Installieren von GFI EventsManager
Installieren von GFI EventsManager
Installieren von GFI EventsManager
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>GFI</strong> <strong>EventsManager</strong> 7.1<br />
Handbuch<br />
<strong>GFI</strong> Software Ltd.
http://www.gfisoftware.de<br />
E-Mail: info@gfisoftware.de<br />
Dieses Handbuch wurde <strong>von</strong> <strong>GFI</strong> Software Ltd verfasst und<br />
produziert. Die Informationen in diesem Dokument können ohne<br />
vorherige Ankündigung geändert werden. In den Beispielen<br />
verwendete Firmen, Namen und Daten sind, wenn nicht anders<br />
angegeben, rein fiktiv. Ohne vorherige ausdrückliche und schriftliche<br />
Zustimmung <strong>von</strong> <strong>GFI</strong> Software Ltd. darf das Dokument weder ganz<br />
noch teilweise in irgendeiner Form, sei es elektronisch oder<br />
mechanisch, oder zu irgendeinem Zweck reproduziert bzw.<br />
übertragen werden.<br />
<strong>GFI</strong> <strong>EventsManager</strong> wurde <strong>von</strong> <strong>GFI</strong> Software Ltd. entwickelt.<br />
<strong>GFI</strong> <strong>EventsManager</strong> ist <strong>von</strong> <strong>GFI</strong> Software Ltd. urheberrechtlich<br />
geschützt. © 2000-2007 <strong>GFI</strong> Software Ltd. Alle Rechte vorbehalten.<br />
Version 7.1 – Letzte Aktualisierung: 12. Juni 2007
Inhaltsverzeichnis<br />
Einführung 5<br />
Informationen zu diesem Handbuch ..............................................................................5<br />
Aufbau des Handbuchs.....................................................................................5<br />
Über <strong>GFI</strong> <strong>EventsManager</strong> ..............................................................................................8<br />
Hauptmerkmale..............................................................................................................9<br />
Funktionsweise <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> ....................................................................11<br />
Die Verwaltungskonsole <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> im Überblick .................................13<br />
Lizenzierung.................................................................................................................14<br />
<strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> 15<br />
Einführung....................................................................................................................15<br />
<strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in einem Local Area<br />
Network (LAN).................................................................................................16<br />
<strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in einer Demilitarisierten<br />
Zone (DMZ).....................................................................................................17<br />
Systemanforderungen..................................................................................................18<br />
Aktualisieren einer früheren Version <strong>von</strong> <strong>GFI</strong> LANguard S.E.L.M...............................18<br />
Starten der Installation .................................................................................................18<br />
Erste Schritte 21<br />
Einführung....................................................................................................................21<br />
Erste Schritte: Starten <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>..........................................................24<br />
Schnellstart-Dialog.......................................................................................................24<br />
Konfigurieren des Datenbank-Backends .....................................................................25<br />
Konfigurieren der SQL Server-Einstellungen..................................................26<br />
Ändern der Einstellungen des Datenbank-Backends ..................................................27<br />
Konfigurieren des Administratorkontos <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>................................27<br />
Konfigurieren allgemeiner Optionen für Warnmeldungen............................................30<br />
Konfigurieren <strong>von</strong> E-Mail-Warnungen.............................................................32<br />
Konfigurieren <strong>von</strong> Netzwerkwarnungen..........................................................32<br />
Konfigurieren <strong>von</strong> SMS-Warnungen ...............................................................33<br />
Ändern der allgemeinen Optionen für Warnmeldungen ..............................................34<br />
Erste Schritte: Verarbeiten <strong>von</strong> Ereignisprotokollen ....................................................35<br />
Konfigurieren <strong>von</strong> Ereignisquellen 37<br />
Einführung....................................................................................................................37<br />
Hinzufügen neuer Ereignisquellen zu einer Standardgruppe ......................................37<br />
Konfigurieren der Eigenschaften einer Ereignisquelle.................................................38<br />
Festlegen allgemeiner Eigenschaften einer Ereignisquelle.........................................39<br />
Festlegen alternativer Zugangsdaten des Domänenadministrators ............................40<br />
Konfigurieren der Betriebszeit einer Ereignisquelle.....................................................41<br />
Festlegen <strong>von</strong> Parametern für die Ereignisverarbeitung .............................................42<br />
Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung 43<br />
Einführung....................................................................................................................43<br />
Erfassen und Verarbeiten <strong>von</strong> Windows-Ereignisprotokollen......................................45<br />
Konfigurieren benutzerdefinierter Ereignisprotokolle...................................................49<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch<br />
Inhaltsverzeichnis • i
Erfassen und Verarbeiten <strong>von</strong> W3C-Protokollen .........................................................50<br />
Erfassen und Verarbeiten <strong>von</strong> Syslog-Nachrichten .....................................................51<br />
Konfigurieren des Syslog-Server-Ports........................................................................54<br />
Archivieren <strong>von</strong> Ereignissen ........................................................................................55<br />
Auswählen <strong>von</strong> Regeln zur Ereignisverarbeitung ........................................................56<br />
Konfigurieren <strong>von</strong> Warnmeldungen und Aktionen 59<br />
Einführung....................................................................................................................59<br />
Konfigurieren der Default Classification Actions<br />
(klassifizierungsabhängige Standardaktionen) ............................................................60<br />
Konfigurieren <strong>von</strong> Aktionen für Regeln zur Ereignisverarbeitung................................61<br />
Der Events Browser 63<br />
Einführung....................................................................................................................63<br />
Anzeigen gespeicherter Ereignisprotokolle .................................................................67<br />
Starten einer Ereignisabfrage ......................................................................................67<br />
Erstellen eigener Ereignisabfragen..............................................................................68<br />
Anpassen des Ereignisanzeige-Fensters ....................................................................69<br />
Farbliches Kennzeichnen <strong>von</strong> Ereignissen..................................................................71<br />
Tool zur Ereignissuche ................................................................................................72<br />
Sichern <strong>von</strong> Ereignissen ..............................................................................................73<br />
Wechseln zwischen Datenbanken...............................................................................74<br />
Löschen aller Ereignisse..............................................................................................74<br />
Statusüberwachung 75<br />
Einführung....................................................................................................................75<br />
Öffnen des Status-Monitors .........................................................................................75<br />
Ansicht "General".........................................................................................................76<br />
Ansicht "Job Activity"....................................................................................................79<br />
Ansicht "Statistics" .......................................................................................................82<br />
Das Modul Database Operations 85<br />
Einführung....................................................................................................................85<br />
Gründe für die Datenbankwartung...............................................................................85<br />
Konfigurieren der Datenbankwartung per Database Operations.................................87<br />
Einrichten einer Wartungsaufgabe...............................................................................89<br />
Wartungsaufgabe "Move to database" ........................................................................92<br />
Wartungsaufgabe "Export to file" .................................................................................93<br />
Wartungsaufgabe "Import from file" .............................................................................95<br />
Wartungsaufgabe "Delete data"...................................................................................97<br />
Konfigurieren der Datenfilter-Bedingungen .................................................................98<br />
Anzeigen geplanter Wartungsaufgaben.....................................................................101<br />
Bearbeiten einer Wartungsaufgabe ...........................................................................102<br />
Bearbeiten der Priorität einer Wartungsaufgabe .......................................................103<br />
Entfernen einer Wartungsaufgabe.............................................................................103<br />
Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung 105<br />
Einführung..................................................................................................................105<br />
Erstellen eines neuen Regelsatz-Ordners .................................................................106<br />
Umbenennen und Löschen <strong>von</strong> Ordnern...................................................................106<br />
Erstellen eines neuen Regelsatzes............................................................................106<br />
Bearbeiten eines Regelsatzes ...................................................................................107<br />
Löschen eines Regelsatzes .......................................................................................107<br />
Erstellen einer neuen Regel für Windows-Ereignisprotokolle....................................108<br />
Erstellen einer neuen Regel für W3C-Protokolle .......................................................111<br />
Erstellen einer neuen Syslog-Regel...........................................................................114<br />
Ändern der Regeleigenschaften ................................................................................116<br />
Inhaltsverzeichnis • ii<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Erweiterte Einstellungen zur Ereignisfilterung ...........................................................118<br />
Bedingungen für Windows-Ereignisse..........................................................118<br />
Syslogspezifische Kategorien.......................................................................118<br />
Konfigurieren <strong>von</strong> Benutzern und Gruppen 119<br />
Einführung..................................................................................................................119<br />
Erstellen eines neuen Benutzers ...............................................................................120<br />
