monitors.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 57
LogRhythm Confidential
In this configuration, we will need the following certificates:

 l 1 root certificate authority (CA) certificate – this is used to create all the client/servers certificates that will be used
 l 3 server certificates:
 l Data Processor/Indexer (Mediator)
 l AIE Communications Manager
 l Platform Manager (SQL Server)
 l 3 client certificates:
 l 2 Windows System Monitor Agents
 l 1 AIE Data Provider

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 58
LogRhythm Confidential
 1.  Create your root certificate authority (CA).
makecert -r -n "CN=LogRhythm TEST Root CA" -sr LocalMachine -ss MY –a sha256
This certificate will be created in the MY (Personal) store of the LocalMachine location.  It will be copied/moved to 
the Trusted Root Certification Authorities store so any server/client certificates it generates will be trusted.
 2.  Create three server certificates:
 a.  Data Processor (Mediator):
makecert -pe -n "" -sky exchange -eku -sr LocalMachine
-ss MY -ir LocalMachine -is MY -in "LogRhythm TEST Root CA" –a sha256
 b.  AIE Communications Manager:
makecert -pe -n "" -sky exchange -eku -sr LocalMachine -
ss MY -ir LocalMachine -is MY -in "LogRhythm TEST Root CA" –a sha256
 c.  Platform Manager (SQL Server):
makecert -pe -n "" -sky exchange -eku -sr LocalMachine -
ss MY -ir LocalMachine -is MY -in "LogRhythm TEST Root CA" –a sha256
You will now have four certificates in your LocalMachine Personal store: the Root CA and three server 
certificates, one for each server in the example deployment.

 3.  Create three client certificates:
 a.  Two Agent client certificates:
makecert –a sha256 -n "" -sr LocalMachine -ss MY -ir
LocalMachine -is MY -in "LogRhythm TEST Root CA"
makecert –a sha256 -n "" -sr LocalMachine -ss MY -ir
LocalMachine -is MY -in "LogRhythm TEST Root CA"
 b.  AIE Data Provider (Mediator):
makecert –a sha256 -n "" -sr LocalMachine -ss MY -ir LocalMachine -is
MY -in "LogRhythm TEST Root CA"
You will now have seven certificates in your LocalMachine Personal store: one Root CA, three server 
certificates, and three client certificates.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 59
LogRhythm Confidential
Note that LRDPX has two certificates: a server certificate for the Mediator Server and a client certificate for 
the AIE Data Provider.
 4.  Using the Windows Certificate Manager, export each certificate to files and install them on their appropriate 
machines in the LocalMachine Personal store.

Important: The three server certificates should be exported with their private keys.

Important: Each machine must also have the Root CA imported into its Trusted Root Certification 
Authorities store.  For each client/server certificate you export and install on a machine, you will also need 
to install the Root CA certificate — two certificates per machine — the root CA and the server or client 

Common Access Card (CAC) Use

Work with your Administrator to get details about your organization's certificate authority and client certificates.
The setup of certificates and common access card use must be done by an authorized administrator who understands your 
organization's network system infrastructure and has the proficiency to set it up correctly.
Key Considerations:

 l When creating a server certificate for the Mediator, AIE ComMgr, and SQL Server using your ‘root’ certificate, you 
must run the command with the ‘-sky exchange –eku’ parameter.  This will enable the certificate to 
perform Server Authentication which is required for all server certificates including those for the Mediator, AIE 
ComMgr, and SQL Server.  If you don’t create the server certificate with the key exchange attribute specified (-sky 
exchange –eku it will not work for the Mediator and the certificate will not show up in the SQL 
Server configuration Certificates menu. The SQL Server Configuration Manager will look in both LocalMachine and 
CurrentUser MY stores for certificates to use.
 l When creating a server certificate for SQL Server using your ‘root’ certificate, you MUST use the machine FQDN for 
the Subject.  The short hostname or IP address WILL NOT WORK.
 l The user the Agent service is running under MUST have the LogRhythm Root CA certificate in the LocalMachine’s 
trusted store (LocalMachine/Trusted Root Certification Authorities).  This will allow the Agent to verify the server 
certificate presented by the Mediator, AIE ComMgr, and SQL Server.
 l The user the LR service (e.g. Agent) is running on MUST have read permissions to the certificate store and 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 60
LogRhythm Confidential
LogRhythm Users
A LogRhythm user is created within LogRhythm as a person record and user account. A person record doesn’t require a 
user account, but a user account requires a person record. A user account is also required to log in to the system. By 
default, a LogRhythm Administrator and LogRhythm Analyst user is created and available with a new LogRhythm 
Deployment. Each LogRhythm user is granted database access under a specific security role.
LogRhythm users access the LogRhythm solution via the LogRhythm Client Console by entering a user ID and password. 
As part of the login, all communications can be encrypted by checking the “Encrypt all communications” check box from 
the Login window. Users can log in with a Windows Account or a specific user account. In either case, the record must 
exist as a person/user within the LogRhythm solution as created via the Client Console. If FIPS is enabled in the local 
security policy, Windows Authentication is required and therefore is the only method to log in to the Client Console.
Each LogRhythm user account must be assigned a User Profile. A User Profile is assigned one of the following Security 
Roles: Global Administrator, Restricted Administrator, Global Analyst, Restricted Analyst, or Web Service Administrator.
The general permissions for each Security Role are described below.

Global Administrator
 o Full control of LogRhythm functionality
Global Analyst
 o Has LogRhythm database permissions that are limited only to read-only functions (investigations, tails, alarms, 
and reports)
 o Has no access to Deployment Manager to make configuration changes (LogRhythm enforced)
Restricted Administrator
 o Has LogRhythm database permissions that permit configuration changes as well as read-only functions 
(investigations, tails, alarms and reports)
 o Has specific permissions to view and modify host, SM Agent, and log source properties (SQL Server enforced, 
View). Also known as LogRhythm Discretionary Access Control. This access control is segregated by Entity.
 o Has limited access to Deployment Manager to make configuration changes to permitted resources (LogRhythm 
Restricted Analyst
 o Has LogRhythm database permissions that are limited only to read-only functions (investigations, tails, alarms 
and reports)
 o Has specific permissions to view data from log sources, entities, and Data Processors (SQL Server enforced, 
View). Also known as LogRhythm Discretionary Access Control. This access control is primarily segregated by 
Entity, but can also be granted at a Data Processor and/or Log Source level.
 o Has no access to Deployment Manager to make administrative changes (LogRhythm enforced)
Web Service Administrator
 o Full control of LogRhythm API functionality

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 61
LogRhythm Confidential
Federal Information Processing Standards (FIPS)

 n Federal Information Processing Standards Overview
 n Configure SQL Login to Create a Data Processor with FIPS Enabled
 n Run FIPS
 n Enable FIPS Security Policy
 n LogRhythm Modifications when Running in FIPS Mode
 n Windows Agent SNMP v3 Trap Collection

Federal Information Processing Standards Overview

Federal Information Processing Standards (FIPS) are publicly announced standards developed by the US government for 
use by all non-military government agencies and by government contractors. Many FIPS standards are modified versions 
of standards used in the wider community such as ANSI, IEEE, and ISO.
When installed on a system where FIPS is enabled, each LogRhythm component runs in a FIPS compliant mode of 
operation. When communicating components are running in FIPS mode, the communication is encrypted including:

 l Agent to Mediator
 l Mediator to SQL Server
 l Mediator to AIE Communication Manager
 l Alarming and Response Manager (ARM) to SQL Server
 l Job Manager to SQL Server
 l Client Console to SQL Server
 l AI Engine to SQL Server
 l SQL Server to SQL Server

FIPS can be enabled for LogRhythm component communication on all systems that LogRhythm supports except for 
Windows 2000 and Windows XP SP1 and SP2: 

Operating System FIPS Support

Windows Server 2000 NO
Windows XP Service Pack 1 NO
Windows XP Service Pack 2 NO
Windows XP Service Pack 3 YES
Windows Server 2003 YES
Windows Vista YES
Windows Server 2008 YES
Windows 7 YES
Windows Server 2008 R2 YES
Windows 8/8.1 YES
Windows 2012 YES

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 62
LogRhythm Confidential
Operating System FIPS Support
Solaris 8, 9, and 10 SPARC YES
Solaris x86 10 Intel-based YES
AIX 5.2, 5.3, 6.1, and 7.1 YES
Linux 2.4 and 2.6 kernels YES
HP-UX PA-RISC 11i v1, 11i v2, and 11i v3 YES
HP-UX Itanium 11i v2 and 11i v3 Itanium YES

When a LogRhythm component service is started, a message is written to its local application log, such as the 
scmedsvr.log for Mediator and the scarm.log for ARM. The message states whether the component is running in FIPS 
mode; for example, Mediator running in FIPS mode: YES. 
To see if the LogRhythm Client Console is running in FIPS mode, click Help, then click About LogRhythm and view the 
FIPS mode.

Configure SQL Login to Create a Data Processor with FIPS Enabled

When running in FIPS mode, you can only log in using Windows authentication. Therefore, the SQL Server Login must be 
properly configured with LogRhythmGlobalAdmin rights since the security settings are propagated to the Data Processor.
From the SQL Server Studio Manager, ensure that the login (DOMAIN\USERNAME) has the following settings:

 1.  User must have a SQL Server login on the new Data Processor   
 o In the Object Explorer, drill-down to click Security, click Logins, then click LogRhythmLM
 o Right-click and select New Login
 o Enter the Login Name
 2.  User must be added as a database user in the LogRhythmLMDB (or LogRhythmRADB for online archive mode) and 
granted the LogRhythmGlobalAdmin role
 o In the User Mappings, under Users mapped to this login, select the Map check box for LogRhythmLMDB (or 
LogRhythmRADB for online archive mode)
 o For each database, set the Database role membership to LogRhythmGlobalAdmin

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 63
LogRhythm Confidential
 3.  User must be granted permissions on the server
 4.  Save the Data Processor settings by clicking OK.

Prerequisites: Both FIPS and Integrated Security must be enabled for the same LogRhythm components. In other words, 
you must configure Integrated Security to utilize our FIPS compliance configuration. Running our services with service 
accounts is highly recommended for proper FIPS compliance.
To run LogRhythm appliances and software in FIPS compliant mode:

 1.  Create an administrator user account on the box where the PM/DP resides. This will later be set up in LogRhythm 
People/Users to use when FIPS is enabled (it can be a standard admin account or a new one).
 2.  Set up local accounts for the LogRhythm services according to the Use Integrated Security section. This must be 
followed for FIPS to work with Windows accounts.
 3.  Before logging in to the Client Console, ensure FIPS is disabled. 
 4.  Log in to the Client Console as the LogRhythmAdmin.
 5.  Create the administrator person and user records created in step 1.
 6.  Log out of the Client Console.
 7.  Log out of the system and log back in as the new user.
 8.  Enable the FIPS security policy.
 9.  Log in to the Client Console using Windows account (check box).

Enable FIPS Security Policy

To enable the FIPS Security Policy:

 1.  On the Windows host where the LogRhythm software is running, stop all LogRhythm services:
 o SQL Server
 o SQL Server Agent
 2.  Stop all SQL Server services:
 o LogRhythm System Monitor
 o LogRhythm Mediator Service
 o LogRhythm Alarming and Response Manager
 o LogRhythm Job Manager
 o LogRhythm AIE Communication Manager
 o LogRhythm AI Engine
 3.  Set the local security policy to use FIPS encryption:
 a.  Open Windows Administrative Tools and click Local Security Policy.
 b.  Expand Local Policies and click Security Options.
 c.  Enable the Local Security Policy System cryptography: Use FIPS compliant algorithms for encryption, 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 64
LogRhythm Confidential
hashing, and signing.

 4.  Restart the SQL services stopped in Step 2.
 5.  Restart the LogRhythm services stopped in Step 1.

LogRhythm Modifications when Running in FIPS Mode

SQL Server Authentication

When running in FIPS mode, only Windows Authentication is allowed. The Login window appears with ‘Login with 
Windows account’ checked and the control disabled.  The User ID and Password text boxes are disabled.  The User ID will 
be filled in with the Windows domain name and current logged-in Windows user name (DOMAIN\username).  The ‘FIPS 
Mode: Windows authentication only’ text appears.
When FIPS mode is enabled on a host, all LogRhythm services will connect to SQL Server using Windows integrated 
security regardless of what is configured in their .ini files.  Each service will log that this is occurring during startup.  Logs are 
written to the service’s log file (INFO) and to the Windows Event Log. For example:   The ARM is running in FIPS mode - 
using Windows integrated security to connect to the Platform Manager database.

Log Message Submission Tool

When the machine the Client Console is running in FIPS mode, the ‘sFTP to LogRhythm Support’ button will be disabled 
within the Log Message Submission Tool.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 65
LogRhythm Confidential
FIPS Mode and Encryption Status
The About LogRhythm window displays the FIPS and Encryption status.

All LogRhythm component log files indicate if Encryption is being used at any LogLevel, including OFF. The log message is 
in the format: [Component Name] using encryption for SQL Server communications: YES 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 66
LogRhythm Confidential
Windows Agent SNMP v3 Trap Collection
All v3 traps will be discarded when running in FIPS mode. Note that SNMP v1/v2c is supported when running in FIPS 

Component Startup Integrity Tests

Each LogRhythm component performs a (start-up) power-on software integrity self test to verify the integrity of the 
component software.  If the system fails a software integrity test, it reports status indicating which failure occurred and 
transitions to an error state.  The component does not contain any user data before or during the software integrity test, so it 
is impossible for the component to output user data in this state or a subsequent error state that halts component operation. 
The component does output its status in the event of a failed software integrity test.
Each LogRhythm component verifies the integrity of the software by generating an HMAC-SHA-1 signature for the 
LogRhythm component’s files and comparing the codes against the expected values stored outside the module in HMAC-
SHA-1 protected files generated at software build time.  Operators can run the software integrity test on demand by 
stopping and restarting the LogRhythm component.
The System Integrity Test will always run at startup regardless of FIPS Mode.

Configure IPsec

 n Configure IPsec Overview
 n Prerequisites
 n Prepare for Testing
 n Services
 n Create a Custom MMC Console
 n Enable Audit Policy for Your Computer
 n Build a Custom IPsec Policy
 n Configure an IPsec Filter List
 n Configure an IKE Authentication Method
 n Test Your Custom IPsec Policy

Configure IPsec Overview

This section focuses on the fastest way to use IPsec transport mode to secure application traffic between a client and a 
server. It demonstrates how to enable security using IPsec default policies between two Windows 2008-based systems 
that belong to a Windows domain.
Internet Protocol Security (IPsec) provides application-transparent encryption services for IP network traffic as well as 
other network access protections for the Windows® server product family operating systems. We can provide data 
privacy, integrity, authenticity, and anti-replay protection for network traffic between client-to-server, server-to-server, and 
client-to-client using IPsec transport mode.

 l Two computers running Windows® Server 2008 R2. The two test systems must be members of the same (or a 
trusted) domain.
 l A LAN or WAN to connect these three computers.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 67
LogRhythm Confidential
Prepare for Testing
Log on to the first test computer as a user with administrative privileges. In our example, this is the computer named 

Note: For the remainder of this document, ComputerA will refer to the first test computer, and 
ComputerB will refer to the second test computer. If your machines have different names, be sure 
and track the steps using the proper name.

Make sure following services are running on both machines.

 l IKE and AuthIP IPsec Keying Modules
 l IPsec Policy Agent

Create a Custom MMC Console

 1.  From the Windows desktop, click Start, click Run, and in the Open text box, type mmc. Click OK.
 2.  On the File menu, click Add/Remove Snap-in.
The Add or Remove Snap-ins dialog box appears.
 3.  In the Available snap-ins list box, select Computer Management, and then click Add.
 4.  Verify that Local Computer is selected, and then click Finish.
 5.  In the Available snap-ins list box, select Group Policy Object Editor, and then click Add.
 6.  Verify that Local Computer is selected in the Group Policy Object box, and then click Finish.
 7.  In the Available snap-ins list box, select Certificates, and then click Add.
 8.  Select Computer Account, and then click Next.
 9.  Verify that Local Computer is selected, and then click Finish.
 10.  In the Available snap-ins list box, select IP Security Monitor, and then click Add. We will use the IP Security 
Monitor tool to monitor the successful security connections the IPsec policy will create.
 11.  Click OK to close the Add or Remove Snap-ins dialog box.

Enable Audit Policy for Your Computer

In the next procedure, we will configure auditing so that an event will be logged when IPsec is involved in communication. 
Later, this will be useful to confirm that IPsec is working properly.
To enable the audit policy:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 68
LogRhythm Confidential
 1.  In the MMC console, double-click Local Computer Policy from the left pane to expand the tree. Navigate to 
Computer Configuration, click Windows Settings, click Security Settings, click Local Policies, and then click 
Audit Policy.
 2.  From the list of attributes displayed in the right pane, double-click Audit logon events.
The Audit logon events Properties dialog box appears.
 3.  In the Audit logon events Properties dialog box, under Audit these attempts:, select the Success and Failed 
check boxes, and then click OK.
 4.  Repeat steps 2 and 3 for the Audit object access attribute.

Return to the beginning of this section, Creating a Custom Console and repeat all steps to this point for the second 
computer (in our example, this is the machine named ComputerB).

Build a Custom IPsec Policy

In this section, we will create a custom IPsec policy to secure traffic between two computers, first by defining a security 
rule, then by defining a filter list, and then finally by specifying the filter action.
To create an IPsec policy:

 1.  Using ComputerA, in the left pane of the MMC console, right-click IP Security Policies on Local Machine, and 

then click Create IP Security Policy.
The IP Security Policy Wizard appears.
 2.  Click Next.
 3.  Enter Partner as the name of your policy, and then click Next.
 4.  Clear the Activate the default response rule check box (it is checked by default), and then click Next.
 5.  Ensure the Edit Properties check box is selected (it is checked by default), and then click Finish.
 6.  In the Properties dialog box for the policy you have just created, ensure the Use Add Wizard check box in the 
lower-right corner is selected, and then click Add to start the Security Rule Wizard.
 7.  Click Next to proceed through the Security Rule Wizard.
 8.  Select This rule does not specify a tunnel (selected by default), and then click Next.
 9.  Select the radio button for All network connections (selected by default), and then click Next.

Configure an IPsec Filter List

IP Security is applied to IP packets as they are sent and received. Packets are matched against filters when being sent 
(outbound) to see if they should be secured, blocked, or passed through in cleartext. Packets are also matched when 
received (inbound) to see if they should have been secured, should be blocked, or should be permitted into the system.
The same filter list will need to be defined on both computers. 
To configure an IP Filter List:

 1.  In the IP Filter List dialog box, click Add. An empty list of IP filters appears. Name your filter Partner Filter.

 2.  Select Use Add Wizard, and then click Add. The IP Filter Wizard starts.
 3.  Click Next to continue.
 4.  Select the Mirrored check box, and then click Next.
 5.  Select My IP Address from the list as the default source address, and then click Next.
 6.  Choose A Specific IP address from the list, enter your ComputerB IP Address (or ComputerA IP Address if you 
are setting up this on ComputerB), and then click Next.
 7.  Click Next to accept the protocol type of Any.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 69
LogRhythm Confidential
 8.  Make sure the Edit Properties check box is cleared (this is the default setting), and then click Finish.
 9.  Click OK to leave the IP Filter List dialog box and return to the New Rule Wizard.
 10.  In the IP Filter List dialog box, select the Partner Filter radio button.

 11.  Click Next.

To configure the filter action:

 1.  In the IP Filter List dialog box, select the Use Add Wizard check box, and then click Add.

 2.  Click Next to proceed through the Filter Action Wizard.

 3.  Name this filter action Partner Filter Action, and then click Next.
 4.  In the Filter Action General Options dialog box, select Negotiate Security, and then click Next.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 70
LogRhythm Confidential
 5.  Click Do not allow unsecure communication from the next wizard page, and then click Next.
 6.  Select Integrity and encryption from the list of security methods, and then click Next.
 7.  Clear the Edit Properties check box (this is the default setting), and then click Finish to close this wizard.
 8.  In the Filter Action dialog box, select the Partner Filter Action radio button, and then click Next.

Configure an IKE Authentication Method

Next, we will specify how the computers will trust each other by specifying how they will authenticate themselves (that is, 
how they will prove their identities to each other when trying to establish a security association).
In this guide, we will use pre-shared key authentication. This is a text word or phrase that both sides of the IPsec 
communication, the sending computer and the receiving computer, must know to be trusted by each other. It is not used to 
encrypt the application data. Rather, it is only used during negotiation to establish whether the two computers will trust 
each other.
To configure the authentication method for the rule:

 1.  Choose Use this string to protect this key exchange and enter ABC123 as the string. You must not use a blank 

string. Click Next.
 2.  Clear the Edit properties check box (this is the default setting), and then click Finish. You have just configured the 
filter action that will be used during negotiations with your partner. Note that you can reuse this filter action in other 
 3.  On the Properties page that appears, click OK.

You have successfully configured an IPsec policy. Repeat all steps in this procedure on ComputerB before proceeding.

Test Your Custom IPsec Policy

To test your custom IPsec policy:

 1.  Select IP Security Policies on Local Machine in the left pane of the MMC console on both computers.

The new security policy, Partner, appears.
 2.  In the MMC console on both computers, double-click IP Security Monitor from the left pane to expand the tree. 
Navigate to Quick Mode and then select Security Associations.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 71
LogRhythm Confidential
 3.  In the left pane of the MMC console on ComputerA, select IP Security Policies on Local Machine. The Partner 
policy you just configured is listed in the right pane.
 4.  Right-click Partner, and then click Assign. The status in the Policy Assigned column changes from No to Yes. 
Perform this step on both machines before continuing.
 5.  From both computers, open a command prompt window, and then type ping [partners-ip-address]. Press Enter to 
receive four successful replies.
 6.  At the MMC Console, check Security Associations under IP Security Monitor. Use the Refresh button from the 
MMC Console toolbar to see details of the Security Association currently in use between your two computers, as 
well as statistics on the number of Authenticated and Confidential bytes transmitted, among others.

To test data:

Note: Perform this step only if Partner Security policy is in Assigned state.

 1.  On both computers, in the left pane of the MMC console, select IP Security Policies on Local Machine. The 

Partner policy you just configured is listed in the right pane. Right-click Partner, and then click Un-Assign. The 
status in the Policy Assigned column should change from Yes to No.
 2.  Install Wireshark with defaults on both computers.
 l Download link:
 l Installation instructions:
 3.  Start Wireshark on ComputerA to capture all network traffic.
 4.  Open a command prompt window, and then type ping [ComputerB-ip-address] -t.
 5.  Go back to Wireshark, type icmp in the Filter text box, and then click Apply. Stop Wireshark live capture after 
some time by clicking the Stop button (red square) on the Wireshark toolbar. You should be able to see traffic as 
shown below.

 6.  Repeat the same steps on ComputerB to see data being exchanged in cleartext format.
 7.  On both computers, in the left pane of the MMC console, select IP Security Policies on Local Machine. The 
Partner policy you just configured is listed in the right pane. Right-click Partner, and then click Assign. The status 
in the Policy Assigned column changes from No to Yes.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 72
LogRhythm Confidential
 8.  In Wireshark on ComputerA, click the Clear button next to the Filter text box to clear the icmp filter. Start 
Wireshark live capture again by clicking the green shark fin icon from the WireShark toolbar.
 9.  Type esp in the Filter text box, and then click Apply. You should now be able to see traffic as shown below, where 
data is being exchanged in encrypted format.

 10.  Repeat steps 8 and 9 on ComputerB to see the data being exchanged in encrypted format.

Configure the Security Banners

There are two default security banners available in the LogRhythm Client Console: a start-up warning and a timeout error. 
Both of the banner messages can be customized and turned on or off by editing the Security.xml file. The default location 
for the Security.xml file is C:\Program Files\LogRhythm\LogRhythm Console\config. An example of the Security.xml file is 
listed below.
<?xml version="1.0" encoding="uft-8"?>



<Text>This system is restricted to authorized users. Individuals 
attempting unauthorized access will be prosecuted. If 
unauthorized, terminate access now! Clicking on OK indicates your 
acceptance of this notice.</Text>
<SessionTimeoutErrorMessage>Your session has timed out. Click OK 
to log in again.</SessionTimeoutErrorMessage>
<SessionTimeoutErrorTitle>Session Timed 



Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 73
LogRhythm Confidential
Configure the Start-Up Warning
The LogRhythm Client Console can be configured to display a warning when it is started. The title and the message are 
both customizable. Follow the instructions below to customize the start-up warning and to turn it on or off.

 1.  Open the Security.xml file with a text editor.
 2.  To change the title of the warning, edit the text between the <Title> and </Title> tags.
 3.  To change the warning message, edit the text between the <Text> and </Text> tags.
 4.  To turn the start-up warning on or off, do one of the following:
 o Turn on the start-up warning by setting the value between the <IgnoreSecuritywarning> and 
</IgnoreSecuritywarning> tags to false.
 o Turn off the start-up warning by setting the value between the <IgnoreSecuritywarning> and 
</IgnoreSecuritywarning> tags to true.
 5.  After completing the changes, save the file.
 6.  Restart the LogRhythm Client Console to apply these changes.

Configure the Session-Timeout Error Message

The LogRhythm Client Console can be configured to time out after a specified period of inactivity. When this occurs, an 
error message appears. The title and body of the error message are both customizable.  Follow the instructions below to 
customize the timeout warning and to turn it on or off.

 1.  Open  the Security.xml file with a text editor.
 2.  To change the title of the error message, edit the text between the <SessionTimeoutErrorTitle> and 
</SessionTimeoutErrorTitle> tags.
 3.  To change the body of the error message, edit the text between the <SessionTimeoutErrorMessage> and 
</SessionTimeoutErrorMessage> tags.
 4.  To change the amount of time that needs to expire for a timeout to occur, edit the numerical value between the 
<TimeoutInSeconds> and </TimeoutInSeconds> tags.
 5.  To turn  the timeout function on or off, do one of the following steps:
 o Turn on the timeout function by setting the value between the <DisableTimeout> and </DisableTimeout> tags to 
 o Turn off the timeout function by setting the value between the <DisableTimeout> and </DisableTimeout> tags to 
 6.  After completing the changes, save the file.
 7.  To apply these changes, restart the LogRhythm Client Console.

User Identification and Authentication

User accounts must be created in Approved Mode. 
User identification and authentication is accomplished by setting up a secured link between the LogRhythm Client 
Console, the users, and the remote machines connecting to the LogRhythm Client Console. The instructions for each 
module explain how to set up a secured connection.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 74
LogRhythm Confidential
User Security Permissions

 n Terminology
 n Client Console Access Rights
 n Data Processor and Log Source Access Rights
 n Alarm Rule Permissions Table
 n AI Engine Rule Permissions
 n Report Template Permissions
 n Report Permissions
 n Report Package Permissions
 n List Permissions
 n Investigation/Tail Permissions
 n Active Directory Custom Filter Permissions
 n Personal Dashboard Custom Filter Permissions
 n MPE Rule Permissions

The following are general terms that are used in relation to permissions.

Term Definition
Object A component of the LogRhythm Solution that users can create and manage such as
Investigations, FIM policies, AI Engine Rules, Alarm Rules, Reports. Objects are defined as
either System or Custom based on who creates the object.
System Objects A type of object that is created by LogRhythm Labs and imported with the Knowledge Base.
Custom Objects A type of Object that is created by an end user.
Private A permission value for an object that can only be managed by the owner.
Public A permission value for an object that generally means all users have access to view the object.
May have edit restrictions.
Global A permission value that provides general global access for the object.
Restricted Analyst A user assigned to the Restricted Analyst Security Role via User Profiles.
Global Analyst A user assigned to the Global Analyst Security Role via User Profiles.
Global Administrator A user assigned to the Global Administrator Security Role via User Profiles.
Owner A user who creates an object.
Web Service A user assigned to the Web Service Administrator Security Role via User Profiles.

Objects such as Reports, Alarm Rules, AI Engine Rules, or Saved Investigations are either System or Custom based on 
who created the object. System objects are only created by LogRhythm. Objects can have permissions applied such as 
Private or Public. Public permissions are set for all users, global analysts, global administrators, and web service 
administrators and determine who has access to the objects. Some example permissions you may see for objects include:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 75
LogRhythm Confidential
 l System: Private
 l System: Public All Users
 l System: Public Global Administrators
 l System: Public Global Analysts
 l Custom: Private
 l Custom: Public All Users
 l Custom: Public Global Administrators
 l Custom: Public Global Analysts

Client Console Access Rights

All LogRhythm users, except Web Service Administrators, have access to the Client Console and its associated features 
with the following exceptions.

Area/Feature in
Where Accessed Exception
Client Console
Change Password My LogRhythm Not available if logged in with Windows Credentials
SecondLook Tools > Search Restricted Analyst – Can be turned on/off via User Profiles
Wizard Custom Global Analyst – Can be turned on/off via User Profiles
Note that for the LogRhythm Global Analyst, this is turned on by default and
cannot be modified. But it can be modified for any newly created Global
Active Directory Tools > Knowledge Restricted Analyst – not available
User Browser
Active Directory Tools > Knowledge Restricted Analyst – not available
Group Browser
Import Knowledge Tools > Knowledge Restricted Analyst – not available
Base Global Analyst – not available
Deployment Tools > Admin & The Deployment Monitor is the central monitor interface for Global
Monitor Toolbar Selection Administrators to view the performance of a deployment.
Restricted Analyst – not available
Global Analyst – not available
Deployment Tools > Admin & The Deployment Manager is the central management interface for Global
Manager Toolbar Selection Administrators to manage a deployment.
Restricted Analyst – not available
Global Analyst – not available

Data Processor and Log Source Access Rights

Data Processor and Log Source access rights are set within User Profiles and give access permissions to view Data 
Processors and log sources and the resulting data for those objects.

Access Rights Restricted Analyst Global Analyst Global/Web Service Administrator

Data Processor As defined in User Profiles As defined in User Profiles Full

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 76
LogRhythm Confidential
Access Rights Restricted Analyst Global Analyst Global/Web Service Administrator
Log Source As defined in User Profiles Full Full

Alarm Rule Permissions Table

The table below provides the permission details for Alarm Rules.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
System: Deployment Administrators can modify filters and None None View, Edit n/a
Global Manager > notifications and enable / disable filters &
Alarm rules. If you select Synchronize Notifications,
Rules Alarm Rule Criteria when you import Enable/Disable,
a Knowledge Base file, local
modifications that conflict with the
synchronization will be overwritten.
System: Deployment Is used for Alarm Rules that provide None None View, Add n/a
Private Manager > a specific function that should be custom
Alarm kept identical across all Include/Exclude
Rules deployments. You can add custom Filters
Include / Exclude filters, but not
Primary filters that will not be
overwritten when a Knowledge Base
is imported.
Custom: Deployment Can be created by any user and are None None View, View, Create,
Private Manager > only editable by the owner except for Enable/Disable, Edit, Delete
Alarm LogRhythm Administrators can Edit
Rules enable/disable and modify Notifications
notification settings.
Custom: Deployment Can only be created and managed by None None View, Create, View, Create,
Global Manager > LogRhythm Global Administrators Edit, Delete Edit, Delete
Alarm from the Deployment Manager >
Rules Alarm Rules tab.

AI Engine Rule Permissions

The table below provides the permission details for accessing and managing AI Engine Rules.  Note that while Global 
Administrator is the only security role that has permission to view and edit the AI Engine Rules, Global Analysts and 
Restricted Analysts can view AI Engine Events, for their allowable log sources, if enabled in their User Profile.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
System: Global Deployment A System AI Engine Rule can only None None View, Limited n/a
Admin Manager > be created by LogRhythm. It imports Edit (see
Tools > in a disabled state and must be details column
Advanced enabled by a user that logs in with at left)
Intelligence Global Admin permissions. Global
(AI) Engine Admin has limited edit capabilities
Rule Manager but can edit Rule Block:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 77
LogRhythm Confidential
Where to Restricted Global Global
Permission Details Owner
Access Analyst Analyst Administrator
Add/Edit/Delete custom filters,
Day/Time Criteria, Log Source
Criteria, Unique Value Occurrences,
and Time Limit. Rule: Risk Rating,
FPP, Rule Set ID, Runtime Priority,
Event Properties, Alarm Properties,
Notification, Actions, Brief
Description, and Additional Details.
Custom: Global Deployment A Custom AI Engine Rule can be None None Full Full
Admin Manager > created by a user that logs in with
Tools > Global Admin permissions.
(AI) Engine
Rule Manager

Report Template Permissions

The table below provides the permission details for Report Templates.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
System: Public All Report Properties are not Create Create Create Report n/a
Users Center > editable for System Report from Report from from template
Templates templates. template template
Custom: Private Report The properties that None None None Edit
Center > are editable are Properties,
Templates Name, Description, Create
Tab and Permissions. report from
Custom: Public All Report The properties that Edit Edit Edit Properties, Edit
Users Center > are editable are Properties, Properties, Create report Properties,
Templates Name, Description, Create Create from template Create
Tab and Permissions. report from report from report from
template template template

Report Permissions
The table below provides the permission details for Reports. Note that reports based on private templates are read-only and 
therefore the properties are not available for viewing.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
System: Public All Report The properties that are editable are Run/View Run/View Run/View, n/a
Users Center > Log Source Criteria and Filters. Edit LS
Reports Tab They are only editable by Global Criteria &

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 78
LogRhythm Confidential
Where to Restricted Global Global
Permission Details Owner
Access Analyst Analyst Administrator
Admin. Filters
System: Public Report Can only be run and viewed by None Run/View Run/View n/a
Global Analyst Center > Global Analysts or greater security
Reports Tab role.
System: Public Report Can only be run and viewed by None None Run/View n/a
Global Admin Center > Global Administrator.
Reports Tab
Custom: Private Report Can only be run, viewed, and None None None Full
Center > modified by the creator (owner).
Reports Tab
Custom: Public All Report Can be run and viewed by Run/View Run/View Full Full
Users Center > Restricted Analysts or greater
Reports Tab security role but can be modified by
Global administrator and the creator
Custom: Public Report Can be run and viewed by Global None Run/View Full Full
Global Analyst Center > Analysts or greater security role but
Reports Tab can be modified by Global
administrator and the creator
Custom: Public Report Can only be managed by a Global None None Full Full
Global Admin Center > Administrator or the owner.
Reports Tab

Report Package Permissions

The table below provides the permission details for Report Packages.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
System: Public Global Report Center > Can only be viewed by None None Run/View, Edit n/a
Admin Report Global Administrators. LS Criteria &
Packages Tab Editable properties Configuration
include Log Source
Criteria and
Custom: Private Report Center > Can only be managed None None None Full
Report by the creator (owner).
Packages Tab
Custom: Public All Report Center > Can be run and viewed Run/View Run/View Full Full
Users Report by Restricted Analysts
Packages Tab or greater security role
but can be modified by
Global administrator

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 79
LogRhythm Confidential
Where to Restricted Global Global
Permission Details Owner
Access Analyst Analyst Administrator
and the creator
Custom: Public Global Report Center > Can be run and viewed None Run/View Full Full
Analyst Report by Global Analysts or
Packages Tab greater security role
but can be modified by
Global administrator
and the creator
Custom: Public Global Report Center > Can only be managed None None Full Full
Admin Report by a Global
Packages Tab Administrator or the

List Permissions
The table below provides terminology specific to List permissions.

Term Definition
Custom Created by users.
System: Private This is provided by LR, and the list items and properties are
controlled by LR and synced during a KB import. Except for
controlling Read Access (visibility), these lists are locked for
System: Public This is provided by LR, and the list items and some properties can
be edited by the users. The initial KB import initializes the
Read Access (visibility) This controls who can see and use a List, and indirectly controls
other permissions. Everyone can create Private lists (the
default.). In general, an Admin can assign any Permission. A
Global Analyst can assign Public or Global Analyst. Restricted
Analysts can only assign Public. System Lists cannot be Private.
Write Permissions This controls who can edit a List. This is always at least as
(editing) permissive as the visibility, but never more (e.g. a List can’t be
read for Admin’s but write for Public.). Only the list owner or an
Admin can change this value. This can be set to any value
consistent with the Read Permissions. (Note: for System: Private
Lists this value is Private and cannot be changed.)
Restricted Read This is used to prevent users who do not have Write Permissions
to the list from viewing the items on the list; such users can only
use the List (such as using it in a Filter).

The Read Access and Write Permissions attributes include values for Private and Public. Public contains values for all 
users, global administrators, global analysts, or web service administrators as defined below.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 80
LogRhythm Confidential
Read Access Description
Private Only the Owner can view or use the List.
Public: All Users All Users can view or use the List.
Public: Global Admins Only the Owner or Global Admins can view or use the List.
Public: Global Analysts Only the Owner, Global Admins, Global Analysts, or Web Service Admins can view or use
the List.
Public: Web Service Only the Web Service Admin can view or use the List.
(Write) Permissions Description
Private Only the Owner can edit or change the List.
Public: All Users All Users can edit or change the List.
Public: Global Admins Only the Owner or Global Admins can edit or change the List.
Public: Global Analysts Only the Owner, Global Admins, Global Analysts, or Web Service Admins can edit or change
the List.
Public: Web Service Only the Web Service Admin can view or use the List.

The table below provides the permission details for Lists

Where to Restricted Global

Permission Details Global Analyst Owner
Access Analyst Administrator
System: Tools > Can only be read by all users. Read Read Read n/a
Private Knowledge > Managed by LogRhythm.
List Manager &
System: Tools > Can only be managed by a Global Read Read View, Edit n/a
Global Knowledge > Administrator. Does not have (cannot edit
Admin List Manager & access to change the write the write
Toolbar permissions, which is set to Public permissions)
Selection Global Admin. Read permissions
are set to Public All Users by
Custom: Tools > Can only be managed by the creator None None None Full
Private Knowledge > (owner).
List Manager &
Custom: Tools > Can be managed by all users based Based on Based on Based on Full
Public All Knowledge > on the read/write permissions. Read/Write Read/Write Read/Write
Users List Manager & Owner has full access rights. Permission Permission Permission

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 81
LogRhythm Confidential
Where to Restricted Global
Permission Details Global Analyst Owner
Access Analyst Administrator
Custom: Tools > Can be managed by Global None Based on Based on Full
Public Knowledge > Analysts and greater security roles Read/Write Read/Write
Global List Manager & based on the read/write Permission Permission
Analyst Toolbar permissions. Owner has full access
Selection rights.
Custom: Tools > Can be managed by Global Admins None None Based on Full
Public Knowledge > based on the read/write Read/Write
Global List Manager & permissions. Owner has full access Permission
Admin Toolbar rights.

Investigation/Tail Permissions
The table below provides the permission details for Custom Saved Investigations and Tails.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
System: Investigate > Created by LogRhythm. Can be run and Run/View Run/View Run/View/Edit n/a
Public All Select Saved viewed by Restricted Analysts or greater (cannot edit
Users security role. Can be modified by Global name or
administrator with the exception of the description)
name and description.
Custom: Investigate > Can only be managed by the creator None None None Full
Private Select Saved (owner).
Custom: Investigate > Can be run and viewed by Restricted Run/View Run/View Full Full
Public All Select Saved Analysts or greater security role. Can be
Users modified by Global administrator and the
creator (owner).
Custom: Investigate > Can be run and viewed by Global None Run/View Full Full
Public Global Select Saved Analysts or greater security role. Can be
Analyst modified by Global administrator and the
creator (owner).
Custom: Investigate > Can only be managed by a Global None None Full Full
Public Global Select Saved Administrator or the owner.

Active Directory Custom Filter Permissions

The table below provides the permission details for Active Directory Filters. Active Directory filters are available within the 
various Analysis Tools such as Investigator, Tail, Personal Dashboard, GLPRs, and SecondLook.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
Private Analysis Can only be managed by the creator None None None Full
Tools Filters (owner).

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 82
LogRhythm Confidential
Where to Restricted Global Global
Permission Details Owner
Access Analyst Analyst Administrator
Public All Analysis Can be run by Restricted Analysts or Run Run, Run, Create, Full
Users Tools Filters greater security role. Can be managed by Create, Edit, Delete
Global Analyst or greater security role. Edit,
Owner has full access rights. Delete
Public Analysis Can be managed by Global Analysts or None Run, Run, Create, Full
Global Tools Filters greater security role. Owner has full Create, Edit, Delete
Analyst access rights. Edit,
Public Analysis Can be managed by Global None None Run, Create, Full
Global Tools Filters Administrators. Owner has full access Edit, Delete
Admin rights.

Personal Dashboard Custom Filter Permissions

The table below provides the permission details for Personal Dashboard Filters.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
Private Personal Can only be managed by the creator None None None Full
Dashboard > (owner).
Filter icon &
Public All Personal Can be used, viewed, and cloned by Use, View, Use, Full Full
Users Dashboard > Restricted Analyst and greater Clone View,
Filter icon & security role. Global Administrators Clone
Toolbar and the Owner have full access
Selection rights.

MPE Rule Permissions

The table below provides the permission details for MPE Rules.

Where to Restricted Global Global

Permission Details Owner
Access Analyst Analyst Administrator
System Tools > System rules are read only so cannot be View, View, Copy View, Copy n/a
Rules Knowledge modified. However, users can copy a Copy
> MPE rule with or without sub rules. System
Rule Rules cannot be exported.
Custom Tools > Custom rules can be viewed, copied, View, View, Full n/a
Rules Knowledge and exported by Restricted Analysts and Copy, Copy,
> MPE greater security roles. Global Export Export
Rule Administrators have full access rights.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 83
LogRhythm Confidential
Least-Privileged User
Current best practices dictate that all software be deployed with minimal user/account privileges. The Least-Privileged 
User approach helps reduce the potential impact if an attacker compromises a particular system or a particular user 
account. The LogRhythm SIEM is designed to run as a set of services to support scalability and process isolation. Each 
service can run under a unique security context to enable greater flexibility in tuning privileges.
For more information about the Least-Privileged User approach in LogRhythm, please download the LogRhythm Guidance:
Least-Privileged User document from the Support Portal.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 84
LogRhythm Confidential
Get Started

LogRhythm is administered centrally from the LogRhythm Client Console and locally through LogRhythm configuration 
files with tasks that include, but are not limited to:

 l Monitoring the LogRhythm Service Components.
 l Loading license and Knowledge Base files, including report files.
 l Adding new users.
 l Adding new log sources.

Configuration settings for each of the LogRhythm components are also in configuration .ini files located in the program 
directory of each component. During installation, most of the configuration files are modified through the Local 
Configuration Manager, though occasionally, the files will need to be edited manually. Local configuration tasks may 
include, but are not limited to:

 l Modifying the configuration .ini files.
 l Starting and stopping services.
 l Changing service settings.
 l Running queries on the LogRhythm databases.

LogRhythm Compatibility and System Monitor Functionality Guide

This topic covers operating systems and LogRhythm component  compatibility  for LogRhythm v7.2.x.yyyy.

Topic Contents
 l Component Version Numbers
 l Web Console Browser Support
 l Component Compatibility
 l Database and SQL Server Versions
 l System Monitor Component Support
 l Operating System Support
 l LogRhythm Component Operating System Support
 l System Monitor Operating System Support
 l System Monitor Functionality by Operating System
 l System Monitor Functionality by License: Lite vs. Pro
 l Realtime File Integrity Monitor (FIM) Support by Operating System   

Component Version Numbers

All LogRhythm products and software components are labeled with the same version number in 7.2.x. The version label is 
identified as For example, 7.2.x.yyyy where 7 is the major, 2 is the minor, x is the version, and 
yyyy is the build.

Web Console Browser Support

The following table lists the browsers that are supported for the LogRhythm Web Console.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 85
LogRhythm Confidential
Web Browser Supported Version
Google Chrome Current version
Internet Explorer 11
Mozilla Firefox Current version
Safari for iPad Current version

Component Compatibility
All LogRhythm components in a deployment, except for System Monitors, must be versioned with the same major and 
minor number. LogRhythm 7.2 supports System Monitors at version 6.x, 7.1.x or 7.2.x.

Database and SQL Server Versions

This release is officially supported on the Enterprise edition of Microsoft SQL Server 2008 R2 SP3 (10.5x.6000.34) or 2014 
SP2 (12.x.5000.0).
In this LogRhythm 7.2 release, the schema version of all LogRhythm SQL databases is the same: 7.2.x.yyyy

System Monitor Component Support

Earlier versions of LogRhythm System Monitors are compatible with this version of LogRhythm. The table below lists the 
LogRhythm System Monitor versions that are compatible with LogRhythm 7.2, in addition to the 7.2.x LogRhythm System 

LogRhythm System Monitor Agent Versions Compatible with LogRhythm 7.2

LogRhythm System Monitor v5.x v6.x 7.1.x

LogRhythm Windows System Monitor No  Yes Yes
LogRhythm *NIX System Monitor No Yes Yes

Operating System Support

This section describes operating systems and LogRhythm component compatibility for LogRhythm 7.2. The following table 
defines the LogRhythm support levels used in subsequent tables:

Certified Support (CS) Limited Support (LS) Unsupported (US)

Fully tested per LogRhythm quality Limited testing, but likely to work based on engineering Not tested.
assurance processes. assessment and/or field verification.
LogRhythm will patch bugs. LogRhythm may patch bugs. LogRhythm will not
patch bugs.
Full LogRhythm Technical Support. Limited LogRhythm Technical Support. No LogRhythm
Technical Support.

LogRhythm Component Operating System Support

The following table shows the support levels for LogRhythm components on various operating systems.

Note: All operating systems are 64-bit.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 86
LogRhythm Confidential
LogRhythm 7.2.x Operating System Support Levels

Data Data Platform Web Client

64-bit Operating System AI Engine LR API
Indexer Processor Manager Console Console
Windows 7 US LS LS US US US CS
Windows 8/8.1 US US US US US US LS
Windows 10 US US US US US US CS
Windows Server 2003 R2 US US US US US US US
Windows Server 2008 US US US US US US CS
Windows Server 2008 R2 CS CS CS CS CS CS CS
Windows Server 2012 US US US US US US LS
Windows Server 2012 R2 CS CS CS CS CS CS CS
CentOS 7.x Minimal CS US US US US US US

System Monitor Operating System Support

The following table lists the operating systems supported by the 7.2 System Monitor.

