Installieren von GFI EventsManager

GFI EventsManager 7.1 

Handbuch 

GFI Software Ltd.

http://www.gfisoftware.de 

E-Mail: info@gfisoftware.de 

Dieses Handbuch wurde von GFI Software Ltd verfasst und 

produziert. Die Informationen in diesem Dokument können ohne 

vorherige Ankündigung geändert werden. In den Beispielen 

verwendete Firmen, Namen und Daten sind, wenn nicht anders 

angegeben, rein fiktiv. Ohne vorherige ausdrückliche und schriftliche 

Zustimmung von GFI Software Ltd. darf das Dokument weder ganz 

noch teilweise in irgendeiner Form, sei es elektronisch oder 

mechanisch, oder zu irgendeinem Zweck reproduziert bzw. 

übertragen werden. 

GFI EventsManager wurde von GFI Software Ltd. entwickelt. 

GFI EventsManager ist von GFI Software Ltd. urheberrechtlich 

geschützt. © 2000-2007 GFI Software Ltd. Alle Rechte vorbehalten. 

Version 7.1 – Letzte Aktualisierung: 12. Juni 2007

Inhaltsverzeichnis 

Einführung 5 

Informationen zu diesem Handbuch ..............................................................................5 

Aufbau des Handbuchs.....................................................................................5 

Über GFI EventsManager ..............................................................................................8 

Hauptmerkmale..............................................................................................................9 

Funktionsweise von GFI EventsManager ....................................................................11 

Die Verwaltungskonsole von GFI EventsManager im Überblick .................................13 

Lizenzierung.................................................................................................................14 

Installieren von GFI EventsManager 15 

Einführung....................................................................................................................15 

Installieren von GFI EventsManager in einem Local Area 

Network (LAN).................................................................................................16 

Installieren von GFI EventsManager in einer Demilitarisierten 

Zone (DMZ).....................................................................................................17 

Systemanforderungen..................................................................................................18 

Aktualisieren einer früheren Version von GFI LANguard S.E.L.M...............................18 

Starten der Installation .................................................................................................18 

Erste Schritte 21 

Einführung....................................................................................................................21 

Erste Schritte: Starten von GFI EventsManager..........................................................24 

Schnellstart-Dialog.......................................................................................................24 

Konfigurieren des Datenbank-Backends .....................................................................25 

Konfigurieren der SQL Server-Einstellungen..................................................26 

Ändern der Einstellungen des Datenbank-Backends ..................................................27 

Konfigurieren des Administratorkontos von GFI EventsManager................................27 

Konfigurieren allgemeiner Optionen für Warnmeldungen............................................30 

Konfigurieren von E-Mail-Warnungen.............................................................32 

Konfigurieren von Netzwerkwarnungen..........................................................32 

Konfigurieren von SMS-Warnungen ...............................................................33 

Ändern der allgemeinen Optionen für Warnmeldungen ..............................................34 

Erste Schritte: Verarbeiten von Ereignisprotokollen ....................................................35 

Konfigurieren von Ereignisquellen 37 

Einführung....................................................................................................................37 

Hinzufügen neuer Ereignisquellen zu einer Standardgruppe ......................................37 

Konfigurieren der Eigenschaften einer Ereignisquelle.................................................38 

Festlegen allgemeiner Eigenschaften einer Ereignisquelle.........................................39 

Festlegen alternativer Zugangsdaten des Domänenadministrators ............................40 

Konfigurieren der Betriebszeit einer Ereignisquelle.....................................................41 

Festlegen von Parametern für die Ereignisverarbeitung .............................................42 

Konfigurieren von Regeln zur Ereignisverarbeitung 43 

Einführung....................................................................................................................43 

Erfassen und Verarbeiten von Windows-Ereignisprotokollen......................................45 

Konfigurieren benutzerdefinierter Ereignisprotokolle...................................................49 

GFI EventsManager Handbuch 

Inhaltsverzeichnis • i

Erfassen und Verarbeiten von W3C-Protokollen .........................................................50 

Erfassen und Verarbeiten von Syslog-Nachrichten .....................................................51 

Konfigurieren des Syslog-Server-Ports........................................................................54 

Archivieren von Ereignissen ........................................................................................55 

Auswählen von Regeln zur Ereignisverarbeitung ........................................................56 

Konfigurieren von Warnmeldungen und Aktionen 59 

Einführung....................................................................................................................59 

Konfigurieren der Default Classification Actions 

(klassifizierungsabhängige Standardaktionen) ............................................................60 

Konfigurieren von Aktionen für Regeln zur Ereignisverarbeitung................................61 

Der Events Browser 63 

Einführung....................................................................................................................63 

Anzeigen gespeicherter Ereignisprotokolle .................................................................67 

Starten einer Ereignisabfrage ......................................................................................67 

Erstellen eigener Ereignisabfragen..............................................................................68 

Anpassen des Ereignisanzeige-Fensters ....................................................................69 

Farbliches Kennzeichnen von Ereignissen..................................................................71 

Tool zur Ereignissuche ................................................................................................72 

Sichern von Ereignissen ..............................................................................................73 

Wechseln zwischen Datenbanken...............................................................................74 

Löschen aller Ereignisse..............................................................................................74 

Statusüberwachung 75 

Einführung....................................................................................................................75 

Öffnen des Status-Monitors .........................................................................................75 

Ansicht "General".........................................................................................................76 

Ansicht "Job Activity"....................................................................................................79 

Ansicht "Statistics" .......................................................................................................82 

Das Modul Database Operations 85 

Einführung....................................................................................................................85 

Gründe für die Datenbankwartung...............................................................................85 

Konfigurieren der Datenbankwartung per Database Operations.................................87 

Einrichten einer Wartungsaufgabe...............................................................................89 

Wartungsaufgabe "Move to database" ........................................................................92 

Wartungsaufgabe "Export to file" .................................................................................93 

Wartungsaufgabe "Import from file" .............................................................................95 

Wartungsaufgabe "Delete data"...................................................................................97 

Konfigurieren der Datenfilter-Bedingungen .................................................................98 

Anzeigen geplanter Wartungsaufgaben.....................................................................101 

Bearbeiten einer Wartungsaufgabe ...........................................................................102 

Bearbeiten der Priorität einer Wartungsaufgabe .......................................................103 

Entfernen einer Wartungsaufgabe.............................................................................103 

Anpassen von Regeln zur Ereignisverarbeitung 105 

Einführung..................................................................................................................105 

Erstellen eines neuen Regelsatz-Ordners .................................................................106 

Umbenennen und Löschen von Ordnern...................................................................106 

Erstellen eines neuen Regelsatzes............................................................................106 

Bearbeiten eines Regelsatzes ...................................................................................107 

Löschen eines Regelsatzes .......................................................................................107 

Erstellen einer neuen Regel für Windows-Ereignisprotokolle....................................108 

Erstellen einer neuen Regel für W3C-Protokolle .......................................................111 

Erstellen einer neuen Syslog-Regel...........................................................................114 

Ändern der Regeleigenschaften ................................................................................116 

Inhaltsverzeichnis • ii 

GFI EventsManager Handbuch

Erweiterte Einstellungen zur Ereignisfilterung ...........................................................118 

Bedingungen für Windows-Ereignisse..........................................................118 

Syslogspezifische Kategorien.......................................................................118 

Konfigurieren von Benutzern und Gruppen 119 

Einführung..................................................................................................................119 

Erstellen eines neuen Benutzers ...............................................................................120 

Ändern von Benutzereigenschaften...........................................................................120 

Löschen von Benutzern .............................................................................................120 

Konfigurieren von Gruppen........................................................................................121 

Ändern von Eigenschaften einer Benutzergruppe........................................122 

Löschen von Benutzergruppen.....................................................................122 

Ergänzende Optionen 123 

Befehlszeilen-Tools....................................................................................................123 

Lizenzierung...............................................................................................................126 

Eingeben des Registrierschlüssels nach der Installation .............................126 

Versionsinformationen ...............................................................................................127 

Suchen nach neueren Builds........................................................................127 

Troubleshooting 129 

Einführung..................................................................................................................129 

Knowledge-Base........................................................................................................129 

Support-Anfrage per E-Mail .......................................................................................129 

Support-Anfrage per Web-Chat .................................................................................130 

Support-Anfrage per Telefon .....................................................................................130 

Web-Forum ................................................................................................................130 

Mitteilungen zu neuen Builds .....................................................................................130 

Anhang 1 – SMS-Einstellungen 131 

Globale Einstellungen für Warnungen per SMS/Pager .............................................131 

Integrierter GSM SMS-Server....................................................................................132 

Vorlage für den SMS-Service von GFI FAXmaker ....................................................134 

E-Mail-zu-SMS-Dienst von Clickatell .........................................................................136 

Vorlage für einen standardmäßigen SMS-Service-Provider......................................139 

Anhang 2 – Vorbereiten von Microsoft Windows für GFI EventsManager143 

Einführung..................................................................................................................143 

Aktivieren der Remote-Registrierung.........................................................................144 

Aktivieren der Windows-Sicherheitsüberwachung.....................................................145 

Installieren des Gruppenrichtlinien-Snap-In...............................................................147 

Anhang 3 – Installieren von SQL Server Express 151 

Einführung..................................................................................................................151 

Software-Anforderungen............................................................................................151 

Installieren von SQL Server Express.........................................................................151 

Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart- 

Dialog 157 

Überblick ....................................................................................................................157 

Parameter ..................................................................................................................157 

Teil 1: Konfigurieren des Datenbank-Backends von 

GFI EventsManager...................................................................................................158 

Teil 2: Konfigurieren von Standardoptionen für Warnungen .....................................160 

GFI EventsManager Handbuch 

Inhaltsverzeichnis • iii

Teil 3: Konfigurieren des Administratorkontos von 

GFI EventsManager...................................................................................................161 

Übung 2 – Konfigurieren von Einstellungen zur Ereignisverarbeitung 165 

Überblick ....................................................................................................................165 

Parameter ..................................................................................................................165 

Teil 1: Konfigurieren der Protokollquellen.................................................................167 

Teil 2: Erstellen von neuen Regeln zur Ereignisverarbeitung....................................168 

Abschnitt 1: Erstellen eines neuen Regelordners.........................................168 

Abschnitt 2: Erstellen eines neuen Regelsatzes...........................................169 

Abschnitt 3: Erstellen einer neuen Regel......................................................169 

Teil 3: Konfigurieren von Benutzereigenschaften, Warnungen und 

anderen Aktionen.......................................................................................................173 

Abschnitt 1: Erstellen einer neuen Gruppe für 

Benutzer/Empfänger von Warnungen ..........................................................173 

Abschnitt 2: Hinzufügen eines neuen Empfängers von 

Warnungen....................................................................................................175 

Abschnitt 3: Einrichten von E-Mail-Warnungen für kritische 

Ereignisse .....................................................................................................179 

Übung 3 – Ereignisabfrage und Ereignisfilterung 181 

Überblick ....................................................................................................................181 

Parameter ..................................................................................................................181 

Erstellen einer neuen Ereignisabfrage.......................................................................181 

Verwenden der neuen Ereignisabfrage .....................................................................183 

Übung 4 – Datenbankoperationen 185 

Überblick ....................................................................................................................185 

Parameter ..................................................................................................................185 

Teil 1: Einrichtung des Zeitplans/Intervalls für Wartungsaufgaben ...........................187 

Teil 2: Wartungsaufgabe "Export to file" ....................................................................187 

Teil 3: Wartungsaufgabe "Move to database" ...........................................................192 

Teil 4: Wartungsaufgabe "Delete data"......................................................................196 

Teil 5: Wartungsaufgabe "Import from file" ................................................................200 

Index 205 

Inhaltsverzeichnis • iv 

GFI EventsManager Handbuch

Einführung 

Informationen zu diesem Handbuch 

Aufbau des Handbuchs 

In diesem Handbuch werden alle aufeinander aufbauenden Schritte 

beschrieben, die erforderlich sind, um GFI EventsManager zu 

installieren, einzurichten und zu verwenden. 

• Kapitel 1 präsentiert einen Überblick über die Funktionsweise von 

GFI EventsManager. 

• Kapitel 2 erläutert die Installation von GFI EventsManager. 

• Kapitel 3 befasst sich mit der Festlegung der wichtigsten 

Parameter, die für den ersten Start des Programms erforderlich 

sind. Alle notwendigen Einstellungen werden Schritt für Schritt 

erklärt. 

• Kapitel 4, 5 und 6 helfen Ihnen bei der Konfigurierung 

grundlegender Einstellungen zur Ereignisverarbeitung. Mit den in 

diesen Kapiteln präsentierten Informationen ist es Ihnen möglich: 

• Zu überwachende Ereignisquellen zu bestimmen 

• Die Erfassung und Verarbeitung unterschiedlicher Ereignisprotokolle 

festzulegen 

• Regeln zur Ereignisverarbeitung einzurichten, die auf erfasste 

Protokolle angewendet werden 

• Warnmeldungen und Aktionen für wichtige Ereignisse 

einzurichten 

Hinweis: Mit den Informationen dieser Kapitel besitzen Sie 

ausreichende Kenntnisse, GFI EventsManager anhand der standardmäßigen 

Einstellungen zu betreiben. 

• Kapitel 7 erklärt, wie der integrierte Events Browser zur Analyse 

von Ereignissen zu verwenden ist, die im Datenbank-Backend von 

GFI EventsManager gesichert sind. Erfahren Sie, wie folgende 

Tools und Funktionen des Events Browser eingesetzt werden: 

• Standardmäßige Ereignisprotokoll-Abfragen und der Abfragegenerator 

für benutzerdefinierte Vorgaben 

• Farbliche Hervorhebung unterschiedlicher Ereignisse 

• Tool zur Ereignissuche 

• Kapitel 8 erläutert, wie der Status-Monitor zur Kontrolle des 

Programm-Status sowie zur Darstellung statistischer 

Informationen und verarbeiteter Events verwendet wird. 

• Kapitel 9 führt Sie durch die Erstellung und Anpassung von 

Regeln zur Ereignisverarbeitung. Dieses Kapitel richtet sich an 

GFI EventsManager Handbuch Einführung • 5

erfahrene Anwender, die eigene Verarbeitungsregeln erstellen 

möchten. 

• Kapitel 10 befasst sich mit der Festlegung der Benachrichtigungseinstellungen 

für Warnungen an Systemverantwortliche: 

• Persönliche Angaben der Empfänger, z. B. zur Mobilfunknummer. 

• Normale Arbeitszeit (Kernarbeitszeit) 

• Art der an jeden Empfänger zu verschickenden Warnmeldung 

• Kapitel 11 informiert über verschiedene Kontaktmöglichkeiten bei 

Fragen zur Problembehebung. 

• Anhang 1 hilft bei der Festlegung der Einstellungen den Versand 

von SMS-Warnungen und der Auswahl des SMS-Gateway- 

Providers. 

• Anhang 2 unterstützt Sie bei der Konfigurierung der für 

GFI EventsManager erforderlichen Einstellungen und Dienste von 

Microsoft Windows. 

• Anhang 3 erläutert Schritte zur Installation der Microsoft SQL 

Server 2005 Express Edition. 

• Übungen 1, 2, 3 und 4 helfen Ihnen beim schnellen Einstieg in 


Definitionen der in diesem Handbuch verwendeten Begriffe 

Aktion Schritte, die eingeleitet werden, wenn ein 

protokolliertes Ereignis zuvor festgelegte 

Bedingungen erfüllt. Beispielsweise lassen sich 

Aktionen durchführen, wenn ein Ereignis als 

kritisch eingestuft wurde. Unterstützt werden 

Aktionen wie E-Mail-Warnungen, eine 

Ereignisarchivierung und Ausführung von 

Skripten. 

Warnmeldung/Warnung 

Informieren über den Eintritt eines bestimmten 

Ereignisses. GFI EventsManager kann 

Warnmeldungen per E-Mail, SMS und Netzwerk 

verschicken. 

Archiv 

E-Mail-Warnung 

Ereignisklassifizierung 

Ereignisprotokoll 

Mehrere Ereignisse, die von GFI EventsManager 

im Microsoft SQL Server Datenbank-Backend 

gesichert wurden. 

Per E-Mail verschickte Benachrichtigung, die über 

den Eintritt eines bestimmten Ereignisses 

informiert. Erfordert den Zugriff auf einen aktiven 

E-Mail-Server. 

Ereignisse werden von GFI EventsManager als 

kritisch, hoch, mittel, niedrig oder "Noise" (s. u.) 

eingestuft. 

Enthält Daten zu Ereignissen, die im Netzwerk 

oder auf einem Computer eingetreten sind. 

GFI EventsManager unterstützt 3 verschiedene 

Arten von Ereignisprotokollen: Windows 

Ereignisprotokolle, W3C-Protokolle und Syslog- 

Nachrichten 

6 • Einführung GFI EventsManager Handbuch

Regeln zur Ereignisverarbeitung 

Netzwerk-Warnung 

Noise ("Rauschen") 

Regelsatz-Ordner 

Legen fest, nach welchen Kriterien ein Ereignisprotokoll 

zu überprüfen ist. 

Im Netzwerk verschickte Mitteilungen (auch Net- 

Send-Nachrichten genannt), die über den Eintritt 

eines Ereignisses informieren. Diese Nachrichten 

werden mit Hilfe eines Instant-Messenger- 

System/Protokolls verschickt und über die 

Taskleiste des Empfängers angezeigt. Für 

Netzwerk-Warnungen müssen der Name oder die 

IP-Adresse des empfangenden Computers 

angegeben werden. 

Bezeichnet sich wiederholende Protokolleinträge 

zu ein und demselben Ereignis. 

Enthält einen oder mehrere Regelsätze. 

Regelsatz Zusammenstellung mehrerer Regeln zur 

Ereignisverarbeitung 

SMS-Warnung 

Per SMS verschickte Benachrichtigung, die über 

den Eintritt eines bestimmten Ereignisses 

informieren. SMS-Warnungen können unter 

anderem per Mobiltelefon (mit Modem) und Webbasierten 

E-Mail-to-SMS-Gateways verschickt 

werden. 

Nicht klassifizierte 

Ereignisse 

Ereignisse, die keine der in den Regeln zur 

Ereignisprotokollierung festgelegten Bedingungen 

erfüllen. 

W3C-Protokolle Ein vom World Wide Web Consortium 

entwickeltes allgemeines Protokollformat. W3C- 

Protokolle sind textbasierte Flat-Files, die von 

Webservern, u. a. dem Microsoft Internet 

Information Server (IIS), zur Aufzeichnung Webspezifischer 

Ereignisse verwendet werden. 

Windows- 

Ereignisprotokoll 

Sammlung von Einträgen zu Ereignissen, die auf 

einem Computer mit Windows-Betriebssystem 

eingetreten sind. 


Über GFI EventsManager 

Abbildung 1 – Integration von GFI EventsManager mit jeder bestehenden IT-Infrastruktur 

GFI EventsManager dient der zielgerichteten Verwaltung von 

Ereignisprotokollen und lässt sich in jede bestehende IT-Infrastruktur 

einbinden, um mit der Ereignisverwaltung verbundene Aufgaben im 

gesamten Netzwerk zu automatisieren und vereinfachen. 

GFI EventsManager bietet folgende Leistungsmerkmale: 

• Automatische Erfassung und zentrale Verwaltung von W3C-, 

Syslog- und Windows-Ereignissen, die von Netzwerkgeräten und 

Windows/Linux/Unix-basierten Systemen ausgegeben werden. 

• Archivierung erfasster Ereignisse in einer zentralen SQL- 

Datenbank zwecks Analyse und forensischer Spurensuche. 

• Herausfiltern unerwünschter Ereignisse und Klassifizierung 

wichtiger Ereignisse durch leistungsfähige Standard- oder 

benutzerdefinierbare Regeln zur Ereignisverarbeitung. 

• Automatisierung der Ausgabe von Warnmeldungen und der 

Einleitung von Gegenmaßnahmen bei Ereignissen mit hoher 

Dringlichkeitsstufe, wie die Ausführung von Skripten und Dateien. 

• Überwachung der Netzwerkaktivität und des Status der Scan- 

Engine von GFI EventsManager über eine integrierte Dashboard- 

Anzeige. 

• Analyse von Ereignissen mit einem integrierten Events-Browser 

• Vereinfachte forensische Spurensuche mit Hilfe von 

Spezialwerkzeugen wie dem integrierten Ereignisabfrage- 

Generator, einem Tool zur Ereignissuche und der farblichen 

Hervorhebung unterschiedlicher Ereignisse. 

• Leistungsfähige Verarbeitung von Ereignissen per Hochleistungs- 

Scan-Engine. 

• Erstellung, zeitgesteuerte Ausgabe und E-Mail-Versand von 

Trend-Reports zu Ereignisaktivitäten per GFI EventsManager 

ReportPack, dem im Lieferumfang von GFI EventsManager 

enthaltenen Reporting-Tool. 


Hauptmerkmale 

Erweiterte Ereignisprotokoll-Unterstützung 

GFI EventsManager verarbeitet verschiedene Protokolltypen, darunter 

Windows-Ereignisprotokolle, W3C-Protokolle und Syslog-Nachrichten. 

Diese umfangreiche Unterstützung ermöglicht die Erfassung einer 

großen Auswahl an Daten unterschiedlicher Hardware- und Software- 

Systeme in Unternehmensnetzwerken. 

Regelbasierte Verwaltung von Ereignisprotokollen 

Nutzen Sie vorkonfigurierte Regeln zur Ereignisverarbeitung, mit 

denen Ereignisse unter Berücksichtigung festgelegter Bedingungen 

herausgefiltert und klassifiziert werden. Standardregeln lassen sich 

individuell verändern, zudem ist die Erstellung neuer, auf Ihre Netzwerkinfrastruktur 

zugeschnittener Regeln möglich. 

Scan-Profile für Ereignisprotokolle 

Verwalten Sie Regeln zum Scannen von Ereignisprotokollen mit Hilfe 

von Scan-Profilen. Über ein Scan-Profil können mehrere Regeln zur 

Ereignisprotokoll-Überwachung konfiguriert werden, die auf einen 

einzelnen Computer oder eine Computergruppe angewendet werden. 

Die Vorteile von Scan-Profilen: 

• Sie vereinfachen die Produktadministration, da Regeln zur 

Ereignisverarbeitung zentral angepasst werden können. 

• Es lassen sich verschiedene Regelgruppen erstellen, die sich an 

die Funktion der gescannten Ereignisquellen und die Netzwerkumgebung 

anpassen lassen. Regelgruppen können 

beispielsweise auf die Arbeitsplatzrechner einer einzelnen 

Abteilung abgestimmt werden. 

Granulare Regelkonfigurierung 

Erstellen Sie ein übergreifendes Profil zur Ereignisverarbeitung, das 

für alle Computer gelten soll, und mehrere Spezialprofile, die 

zusätzliche, differenziertere Regeln für einzelne Computer enthalten. 

Verständliche Erklärungen zu Windows-Ereignissen 

Ein großer Nachteil der Ereignisprotokolle von Microsoft Windows ist 

die fehlende Benutzerfreundlichkeit, da Einträge nur schwer zu 

verstehen sind. Aus diesem Grund werden die Protokolle nur von 

wenigen Administratoren zur Kontrolle herangezogen. 

GFI EventsManager vereinfacht die Nutzung von Ereignisprotokollen, 

indem die Ereignisbeschreibungen in eine leicht verständliche 

Sprache übertragen werden. 

Optimierte Event-Scan-Engine 

Mit der leistungsfähigen Event-Scan-Engine von GFI EventsManager 

lassen sich Ereigniskontrollen schneller durchführen. Das modulbasierte 

Konzept der Engine erlaubt es, zusätzliche 

Funktionen/Module hinzuzufügen, ohne Änderungen am Engine-Code 

vorzunehmen. Hierdurch wird mehr Stabilität erzielt, ohne die 

Skalierbarkeit zu beeinträchtigen. 


Automatische Noise-Reduzierung 

Unterwünschte Ereignisdaten (wie "Noise" oder von Hintergrundprozessen 

ausgegebene Ereignisse) werden erkannt und herausgefiltert, 

sodass allein die sicherheitsrelevanten Informationen 

vorliegen. Durch die reduzierte Anzahl der zu analysierenden 

Ereignisse wird auch die forensische Spurensuche erleichtert. 

Optimierte Durchführung von Aktionen in Echtzeit 

Wird ein sicherheitsrelevantes Ereignis festgestellt, können Warnmeldungen 

ausgegeben oder Aktionen durchgeführt werden, 

beispielsweise das Ausführen eines Skripts. Warnungen lassen sich 

auf unterschiedliche Weise an eine oder mehrere Personen 

verschicken: per E-Mail, Netzwerknachricht und SMS-Mitteilung über 

einen E-Mail-to-SMS-Gateway oder -Dienst. Aktionen können 

aufgrund der Ereignisklassifizierung oder von bestimmten 

Bedingungen bei Verarbeitungsregeln ausgelöst werden. 

Fortschrittliche Funktionen zur Ereignisfilterung 

GFI EventsManager bietet zahlreiche Funktionen zur Ereignisfilterung: 

• Vordefinierte Ereignisabfragen plus Abfrage-Generator für 

benutzerdefinierte Suchvorgaben: Mit Hilfe vordefinierter 

Ereignisabfragen können Daten aus Ereignisprotokollen so 

aufbereitet werden, dass nur gewünschte Ereignisse angezeigt 

werden – ohne dabei Einträge aus dem Datenbank-Backend zu 

löschen. Der integrierte Ereignisabfrage-Generator erlaubt das 

Erstellen eigener Suchvorgaben. 

• Farbliche Hervorhebung unterschiedlicher Ereignisse: Lassen 

Sie unterschiedliche Ereignisarten farblich kennzeichnen. Bei der 

Durchsicht von Protokollen werden wichtige Ereignisse leichter 

erkannt. 

• Tool zur Ereignissuche: Durch Angabe von Suchkriterien wie 

dem Ereignistyp lassen sich wichtige Ereignisse schnell auffinden. 

Zentralisierte Ereignisüberwachung und -verwaltung 

Von Unix/Linux/Windows-Systemen, Netzwerkgeräten und Software- 

Anwendungen ausgegebene Ereignisse lassen sich mit einer einzigen 

Benutzerkonsole überwachen und verwalten. 


Funktionsweise von GFI EventsManager 

Abbildung 2 – Arbeitsabläufe von GFI EventsManager 

GFI EventsManager bearbeitet Ereignisse in zwei Phasen: 

• Phase 1: Ereigniserfassung 

• Phase 2: Ereignisverarbeitung 

Nachfolgend werden die Arbeitsabläufe der beiden Phasen 

beschrieben. 

Phase 1: Ereigniserfassung 

Während der Ereigniserfassung ruft GFI EventsManager Protokolle 

von verschiedenen Ereignisquellen ab. Hierfür stehen 2 Engines zur 

Verfügung: Die Event Retrieval Engine und die Event Receiving 

Engine. 

Die Event Retrieval Engine – Diese Engine wird zum Abruf der 

Windows-Ereignisprotokolle und W3C-Protokolle von Ereignisquellen 

im Netzwerk verwendet. Folgende Schritte führt diese Engine 

während der Ereigniserfassung durch: 

1. Anmeldung an der/den Ereignisquelle(n) 


2. Erfassung von Ereignissen dieser Quelle(n) 

3. Übermittlung der Ereignisse an den GFI EventsManager Server. 

4. Abmeldung von der/den Ereignisquelle(n) 

Die Event Retrieval Engine erfasst Ereignisse in bestimmten Zeitabständen, 

die über die Verwaltungskonsole von GFI EventsManager 

konfigurierbar sind. 

Die Event Receiving Engine – Diese Engine fungiert als Syslog- 

Server und überwacht und erfasst Syslog-Ereignisse/Nachrichten, die 

von Syslog-Quellen im Netzwerk verschickt wurden. Im Gegensatz zur 

Event Retrieval Engine empfängt die Event Receiving Engine 

Nachrichten direkt von der Ereignisquelle. Ein Remote-Login vor dem 

Erfassen von Ereignissen ist in diesem Fall nicht erforderlich. Syslog- 

Ereignisse/Nachrichten werden zudem in Echtzeit erfasst, daher 

müssen keine Abruf-Intervalle definiert werden. 

Die Event Receiving Engine überwacht Syslog-Nachrichten auf Port 

514. Diese Einstellung kann jedoch über die Verwaltungskonsole von 

GFI EventsManager geändert werden. 