Ändern <strong>von</strong> Benutzereigenschaften...........................................................................120<br />
Löschen <strong>von</strong> Benutzern .............................................................................................120<br />
Konfigurieren <strong>von</strong> Gruppen........................................................................................121<br />
Ändern <strong>von</strong> Eigenschaften einer Benutzergruppe........................................122<br />
Löschen <strong>von</strong> Benutzergruppen.....................................................................122<br />
Ergänzende Optionen 123<br />
Befehlszeilen-Tools....................................................................................................123<br />
Lizenzierung...............................................................................................................126<br />
Eingeben des Registrierschlüssels nach der Installation .............................126<br />
Versionsinformationen ...............................................................................................127<br />
Suchen nach neueren Builds........................................................................127<br />
Troubleshooting 129<br />
Einführung..................................................................................................................129<br />
Knowledge-Base........................................................................................................129<br />
Support-Anfrage per E-Mail .......................................................................................129<br />
Support-Anfrage per Web-Chat .................................................................................130<br />
Support-Anfrage per Telefon .....................................................................................130<br />
Web-Forum ................................................................................................................130<br />
Mitteilungen zu neuen Builds .....................................................................................130<br />
Anhang 1 – SMS-Einstellungen 131<br />
Globale Einstellungen für Warnungen per SMS/Pager .............................................131<br />
Integrierter GSM SMS-Server....................................................................................132<br />
Vorlage für den SMS-Service <strong>von</strong> <strong>GFI</strong> FAXmaker ....................................................134<br />
E-Mail-zu-SMS-Dienst <strong>von</strong> Clickatell .........................................................................136<br />
Vorlage für einen standardmäßigen SMS-Service-Provider......................................139<br />
Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong>143<br />
Einführung..................................................................................................................143<br />
Aktivieren der Remote-Registrierung.........................................................................144<br />
Aktivieren der Windows-Sicherheitsüberwachung.....................................................145<br />
<strong>Installieren</strong> des Gruppenrichtlinien-Snap-In...............................................................147<br />
Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server Express 151<br />
Einführung..................................................................................................................151<br />
Software-Anforderungen............................................................................................151<br />
<strong>Installieren</strong> <strong>von</strong> SQL Server Express.........................................................................151<br />
Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-<br />
Dialog 157<br />
Überblick ....................................................................................................................157<br />
Parameter ..................................................................................................................157<br />
Teil 1: Konfigurieren des Datenbank-Backends <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong>...................................................................................................158<br />
Teil 2: Konfigurieren <strong>von</strong> Standardoptionen für Warnungen .....................................160<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch<br />
Inhaltsverzeichnis • iii
Teil 3: Konfigurieren des Administratorkontos <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong>...................................................................................................161<br />
Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung 165<br />
Überblick ....................................................................................................................165<br />
Parameter ..................................................................................................................165<br />
Teil 1: Konfigurieren der Protokollquellen.................................................................167<br />
Teil 2: Erstellen <strong>von</strong> neuen Regeln zur Ereignisverarbeitung....................................168<br />
Abschnitt 1: Erstellen eines neuen Regelordners.........................................168<br />
Abschnitt 2: Erstellen eines neuen Regelsatzes...........................................169<br />
Abschnitt 3: Erstellen einer neuen Regel......................................................169<br />
Teil 3: Konfigurieren <strong>von</strong> Benutzereigenschaften, Warnungen und<br />
anderen Aktionen.......................................................................................................173<br />
Abschnitt 1: Erstellen einer neuen Gruppe für<br />
Benutzer/Empfänger <strong>von</strong> Warnungen ..........................................................173<br />
Abschnitt 2: Hinzufügen eines neuen Empfängers <strong>von</strong><br />
Warnungen....................................................................................................175<br />
Abschnitt 3: Einrichten <strong>von</strong> E-Mail-Warnungen für kritische<br />
Ereignisse .....................................................................................................179<br />
Übung 3 – Ereignisabfrage und Ereignisfilterung 181<br />
Überblick ....................................................................................................................181<br />
Parameter ..................................................................................................................181<br />
Erstellen einer neuen Ereignisabfrage.......................................................................181<br />
Verwenden der neuen Ereignisabfrage .....................................................................183<br />
Übung 4 – Datenbankoperationen 185<br />
Überblick ....................................................................................................................185<br />
Parameter ..................................................................................................................185<br />
Teil 1: Einrichtung des Zeitplans/Intervalls für Wartungsaufgaben ...........................187<br />
Teil 2: Wartungsaufgabe "Export to file" ....................................................................187<br />
Teil 3: Wartungsaufgabe "Move to database" ...........................................................192<br />
Teil 4: Wartungsaufgabe "Delete data"......................................................................196<br />
Teil 5: Wartungsaufgabe "Import from file" ................................................................200<br />
Index 205<br />
Inhaltsverzeichnis • iv<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Einführung<br />
Informationen zu diesem Handbuch<br />
Aufbau des Handbuchs<br />
In diesem Handbuch werden alle aufeinander aufbauenden Schritte<br />
beschrieben, die erforderlich sind, um <strong>GFI</strong> <strong>EventsManager</strong> zu<br />
installieren, einzurichten und zu verwenden.<br />
• Kapitel 1 präsentiert einen Überblick über die Funktionsweise <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong>.<br />
• Kapitel 2 erläutert die Installation <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>.<br />
• Kapitel 3 befasst sich mit der Festlegung der wichtigsten<br />
Parameter, die für den ersten Start des Programms erforderlich<br />
sind. Alle notwendigen Einstellungen werden Schritt für Schritt<br />
erklärt.<br />
• Kapitel 4, 5 und 6 helfen Ihnen bei der Konfigurierung<br />
grundlegender Einstellungen zur Ereignisverarbeitung. Mit den in<br />
diesen Kapiteln präsentierten Informationen ist es Ihnen möglich:<br />
• Zu überwachende Ereignisquellen zu bestimmen<br />
• Die Erfassung und Verarbeitung unterschiedlicher Ereignisprotokolle<br />
festzulegen<br />
• Regeln zur Ereignisverarbeitung einzurichten, die auf erfasste<br />
Protokolle angewendet werden<br />
• Warnmeldungen und Aktionen für wichtige Ereignisse<br />
einzurichten<br />
Hinweis: Mit den Informationen dieser Kapitel besitzen Sie<br />
ausreichende Kenntnisse, <strong>GFI</strong> <strong>EventsManager</strong> anhand der standardmäßigen<br />
Einstellungen zu betreiben.<br />
• Kapitel 7 erklärt, wie der integrierte Events Browser zur Analyse<br />
<strong>von</strong> Ereignissen zu verwenden ist, die im Datenbank-Backend <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> gesichert sind. Erfahren Sie, wie folgende<br />
Tools und Funktionen des Events Browser eingesetzt werden:<br />
• Standardmäßige Ereignisprotokoll-Abfragen und der Abfragegenerator<br />
für benutzerdefinierte Vorgaben<br />
• Farbliche Hervorhebung unterschiedlicher Ereignisse<br />
• Tool zur Ereignissuche<br />
• Kapitel 8 erläutert, wie der Status-Monitor zur Kontrolle des<br />
Programm-Status sowie zur Darstellung statistischer<br />
Informationen und verarbeiteter Events verwendet wird.<br />
• Kapitel 9 führt Sie durch die Erstellung und Anpassung <strong>von</strong><br />
Regeln zur Ereignisverarbeitung. Dieses Kapitel richtet sich an<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Einführung • 5
erfahrene Anwender, die eigene Verarbeitungsregeln erstellen<br />
möchten.<br />
• Kapitel 10 befasst sich mit der Festlegung der Benachrichtigungseinstellungen<br />
für Warnungen an Systemverantwortliche:<br />
• Persönliche Angaben der Empfänger, z. B. zur Mobilfunknummer.<br />
• Normale Arbeitszeit (Kernarbeitszeit)<br />
• Art der an jeden Empfänger zu verschickenden Warnmeldung<br />
• Kapitel 11 informiert über verschiedene Kontaktmöglichkeiten bei<br />
Fragen zur Problembehebung.<br />
• Anhang 1 hilft bei der Festlegung der Einstellungen den Versand<br />
<strong>von</strong> SMS-Warnungen und der Auswahl des SMS-Gateway-<br />
Providers.<br />
• Anhang 2 unterstützt Sie bei der Konfigurierung der für<br />
<strong>GFI</strong> <strong>EventsManager</strong> erforderlichen Einstellungen und Dienste <strong>von</strong><br />
Microsoft Windows.<br />
• Anhang 3 erläutert Schritte zur Installation der Microsoft SQL<br />
Server 2005 Express Edition.<br />
• Übungen 1, 2, 3 und 4 helfen Ihnen beim schnellen Einstieg in<br />
<strong>GFI</strong> <strong>EventsManager</strong>.<br />
Definitionen der in diesem Handbuch verwendeten Begriffe<br />
Aktion Schritte, die eingeleitet werden, wenn ein<br />
protokolliertes Ereignis zuvor festgelegte<br />
Bedingungen erfüllt. Beispielsweise lassen sich<br />
Aktionen durchführen, wenn ein Ereignis als<br />
kritisch eingestuft wurde. Unterstützt werden<br />
Aktionen wie E-Mail-Warnungen, eine<br />
Ereignisarchivierung und Ausführung <strong>von</strong><br />
Skripten.<br />
Warnmeldung/Warnung<br />
Informieren über den Eintritt eines bestimmten<br />
Ereignisses. <strong>GFI</strong> <strong>EventsManager</strong> kann<br />
Warnmeldungen per E-Mail, SMS und Netzwerk<br />
verschicken.<br />
Archiv<br />
E-Mail-Warnung<br />
Ereignisklassifizierung<br />
Ereignisprotokoll<br />
Mehrere Ereignisse, die <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
im Microsoft SQL Server Datenbank-Backend<br />
gesichert wurden.<br />
Per E-Mail verschickte Benachrichtigung, die über<br />
den Eintritt eines bestimmten Ereignisses<br />
informiert. Erfordert den Zugriff auf einen aktiven<br />
E-Mail-Server.<br />
Ereignisse werden <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> als<br />
kritisch, hoch, mittel, niedrig oder "Noise" (s. u.)<br />
eingestuft.<br />
Enthält Daten zu Ereignissen, die im Netzwerk<br />
oder auf einem Computer eingetreten sind.<br />