LogRhythm 7.2 System Monitor Agents OS Support Levels

Operating System 32-bit/64-bit Support Level

Windows XP 1 32-bit US
Windows XP 1 64-bit US
Windows 7 32-bit LS
Windows 7 64-bit CS
Windows 8 32-bit, 64-bit CS
Windows 8.1 32-bit, 64-bit CS
Windows 10 32-bit LS
Windows 10 64-bit CS
Windows Server 2003 1 32-bit, 64-bit US
Windows Server 2003 R2 1 32-bit, 64-bit US
Windows Server 2008 32-bit, 64-bit CS
Windows Server 2008 (Server Core Installation) 64-bit LS
Windows Server 2008 R2 64-bit CS
Windows Server 2008 R2 (Server Core Installation) 64-bit CS
Windows Server 2012 64-bit CS
Windows Server 2012 (Server Core Installation) 64-bit LS
Windows Server 2012 R2 64-bit CS

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 87
LogRhythm Confidential
LogRhythm 7.2 System Monitor Agents OS Support Levels

Operating System 32-bit/64-bit Support Level

AIX 6.1, AIX 7.1 64-bit CS

Debian 6, 7 32-bit, 64-bit CS
Debian 8 64-bit CS

HP-UX PA-RISC 11i v2 2, 11i v3 2 LS
HP-UX Itanium 11i v2 2, 11i v32 64-bit CS

Oracle Hardened Linux

Oracle Hardened Linux 5.10, 6.4 32-bit, 64-bit CS
Oracle Hardened Linux 7 64-bit CS

Solaris SPARC 9, 10, 11 64-bit CS
Solaris x86 10, 11 Intel-based 64-bit CS
Red Hat Enterprise Linux/CentOS
Red Hat Enterprise Linux 5, 6/CentOS 5, 6 32-bit, 64-bit CS
Red Hat Enterprise Linux 7/CentOS 7 64-bit CS
Red Hat Linux
Red Hat Linux 9 32-bit CS
SUSE Linux Enterprise Server 9, 11, 11.1, 12, 13 64-bit CS
Ubuntu 10 32-bit, 64-bit LS
Ubuntu 12, 14 64-bit CS
1 Remote log collection is supported.

2 Received binary compatibility statement from HP, so this falls under Uncertified Support.

3 When collecting syslog on Solaris, there is a limitation that may impact the number of logs per second that can be 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 88
LogRhythm Confidential
System Monitor Functionality by Operating System
This table lists System Monitor functionality on Windows and *NIX. The specific operating system must be supported for 
the feature to be supported.  

Functionality Windows *NIX

  32-bit 64-bit 32-bit 64-bit

Timestamp Normalization CS CS CS CS
Scheduled Collection CS CS CS CS
Data Transmission
- Compressed CS CS CS CS
- Encrypted CS CS CS CS
Flat File Log Collection
- Single & Multi line Dynamic CS CS CS CS
- Recursive CS CS CS CS
- Compressed CS CS CS CS
Event Log Collection
- Windows Event CS CS US US
- Remote Windows Event CS CS US US
Integrated Server
- UDP Syslog Server CS CS CS  CS 
- TCP Syslog Server CS CS CS  CS 
- Secure TCP Syslog Server CS CS US US
- NetFlow Server CS CS US US
- J-Flow Server CS CS US US
- sFlow Server CS CS US US
- SNMP Trap Receiver CS CS US US
- Check Point Firewall Log Collection (via LEA) CS CS US US
- Cisco IDS Log Collection (via SDEE) CS CS US US
- System Performance Monitoring CS CS CS CS
- Data Loss Defender CS CS US US
- Standard File Integrity Monitoring CS CS CS CS
- Realtime File Integrity Monitoring 1 CS CS CS CS

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 89
LogRhythm Confidential
Functionality Windows *NIX

  32-bit 64-bit 32-bit 64-bit

- User Activity Monitoring CS CS CS CS
- Process Monitor CS CS CS CS 
- Network Connection Monitor CS CS CS  CS
- Amazon Simple Storage Service (Amazon S3) Events CS CS US US
- AWS CloudTrail Events CS CS US US
- AWS CloudWatch Events CS CS US US
- AWS Config Events CS CS US US
- Box Event Collection CS CS US US
- Cradlepoint CS CS US US
- Metasploit CS CS US US
- Nessus CS CS US US
- Nessus Cloud CS CS US US
- Nexpose CS CS US US
- O365 CS CS US US
- Okta CS CS US US
- Qualys CS CS US US
- Retina CS CS US US
- Salesforce CS CS US US
- Sourcefire eStreamer CS CS US US
- Tenable Security Center CS CS US US
- Tripwire IP360 CS CS US US
Remote Database Log Collection
- ODBC v3.5 Driver LS LS US US
1 Realtime FIM is licensed as part of the System Monitor Lite license for use on desktop operating systems. See the 
Realtime File Integrity Monitor (FIM) Support by Operating System table for specific operating system support.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 90
LogRhythm Confidential
System Monitor Functionality by License: Lite vs. Pro
This table lists System Monitor functionality on Windows and UNIX by license type. The specific operating system must 
be supported for the feature to be supported.  

Functionality System Monitor Lite System Monitor Pro

  Windows UNIX Windows UNIX

Timestamp Normalization ✔ ✔ ✔ ✔
Scheduled Collection ✔ ✔ ✔ ✔
Data Transmission
- Compressed ✔ ✔ ✔ ✔
- Encrypted ✔ ✔ ✔ ✔
Flat File Log Collection
- Single & Multi line Dynamic ✔ ✔ ✔ ✔
- Recursive ✔ ✔ ✔ ✔
- Compressed ✔ ✔ ✔ ✔
Event Log Collection
- Windows Event ✔ ✔
- Remote Windows Event ✔ ✔
Integrated Server
- UDP Syslog Server ✔ ✔ ✔ ✔
- TCP Syslog Server ✔ ✔ ✔ ✔
- Secure TCP Syslog Server ✔ ✔
- NetFlow Server ✔
- IPFIX Server ✔
- sFlow Server ✔
- J-Flow Server ✔
- SNMP Trap Receiver ✔
- Check Point Firewall Log Collection (via LEA) ✔
- Cisco IDS Log Collection (via SDEE) ✔
- System Performance Monitoring ✔ ✔ ✔ ✔
- Data Loss Defender ✔ ✔
- Standard File Integrity Monitoring 1 ✔ ✔ ✔ ✔
- Realtime File Integrity Monitoring 1 ✔ ✔ ✔ ✔

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 91
LogRhythm Confidential
Functionality System Monitor Lite System Monitor Pro

  Windows UNIX Windows UNIX

- User Activity Monitoring ✔ ✔ ✔ ✔
- Process Monitor ✔ ✔ ✔ ✔
- Network Connection Monitor ✔ ✔ ✔ ✔
- Amazon Simple Storage Service (Amazon S3) Events ✔
- AWS CloudTrail Events ✔
- AWS CloudWatch Events ✔
- AWS Config Events ✔
- Box Event Collection ✔
- Cradlepoint ✔
- Metasploit ✔
- Nessus ✔
- Nessus Cloud ✔
- Nexpose ✔
- O365 ✔
- Okta ✔
- Qualys ✔
- Retina ✔
- Salesforce ✔
- Sourcefire eStreamer ✔
- Tenable Security Center ✔
- Tripwire IP360 ✔
Remote Database Log Collection
- SQL Server UDLA ✔
- DB2 UDLA ✔
- Oracle UDLA ✔
- ODBC v3.5 Driver ✔
- OLE DB Driver ✔
1 Standard and Realtime FIM are included with the System Monitor Lite license for desktop operating systems only. Server 
operating systems require System Monitor Pro. See the Realtime File Integrity Monitor (FIM) Support by Operating System 
table for specific operating system support.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 92
LogRhythm Confidential
Realtime File Integrity Monitor (FIM) Support by Operating System
LogRhythm 7.2.x System Monitor Agents Realtime FIM Support Levels

Operating System 32-bit/64-bit Realtime FIM 1


Windows 7 32-bit LS

Windows 7 64-bit CS

Windows 8 32-bit, 64-bit CS

Windows 8.1 32-bit, 64-bit CS

Windows 10 32-bit LS

Windows 10 64-bit CS

Windows Server 2008 32-bit, 64-bit LS

Windows Server 2008 (Server Core Installation) 64-bit LS

Windows Server 2008 R2 64-bit CS

Windows Server 2008 R2 (Server Core Installation) 64-bit LS

Windows Server 2012 64-bit CS

Windows Server 2012 (Server Core Installation) 64-bit LS

Windows Server 2012 R2 64-bit CS


AIX 6.1 64-bit US

AIX 7.1 64-bit CS


Debian 6, 7 32-bit, 64-bit CS

Debian 8 64-bit CS


HP-UX PA-RISC 11i v1, 11i v2, 11i v3 US

HP-UX Itanium 11i v2, 11i v3 64-bit US

Oracle Hardened Linux

Oracle Hardened Linux 5.10, 6.4 32-bit, 64-bit CS

Oracle Hardened Linux 7 64-bit CS


Solaris SPARC 9, 10, 11 64-bit US

Solaris x86 10, 11 Intel-based 64-bit US

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 93
LogRhythm Confidential
LogRhythm 7.2.x System Monitor Agents Realtime FIM Support Levels

Operating System 32-bit/64-bit Realtime FIM 1

Red Hat Enterprise Linux/CentOS

Red Hat Enterprise Linux 5/CentOS 5 32-bit, 64-bit CS

Red Hat Enterprise Linux 6/CentOS 6 2 32-bit, 64-bit CS
Red Hat Enterprise Linux 7/CentOS 7 64-bit US

Red Hat Linux

Red Hat Linux 9 32-bit US


SUSE Linux Enterprise Server 9, 11, 11.1, 12, 13 64-bit US


Ubuntu 10, 12, 14 32-bit, 64-bit US

1 Realtime FIM is included with the System Monitor Lite License for desktop operating systems only. A System Monitor 
Pro License is required for servers.
2 Realtime FIM is not supported on the following RHEL/CentOS systems: RHEL/CentOS kernel versions 2.6.18-398+, 
RHEL/CentOS kernel versions 2.6.32-431+, and RHEL/CentOS 6.5+. To check the kernel version, run the ‘uname -r' 

Download Components from the Support Portal

Topic Contents
 l Download Components from the Support Portal Overview
 l Create a  LogRhythm Support Account   
 l View the LogRhythm Support Portal
 l Upgrading Components

Download Components from the Support Portal Overview

The LogRhythm  Support Portal has the most current help documentation, software revisions, patches, Knowledge Base, 
and other important information to help you with your LogRhythm software.  Only registered users can access the Support 

Create a LogRhythm Support Account

To become a registered user:

 1.  Access the LogRhythm Support Portal.
 2.  Click Request a New Account.
 3.  Complete the required fields on the Sign in page. 

Note: An asterisk (*) denotes a required field. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 94
LogRhythm Confidential
 4.  Click the Request a New Account button. 
 5.  After completing the request form, a registration confirmation will be emailed to you.
If you have not received an email for your account, check your spam folder. Contact LogRhythm Support if you have 
not received a confirmation email after three business days.

View the LogRhythm Support Portal

After you log in to the Support Portal, you will see information related to the most recent LogRhythm releases. The links in 
the main toolbar provide access to release downloads, documents and guides, the My Support pages, and information 
about getting additional help if you need it. 
The look of this page may change from time to time, but you will always be able to find the most current documentation and 
downloads here.

Upgrading Components
To upgrade your software to a newer version, download the new version and the upgrade guide from the Support Portal and 
then follow the instructions in the upgrade guide.

Important: While LogRhythm does accept non-English log sources, the program is only compatible with English 
operating systems.

Install LogRhythm Components

Topic Contents
 l Install LogRhythm Components Overview
 l Clones and Templates for Windows System Monitor Virtual Machines (VMs)
 l  Install or Upgrade the LogRhythm Client Console
 l New Deployment Wizard
 l Import a Knowledge Base (Version 7.2.x) 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 95
LogRhythm Confidential
 l System Monitor Agents
 l AI Engine
 l Platform Manager (ARM and Job Manager)
 l Install or Upgrade the Data Processor
 l Configure High Availability (HA)

Install LogRhythm Components Overview

With the exception of the LogRhythm Client Console and the System Monitor Agents, you should install or upgrade 
LogRhythm components using the LogRhythm Install Wizard. For more information about the initial installation of 
LogRhythm, refer to the LogRhythm 7 Software Installation Guide. For more information about upgrading an existing 
LogRhythm deployment, refer to the upgrade guide that is appropriate to your current version of LogRhythm. These guides 
are available on the release downloads pages on the LogRhythm Support Portal.

Warning: Changing the default SQL Server Collation from SQL_Latin1_General_CP1_CI_AS is not supported 
and can leave your deployment in a non-working state.

Install or Upgrade the LogRhythm Client Console

 n Install or Upgrade the LogRhythm Client Console Overview
 n System Requirements
 n Download the Client Console Installer 
 n Run the Client Console Installer
 n Start the Client Console

Install or Upgrade the LogRhythm Client Console Overview

The LogRhythm Console is a Graphical User Interface (GUI) that provides deployment administration and user interaction 
with LogRhythm. It is used for viewing logs, events, alerts, and reports. The console can be installed on various Windows 
operating systems.

Note: LogRhythm recommends that you run the Client Console on a computer that has high-speed 
access to all core services and databases. Operating the Client Console across a WAN may cause 
poor client performance.

The Client Console installer is available on the Support Portal downloads page for each LogRhythm release. Ensure that 
the Client Console version is the same as the version of your LogRhythm deployment.
Before an installation or upgrade, ensure that all prerequisites have been met.

Important: For systems with UAC (Windows 7 and later), always run the installers as Local Administrator with 
elevated privileges. The person performing the installation must be in the Local Admin group, unless the domain is 
managed and the Group Policy Object dictates that only Domain Administrators can run installers. When you open 
any configuration files for editing, you must also run Notepad as administrator to be able to save the file.

System Requirements
The Client Console can be installed on any system meeting the following minimum requirements.   

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 96
LogRhythm Confidential
 l Available Disk Space: 300 MB  
 l Memory:  
 o 1 GB (Administration)  
 o 2 GB (Analysis & Reporting)  
 o Memory requirements are lower when performing only administrative tasks. The use of Log Miner,  Investigator, 
Personal Dashboard, and reporting can consume a significant  amount of memory if large data sets are loaded.

 l Operating Systems (English only — refer to the LogRhythm Compatibility and System Monitor Functionality Guide 
for more information):
 o Windows 7
 o Windows 10
 o Windows Server 2008
 o Windows Server 2008 R2
 o Windows Server 2012 R2

 l Microsoft .NET Framework 4.5.2

Note: Microsoft .NET Framework 4.5.2 will be installed if necessary.

 l Disk Space:
 o 600 MB for Client Console install only
 o 32-bit: 4.5 GB if .NET 4.5.2 needs to be installed
 o 64-bit: 4.5 GB if .NET 4.5.2 needs to be installed

Download the Client Console Installer

To download the latest Client Console installer, do the following:  

 1.  Log in to the  Support Portal.

Note: If you do not have an account, complete the registration process. Refer to Create a  
LogRhythm Support Account   and then return to this topic when ready.

 2.  On the main toolbar, point to Downloads and then click SIEM.
 3.  Click the link for the version of LogRhythm software you need.
 4.  Click the link for the Client Console installer, downloaded in a .zip archive.
 5.  When the Save As dialog is displayed, browse to the location where you want to save the file, then click Save. 

Note: You should save and run the installer from the local machine to improve performance.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 97
LogRhythm Confidential
 6.  Locate the installer .zip file and extract the installer executable from it.
After the download is complete, refer to the next procedure to install or upgrade the LogRhythm Console.

Run the Client Console Installer

 1.  If it is running, close the LogRhythm Client Console.

Note: You do not need to uninstall an existing LogRhythm Client Console before you install the 
new version. However, if you try to install or uninstall while the Client Console is running, an 
error message is displayed and you will not be able to complete the action.

 2.  Locate the Client Console installer that was downloaded previously.
 3.  Right-click the Client Console installer, and then click Run as administrator.
The LogRhythm Console installation wizard is displayed.
 4.  If you receive a Pending Reboot warning message, do one of the following:
 o Uninstall the Console and reinstall (recommended)
 o Reboot your system and run the installer again
 5.  Click Next to display the license agreement, if necessary.

 6.  Read and accept the license agreement, and then click Next.
 7.  Follow the steps in the wizard to complete the installation.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 98
LogRhythm Confidential
 8.  Click Finish when the installation is completed.

Start the Client Console

To start the LogRhythm Client Console:

 1.  On the Start menu, click All Programs, click LogRhythm, and then click LogRhythm Console.

If configured for your deployment, a security banner appears.
 2.  If the banner appears, read the message and click OK to access the LogRhythm Client Console. 
 3.  In the Login dialog box, enter your credentials, and then click OK.
 o If this is an upgrade or existing deployment, the LogRhythm Client Console appears and you are ready to work in 
 o If this is a new deployment, the New Deployment Wizard appears to complete the configuration. Note that all 
LogRhythm appliances are shipped preloaded with a license and Knowledge Base files.
 4.  If it appears, complete the New Deployment Wizard.

Client Console Display Settings on Windows Server 2012 R2

When the Client Console is running on Windows Server 2012 R2, some tabs and subtabs in certain Client Console 
windows may not appear if the display settings in the operating system are not set correctly.
To avoid these issues, ensure that the magnification for Windows is set to the default value, which is 100%.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 99
LogRhythm Confidential
 1.  Open Control Panel, then click Display.

 2.  Ensure that Smaller – 100% is selected, then click Apply.

 3.  Log out of Windows and log back in.

System Monitor Agents

 n System Monitor Agents Overview
 n System Requirements for System Monitors
 n Download the System Monitor Installer
 n Install a System Monitor on Windows
 n Silently Install a System Monitor on Windows
 n Install a System Monitor on UNIX/Linux
 n Manually Update the System Monitor Configuration File
 n Run UNIX System Monitor with Non-Root Privileges
 n Run Linux System Monitor with Non-Root Privileges
 n Bulk Updates with the System Monitor Package Manager

System Monitor Agents Overview

LogRhythm provides two types of System Monitor Agent licenses: System Monitor Lite and System Monitor Pro. See  
System Monitors in the Administration section for more information.
This process will help you install a System Monitor, perform initial configuration with connection information for the Data 
Processor, start the LogRhythm System Monitor Service, and register the System Monitor record within LogRhythm. After 
successfully registering a System Monitor, continue with other necessary tasks such as registering log sources and adding 
additional System Monitors.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 100
LogRhythm Confidential
Note: Installing a LogRhythm System Monitor is not necessary for PM or XM appliances that ship 
with System Monitor software components pre-installed. 

System Requirements for System Monitors

This topic describes the system requirements for the LogRhythm System Monitor.

Important: Windows hosts running System Monitors prior to version 7.2.x may still have .NET 4.0 installed. 
During a manual upgrade or an automatic upgrade via the System Monitor Package Manager, .NET 4.5.2 will be 
installed. The installation of .NET 4.5.2 requires a system reboot. If you see any System Monitors in your 
deployment that stop sending heartbeats after the upgrade, you may need to manually reboot the System Monitor 
host to complete the .NET installation.

1 GHz or better (minimal), 2 GHz or better (optimal)

1 GB or more (minimal), 2 GB or more (optimal)

Disk Space
 l 40 MB for System Monitor installation only
 l 32-bit: 4.5 GB if .NET 4.5.2 needs to be installed
 l 64-bit: 4.5 GB if .NET 4.5.2 needs to be installed
 l At least 5 GB for log data storage

Note: Log data is stored on the System Monitor host only if the connection to the Data 
Processor is lost. In this case, log data must be stored locally until a connection is 
reestablished. The amount of disk space required for log data will vary according to collected 
log volume and the frequency and duration of a lost connection.  Dedicated or high-volume 
deployments will require additional storage.

Microsoft .NET Framework

LogRhythm Systems Monitor Agents  for Windows require the Microsoft .NET Framework 4.5.2. If necessary, Microsoft 
.NET Framework 4.5.2 will be installed with the Agent installation package.

Operating Systems, System Monitor Lite and Pro Features, and Agent Compatibility and
Functionality Matrix
For more information about supported operating systems, System Monitor compatibility, and different System Monitor 
features, see the LogRhythm Compatibility and System Monitor Functionality Guide.

Download the System Monitor Installer

Download the LogRhythm System Monitor Agent files necessary for your site platform.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 101
LogRhythm Confidential
 1.  Log in to the  Support Portal.

Note: If you do not have an account, complete the registration process. Refer to Create a  
LogRhythm Support Account   and then return to this topic when ready.

 2.  On the main toolbar, point to Downloads and then click SIEM.
 3.  Click the LogRhythm version for which you want to download the System Monitor installer.
 4.  Under System Monitor Agents, click the link for the System Monitor platform you want to download.
 5.  When the Save As dialog box appears, browse to a local directory and click Save.

Note: Save the file to your local hard drive to improve performance when installing.

 6.  Repeat the above steps for all System Monitors platforms that you want to download.
 7.  When the download is complete, proceed to the installation section for your platform. See Install a System Monitor 
on Windows or Install a System Monitor on UNIX/Linux.

Install a System Monitor on Windows

Important: For systems with UAC (Windows 7 and newer), always run the installers as a Local Administrator 
with elevated privileges. The person performing the installation must be in the Local Admin group, unless the 
domain is managed and the Group Policy Object dictates that only Domain Administrators can run installers. 
When you open any configuration files for editing, you must also run Notepad as administrator to be able to save 
the file.

 1.  Log in to the host machine where the new Agent will reside.   
 2.  Install the Agent by running the downloaded or LRSystemMonitor_64_
7.x.x.xxxx.exe file.
 3.  If the system does not have the Microsoft Visual C++ 2010 Redistributable Package installed, click Install.

 4.  Follow the instructions for the LogRhythm System Monitor Service setup wizard:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 102
LogRhythm Confidential
 a.  Pending Reboot. You may choose to ignore this warning and continue to install by clicking Next. If the install 
fails, reboot the system and try again.

Important: If a restart is required, this will be indicated in the setup wizard.

 b.  License Agreement. Accept the license agreement, if it appears, and then click Next.

 c.  Destination Folder. Use the default installation path whenever possible. Click Next.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 103
LogRhythm Confidential
 d.  Custom Setup
 i.  To determine if you have sufficient space for installation, click Space and then click OK.

 ii.  Install the Realtime FIM driver, if you want. Select the Realtime FIM Driver menu and then select 

This feature will be installed on local hard drive and then click Next.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 104
LogRhythm Confidential
Note: See the LogRhythm Compatibility and System Monitor Functionality Guide 
for Realtime FIM agent support levels. Installing the driver will allow the feature to 
work within the LogRhythm Solution. If the driver is not installed, it will not work, 
even if you have enabled it within the System Monitor Agent Endpoint Monitoring 

 e.  You are now ready to install the program. Click Install.

 f.  When the wizard is complete, select the Launch System Monitor Configuration Manager check box to 

start the System Monitor Configuration Manager.

 g.  Click Finish.
 5.  The General tab of the System Monitor Local Configuration Manager appears. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 105
LogRhythm Confidential
Do the following:
 a.  Replace CHANGE_THIS with the static IP address or fully qualified domain name (System Monitor 6.2 or 
above) of the appropriate Data Processor. By allowing a domain name, LogRhythm deployment connection 
settings using an internal host name can control IP address assignment through the DNS server.
 b.  Enter the port number of the Data Processor to which the System Monitor will connect. The valid range is 1 to 
65535, and the default is 443.
 c.  Enter the static IP address (of the host running the System Monitor Agent) to use when connecting to the Data 
Processor. This must be an IP address, rather than a hostname.
 d.  Enter the client port number this System Monitor will use when connecting to the Data Processor. The valid 
range is 0 to 65535. (Default = 3333; Ephemeral port = 0).
 e.  Enter the Host Entity ID in the Host Entity ID field.
 f.  If you have a High Availability (HA) deployment, you can modify the following options:
 o Configuration File Parent Directory
 o State File Parent Directory

Warning: Ensure you understand the impacts before making changes. See Configure High 
Availability (HA).

 g.  Click Apply.   

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 106
LogRhythm Confidential
 6.  Click the Windows Service tab.   

Note: The System Monitor Agent must be assigned to a named account. 

 7.  Click the Log File tab.

 8.  Click Refresh to see the log file that is being collected.
 9.  Click OK to exit the Local Configuration Manager.

Silently Install a System Monitor on Windows

The following table summarizes the available installation options. 

Parameter Options Description

For a fresh install, only the System Monitor will be installed.
ALL Install or Modify System Monitor and FIM Driver
System_Monitor Install or Modify System Monitor Only
RT_FIM_Driver Add FIM Driver to existing installation
System_Monitor,RT_FIM_Driver Install or Modify System Monitor and FIM Driver (same as ALL)
INSTALLDIR ALL Install in non-default location

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 107
LogRhythm Confidential
Parameter Options Description

Important: For New installations only.

System_Monitor Install in non-default location

Important: For New installations only.

REMOVE RT_FIM_Driver Remove FIM Driver from existing installation

HOST Add host to scsm.ini file.
Default equals CHANGE_THIS

Important: For New installations only.

SERVERPORT Add server port to scsm.ini file.

Default equals 443

Important: For New installations only.

CLIENTADDRESS Add client address to scsm.ini file.

Default equals 0

Important: For New installations only.

CLIENTPORT Add client port to scsm.ini file.

Default equals 3333. Ephemeral port is 0.

Important: For New installations only.

To perform a silent installation follow the directions below replacing LRSystemMonitor.exe with the appropriate file name 
for your installation package:

Important: Upgrades are not available at this time.

Important: All command line instructions must be run with elevated privileges.

To perform a fresh install of the System Monitor with RealTime FIM:

LRSystemMonitor.exe /s /v" /qn ADDLOCAL=ALL"
LRSystemMonitor.exe /s /v" /qn ADDLOCAL=System_Monitor,RT_FIM_Driver"
To perform a fresh install of the System Monitor only (without RealTime FIM, the installer default):
LRSystemMonitor.exe /s  
/v" /qn "
To add RealTime FIM Driver to an existing installation (after System Monitor was installed):
LRSystemMonitor.exe /s /v" /qn ADDLOCAL=RT_FIM_Driver,System_Monitor"
To remove RealTime FIM Driver from an existing installation:
LRSystemMonitor.exe /s /v" /qn REMOVE=RT_FIM_Driver"
To perform a fresh install of all features to a non-default location:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 108
LogRhythm Confidential
LRSystemMonitor.exe /s  
/v" /qn ADDLOCAL=ALL INSTALLDIR=\"D:\Install Test\""
To perform a fresh install of the System Monitor only (without RealTime FIM) to a non-default location:
LRSystemMonitor.exe /s  
/v" /qn ADDLOCAL=System_Monitor INSTALLDIR=\"D:\Install Test\""
To perform a fresh install of the System Monitor only (without RealTime FIM) and create a custom log file in a
custom location:
LRSystemMonitor.exe /s  
/v" /qn /l*vx \"D:\Location Test\Agent_install.log\""
LRSystemMonitor.exe /s  
/v" /qn /l*vx \"D:\Location Test\Agent_install.log\" 
To perform an uninstall of a 32-bit agent:
msiexec.exe /x {E8DDB57F-B307-4EA7-9A63-E6ADF823025A} /qn
To perform an uninstall of a 64-bit agent:
msiexec.exe /x {C985CA75-0490-4C69-858B-F773E16EEC15} /qn
To perform a fresh install of the System Monitor only specifying LCM properties (without RealTime FIM):
LRSystemMonitor.exe /s  
/v" /qn ADDLOCAL=System_Monitor HOST= SERVERPORT=999 
To perform a fresh install of all the features specifying LCM properties (with RealTime FIM):
LRSystemMonitor.exe /s  
/v" /qn ADDLOCAL=System_Monitor,RT_FIM_Driver HOST= 

Install a System Monitor on UNIX/Linux

 1.  Using a secure FTP client, such as WinSCP, log in to the system where you will be installing the Agent using root 
 2.  Copy the install package to /root/tmp directory on the *NIX machine.
 3.  Using a terminal emulator, such as PuTTY, open an additional connection to the *NIX machine.
 4.  In the table below, find your *NIX version in the first column.
 5.  Verify that an Agent is not currently installed by running the command in the Check Version column.
 6.  If necessary, uninstall the Agent by running the command in the Remove/Uninstall Agent column.
 7.  In PuTTY, navigate to the/tmp directory.
 8.  Install the agent by running the command in the Install column.
On the Support Portal, you will find a text file with specific installation instructions with each Agent installer.
 9.  Navigate to the Agent configuration folder: cd /opt/logrhythm/scsm/config
 10.  Update the scsm.ini file with the correct host IP: vi scsm.ini See Manually Update the System Monitor 
Configuration File for more information.
 11.  Navigate to the service bin folder: cd /etc/init.d/
 12.  Start the Agent: ./scsm start  
 13.  To register the agent, see Agent Identification and Acceptance.

For more information about downloading Agent installers and their corresponding file names, consult the appropriate 
Upgrade Guide and/or the download page on the Support Portal.

Check Remove/Uninstall
*NIX Type Upgrade Install
Version Agent
AIX N/A lslpp -l scsm installp -u scsm tar xf filename.tar

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 109
LogRhythm Confidential
Check Remove/Uninstall
*NIX Type Upgrade Install
Version Agent
installp -a -d . scsm
Debian N/A dpkg -p dpkg -r scsm dpkg -i filename.deb
Fedora* rpm -U rpm -q scsm rpm -e scsm rpm -i filename.rpm
HP-UX N/A swlist scsm swremove scsm tar xf filename.tar
swinstall -s
/tmp/filename.depot \*
Oracle Linux N/A rpm -q scsm rpm -e scsm rpm -i filename.rpm
Solaris SPARC N/A pkginfo -l pkgrm scsm tar xf filename.tar
scsm pkgadd -d . scsm
Solaris x86 N/A pkginfo -l pkgrm scsm tar xf filename.tar
scsm pkgadd -d . scsm
Red Hat Enterprise/ rpm -U rpm -q scsm rpm -e scsm rpm -i filename.rpm
CentOS* filename.rpm
Red Hat Linux* rpm -U rpm -q scsm rpm -e scsm rpm -i filename.rpm
SUSE* rpm -U rpm -q scsm rpm -e scsm rpm -i filename.rpm
Ubuntu N/A dpkg -p dpkg -r scsm dpkg -i filename.deb

*Upgrading is only available for version 6.1 and later Agents. If you are running Linux with non-root privileges, you cannot 
use the upgrade command.

Manually Update the System Monitor Configuration File

The Local Configuration Manager is only available for Windows clients. The configuration file needs to be updated manually 
for UNIX/Linux agents.

 1.  Open the file scsm.ini. 
# LogRhythm System Monitor Agent Configuration File
# Copyright 2008-2012 LogRhythm, Inc.
# Comments begin with '#', blank lines are ignored
# Mediator sections - up to 3 Mediators are supported
# Each Mediator has its own section with an incrementing header number: [Mediator 
[Mediator 1]
# IP address of the Mediator this Agent will connect to.  
DNS names are not 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 110
LogRhythm Confidential
# Port number the Mediator is listening on
# IP address or index of the address to use for transmitting messages to the 
# This is either a static IP v4/v6 address (recommended) or the zero-based index 
of the
# address to use from a list of all available IP addresses.  
The default is to 
# an address from all available IPv4 addresses.  
To select an address from all 
# IPv6 addresses, append '|6' to the index number (e.g., use '0|6' to specify the 
# available IPv6 address).  
Valid values are:
- static IP Address
- index of address to use, for example:
- '0' for the first available IPv4 address
- '0|6' for the first available IPv6 address
- '2' for the third available IPv4 address
- '2|6' for the third available IPv6 address
# Port number to use for transmitting messages to the Mediator.

 2.  Find the line starting with Host and replace CHANGE_THIS with the IP address of the Data Processor. 
 3.  Find the line starting with ClientAddress and replace CHANGE_THIS with the IP address of the System Monitor 
host, or specify an address index (e.g., ‘eth0’ for Linux or ‘0’ for Windows).

Note: If your deployment uses Network Address Translation (NAT), you must specify an 
address index for ClientAddress. Using an index instead of a static IP address ensures that 
communication with the Data Processor will not be interrupted if the IP address of the System 
Monitor host changes. 

 4.  Adjust any other parameters to align with any changes to the default  Data Processor settings.
 5.  Save and close the file.

Run UNIX System Monitor with Non-Root Privileges

To run the UNIX agents with non-root privileges:

 1.  Make the following executable by the user (or group or other), if necessary:
- /opt/logrhythm/scsm/bin/scsm (the start/stop script)
- /opt/logrhythm/scsm/bin/scsmd (the Agent daemon)
 2.  Make the following directories writeable by the user (or group or other):
- /opt/logrhythm/scsm/bin (for Agent pid files: and
- /opt/logrhythm/scsm/logs (for log files)
- /opt/logrhythm/scsm/state (recursive, for state files)
- /opt/logrhythm/scsm/config (for INI file writes and agentguid.cfg writes)

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 111
LogRhythm Confidential
 3.  Add the following to the PATH environment variable (in user's shell or in the scsm script):
Solaris: /sbin and /usr/sbin
export PATH
export PATH
export PATH
 4.  You will need to do the same for the start/stop scripts that get called when the host is booted up and shut down (for 
example, /etc/init.d/scsm, /etc/init.d/rc3.d/S99scsm, /etc/init.d/rc0.d/K99scsm).
 5.  If you want to run the syslog server as non-root, the port must be changed from the default (514 UDP/TCP) to one 
that is greater than 1024.  Ports lower than 1024 are reserved, and only root can access them.  If the Agent is run as 
non-root and the port is less than 1024, warn in scsm.log and syslog that the syslog server will not run unless the 
port is greater than 1024.   

Note: Some devices that send syslog may not have a configurable port.  If they do not allow the 
destination port to be configured, then this solution will not work without some other 
configuration changes.

Run Linux System Monitor with Non-Root Privileges

This section refers to all Linux agents using RPM to install the Agent, including 32-bit and 64-bit platforms for the following 
installations: Red Hat, CentOS, Debian, Fedora, and SUSE. 

Note: When running with non-root privileges, you cannot use the upgrade command for Linux 2.4 and 

To run the Linux agents with non-root privileges:

 1.  Install agent using rpm -ivh <Linux RPM file> or rpm -i < Linux RPM file>.
 2.  Create non-root user with login privileges, if necessary.
 3.  As root, update the LR_RUNAS_USER from root to non-root user and save in /etc/init.d/scsm.
 4.  Add the following to the PATH environment variable (in user's shell or in the scsm script):
Linux: /sbin
export PATH
 5.  Non-root user can run scsm service using the following:
 l Start: /etc/init.d/scsm start or service scsm start
 l Stop: /etc/init.d/scsm stop or service scsm stop
 6.  If you want to run syslog server as non-root, the port must be changed from the default (514 UDP/TCP) to one that 
is greater than 1024.  Ports lower than 1024 are reserved and only root can access them.  If the Agent is run as non-
root and the port is less than 1024, warn in scsm.log and syslog that the syslog server will not run unless the port is 
greater than 1024. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 112
LogRhythm Confidential
Note: Some devices that send syslog may not have a configurable port.  If they do not allow the 
destination port to be configured then this solution will not work without some other 
configuration changes.

Configure High Availability (HA)

 n Configure High Availability Overview
 n High Availability Prerequisites
 n Upgrade Path in LCM

Configure High Availability Overview

For deployments that are set up for High Availability (HA), the default Configuration and State paths can be modified. The 
new path location is modified in the Local Configuration Manager (LCM) for the different components.

Upgrade Services
If you upgrade the services, the installer will create the config and state folders along with any files that are initially created 
on install, in their default location (C:\Program Files\LogRhythm\.....). If the Local Configuration Manager (LCM) has a 
different path for State and Config, the system will use the LCM path and not the default location.

Log Source Impacts

It is best to set up the config and state paths prior to doing log collection. However, if you have set it up after, keep the 
following in mind:

 l Any log sources that contain a file path in the flat files tab may need to be updated if they were previously pointing to 
the config folder (i.e. Check Point, Qualys, Nessus, and Cisco IDS/IPS sdee).
 l If you have Check Point configured, the configuration file will need to be updated as it contains configuration for the 
path of the opsec.p12 file.
Example: opsec_sslca_file "T:\LogRhythm\LogRhythm System Monitor\config\opsec.p12"

High Availability Prerequisites

Prior to changing the value in the LCM, the following steps must be completed:

 1.  Stop the agent service if it is running.
 2.  Create new config and state directories for each component to be changed (ARM, Job Manager, Data Processor, 
and System Monitor Agents). For example:
 o T:\LogRhythm Alarming and Response Manager\Config
 o T:\LogRhythm Alarming and Response Manager\State
 o T:\LogRhythm Job Manager\Config
 o T:\LogRhythm Job Manager\State
 o T:\LogRhythm Mediator Server\Config
 o T:\LogRhythm Mediator Server\State

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 113
LogRhythm Confidential
 o T:\LogRhythm System Monitor\Config
 o T:\LogRhythm System Monitor\State
 3.  Copy the config and state folder contents from their install location to the newly created directories.
 o Default install location for x86 is: C:\Program Files (x86)\LogRhythm\[Component Name]\
 o Default install location for x64 is: C:\Program Files\LogRhythm\[Component Name]\
 4.  Move the config and state files from their default install location to a temp directory to be deleted after configuration 
is complete.  This should be done to prevent you from using the files in this location for any reason. After the location 
is updated in the LCM, the default location will no longer be used.
 5.  Copy the config and state folder contents from their install location to the newly created directories.

Upgrade Path in LCM

Update the new path location in the Local Configuration Manager (LCM):

 1.  Open the Local Configuration Manager (LCM) for each component for which you created a new config and state path 

 2.  Change the location by selecting the ellipses or typing directly in the text box. This should be the directory that you 
created above for the config and state directory. Do not include “Config\” or “State\” in the path.
 3.  Click Apply or OK to save your changes.

New Deployment Wizard

 n New Deployment Wizard Overview
 n Complete the New Deployment Wizard
 n Assign LogRhythm Licenses
 n Assign System Monitor Licenses
 n Import LogRhythm Licenses
 n View LogRhythm License Report

New Deployment Wizard Overview

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 114
LogRhythm Confidential
The first time you log in to the Client Console after an appliance is installed/configured, or after a new software installation, 
the New Deployment Wizard guides you through the initial configuration steps. The wizard prompts you for information to 
initialize the Platform Manager (PM) and locate specific files that are loaded into the system to begin the configuration of 

Complete the New Deployment Wizard

Warning: All new deployments should only be completed by LogRhythm authorized staff. Failure to do so could 
leave your system in an unsupported state.

Enter the following information into the New Deployment Wizard Fields:

 1.  Enter the Windows host name for Platform Manager. In this field, enter the host name where the Platform Manager 

is located. To find the host name: 
 a.  Right-click My Computer and select Properties from the shortcut menu. 
 b.  Click the Computer Name tab and get the Full Computer Name up to the first period where the domain name 
will start. 
 2.  IP Address for the Platform Manager. In this field, enter the IP address where the Platform Manager is located. 
Appliances are shipped with two Network Interface Cards (NICs). Typically, each NIC serves a purpose: one for 
Client Console connections, one for database intercommunication. The IP address entered here serves as a Client 
Console connection interface.

Note: The default port number used by the Platform Manager is 1433. To configure a different 
port number, use the following syntax in the IP Address for the Platform Manager field:
<IPADDRESS;PORT #>;50 - Separate the IP number and the Port number with a 

 3.  The Platform Manager also a Data Processor (e.g. an XM appliance). Use this field to determine if the Platform 

Manager is also a Data Processor.
 o If the appliance type is a DX, then both the Platform Manager and Data Processor databases are contained on a 
single appliance. Ensure the check box is selected.
 o If the Platform Manager is on a separate Platform Manager appliance, clear the check box.
 4.  The Platform Manager is also an AI Engine Server. Use this field to determine if the Platform Manager is also an 
AI Engine Server.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 115
LogRhythm Confidential
 o If the AI Engine Server is on the Platform Manager (such as a standalone Platform Manager or an XM), select the 
check box. 
 o If the AI Engine Server is on a separate AI Engine appliance, clear the check box.
 5.  LogMart DB Server Override. If your LogMart database is on a separate machine, enter the IP address of the 
machine on which the LogMart database in installed. 

Warning: This option is to be used only under the supervision of LogRhythm Inc. Professional Services. 

 6.  Select LogRhythm License File. Use this field to load the LogRhythm License file provided by LogRhythm Support 

after the purchase and shipment of the appliance(s).
 a.  Click the ellipses button on the right side of the field.  
 b.  Locate and select the master license file.
 c.  Click Open. 
The path and file name appear in the Select LogRhythm License File text box.

Note: This file is required to access and configure LogRhythm.

 d.  Click OK.
 7.  Select LogRhythm Knowledge Base File. Use this field to load the Knowledge Base into the Client Console.
 a.  Click the ellipses button on the right side of the field.  
 b.  Locate and select the Knowledge Base file.
 c.  Click Open. 
The path and file name appear in the Select LogRhythm Knowledge Base File text box.
 d.  Click OK.
 8.  Select Data Processor Licensing Mode:
 o Software (n available licenses). Select this option to identify a software-only purchase.
 o Appliance Mode for software and appliance purchase. Select this option to identify a software and appliance 
 o Data Processor MPS mode for software and appliance purchase. Select this option to use a Messages Per 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 116
LogRhythm Confidential
Second license.

 9.  Click Next.
 10.  Select the Log Source Licensing Mode.
 o Limited (n available Licenses). Select this option to assign a limited quantity of log source packs to this Data 
 o Unlimited (n available licenses). Select this option to assign an unlimited log source license to this Data 

 11.  Click OK.
The New Knowledge Base Deployment Wizard appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 117
LogRhythm Confidential
 12.  Deploy the Knowledge Base by selecting one of the three following options:
 o I have Internet access and want to automatically download the KB (recommended).  
 a.  Proxy Server Address. Enter the Proxy Server Address for the KB Download.
 b.  Proxy Server Port. Enter the port number for the server.
 c.  Select the Proxy Server Requires Authentication check box.
 d.  Enter the appropriate credentials and Host name, if necessary.
 e.  Click OK. The Knowledge Base is downloaded.
 f.  Click OK. Proceed to the I have already manually downloaded the KB. Select this option to manually import 
the Knowledge Base file. section.
 o I do not have Internet access or want to manually download the KB.
The Manual Knowledge Base Download message box appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 118
LogRhythm Confidential
Perform one of the following:
 o Export Knowledge Base Request File. Select this option to export a Knowledge Base request file and upload it 
to the Support Portal:
 a.  Click OK and download the file to your drive. The Export Successful page appears.
 b.  Click OK. The Knowledge Base Not Loaded page appears.  
 c.  Click OK. The Client Console closes.
 o Contact Customer Support. Select this option to obtain the Knowledge Base file from Customer Support:
 a.  From a computer with Internet access, access the Support Portal.
 b.  Go to the Downloads section to access the latest version of the Knowledge Base.
The request screen appears.

 c.  Choose from the following:
 i.  Upload the Request File downloaded from the Client Console. 
 ii.  Enter the License ID, the Deployment ID, and the Product Version in the appropriate fields.
 d.  Click Get Knowledge Base.
 e.  Save the Knowledge Base file and transfer it to the computer on which you are loading the Client 
 f.  Restart the Client Console and follow the instructions in the following section.
 l I have already manually downloaded the KB. Select this option to manually import the Knowledge Base file.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 119
LogRhythm Confidential
 a.  The Knowledge Base Import Wizard appears and starts unpacking and validating the Knowledge Base file. 
The file is checked for compatibility with your current deployment and is prepared for import. This may take 
several minutes.

 b.  Upon completion, the message Knowledge Base unpacked appears in the status. Click Next to import the 
Knowledge Base.

The Knowledge Base Updated message box appears.
 13.  Click OK.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 120
LogRhythm Confidential
 14.  On the Knowledge Base Import Wizard, click Close.
The Missing Platform Manager Platform error message appears.

 15.  Click OK.
 16.  In the Platform Manager Properties dialog box, click the Browse icon next to the Platform box.

 17.  In the Platform Selector table, select the row corresponding to your appliance and click OK.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 121
LogRhythm Confidential
 18.  Enter an email address in the Email From Address field and click OK.
The Missing Data Processor Platform error message appears.

 19.  Click OK.
 20.  In the Data Processor Properties dialog box, click the Browse icon next to the Platform box.

 21.  In the Platform Selector table, select the row corresponding to your appliance and click OK.   

The Restart Component dialog box appears.
 22.  Click OK.

Assign LogRhythm Licenses

Licenses determine how many Data Processors can operate in the LogRhythm installation and how many Messages Per 
Second (MPS) can be processed by the Data Processors. The licenses are assigned to a data processor through the Data 
Processor Properties dialog box.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 122
LogRhythm Confidential
License a Data Processor
 1.  Log in to the Client Console using administrator credentials.
 2.  On the main toolbar, click Deployment Manager.
 3.  Click the Data Processors tab.
 4.  Right-click a Data Processor to license, and then click Properties.   
The Data Processor Properties dialog box appears.