Phase 2: Ereignisverarbeitung 

Während dieser Phase überprüft GFI EventsManager die erfassten 

Ereignisse mit Hilfe mehrerer Regeln zur Ereignisverarbeitung. Sie 

bewirken, dass 

• erfasste Protokolle analysiert und kontrollierte Ereignisse als 

kritisch, hoch, mittel, niedrig oder "Noise" klassifiziert werden, 

• Ereignisse, die bestimmten Kriterien entsprechen, herausgefiltert 

werden, 

• bei wichtigen Ereignissen Warnmeldungen per E-Mail, SMS und 

Netzwerk verschickt werden, 

• bei wichtigen Ereignissen Aktionen eingeleitet werden, wie die 

Ausführung von exe-Dateien oder Skripten, 

• erfasste Ereignisse im Datenbank-Backend archiviert werden 

(optional). 

GFI EventsManager kann darüber hinaus Ereignisse ohne die 

vorherige Kontrolle durch Regeln archivieren. In diesem Fall erfolgt 

die Archivierung ebenfalls im Rahmen der der Ereignisverarbeitung. 


Die Verwaltungskonsole von GFI EventsManager im Überblick 

Screenshot 1 – Verwaltungskonsole von GFI EventsManager 

Status – Mit Hilfe dieser Option können Sie den Programmstatus 

von GFI EventsManager und statistische Daten zu 

verarbeiteten Protokollen abrufen. 

Configuration – Hierüber können Sie die wichtigsten 

Funktionen zur Ereignisverarbeitung aufrufen und bearbeiten. 

Event Sources – Legen Sie mit Hilfe dieser Option Ereignisquellen 

fest sowie welche Protokolle zu erfassen und welche 

Regeln zur Ereignisverarbeitung anzuwenden sind. 

Event Processing Rules – Mit dieser Option können Sie 

Regeln zur Ereignisverarbeitung erstellen, bearbeiten und 

individuell anpassen. 

Common Tasks – Im linken Fensterbereich können Sie 

zusätzliche Konfigurationsoptionen Manager aufrufen. 

General – Mit dieser Option können Sie nach Produkt- 

Updates suchen sowie Informationen zur Produktversion und 

Lizenzierung abrufen. 

Events Browser – Mit dieser Option können Sie die im 

Datenbank-Backend von GFI EventsManager gespeicherten 

Ereignisse aufrufen und analysieren. 

Options – Mit dieser Option können Sie allgemeine 

Einstellungen vornehmen, z. B. zum Datenbank-Backend und 

zu Warnungen. 

In dieser Symbolleiste werden die wichtigsten Konfigurationsoptionen 

von GFI EventsManager angezeigt. 

In dieser Symbolleiste sind weitere Konfigurationsoptionen 

aufgeführt, die nach Mausklick auf die Optionen der darüber 

liegenden Leiste zugänglich sind. 


Im rechten Fensterbereich können Details zu konfigurierten 

Ereignisquellen, Regeln zur Ereignisverarbeitung, 

archivierten Ereignissen, Lizenzdaten und Angaben zur 

Produktversion angezeigt werden. 

Lizenzierung 

Funktion: Evaluation Abgelaufen Lizenziert. 

Windows-Ereignisprotokolle 

Syslog Optionales Add-on 

W3C-Protokolle Optionales Add-on 

Datenbank-Vorgänge: 

• Verschieben von 

Ereignissen in 

Datenbank 

• Löschen von 

Ereignisdaten 

• Exportieren von 

Ereignissen in Datei 

• Importieren von 

Ereignissen aus Datei 

 

 

 

 

 

 

Optionales 

Add-on 

Basis-ReportPack 

Lizenzierungsoptionen von GFI EventsManager 

Wie in der obigen Übersicht dargestellt, stehen für 

GFI EventsManager unterschiedliche Lizenzierungsmöglichkeiten zur 

Verfügung. 

Während der Evaluierung des Produkts stehen alle Leistungsmerkmale 

zur Verfügung. Sie können die Software standardmäßig 10 

Tage lang testen. Durch Eingabe eines 30-Tage-Registrierschlüssels 

lässt sich die Evaluierungsdauer auf insgesamt 30 Tage verlängern. 

Dieser Registrierschlüssel an die E-Mail-Adresse geschickt, die Sie 

vor dem Download von GFI EventsManager auf der GFI-Website 

angegeben haben. Um GFI EventsManager nach Ablauf der Evaluierungsfrist 

weiter nutzen zu können, müssen Sie einen Registrierschlüssel 

erwerben. Zur dauerhaften Verwendung des Produkts ist 

lediglich der neue Registrierschlüssel einzugeben, eine De- und Neuinstallation 

des Produkts ist nicht erforderlich. 

Bei Kauf der einfachen Lizenz von GFI EventsManager stehen Ihnen 

alle Funktionen zur Verfügung, die in der obigen Tabelle mit einem 

gekennzeichnet sind. Durch den Kauf eines erweiterten Registrierschlüssels 

lassen sich zusätzliche Funktionen in GFI EventsManager 

freischalten. 

Hinweis: Zur Verwendung von GFI EventsManager ist immer nur ein 

Registrierschlüssel erforderlich. Der Umfang der nutzbaren 

Funktionen richtet sich nach dem von Ihnen erworbenen Schlüsseltyp. 

} 


Installieren von GFI EventsManager 

Einführung 

Wo kann GFI EventsManager im Netzwerk installiert 

werden 

GFI EventsManager kann ungeachtet des Standorts auf allen 

Computern im Netzwerk installiert werden, die die Systemvoraussetzungen 

erfüllen. 

Mit GFI EventsManager lassen sich Ereignisse verwalten, die erzeugt 

worden sind auf 

• dem eigentlichen Installationsrechner, 

• auf allen Computern, auf die der Installationsrechner zugreifen 

kann. 

Abbildung 3 – Installationsmöglichkeiten von GFI EventsManager 

GFI EventsManager lässt sich wie folgt installieren: 

Innerhalb des Netzwerks, um die Aktivitäten interner Server und 

Workstations/Endpunkte zu überwachen. 

In der DMZ, um auf Ihren Servern erzeugte Ereignisse zu überwachen 

und zu verwalten 

GFI EventsManager Handbuch Installieren von GFI EventsManager • 15

Installieren von GFI EventsManager in einem Local Area 

Network (LAN) 

GFI EventsManager kann in Windows-basierten Netzwerken und 

gemischten Umgebungen mit Linux- und UNIX-Systemen installiert 

werden. 

Abbildung 4 – Installation von GFI EventsManager in einem LAN 

Bei der LAN-Installation von GFI EventsManager lassen sich 

Windows-Ereignisse, W3C-Protokolle und Syslog-Nachrichten 

verwalten, die von mit dem LAN verbundener Hard- oder Software 

ausgegeben werden, darunter: 

• Workstations und Server (z. B. Apache Webserver) 

• Netzwerk-Hardware (z. B. Cisco PIX-Firewalls) 

• Software von Drittanbietern 

• spezielle Dienste (z. B. Microsoft Internet Information Server, IIS) 

• Telefonanlagen, schlüssellose Zugangskontrollen, Intrusion- 

Detection-Systeme (IDS) u. v. m. 

Bei einer LAN-Installation lässt sich GFI EventsManager zudem zum 

Erfassen von Ereignissen verwenden, die von Hard- und Software in 

einer demilitarisierten Zone (DMZ) stammen. Hierfür sind jedoch 

folgende Voraussetzungen zu erfüllen, da die DMZ für gewöhnlich 

durch eine Firewall oder einen Router geschützt wird: 

1. Die von GFI EventsManager verwendeten Ports dürfen nicht von 

der Firewall blockiert werden. Weitere Informationen hierzu erhalten 

Sie in folgendem Knowledge-Base-Artikel von GFI: 

http://kbase.gfi.com/showarticle.aspid=KBID002770. 

2. GFI EventsManager muss administrative Zugriffsrechte für die in 

der DMZ laufenden Computer besitzen. 

16 • Installieren von GFI EventsManager GFI EventsManager Handbuch

Installieren von GFI EventsManager in einer 

Demilitarisierten Zone (DMZ) 

Abbildung 5 – Zwischen dem internen LAN und dem Internet eingerichtete DMZ 

GFI EventsManager lässt sich auch in einer Demilitarisierten Zone 

(DMZ) installieren. Dieses neutrale Netzwerk befindet sich zwischen 

dem internen Unternehmensnetzwerk (LAN) und externen Netzen wie 

dem Internet. Bei dieser Installationsvariante lässt sich die Verwaltung 

von Ereignissen, die von in der DMZ eingerichteten Hardware und 

Software erzeugt werden, ebenfalls automatisieren. 

Automatisieren der Verwaltung von Web- und E-Mail-Server- 

Ereignissen 

DMZ-Netzwerke werden üblicherweise für Hardware und Software 

eingerichtet, die mit dem Internet kommuniziert, z. B. HTTP-, FTPund 

E-Mail-Server. 

GFI EventsManager unterstützt die automatische Verwaltung von 

Ereignissen folgender Server: 

• Mit Linux/Unix betriebene Webserver, inklusive der Ereignisse aus 

W3C-Protokollen von Apache Webservern auf LAMP-Web- 

Plattformen 

• Windows-basierte Webserver inklusive der von Microsoft Internet 

Information Services (IIS) erzeugten W3C-Protokolle 

• Auf Linux/Unix und Windows basierende E-Mail-Server, darin 

eingeschlossen die von Sun Solaris Version 9 und höher erstellten 

Syslog "Auditing Services"-Nachrichten. 

Automatisieren der Verwaltung von DNS-Server-Ereignissen 

Öffentliche DNS-Server werden häufig in der DMZ betrieben. 

GFI EventsManager kann die Ereignisse dieser Server automatisch 

erfassen und verarbeiten, darunter auch solche aus Protokollen von 

Windows DNS-Servern. 

Automatisieren der Verwaltung von Netzwerkgeräte-Ereignissen 

Sehr häufig sind in einer DMZ auch Router und Firewalls zu finden. 

Router und Firewalls (z. B. Router der Cisco IOS-Serie) schützen zum 

Einen das interne Netzwerk und stellen zum Anderen besondere 

Funktionen wie die Port Address Translation (PAT) bereit, mit der sich 

die Systemleistung steigern lässt. 

Wird GFI EventsManager in der DMZ installiert, können von dieser 

Hardware ausgegebene Ereignisse ebenfalls erfasst werden. 

Beispielsweise kann die GFI-Lösung als Syslog-Server fungieren und 

von Cisco IOS-Routern ausgegebene Nachrichten in Echtzeit 

erfassen. 


Systemanforderungen 

Hardware-Anforderungen der Installationscomputer 

• Prozessor: 2 GHz oder mehr. 

• RAM: 512 MB. 

• Festplattenspeicher: 1,5 GB freier Speicher. 

• Weitere Anforderungen: Tastatur und Maus oder kompatible 

Eingabe- und Zeigegeräte. 

Software-Anforderungen der Installationscomputer 

• .NET Framework 2.0. 

• Microsoft Data Access Components (MDAC) 2.8 oder später. 

• Zugriff auf MSDE/SQL Server 2000 oder später. 

Software-Anforderungen der zu überprüfenden Computer 

• Zur Kontrolle der Windows-Ereignisprotokolle: 

• Aktivierte Remote-Registrierung. Weitere Informationen hierzu 

erhalten Sie in Anhang 2 dieses Handbuchs. 

• Aktivierte Überwachung von Sicherheitsereignissen unter 

Microsoft Windows. Weitere Informationen hierzu erhalten Sie 

in Anhang 2 dieses Handbuchs. 

• Zur Kontrolle der W3C-Protokolle: Quellverzeichnisse müssen 

über Windows-Freigaben zugänglich sein. 

• Zum Scannen von Syslogs: Absender/Quellen von Syslog- 

Nachrichten müssen für den Versand der Mitteilungen an den GFI 

EventsManager-Computer konfiguriert werden. 

Aktualisiere n einer früheren Version von GFI LANguard S.E.L.M. 

Aufgrund wesentlicher technologischer Änderungen ist ein Programm- 

Update von GFI LANguard Security Event Log Monitor (S.E.L.M.) auf 

GFI EventsManager 7.X nicht möglich. 

Hinweis: GFI LANguard S.E.L.M. kann auf demselben Computer 

betrieben werden, auf dem GFI EventsManager installiert ist. 

Programmkonflikte treten nicht auf. 

Starten der Installation 

Bei der Installation von GFI EventsManager werden Sie von einem 

Assistenten unterstützt. So starten Sie die Installation: 

1. Schließen Sie alle geöffneten Anwendungen, und melden Sie sich 

über ein Benutzerkonto mit lokalen administrativen Zugriffsrechten am 

Computer an, auf dem das Produkt installiert werden soll. 

2. Doppelklicken Sie auf die Installationsdatei EventsManager7.exe. 

3. Klicken Sie im angezeigten Willkommen-Bildschirm auf die 

Schaltfläche Weiter, um mit der Installation zu beginnen. 

4. Lesen Sie die Lizenzvereinbarung. Wählen Sie die Option I accept 

the licensing agreement aus, und klicken Sie auf die Schaltfläche 

Next. 


Screenshot 2 – Angaben zum Benutzer und Registrierschlüssel 

5. Geben Sie Ihren Namen, den Namen Ihres Unternehmens und den 

Registrierschlüssel ein. Wenn Sie das Produkt zu Testzwecken ein- 

setzen, ändern Sie den vorgegebenen Eintrag „Evaluation“ bitte nicht. 

Klicken Sie auf die Schaltfläche Next. 

Screenshot 3 – Angabe von Zugangsdaten 

6. GFI EventsManager muss unter einem Konto mit administrativen 

Zugriffsrechten für die Domäne laufen. Geben Sie den Benutzernamen 

und das Passwort des Domänenadministrator-Kontos ein, und 

klicken Sie auf die Schaltfläche Next. 

7. Falls erforderlich, ändern Sie den vorgegebenen Installationspfad, 

und klicken Sie auf die Schaltfläche Next. 


Screenshot 4- Auswahl des Modus für Zeichensatz und Sonderzeichen 

8. Legen Sie fest, welchen Zeichensatz GFI EventsManager 

verwenden soll, ANSI oder Unicode. Klicken Sie auf die Schaltfläche 

Install, um mit der Installation zu begonnen. 

9. Klicken Sie nach Abschluss des Installationsvorgangs auf die 

Schaltfläche Finish, um die Installation abzuschließen. 


Erste Schritte 

Einführung 

Was ist ein Computerprotokoll 

Ein Computerprotokoll besteht aus einer Sammlung von Ereigniseinträgen, 

über die sich der Verlauf von Aktivitäten in einem Netzwerk 

oder auf einem Computersystem überprüfen lässt ("Audit-Trail"). 

Computerprotokolle werden vielfach gezielt für forensische Sicherheitsanalysen 

archiviert, da mit ihrer Hilfe Prozesse detailliert 

nachvollzogen werden können. Als Format werden Binärdateien, wie 

bei Windows-Protokollen, oder Textdateien, wie bei Syslog- 

Nachrichten oder W3C-Protokollen, verwendet. 

Was ist ein Ereignis 

Ein Ereignis ist ein Protokolleintrag mit Informationen zu einem 

Vorkommnis oder einer Zustandsveränderung in einem Computersystem 

oder Netzwerk. Mit aufgeführt sind Details zu Datum und 

Uhrzeit des Ereigniseintritts und eine kurze Beschreibung. Ereignisse 

werden zur vereinfachten Suche und digitalen Spurensuche oft in 

chronologischer Reihenfolge gespeichert. 

Was sind Windows-Ereignisprotokolle 

Windows-Ereignisprotokolle enthalten systematische Einträge zu 

Ereignissen, die auf Rechnern oder Netzwerken mit Windows- 

Betriebssystemen eingetreten sind. Systeme mit Windows 

2000/XP/2003 zeichnen Ereignisse in drei vorgegebenen Ereignisprotokollen 

auf: 

• Anwendungsprotokoll 

• Sicherheitsprotokoll 

• Systemprotokoll 

Computer mit besonderen Aufgaben im Netzwerk, beispielsweise 

Domänen-Controller und DNS-Server, protokollieren Ereignisse in 

zusätzlichen Standardprotokollen: 

• Verzeichnisdienstprotokoll 

• Dateireplikationsdienst-Protokoll 

• DNS-Server-Protokoll 

Windows-Ereignisprotokolle informieren über folgende Arten von 

Ereignissen: 

Fehler – Fehlerereignisse weisen darauf hin, dass ein bedeutendes 

Problem wie Daten- oder Funktionalitätsverlust aufgetreten ist. 

GFI EventsManager Handbuch Erste Schritte • 21

Beispielsweise wird ein beim Computerstart nicht geladener Treiber 

oder Dienst als Fehler protokolliert. 

Warnung – Ein solches Ereignis muss keine aktuelle Bedeutung 

haben, könnte jedoch auf ein zukünftiges Problem hindeuten. 

Beispielsweise wird eine Warnung protokolliert, wenn der Festplattenspeicher 

zu Neige geht. 

Information – Ein Ereignis, das die erfolgreiche Ausführung einer 

Anwendung, eines Treibers oder eines Diensts beschreibt. Beispielsweise 

wird beim erfolgreichen Laden eines Netzwerktreibers ein 

Ereignis der Kategorie "Information" protokolliert. 

Erfolgsüberwachung – Dieses Ereignis zeigt an, dass ein 

überwachtes Sicherheitsereignis erfolgreich abgeschlossen wurde. 

Beispielsweise wird bei einer erfolgreichen Anmeldung an einem 

Windows-Computer ein Erfolgsüberwachungs-Ereignis protokolliert. 

Fehlversuchüberwachung – Dieses Ereignis zeigt an, dass ein 

überwachtes Sicherheitsereignis nicht erfolgreich abgeschlossen 

wurde. Ein Fehlversuch-Ereignis wird beispielsweise protokolliert, 

wenn einem Benutzer kein Zugriff auf ein Netzwerklaufwerk möglich 

war. 

Der nachfolgende Screenshot zeigt einen gängigen Eintrag im 

Windows-Ereignisprotokoll. 

Screenshot 5 – DNS-Server-Protokoll 

22 • Erste Schritte GFI EventsManager Handbuch

Was sind W3C-Protokolle 

W3C-Protokolle werden vorrangig von Webservern zur Protokollierung 

Web-spezifischer Ereignisse verwendet. W3C-Protokolle 

werden unter Verwendung einer der beiden folgenden Formate in 

textbasierten Flat-Files geführt: 

• W3C Common Log File Format 

• W3C Extended Log File Format 

Das W3C Common Log File Format wurde als Erstes der beiden 

Formate veröffentlicht und hat als Standardformat vieler gängiger 

Webserver, darunter Apache, immer noch Bestand. Dieses Format 

besitzt jedoch den Nachteil, dass die Auswahl an Daten, die für 

Transaktionen des Servers protokolliert werden, sehr eingeschränkt 

ist. Beispielsweise werden wichtige Informationen zu Referrer, Agent, 

Übertragungszeit, Domänenname oder Cookies nicht berücksichtigt. 

Abhilfe schafft das neuere, im anpassbaren ASCII-Format vorliegende 

W3C Extended Log File Format, mit dem sich weitaus mehr 

Informkationen erfassen lassen. Das W3C Extended Log File Format 

wird beispielsweise standardmäßig von den Microsoft Internet 

Information Services (IIS) verwendet. 

Folgendes Beispiel zeigt einen gängigen Eintrag im W3C Extended 

Log File Format: 

#Version: 1.0 

#Date: 04-Sep-1996 00:00:00 

#Fields: time cs-method cs-uri 

00:34:23 GET /WebSRV/Pg_Snippet.html 

12:21:16 GET /WebSRV/ Button_pg.html 

12:45:52 GET /WebSRV/ Login_Pg.html 

12:57:34 GET /WebSRV/ Error_msg.html 

Was ist Syslog 

Syslog ist ein De-facto-Standard zur Protokollierung von Meldungen 

wie Systemereignissen in einem IP-Rechnernetz. Er dient üblicherweise 

der Protokollierung von Ereignissen auf Unix- oder Linux- 

Computern oder Netzwerkgeräten wie Cisco-Routern und der Cisco 

PIX-Firewall. Tritt ein Ereignis ein, wird dieses nicht direkt von einer 

Anwendung auf dem Computer aufgezeichnet, sondern vom Rechner 

per kurze Textnachricht (Syslog-Nachricht) an einen dedizierten 

Syslog-Server geschickt. Der Server sichert die Meldung in einer 

Protokolldatei. Syslog-Nachrichten werden unverschlüsselt im Klartext 

verschickt; zur Sicherung der Nachrichten kann jedoch SSL eingesetzt 

werden. 

Syslog kommt häufig bei der Verwaltung von Computersystemen und 

Sicherheits-Audits zum Einsatz. Trotz einiger Schwachstellen hat es 

den Vorteil, von einer Vielzahl an Geräten unterstützt zu werden. Mit 

Hilfe des Syslog-Servers zur übergreifenden Erfassung lassen sich 

Protokolldaten vieler unterschiedlicher Systeme in einem zentralen 

Verzeichnis vereinen. 

Für die Sicherung von Syslog-Nachrichten/Ereignissen in Protokolldateien 

ist wiederum der Syslog-Daemon zuständig. Eine Syslog- 

Nachricht besteht aus zwei Hauptkomponenten: 


1. Der Kopfzeile ("Header") mit Datum/Uhrzeit und IP-Adresse oder 

Computername des Absenderrechners. 

2. Die Mitteilung ("Message") mit Informationen zum Namen des 

zugehörigen Programms oder Untersystems und der eigentlichen 

Nachricht, durch einen Doppelpunkt getrennt. 

Eine Syslog-Nachricht kann wie folgt aussehen: 

Sep 4 10:10:10 10.245.2.11 foo[421]: this is a 

message from WebSRV 

Erste Schritte: Starten von GFI EventsManager 

Schnellstart-Dialog 

Sämtliche Konfigurationseinstellungen zu GFI EventsManager 

erfolgen über die Verwaltungskonsole des Programms. So öffnen Sie 

die Verwaltungskonsole: Gehen Sie auf Start Programme GFI 

EventsManager 7 Management Console. 

Screenshot 6 – Schnellstart-Dialog 

Bei ersten Aufruf der Verwaltungskonsole nach der Produktinstallation 

wird der Schnellstart-Dialog geöffnet. Dieser unterstützt Sie bei der 

Konfigurierung der wichtigsten Einstellungen vor der Inbetriebnahme 

von GFI EventsManager. 


Folgende Parameter sind beim ersten Aufruf des Programms 

festzulegen: 

Datenbank-Backend: 

Geben Sie den Namen/die IP-Adresse des SQL-Servers 

und Informationen zum Datenbank-Backend für die 

Ereignisarchivierung an. 

Daten des Administratorkontos von 

GFI EventsManager: 

Geben Sie die E-Mail-Adresse und Mobilfunknummer des 

Administrators sowie den Namen/die IP-Adresse des 

Computers an, an den Warnungen zu schicken sind. 

Allgemeine Warnungen: 

Geben Sie Daten des SMTP-Servers und SMS- 

Gateways/Service-Providers für E-Mail-/SMS-Warnungen 

an. 

Der Schnellstart-Dialog bietet Direkt-Links zu den entsprechenden 

Konfigurationsmenüs, damit alle erforderlichen Einstellungen schnell 

vorgenommen werden können. 

Konfigurieren des Datenbank-Backends 

Über die Notwendigkeit der Protokollarchivierung 

Für alle Umgebungen, in denen es auf die Einhaltung von Gesetzen 

wie Sarbanes-Oxley (SOX), dem Health Insurance Portabilty and 

Accountability Act (HIPAA) und anderen Richtlinien zum Schutz und 

zur revisionssicheren Aufbewahrung von Daten ankommt, ist die 

Ereignisarchivierung von großer Bedeutung. Unternehmen sind 

verpflichtet, zentrale und geschützte Archive mit im Ursprungszustand 

belassenen Protokolldaten anzulegen, die von den zur Echtzeit- 

Analyse verwendeten Daten getrennt sein müssen. 

GFI EventsManager erlaubt es Ihnen, sowohl verarbeitete als auch 

unverarbeitete Ereignisse per Microsoft SQL Server Datenbank- 

Backend zu archivieren. Neben der leichteren Einhaltung gesetzlicher 

Vorschriften bestehen weitere Vorteile: 

• Ereignisse lassen sich zur detaillierten Analyse von Aktivitäten und 

zur Berichterstellung heranziehen. 

• Ereignisse können nach verschiedenen Kriterien gefiltert werden 

(bei verarbeiteten Protokollen) 

• Unveränderte Protokolldaten lassen sich für den Notfall per 

Backup sichern. 

Das Datenbank-Backend lässt sich zudem automatisch sichern. Eine 

Kopie der originalen Protokolldaten kann von den Daten für die 

Echtzeit-Analyse getrennt gesichert werden. Backups des Datenbank- 

Backends lassen sich zudem manuell durchführen. Weitere 

Informationen hierzu erhalten Sie im Kapitel "Protokoll-Browser" unter 

"Sichern von Ereignissen". 


Screenshot 7 – Schnellstart-Dialog – Link zur Konfiguration des Datenbank-Backends 

Um das Datenbank-Backend für die erste Verwendung zu 

konfigurieren, klicken Sie auf den entsprechenden Link im Schnellstart-Dialog. 

Hierdurch wird der Dialog für die Datenbankoptionen 

geöffnet. Weitere Informationen zur Konfigurierung dieser Option 

erhalten Sie mit den folgenden Anweisungen. 

Konfigurieren der SQL Server-Einstellungen 

Screenshot 8 – Datenbank-Optionen, Reiter zur Änderung der Datenbank 

So legen Sie die Einstellungen des SQL-Servers und Datenbank- 

Backends fest: 

1. Geben Sie den Namen/die IP-Adresse Ihres SQL-Servers an. 

2. Geben Sie den Namen des Datenbank-Backends an (z. B. 

EventsManagerDB). 

3. Wählen Sie die für die Verbindung mit dem SQL-Server 

gewünschte Authentifizierungsmethode aus. Bei Auswahl der SQL- 

Authentifizierung muss ein Benutzername und Passwort angegeben 

werden. 

4. Klicken Sie auf den Reiter Maintenance, um Wartungsoptionen 

für das Datenbank-Backend zu konfigurieren. Weitere Informationen 

zur Wartungseinstellungen erhalten Sie nachfolgend unter "Warten 

des Datenbank-Backends". 


5. Schließen Sie die Einrichtung der Konfigurationseinstellungen ab, 

indem Sie auf die Schaltfläche OK klicken. 

Ändern der Einstellungen des Datenbank-Backends 

Screenshot 9 – Konfigurierung der Datenbankoptionen 

Einstellungen zur Datenbank-Wartung können jederzeit wie folgt 

geändert werden: 

1. Klicken Sie in der Symbolleiste der Verwaltungskonsole von GFI 

EventsManager auf die Option Configuration. 

2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options. 

3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf 

den Knoten Database Options, und wählen Sie Edit database 

options … 

4. Konfigurieren Sie die Parameter wie oben beschrieben. 

Konfigurieren des Administratorkontos von GFI EventsManager 

Werden ausgewählte Ereignisse festgestellt, schickt 

GFI EventsManager automatisch eine Warnmeldung per E-Mail, Netzwerk 

oder SMS an festgelegte Empfänger, z. B. Administratoren. Zum 

korrekten Versand von Warnungen müssen für alle Empfänger 

Kontaktinformationen angegeben werden. 

Mehrere benutzerdefinierte Empfänger lassen sich auch in Gruppen 

einteilen, um die Durchführung von Verwaltungsaufgaben zu 

beschleunigen. Das Konto "EventsManagerAdministrator" wird von 

GFI EventsManager automatisch eingerichtet. Zusätzlich müssen 

jedoch Angaben wie die E-Mail-Adresse und Mobilfunknummer des 

GFI EventsManager-Administrators festgelegt werden. Folgende 

Einstellungen sind definierbar: 


• Kontaktdaten wie E-Mail-Adresse und Telefonnummer 

• Normale Arbeitszeit (Kernarbeitszeit) 

• Art der während und außerhalb der Kernarbeitszeit zu 

verschickenden Warnmeldung 

• Benachrichtigungsgruppe, zu der der Benutzer gehört 

Screenshot 10 – Schnellstart-Dialog – Link zu Einstellungen des Administratorkontos 

Um das Konto "EventsManagerAdministrator" für die erste 

Verwendung zu konfigurieren, klicken Sie auf den entsprechenden 

Link im Schnellstart-Dialog. 