<strong>GFI</strong> <strong>EventsManager</strong> unterstützt 3 verschiedene<br />
Arten <strong>von</strong> Ereignisprotokollen: Windows<br />
Ereignisprotokolle, W3C-Protokolle und Syslog-<br />
Nachrichten<br />
6 • Einführung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Regeln zur Ereignisverarbeitung<br />
Netzwerk-Warnung<br />
Noise ("Rauschen")<br />
Regelsatz-Ordner<br />
Legen fest, nach welchen Kriterien ein Ereignisprotokoll<br />
zu überprüfen ist.<br />
Im Netzwerk verschickte Mitteilungen (auch Net-<br />
Send-Nachrichten genannt), die über den Eintritt<br />
eines Ereignisses informieren. Diese Nachrichten<br />
werden mit Hilfe eines Instant-Messenger-<br />
System/Protokolls verschickt und über die<br />
Taskleiste des Empfängers angezeigt. Für<br />
Netzwerk-Warnungen müssen der Name oder die<br />
IP-Adresse des empfangenden Computers<br />
angegeben werden.<br />
Bezeichnet sich wiederholende Protokolleinträge<br />
zu ein und demselben Ereignis.<br />
Enthält einen oder mehrere Regelsätze.<br />
Regelsatz Zusammenstellung mehrerer Regeln zur<br />
Ereignisverarbeitung<br />
SMS-Warnung<br />
Per SMS verschickte Benachrichtigung, die über<br />
den Eintritt eines bestimmten Ereignisses<br />
informieren. SMS-Warnungen können unter<br />
anderem per Mobiltelefon (mit Modem) und Webbasierten<br />
E-Mail-to-SMS-Gateways verschickt<br />
werden.<br />
Nicht klassifizierte<br />
Ereignisse<br />
Ereignisse, die keine der in den Regeln zur<br />
Ereignisprotokollierung festgelegten Bedingungen<br />
erfüllen.<br />
W3C-Protokolle Ein vom World Wide Web Consortium<br />
entwickeltes allgemeines Protokollformat. W3C-<br />
Protokolle sind textbasierte Flat-Files, die <strong>von</strong><br />
Webservern, u. a. dem Microsoft Internet<br />
Information Server (IIS), zur Aufzeichnung Webspezifischer<br />
Ereignisse verwendet werden.<br />
Windows-<br />
Ereignisprotokoll<br />
Sammlung <strong>von</strong> Einträgen zu Ereignissen, die auf<br />
einem Computer mit Windows-Betriebssystem<br />
eingetreten sind.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Einführung • 7
Über <strong>GFI</strong> <strong>EventsManager</strong><br />
Abbildung 1 – Integration <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> mit jeder bestehenden IT-Infrastruktur<br />
<strong>GFI</strong> <strong>EventsManager</strong> dient der zielgerichteten Verwaltung <strong>von</strong><br />
Ereignisprotokollen und lässt sich in jede bestehende IT-Infrastruktur<br />
einbinden, um mit der Ereignisverwaltung verbundene Aufgaben im<br />
gesamten Netzwerk zu automatisieren und vereinfachen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> bietet folgende Leistungsmerkmale:<br />
• Automatische Erfassung und zentrale Verwaltung <strong>von</strong> W3C-,<br />
Syslog- und Windows-Ereignissen, die <strong>von</strong> Netzwerkgeräten und<br />
Windows/Linux/Unix-basierten Systemen ausgegeben werden.<br />
• Archivierung erfasster Ereignisse in einer zentralen SQL-<br />
Datenbank zwecks Analyse und forensischer Spurensuche.<br />
• Herausfiltern unerwünschter Ereignisse und Klassifizierung<br />
wichtiger Ereignisse durch leistungsfähige Standard- oder<br />
benutzerdefinierbare Regeln zur Ereignisverarbeitung.<br />
• Automatisierung der Ausgabe <strong>von</strong> Warnmeldungen und der<br />
Einleitung <strong>von</strong> Gegenmaßnahmen bei Ereignissen mit hoher<br />
Dringlichkeitsstufe, wie die Ausführung <strong>von</strong> Skripten und Dateien.<br />
• Überwachung der Netzwerkaktivität und des Status der Scan-<br />
Engine <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> über eine integrierte Dashboard-<br />
Anzeige.<br />
• Analyse <strong>von</strong> Ereignissen mit einem integrierten Events-Browser<br />
• Vereinfachte forensische Spurensuche mit Hilfe <strong>von</strong><br />
Spezialwerkzeugen wie dem integrierten Ereignisabfrage-<br />
Generator, einem Tool zur Ereignissuche und der farblichen<br />
Hervorhebung unterschiedlicher Ereignisse.<br />
• Leistungsfähige Verarbeitung <strong>von</strong> Ereignissen per Hochleistungs-<br />
Scan-Engine.<br />
• Erstellung, zeitgesteuerte Ausgabe und E-Mail-Versand <strong>von</strong><br />
Trend-Reports zu Ereignisaktivitäten per <strong>GFI</strong> <strong>EventsManager</strong><br />
ReportPack, dem im Lieferumfang <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
enthaltenen Reporting-Tool.<br />
8 • Einführung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Hauptmerkmale<br />
Erweiterte Ereignisprotokoll-Unterstützung<br />
<strong>GFI</strong> <strong>EventsManager</strong> verarbeitet verschiedene Protokolltypen, darunter<br />
Windows-Ereignisprotokolle, W3C-Protokolle und Syslog-Nachrichten.<br />
Diese umfangreiche Unterstützung ermöglicht die Erfassung einer<br />
großen Auswahl an Daten unterschiedlicher Hardware- und Software-<br />
Systeme in Unternehmensnetzwerken.<br />
Regelbasierte Verwaltung <strong>von</strong> Ereignisprotokollen<br />
Nutzen Sie vorkonfigurierte Regeln zur Ereignisverarbeitung, mit<br />
denen Ereignisse unter Berücksichtigung festgelegter Bedingungen<br />
herausgefiltert und klassifiziert werden. Standardregeln lassen sich<br />
individuell verändern, zudem ist die Erstellung neuer, auf Ihre Netzwerkinfrastruktur<br />
zugeschnittener Regeln möglich.<br />
Scan-Profile für Ereignisprotokolle<br />
Verwalten Sie Regeln zum Scannen <strong>von</strong> Ereignisprotokollen mit Hilfe<br />
<strong>von</strong> Scan-Profilen. Über ein Scan-Profil können mehrere Regeln zur<br />
Ereignisprotokoll-Überwachung konfiguriert werden, die auf einen<br />
einzelnen Computer oder eine Computergruppe angewendet werden.<br />
Die Vorteile <strong>von</strong> Scan-Profilen:<br />
• Sie vereinfachen die Produktadministration, da Regeln zur<br />
Ereignisverarbeitung zentral angepasst werden können.<br />
• Es lassen sich verschiedene Regelgruppen erstellen, die sich an<br />
die Funktion der gescannten Ereignisquellen und die Netzwerkumgebung<br />
anpassen lassen. Regelgruppen können<br />
beispielsweise auf die Arbeitsplatzrechner einer einzelnen<br />
Abteilung abgestimmt werden.<br />
Granulare Regelkonfigurierung<br />
Erstellen Sie ein übergreifendes Profil zur Ereignisverarbeitung, das<br />
für alle Computer gelten soll, und mehrere Spezialprofile, die<br />
zusätzliche, differenziertere Regeln für einzelne Computer enthalten.<br />
Verständliche Erklärungen zu Windows-Ereignissen<br />
Ein großer Nachteil der Ereignisprotokolle <strong>von</strong> Microsoft Windows ist<br />
die fehlende Benutzerfreundlichkeit, da Einträge nur schwer zu<br />
verstehen sind. Aus diesem Grund werden die Protokolle nur <strong>von</strong><br />
wenigen Administratoren zur Kontrolle herangezogen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> vereinfacht die Nutzung <strong>von</strong> Ereignisprotokollen,<br />
indem die Ereignisbeschreibungen in eine leicht verständliche<br />
Sprache übertragen werden.<br />
Optimierte Event-Scan-Engine<br />
Mit der leistungsfähigen Event-Scan-Engine <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
lassen sich Ereigniskontrollen schneller durchführen. Das modulbasierte<br />
Konzept der Engine erlaubt es, zusätzliche<br />
Funktionen/Module hinzuzufügen, ohne Änderungen am Engine-Code<br />
vorzunehmen. Hierdurch wird mehr Stabilität erzielt, ohne die<br />
Skalierbarkeit zu beeinträchtigen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Einführung • 9
Automatische Noise-Reduzierung<br />
Unterwünschte Ereignisdaten (wie "Noise" oder <strong>von</strong> Hintergrundprozessen<br />
ausgegebene Ereignisse) werden erkannt und herausgefiltert,<br />
sodass allein die sicherheitsrelevanten Informationen<br />
vorliegen. Durch die reduzierte Anzahl der zu analysierenden<br />
Ereignisse wird auch die forensische Spurensuche erleichtert.<br />
Optimierte Durchführung <strong>von</strong> Aktionen in Echtzeit<br />
Wird ein sicherheitsrelevantes Ereignis festgestellt, können Warnmeldungen<br />
ausgegeben oder Aktionen durchgeführt werden,<br />
beispielsweise das Ausführen eines Skripts. Warnungen lassen sich<br />
auf unterschiedliche Weise an eine oder mehrere Personen<br />
verschicken: per E-Mail, Netzwerknachricht und SMS-Mitteilung über<br />
einen E-Mail-to-SMS-Gateway oder -Dienst. Aktionen können<br />
aufgrund der Ereignisklassifizierung oder <strong>von</strong> bestimmten<br />
Bedingungen bei Verarbeitungsregeln ausgelöst werden.<br />
Fortschrittliche Funktionen zur Ereignisfilterung<br />
<strong>GFI</strong> <strong>EventsManager</strong> bietet zahlreiche Funktionen zur Ereignisfilterung:<br />
• Vordefinierte Ereignisabfragen plus Abfrage-Generator für<br />
benutzerdefinierte Suchvorgaben: Mit Hilfe vordefinierter<br />
Ereignisabfragen können Daten aus Ereignisprotokollen so<br />
aufbereitet werden, dass nur gewünschte Ereignisse angezeigt<br />
werden – ohne dabei Einträge aus dem Datenbank-Backend zu<br />
löschen. Der integrierte Ereignisabfrage-Generator erlaubt das<br />
Erstellen eigener Suchvorgaben.<br />
• Farbliche Hervorhebung unterschiedlicher Ereignisse: Lassen<br />
Sie unterschiedliche Ereignisarten farblich kennzeichnen. Bei der<br />
Durchsicht <strong>von</strong> Protokollen werden wichtige Ereignisse leichter<br />
erkannt.<br />
• Tool zur Ereignissuche: Durch Angabe <strong>von</strong> Suchkriterien wie<br />
dem Ereignistyp lassen sich wichtige Ereignisse schnell auffinden.<br />
Zentralisierte Ereignisüberwachung und -verwaltung<br />
Von Unix/Linux/Windows-Systemen, Netzwerkgeräten und Software-<br />
Anwendungen ausgegebene Ereignisse lassen sich mit einer einzigen<br />
Benutzerkonsole überwachen und verwalten.<br />
10 • Einführung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Funktionsweise <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
Abbildung 2 – Arbeitsabläufe <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> bearbeitet Ereignisse in zwei Phasen:<br />
• Phase 1: Ereigniserfassung<br />
• Phase 2: Ereignisverarbeitung<br />
Nachfolgend werden die Arbeitsabläufe der beiden Phasen<br />
beschrieben.<br />
Phase 1: Ereigniserfassung<br />
Während der Ereigniserfassung ruft <strong>GFI</strong> <strong>EventsManager</strong> Protokolle<br />
<strong>von</strong> verschiedenen Ereignisquellen ab. Hierfür stehen 2 Engines zur<br />
Verfügung: Die Event Retrieval Engine und die Event Receiving<br />
Engine.<br />
Die Event Retrieval Engine – Diese Engine wird zum Abruf der<br />
Windows-Ereignisprotokolle und W3C-Protokolle <strong>von</strong> Ereignisquellen<br />
im Netzwerk verwendet. Folgende Schritte führt diese Engine<br />
während der Ereigniserfassung durch:<br />
1. Anmeldung an der/den Ereignisquelle(n)<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Einführung • 11
2. Erfassung <strong>von</strong> Ereignissen dieser Quelle(n)<br />
3. Übermittlung der Ereignisse an den <strong>GFI</strong> <strong>EventsManager</strong> Server.<br />
4. Abmeldung <strong>von</strong> der/den Ereignisquelle(n)<br />
Die Event Retrieval Engine erfasst Ereignisse in bestimmten Zeitabständen,<br />
die über die Verwaltungskonsole <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
konfigurierbar sind.<br />
Die Event Receiving Engine – Diese Engine fungiert als Syslog-<br />
Server und überwacht und erfasst Syslog-Ereignisse/Nachrichten, die<br />
<strong>von</strong> Syslog-Quellen im Netzwerk verschickt wurden. Im Gegensatz zur<br />
Event Retrieval Engine empfängt die Event Receiving Engine<br />
Nachrichten direkt <strong>von</strong> der Ereignisquelle. Ein Remote-Login vor dem<br />
Erfassen <strong>von</strong> Ereignissen ist in diesem Fall nicht erforderlich. Syslog-<br />
Ereignisse/Nachrichten werden zudem in Echtzeit erfasst, daher<br />
müssen keine Abruf-Intervalle definiert werden.<br />
Die Event Receiving Engine überwacht Syslog-Nachrichten auf Port<br />
514. Diese Einstellung kann jedoch über die Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> geändert werden.<br />
Phase 2: Ereignisverarbeitung<br />
Während dieser Phase überprüft <strong>GFI</strong> <strong>EventsManager</strong> die erfassten<br />
Ereignisse mit Hilfe mehrerer Regeln zur Ereignisverarbeitung. Sie<br />
bewirken, dass<br />
• erfasste Protokolle analysiert und kontrollierte Ereignisse als<br />
kritisch, hoch, mittel, niedrig oder "Noise" klassifiziert werden,<br />
• Ereignisse, die bestimmten Kriterien entsprechen, herausgefiltert<br />
werden,<br />
• bei wichtigen Ereignissen Warnmeldungen per E-Mail, SMS und<br />
Netzwerk verschickt werden,<br />
• bei wichtigen Ereignissen Aktionen eingeleitet werden, wie die<br />
Ausführung <strong>von</strong> exe-Dateien oder Skripten,<br />
• erfasste Ereignisse im Datenbank-Backend archiviert werden<br />
(optional).<br />