 5.  Click Licensing Wizard. 

 6.  Follow the steps of the wizard to complete the process.
 7.  Click OK when the process is complete. 

Remove a License from a Data Processor

 1.  Log in to the Client Console using administrator credentials.
 2.  On the main toolbar, click Deployment Manager.
 3.  Click the Data Processor tab.
 4.  Right-click a Data Processor to unlicense, and then click Properties
The Data Processor Properties dialog box appears.
 5.  Click Remove License.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 123
LogRhythm Confidential
No confirmation prompt appears.
 6.  Click OK.

Assign System Monitor Licenses

LogRhythm Agent licenses can be assigned and reclaimed via the System Monitors tab of the Deployment Manager:

 1.  Log in to the Client Console using administrator credentials.
 2.  On the main toolbar, click Deployment Manager.
 3.  Click the System Monitors tab. 
 4.  To license a LogRhythm Agent:
 a.  Select the Action check box for the Agent you wish to license.
 b.  Right-click the entry.
 c.  Click Actions, click License, and then click System Monitor Lite or System Monitor Pro.
 5.  To remove a LogRhythm Agent License:
 a.  Select the Action check box for the Agent you wish to unlicense. 
 b.  Right-click the entry.
 c.  Click Actions, and then click Unlicense.

Import LogRhythm Licenses

If you need to update your LogRhythm license, you can import a new license file.  You must update your license when: 

 l You upgrade to a new LogRhythm version that is not supported by the current license.
 l Your evaluation period expires.
 l You purchase a new license or add-on components.

To import a license file, do the following:

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.

 2.  In the File menu, click Import License File.
 3.  Browse to and select your license file, and then click Open. 

View LogRhythm License Report

The license report shows a list of licenses grouped by type, along with values for the total quantity purchased, the number 
assigned, and the remaining available. The report is grouped by expiration date. Licenses that expire will fall within a sub-
report for that expiration date.
To view a license report:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 124
LogRhythm Confidential
 1.  On the Help menu, click About LogRhythm.   
 2.  Click License Report.
   The Report Viewer appears.

Note: The report can be printed or exported as a Crystal Report, PDF, Excel, Word, or RTF 

Import a Knowledge Base (Version 7.2.x)

 n Import a Knowledge Base Overview
 n Understand Common Event Upgrades
 n Back Up EMDB
 n Download the Knowledge Base File 
 n Start Knowledge Base Manager
 n Complete the Knowledge Base Import Wizard
 n Configure Synchronization Settings
 n Common Event Change Manager
 n Knowledge Base Subscription

Import a Knowledge Base Overview

The Knowledge Base (KB) consists of a Core Base Module and individual KB modules. The KB Core Base Module must be 
installed and updated on all deployments. Then, each individual KB module must be updated to meet the organization's 
Each KB module is organized around a single theme or purpose. For example, KB modules are used in the following 

 l Compliance Modules (FIM, PCI, NERC CIP, etc.)
 l Operations Modules
 l Security Modules

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 125
LogRhythm Confidential
The Knowledge Base Wizard can be run in two cases:

 l In a new deployment, as part of the New Deployment Wizard.
 l From the Client Console, during periodic Knowledge Base updates.

When upgrading to LogRhythm Version 6.0.2 or later, the  import process incorporates a new Common Event Change 
The Common Event (CE) Change Manager was introduced to consolidate Common Events to support easier search, 
reporting, and AI Engine rules. If custom objects reference a consolidated Common Event, that object may no longer 
function properly. Impacted custom objects include: Saved Investigations, Saved Tails, Personal Dashboard Filters, 
Reports, Alarm Rules, GLPRs, AI Engine Rules, MPE Rules, and Common Event Lists.
With the Common Event Change Manager, you can make the appropriate updates based on user input for common events 
that have been modified.

Understand Common Event Upgrades

When the KB is updated, all the new Common Events are added to the CommonEvents table, and the original Common 
Events are left in place. The rules that assigned the old Common Events to a specific log have been changed to assign the 
new Common Events.

The Difference between Common Event to Common Event or Common Event to MPE Rule
Let’s look at a Common Event Filter containing two common events:

 l VPN Authentication
 l VPN-Authentication - Admin

In this example, the VPN Authentication and VPN Authentication – Admin Common Events were both migrated to 

User Logon.
If you select Common Event to Common Event, the resulting list of Common Events in the filter would be:

 l VPN Authentication
 l VPN-Authentication - Admin
 l User Logon

The old Common Events are left in the filter so that an operation including historic logs would catch the logs with those 
Common Events. The new Common Events are added to the filter to catch current logs.
If you select Common Event to MPE Rule, the Common Event filter is removed and an MPERule filter that contains all 
of the rules that referred to the OLD Common Events is inserted in its place. The result would be an MPE Rule filter 
containing the following MPE Rules:

 l MS-SysLog EVID 20142 : Successful VPN Auth
 l MID 139 : VPN Client Authentication
 l Login Packet
 l MIA: ID 0406 MUVPN User Logged In
 l ID 013299601: SSL Authentication
 l ID 013299601: SSL Authentication
 l SSL-VPN ID-1: User Login Successful
 l %AUTH-6-41: VPN Authentication
 l Login Succeeded : VPN Authentication

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 126
LogRhythm Confidential
 l ASA-6-716038 : WebVPN Authentication Success
 l VMID 400 : VPN Authentication
 l ID 013299601: SSL Authentication
 l MID 235 : VPN Admin Login
 l VMID 403 : Administrator Authentication

Should you migrate items after updating your KB, and which method should you use?
Let’s say you already have a Common Event filter using the User Logon Common Event in a report, investigation, GLPR, 
or something else. In the 201 KB, there are 72 rules that have User Logon as a Common Event. In the 203 KB, there are  
728 rules that have User Logon as a Common Event.
If you do not migrate any configuration items, you will have 728 rules that will assign a common event of User Logon 
instead of just 72. The potential to have many more items matching the Common Event filter of User Logon when 
performing Investigations, running Tails, or running Reports, is huge. This also affects GLPRs, as many more items will 
match the GLPR.
Here, 111 individual Common Events were migrated from their original value to User Logon. If you migrate using Common
Event to Common Event, 111 old Common Events that were something else will now also be User Logon, and therefore 
will match the User Logon Common Event Filter. This would be another case where performing operations will no longer 
just return the data you are looking for.
Because using the Common Event to MPE Rule option replaces the original common event with the MPE rule(s) that 
called it, all the rules that refer to the new Common Event will not be included in the filter. In this example, 14 rules are 
called the VPN Authentication or VPN Authentication – Admin Common Events. Those same 14 rules now call the 
User Logon Common Event. Using those 14 rules as a filter will retain the original intent of the filter and will retrieve the 
OLD and NEW Common Events, where using the new Common Event for the filter will not.

Special Considerations Associated with this Import

Warning: If you are not familiar with the customizations that have been made to your deployment, you should not 
proceed with the import until such knowledge is acquired, or you should Contact LogRhythm Support for 

Back Up EMDB
Prior to importing your first KB with Common Event Changes, back up your EMDB.

 1.  Log in to the system that is your Platform Manager.
 2.  Open the SQL Server Management Studio and log in with an account that has administrative privileges (for 
example, sa).
 3.  Expand the databases and select LogRhythmEMDB.
 4.  Right-click LogRhythmEMDB, click Tasks, and then click Back Up.
Back Up Database LogRhythmEMDB appears.
 5.  In the Source section, change the backup type to Full.
 6.  In the Backup set section, the system automatically suggests a default named based on the database name and the 
backup type. Change the file name and description, if you want.
 7.  In the Destination section, select Back up to Disk, then click Add to add a file or device to the Back up to list.
 8.  Click OK to create the backup.
 9.  When the backup is complete, close the SQL Server Management Studio.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 127
LogRhythm Confidential
Download the Knowledge Base File
There are two methods to acquire the latest version of the Knowledge Base file: 

 l Automatic Download 
 l Manual Download from the Support Portal  

Automatic Download
The preferred method is to set up Automatic Synchronization in the Knowledge Base Manager and check for updates 
directly from the Client Console. To enable automatic downloads, ensure that inbound firewall rules allow access from on ports 80 and 443.

Important: If your Platform Manager appliance is deployed in a dark site, or otherwise has restricted or no Internet 
access, ensure that inbound firewall rules allow access from the following IP addresses, and ensure that ports 80 
and 443 are open for each:

 1.  Open the Client Console.
 2.  In the Tools menu, click Knowledge, and then click Knowledge Base Manager.

Important: All windows must be closed to open the Knowledge Base Manager.

The Knowledge Base Manager appears.

 3.  Click Configure Synchronization Settings.   
 a.  Make any necessary changes.
 b.  Click OK.
 4.  The Knowledge Base Manager will check for updates, download the Knowledge Base, and synchronize, as 
 5.  If you do not want to wait until the next scheduled download, click Check for Knowledge Base Updates.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 128
LogRhythm Confidential
Manual Download
If you do not have access to the Internet or if you prefer to manually download the KB, perform the following steps.  

 1.  Open the Client Console.
 2.  In the Tools menu, click Knowledge, and then click Knowledge Base Manager.   
The Knowledge Base Manager appears.

 3.  In the File menu, click Export Knowledge Base Request File.

 4.  Download the request file to your drive. 
The Export Successful message box appears.
 5.  Click OK.
 6.  Close the Client Console.
 7.  From a computer with Internet access, log in to the LogRhythm Support Portal.
 8.  Go to the Downloads link to access the latest version of the Knowledge Base.
The request screen appears. 

 9.  Either upload the Request File downloaded from the Client Console or enter the License ID, Deployment ID, and 

the Product Version in the appropriate fields.
 10.  Click Get Knowledge Base.
 11.  Save the Knowledge Base file and transfer it to the computer on which the Knowledge Base is being updated. 

Start Knowledge Base Manager

From the Client Console, in the Tools menu, click Knowledge, and then click Knowledge Base Manager to open the 
Knowledge Base Manager. The Knowledge Base Manager appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 129
LogRhythm Confidential
Complete the Knowledge Base Import Wizard

Import Phase 1: Automatically Download or Select the Knowledge Base File

This phase allows you to set the location of the Knowledge Base file. 

 1.  If you want to automatically download the Knowledge Base, click Check for Knowledge Base Updates and then 

click Synchronize Stored Knowledge Base if necessary. Proceed to Step 3.
 2.  If you manually downloaded the Knowledge Base file:
 a.  From the Knowledge Base Manager, click File, then click Import Knowledge Base File.
 b.  Select the Knowledge Base File, and then click OK.
The Knowledge Base Import Wizard appears and starts unpacking and validating the Knowledge Base file. The file 
is checked for compatibility with your current deployment and is prepared for import. This may take several minutes.

 3.  Upon completion, the 'Unpack Progress: Knowledge Base unpacked' message appears. Click Next to import the 
Knowledge Base.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 130
LogRhythm Confidential
 4.  Upon completion, 'Import Progress Import Completed' message appears.
 5.  The 'Knowledge Base Updated' message appears. Click OK.
 6.  On the Knowledge Base Import Wizard, click Close.

Import Phase 2: Enable Knowledge Base Modules and Synchronize

 1.  Select the Action check box(es) next to the modules you want.

The Enable Selected Modules message box appears. 

 2.  Right-click the module you want, click Actions, and then click Enable Module.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 131
LogRhythm Confidential
 3.  Select the Enable Intelligent Indexing on Module Objects check box, if you want Reports, Report Packages, 
Tails, and Investigations to have their log data indexed. See Intelligent Indexing for more information.
 4.  Click OK to start the synchronization.
 5.  When complete, click Close to complete the process.

Import Phase 3: Migrate Common Event Changes

When importing a Knowledge Base with Common Event changes, you are given the opportunity to preview any objects 
that are affected by the Common Event changes and that will require Common Event migration work. These changes can 
impact the behavior of existing Objects, both System and Custom, as currently deployed. Some Knowledge Base updates 
include Common Event migration changes, which are changes to the Common Event metadata filters used by LogRhythm. 

 1.  If an Action Required message appears, some items need to be updated due to Common Event migration changes.

 2.  Click Common Event Change Manager.
 3.  To migrate a Common Event with a preview, select the Action check box for the item. From the menu, select 
Migrate With Preview, and then select either Migrate Common Event To Common Event or Common Event
To MPE Rule.

 4.  To migrate a Common Event without a preview, select the Action check box for the item. From the menu, select 
Action, and then select either Migrate Common Event to Common Event or Common Event To MPE Rule.

 5.  Click Close.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 132
LogRhythm Confidential
Configure Synchronization Settings
Knowledge Base Automatic Synchronization Settings allow you to set the Synchronization Mode, Schedule, and 
Synchronize Additional System Properties. These settings are accessed via the Automatic Synchronization Settings 

Set Synchronization Mode

 1.  On the Synchronization Mode tab, determine the Knowledge Base Automatic Synchronization Mode settings.
 2.  Select the Enable Automatic Knowledge Base Download check box.   W hen enabled, you can choose to enable 
the Knowledge Base Core synchronization, enable Knowledge Base Module synchronization, or stop 
synchronization when Common Event migrations are detected.

Set Schedule
On the Schedule tab, set the schedule to check for Knowledge Base updates. Set the frequency (in days), time, and start 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 133
LogRhythm Confidential
Set Proxy Settings
On the Proxy Settings tab, set the following items:

 l Proxy Server Address

Important: You must use the format http://<address> (for example,

 l Proxy Server Port

 l If necessary, select the Proxy Server Requires Authentication check box and then provide the appropriate 

Set Synchronize Additional System Properties

When you have made customizations to filter criteria for System Reports, Investigations, or Tails, you must verify that the 
Advanced Settings are configured so as not to overwrite your customizations during import.

Important: If you are not familiar with the customizations that have been made to your deployment, obtain this 
knowledge and/or Contact LogRhythm Support for assistance.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 134
LogRhythm Confidential
Synchronize Additional System Properties Description
Log Processing Properties
Common Events (Recommended) Synchronize all customizable Common Event properties; Classification,
Risk Rating, and Description.
Log Processing Policies Synchronize all system log processing policies, replacing any
customized log and event management settings.
Port and Protocol Application and Mappings Synchronize all system port and protocol application mappings. Custom
(Recommended) mappings that conflict with system mappings will be replaced. Custom
mappings that do not conflict with system mappings will be retained.
Report Properties
Log Source List Criteria Synchronize the Log Source Criteria for all system reports that use Log
Source Lists.
Filter Criteria Synchronize the Filter Criteria for all system reports.
Investigation Properties
Log Source List Criteria Synchronize the Log Source Criteria for all system Investigations that
use Log Source Lists.
Filter Criteria Synchronize the Filter Criteria for all system Investigations.
Tail Properties
Log Source List Criteria Synchronize the Log Source Criteria for all system Tails that use Log
Source Lists.
Filter Criteria Synchronize the Filter Criteria for all system Tails.
AI Engine Rule Properties
Log Source List Criteria Synchronize the Log Source Criteria for all system AIE Rules that use
Log Source Lists.
Enable Advanced Synchronization Settings Synchronize user editable rule evaluation settings for all system AIE
Rules. This includes all Rule Block Time Limit settings, Unique Value

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 135
LogRhythm Confidential
Synchronize Additional System Properties Description
Rule Block occurrences, and Threshold Rule Block values.
Only sync additional properties for disabled Only synchronize advanced settings when the AIE rule is disabled.
Alarm Rule Properties
Log Source List Criteria Synchronize the Log Source Criteria for all system Alarm Rules that use
Log Source Lists.
Primary Criteria and Filter Criteria Synchronize the Primary Criteria, Include Filters and Exclude Filters for
all Alarm Rules with "System: Global Admin" permission.
Global Log Processing Rule Properties
Log Source List Criteria Synchronize the Log Source Criteria for all system GLPRs that use Log
Source Lists.

Common Event Change Manager

The purpose of the  Common Event Change Manager is to assist in the migration of the Common Events in your affected 
There are two types of objects the user will need to migrate if they contain changed Common Events:

 l System Objects with Custom filters: Primary, Include, and/or Exclude filters
 l Custom objects

Migration Options
We recommend that you choose the Common Event to MPE Rule migration option for System Objects to retain the 
behavior of the initial object.
If you migrate Common Event to Common Event, multiple Common Events may result where there was previously only 
If you migrate Common Event to MPE Rule, a large list of MPE Rules may result. This list may be harder to maintain in 
the future, but may also more accurately reflect the old filter behavior.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 136
LogRhythm Confidential
 1.  Open the Common Event Change Manager.
 a.  To migrate a Common Event with a preview, from the context menu, select Migrate With Preview, and then 
select either Migrate Common Event To Common Event or Migrate Common Event To MPE Rule.

 b.  To migrate a Common Event without a preview, from the context menu, select Action, and then select either 
Migrate Common Event To Common Event or Migrate Common Event To MPE Rule.

 c.  When complete, click Close.

Knowledge Base Subscription

Certain modules within the Knowledge Base are only available with a subscription. When a Knowledge Base module is not 
available because the subscription for it has not been obtained or it has expired, it will be grayed out in the Knowledge Base 
Modules grid, as shown below.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 137
LogRhythm Confidential
An upgraded subscription is needed to include premium Knowledge Base modules. 

 l To import a new license file, go to Import LogRhythm Licenses.
 l If you do not have your Knowledge Base configured to update automatically, go to the Download the Knowledge 
Base File  instructions. 

Important: If your LogRhythm Client Console version is 6.3.3 or earlier, and you have used the following 
Knowledge Base modules: Endpoint Security Analytics, Network Security Analytics, User Behavior Analytics, 
and Advanced Threat Analytics; you will still have access to those modules. However, you will not be able to 
receive updates for them, and you will not be able to synchronize them until you update to version 6.3.4 or newer 
and obtain a subscription for them. 

Clones and Templates for Windows System Monitor Virtual Machines (VMs)
This topic provides information about the following:

 l Clone an Existing System Monitor VM
 l Create a System Monitor VM Template

Note: These instructions assume that the user understands how to clone a virtual machine using 
their virtual software. 

Clone an Existing System Monitor VM

When an existing System Monitor VM is cloned, all of the existing LogRhythm configuration is replicated into the new host. 
Several of the replicated files must be removed or modified so the System Monitor on the cloned VM will operate properly. 

 1.  Verify that the Agent is heartbeating with a mediator.
 2.  Set the Agent Service Startup type to Manual, and then stop the Agent service.
 3.  Power off the VM and clone it. 
 4.  Power on the original VM, set the Agent Startup Type to Automatic, and then start the Agent service so it can 
resume log collection.
 5.  Start the cloned VM and give it a unique hostname.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 138
LogRhythm Confidential
 6.  On the new VM, do the following:   
 a.  Delete the agentguid.cfg file from the Agent config directory (located by default in C:\Program
Files\LogRhythm\LogRhythm System Monitor\config).
 b.  Delete all files found in the state and log directories:
 l C:\Program Files\LogRhythm\LogRhythm System Monitor\state
 l C:\Program Files\LogRhythm\LogRhythm System Monitor\logs
 c.  Start the System Monitor Local Configuration Manager (lrconfig.exe) to set the Agent address to the IP of the 
new VM, or to an index address (such as 0) if your deployment calls for it.

Note: If you want the Agent to connect to a different Data Processor, change the IP 
address in the Data Processor Address box to that of the other Data Processor.

 d.  Set the Agent Startup Type to Automatic, and then start the Agent service.
 7.  On the System Monitors tab of Deployment Manager, verify that the new Agent shows up as "Pending" under New 
System Monitor Agents. 
 8.  Accept the Agent and verify its host name.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 139
LogRhythm Confidential
Create a System Monitor VM Template
Using this method, all new System Monitor instances will make their initial connection to the same Data Processor.

Note: This method does not support the use of assigned client IP addresses.

 1.  Log in to the VM as a user with administrative privileges.
 2.  Start the System Monitor Local Configuration Manager (lrconfig.exe) and ensure that the System Monitor 
IP Address / Index is 0.
 3.  Verify that the System Monitor is heartbeating with the configured Mediator/Data Processor.
 4.  Verify the Agent Startup Type is set to Automatic.
 5.  Stop the System Monitor service.
 6.  Delete the agentguid.cfg file from the System Monitor configuration directory (located by default in C:\Program
Files\LogRhythm\LogRhythm System Monitor\config).
 7.  Delete the System Monitor's state and log directories:
 a.  C:\Program Files\LogRhythm\LogRhythm System Monitor\state
 b.  C:\Program Files\LogRhythm\LogRhythm System Monitor\logs
 8.  Power off the VM and clone it to a template.
 9.  Power on the original VM, associate the "Pending" System Monitor with an existing System Monitor under the 
Deployment Manager's System Monitors tab, and verify that the System Monitor has resumed heartbeating and 
log collection.
 10.  Deploy a new VM from the template.

Note: It is recommended that you use one of the various sysprep tools to give the new VM a 
unique hostname. Otherwise, rename the VM as soon as possible after restarting it.

 11.  Start the new VM.
 12.  On the System Monitors tab of Deployment Manager, verify that the new System Monitor shows up as "Pending" 
under New System Monitor Agents.
 13.  Accept the System Monitor, verify its host name, and configure it as needed.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 140
LogRhythm Confidential
LogRhythm Administration

Deployment Manager
Topic Contents
 l Deployment Manager
 l Access Deployment Manager
 l Deployment Manager Tabs
 l Deployment Manager Specific Tools Menu Options
 l Deployment Manager Specific File Menu Options

Deployment Manager Overview

LogRhythm administrators use the Deployment Manager to configure and manage LogRhythm components and 
functionality such as alarming and reporting.

Access Deployment Manager

To access Deployment Manager, do the following:

 1.  Start the LogRhythm Client Console and log in using Global or Restricted Administrator credentials.
If the security banner is configured, a warning message appears.

 2.  Click OK to clear the message.
The security banner can be edited or disabled. For more information, please see Configure the Security Banners.
 3.  You can access the Deployment Manager in three ways:
 o Click Deployment Manager on the main toolbar
 o On the Tools menu, click Administration, and then click Deployment Manager
 o Press Ctrl + y

Deployment Manager Tabs

When you access Deployment Manager, the following tabs appear. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 141
LogRhythm Confidential
Note: A Restricted Administrator does not have access to all of the tabs on the Deployment Manager 
that a Global Administrator does. The list of tabs available to a Restricted Administrator is: Entities, 
System Monitor Agents, Log Sources, and Alarm Rules.

Administrators with
TAB Description
Entities An entity represents a physical location in a deployment, Global/Restricted
such as network records, and host records, and LogRhythm
components. The Entities tab opens by default when you
access the Deployment Manager.
Platform Manager The Platform Manager is the hub of a LogRhythm Global
deployment and is the central repository for events,
configuration and licensing information, the LogRhythm
Knowledge Base, and LogMart.
Data Processors The Data Processor provides high-performance, distributed, Global
and highly available processing of machine and forensic
data. Processors receive machine and forensic data from
Collectors and Forensic Sensors. The number of Data
Processors per deployment is based on log data volume and
redundancy requirements.
AI Engine The AI Engine is a Windows Server system. It is Global
LogRhythm’s advanced analysis platform that performs
correlation, pattern recognition, and behavioral analysis.
Network Monitors Network Monitor sensor technology provides deep packet Global
inspection (DPI) of network traffic, application identification,
application behavior monitoring, and full packet capture.
System Monitors System Monitors collect and forward log data to Data Global/Restricted
Processors and can perform file integrity monitoring (FIM).
When File Integrity Monitor detects changes in files and
directories, the System Monitor Pro generates and sends a
log to the Data Processor.
Log Sources Are single, unique origins of log data that is collected from a Global/Restricted
Host and is assigned a Message Processing Engine (MPE)
policy. A single Host can have multiple Log Sources. A Log
Source is the key link LogRhythm uses to determine a log
message’s origin.
Log Processing Determine which rules will be processed against a Log Global
Policies Message Source and how matching logs are treated,
including how long it stays online for reporting, if it is
archived, and if a copy is sent to the Platform Manager.
Alarm Rules Alarm rules are evaluated by the Alarming and Response Global/Restricted
Manager to determine if an Event should incur an alarm. They
can be system rules supplied by LogRhythm, or custom rules
created by users.
People and Users Create and maintain person records for user login Global

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 142
LogRhythm Confidential
Administrators with
TAB Description
identification and contact information for alarm notification.

Deployment Manager Specific Tools Menu Options

The following table lists the Tools menu options that are available in the Deployment Manager.

Note: An * indicates that the option is not available to Restricted Administrators.

Option Sub-Option
Monitor Alarm Viewer
Personal Dashboard (Ctrl + P)
Tail (Ctrl + T)
Search Investigator (Ctrl + I)
Report Report Center (Ctrl + R)
View a Report
* Manage Scheduled Reports
Knowledge List Manager (Ctrl + L)
* Common Event Change Manager
Application Manager
Log Source Type Manager
MPE Rule Builder
Common Event Manager
Active Directory Browsers
Active Directory Browsers
* Knowledge Base Manager
Administration * Deployment Monitor
Deployment Manager
* Windows Host Wizard
* Automatic Log Source Configuration
* Global Log Processing Rule Manager
* Data Masking Rule Manager
* SmartResponse Plugin Manager
Bulk Updates with the System Monitor Package Manager
System Monitor Configuration Policy Manager
* Data Loss Defender Policy Manager
* File Integrity Monitor Policy Manager
* Create a Registry Integrity Monitor Policy

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 143
LogRhythm Confidential
Option Sub-Option
Open the Log Source Virtualization Template Manager
Automatic Log Source Acceptance Rule Manager
* Object Permissions Manager
* Security Manager
* User Profile Manager
* Distribution * Notifications and Collaboration

 l Notification and Collaboration Group Manager
 l Notification Policy Manager

* Log Distribution Services

 l Log Distribution Policy Manager
 l Log Distribution Receiver Manager

Deployment Manager Specific File Menu Options

The File menu options available from most Deployment Manager tabs are  discussed below. 

Option Description
New Starts the process of adding an additional item to the active tab. Does not appear when the Entities tab
is active.
New Root Starts the process of creating a top-level Entity and only appears when the Entities tab is active.
New Child Starts the process of creating a child Entity under the selected Entity and only appears when the
Entity Entities tab is active.
Properties Displays information about the item currently selected on the active tab.
Import License Starts the process to update LogRhythm Licensing.
Close Closes the Deployment Manager, but does not close the LogRhythm Client Console.
Reconnect Re-establishes the connection to the Platform Manager database (EMDB).
Exit Closes the LogRhythm Client Console.

Topic Contents
 l Entities Overview
 l Global  Entity
 l Primary Site  Entity
 l Entity Relationships to Networks and  Hosts   
 l Origin and Impacted Entities

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 144
LogRhythm Confidential
 l Entities Reorganization Wizard
 l Add an Entity
 l Modify an Entity
 l Delete an Entity   

Entities Overview
An Entity represents a physical location where LogRhythm is deployed. It is used to organize the deployment and contain 
network and host records and LogRhythm components. In small, single-site deployments, one Entity record may be 
enough, but deployments that span many sites require multiple Entity records.

Global Entity
The Global Entity is part of every deployment and is used to declare hosts and networks residing outside internal or organic 
networks. The Message Processing Engine (MPE) uses this information to match rules and create Events. For example, a 
network range could be defined for an IP address range prone to security risks. Then you could create Alarm Rules to notify 
someone each time the internal IDS registered an attack from these IPs. See Risk-Based Priority (RBP) for more 

Users may not remove the Global Entity or perform tasks such as deploying Data Processors or Agents in it. Such tasks 
should only be performed within user-created Entities. 
The Global Entity is intentionally unlisted except in the Deployment Manager, in the Entity tab where it is always at the top 
of the tree. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 145
LogRhythm Confidential
Primary Site Entity
In every deployment, a Primary Site Entity is listed after the Global Entity. It is the default, user-definable Entity. If you 
have the proper credentials, you can modify its name and properties and add additional Entities.

Entity Relationships to Networks and Hosts

The Message Processing Engine (MPE) uses Network  and Host records to set the Risk-Based Priority (RBP) and to 
associate the log and associated event to a known host. The Entity acts as a boundary for the MPE. The MPE will only 
analyze a log message against the Network and Host records of the Entity where the sending Agent is assigned. For 
example, if the sending Agent is assigned to the Site1 Entity, the MPE will only analyze log messages against Network 
and Host records that are also assigned to Site1. It is very important to keep this is mind when you create the Entity 
structure and assign Agents, Networks, and Host records.

Note: If you have sites that have overlapping IP space, you must create separate entity records for 
each site. 

Origin and Impacted Entities

An Origin and Impacted Entity will be assigned to every log message based on the following hierarchy:

 1.  Use the Entity associated with resolved Known Host.
 2.  Use the Entity associated with resolved Known Network.
 3.  Use the IP Address:
 o If there is an IP Private address, use Root Entity of Log Source Host.
 o If there is an IP Public address, use the Global Entity.
 o If there is no IP address, use Root Entity of Log SourceHost.

This approach assumes an unresolved IP address that is not resolved to a known host or network, which is not a Private IP 
address, is most likely an external address and should be assigned to the Global Entity.
The Entity resolution performed in the MPE assigns Origin and Impacted Entity based on finding matching Host Identifiers 
assigned to Hosts in the respective Entities and DOES NOT fall back to matching on network ranges assigned to 
Networks. Furthermore, the Origin and Impacted Entity values resolved by the MPE are what gets saved to a Data Indexer 
The Origin and Impacted Entity Networks are determined by matching on network ranges for Networks defined in the entity 

Note: Origin and Impacted Entity are not saved to the database, values are determined at run-time.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 146
LogRhythm Confidential
Entities Reorganization Wizard

 n Entities Reorganization Wizard Overview
 n Run the Reorganization Wizard

Entities Reorganization Wizard Overview

The Reorganization Wizard provides a method for LogRhythm administrators to migrate Host and Network records 
between Entities. This enables logical restructuring of the log management system to match real-world changes in network 
topology and system placement.

Run the Reorganization Wizard

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.
 2.  Click the Entities tab.

 3.  On the Edit menu, click Reorganization Wizard.

The Entity Move Wizard appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 147
LogRhythm Confidential
 4.  Select the Entity to which you want to move existing network and host records, and then click Next.
The wizard displays the Network and Host records that can be moved.

 5.  Select the Move check box next to the Network and Host records that you want to move, and then click Next.
 6.  Review the pending moves in the Review Items list.
 7.  If you want to make any changes, click Back to return to the selection window, revise your selections, and then 
click Next to return to the Review Items list.   
 8.  When you are ready to move the pending items, click OK.
The status of the selected records will be updated in the Review Items list.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 148
LogRhythm Confidential
 9.  Click Close to exit the wizard.

Note: You must close the Client Console and log back in before any changes will be applied.

Add an Entity
To add an Entity to your LogRhythm deployment, do the following:

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.  

 2.  Click the Entities tab.  
 3.  Right-click in the Entities pane and select an option from the context menu:
 o Click New Root Entity
 o Click New Child Entity
 4.  Add values for the Entity Name, Brief Description, and Additional Details.

Note: The Entity Name can be up to 200 characters in length, including spaces. The Full Name 
can be up to 410 characters, including spaces, but it cannot be edited. The Full Name is either 
the Entity Name or the Root Entity Name plus the Entity Name (Root Entity/Child Entity, for 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 149
LogRhythm Confidential
 5.  To add the new Entity, click OK.  

Add Entities from File

If you have several Entities to add, you can add them in bulk from a CSV file. The file should contain the following details 
for each Entity: 

Field Required? Description

Entity Name Yes The name to give to the Entity, up to 200 characters including spaces.
Root Entity No If you want this Entity to be added as a Child Entity of an existing Entity, use this field to
assign the Root Entity. If you do not add a Root Entity, the Entity will be added as a
Root Entity.
Brief Description No A brief description of the Entity, up to 255 characters including spaces.
Additional Details No A more detailed description or other information that you want to include about the
Entity, up to 2000 characters including spaces.

Each line in the file should contain details for only one Entity, in the following order: 
Entity,Root Entity,Brief Description,Additional Details
For example:
It might be easier to create the file in a spreadsheet program that allows you to save in CSV format, for example:

Entity1   Description1 Details1

Entity2 Entity1 Description2 Details2
Entity3 Entity1 Description3 Details3

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 150
LogRhythm Confidential
Note: The file should not contain a header row.

Please note the following about adding Entities from a file:

 l CSV is the only accepted format.
 l You cannot import more than 1,000 Entities at a time.
 l If the import file contains an Entity that already exists, or if the file contains any duplicate entries, the existing Entity 
will be updated.

To add Entities from file, do the following:

 1.  Create your CSV Entity file according to the provided guidelines.
 2.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.  
 3.  Click the Entities tab.
 4.  On the File menu, click Add Entities from File.
 5.  Browse to and select the CSV file containing the Entities you want to import, and then click Open.

Note: If you imported a large number of Entities, the operation may take a short while to 

 6.  While still in the Entities tab, click the Refresh icon in the main toolbar, or press F5.
You should now see the newly imported Entities in Deployment Manager.

Note: To view the status of the import, click the Service Requests tab at the bottom of the 
Deployment Manager. If the import fails, you can review Console.log for more information. You 
can find Console.log in the following location: %APPDATA%\LogRhythm\logs

Modify an Entity
 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.  
 2.  Click the Entities tab.  
 3.  Select the Entity you want to modify.  
 4.  On the File menu, click Properties, or right-click the Entity and then click Properties.
 5.  Modify the values for Entity Name, Brief Description, or Additional Details.

Note: The Entity Name can be up to 200 characters in length, including spaces. The Full Name 
can be up to 410 characters, including spaces, but it cannot be edited. The Full Name is either 
the Entity Name or the Root Entity Name plus the Entity Name (Root Entity/Child Entity, for 

 6.  To save the changes to the Entity, click OK. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 151
LogRhythm Confidential
Delete an Entity
 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.  
 2.  Click the Entities tab.  
 3.  Select the Entity you want to delete.  
 4.  On the Edit menu, click Delete, or right-click the Entity and click Delete. 

Windows Host Wizard

Topic Contents
 l Windows Host Wizard Overview
 l Permissions and Security
 l Open Windows Host Wizard
 l Configure Initial Settings (Domain, Entity, and Log Source Types)
 l Scan a Domain for Computers
 l Import Computers
 l Query Computers
 l Review Computers
 l Work with Hosts/Accept Computers
 l Review New Hosts, System Monitor Agents, and Log Sources
 l Commit Changes

Windows Host Wizard Overview

The Windows Host Wizard is the recommended method for configuring LogRhythm to collect Windows Event logs.  Event 
logs are collected by a Windows System Monitor Agent. An Agent collects Event logs from the host the Agent is installed 
on and, depending on the configuration, collects Event logs from designated remote Windows hosts.
Windows systems do not require Agents to be installed on them to collect their Windows Events logs. One Windows Agent 
can remotely collect from several Windows systems.

Note: For more information, see Networking and Communication. 

Permissions and Security

 n Permissions and Security Overview
 n Requirements for Scanning
 n Requirements for Firewall Settings
 n Requirements for Remote Collection
 n Requirements for Security Event Logs
 n Miscellaneous Requirements
 n Platforms

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 152
LogRhythm Confidential
Permissions and Security Overview
The Windows Host Wizard connects to Active Directory to find Windows systems on the domain. Eligible systems 
returned by the scan can be selected for remote log collection. Correctly defined permissions are essential to identify 
systems and collect logs.

Note: The wizard can only scan domains that have the Include in Scan option selected in the 

domain properties under Windows Host Wizard. See Configure Initial Settings (Domain, Entity, and 
Log Source Types) for more information.

Requirements for Scanning

 l The Remote Registry service on Agent-less systems must be started for machines to be identified in the scan.
 l The user logged in to the machine where the scan is taking place must be a domain user on the domain being 
scanned or the scan will fail to run.

Requirements for Firewall Settings

If firewalls are used on systems in your network:

 l To allow for remote log collection, an exception for port 443 must be added to the Windows Firewall settings on the 
Agent-less systems.
 l The Client Console machine should also have an exception for port 443.
 l To allow the host machine to be identified, the Remote Admin exception must be added to the Windows Firewall 
settings on the Agent-less systems. If it does not appear in the list of Programs and Services within Windows 
firewall exceptions tab, add it from the command prompt by entering the following command: 
netsh firewall set service remoteadmin enable. 
To confirm it is enabled, enter the following: netsh firewall show state.

Requirements for Remote Collection

To collect logs remotely  from another system, the collecting Agent’s service must be running under an account that is in 
the Event Log Readers group. For more information, please refer to LogRhythm Guidance: Least-Privileged User on the 
Support Portal.

Requirements for Security Event Logs

The user running the scan must have administrator privileges on the system that is running the Client Console and for the 
systems on the domain from which logs will be collected. This can be achieved by setting up local users with Administrator 
rights or by using users with domain administrator privileges.

Miscellaneous Requirements
Any other settings on the systems related to firewall, permissions, or security may impact scanning, identification, or 
collection of event logs.

Following is a table of the allowable combinations for collection set up .

 l Agent Operating System. The operating system of the machine where the agent is installed

 l Log Message Source Host. The machine from which the MS Event Logs will be collected. 
 l Log Message Source Type. The Log Message Source Type(s) selected for the Log Message Source Host.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 153
LogRhythm Confidential
 l Local Event Log Collection Allowed?. Can the agent collect the Log Message Source locally?
 l Remote Event Log Collection Allowed?. Can the agent collect the Log Message Source remotely?

Log Message Source Log Message Source Local Event Log Remote Event Log
Host System Type Collection Allowed? Collection Allowed?
XP/2003 2000 MS Event Log for n/a Yes
XP/2003 XP/2003 MS Event Log for Yes Yes
XP/2003 2008/Vista MS Event Log for n/a No
XP/2003 Win7/2008R2 MS Event Log for n/a No
XP/2003 Win8/2012 MS Event Log for n/a No
2008 2000 MS Event Log for n/a Yes
2008 XP/2003 MS Event Log for n/a Yes
2008 2008/Vista MS Event Log for Yes Yes
2008 Win7/2008R2 MS Event Log for n/a Yes
2008 Win8/2012 MS Event Log for n/a Yes
Win7/2008R2 2000 MS Event Log for n/a Yes
Win7/2008R2 XP/2003 MS Event Log for n/a Yes
Win7/2008R2 2008/Vista MS Event Log for n/a Yes
Win7/2008R2 Win7/2008R2 MS Event Log for Yes Yes
Win7/2008R2 Win8/2012 MS Event Log for n/a Yes
Win8/2012 2000 MS Event Log for n/a Yes
Win8/2012 XP/2003 MS Event Log for n/a Yes
Win8/2012 2008/Vista MS Event Log for n/a Yes

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 154
LogRhythm Confidential
Log Message Source Log Message Source Local Event Log Remote Event Log
Host System Type Collection Allowed? Collection Allowed?
Win8/2012 Win7/2008R2 MS Event Log for n/a Yes
Win8/2012 Win8/2012 MS Event Log for Yes Yes

Open Windows Host Wizard

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.
 2.  On the Tools menu, click Administration, then click Windows Host Wizard.
The Windows Host Wizard appears.

Configure Initial Settings (Domain, Entity, and Log Source Types)

During a deployment, the first step is to configure the initial settings of the domains, entities, and log source types that will 
be used during scanning. The configuration is saved so the wizard does not need to be configured each time.
In the Deployment Manager, the first time the wizard is accessed, the Settings window is automatically opened. On 
subsequent uses, open the Wizard via the menu (on the Tools menu, click Administration, then click Windows Host
Wizard) and click Settings.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 155
LogRhythm Confidential
 1.  To open the Wizard on the Tools menu, click Administration, then click Windows Host Wizard.
 2.  The first time the Windows Host Wizard opens, the Settings dialog box is automatically opened. On subsequent 
occasions, click Settings.

The Settings window appears with the Domains tab.

 3.  From the context menu, select New to specify a new domain to include in the scans.
 4.  Enter the New Domain Properties as directed.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 156
LogRhythm Confidential
 a.  Domain Name. A required field.
 b.  Organizational Unit. An optional field.
 c.  User Name and Password. Can be used to provide alternate credentials. Otherwise, the login account will be 
used for authentication by Active Directory. These credentials only apply to Scan Domains; they are not used by 
Query Computers
 d.  Include in Scan. Check box selected by default.
 e.  Default LogRhythm Entity. A required field.
 f.  Scan Sub Units. An optional filed. When checked, all OU units are recursively scanned for all OU units below 
the one specified in Organizational Unit.
 g.  Include in Active Directory Synchronization. This check box is unavailable.
 h.  Include in Active Directory Group Based Authorization. This is unavailable.
 i.  Brief Description. An optional field.
 5.  Click the Details tab and click the Validate button to validate the domain using Active Directory and refresh the 
domain details.

 6.  Click OK.
 7.  On the Domains tab, review the domains to be scanned and select or clear the check box in the Include In Scan 
column, if necessary. At least one domain must be selected to scan the domains for computers.

 8.  Click OK.
 9.  Click Log Source Types tab.
 10.  Select the types of log sources to detect when scanning and querying hosts. To select or clear all log source types, 
right-click and choose Check All or Uncheck All.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 157
LogRhythm Confidential
 11.  The properties of an individual log source can be modified by highlighting the log source and clicking Properties. 
 a.  The MPE Processing Mode and MPE Policy can be changed.
 b.  To begin log collection at the beginning of the log, select Start Collection from the beginning of the log check 

Note: Batch editing of properties is not permitted.

 12.  Click OK.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 158
LogRhythm Confidential
Scan a Domain for Computers
After identifying domains, entities, and log sources, use the Windows Host Wizard to scan the domains to identify the 
computers that contain the Windows event logs. The Windows Host Wizard lets you manage a list of Active Directory 
domains to be scanned. You can filter computers by organizational unit and credentials can be saved with each domain.
To scan a domain for computers, do the following:

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.

 2.  On the Tools menu, click Administration, and then click Windows Host Wizard.
The Windows Host Wizard appears.

Note: If you have not configured the initial settings for the wizard, the settings dialog box 
appears. Complete the initial setup, then continue with the steps below. For more information, 
see Configure Initial Settings (Domain, Entity, and Log Source Types).

 3.  Click Scan Domains for Computers.

Note: If the Settings window appears, no domains are selected. At least one domain must be 
selected to scan the domains for computers.

All configured Active Directory domains are scanned for computers, and progress is shown at the bottom of the 
window. You can stop scanning at any time by clicking Stop Scanning Domains.

 4.  When the scan is complete, discovered computers are shown in the Active Directory Computers tab.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 159
LogRhythm Confidential
Import Computers
If you do not want to scan a domain for computers, you can import a list of computers via manual entry, from a text file, or 
from the clipboard. 

Note: Ensure that the list of computers to import is formatted as follows: Computer Name, Operating 
System, LogRhythm Entity ID, IP Address, DNS Name, LogRhythm Host Name, User Defined Tag. 
Only the computer name is required — defaults will be assigned to Operating System and LogRhythm 
Entity ID where necessary.

To import computers, do the following:

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.

 2.  On the Tools menu, click Administration, and then click Windows Host Wizard.
The Windows Host Wizard appears.

Note: If you have not configured the initial settings for the wizard, the Settings dialog box 
appears. Complete the initial setup, then continue with the steps below. For more information, 
see Configure Initial Settings (Domain, Entity, and Log Source Types).

 3.  Click Import Computers.

 4.  Select the Default LogRhythm Entity and Default Operating System.
 5.  Import the computers:
 a.  To create a list of computers, type the computer details in the Data Entry Text box, and then click Import
Data Entry Text.
 b.  To import text from the clipboard, copy the text to your clipboard, and then click Import Clipboard Text.
 c.  To import a file, click Import Text File, locate and select the file, and then click Open.
The computers appear in the Active Directory Computers tab.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 160
LogRhythm Confidential
Query Computers
After the computers are added by the domain scan and/or the text import, a query can be performed on all selected 
computers for installed agents, available event logs, and IP addresses. This step is optional; however, useful information 
can be identified.

 1.  Check the Action check box for each computer to query.
 2.  Click Query Computers or right-click to use the context menu and click Actions, then click Query Computers.

 3.  The appropriate columns will be populated in the grid.

Review Computers
Up to this point, you have identified computers that are available to collect windows event logs and they appear in the 
Active Directory Computers tab. All computers that have been scanned or imported will be listed here. In this view you will 
prepare the computers for acceptance into your LogRhythm deployment.
Within the Active Directory Computers tab, use the New, Rejected, Active, or Retired tabs at the bottom to view the 
computers and their details.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 161
LogRhythm Confidential
 l New. Computers with Event Logs that
 o are not currently being collected by LogRhythm
 o have not been retired in the deployment 
 o have not been rejected within the Host Wizard.
 l Rejected. Computers which you or another user have chosen not to collect with LogRhythm.
 l Active. Computers with Event Logs currently being collected by LogRhythm.
 l Retired . Computers with Event Logs that, at one point, were being collected by LogRhythm, but are now retired 
within the deployment.

Perform Optional Configurations

There are several optional configurations that can be performed for the selected computers. This is done using the context 
menu Actions option

 l Change LogRhythm Entity. This changes the Entity for the host

 l Add Log Sources. This allows you to add additional log sources for this host to collect
 l Reject . This moves the computer to the rejected tab so that you don't have to see it in the new tab on future scans

Change LogRhythm Entity

Use the Change LogRhythm Entity context menu command to organize your computers into entities or resolve duplicate 
identifier errors.

 1.  Select one or more hosts.

Note: The Action check box must be selected.

 2.  Right-click in the grid to show the context menu.
 3.  Click Actions, then click Change LogRhythm Entity.   
The Entity Selector dialog box appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 162
LogRhythm Confidential
 4.  Select the Entity and click OK.   
The Confirm Change Entities dialog box appears.

 5.  Click Yes.

Add Log Sources

Use the Add Log Sources context menu command to add additional log sources to be collected from one or more 
computers.  Log Sources will not be added to checked computers where they already exist or are invalid.

 1.  Select one or more hosts.

Note: The Action check box must be selected.