Screenshot 11 – Eigenschaften des Administratorkontos "EventsManagerAdministrator" 

Der Eigenschaften-Dialog für das Administratorkonto wird geöffnet. So 

legen Sie die Kontoeinstellungen fest: 

1. Geben Sie Kontaktdaten wie die E-Mail-Adresse und 

Mobilfunknummer an, sofern erforderlich. 

2. Geben Sie alle Computer an, an die Netzwerk-Warnungen 

geschickt werden sollen. 

3. Gehen Sie auf den Reiter Working Hours. 


Screenshot 12 – Festlegen der typischen Arbeitszeit eines Empfängers von Warnungen 

4. Geben Sie die typische Arbeitszeit des Administrators/Benutzers 

an. 

Screenshot 13 – Auswahl des Warnungstyps während/außerhalb der Kernarbeitszeit 


5. Gehen Sie auf den Reiter Alerts, und wählen Sie die Art der 

Warnmeldung aus, die während und außerhalb der typischen 

Arbeitszeit verschickt werden soll. 

Screenshot 14 – Zugehörigkeit eines Benutzers zu einer Benachrichtigungsgruppe 

6. Klicken Sie auf den Reiter Member Of, und wählen Sie die 

Benachrichtigungsgruppe aus, zu der der Benutzer gehört. 

Administratoren sind standardmäßig Mitglied der Benachrichtigungsgruppe 

"EventsManagerAdministrator". 

7. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu 

speichern. 

Änderungen an den Eigenschaften des Administratorkontos können 

jederzeit vorgenommen werden. Weitere Informationen hierzu 

erhalten Sie im Kapitel "Konfigurieren von Benutzern und Gruppen". 

Konfigurieren allgemeiner Optionen für Warnmeldungen 

Werden bestimmte Ereignisse festgestellt, verschickt 

GFI EventsManager automatisch eine Warnmeldung per E-Mail, 

Netzwerk oder SMS. Für den Versand der einzelnen Arten von 

Warnmeldungen müssen auf das Netzwerk abgestimmte Parameter 

festgelegt werden. Beispielsweise ist für die Übermittlung von E-Mail- 

Warnungen anzugeben, welcher SMTP-Server zu verwenden ist. 

Screenshot 15 – Schnellstart-Dialog – Link zu Standardoptionen für Warnmeldungen 


Um die Warnungsparameter erstmalig zu konfigurieren, klicken Sie im 

Schnellstart-Dialog auf den Link Configure Alerting Options. 

Screenshot 16 – Optionen für Warnmitteilungen 

Hierdurch wird das Dialogfeld Alerting Options geöffnet. Die 

Standardeinstellungen für Warnungen per E-Mail, Netzwerk und SMS 

sind über die jeweiligen Reiter dieses Dialogs festzulegen. Weitere 

Informationen zur Konfigurierung dieser Einstellungen erhalten Sie 

nachfolgend. 


Konfigurieren von E-Mail-Warnungen 

Screenshot 17 – Eigenschaften des E-Mail-Servers 

So legen Sie die Einstellungen für E-Mail-Warnungen fest: 

1. Klicken Sie unter dem standardmäßig geöffneten Reiter Email auf 

die Schaltfläche Add, um die neuen Parameter einzugeben. 

2. Geben Sie den Namen/die IP-Adresse Ihres E-Mail-Servers an. 

Sofern erforderlich, geben Sie die Zugangsdaten zur Authentifizierung 

gegenüber dem E-Mail-Server an. 

3. Geben Sie die E-Mail-Adresse und den Anzeigenamen für zu 

verschickende E-Mail-Warnungen an. 


speichern. 

5. Der per E-Mail verschickte Mitteilungstext lässt sich per Klick auf 

die Schaltfläche Format Email Message... anpassen. 

6. Sofern erforderlich, klicken Sie danach auf die Reiter Network oder 

SMS, um die zugehörigen Einstellungen vorzunehmen. 


speichern. 

Konfigurieren von Netzwerkwarnungen 

Für Netzwerkwarnungen sind über diesen Dialog keine gesonderten 

Einstellungen vorzunehmen. Der per Netzwerkwarnung verschickte 

Mitteilungstext lässt sich jedoch per Klick auf die Schaltfläche Format 

network message… ändern. 


Konfigurieren von SMS-Warnungen 

Screenshot 18 – Optionen für Warnmitteilungen – SMS-Einstellungen 

Für den Versand von SMS-Warnungen stehen verschiedene Möglichkeiten 

bereit. Zum einen der SMS-Gateway von GFI FAXmaker, 

zum anderen der E-Mail-zu-SMS-Gateway als Webservice von 

Clickatell. So legen Sie fest auf welche Art SMS-Warnungen 

verschickt werden sollen: 

1. Wählen Sie aus der Drop-Down-Liste Select SMS die gewünschte 

Versandmethode für SMS-Warnungen aus. 

2. Markieren Sie in der Spalte Property den anzupassenden Eintrag, 

und klicken Sie auf die Schaltfläche Edit… Weitere Informationen zu 

Einstellungsmöglichkeiten der SMS-Parameter erhalten Sie im 

Anhang 1 "SMS-Einstellungen" dieses Handbuchs. 

3. Führen Sie Änderungen wie erforderlich für alle Einträge der 

angezeigten Liste durch. 

4. Der per SMS verschickte Mitteilungstext lässt sich per Klick auf die 

Schaltfläche Format SMS Message... anpassen. 


speichern. 


Ändern der allgemeinen Optionen für Warnmeldungen 

Screenshot 19 – Optionen für Warnmitteilungen 

Einstellungen der allgemeinen Optionen für Warnmeldungen können 

jederzeit wie folgt geändert werden: 





den Knoten Alerting Options, und wählen Sie im rechten 

Detailbereich Edit alerting options. 

4. Konfigurieren Sie die Parameter wie oben beschrieben. 


Erste Schritte: Verarbeiten von Ereignisprotokollen 

Sämtliche zum ersten Start von GFI EventsManager erforderlichen 

Betriebsparameter sind jetzt definiert. Bevor Sie mit der Verarbeitung 

von Ereignisprotokollen beginnen können, sind zusätzlich folgende 

ereignisspezifische Einstellungen festzulegen: 

Ereignisquellen 

Der Name/die IP-Adresse der Computer, von denen 

Ereignisse zur Verarbeitung durch GFI EventsManager 

abgerufen werden. 

Zu verarbeitende Ereignisse 

Alle Protokolle, die von GFI EventsManager verarbeitet 

werden sollen (Windows EVT, W3C oder Syslog). 


Verarbeitungsregeln, die GFI EventsManager auf erfasste 

Protokolle anwenden soll. 

Warnmeldungen und Aktionen 

Aktionen, die bei Vorliegen bestimmter Ereignisse 

eingeleitet werden sollen, und zu verschickende 

Warnmeldungen. 

In den folgenden drei Kapiteln erhalten Sie Informationen zur 

Konfigurierung dieser Parameter. 

Screenshot 20 – Schnellstart-Dialog – 

Ereignisquellen 

Schaltfläche "Start" zur Konfigurierung von 

Per Klick auf die Schaltfläche Start unter Punkt 4 im Schnellstart- 

Dialog lassen sich funktionale Parameter festlegen. Die 

Konfigurationsoberfläche für Protokollquellen wird aufgerufen. Weitere 

Informationen zur Konfigurierung von Ereignisquellen erhalten Sie im 

folgenden Kapitel. 



Konfigurieren von Ereignisquellen 

Einführung 

Ereignisquellen sind Computer, auf denen sich die von 

GFI EventsManager zu verarbeitenden Protokolle befinden. Ereignisquellen 

werden von GFI EventsManager in verschiedene Computer- 

Gruppen eingeteilt. Sie können an die Netzwerkinfrastruktur Ihres 

Unternehmens angepasste Gruppen erstellen oder bereits im 

Lieferumfang vorgegebene verwenden. Standardmäßige 

Computergruppen können beispielsweise zur Verwaltung und 

Konfigurierung von zu überwachenden Servern, Workstations und 

Laptops genutzt werden. Ebenso lassen sich zu kontrollierende 

Zielrechner in einer Gruppe zusammenfassen, die in Ihrem Netzwerk 

eine besondere Funktion haben, wie Webserver, Datei-Server und 

Daten-Server. 

Hinzufügen neuer Ereignisquellen zu einer Standardgruppe 

Screenshot 21 – Auswahl zu überwachender Computer 

So konfigurieren Sie die Ereignisquellen: 



2. Klicken Sie im linken Navigationsbereich unter Computers Groups 

mit der rechten Maustaste auf die Gruppe, der neue Ereignisquellen 

hinzugefügt werden sollen, und wählen Sie den Befehl Add new 

GFI EventsManager Handbuch Konfigurieren von Ereignisquellen • 37

computer. Der Assistent zur Konfigurierung der neuen Computer wird 

aufgerufen. 

Screenshot 22 – Konfigurationsassistent Festlegung neu zu überwachender Computer 

3. Geben Sie den Namen/die IP-Adresse der neuen Ereignisquelle an, 

und klicken Sie auf die Schaltfläche Add, um die Quelle hinzuzufügen. 

Wiederholen Sie diesen Schritt, bis alle gewünschten Ereignisquellen 

der Gruppe hinzugefügt sind. 

Hinweis: Um eine Liste mit bereits in einer Textdatei definierten 

Ereignisquellen zu importieren, klicken Sie auf die Schaltfläche 

Import. Klicken Sie auf die Schaltfläche Select, um die zu 

Ereignisquellen aus der Liste auszuwählen. 

4. Klicken Sie auf die Schaltfläche Finish, um die Einstellungen zu 

speichern. 

Hinweis: Nachdem Sie auf die Schaltfläche Finish geklickt haben, 

beginnt GFI EventsManager sofort mit dem Abruf von Protokollen der 

angegebenen Ereignisquellen. 

Konfigurieren der Eigenschaften einer Ereignisquelle 

Allgemeine und die Ereignisverarbeitung betreffende Parameter für 

Ereignisquellen können über deren Eigenschaften-Dialog bearbeitet 

werden. Parameter lassen sich wie folgt festlegen: 

• Für jeden einzelnen Computer – so bearbeiten Sie die 

Einstellungen eines einzelnen Computers in einer Gruppe: Klicken 

Sie im rechten Fenster der Verwaltungskonsole mit der rechten 

Maustaste auf den gewünschten Computer, und wählen Sie im 

Kontextmenü Properties. Der Eigenschaften-Dialog für den 

Computer wird geöffnet. 

• Für einzelne Computer-Gruppen – so bearbeiten Sie die 

Einstellungen einer Computer-Gruppe: Klicken Sie im linken 

Fensterbereich der Verwaltungskonsole mit der rechten Maustaste 

38 • Konfigurieren von Ereignisquellen GFI EventsManager Handbuch

auf die gewünschte Gruppe, und wählen Sie im Kontextmenü 

Properties. Der Eigenschaften-Dialog für die Computer-Gruppe 

wird geöffnet. 

Folgende Einstellungen lassen sich über den Eigenschaften-Dialog 

festlegen: 

• Allgemeine Eigenschaften der Ereignisquelle 

• Alternative Zugangsdaten des Domänenadministrators 

• Betriebszeit einer Ereignisquelle 

• Parameter zur Verarbeitung von Windows- und W3C-Protokollen 

sowie Syslog-Nachrichten. 

Festlegen allgemeiner Eigenschaften einer Ereignisquelle 

Screenshot 23 – Eigenschaften einer Computer-Gruppe 

Folgende Einstellungen können über den Reiter General im 

Eigenschaften-Dialog vorgenommen werden: 

• Der Namen einer Computer-Gruppe kann geändert werden. 

• Die Erfassung und Verarbeitung von Protokollen der Computer 

einer Gruppe lässt sich aktivieren/deaktivieren. 

• Der Zeitplan für die Erfassung und Verarbeitung von Protokollen 

kann angepasst werden. 

Hinweis: So erfassen Sie Protokolle von Ereignisquellen, die in einer 

Gruppe vereint sind, manuell: 


1. Klicken Sie im linken Fensterbereich der Verwaltungskonsole mit 

der rechten Maustaste auf die gewünschte Computer-Gruppe. 

2. Gehen Sie auf Scanning options Scan now, um den Scan der 

Gruppe sofort zu starten. 

Screenshot 24 – Manuelle Erfassung von Ereignisprotokollen 

Festlegen alternativer Zugangsdaten des Domänenadministrators 

Im Rahmen der Ereignisverarbeitung muss GFI EventsManager sich 

per Fernzugriff an den Zielrechnern anmelden. Die Protokolldaten 

dieser Rechner werden abgerufen und an die Engine(s) zur Ereignisverarbeitung 

weitergeleitet. 

Zur Erfassung und Verarbeitung von Protokollen auf Zielrechnern sind 

administrative Zugriffsrechte erforderlich. GFI EventsManager meldet 

sich standardmäßig mit Hilfe der Zugangsdaten des Kontos, unter 

dem das GFI-Programm läuft, an Zielrechnern an. In einigen Fällen 

können jedoch separate Zugangsdaten für den Administratorzugriff 

auf Workstations oder Server erforderlich sein. So kann beispielsweise 

aus Sicherheitsgründen ein einzelnes, dediziertes Konto mit auf 

Workstations beschränkten Zugriffsrechten und ein weiteres nur mit 

Rechten für Server vorhanden sein. 


Screenshot 25 – Festlegen alternativer Zugangsdaten 

GFI EventsManager erlaubt es Ihnen, gesonderte Zugangsdaten für 

einzelne Zielrechner wie auch Computer-Gruppen zu definieren. So 

legen Sie Zugangsdaten für einzelne Computer/eine Computer- 

Gruppe fest: 

1. Öffnen Sie den jeweiligen Eigenschaften-Dialog wie zu Beginn 

dieses Kapitels beschrieben. 

2. Klicken Sie auf den Reiter Logon Credentials. 

3. Geben Sie den Benutzernamen und das Passwort an, das zur 

Anmeldung an den Zielrechnern und Erfassung der Protokolle 

erforderlich ist. 

Konfigurieren der Betriebszeit einer Ereignisquelle 

Mit Hilfe der Option Operational Time können Sie die übliche 

Betriebszeit angeben, die beispielsweise mit der normalen Arbeitszeit 

Ihres Unternehmens übereinstimmen kann, in der die Ereignisquelle 

die meisten Aktivitäten verzeichnet. Durch Angabe dieser 

Informationen kann GFI EventsManager zwischen Ereignissen 

unterscheiden, die während und außerhalb Ihrer allgemeinen 

Geschäftszeiten liegen und diese entsprechend klassifizieren. Die so 

gewonnenen Daten erleichtern forensische Sicherheitsanalysen und 

das Aufspüren von Netzwerkrechnern, die außerhalb der üblichen 

Geschäftszeiten verwendet wurden. Durch die zeitliche Festlegung 

können unautorisierte Benutzerzugriffe, illegale Datentransfers und 


andere potenzielle Sicherheitsverletzungen im Netzwerk leichter 

festgestellt werden. 

Screenshot 26 – Festlegung der Betriebszeit einer Ereignisquelle 

Die Betriebszeit lässt sich für Computer-Gruppen festlegen. Über den 

Reiter Operational Time kann der Zeitraum der normalen Betriebszeit 

in der Gruppe zusammengefasster Ereignisquellen in 1-Stunden- 

Schritten festgelegt werden. 

Festlegen von Parametern für die Ereignisverarbeitung 

So legen Sie die Einstellungen für die Ereignisverarbeitung fest: 

Screenshot 27 – Reiter zur Konfigurierung der Ereignisverarbeitung 

1. Öffnen Sie den jeweiligen Eigenschaften-Dialog wie zu Beginn 

dieses Kapitels beschrieben. 

2. Gehen Sie auf den Reiter Windows Event Log, W3C Logs und 

Syslog, um die erforderlichen Einstellungen vorzunehmen. Detaillierte 

Hinweise zur Einstellung dieser Parameter erhalten Sie im Kapitel 

"Konfigurieren von Regeln zu Ereignisverarbeitung". 


Konfigurieren von Regeln zur 


Einführung 

GFI EventsManager unterstützt die Erfassung und Verarbeitung von 

drei unterschiedlichen Arten von Ereignisprotokollen: Windows- 

Ereignisprotokolle, W3C-Protokolle und Syslog-Nachrichten. Die drei 

Protokollarten liegen jeweils in einem eigenen Format vor. Da 

Ereignisse je nach Protokollart unterschiedlich aufgezeichnet werden, 

sind für jedes Format andere Einstellungen und Parameter zu 

definieren. Einstellungen für die Protokollerfassung und -verarbeitung 

lassen sich konfigurieren: 

• Für jeden einzelnen Computer 

• Für jede einzelne Computer-Gruppe 

Bei der Verarbeitung von Ereignissen überprüft GFI EventsManager 

die erfassten Protokolle mit mehreren konfigurierbaren Regeln, auf 

deren Grundlage Ereignisse klassifiziert und gegebenenfalls Warnmeldungen 

ausgegeben und Aktionen durchgeführt werden. Im Lieferumfang 

von GFI EventsManager sind bereits mehrere vordefinierte 

Regeln zu Ereignisverarbeitung enthalten, mit der sich Protokolle im 

gesamten Netzwerk ohne großen Konfigurationsaufwand erfassen 

und kontrollieren lassen. 


Regeln zur Ereignisverarbeitung enthalten Anweisungen/Checks, die 

bewirken, dass 

• erfasste Protokolle analysiert werden, 

• Ereignisse klassifiziert werden. Die Einstufung erfolgt anhand der 

Einstellungen der jeweiligen Verarbeitungsregel, 

• Ereignisse, die bestimmten Kriterien entsprechen, herausgefiltert 

werden. Beispielsweise lassen sich mit einer Regel Ereignisse von 

geringerer Bedeutung und als "Noise" identifizierte Events 

herausfiltern, 

• je nach Schwere des Ereignisses Warnmeldungen und Aktionen 

erfolgen. Wird ein Ereignis als "kritisch" eingestuft, kann 

beispielsweise eine Warnung per SMS und E-Mail verschickt 

werden. Bei einer niedrigeren Klassifizierung wie "hoch" besteht 

die Möglichkeit, die Mitteilung hingegen lediglich per E-Mail zu 

verschicken. Weitere Informationen hierzu erhalten Sie im Kapitel 

"Konfigurieren von Warnmeldungen und Aktionen", 

• gefilterte Ereignisse archiviert werden (optional). Die Archivierung 

erfolgt abhängig von der Schwere eines Ereignisses und der 

GFI EventsManager Handbuch Konfigurieren von Regeln zur Ereignisverarbeitung • 43

Einstellungen der Verarbeitungsregeln. Beispielsweise lassen sich 

nur solche Ereignisse für die Archivierung bestimmen, die als 

"kritisch" oder "hoch" klassifiziert wurden. 

GFI EventsManager verwaltet Regeln zur Ereignisverarbeitung in 

Regelsätzen, in denen eine oder mehrere Einzelregeln gruppiert sind. 

Screenshot 28 – Ordner mit Regelsätzen und einzelne Regelsätze 

Regelsätze werden in nach Kontrollbereich unterteilten Ordnern 

verwaltet. Je nach Kontrollbereich enthalten Regelsätze Regeln mit 

unterschiedlichen Funktionen und Aktionen. Im Regelsatz-Ordner 

"Security" sind beispielsweise Regelsätze mit Regeln zur Verarbeitung 

von Sicherheitsereignissen eingeordnet. GFI EventsManager bietet 

bereits vordefinierte Regelsatz-Ordner, Regelsätze und Regeln zur 

Ereignisverarbeitung, die sich an Ihre Anforderungen anpassen 

lassen. 

Ereignisklassifizierung 

GFI EventsManager stuft Ereignisse in 5 Kategorien ein: 

• Kritisch 

• Hoch 

• Mittel 

• Niedrig 

• Noise ("Rauschen", d. h. unerwünschte oder wiederholt 

auftretende Protokolleinträge) 

Ereignisse werden anhand der Regeln klassifiziert, die auf erfasste 

Protokolle angewendet werden. Ereignisse, die keine Bedingungen 

der Regeln zur Ereignisklassifizierung erfüllen, werden als "nicht 

klassifiziert" ("unclassified") gekennzeichnet. Auch für diese 

Ereignisse lassen sich dieselben Warnungen und Aktionen wie für 

klassifizierte Events einrichten. 

Flussdiagramm zur Ereignisverarbeitung, Klassifizierung 

und zu Aktionen 

Im folgenden Flussdiagramm werden die einzelnen Schritte der 

Ereignisverarbeitung durch GFI EventsManager dargestellt. 

44 • Konfigurieren von Regeln zur Ereignisverarbeitung GFI EventsManager Handbuch

Screenshot 29 – Flussdiagramm zur Ereignisverarbeitung, Klassifizierung und zu Aktionen 

Erfassen und Verarbeiten von Windows-Ereignisprotokollen 

Überblick 

Windows-Ereignisse werden in unterschiedlichen Protokolltypen 

gesichert. Computer mit Windows NT oder höher erfassen Fehler, 

Warnungen und Informationen im Sicherheitsprotokoll, Anwendungsprotokoll 

bzw. Systemprotokoll. Zusätzlich zeichnen Computer mit 

besonderen Aufgaben im Netzwerk, beispielsweise Domänen- 

Controller und DNS-Server, Ereignisse in eigenen Protokollen auf. 


Screenshot 30 – Eigenschaften einer Computer-Gruppe: zu verarbeitende Protokolle 

Windows-Betriebssysteme erfassen Ereignisse in folgenden 

Protokollen: 

• Sicherheitsprotokoll: Enthält sicherheitsrelevante Ereignisse, die 

zur Kontrolle erfolgreicher oder versuchter Sicherheitsverletzungen 

genutzt werden können. Im Sicherheitsprotokoll 

werden beispielsweise gültige und ungültige Anmeldeversuche 

aufgezeichnet. 

• Anwendungsprotokoll: Enthält Ereignisse, die von Programmen 

protokolliert wurden, beispielsweise Dateifehler. 

• Systemprotokoll: Enthält Ereignisse, die von Windows XP- 

Systemkomponenten protokolliert wurden, beispielsweise Fehler 

beim Laden von Gerätetreibern beim Systemstart. 

• Verzeichnisdienstprotokoll: Enthält von Active Directory (AD) 

ausgegebene Ereignisse wie zur erfolgreichen oder fehlgeschlagenen 

Aktualisierung der AD-Datenbank. 

• Dateireplikationsdienst-Protokoll: Enthält vom Windows- 

Dateireplikationsdienst protokollierte Ereignisse. Hierzu zählen 

fehlgeschlagene Dateireplikationen und Ereignisse während der 

Aktualisierung von Domänen-Controllern mit Sysvol-Daten. 

• DNS-Server-Protokoll: Enthält Ereignisse zur Auflösung von 

DNS-Namen in IP-Adressen. 


Screenshot 31 – Eigenschaften einer Computer-Gruppe: Einstellungen zu Windows- 

Ereignisprotokollen 

Folgende Schritte sind durchzuführen, um Windows-Ereignisprotokolle 

zu erfassen und zu verarbeiten: 

• Geben Sie die zu erfassenden Ereignisprotokolle an. 

• Legen Sie fest, ob die Protokolle verarbeitet oder lediglich im 

Originalzustand archiviert werden sollen. 

• Wählen Sie die Regelsätze/Regeln zur Ereignisverarbeitung aus, 

mit denen erfasste Protokolle kontrolliert werden sollen. 

Auswählen zu erfassender und bearbeitender 

Ereignisprotokolle 

So legen Sie fest, welche Windows-Ereignisprotokolle von 

GFI EventsManager erfasst werden sollen: 

1. Öffnen Sie den jeweiligen Eigenschaften-Dialog zum betreffenden 

Computer/zur Computer-Gruppe. 

2. Klicken Sie auf den Reiter Windows Event Log. 


Screenshot 32 – Auswählen zu erfassender Ereignisprotokolle 

3. Klicken Sie auf die Schaltfläche Add, und markieren Sie das 

Kontrollkästchen der zu erfassenden Protokolle. 

Hinweis: GFI EventsManager unterstützt die Erfassung 

benutzerdefinierter Ereignisprotokolle. Weitere Informationen hierzu 

erhalten Sie in diesem Kapitel unter "Konfigurieren benutzerdefinierter 

Ereignisprotokolle". 

4. Optional können Sie die Option Clear collected events after 

completion auswählen, um erfasste Ereignisse von der 

Ereignisquelle zu löschen. 

Wichtig: Beachten Sie, dass das Löschen von Ereignissen aus 

Protokollen der Ereignisquelle ohne vorherige Archivierung oder 

anderweitige Sicherung eine Verletzung gesetzlicher Richtlinien 

darstellen kann. Stellen Sie daher sicher, dass wichtige Ereignisse 

gemäß den für Ihr Unternehmen geltenden Gesetzen zur Datenaufbewahrung 

und zum Datenschutz archiviert oder gesichert werden. 

Archivieren von Windows-Ereignissen 

Weitere Informationen zur Archivierung von Ereignissen erhalten Sie 

unter "Archivieren von Ereignissen" in diesem Kapitel. 


Auswählen von Regeln zur Verarbeitung von Windows- 

Ereignissen 

Weitere Informationen zur Auswahl von Regeln zu Ereignisverarbeitung 

erhalten Sie unter "Auswählen von Regeln zur 

Ereignisverarbeitung" in diesem Kapitel. 

Konfigurieren benutzerdefinierter Ereignisprotokolle 

Neben der Erfassung und Verarbeitung standardmäßiger Windows- 

Ereignisprotokolle kann GFI EventsManager auch Ereignisse 

verwalten, Sie in Protokollen von Drittanbieter-Lösungen erfasst 

wurden, beispielsweise von Anti-Viren-Lösungen, Software-Firewalls 

und anderen Sicherheitprodukten. 

So konfigurieren Sie die Bearbeitung benutzerdefinierter Ereignisprotokolle: 



2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf 

Options. 

Screenshot 33 – Festlegung der benutzerdefinierten Eignisprotokolle 

3. Klicken Sie im linken Fenster der Verwaltungskonsole mit der 

rechten Maustaste auf den Knoten Custom Event Logs, und wählen 

Sie im Kontextmenü Edit custom logs… Der Dialog zur Bearbeitung 

benutzerdefinierter Ereignisprotokolle wird geöffnet. 

4. Klicken Sie auf die Schaltfläche Add. Geben Sie den Namen des 

Protokolls an, und klicken Sie auf die Schaltfläche OK, um die 

Einstellungen zu speichern. 


Erfassen und Verarbeiten von W3C-Protokollen 

W3C-Protokolle sind textbasierte Flat-Files mit Ereignisdaten, die 

durch Sonderzeichen getrennt sind. 

W3C-Protokolle werden vorrangig von Hardware-Systemen (z. B. 

Servern) genutzt, die besondere Aufgaben bei der Internet- 

Kommunikation übernehmen. Microsoft Internet Information Services 

(IIS) und Apache-Webserver erfassen zum Beispiel Web-bezogende 

Ereignisse in Form von Textdateien im W3C-Format. 

Die Festlegung der Parameter von W3C-Protokollen mit 

GFI EventsManager erfolgt analog zur Angabe der Einstellungen für 

Windows-Protokolle, mit einer Ausnahme: Im Gegensatz zu Windows- 

Ereignisprotokollen besteht keine Vorgabe zum Speicherort der 

Protokolldateien. Bei W3C-Protokollen muss daher der vollständige 

Speicherpfad für die Protokolldateien angegeben werden. 

Auswählen zu erfassender und verarbeitender Ereignisprotokolle 

So legen Sie fest, welche W3C-Protokolle von GFI EventsManager 

erfasst werden sollen: 



2. Klicken Sie auf den Reiter W3C Log. 

Screenshot 34 – Eigenschaften einer Computer-Gruppe: Festlegen von Parametern für die 

Verarbeitung von W3C-Protokollen 


3. Klicken Sie auf die Schaltfläche Add, und geben Sie den Namen 

und Speicherort der Protokolldatei an. Bei der Eingabe können 

Platzhalter wie *.* verwendet werden. 

4. Optional können Sie die Option Clear collected events after 

completion auswählen, um erfasste Ereignisse von der Ereignisquelle 

zu löschen. 





gemäß den für Ihr Unternehmen geltenden Gesetzen zur 

Datenaufbewahrung und zum Datenschutz archiviert oder gesichert 

werden. 