<strong>GFI</strong> <strong>EventsManager</strong> kann darüber hinaus Ereignisse ohne die<br />
vorherige Kontrolle durch Regeln archivieren. In diesem Fall erfolgt<br />
die Archivierung ebenfalls im Rahmen der der Ereignisverarbeitung.<br />
12 • Einführung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Die Verwaltungskonsole <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> im Überblick<br />
Screenshot 1 – Verwaltungskonsole <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
Status – Mit Hilfe dieser Option können Sie den Programmstatus<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> und statistische Daten zu<br />
verarbeiteten Protokollen abrufen.<br />
Configuration – Hierüber können Sie die wichtigsten<br />
Funktionen zur Ereignisverarbeitung aufrufen und bearbeiten.<br />
Event Sources – Legen Sie mit Hilfe dieser Option Ereignisquellen<br />
fest sowie welche Protokolle zu erfassen und welche<br />
Regeln zur Ereignisverarbeitung anzuwenden sind.<br />
Event Processing Rules – Mit dieser Option können Sie<br />
Regeln zur Ereignisverarbeitung erstellen, bearbeiten und<br />
individuell anpassen.<br />
Common Tasks – Im linken Fensterbereich können Sie<br />
zusätzliche Konfigurationsoptionen Manager aufrufen.<br />
General – Mit dieser Option können Sie nach Produkt-<br />
Updates suchen sowie Informationen zur Produktversion und<br />
Lizenzierung abrufen.<br />
Events Browser – Mit dieser Option können Sie die im<br />
Datenbank-Backend <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> gespeicherten<br />
Ereignisse aufrufen und analysieren.<br />
Options – Mit dieser Option können Sie allgemeine<br />
Einstellungen vornehmen, z. B. zum Datenbank-Backend und<br />
zu Warnungen.<br />
In dieser Symbolleiste werden die wichtigsten Konfigurationsoptionen<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> angezeigt.<br />
In dieser Symbolleiste sind weitere Konfigurationsoptionen<br />
aufgeführt, die nach Mausklick auf die Optionen der darüber<br />
liegenden Leiste zugänglich sind.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Einführung • 13
Im rechten Fensterbereich können Details zu konfigurierten<br />
Ereignisquellen, Regeln zur Ereignisverarbeitung,<br />
archivierten Ereignissen, Lizenzdaten und Angaben zur<br />
Produktversion angezeigt werden.<br />
Lizenzierung<br />
Funktion: Evaluation Abgelaufen Lizenziert.<br />
Windows-Ereignisprotokolle <br />
Syslog Optionales Add-on<br />
W3C-Protokolle Optionales Add-on<br />
Datenbank-Vorgänge:<br />
• Verschieben <strong>von</strong><br />
Ereignissen in<br />
Datenbank<br />
• Löschen <strong>von</strong><br />
Ereignisdaten<br />
• Exportieren <strong>von</strong><br />
Ereignissen in Datei<br />
• Importieren <strong>von</strong><br />
Ereignissen aus Datei<br />
<br />
<br />
<br />
<br />
<br />
<br />
Optionales<br />
Add-on<br />
Basis-ReportPack <br />
Lizenzierungsoptionen <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
Wie in der obigen Übersicht dargestellt, stehen für<br />
<strong>GFI</strong> <strong>EventsManager</strong> unterschiedliche Lizenzierungsmöglichkeiten zur<br />
Verfügung.<br />
Während der Evaluierung des Produkts stehen alle Leistungsmerkmale<br />
zur Verfügung. Sie können die Software standardmäßig 10<br />
Tage lang testen. Durch Eingabe eines 30-Tage-Registrierschlüssels<br />
lässt sich die Evaluierungsdauer auf insgesamt 30 Tage verlängern.<br />
Dieser Registrierschlüssel an die E-Mail-Adresse geschickt, die Sie<br />
vor dem Download <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> auf der <strong>GFI</strong>-Website<br />
angegeben haben. Um <strong>GFI</strong> <strong>EventsManager</strong> nach Ablauf der Evaluierungsfrist<br />
weiter nutzen zu können, müssen Sie einen Registrierschlüssel<br />
erwerben. Zur dauerhaften Verwendung des Produkts ist<br />
lediglich der neue Registrierschlüssel einzugeben, eine De- und Neuinstallation<br />
des Produkts ist nicht erforderlich.<br />
Bei Kauf der einfachen Lizenz <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> stehen Ihnen<br />
alle Funktionen zur Verfügung, die in der obigen Tabelle mit einem <br />
gekennzeichnet sind. Durch den Kauf eines erweiterten Registrierschlüssels<br />
lassen sich zusätzliche Funktionen in <strong>GFI</strong> <strong>EventsManager</strong><br />
freischalten.<br />
Hinweis: Zur Verwendung <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> ist immer nur ein<br />
Registrierschlüssel erforderlich. Der Umfang der nutzbaren<br />
Funktionen richtet sich nach dem <strong>von</strong> Ihnen erworbenen Schlüsseltyp.<br />
}<br />
14 • Einführung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
<strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
Einführung<br />
Wo kann <strong>GFI</strong> <strong>EventsManager</strong> im Netzwerk installiert<br />
werden<br />
<strong>GFI</strong> <strong>EventsManager</strong> kann ungeachtet des Standorts auf allen<br />
Computern im Netzwerk installiert werden, die die Systemvoraussetzungen<br />
erfüllen.<br />
Mit <strong>GFI</strong> <strong>EventsManager</strong> lassen sich Ereignisse verwalten, die erzeugt<br />
worden sind auf<br />
• dem eigentlichen Installationsrechner,<br />
• auf allen Computern, auf die der Installationsrechner zugreifen<br />
kann.<br />
Abbildung 3 – Installationsmöglichkeiten <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> lässt sich wie folgt installieren:<br />
Innerhalb des Netzwerks, um die Aktivitäten interner Server und<br />
Workstations/Endpunkte zu überwachen.<br />
In der DMZ, um auf Ihren Servern erzeugte Ereignisse zu überwachen<br />
und zu verwalten<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch <strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> • 15
<strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in einem Local Area<br />
Network (LAN)<br />
<strong>GFI</strong> <strong>EventsManager</strong> kann in Windows-basierten Netzwerken und<br />
gemischten Umgebungen mit Linux- und UNIX-Systemen installiert<br />
werden.<br />
Abbildung 4 – Installation <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in einem LAN<br />
Bei der LAN-Installation <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> lassen sich<br />
Windows-Ereignisse, W3C-Protokolle und Syslog-Nachrichten<br />
verwalten, die <strong>von</strong> mit dem LAN verbundener Hard- oder Software<br />
ausgegeben werden, darunter:<br />
• Workstations und Server (z. B. Apache Webserver)<br />
• Netzwerk-Hardware (z. B. Cisco PIX-Firewalls)<br />
• Software <strong>von</strong> Drittanbietern<br />
• spezielle Dienste (z. B. Microsoft Internet Information Server, IIS)<br />
• Telefonanlagen, schlüssellose Zugangskontrollen, Intrusion-<br />
Detection-Systeme (IDS) u. v. m.<br />
Bei einer LAN-Installation lässt sich <strong>GFI</strong> <strong>EventsManager</strong> zudem zum<br />
Erfassen <strong>von</strong> Ereignissen verwenden, die <strong>von</strong> Hard- und Software in<br />
einer demilitarisierten Zone (DMZ) stammen. Hierfür sind jedoch<br />
folgende Voraussetzungen zu erfüllen, da die DMZ für gewöhnlich<br />
durch eine Firewall oder einen Router geschützt wird:<br />
1. Die <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> verwendeten Ports dürfen nicht <strong>von</strong><br />
der Firewall blockiert werden. Weitere Informationen hierzu erhalten<br />
Sie in folgendem Knowledge-Base-Artikel <strong>von</strong> <strong>GFI</strong>:<br />
http://kbase.gfi.com/showarticle.aspid=KBID002770.<br />
2. <strong>GFI</strong> <strong>EventsManager</strong> muss administrative Zugriffsrechte für die in<br />
der DMZ laufenden Computer besitzen.<br />
16 • <strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
<strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in einer<br />
Demilitarisierten Zone (DMZ)<br />
Abbildung 5 – Zwischen dem internen LAN und dem Internet eingerichtete DMZ<br />
<strong>GFI</strong> <strong>EventsManager</strong> lässt sich auch in einer Demilitarisierten Zone<br />
(DMZ) installieren. Dieses neutrale Netzwerk befindet sich zwischen<br />
dem internen Unternehmensnetzwerk (LAN) und externen Netzen wie<br />
dem Internet. Bei dieser Installationsvariante lässt sich die Verwaltung<br />
<strong>von</strong> Ereignissen, die <strong>von</strong> in der DMZ eingerichteten Hardware und<br />
Software erzeugt werden, ebenfalls automatisieren.<br />
Automatisieren der Verwaltung <strong>von</strong> Web- und E-Mail-Server-<br />
Ereignissen<br />
DMZ-Netzwerke werden üblicherweise für Hardware und Software<br />
eingerichtet, die mit dem Internet kommuniziert, z. B. HTTP-, FTPund<br />
E-Mail-Server.<br />
<strong>GFI</strong> <strong>EventsManager</strong> unterstützt die automatische Verwaltung <strong>von</strong><br />
Ereignissen folgender Server:<br />
• Mit Linux/Unix betriebene Webserver, inklusive der Ereignisse aus<br />
W3C-Protokollen <strong>von</strong> Apache Webservern auf LAMP-Web-<br />
Plattformen<br />
• Windows-basierte Webserver inklusive der <strong>von</strong> Microsoft Internet<br />
Information Services (IIS) erzeugten W3C-Protokolle<br />
• Auf Linux/Unix und Windows basierende E-Mail-Server, darin<br />
eingeschlossen die <strong>von</strong> Sun Solaris Version 9 und höher erstellten<br />
Syslog "Auditing Services"-Nachrichten.<br />
Automatisieren der Verwaltung <strong>von</strong> DNS-Server-Ereignissen<br />
Öffentliche DNS-Server werden häufig in der DMZ betrieben.<br />
<strong>GFI</strong> <strong>EventsManager</strong> kann die Ereignisse dieser Server automatisch<br />
erfassen und verarbeiten, darunter auch solche aus Protokollen <strong>von</strong><br />
Windows DNS-Servern.<br />
Automatisieren der Verwaltung <strong>von</strong> Netzwerkgeräte-Ereignissen<br />
Sehr häufig sind in einer DMZ auch Router und Firewalls zu finden.<br />
Router und Firewalls (z. B. Router der Cisco IOS-Serie) schützen zum<br />
Einen das interne Netzwerk und stellen zum Anderen besondere<br />
Funktionen wie die Port Address Translation (PAT) bereit, mit der sich<br />
die Systemleistung steigern lässt.<br />
Wird <strong>GFI</strong> <strong>EventsManager</strong> in der DMZ installiert, können <strong>von</strong> dieser<br />
Hardware ausgegebene Ereignisse ebenfalls erfasst werden.<br />
Beispielsweise kann die <strong>GFI</strong>-Lösung als Syslog-Server fungieren und<br />
<strong>von</strong> Cisco IOS-Routern ausgegebene Nachrichten in Echtzeit<br />
erfassen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch <strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> • 17
Systemanforderungen<br />
Hardware-Anforderungen der Installationscomputer<br />
• Prozessor: 2 GHz oder mehr.<br />
• RAM: 512 MB.<br />
• Festplattenspeicher: 1,5 GB freier Speicher.<br />
• Weitere Anforderungen: Tastatur und Maus oder kompatible<br />
Eingabe- und Zeigegeräte.<br />
Software-Anforderungen der Installationscomputer<br />
• .NET Framework 2.0.<br />
• Microsoft Data Access Components (MDAC) 2.8 oder später.<br />
• Zugriff auf MSDE/SQL Server 2000 oder später.<br />
Software-Anforderungen der zu überprüfenden Computer<br />
• Zur Kontrolle der Windows-Ereignisprotokolle:<br />
• Aktivierte Remote-Registrierung. Weitere Informationen hierzu<br />
erhalten Sie in Anhang 2 dieses Handbuchs.<br />
• Aktivierte Überwachung <strong>von</strong> Sicherheitsereignissen unter<br />
Microsoft Windows. Weitere Informationen hierzu erhalten Sie<br />
in Anhang 2 dieses Handbuchs.<br />
• Zur Kontrolle der W3C-Protokolle: Quellverzeichnisse müssen<br />
über Windows-Freigaben zugänglich sein.<br />
• Zum Scannen <strong>von</strong> Syslogs: Absender/Quellen <strong>von</strong> Syslog-<br />
Nachrichten müssen für den Versand der Mitteilungen an den <strong>GFI</strong><br />
<strong>EventsManager</strong>-Computer konfiguriert werden.<br />
Aktualisiere n einer früheren Version <strong>von</strong> <strong>GFI</strong> LANguard S.E.L.M.<br />
Aufgrund wesentlicher technologischer Änderungen ist ein Programm-<br />
Update <strong>von</strong> <strong>GFI</strong> LANguard Security Event Log Monitor (S.E.L.M.) auf<br />
<strong>GFI</strong> <strong>EventsManager</strong> 7.X nicht möglich.<br />
Hinweis: <strong>GFI</strong> LANguard S.E.L.M. kann auf demselben Computer<br />
betrieben werden, auf dem <strong>GFI</strong> <strong>EventsManager</strong> installiert ist.<br />
Programmkonflikte treten nicht auf.<br />
Starten der Installation<br />
Bei der Installation <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> werden Sie <strong>von</strong> einem<br />
Assistenten unterstützt. So starten Sie die Installation:<br />
1. Schließen Sie alle geöffneten Anwendungen, und melden Sie sich<br />
über ein Benutzerkonto mit lokalen administrativen Zugriffsrechten am<br />
Computer an, auf dem das Produkt installiert werden soll.<br />