 2.  Right-click in the grid to show the context menu.
 3.  Click Actions, then click Add Log Sources.   
The Add Log Sources dialog box appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 163
LogRhythm Confidential
 4.  Select the Log Sources to add and change the properties, if needed, by clicking Properties.
 5.  Click OK.
The Confirm Add Log Sources dialog box appears.

 6.  Click Yes.

Reject Host
 1.  Select one or more hosts.

Note: The Action check box must be selected.

 2.  Right-click in the grid to show the context menu.
 3.  Click Actions, then click Reject.   
The Confirm Reject dialog box appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 164
LogRhythm Confidential
 4.  Click Yes.
 5.  To view the rejected hosts, click the Rejected tab.

Work with Hosts/Accept Computers

 n Work with Hosts/Accept Computers Overview
 n Create Local System Monitor Agent
 n Assign a Remote System Monitor
 n Delete Host

Work with Hosts/Accept Computers Overview

After the hosts appear, you can select and take action on one or multiple hosts at a time. The selections and actions can all 
be performed through the context menu.
Use sorting, filtering, and grouping in conjunction with the check/uncheck displayed context menu commands to check the 
action column for the computers you want to add to your deployment.
Examine the IP address, agent version, unregistered log sources, and errors to uncheck the action column for those 
computers which should not be added to the deployment.
Create Local System Monitor Agents or Assign Remote System Monitor Agents for computers you have or plan on 
installing agents on. After they are accepted, the computers are moved from the New to the Active tab.
After you have reviewed the computers and applied any configurations you want, you can take the steps to add the hosts, 
agents, and log sources to the deployment. This is a required step to add the appropriate records to the deployment.

Note: This only adds it to the Wizard. Final acceptance and updates to the deployment only happen 
when you commit the changes. 

Create Local System Monitor Agent

Will register local agents and unregistered log sources where not already registered.

 1.  Select the Action check box for one or more hosts.
 2.  Right-click in the grid to show the context menu.
 3.  Click Actions, click Accept, then click Create Local System Monitor Agent.   
The Confirm Create dialog box appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 165
LogRhythm Confidential
 4.  Click Yes.
 5.  To view the agent, click the Active tab.

Assign a Remote System Monitor

Will use the selected system monitor agent to collect new log sources that are not already assigned to the agent.

 1.  Select one or more hosts.

Note: The Action check box must be selected.

 2.  Right-click in the grid to show the context menu.
 3.  Click Actions, click Accept, then click Assign Remote System Monitor Agent.   
The Select Collection System Monitor Agent dialog box appears.

 4.  From the New or Existing System Monitor Agents tab, select the name of the agent that will collect the new log 
sources that have not already been assigned to an agent.
 5.  Click OK.   
The Confirm Assignment dialog box appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 166
LogRhythm Confidential
 6.  Click Yes.
 7.  To view the agent, click the Active tab.

Delete Host
 1.  From the Rejected tab, select one or more hosts.

Note: The Action check box must be selected.

 2.  Right-click in the grid to show the context menu.
 3.  Click Actions, then click Delete.   
The Confirm Delete dialog box appears.

 4.  Click Yes.

Review New Hosts, System Monitor Agents, and Log Sources

Review the hosts, system monitor agents, and log sources that will be created in the deployment for accuracy. The 
following tabs display the records that will be added to the deployment. You can also access these tabs by using the Next 
and Back buttons:
New Hosts. Lists the new hosts that will be added to the deployment. Read-only previous of records that will be created if 
the wizard changes are accepted.
New System Monitor Agents. Lists the new system monitor agents that will be added to the deployment. A read-only 
preview of records that will be created if the wizard changes are accepted.
New Log Sources. Lists the new log sources that will be added to the deployment.

Commit Changes
When you are comfortable with the configurations that have been applied in previous steps, you can commit the changes. 
This must be done for the changes to be saved to the deployment.
Apply. Will save the changes within the deployment and clear out the ‘New’ tabs, bringing you back to the Active Directory 
Computers tab where you can make additional configurations.
OK. Will save the changes within the deployment and close the wizard.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 167
LogRhythm Confidential
Network Records
Topic Contents
 l Network Records Overview
 l Known Networks
 l Search for Networks
 l Add Network Record
 l Modify a Single Network  Record
 l Modify Multiple Network Records 
 l Delete a Network Record   

Network Records Overview

Network records identify and logically group a range of IP addresses  to:

 l Assign a Risk-Based Priority (RBP) to events.
 l Determine direction such as inbound or outbound for the activity being logged.

Network records do not need to correspond to physical networks. Their  function is to identify a contiguous range of IP 
addresses that share a common risk threshold. For direction identification, all undefined network ranges are considered to 
be external in nature; although for risk rating, networks may also be defined explicitly as external. 

Note: See Networking and Communication for additional information.

Known Networks
In LogRhythm Known Networks are used:

 l To help calculate Risk Based Priority (RBP) and Direction.
 l As criteria for Alarm Rules. 

MPE resolves the Network at run-time when it calculates RBP and direction. The Alarm and Response Manager (ARM) 
resolves the Network at run time for rules evaluation.
To resolve a Known Network, a search is conducted for Networks assigned to the Log Source Host Entity in the following 
order until the search is resolved:

 1.  Choose from the following:
 a.  If the Log Source Host Entity is a child entity: 
 i.  Search for Networks within the Log Source Host Root Entity
 ii.  Search for Networks within other child Entities within the Log Source Host Root Entity
 b.  If the Log Source Host Entity is a Root Entity, search for Networks within any child Entities within Log Source 
Host Entity. This must resolve to a single Network. If the search returns more than one Network, it goes to Step 
 2.  If there is a public IP Address, search other Root Entities, but not their child Entities. This must resolve to a single 
Network. If the search returns more than one Network, it goes to Step 4.
 3.  Search for Network within the Global Entity.
 4.  Known Network is not resolved.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 168
LogRhythm Confidential
Note: Origin and Impacted Network are not saved to the database; values are determined at 

Search for Networks

Organizations with many Entities and/or Networks can search for a specific Network using the following criteria: 

 l LogRhythm Network Name
 l Beginning IP Address of a range
 l Ending  IP Address of a range

Note: The search is performed on the Entities to which the user has access. For example, if the user 
has access to three of the five Entities in the deployment, the search is only performed on the three 
Entities to which the user has access.  

 1.  Open the LogRhythm Client Console with Administrator privileges.
 2.  Click the Entities tab.
 3.  Enter your search criteria in the Search field in the Entity Networks section of the page. 

 4.  Click Search. 
The Search Results appear in the Entity Networks grid. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 169
LogRhythm Confidential
Add Network Record
 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.   
 2.  Click the Entities tab. 

 3.  Select the Entity where the Network should be assigned.  
 4.  Click the New button above the Entity Networks grid to display the Network window.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 170
LogRhythm Confidential
 5.  Enter the basic information about the network.
Network Risk Level represents the amount of risk developed if the network  were to become compromised or the 
subject of some other issue. 0 None (no risk) - means no risk is involved in the loss of this  network. 9 High-High 
(highest risk) - means the most risk  will be incurred if an issue arises. This is relevant when this network is the  
impacted network, target, or is acted upon by external forces.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 171
LogRhythm Confidential
 6.  Enter the Threat Level to designate the degree of threat when the network is the origin of actions. 1 Low-Low 
(lowest threat) - means that actions originating from this network  are of little cause for alarm or are possibly 
commonplace. 9 High-High (highest threat) - means that this network should not be the source of outgoing actions 
and that there is the greatest threat to security if such  events are observed.
 7.  Enter any other information about this Network on the Additional Details tab.
 8.  Click OK.

Networks and Hosts are also assigned a Zone value of Internal, External, or DMZ. The Zone is assigned in the following 

 1.  Use the Zone of resolved Known Host.
 2.  Use the Zone of the resolved Network.
 3.  Use the IP address, 
 o If the IP Address is private, set the Zone to Internal.
 o If the IP Address is public, set the Zone to External.
 o If there is no IP Address is private, set the Zone to Unknown.

Add Network Records from File

If you have several Networks to add to an Entity, you can add them in bulk from a CSV file. The file should contain the 
following details for each Network: 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 172
LogRhythm Confidential
Field Required? Format Description
Network Yes String The name to give to the Network, up to 50 characters including spaces.
Brief No String A brief description of the Network, up to 255 characters including spaces.
Additional No String A more detailed description or other information that you want to include
Details about the Network, up to 2000 characters including spaces.
Risk Level No Integer Assigns a corresponding risk level to the Network, as follows:
0: None (no risk)
1: Low-Low (lowest risk)
2: Low-Medium
3: Low-High
4: Medium-Low
5: Medium-Medium
6: Medium-High
7: High-Low
8: High-Medium
9: High-High (highest risk)
Network No String The zone to which the Network should be assigned. If you enter a value for
Zone this field, it must be one of the following: Internal, External, DMZ
If this field contains any invalid values, the Network will be imported with a
zone value of UNKNOWN HOST ZONE.
Network No country, The location of the Network by country, region, and city. You can specify
Location country/region, or only a country, only a country and region, or all three values.
country/region/city Each value must be a valid selection from country, region, or city. For more
information, manually add an Entity Network and review the valid options
in the Location Selector.
If the location field is invalid or not formatted correctly, the location will not
be imported for the Network.
Beginning Yes IP address The first IP address in the IP range that defines the Network.
Ending IP Yes IP address The last IP address in the IP range that defines the Network.

Each line in the file should contain details for only one Network, in the following order: Network Name,Brief 
Description,Additional Details,Risk Level,Network Zone,Network Location,Beginning IP,Ending IP
For example:
Network1,Description1,Details1,RiskLevel1,Zone1,Location1,Beginning IP1,Ending IP1
Network2,,,,,,Beginning IP2,Ending IP2
Network3,Description3,Details3,,,Location3,Beginning IP3,Ending IP3
It might be easier to create the file in a spreadsheet program that allows you to save in CSV format, for example:

Network1 Description1 Details1 RiskLevel1 Zone1 Location1 Beginning IP1 Ending IP1

Network2           Beginning IP2 Ending IP2
Network3 Description3 Details3     Location3 Beginning IP3 Ending IP3

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 173
LogRhythm Confidential
Note: The file should not contain a header row.

Please note the following about adding Networks from a file:

 l CSV is the only accepted format.
 l If any required fields contain invalid values, none of the Networks will be imported.
 l You cannot import more than 50,000 Networks at a time.
 l If the import file contains a Network that already exists, or if the file contains any duplicate entries, the existing 
Network will be updated.

To add Networks from file, do the following:

 1.  Create your CSV Network file according to the provided guidelines.
 2.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.  
 3.  Click the Entities tab.
 4.  Right-click the Entity to which you want to add Networks, and then click Add Networks from File.
 5.  Browse to and select the CSV file containing the Networks you want to import, and then click Open.

Note: If you imported a large number of Networks, the operation may take a short while to 

 6.  While still in the Entities tab, click the Refresh icon in the main toolbar, or press F5.
You should now see the newly imported Networks in the Entity Networks panel for the selected Entity.

Note: To view the status of the import, click the Service Requests tab at the bottom of the 
Deployment Manager. If the import fails, you can review Console.log for more information. You 
can find Console.log in the following location: %APPDATA%\LogRhythm\logs

Modify a Single Network Record

To edit a single Network record:

 1.  Open  Deployment Manager from the LogRhythm Client Console. 
 2.  Select the Entities tab.
 3.  Select the Entity record where the Network is assigned.
The Entity Networks list populates.
 4.  Select the Network to modify in the Entity Networks pane.  
 5.  Click Properties above the Entity Networks grid or right-click and select Properties from the context menu.
The Network window appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 174
LogRhythm Confidential
 6.  Modify the Network record properties you want to change.  
 7.  Click OK. 

Modify Multiple Network Records

To edit properties for multiple  Networks in one action:

 1.  Log in to the Client Console using administrator credentials.  
 2.  On the main toolbar, click Deployment Manager.
The Deployment Manager window appears.
 3.  Select the Entities tab.  
 4.  In the Entities pane, select the entity where the Network is assigned.  
 5.  In the Entity Networks grid, check the Action check box of all networks you want to change to an identical value.
 6.  Right-click in the Entity Networks grid and from the context menu click Action, then click Edit Properties .
The Network Batch Properties Edit window appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 175
LogRhythm Confidential
 7.  Select values in the fields that you want to assign to all the selected Networks. 
 8.  Click OK.
The changes are displayed in the Entity Networks grid.

Delete a Network Record

 1.  Open Deployment Manager from the LogRhythm Client Console.  
 2.  Select the Entity record where the Network is assigned.
The Entity Networks list populates.  
 3.  Select the Network you want to delete in the Entity Networks grid.  
 4.  Click the Delete button above the Entity Networks grid.
A confirmation prompt appears.
 5.  Click OK.

Host Records
Topic Contents
 l Host Records Overview
 l Duplicate Host Names
 l Known Hosts
 l Direction
 l Search for Hosts
 l Add a  Host Record
 l Add Origin or Impacted Host as Known Host
 l Modify Properties for a Single Host Record
 l Modify Properties for Multiple Host Records
 l Retire a Host Record
 l Batch Import Host Records

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 176
LogRhythm Confidential
 l Add/Remove Host Roles
 l Batch Export Host Roles to File

Host Records Overview

Host records  identify and assign useful information to important systems in your network. When analyzing log messages 
and creating  events, the MPE tries to associate the actors involved in the event such as the source IP of an event to a 
known host. If a known host can be identified, the risk threshold identified by the host records is used to create the Risk-
Based Priority (RBP). If a host record is not found, the network risk threshold is used. Host records are also good places to 
add information such as the purpose of the system, any known issues, and key contacts.

Duplicate Host Names

Host names within Entities should be unique. However, some sites may have hosts in two different entities that have 
identical host names or host name identifiers as shown below:

When the situation that is shown in the preceding diagram occurs, an additional step is required in LogRhythm to allow an 
unregistered agent to auto-register. A LogRhythm administrator must specify the EntityID in the General section of the 
scsm.ini file in the format:
When the EntityID is present, the agent will send this to the mediator in its identification message (otherwise known as the 
agent info string). In an example where the EntityID=5, the agent info string sent to the mediator will look like:

Known Hosts
Known Hosts are specific devices and hosts that are entered in LogRhythm to:

 l Provide a consolidated roll-up of log message activity.
 l Be used in the calculation of Risk Based Priority and Direction.
 l Be available as criteria for all filtering functions across the product.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 177
LogRhythm Confidential
Log messages are associated to Known Hosts based on host identifiers in the log. The identifiers can be: Windows Host 
Name(s), DNS Host Name(s), and IP Address(s). When applicable, host is searched for first by host name then IP.
To resolve a Known Host, a search is conducted for Hosts assigned to the Log Source Host Entity in the following order 
until the search is resolved:

 1.  If the Log Source Host Entity is a child entity:
 a.  Search for Hosts within the Log Source Host Root Entity
 b.  Search for Hosts within other child Entities within the Log Source Host Root Entity
 2.  If the Log Source Host Entity is a Root Entity, search for Hosts within any child Entities within Log Source Host 
Entity. This must resolve to a single Host. If the search returns more than one Host, it goes to Step 5.
 3.  If there is a public IP Address, search other Root Entities, but not their child Entities. This must resolve to a single 
Host. If the search returns more than one Host, it goes to Step 5.
 4.  Search for Hosts within the Global Entity.
 5.  Known Host is not resolved.

Hosts and Networks are also assigned a Zone value of Internal, External, or DMZ. The Zone is assigned in the order:

 1.  Use the Zone of the resolved Known Host.
 2.  Use the Zone of the resolved Network.
 3.  Use the IP address: 
 o If the IP Address is private, set the Zone to Internal.
 o If the IP Address is public, set the Zone to External.
 o If there is no IP Address, set the Zone to Unknown.

A Direction is assigned to log messages when the zone of both Origin and Impacted Host is known. 

Direction Set If
Local Origin and Impacted Host are the same.
External Origin Zone External and Impacted Zone anything
Internal Origin Zone Internal and Impacted Zone Internal
Origin Zone DMZ and Impacted Zone Internal
Origin Zone Internal and Impacted Zone DMZ
Origin Zone DMZ and Impacted Zone DMZ
Outbound Origin Zone Internal and Impacted Zone External
Origin Zone DMZ and Impacted Zone External
Unknown No value for both Origin and Impacted Host
Origin Zone undetermined
Impacted Zone undetermined
Unidentified logs

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 178
LogRhythm Confidential
Search for Hosts
Organizations with many Entities and/or Hosts can search for a specific Host using the following criteria:

 l LogRhythm Host Name 
 l IP Address

Note: The search is performed on the Entities to which the user has access. For example, if the user 
has access to three of the five Entities in the deployment, the search is only performed on the three 
Entities to which the user has access.  

 1.  Open the LogRhythm Client Console with Administrator privileges.
 2.  Click the Entities tab.
 3.  Enter the your search criteria in the Search field in the Entity Hosts section of the page. 

 4.  Click Search. 
The Search Results appear in the Entity Hosts grid. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 179
LogRhythm Confidential
Add a Host Record
 1.  On the main toolbar, click Deployment Manager.
 2.  Click the Entities tab, and then click the Entity to which you want to assign the Host.

 3.  In the Entity Hosts pane at the lower-right, click New or right-click and select New Host from the context menu.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 180
LogRhythm Confidential
The Host window appears.

 4.  On the Basic Information tab, enter the following details:
 o Name (required): The name to assign to the new host.

Important: LogRhythm does not support hostnames that include spaces.

 o Host Zone (required). Internal, DMZ, or External
 o Operating System. The operating system of the new host. Click   next to the Operating System box. In the 
Operating System Selector window, click your operating system in the list, and then click OK. 
 o Operating System Version. The version of the selected operating system that is running on the new host.
 o Host Location. The geographic location of the new host. Click   next to the Host Location box. In the Location 
Selector window, select the country, region, and city where the host is located.
 o Brief Description. An optional description of the new host.
 o Host Risk Level (required). Represents the amount of risk developed if the system were  to become compromised 
or the subject of some other issue. A value of 0 indicates that no risk is involved in the loss of this system. 
A value of 9 indicates the most risk  would be incurred if the system were compromised. The risk level is relevant 
when the host is the  impacted system, target, or is acted upon by external forces.
 o Windows Event Log Credentials. When the operating system is Windows, if you want the Agent to use different 
credentials for each host in the deployment when collecting Event Logs, select the Use specified credentials 
check box and provide the username and password to be used. If you do not select this option, the Agent will use 
its own service credentials.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 181
LogRhythm Confidential
Important: Multi-domain event log collection is only supported on Windows Vista, 7, 8, 2008, or 
2012. Windows XP, 2000, and 2003 are not supported.

 5.  On the Identifiers tab, enter Host Identifiers. 
Identifiers are used by the MPE to associate values in a log message to the correct host record. Available identifiers 
include static IP  addresses, Windows names, and DNS names. Enter all aliases a host may have, but do not enter 
aliases that are subject to change. For example, a current IP that is  assigned by DHCP could lead to misidentified 
logs because it changes.
 6.  On the Host Roles tab, enter key contacts.
 7.  On the Threat Level tab, designate the amount of threat that is developed if the system  were to be the origin of 
First, select the Add to global Source Threat List check box if there is any treat level other than 0 (none/no risk). A 
value of 1 (low-low (lowest threat)) means that actions originating from this host are of little cause for alarm or are 
possibly commonplace, and a value of 9 (high-high (highest threat)) means that this system should not be the 
source of outgoing actions and that there is the greatest threat to security if such events are observed.
 8.  On the Additional Information tab, add any other pertinent information.
 9.  When finished, click OK. 

Note: You can add an origin or impacted Host as the known Host from a log returned in search 
results. See Search Results Context Menus for details.

Add Origin or Impacted Host as Known Host

To add origin or impacted hosts to an entity as Known Hosts:

 1.  Select a log in the search results grid.
 2.  Right-click and select Add Origin Host as Known Host or Add Impacted Host as Known Host.
The Select Entity window appears.

 3.  Select the entity where you want to add the host.
The Host window appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 182
LogRhythm Confidential
 4.  Enter or update information if necessary. For more details, see Add a  Host Record.
 5.  Click OK.

Search for a Host or Network
Organizations with large amounts of Hosts and Networks can search for a particular Host or Network.

Modify Properties for a Single Host Record

To edit properties for a single Host:

 1.  On the main toolbar, click Deployment Manager.
 2.  Select the Entities tab.  
 3.  In the Entities pane, select the entity where the host is assigned.  
 4.  In the Entity Hosts grid, select the host you want.  
 5.  Click Properties above the Entity Hosts grid or right-click in the grid and select Properties from the context menu.
The Host window appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 183
LogRhythm Confidential
 6.  Make your edits. 
 7.  Click OK.
The changes appear in the appropriate grid.

Modify Properties for Multiple Host Records

Editing properties for multiple hosts in one action is performed in a similar manner:

 1.  On the main toolbar, click Deployment Manager.
 2.  Select the Entities tab.  
 3.  In the Entities pane, select the entity where the hosts are assigned.  
 4.  In the Entity Hosts grid, check the Action check boxes of all hosts you want to change to an identical value.
 5.  Right-click in the Entity Hosts grid and from the context menu click Action, then click Edit Properties .
The Host Batch Properties Edit window appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 184
LogRhythm Confidential
 6.  Select the value in the fields that you want to assign to all the selected Hosts. 
 7.  Click OK.
The changes you made appear in the Entity Hosts grid.

Retire a Host Record

Note: Hosts Records that are linked to active Log Sources cannot be retired until those Log Sources 
are retired. For instructions on retiring Log Sources, see Retire a Log Source.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 185
LogRhythm Confidential
 1.  On the main toolbar, click Deployment Manager.
 2.  Select the Entities tab.  
 3.  In the Entities pane, select the entity where the Host is assigned.

 4.  In the Entity Hosts pane, select the Action check box for each Host Record that you want to retire.

 5.  Right-click in the Entity Hosts pane and select Actions, and then click Retire.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 186
LogRhythm Confidential
The Confirm Host Retirement message appears.

Note: If you try to retire a Host Record that is referenced by one or more active Log Sources, a 
message such as the following appears:

Before you can retire the Host Record, you must first retire the Log Sources that reference it. 
For instructions on retiring Log Sources, see Retire a Log Source.

 6.  Click Yes.
The Host Record is retired.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 187
LogRhythm Confidential
Batch Import Host Records

 n Batch Import Host Records Overview
 n Host Import Manager
 n Add Hosts from Clipboard
 n Add Hosts from File

Batch Import Host Records Overview

Global Administrators can now add hosts to an entity in batch using a clipboard paste/copy option or importing from an 
existing file of hosts. The feature allows you to review the hosts that were pasted from the clipboard or hosts that were 
imported from a file prior to persisting them to your LogRhythm Deployment. You have the option to accept or reject the 
hosts in this manner using the Host Import Manager.
The feature is available via the Deployment Manager Entities tab. Within the Entities pane, you can select the following 
options from the context menu:

 l Add Hosts from Clipboard
 l Add Hosts from File

Host Import Manager

The Host Import Manager appears for both options. You can review and then  accept or reject the hosts that have been 
chosen for import. The Grid contains the following columns.

 1.  Action: used in conjunction with the context menu actions option.
 2.  Status: the status of that host record based on its current existence in the deployment
 3.  LogRhythm Host Name
 4.  Entity Name
 5.  Description
 6.  Details
 7.  Risk Level: Integer from 0 (None/No risk) to 9 (high-high/highest risk)
 8.  Threat Level: Integer from 0 (None/No threat) to 9 (high-high/highest threat)
 9.  Zone: Internal, External, or DMZ

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 188
LogRhythm Confidential
 10.  Windows Name
 11.  DNS Name
 12.  IP Addresses

Status Column Values

The Status column displays different values based on the record being imported and its current existence in your 
deployment. The table below outlines the outcome of Host Record Analysis and its associated status value.
When a Warning Type 4 is experienced, there is an Acceptance Mode on the Host Import Manager that allows you to 
choose an action to take for the host record with that warning type.

Host Record Analysis

Status Value
No Existing Host New Host: The host record will be added as a new host.
Host Exists in selected Warning Type 1: Host exists in specified entity and is active.
entity and is enabled Accepting this Host will add any new identifiers and overwrite other
specified values of the existing Host.
Host Exists in selected Warning Type 2: Host exists in specified entity and is retired.
entity and is retired Accepting this Host will re-enable the existing host, add any new
identifiers and overwrite other specified values of the existing Host.
Host Exists in root or Warning Type 3: Host exists for another Entity within the specified
child entity and is Entity family and is active. Creating a new Host with the same
enabled identifiers is not recommended. Accepting this Host will cause a new
Host to be created in the specified Entity.
Host Exists in root or Warning Type 4: Host exists for another Entity within the specified

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 189
LogRhythm Confidential
Host Record Analysis
Status Value
child entity and is Entity family and is retired. Creating a new Host with the same
disabled identifiers is not recommended. Select the action you would like to
take for this Host within the Warning Type 4 Acceptance Mode

Warning Type 4 Acceptance Mode

The following modes are available to choose for those records that have the Warning Type 4 status:

 l Enable Existing (default). If the host exists within the root or child entity already, enable it and leave it within the 
entity where it currently resides.
 l Enable Existing and Move to Specified Entity. If the host exists within the root or child entity already, enable it. If it 
doesn’t exist within the specified entity, move it to the specified entity.
 l Create New (not recommended). Create a new record regardless if it exists in the root or child entity (not 

Add Hosts from Clipboard

The clipboard functionality uses the Windows copy/paste feature. Whatever you copy from a document will be pasted into 
the Host Import Manager when you select that option. You can then review what has been pasted and choose to accept or 
When adding hosts from the clipboard, hosts will be added to the selected Entity.
Every line up to the first space will be considered a unique host entry.  All other characters on the same line following the 
first space will be ignored. Each host entry will be analyzed to determine its identifier type:

 l IP Address (via standard IPv4/v6 regex pattern)
 l Windows Name (not IP and starts with “\\”). This allows you to copy Net View output.
 l Domain Name (all other values)

How to Add Hosts from Clipboard

 1.  Log in as a Global Administrator
 2.  Open Deployment Manager
 3.  Select the Entities tab
 4.  Select the Entity to which you want to import hosts
 5.  Copy the host identifier (IP or name) you wish to import using the guidelines above
 6.  Choose Add Hosts from Clipboard from the Context menu
 7.  From the Host Import Manager
 a.  Review the records in the grid that were pasted
 b.  Choose to Accept or Reject them by checking the action check box and selecting the action option to your liking:
 o Accept All. Accepts all hosts in the grid and creates or updates a record for each
 o Accept All New Hosts. Accepts all hosts that have a status of New Host and creates a record for each
 o Accepted Selected. Accepts all hosts that have the action check box checked and creates or updates a 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 190
LogRhythm Confidential
record for each
 o Reject Selected. Rejects all hosts that have the action check box checked. This removes them from the grid.
 c.  Warning Type 4. If any records have a status value of Warning Type 4, choose the Warning Type 4 Acceptance 
Mode for that record and then accept as specified above.

Add Hosts from File

The file functionality allows you to import data from an existing file in a specified format. The hosts are imported to the Host 
Import Manager where you can choose to accept or reject.

Input File Format

The input file will should be a comma separated values file with the following columns in the order specified from left to 
right. No quotations are required and any strings will be cleaned of preceding and following spaces. These fields are 
populated in the Host Import Manager columns. 

 1.  Host Name (required)
 2.  Entity Full Name
 3.  Short Description
 4.  Long Description: Imported to the Details column.
 5.  Host Risk Level: Integer between 0 (No Risk) and 9 (Highest Risk)
 6.  Threat Level: Integer between 0 (No Threat) and 10 (Highest Threat)
 7.  Zone: Internal, External, or DMZ
 8.  Windows (Netbios) Name
 9.  DNS Name
 10.  IP Addresses

You can specify as many IP addresses as you want, but they must begin at item 10 and continue from there.
When you add hosts from a file, you have the option to select the Entity to which you want to import the hosts or you can 
specify the Entity in the input file to be used instead. If you leave the Entity value blank in the input file, it will use the Entity 
selected within the Entities tab.

How to Add Hosts from File

 1.  Log in as a Global Administrator
 2.  Open Deployment Manager
 3.  Select the Entities tab
 4.  Either
 a.  Select the Entity to which you want to import hosts if your file does not have the Entity specified for any or some 
of the records.
 b.  Select any entity.
 5.  Choose Add Hosts from File from the Context menu.
 6.  Select the file for import.
 7.  From the Host Import Manager
 a.  Review the records in the grid that were pasted.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 191
LogRhythm Confidential
 b.  Choose to Accept or Reject them by checking the action check box and selecting the action option to your liking:
 o Accept All. Accepts all hosts in the grid and creates or updates a record for each.
 o Accept All New Hosts. Accepts all hosts that have a status of New Host and creates a record for each.
 o Accepted Selected. Accepts all hosts that have the action check box checked and creates or updates a 
record for each.
 o Reject Selected. Rejects all hosts that have the action check box checked. This removes them from the grid.
 o Warning Type 4. If any records have a status value of Warning Type 4, choose the Warning Type 4 
Acceptance Mode for that record and then accept as specified above.

Add/Remove Host Roles

You are able to add host role or remove host roles in batch:

 1.  From the Entities tab, select the Entity Hosts you want by selecting the check box in the Action column.
 2.  From the context menu, click Actions, then click Add/Remove Host Roles.

The Batch Edit Host Roles dialog box appears:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 192
LogRhythm Confidential
 3.  Select Add People To Host Roles or Remove People From Roles.
 4.  Select or deselect the check boxes next the Host Roles.
 5.  Click Add Person, if you want.
 6.  Click OK.

Batch Export Host Roles to File

The user can export host roles to a file for all or the selected entities.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 193
LogRhythm Confidential
 1.  From the Entities tab, select the Entity Hosts you want by selecting the check box in the Action column.
 2.  From the context menu, click Export Host Roles to File, then click Export Host Roles For Selected Entity or 
Export Host Roles For All Entities.

The Save As dialog box appears.
 3.  Change the name and file location, if you want, and click Save.

Automatic Host Contextualization (AHC)

Topic Contents
 l Automatic Host Contextualization Overview
 l Disable Automatic Host Contextualization
 l Automatic Host Contextualization Algorithm
 l Automatic Host Contextualization Processing
 l LogMart Treatment
 l Considerations for Bytes In/Out and Items In/Out
 l Application Manager
 l IANA Port Guidance

Automatic Host Contextualization Overview

There are several fields that store information about hosts that are referenced within a log message:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 194
LogRhythm Confidential
 l Host (Impacted). The host or device impacted by log activity.
 l Host (Origin). The host or device from which log activity originated.
 l Interface (Impacted). The impacted interface number of a device or the physical port number of a switch.
 l Interface (Origin). The origin interface number of a device or the physical port number of a switch.
 l MAC Address (Impacted). The MAC address of the impacted host or device.
 l MAC Address (Origin). The MAC address of the origin host or device.
 l NAT IP Address (Impacted). The IP address from which the impacted IP was translated via NAT device logs.
 l NAT IP Address (Origin). The IP address from which the origin IP was translated via NAT device logs.

The stored value for these fields are often derived from values parsed from IP address and host name tags. For example, 
the value parsed for the Source IP tag is stored in Origin Host, and the value parsed for the Destination IP tag is stored in 
Impacted Host.
However, system logs do not consistently store the origin/source or impacted/destination values in the same respective 
parsing field as is often the case for network devices reporting on network flow data. These devices do not contextualize 
client vs. server traffic and report the server as Source IP (SIP) in one log and server as Destination IP (DIP) in another, 
even when it is part of the same network flow.

Note: You can select Origin or Impacted Host as the known Host from a log returned in search 
results. See Search Results Context Menus for details.

Based on the port values, LogRhythm can infer the relationship of the two hosts if a log contains parsed values for the 
following fields:

 l SIP/SName
 l DIP/DName
 l Source Port (SPort)
 l Destination Port (DPort)

Port values can reliably determine which system is running a server process (impacted host/DIP/DName) vs. the system 
connecting to that server process (origin host/SIP/SName). This is performed by referring to IANA port allocation rules 
combined with internal known port lookup tables.

Disable Automatic Host Contextualization

There may be instances when you want to disable AHC. For example, if a host context is always known for specific types 
of log messages, AHC could and should be disabled to ensure context is not switched incorrectly. 
To disable AHC for a system or custom rule, access the MPE Policy Rule Editor — start Deployment Manager, and then 
click the Log Processing Policies tab. For detailed instructions, see Log Processing Policies.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 195
LogRhythm Confidential
If you disable AHC on a rule, you will see that the No AHC column of the MPE Policy Editor listing is checked. If you use 
the   MPE Rule Builder to create new rules, you can disable AHC on the Default Policy Settings tab and in the Sub-rules 
Properties window.

Automatic Host Contextualization Algorithm

The process LogRhythm uses to evaluate port numbers to determine whether it is an origin host or impacted host is to 
check to see if values parsed for SPort and DPort are a mapping port:

 l If both SPort and DPort are mapping ports, infer via IANA logic.
 l If one value is a mapping port, host associated with mapped port = impacted host.
IANA Inference Logic
 o If value parsed for DPort <= 1023 AND value parsed for SPort > 1023
Impacted host or port = parsed DPort host or port values
 o If value parsed for SPort <= 1023 AND value parsed for DPort > 1023
Impacted host or port = parsed SPort host or port values
 o If value parsed for DPort (>= 1024 AND <= 49151) AND value parsed for SPort > 49151
Impacted host or port = parsed DPort host or port values
 o If value parsed for SPort (>= 1024 AND <= 49151) AND value parsed for DPort > 49151
Impacted host or port = parsed SPort host or port values
 o Else
Impacted host or port = parsed DPort host or port values

Automatic Host Contextualization Processing

Automatic Host Contextualization is only performed if all of the following are true:

 l Log has parsed values for Origin Host, Impacted Host, Origin Port, and Impacted Port
 l Host Context is set Tags Normal or Tags Reversed
 l Service Context is set to Tags Normal or Tags Reversed

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 196
LogRhythm Confidential
LogMart Treatment
One of the key reasons to contextualize a host or service automatically is to improve the aggregation of log data for unique 
IP & port combinations. Currently, network data can be aggregated on the following fields:

 l Origin Host
 l Impacted Host
 l Origin Port (disabled by default LogMartMode)
 l Impacted Port
 l Protocol
 l ServiceID

If the Impacted Port is actually the origin port and as a result is random in nature, aggregation is much less effective and 
LogMart utilization is reduced.
As a solution, whenever Automatic Host Contextualization is performed, LogMart will be updated according to the following 

 l Origin Port will be set to Null regardless LogMartMode setting
 l The parsed value for Impacted Port will be saved if any of the following conditions are true:
 o Impacted port determined via Port Mapping
 o Impacted port determined via IANA algorithm
 l If none of the above are true:
 o Impacted Port will be set to NULL
 o ServiceID will be set to one of the following three values:*
 o Unknown UDP
 o Unknown TCP
 o Unknown
 o This value will also be set for the associated log and event

Considerations for Bytes In/Out and Items In/Out

Because bytes in/out and items in/out always pertain to the value stored for impacted host, the values parsed must be set 
accordingly. Therefore, if host context is determined to be reversed (what was parsed for SIP/SName is stored as 
DIP/DName), the values parsed for bytes in/out and items in/out are also reversed.

Application Manager
The Application Manager window is the form used to display and manage mapping ports.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 197
LogRhythm Confidential
IANA Port Guidance
The following is extracted from: on August 4, 2008.

Port Numbers
The port numbers are divided into three ranges, Well Know Ports, Registered Ports, and Dynamic and Private Ports.

Well Known Ports

The Well Known Ports are those from 0 through 1023.
DCCP Well Known ports SHOULD NOT be used without IANA registration.

Registered Ports
The registration procedure is defined in [RFC4340], Section 19.9.
The Registered Ports are those from 1024 through 49151
DCCP Registered ports SHOULD NOT be used without IANA registration.
The registration procedure is defined in [RFC4340], Section 19.9.

Dynamic and Private Ports

The Dynamic or Private Ports are those from 49152 through 65535
A value of 0 in the port numbers registry below indicates that no port has been allocated.

Platform Manager
Topic Contents
 l Platform Manager Overview
 l Platform Manager Databases
 l Alarming, Reporting, and Response Manager Services
 l Global Data Management Settings
 l Global System Settings

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 198
LogRhythm Confidential
 l Active Directory Manager
 l Active Directory Synchronization
 l Global Risk Based Priority (RBP) Criteria
 l Intelligent Indexing
 l Integrating LogRhythm and McAfee ePO

Platform Manager Overview

The Platform Manager (PM) is the hub of a LogRhythm installation. It serves as the central repository for events, 
configuration and licensing information, the LogRhythm Knowledge Base, and LogMart. In small deployments, the Platform 
Manager can also host other LogRhythm components. In larger deployments, it should be a dedicated system. There is 
only one PM per deployment
The Platform Manager (PM) is a Windows Server system running SQL Server, the LogRhythm Alarming and Response 
Manager (ARM) service, and the LogRhythm Job Manager service. 

 l The ARM processes alarm rules and takes the appropriate response, such as sending email to people on a 
notification list.
 l The Job Manager runs scheduled report jobs and other background functions such as automated List imports and 
heartbeat monitoring. You can schedule report packages to run and be delivered automatically using the Scheduled 
Report Job Manager. The Job Manager then creates, exports, notifies, and delivers the reports.

For information about installation and hardware and software requirements, see the LogRhythm Support Portal.

Platform Manager Local Configuration Manager

Use the Platform Manager Local Configuration Manager on the local PM appliance or server to configure the connection to 
the Platform Manager, manage file locations for HA deployments, configure service properties, or view the ARM and Job 
Manager log files.

 1.  Start the configuration manager from the Start Menu or the Apps screen.
The Platform Manager Local Configuration Manager appears with the Job Manager tab selected.
 2.  Set or modify the following:
 a.  In the Server box, enter the static IP address of the Platform Manager.
The Database box should be set to LogRhythmEMDB.
 b.  Change any other settings as desired and enter the appropriate login credentials.
 c.  If you have a High Availability (HA) deployment, you can modify the following:
 o Configuration File Parent Directory 
 o State File Parent Directory 
Ensure you understand the impacts before making changes. See Configure High Availability (HA).
 d.  Click Apply.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 199
LogRhythm Confidential
 3.  Click the Alarming and Response Manager tab.
 a.  In the Server box, enter the static IP address of the Platform Manager.
The Database box should be set to LogRhythmEMDB.
 b.  Check any other settings as desired and enter the appropriate login credentials.
 c.  If you have a High Availability (HA) deployment, you can modify
 o Configuration File Parent Directory
 o State File Parent Directory
Ensure you understand the impacts before making changes. See Configure High Availability (HA).
 o Click Apply
 4.  Click the Windows Service tab.
 a.  Select Startup Type
 o Automatic
 o Manual (default)
 b.  Log On: 
 o Local System Account (default)
 o This Account / Password   
 c.  Click Start to Start the Job Manager or Alarming and Response Manager services. 
 d.  Select Start (or restart) the service when the configuration is saved if you would like the service to start after 
saving these changes.
 5.  Click the Log File tab.
 6.  Click Refresh to see the log file that is being collected. Logs will only be shown if the service has been started.

Platform Manager Databases

The Platform Manager contains the following LogRhythm databases:

Platform Manager Date

Database Resolution
LogRhythmEMDB All configuration information for a LogRhythm deployment (entities, hosts, networks, N/A
agents, log sources, and so on).
All records of the archive file properties such as physical properties and hash for
All Knowledge Base information that is imported via the KB import process (MPE
Rules/Policies, Investigations, Reports, etc.).
LogRhythm_ Tables of all alarms, alarm notifications, and alarm histories generated by the Millisecond
Alarms LogRhythm ARM.
LogRhythm_ Tables of Case Management data from the LogRhythm Web Console. Millisecond
LogRhythm_ Tables of all events - log data and metadata - that have been forwarded from Data Millisecond
Events Processors.
LogRhythm_ Tables that track unique log messages with aggregated occurrence information for Hour

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 200
LogRhythm Confidential
Platform Manager Date
Database Resolution
LogMart collected log data
Statistics tables that track the volume of log data collected from each log source.

Alarming, Reporting, and Response Manager Services

 n Alarming, Reporting, and Response Manager Services Overview
 n Platform Manager  Basic Properties
 n Platform Manager Advanced Properties
 n Start,  Stop, and Restart Platform Manager Services
 n SMTP Server Failover

Alarming, Reporting, and Response Manager Services Overview

The topics in this section explain how to edit Platform Manager Services. 

Platform Manager Basic Properties

The Alarming and Reporting Manager (ARM) service is a component of the Platform Manager and is responsible for the 
processing and delivery of all alerts and  alarms. To modify the ARM properties, do the following:

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.

 2.  Click the Platform Manager tab, and then click Properties to the right of the Host box.
The Platform Manager Properties dialog box appears.

 3.  To select a different host, click the selector icon to the right of the Host box.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 201
LogRhythm Confidential
 4.  Click OK to return to the Platform Manager Properties dialog box.
 5.  Configure additional properties as described in the following table:

Property Description
Enable Alarming Engine Specify whether alarm processing should be enabled.
Enable Reporting Engine Specify whether automated reporting should be enabled.
Log Level Determines the amount of information logged to scarm.log.
 l OFF = No logging performed  
 l ERROR = Errors and above  
 l WARNING = Warning messages and above  
 l INFO = Informational messages and above 
 l VERBOSE = Verbose messages and above
 l DEBUG = Extremely detailed logs showing all data 
Email From Address The sender address to use for messages coming from
LogRhythm. It must be populated for alarming and reporting
to remain enabled and function properly.
SMTP Servers Enter the IP addresses of the SMTP servers LogRhythm can
use for sending emails.
Advanced Click here to view or edit advanced properties for the
Platform Manager (see Platform Manager Advanced
Defaults Click here to set any advanced properties that are updated
from the Knowledge Base back to their default values.

 6.  Click OK when you are finished.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 202
LogRhythm Confidential
Platform Manager Advanced Properties
The Advanced properties consist of additional properties that can be set/modified as necessary that are specific to the 

 1.  To access the Advanced properties, click the Advanced button at the lower-left corner of the Platform Manager 
Properties dialog box.

 2.  Consult the following table to help you make any necessary modifications in the Value field.

Property Range Default Description

Case API Group
CaseAPIPort 8501 The port on which the Case API service
is running.
CaseAPIURL The URL to which Case API requests
should be directed.
Engine Group
AE_AlarmInsertTimeout 1-120 5 The amount of time (in seconds) the
process that inserts alarms has to
complete before timing out.
AE_EventAgeLimit 1- 60 The number of minutes old an event is
2880 allowed to be for alarming processing.
The age is determined by subtracting the
event's date minus the most recent
event. When the alarming engine starts,
the latest event date is set to the most
recent event in the system.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 203
LogRhythm Confidential
Property Range Default Description
AE_GetEventsMaxRecords 1- 1000 The maximum number of events the
10000 engine should retrieve at a time.
AE_GetEventsTimeout 1-120 30 The amount of time (in seconds) the get
events process has to complete before
timing out.
AE_HeartbeatMonitorInterval 1-300 20 The amount of time (in seconds) to check
for missing agent heartbeats and silent
log sources.

Note: This property must 
have a different setting than 
the Heartbeat Warning 
Interval property set in  
Configure Data Processor 
Properties to avoid 
unpredictable behavior.

AE_KBCacheTTL 1-60 30 The number of minutes the knowledge

base should be cached for prior to being
flushed and rebuilt.
AE_MaintenanceInterval 1-120 60 The number of seconds between
maintenance cycles.
AE_MaxAlarmQueueSize 100- 1000 The maximum size of the alarm queue.
10000 Additional events will not be processed
when this size is reached.
AE_ 1- 100 The maximum number of events that will
MaxAssociatedEventsPerAlarm 1000 be associated to a single alarm.
AlarmURL http://localhost:80/alarms/ The base web URL to be used for the
SMTP alarm notification email.
AutoRmdnPluginDir The directory where the Engine deploys
SmartResponse plugins for execution.
Main Group
ADSearchScope_JobManager SubTree Sets the Active Directory search scope
used in AD synchronization.
ADSyncInterval_JobManager 1- 60 The amount of time, in minutes, between
1440 AD synchronizations.
LDAPTimeout 120- 120 The LDAP timeout period, in seconds, for
1200 AD queries.
LogMartDBServer The hostname or IP address of the
LogMart database server. If not
specified, the Platform Manager is used.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 204
LogRhythm Confidential
Property Range Default Description
MaxServiceMemory_ARM 512- 2048 Maximum memory allowed for the ARM
64000 process (in MB).
MaxServiceMemory_JobManager 512- 4096 Maximum memory allowed for the Job
64000 Manager process (in MB).
ProcessPriority Low- Normal Process priority for the ARM process.
High 1) Low
2) Below Normal
3) Normal
4) Above Normal
5) High
Scheduled Reporting Group
SRE_MaxErrorsPerJobPackage 1-100 5 The maximum number of errors that can
occur when running a single report
package associated with a job. When the
limit has been reached, the package will
be aborted.
SRE_ProcessingInterval 1-300 60 How often (in seconds) jobs should be
evaluated to determine if they should be
SRE_ProcessingWindow 1-120 60 The amount of time (in minutes) that can
pass after a job should be run. The
processing window is the scheduled time
+ ProcessingWindow minutes. If the job
has not been run within the allowable
window, the job will be skipped.
SRE_QueryCommandTimeout 1- 120 The amount of time (in seconds) the
10800 process that inserts alarms has to
complete before timing out.
SRE_ 0-100 50 The percentage of Job Manager service
SafeReportingMemoryPercentage memory that may be safely utilized for
report preparation. If service memory
usage exceeds this threshold while
preparing a report, the report will be
truncated and the words "(Sample
Dataset)" will appear in the title page
SMTP Group
SMTP_BatchEmailInterval 1-120 60 How often (in seconds) the ARM should
check to see if batch emails are ready to
be sent.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 205
LogRhythm Confidential
Property Range Default Description
SMTP_ 1- 100 The maximum number of Alarms to
MaxAlarmsPerBatchEmail 1000 include in a single batch email
SMTP_MaxLogLength 100- 200 The maximum number of characters to
1000 print for log messages included in single
or batch email notifications.
SMTP_MaxLogsPerBatchEmail 1- 3 The maximum number of log messages
1000 to print in the content section of an Alarm
within a batch email notification.
SMTP_MaxLogsPerEmail 1- 10 The maximum number of log messages
1000 to print in the content section of a single
email notification.
SMTP_MaxQueueSize 100- 1000 The maximum number of email
10000 notifications that can be pending
transmission before new email
notifications will be dropped.
SNMP Group
SNMP_MaxQueueSize 100- 1000 Specify the maximum number of SNMP
10000 traps that can be queued for sending.
New SNMP traps will not be processed if
queue size is reached.