Archivieren von W3C-Ereignissen 



Auswählen von Regeln zur Verarbeitung von W3C- 

Ereignissen 

Weitere Informationen zur Auswahl von Regeln zu 

Ereignisverarbeitung erhalten Sie unter "Auswählen von Regeln zur 


Erfassen und Verarbeiten von Syslog-Nachrichten 

Syslog kommt vorrangig auf Linux- und Unix-Systemen zur 

Protokollierung von Ereignisdaten zum Einsatz. Hierbei wird die 

Protokollierung vollständig von einem dedizierten Syslog-Server übernommen. 

Im Gegensatz zu Umgebungen mit Windows- und W3C- 

Protokollen erfolgt die Protokollierung nicht durch die eigentlichen 

Programme. Ereignisinformationen werden von Programmen lediglich 

als Datenmitteilungen (Syslog-Nachrichten) an den Syslog-Server 

geschickt, der für die Verwaltung und Speicherung der Daten in einer 

Protokolldatei verantwortlich ist. 


Screenshot 35 – Eigenschaften einer Computer-Gruppe: Parameter zur Verarbeitung von 

Syslog-Nachrichten 

Zur Verarbeitung von Syslog-Nachrichten wird GFI EventsManager 

mit einem integrierten Syslog-Server ausgeliefert. Dieser Server 

erfasst automatisch sämtliche von Syslog-Quellen ausgegebenen 

Meldungen in Echtzeit und leitet sie an die GFI EventsManager- 

Engine zur Ereignisverarbeitung weiter. 

Durch einen integrierten Pufferspeicher kann der Syslog-Server bis zu 

30 Nachrichten zwecks Stapelverarbeitung erfassen, in eine Warteschlange 

stellen und weiterleiten. Zwischengespeicherte Meldungen 

werden standardmäßig an die Verarbeitungs-Engine weitergeleitet, 

wenn der Pufferspeicher seine maximale Kapazität erreicht hat oder in 

Intervallen von 1 Minute (je nachdem, welche dieser beiden 

Bedingungen zuerst eintritt). 


Figure 6 – Weiterleitung von Syslog-Nachrichten an den Computer mit GFI EventsManager 

Hinweis: Zur korrekten Verarbeitung von Syslog-Nachrichten müssen 

ALLE Syslog-Quellen (z. B. Workstations, Server, Netzwerkgeräte 

u. Ä.) so konfiguriert werden, dass sie Meldungen an den 

GFI EventsManager-Computer schicken. Diese Einstellung ist auch 

für den eigentlichen Rechner, auf dem GFI EventsManager läuft, 

erforderlich. 

So werden die Einstellungen zur Verarbeitung von Syslog-Ereignissen 

in GFI EventsManager konfiguriert: 



2. Klicken Sie auf den Reiter Syslog. 

3. Wählen Sie die Option Accept Syslog messages from this 

computer group, um den Syslog-Server und den Empfang von 

Nachrichten dieser Computer-Gruppe zu aktivieren. 





gemäß den für Ihr Unternehmen geltenden Gesetzen zur 

Datenaufbewahrung und zum Datenschutz archiviert oder gesichert 

werden. 

Hinweis 1: Der Syslog-Server von GFI EventsManager läuft 

standardmäßig auf Port 514. Weitere Informationen zur Anpassung 

der Port-Einstellungen erhalten Sie unter "Konfigurieren des Syslog- 

Server-Ports" in diesem Kapitel. 

Hinweis 2: Der integrierte Syslog-Server akzeptiert nur Syslog- 

Nachrichten von Computern, die zur gewählten Gruppe gehören. 

Archivieren von Syslog-Ereignissen 




Auswählen von Regeln zur Verarbeitung von Syslog- 

Ereignissen 

Weitere Informationen zur Auswahl von Regeln zur Ereignisverarbeitung 

erhalten Sie unter "Auswählen von Regeln zur 


Konfigurieren des Syslog-Server-Ports 

So ändern Sie den vorgegebenen Syslog-Port:. 

Screenshot 36 – Festlegung des Syslog-Servers 




Options. 


den Knoten Syslog Server Configuration, und wählen Sie Edit 

Syslog options … 


Screenshot 37 – Eigenschaften des Syslog-Servers 

4. Wählen Sie die Option Enable in-built Syslog server on port: 

aus, und geben Sie den Port an, auf dem GFI EventsManager Syslog- 

Nachrichten empfängt. 


speichern. 

Hinweis: Stellen Sie sicher, dass der für den Syslog-Server 

angegebene Port nicht bereits von anderen installierten Anwendungen 

verwendet wird. Andernfalls könnte der Versand von Syslog- 

Nachrichten durch GFI EventsManager beeinträchtigt werden. 

Archivieren von Ereignissen 

Archivieren von Ereignissen ohne Protokollverarbeitung 

Screenshot 38 – Archivieren von Ereignissen ohne vorherige Verarbeitung 

GFI EventsManager verarbeitet standardmäßig alle von den Zielrechnern 

abgerufene Protokolle. Um Ereignisse unverarbeitet zu 

archivieren, wählen Sie für den jeweiligen Protokolltyp im Bereich 

Post collection [bzw. messaging] processing die Option Archive 

only. 


Archivieren von Ereignissen nach der Verarbeitung 

Verarbeitete Ereignisse lassen sich optional im Datenbank-Backend 

von GFI Events Manager archivieren. Ereignisse lassen sich anhand 

folgender Kriterien automatisch archivieren: 

• Unter Berücksichtigung ihrer Klassifizierung. Sie können beispielsweise 

Standardeinstellungen festlegen, nach denen nur als 

"kritisch" klassifizierte Ereignisse archiviert werden. Informationen 

zur Konfigurierung der Ereignisarchivierung für dieses Kriterium 

erhalten Sie im Kapitel "Konfigurieren von Warnmeldungen und 

Aktionen" unter "Konfigurieren von klassifizierungsabhängigen 

Standardaktionen". 

• Unter Berücksichtigung der in den Regeln zur Ereignisverarbeitung 

definierten Bedingungen. Verarbeitete Ereignisse 

lassen sich mit Hilfe von Regeln weitaus flexibler archivieren. Es 

ist möglich, nur solche Ereignisse zu archivieren, die ungeachtet 

ihrer Klassifizierung bestimmte Regelbedingungen erfüllen. So ist 

denkbar, dass eine Regel eingerichtet wird, die als "kritisch" klassifizierte 

Ereignisse der speziellen Ereigniskennung 537 archiviert. 

Weitere Informationen zur Erstellung und Konfigurierung von 

Regeln zur Ereignisverarbeitung erhalten Sie im Kapitel 

"Konfigurieren von Regeln zur Ereignisverarbeitung". 

Auswählen von Regeln zur Ereignisverarbeitung 

Screenshot 39 – Eigenschaften einer Computer-Gruppe: Einstellungen zu Windows- 

Ereignisprotokollen 


Legen Sie fest, welche Regeln zur Verarbeitung und Klassifizierung 

der Ereignisse in den erfassten Protokollen zur Anwendung kommen 

sollen. Wählen Sie hierfür den Regelsatz-Ordner oder die Regelsätze 

aus, in denen die gewünschten Regeln zur Ereignisverarbeitung 

enthalten sind. 

Screenshot 40 – Auswahl der Regeln/Regelsätze zur Ereignisverarbeitung 

Achten Sie darauf, dass abhängig vom zu analysierenden Protokoll 

die passende Regel ausgewählt wird. Im Lieferumfang von GFI 

EventsManager enthaltene Regelsätze sind bereits für bestimmte 

Protokolltypen vorkonfiguriert. Um die Ereignisse aus den erfassten 

Protokollen wie gewünscht zu verarbeiten, müssen daher die richtigen 

Regelsätze ausgewählt werden. 

Einige davon enthalten Regeln, die sich auf spezielle Ereignisse 

beziehen. Werden diese Regeln zur Verarbeitung anderer Ereignisse 

verwendet, sind eine fehlerhafte Verarbeitung, Datenverlust und 

irrelevante Ergebnisse die Folge. Beispiel: Der Regelsatz "Monitoring 

and Attack Detection" umfasst Regeln, die speziell zur Verarbeitung 

von Windows-Sicherheitsereignissen konzipiert wurde. Eine 

Anwendung dieser Regel auf Windows-Anwendungsereignisse liefert 

somit keine verwertbaren Ergebnisse. 

Hinweis 1: GFI EventsManager wird standardmäßig mit vorausgewählten 

Regelsätzen/-ordnern bereitgestellt, die eine effektive 

Verarbeitung von Windows-Ereignisprotokollen erlauben. Sollten Sie 

mit dem Produkt oder der Verwendung von Regelsätzen noch nicht 

vertraut sein, empfehlen wir, die Standardeinstellungen beizubehalten. 

Hinweis 2: Werden im Auswahlbereich keine Regelsätze angezeigt, 

stehen für den aktuellen Protokolltyp keine Regeln zur Ereignisverarbeitung 

zur Verfügung. Weitere Informationen zur Konfigurierung 

von Regeln zu Ereignisverarbeitung und Regelsätzen erhalten Sie im 

Kapitel "Konfigurieren von Regeln zur Ereignisverarbeitung". 



Konfigurieren von Warnmeldungen 

und Aktionen 

Einführung 

Werden während der Verarbeitung der Ereignisprotokolle spezielle 

Ereignisse festgestellt, kann GFI EventsManager automatisch 

Aktionen durchführen. Hierzu zählen der Versand von E-Mail- 

Warnungen und die Archivierung von Ereignissen. 

Für das Auslösen von Warnmeldungen und Aktionen stehen zwei 

Möglichkeiten zur Verfügung: 

1. Die Konfigurierung einer Gruppe mit "Default Classification Actions" 

(klassifizierungsabhängigen Standardaktionen) in der Verwaltungskonsole 


2. Die Erstellung oder Anpassung von Regeln und Regelsätzen. 

Default Classification Actions (klassifizierungsabhängige 

Standardaktionen) 

Anhand der über die Default Classification Actions festlegbaren 

Einstellungen können Warnmeldungen und Aktionen bereits aufgrund 

der Klassifizierung eines Ereignisses ausgelöst werden. Im Rahmen 

dieser Kontrolle lassen sich Parameter festlegen, mit denen 

beispielsweise E-Mail-Warnungen für sämtliche als "kritisch", "hoch", 

"mittel" und "niedrig" klassifizierte Ereignisse erfolgen, jedoch nur als 

"kritisch" gekennzeichnete Events archiviert werden. 

Von Regeln zur Ereignisverarbeitung gestartete Aktionen 

Durch das Erstellen von Regeln lassen sich Aktionen noch 

differenzierter konfigurieren. Aktionen können gezielt ausgelöst 

werden, wenn ein Ereignis eine oder mehrere in den Regeln definierte 

Bedingungen erfüllt. Zum Beispiel kann eine Regel veranlassen, dass 

ein Ereignis ungeachtet seiner Klassifizierung nur dann archiviert wird, 

wenn es die Ereigniskennung 231 besitzt. 

Unterstützte Aktionen 

GFI EventsManager erlaubt die Durchführung folgender Aktionen: 

• Archivierung eines Ereignisses – Ein klassifiziertes Ereignis 

wird per Archive the event im Datenbank-Backend von 

GFI EventsManager archiviert. 

• Versand von Warnmeldungen per E-Mail/SMS/Netzwerk – 

Warnmitteilungen lassen sich per Send email/SMS/network 

notifications to auf verschiedene Weise an Systemverantwortliche 

verschicken. 

GFI EventsManager Handbuch Konfigurieren von Warnmeldungen und Aktionen • 59

• Öffnen einer Datei – Erlaubt per Run File die Ausführung einer 

exe-Datei. Zu den ausführbaren Dateien zählen VBScripts (.vbs), 

Batch-Dateien (.bat) und andere ausführbare Dateien (.exe). 

Zusätzlich lassen sich Befehlszeilenparameter für die ausführbaren 

Dateien verwenden. 

Konfigurieren der Default Classification Actions 

(klassifizierungsabhängige Standardaktionen) 

Screenshot 41 – Konfigurieren der Default Classification Actions (klassifizierungsabhängige 

Aktionen) 

So legen Sie die Einstellungen für die Default Classification Actions 

(klassifizierungsabhängige Standardaktionen) fest: 




Options. 

3. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste 

auf den Knoten Default Classifications Actions, und wählen Sie 

Edit defaults… 

60 • Konfigurieren von Warnmeldungen und Aktionen GFI EventsManager Handbuch

Screenshot 42 – Klassifizierungsabhängige Standardaktionen 

4. Wählen Sie aus der angezeigten Drop-Down-Liste die zu 

bearbeitende Ereignisklassifizierung aus. 

5. Wählen Sie auf der Liste Action die Aktionen aus, die für die 

gewählte Ereignisklassifizierung ausgelöst werden sollen. 

6. Klicken Sie auf die Schaltfläche Configure, um weitere erforderliche 

Einstellungen für die jeweilige Aktion vorzunehmen. 

Hinweis: Beachten Sie, dass Aktionen für als "niedrig" klassifizierte 

Ereignisse folgende Auswirkungen haben können: 

• Der Datenverkehr im Netzwerk wird erhöht (v. a. bei 

Benachrichtigungen per E-Mail, SMS oder Netzwerk) 

• Im Fall einer Archivierung vergrößern sich Datenaustausch und 

Wachstum der Backend-Datenbank bedeutend. 

Konfigurieren von Aktionen für Regeln zur Ereignisverarbeitung 

Weitere Informationen zur Konfigurierung von Aktionen im Rahmen 

von Regeln zu Ereignisverarbeitung erhalten Sie im Kapitel 

"Konfigurieren von Regeln zur Ereignisverarbeitung". 

GFI EventsManager Handbuch Konfigurieren von Warnmeldungen und Aktionen • 61

62 • Konfigurieren von Warnmeldungen und Aktionen GFI EventsManager Handbuch

Der Events Browser 

Einführung 

Der Events Browser dient der Darstellung verarbeiteter und unverarbeiteter 

Ereignisse/Protokolle, die im Datenbank-Backend oder der 

Backup-Datenbank gespeichert sind. 

Screenshot 43 – GFI EventsManager Events Browser 

Der Events Browser unterstützt zudem die digitale Spurensuche bei 

forensischen Analysen von Ereignissen. Sämtliche per Events 

Browser anzeigbaren Ereignisse können nach Protokolltyp geordnet 

über drei Reiter dargestellt werden: Windows Events Browser, W3C 

Events Browser und Syslog Events Browser. Ereignisse eines 

Protokolltyps lassen sich hierdurch schneller aufrufen. Ereignisinformationen 

werden in Spalten angezeigt. Per Mausklick auf ein 

Ereignis werden zusätzliche Hinweise in einem separaten 

Fensterbereich angezeigt. 

GFI EventsManager Handbuch Der Events Browser • 63

Screenshot 44 – Ereignisdetails 

Bei der Anzeige von Windows-Ereignissen erhalten Sie zusätzlich 

einen Link, über den Sie detaillierte Informationen zum Ereignis über 

das Internet abrufen können, wie: 

• eine umfangreiche Beschreibung des Ereignisses 

• Links und Tipps zu Ursachen des Ereignisses und ggf. 

Lösungsvorschläge zu Problemen. 

Tools zur Ereignisanzeige 

Spezialwerkzeuge von GFI EventsManager vereinfachen das 

Durchsuchen und Anzeigen von Ereignissen. Zu diesen Tools 

gehören: 

• Ein Ereignisfilter/Ereignisabfrage-Generator 

• Farbliche Hervorhebung unterschiedlicher Ereignisse 

• Tool zur Ereignissuche 

64 • Der Events Browser GFI EventsManager Handbuch

Ereignisfilter/Ereignisabfrage-Generator 

Screenshot 45 – Generator für Ereignisabfragen 

Mit Hilfe des Ereignisabfrage-Generators lassen sich eigene Filter zur 

separaten Darstellung spezieller Ereignisse einrichten, ohne dass 

diese aus dem Datenbank-Backend gelöscht werden. Diese Filter 

können neben der bereits im Lieferumfang enthaltenen Standardauswahl, 

die keine weitere Konfigurierung erfordert, eingesetzt 

werden. 

Screenshot 46 – Standardmäßige und benutzerdefinierte Ereignisabfragen 


Farbliches Hervorheben unterschiedlicher Ereignisse 

Screenshot 47 – Filter zur farblichen Kennzeichnung des Gefährdungsgrads 

Mit Hilfe des Tools zur Ereigniskennzeichnung lassen sich Ereignisse 

ihrem Gefährdungsgrad entsprechend farblich kennzeichnen. Eine 

solche Markierung erleichtert das schnelle Auffinden wichtiger 

Ereignisse bei der Durchsicht. Beispielsweise lässt sich eine Abfrage 

zu Ereignissen der Kategorie "kritisch" oder "hoch" erstellen, bei der 

zusätzlich alle kritischen Ereignisse der Kennung 231 rot gekennzeichnet 

werden. 

Die Festlegung der Farbkodierung erfolgt über einen eigenen 

Abfragegenerator. Für diesen sind festzulegen: 

• Bedingungen zur Kennzeichnung einzelner Ereignisse 

• Auswahl der Anzeigefarbe 


Tool zur Ereignissuche 

Screenshot 48 – Tool zur Ereignissuche 

Mit dem Tool zur Ereignissuche können Ereignisse anhand einer 

spezifischen Suchangabe gefunden werden. Zum Beispiel lassen sich 

Ereignisse mit einer speziellen Kennung anzeigen oder deren 

Beschreibung bestimmte Stichwörter enthält. 

Anzeigen gespeicherter Ereignisprotokolle 

So zeigen Sie im Datenbank-Backend gespeicherte Ereignisse an: 


EventsManager auf die Option Events Browser. 

Screenshot 49 – Events Browser: 

2. Klicken Sie in der angezeigten zweiten Symbolleiste je nach 

gewünschter Ereignisart auf Windows Events Browser, W3C 

Events Browser oder Syslog Events Browser. 

Starten einer Ereignisabfrage 

So starten Sie eine Ereignisabfrage: 



2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows 

Events Browser, W3C Events Browser oder Syslog Events 

Browser. 

3. Wählen Sie im linken Navigationsbereich unter Queries die 

gewünschten Abfrage aus. 

Herausgefilterte Ereignisse werden im rechten Fenster angezeigt. 


Erstellen eigener Ereignisabfragen 

Screenshot 50 – GFI EventsManager Events Browser 

Benutzerdefinierte Ereignisabfragen werden als Unterknoten zu 

bereits vorgegebenen Abfragen hinzugefügt. 

So erstellen Sie eine eigene Ereignisabfrage: 





Browser. 

3. Klicken Sie im linken Navigationsbereich unter Queries mit der 

rechten Maustaste auf die Standardabfrage, unter der die neue 

Abfrage erstellt werden soll. Wählen Sie im Kontextmenü Query 

builder..., um den Ereignisabfrage-Generator zu starten. 


Screenshot 51 – Generator für Ereignisabfragen 

4. Geben Sie den Namen und die Beschreibung der neue Abfrage an. 

5. Klicken Sie auf die Schaltfläche Add, um die Abfragebedingungen 

festzulegen. Klicken Sie danach auf die Schaltfläche OK. Wiederholen 

Sie diesen Schritt, bis alle erforderlichen Bedingungen angegeben 

sind. 


speichern. 

Anpassen des Ereignisanzeige-Fensters 

Auswählen der anzuzeigenden Spalten 

So legen Sie fest, welche Spalten im Anzeigefenster des Protokoll- 

Browsers dargestellt werden sollen: 





Browser. 


3. Wählen Sie im linken Navigationsbereich unter Common Tasks die 

Option Customize view aus. 

Screenshot 52 – Anpassung des Anzeigefensters: Spaltenauswahl 

4. Klicken Sie im rechten Fenster Customize View auf Columns. 

5. Wählen Sie alle Spalten aus, die im Ereignisanzeige-Fenster von 

GFI EventsManager dargestellt werden sollen. Mit Hilfe der Nachoben- 

und Nach-unten-Pfeile können Sie festlegen, in welcher 

Reihenfolge Spalten anzuzeigen sind. 

6. Schließen Sie das Fenster Customize View, um die Einstellungen 

zu speichern. 

Anzeigen der Ereignisbeschreibung 

So legen Sie fest, in welchem Bereich des rechten Anzeigefensters 

die Beschreibung eines Ereignisses angezeigt werden soll: 





Browser. 



Screenshot 53 – Anpassung des Ereignisanzeige-Fensters 

4. Klicken Sie im rechten Fenster Customize View auf Description, 

und wählen Sie aus, ob die Beschreibung auf der rechten Seite oder 

im unteren Fensterbereich angezeigt oder ausgeblendet werden soll. 


Farbliches Kennzeichnen von Ereignissen 

Kennzeichnen eines Ereignisses mit einer bestimmten 

Eigenschaft 

Screenshot 54 – Farbliche Kennzeichnung eines Ereignisses 

So können Sie Ereignisse mit einer bestimmten Eigenschaft farblich 

kennzeichnen: 





Browser. 



4. Klicken Sie im rechten Fenster Customize View auf die Option 

Colors. 

5. Geben Sie die Abfragebedingung an, und wählen Sie die Farbe 

aus, in der herausgefilterte Ereignisse gekennzeichnet werden sollen. 

6. Klicken Sie auf die Schaltfläche Apply Color, um die Einstellungen 

zu speichern. 

Hinweis: Per Mausklick auf die Option Clear color filters werden alle 

Farbeinstellungen gelöscht. 

Kennzeichnen mehrerer Ereignisse 

So kennzeichnen Sie mehrere Ereignisse mit unterschiedlichen 

Farben: 





Browser. 



4. Klicken Sie im rechten Fenster Customize View auf die Option 

Colors und dann auf die Option Advanced. 


Screenshot 55 – Erweiterte Optionen für Farbfilter 

5. Klicken Sie auf die Schaltfläche Add, geben Sie der 

Filterbedingung einen Namen, und legen Sie die Abfrageparameter 

an. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu 

speichern. Wiederholen Sie diesen Schritt, bis alle Bedingungen 

festgelegt sind. 


speichern. 

Tool zur Ereignissuche 

Mit dem Tool zur Ereignissuche lassen sich einzelne Ereignisse rasch 

auffinden. So starten Sie die Suche nach einem bestimmten Ereignis: 





Browser. 

3. Wählen Sie im linken Navigationsbereich unter Actions die Option 

Find events aus. 


Screenshot 56 – Tool zur Ereignissuche 

4. Im oberen Bereich des rechten Ereignisanzeige-Fensters können 

Sie Suchbedingungen eingeben. Um bei der Suche die Groß-/Kleinschreibung 

zu beachten, klicken Sie in linken Navigationsbereich auf 

Options, und wählen Sie die Option Match case. 

5. Klicken Sie im rechten Ereignisanzeige-Fenster auf die Schaltfläche 

Find, um die Suche zu starten. 

Sichern von Ereignissen 

Mit GFI EventsManager können Sie im Datenbank-Backend 

gespeicherte Ereignisse per Backup sichern. So verringern Sie die 

Größe der Hauptdatenbank und können weiterhin sämtliche Ereigniseinträge 

für forensische Sicherheitsanalysen und andere Kontrollen 

nutzen. 

Mit der Funktion Backup events lassen sich alle Ereignisse sichern, 

die älter sind als von Ihnen angegeben. Die Zeitangabe erfolgt hierbei 

in Stunden. 

So lassen Sie Ereignisse sichern: 





Browser. 


Backup events aus. 

Screenshot 57 – Backup von Ereignissen 

4. Legen Sie den Zeitraum in Stunden fest, vor dem Ereignisse 

eingetreten sein müssen, um archiviert zu werden. 


speichern. 


Wechseln zwischen Datenbanken 

Wechseln Sie zwischen der Haupt- und Backup-Datenbank, um 

Ereignisse in beiden Datenbanken anzuzeigen. Hierfür stehen die 

verschiedenen Tools des Events Browser zur Verfügung. 

So wechseln Sie zwischen den Datenbanken: 





Browser. 


Option Switch to main/backup database aus. 

Löschen aller Ereignisse 

So löschen Sie alle Ereignisse aus der aktuell ausgewählten 

Datenbank: 





Browser. 


Clear all events aus, um alle Ereignisse der aktuellen Datenbank zu 

löschen. 

Screenshot 58 – Löschen aller Ereignisse 

4. Haben Sie die Haupt-Datenbank zur Anzeige von Ereignissen 

geöffnet, legen Sie fest, ob Ereignisse vor dem Löschen per Backup 

gesichert werden sollen. 


Statusüberwachung 

Einführung 

Der Status-Monitor informiert über den aktuellen Programmstatus von 

GFI EventsManager und liefert statistische Informationen zu 

erfassten, verarbeiteten und archivierten Ereignissen. Es stehen 

hierfür drei unterschiedliche Ansichten zur Verfügung: General 

(Allgemein), Job Activity (Prozessabläufe) und Statistics 

(Statistiken). 

Öffnen des Status-Monitors 

So rufen Sie den Status-Monitor auf: 


EventsManager auf die Option Status. 

Screenshot 59 – Anzeigeoptionen 

2. Wählen Sie die die gewünschte Ansicht General, Job Activity 

oder Statistics per Mausklick aus. 

GFI EventsManager Handbuch Statusüberwachung • 75

Ansicht "General" 

Screenshot 59 – Status von GFI EventsManager: Ansicht "General" 

Folgende Informationen stehen über die Ansicht General bereit: 

• Status der GFI EventsManager-Engine zur Ereignisverarbeitung. 

• Statistische Daten wie die Anzahl der pro Computer verarbeiteten 

Ereignisse. 

Die Anzeige der Informationen erfolgt in einzelnen Fenstern, die 

nachfolgend näher erklärt werden. 

Fenster "EventsManager Status" 

Screenshot 60 – Fenster "Service Status" 

Dieses Fenster informiert über: 

• Den Betriebsstatus der Ereignisverarbeitungs-Engine 

• Das Benutzerkonto, unter dem die GFI EventsManager-Engine 

läuft. 

• Startzeitpunkt der Ereignisverarbeitungs-Engine 

76 • Statusüberwachung GFI EventsManager Handbuch

Wichtig: Die Ereignisverarbeitungs-Engine bleibt deaktiviert, solange 

kein Datenbank-Backend eingerichtet ist. 

Fenster "Syslog Server Status" 

Screenshot 61 – Fenster "Service Server Status" 


• Den Betriebsstatus des Syslog-Servers 

• Die Port-Einstellung des Syslog-Servers 

Fenster "Database Backend Status" 

Screenshot 62 – Fenster "Database Backend Status" 


• Den Betriebsstatus des aktuell von GFI EventsManager 

verwendeten Datenbank-Servers 

• Den Namen des aktuell von GFI EventsManager verwendeten 

Datenbank-Servers 

• Den Namen der Datenbank, in der erfasste Ereignisse archiviert 

werden 


Fenster "Global Event Count" 

Screenshot 63 – Fenster "Global Event Count" 

Dieses Fenster informiert anhand eines Kuchendiagramms über den 

prozentualen Anteil der von GFI EventsManager verarbeiteten 

Windows- und W3C-Ereignisse sowie Syslog-Nachrichten. 

Fenster "Events Type By Classification" 

Screenshot 64 – Fenster "Events Type By Classification" 

Dieses Fenster informiert anhand eines Kuchendiagramms über den 

prozentualen Anteil von Ereignissen der Kategorien: 

• Kritisch, hoch, mittel, niedrig 

• Nicht klassifiziert 


Fenster "Activity Overview" 

Screenshot 65 – Fenster "Activity Overview" 


• Die Gesamtzahl der Windows- und W3C-Ereignisse sowie Syslog- 

Nachrichten je überwachten Computer 

• Das Datum des letzten Ereignisabrufs von einem Rechner 

Ansicht "Job Activity" 

Screenshot 66 - Status von GFI EventsManager: Ansicht "Job Activity" 

Über die Ansicht Job Activity können Sie aktuelle Prozessabläufe 

kontrollieren, darunter die Ereigniserfassung und -Verarbeitung. Für 

Syslog-Nachrichten steht ein separates Verlaufsfenster zur 

Verfügung. 




Fenster "Active Jobs" 

Screenshot 67 - Fenster "Active Jobs" 

In diesem Fenster werden alle auf den überwachten Ereignisquellen 

aktiven Erfassungsvorgänge dargestellt. Zu den angezeigten Informationen 

zählen der aktuelle Erfassungsfortschritt in Prozent (Progress) 

und die Protokollquelle (Log Source). 

Fenster "Queued Jobs" 

Screenshot 68 – Fenster "Queued Jobs" 

In diesem Fenster wird die Warteschlange aller noch ausstehenden 

Ereigniserfassungsvorgänge nach Computer aufgeschlüsselt dargestellt. 