2. Doppelklicken Sie auf die Installationsdatei <strong>EventsManager</strong>7.exe.<br />
3. Klicken Sie im angezeigten Willkommen-Bildschirm auf die<br />
Schaltfläche Weiter, um mit der Installation zu beginnen.<br />
4. Lesen Sie die Lizenzvereinbarung. Wählen Sie die Option I accept<br />
the licensing agreement aus, und klicken Sie auf die Schaltfläche<br />
Next.<br />
18 • <strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 2 – Angaben zum Benutzer und Registrierschlüssel<br />
5. Geben Sie Ihren Namen, den Namen Ihres Unternehmens und den<br />
Registrierschlüssel ein. Wenn Sie das Produkt zu Testzwecken ein-<br />
setzen, ändern Sie den vorgegebenen Eintrag „Evaluation“ bitte nicht.<br />
Klicken Sie auf die Schaltfläche Next.<br />
Screenshot 3 – Angabe <strong>von</strong> Zugangsdaten<br />
6. <strong>GFI</strong> <strong>EventsManager</strong> muss unter einem Konto mit administrativen<br />
Zugriffsrechten für die Domäne laufen. Geben Sie den Benutzernamen<br />
und das Passwort des Domänenadministrator-Kontos ein, und<br />
klicken Sie auf die Schaltfläche Next.<br />
7. Falls erforderlich, ändern Sie den vorgegebenen Installationspfad,<br />
und klicken Sie auf die Schaltfläche Next.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch <strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> • 19
Screenshot 4- Auswahl des Modus für Zeichensatz und Sonderzeichen<br />
8. Legen Sie fest, welchen Zeichensatz <strong>GFI</strong> <strong>EventsManager</strong><br />
verwenden soll, ANSI oder Unicode. Klicken Sie auf die Schaltfläche<br />
Install, um mit der Installation zu begonnen.<br />
9. Klicken Sie nach Abschluss des Installationsvorgangs auf die<br />
Schaltfläche Finish, um die Installation abzuschließen.<br />
20 • <strong>Installieren</strong> <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Erste Schritte<br />
Einführung<br />
Was ist ein Computerprotokoll<br />
Ein Computerprotokoll besteht aus einer Sammlung <strong>von</strong> Ereigniseinträgen,<br />
über die sich der Verlauf <strong>von</strong> Aktivitäten in einem Netzwerk<br />
oder auf einem Computersystem überprüfen lässt ("Audit-Trail").<br />
Computerprotokolle werden vielfach gezielt für forensische Sicherheitsanalysen<br />
archiviert, da mit ihrer Hilfe Prozesse detailliert<br />
nachvollzogen werden können. Als Format werden Binärdateien, wie<br />
bei Windows-Protokollen, oder Textdateien, wie bei Syslog-<br />
Nachrichten oder W3C-Protokollen, verwendet.<br />
Was ist ein Ereignis<br />
Ein Ereignis ist ein Protokolleintrag mit Informationen zu einem<br />
Vorkommnis oder einer Zustandsveränderung in einem Computersystem<br />
oder Netzwerk. Mit aufgeführt sind Details zu Datum und<br />
Uhrzeit des Ereigniseintritts und eine kurze Beschreibung. Ereignisse<br />
werden zur vereinfachten Suche und digitalen Spurensuche oft in<br />
chronologischer Reihenfolge gespeichert.<br />
Was sind Windows-Ereignisprotokolle<br />
Windows-Ereignisprotokolle enthalten systematische Einträge zu<br />
Ereignissen, die auf Rechnern oder Netzwerken mit Windows-<br />
Betriebssystemen eingetreten sind. Systeme mit Windows<br />
2000/XP/2003 zeichnen Ereignisse in drei vorgegebenen Ereignisprotokollen<br />
auf:<br />
• Anwendungsprotokoll<br />
• Sicherheitsprotokoll<br />
• Systemprotokoll<br />
Computer mit besonderen Aufgaben im Netzwerk, beispielsweise<br />
Domänen-Controller und DNS-Server, protokollieren Ereignisse in<br />
zusätzlichen Standardprotokollen:<br />
• Verzeichnisdienstprotokoll<br />
• Dateireplikationsdienst-Protokoll<br />
• DNS-Server-Protokoll<br />
Windows-Ereignisprotokolle informieren über folgende Arten <strong>von</strong><br />
Ereignissen:<br />
Fehler – Fehlerereignisse weisen darauf hin, dass ein bedeutendes<br />
Problem wie Daten- oder Funktionalitätsverlust aufgetreten ist.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 21
Beispielsweise wird ein beim Computerstart nicht geladener Treiber<br />
oder Dienst als Fehler protokolliert.<br />
Warnung – Ein solches Ereignis muss keine aktuelle Bedeutung<br />
haben, könnte jedoch auf ein zukünftiges Problem hindeuten.<br />
Beispielsweise wird eine Warnung protokolliert, wenn der Festplattenspeicher<br />
zu Neige geht.<br />
Information – Ein Ereignis, das die erfolgreiche Ausführung einer<br />
Anwendung, eines Treibers oder eines Diensts beschreibt. Beispielsweise<br />
wird beim erfolgreichen Laden eines Netzwerktreibers ein<br />
Ereignis der Kategorie "Information" protokolliert.<br />
Erfolgsüberwachung – Dieses Ereignis zeigt an, dass ein<br />
überwachtes Sicherheitsereignis erfolgreich abgeschlossen wurde.<br />
Beispielsweise wird bei einer erfolgreichen Anmeldung an einem<br />
Windows-Computer ein Erfolgsüberwachungs-Ereignis protokolliert.<br />
Fehlversuchüberwachung – Dieses Ereignis zeigt an, dass ein<br />
überwachtes Sicherheitsereignis nicht erfolgreich abgeschlossen<br />
wurde. Ein Fehlversuch-Ereignis wird beispielsweise protokolliert,<br />
wenn einem Benutzer kein Zugriff auf ein Netzwerklaufwerk möglich<br />
war.<br />
Der nachfolgende Screenshot zeigt einen gängigen Eintrag im<br />
Windows-Ereignisprotokoll.<br />
Screenshot 5 – DNS-Server-Protokoll<br />
22 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Was sind W3C-Protokolle<br />
W3C-Protokolle werden vorrangig <strong>von</strong> Webservern zur Protokollierung<br />
Web-spezifischer Ereignisse verwendet. W3C-Protokolle<br />
werden unter Verwendung einer der beiden folgenden Formate in<br />
textbasierten Flat-Files geführt:<br />
• W3C Common Log File Format<br />
• W3C Extended Log File Format<br />
Das W3C Common Log File Format wurde als Erstes der beiden<br />
Formate veröffentlicht und hat als Standardformat vieler gängiger<br />
Webserver, darunter Apache, immer noch Bestand. Dieses Format<br />
besitzt jedoch den Nachteil, dass die Auswahl an Daten, die für<br />
Transaktionen des Servers protokolliert werden, sehr eingeschränkt<br />
ist. Beispielsweise werden wichtige Informationen zu Referrer, Agent,<br />
Übertragungszeit, Domänenname oder Cookies nicht berücksichtigt.<br />
Abhilfe schafft das neuere, im anpassbaren ASCII-Format vorliegende<br />
W3C Extended Log File Format, mit dem sich weitaus mehr<br />
Informkationen erfassen lassen. Das W3C Extended Log File Format<br />
wird beispielsweise standardmäßig <strong>von</strong> den Microsoft Internet<br />
Information Services (IIS) verwendet.<br />
Folgendes Beispiel zeigt einen gängigen Eintrag im W3C Extended<br />
Log File Format:<br />
#Version: 1.0<br />
#Date: 04-Sep-1996 00:00:00<br />
#Fields: time cs-method cs-uri<br />
00:34:23 GET /WebSRV/Pg_Snippet.html<br />
12:21:16 GET /WebSRV/ Button_pg.html<br />
12:45:52 GET /WebSRV/ Login_Pg.html<br />
12:57:34 GET /WebSRV/ Error_msg.html<br />
Was ist Syslog<br />
Syslog ist ein De-facto-Standard zur Protokollierung <strong>von</strong> Meldungen<br />
wie Systemereignissen in einem IP-Rechnernetz. Er dient üblicherweise<br />
der Protokollierung <strong>von</strong> Ereignissen auf Unix- oder Linux-<br />
Computern oder Netzwerkgeräten wie Cisco-Routern und der Cisco<br />
PIX-Firewall. Tritt ein Ereignis ein, wird dieses nicht direkt <strong>von</strong> einer<br />
Anwendung auf dem Computer aufgezeichnet, sondern vom Rechner<br />
per kurze Textnachricht (Syslog-Nachricht) an einen dedizierten<br />
Syslog-Server geschickt. Der Server sichert die Meldung in einer<br />
Protokolldatei. Syslog-Nachrichten werden unverschlüsselt im Klartext<br />
verschickt; zur Sicherung der Nachrichten kann jedoch SSL eingesetzt<br />
werden.<br />
Syslog kommt häufig bei der Verwaltung <strong>von</strong> Computersystemen und<br />
Sicherheits-Audits zum Einsatz. Trotz einiger Schwachstellen hat es<br />
den Vorteil, <strong>von</strong> einer Vielzahl an Geräten unterstützt zu werden. Mit<br />
Hilfe des Syslog-Servers zur übergreifenden Erfassung lassen sich<br />
Protokolldaten vieler unterschiedlicher Systeme in einem zentralen<br />
Verzeichnis vereinen.<br />
Für die Sicherung <strong>von</strong> Syslog-Nachrichten/Ereignissen in Protokolldateien<br />
ist wiederum der Syslog-Daemon zuständig. Eine Syslog-<br />
Nachricht besteht aus zwei Hauptkomponenten:<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 23
1. Der Kopfzeile ("Header") mit Datum/Uhrzeit und IP-Adresse oder<br />
Computername des Absenderrechners.<br />
2. Die Mitteilung ("Message") mit Informationen zum Namen des<br />
zugehörigen Programms oder Untersystems und der eigentlichen<br />
Nachricht, durch einen Doppelpunkt getrennt.<br />
Eine Syslog-Nachricht kann wie folgt aussehen:<br />
Sep 4 10:10:10 10.245.2.11 foo[421]: this is a<br />
message from WebSRV<br />
Erste Schritte: Starten <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
Schnellstart-Dialog<br />
Sämtliche Konfigurationseinstellungen zu <strong>GFI</strong> <strong>EventsManager</strong><br />
erfolgen über die Verwaltungskonsole des Programms. So öffnen Sie<br />
die Verwaltungskonsole: Gehen Sie auf Start Programme <strong>GFI</strong><br />
<strong>EventsManager</strong> 7 Management Console.<br />
Screenshot 6 – Schnellstart-Dialog<br />
Bei ersten Aufruf der Verwaltungskonsole nach der Produktinstallation<br />
wird der Schnellstart-Dialog geöffnet. Dieser unterstützt Sie bei der<br />
Konfigurierung der wichtigsten Einstellungen vor der Inbetriebnahme<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>.<br />
24 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Folgende Parameter sind beim ersten Aufruf des Programms<br />
festzulegen:<br />
Datenbank-Backend:<br />
Geben Sie den Namen/die IP-Adresse des SQL-Servers<br />
und Informationen zum Datenbank-Backend für die<br />
Ereignisarchivierung an.<br />
Daten des Administratorkontos <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong>:<br />
Geben Sie die E-Mail-Adresse und Mobilfunknummer des<br />
Administrators sowie den Namen/die IP-Adresse des<br />
Computers an, an den Warnungen zu schicken sind.<br />
Allgemeine Warnungen:<br />
Geben Sie Daten des SMTP-Servers und SMS-<br />
Gateways/Service-Providers für E-Mail-/SMS-Warnungen<br />
an.<br />
Der Schnellstart-Dialog bietet Direkt-Links zu den entsprechenden<br />
Konfigurationsmenüs, damit alle erforderlichen Einstellungen schnell<br />
vorgenommen werden können.<br />
Konfigurieren des Datenbank-Backends<br />
Über die Notwendigkeit der Protokollarchivierung<br />
Für alle Umgebungen, in denen es auf die Einhaltung <strong>von</strong> Gesetzen<br />
wie Sarbanes-Oxley (SOX), dem Health Insurance Portabilty and<br />
Accountability Act (HIPAA) und anderen Richtlinien zum Schutz und<br />
zur revisionssicheren Aufbewahrung <strong>von</strong> Daten ankommt, ist die<br />
Ereignisarchivierung <strong>von</strong> großer Bedeutung. Unternehmen sind<br />
verpflichtet, zentrale und geschützte Archive mit im Ursprungszustand<br />
belassenen Protokolldaten anzulegen, die <strong>von</strong> den zur Echtzeit-<br />
Analyse verwendeten Daten getrennt sein müssen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> erlaubt es Ihnen, sowohl verarbeitete als auch<br />
unverarbeitete Ereignisse per Microsoft SQL Server Datenbank-<br />
Backend zu archivieren. Neben der leichteren Einhaltung gesetzlicher<br />
Vorschriften bestehen weitere Vorteile:<br />
• Ereignisse lassen sich zur detaillierten Analyse <strong>von</strong> Aktivitäten und<br />
zur Berichterstellung heranziehen.<br />
• Ereignisse können nach verschiedenen Kriterien gefiltert werden<br />
(bei verarbeiteten Protokollen)<br />
• Unveränderte Protokolldaten lassen sich für den Notfall per<br />
Backup sichern.<br />
Das Datenbank-Backend lässt sich zudem automatisch sichern. Eine<br />
Kopie der originalen Protokolldaten kann <strong>von</strong> den Daten für die<br />
Echtzeit-Analyse getrennt gesichert werden. Backups des Datenbank-<br />
Backends lassen sich zudem manuell durchführen. Weitere<br />
Informationen hierzu erhalten Sie im Kapitel "Protokoll-Browser" unter<br />
"Sichern <strong>von</strong> Ereignissen".<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 25
Screenshot 7 – Schnellstart-Dialog – Link zur Konfiguration des Datenbank-Backends<br />
Um das Datenbank-Backend für die erste Verwendung zu<br />
konfigurieren, klicken Sie auf den entsprechenden Link im Schnellstart-Dialog.<br />
Hierdurch wird der Dialog für die Datenbankoptionen<br />
geöffnet. Weitere Informationen zur Konfigurierung dieser Option<br />
erhalten Sie mit den folgenden Anweisungen.<br />
Konfigurieren der SQL Server-Einstellungen<br />
Screenshot 8 – Datenbank-Optionen, Reiter zur Änderung der Datenbank<br />
So legen Sie die Einstellungen des SQL-Servers und Datenbank-<br />
Backends fest:<br />
1. Geben Sie den Namen/die IP-Adresse Ihres SQL-Servers an.<br />
2. Geben Sie den Namen des Datenbank-Backends an (z. B.<br />
<strong>EventsManager</strong>DB).<br />