Important: Make changes to the  Advanced Properties with extreme care! LogRhythm recommends that 
the Data Processor Advanced Properties only be modified with the assistance of LogRhythm Support, or 
by advanced users who have attended LogRhythm training.

 3.  Click OK to save and return to the ARM Properties window, or Apply to save your changes and continue working in 
the active window.

Apply Recommended Values

LogRhythm has recommended configurations for each appliance. The recommended configurations can be applied 
automatically from the Alarming and Reporting Services Advanced Properties window. Follow these instructions to apply 
the recommended settings to the Platform Manager.

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager. 

The Deployment Manager window appears.
 2.  Click the Platform Manager tab.
 3.  Click the Propertiesbutton.
The Platform Manager Properties dialog appears. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 206
LogRhythm Confidential
 4.  Click the Advanced button at the bottom of the Platform Manager Properties dialog. 
The Alarming and Reporting Services Advanced Properties window appears.

Note: Rows will be highlighted in orange to indicate any properties that are not currently using 
the recommended value. 

 5.  Click the Apply Recommended Values button. 

A warning appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 207
LogRhythm Confidential
 6.  Click Yes to apply the recommended values. 

Revert to a Previous Configuration

The Version History feature provides an easy way to apply previous configurations to an appliance.

 1.  From the Alarming and Reporting Services Advanced Properties window, click the Version History button.

The Alarming and Reporting Services Audit Version History window appears. 

See the table below for an explanation of the columns in the Alarming and Reporting Services Audit Version History 

Column Name Description

Component Name The name of the component on which the changes were made.
JSON The JSON used to retrieve the information from the previous configuration.
User Name The ID of the user who made the changes.
Compare With The date and time when the configuration was changed.
Revert and Apply A link used to revert to a previous appliance configuration.

 2.  Compare the current configuration to a previous configuration:
Before reverting back to a previous configuration, it can be compared to the current configuration.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 208
LogRhythm Confidential
 a.  In the Compare With column, click the date-and-time link of a configuration to compare to the current one.
The Compare Version Values window appears. 

The values that differ between the two configurations are highlighted. The Current Value column displays the 
value of the properties as they are currently configured. The Previous Value column displays the value of the 
properties from the previous configuration.
 b.  To close the window, clickOK.
 3.  To revert to a previous configuration:
 a.  Click the Revert & Apply this Versionlink of the configuration to which you want to return.
A Warning appears:

 b.  To revert to the previous configuration, clickYes.
 4.  Click OK to close the Alarming and Reporting Services Advanced Properties window. 

Start, Stop, and Restart Platform Manager Services

The ARM service runs as a Windows service named LogRhythm Alarming and Response Server service. It can be started 
or stopped from Deployment Manager or from the Services Control Panel on the Data Processor server. You can also 
modify the default ARM configuration to start at system boot time which is recommended after the ARM has been 
configured and tested.
The Platform Manager service can be controlled from within Deployment  Manager.

 1.  Log in to the Client Console using administrator credentials.  
 2.  To open Deployment Manager, on the Tools menu, click Administration, then click Deployment Manager from 
the menu or click the Deployment Manager link on the toolbar. 
 3.  Select the Platform Manager tab. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 209
LogRhythm Confidential
 4.  Click the appropriate button for the action to be performed (Start, Restart, or Stop).   

   An entry appears in the Service Request pane, at the bottom of the  Client Console screen.
 5.  To access the Service Request, click on the Service Request tab in the lower-left corner of the screen.

 6.  Details regarding ARM start, restart, and  stop are also in the scarm.log file whose default location is in the 
LogRhythm\LogRhythm Alarming and Response Manager\logs folder.
 7.  Start, stop, and restart can also be managed through the systems Services, often found by going to the Control
Panel, clicking Administrative Tools, then clicking Services. You can also set the Startup Type to manual or 

SMTP Server Failover

The SMTP Server IP Addresses are located in the Platform Manager Properties. They are used to send email notifications. 
You can specify a primary, secondary, and tertiary server to allow for failover. 

 1.  To access the basic properties, click the Properties button within Platform Manager.
 2.  Set the SMTP Server IP Addresses, and if necessary, the port number. The format when specifying a port number 
is The format when not using a port number is

Three attempts will be made to send each email notification to the IP Address(es) specified.

 l If one SMTP server is specified, that same server will be tried 3 times.
 l If two SMTP servers are specified, the first will be tried, then the second, then the  first again.
 l If three SMTP servers are specified, each will be tried once.
 l If an Email From address is not specified, the Alarming and Reporting Engines will be disabled.
 l Successful or not, a record of all notifications are written to the nfns.log file in the ARM logs folder on the server.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 210
LogRhythm Confidential
To ensure events aren't processed more than once, the ARM maintains  the state in which events have been processed. 
This information is maintained in  a state file located in the state directory  where the ARM was installed 
(...LogRhythm\LogRhythm Alarming and Response Manager\state).
The file is named ARMState.pos. If the state file is removed, the  next time the ARM is started, all events will be 

The ARM logs data to ...LogRhythm\LogRhythm Alarming and Response Manager\logs\scarm.log. When initially 
configuring and installing the ARM, a LogLevel of Info or Verbose provides detailed information on the  ARM performance 
that is useful in ensuring the system is functioning properly. After the ARM is configured and operating properly, we 
recommend you set the LogLevel to Error or Warning.
LogLevel can be set from the Platform Manager  Basic Properties dialog box.

Global Data Management Settings

 n Global Data Management Settings Overview
 n Benefits
 n Data Management Settings

Global Data Management Settings Overview

Administrators can enable global options that override settings at the Data Processor, Log Source, and MPE Policy levels. 
Global settings are applicable in both Classification Based and Standard Data Management configurations
Data Management profiles simplify configuration based on the deployment's data management model. Data Management 
settings have been pre-packaged into configurations which support various deployment models and uses of the product.

 l Collection Optimized
 l Search Optimized
 l Performance Optimized
 l Custom

You still have the option to manage these settings at a more granular level.

Global Data Management Settings are: 

 l a simpler way to configure and understand how LogRhythm manages log data.
 l a global mechanism for configuring data management that does not require you to manage key settings in numerous 
 l a straightforward way to implement global data management overrides and event forwarding.
 l powerful enough to enable data management configuration at the Data Processor, Log Source, and MPE Policy 
levels for advanced users.

Data Management Settings

The Data Management Settings window is accessed from the Platform Manager tab in Deployment Manager. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 211
LogRhythm Confidential
 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.
 2.  Click the Platform Manager tab.
 3.  Click the Global Data Management Settings button.   
The Data Management Settings window opens on the Global Settings tab.

 4.  Under Data Management Profile, select the profile you want. See the table below for more details.


Profile Description
Collection Select this profile to optimize the system for collecting and processing data at the highest rate
Optimized possible.
 l With this profile all data will be archived. 
 l Only event data will be indexed for fastest search.
 l Only event data will be forwarded to LogMart for trending and reporting.
Search Optimized Select this profile to optimize the system for having fastest access to all data for search.
 l With this profile all data will be archived. 
 l All data will be indexed for fastest search.
 l Event data and other common high interest data will be forwarded to LogMart for 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 212
LogRhythm Confidential
Profile Description
trending and reporting.
Performance Select this profile to optimize to achieve high collection and processing rates while also
Optimized having the most common high interest data available for fastest search.
(Default)  l With this profile all data will be archived. 
 l Event data and other common high interest data will be indexed for fastest search.
 l Event data and other common high interest data will be forwarded to LogMart for 
trending and reporting.
Custom Select this profile to enable all data management controls and configure each one
Backup - Backup the current profile
Restore - Restore the last saved profile

 5.  When a Custom profile is enabled, the following Global Configuration Options are available. See the table below for 
more details.


Setting Description
Enable Data Processor and Log Source settings that can be configured to disable Event Forwarding are
Event ignored.
Forwarding If not checked, Event Forwarding can be enabled/disabled with each Data Processor's Disable MPE
Event forwarding setting.
Enable Log Data Processor and Log Source settings that can be configured to disable Log Processing are
Processing ignored.
If not checked, Log Processing can be enabled/disabled with each Data Processor's Enable MPE
log processing setting
Enable Data Processor settings that disable LogMart are ignored.
LogMart If not checked, LogMart can be enabled/disabled with each Data Processor's LogMartEnabled
advanced property.
Use LogMart standard aggregation is always used. Log Source and MPE Policy aggregation settings are
LogMart ignored.
Standard If not checked, LogMart Aggregation is determined by Log Source settings and MPE Policy Rule
Aggregation overrides.
Enable Reports, Report Packages, Tails, and Investigations will have their log data indexed (i.e. brought
Intelligent online) into the applicable data source (Data Processor and/or LogMart). The Global Log Processing
Indexing Rules supersede Intelligent Indexing settings and can be used to take specific data offline.

 6.  Click the Classification Based Data Management Settings tab.

When the Custom data profile is selected, the Global CBDM Settings further determines how data is managed. You 
have the option of enabling CBDM to implement settings at a classification level instead of the MPE policy level. 
Every Classification, for example Ops\Critical, Sec\Compromise, Audit\Startup, will have a Global Classification 
Setting (GCS) that, in conjunction with other settings, will determine the following:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 213
LogRhythm Confidential
 l Should logs be archived
 l Should logs be stored on-line (Data Processor)
 l Should logs be forwarded to LogMart

 7.  Check the Enable Classification Based Data management (CBDM) box to enable the CBDM settings.


Setting Description
Enable Classification CBDM provides an easier method of configuring data management settings throughout
Based Data LogRhythm. CBDM is recommended for most deployments except those requiring very
Management detailed control of data management within LogRhythm.
Global CBDM
Settings Note: The other options listed under Global CBDM Settings can only be 
selected if this option is selected.

Ensure Events are All Logs identified as Events will be indexed regardless of Log Source or MPE Policy
Indexed settings.
Forward all Events to All Logs identified as Events are forwarded to LogMart regardless of Log Source or MPE
LogMart Policy settings.
If disabled, LogMart Forwarding can be enabled/disabled within each Log Source, as well
as within each MPE Policy Rule.
Ignore Log Source Log Source settings that affect archiving are ignored. Archive treatment is determined only
Don’t Archive Setting by the GCS settings.
If disabled, GSC and Log Source settings are combined to determine archive treatment.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 214
LogRhythm Confidential
Setting Description
Ignore Log Source Log Source settings that affect indexed Log storage are ignored. Indexing treatment is
Drop Log Setting determined only by the GCS settings.
If disabled, GSC and Log Source settings are combined to determine on-line treatment.
Ignore Log Source Log Source settings that affect LogMart forwarding are ignored. LogMart forwarding is
LogMart Forwarding determined only by the GCS settings.
Settings If disabled, GCS and Log Source settings are combined to determine LogMart forwarding

 8.  Check the Global Classification Settings (GCS) options you want, as described in the GCS pane.

Global System Settings

 n Global System Settings Overview
 n Global Maintenance Settings
 n Identity Inference

Global System Settings Overview

Data Management settings require site-specific modifications for global configuration.

Global Maintenance Settings

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.
 2.  Click the Platform Manager tab.
 3.  Click Global System Settings.
The System Settings window appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 215
LogRhythm Confidential
 4.  In the Global Maintenance Settings section, make changes based on the following table, if necessary.

Property Description
AIEEngineStat_ The maximum number of days for Advanced Intelligence Engine statistics to be kept in the
Retain_Days LogMart AIEEngineStat table. Min=1, Max=60.
BackupPath_ This is the path where the backup of an Alarm database (AlarmDB) is saved.
BackupPath_ This is the path where the backup of a Case Management (CMDB) database is saved.
BackupPath_ This is the path where the backup of an Platform Manager database (EMDB) is saved.
BackupPath_ This is the path where the backup of an Event database (EventDB) is saved.
BackupPath_ This is the path where the backup of an Log Mart database (LogMartDB) is saved.
Events_Data_ Enables or disables data compression in the Event database.
Events_Index_ Enables or disables index compression in the Event database (Requires Event data
Compress compression enabled).
IndexHintMaxDays The maximum number of days for index hints to be kept in the Event and Data Processor
index hint table. Min=8; Max=8.
LookUpTable_ The number of days contained in each partition of the Event and Data Processor lookup
Partition_Days_ tables. Min=7; Max=7.
TTL_Audit The number of days the usage audit info is available online before being removed by the
maintenance process. This is the time to live value used by the usage audit. Min=30,

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 216
LogRhythm Confidential
Property Description
TTL_Event The number of days the event info is available online before being removed by the
maintenance process. This is the time to live value used by the events. Min=1, Max=366.
TTL_LogMart The number of days the Log Mart info is available online before being removed by the
maintenance process. This is the time to live value used by the Log Mart.Min=1, Max=3660.
TTL_SystemTable The number of days the internal system info is available online before being removed by the
maintenance process. This is the time to live value used by the system internally. Min=30,

Note: Determines how long internal data, such as Agent sessions, is  

Identity Inference
Identity Inference can help recognize the user responsible for an activity when identity information, such as account or 
login, is not available in the log message. Using an inference model, the identity associated with logs containing applicable 
host information, such as IP addresses, can be determined.
This feature maintains a mapping of users to hosts based on log activity observed. When this feature is enabled, the MPE 
performs the identify inference.

 1.  Under Identity Inference, select the option for enabling or disabling Identity Inference.

 o Per Data Processor. Configuration is set on a per Data Processor basis. 

 o Globally Enabled. Configuration applies to all Data Processors.
 o Globally Disabled. Configuration is disabled for all Data Processors.
 2.  Click OK.

Note: The Globally Disabled the setting can be overwritten in the Data Processor

Advanced Properties with the Intelligent Indexing property.

Active Directory Manager

LogRhythm provides a regularly scheduled synchronization process to retrieve data from Active Directory and store it in 
the LogRhythm EMDB.  After synchronization, you can access and filter the data using the following tools: Investigations, 
Tails, Reports, Personal Dashboard, Alarm Rule Criteria, SecondLook restore criteria, and Log Distribution Service (LDS) 
Policy criteria. You can also view the data from the Active Directory Browsers accessible via the Client Console.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 217
LogRhythm Confidential
With LogRhythm 6.2, administrators are able to manage LogRhythm users in the same manner as Active Directory users. 
This allows the administrators to put Active Directory users into the LogRhythm system based on their active directory. 
For more  information, see Active Directory Synchronization and User Profile Manager

Active Directory Synchronization

 l Active Directory Synchronization Overview
 l Active Directory Synchronization Rules
 l Active Directory Permissions and Security
 l Active Directory Domain Manager
 l Add a New Domain
 l Activate/Retire a Domain
 l Synchronize Domains
 l Edit a Domain
 l Active Directory Browsers
 l Complete Adding an Active Directory Group as a Filter
 l Active Directory Group Filtering

Active Directory Synchronization Overview

LogRhythm provides a regularly scheduled synchronization process to retrieve data from Active Directory and store it in 
the LogRhythm EMDB.  After synchronization, you can access and filter the data using the following tools: Investigations, 
Tails, Reports, Personal Dashboard, Alarm Rule Criteria, SecondLook restore criteria, and Log Distribution Service (LDS) 
Policy criteria. You can also view the data from the Active Directory Browsers accessible via the Client Console. 
LogRhythm administrators are able to manage LogRhythm users in the same manner as Active Directory users. This 
allows the administrators to put Active Directory users into the LogRhythm system based on their active directory. 

Active Directory Synchronization Rules

Synchronization of Active Directory objects follows these rules:

 l After a Group or User has been created in the local database, it will never be deleted.
 l All Users must be synched or synchronization will fail.
 l Each user is synched independently. If failure occurs, all users synched prior to failure will have been updated in the 
 l User Login Values: three login values will be stored for each user that represent possible AD login strings:
 o [Username] (i.e., pete). Saved in IDMUser.Login1.
 o [Username]@[FQDN] (i.e., Saved in IDMUser.Login2.
 o [NetBIOS Name]\[Username] (i.e., something\john). Saved in IDMUser.Login3.
 o This format will only be saved for root level domains. It will not be saved for sub-domains because sub-
domains may have the same NetBIOS name as the parent domain.
 o Only login 1-3 fields are synchronized, login4 and login5 are not synched. Users could manually input values 
into these fields and they would be filtered on.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 218
LogRhythm Confidential
 l All Groups must be synched or synch will fail. Each group is synched independently. If failure occurs, all groups 
synched prior to failure will have been updated in the database.
 l Group membership is synched to reflect membership at time of synch. All group members must be successfully 
updated or no changes will be made for that group. Group membership is updated within a transaction. If any failure 
occurs when updating a single group, no changes for that group will be updated in the database. However, groups 
having membership synched prior to failure will have been updated in the database.

Active Directory Permissions and Security

Active Directory Synchronization is required for the Windows Host Wizard to identify computers and for the Active 
Directory Group Authorization in the User Profile to identify users. The following permissions are required for Active 
Directory Synchronization.

 l Ports must be enabled for the LDAP environment. 
To determine the ports required for your specific LDAP environment, consult the following web site. Most 
deployments will require TCP and UDP 389. 
Active Directory and Active Directory Domain Services Port Requirements
 l The service account must have read permissions for the Job Manager.
 l The service the Job Manager runs under must have the permissions required to query Active Directory to avoid 
permission-related errors.

Active Directory Domain Manager

The Active Directory Domain Manager is located within the Deployment Manager on  the Platform Manager tab.

The Active Directory Domain Manager window contains a grid to list the domains and subdomains that have been 
previously added for synchronization:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 219
LogRhythm Confidential
Column Name Description
Action The check box used in conjunction with the Actions context
Domain Name The name of the domain.
Include In Sync The indicator to include in the synchronization
Include in Group Based Include the domain in the group-based authorization.
User Name The user name provided to scan the domain.
Organizational Unit The organizational unit for the domain. Used for Windows
Host Wizard scanning.
Description The brief description given to the domain via the properties.
Status The status of the domain, either Active or Retired.
Domain ID The unique identifier for the domain record.

There are two menu items available: New and Properties. The standard OK, Cancel, and Apply buttons exist.

The following actions can be accessed from the context menu:

Context Menu Description

New Create a new domain and open the New Domain Properties Window.
Add Subdomains Query Active Directory for sub-domains of the active domain configuration and add
rows to the grid for each. If the grid already contains active rows for the sub-
domains, their details will be updated. The Add Subdomains context menu will be
disabled if the active domain configuration is retired.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 220
LogRhythm Confidential
Context Menu Description
Actions > Active domain(s).
Actions > Retire Retire domain(s).
View > Retired Display retired domain(s).
Properties Open the domain properties window.

Add a New Domain

To add a new domain, perform one of the following:

 l Select the New icon
 l Select New from the Context menu

The New Domain Properties window appears. It is the same domain properties window that is used within the Windows 
Host Wizard. The Windows Host Wizard fields which do not apply to AD synchronization are disabled. Retired domains 
are not editable.

Fill out the fields as appropriate based on the information provided below.

Field Name Description

Domain Name The domain name entered, up to 100 characters, will be replaced with the fully qualified domain
name when domain details are retrieved from Active Directory.
Organizational The organizational unit for the domain.
User Name (Optional) A user name up to 50 characters long used to supply alternate credentials for accessing
the domain. If blank, the logged on user account is used when synchronizing from the Client Console
and the service account is used when synchronizing from the Job Manager.
Password / (Optional) A password up to 50 characters long used to supply alternate credentials for accessing
Confirm Password the domain.
Windows Host

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 221
LogRhythm Confidential
Field Name Description
Include in Scan Windows Host Wizard connects to Active Directory to find Windows systems on the domain.
Eligible systems returned by the scan can be selected for remote log collection.
Default The primary site entity.
LogRhythm Entity
Scan Sub Units Scan the sub entities.
Include In Active The synchronize domains operation will include all domain configurations where this column is
Directory checked. This field is editable on the grid for active domain configurations.
Include in Active Include the domain in active directory group based authorization.
Directory Group
Brief Description A user defined description up to 255 characters long.

Domain Validation
To query the Active Directory for domain details using the domain name and credentials entered on the general tab, click 
the Validate button.  W hen successful, it updates the domain properties with the information shown in the Domain Details 

Activate/Retire a Domain
Domains are automatically activated when they are created.

Retire an Active Domain

To retire a domain check the Action check box for the domain or domains you wish to retire, and click Actions, then click
Retire from the Context menu. Retired domains are automatically hidden and therefore not shown within the grid. When a 
domain configuration is retired and saved, include in scan/sync is automatically turned off.

View Retired Domains

To view retired domains, click View, then click Retired Domains from the Context menu. This will place a check mark 
next to Retired Domains in the context menu to indicate they are shown. To hide retired domains, repeat the same 
process, which will then uncheck Retired Domains in the context menu to indicate they are hidden.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 222
LogRhythm Confidential
Activate Retired Domains
To activate a retired domain, check the Action check box for the domain or domains you wish to activate and click 
Actions, then click Activate from the Context menu

Synchronize Domains
The domains are synchronized hourly. Domains must exist in the list and at least one must have Include in Sync or Include 
in Group Based Authorization checked in the appropriate column.
This will update the LogRhythm deployment with the current users, groups, and group members in Active Directory.  All 
domains where Include In Sync or Include in Group Based Authorization are checked will be synchronized.  
The synchronization process will not delete users or groups because they might be referred to by log, event, and alarm 

Scheduled Synchronization
The Job Manager service performs scheduled Active Directory Synchronization with these conditions:

 l Synchronization will start five minutes after the Job Manager service starts.
 l Synchronization will occur every hour as long as the Job Manager service is running.
 l The Job Manager will attempt to synchronize three times after experiencing an error before waiting for the next 
scheduled synchronization.
 l The service the Job Manager runs under must have the permissions required to query AD to avoid permission 
related errors.
 l Only domains that have Include In Synch selected will be synchronized.

Job Manager logs can be viewed by:

 l Accessing the Platform Manager Local Configuration Managers Jog Manager Log File.
 l Accessing the log file, located where the component was installed. The default location is C:\Program 
Files\LogRhythm\LogRhythm Job Manager. The log is located in the Logs folder with the name lrjobmgr.log.

Active Directory Synchronization Report

To check the synchronization status, click the Details tab of the Domain in the Active Directory Domain Manager. The 
Active Directory Synchronization Report appears. The Active Directory Synchronization Report shows the Last 
Synchronization Status.
If the synchronization is successful, the number of users, groups, and group members synchronized appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 223
LogRhythm Confidential
If the synchronization is unsuccessful, an error message appears.

Edit a Domain
To edit a domain, perform one of the following:

 l Click the Properties icon 
 l Select Properties from the Context menu

The Domain Properties window appears. It includes the same fields as in the New Domain Properties. Edit the fields as 
you want and click OK to save.

Active Directory Browsers

The Active Directory Browsers provide a means to access the existing Active Directory information that has been 
synchronized and stored in the LogRhythm EMDB. However, users that are limited to Restricted Admin or Restricted 
Analyst roles do not have access to view Active Directory group or user membership information in these browsers.
There are two browsers, both can be accessed by going to the Tools menu, and clicking Knowledge.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 224
LogRhythm Confidential
Active Directory User Browser
The Active Directory User Browser has two grids. The top grid contains all users that have been synchronized as part of 
the AD Synchronization process that stores the AD information in the LogRhythm EMDB. The lower grid lists the groups to 
which the user belongs. 

Active Directory Group Browser

The Active Directory Group Browser has three grids. The top grid contains all groups that have been synchronized as part 
of the AD Synchronization process that stores the AD information in the LogRhythm EMDB. The lower-left grid lists the 
members of the group. The lower-right grid contains the user information for members of the group. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 225
LogRhythm Confidential
Active Directory Browser Investigations
If an Active Directory Browser grid has an Action column, you can run an investigation against the login or account.
To run an investigation: 

 1.  Select the Action check box for the records you want.
 2.  Right-click in the open space.
 3.  Click Action, then click the investigation you want.

The start of these Investigations uses the following from the Quick Search Toolbar:

 l In the past. Enter the number of minutes, hours, or days to use in pulling the log data
 l Include. Select the classifications to use as filters for the investigation
 l Options. Set specific options for:
 o Type of investigation 
 o Investigation. Defaults to Platform Manager Search, but can change to Data Processor Search if Configure New 
Investigation is selected
 o Log Miner. Users LogMart
 o Query Platform Manager
 o What Data Processors to use. Default Data Processor uses the defaults accessible by going to My LogRhythm, 
and then clicking My Preferences
 o Indicate if you want the Investigation Wizard to open prior to running so that you can set additional criteria if you 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 226
LogRhythm Confidential

Complete Adding an Active Directory Group as a Filter

The Field Filter Values window appears after you select an Active Directory Group filter option using:

 l Investigation or Tail Wizard
 l Report Wizard
 l Personal Dashboard
 l Alarm Rule Criteria
 l SecondLook Restore Criteria
 l Log Distribution Service Policy Criteria

To complete adding an Active Directory group as a filter:

 1.  Click Add Filter to display the Active Directory Group Browser.

 2.  Select one or more group records by clicking the box in the left column.
 3.  Click OK to add the record(s) as a filter. The users within the group will be used when querying for the appropriate 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 227
LogRhythm Confidential
Active Directory Group Filtering
Log filtering capabilities are available from Investigation and Tail Wizards, Report properties, Personal Dashboard, Alarm 
Rule criteria, SecondLook Restore criteria, and Log Distribution Service Policy criteria. The Active Directory Group filter 
has been added to all of these tools but uses the specific tool's filter logic.

Note: Users that are limited to the Restricted Admin and Restricted Analyst roles do not have 
permission to create or edit Active Directory filters. However, they may run saved objects such as 
Investigations and Reports that include these filters. In that case, they can see the Active Directory 
filter, but cannot see Active Directory membership information related to the filter.

Investigation or Tail Wizard

To filter in the Investigation or Tail Wizard:

 1.  Open Investigate or Tail from the Client Console.
 2.  Click either Select Saved or Configure New Investigation.
 3.  Click Next until the Specify Event Selection window appears.
 4.  Select the Active Directory Group option from the Add New Field Filter menu.
 5.  Complete Adding an Active Directory Group as a Filter.

Report Wizard
To filter in the Report Center Wizard:

 1.  Open Report Center from the Client Console.

 2.  Double-click a report or right-click and select Properties to open the Report Wizard. 
 3.  Click Next until the Specify Additional Report Criteria window appears.
 4.  Select the Active Directory Group option from the Add New Field Filter menu.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 228
LogRhythm Confidential
 5.  Complete Adding an Active Directory Group as a Filter.

Personal Dashboard
To filter in the Personal Dashboard:

 1.  Open the Personal Dashboard from the Client Console.
 2.  Click the Filters icon on the toolbar to open the Personal Dashboard Filter Manager.
 3.  Click the green, plus icon or double-click a filter in the grid to open Personal Dashboard Filter Properties.

 4.  Enter the Name and a Brief Description.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 229
LogRhythm Confidential
 5.  Click the Include Filters tab.
 6.  Click the New button.
 7.  In the Add New Field Filter box, select User by Active Directory Group as a filter and click OK.

Alarm Rule Criteria

To filter in the Alarm Rule Criteria:

 1.  Double-click an alarm in the Alarm Viewer or MyAlarms.
 2.  Access the tab that meets your needs. Select from:
 o Primary Criteria
 o Exclude Filters
 o Include Filters
 3.  Click either New or Edit to display the Log Message Filter window.
 4.  Select the Active Directory Group option from the Add New Field Filter menu.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 230
LogRhythm Confidential
 5.  Complete Adding an Active Directory Group as a Filter.

SecondLook Restore Criteria

Important: To complete the SecondLook Wizard in any LogRhythm deployment that uses multiple systems in a 
workgroup (i.e. that are not domain joined), the user must run the Client Console as an administrator. First, close 
the Client Console. Then, from the Start menu, right-click on the LogRhythm Client Console and click Run as 
administrator. Failure to do so can cause errors during the archive restoration.   

To filter in SecondLook Restore Criteria:

 1.  Open the SecondLook Wizard from on the Tools menu, clicking Search, then clicking SecondLook Wizard.

 2.  Enter the appropriate information.
 3.  Click Next until the Include Filters window appears.
 4.  Click the green, plus icon or double-click a list item to open the Log Message Filter.
 5.  Select the Active Directory Group option from the Add New Field Filter menu.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 231
LogRhythm Confidential
 6.  Complete Adding an Active Directory Group as a Filter.

Log Distribution Service Policy Criteria

To filter in LDS Policy Criteria:

 1.  From the Deployment Manager, on the Tools menu, click Distribution, click Log Distribution Services, and then 

click Policy Manager.
 2.  On the File menu, click New or double-click an existing item to display the Log Distribution Policy Wizard.
 3.  Click Next until the Include Filters and Exclude Filters options appear.
 4.  Click the green, plus icon or double-click an item to display the Log Message Filter window.
 5.  Select the Active Directory Group option from the Add New Field Filter menu.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 232
LogRhythm Confidential
 6.  Complete Adding an Active Directory Group as a Filter.

Global Risk Based Priority (RBP) Criteria

 n Global Risk Based Priority Criteria Overview
 n AIE RBP Settings
 n Default Destination Risk Level (MPE/AIE)
 n Default Source Threat Level (MPE/AIE)
 n MPE RBP Settings

Global Risk Based Priority Criteria Overview

Under Global Risk Based Priority (RBP), select a threshold value between 0 and 100. The threshold represents the 
minimum RBP of events that you want to monitor.  The 100-point RBP scale provides a relative measure of an event’s risk 
to help you prioritize analysis and response efforts.  By default, all events are stored online and are searchable, even if they 
are not forwarded to the Platform Manager according to Global RBP.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 233
LogRhythm Confidential
Note: Setting the RBP will help you tune the event load to a manageable level based upon the 
number of events you would like to see on a daily basis in the dashboard.

Below the minimum RBP value are four fields that let your further customize RBP settings: AIE RBP Settings, Default 
Destination Risk Level (MPE/AIE), Default Source Threat Level (MPE/AIE), and MPE RBP Settings. These settings work 
with the Global RBP to customize the priority of logs coming through, and whether or not they are treated as Events. The 
fields are displayed below:


AIE RBP Settings

This section allows you to set the AI Engine RBP value calculation's main influence, and the False Alarm Probability. 

Note: While editing the AIE RBP settings ensure that you do not change the MPE RBP Settings box, 
as this will unintentionally alter your MPE settings. The editable fields are displayed below.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 234
LogRhythm Confidential
AI Engine RBP Value Calculator
 l Set the RBP setting to Risk Rating Influence if you want the calculation to be primarily influenced by the AIE rule 
risk rating. 
 l Set the RBP setting to Balanced if you want the calculation to be influenced equally between the two.
 l Set the RBP setting to Impacted Host Influenced if you want the calculation to be primarily influenced by the 
impacted host risk rating. 

False Alarm Probability

Specify the weight (importance) this factor has in computing the risk based priority (range 0-100): 0=Do not factor in 
calculation, 1=minimum weight (importance), 100=maximum weight (importance).

Default Destination Risk Level (MPE/AIE)

This section allows you to set the Default Destination Risk Level (DRL). You can set the Internal and External risk level, 
and the weight of the risk. 

Internal and External Risk Level

These values are used for the internal host risk level when entity host lookup does not identify a known host (range 0-9) 0 = 
not set, 1 = minimum weight (importance), 9 = maximum weight (importance).

Note: If the value in the Internal or External field is set to 0, then the default is used. The default value 
for the DRL internal field is 3, and the default for the External field is 1. 

Risk Based Priority Weight

Specify the destination risk level used when it cannot be determined via network or host record (range 0-9): 0=No risk level 
(decreases RBP), 1=Lowest risk level (decreases RBP), 9=Highest risk level (increases RBP).

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 235
LogRhythm Confidential
Default Source Threat Level (MPE/AIE)
This section allows you to set the Default Source Threat Level (STL). You can set the Internal and External Risk level, and 
the weight of the risk.

Note: If the value in the Internal or External field is set to 0, then the default is used. The default value 
for the STL internal field is 1, and the default for the External field is 3. 

Internal and External Risk Level

These values are used for the internal host risk level when entity host lookup does not identify a known host (range 0-9) 0 = 
not set, 1 = minimum weight (importance), 9 = maximum weight (importance).

Risk Based Priority Weight

This section allows you to set the Default Source Risk Level. Specify the source threat level used when it cannot be 
determined via network or host record (range 0-9): 0-No risk level (decreases RBP), 1=Lowest risk level (decreases RBP), 
9=Highest risk level (increases RBP).

MPE RBP Settings

This section allows you to set the Event Risk Rating, and Classification Risk Rating. Specify the weight (importance) this 
factor has in computing the risk based priority (range 0-100): 0=Do not factor in calculation, 1=minimum weight 
(importance), 100=maximum weight (importance).

Note: While editing the MPE RBP settings ensure that you do not change the AIE RBP Settings box, 
as this will unintentionally alter your AIE settings. The editable fields are displayed below.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 236
LogRhythm Confidential
Intelligent Indexing

 n Intelligent Indexing Overview
 n Globally Enable Intelligent Indexing
 n Types of Indexed Data
 n Knowledge Base Modules
 n Performance Counters

Intelligent Indexing Overview

In many deployments, it is not feasible to keep all log data indexed, or online.  The system must be tuned so only a subset 
of data is indexed in your Data Processor(s) while ensuring the right data is indexed.  Previously, this was accomplished 
through synchronizing the configuration of indexing via classification-based-data management and GLPRs to determine 
what to search and report across.   Intelligent Indexing automates and simplifies tuning where LogRhythm automatically 
indexes the data known to be needed versus requiring manual and complex tuning.

Globally Enable Intelligent Indexing

Intelligent Indexing must be globally enabled. For Collection Optimized, Search Optimized, and Performance Optimized 
Data Management Profiles, it is enabled by default. If you are using a Custom Profile, you will need to select the Enable
Intelligent Indexing check box.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 237
LogRhythm Confidential
Types of Indexed Data
The following items will have their log data indexed (i.e. brought online) into the applicable data source (Data Processor 
and/or LogMart).

 l Reports
 l Report Packages
 l Tails
 l Investigations

The Global Log Processing Rules supersede Intelligent Indexing settings and can be used to take specific data offline.
In the reporting, tail, and investigation wizards, the option to choose Intelligent Indexing is presented on the final screen 
when launching or saving.

To enable Intelligent Indexing, select the Enable Intelligent Indexing check box. Unless an expiration date is set, 

Intelligent Indexing is set indefinitely.
To enable an Expiration date and Time, select the Enable Expiration check box and choose the date and time from the 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 238
LogRhythm Confidential
Knowledge Base Modules
When enabling a Knowledge Base module, you can enable Intelligent Indexing on a Module Object in the Enable Selected 
Modules window.

Performance Counters
Intelligent Indexing can be monitored through the following performance counters:

 l Intelligent Indexing Data Processor % Indexed. The percentage of logs processed against Data Processor 

Intelligent Indexing rules which matched a rule.
 l Intelligent Indexing LogMart % Indexed. The percentage of logs processed against LogMart Intelligent Indexing 
rules which matched a rule.
 l Intelligent Indexing Processing Rate. Intelligent Indexing Processing Rate

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 239
LogRhythm Confidential
Integrating LogRhythm and McAfee ePO

 n Integrate LogRhythm and McAfee ePO Overview
 n Installation Overview
 n Understand LogRhythm Alarm Event Data in the ePolicy Orchestrator 4.0 Event Log
 n Configure VirusScan Enterprise
 n Install the McAfee Agent
 n Configure LogRhythm to Send Alarm Notifications to ePolicy Orchestrator

Integrate LogRhythm and McAfee ePO Overview

LogRhythm's Alarming and Response Manager (ARM) allows you to customize alarm rules that are triggered by identified 
events, and then send out alarm notifications via email and SNMP traps. LogRhythm also can forward alarm notifications 
to McAfee ePolicy Orchestrator 4.0 where they appear in the Console's Event Log interface. An ePO Administrator or 
Reviewer can view, filter, sort, and export these events and summarize them in custom charts, tables and ePO 
LogRhythm uses the same policy-based system to send alarm notifications to ePO that it uses to send out notifications via 
email or SNMP traps. To send alarm events to ePO, add the ePO Notification Event contact method to any individual or 
role. Then, add that individual or role to the list of notification contacts assigned to the alarm rules.

Installation Overview
LogRhythm's ePO notification events are securely transmitted from the LogRhythm Platform Manager server to the ePO 
server by the McAfee Agent.

Understand LogRhythm Alarm Event Data in the ePolicy Orchestrator 4.0 Event Log
ePO Event Log Column LogRhythm Alarm Event Data
Detecting Program “LogRhythm”
Detected UTC Alarm Date
Event ID “200000”
Threat Source Host Name Source Host name
Threat Source IPv4 Source IP Address
Threat Source Login Name Login
Target Host Name Destination Host name
Target IPv4 Destination IP Address
Target Port Destination Port
Target User Name Login
Target Process Name Process
Target File Name Object
Network Protocol Protocol

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 240
LogRhythm Confidential
ePO Event Log Column LogRhythm Alarm Event Data
Source URL URL
Threat Category “ops.detect”
Threat Type “Audit”, “Operations”, “Security” or “Unknown”
Threat Name Triggered Alarm Rule Name
Threat Severity LogRhythm alarm priority, a range of 0 to 100, mapped to one of ePO’s eight
Severity levels (Information, Debug, Warning, etc.).LogRhythm alarm priority is
partially based on risk values assigned to the host referenced in the triggering
Threat Handled LogRhythm always reports the alarm event, but never blocks the reported action

Configure VirusScan Enterprise

If your site requires deployment of VirusScan Enterprise 8.5 to the LogRhythm XM or EM server that hosts the LogRhythm 
Alarming and Response Manager (ARM), your ePO administrator must take steps to ensure that VirusScan does not block 
LogRhythm’s ePO alarm notifications.
To prevent blocking, follow the ePolicy Orchestrator documentation to create a VirusScan policy exception for the 
LogRhythm ARM (as shown below) and apply that policy exception to the LogRhythm XM (or EM) system.

 l Product. VirusScan Enterprise 8.5.0
 l Category. Access Protection Policies
 l Access protection rules:
 o Categories. Common Standard Protection
 o Block/Report/Rules. Prevent modification of McAfee Common Management Agent files and settings
 l Rule Details
 l Processes to exclude. scarm.exe

Install the McAfee Agent

Follow the instructions in McAfee’s ePolicy Orchestrator 4 documentation to deploy the McAfee Agent to the LogRhythm 
XM or EM system that hosts the LogRhythm Alarming and Response Manager (ARM).

Install the LogRhythm ePO Server Extension

 1.  Start the McAfee ePO console.
 2.  Click Configuration.
 3.  Click Extensions.
 4.  Click Install Extension located at the bottom of the Extensions panel.
 5.  In the Install Extension dialog box, click the Browse button and navigate to the file.  
 6.  Select the file
 7.  Click OK.
The ePO Console displays information about the LogRhythmAlarmEvents extension.
 8.  Click OK to install the extension.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 241
LogRhythm Confidential
Configure LogRhythm to Send Alarm Notifications to ePolicy Orchestrator
This section provides instructions to configure LogRhythm to send alarm notifications to McAfee ePolicy Orchestrator. You 
can either use an existing user account or role, or you can create a new role for ePO notification:

Ensure the Notification Engine is Enabled

 1.  On the main toolbar, click Deployment Manager.
 2.  Click the  Platform Manager tab.
 3.  Click the Properties button.
 4.  Check the check box next to Enable Alarming Engine.

Add ePO Notification to an Existing User Account or Role

 1.  On the main toolbar, click Deployment Manager.
 2.  Click the People tab to display the list of user accounts and roles.
 3.  Double-click a user account or role in the list to open the Person Properties dialog box.

 4.  Select ePolicy Orchestrator Event from the Contact Method Type list and click the Save button. Contact 

Information is not required for ePO notification because the McAfee Agent automatically communicates events to 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 242
LogRhythm Confidential
the ePolicy Orchestrator server.
 5.  Click OK on the Person Properties dialog box to save the change.

Create a Separate Role for ePO Notification

 1.  On the main toolbar, click Deployment Manager.
 2.  Click the People tab to display the list of user accounts and roles.
 3.  To create a new role, click the + icon in the toolbar or right-click the list of people and select New from the menu.
 4.  The Is Person an Individual dialog box appears. Click No because the new account is for a role and not for an 

 5.  Enter a Display Name for the new role, such as McAfee ePO Notification.

 6.  Select ePolicy Orchestrator Event from the Contact Method Type list and click Save. 
Contact Information is not required for ePO notification because the McAfee Agent automatically communicates 
events to the ePolicy Orchestrator server.

 7.  Click OK on the Person Properties window to create the new role.

Add ePO Notification to an Alarm Rule

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 243
LogRhythm Confidential
 1.  On the main toolbar, click Deployment Manager.
 2.  Click the Alarm Rules tab to display the list of alarm rules.
 3.  Double-click an alarm rule in the list to open the Alarm Rule window.
 4.  Click the Notify tab.
 5.  Click Add Person on the top of the window.
The Person Selector window appears.
 6.  Make a selection in the Person Record Type filter box to populate the Person list.
 7.  Select the person or role you created for ePO notification.
 8.  Click OK.
You return to the Alarm Rule window.
 9.  Click the Information tab to enable the OK button

 10.  Click OK to save the change. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 244
LogRhythm Confidential
Global Log Processing Rule Manager
Topic Contents
 l Global Log Processing Rules Overview
 l Create a GLPR
 l Modify a GLPR

Global Log Processing Rules Overview

Global Log Processing Rules (GLPR) are a part of the Advanced Data Management settings which provide a way to 
override settings defined in Classification Based Data Management (CBDM) or Standard Data Management modes (Log 
Message Source, Log Processing Policy). GLPR provides a way to apply Data Management settings across all Data 
Processors, Log Sources and Log Processing Policies to logs that meet your specific criteria.
GLPR overrides are globally applied to log messages that match Classification Criteria (such as Network/Deny, 
Authentication/Failure, etc), and are customized with Include and/or Exclude Filters for log metadata. This flexibility 
provides a manageable way to determine how logs are processed throughout the system, regardless of settings used by 
various Log Sources and/or Log Processing Policies. Logs that do not match the GLPR filters will be processed normally 
per CBDM or Standard Data Management settings.

Create a GLPR
You can create a GLPR using the Global Log Processing Rule Manager or using a log message that is returned by a Tail or 
an Investigation. The process of defining the rule criteria is the same for each method.

Note: If a log does not match GLPR filter criteria, it is processed according to the Classification 
Based Data Management (CBDM) or standard Data Management settings.

Example 1: Create a GLPR to override indexing, and the override specifies Don't Index:

 l A log does not match the GLPR filter criteria.
 l The classification is set to index based on a Global Classification setting in CBDM.
 l In this case, the log will be indexed.

Example 2: Create a GLPR to override indexing, and the override specifies Don't Index:

 l A log does match the GLPR filter criteria.
 l The classification is set to index based on a Global Classification setting in CBDM.
 l In this case, the log will not be indexed.

To create a GLPR, do the following:

Note: To create a rule from a Tail or an Investigation, right-click one of the logs or events, and then 
click Create Global Log Processing Rule. You will be prompted to define some of the rule criteria 
using most of the metadata in the log message or a limited set of the metadata. After selecting the 
metadata option for the rule criteria, the Global Log Processing Rule Wizard appears. Skip to step 4 in 
the following procedure.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 245
LogRhythm Confidential
 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.
 2.  On the Tools menu, click Administration, and then click Global Log Processing Rule Manager.
The Global Log Processing Rule Manager appears.
 3.  Click the New Rule icon, or right-click and select New from the context menu.
The Global Log Processing Rule Wizard opens to the Classification tab.

 4.  Click Add Item.

The Classification Selector appears.

 5.  Select an option from the Classification Type Filter list. 
The Classification list populates.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 246
LogRhythm Confidential
 6.  Select one or more items from the Classification list.
 7.  Click OK to return to the Global Log Processing Rule Wizard.
 8.  Repeat the process to add as many additional filters as needed.
 9.  Under Risk Based Priority (RBP) Criteria, specify a minimum Risk Based Priority (RBP) log messages must 
meet to match the rule.
 10.  Click Next.
You move to the Include Filters tab. Detailed information is available in Work with Filters. 
 11.  Click Next.
You move to the Exclude Filters tab. Detailed information is available in Work with Filters.

Note: An Include or Exclude Filter is required.

 12.  Click Next.
You move to the Log Source Criteria.
 13.  Select one of the following:
 o Include All Log Sources (default)
 o Include Log Sources from the Selected Lists (selecting this option populates the grid below, where you can select 
the lists you want)
 o Include the Selected Log Sources (selecting this option populates the grid below, where you can select the log 
sources you want)
 14.  Click Next to proceed to the Settings tab.