Zu den angezeigten Informationen zählen die Protokollquelle 

(Log Source), von der Ereignisse abgerufen werden sollen, und der 

Zeitpunkt, zu dem die Aufgabe in die Warteschlange gestellt wurde. 


Fenster "Syslog Message History" 

Screenshot 69 -Fenster "Syslog Message History" 

In diesem Fenster werden alle Syslog-Nachrichten dargestellt, die von 

GFI EventsManager empfangen wurden. Zu den angezeigten Informationen 

zählen die Gesamtzahl der von jedem Quellgerät verschickten 

Nachrichten und der Zeitpunkt, zu dem die letzte Syslog-Nachricht 

empfangen wurde. 

Fenster "Operational History" 

Screenshot 70 – Fenster "Operational History" 

In diesem Fenster sind alle von GFI EventsManager durchgeführten 

Aktionen zur Ereigniserfassung chronologisch aufgeführt. Angezeigt 

werden während der Erfassung ausgegebene Fehlermeldungen und 

andere Informationen sowie der Name der auf dem Zielrechner 

überprüften Protokolldatei. 

Fenster "Maintenance Jobs" 

Screenshot 71 – Fenster "Maintenance Jobs" 

In diesem Fenster wird der Fortschritt von Wartungsarbeiten 

angezeigt, die über die Database Operations festgelegt wurden. 

Angezeigt werden die Beschreibung der einzelnen Arbeiten sowie der 

Startzeitpunkt. 


Ansicht "Statistics" 

Screenshot 72 – Statistiken zu GFI EventsManager 

Über die Ansicht Statistics können Sie Trends bei täglichen 

Ereignissen feststellen und Statistiken zu einzelnen Computern Ihres 

Netzwerks abrufen. 



Fenster "Events Count For Today" 

Screenshot 73 – Fenster "Events Count For Today" 

In diesem Fenster werden rechner- und netzwerkspezifische 

Ereignistrends im Tagesablauf anhand eines Kurvendiagramms 

angezeigt. Dabei erfolgt eine farbliche Unterscheidung zwischen 

Windows- und W3C-Ereignissen sowie Syslog-Nachrichten. 


Fenster "Events Count By Log Type" 

Screenshot 74 – Fenster "Events Count By Log Type" 

In diesem Fenster wird die Anzahl aller für einen Rechner oder 

Netzwerk erfassten Windows- und W3C-Ereignisse sowie Syslog- 

Nachrichten anhand eines Balkendiagramms angezeigt. 

Fenster "Events Type By Classification" 

Screenshot 75 – Fenster "Events Type By Classifications" 

In diesem Fenster werden anhand eines Kuchendiagramms rechneroder 

netzwerkspezifische Ereignisse folgender Kategorien prozentual 

dargestellt: 

• Kritisch, hoch, mittel, niedrig 

• Nicht klassifiziert 


Fenster "Windows Events Count By Event Log" 

Screenshot 76 – Fenster "Windows Events Count By Event Log" 

In diesem Fenster wird anhand eines Kuchendiagramms der 

prozentuale Anteil der Windows-Ereignisse aus den Protokollen 

Sicherheit, System, Anwendungen, DNS-Server, Verzeichnisse und 

Dateireplikation angezeigt. 


Das Modul Database Operations 

Einführung 

Das Modul Database Operations von GFI EventsManager unterstützt 

Administratoren bei folgenden Aufgaben der Datenbankwartung: 

• Zusammenführung von Ereignissen, die entfernte 

GFI EventsManager-Instanzen erfasst haben, in einem zentralen 

Datenbank-Backend. 

• Optimierung der Leistung von GFI EventsManager durch aktives 

Überwachen der Größe des Datenbank-Backends. 

Gründe für die Datenbankwartung 

Die Datenbank muss regelmäßig gewartet werden, um einen 

übermäßig großen Datenbestand zu vermeiden. Die Leistung von 

GFI EventsManager wird bei Verwendung einer zu umfassenden 

Datenbank bedeutend eingeschränkt. Ereignisse lassen sich nur mit 

Verzögerung durchsuchen, und Abfragen werden verlangsamt. Auch 

die Berichterstellung mit dem Reporting-Modul GFI EventsManager 

ReportPack beansprucht mehr Zeit. 

Die Leistung des Datenbank-Backends lässt sich über die Database 

Operations optimieren. Es stehen mehrere Optionen für Wartungsaufgaben 

bereit. Hierzu zählen: 

• Move to database – Mit diesem Vorgang werden Ereignisse aus 

der Haupt-Datenbank in die Backup- oder eine andere Datenbank 

verschoben. 

• Export to file – Mit diesem Vorgang werden Ereignisse aus der 

Haupt-Datenbank in eine komprimierte Binärdatei exportiert. Diese 

lässt sich verschlüsseln und zur Sicherung auf CD/DVD oder 

einem anderen Datenträger speichern. 

• Import from file – Mit diesem Vorgang lassen sich Ereignisse aus 

Exportdateien von GFI EventsManager in die Haupt-Datenbank 

importieren. 

• Delete data – Mit diesem Vorgang lassen sich Ereignisse aus 

dem Haupt- oder Backup-Datenbank-Backend löschen. 

Für alle Vorgänge lassen sich zudem Filter zur gezielteren Wartung 

einrichten. 

GFI EventsManager Handbuch Das Modul Database Operations • 85

Konsolidieren von Ereignissen in einem WAN 

Abbildung 1: Konsolidieren von Ereignissen in einem WAN 

Bei Unternehmen mit mehreren Niederlassungen können einzelne 

oder alle erfassten Ereignisdaten dieser verteilten Dependancen mit 

den Database Operations in einer zentralen Datenbank konsolidiert 

werden. Zunächst werden die Daten per Export to file vorbereitet, 

damit die komprimierten und verschlüsselten Dateien zur zentralen 

Verarbeitung verschickt werden können. Sie werden dann nach dem 

Empfang per Import to file in die zentrale Datenbank importiert. 

Der Events Browser erlaubt dann die Anzeige der Ereignisse. Die in 

dieser Form in der zentralen Datenbank gesicherten Ereignisse lassen 

sich zudem zum Erstellen niederlassungsspezifischer Ereignisberichte 

nutzen. 

86 • Das Modul Database Operations GFI EventsManager Handbuch

Konfigurieren der Datenbankwartung per Database Operations 

Legen Sie fest, wann Wartungsarbeiten erfolgen sollen (Uhrzeit und 

Tag sowie Wartungsintervalle). 

Screenshot 77 – Konfigurierung der Database Operations 

Hinweis: Die Datenbankwartung kann zu Lasten der Leistung des 

Servers und von GFI EventsManager gehen. Für eine uneingeschränkte 

Verfügbarkeit Ihrer Systemressourcen und zur Vermeidung 

von Beeinträchtigungen sollten diese Arbeiten daher außerhalb der 

normalen Geschäftszeiten erfolgen. 

So konfigurieren Sie die Database Operations: 





den Knoten Database Operations und wählen Sie Properties. 

Hierdurch wird der Dialog für die Optionen zur Datenbankwartung 

geöffnet. 


Screenshot 78 – Optionen zur Datenbankwartung: Eindeutige Kennung einer Instanz von GFI 

EventsManager 

4. Geben Sie der Instanz von GFI EventsManager eine eindeutige 

Kennung, die der Identifizierung im Netzwerk dient. Diese ID ist bei 

dem Vorgang Export to file Bestandteil des Namens der zu 

exportierenden Datei. 


Screenshot 79 – Optionen zur Datenbankwartung: Wartung nach Zeitplan 

5. Per Mausklick auf den Reiter Schedule können Sie folgende 

Einstellungen festlegen: 

• Tageszeiten, zu denen Wartungsarbeiten durchgeführt werden 

können. 

• Der Zeitabstand in Stunden/Tagen, zu denen Wartungsarbeiten 

erfolgen sollen. 

• Der Startzeitpunkt für die erste Durchführung von 

Wartungsarbeiten. 

Einrichten einer Wartungsaufgabe 

So richten Sie eine neue Wartungsaufgabe ein: 





den Knoten Database Operations, und wählen Sie Create new job… 

Der Assistent zum Einrichten neuer Wartungsaufgaben wird 

aufgerufen. 

4. Klicken Sie auf die Schaltfläche Next, um zum Auswahlschritt Job 

Type zu gelangen. 


Screenshot 80 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Auswahl des 

Aufgabentyps 

5. Wählen Sie den gewünschten Aufgabentyp aus (zur Auswahl der 

verfügbaren Typen siehe oben unter "Gründe für die 

Datenbankwartung"). 

6. Geben Sie alle erforderlichen Parameter an, und klicken Sie auf die 

Schaltfläche Next. Im nächsten Schritt können Filter zur präziseren 

Verarbeitung der Ereignisprotokolle im Rahmen der Wartungsaufgabe 

eingerichtet werden. 

Hinweis: Weitere Informationen zur Festlegung der Parameter einer 

einzelnen Wartungsaufgabe erhalten Sie weiter unten in diesem 

Kapitel. 


Screenshot 81 – Festlegung zu bearbeitender Protokolltypen und Ereignisfilterung 

7. Legen Sie fest, welche Ereignisdaten der jeweiligen Protokolle aus 

dem Datenbank-Backend herausgefiltert werden sollen. Wird kein 

Filter definiert, erfolgt die Bearbeitung aller Daten des Datenbank- 

Backends. Klicken Sie auf die Schaltfläche Next. 

Hinweis: Weitere Informationen zur Festlegung von 

Filterbedingungen erhalten Sie unter „Konfigurieren der Filterbedingungen" 

in diesem Kapitel. 

Screenshot 82 – Zeitpunkt der Durchführung der Wartungsaufgabe 


8. Legen Sie fest, ob die Wartungsaufgabe nach Zeitplan oder sofort 

und nur einmalig durchzuführen ist. 

Hinweis 1: Aufgaben nach Zeitplan werden gemäß den Vorgaben der 

Database Operations durchgeführt. 

Hinweis 2: Andere ausgewählte Wartungsaufgaben werden nur 

einmal durchgeführt. 

9. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung 

abzuschließen. 

Screenshot 83 – Fortschrittsanzeige und Abschluss einer Wartungsaufgabe 

Wartungsaufgabe "Move to database" 

So erstellen Sie eine Wartungsaufgabe, mit der Ereignisse aus der 

Haupt-Datenbank in eine andere Datenbank verschoben werden: 

1. Starten Sie den Assistenten für neue Wartungsaufgaben ("New job 

wizard"), und wählen Sie den Aufgabentyp Move to database. 

Screenshot 84 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Aufgabe "Move to 

database" 


2. Geben Sie die Datenbank an, in die Ereignisse verschoben werden 

sollen. Hierbei sollte es sich um die Backup-Datenbank handeln oder 

eine andere zugängliche Datenbank auf dem SQL-Server, auf dem 

sich die Haupt-Datenbank befindet. 

3. Legen Sie mit der Option Move events older than the specified 

period fest, wie alt Ereignisse sein müssen (älter als der angegebene 

Wert), um verschoben werden zu können. 

4. Klicken Sie auf die Schaltfläche Next, um weitere Filterbedingungen 

für Ereignisdaten zu definieren. 

5. Die weiter festlegbaren Filterbedingungen sind aufgabenspezifisch. 

Sollten Sie keine weiteren Filterbedingungen angeben, werden alle 

Ereignisse, die älter sind als von Ihnen festgelegt, verschoben. 


Hinweis: Weitere Informationen zur Festlegung von Filterbedingungen 

erhalten Sie unter „Konfigurieren der Filterbedingungen" 




7. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung der 

Wartungsaufgabe zu beenden. 

Wartungsaufgabe "Export to file" 

So exportieren Sie Ereignisse aus der Haupt-Datenbank in eine Binärdatei: 


wizard"), und wählen Sie den Aufgabentyp Export to file. 

Screenshot 85 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Wartungsaufgabe 

"Export to file" 

2. Geben Sie den Zielordner für die Exportdatei an. Geben Sie 

Speicherpfade entfernter Ziele im UNC-Format an. 


Hinweis: Stellen Sie sicher, dass GFI EventsManager administrative 

Zugriffsrechte für den Zielordner besitzt. 

3. Legen Sie mit der Option Export events older than the specified 

period fest, wie alt ein Ereignis sein muss (älter als der angegebene 

Wert), um exportiert werden zu können. 

4. Klicken Sie auf die Schaltfläche Next, um ein Passwort zum Schutz 

der Exportdaten einzurichten. 

Screenshot 86 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Passwortschutz für 

eine Exportdatei 

5. Legen Sie fest, ob die zu exportierenden Ereignisdaten mit einem 

Passwort verschlüsselt werden sollen, und geben Sie dieses an. 

Klicken Sie auf die Schaltfläche Next, um weitere Filterbedingungen 


Hinweis 1: Wählen Sie ein sicheres Passwort zur Verschlüsselung 

aus. Beachten Sie, dass dieses zum Import der Datei erneut 

verwendet werden muss. 

6. Die weiter festlegbaren Bedingungen sind aufgabenspezifisch. 


Ereignisse, die älter sind als von Ihnen festgelegt, exportiert. Klicken 

Sie auf die Schaltfläche Next. 


erhalten Sie unter „Konfigurieren der Datenfilter- 

Bedingungen" in diesem Kapitel. 





Benennung der Exportdatei 

Exportdateien werden von GFI EventsManager nach folgendem 

Schema benannt: 


[ESM-ID]_[Aufgaben-ID]_[Datum von]_[Datum bis].EXP 

• ESM-ID – Zeigt die eindeutige Kennung der zugehörigen Instanz 

von GFI EventsManager an. 

• Aufgaben-ID – Zeigt die eindeutige Kennung der Wartungsaufgabe 

an. 

• Datum von – Informiert über das Datum des am längsten 

zurückliegenden Ereignisses, das exportiert wurde. 

• Datum bis – Informiert über das Datum des neuesten Ereignisses, 

das exportiert wurde. 

• .EXP – Bezeichnet die Dateierweiterung aller Exportdateien. 

Folgendes Beispiel zeigt den Namen einer Exportdatei: 

SERVER01_0051_20061020_20061025.EXP 

Wartungsaufgabe "Import from file" 

So importieren Sie in einer Exportdatei gesicherte Ereignisse in die 

Haupt-Datenbank: 


wizard"), und wählen Sie den Aufgabentyp Import from file. 


"Import from file" 

2. Geben Sie den Speicherort der Exportdatei an. Geben Sie 

Speicherpfade entfernter Ziele im UNC-Format an. 

Hinweis 1: Stellen Sie sicher, dass GFI EventsManager 

administrative Zugriffsrechte für den Ordner besitzt, in dem sich die 

Datei befindet. 

Hinweis 2: GFI EventsManager importiert alle Dateien mit der 

Erweiterung .EXP. 


3. Klicken Sie auf die Schaltfläche Next, um das Passwort zur 

Freigabe der Exportdaten anzugeben. 

Screenshot 88 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Angabe des 

Passworts bei der Aufgabe "Import from file" 

4. Geben Sie das Passwort zur Freigabe der Ereignisdaten an. 

Klicken Sie auf die Schaltfläche Next, um Filter für die Ereignisdaten 

zu definieren. 

Hinweis: Verwenden Sie das Passwort, das zur Verschlüsslung der 

Ereignisdaten verwendet wurde. 

5. Definieren Sie Filter, die auf die importierte Datei angewendet 

werden sollen. Klicken Sie auf die Schaltfläche Next. 

Hinweis 1: Mit Hilfe der für zu importierende Dateien definierbaren 

Filter lassen sich Ereignisse gezielt in die Haupt-Datenbank 

importieren. 

Hinweis 2: Weitere Informationen zur Festlegung von Filterbedingungen 

erhalten Sie unter „Konfigurieren der Filterbedingungen" 






Hinweis: Bei erfolgreich importierten Dateien wird die 

Dateierweiterung von EXP in IMP geändert. 


Wartungsaufgabe "Delete data" 

So entfernen Sie Ereignisse aus der Haupt-Datenbank: 


wizard"), und wählen Sie den Aufgabentyp Delete data. 

Hinweis: Wichtige Ereignisse sollten durch die Wartungsaufgaben 

Move to database oder Export to file gesichert werden, bevor die 

Aufgabe Delete data durchgeführt wird. Gelöschte Ereigniseinträge 

können NICHT wiederhergestellt werden. 


"Delete data" 

2. Legen Sie fest, ob Ereignisse aus der Haupt- oder Backend- 

Datenbank gelöscht werden sollen. 

3. Legen Sie mit der Option Delete events older than the specified 

period fest, wie alt ein Ereignis sein muss (älter als der angegebene 

Wert), um gelöscht zu werden. 

4. Klicken Sie auf die Schaltfläche Next, um weitere 

Filterbedingungen für Ereignisdaten zu definieren. 

5. Die weiter festlegbaren Bedingungen sind aufgabenspezifisch. 


Ereignisse, die älter sind als von Ihnen festgelegt, gelöscht. Klicken 



erhalten Sie unter „Konfigurieren der Datenfilter- 

Bedingungen" in diesem Kapitel. 



7. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung der 

Wartungsaufgabe zu beenden. 


Konfigurieren der Datenfilter-Bedingungen 

Durch das Einrichten von Filtern im Rahmen der Wartungsaufgaben 

können Ereignisdaten noch gezielter bearbeitet werden. So haben Sie 

die Möglichkeit, nur solche Ereignisse verarbeiten, verschieben, 

exportieren, löschen oder importieren zu lassen, die mit den 

angegebenen Filterbedingungen übereinstimmen. 

Filter können für einen oder mehrere der folgenden Protokolltypen 

eingerichtet werden: 

• Windows-Ereignisprotokolle 

• W3C-Protokolle 

• Syslog-Nachrichten 

Screenshot 90 – Festlegung zu bearbeitender Protokolltypen 

Um genauer zu definieren, welche Ereignisse durch die einzelnen 

Wartungsaufgaben verarbeitet werden sollen, klicken Sie im 

Assistenten "New job wizard" auf die Schaltfläche Filter neben dem 

jeweiligen Protokolltyp. 

Beispiel: Filter für Windows-Ereignisprotokolle 

Im folgenden Beispiel sollen durch die Festlegung von Bedingungen 

bestimmte Ereignisse aus dem Sicherheitsprotokoll von Windows 

exportiert werden: 

• Protokolltyp: Sicherheitsprotokoll 

• Ereignis-ID: 540 – erfolgreiche Anmeldung 

• Benutzer: Administrator 

• Ereignistyp: Fehler 

Die hierfür notwendigen Filtereinstellungen sind wie im folgenden 

Screenshot dargestellt zu konfigurieren: 


Screenshot 91 – Bearbeiten eines Filters für Windows-Ereignisse: 

Klicken Sie auf die Schaltfläche OK, um die Filtereinstellungen zu 

bestätigen. 


Erweiterte Filterbedingungen 

Screenshot 92 – Erweiterte Filterbedingungen 

Über den Dialog Edit filter lassen sich per Mausklick auf die Schaltfläche 

Advanced erweiterte Filterbedingungen festlegen. Sie erlauben 

es Ihnen, Filter auf alle von GFI EventsManager verwendeten 

Ereignis-Datenfelder anzuwenden. 

Hinweis: Filter lassen sich auch auf bereits erstellte Wartungsaufgaben 

anwenden. Weitere Informationen hierzu erhalten Sie unter 

"Bearbeiten einer Wartungsaufgabe". 


Anzeigen geplanter Wartungsaufgaben 

Screenshot 93 – Anzeigen geplanter Wartungsaufgaben 

So zeigen Sie geplante Wartungsaufgaben an: 




3. Klicken Sie im linken Navigationsbereich auf den Knoten Database 

Operations. 

4. Eine Übersicht aller geplanten Wartungsaufgaben wird im rechten 

Fenster angzeigt. 

Statusanzeige zu Wartungsprozessen 

Screenshot 94 – Fenster "Maintenance Jobs" 

Der Fortschritt aktuell durchgeführter Wartungsaufgaben kann über 

den Status-Monitor abgerufen werden. 


EventsManager auf die Option Status. 

2. Wählen Sie die Ansicht Job Activity. 

3. Der Status aktueller Wartungsaufgaben kann im Bereich 

Maintenance Jobs abgerufen werden. 


Bearbeiten einer Wartungsaufgabe 

So ändern Sie die Einstellungen von geplanten Wartungsaufgaben: 





Operations. 

4. Klicken Sie im rechten Fenster mit der rechten Maustaste auf die zu 

bearbeitende Wartungsaufgabe, und wählen Sie im Kontextmenü 

Properties. 

Screenshot 95 – Änderung von Einstellungen einer geplanten Wartungsaufgabe 

5. Konfigurieren Sie die Parameter wie oben beschrieben: 

• Über den Reiter General lassen sich folgende Einstellungen 

ändern: 

o 

o 

Speicherort von Dateien; Datenbanken 

Zeitliche Vorgaben für zu verarbeitende Ereignisse 

• Über den Reiter Data lassen sich Filterbedingungen ändern. 

• Der Reiter Data Protection dient der Bearbeitung von Passwort- 

Einstellungen. 


Bearbeiten der Priorität einer Wartungsaufgabe 

Screenshot 96 – Priorität einer Wartungsaufgabe 

Jeder erstellten Wartungsaufgabe wird eine Priorität zugewiesen. 

Diese richtet sich nach der Reihenfolge, in der die Aufgaben erstellt 

werden. Die zu Beginn erstellte Aufgabe erhält somit die Priorität 1, 

die drauf folgende die Priorität 2 usw. Die Abfolge der auszuführenden 

Aufgaben richtet sich nach deren Priorität. 

So erhöhen oder senken Sie die Priorität einer Wartungsaufgabe: 





Operations. 


bearbeitende Wartungsaufgabe. Wählen Sie im Kontextmenü 

Increase Priority zum Erhöhen oder Decrease Priority zum Senken 

der Priorität. 

Entfernen einer Wartungsaufgabe 

So löschen Sie noch nicht durchgeführte Wartungsaufgaben: 





Operations. 


löschende Wartungsaufgabe, und wählen Sie im Kontextmenü Delete. 


Wichtiger Hinweis: Wartungsaufgaben sollten mit Vorsicht gelöscht 

werden, da dieser Vorgang sich indirekt auf Ereignisdaten auswirkt. 

Beispiel: Einer Aufgabe "Export to file" ist eine höhere Priorität 

zugewiesen worden als der Aufgabe "Delete data" zum Löschen von 

Daten. Wird die Aufgabe "Export to file" gelöscht, kann die 

nachfolgende Aufgabe dazu führen, dass Ereignisdaten entfernt 

werden, ohne dass diese zuvor gesichert worden sind. 


Anpassen von Regeln zur 


Einführung 

Regeln zur Ereignisverarbeitung haben folgende Aufgaben: 

• Klassifizierung von verarbeiteten Ereignissen 

• Herausfilterung von sich wiederholenden oder unerwünschten 

Ereignissen 

• Versand von Warnmeldungen per E-Mail, SMS und Netzwerk bei 

wichtigen Ereignissen 

• Durchführung von Gegenmaßnahmen durch das Ausführen von 

Skripten und ausführbaren Dateien bei wichtigen Ereignissen 

Im Lieferumfang von GFI EventsManager sind vordefinierte Regeln 

enthalten, mit denen sich Ereignisse ohne großen Konfigurationsaufwand 

bearbeiten lassen. Diese Standardregeln lassen sich an 

eigene Anforderungen anpassen. Ebenso können Sie neue Regeln für 

alle unterstützten Protokolltypen erstellen (Windows-Ereignisprotokolle, 

W3C-Protokolle und Syslog-Nachrichten). 

GFI EventsManager verwaltet Regeln zur Ereignisverarbeitung in 

Regelsätzen, die wiederum in speziellen Regelsatz-Ordnern abgelegt 

werden. Für bereits mitgelieferte Standardregeln bestehen die 

nachfolgenden Regelsatz-Ordner: 

Regelsatz-Ordner 

Noise Reduction 

(Noise- 

Reduzierung) 

Security (Sicherheit) 

System Health 

(Systemzustand) 

Security 

Applications 

(Sicherheitsanwendungen) 

Infrastructure 

Server 

(Infrastruktur- 

Server) 

Database Server 

(Datenbank-Server) 

Beschreibung 

Regeln entfernen sich wiederholende und 

irrelevante Ereignisse aus Protokollen 

Regeln verarbeiten Sicherheits- und 

Systemprotokolle 

Regeln verarbeiten Anwendungs- und 


Regeln verarbeiten Anwendungs-, 

Sicherheits- und Systemprotokolle 

Regeln verarbeiten Anwendungs-, DNS- 

Server- und Systemprotokolle 

Regeln verarbeiten Anwendungsprotokolle 

GFI EventsManager Handbuch Anpassen von Regeln zur Ereignisverarbeitung • 105

Web Server 

(Webserver) 

Print Server 

(Drucker-Server) 

Terminal Services 

(Terminal-Dienste) 

Linux/Unix 

Cisco PIX & ASA 





Regeln verarbeiten Ereignisse von Terminal- 

Gerätetreibern 

Regeln verarbeiten Syslog-Ereignisse 

Regeln verarbeiten Ereignisse von Cisco 

PIX-Firewalls und Cisco Adaptive Security 

Applicances 

Erstellen eines neuen Regelsatz-Ordners 

Screenshot 97 – Auswahl von Protokolltypen 

So erstellen Sie einen neuen Regelsatz-Ordner: 



2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event 

Processing Rules. 

3. Wählen Sie aus der angezeigten Drop-Down-Liste den Protokolltyp 

aus, für den der Regelsatz-Ordner erstellt werden soll. 


Option Create folder aus. 

5. Geben Sie dem neuen Regelsatz-Ordner einen eindeutigen 

Namen. 

Umbenennen und Löschen von Ordnern 

Klicken Sie mit der rechten Maustaste auf den Regelsatz-Ordner, und 

wählen Sie zum Umbenennen des Ordners Rename bzw. zum 

Löschen Delete. 

Hinweis: Durch das Löschen eines Regelsatz-Ordners werden alle 

darin enthaltenen Regeln und Regelsätze gelöscht. 

Erstellen eines neuen Regelsatzes 

So erstellen Sie einen neuen Regelsatz: 





106 • Anpassen von Regeln zur Ereignisverarbeitung GFI EventsManager Handbuch

3. Wählen Sie aus der angezeigten Drop-Down-Liste den Protokolltyp 

aus, für den der Regelsatz erstellt werden soll. 

4. Klicken Sie mit der rechten Maustaste auf den Ordner, in dem der 

neue Regelsatz erstellt werden soll, und wählen Sie im Kontextmenü 

Create new rule set… aus. 

Screenshot 98 – Erstellen eines neuen Regelsatzes 

5. Geben Sie dem Regelsatz einen Namen und eine Beschreibung. 


speichern. 

Bearbeiten eines Regelsatzes 

So ändern Sie die Einstellungen eines Regelsatzes: 

1. Klicken Sie mit der rechten Maustaste auf den zu bearbeitenden 

Regelsatz, und wählen Sie im Kontextmenü Properties. 

2. Führen Sie die gewünschten Änderungen durch, und klicken Sie 

auf die Schaltfläche OK, um die Einstellungen zu speichern. 

Löschen eines Regelsatzes 

Klicken Sie mit der rechten Maustaste auf einen Regelsatz, und 

wählen Sie im Kontextmenü Delete, um ihn zu löschen. 


Erstellen einer neuen Regel für Windows-Ereignisprotokolle 

So erstellen Sie eine neue Regel, die nur für Windows- 

Ereignisprotokolle gilt: 





Screenshot 99 – Auswahl des Protokolltyps 

3. Wählen Sie aus der angezeigten Drop-Down-Liste den Eintrag 

Windows Event Logs aus. 

4. Klicken Sie mit der rechten Maustaste auf den Regelsatz, für den 

die neue Regel erstellt werden soll, und wählen Sie im Kontextmenü 

Create new rule… 

5. Geben Sie den Namen und die Beschreibung der neuen Regel an. 

Klicken Sie auf die Schaltfläche Next, um mit der Konfigurierung 

fortzufahren. 

Screenshot 100 – GFI EventsManager Protokollauswahl 

6. Wählen Sie die Ereignisprotokolle aus, für die die Regel gelten soll, 

und klicken Sie auf die Schaltfläche Next. 


Screenshot 101 – Einrichtung der Filterbedingungen 

7. Richten Sie die Filterbedingungen der Regel ein. Soll eine Regel für 

alle Ereignisse gelten, lassen Sie das Feld Event IDs frei. Klicken Sie 

auf die Schaltfläche Next. 