3. Wählen Sie die für die Verbindung mit dem SQL-Server<br />
gewünschte Authentifizierungsmethode aus. Bei Auswahl der SQL-<br />
Authentifizierung muss ein Benutzername und Passwort angegeben<br />
werden.<br />
4. Klicken Sie auf den Reiter Maintenance, um Wartungsoptionen<br />
für das Datenbank-Backend zu konfigurieren. Weitere Informationen<br />
zur Wartungseinstellungen erhalten Sie nachfolgend unter "Warten<br />
des Datenbank-Backends".<br />
26 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
5. Schließen Sie die Einrichtung der Konfigurationseinstellungen ab,<br />
indem Sie auf die Schaltfläche OK klicken.<br />
Ändern der Einstellungen des Datenbank-Backends<br />
Screenshot 9 – Konfigurierung der Datenbankoptionen<br />
Einstellungen zur Datenbank-Wartung können jederzeit wie folgt<br />
geändert werden:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Options, und wählen Sie Edit database<br />
options …<br />
4. Konfigurieren Sie die Parameter wie oben beschrieben.<br />
Konfigurieren des Administratorkontos <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
Werden ausgewählte Ereignisse festgestellt, schickt<br />
<strong>GFI</strong> <strong>EventsManager</strong> automatisch eine Warnmeldung per E-Mail, Netzwerk<br />
oder SMS an festgelegte Empfänger, z. B. Administratoren. Zum<br />
korrekten Versand <strong>von</strong> Warnungen müssen für alle Empfänger<br />
Kontaktinformationen angegeben werden.<br />
Mehrere benutzerdefinierte Empfänger lassen sich auch in Gruppen<br />
einteilen, um die Durchführung <strong>von</strong> Verwaltungsaufgaben zu<br />
beschleunigen. Das Konto "<strong>EventsManager</strong>Administrator" wird <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> automatisch eingerichtet. Zusätzlich müssen<br />
jedoch Angaben wie die E-Mail-Adresse und Mobilfunknummer des<br />
<strong>GFI</strong> <strong>EventsManager</strong>-Administrators festgelegt werden. Folgende<br />
Einstellungen sind definierbar:<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 27
• Kontaktdaten wie E-Mail-Adresse und Telefonnummer<br />
• Normale Arbeitszeit (Kernarbeitszeit)<br />
• Art der während und außerhalb der Kernarbeitszeit zu<br />
verschickenden Warnmeldung<br />
• Benachrichtigungsgruppe, zu der der Benutzer gehört<br />
Screenshot 10 – Schnellstart-Dialog – Link zu Einstellungen des Administratorkontos<br />
Um das Konto "<strong>EventsManager</strong>Administrator" für die erste<br />
Verwendung zu konfigurieren, klicken Sie auf den entsprechenden<br />
Link im Schnellstart-Dialog.<br />
Screenshot 11 – Eigenschaften des Administratorkontos "<strong>EventsManager</strong>Administrator"<br />
Der Eigenschaften-Dialog für das Administratorkonto wird geöffnet. So<br />
legen Sie die Kontoeinstellungen fest:<br />
1. Geben Sie Kontaktdaten wie die E-Mail-Adresse und<br />
Mobilfunknummer an, sofern erforderlich.<br />
2. Geben Sie alle Computer an, an die Netzwerk-Warnungen<br />
geschickt werden sollen.<br />
3. Gehen Sie auf den Reiter Working Hours.<br />
28 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 12 – Festlegen der typischen Arbeitszeit eines Empfängers <strong>von</strong> Warnungen<br />
4. Geben Sie die typische Arbeitszeit des Administrators/Benutzers<br />
an.<br />
Screenshot 13 – Auswahl des Warnungstyps während/außerhalb der Kernarbeitszeit<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 29
5. Gehen Sie auf den Reiter Alerts, und wählen Sie die Art der<br />
Warnmeldung aus, die während und außerhalb der typischen<br />
Arbeitszeit verschickt werden soll.<br />
Screenshot 14 – Zugehörigkeit eines Benutzers zu einer Benachrichtigungsgruppe<br />
6. Klicken Sie auf den Reiter Member Of, und wählen Sie die<br />
Benachrichtigungsgruppe aus, zu der der Benutzer gehört.<br />
Administratoren sind standardmäßig Mitglied der Benachrichtigungsgruppe<br />
"<strong>EventsManager</strong>Administrator".<br />
7. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Änderungen an den Eigenschaften des Administratorkontos können<br />
jederzeit vorgenommen werden. Weitere Informationen hierzu<br />
erhalten Sie im Kapitel "Konfigurieren <strong>von</strong> Benutzern und Gruppen".<br />
Konfigurieren allgemeiner Optionen für Warnmeldungen<br />
Werden bestimmte Ereignisse festgestellt, verschickt<br />
<strong>GFI</strong> <strong>EventsManager</strong> automatisch eine Warnmeldung per E-Mail,<br />
Netzwerk oder SMS. Für den Versand der einzelnen Arten <strong>von</strong><br />
Warnmeldungen müssen auf das Netzwerk abgestimmte Parameter<br />
festgelegt werden. Beispielsweise ist für die Übermittlung <strong>von</strong> E-Mail-<br />
Warnungen anzugeben, welcher SMTP-Server zu verwenden ist.<br />
Screenshot 15 – Schnellstart-Dialog – Link zu Standardoptionen für Warnmeldungen<br />
30 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Um die Warnungsparameter erstmalig zu konfigurieren, klicken Sie im<br />
Schnellstart-Dialog auf den Link Configure Alerting Options.<br />
Screenshot 16 – Optionen für Warnmitteilungen<br />
Hierdurch wird das Dialogfeld Alerting Options geöffnet. Die<br />
Standardeinstellungen für Warnungen per E-Mail, Netzwerk und SMS<br />
sind über die jeweiligen Reiter dieses Dialogs festzulegen. Weitere<br />
Informationen zur Konfigurierung dieser Einstellungen erhalten Sie<br />
nachfolgend.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 31
Konfigurieren <strong>von</strong> E-Mail-Warnungen<br />
Screenshot 17 – Eigenschaften des E-Mail-Servers<br />
So legen Sie die Einstellungen für E-Mail-Warnungen fest:<br />
1. Klicken Sie unter dem standardmäßig geöffneten Reiter Email auf<br />
die Schaltfläche Add, um die neuen Parameter einzugeben.<br />
2. Geben Sie den Namen/die IP-Adresse Ihres E-Mail-Servers an.<br />
Sofern erforderlich, geben Sie die Zugangsdaten zur Authentifizierung<br />
gegenüber dem E-Mail-Server an.<br />
3. Geben Sie die E-Mail-Adresse und den Anzeigenamen für zu<br />
verschickende E-Mail-Warnungen an.<br />
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
5. Der per E-Mail verschickte Mitteilungstext lässt sich per Klick auf<br />
die Schaltfläche Format Email Message... anpassen.<br />
6. Sofern erforderlich, klicken Sie danach auf die Reiter Network oder<br />
SMS, um die zugehörigen Einstellungen vorzunehmen.<br />
7. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Konfigurieren <strong>von</strong> Netzwerkwarnungen<br />
Für Netzwerkwarnungen sind über diesen Dialog keine gesonderten<br />
Einstellungen vorzunehmen. Der per Netzwerkwarnung verschickte<br />
Mitteilungstext lässt sich jedoch per Klick auf die Schaltfläche Format<br />
network message… ändern.<br />
32 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Konfigurieren <strong>von</strong> SMS-Warnungen<br />
Screenshot 18 – Optionen für Warnmitteilungen – SMS-Einstellungen<br />
Für den Versand <strong>von</strong> SMS-Warnungen stehen verschiedene Möglichkeiten<br />
bereit. Zum einen der SMS-Gateway <strong>von</strong> <strong>GFI</strong> FAXmaker,<br />
zum anderen der E-Mail-zu-SMS-Gateway als Webservice <strong>von</strong><br />
Clickatell. So legen Sie fest auf welche Art SMS-Warnungen<br />
verschickt werden sollen:<br />
1. Wählen Sie aus der Drop-Down-Liste Select SMS die gewünschte<br />
Versandmethode für SMS-Warnungen aus.<br />
2. Markieren Sie in der Spalte Property den anzupassenden Eintrag,<br />
und klicken Sie auf die Schaltfläche Edit… Weitere Informationen zu<br />
Einstellungsmöglichkeiten der SMS-Parameter erhalten Sie im<br />
Anhang 1 "SMS-Einstellungen" dieses Handbuchs.<br />
3. Führen Sie Änderungen wie erforderlich für alle Einträge der<br />
angezeigten Liste durch.<br />
4. Der per SMS verschickte Mitteilungstext lässt sich per Klick auf die<br />
Schaltfläche Format SMS Message... anpassen.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 33
Ändern der allgemeinen Optionen für Warnmeldungen<br />
Screenshot 19 – Optionen für Warnmitteilungen<br />
Einstellungen der allgemeinen Optionen für Warnmeldungen können<br />
jederzeit wie folgt geändert werden:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Alerting Options, und wählen Sie im rechten<br />
Detailbereich Edit alerting options.<br />
4. Konfigurieren Sie die Parameter wie oben beschrieben.<br />
34 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Erste Schritte: Verarbeiten <strong>von</strong> Ereignisprotokollen<br />
Sämtliche zum ersten Start <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> erforderlichen<br />
Betriebsparameter sind jetzt definiert. Bevor Sie mit der Verarbeitung<br />
<strong>von</strong> Ereignisprotokollen beginnen können, sind zusätzlich folgende<br />
ereignisspezifische Einstellungen festzulegen:<br />
Ereignisquellen<br />
Der Name/die IP-Adresse der Computer, <strong>von</strong> denen<br />
Ereignisse zur Verarbeitung durch <strong>GFI</strong> <strong>EventsManager</strong><br />
abgerufen werden.<br />
Zu verarbeitende Ereignisse<br />
Alle Protokolle, die <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> verarbeitet<br />
werden sollen (Windows EVT, W3C oder Syslog).<br />
Regeln zur Ereignisverarbeitung<br />
Verarbeitungsregeln, die <strong>GFI</strong> <strong>EventsManager</strong> auf erfasste<br />
Protokolle anwenden soll.<br />
Warnmeldungen und Aktionen<br />
Aktionen, die bei Vorliegen bestimmter Ereignisse<br />
eingeleitet werden sollen, und zu verschickende<br />
Warnmeldungen.<br />
In den folgenden drei Kapiteln erhalten Sie Informationen zur<br />
Konfigurierung dieser Parameter.<br />
Screenshot 20 – Schnellstart-Dialog –<br />
Ereignisquellen<br />
Schaltfläche "Start" zur Konfigurierung <strong>von</strong><br />
Per Klick auf die Schaltfläche Start unter Punkt 4 im Schnellstart-<br />
Dialog lassen sich funktionale Parameter festlegen. Die<br />
Konfigurationsoberfläche für Protokollquellen wird aufgerufen. Weitere<br />
Informationen zur Konfigurierung <strong>von</strong> Ereignisquellen erhalten Sie im<br />
folgenden Kapitel.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Erste Schritte • 35
36 • Erste Schritte <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Konfigurieren <strong>von</strong> Ereignisquellen<br />
Einführung<br />
Ereignisquellen sind Computer, auf denen sich die <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> zu verarbeitenden Protokolle befinden. Ereignisquellen<br />
werden <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in verschiedene Computer-<br />
Gruppen eingeteilt. Sie können an die Netzwerkinfrastruktur Ihres<br />
Unternehmens angepasste Gruppen erstellen oder bereits im<br />
Lieferumfang vorgegebene verwenden. Standardmäßige<br />
Computergruppen können beispielsweise zur Verwaltung und<br />
Konfigurierung <strong>von</strong> zu überwachenden Servern, Workstations und<br />
Laptops genutzt werden. Ebenso lassen sich zu kontrollierende<br />
Zielrechner in einer Gruppe zusammenfassen, die in Ihrem Netzwerk<br />
eine besondere Funktion haben, wie Webserver, Datei-Server und<br />
Daten-Server.<br />
Hinzufügen neuer Ereignisquellen zu einer Standardgruppe<br />
Screenshot 21 – Auswahl zu überwachender Computer<br />
So konfigurieren Sie die Ereignisquellen:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie im linken Navigationsbereich unter Computers Groups<br />
mit der rechten Maustaste auf die Gruppe, der neue Ereignisquellen<br />
hinzugefügt werden sollen, und wählen Sie den Befehl Add new<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Ereignisquellen • 37
computer. Der Assistent zur Konfigurierung der neuen Computer wird<br />
aufgerufen.<br />
Screenshot 22 – Konfigurationsassistent Festlegung neu zu überwachender Computer<br />
3. Geben Sie den Namen/die IP-Adresse der neuen Ereignisquelle an,<br />
und klicken Sie auf die Schaltfläche Add, um die Quelle hinzuzufügen.<br />
Wiederholen Sie diesen Schritt, bis alle gewünschten Ereignisquellen<br />
der Gruppe hinzugefügt sind.<br />
Hinweis: Um eine Liste mit bereits in einer Textdatei definierten<br />
Ereignisquellen zu importieren, klicken Sie auf die Schaltfläche<br />
Import. Klicken Sie auf die Schaltfläche Select, um die zu<br />
Ereignisquellen aus der Liste auszuwählen.<br />
4. Klicken Sie auf die Schaltfläche Finish, um die Einstellungen zu<br />
speichern.<br />
Hinweis: Nachdem Sie auf die Schaltfläche Finish geklickt haben,<br />
beginnt <strong>GFI</strong> <strong>EventsManager</strong> sofort mit dem Abruf <strong>von</strong> Protokollen der<br />
angegebenen Ereignisquellen.<br />
Konfigurieren der Eigenschaften einer Ereignisquelle<br />
Allgemeine und die Ereignisverarbeitung betreffende Parameter für<br />
Ereignisquellen können über deren Eigenschaften-Dialog bearbeitet<br />
werden. Parameter lassen sich wie folgt festlegen:<br />
• Für jeden einzelnen Computer – so bearbeiten Sie die<br />