 15.  Select the overrides you want according to the table below.

Note: You must configure at least one override setting when creating a GLPR.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 247
LogRhythm Confidential
  Override Settings

Setting Description
Log Data Management Settings
Override Archive or Don't Archive
Archiving Determines if matching logs should be stored in offline archive files.
Override Index or Don't Index
Index Determines if matching logs should be indexed in the online repository (also
referred to as ‘Drop Whole Log’ in other areas of the product).
Override Store Raw Log or Don't Store Raw Log
Drop Raw Determines if raw logs should be stored or not.
Override Select this option and then select an alternate Common Event to forward to
Common the Data Indexer, Platform Manager, or LogMart.
Note: When this option is enabled, the Override Common 
Event option under Event Management Settings will be 
selected, it will be read-only, and its value will be updated. 

Example: To configure LogRhythm to watch for Dropped Packet logs that

are outbound and on a specific port that you suspect have been recruited
into a botnet, change the Common Event to Dropped Packet: BotNet
Event Management Settings
Override Forward as Event, Don't Forward as Event, or Ignore Global Risk
Event Based (RBP) Criteria
Forwarding Determines if matching logs should be forwarded as an Event and stored in
the Platform Manager Database.
Override Override the assigned RBP value. Specify a value between 0 and 100.
RBP Value
Override Allows you to apply a custom Risk Rating to matching logs.
Risk Rating
Override Allows you to apply a custom False Alarm Rating to matching logs.
False Alarm
Override Select this option and then select an alternate Common Event to forward to
Common the Platform Manager.
Note: This does not change the log's Common Event. To 
do this, you must enable the Override Common Event 
option under Log Data Management Settings.  

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 248
LogRhythm Confidential
  Override Settings

Setting Description
Example: To configure LogRhythm to watch for Dropped Packet logs that
are outbound and on a specific port that you suspect have been recruited
into a botnet, change the Common Event to Dropped Packet: BotNet
LogMart Settings
Override Forward to LogMart or Don't Forward to LogMart
LogMart Determines whether matching logs should be forwarded to the LogMart
Forwarding database.
Override Determines whether matching logs should be grouped together using
LogMart customizable LogMart Record Fields. Click Settings to specify the optional
Aggregation fields that will be stored as part of every LogMart record.
Advanced Intelligence (AI) Engine Settings
Don't Overrides the option to forward logs to AI Engine.
Logs to AI

 16.  Click Next to proceed to the Information tab.
 17.  Enter a name for the rule (required) and an optional description.
 18.  If you want to set an expiration date for the rule, select the Configure Expiration Date check box and specify the 
date and time when the rule should expire.
 19.  Click OK.

Modify a GLPR
 1.  On the main toolbar, click Deployment Manager.
 2.  On the Tools menu, click Administration, and then click Global Log Processing Rule Manager.   The Global Log 
Processing Rule Manager appears.

 3.  Double-click one of the GLPRs in the list.
The Global Log Processing Rule Wizard appears.
 4.  Make your changes as described in the Create a GLPR section, and then click OK.
The modified rule appears in the Global Log Processing Rule Manager window.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 249
LogRhythm Confidential
Data Processors
Topic Contents
 l Data Processors Overview
 l Agent Failback and Load Balancing
 l Add a Data Processor
 l Configure Data Processor Properties
 l Mediator Throttling
 l Start,  Stop, and Restart Data Processor Services
 l Retire a Data Processor
 l Other  Information
 l Data Processor Message Per Second

Data Processors Overview

The Data Processor's Mediator Server service handles communications with LogRhythm Agents, such as authenticating 
Agent connections, receiving log data, and informing System Monitors to shut down or failover when required. The 
Mediator is also responsible for processing logs against the Knowledge Base and sending processed log messages to the 
Data Indexer.
The Data Processor contains a log processing engine known as the Message Processing Engine (MPE). The MPE 
processes logs against rules (MPE rules) to identify logs, parse information from the logs, and forward certain logs as 
events to the Platform Manager.
In medium-to-large deployments, Data Processors should be dedicated systems. In small deployments, a Data Processor 
can coexist on the same system as the Platform Manager. 

Data Processor Local Configuration Manager

Use the Data Processor Local Configuration Manager on the appliance or server where the Data Processor is installed to 
configure the connection to the Platform Manager, manage file locations for HA deployments, configure service properties, 
or view the Data Processor log file.

 1.  Start the configuration manager from the Start Menu or the Apps screen.
The LogRhythm Data Processor Local Configuration Manager is displayed.

 2.  On the General tab, under Platform Manager Connection Settings, review or modify the values for the Server, 
Database, User ID, and Password.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 250
LogRhythm Confidential
 3.  Click Test Connection to validate the password.
 4.  If desired, select the Encrypt all communications check box, and then click Apply.
 5.  Click the Windows Service tab.
 6.  Ensure that the Startup Type is set to Automatic, and then click Start.
The Service Status changes to Running.
 7.  Click OK to save your changes and close the configuration manager.
 8.  If your LogRhythm Mediator Server service uses Windows accounts, open the Windows Services Control Panel. 
Click the Log On tab and add the service account and password in the service properties. If your credentials were 
preserved, this step will not be necessary.
 9.  Repeat the steps above for each Data Processor in your deployment.

Agent Failback and Load Balancing

LogRhythm provides support for Agent failover across several Processors (up to three is the most common configuration). 
Three prioritized Processors configured into the agent as mediator1, mediator2, and mediator3 (ordered list). Collection 
performance is maintained across Mediator failover, and this capability can also be used to support Agent load balancing.
One of three scenarios can cause an Agent to failover to a different Processor:

 l The Processor currently serving the agent is already servicing its maximum agent count.
 l The Processor is unavailable due to inability to establish connection or a lost connection (e.g. network issue).
 l The Processor issues a suspense condition.

The Failback and Load Balance Delay can be configured in the System Monitor Agent Advanced Properties dialog box.

Failback Delay
All agents support a configurable timer for fail-back and can be configured on a per Agent basis. 

 l Minimum. 1 minute
 l Maximum. 3600 minutes
 l Default. 60 minutes
 l Disabled. 0

Upon expiration, the Agent will wait for a randomized delay period (1-30 seconds) prior to attempting to connect. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 251
LogRhythm Confidential
Load Balance Delay
All Agents support a configurable timer for load balancing and can be configured on a per Agent basis. When an Agent has 
connected to a Processor after being in a failure condition due to the Processor reaching the maximum Agent connections, 
the Agent will attempt load balancing after a configurable time period. 

 l Minimum. 60 minutes
 l Maximum. 10080 minutes (7 days)
 l Default. 4320 minutes (3 days)
 l Disabled. 0

Upon expiration of this timer, the Agent will wait for a randomized delay period (1-30 minutes) prior to attempting to 
reconnect. This is to prevent a surge of Agents reconnecting.
After waiting for the randomized delay period, the Agent will attempt to connect to the primary Processor. If it does not 
succeed because of maximum Agent connections, it will attempt the secondary and then the tertiary.

Add a Data Processor

Before you can add a Data Processor, you must add a Host record for the system where the Data Processor resides. For 
systems that host a Data Processor and an Agent, we recommend using the Windows Host Wizard to create the Host, 
Agent, and Log Source records, and make appropriate assignments. You may also add the Host record manually.

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.. 

 2.  If a Host Record for the Data Processor has not been added, add one now. See Add a  Host Record and/or Windows 
Host Wizard.  
 3.  Click the Data Processors tab.  
 4.  On the File menu, click New. 
 5.  Configure the properties of the Data Processor. Most importantly, assign a host record, and specify an IP address 
and name. See Configure Data Processor Properties for more information.

 6.  Click OK to save.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 252
LogRhythm Confidential
Configure Data Processor Properties

 n Basic Properties
 n Advanced Properties
 n Apply Recommended Values

Configure Data Processor Properties Overview

You can configure Basic and Advanced properties for a Data Processor. The Data Processor Properties window appears 
when you create or modify a Data Processor record. You can also access it through the following steps:

 1.  On the main toolbar, click Deployment Manager.

 2.  Click the Data Processors tab.
 3.  Double-click the Data Processor you want to configure.
 4.  (Optional) In the lower-left corner, click the Advanced button.
 5.  Find the component you want to configure.
 6.  In the Value column, adjust the settings as needed.

Basic Properties
Property Description
Host Specify the host where the Data Processor software physically resides.
Platform Specify the platform for the Data Processor.
Data Enter a unique name for the Data Processor. The name cannot be the same as
Processor an existing or previously deleted Data Processor.If you are connecting to an
Name existing host with a Data Processor, the Data Processor field is populated.
Cluster If this is the first machine in the cluster, enter a name for the cluster.
Name If this not the first machine in the cluster, select a cluster name from the list.
Operating Choose from the following:
 l Offline: Data Processor is unavailable for use.  
 l Online Active: Data Processor is online  for active log data collection 
and analysis. (Default)  
 l Online Archive: Data Processor is online for use  in archive restoration 
and analysis. 
Message  l Enabled by default: This tells the MPE to actively process logs coming 
Processing from this Data Processor. 
Engine  l Disabled by default: This value is used by the Message Processing 
Settings Engine to determine if the MPE  should forward messages to the 
Platform Manager. If checked, the MPE will not  forward any events to 
the Platform Manager, regardless of the MPE Rule  configuration. This 
setting can be used to disable all event forwarding. 
Heartbeat Specify the number of seconds that a heartbeat signal from this Agent can be
Warning late by, before a Missing Heartbeat Warning event is generated. Warnings will
Interval continue to be generated, at this interval, until a heartbeat is successfully

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 253
LogRhythm Confidential
Property Description
received. Default: 60

Note: This property must have a different setting than the 
AE_HeartbeatMonitorInterval property set in Platform 
Manager Advanced Properties to prevent unpredictable 

License Indicates the current status of licensing for the selected Data Processor. For
Status more information about licensing and the licensing wizard, see Assign
LogRhythm Licenses.

Advanced Properties

Important: Make changes to the Data Processor Advanced Properties with extreme care! LogRhythm 
recommends that the Data Processor Advanced Properties only be modified with the assistance of LogRhythm 
Support, or by advanced users who have attended LogRhythm training.

Property Range Default Description

AIE Provider: Provider
ClientAddress IPv4/IPv6 address the AI Engine Data
Provider will use to connect to the AI
Communication Manager for
data/management communications. Only
use a static IP address. Do not use
Default is blank (recommended.)
LocalLogLifeTime 1-30 7 Time to keep AI Engine Data Provider
application logs (in days).
LogLevel Warning Sets the AI Engine Data Provider logging
level. The log is written to the lraiedp.log
AIE Provider: Sending
CompressionStrength 0-10 5 The compression level to use when
sending logs to the AI Engine
Communication Manager. Values from 1-
10 indicate the compression strength
where 0 is off/no compression. Stronger
compression requires more CPU to
compress and uncompress the data.
FlushBatch 1000- 1000 The (maximum) number of logs that
10000 should be batched and sent to the
AI Engine Communication Manager
during each socket send.
MaxDataQueueSize 10-2048 256 The maximum size of the AI Engine Data

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 254
LogRhythm Confidential
Property Range Default Description
Provider's in-memory data queue (in MB).
When the queue size exceeds this
amount, incoming logs will be buffered
into spool files until the queue size is
MaxSpoolStorage 0-1024 20 The maximum amount of storage
available to hold AI Engine Data Provider
spooled data filed (in GB). When the
amount of space the spool files occupy
exceeds this amount, the oldest spool
files will be deleted.
SendAfterXLogsQueued 1-100000 100 The threshold number of logs in the queue
required to send logs to the AI Engine
Communication Manager, independent of
SendAfterXSecondsElapsed 1-3600 10 The threshold number of records required
to send logs to the AI Engine
Communication Manager, independent of
number of logs.
AIE Provider: TCP/IP
SocketConnectionTimeout 1-300 120 AI Engine Data Provider socket
connection timeout (in seconds).
SocketDontLinger Enabled AI Engine Data Provider don't linger
socket option. Close the socket
gracefully without lingering.
SocketNoDelay Enabled AI Engine Data Provider no delay socket
option. Disable the Nagle algorithm for
send coalescing.
SocketReceiveBuffer 16384- 65535 AI Engine Data Provider socket receiver
65535 buffer (in bytes).
SocketReceiveTimeout 1-300 60 AI Engine Data Provider socket receive
timeout (in seconds).
SocketReuseAddress Enabled AI Engine Data Provider reuse address
socket option. Allow the socket to be
bound to an address that is already in
SocketSendBuffer 16384- 65535 AI Engine Data Provider socket send
65535 buffer (in bytes).
SocketSendTimeout 1-300 60 AI Engine Data Provider socket send
timeout (in seconds).
AIE Provider: TLS Security
certificate revocation checking.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 255
LogRhythm Confidential
Property Range Default Description
AIEDPTLSCertLocation LocalMachine AI Engine Data Provider TLS certificate
location. Values: LocalMachine or
AIEDPTCertStore MY AI Engine Data Provider TLS certificate
store. Values: MY or Root
AIEDPTLSCertSubject AI Engine Data Provider TLS certificate
subject. Example values: CN=
or CN=lr-0872ed-msa or CN=lr-0872ed-
EnforceAIEComMgrTLSCertRevocation Disabled Enforce AI Engine Communication
Manager TLS certificate revocation
EnforceAIEComMgrTLSCertTrust Disabled Enforce AI Engine Communication
Manager TLS certificate trusted authority
UseAIEDPTLSCert Disabled Enable AI Engine Data Provider client
TLS certificate.
Mediator: DataIndexerProvider
DataLingerTimeoutMiliSec 1-10000 1000 The data socket linger timeout (in
DataQueueHighWaterMark 10000- 100000 The high water mark for the Data Indexer
100000 data queue.
DataQueueThreadCount 1-25 3 The number of threads processing the
Data Indexer data provider queue.
DataSendTimeoutMilliSec 0-10000 250 The data socket send timeout (in
ParseQueueThreadCount 1-25 3 The maximum number of unparsed
messages that will be serialized
StatsLingerTimeoutMilliSec 1-10000 1000 The data socket linger timeout (in
StatsQueueHighWaterMark 10000- 10000 The high water mark for the Data Indexer
100000 stats queue.
StatsSendTimeoutMilliSec 0-10000 0 The stats socket send timeout (in
ThreadJoinTimeoutMilliSec 1000- 5000 The maximum amount of time to wait for
10000 the Data Indexer provider threads to exit
on shutdown.
UnparsedItemsQueueSize 10000- 250000 The number of unparsed reliable
10000000 messages allowed to accumulate in
memory before the Mediator goes into a
Suspend state.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 256
LogRhythm Confidential
Property Range Default Description
Mediator: General
ActiveArchivePath C:\LogRhythmArchives Archiving directory path (full path to the
\Active directory in which archive files are
written). If the requested directory does
not exist, it will be created.
ActiveArchiveProtection File size and last Active archive protection mode
modification date
 l File size and last modification date 
 l No Protections
 l Full SHA1 hashing of archive files
ArchiveAge 1-7 7 Maximum days an archive can live in
active directory (in days).
ArchiveBatch 1000- 1000 The number of logs that are allowed to
10000000 build up in the archive queue before being
processed by the archiver.
ArchiveByEntity Disabled Stores inactive archives according to
entity structure.
ArchiveCompression Enabled Determines if inactive archive files are
gzip compressed
ArchiveSize 1024- 10240 Maximum size for archive before moving
131072 to inactive directory (in KB).
ArchiveWriteThreadCount 1-20 3 The maximum number of archives that
will be serialized and written to disk
AutomaticLogSource Disabled Automatic Log Source Configuration
ConfigurationNetflow (Netflow/J-Flow Sources) - when enabled
the Data Processor will automatically
register new message sources for
NetFlow/J-Flow sending devices which
can be automatically identified.
AutomaticLogSource Disabled Automatic Log Source Configuration
ConfigurationsFlow (sFlow Sources) - when enabled the Data
Processor will automatically register new
message sources for sFlow sending
devices which can be automatically
AutomaticLogSource 1-120 10 Automatic Log Source Configuration
ConfigurationSNMPTimeout (SNMP Discovery) - defines the timeout
value (in seconds) for SNMP
communications used in SNMP Device
AutomaticLogSource Disabled Automatic Log Source Configuration

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 257
LogRhythm Confidential
Property Range Default Description
ConfigurationSNMPTrap (SNMP Trap Sources) - when enabled the
Data Processor will automatically
register new message sources for SNMP
trap sending devices which can be
automatically identified.
AutomaticLogSource Disabled Automatic Log Source Configuration
ConfigurationSyslog (Syslog Sources) - when enabled the
Data Processor will automatically
register new message sources for syslog
sending devices which can be
automatically identified.
ClientSocket ReceiveTimeout 1000- 60000 Client socket receive timeout for Agent
7200000 socket connections (in ms).
ClientSocketSendTimeout 1000- 60000 Client socket send timeout for Agent
7200000 socket connections (in ms).
ComponentVersion The version of this LogRhythm
ConnectionTimeout 3-7200 120 Connection timeout for Agent socket
connections (in seconds).
InactiveArchivePath C:\LogRhythmArchives Directory (full path) where the inactive
\Inactive archive files are written. If the requested
directory does not exist, it will be created.
InactiveArchiveProtection Full SHA1 hashing of Inactive archive protection mode
archive files
 l File size and last modification date 
 l No Protections
 l Full SHA1 hashing of archive files
InactiveSubdirectory FileCount 100- 10000 Inactive archive subdirectory maximum
10000 file count.
LocalLogLifetime 1-30 7 The number of days to keep Mediator and
MPE log files.
LogLevel Verbose Sets the Data Processor logging level
(log written to scmedsvr.log)
MaxAgentUpdates 1-10000 10 The maximum number of concurrent
Agent updates that can be delivered.
MaxConnections 0-10000 350 Maximum number of Agent connections
to allow.
MaxLogArchivingRate 0-10000 500 Maximum rate at which logs can be
MaxLogProcessingRate 0-100000 1000 Maximum rate at which logs can be

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 258
LogRhythm Confidential
Property Range Default Description
MaxLogReceiveRate 0-100000 500 Maximum rate at which logs can be
MaxServiceMemory 512- 1024 Maximum memory allowed for the Data
65536 Processor process (in MB).
MaxUnprocessed 0-1000 100 The maximum amount of space (in GB) to
DiskQueueSpace be used by the Unprocessed Log Disk
Queue. A value of 0 indicates no

Note: A warning event is 
written when 80% of the 
specified space is used. If 
the maximum is reached, 
the mediator will go into 
suspend mode.

MinUnprocessed 1-1000 1 The minimum amount of space (in GB)

DiskQueueSpace that must be available on the volume that
the Unprocessed Log Disk Queue spool
files are being written to. If the maximum
is reached, the mediator will go into
suspend mode.

Note: If the minimum is 
reached, the mediator will 
go into suspend mode.

ProcessPriority Normal Process priority for the Data Processor

QueueSize 10000- 20000 The maximum size of the archive queue
500000 and the unprocessed log queue.
SecondaryServerIP An external facing IP address that an
Agent can use to connect to the Mediator.
This IP address will be used by Agents
when they can't connect using the
Primary Server IP address (ServerIP).
The Secondary Server IP/Port must be
forwarded to the Primary Server IP/Port
by a firewall or router. This parameter
must be a static IP v4/v6 address with a
maximum length of 45 or a DNS name
with a maximum length of 255. DNS
names are only supported for version 6.x
System Monitors and later.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 259
LogRhythm Confidential
Property Range Default Description

Note: You must configure 
your firewall or router to 
forward this IP/Port to the 
Primary Server. This is 
important for deployments 
that use NAT.

SecondaryServerSSLPort 1-65535 443 The external facing IP port to use with the
Secondary Server IP address. The
Secondary Server IP/Port must be
forwarded to the Primary Server IP/Port
by a firewall or router.
ServerDNS DNS address that agents will use to
connect to this Data Processor. If this
parameter is not specified, Agents will
use the ServerIP address to connect to
this Data Processor.
ServerIP IPv4 address that the Data Processor will
listen on for Agent communications. This
parameter must be a static IPv4 address
with a maximum length of 16
ServerIPv6 IPv6 address that the Data Processor will
listen on for Agent communications. This
parameter must be a static IPv6 address
with a maximum length of 45.
ServerSSLPort 1-65535 443 Port that the Data Processor will listen on
for Agent communications.
TertiaryServerIP An external facing IP address or DNS
name that an Agent outside the network
can use to connect to the Mediator. This
IP address will be used by Agents when
they can't connect using the Primary or
Secondary Server IP addresses
(ServerIP/SecondaryServerIP). The
Tertiary Server IP/Port must be
forwarded to the Primary Server IP/Port
by a firewall or router. This parameter
must be a static IP v4/v6 address with a
maximum length of 45 or a DNS name
with a maximum length of 255. DNS
names are only supported for version 6.x
System Monitors and later.

Note: You must configure 
your firewall or router to 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 260
LogRhythm Confidential
Property Range Default Description


TertiaryServerSSLPort 1-65535 443 The external facing IP port to use with the
Tertiary Server IP address. The Tertiary
Server IP/Port must be forwarded to the
Primary Server IP/Port by a firewall or
Unprocessed The directory where Data Processor
DiskQueueLocation unprocessed log disk queue spool files
will be written.

Note: The default directory 
is the mediator state folder. 
After changing the directory 
location, any remaining 
spool files must be 
manually moved to the new 

Mediator: InsertManagerEM
AllowAutomaticRateOverride Enabled Enable/disable automatic event insert
rate override.
BatchInterval 1-300 5 This value determines how often (in
seconds) batches are submitted to the
Platform Manager database for insertion.

Note: Max Insert Batch is 
determined at startup by the 
Max Insert Rate and Batch 

DiskQueueLocation The directory where Platform Manager

Insert Manager disk queue spool files will
be written.

Note: The default directory 
is the mediator state folder. 
After changing the directory 
location, any remaining 
spool files must be 
manually moved to the new 

MaxAutomaticInsert 10-100 50 The maximum override percentage that

RateOverridePercent will be applied to Max Insert Rate
throttling level.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 261
LogRhythm Confidential
Property Range Default Description
MaxEMInsert 0-1000 100 The maximum amount of space (in GB) to
DiskQueueSpace be used by the PM Insert Manager Disk
Queue. A value of 0 indicates no

Note: A warning event is 
written when 80% of the 
specified space is used. If 
the maximum is reached, 
the oldest spool files are 
deleted until the space used 
by the spool files is less 
than the specified 

MaxInsertRate 1-100000 3000 This value determines the maximum

number of Platform Manager logs that will
be inserted per second. The insertion rate
will not exceed this value. Note that this
value is based on the performance profile
of the system.
MinEMInsert 1-1000 1 The minimum of amount of space (in GB)
DiskQueueSpace that must be available on the volume that
the PM Insert Disk Queue spool files are
being written to.

Note: If the minimum is 
reached, the oldest spool 
files are deleted until the 
space used by the spool 
files is above the specified 

SystemMaxInsertBatch 100- 50000 This is a fixed constant that determines

100000 the maximum number of inserts the
system will process in a single batch.
Mediator: LDS
LDSDistributionQueueSize 1000- 10000 Specify the size for each log distribution
100000 receiver queue. Every receiver has its
own queue. If this queue reaches
maximum size, logs will be dropped.
However setting queue size too high
could result in excessive memory
LDSEngineQueueSize 1000- 60000 Specify the size of primary log
500000 distribution queue. If this queue reaches

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 262
LogRhythm Confidential
Property Range Default Description
maximum size, logs will be dropped.
However setting queue size too high
could result in excessive memory
Mediator: TLSCertificates
AgentTLSCertOCSPURL The OCSP URL for Agent certificate
revocation checking.
EnforceAgentTLSCert Revocation Disabled Enforce Agent Certificate Revocation
Check. If this fails, the Mediator will
disconnect from the Agent and logs will
be written to the scmedsvr.log.
EnforceAgentTLSCertTrust Disabled Enforce Agent certificate Trusted
Authority Check. If this fails, the Mediator
will disconnect from the Agent and logs
will be written to the scmedsvr.log.
MediatorTLSCertLocation The location of the Windows certificate
where the Mediator server certificates are
installed--can be LocalMachine or
MediatorTLSCertStore The Windows certificate store where the
Mediator server certificate is installed--
can be MY or ROOT.
MedatorTLSCertSubject The Subject of the server certificate that
the Mediator should use (e.g.,
CN= or CN=lr-0870eds-msa
RequireAgentTLSCert Disabled Require agents to present a client
certificate when connecting.
UseMediatorTLSCert Disabled If checked, the Mediator will use the
specified server certificate when
connecting with Agents; otherwise, the
Mediator will use a self-generated/signed
certificate (default).
Mediator: Unidirectional Agent
Enabled Disabled Check to enable unidirectional Agent
communications with the Data
MediatorPort 1-65535 40000 Specifies the Data Processor port to use
when running in Unidirectional Agent
MPE: Engine
CacheSize_Dimension 1000- 10000 Specify the size for the unique metadata

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 263
LogRhythm Confidential
Property Range Default Description
value cache. There are nine metadata
caches containing unique metadata
values for processed log messages. The
larger the queue size the more unique
values will be stored in memory resulting
in more efficient log processing. However
setting queue size too high could result in
excessive memory utilization.
CacheSize_Msg 100000- 200000 Specify the size for the unique log
5000000 message cache. The larger the queue
size, the more unique log messages will
be stored in memory resulting in more
efficient online log storage. However
setting queue size too high could result in
excessive memory utilization.
DataAndIndexCompression None Specifies the level of compression to
apply to data and indices.
DNSCachedRecordTTL 5-1440 15 The time-to-live for cached DNS Name to
Known Host to IP host resolution records
(in minutes).
DNSCacheMaintCycle 1-60 5 The frequency to launch DNS cache
maintenance (in minutes).
DNSCacheRecord 5-1440 15 The time-to-live for cached DNS external
ExternalIPToNameTTL IP to Name host resolution records (in
DNSCacheRecord 5-1440 5 The time-to-live for cached DNS
InternalIPToNameTTL private/internal IP to Name host
resolution records (in minutes).
DNSIPToName Off IP to Name DNS resolution mode.
Values: Off, Resolve All, Resolve
Resolve IP addresses to their associated
DNS names.
DNSLogLevel Error The logging level for the DNS resolution
DNSNameToIP Disabled Resolve DNS names to their associated
IP addresses.
DNSResolveMsgSourceHostIP Enabled Resolve host IP addresses when logs
match a rule where the source or
destination is assigned to the message
source host.
GeoIPResolutionMode None The level of detail to resolve for
Geographic IP lookup.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 264
LogRhythm Confidential
Property Range Default Description

Note: Options = None, 
Country, Region, and City. 
If this is left set to None, 
GeoIP location will not be 
resolved for logs or Network 

LogProcessingThreads 1-50 10 The number of log processing threads.

PerfOptimizedLogIndexing Disabled Enables or disables performance-
optimized indexing of logs.
RulePerfLogSampleSize 1-1000 10 The minimum number of logs that must
be processed before a rule will be
disabled due to not meeting the minimum
logs per second requirement.
RulePerfMinLogsPerSecond 1-1000 50 The minimum allowed average logs per
second a rule must meet.
MPE: General
IdentityInference Enabled Enables or disables Identity Inference for
the MPE (as long as Globally disabled).
LogLevel WARNING Sets the MPE logging level (log written to
Options: Off, Error, Warning, Info,
Verbose, Debug
MaintenanceInterval 1-120 60 How often to perform internal process
maintenance (in seconds).
RulePerformanceStatsMode Local Rule performance statistics mode:
Off - no not write report (lps_detail.log) or
data file (lps_stats.dat) locally or submit
to LogRhythm (default).
Local - write the report (lps_detail.log) and
data file (lps_stats.dat) locally.
Local and Send - write the Report (lps_
detail.log) and data file (lps_stats.dat)
locally and submit to LogRhythm.
RulePerformanceStats 1-24 24 How often to submit rule performance
SubmitInterval information to LogRhythm (in hours). The
latest lps_detail.log and lps_stats.dat
files will be submitted each interval.
MPE: LogMart
LogMartCommitInterval 1-120 60 How often (in seconds) the LogMart is
updated with new data.
LogMartCommitTimeout 1-120 40 How long (in seconds) a single commit

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 265
LogRhythm Confidential
Property Range Default Description
operation can take before timing out.

MPE: StatKeeper
StatkeeperCommitInterval 1-300 10 How often (in seconds) heartbeat
HeartbeatInfo information is committed to the database.
StatKeeperCommitIntervalLogInfo 1-300 60 How often (in seconds) log collection
statistics are committed to the database.
StatKeeperCommitTimeout 30-120 30 How long (in seconds) a single commit
operation can take before timing out
StatKeeperEnabled Enabled Specify if StatKeeper should be enabled.

Apply Recommended Values

LogRhythm has recommended configurations for each appliance. The recommended configurations can be applied 
automatically from the Data Processor Advanced Properties window. Follow these instructions to apply the recommended 
settings to the Data Processor.

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.

 2.  Click the Data Processors tab.
 3.  Double-click the Data Processor for which you want to change properties. 
The Data Processor Properties dialog appears. 
 4.  Click the Advanced button at the bottom of the Data Processor Properties dialog. 
The Data Processor Advanced Properties window appears.

Note: Rows highlighted orange indicate any properties that are not currently using the 
recommended value.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 266
LogRhythm Confidential
 5.  Click the Apply Recommended Values button. 
A warning appears.

 6.  Click Yes to apply the recommended values. 

Revert to a Previous Configuration

The Version History feature provides an easy way to apply previous configurations to an appliance.  

 1.  From the Data Processor Advanced Properties window, click the Version History button.

The Data Processor Audit Version History window appears. 

See the table below for an explanation of the columns in the Data Processor Audit Version History window.

Column Name Description

Component Name The IP Address of the component on which the changes were made.
JSON The JSON used to retrieve the information from the previous configuration.
User Name The User Name of the person who made the changes.
Compare With The date and time when the configuration was changed.
Revert and Apply A link used to revert to a previous appliance configuration.

 2.  Compare the current configuration to a previous configuration:
Before reverting to a previous configuration, it can be compared to the current configuration. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 267
LogRhythm Confidential
 a.  In the Compare column, click the date-and-time link of a configuration to compare the current one. 
The Compare Version Values window appears. 

The values that differ between the two configurations are highlighted. The Current Value column displays the 
value of the properties as they are currently configured. The Previous Value column displays the value of the 
properties from the previous configuration.
 b.  Click OK to close the window.
 3.  To revert to a previous configuration:
 a.  Click the Revert & Apply this Version link of the configuration to which you want to return.
A Warning appears.

 b.  Click Yes to revert the configuration.
 4.  Click OK to close the Data Processing Advanced Properties window. 

Adding Optional Parameters to the Mediator .ini File

If needed in your deployment, you can override default behavior on the Mediator by adding optional parameters to the 
Mediator's .ini file (scmedsvr.ini). The Mediator’s .ini file is located in C:\Program Files\LogRhythm\LogRhythm Mediator 
Server\config\. If you make any changes to the file, you will need to restart the service before any changes will take effect.

Important: The Mediator configuration parameters described here are optional. If they are not added to the INI file, 
the functionality will not be enabled or the defaults will be used. You should only add these parameters if you want 
to override the defaults. If you want to add any of these parameters, you must add a new [OPTIONAL] block to the 
end of the file, and add the new parameters below that block as highlighted in red below.

#Event Manager Database Encryption

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 268
LogRhythm Confidential
#Encrypt all Event Manager and Log Manager database connections

MPE Rule Timeout

In cases where the Message Processing Engine (MPE) is unable to match a rule to an incoming log, the MPE thread can 
stall. If too many threads stall, the MPE restarts. If this happens often, it can have a negative impact on overall log 
processing in a deployment.
To address this issue, MPERuleTimeoutEnabled=true allows individual MPE rules to time out instead of eventually 
stalling the MPE. The timeout period is 100 milliseconds. If a rule cannot process a log within this amount of time, the rule 
times out and moves to the next rule in the policy. When this feature is enabled, MPE threads no longer stall or disable 

Pin the Mediator to a Specific Data Indexer Node

In a deployment where multiple Data Processors (Mediators) are sending to a cluster of Data Indexers, two or more 
Mediators may connect to the same Indexer node. To address this issue, DxNodeHost=<DX_hostname_IP> lets users 
specify the hostname or IP address of the Indexer node to which the Mediator should connect. 

Override Time to Live for Logs

Logs older than the Go Maintain index limit (currently 90) that are forwarded to the Data Indexer can cause unnecessary 
processing on the Indexer. To address this issue, the Mediator does not forward logs older than 90 days, by default, to the 
You can override this setting by adding SendtoIndexerTTLDays=<days> to scmedsvr.ini, replacing <days> with an 
integer that is between 1 and 3650. When added, any logs that are older than the specified number of days — instead of the 
default 90 days — are forwarded to the Indexer.
You may want to add this optional parameter if you are consistently seeing Go Maintain trimming indices that are outside of 
the current limit (default is 90 in AllConf).

Note: If you override the default setting of 90 days, you must apply the same value on all Indexers. In 
AllConf, this field is Go Maintain Config > Index Configs[0] > Limit.

Override the Free Space Threshold for the Mediator’s State Directory
The default minimum free space size of the Mediator’s state directory is 10 GB. You can override this setting by adding 
MinStateSpaceGB=<size in GB> to scmedsvr.ini, replacing <size in GB> with an integer that is between 1 and 4096. If 
the remaining space in the state directory is less than the specified size, the Mediator enters a suspend condition until 
sufficient space is freed up.
You may want to add this optional parameter if the state directory of the Mediator is on a drive that has less than 20 GB of 
free space. The default directory is C:\Program Files\LogRhythm\LogRhythm Mediator Server\state.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 269
LogRhythm Confidential
Mediator Throttling
Three configuration options are available in Advanced Properties for throttling the amount of logs and events that can be 
inserted and updated on a per second basis.

 l InsertManagerPM SystemMaxInsertBatch. This is a fixed constant that determines the maximum number of inserts 
the system will process in a single batch. 
 l InsertManagerPM MaxInsertRate. This value determines the maximum number of Platform Manager logs that will 
be inserted per second. The insertion rate will not exceed this value. Note that the value is based on the 
performance profile of the system. 
 l InsertManagerPM BatchInterval. The value determines how often (in seconds) batches are submitted to the 
Platform Manager database for insertion. 

The Insert Manager also supports disk spooling to handle overload for unprocessed logs, allowing the following new 
configurations for Unprocessed Queues, Data Processor Insert Queue, and Platform Manager Insert Queue:

 l Location where unprocessed and processed disk queue files are written. 

Note: After changing the directory location, any remaining spool files must be manually moved 
to the new location.

 l Maximum amount of space that can be used by all disk queues. If the queue disk space is reached, Warning events 
are logged at 80% of maximum. 
 l Minimum and maximum amount of space that must be available on all disk queues.
 l Insert and update override mechanism to accommodate periods of excessive volume.

Start, Stop, and Restart Data Processor Services

The Mediator Server and MPE run as the scmedsvr Windows service which can be started or stopped  from Deployment 
Manager or from Services in Computer Management on the Data Processor server. After the Mediator is configured and 
tested, best practice is to configure it for automatic startup (On the Start menu, click Control Panel, click Administrative
Tools, double-click Services, right-click   LogRhythm Mediator Server Service, click Properties, and then set the 
Startup Type to Automatic). 
Local and remote Data Processor services can be controlled from within  Deployment Manager.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 270
LogRhythm Confidential
 1.  Log in to the Client Console using administrator credentials.  
 2.  On the main toolbar, click Deployment Manager. 
 3.  Click the Data Processors tab.  
 4.  In theAction column, select the check box for the Data Processors you want. 
 5.  Right-click the entry and select Actions.  
 6.  Click the appropriate action to be performed.
 o Service Start
 o Service Restart
 o Service Stop
 7.  Click on the Service Request tab at the lower corner of the Client Console to display the Service Request pane. An 
entry appears for the action you selected.

Retire a Data Processor

 1.  Log in to the Client Console using administrator credentials.
 2.  On the main toolbar, click Deployment Manager.
 3.  Click the Data Processors tab.
 4.  Select the Data Processor to retire.
 5.  Right-click and select Properties.
 6.  In the Operating Mode area, select Offline - Data Processor is unavailable for use.
 7.  Click OK.

Other Information

 n The Mediator Server writes several log files to the logs directory in the Mediator Server installation directory.
 n State   
 n Missing Heartbeat Detection  
 n Last Data Processor

Log Files
The Mediator Server writes several log files to the logs directory in the Mediator Server installation directory.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 271
LogRhythm Confidential
 l scmedsvr.log:  errors, warnings, and data pertaining to agent connections, and network operations.  
 l scmpe.log: errors, warnings, and data pertaining to the MPE component of the server.   
 l archive.log:  data concerning the archiving processing performed by the Mediator  Server. 
 l evtmsgprocessor.log: data concerning the Insert Manager EM
 l logmsgprocessor.log: data concerning the Insert Manager LM

The Mediator Server maintains files for keeping track of processed and unprocessed logs, events when the server shuts 
down with logs, and events in memory. These files are stored in a directory structure in the state sub-directory of the 
Mediator Server. When the server is restarted, the logs and events are read in from the files and processed. To ensure the 
reliable processing of collected log data, do not move, alter or manipulate the files in the state directory in any way. 
To ensure log messages are processed only once, the MPE maintains the process state in two places for redundancy. The 
primary location of state is the MPEState.pos file, created when the MPE is first started and located in the state sub-
State information is also stored in the Data Processor database in the MPEState  table. This is a backup to the 
MPEState.pos file, used to restore state information in the event the MPEState.pos  file is corrupted or deleted. State 
information is updated in the database every maintenance cycle.
If MPEState.pos file is deleted and the value in the MPEState table is set to 0, the MPE will reprocess the messages in the 
Data Processor database starting at the first message written to the database.

Missing Heartbeat Detection

The Data Processors actively monitor themselves and Agents for a heartbeat signal at regular intervals. After receiving the 
signal, the database is updated with a timestamp of the last successful signal from that component. The ARM service 
regularly checks the amount of time that passed since the last successful heartbeat from each component and compares it 
with the component's unique Heartbeat Warning Interval setting, set in the Properties dialog box. If the expected reporting 
time is greater  than the Heartbeat Warning Interval, a Missing Heartbeat Warning event is generated. The warnings 
continue to be generated each time  an additional Heartbeat Warning Interval passes without a signal. After a heartbeat is 
received from the component, a Heartbeat Returned event is generated and the system again waits for a missing heartbeat 
Set a reasonable Heartbeat Warning Interval. Take special notice of systems that reside on non-persistent connections or 
are removable from the network, such as notebook computers. 

 l If a Heartbeat is not received for one full Heartbeat Warning Interval, the Last Heartbeat field is yellow 
 l If a Heartbeat is not received for two full Heartbeat Warning Intervals, the field is red.

Below is a list of System Monitor Agents showing the Last Heartbeat column.

Last Data Processor

The Last Data Processor column contains the name of the last Data Processor the agent was connected to. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 272
LogRhythm Confidential
Data Processor Message Per Second
The amount of messages a Data Processor can process per second is determined by your license(s). There are three 
modes in which a Data Processor can measure message per second: 

 l Software Mode. The licenses measure the amount of messages determined by the software being monitored
 l Appliance Mode. The licenses measure the amount of messages coming into the Appliance and the the software
 l Data Processor MPS Mode. The licenses measure the amount of messages coming into the Data Processor. 

To set the Messages Per Second value:

 1.  Log in to the LogRhythm Client Console as an administrator.
 2.  On the main toolbar, click Deployment Manager.
 3.  Click the Data Processor tab. 
 4.  Select the Action check box of the Data Processor to be configured.
 5.  Right-click the Data Processor and select Properties. 
 6.  On the Data Processor's Properties window, click the Licensing button.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 273
LogRhythm Confidential
The available options are determined by your license. The example above shows the options available to a client 
with 5 unlimited licenses. 
 7.  Select the Data Processor messages per second option, and then click Next. 

 8.  Select the amount of messages per second the license allows, and then click OK. 
 9.  Click Apply on the Data Processor Properties window. 
A message appears explaining that the component needs to be restarted for the changes to take effect.
 10.  Click OK.
 11.  Select the Action check box for the services.
 12.  Right-click the service, select Action, then select Service Restart.
The service is restarted and the changes are implemented. 

Data Indexers
Topic Contents
 l Data Indexers Overview
 l Configure the Windows Indexer
 l Configure the Linux Indexer
 l Indexer Maintenance
 l Indexer Services

Data Indexers Overview

The Data Indexer (Indexer) provides next-generation persistence and search capabilities, as well as high-performance, 
distributed, and highly scalable indexing of machine and forensic data. Indexers can be clustered in a replicated 
configuration to enable high-availability, improved search performance, and support for a greater number of simultaneous 
users. Indexers store both the original and structured copy of data to enable search-based analytics. The Indexer is 
supported on Windows Server 2008 R2, Windows Server 2012 R2, and CentOS Linux 7.x Minimal, as follows:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 274
LogRhythm Confidential
 l On Windows: You can install the Indexer on an XM Appliance, an upgraded Log Manager Appliance, your own 
server, or a virtual machine. This configuration is called a DPX, and the Indexer is "pinned" to the Data Processor.
 l On Linux: You can install a single Indexer or a cluster of three to 10 Indexers on a Linux Indexer Appliance, your own 
server, or virtual machine. This configuration is called a DX, and the Indexer is installed alone.

For more information about installing or upgrading the Indexer, please refer to the LogRhythm Software Installation Guide, 
available for download on the LogRhythm Support Portal.

Configure the Windows Indexer

You can configure the Indexer using the configuration web page — AllConf — that is hosted on the Indexer Appliance or 
server. Please note the following requirements:

 l For Windows Indexers, you must perform these steps for each Indexer in your deployment.
 l Ensure that the LogRhythm DX – AllConf and LogRhythm DX – Configuration Server services are running on 
the appliance before trying to connect to the Indexer.
 l You can only access AllConf locally or through a remote desktop/terminal services session to the appliance.
 l You can only access AllConf using Google Chrome (latest version), Mozilla Firefox (latest version), or Internet 
Explorer 11.

Warning: Do not attempt to modify any configuration files manually. If you have any issues, please 
Contact LogRhythm Support.

To access AllConf and configure the Data Indexer, do the following:

 1.  Log in to the DPX appliance as an administrator.
 2.  Start one of the supported browsers and type the following in the address bar: http://localhost:9100
The Data Indexer Configuration sign in page appears.

 3.  Type admin in the Username box and the LogRhythm default password in the Password box, and then click Sign

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 275
LogRhythm Confidential
Note: If you make any changes to the existing Indexer configuration, ensure that you click 
Submit before signing out or leaving the page.

 4.  Modify or verify the following settings:

Parameter Value
All Conf Config
Administrator Password It is recommended that you change the default password for the admin user.
Click Change Password, then use the Update Password dialog box to enter
and confirm a new password.

Note: Passwords must be at least six (6) characters long. It is 
recommended that you create a strong password using a 
combination of numbers, letters, and special characters, and 
use both uppercase and lowercase letters. 

Anubis Config
Anubis sends logs to the Mediator in batches. The frequency at which batches are sent is determined by the
Accumulator Conf settings shown below. A batch of logs will be sent when either of the following thresholds is
met: Max Batch Size Bytes or Seconds To Accumulate

Note: The default values assume 1500 byte logs and should work well for most indexing 

Accumulator Conf
Max Batch Size Bytes The maximum size in bytes that a batch of logs can become before sending to
the Mediator. The default is 15,000,000.
Seconds To Accumulate The maximum amount of time in seconds to wait before sending to the
Mediator. The default is 5.
Gigawatt DB Config
Gigawatt Db Path This is the path to the database used for messaging within the Indexer system.

Note: You can use any directory you want for Gigawatt dB, 
but it should not be on the C: drive. 

You should overwrite the default and change it to something like the following:
D:\Logrhythm\data indexer\gigawatt\db\gigawatt.db
Message Retry Config
These values can be left at their defaults.
Relay Config
These values can be left at their defaults.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 276
LogRhythm Confidential
Parameter Value
Carpenter Config
Db Password This is the password used by the LogRhythmNGLM SQL account. Services on
the Data Indexer use this account to connect to the EMDB and read/update

Note: It is highly recommended and LogRhythm best practice 
to change all MS SQL account passwords when setting up a 
deployment. After you change the LogRhythmNGLM 
password in Microsoft SQL Server Management Studio, you 
must set Db Password to the same value. You should change 
the password in Microsoft SQL Server Management Studio 
first, then change it on the Data Indexer page.

Db Username This should be left unchanged unless you have renamed the LogRhythmNGLM
SQL account in SQL Server Management Studio.
Emdb Host This must be set to the external IP address of your Platform Manager
appliance, where the EMDB database is hosted.
Minutes To Rest This can be left at the default value.
Sql Paging Size This can be left at the default value.
Cluster Node Config - Node Info [n]
Hostname Cannot be changed.
Public IP This must be set to the external IP address of your DPX appliance or server.
Elasticsearch Server Config
Elasticsearch Server Settings [n] If you only have one DPX appliance, you can leave this value at the default
(logrhythm). If you have more than one DPX appliance, change this value so
that each cluster name is unique. For example, logrhythm01, logrhythm02, and
The cluster name for each DPX appliance must be different. When you have
finished making changes on the Data Indexer Configuration page, ensure that
you assign the correct cluster to each Data Processor. For multiple DPX
appliances, ensure that the cluster is assigned to the Data Processor running
on the same appliance.
For example, if clusters are named as follows: DPX-A = dxa, DPX-B = dxb,
and DPX-C = dxc, Data Processor A should point to cluster dxa, Data
Processor B should point to cluster dxb, and Data Processor C should point to
cluster dxc.
${DXDATAPATH} and ${DXPATH} are system variables that are created when the Data Indexer is installed. By
default, these variables are set to C:\Program Files\LogRhythm\Data Indexer.
Elasticsearch Server Settings [n] This is the directory where Elasticsearch data is stored.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 277
LogRhythm Confidential
Parameter Value
Default value: ${DXDATAPATH}\elasticsearch\data
Default full path: C:\Program Files\LogRhythm\Data
NOTE: You can use any directory you want for storing Elasticsearch data, but it should not be on the C: drive.
You should change the data path to something like the following: D:\LRIndexer\elasticsearch\data
If you have more than one drive for data, you can specify multiple locations in the following format:
Elasticsearch Server Settings [n]
path.logs This is the directory location where Elasticsearch logs are stored.
Default value: ${DXPATH}\elasticsearch\logs
Default full path: C:\Program Files\LogRhythm\Data
NOTE: You can use any directory you want for storing Elasticsearch logs, but it should not be on the C: drive.
You should change the log path to something like the following: D:\LRIndexer\elasticsearch\logs

 5.  Click Submit.
Your changes will be pushed to the appropriate appliances and database tables, and all of the required Indexer 
services will start or restart.