Hinweis: Weitere Informationen zur Festlegung erweiterter Filterbedingungen 

erhalten Sie im Kapitel "Erweiterte Ereignisfilter- 

Einstellungen". 

Screenshot 102 – Eintritt und Klassifizierung eines Ereignisses 

8. Legen Sie über The rule applies if the event happens fest, wann 

die Regel zur Anwendung kommen soll (jederzeit, während oder 

außerhalb der Arbeitszeit). 


Hinweis: Die Arbeitszeit richtet sich nach der Betriebszeit, die für eine 

Ereignisquelle definiert wurde. Weitere Informationen zur Festlegung 

der Betriebszeit finden Sie im Kapitel "Konfigurieren von Ereignisquellen" 

unter "Konfigurieren der Betriebszeit einer Ereignisquelle". 

9. Legen Sie mit Classify the event as die Klassifizierung eines 

Ereignisses fest ("kritisch", "hoch", "mittel", "niedrig" oder "Noise"), das 

die Bedingungen dieser Regel erfüllt. Klicken Sie auf die Schaltfläche 

Next. 

Screenshot 103 – Auswahl einer Aktion 

10. Legen Sie fest, welche Aktionen von der Regel durchgeführt 

werden sollen. Das Ereignis kann ignoriert werden (Ignore the 

event), es kann eine klassifizierungsabhängige Standardaktion 

erfolgen (Use the default classification actions), oder Sie wählen 

ein anpassbares Aktionsprofil (Use the following actions profile) 

aus. 

11. Klicken Sie auf die Schaltfläche Next, um die Konfigurierung 

abzuschließen. Klicken Sie auf die Schaltfläche Finish, um die 


Hinweis: Neu erstellte Regeln sind standardmäßig deaktiviert und 

müssen manuell aktiviert werden. Weitere Informationen zur 

Aktivierung von Regeln zur Ereignisverarbeitung erhalten Sie im 

Kapitel "Erfassen und Verarbeiten von Windows-Ereignisprotokollen". 


Erstellen einer neuen Regel für W3C-Protokolle 

So erstellen Sie eine neue Regel, die nur für W3C-Ereignisprotokolle 

gilt: 





3. Wählen Sie aus der Drop-Down-Liste den Eintrag W3C Logs aus. 






fortzufahren. 

Screenshot 104 – Auswahl des W3C-Protokolls 

6. Klicken Sie auf die Schaltfläche Add. Geben Sie den Dateipfad des 

W3C-Protokolls an, für das die Regel gelten soll. Wird kein Pfad 

angegeben, wird die Regel auf alle W3C-Protokolle angewendet. 


Hinweis: Es lassen sich mehrere Dateipfade angeben. 


Screenshot 105 – Konfigurierung von Filterbedingungen 

7. Klicken Sie auf die Schaltfläche Add, um Bedingungen für die 

Ereignisfilterung festzulegen. Wiederholen Sie diesen Schritt, bis alle 

Bedingungen festgelegt sind. Klicken Sie auf die Schaltfläche Next. 





außerhalb der regulären Arbeitszeit). 






Ereignisses fest ("kritisch", "hoch", "mittel", "niedrig" oder "Noise"), das 

die Bedingungen dieser Regel erfüllt. Klicken Sie auf die Schaltfläche 

Next. 







aus. 







Kapitel "Erfassen und Verarbeiten von W3C-Protokollen". 


Erstellen einer neuen Syslog-Regel 

So erstellen Sie eine neue Regel, die nur zur Verarbeitung von 

Syslog-Nachrichten gilt: 





3. Wählen Sie aus der Drop-Down-Liste den Eintrag Syslog aus. 






fortzufahren. 

Screenshot 108 – Konfigurierung von Filterbedingungen 

6. Geben Sie alle im Rahmen dieser Regel zu beachtenden 

Filterbedingungen an. Klicken Sie auf die Schaltfläche Next, 

nachdem Sie alle Bedingungen festgelegt haben. 

Hinweis: Weitere Informationen zur Festlegung erweiterter 

Filterbedingungen erhalten Sie im Kapitel "Erweiterte Ereignisfilter- 

Einstellungen". 





außerhalb der regulären Arbeitszeit). 






Ereignisses fest ("kritisch", "hoch", "mittel", "niedrig"), das die 

Bedingungen dieser Regel erfüllt. Klicken Sie auf die Schaltfläche 

Next. 








aus. 







Kapitel "Erfassen und Verarbeiten von Syslog-Nachrichten". 

Ändern der Regeleigenschaften 

Screenshot 111 – Eigenschaften einer Regel zur Ereignisverarbeitung 

So ändern Sie die Eigenschaften einer Regel zur Ereignisverarbeitung: 

1. Klicken Sie mit der rechten Maustaste auf die zu bearbeitende 

Regel, und wählen Sie im Kontextmenü Properties. Der Dialog zur 

Anpassung der Regeleigenschaften wird aufgerufen. 

2. Über folgende Reiter lassen sich die Regel-Parameter ändern: 

• General – Erlaubt die Festlegung allgemeiner Regeleigenschaften 

wie Name und Klassifizierung. 


• Logs – Nur für Regeln zu W3C-Protokollen aufrufbar. Geben Sie 

die W3C-Protokolle an, auf die diese Regel angewendet werden 

soll. 

• Event Logs – Nur für Regeln zu Windows-Ereignisprotokollen 

aufrufbar. Geben Sie an, welche Ereignisse mit dieser Regel 

verarbeitet werden sollen. 

• Conditions – Legen Sie Bedingungen zur Ereignisfilterung fest. 

• Actions – Geben Sie an, welche Warnungen und Aktionen 

aufgrund dieser Regel erfolgen sollen. 

• Threshold – Geben Sie an, wie oft ein Ereignis erkannt worden 

sein muss, bevor Warnungen und Aktionen erfolgen. Hierdurch 

lassen sich durch Noise ausgelöste Fehlalarme vermeiden. 


Erweiterte Einstellungen zur Ereignisfilterung 

Administratoren stehen zur differenzierteren Ereignisfilterung weitere 

Detaileinstellungen zur Verfügung. Diese sind nur für Windows- 

Ereignisse und Syslog-Nachrichten nutzbar. 

Bedingungen für Windows-Ereignisse 

Feld "Event IDs": 

Folgende Parameter können über das Feld Event IDs angegeben 

werden: 

Parameter-Art 

Einzelereignis 

Lose Folge von 

Ereignissen 

Ereignisbereich 

Variable Ereignisangabe 

Beispiel: 

Felder "Source", "Category" und "User" 

Folgende Parameter können über die Felder Source, Category und 

User angegeben werden: 

Parameter-Art 

Name einer Einzelquelle 

Mehrere Quellen 

Platzhalter (% und *) 

Syslogspezifische Kategorien 

Felder "Message" und "Process": 

Beispiel: 

Folgende Parameter können über die Felder Message und Process 

angebenen werden: 

Parameter-Art 

Einzelne Nachricht 

Mehrere Nachrichten 

Platzhalter (% und *) 

Beispiel: 


Konfigurieren von Benutzern und 

Gruppen 

Einführung 

Screenshot 112 – Konfigurierung von Benutzern und Gruppen 

Bei Auslösung einer Warnung erfolgt deren Versand (z. B. per E-Mail 

oder SMS) unter Berücksichtigung zuvor definierter Benutzereigenschaften. 

In den Benutzereigenschaften sind die Kontaktdaten und Arbeitszeiten 

jedes für den Erhalt von Warnungen vorgesehenen Empfängers festgelegt. 

Unter Berücksichtigung dieser Angaben bestimmt 

GFI EventsManager automatisch die Art der während und außerhalb 

der angegebenen Arbeitszeiten zu verschickenden Warnung. 

Empfänger von Warnungen lassen sich mit Hilfe von Gruppen 

verwalten. Warnoptionen können hierdurch übergreifend und 

zeitsparend für alle Mitglieder der Gruppe definiert werden. 

GFI EventsManager Handbuch Konfigurieren von Benutzern und Gruppen • 119

Erstellen eines neuen Benutzers 

So erstellen Sie einen neuen Benutzer: 




Options. 

3. Erweitern Sie im linken Navigationsbereich die Struktur des 

Knotens Users and Groups. Klicken Sie mit der rechten Maustaste 

auf den Unterknoten Users, und wählen Sie im Kontextmenü Create 

user ..., um den Benutzer zu erstellen. 

4. Legen Sie die Benutzereigenschaften wie gewünscht fest. Weitere 

Informationen hierzu erhalten Sie im Kapitel "Erste Schritte" unter 

"Konfigurieren des Administratorkontos von GFI EventsManager". 

Ändern von Benutzereigenschaften 

So ändern Sie die Eigenschaften eines Benutzers: 


Knotens Users and Groups. Klicken Sie auf den Knoten Users. 

2. Klicken Sie mit der rechten Maustaste auf den zu bearbeitenden 

Benutzer, und wählen Sie im Kontextmenü Properties. 



Löschen von Benutzern 

So löschen Sie einen Benutzer: 


Knotens Users and Groups. Klicken Sie auf den Knoten Users. 

2. Klicken Sie im rechten Fenster mit der rechten Maustaste auf den 

zu löschenden Benutzer, und wählen Sie im Kontextmenü Delete. 

120 • Konfigurieren von Benutzern und Gruppen GFI EventsManager Handbuch

Konfigurieren von Gruppen 

Screenshot 113 –Konfigurierung von Gruppen 




Options. 


Knotens Users and Groups. Klicken Sie mit der rechten Maustaste 

auf den Unterknoten Groups, und wählen Sie im Kontextmenü Create 

group ..., um die Gruppe zu erstellen. 

GFI EventsManager Handbuch Konfigurieren von Benutzern und Gruppen • 121

Screenshot 114 – Einrichtung einer neuen Gruppe 

4. Geben Sie der Gruppe einen Namen. 

5. Klicken Sie auf die Schaltfläche Add, um der Gruppe Benutzer 

hinzuzufügen. 


speichern. 

Ändern von Eigenschaften einer Benutzergruppe 

So ändern Sie die Eigenschaften einer Benutzergruppe: 


Knotens Users and Groups. Klicken Sie auf den Knoten Groups. 


bearbeitende Gruppe, und wählen Sie im Kontextmenü Properties. 



Löschen von Benutzergruppen 

So löschen Sie eine Benutzergruppe: 


Knotens Users and Groups. Klicken Sie auf den Knoten Groups. 


löschende Gruppe, und wählen Sie im Kontextmenü Delete. 

122 • Konfigurieren von Benutzern und Gruppen GFI EventsManager Handbuch

Ergänzende Optionen 

Befehlszeilen-Tools 

GFI EventsManager bietet drei Befehlszeilen-Tools für den Export und 

Import von Daten: 

• Exportdata.exe: Exportiert Daten aus einer Datenbank von GFI 

EventsManager 7.1 mit Hilfe des Moduls Database Operations. 

• Importdata.exe: Importiert Daten in eine Datenbank von GFI 

EventsManager 7.1 mit Hilfe des Moduls Database Operations. 

• Importsettings.exe: Importiert Konfigurationseinstellungen aus 

einem Ordner oder einer konfigurationsspezifischen Export-Datei 

(.esmbkp). Dieses Tool dient vorrangig der Wiederherstellung 

zuvor gesicherter Einstellungen. 

Exportdata.exe 

Mit diesem Tool werden Daten aus der GFI EventsManager- 

Datenbank in eine Binärdatei exportiert. 

Verwendung: 

exportdata.exe 

Parameter 

/folder: 

/period: 

/password: 

 

 

Datei- 

Passwort 

Erforderlich/ 

optional 

Erforderlich 

Optional 

Optional 

Beschreibung 

Gibt das Verzeichnis zur Speicherung der 

Datendatei an. 

Exportiert Ereignisse, die älter sind als 

angegeben (in Stunden). Standard: 7 Tage. 

Legt ein Passwort für die Verschlüsselung fest. 

/delete Optional Löscht die Ereignisse nach dem Export. 

/movetodb: 

 

Optional 

Verschiebt Ereignisse in eine andere Datenbank 

auf demselben Server. Bei Nichtangabe des 

Namens wird die Backup-Datenbank gewählt. 

Hinweis: Parameter mit Leerzeichen müssen in doppelten 

Anführungsstrichen (") stehen. 

Beispiel: 

Exportdata.exe /folder:c:\exportfiles /period:240 /password:aip112sK 

GFI EventsManager Handbuch Ergänzende Optionen • 123

Bei diesem Beispiel erfolgt der Datenexport wie folgt: 

In ein Verzeichnis mit dem Namen "exportfiles" auf Laufwerk "c:\" 

Es werden Ereignisse exportiert, die alter als 10 Tage sind (240 

Stunden) 

Die Daten werden mit dem Passwort "aip112sK" geschützt. 

Importdata.exe 

Mit diesem Tool werden in Binärdateien gesicherte Daten in die 

GFI EventsManager-Datenbank importiert. 

Verwendung: 

importdata.exe 

Parameter 

/folder: 

/password: 

 

Datei- 

Passwort 

/dbserver: 

 

/dbname: 

 

/dbuser: 

 

/dbpass: 

 

Erforderlich/ Beschreibung 

optional 

Erforderlich Gibt das Verzeichnis zur Speicherung der 

Datendatei an. 

Optional 

Optional 

Optional 

Optional 

Optional 

Gibt das Passwort zur Freigabe der Datei an. 

Gibt den Server mit der Ziel-Datenbank an. Bei 

Nichtangabe werden die in GFI EventsManager 

definierten Datenbankinformationen verwendet. 

Gibt den Namen der Ziel-Datenbank an. Bei 

Nichtangabe wird der in GFI EventsManager 

definierte Datenbank-Name verwendet. 

Gibt den Benutzernamen zur Herstellung der 

Datenbank-Verbindung an. Bei Nichtangabe wird 

die Windows-Authentifizierung verwendet. 

Gibt das Passwort für die Verbindungsherstellung 

mit dem Ziel-Server/der Ziel-Datenbank an. Bei 

Nichtangabe wird das Passwort ignoriert. 



Beispiel: 

importdata.exe /folder:c:\exportfiles /password:aip112sK 

/dbserver:192.168.3.55 /dbname:mainesmdb /dbuser:sa 

/dbpass:sapwd 

Bei diesem Beispiel erfolgt der Datenimport wie folgt: 

Aus einem Verzeichnis mit dem Namen "exportfiles" auf Laufwerk "c:\" 

Die Daten werden mit dem Passwort "aip112sK" freigegeben. 

Es erfolgt die Speicherung in der Datenbank auf dem Server mit der 

IP-Adresse 192.168.3.55. Der Datenbank-Name lautet "mainesmdb", 

und folgende Zugangsdaten sind erforderlich: Benutzername: "sa" und 

Passwort "sapwd". 

124 • Ergänzende Optionen GFI EventsManager Handbuch

Importsettings.exe 

Mit diesem Tool können zuvor exportierte Konfigurationseinstellungen 

von GFI EventsManager importiert werden. 

Verwendung: 

importsettings.exe 

Parameter 

/operation: 

 

/destination: 

 

/Sourcefile: 

 

/Sourcefolder: 

 

Erforderlich/ 

optional 

Erforderlich 

Beschreibung 

Gibt den durchzuführenden Vorgang an (Import 

eines Verzeichnisses [importfolder] oder einer 

Datei [importfile]) 

Optional Gibt das Zielverzeichnis an, in das die 

Konfigurationsdaten importiert werden sollen. 

Optional 

Optional 

Gibt den Namen der Datei mit den exportierten 

Konfigurationsdaten von GFI EventsManager an. 

Gibt den Namen des Verzeichnisses mit den 

exportierten Konfigurationsdaten von GFI 

EventsManager an. 



Beispiel: 

importdata.exe /operation:importfolder: /destination: c:\esm\data 

/sourcefolder: c:\esm\old / 

Bei diesem Beispiel erfolgt der Datenimport wie folgt: 

Per Vorgang "importfolder" werden Konfigurationsdaten aus dem 

Verzeichnis "c:\esm\old" in das Verzeichnis "c:\esm\data" importiert. 

Anpassen von eindeutigen Kennungen 

Die eindeutige Kennung einer Instanz von GFI EventsManager lässt 

sich ebenfalls per Befehlszeile verändern. Hierdurch können Sie 

dieselben Konfigurationseinstellungen importieren, ohne doppelte 

Instanzkennungen zu erhalten. Weitere Informationen erhalten Sie im 

Kapitel "Das Modul Datebase Operations" unter "Konfigurieren der 

Datenbankwartung per Database Operations". 

Fügen Sie die folgende Option den Befehlszeilenparametern von 

importdata.exe hinzu, um eine neue eindeutige Kennung für eine 

Instanz von GFI EventsManager anzugeben. 

Parameter Erforderlich/ Beschreibung 

optional 

/id: Optional Gibt nach dem Import der Konfigurationseinstellungen 

die neue Kennung der Instanz von 

GFI EventsManager an. Dieser Parameter dient 

nur der Änderung der Instanz-ID. Bei 

Nichtangabe wird die bestehende ID 

beibehalten. 


Lizenzierung 

So überprüfen Sie die Lizenzinformationen von GFI EventsManager: 

1. Klicken Sie in der Symbolleiste der Verwaltungskonsole von 

GFI EventsManager auf General. 

2. Klicken Sie im linken Navigationsbereich auf Licensing. Die 

Lizenzinformationen werden im rechten Fenster der Verwaltungskonsole 

angezeigt. 

Eingeben des Registrierschlüssels nach der Installation 

So geben Sie den Registrierschlüssel nach der Installation ein: 




auf Licensing, und wählen Sie Edit license key… 

Screenshot 115 – Eingabe des Registrierschlüssels 

3. Geben Sie den Registrierschlüssel an. 


speichern. 


Versionsinformationen 

So überprüfen Sie die von Ihnen verwendete Version von 

GFI EventsManager: 



2. Klicken Sie im linken Navigationsbereich auf Version Information. 

Die Versionsinformationen werden im rechten Fenster der 

Verwaltungskonsole angezeigt. 

Screenshot 116 – Versionsinformationen 

Suchen nach neueren Builds 

So suchen Sie nach neueren Builds von GFI EventsManager: 




auf Version Information, und wählen Sie im Kontextmenü Check for 

newer builds… 



Troubleshooting 

Einführung 

Knowledge-Base 

In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei 

Problemen gibt. Folgende Informationsquellen stehen zur Verfügung: 

• Das Handbuch – die meisten Probleme lassen sich mit Hilfe des 

Handbuchs lösen. 

• Die GFI Knowledge-Base auf der Website von GFI. 

• Die GFI-Site für technischen Support. 

• E-Mail-Anfrage an den technischen Support von GFI unter 

support@gfisoftware.de 

• Kontaktaufnahme mit dem technischen Support von GFI über den 

englischsprachigen Live-Support unter http://support.gfi.com/ 

livesupport.asp. 

• Telefonische Kontaktaufnahme mit dem technischen Support von 

GFI. 

Die Knowledge-Base von GFI hält Antworten zu den am häufigsten 

gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die 

Knowledge-Base konsultieren. Diese Wissensdatenbank bietet immer 

die neuesten Informationen zu Support-Fragen und Patches. 

Sie kann aufgerufen werden unter http://kbase.gfi.com. 

Support-Anfrage per E-Mail 

Wenn Sie Probleme mit Hilfe der Wissensdatenbank und dem 

Handbuch nicht lösen konnten, wenden Sie sich an den technischen 

Support von GFI. Sie sollten den Support per E-Mail kontaktieren, da 

Sie Ihrer Nachricht wichtige Informationen beifügen können, die 

helfen, Ihre Fragen schneller zu beantworten. 

Das Programm Troubleshooter aus der Programmgruppe generiert 

automatisch eine Reihe von Dateien, die der technische Support zur 

Problemanalyse benötigt. Die Dateien beinhalten u. a. Angaben zur 

Konfiguration. Um diese Dateien zu erzeugen, starten Sie den 

Troubleshooter, und folgen Sie den Anweisungen des Programms. 

Neben dem Erfassen allgemeiner Informationen stellt Ihnen das 

Programm einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt 

zu beantworten. Ohne die richtigen Informationen ist es dem Support 

nicht möglich, Ihr Problem genauer zu diagnostizieren. 

Öffnen Sie danach im Programmverzeichnis das Unterverzeichnis 

„Support“ (unter „troubleshooter\support“), komprimieren Sie die darin 

GFI EventsManager Handbuch Troubleshooting • 129

enthaltenen Dateien im ZIP-Format, und senden Sie die komprimierte 

ZIP-Datei an support@gfisoftware.de. 

Stellen Sie jedoch zuvor sicher, dass Sie Ihr Produkt auf der GFI- 

Website unter http://www.gfisoftware.de/de/pages/regfrm.htm 

registriert haben! 

Ihre Anfrage wird für gewöhnlich innerhalb von 24 Stunden 

beantwortet. 

Support-Anfrage per Web-Chat 

Sie erhalten weiteren technischen Support über unseren Live-Chat im 

Web. Die Kontaktaufnahme über den Live-Support erfolgt unter 

http://support.gfi.com/livesupport.asp. 



registriert haben. 

Support-Anfrage per Telefon 

Web-Forum 

Für technische Hilfe können Sie auch telefonischen Kontakt mit dem 

Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr 

Land finden Sie auf der Website von GFI. 

Website für technischen Support: 

http://support.gfi.com. 



registriert haben. 

Über das Web-Forum steht Ihnen der User-to-User-Support zur 

Verfügung. Das Forum erreichen Sie unter 

http://forums.gfi.com/. 

Mitteilungen zu neuen Builds 

Es wird empfohlen, für aktuelle Informationen zu den neuesten 

Produkt-Builds den entsprechenden GFI-Newsletter zu abonnieren. 

Um stets über alle aktuellen Builds auf dem Laufenden zu sein, 

können Sie den Newsletter abonnieren unter: 

http://support.gfi.com. 

130 • Troubleshooting GFI EventsManager Handbuch

Anhang 1 – SMS-Einstellungen 

Globale Einstellungen für Warnungen per SMS/Pager 

Hinweis: Dieser Anhang richtet sich nur an fortgeschrittene 

Anwender. GFI kann die korrekte Funktionsweise des SMS-Verwands 

beim Einsatz von GFI EventsManager mit einem SMS-Provider nicht 

garantieren. Informieren Sie sich vor der Konfigurierung von SMS- 

Warnungen bei Ihrem SMS-Service-Provider über die empfohlenen 

Einstellungen. 

Screenshot 117 – Einstellungen für SMS-Warnungen 

Für die Weiterleitung von SMS-Warnungen mit GFI EventsManager 

stehen folgende Möglichkeiten bereit: 

• Integrierter GSM SMS-Server 

• SMS-Service von GFI FAXmaker 

• E-Mail-zu-SMS-Dienst von Clickatell 

• Standardmäßiger SMS-Service-Provider 

GFI EventsManager Handbuch Anhang 1 – SMS-Einstellungen • 131

Integrierter GSM SMS-Server 

Abbildung 7 – Weiterleitung von SMS-Warnungen über integrierten GSM-Server 

Der in GFI EventsManager integrierte GSM SMS-Server ermöglicht 

Ihnen den direkten Versand von SMS-Mitteilungen per GSM-Telefon 

oder -Modem. Die Verbindung kann über ein serielles Kabel, per 

Infrarot oder via Bluetooth erfolgen. 

Screenshot 118 – Eigenschaften des integrierten GSM SMS-Servers 

Anforderungen 

1. Erforderlich ist ein GSM-Modem oder -Telefon, das AT+ C-Befehle 

verarbeiten kann. Dieses GSM-Gerät muss mit dem Server verbunden 

werden, auf dem GFI EventsManager läuft. 

132 • Anhang 1 – SMS-Einstellungen GFI EventsManager Handbuch

2. Es muss ein Übermittlungsvertrag mit einem SMSC-Provider (SMS 

Service Center) bestehen. 

Konfigurieren des integrierten GSM SMS-Servers 

So konfigurieren Sie den integrierten GSM SMS-Server: 

1. Klicken Sie mit der rechten Maustaste auf den Knoten Alerting 

Options, und wählen Sie Properties. 

2. Klicken Sie auf den Reiter SMS, und wählen Sie aus der Drop- 

Down-Liste Select SMS die Option In-built GSM SMS Server aus. 

Screenshot 119 – Bearbeitung der Eigenschaften des SMSC 

3. Doppelklicken Sie auf die Eigenschaft, die Sie konfigurieren 

möchten (z. B. die Nummer des SMS Service Centers). Legen Sie die 

neuen Einstellungen im Dialogfenster Edit Property fest. 

Hinweis: Verwenden Sie beim Konfigurieren von Eigenschaften 

immer die Angaben, die von Ihrem SMSC-Provider bereitgestellt 

wurden. Sollten Ihnen keine Konfigurationsparameter zur Verfügung 

gestellt worden sein, fordern Sie diese Informationen bei Ihrem 

Provider an. 

Für den integrierten GSM SMS-Server sind folgende Parameter 

festzulegen: 

• Service Center Number – Die Nummer des SMS-Service- 

Centers (SMSC) Ihres Providers. Diese Nummer erhalten Sie 

von Ihrem SMS-Service-Provider. 

• COM port – Wählen Sie den COM-Port aus, an dem das GSM- 

Gerät (Telefon/Modem) angeschlossen ist. 

• Baud Rate – Legen Sie die Datenübertragungsrate fest. 

Verwenden Sie hierbei immer die vom SMSC-Provider 

empfohlene Geschwindigkeit. 

• Initialization String – (Optional) Geben Sie, falls notwendig, AT- 

Befehle an, die an Ihr Modem geschickt werden sollen. 

Hinweis: Beim Initialisierungsstring handelt es sich um eine Reihe 

von modemspezifischen AT-Befehlen, die in einem String angegeben 

sind (z. B. AT &F &C1 &D2). Die vollständige Liste der AT-Befehle 

finden Sie hier: http://www.modems.com/general/extendat.html. 

4. Geben Sie im Eingabefeld Retries die Gesamtzahl der Versuche 

für die Übermittlung der SMS-Warnung an, falls die erste Übermittlung 

erfolglos war. 


speichern. 


Vorlage für den SMS-Service von GFI FAXmaker 

Abbildung 8 – Weiterleitung von SMS-Warnungen über den SMS-Service von GFI FAXmaker 

GFI EventsMonitor kann den SMS-Service von GFI FAXmaker 

nutzen, um SMS-Mitteilungen über GFI FAXmaker zu versenden. 

GFI FAXmaker ist der marktführende Fax-Server, der den Versand 

und Empfang von Fax- und SMS-Mitteilungen im Rahmen des 

normalen E-Mail-Worflows ermöglicht. Der SMS-Gateway von GFI 

FAXmaker erlaubt die Übermittlung von Kurzmitteilungen per 

• mit dem Fax-Server verbundenen GSM-Telefon/Modem 

oder 

• Web-basierten SMS-Provider. 

Weitere Informationen zu GFI FAXmaker stehen zur Verfügung unter 

http:// www.gfisoftware.de/de/faxmaker/. 

Löst ein Ereignis eine Warnung aus, die per SMS verschickt werden 

soll, sendet GFI EventsManager über E-Mail (via SMTP) eine 

Nachrichtenvorlage an den Fax-Server. Diese Vorlage enthält alle für 

die SMS-Warnung benötigten Informationen, darunter der Text der 

SMS-Mitteilung und die Empfängernummer. GFI FAXmaker 

konvertiert die Vorlage in das SMS-Format und verschickt sie an den 

gewünschten Empfänger. 


Screenshot 120 – Konfigurierung des SMS-Diensts von GFI FAXmaker 

Anforderungen 

Folgende Anforderungen bestehen für die Nutzung des SMS-Service 

von GFI FAXmaker: 

1. Sie benötigen GFI FAXmaker mit konfiguriertem Dienst für die 

SMS-Kommunikation. Weitere Informationen zur Konfigurierung des 

SMS-Gateways von GFI FAXmaker erhalten Sie im Kapitel "Der SMS- 

Gateway" im Handbuch zu GFI FAXmaker. Das Handbuch zu 

GFI FAXmaker steht zum Download bereit unter 

http://www.gfi.com/downloads/downloads.aspxpid=fax&lid=de. 

2. Ein unterstütztes GSM-Telefon/Modem, verbunden mit dem GFI 

FAXmaker Fax-Server, oder Nutzung der SMS-Dienste eines 

unterstützten Web-basierten SMS-Providers. 