Einstellungen eines einzelnen Computers in einer Gruppe: Klicken<br />
Sie im rechten Fenster der Verwaltungskonsole mit der rechten<br />
Maustaste auf den gewünschten Computer, und wählen Sie im<br />
Kontextmenü Properties. Der Eigenschaften-Dialog für den<br />
Computer wird geöffnet.<br />
• Für einzelne Computer-Gruppen – so bearbeiten Sie die<br />
Einstellungen einer Computer-Gruppe: Klicken Sie im linken<br />
Fensterbereich der Verwaltungskonsole mit der rechten Maustaste<br />
38 • Konfigurieren <strong>von</strong> Ereignisquellen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
auf die gewünschte Gruppe, und wählen Sie im Kontextmenü<br />
Properties. Der Eigenschaften-Dialog für die Computer-Gruppe<br />
wird geöffnet.<br />
Folgende Einstellungen lassen sich über den Eigenschaften-Dialog<br />
festlegen:<br />
• Allgemeine Eigenschaften der Ereignisquelle<br />
• Alternative Zugangsdaten des Domänenadministrators<br />
• Betriebszeit einer Ereignisquelle<br />
• Parameter zur Verarbeitung <strong>von</strong> Windows- und W3C-Protokollen<br />
sowie Syslog-Nachrichten.<br />
Festlegen allgemeiner Eigenschaften einer Ereignisquelle<br />
Screenshot 23 – Eigenschaften einer Computer-Gruppe<br />
Folgende Einstellungen können über den Reiter General im<br />
Eigenschaften-Dialog vorgenommen werden:<br />
• Der Namen einer Computer-Gruppe kann geändert werden.<br />
• Die Erfassung und Verarbeitung <strong>von</strong> Protokollen der Computer<br />
einer Gruppe lässt sich aktivieren/deaktivieren.<br />
• Der Zeitplan für die Erfassung und Verarbeitung <strong>von</strong> Protokollen<br />
kann angepasst werden.<br />
Hinweis: So erfassen Sie Protokolle <strong>von</strong> Ereignisquellen, die in einer<br />
Gruppe vereint sind, manuell:<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Ereignisquellen • 39
1. Klicken Sie im linken Fensterbereich der Verwaltungskonsole mit<br />
der rechten Maustaste auf die gewünschte Computer-Gruppe.<br />
2. Gehen Sie auf Scanning options Scan now, um den Scan der<br />
Gruppe sofort zu starten.<br />
Screenshot 24 – Manuelle Erfassung <strong>von</strong> Ereignisprotokollen<br />
Festlegen alternativer Zugangsdaten des Domänenadministrators<br />
Im Rahmen der Ereignisverarbeitung muss <strong>GFI</strong> <strong>EventsManager</strong> sich<br />
per Fernzugriff an den Zielrechnern anmelden. Die Protokolldaten<br />
dieser Rechner werden abgerufen und an die Engine(s) zur Ereignisverarbeitung<br />
weitergeleitet.<br />
Zur Erfassung und Verarbeitung <strong>von</strong> Protokollen auf Zielrechnern sind<br />
administrative Zugriffsrechte erforderlich. <strong>GFI</strong> <strong>EventsManager</strong> meldet<br />
sich standardmäßig mit Hilfe der Zugangsdaten des Kontos, unter<br />
dem das <strong>GFI</strong>-Programm läuft, an Zielrechnern an. In einigen Fällen<br />
können jedoch separate Zugangsdaten für den Administratorzugriff<br />
auf Workstations oder Server erforderlich sein. So kann beispielsweise<br />
aus Sicherheitsgründen ein einzelnes, dediziertes Konto mit auf<br />
Workstations beschränkten Zugriffsrechten und ein weiteres nur mit<br />
Rechten für Server vorhanden sein.<br />
40 • Konfigurieren <strong>von</strong> Ereignisquellen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 25 – Festlegen alternativer Zugangsdaten<br />
<strong>GFI</strong> <strong>EventsManager</strong> erlaubt es Ihnen, gesonderte Zugangsdaten für<br />
einzelne Zielrechner wie auch Computer-Gruppen zu definieren. So<br />
legen Sie Zugangsdaten für einzelne Computer/eine Computer-<br />
Gruppe fest:<br />
1. Öffnen Sie den jeweiligen Eigenschaften-Dialog wie zu Beginn<br />
dieses Kapitels beschrieben.<br />
2. Klicken Sie auf den Reiter Logon Credentials.<br />
3. Geben Sie den Benutzernamen und das Passwort an, das zur<br />
Anmeldung an den Zielrechnern und Erfassung der Protokolle<br />
erforderlich ist.<br />
Konfigurieren der Betriebszeit einer Ereignisquelle<br />
Mit Hilfe der Option Operational Time können Sie die übliche<br />
Betriebszeit angeben, die beispielsweise mit der normalen Arbeitszeit<br />
Ihres Unternehmens übereinstimmen kann, in der die Ereignisquelle<br />
die meisten Aktivitäten verzeichnet. Durch Angabe dieser<br />
Informationen kann <strong>GFI</strong> <strong>EventsManager</strong> zwischen Ereignissen<br />
unterscheiden, die während und außerhalb Ihrer allgemeinen<br />
Geschäftszeiten liegen und diese entsprechend klassifizieren. Die so<br />
gewonnenen Daten erleichtern forensische Sicherheitsanalysen und<br />
das Aufspüren <strong>von</strong> Netzwerkrechnern, die außerhalb der üblichen<br />
Geschäftszeiten verwendet wurden. Durch die zeitliche Festlegung<br />
können unautorisierte Benutzerzugriffe, illegale Datentransfers und<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Ereignisquellen • 41
andere potenzielle Sicherheitsverletzungen im Netzwerk leichter<br />
festgestellt werden.<br />
Screenshot 26 – Festlegung der Betriebszeit einer Ereignisquelle<br />
Die Betriebszeit lässt sich für Computer-Gruppen festlegen. Über den<br />
Reiter Operational Time kann der Zeitraum der normalen Betriebszeit<br />
in der Gruppe zusammengefasster Ereignisquellen in 1-Stunden-<br />
Schritten festgelegt werden.<br />
Festlegen <strong>von</strong> Parametern für die Ereignisverarbeitung<br />
So legen Sie die Einstellungen für die Ereignisverarbeitung fest:<br />
Screenshot 27 – Reiter zur Konfigurierung der Ereignisverarbeitung<br />
1. Öffnen Sie den jeweiligen Eigenschaften-Dialog wie zu Beginn<br />
dieses Kapitels beschrieben.<br />
2. Gehen Sie auf den Reiter Windows Event Log, W3C Logs und<br />
Syslog, um die erforderlichen Einstellungen vorzunehmen. Detaillierte<br />
Hinweise zur Einstellung dieser Parameter erhalten Sie im Kapitel<br />
"Konfigurieren <strong>von</strong> Regeln zu Ereignisverarbeitung".<br />
42 • Konfigurieren <strong>von</strong> Ereignisquellen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Konfigurieren <strong>von</strong> Regeln zur<br />
Ereignisverarbeitung<br />
Einführung<br />
<strong>GFI</strong> <strong>EventsManager</strong> unterstützt die Erfassung und Verarbeitung <strong>von</strong><br />
drei unterschiedlichen Arten <strong>von</strong> Ereignisprotokollen: Windows-<br />
Ereignisprotokolle, W3C-Protokolle und Syslog-Nachrichten. Die drei<br />
Protokollarten liegen jeweils in einem eigenen Format vor. Da<br />
Ereignisse je nach Protokollart unterschiedlich aufgezeichnet werden,<br />
sind für jedes Format andere Einstellungen und Parameter zu<br />
definieren. Einstellungen für die Protokollerfassung und -verarbeitung<br />
lassen sich konfigurieren:<br />
• Für jeden einzelnen Computer<br />
• Für jede einzelne Computer-Gruppe<br />
Bei der Verarbeitung <strong>von</strong> Ereignissen überprüft <strong>GFI</strong> <strong>EventsManager</strong><br />
die erfassten Protokolle mit mehreren konfigurierbaren Regeln, auf<br />
deren Grundlage Ereignisse klassifiziert und gegebenenfalls Warnmeldungen<br />
ausgegeben und Aktionen durchgeführt werden. Im Lieferumfang<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> sind bereits mehrere vordefinierte<br />
Regeln zu Ereignisverarbeitung enthalten, mit der sich Protokolle im<br />
gesamten Netzwerk ohne großen Konfigurationsaufwand erfassen<br />
und kontrollieren lassen.<br />
Regeln zur Ereignisverarbeitung<br />
Regeln zur Ereignisverarbeitung enthalten Anweisungen/Checks, die<br />
bewirken, dass<br />
• erfasste Protokolle analysiert werden,<br />
• Ereignisse klassifiziert werden. Die Einstufung erfolgt anhand der<br />
Einstellungen der jeweiligen Verarbeitungsregel,<br />
• Ereignisse, die bestimmten Kriterien entsprechen, herausgefiltert<br />
werden. Beispielsweise lassen sich mit einer Regel Ereignisse <strong>von</strong><br />
geringerer Bedeutung und als "Noise" identifizierte Events<br />
herausfiltern,<br />
• je nach Schwere des Ereignisses Warnmeldungen und Aktionen<br />
erfolgen. Wird ein Ereignis als "kritisch" eingestuft, kann<br />
beispielsweise eine Warnung per SMS und E-Mail verschickt<br />
werden. Bei einer niedrigeren Klassifizierung wie "hoch" besteht<br />
die Möglichkeit, die Mitteilung hingegen lediglich per E-Mail zu<br />
verschicken. Weitere Informationen hierzu erhalten Sie im Kapitel<br />
"Konfigurieren <strong>von</strong> Warnmeldungen und Aktionen",<br />
• gefilterte Ereignisse archiviert werden (optional). Die Archivierung<br />
erfolgt abhängig <strong>von</strong> der Schwere eines Ereignisses und der<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 43
Einstellungen der Verarbeitungsregeln. Beispielsweise lassen sich<br />
nur solche Ereignisse für die Archivierung bestimmen, die als<br />
"kritisch" oder "hoch" klassifiziert wurden.<br />
<strong>GFI</strong> <strong>EventsManager</strong> verwaltet Regeln zur Ereignisverarbeitung in<br />
Regelsätzen, in denen eine oder mehrere Einzelregeln gruppiert sind.<br />
Screenshot 28 – Ordner mit Regelsätzen und einzelne Regelsätze<br />
Regelsätze werden in nach Kontrollbereich unterteilten Ordnern<br />
verwaltet. Je nach Kontrollbereich enthalten Regelsätze Regeln mit<br />
unterschiedlichen Funktionen und Aktionen. Im Regelsatz-Ordner<br />
"Security" sind beispielsweise Regelsätze mit Regeln zur Verarbeitung<br />
<strong>von</strong> Sicherheitsereignissen eingeordnet. <strong>GFI</strong> <strong>EventsManager</strong> bietet<br />
bereits vordefinierte Regelsatz-Ordner, Regelsätze und Regeln zur<br />
Ereignisverarbeitung, die sich an Ihre Anforderungen anpassen<br />
lassen.<br />
Ereignisklassifizierung<br />
<strong>GFI</strong> <strong>EventsManager</strong> stuft Ereignisse in 5 Kategorien ein:<br />
• Kritisch<br />
• Hoch<br />
• Mittel<br />
• Niedrig<br />
• Noise ("Rauschen", d. h. unerwünschte oder wiederholt<br />
auftretende Protokolleinträge)<br />
Ereignisse werden anhand der Regeln klassifiziert, die auf erfasste<br />
Protokolle angewendet werden. Ereignisse, die keine Bedingungen<br />
der Regeln zur Ereignisklassifizierung erfüllen, werden als "nicht<br />
klassifiziert" ("unclassified") gekennzeichnet. Auch für diese<br />
Ereignisse lassen sich dieselben Warnungen und Aktionen wie für<br />
klassifizierte Events einrichten.<br />
Flussdiagramm zur Ereignisverarbeitung, Klassifizierung<br />
und zu Aktionen<br />
Im folgenden Flussdiagramm werden die einzelnen Schritte der<br />
Ereignisverarbeitung durch <strong>GFI</strong> <strong>EventsManager</strong> dargestellt.<br />
44 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 29 – Flussdiagramm zur Ereignisverarbeitung, Klassifizierung und zu Aktionen<br />
Erfassen und Verarbeiten <strong>von</strong> Windows-Ereignisprotokollen<br />
Überblick<br />
Windows-Ereignisse werden in unterschiedlichen Protokolltypen<br />
gesichert. Computer mit Windows NT oder höher erfassen Fehler,<br />
Warnungen und Informationen im Sicherheitsprotokoll, Anwendungsprotokoll<br />
bzw. Systemprotokoll. Zusätzlich zeichnen Computer mit<br />
besonderen Aufgaben im Netzwerk, beispielsweise Domänen-<br />
Controller und DNS-Server, Ereignisse in eigenen Protokollen auf.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 45
Screenshot 30 – Eigenschaften einer Computer-Gruppe: zu verarbeitende Protokolle<br />
Windows-Betriebssysteme erfassen Ereignisse in folgenden<br />
Protokollen:<br />
• Sicherheitsprotokoll: Enthält sicherheitsrelevante Ereignisse, die<br />
zur Kontrolle erfolgreicher oder versuchter Sicherheitsverletzungen<br />
genutzt werden können. Im Sicherheitsprotokoll<br />
werden beispielsweise gültige und ungültige Anmeldeversuche<br />
aufgezeichnet.<br />
• Anwendungsprotokoll: Enthält Ereignisse, die <strong>von</strong> Programmen<br />
protokolliert wurden, beispielsweise Dateifehler.<br />
• Systemprotokoll: Enthält Ereignisse, die <strong>von</strong> Windows XP-<br />
Systemkomponenten protokolliert wurden, beispielsweise Fehler<br />
beim Laden <strong>von</strong> Gerätetreibern beim Systemstart.<br />
• Verzeichnisdienstprotokoll: Enthält <strong>von</strong> Active Directory (AD)<br />
ausgegebene Ereignisse wie zur erfolgreichen oder fehlgeschlagenen<br />
Aktualisierung der AD-Datenbank.<br />
• Dateireplikationsdienst-Protokoll: Enthält vom Windows-<br />
Dateireplikationsdienst protokollierte Ereignisse. Hierzu zählen<br />
fehlgeschlagene Dateireplikationen und Ereignisse während der<br />
Aktualisierung <strong>von</strong> Domänen-Controllern mit Sysvol-Daten.<br />
• DNS-Server-Protokoll: Enthält Ereignisse zur Auflösung <strong>von</strong><br />
DNS-Namen in IP-Adressen.<br />
46 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 31 – Eigenschaften einer Computer-Gruppe: Einstellungen zu Windows-<br />
Ereignisprotokollen<br />
Folgende Schritte sind durchzuführen, um Windows-Ereignisprotokolle<br />