Configure the Linux Indexer

 n Configure the Linux Indexer Overview
 n Configure Cluster Nodes
 n Open Port 13202 on all Linux Data Indexer Nodes

Configure the Linux Indexer Overview

You can configure the Indexer using the configuration web page — AllConf — that is hosted on the Indexer Appliance or 
server. Please note the following requirements:

 l Whether your Linux Indexer cluster is one node or 3 to 10 nodes, you only have to configure one of the nodes — 
changes will be pushed out to all other Indexers in the cluster.
 l You can only access AllConf from an external computer that has access to the network where the Indexer cluster is 
 l You can only access AllConf using Google Chrome (latest version), Mozilla Firefox (latest version), or Internet 
Explorer 11.

Warning: Do not attempt to modify any configuration files manually. If you have any issues, please 
contact LogRhythm Support.

Configure Cluster Nodes

To access AllConf and configure your Indexer cluster, do the following:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 278
LogRhythm Confidential
 1.  Log in to a Windows server with network access to the Indexer nodes.
 2.  Start one of the supported browsers and type the IP address of one of the cluster nodes in the address bar.
The Data Indexer Configuration sign in page appears.

 3.  Type admin in the Username box and the LogRhythm default password in the Password box, and then click Sign

Note: If you make any changes to the existing Indexer configuration, ensure that you click 
Submit before signing out or leaving the page.

 4.  Modify or verify the following settings:

Parameter Value
All Conf Config
Administrator Password It is recommended that you change the default password for the admin
user. Click Change Password, then use the Update Password dialog
box to enter and confirm a new password.

Note: Passwords must be at least six (6) characters 
long. It is recommended that you create a strong 
password using a combination of numbers, letters, and 
special characters, and use both uppercase and 
lowercase letters. 

Anubis Config
Anubis sends logs to the Mediator in batches. The frequency at which batches are sent is determined by the
Accumulator Conf settings shown below. A batch of logs will be sent when either of the following thresholds is
met: Max Batch Size Bytes or Seconds To Accumulate

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 279
LogRhythm Confidential
Parameter Value

Note: The default values assume 1500 byte logs and should work well for most indexing 

Accumulator Conf
Max Batch Size Bytes The maximum size in bytes that a batch of logs can become before
sending to the Mediator. The default is 15,000,000.
Seconds To Accumulate The maximum amount of time in seconds to wait before sending to the
Mediator. The default is 5.
Gigawatt DB Config
Gigawatt Db Path This can be left at the default value.
Message Retry Config
These values can be left at their defaults.
Relay Config
These values can be left at their defaults.
Carpenter Config
Db Password This is the password used by the LogRhythmNGLM SQL account.
Services on the Data Indexer use this account to connect to the EMDB
and read/update tables.

Note: It is highly recommended and LogRhythm best 
practice to change all MS SQL account passwords 
when setting up a deployment. After you change the 
LogRhythmNGLM password in Microsoft SQL Server 
Management Studio, you must set Db Password to the 
same value. You should change the password in 
Microsoft SQL Server Management Studio first, then 
change it on the Data Indexer page.

Db Username This should be left unchanged unless you have renamed the
LogRhythmNGLM SQL account in SQL Server Management Studio.
Emdb Host This is the external IP address of your Platform Manager appliance,
where the EMDB database is hosted. If you leave the default value of, the Data Indexer services will attempt to connect locally to
the EMDB, but it does not exist locally.
Minutes To Rest This can be left at the default value.
Sql Paging Size This can be left at the default value.
Cluster Node Config - Node Info [n]
Hostname Cannot be changed.
Public IP For each node, this must be set to the external IP address of your Data

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 280
LogRhythm Confidential
Parameter Value
Indexer appliance or server.
Elasticsearch Server Config
Elasticsearch Server Settings [n] If you only have one cluster, you can leave this value at the default:
If you have more than one cluster, change this value so that each cluster
name is unique. For example, logrhythm01, logrhythm02, and
Elasticsearch Server Settings [n] This is the directory where Elasticsearch data is stored. You can change
this location if you like, but it is OK to leave the default location.
Elasticsearch Server Settings [n]
path.logs This is the directory where Elasticsearch logs are stored. You can
change this location if you like, but it is OK to leave the default location.

 5.  Click Submit.
Your changes will be pushed to the appropriate appliances and database tables, and all of the required Indexer 
services will start or restart.

Open Port 13202 on all Linux Data Indexer Nodes

Port 13202 on the Indexer is used for stats collection by the Mediator. The port is not opened by default following an 
upgrade. To open the port on each Linux Indexer node, do the following:

 1.  Log in to the Indexer server — locally or via SSH — as logrhythm.
 2.  Run  the following commands:
sudo firewall-cmd --zone=public --add-port=13202/tcp --permanent
sudo firewall-cmd --reload
 3.  Repeat the steps above on each Linux Indexer node.

Indexer Maintenance

 n Indexer Maintenance Overview
 n Disk Utilization Limit
 n Force Merge Config

Indexer Maintenance Overview

Automatic maintenance is governed by several settings in AllConf, under Go Maintain Config.

Disk Utilization Limit

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 281
LogRhythm Confidential
 l diskUtilLimt indicates the percentage of disk utilization that triggers maintenance. The default is 80, which means 
that maintenance will start when the Elasticsearch data disk is 80% full.
 l indexConfigs[0]: Min indicates the absolute minimum number of indices that are required for the active repository. 
The default is 2.

Maintenance is applied to the active repository, as well as archive repositories created by Second Look. When the Disk 
Usage Limit (diskUtilLimit: 80) is reached, active logs are trimmed when “max indices” is reached. At this point, Go 
Maintain deletes completed restored repositories starting with the oldest date.
The default settings prioritize restored repositories above the active log repository. Restored archived logs will be 
maintained at the sacrifice of active logs. If you want to keep your active logs and delete archives for space, set your min 
indices equal to your max indices. This will force the maintenance process to delete restored repositories first.

Force Merge Config

Note: You should not modify any of the configuration options under Force Merge Config without the 
assistance of LogRhythm Support or Professional Services.

The force merge configuration combines index segments to improve search performance. In larger deployments, search 
performance could degrade over time due to a large number of segments. Force merge can alleviate this issue by 
optimizing older indices and reducing heap usage.

Parameter Value
Hour Of Day The hour of the day, in UTC, when the merge operation should begin. If Only Merge Periodically is set
For Periodic to false, Go Maintain will merge segments continuously, and this setting is not used.
Merging If set to true, merging will be enabled. If set to false, merging will be disabled.
Only Merge If set to true, Go Maintain will only merge segments once per day, at the hour specified by Hour Of Day
Periodically For Periodic Merge. If set to false, Go Maintain will merge segments on a continuous basis.

Logging of configuration and results for force merge can be found in C:\Program Files\LogRhythm\Data 

Indexer Services
The Indexer is a highly scalable, open-source, full-text search and analytics engine based on Elasticsearch. The full 
functionality of the Indexer is provided by the following micro services:

Service Description
AllConf Web UI for modifying the Data Indexer configuration.
GoDispatch Inserts log data received from the Anubis service into Elasticsearch.
NOTE: Prior to LogRhythm 7.1.3, this service was named Dispatch.
consul- Renders files to disk from cluster data.
Configuration Provides configuration parameters and configuration change notifications for other LogRhythm
Server services.
GoMaintain Maintains Data Indexer indexes for disk space and Time To Live (TTL),

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 282
LogRhythm Confidential
Service Description
Elasticsearch Log persistence and indexing data store.
Carpenter Synchronizes LogRhythm KB and deployment data to Data Indexer indexes.
Fermi This service is currently inactive.
Grafana Web-UI for visualization of metrics stored in InfluxDB.
Transporter HTTP/REST interface to DX (reserved for use in a future release). This service will remain idle when
Columbo Executes query requests from LogRhythm components.
InfluxDB Used to store the metrics collected by Vitals.
Denorm Injects context data into log messages.
Vitals Receives metrics from all Data Indexer services and the Data Processor.
Anubis Ensures reliable transfer of logs within the system.
HeartThrob Monitors Data Indexer services to ensure they are running.
Bulldozer Registers the Elasticsearch cluster name and nodes in the EMDB. Writes cluster statistics to the
EMDB for use in the Deployment Monitor.
WatchTower Receives analytic data from TAC. If TAC is not in use in your deployment, this service will remain idle,
even though it is enabled.
Spawn Sends anonymous log data to TAC. If TAC is not in use in your deployment, this service will remain
idle, even though it is enabled.

AI Engine
Topic Contents
 l Advanced Intelligence Engine Overview
 l Types of Rule Blocks
 l Requirements
 l AI Engine Components
 l Access AI Engine Rule Manager
 l How  AI Engine Rules Uses Time Limits
 l AI Engine Rule Manager
 l AI Engine Rule Wizard
 l AI Engine Search and Drill Down
 l Advanced Administration and Configuration

Advanced Intelligence Engine Overview

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 283
LogRhythm Confidential
LogRhythm AI Engine detects conditions in your deployment that occur over multiple data sources and time ranges. AI 
Engine can connect the dots to paint a picture that is far more enlightening than its individual parts and reveal potential 
problems while you still have time to take effective action. It provides realtime visibility to risks, threats, and critical 
operations issues. There are more than 100 preconfigured rule sets that can be used in the wizard-based drag and drop 
The AI Engine components include:

 l AI Engine (service on the AI Engine server)
 l AI Engine Communication Manager (service on the AI Engine server)
 l AI Engine Data Provider (within the LogRhythm Mediator)

AI Engine Log Files

There are three log files that can be reviewed for success, error, and general log messages related to the AI Engine. The 
number of logs you see depends on the LogLevel that is set in the AI Engine configuration file.

 l The LRAIEComMgr.log and LRAIEEngine.log files are on the AI Engine Server in the location selected during 
installation. The default location is C:\Program Files\LogRhythm\LogRhythm AI Engine\logs
 l The LRAIEDP.log file is on the Data Processor Server in the location selected during installation of the mediator. 
The default location is C:\Program Files\LogRhythm\LogRhythm Mediator Server\logs

AI Engine System Rules

There are several system rules that come packaged with the AI Engine software. The rules must be downloaded and 
imported using the Knowledge Base Import Wizard. For more information, see Import a Knowledge Base (Version 7.2.x) .

AI Engine Local Configuration Manager

Use the AI Engine Local Configuration Manager on the appliance or server where the AI Engine components are installed to 
configure the connection to the Platform Manager, manage file locations for HA deployments, configure service properties, 
or view log files.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 284
LogRhythm Confidential
 1.  Start the configuration manager from the Start Menu or the Apps screen.
The AI Engine Local Configuration Manager appears with the General tab selected.

 a.  In the Server box, enter the static IP address of the Platform Manager Server.
 b.  Check other settings as desired and enter the user credentials. The default User ID is LogRhythmAIE.
 c.  Click Test Connection to test the connection between the AIE Engine and the Platform Manager.
 d.  If you have a High Availability (HA) deployment, you can modify
 o Configuration File Parent Directory
 o State File Parent Directory
 o Data File Parent Directory

Important: Ensure you understand the impacts before making changes. See  Configure High 
Availability (HA).

 e.  Click Apply.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 285
LogRhythm Confidential
 2.  Click the Windows Service tab.

 a.  Select Startup Type:
Manual (default)
 b.  Log On: 
Local System Account (default)
This Account / Password: Enter the account and password information.
 c.  Click Start to Start the services.
 d.  Select Start (or restart) the service when the configuration is saved if you want the service to start after you save 
these changes.
 3.  Click the AI Engine Log File tab.
 a.  Click Refresh to see the log file that is being collected. Logs only appear if the service has started.
 4.  Click OK to exit the Local Configuration Manager.

This item will display within Add or Remove Programs.

 l LogRhythm Advanced Intelligence (AI) Engine

These services will be listed in Windows Services with a startup type value of Manual:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 286
LogRhythm Confidential
 l LogRhythm AI Engine
 l LogRhythm AI Engine Communication Manager

Manually Edit Configuration File

The AI Engine Local Configuration Manager makes changes to the LRAIEEngine.ini file located in the C:\Program 
Files\LogRhythm\LogRhythm AI Engine\config\LRAIEEngine.ini directory. Most variables can be changed within the Local 
Configuration Manager. However, if you need to change the AI Engine QueryTimeout value, you will need to manually edit 
the LRAIEEngine.ini file. You can change the QueryTimeout to be a value between 5 and 300 (default 120) seconds to set 
the timeout value.

Configure AI Engine
 1.  Open the Client Console and click the Deployment Manager.
 2.  Click the AI Engine tab.
 3.  Click the Servers tab at the bottom.
 4.  Double-click on the server name or right-click and select Properties from the shortcut menu.
The AI Engine Server Properties dialog box appears.

 5.  Enter the AI Engine Server Properties.
 a.  Host
 b.  Name
 c.  Workload (default is Global Workload)
 d.  IPv4 Address
 e.  (Optional) IPv6 Address
 6.  (Optional) Click Advanced. 
The AI Engine Server Advanced Properties dialog box appears.
Change any property values you need to, and then click OK.

Important: Only make changes to the AI Engine Server Advanced Properties with the assistance of 
LogRhythm Support.

 7.  Click OK.
 8.  Click the Data Processors tab.
 9.  Double-click on the server name or right-click and select Properties from the shortcut menu.
The Data Processor Properties dialog box appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 287
LogRhythm Confidential
 10.  Click the AI Engine tab.
 11.  Click Properties.
The Data Processor to AI Engine Server Advanced Properties dialog box appears.

 12.  Edit the Properties.
 a.  Select the Enable communication to this AI Engine Server checkbox.
The Data Processor will automatically send logs to the Server based on the assigned workload.
 b.  (Optional) Enter the Client Management Port.
Specify the Sending Port. Management and Data must use distinct ports.
Default = 0 for a random sending port (recommended)
 c.  (Optional) Enter the Client Data Port.
Specify the Sending Port. Management and Data must use distinct ports.
Default = 0 for random sending port (recommended)
 d.  (Optional) Select the Client (sending) Address Override check box.
Enter a valid IPv4 or IPv6 address on the Data Processor.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 288
LogRhythm Confidential
 e.  (Optional) Select the Server Address/DNS Name Override check box.
Enter a valid IPv4 or IPv6 address on the AI Engine Server Communication Manager.
 13.  Click OK.
 14.  Click OK.
 15.  The Restart Component dialog box appears if a setting has been modified. A restart is required for changes to take 
effect. Click OK.

Firewall Considerations
If you have a firewall turned on in the system that has either the Mediator or the AI Engine, you will need to change the 
following ports:

Data Processor to AI Engine Server Advanced Properties

 l ClientMgmtPort=3334
 l ClientDataPort=3335

AI Engine Server Advanced Properties

 l ServerMgmtPort=30000
 l ServerDataPort=30001

AI Engine Communication Manager Performance Counters

The AI Engine Installer installs performance counters for the AI Engine Communication Manager. The  Performance 
Category is called LogRhythm AI Engine Communication Manager, and it consists of the following counters:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 289
LogRhythm Confidential
 l Rate Data Flushed / Sec. The amount of data sent to the correlation engine per second (bytes/sec).
 l Rate Data Received. The amount of data received from the Data Processor per second (bytes/sec).
 l Total Data Flushed. The total amount of data sent to the correlation engine (in bytes).
 l Total Data Received. The total amount of data received from the Data Processor (in bytes).

The Mediator Installer installs performance counters for the AI Engine Data Provider. LogRhythm AI Engine Data Provider 
consists of the following counters:

 l Data Queue Size. The amount of log data (in KB) waiting to be sent to the AI Engine Data Receiver.

 l Rate Logs Flushed / Sec. The number of logs sent to the AI Engine Data Receiver per second.
 l Total Logs Flushed. The total number of logs sent to the AI Engine Data Receiver.

Types of Rule Blocks

An AI Engine rule can include up to three sub-components called rule blocks. Each rule block has its own data source, filter 
criteria, time frame, and conditions.
All rule blocks continuously receive logs that match their designated data source and filter criteria. The AI Engine 
periodically checks each block to see if its condition has been detected. When the condition is met, the AI Engine checks 
related blocks in the rule to see if their conditions are also met. If that happens, an event is generated. An alarm may also 
be generated depending on the rule configuration.
There are four basic rule block types:

 l Log
 l Threshold
 l Unique Values
 l Behavioral

Except Behavioral, each type contains three variations: 

 l Observed
 l Not Observed Compound
 l Not Observed Scheduled. 

The twelve possible rule block combinations are listed below:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 290
LogRhythm Confidential
Descriptions of the twelve possible rule block combinations are provided in the following table:

Observed A log message that met the user-defined parameters was observed.
It can be in any position in the rule.
Not No log message that met the user-defined parameters was observed after a preceding rule block was
Observed satisfied.
Compound It must follow another rule block and be the last block in the rule.
Not No log message that met the user-defined parameters was observed when expected based on a defined
Observed schedule. It must be the only block in the rule.
Important: This type of Log Rule Block cannot be enabled with Entity Segregation.

Observed The defined threshold was reached across one or more log messages that met user-defined parameters. A
threshold is quantitative such as number of bytes out. It can be in any position in the rule.
Not The defined threshold was not reached across one or more log messages after a preceding rule block was
Observed satisfied. It must follow another rule block and be the last block in the rule.
Not The defined threshold was not reached across one or more log messages based on a defined schedule. It
Observed must be the only block in the rule.
Important: This type of Threshold Rule Block cannot be enabled with Entity Segregation.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 291
LogRhythm Confidential
Observed Unique values were observed for a specified metadata field across two or more log messages having
specific characteristics. Examples of unique values: 10 unique logins or 10 unique hosts. It can be in any
position in the rule.
Not Unique values were not observed for a specified metadata field across two or more log messages after a
Observed preceding rule block was satisfied. Examples of unique values: 10 unique logins or 10 unique hosts. It must
Compound follow another rule block and be the last block in the rule.
Not Unique values were not observed for a specified metadata field across two or more log messages based on
Observed a defined schedule. Examples of unique values: 10 unique logins or 10 unique hosts. It must be the only
Scheduled block in the rule.

Important: This type of Unique Values Rule Block cannot be enabled with Entity Segregation.

Whitelist Similar to a Log Observed block, except that it only triggers when the selected Grouped By values of the Log
are not found in the associated whitelist of the Whitelist Profile block to which it is linked. (The linked
Whitelist Profile block is created automatically and cannot be separately deleted or created.) In this case, a
log is observed in a metadata field that is not in the associated whitelist.
A Whitelist Rule Block enables users to record almost any behavior from a source integrated with the
LogRhythm Data Filters. By comparing current logs to historical behavior, a Whitelist can be used to send an
alert when behavior from a user or a system changes.
Use Case - Whitelisting processes on production servers – In this scenario, the user creates a rule that
records all processes observed on production servers. The rule runs for a set amount of time called a
learning period. When the learning period has expired, the administrator reviews the whitelist for accuracy
making any necessary changes. When the whitelist is solidified, any processes observed that are not on the
whitelist trigger an alarm. The event triggering the alarm could be a web server that has been compromised
launching a malicious process to allow attackers to gain shell access.
Statistical During runtime of the AIE Engine, a particular set of statistics will be collected. These statistics are
collected within the AIE Runtime object the statistic observed. At a regular interval, a routine will be
executed to collect the data from the various runtime engine components and send the information to the
database for persistence.
Use Case – Look for an abnormal number of authentication failures. Statistical rules compare live data to live
data. If I know that the number of successful logins to unsuccessful logins in a 10 to 1 ratio, I can create a
statistical rule that looks for the ratio of successes to failures to drop below 10 to 1. For example, if the
amount of unsuccessful logins increases to a 12 to 2 ratio, an alarm is triggered.
Multiple expression can be written into the rule to reflect a range, for example, there must be between 5 and
10 times as many successful logins. Also floors can be implemented, such as the ratio must be greater than
a 10 to 1 ratio and there must be at least 100 successful logins so a very low log rate won’t cause false
positives. This also lets you compare static data fields within the same window. You can compare the origin
user to the impacted user to make sure they are different in an account modification log if your environment
does not allow people to modify their own accounts.
Trend The AIE Trending Rule Block provides for automatic base-lining of log and flow data against which various
trends can be established. These trends can then be evaluated against current log and flow data to
determine if a deviation has occurred. Deviations in a trend might be an indication of a security, compliance,

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 292
LogRhythm Confidential
or operations issue. In this case, a set of criteria is met comparing current log messages with recent log
The Trend Rule block compares prerecorded data to live data in an attempt to identify anomalies in behavior.
Unlike other rule blocks, the Trend Rule block is able to add additional data to the baseline to accommodate
changes in behavior over a period of time. Comparing a baseline that is able to change over time to live data
enables the Trend Rule Block to look for anomalies in behavior while accommodating normal changes in the
Use Case – Look for increased traffic on the network. You can build a baseline, over a week, measuring the
amount of traffic your network receives through its ports. If the traffic increases by a predetermined
percentage, an alarm is triggered. This is also how rogue host detection is implemented. In this case, the
MAC addresses seen on the network are recorded over a 30 day period. When a MAC address is observed
that does not exist in the baseline, this means a new host is on the network. This causes an alarm to trigger.

AI Engine Components

 n AI Engine
 n AI Engine Communication Manager (ComMgr)
 n AI Engine User Interface

AI Engine
The AI Engine runs the Windows Service LRAIEEngine. It receives the logs sent from the AI Engine Communication 
Manager and applies the AI Engine Rules to process the logs. It generates Events when those rules are satisfied. The AI 
Engine also provides diagnostic performance data and can save and reload state when it is shut down and restarted.
The AI Engine design uses time-binned aggregated data when it processes logs against the AI Engine rules. Therefore, 
processing is not affected by the order the data arrives.

AI Engine Communication Manager (ComMgr)

AI Engine ComMgr consists of these two parts:

 l AI Engine Data Provider (AIEDP) located in the Data Processor Mediator. 
 l AI Engine Data Receiver (AIEDR) located in the Communication Manager service on the AI Engine Server.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 293
LogRhythm Confidential
Start and Stop the AI Engine ComMgr
AIEDP runs on the LogRhythm Mediator and sends logs to the AIEDR in all specified AI Engine servers. It starts and stops 
along with the Mediator service.
AIEDR can be started and stopped  from either the command line or from the Service Control Manager.  It starts and stops 
along with the   AI Engine ComMgr service (LRAIEComMgr). 

Configure AI Engine ComMgr

AIEDP configuration data is on the system where the Mediator resides:
C:\Program Files\LogRhythm\LogRhythm Mediator Server\config\LRAIEDP.ini.

AIEDR configuration data is on the system where the AI Engine resides:
C:\Program Files\LogRhythm\LogRhythm AI Engine\config\LRAIEEngine.ini.

Log File Location

AIEDP writes logs to the followings:

C:\Program Files\LogRhythm\LogRhythm Mediator Server\logs\LRAIEDP.log  
Event Log

The ComMgr writes logs to the following:

C:\Program Files\LogRhythm\LogRhythm AI Engine\logs\LRAIEComMgr.log  
Event Log.

AI Engine User Interface

The AI Engine User Interface has an AI Engine Rule Manager that lists the current AI Engine Rules, and an AI Engine Rule 
Wizard where you create and modify rules.
These screens and other information are described in detail in the AI Engine Rule Manager and the AI Engine Rule Wizard.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 294
LogRhythm Confidential
Access AI Engine Rule Manager
To access the AI Engine Rule Manager:

 1.  Start the LogRhythm Console using a login with Global Administrator permissions.
 2.  Click Deployment Manager on the main toolbar.
 3.  Click the AI Engine tab.
 4.  Click the Rules tab.
The AI Engine Rule Manager appears:

For more information on the User Interface, see AI Engine Rule Manager and AI Engine Rule Wizard.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 295
LogRhythm Confidential
How AI Engine Rules Uses Time Limits
AI Engine rule blocks include user-selected time limits to define the time span within which the rule block condition must be 
met. In multiple-block rules, a time limit may be contingent on a preceding rule block. For example, you can create an event 
if rule block B (a specific application starts) occurs or does not occur within X minutes after  rule block A (the nightly backup 
finishes) occurs.
A time limit can be set from various locations in the AI Engine Rule Wizard depending on rule properties: 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 296
LogRhythm Confidential
 l Threshold tab

 l Unique Values tab

 l Rule Block Relationship window

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 297
LogRhythm Confidential
 l Rule Block Time pane

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 298
LogRhythm Confidential
AI Engine Rule Manager

 n AI Engine Rule Manager Overview
 n Access the AI Engine Rule Manager
 n Toolbar
 n Grid
 n Context Menu

AI Engine Rule Manager Overview

The AI Engine Rule Manager lists all the current AI Engine Rules and provides access to many other functions. 

Access the AI Engine Rule Manager

To access the AI Engine Rule Manager:

 1.  In the main toolbar, click Deployment Manager.

 2.  Click the AI Engine tab.
 3.  Click the Rules tab.

The toolbar for AI Engine Rule Manager includes the options pointed out below:

To create a new rule, click the Plus icon or type Ctrl+N to display the AI Engine Rule Wizard. For information on creating 
rule, see the AI Engine Rule Wizard topic. A new rule can also be created by selecting New from the shortcut menu.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 299
LogRhythm Confidential
To edit a rule, click the Properties icon. The AI Engine Rule Wizard appears with the currently selected rule. Click the 
information tab to view the AI Engine Rule Name. For information on editing a rule, see the AI Engine Rule Wizard topic. An 
existing rule can also be edited by selecting Properties on the shortcut menu.

The Actions button displays the menu options in the following table. The same Actions can also be selected from the 
Context Menu. 

Option Description
Enable Applies to rules where the Action check box is selected. A confirmation prompt
displays the number of rules that will be enabled.
Allows a rule to be processed and generate alarms and events when
appropriate. The Rule Status and Server status column are updated where
To enable a retired rule, select Activate, then Enable.
Disable Applies to rules where the Action check box is selected. A confirmation prompt
displays the number of rules that will be disabled.
Prevents a rule from being processed. Flushes all state data for the rule from
Pause Applies to rules where the Action check box is selected. A confirmation prompt
displays the number of rules that will be paused.
Prevents a rule from generating new Events, but continues to maintain all state
data for the rule.
Activate Applies to rules where the Action check box is selected. A confirmation prompt
displays the number of rules that will be activated.
Takes a rule out of retirement with an initial status of disabled.
Retire Applies to rules where the Action check box is selected. A confirmation prompt
displays the number of rules that will be retired.
Prevents a rule from being processed and removes it from the grid. Retired
rules are not deleted because they may contain history, alarms, and/or events
that require the rule to exist.
To view retired rules in the grid, select View, then click Retired AI Engine rules
from the shortcut menu.
To remove a rule from a retired state, select Activate.
Import Opens the Import window which allows you to import AI Engine Rules from a
selected file into the database. Respond to the confirmation prompt for each
file. If you select Cancel on the prompt, you can avoid clicking No for each file.
A progress bar appears at the bottom of the window during the import. Click
Close to cancel the import.
Export Applies to rules where the Action check box is selected.
Exports rules to files with a system generated file name in the following format:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 300
LogRhythm Confidential
Option Description
where 0000000001 is the rule ID. If the file name already exists, you are
prompted to confirm overwriting it.
The grid and toolbar are disabled while rules are exported.
A progress bar appears at the bottom of the window during the export. To
cancel the export, click Close.
Disable Data Applies to rules where the Action check box is selected.
Segregation Disables Entity-based Data Segregation.
Enable Log Source Applies to rules where the Action check box is selected.
Entity Data Enables Entity-based Data Segregation.

Note: Only the Log Source Entity or the Log Source Root 
Entity can be enabled at one time.

Enable Log Source Applies to rules where the Action check box is selected.
Root Entity Data Enables Root Entity-based Data Segregation.

Note: Only the Log Source Entity or the Log Source Root 
Entity can be enabled at one time.

Assign Rule Set Applies to rules where the Action check box is selected.
Displays the Rule Set Selector to allow you to assign the rule to a Rule Set.
Assign Group Applies to rules where the Action check box is selected.
Opens the AI Engine Rule Group Assignment window to allow you to assign a
rule to a new or existing group.
You can organize rules into groups to sort and filter them in the Rule Manager.
The group name can be a maximum of 50 characters in length.
Batch Notification Applies to rules where the Action check box is selected.
Editor Opens the Alarm Rule Batch Notification Editor to allow you to configure
notification properties for multiple rules at the same time.
Batch Enable Alarms Applies to rules where the Action check box is selected.
Enables or disables the alarms associated with the selected rules.
Alarms for retired rules cannot be enabled.

The View menu is populated with All Rules and the names of the AI Engine Servers. 

 l To view the rules for a specific server, select that AI Engine Server Name.
 l To view the rules for all servers, select All Rules.

Restart AI Engine Servers

To implement any rule changes, click Restart AI Engine Servers to shut down and restart the AI Engine servers. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 301
LogRhythm Confidential
 l If a rule has changed, Needed is displayed in the Restart column.
 l If the server is restarting, Pending is displayed in the Restart column. 

To update the restart column, you must close and reopen the Deployment Manager, or click the global refresh button.

The AI Engine Rule Manager appears in the Rules tab. 

Grid Columns
The Rule Manager grid includes the following columns. When changing the View from All Rules to a Server, there are some 
changes to the columns shown.

Column Head All Rules Per Server Description

Action Y Y Select one or more check boxes.
AI Engine Rule Y Y Name of the AI Engine Rule. Max characters = 100
Name Because rules are identified by ID, the name is not required to be unique.
However, use a naming convention that promotes clarity for your
The AI Engine rule name is automatically assigned to the associated
Common Event and Alarm Rule in the format AIE: followed by the first 45
characters of the rule name.
Rule Status Y Y Disabled
The rule will not be processed. Intended for temporary usage.

Note: When you disable a rule, the in-memory log data 
supporting that rule is discarded. If you re-enable the rule, 
the in-memory log data supporting that rule begins to be 
accumulated again.

The rule will be processed as normal.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 302
LogRhythm Confidential
Column Head All Rules Per Server Description
The rule was configured with an expiration date/time which has passed and
will not be processed.
A rule with one or more applicable Behavioral Rule Blocks is accumulating
state information. All data is being collected for the rule, but it is not yet being
evaluated. When the Activation Date is reached, it will go into the Enabled
A rule has been paused to stop generating New events, but continues to
maintain all state data for the rule.
The rule will not be processed and by default does not appear in the grid.
Intended for long-range or permanent usage. To view retired rules, click View,
then click Retired AI Engine Rules from the shortcut menu.
Rules with errors or which consume too many resources such as memory or
CPU time are automatically suspended and will not be processed. The
Suspend Reason column displays more information. After diagnosing the
reason for the suspension, you must re-enable the rule manually to take it out
of Suspended status.

Note: When a rule is suspended, the in-memory log data 
supporting that rule is discarded. If you re-enable the rule, 
the in-memory log data supporting that rule begins to be 
accumulated again.

Rule is not assigned to any engine--either the rule is not in a rule set mapped
to a workload or the workload is not assigned to an engine.
Server Status Y Displays the status of the server in the format Server Name: Enabled or
Server Name: Disabled.
Restart Y Displays the Restart status.
blank: No Restart Required
Restart Needed : Rule has been editted requiring a restart
Restart Pending: Restart button pressed and restart has not yet completed
Activation Y Y For Behavioral Rules with an Activation Date, indicates when the Rule will go
from Learning status to Enabled status.
Expiration Y Y Date the rule expires if one is set. N/A indicates that no expiration date is
associated with this rule.
This cell is selected for expired rules.
Data Y Y Disabled
Segregation No Data segregation is in effect.
Mode Entity

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 303
LogRhythm Confidential
Column Head All Rules Per Server Description
All rule processing and events will be segregated by the Entity of the logs.
Root Entity
All rule processing and events will be segregated by the Root Entity of the
Alarm Status Y Y Identifies the alarm status of a rule as Enabled or Disabled. An enabled rule
that has its alarm status disabled will generate events, but not alarms.
EDF Y Y Environmental Dependence Factor is used in the Risk-Based Priority (RBP)
calculations for AI Engine Rules and is set on Settings tab of the AI Engine
Rule Wizard Tabs. It estimates how much additional configuration is required
for the rule to function as expected within different network environments.
Possible values:

 l None = No additional configuration required. 
 l Low = Minimum additional configuration required. 
 l Medium = Additional configuration required. 
 l High = Significant additional configuration required.
FPP Y Y False Positive Probability is used in Risk-Based Priority (RBP) Calculation
for AI Engine Rules risk calculation and is set on Settings tab of the AI
Engine Rule Wizard Tabs. It estimates how likely the rule is to generate a
false positive response.
Possible values range from 0 through 9.
The lower the value, the likelier that the pattern the rule matched is a true
The higher the value, the likelier that the pattern the rule matched is a false
Suppress For Y Y The amount of time repeated events are suppressed. The event associated
with this rule will not be created more frequently than the value stated here
once every 15 minutes for a unique occurrence. For example, if the rule
detects server failures, it will not create an event more than once every 15
minutes for a particular server. It can create events more than once every 15
minutes for different servers.
When the rule's alarm is enabled, it is always generated for every event.
Runtime Y Y Values = Low, Normal, or High.
Priority If the AI Engine begins to run out of memory, it will try to reclaim memory by
first reducing excess log grace period then, second, suspending rules starting
with the lowest runtime priority.
Best Practice: Start new, untested rules with a Runtime Priority = Low until
processing is verified. Set important, well-tested rules to Runtime Priority =
CPU Cost Y Displays the percentage of CPU this rule consumes relative to all rules in the
Unshared Mem Y Displays the percent of unshared memory this rule consumes relative to all
Cost memory consumed by all rules.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 304
LogRhythm Confidential
Column Head All Rules Per Server Description
Shared Mem Y Displays the percent of shared memory this rule consumes relative to all
Cost memory consumed by all rules.
Unshared Mem Y Displays the number of KB of unshared memory consumed.
Shared Mem Y Displays the number of KB of unshared memory consumed.
Total Mem KB Y Displays the total memory used in KB.
Current Event Y Y Displays the Average event forwarding rate (events/hour) over the last 3
Forward Rate minutes.
Average Event Y Y Displays the Average event forwarding rate (events/hour) over the last 24
Forward Rate hours.
Current Event Y Y Displays the Average event feedback rate (events/hour) over the last 3
Feedback Rate minutes.
Average Event Y Y Displays the Average event feedback rate (events/hour) over the last 24
Feedback Rate hours.
Rule Group Y Y Name of the group to which this rule has been assigned, if any.
Description Y Y The first part of the rule description. The entire description can be seen in the
rule properties
Rule Set Y Y Displays the name of the assigned Rule Set.
Permissions Y Y System: Global Admin - A System AI Engine Rule can only be created by
LogRhythm. It imports in a disabled state and must be enabled by a user that
logs in with Global Admin permissions.
Custom: Global Admin - a Custom AI Engine Rule can be created by a user
that logs in with Global Admin permissions.
Log Source Y Y The number of Log Sources that have been specified in the Log Sources tab
Count of the Rule Blocks, or “All” if there are no Log Source restrictions.
Date Updated Y Y Date of last update.
Rule ID Y Y A unique number generated by AI Engine and assigned to an AI Engine Rule.
The first System AI Engine Rule increments from 1.
The first Custom AI Engine Rule increments from 1000000001.

Context Menu
To access the AI Engine context menu, right-click anywhere in the grid.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 305
LogRhythm Confidential
The Context menu includes the following options:

Option Description
New Displays the AI Engine Rule Wizard to create a new rule.
Clone Creates a copy of the selected rule and allows you to edit the properties to create a new custom
rule. Because AI Engine Rules are identified by a system generated ID, the rule names do not have
to be unique.
Check All Checks all the rows in the grid.
Check All Checks all the rows in the grid that have not been filtered or hidden in some other way.
Uncheck Unchecks all rows, then check just the rows that are displayed.
All >
Check All
Uncheck Unchecks all the rows in the grid.
Uncheck Unchecks all the rows in the grid that have not been filtered or hidden in some other way.
Clear Clears all filter criteria in the filter row so the grid displays all available data.
Actions Displays a sub-menu with the same options that are available from the Actions menu on the

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 306
LogRhythm Confidential
Option Description
Export Export information that appears in the grid to a comma separated value (.csv) file
Grid to
View Disabled AI Engine Rules
View AI Engine Rules that are disabled.
Retired AI Engine Rules
View AI Engine Rules that are retired.
Properties Displays the AI Engine Rule Wizard loaded with the selected rule.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 307
LogRhythm Confidential
AI Engine Rule Wizard

 n AI Engine Rule Wizard Overview
 n AI Engine Rule Structure
 n AI Engine Rule Wizard Tabs
 n Quick Reference for Creating an AI Engine Rule
 n Create an AI Engine Rule
 n Modify an AI Engine Rule

AI Engine Rule Wizard Overview

A LogRhythm AI Engine license enables you to download a default set of AI Engine system rules and  create custom rules. 
This topic covers how to create custom AI Engine Rules to be processed by the AI Engine.

AI Engine Rule Structure

AI Engine rules are able to span multiple data sources and time ranges by using up to three separate rule blocks. The AI 
Engine Rule Wizard provides a means for you to create custom rules. Each rule block has its own specific properties, 
including but not limited to:

 l Primary Criteria
 l Filters
 l Day and Time
 l Log Source

The Rule Block Relationship window allows you to identify the common fields shared by two rule blocks and identify any 
time constraints that one block imposes on the other. For example, you can instruct the second rule block to become 
effective one hour after the first rule block is satisfied.
Using multiple rule blocks and relationships, the AI Engine can detect situations such as:

 l A server was attacked and later started transferring large amounts of data out of the network.
 l A backup started but never finished.
 l A critical service or system did not restart.
 l Worm propagation.

AI Engine Rule Wizard Tabs

When you access the AI Engine Rule Wizard to Create an AI Engine Rule or modify one, the Rule Blocks tab appears by 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 308
LogRhythm Confidential
Rule Blocks Tab

The Rule Blocks tab is divided into four panes:

 l Rule Block Types. Used to add new Rule Blocks to an AI Engine Rule.

 o Log
 o Threshold
 o Unique Values
 o Behavioral
 l Rule Block Designer. Used to edit the properties of a Rule Block.
 l Rule Block Times. Displays the time spans in which Rule Block will process log messages.
 l Rule Block or Relationship Summary. Displays details for the item selected in the Rule Block Designer.

Settings Tab
The settings tab allows you to configure common event properties, alarm properties, and general properties for the AI 
Engine Rule. When the Sync with rule name box is checked, the common event name is synchronized with the rule name.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 309
LogRhythm Confidential
Settings Tab Field Description
New Event Settings
Common Event Name AI Engine Common Events always start with "AIE."
Maximum additional characters = 45.
Sync with rule name When selected, the Common Event name will be
synchronized with the rule name, up to 45 characters.
Classification Common Event classification. Click the selector for an
option list.
Risk Rating Select from 0 to 9 on the list. See Risk-Based Priority
(RBP) for more information.
Event Suppression Select the Enable Suppression check box to limit the number
of events created by a rule so only the first occurrence of a
qualifying event is created during the Suppression Period.
If you select the Enable Suppression check box, the
Suppression Multiple field is enabled. The value you enter
here is used in the formula:
Suppression Multiple * Suppression Interval = 
Suppression Period
The Suppression Interval value reflects the rule definition and
the time limits set on the Thresholds and Unique Values tabs
and in the AI Engine Rule Block Relationship.
When you tab off the Suppression Multiple field, the
Suppression Period is recalculated.

AIE Event Forwarding Forward AIE Event to Platform Manager

New Alarm Settings
Alarm on event occurrence Select the Alarm on event occurrence check box to create
an alarm when this event occurs and to enable the alarm
Notification Settings Select the number of decimal places from 0 to 10 to print for

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 310
LogRhythm Confidential
Settings Tab Field Description
quantitative values.
Rule Settings
False Positive Probability The False Positive Probability is used in Risk-Based Priority
(FPP) (RBP) calculations for AI Engine Rules. It estimates how
likely the rule is to generate a false positive response. A
value of low indicates the pattern the rule matches is almost
always a true positive. However, a value of high indicates
the pattern the rule matches is very likely to be a false
Options range from 0 to 9 with:
0 indicating the pattern the rule matched is almost always a
true positive to
9 indicating the pattern the rule matched is very likely to be a
false positive
The default = 5 - Medium-Medium.
Environmental Dependence The Environmental Dependence Factor is used in Risk-
Factor (EDF) Based Priority (RBP) Calculation for AI Engine Rules. It
determines how much additional configuration is required for
the rule to function as expected within different network

 l None = Default, no additional configuration required. 
 l Low = Minimum additional configuration required. 
 l Medium = Additional configuration required. 
 l High = Significant additional configuration required
Expiration Date Select No expiration or Expires on with the appropriate date.
After the expiration date passes, the rule is not processed
but does appear in the grid with Rule Status = Expired.
Advanced Settings Rule Set
Rule sets are used to divide rules among multiple AI Engine
Servers. Minimum = 0, maximum = 100. 0 Appears as None in
the Rule Manager grid.
Runtime Priority
Under heavy load, the AI Engine Server may need to suspend
the lowest priority rules first.
Values = Low, Normal, or High.
If the AI Engine begins to run out of memory or fall behind, it
automatically suspends rules starting with the lowest runtime

Data Segregation Segregate the rule processing and Event at runtime by the
specified entity grouping.

 l None
 l Log Source Entity (Segregate within the specific 
Entity of every log)

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 311
LogRhythm Confidential
Settings Tab Field Description
 l Log Source Root Entity (Segregate within the Root 
Entity of every log)

Using Data Segregation enables a single logical rule

definition to be automatically applied at the Entity or Root
Entity level to distinct groups of Log Sources within a
deployment. Each Event is then guaranteed to only have
considered Logs within the scope of the chosen Entity

Notify Tab
The Notify tab allows you to designate the Roles, People, and Groups that will be notified when a rule has been satisfied. 
For details, see the Notify tab information in Work with Filters.

Actions Tab
The Actions tab consists of the following sections:

 l Action. Manage the actions to be executed and how they are executed.
 l Set Action. Select one of the available actions from all active SmartResponse plugins.
 l Parameters. Define the command line parameters that pass constant values or data fields to the executable.
 l Approvals. Manage approvals required before the action is executed.
 l Execute SmartResponse Action from. Specifies the component from which the SmartResponse action should be 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 312
LogRhythm Confidential
 l Save Action. After configuring the selected action, click Save Action to add it to the Action list.


This section lists all of the actions associated with the rule. You can add more than one action to the list, reorder actions, 
delete actions, and specify if actions should run at the same time or in the order listed.

Add an Action
 1.  Click New Action. If no actions are configured yet, New Action is unavailable.
 2.  On the Set Action menu, select an action.
 3.  In the Parameters section, configure all of the required parameters for the action.
 4.  (Optional) In the Approvals section, add approvals for the action.
 5.  In the Execute SmartResponse from section, select the component from where the action should run.
 6.  Click Save Action.

Delete an Action
 1.  In the Action grid, select one or more actions.
 2.  Click Delete, and then click Yes when prompted to confirm the deletion.
The selected actions are removed from the list.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 313
LogRhythm Confidential
Reorder Actions
To change the order of configured actions, simply select an action and click the up or down arrow to move the action up or 
down in the list.

Specify How Actions Run

When at least two actions are configured in the Action list, you can specify how the actions should run using the Run 
Actions option.

 l Select At the Same Time if you want all actions to run at the same time.

If any action requires approval, an approval notification will be sent, and the action remains in a state of pending 
execution until all of its approval requirements have been met.
 l Select In the order listed if you want the actions to run one after the other, in the order listed from top to bottom.
Each action waits for its predecessor action to complete before it is initiated.  If an action requires approval, an 
approval notification will be sent, and the Action remains in a state of pending execution until all of its approval 
requirements have been met. Subsequent actions will not run until the action needing approval has completed.

Note: An action in a sequenced response will execute regardless of whether the action before 
it fails or succeeds.


To configure any of the available SmartResponse actions, simply select an action from the Set Action menu.

Note: The Set Action menu only displays actions available in SmartResponse Plugins that have 
been loaded in the SmartResponse Plugin Manager.


The Parameters grid displays selected action's script and all of the command line parameters that can be passed to the 

Note: The Script row is fixed and cannot be modified. All other rows can be modified.

For each configurable parameter, do the following:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 314
LogRhythm Confidential
 1.  Chose one of the following for the Type column — your choice determines the options available for the Value 
 l Constant Value. Requires a manual entry in the Value column, to be used when running the script. Requires 
user input.
 l Alarm Field. Requires a specific metadata field be selected in the Value column. Does not require user input 
but you can change which field is selected.

Note: For fields whose type is Encrypted Value, you will need to enter a value in the 

Value column. The value will be masked as it is typed. Requires user input.

 2.  Configure the Values fields as needed.
 3.  For time-based metadata fields, you can specify a timezone and format to use in the Time Zone and Time Format 


The Approvals section allows you to select individuals or groups that must approve the selected action before it is 
executed. This is optional and if no approvals are specified, the action executes immediately when the alarm is raised. 
Approvers with valid email addresses specified in their contact method are notified of any pending approvals.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 315
LogRhythm Confidential
Add Individual or Role Approvers
 1.  Click Add in the Approvals section.
The Person Selector window displays. 