Konfigurieren des SMS-Diensts von GFI FAXmaker 

So konfigurieren Sie den SMS-Dienst von GFI FAXmaker: 


Options, und wählen Sie Properties. 


Down-Liste Select SMS die Option FAXmaker SMS service provider 

template aus. 


möchten (z. B. den SMTP-Server). Legen Sie die zugehörigen 

Einstellungen im Dialogfenster Edit Property fest. 


Für den SMS-Dienst von GFI FAXmaker müssen folgende Parameter 

festgelegt werden: 

• SMTP server – Geben Sie den Namen des SMTP-Servers an, 

über den GFI EventsManager die E-Mail mit der Vorlage an 

GFI FAXmaker schickt. 

• SMTP port – Geben Sie den SMTP-Port an, über den der 

Versand laufen soll. Die Vorgabe lautet "25" (standardmäßiger 

SMTP-Port). 

• From – Geben Sie das Konto an, über das die E-Mail mit der 

Vorlage verschickt werden soll. Dieser Parameter ist wie folgt 

anzugeben: @. 

• To – (Vorgabe beizubehalten) Dies ist die E-Mail-Adresse, unter 

der GFI FAXmaker E-Mails mit der in das SMS-Format zu konvertierenden 

Vorlage erhält, (d. h. [smsnumber]@smsmaker.com). 

Die Variable [smsnumber] wird beim Erstellen der Vorlagen-E-Mail 

durch die Nummer des SMS-Empfängers ersetzt. Beispiel: Soll 

eine SMS-Warnung an einen Empfänger mit der Nummer 

8888555 geschickt werden, erfolgt der Versand der Vorlagen-E- 

Mail an 8888555@smsmaker.com. GFI FAXmaker übermittelt die 

SMS dann an die in der E-Mail-Adresse angegebene Nummer. 

• Subject – (Optional) Geben Sie den Text ein, der im Betreff der 

Vorlagen-E-Mail stehen soll. 


für die Übermittlung der SMS-Warnung an, falls die erste Übermittlung 

erfolglos war. 


speichern. 

E-Mail-zu-SMS-Dienst von Clickatell 

Abbildung 9 – Weiterleitung von SMS-Warnungen über den E-Mail-zu-SMS-Dienst von Clickatell 

Der E-Mail-zu-SMS-Dienst von Clickatell erlaubt den SMS-Versand 

von Warnungen, die von GFI EventsManager ausgegeben werden. 

Der Web-basierte SMS-Dienst von Clickatell übermittelt Kurzmitteilungen 

weltweit. 



Nachrichtenvorlage an den SMS-Gateway von Clickatell. Diese 

Vorlage enthält alle für die SMS-Warnung benötigten Informationen, 

darunter der Text der SMS-Mitteilung und die Empfängernummer. 

Clickatell konvertiert die Vorlagen-E-Mail in das SMS-Format und 

verschickt sie an den gewünschten Empfänger. Weitere Informationen 


zu Clickatells SMS-Service erhalten Sie unter 

http://www.Clickatell.com/brochure/products/api_smtp.php. 

Screenshot 121 – Konfigurierung des E-Mail-zu-SMS-Diensts von Clickatell 

Anforderungen 

Für den Versand von SMS-Warnungen mit Hilfe dieses Diensts gelten 

keine besonderen Hardware-Anforderungen. Folgende Voraussetzungen 

müssen jedoch erfüllt sein, um den Service nutzen zu 

können: 

1. Sie müssen für die Nutzung des SMS-Gateways von Clickatell 

registriert und Kunde von Clickatell sein. Um sich für den Clickatell- 

Service anzumelden, gehen Sie auf: 

http://www.Clickatell.com/central/campaigns/redir.phpcid=870. 

2. Der im Dialog Alerting Options unter den Eigenschaften des 

Clickatell-Diensts konfigurierte SMTP-Server muss E-Mails über das 

Internet versenden können. 

Hinweis: GFI EventsManager kann bei einer fehlenden oder 

gestörten Internet-Verbindung keine SMS-Warnungen über den 

Clickatell-Service verschicken. 

Konfigurieren des E-Mail-zu-SMS-Diensts von Clickatell 

So konfigurieren Sie den E-Mail-zu-SMS-Dienst von Clickatell: 


Options, und wählen Sie im Kontextmenü Properties. 

2. Klicken Sie auf den Reiter SMS, und wählen Sie aus 

der Drop- 

Down-Liste Select SMS die Option Clickatell Email2SMS Service. 





Hinweis: Verwenden Sie beim Konfigurieren von Eigenschaften die 

Angaben, die von Clickatell bereitgestellt wurden. Sollten Sie keine 

Konfigurationsparameter erhalten haben, fordern Sie diese 

Informationen von Clickatell an. 

Für den SMS-Dienst von Clickatell müssen folgende Parameter 



über den GFI EventsManager die E-Mail an den SMS-Gateway 

schickt. 



STMP-Port). 

• From – Geben Sie das Konto an, über das die E-Mail verschickt 

werden soll. Sie können beispielsweise die in GFI EventsManager 

konfigurierte E-Mail-Adresse für standardmäßige Warnmeldungen 

angeben. 

• To – Geben Sie die E-Mail-Adresse des SMS-Gateways von 

Clickatell an (d. h. die Adresse, an die GFI EventsManager E- 

Mails zur Konvertierung in das SMS-Format schicken soll). Diese 

Adresse ist von Clickatell vorgegeben. Standardmäßig lautet sie 

sms@messaging.Clickatell.com. 

Hinweis: Verändern Sie diese Angabe nur dann, wenn Sie von 

Clickatell dazu aufgefordert werden. 

• CC – (Optional) Geben Sie eine E-Mail-Adresse an, an die Kopien 

der an den SMS-Gateway geschickten E-Mails weitergeleitet 

werden sollen. 

• Subject – (Optional) Geben Sie den Text ein, der im Betreff der E- 

Mail stehen soll. 

• Body line 1 – Geben Sie die API-ID an (z. B. api_id:124576). Bei 

der API-ID handelt es sich um eine Kennziffer, die Ihnen von 

Clickatell nach der Anmeldung für den SMS-Dienst zugewiesen 

wird. Dieser Parameter ist wie folgt anzugeben: api_id:. 

Hinweis: Ist Ihnen Ihre API-ID nicht bekannt, fordern Sie diese 

Nummer direkt bei Clickatell an. 

• Body line 2 – Geben Sie Ihren Benutzernamen für den SMS- 

Gateway von Clickatell an (z. B. User:JasonM). Dieser Parameter 

ist wie folgt anzugeben: User: 

Hinweis: Ist Ihnen Ihr Benutzername nicht bekannt, fordern Sie 

ihn direkt bei Clickatell an. 

• Body line 3 – Geben Sie Ihr Passwort für den SMS-Gateway von 

Clickatell an (z. B. Password:abcde). Dieser Parameter ist wie 

folgt anzugeben: Password: 

Hinweis: Ist Ihnen Ihr Passwort nicht bekannt, fordern Sie es 

direkt bei Clickatell an. 

• Body line 4 – (Vorgabe beizubehalten) Dieser Parameter enthält 

die Nummer des Empfängers der SMS-Warnung. Die Variable 


[smsnumber] wird beim Erstellen der Vorlagen-E-Mail automatisch 

von GFI EventsManager durch die Empfängernummer ersetzt. 

Dieser Parameter ist wie folgt zu formatieren: to:[smsnumber] 

• Body line 5 – (Vorgabe beizubehalten) Dieser Parameter gibt den 

Mitteilungstext der SMS an. Die Variable [smsmessage] wird beim 

Erstellen der E-Mail automatisch von GFI EventsManager durch 

den Inhalt der SMS-Warnung ersetzt. Dieser Parameter ist wie 

folgt zu formatieren: text:[smsmessage]. 


für die Übermittlung der E-Mail an den SMS-Provider an, falls die 

erste Übermittlung erfolglos war. 


speichern. 

Vorlage für einen standardmäßigen SMS-Service-Provider 

Abbildung 10 – Weiterleitung von SMS-Warnungen über einen Web-basierten Email2SMS- 

Provider 

GFI EventsManager kann SMS-Warnungen auch über einen Web- 

basierten SMS-Gateway weiterleiten. 



Nachrichtenvorlage an den Web-basierten SMS-Gateway. Diese 

Vorlage enthält alle für die SMS-Warnung benötigten Informationen, 

darunter der Text der SMS-Mitteilung und die Empfängernummer. Der 

SMS-Gateway konvertiert die Vorlage in das SMS-Format und 

verschickt sie an den gewünschten Empfänger. 

Hinweis: Die Vorlage lässt sich individuell anpassen, um für jeden 

Email2SMS-Dienst verwendet werden zu können. 


Screenshot 122 – Konfigurierung der Vorlage für einen standardmäßigen SMS-Provider 

Anforderungen 

Für den Versand von SMS-Warnungen mit Hilfe dieses Diensts gelten 

keine besonderen Hardware-Anforderungen. Folgende Voraussetzungen 

müssen jedoch erfüllt sein, um den Dienst nutzen zu 

können: 

1. Sie müssen Vertragskunde eines SMS-Gateway-Diensts sein. 

2. Der im Dialog Alerting Options unter den Eigenschaften des SMS- 

Diensts konfigurierte SMTP-Server muss E-Mails über das Internet 

versenden können. 

Hinweis: GFI EventsManager kann bei einer fehlenden oder 

gestörten Internet-Verbindung keine SMS-Warnmeldungen über einen 

standardmäßigen SMS-Service verschicken. 

Konfigurierung der Vorlage für einen standardmäßigen 

SMS-Service-Provider 

So konfigurieren Sie den standardmäßigen SMS-Dienst: 


Options, und wählen Sie im Kontextmenü Properties. 


Down-Liste Select SMS die Option Generic SMS Service provider 

template aus. 





Hinweis: Verwenden Sie beim Konfigurieren von Eigenschaften 

immer die Angaben, die von Ihrem SMS-Gateway-Provider bereitgestellt 

wurden. 

Für den standardmäßigen SMS-Dienst müssen folgende Parameter 



über den GFI EventsManager die E-Mail an den SMS-Gateway 

schickt. 



STMP-Port). 

• From – Geben Sie das Konto an, über das die E-Mail verschickt 

werden soll. Sie können hier die in GFI EventsManager 

konfigurierte E-Mail-Adresse für standardmäßige Warnungen 

angeben. 

• To – Geben Sie die E-Mail-Adresse des SMS-Gateway-Providers 

an (d. h. die Adresse, an die GFI EventsManager E-Mails zur 

Konvertierung in das SMS-Format schicken soll). Diese Adresse 

ist vom Provider vorgegeben und muss wie folgt formatiert 

werden: @. Beispiel: 

sms@messaging.Clickatell.com. 

Hinweis: Ist Ihnen die E-Mail-Adresse Ihres SMS-Gateways nicht 

bekannt, fordern Sie diese direkt bei Ihrem Provider an. 

• CC – (Optional) Geben Sie eine E-Mail-Adresse an, an die Kopien 

der an den SMS-Gateway geschickten E-Mails weitergeleitet 

werden sollen. 

• Subject – (Optional) Geben Sie den Text ein, der im Betreff der E- 

Mail stehen soll. 

• Body line 1 – Geben Sie die API-ID an, die Sie von Ihrem SMS- 

Gateway-Provider erhalten haben. Die Angabe wird vom SMS- 

Gateway zur Authentifizierung benötigt. Dieser Parameter ist wie 

folgt anzugeben: api_id:. Beispiel: api_id:124576. 

Hinweis: Ist Ihnen Ihre API-ID nicht bekannt, fordern Sie diese 

Nummer direkt bei Ihrem SMS-Gateway-Provider an. 

• Body line 2 – Geben Sie Ihren Benutzernamen für den SMS- 

Gateway an (z. B. User:JasonM). Dieser Parameter ist wie folgt 

anzugeben: User: 

Hinweis: Ist Ihnen Ihr Benutzername für den SMS-Gateway nicht 

bekannt, fordern Sie ihn direkt bei Ihrem SMS-Gateway-Provider 

an. 

• Body line 3 – Geben Sie Ihr Passwort für den SMS-Gateway an 

(z. B. Password:abcde). Dieser Parameter ist wie folgt anzugeben: 

Password: 

Hinweis: Ist Ihnen Ihr Passwort für den SMS-Gateway nicht 

bekannt, fordern Sie es direkt bei Ihrem SMS-Gateway-Provider 

an. 

• Body line 4 – (Vorgabe beizubehalten) Dieser Parameter enthält 

die Nummer des Empfängers der SMS-Warnung. Die Variable 

[smsnumber] wird beim Erstellen der E-Mail automatisch von GFI 


EventsManager durch die Empfängernummer ersetzt. Dieser 

Parameter ist wie folgt zu formatieren: to:[smsnumber] 

• Body line 5 – (Vorgabe beizubehalten) Dieser Parameter gibt den 

Mitteilungstext der SMS an. Die Variable [smsmessage] wird beim 

Erstellen der E-Mail automatisch von GFI EventsManager durch 

den Inhalt der SMS-Warnung ersetzt. Dieser Parameter ist wie 

folgt zu formatieren: text:[smsmessage]. 


für die Übermittlung der E-Mail an den SMS-Provider an, falls die 

erste Übermittlung erfolglos war. 


speichern. 


Anhang 2 – Vorbereiten von Microsoft 

Windows für GFI EventsManager 

Einführung 

In diesem Anhang erfahren Sie, wie Sie: 

• die Überwachung von Windows-Sicherheitsereignissen mit Hilfe 

der Überwachungsrichtlinien aktivieren und konfigurieren 

• die Remote-Registrierung aufrufen 

Eine korrekte Verwaltung der Windows-Ereignisprotokolle durch 

GFI EventsManager kann nur mit Hilfe der Sicherheitsüberwachung 

und der Remote-Registrierung von Windows erfolgen. 

Remote-Registrierung 

Über den Dienst Remote-Registrierung stellt GFI EventsManager 

eine Remote-Verbindung mit den Ereignisquellen durch, um Ereignisprotokolle 

zu erfassen und überwachen. Dieser Dienst ist bereits 

standardmäßig auf allen Rechnern mit Windows NT/2000/XP und 

2003 installiert. 

Screenshot – Scan-Überwachung: Fehlermeldungen 

Ist die Remote-Registrierung nicht aktiviert, werden im Status-Monitor 

von GFI EventsManager in der Ansicht Job Activity, Bereich 

Operational History, mehrere Fehlermeldungen angezeigt. Weitere 

Informationen zum Aufruf des Status-Monitors erhalten Sie im Kapitel 

"Statusüberwachung". 

Sicherheitsüberwachung unter Windows 

Die Sicherheitsprotokolle von Windows lassen sich so konfigurieren, 

dass Informationen über Server-Ereignisse sowie Verzeichnis- oder 

Dateizugriffe aufgezeichnet werden. Zu den protokollierbaren 

Ereignissen zählen gültige und ungültige Anmeldeversuche sowie 

Ereignisse im Bereich der Ressourcenverwendung, beispielsweise 

beim Erstellen, Öffnen und Löschen von Dateien. 

GFI EventsManager Handbuch Anhang 2 – Vorbereiten von Microsoft Windows für GFI EventsManager • 143

Screenshot 123 – Knoten "Überwachungsrichtlinie" Konfigurationsoptionen der 

Überwachungsrichtlinie 

Erst mit der für das Betriebssystem aktivierten Sicherheitsüberwachung 

werden Ereignisse im Sicherheitsprotokoll von Windows 

aufgezeichnet und können dadurch von GFI EventsManager 

verarbeitet werden. Die Überwachung von Sicherheitsereignissen wird 

über den Knoten Überwachungsrichtlinie in der Microsoft 

Management Console (MMC) aktiviert und konfiguriert. 

Hinweis: Beachten Sie, dass GFI EventsManager bei einer 

deaktivierten Überwachung von Sicherheitsereignissen keinen Fehler 

ausgibt. 

Aktivieren der Remote-Registrierung 

So aktivieren Sie die Remote-Registrierung: 

1. Gehen Sie auf Start Ausführen, und geben Sie 

"Services.msc" ein. Hierdurch wird der Dialog Dienste geöffnet. 

Screenshot 124 – Eigenschaften der lokalen Dienste 

144 • Anhang 2 – Vorbereiten von Microsoft Windows für GFI EventsManager GFI EventsManager Handbuch

2. Suchen Sie in der Liste der angezeigten Dienste nach Remote- 

Registrierung. Klicken Sie mit der rechten Maustaste auf den Dienst, 

und wählen Sie im Kontextmenü Eigenschaften. 

Screenshot 125 – Eigenschaften von Remote-Registrierung 

3. Wählen Sie über den bereits angezeigten Reiter Allgemein in der 

Drop-Down-Liste Starttyp die Option Automatisch, und klicken Sie 

auf die Schaltfläche Starten. 


speichern und den Dialog zu schließen. 

Aktivieren der Windows-Sicherheitsüberwachung 

Hinweis: Um den Zugriff auf Dateien und Ordner unter Windows 2000 

überwachen zu lassen, müssen Sie mit Hilfe des Gruppenrichtlinien- 

Snap-In in der Überwachungsrichtlinie die Option Objektzugriffsversuche 

überwachen auswählen. Andernfalls erhalten Sie 

eine Fehlermeldung, wenn Sie die Überwachung für Dateien und 

Ordner aktivieren und keine Dateien oder Ordner überwacht werden. 

Weitere Informationen zur Erstellung/Installation des 

Gruppenrichtlinien-Snap-In erhalten Sie unter "Installieren des 

Gruppenrichtlinien-Snap-In" in diesem Anhang. 

So aktivieren Sie die lokale Windows-Sicherheitsüberwachung: 

1. Melden Sie sich mit einem Konto mit Administratorrechten bei 

Windows an. 


2. Stellen Sie sicher, dass das Gruppenrichtlinien-Snap-In installiert 

ist. 

3. Navigieren Sie zur Verwaltung über Start Einstellungen 

Systemsteuerung Verwaltung. 

Screenshot 126 – MMC-Snap-In "Lokale Sicherheitsrichtlinie" 

4. Doppelklicken Sie auf Lokale Sicherheitsrichtlinie, um das Snap- 

In Lokale Sicherheitseinstellungen zu starten. 

5. Erweitern Sie die Struktur des Knotens Lokale Richtlinien. 

Doppelklicken Sie auf den Knoten Überwachungsrichtlinie. 

6. Doppelklicken Sie im rechten Fensterausschnitt auf die Richtlinie, 

die Sie aktivieren oder deaktivieren möchten. Der jeweilige 

Eigenschaften-Dialog wird geöffnet. 

Screenshot 127 – Eigenschaften von "Systemereignisse überwachen" 

7. Markieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen 

definieren, und legen Sie fest, welche Art von 


Zugriffsversuchen (erfolgreich/fehlgeschlagen) überwacht werden 

sollen. 

Weitere Informationen zu Einstellungen der Windows- 

Sicherheitsüberwachung erhalten Sie unter: 

http://support.microsoft.com/kbid=300549 

Installieren des Gruppenrichtlinien-Snap-In 

Um die Überwachungsfunktion von Windows 2000 nutzen zu können, 

muss das Gruppenrichtlinien-Snap-In installiert sein. Dieses ist in der 

Computerverwaltungskonsole nicht enthalten. Sie müssen daher eine 

neue Konsole erstellen. Weitere Informationen zum Hinzufügen von 

Verwaltungskonsolen-Snap-Ins (MMC) finden Sie in der Produktdokumentation 

zu Windows 2000. 

So erstellen Sie eine neue Microsoft Management Console (MMC) 

und fügen das Gruppenrichtlinien-Snap-In hinzu: 

1. Gehen Sie auf Start Ausführen, und geben Sie "mmc" ein. Die 

neue MMC wird geöffnet. 

2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. 

3. Klicken Sie im geöffneten Dialog Snap-In hinzufügen/entfernen 

auf die Schaltfläche Hinzufügen. 


Screenshot 128 – Liste verfügbarer Snap-Ins 

4. Wählen Sie aus der Liste der angezeigten Snap-Ins Gruppenrichtlinie 

aus, und klicken Sie auf die Schaltfläche Hinzufügen. 

5. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen 

auf die Schaltfläche Durchsuchen, um den zu überwachenden 

Computer zu suchen. 

Screenshot 129 – Gruppenrichtlinienobjekt suchen, Reiter "Computer" 

6. Klicken Sie im Dialog Gruppenrichtlinienobjekt suchen auf den 

Reiter Computer. Wählen Sie Anderer Computer, wechseln Sie zu 


dem zu überwachenden Computer, und klicken Sie auf die 

Schaltfläche OK. 

7. Klicken Sie auf die Schaltfläche Fertig stellen, um die 


8. Schließen Sie das Dialogfeld Eigenständiges Snap-In 

hinzufügen, und klicken Sie auf die Schaltfläche OK. 

9. Klicken Sie auf Datei Speichern, um die neue Konsole auf der 

Festplatte zu speichern. Mit der neuen Konsole können Sie nun die 

Überwachungsfunktionen konfigurieren. 



Anhang 3 – Installieren von SQL Server 

Express 

Einführung 

In diesem Anhang wird die Installation der Microsoft SQL Server 2005 

Express Edition erläutert. 

Software-Anforderungen 

Zur Installation von SQL Server Express ist folgende Software auf 

dem Installationscomputer erforderlich: 

• Windows Installer 3.1 

• .NET Framework 2.0. 

Installieren von SQL Server Express 

So installieren Sie SQL Server Express: 

Screenshot 130 – Download von SQL Server Express 

1. Laden Sie SQL Server Express von folgender Microsoft-Seite 

herunter: http://go.microsoft.com/fwlink/LinkId=65109. 

2. Doppelklicken Sie auf die Installationsdatei SQLEXPR_ADV.exe. 

3. Lesen Sie die Endbenutzer-Lizenzvereinbarung, und stimmen Sie 

den Bedingungen der Lizenzvereinbarung zu. 

GFI EventsManager Handbuch Anhang 3 – Installieren von SQL Server Express • 151

Screenshot 131 - Installationsanforderungen 

4. Klicken Sie auf die Schaltfläche Installieren. 

Screenshot 132 – Kontrolle der Systemkonfiguration 

5. Das Installationsprogramm analysiert Ihr System und erstellt eine 

Übersicht zu den aktuellen Konfigurationseinstellungen. Überprüfen 

Sie alle Einstellungen und beheben Sie ggf. angezeigte Fehler. 

Klicken Sie auf die Schaltfläche Weiter. 

152 • Anhang 3 – Installieren von SQL Server Express GFI EventsManager Handbuch

Screenshot 133 – Angabe der Registrierungsdaten 

6. Geben Sie zur Registrierung Ihre persönlichen Daten an. Heben 

Sie die Auswahl von Erweiterte Konfigurationsoptionen 

ausblenden auf, und klicken Sie auf die Schaltfläche Weiter. 

Screenshot 134 – Funktionsauswahl 


7. Wählen Sie die zu installierenden Funktionen aus, und klicken Sie 

auf die Schaltfläche Weiter. 

Screenshot 135 – Auswahl der Instanz 

8. Wählen Sie die Option Standardinstanz aus, und klicken Sie auf 

die Schaltfläche Weiter. 

Screenshot 136 – Konfigurierung des Dienstkontos 


9. Geben Sie alle erforderlichen Daten für das Dienstkonto an, und 

klicken Sie auf die Schaltfläche Weiter. 

10. Wählen Sie den Authentifizierungsmodus aus, und klicken Sie auf 

die Schaltfläche Weiter. 

Screenshot 137 – Festlegen von Sortierungseinstellungen 

11. Wählen Sie die gewünschten Sortierungseinstellungen aus, und 


12. Legen Sie fest, ob Benutzerinstanzen aktiviert werden sollen, und 



Screenshot 138 – Einstellungen für Fehler- und Verwendungsberichte 

13. Wählen Sie die gewünschten Einstellungen für Fehler- und 

Verwendungsberichte aus, und klicken Sie auf die Schaltfläche 

Weiter. 

14. Klicken Sie nach Abschluss des Installationsvorgangs auf die 

Schaltfläche Fertig stellen, um die Installation abzuschließen. 


Übung 1 – Konfigurieren der grundlegenden 

Optionen per Schnellstart- 

Dialog 

Überblick 

Mit dieser Übung wird gezeigt, welche grundlegenden Einstellungen 

beim ersten Start von GFI EventsManager festzulegen sind. Diese 

Einstellungen werden über den beim ersten Programmaufruf automatisch 

gestarteten Schnellstart-Dialog vorgenommen. 

Die Übung ist in drei Teile untergliedert: 

• Teil 1 befasst sich mit der Konfigurierung des Datenbank- 

Backends von GFI EventsManager. 

• Teil 2 erläutert die Konfigurierung der Standardeinstellungen für 

Warnungen. 

• Teil 3 informiert über die Konfigurierung des Administratorkontos 


Parameter 

Die im Rahmen dieser Übung festzulegenden Parameter sind 

nachfolgend aufgeführt: 

Teil 1: Konfigurieren des Datenbank-Backends 

• Server: SQLServer01 

• Database (Datenbank): EventsManager 

• Authentication (Authentifizierung): SQL-Authentifizierung 

• User (Benutzer): John Doe 

• Password (Passwort): pass1234. 

Teil 2: Konfigurieren der Standardeinstellungen für Warnungen 

• Hostname/IP: 192.168.0.3 

• Port: 25 

• Username (Benutzername): Hans Mustermann 

• Password (Passwort): pass3344 

• Sender (Email) (E-Mail-Adresse des Absenders): 

john.doe@mycorporation.com 

• Sender (Display Name) (Anzeigename des Absenders) : John 

Doe 

Teil 2: Konfigurieren des Administratorkontos 

GFI EventsManager Handbuch Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog • 157

• User (Benutzer): John Doe 

• Description (Beschreibung): EventsManager Administrator 

• E-Mail: john.doe@mycorporation.com 

• Mobile number (Mobilfunknummer): +12155599877 

• Computer: 192.168.0.6, 192.168.0.15 

• Working Days (Arbeitstage): Monday to Friday (Montag bis 

Freitag) 

• Working Hours (Arbeitszeiten): 09.00 – 19.00 

• Email notifications (E-Mail-Benachrichtigungen): During and 

outside of working hours (während und außerhalb der Arbeitszeit). 

• Network message alerts (Netzwerkwarnungen): During and 

outside of working hours (während und außerhalb der Arbeitszeit). 

• SMS alerts (SMS-Warnungen): During and outside of working 

hours (während und außerhalb der Arbeitszeit). 

• Member of (Mitglied von): EventsManagerAdministrators. 

Teil 1: Konfigurieren des Datenbank-Backends von 

GFI EventsManager 

Screenshot 138 – Schnellstart-Dialog 

1. Wählen Sie aus dem Quick Start Dialog die Option Configure 

SQL Server database backend. 

158 • Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog GFI EventsManager Handbuch

Screenshot 139 – Einrichtung der Datenbank 

2. Geben Sie folgende Daten an: 

Server: MSSQLServer 

Database (Datenbank): EventsManager 

Use SQL Server authentication (SQL Server-Authentifizierung 

verwenden) 

User (Benutzer): johndoe 

Password (Passwort): pass1234 


speichern. 


Teil 2: Konfigurieren von Standardoptionen für Warnungen 


Alerting Options. 

Screenshot 140 – Konfigurierung von Warnungen – Einstellungen des E-Mail-Servers 

2. Klicken Sie unter dem standardmäßig geöffneten Reiter Email auf 

die Schaltfläche Add, um die neuen Parameter einzugeben. 

3. Geben Sie im Dialog Mailserver Properties für den E-Mail-Server 

folgende Einstellungen ein: 

Hostname/IP: 192.168.0.3 

Port: 25 

Username (Benutzername): johndoe 

Password (Passwort): pass3344 

Sender (Email) (Absender E-Mail-Adresse): 


Sender (Display Name) (Anzeigename des Absenders): John Doe 

4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu E- 

Mail-Warnungen zu speichern. Schließen Sie das Dialogfenster. 

5. Da an dieser Stelle keine Netzwerk- und SMS-Warnungen 

eingerichtet werden, klicken Sie auf die Schaltfläche OK, um die 

Konfigurierung der E-Mail-Warnungen abzuschließen. 


Teil 3: Konfigurieren des Administratorkontos von 

GFI EventsManager 


Administrator account. 

Screenshot 141 – Einstellungen des Administrators von GFI EventsManager 

2. Der Reiter General wird standardmäßig aufgerufen. Geben Sie dort 

folgende Daten an: 

Username (Benutzername): John Doe 

Description (Beschreibung): EventsManager Administrator 

E-Mail (E-Mail-Adresse): john.doe@mycorporation.com 

Mobile number (Mobilfunknummer): +12155599877 

Computer: 192.168.0.6; 192.168.0.15 


Screenshot 142 – Konfigurierung der Arbeitszeit des Administrators 

Klicken Sie auf den Reiter Working Hours, und legen Sie die 

folgenden Einstellungen fest: 

Working Days (Arbeitstage): Monday to Friday (Montag bis Freitag) 

Working Hours (Arbeitszeiten): 09.00 – 19.00 


Screenshot 143 – Konfigurierung von Warnungen – 

4. Klicken Sie auf den Reiter Alerts, und legen Sie die folgenden 

Einstellungen für Warnungen fest: 

Email notifications (E-Mail-Benachrichtigungen): During and outside 

of working hours (während und außerhalb der Arbeitszeit). 

Network message alerts (Netzwerkwarnungen): During and outside 

of working hours (während und außerhalb der Arbeitszeit). 

SMS alerts (SMS-Warnungen): During and outside of working hours 

(während und außerhalb der Arbeitszeit). 


Screenshot 144 – Hinzufügen eines Benutzers zur Benutzergruppe 

5. Klicken Sie auf den Reiter Member Of, und geben Sie an, zu 

welcher Gruppe der Benutzer gehört. 


speichern. 


Übung 2 – Konfigurieren von 

Einstellungen zur Ereignisverarbeitung 

Überblick 

Mit dieser Übung erfahren Sie, welche Einstellungen zur 

Ereignisverarbeitung durch GFI EventsManager festzulegen sind. Sie 

erfahren beispielsweise, wie Ereignisquellen anzugeben sind und wie 

Sie Warnungen für wichtige Ereignisse einrichten. 

Am Ende dieser Übung beherrschen Sie alle notwendigen Schritte zur 

Konfigurierung und Verarbeitung von Ereignissen mit Hilfe von 


Die Übung ist in drei Teile untergliedert: 

In Teil 1 wird gezeigt, wie Computer (Ereignisquellen) festzulegen 

sind, von denen GFI EventsManager Protokolle erfassen soll. 

• Teil 2 erläutert, wie Regeln zur Verarbeitung von Windows- 

Ereignisprotokollen zu erstellen und konfigurieren sind. 

• Teil 3 informiert über die Festlegung benutzerspezifischer 

Eigenschaften für Warnungen und Aktionen. 

Parameter 

Die im Rahmen dieser Übung festzulegenden Parameter und 

Bedingungen sind nachfolgend aufgeführt: 

Teil 1: Konfigurieren der Protokollquellen 

Hinweis: Die folgenden Parameter sind an die Daten Ihres Netzwerks 

anzupassen. 

Domain (Domäne): 

Server: 

Teil 2: Erstellen von Regeln zur Ereignisverarbeitung 

Parameter für Abschnitt 1: Erstellen Sie einen neuen Regelsatz- 

Ordner. 

• Rule-set Folder Name (Name des Regelsatz-Ordners): New 

Rules folder 

Parameter für Abschnitt 2: Erstellen Sie einen neuen Regelsatz im 

neuen Regelsatz-Ordner. 

• Rule-set Name (Name des Regelsatzes): Example Security Ruleset 

(Beispiel für einen Sicherheits-Regelsatz) 

GFI EventsManager Handbuch Übung 2 – Konfigurieren von Einstellungen zur Ereignisverarbeitung • 165

• Description (Beschreibung): This is an example of a windows 

event rule-set (Dies ist ein Beispiel für einen Regelsatz zu einem 

Windows-Ereignis). 

• Rule type (Regeltyp): Windows Events processing (Verarbeitung 

von Windows-Ereignissen) 

Parameter für Abschnitt 3: Erstellen Sie eine neue Regel im neuen 

Regelsatz. 

• Name: Example Security Rule (Beispiel für eine Sicherheitsregel) 

• Description (Beschreibung): This is an example of a windows 

event processing rule (Beispiel für eine Regel zur Verarbeitung 

von Windows-Ereignissen). 

• Rule type (Regeltyp): Windows Events processing (Verarbeitung 

von Windows-Ereignissen) 

• Logs (Protokolle): Security Events (Sicherheitsereignisse) 

• Event ID range (Ereignis-ID-Bereich): 671-681 

• Source computers (Ereignisquellen) : 192.168.0.11 – 

192.168.0.240 

• Category (Kategorie): Security Event Details (Sicherheitsereignis- 

Details) 

• User (Benutzer): Administrator 

• Event type (Ereignistyp): Error (Fehler) 

• Regel soll nur während der normalen Arbeitszeit angewandt 

werden 

• Es sollen Default Classification Actions (klassifizierungsabhängige 

Aktionen) verwendet werden. 

Teil 3: Konfigurieren von Benutzereigenschaften, 

Warnungen und anderen Aktionen 

Parameter für Abschnitt 1: Erstellen Sie eine neue Gruppe für 

Benutzer/Empfänger von Warnungen. 

• Group name (Gruppenname): GFI EventsManager User Group 

• Description (Beschreibung): Example GFI EventsManager User 

Group (Beispiel für eine GFI EventsManager-Benutzergruppe) 

Parameter für Abschnitt 2: Erstellen Sie einen neuen 

Benutzer/Empfänger von Warnungen. 

• User name (Benutzername): John Doe 

• Description (Beschreibung): Demonstration User (Testbenutzer) 

• E-Mail: john.doe@mycorporation.com 

• Mobile Number (Mobilfunknummer): 1234567890 

• Computer: 192.168.0.55 

• Working Days (Arbeitstage): Monday to Saturday 

• Working Hours (Arbeitszeiten): 09.00 – 19.00 

• Email notifications (E-Mail-Benachrichtigungen): 

working hours (Während der normalen Arbeitszeit). 

During 

• Network message alerts (Netzwerkwarnungen): None (keine). 

• SMS alerts (SMS-Warnungen): None (keine). 

166 • Übung 2 – Konfigurieren von Einstellungen zur Ereignisverarbeitung GFI EventsManager Handbuch

• Member of (Mitglied von): GFI EventsManager User Group 

Parameter für Abschnitt 3: Lassen Sie E-Mail-Warnungen für kritische 

Ereignisse ausgeben. 

• Hostname/IP: 192. 168.0.3 

• Port: 25 

• Username (Benutzername): John Doe 

• Password (Passwort): pass3344 

• Sender email (E-Mail-Adresse 


• Sender name (Absendername): John Doe 

• Email notifications (E-Mail-Benachrichtigungen): 

working hours (Während der normalen Arbeitszeit). 

Teil 1: Konfigurieren der Protokollquellen 

Absender) 

During 

• Network message alerts (Netzwerkwarnungen): None (keine) 

• SMS alerts (SMS-Warnungen): None (keine). 


GFI EventsManager auf die Option Configuration. 


Sources. 

3. Klicken Sie im linken Fenster mit der rechten Maustaste auf die 

Option Servers, und wählen Sie im Kontextmenü Add new 

computer. Der Assistent zum Hinzufügen neuer Computer wird 

geöffnet. 

Screenshot 145 – Hinzufügen eines neuen Servers, dessen Ereignisprotokolle zu erfassen sind 

4. Klicken Sie auf die Schaltfläche Select. 


5. Wählen Sie auf der Drop-Down-Liste Ihre Domäne aus (im obigen 

Screenshot als Beispiel "MYCORPORATION"). Klicken Sie auf die 

Schaltfläche Search. 

6. Wählen Sie aus der Liste der angezeigten Domänen-Computer 

Ihren Server aus (im obigen Screenshot als Beispiel "JOHNDOE01"). 


speichern. 

Teil 2: Erstellen von neuen Regeln zur Ereignisverarbeitung 

Nachfolgend erfahren Sie in drei Abschnitten, wie neue Regeln zur 

Verarbeitung von Windows-Ereignisprotokollen erstellt werden: 

Abschnitt 1: Erstellen Sie einen neuen Regelordner. 

Abschnitt 2: Erstellen Sie einen neuen Regelsatz 

ordner. 

im neuen Regel- 

Abschnitt 3: Erstellen Sie eine neue Regel im neuen Regelsatz. 

Abschnitt 1: Erstellen eines neuen Regelordners 





3. Wählen Sie im linken Navigationsbereich in der Drop-Down-Liste 

Log Type den Eintrag Windows Event Logs aus. Klicken Sie unter 

Common Tasks auf die Option Create folder, um einen neuen 

Ordner zu erstellen. 

Screenshot 146 – Erstellen eines neuen Regelordners 

4. Benennen Sie den neuen Ordner als New rules folder (neuer 

Regelordner). 


Abschnitt 2: Erstellen eines neuen Regelsatzes 

1. Klicken Sie im linken Navigationsfenster mit der rechten Maustaste 

auf den Knoten New rules folder. Wählen Sie die Option Create new 

rule set, um einen neuen Regelsatz zu erstellen. 

Screenshot 147 – Eigenschaften eines Sicherheits-Regelsatzes 

2. Legen Sie folgende Eigenschaften für den Regelsatz fest: 

Name: Example Security Rule-set (Beispiel für einen Sicherheits- 

Regelsatz) 

Description (Beschreibung): This is an example of a windows event 

rule-set. (Beispiel für einen Regelsatz für ein Windows-Ereignis). 


speichern. 

Abschnitt 3: Erstellen einer neuen Regel 


auf den Knoten Example Security Rule-set. Wählen Sie im 

Kontextmenü Create new rule aus, um eine neue Regel zu erstellen. 


Screenshot 148 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Angabe von 

Regelinformationen 

2. Geben Sie folgende Informationen zur neuen Regel an: 

Name: Example security rule (Beispiel für Sicherheitsregel). 

Description (Beschreibung): This is an example of a new security 

processing rule. (Beispiel für eine neue Regel zur Verarbeitung von 

Sicherheitsereignissen). 

3. Klicken Sie auf die Schaltfläche Next. 

Screenshot 149 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Auswahl der 

Protokolle 


4. Wählen Sie Security Events als zu verarbeitendes Protokoll aus. 


Screenshot 150 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Angabe von 

Bedingungen 

5. Geben Sie folgende Regelbedingungen an: 

Event IDs: 671-681 

Source (Quelle): 192.168.0.11-192.168.0.240 

Category (Kategorie): Security Event Details (Sicherheitsereignis- 

Details) 

User (Benutzer): Administrator 

Event Type (Ereignistyp): Error (Fehler). 



Screenshot 151 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Auswahl des 

Ereigniseintritts und der Ereigniskategorie 

7. Legen Sie fest, wann ein Ereignis eintreten muss, damit die Regel 

zur Anwendung kommt, und wie es zu klassifizieren ist: 

The rule applies if the event happens: During Normal Operational 

Time (N.O.T.) (Regel findet während der normalen Betriebszeit ihre 

Anwendung) 

Classify the event as: High importance event (Ereignis wird als 

sehr wichtig klassifiziert). 


Screenshot 152 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Auswahl von 

Aktionen 


9. Wählen Sie die Option Use the default classification actions, um 

die klassifizierungsabhängigen Aktionen zu verwenden. Klicken Sie 


10. Klicken Sie auf die Schaltfläche Finish, um die Einstellungen zu 

speichern. 

Teil 3: Konfigurieren von Benutzereigenschaften, Warnungen und 

anderen Aktionen 

Nachfolgend erfahren Sie in drei Abschnitten, wie Sie Empfänger 

festlegen, die mit dieser Regel gewarnt werden sollen, und wie Sie die 

E-Mail-Warnung erstellen: 

Abschnitt 1: Erstellen Sie eine neue Gruppe für Benutzer/Empfänger 

von Warnungen. 

Abschnitt 2: Fügen Sie neue Empfänger von Warnungen hinzu. 

Abschnitt 3: Lassen Sie E-Mail-Warnungen für kritische Ereignisse 

ausgeben. 

Abschnitt 1: Erstellen einer neuen Gruppe für 

Benutzer/Empfänger von Warnungen 




Options. 


auf den Knoten Groups, und wählen Sie im Kontextmenü die Option 

Create group, um eine neue Gruppe zu erstellen. 


Screenshot 153 – Eigenschaften einer neuen Benutzergruppe 

4. Geben Sie folgende Informationen zur neuen Gruppe an: 

Group name (Gruppenname): GFI EventsManager User Group 

Description (Beschreibung): Example GFI EventsManager User 

Group (Beispiel für GFI EventsManager Benutzergruppe). 


speichern. 


Abschnitt 2: Hinzufügen eines neuen Empfängers von 

Warnungen 

Screenshot 154 – Hinzufügen von neuen Warnungsempfängern 


auf den Knoten Users, und wählen Sie im Kontextmenü die Option 

Create user, um einen neuen Benutzer zu erstellen. 

Screenshot 155 – Allgemeine Einstellungen für einen neuen Benutzer 


2. Geben Sie folgende Informationen zum neuen Benutzer an: 

User name (Benutzername): John Doe 

Description (Beschreibung): Demonstration User (Testbenutzer) 

E-Mail: john.doe@mycorporation.com 

Mobile Number (Mobilfunknummer): 1234567890 

Computers (Computer): 192.168.0.55. 

Screenshot 156 – Konfigurierung der Arbeitszeiten 

3. Klicken Sie auf den Reiter Working Hours, und legen Sie die 

Arbeitszeiten wie folgt fest: 

Arbeitstage: Montag bis Samstag 

Arbeitszeit: 09.00 – 19.00 


Screenshot 157 – Konfigurierung von Warnungen 

4. Klicken Sie auf den Reiter Alerts, und legen Sie die folgenden 

Einstellungen für Warnungen fest: 

Email notifications (E-Mail-Benachrichtigungen): During working 

hours (Während der normalen Arbeitszeit). 

Network message alerts (Netzwerkwarnungen): None (keine). 

SMS alerts (SMS-Warnungen): None (keine). 


Screenshot 158 – Zuweisung eines Benutzers zu einer Benachrichtigungsgruppe 

5. Klicken Sie auf den Reiter Member Of, um die 

Gruppenmitgliedschaft des Benutzers festzulegen. 

6. Klicken Sie auf die Schaltfläche Add, und doppelklicken Sie in der 

angezeigten Liste auf den Eintrag GFI EventsManager User Group. 


speichern. 


Abschnitt 3: Einrichten von E-Mail-Warnungen für kritische 

Ereignisse 

Screenshot 159 – Konfigurierung klassifizierungsabhängiger Standardaktionen 


auf den Knoten Default Classifications Actions, und wählen Sie 

Edit defaults… 

Screenshot 160 – Individuelle Anpassung der klassifizierungsabhängigen Standardaktionen 


2. Wählen Sie aus der angezeigten Drop-Down-Liste den Eintrag 

Critical events actions für Aktionen zu kritischen Ereignissen aus. 

3. Markieren Sie in der Liste Action die Option Send email 

notifications to, um festzulegen, an welche Empfänger E-Mail- 

Warnungen verschickt werden sollen. 

4. Wählen Sie im Dialog Select users and groups die Gruppe GFI 

EventsManager User Group aus, und klicken Sie auf die 

Schaltfläche Add. Klicken Sie auf die Schaltfläche OK, um den Dialog 

zu schließen. 


speichern. 


Übung 3 – Ereignisabfrage und 

Ereignisfilterung 

Überblick 

Mit dieser Übung lernen Sie, wie Sie den Ereignisabfrage-Generator 

zum Erstellen neuer Ereignisabfragen nutzen können. Sie erfahren, 

wie Abfragen sich so konfigurieren lassen, dass nur die benötigten 

Ereignisdaten herausgefiltert und angezeigt werden. 

Parameter 

Die im Rahmen dieser Übung festzulegenden Parameter sind 

nachfolgend aufgeführt: 

Query Name (Abfragename): Filter events with ID 520 (Filter für 

Ereignis-ID 520) 

Description (Beschreibung): Query that displays events having event 

ID 520 (Abfrage, die Ereignisse mit der Ereignis-ID 520 anzeigt) 

Event ID (Ereignis-ID): 520. 

Erstellen einer neuen Ereignisabfrage 




Windows Events Browser. 


auf die Option Security Events, und wählen Sie im Kontextmenü die 

Option Query builder… Der Ereignisabfrage-Generator wird 

aufgerufen. 

GFI EventsManager Handbuch Übung 3 – Ereignisabfrage und Ereignisfilterung • 181

Screenshot 161 – Einrichtung des Abfragefilters 

4. Geben Sie folgende Informationen zur Ereignisabfrage an: 

Name: Filter events with ID 520 (Filter für Ereignis-ID 520) 

Description (Beschreibung): Query that displays events having event 

ID 520 (Abfrage, die Ereignisse mit der Ereignis-ID 520 anzeigt) 

5. Klicken Sie auf die Schaltfläche Add, und geben Sie folgende 

Abfragebedingungen ein. 

Wählen Sie den erforderlichen Operator: Equal To (ist gleich) 

Geben Sie den Abfragewert ein: 520. 

6. Klicken Sie auf die Schaltfläche OK, um den Dialog zu schließen. 

182 • Übung 3 – Ereignisabfrage und Ereignisfilterung GFI EventsManager Handbuch

Screenshot 162 – Eigenschaften eines Filters 


speichern. 

Verwenden der neuen Ereignisabfrage 

Screenshot 163 – Auswahl des Ereignisfilters 

Klicken Sie im linken Navigationsbereich unter Queries > Security 

Events auf den Filter Filter events with ID 520 (Filter für Ereignis-ID 

520). 

GFI EventsManager Handbuch Übung 3 – Ereignisabfrage und Ereignisfilterung • 183

184 • Übung 3 – Ereignisabfrage und Ereignisfilterung GFI EventsManager Handbuch

Übung 4 – Datenbankoperationen 

Überblick 

Mit dieser Übung lernen Sie, wie Wartungsaufgaben für das 

Datenbank-Backend definiert werden. Sie erfahren, wie für diese 

Aufgaben ein Zeitplan erstellt wird und wie die Durchführung der 

Aufgaben erfolgt. 

Die Übung ist in fünf Teile untergliedert: 

• In Teil 1 wird gezeigt, wie ein Zeitplan/Intervall für das Durchführen 

von Wartungsaufgaben eingerichtet wird. 

• Teil 2 informiert Sie, wie die Wartungsaufgabe Export to file (In 

Datei exportieren) eingerichtet wird. 

• Anhand von Teil 3 erfahren Sie, wie die Wartungsaufgabe Move 

to database (In Datenbank verschieben) eingerichtet wird. 

• In Teil 4 wird gezeigt, wie die Wartungsaufgabe Delete data 

(Daten löschen) eingerichtet wird. 

• In Teil 5 erfahren Sie, wie die Wartungsaufgabe Import from file 

(Aus Datei importieren) eingerichtet wird. 

Parameter 

Die im Rahmen dieser Übung festzulegenden Parameter und 

Bedingungen sind nachfolgend aufgeführt: 

Teil 1: Einrichtung des Zeitplans/Intervalls für 

Wartungsaufgaben 

• Uhrzeit: 18.00 Uhr bis 9.00 Uhr 

• Intervall: 5 Tage 

• Startdatum: 22.12.2006 

• Startzeit: 18.00 Uhr 

Teil 2: Wartungsaufgabe "Export to file" 

Hinweis: Der Parameter Folder (Ordner) ist an Ihr Netzwerk 

anzupassen. Ersetzen Sie Ihn mit einem für Ihre Umgebung 

passenden Eintrag. 

• Folder: c:\esm7_export 

• Export events older than …(Ereignisse exportieren, die älter sind 

als) 5 Tage 

• Encrypt exported data …: pass3344 

GFI EventsManager Handbuch Übung 4 – Datenbankoperationen • 185

• Log type (Protokolltyp): Windows Event Logs (Windows- 

Ereignisprotokolle) 


• Event IDs: 528, 540 

• Scheduled job (Ausführung nach Zeitplan) 

Teil 3: Wartungsaufgabe "Move to database" 

Hinweis: Der Parameter Database Name (Datenbankname) ist an Ihr 

Netzwerk anzupassen. Ersetzen Sie Ihn mit einem für Ihre Umgebung 


• Database Name (Datenbankname): EventsManager200612 

• Move events older than (Ereignisse verschieben, die älter sind 

als) 5 Tage 




• Event IDs: 528, 540 


Teil 4: Wartungsaufgabe "Delete data" 

• Database (Datenbank): Haupt-Datenbank 

• Delete events older than (Ereignisse löschen, die älter sind als) 5 

Tage 




• Event IDs: 528, 540 


Teil 5: Wartungsaufgabe "Import from to file" 

Hinweis: Der Parameter Folder (Ordner) ist an Ihr Netzwerk 

anzupassen. Ersetzen Sie Ihn mit einem für Ihre Umgebung 


• Verzeichnis: c:\esm7_export 

• Passwort zur Entschlüsselung: pass3344 




• Event IDs: 528, 540 


186 • Übung 4 – Datenbankoperationen GFI EventsManager Handbuch

Teil 1: Einrichtung des Zeitplans/Intervalls für Wartungsaufgaben 





den Knoten Database Operations, und wählen Sie Properties. 

Hierdurch wird der Dialog für die Optionen zur Datenbankwartung 

geöffnet. 

Screenshot 164 – Wartung nach Zeitplan 

4. Per Mausklick auf den Reiter Schedule können Sie folgende 

Einstellungen festlegen: 

• Tageszeiten, zu denen Wartungsarbeiten durchgeführt werden 

können: 

18.00 Uhr bis 9.00 Uhr 

• Intervall: 5 Tage 

• Startdatum: 22.12.2006 

• Startzeit: 18.00 Uhr 


speichern. 

Teil 2: Wartungsaufgabe "Export to file" 

So erstellen Sie eine neue Wartungsaufgabe zum Exportieren von 

Daten: 








aufgerufen. 



Screenshot 165 – Auswahl des Aufgabentyps: Wartungsaufgabe "Export to file" 

5. Wählen Sie die Wartungsaufgabe Export to file aus. Klicken Sie 


Screenshot 166 – Für den Datenexport erforderliche Parameter 


6. Legen Sie folgende Exportparameter fest: 


• Export events older than (Ereignisse exportieren, die älter sind 

als) 5 Tage 


Screenshot 167 – Verschlüsselung der exportierten Daten 

8. Geben Sie die folgenden Parameter an: 

• Encrypt exported data … (exportierte Daten mit Passwort 

verschlüsseln): pass3344 

9. Bestätigen Sie das Passwort, und klicken Sie auf die Schaltfläche 

Next. Als nächster Auswahlschritt sind die zu filternden 

Ereignisprotokolle anzugeben. 


Screenshot 168 – Zu filternde Protokolle 

10. Geben Sie folgenden zu bearbeitenden und filternden Protokolltyp 

an: 



11. Klicken Sie auf die Schaltfläche Filter, um weitere 



Screenshot 169 – Angabe von Filterbedingungen 

12. Legen Sie folgende Filterparameter fest: 


• Event IDs: 528, 540 


speichern. 



Screenshot 170 – Wartungsaufgabe nach Zeitplan 

15. Wählen Sie Scheduled job, damit die Wartungsaufgabe 

regelmäßig nach Zeitplan durchgeführt wird. Klicken Sie auf die 

Schaltfläche Finish, um die Einstellungen abschließend zu speichern. 

Teil 3: Wartungsaufgabe "Move to database" 

So erstellen Sie eine neue Wartungsaufgabe zum Verschieben von 

Daten in eine Datenbank: 







aufgerufen. 




Screenshot 171 – Auswahl des Aufgabentyps: Wartungsaufgabe "Move to database" 

5. Wählen Sie die Wartungsaufgabe Move to database aus. Klicken 


Screenshot 172 – Parameter für die die Wartungsaufgabe "Move to database" 

6. Legen Sie folgende Parameter fest: 

• Database Name (Datenbankname): EventsManager200612 

• Move events older than (Ereignisse verschieben, die älter sind 

als) 5 Tage 


7. Klicken Sie auf die Schaltfläche Next. Als nächster Auswahlschritt 

sind die zu filternden Ereignisprotokolle anzugeben. 



an: 



9. Klicken Sie auf die Schaltfläche Filter, um weitere Filterbedingungen 






• Event IDs: 528, 540 


speichern. 







Teil 4: Wartungsaufgabe "Delete data" 

So erstellen Sie eine neue Wartungsaufgabe zum Löschen von Daten: 







aufgerufen. 




Screenshot 176 – Auswahl des Aufgabentyps: Wartungsaufgabe "Delete data" 

5. Wählen Sie die Wartungsaufgabe Delete data aus. Klicken Sie auf 

die Schaltfläche Next. 

Screenshot 177 – Parameter zur Datenlöschung 

6. Legen Sie folgende Parameter fest: 

• Database (Datenbank): Haupt-Datenbank 

• Delete events older than (Ereignisse löschen, die älter sind als) 5 

Tage 

7. Klicken Sie auf die Schaltfläche Next. Als nächster Auswahlschritt 

sind die zu filternden Ereignisprotokolle anzugeben. 




an: 



9. Klicken Sie auf die Schaltfläche Filter, um weitere Filterbedingungen 






• Event IDs: 528, 540 


speichern. 







Teil 5: Wartungsaufgabe "Import from file" 

So erstellen Sie eine neue Wartungsaufgabe zum Importieren von 

Daten aus einer Datei: 







aufgerufen. 




Screenshot 181 – Auswahl des Aufgabentyps: Wartungsaufgabe "Import from file" 

5. Wählen Sie die Wartungsaufgabe Import from file aus. Klicken Sie 


Screenshot 182 – Parameter für den Datenimport 

6. Legen Sie folgende Importparameter fest: 




Screenshot 183 – Entschlüsselung der zu importierenden Daten 

8. Geben Sie die folgenden Parameter an: 

• Passwort zur Entschlüsselung: pass3344 

9. Bestätigen Sie das Passwort, und klicken Sie auf die Schaltfläche 

Next. Als nächster Auswahlschritt sind die zu filternden Ereignisprotokolle 

anzugeben. 



an: 




11. Klicken Sie auf die Schaltfläche Filter, um weitere 





• Event IDs: 528, 540 


speichern. 








Index 

K 

Kernarbeitszeit 28 

L 

Lizenzierung 13, 18, 126 

N 

Netzwerk-Warnmeldung 28 

Netzwerkwarnung 7, 32 

A 

Aktion 110, 117, 179 

Aktionen 5, 6, 10, 12, 35, 43, 

44, 56, 59, 60, 61, 166 

Arbeitszeit 29, 109, 119, 158, 

162, 176 

B 

Betriebszeit 39, 41, 110 

C 

Computer-Eigenschaften 38 

D 

Database Operations 85 

Datenbank-Backend 10, 12, 

25, 26, 27, 56, 67, 73 

Datenbankoperationen 185 

E 

E-Mail-Warnung 6, 27, 32, 

43, 59 

Ereignisabfrage 10, 64, 65, 

67, 68 

Ereignisabfrage-Generator 

68 

Ereignisarchivierung 6, 25, 

56, 59 

Ereigniskennzeichnung 66 

Ereignisklassifizierung 10, 

44, 56, 59, 61 

Ereignisquelle 9, 12, 35, 37, 

38, 41, 48, 110 

Ereignisquellen 11 

Ereignissicherung 73, 74 

Events Browser 5, 63 

F 

Filterbedingungen 91 

I 

Installationsassistent 18 

R 

Regel zur 

Ereignisverarbeitung 9 

Regeln zur 

Ereignisverarbeitung 5, 

7, 9, 12, 43, 44, 49, 51, 

54, 56, 57, 59, 61, 105 

Regelsatz 57, 106, 107, 111 

Registrierschlüssel 19 

S 

Schnellstart-Dialog 24, 28, 

35, 158, 160, 161 

SMS-Warnung 6, 7, 27, 30, 

33, 131, 158, 177 

Status-Monitor 75 

Syslog-Nachricht 23, 52 

Syslog-Server 23, 51, 53, 54 

U 

Update 18 

V 

Versionsinformationen 127 

W 

W3C-Protokoll 23, 43, 50, 

111, 117 

W3C-Protokolle 7, 11, 21, 39 

Warnoptionen 135 

Warnungseinstellungen 31 

Windows-Ereignisprotokoll 7, 

9, 21, 43, 50, 57 

Windows-Ereignisprotokolle 

11, 39, 45 

working hours 158, 166 

Z 

Zugangsdaten 41 

Zugriffsrechte 18 

GFI EventsManager Übung 4 – Datenbankoperationen • 205

Installieren von GFI EventsManager

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?