 2.  Optionally click the Show Retired check box to show retired Individuals or Roles. 

 3.  Click Individual or Role. 
 4.  Optionally enter text in the Text Filter field to narrow the list in the Person Section.
 5.  Select the search type, Keyword or Regex, and then click Apply. 
 6.  Select the individuals or roles that will approve or deny the selected action.
 7.  Click OK to save approvers.
 8.  Optionally, edit the type of Approver in the Type field. The default value is Person. 

Add Group Approvers

Follow the instructions below to add Approval Groups to the Action.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 316
LogRhythm Confidential
 1.  Click the Add Group button to add distribution groups.

 2.  Select the groups responsible for approving the Action.
 3.  Click OK to add the Groups to the Approvals list.
 4.  Optionally, edit the type of Approver in the Type field. The default entry is Person. 

Delete Approvers
Follow the instructions below to delete individual or group approvers. 

 1.  Select the individuals or groups to be deleted.
 2.  Click Delete to remove the individual or group approvers. 

 3.  Click Yes to confirm the deletion.

Set the Levels for Approvers

You can specify up to three levels of approval for a SmartResponse action. You can have more than one person in each 
level, and at least one person in each level must approve the action before it moves to the next level or is finally executed. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 317
LogRhythm Confidential

For each configured action, you must decide where the SmartResponse is going to be deployed, as follows:

 l From Platform Manager. Run the SmartResponse on the Platform Manager

 l From System Monitor Host(s). Run the SmartResponse from a deployed System Monitor
 a.  Click the Browse button.
 b.  Select the Entity to which the host belongs. 
 c.  If you want, you can filter the list of hosts by entering search criteria in the Text Filter box, and then click Apply.
 d.  Select the System Monitor host on which to run the SmartResponse, and then click OK. 
 l System Monitor Host in Alarm. Run the SmartResponse on the host identified in the alarm, and do one of the following:
 o Select Impacted Host to run the SmartResponse on the host impacted by the event
 o Select Origin Host to run the SmartResponse on the host from which the event was initiated


After you have configured all options for the selected SmartResponse action, click Save Action to add it to the Action list.

Information Tab
The Information tab allows you to give the rule a name, description, and provide any other pertinent information.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 318
LogRhythm Confidential
Quick Reference for Creating an AI Engine Rule
Following is an overview of the steps to create an AI Engine Rule:

 1.  On the main toolbar, click Deployment Manager.

 2.  Click the AI Engine tab.
The Rules tab appears.
 3.  Click the green plus icon on the toolbar or right-click, and then click New.
The AI Engine Rule Wizard opens.
 4.  Drag the first rule block from the Rule Block Types pane to the Rule Block Designer.
The AI Engine Rule Block Wizard appears.
 5.  Select the Data Source from the list.
 6.  For each tab, select your options and click Next.
 7.  When complete, click OK.
 8.  Drag a second rule block from the Rule Block Types pane to the Rule Block Designer, if you want.
The AI Engine Rule Block Wizard appears. Complete as above.
 9.  When complete, click OK.
The AI Engine Rule Block Relationship appears. 
 10.  Select the Related Fields and Time Limit for the block relationship and then click OK. 
 11.  Click Next and complete the Settings tab.
 12.  Click Next and complete the Notify tab.
 13.  Click Next and complete the Actions tab.
 14.  Click Next and complete the Information tab.
 15.  Click OK.
 16.  The new AI Engine Rule is listed in the Rules tab grid with the Rule Status Disabled.
 17.  Select the Action box and select Actions, then click Enable from the shortcut menu.

Create an AI Engine Rule

The AI Engine Rule Wizard guides you through configuring or modifying a rule block.

Access the AI Engine Rule Wizard

 1.  On the main toolbar, click Deployment Manager.
 2.  Click the AI Engine tab.
The Rules tab appears.
 3.  Click the New rule icon on the toolbar, or select New from the context menu.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 319
LogRhythm Confidential
A blank AI Engine Rule Wizard appears with the Rule Blocks tab selected.

Create an AI Engine Rule Block

 1.  In the Rule Block Types pane, select and drag a rule block to the Rule Block Designer from one of the twelve 
possible Types of Rule Blocks.
The AI Engine Rule Block Wizard appears. The number of tabs may differ based on the type of Rule Block selected. 
For example, the next graphic shows the tabs for a Trend rule block.

 2.  Complete the appropriate information on each tab and click Next. 
 3.  Click OK when complete.
 4.  Add another rule block, if you want.
The AI Engine Rule Block Wizard appears.
 5.  Complete the appropriate information on all the tabs and click OK.
If this is the second or third rule block in this rule, the AI Engine Rule Block <Rule Block Number>
Relationship window appears to allow you to define the connection between rule blocks.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 320
LogRhythm Confidential
Details on how to complete the following tabs can be found in the User's Guide, click Analyze, then click Working with

 l Include Filters
 l Exclude Filters
 l Day and Time Criteria
 l Log Course Criteria
 l Information

Details on how to complete the followings tab that are specific to the AI Engine follow:

 l Primary Criteria
 l Group By
 l Thresholds
 l Schedule
 l Distinct
 l Unique Values
 l Profile
 l Data Fields
 l Time and Schedule
 l Expressions


The Primary Criteria tab in the AIE Block is similar to the Primary Criteria tab used in Filters. 
AI Engine Rule Block, you must choose one for the following Data Sources for the Rule Block:

 l Data Processor Logs
 l Advanced Intelligence Engine Events
Important: If Advanced Intelligence Engine Events is selected, it is highly recommended that you add an 
AIE Common Event filter to the Primary Criteria to specify which AIE Rules to include.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 321
LogRhythm Confidential

Note: Fields marked with an asterisk (*) are not written to the AIE Event, so they are unavailable for 
SmartResponse or Event Queries. These fields are available for AIE drill down.

The Group By tab appears on all Observed and Not Observed Compound rule blocks. 
Be aware that any log message that does not include a value in every Group By Field you select will be ignored by the rule. 
For example, if you Group By the Country (Origin) field, and a log has no value for Country (Origin), that log will not be 
evaluated by the rule.
When the tab is present, you must select  at least one Group By Field with these limitations:

 l You can select only one of the following: Location (Origin), Region (Origin), or Country (Origin).
 l You can select only one of the following: Location (Impacted), Region (Impacted), or Country (Impacted).
 l You may not remove a selection that is used in a relationship with another rule block.

Important: If you select the box to group by a field that is not populated in a log, then that log will not trigger that 
AIE rule, even if other criteria are met.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 322
LogRhythm Confidential

The Thresholds tab appears on all Threshold rule block types. The threshold allows you to control when a log becomes an 
Event based on your selected criteria.
To define a threshold, complete the items on the Thresholds tab:

 1.  Click Add.
 2.  Select a field from the menu and enter a Threshold value.
 3.  Click Add if another Threshold is required.
 4.  Select one of the options:
 o Any threshold must be met
 o All thresholds must be met
 5.  Enter a Time Limit. 
The duration must be between 1 minute and 30 days. 

Note: The duration begins from the time the first log appears that meets the threshold criteria. If 
the time limit is greater than 24 hours, significant system resources may be required. Consider 
setting the Runtime Priority to Low for such rules.

In the example, the Bytes Out and Impacted Host Bytes Total boxes are examined in every log that meets this rule's 
overall criteria. If the sum of Bytes In = 50,000 or the sum of Impacted Host Bytes Total = 10,000 for all the logs within a 2 
day, 1 hour and 19 minute time span, an Event is generated. 

Note: The total number of Events that are generated can be limited by how you define Event 
Suppression on the Settings tab of the AI Engine Rule Wizard Tabs.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 323
LogRhythm Confidential

The Schedule tab appears on all Not Observed Scheduled Rule Block types. 
The Rule Block will be evaluated periodically during the specified Evaluation Schedule. An event will be generated at the 
end of each period in which the conditions are not observed.
When the tab is present, you must define  with these limitations:
To define a schedule, complete the following:

 1.  Enter the Evaluation Frequency in hours and minutes.

The frequency can range from 1 minute to 24 hours.
 2.  Select the Evaluation Schedule.
 o Select Always Active to evaluate the Rule Block all of the time.
 o Select According to the Schedule Below, to create a monitoring interval.

Note: The duration of the interval should be an even multiple of the Evaluation Frequency.

In the example, the rule block will be evaluated every 10 minutes from Monday 3:00 AM through Friday 11:00 PM and on 
Saturday from 1:30 PM until 4:30 PM.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 324
LogRhythm Confidential

The Distinct tab appears on all Not Observed Scheduled rule blocks. 
To create a list of distinct value:

 1.  (Optional) Select a field, click Add, and enter the Field Filter Values.

 2.  Add additional fields, if you want.

In the example, this rule block will be evaluated with any occurrence of a log having the IP Address (Origin) of or 

Note: The total number of Events that are generated can be limited by how you define Event 
Suppression on the Settings tab of the AI Engine Rule Wizard Tabs.


The Unique Values tab appears on all Unique Values rule blocks. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 325
LogRhythm Confidential
It is used to detect when more than the number of unique occurrences you specify are observed. 
To detect Unique Values:

 1.  Select a Field.

Note: Group by fields cannot be used for Unique Values.

 2.  Enter the number of Occurrences from 1 to 100.
 3.  Enter the Time Limit from 1 minute to 30 days.

Note: A time limit greater than 24 hours may require significant system resources. Consider 
setting the Runtime Priority to Low for such rules.

In the example, the rule block will be evaluated when 50 or more logs with unique Hostname (Origin) values are observed in 
a 2 minute time span.

Note: The total number of Events that are generated can be limited by how you define Event
Suppression on the Settings tab of the AI Engine Rule Wizard Tabs.


The Profile tab appears on the Whitelist Profile linked data block only. 
It is used to specify the collection interval for the whitelist, where it is stored, and provides a means of viewing and editing 
the resulting whitelist.
To complete the Whitelist Profile:

 1.  Enter the Collection Interval. The default collection interval is 48 hours from rule creation.

 o To change the duration, change the End Time.
 o To start the collection in the future, change the Start Time.
 2.  Select a Storage Area:  

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 326
LogRhythm Confidential
 o emdb: The default value while allows the whitelist to be stored in a table in the EMDB database. This allows the 
resulting whitelist to be viewed and edited via the View Data button.
 o baseline: Stores the data in a file on the AIE Server in the state\baseline folder—this option can be useful for 
very large profiles, or when you want to use a script or other means to refresh the file dynamically after the initial 
collection interval.
 3.  Enter a Storage Name, if you want. A storage name is generated for you.
 4.  The default data Format is Comma Separated Value.
 5.  To view data from the EMDB storage only, click View Data. 

Note: This is only available for EMDB storage, and only after the AI Engine starts building the 
corresponding whitelist. The file will be read-only during the collection interval, but may be 
modified and saved after the rule goes from Learning to Enabled. If the file is edited and saved, 
the engine will automatically pick up the changes in approximately 1 minute.


The Data Fields tab appears on the Statistical and Trend block.
(Optional) To specify the numeric and non-numeric fields:

 1.  Select Log Count if you are evaluating Count Expressions.

 2.  Select the Quantitative Field(s) for which you would like to create an expression.
Numeric fields include Log Count (of the logs meeting block input criteria) and the quantitative fields available from 
the logs. The Log Count can be used in count expressions; quantitative fields can be used in numeric expressions 
involving counts, rates, sums, averages, and statistical deviations.
 3.  Select the Non-Number Fields for which you would like to create an expression. 
Available non-numeric fields are the Group By fields that have not been used in this block. For example, if Amount 
is selected in the Quantitative Fields, it will not appear in the Non-Numeric fields. Non-numeric fields can be 
used in histogram expressions involving unique and total vale counts and histogram similarity. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 327
LogRhythm Confidential
Note: Unlike the Group By fields (which require a value to consider a log for processing by the Rule 
Block), Data Fields may have empty values. The various Count and Sum values available in 
expressions for both numeric and non-numeric fields only count logs that have a value for that field.


The Time and Schedule tab appears on the both the Trend and the Statistical block; however, it is slightly different in each 
type of block. It is used to specify Time Period(s), Evaluation Frequency, and Evaluation Schedule. 
To define a Time and Schedule, complete the following:

 1.  Enter the Live Time Period for both Trend and Statistical Blocks.

This is the most recent time period over which data should be evaluated in days, hours, and minutes. The Live
Time Period is the time frame in which recent activity will be evaluated.
 2.  For the Trend Block only, enter the Baseline Time Period.
The Baseline Time Period is the time frame immediately prior to the Live period in which past activity is evaluated. 
By default, the Evaluation Frequency is one-third of the Live Period, meaning that the rule will be evaluated three 
times during  every Live Time Period.
 3.  Select the Evaluation Frequency.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 328
LogRhythm Confidential
All Rule Blocks in the rule will be evaluated during the specified Evaluation Schedule. The Rule Block will be 
triggered at the end of each Evaluation Frequency period in which the expressions, if any, are met. 
 o Auto (default) 
By default, the Evaluation Frequency is one-third of the Live Time Period.
 o To change the default, deselect the Auto check box and enter a range from 1 minute to 24 hours. 
The frequency can range from 1 minute to 24 hours.
 4.  Select the Evaluation Schedule.
 o Select Always Active to evaluate the Rule Block all of the time.
 o Select According to the Schedule Below, to create a monitoring interval.

Note: The duration of the interval should be an even multiple of the Evaluation Frequency.


The Expressions tab appears on the Statistical and Trend blocks only. It is used to specify one or more Expressions for 
evaluation. If more than one expression is defined, Boolean expressions can be used to combine the logic.
For Statistical Rules, the expressions will typically be thresholds on the selected Data Fields. This lets you combine 
several numeric or unique values criteria in a single block. You can also compare values from different fields. For example, 
you could determine if the Bytes Out traffic exceeds the Bytes In traffic by a certain factor on a set of servers, possibly 
indicating an attack or error.
For Trend Rules, the expressions will typically be comparisons between corresponding values (or rates of values) from the 
Live and the Trend Baseline data, such as Log Count, numeric values, and unique value counts. It is also possible to 
qualify the firing of a rule based on a specific threshold against a single field in either the Live or Baseline or both. For 
example, you may want to trigger a rule when the Live Log Count exceeds the Baseline Log Count by a given multiple, but 
not if the Baseline was below a low value.
The Expression Selector consists of the Available Expressions pane and the Selected Expression Details.
In the Available Expressions pane, the list of the expressions that are available based on the fields selected in the Data 
Fields appear. Unavailable expressions are dimmed. Select Show Advanced Expressions to reveal the Advanced 
Expressions in the List. Select Show All Expressions to reveal all the expressions including the ones that are not based on 
the Data Fields selected.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 329
LogRhythm Confidential
In the Selected Expression Details, the detail is provided for each Expression Type. After an Expression is selected, the 
Arguments, Descriptions, and When to use explanations are provided.

 1.  Click Add to open the Expression Builder.

 o The Expression Selector consists of the Available Expressions pane and the Selected Expression Details.
 o In the Available Expressions pane, the list of the expressions that are available based on the fields selected in 
the Data Fields appear. Unavailable expressions are dimmed. Select Show Advanced Expressions to reveal 
the Advanced Expressions in the List. Select Show All Expressions to reveal all the expressions including the 
ones that are not based on the Data Fields selected.
 o In the Selected Expression Details, the detail is provided for each Expression Type. After an Expression is 
selected, the Arguments, Descriptions, and When to use explanations are provided.
 2.  To open the Expression Builder, double-click the row of the Expression type or highlight an expression and click 
The Expression Builder appears. Below is an example of what options appear with the Value Rate Comparison 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 330
LogRhythm Confidential
Each expression builder is unique based on the Expression chosen. Options for the Field(s), Values, Operator, 
Multiple, Rates, and/or Offset appear. Each option lets you select from the list of available data. 

Expression Builder Reference

Name Description Formula
Log Count Comparison Compare the log count in the current live:Count Operator
period to the trend log count, with (Multiple *
optional multiple and offset. baseline:Count) +

Log Count Threshold Compare the log count of a source to a Field Operator
threshold. Threshold
Sum Comparison Compare the sum of a quantitative value Sum(Field1) Operator
observed in a field to another, with (Multiple * Sum
optional multiple and offset. (Field2)) + Offset

Sum Threshold Compare the sum of quantitative values Sum(Field) Operator

observed in a field to a fixed threshold. Threshold

Average Comparison Compare the average of a quantitative Average(Field1)
value observed in a field to another, with Operator (Multiple *
optional multiple and offset. Average(Field2)) +

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 331
LogRhythm Confidential
Name Description Formula
Average Threshold Compare the average of quantitative Average(Field)
values observed in a field to a fixed Operator Threshold

Log Rate Comparison Compare the rate of logs observed in live Rate(Field1) Operator
to the baseline, with optional multiple (Multiple * Rate
and offset. (Field2)) + Offset [in

Log Rate Threshold Compare the rate of logs observed to a Rate(Field) Operator
fixed threshold. Threshold

Value Rate Comparison Compare the rate of a quantitative value Rate(Field1) Operator
observed in a field to the rate of another (Multiple * Rate
field, with optional multiple and offset. (Field2)) + Offset

Value Rate Threshold Compare the rate of quantitative values Rate(Field) Operator
observed in a field to a fixed threshold. Threshold
Standard Deviation Compare the Standard Deviation of StdDev(Field1)
Comparison quantitative values observed in a field to Operator (Multiple *
that of another, with optional multiple and StdDev(Field2)) +
offset. Offset
Nth Percentile Comparison Normalize one field Average by the NthPercentileCompare
Average and Standard Deviation of (Average(Field1,
another, then compare against Field2, Low, High)
lower/upper percentile threshold to
detect outliers.
Unique Value Count Compare the count of unique non-empty UniqueCount(Field1)
Comparison values observed in a key field to another, Operator (Multiple *
with optional multiple and offset. UniqueCount(Field2))
+ Offset

Unique Value Count Compare the count of unique non-empty UniqueCount(Field)

Threshold values observed in a key field to a fixed Operator Threshold
Unique Value Similarity Compare the histograms of two non- HistogramSimilarity
numeric fields (of the same data type), (Field1, Field2)
and determine how similar they are Operator Threshold
based on the values contained.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 332
LogRhythm Confidential
Name Description Formula
Group By Field Equality Compare one Group By field to another Field1 Operator Field2
of the same data type, usually in the
same block.
Normalized Numeric Value Compare a numeric field value to a Value1 Operator
Comparison normalized numeric field. Value2/Normalizer
Normalized Numeric Value Compare a numeric field value rate to a Rate(Value1) Operator
Rate Comparison normalized numeric field rate. Rate
where Rate(Value) =
Numeric Value Comparison Compare one numeric field value to Value1 Operator
another, with optional multiple and (Multiple * Value2+) +
offset. Offset
Numeric Value Threshold Compare a numeric field value to a fixed Value Operator
threshold. Threshold
Numeric Value Rate Compare one numeric field value rate to Rate(Value1) Operator
Comparison another, with optional multiple and (Multiple * (Rate
offset. (Value2)) + Offset
where Rate(Value) =
Numeric Value Rate Compare a numeric field value rate to a Rate(Value) Operator
Threshold fixed threshold. Threshold
where Rate(Value) =

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 333
LogRhythm Confidential
Define an AI Engine Rule Block Relationship
 1.  Complete the information on the AI Engine Rule Block Relationship window:

 a.  Related Fields. The options in the Rule Block list are the Group By boxes designated in the prior rule block. 

For example, if the Rule Block 1 field is an Impacted Host, then it can only be related to an Impacted Host in 
Rule Block 2. 
 o To select an option in the first column, click the down-arrow at the end of the field or click Add. 
 o To select an option in the last column, click the down-arrow at the end of the field. Only boxes compatible 
with the first column option will be available.
 b.  Time Limit. On the top row, set the time duration when this rule block must be satisfied. You can edit this 
value on the Threshold and Unique Values tabs in the Rule Block Wizard.
You can also adjust time duration in the Rule Block Times pane by clicking and dragging the slide bar that is 
emphasized in the following screen shot.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 334
LogRhythm Confidential
On the bottom row of Time Limit in the AI Engine Rule Block Relationship window, indicate when to start 
evaluating this rule block relative to the previous rule block. You can toggle the button before the time field 
between + and –. 
 l "+" - indicates a time after the previous rule block is satisfied.
 l "–+ -  indicates a time before the previous rule block is satisfied.
 2.  Click OK.
 3.  To define a third rule block, repeat the process that starts with step 4 in Create an AI Engine Rule Block.
 4.  Click Next to access Settings tab and complete the required information.
 5.  Click Next to access the Notify tab and complete the required information.
 6.  Click Next to access the Information tab and complete the required information.
The new rule is listed in the AI Rule Manager grid with a status of Disabled.

Define an AI Engine Linked Data Block Relationship

A Linked Data Block Relationship is similar to a Rule Block Relationship, but only applies the relationship between a Rule 
Block and an associated Linked Data Block. The relationship always involves linked Group By fields, as with a Rule Block 
Relationship. Depending on the types of blocks involved, it may also be possible to specify whether a result record is 
required or optional on each side of the relationship.
Linked Data Block Relationships do not involve time, so unlike a Rule Block Relationship, there are no time parameters.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 335
LogRhythm Confidential
 1.  Complete the information on the AI Engine Rule Block Relationship window:

 a.  Related Fields. The options in the list are the Group By boxes designated in the rule block. For example, if the 

Rule Block 1 field is a Sender, then it can only be related to a Recipient in Rule Block 2.
 o To select an option in the first column, click the down-arrow at the end of the field or click Add. 
 o To select an option in the last column, click the down-arrow at the end of the field. Only boxes compatible with 
the first column option will be available.
 b.  Related Data Not Observed options (Advanced) . Select whether a data item is required in the Live data (on left) 
or the Linked  data (on right). When not required, "absent" values" are treated as 0/empty in expressions. By 
default, both Live data and Linked data are disabled. Click the question mark (?) for a detailed explanation of this 
 2.  Click OK.

Enable a New AI Engine Rule

In the AI Engine Rule Manager grid:

 1.  Locate the new rule in the grid.
 2.  Check the box in the Action column.
 3.  Click Actions, then click Enable on the toolbar or  select Actions, then click Enable from the shortcut menu.

Modify an AI Engine Rule

Global Administrators can modify custom AI Engine rules or system/default rules that have been cloned.

Note: You must clone default rules and modify the cloned rule. Otherwise, any changes that are 
made will be overwritten when the KB is synchronized.

To modify a custom or cloned default AI Engine Rule:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 336
LogRhythm Confidential
 1.  Select the rule you want to modify in the AI Rule Manager grid.
 2.  Access the rule in the AI Rule Manager Wizard by doing any of the following:
 o Double-click the rule.
 o Right-click and select Properties from the context menu.
 o Click the Properties icon on the toolbar.
 3.  Complete your edits in the rule blocks and rule relationships using the information in Create an AI Engine Rule.
 4.  Make any necessary edits in the Settings, Notify, and Information AI Engine Rule Wizard Tabs.
 5.  Click OK.
The rule retains the Enabled or Disabled status it had before you made modifications, but the Restart value now = 

Import AIE Rules

Global Administrators can import one or more AIE rules that are available in the LogRhythm Community, Blog, or Support 

 1.  Copy the rules to import to a network location that is available from the Client Console.
 2.  Log in to the Client Console as a Global Administrator and click Deployment Manager.
 3.  Click the AI Engine tab.
 4.  Click the Actions menu, and then click Import.

 5.  Browse to and select the .airx (AI Rules File Format) files to import, and then click Open.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 337
LogRhythm Confidential
 6.  If the rules are imported successfully, the following popup message appears.

 7.  If you see an error stating that your KB is out of date, update and synchronize your KB to the latest version and 
perform the import again.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 338
LogRhythm Confidential
AI Engine Search and Drill Down

 n AI Engine Search and Drill Down Overview
 n Search for AI Engine Information
 n AI Engine Drill Down Manager
 n Alarm Viewer

AI Engine Search and Drill Down Overview

LogRhythm allows you to search and drill down on AI Engine logs and events from several locations in the Client Console.

Search for AI Engine Information

You can view AI Engine logs and events from the following locations by searching for Log Source Type = LogRhythm AI
Engine or filtering for Common Events that begin with AIE:

 l Personal Dashboard Aggregate Log/Event List
 l Investigator Aggregate Log/Event List and Alarm and Log Viewer
 l Alarm Viewer
 l Tail Log/Event List and Aggregate Log/Event List

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 339
LogRhythm Confidential
You can double-click a row for additional information in the Log Viewer tab.

AI Engine Drill Down Manager

To drill down on an AI Engine listing:

 1.  Select a row in the Log/Event Analyzer tab.
 2.  Right-click the row, and then click AI Engine Event Drill Down.

The AI Engine Event Drill Down Manager appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 340
LogRhythm Confidential
 3.  Configure the available drill down options, as described in the following table.

AI Engine Event
Drill Down Manager
Drill Down Settings
Select Log Repository to Query Select any of the available log repositories to include in this query.
Maximum log messages to Enter or select the maximum number of log messages to return for each
return per Rule Block Rule Block.
Query timeout (seconds) Enter or select the period of time, in seconds, after which the drill down
query should time out.
Drill Down Status
RB# The position of the rule block within the AI Engine rule.
Data Processor Name The name of the Data Processor being queried.
Status The current status of the drill down.
Error Messages If any errors occur during the drill down, they appear here.
Last Query SQL Statement The last SQL statement issued in the query.
Rule Block Type The AIE Rule Block type.
Rule Block Description A brief description of the Rule Block.
Expected Drill Down Accuracy  l Excellent: The event was generated with the same version of the 
rule currently in the system
 l Good: The event was generated with a different version of the rule, 
 o The rule has the same number of Rule Blocks.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 341
LogRhythm Confidential
AI Engine Event
Drill Down Manager
 o All Rule Blocks are in the same order.
 o All Rule Blocks are of the same type.
 l Unknown: One of the following occurred:
 o The event was generated with a different version of the rule that 
was significantly modified since the Event was generated.
 o Errors occurred during preparation.

 4.  If you want to see the Last Query SQL Statement:
 a.  Clear the Automatically launch Investigator upon completion check box.
 b.  Click Start.
The AI Engine Drill Down Manager window now displays the Last Query SOL Statement as shown in the 
following graphic. You may have to scroll to the right to see the column. 
 c.  When you are ready to start the investigation, click OK.

 5.  If you do not need to see the Last Query SQL Statement, leave the Automatically launch Investigator upon

completion check box selected, and then click Start.
When the drill down is complete, the results appear in the Investigator, and:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 342
LogRhythm Confidential
 l In the Aggregate Log/Event List, a new column is added to both the Log/Event Analyzer and Log Viewer tabs 
that gives the AI Engine Rule Block number (AIE RB#).

 l With Global Admin privileges, you can click View, then click AI Engine Rule to open the rule in the AI 

Engine Rule Wizard.

The AI Engine Rule Wizard appears.

Alarm Viewer
To view alarms generated by AI Engine Rules:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 343
LogRhythm Confidential
 1.  From the LogRhythm Client Console, on the Tools menu, click Monitor, then click Alarm Viewer. 
The Alarm Viewer Wizard appears.
 2.  Specify the Date Criteria and the Alarm Status Criteria and click Next.

 3.  Specify Alarm Rule Criteria. To narrow your search, specify Alarm Rule Names that begin AIE.

Note: Alarms that begin with AI Engine pertain to diagnostics of the AI Engine.

 4.  Specify Notification Settings and click Next. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 344
LogRhythm Confidential
 5.  Specify Configuration Settings and click Next. 

 6.  When you start the wizard, the retrieved alarms appear in the Alarm Viewer.

 7.  Double-click a row to access the Investigator or the AI Engine Event Drill Down Manager, depending on the alarm 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 345
LogRhythm Confidential
Advanced Administration and Configuration

 n Advanced Administration and Configuration Overview
 n Rules
 n Workloads
 n  Rule Sets
 n Servers

Advanced Administration and Configuration Overview

The AI Engine tab is now divided into three sub-tabs: 

 l Rules
 l Workloads
 l Servers

In a new deployment where only the core Knowledge Base has been downloaded, there will not be any rules.

After the Knowledge Base is imported with some AIE rules enabled, or you create your own AIE rules, they appear in the 
Rules tab.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 346
LogRhythm Confidential
By default, there will be two items in the Workloads tab:

 l Workloads. The Global Workload is the default Workload for new Rule Sets.
 l Rules Set. Default Rule Set is for new rules and included in new Workloads by default.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 347
LogRhythm Confidential
By default, if you have chosen to install an AI Engine Server, one AI Engine is shown on the Servers tab.

The basic administration of the Rules can be found in the AI Engine Rule Manager topic.
Rules can be included in or excluded from a Workload.

Include a Rule Set in a Workload

 1.  On the Workloads tab, under the Rule Sets section select the action check box for the rule set(s) you want.
 2.  On the shortcut menu, click Actions, and then click Include Workload.
The Include Rules Sets window appears.

 3.  Click OK.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 348
LogRhythm Confidential
Exclude a Rule Set from a Workload
 1.  On the Workloads tab, under the Rule Sets section select the action check box for the rule set(s) you want.
 2.  On the shortcut menu, click Actions, and then click Exclude Workload.
The Delete Rules Sets window appears.

 3.  Click OK.

All logs are sent to the AI Engine by default unless one or more Include and/or Log Source filters are specified at the 
Workload or Rule Set level. If include filters are specified, at least one include from the Workload or Rule Set must match.

Add a New Workload

 1.  In the Workloads pane, select New from the shortcut menu.   
The AI Engine Workload Properties window appears.

 2.  On the Include tab, select New, if you want.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 349
LogRhythm Confidential
 o Only four field filters types are permitted in Workloads
 o Classification
 o Log Source Entity
 o Log Source Root Entity
 o Log Source Type
 3.  On the Exclude tab, select New, if you want.
 4.  On the Log Source Criteria tab, select the Log Sources you want. 

 5.  On the Information tab, enter the Workload Name, Brief Description, and Additional Details.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 350
LogRhythm Confidential
Delete a Workload
 1.  Select the Workload you want.
 2.  From the shortcut menu, select Delete.

Note: The Global Workload can not be deleted.

The Delete Workload window appears. 
 3.  If you are you sure you want to delete, click Yes.

Rule Sets
AIE rule sets allow for the gathering of rules into a group (set) as well as for providing a filter to specify which logs will be 
sent to the rule set's workload.
A workload specifies all the AIE rules to be in use by a given AIE server, and is comprised of one or more rule sets. If more 
than one rule set is included in a workload, any log that matches the criteria (filters) specified by at least one of the rule sets 
is forwarded to that workload's server and is evaluated against all rules in all of the workload's rule sets. As an example, if 
Rule Set A filters in only logs from Entity A, and Rule Set B filters in only logs from Entity B, and Workload C on Server C 
includes Rule Sets A and B, all logs coming from Entity A or B will go to Server C and will be evaluated against both Rule 
Sets A and B.
The data segregation option in an AIE rule may be used to ensure that a rule will be triggered only by logs that all have the 
same entity or root entity. 

Create a Rule Set

 1.  From the Workloads tab, right-click in the Rule Sets grid and then click New. 
The AI Engine Rule Set Properties window appears. 

 2.  Click the Include Filters tab. 

 3.  Click New. 
The Log Message Filter window appears. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 351
LogRhythm Confidential
 4.  Select a filter from the Add New Field Filter dropdown list. 
 5.  Click Edt Values and apply the appropriate filters.
 6.  Click OK to save the changes. 
The Log Source Criteria tab appears. 
 7.  Select the Log Source Criteria to be used by this rule set. 
 8.  Click Next.   
The Information tab appears.
 9.  Complete the following fields. 
 l Rule Set Name: - Enter a name for the rule set.
 l Brief Description (Optional) - Enter a brief description for the Rule Set. 
 l Additional Details(Optional) - Enter addition details for the rule set .
 10.  Click OK to save the configuration. 

Delete a Rule Set

 1.  Select the Action check box of the Rule Set(s) to be deleted.
 2.  Right-click in the Rule Set grid, click Action, and then click Delete.
The Delete Rule Set(s) window displays the following message: Are you sure you want to delete the selected Rule 
Set? This action cannot be undone. 
 3.  Click Yes.

LogRhythm deployments support multiple AI Engine servers providing a horizontally scalable deployment architecture for 
very large deployments. Each AIE node can receive all or a subset of processed log data. Each AIE node can be assigned 
a workload that determines which AIE rules it should run. 

Add an AIE Server

To add a new AIE Server, perform the following steps:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 352
LogRhythm Confidential
 1.  From the Servers tab, select New from the shortcut menu.
The AI Engine Server Properties window appears.

 2.  Enter the  AI Engine Server Properties.
 a.  Host
 b.  Name
 c.  Workload (default is Global Workload)
 d.  IPv4 Address
 e.  (Optional) IPv6 Address
 3.  (Optional) Click Advanced.
The AI Engine Server Advanced Properties window appears.
If you want, change a property value and click OK. 

Important: Only make changes to the AI Engine Server Advanced Properties with the assistance of 
LogRhythm Support.

 4.  Click OK.
 5.  Select the Data Processors tab.
 6.  Double-click on the server name or right-click and select Properties from the shortcut menu.
The Data Processor Properties window appears.
 7.  Select the AI Engine tab.
 8.  Click Properties.
The Data Processor to AI Engine Server Advanced Properties window appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 353
LogRhythm Confidential
 9.  Edit the Data Processor to AI Engine Server Advanced Properties.
 a.  Enable communication to this AI Engine Server. Select this option to enable communication to the server. The 
Data Processor will automatically send logs to the Server based on the assigned Workload.
 b.  Client Management Port (Optional). Specify the Sending Port. Management and Data must use distinct ports. 
Default = 0 for a random sending port (recommended).
 c.  Client Data Port (Optional). Specify the Sending Port. Management and Data must use distinct ports. Default = 
0 for random sending port (recommended).
 d.  Client (sending) Address Override(Optional). Select the check box and then enter a valid IPv4 or IPv6 address 
on the Data Processor.
 e.  Server Address/DNS Name Override (Optional). Select the check box enter a valid IPv4 or IPv6 address on the 
AI Engine Server Communication Manager.
 f.  Skip Sending IP Validation (Optional). If this check box is selected, the AIECom Mgr skips the validation check 
on the IP address and Port. As a result, AIE comMgr will start working for environments where the IP address or 
port is not predictable e.g. NAT.
 10.  Click OK.
 11.  Click OK.
 12.  The Restart Component dialog box appears when a setting was modified. A restart is required for changes to take 
effect. Click OK.
 13.  Click OK.

Apply Recommended Values

LogRhythm has recommended configurations for each appliance. The recommended configurations can be applied 
automatically from the AI Engine Server Advanced Properties window. Follow these instructions to apply the 
recommended settings to the AI Engine Server.

Note: You can apply recommended values to any AI Engine server in your deployment, even those 
that have been retired. This may be helpful if you ever need to activate a retired server.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 354
LogRhythm Confidential
 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager.
 2.  Click the AI Engine tab.
 3.  Click  the Server tab at the bottom of the AI Engine tab.
 4.  Double-click the AI Engine server. 
The AI Engine Server Properties window appears. 

 5.  Click the Advanced button. 
The AI Engine Server Advanced Properties window appears.

Note: Rows will be highlighted in orange to indicate any properties that are not currently using 
the recommended value.

 6.  Click the Apply Recommended Values button. 

A warning appears.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 355
LogRhythm Confidential
 7.  To apply the recommended values, click Yes. 

Revert to a Previous Configuration

The Version History feature provides an easy way to apply previous configurations to an appliance.  

 1.  From the AI Engine Server Advanced Properties window, click the Version History button.

The AI Engine Server Audit Version History window appears. 

See the table below for an explanation of the columns in the AI Engine Server Audit Version History window.

Column Name Description

Component Name The IP Address of the component on which the changes were made.
JSON The JSON used to retrieve the information from the previous configuration.
User Name The User Name of the person who made the changes.
Compare With The date and time of configuration was changed.
Revert and Apply A link used to revert to a previous appliance configuration.

 2.  Compare the current configuration to a previous configuration:
Before reverting back to a previous configuration, it can be compared to the current configuration. 

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 356
LogRhythm Confidential
 a.  In the Compare column, click the date-and-time link of a configuration to compare the current one. 
The Compare Version Values window appears. 

The values that differ between the two configurations are highlighted. The Current Value column displays the 
value of the properties as they are currently configured. The Previous Value column displays the value of the 
properties from the previous configuration.
 b.  Click OK to close the window.
 3.  To revert to a previous configuration:
 a.  Click the Revert & Apply this Version link of the configuration to which you want to return.
A Warning appears.

 b.  Click Yes to revert the previous configuration.
A message appears informing you that the AI Engine must be restarted.
 c.  To close the message and restart the AI Engine, click OK. 
 4.  To close the AI Engine Server Advanced Properties window, click OK. 

Network Monitors
Topic Contents
 l Network Monitor Overview
 l Add a Network Monitor
 l Edit a Network Monitor
 l Delete a Network Monitor

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 357
LogRhythm Confidential
Network Monitor Overview
LogRhythm's Network Monitor provides enterprise-wide visibility into all data traversing your network. With its in-depth 
packet capture and multiple recognition methodologies, Network Monitor allows administrators to:

 l Set a baseline for normal network behavior, which helps pinpoint abnormal activity immediately
 l Perform full-session packet capture for advanced forensics
 l Prevent sensitive data loss
 l Detect unauthorized or suspicious application activity
 l Monitor the bandwidth consumption of applications running in the network

Network Monitor can be deployed as a fully integrated component of the LogRhythm SIEM. Together Network Monitor and 
the LogRhythm SIEM provide detailed security analytics across the entire network.

Add a Network Monitor

Before adding a Network Monitor to your LogRhythm deployment, ensure that you have done the following:

 l Obtain the external IP address of the server or appliance where Network Monitor is installed
 l Add the Network Monitor server or appliance as a host under the Entities tab
 l Obtain the API Key for the selected Network Monitor. To get the API Key, ask your Network Monitor administrator, 
or do the following:
 a.  Log in to the Network Monitor Web Interface as the admin user.
 b.  On the main toolbar, click Configuration.
 c.  Click the User tab on the left.
The API Key appears at the top of the page.
 d.  Copy the key. 

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager. 

 2.  Click the Network Monitors tab.
 3.  Right-click in the grid, and then click New.
The Network Monitor Properties dialog appears. 

 4.  In the Name box, type a name for the Network Monitor.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 358
LogRhythm Confidential
 5.  Click the Host icon.
The Host Selector window appears.

 6.  Under Entity Filter, select the root entity where the Network Monitor host was added.
 7.  Use the Text Filter box and Keyword or Regex options to filter the displayed hosts.
 8.  Select the appropriate Network Monitor host from the list, and then click OK.
 9.  In the Management/API Address box, type the external IP address of the Network Monitor.
 10.  In the API Username box, type the login ID of the Network Monitor administrator. The default login is admin.
 11.  In the API Key box, type or paste the Network Monitor API Key.
 12.  Click Test to connect to the Network Monitor  and validate the API address, username, and key.

Note: If the test fails, ensure that you have network connectivity to the IP address and verify 
that you are using the correct username and API key.

 13.  After the connection test is successful, click OK.

Edit a Network Monitor

 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager. 
 2.  Click the Network Monitors tab.
 3.  Double-click the Network Monitor that you want to edit.
The Network Monitor Properties dialog appears. 
 4.  Modify the details of the selected Network Monitor.
 5.  When finished, click OK.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 359
LogRhythm Confidential
Delete a Network Monitor
 1.  Log in to the Client Console as a Global Administrator, and then click Deployment Manager. 
 2.  Click the Network Monitors tab.
 3.  Click the Network Monitor that you want to delete.
 4.  Right-click the selected Network Monitor, and then click Delete.
You are asked to confirm your selection. 
 5.  Click Yes to delete the Network Monitor, or click No to cancel and return to the Network Monitors tab.

System Monitors
Topic Contents
 l System Monitor Overview
 l System Monitor Lite and Pro Agent Licensing
 l Agent Identification and Acceptance
 l Prepare System Monitor Agents
 l Configure a Device or Host for Syslog Collection
 l Configure a Host for NetFlow, IPFIX, or J-Flow Collection
 l Configure a Device or Host for sFlow Collection
 l Configure SNMP Trap Receiver
 l Configure Endpoint Monitoring
 l Configure a Host for Windows Event Log  Collection 
 l Collect Windows Event Logs Remotely
 l Collect Non-Domain Logs Remotely   
 l Unidirectional Windows Agent Support
 l Initiate SmartResponse
 l Bulk Updates with the System Monitor Package Manager

System Monitor Overview

The System Monitor Agent, also called an Agent, is a software component that provides local and remote log data 
collection across various English-based operating systems including Windows and *NIX. See the LogRhythm 
Compatibility and System Monitor Functionality Guide for a complete list of supported operating systems. 
The agent serves as a central log data collector, collecting logs from many devices, servers, databases, and applications, 
performing host activity monitoring and forwarding logs, via authenticated TLC connections, to the Data Processor. It 
consists of the following Windows Service: System Monitor Service. 

Important: Standard and Realtime FIM are included with the System Monitor Lite license for desktop operating 
systems only. Server operating systems require System Monitor Pro. See the Realtime File Integrity Monitor 
(FIM) Support by Operating System table for a list of supported agents.

System Monitor Lite and Pro Agent Licensing

You must license each LogRhythm System Monitor Agent to connect to a Data Processor and forward data. 
LogRhythm provides the following two types of Agent licenses:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 360
LogRhythm Confidential
 l System Monitor Lite
 l System Monitor Pro

When a LogRhythm Agent is registered in the Deployment Manager, it will automatically be assigned a System Monitor 
Pro license, if one is available; otherwise it will assign a System Monitor Lite license.
To view a table that lists Agent functionality by license, see System Monitor Functionality by License: Lite vs. Pro.

Supported Character Sets and Languages

With the exception of flat file collection and Windows Event Logs (see Unicode (Double-Byte) Character Support below), 
LogRhythm only supports ASCII and extended ASCII characters within collected log data.
LogRhythm extended ASCII support is only available for code page 1252 encoding for the following languages:

 l Afrikaans
 l Basque
 l Catalan
 l Danish
 l Dutch
 l English
 l Faroese
 l Finnish
 l French
 l Galician
 l German
 l Icelandic
 l Indonesian
 l Italian
 l Malay
 l Norwegian
 l Portuguese
 l Spanish
 l Swahili
 l Swedish

Important: While LogRhythm does accept non-English log sources, the program is only compatible with English 
operating systems.

Unicode (Double-Byte) Character Support

LogRhythm supports Unicode characters when collected from Windows Event Logs and flat file Log Sources on Windows 
and *NIX. Search for Unicode characters is supported only in raw log and metadata searches against the Data Indexer. 
Currently, Unicode characters are not supported in:

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 361
LogRhythm Confidential
 l Events (PM search)
 l Alarms
 l Lists
 l Web Console search

If you have log message sources that are not flat file sources, and these sources contain Unicode or double-byte 
characters, you can do the following (listed in order of preference to create the least impact when working with such 

 1.  Reconfigure the logging device to create ASCII log messages only.
 2.  Rewrite processing rules so that they only identify text up to the first non-ASCII character.
 3.  Disable the specific rules that process non-ASCII characters.
 4.  Disable all processing for the log source.

Other Information

Duplicate Host Names

Typically, host names are unique within a deployment. However, in some special cases a site requires that its deployment 
use Duplicate Host Names. If so, each host must be defined in a separate entity for it to be identifiable in analysis tools and 
reports. To use duplicate host names, a LogRhythm administrator must first set up the entities, and then configure the 
agent to register with the correct host and entity.
Before you start any agent on a host with a duplicate name, perform these steps:

 1.  Log in to the LogRhythm Client Console with Global Administrator credentials and open the Deployment Manager
 2.  Access the Entities tab and create an entity for each host with a duplicate name. 
This generates a unique EntityID in the LogRhythmEMDB Entity table for each one. Example: if you have two hosts 
named HOSTXYZ, create EntityA which generates EntityID=5 and create EntityB which generates EntityID=6. 
 3.  To obtain the EntityIDs, open the LogRhythmEMDB Entity table or run the following query against the 
select * from Entity
Locate the new entities in the Name column and note each one's EntityID.
 4.  For each host, open the agent configuration file,
C:\Program Files (x86)\LogRhythm\LogRhythm System Monitor\config\scsm.ini  
and add the EntityID parameter to the General section. If there is no General section in file, define it like this: 
 5.  Save the scsm.ini file.
 6.  Start the System Monitor Agent using Windows Services.
 7.  Open the Deployment Manager in the Client Console.
 8.  Access the System Monitors tab.
 9.  Select the new agent.
 10.  Right-click and from the context menu click Actions, then click Register .
 11.  Access the Entities tab in the Deployment Manager.
 12.  Expand the entities and verify the host record appears in the appropriate entity.

Copyright ©  LogRhythm, Inc. –  All rights reserved – 5/18/2017 –  P

  age 362
LogRhythm Confidential
Note: If your deployment uses duplicate host names without following the procedure given 
here, you will encounter a warning message that contains the words ...Failure to identify a
unique host record...

It is useful to run the System Monitor initially with a LogLevel of Verbose to allow you to troubleshoot and tune the System 
Monitor configuration parameters. The two most important parameters to tune are:

 l CycleTime. The minimum time the Agent spends in a processing cycle. If the processing cycle takes longer than 
the CycleTime, the Agent immediately begins the next cycle. If the processing cycle is shorter than the CycleTime, 
the agent sleeps for the remainder of the CycleTime. This property is set in the Agent Advanced Properties window. 
For more information, see Configure System Monitors. Default: 10 seconds.
 l MaxMessageCount. Should be set to a value that keeps up reasonably with the log source(s) being monitored. 
Forwarding log data in small batches with smaller a CycleTime is generally better than sending