zu erfassen und zu verarbeiten:<br />
• Geben Sie die zu erfassenden Ereignisprotokolle an.<br />
• Legen Sie fest, ob die Protokolle verarbeitet oder lediglich im<br />
Originalzustand archiviert werden sollen.<br />
• Wählen Sie die Regelsätze/Regeln zur Ereignisverarbeitung aus,<br />
mit denen erfasste Protokolle kontrolliert werden sollen.<br />
Auswählen zu erfassender und bearbeitender<br />
Ereignisprotokolle<br />
So legen Sie fest, welche Windows-Ereignisprotokolle <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> erfasst werden sollen:<br />
1. Öffnen Sie den jeweiligen Eigenschaften-Dialog zum betreffenden<br />
Computer/zur Computer-Gruppe.<br />
2. Klicken Sie auf den Reiter Windows Event Log.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 47
Screenshot 32 – Auswählen zu erfassender Ereignisprotokolle<br />
3. Klicken Sie auf die Schaltfläche Add, und markieren Sie das<br />
Kontrollkästchen der zu erfassenden Protokolle.<br />
Hinweis: <strong>GFI</strong> <strong>EventsManager</strong> unterstützt die Erfassung<br />
benutzerdefinierter Ereignisprotokolle. Weitere Informationen hierzu<br />
erhalten Sie in diesem Kapitel unter "Konfigurieren benutzerdefinierter<br />
Ereignisprotokolle".<br />
4. Optional können Sie die Option Clear collected events after<br />
completion auswählen, um erfasste Ereignisse <strong>von</strong> der<br />
Ereignisquelle zu löschen.<br />
Wichtig: Beachten Sie, dass das Löschen <strong>von</strong> Ereignissen aus<br />
Protokollen der Ereignisquelle ohne vorherige Archivierung oder<br />
anderweitige Sicherung eine Verletzung gesetzlicher Richtlinien<br />
darstellen kann. Stellen Sie daher sicher, dass wichtige Ereignisse<br />
gemäß den für Ihr Unternehmen geltenden Gesetzen zur Datenaufbewahrung<br />
und zum Datenschutz archiviert oder gesichert werden.<br />
Archivieren <strong>von</strong> Windows-Ereignissen<br />
Weitere Informationen zur Archivierung <strong>von</strong> Ereignissen erhalten Sie<br />
unter "Archivieren <strong>von</strong> Ereignissen" in diesem Kapitel.<br />
48 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Auswählen <strong>von</strong> Regeln zur Verarbeitung <strong>von</strong> Windows-<br />
Ereignissen<br />
Weitere Informationen zur Auswahl <strong>von</strong> Regeln zu Ereignisverarbeitung<br />
erhalten Sie unter "Auswählen <strong>von</strong> Regeln zur<br />
Ereignisverarbeitung" in diesem Kapitel.<br />
Konfigurieren benutzerdefinierter Ereignisprotokolle<br />
Neben der Erfassung und Verarbeitung standardmäßiger Windows-<br />
Ereignisprotokolle kann <strong>GFI</strong> <strong>EventsManager</strong> auch Ereignisse<br />
verwalten, Sie in Protokollen <strong>von</strong> Drittanbieter-Lösungen erfasst<br />
wurden, beispielsweise <strong>von</strong> Anti-Viren-Lösungen, Software-Firewalls<br />
und anderen Sicherheitprodukten.<br />
So konfigurieren Sie die Bearbeitung benutzerdefinierter Ereignisprotokolle:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf<br />
Options.<br />
Screenshot 33 – Festlegung der benutzerdefinierten Eignisprotokolle<br />
3. Klicken Sie im linken Fenster der Verwaltungskonsole mit der<br />
rechten Maustaste auf den Knoten Custom Event Logs, und wählen<br />
Sie im Kontextmenü Edit custom logs… Der Dialog zur Bearbeitung<br />
benutzerdefinierter Ereignisprotokolle wird geöffnet.<br />
4. Klicken Sie auf die Schaltfläche Add. Geben Sie den Namen des<br />
Protokolls an, und klicken Sie auf die Schaltfläche OK, um die<br />
Einstellungen zu speichern.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 49
Erfassen und Verarbeiten <strong>von</strong> W3C-Protokollen<br />
W3C-Protokolle sind textbasierte Flat-Files mit Ereignisdaten, die<br />
durch Sonderzeichen getrennt sind.<br />
W3C-Protokolle werden vorrangig <strong>von</strong> Hardware-Systemen (z. B.<br />
Servern) genutzt, die besondere Aufgaben bei der Internet-<br />
Kommunikation übernehmen. Microsoft Internet Information Services<br />
(IIS) und Apache-Webserver erfassen zum Beispiel Web-bezogende<br />
Ereignisse in Form <strong>von</strong> Textdateien im W3C-Format.<br />
Die Festlegung der Parameter <strong>von</strong> W3C-Protokollen mit<br />
<strong>GFI</strong> <strong>EventsManager</strong> erfolgt analog zur Angabe der Einstellungen für<br />
Windows-Protokolle, mit einer Ausnahme: Im Gegensatz zu Windows-<br />
Ereignisprotokollen besteht keine Vorgabe zum Speicherort der<br />
Protokolldateien. Bei W3C-Protokollen muss daher der vollständige<br />
Speicherpfad für die Protokolldateien angegeben werden.<br />
Auswählen zu erfassender und verarbeitender Ereignisprotokolle<br />
So legen Sie fest, welche W3C-Protokolle <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
erfasst werden sollen:<br />
1. Öffnen Sie den jeweiligen Eigenschaften-Dialog zum betreffenden<br />
Computer/zur Computer-Gruppe.<br />
2. Klicken Sie auf den Reiter W3C Log.<br />
Screenshot 34 – Eigenschaften einer Computer-Gruppe: Festlegen <strong>von</strong> Parametern für die<br />
Verarbeitung <strong>von</strong> W3C-Protokollen<br />
50 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
3. Klicken Sie auf die Schaltfläche Add, und geben Sie den Namen<br />
und Speicherort der Protokolldatei an. Bei der Eingabe können<br />
Platzhalter wie *.* verwendet werden.<br />
4. Optional können Sie die Option Clear collected events after<br />
completion auswählen, um erfasste Ereignisse <strong>von</strong> der Ereignisquelle<br />
zu löschen.<br />
Wichtig: Beachten Sie, dass das Löschen <strong>von</strong> Ereignissen aus<br />
Protokollen der Ereignisquelle ohne vorherige Archivierung oder<br />
anderweitige Sicherung eine Verletzung gesetzlicher Richtlinien<br />
darstellen kann. Stellen Sie daher sicher, dass wichtige Ereignisse<br />
gemäß den für Ihr Unternehmen geltenden Gesetzen zur<br />
Datenaufbewahrung und zum Datenschutz archiviert oder gesichert<br />
werden.<br />
Archivieren <strong>von</strong> W3C-Ereignissen<br />
Weitere Informationen zur Archivierung <strong>von</strong> Ereignissen erhalten Sie<br />
unter "Archivieren <strong>von</strong> Ereignissen" in diesem Kapitel.<br />
Auswählen <strong>von</strong> Regeln zur Verarbeitung <strong>von</strong> W3C-<br />
Ereignissen<br />
Weitere Informationen zur Auswahl <strong>von</strong> Regeln zu<br />
Ereignisverarbeitung erhalten Sie unter "Auswählen <strong>von</strong> Regeln zur<br />
Ereignisverarbeitung" in diesem Kapitel.<br />
Erfassen und Verarbeiten <strong>von</strong> Syslog-Nachrichten<br />
Syslog kommt vorrangig auf Linux- und Unix-Systemen zur<br />
Protokollierung <strong>von</strong> Ereignisdaten zum Einsatz. Hierbei wird die<br />
Protokollierung vollständig <strong>von</strong> einem dedizierten Syslog-Server übernommen.<br />
Im Gegensatz zu Umgebungen mit Windows- und W3C-<br />
Protokollen erfolgt die Protokollierung nicht durch die eigentlichen<br />
Programme. Ereignisinformationen werden <strong>von</strong> Programmen lediglich<br />
als Datenmitteilungen (Syslog-Nachrichten) an den Syslog-Server<br />
geschickt, der für die Verwaltung und Speicherung der Daten in einer<br />
Protokolldatei verantwortlich ist.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 51
Screenshot 35 – Eigenschaften einer Computer-Gruppe: Parameter zur Verarbeitung <strong>von</strong><br />
Syslog-Nachrichten<br />
Zur Verarbeitung <strong>von</strong> Syslog-Nachrichten wird <strong>GFI</strong> <strong>EventsManager</strong><br />
mit einem integrierten Syslog-Server ausgeliefert. Dieser Server<br />
erfasst automatisch sämtliche <strong>von</strong> Syslog-Quellen ausgegebenen<br />
Meldungen in Echtzeit und leitet sie an die <strong>GFI</strong> <strong>EventsManager</strong>-<br />
Engine zur Ereignisverarbeitung weiter.<br />
Durch einen integrierten Pufferspeicher kann der Syslog-Server bis zu<br />
30 Nachrichten zwecks Stapelverarbeitung erfassen, in eine Warteschlange<br />
stellen und weiterleiten. Zwischengespeicherte Meldungen<br />
werden standardmäßig an die Verarbeitungs-Engine weitergeleitet,<br />
wenn der Pufferspeicher seine maximale Kapazität erreicht hat oder in<br />
Intervallen <strong>von</strong> 1 Minute (je nachdem, welche dieser beiden<br />
Bedingungen zuerst eintritt).<br />
52 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Figure 6 – Weiterleitung <strong>von</strong> Syslog-Nachrichten an den Computer mit <strong>GFI</strong> <strong>EventsManager</strong><br />
Hinweis: Zur korrekten Verarbeitung <strong>von</strong> Syslog-Nachrichten müssen<br />
ALLE Syslog-Quellen (z. B. Workstations, Server, Netzwerkgeräte<br />
u. Ä.) so konfiguriert werden, dass sie Meldungen an den<br />
<strong>GFI</strong> <strong>EventsManager</strong>-Computer schicken. Diese Einstellung ist auch<br />
für den eigentlichen Rechner, auf dem <strong>GFI</strong> <strong>EventsManager</strong> läuft,<br />
erforderlich.<br />
So werden die Einstellungen zur Verarbeitung <strong>von</strong> Syslog-Ereignissen<br />
in <strong>GFI</strong> <strong>EventsManager</strong> konfiguriert:<br />
1. Öffnen Sie den jeweiligen Eigenschaften-Dialog zum betreffenden<br />
Computer/zur Computer-Gruppe.<br />
2. Klicken Sie auf den Reiter Syslog.<br />
3. Wählen Sie die Option Accept Syslog messages from this<br />
computer group, um den Syslog-Server und den Empfang <strong>von</strong><br />
Nachrichten dieser Computer-Gruppe zu aktivieren.<br />
Wichtig: Beachten Sie, dass das Löschen <strong>von</strong> Ereignissen aus<br />
Protokollen der Ereignisquelle ohne vorherige Archivierung oder<br />
anderweitige Sicherung eine Verletzung gesetzlicher Richtlinien<br />
darstellen kann. Stellen Sie daher sicher, dass wichtige Ereignisse<br />
gemäß den für Ihr Unternehmen geltenden Gesetzen zur<br />
Datenaufbewahrung und zum Datenschutz archiviert oder gesichert<br />
werden.<br />
Hinweis 1: Der Syslog-Server <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> läuft<br />
standardmäßig auf Port 514. Weitere Informationen zur Anpassung<br />
der Port-Einstellungen erhalten Sie unter "Konfigurieren des Syslog-<br />
Server-Ports" in diesem Kapitel.<br />
Hinweis 2: Der integrierte Syslog-Server akzeptiert nur Syslog-<br />
Nachrichten <strong>von</strong> Computern, die zur gewählten Gruppe gehören.<br />
Archivieren <strong>von</strong> Syslog-Ereignissen<br />
Weitere Informationen zur Archivierung <strong>von</strong> Ereignissen erhalten Sie<br />
unter "Archivieren <strong>von</strong> Ereignissen" in diesem Kapitel.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 53
Auswählen <strong>von</strong> Regeln zur Verarbeitung <strong>von</strong> Syslog-<br />
Ereignissen<br />
Weitere Informationen zur Auswahl <strong>von</strong> Regeln zur Ereignisverarbeitung<br />
erhalten Sie unter "Auswählen <strong>von</strong> Regeln zur<br />
Ereignisverarbeitung" in diesem Kapitel.<br />
Konfigurieren des Syslog-Server-Ports<br />
So ändern Sie den vorgegebenen Syslog-Port:.<br />
Screenshot 36 – Festlegung des Syslog-Servers<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf<br />
Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Syslog Server Configuration, und wählen Sie Edit<br />
Syslog options …<br />
54 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 37 – Eigenschaften des Syslog-Servers<br />
4. Wählen Sie die Option Enable in-built Syslog server on port:<br />
aus, und geben Sie den Port an, auf dem <strong>GFI</strong> <strong>EventsManager</strong> Syslog-<br />
Nachrichten empfängt.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Hinweis: Stellen Sie sicher, dass der für den Syslog-Server<br />
angegebene Port nicht bereits <strong>von</strong> anderen installierten Anwendungen<br />
verwendet wird. Andernfalls könnte der Versand <strong>von</strong> Syslog-<br />
Nachrichten durch <strong>GFI</strong> <strong>EventsManager</strong> beeinträchtigt werden.<br />
Archivieren <strong>von</strong> Ereignissen<br />
Archivieren <strong>von</strong> Ereignissen ohne Protokollverarbeitung<br />
Screenshot 38 – Archivieren <strong>von</strong> Ereignissen ohne vorherige Verarbeitung<br />
<strong>GFI</strong> <strong>EventsManager</strong> verarbeitet standardmäßig alle <strong>von</strong> den Zielrechnern<br />
abgerufene Protokolle. Um Ereignisse unverarbeitet zu<br />
archivieren, wählen Sie für den jeweiligen Protokolltyp im Bereich<br />
Post collection [bzw. messaging] processing die Option Archive<br />
only.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 55
Archivieren <strong>von</strong> Ereignissen nach der Verarbeitung<br />
Verarbeitete Ereignisse lassen sich optional im Datenbank-Backend<br />
<strong>von</strong> <strong>GFI</strong> Events Manager archivieren. Ereignisse lassen sich anhand<br />
folgender Kriterien automatisch archivieren:<br />
• Unter Berücksichtigung ihrer Klassifizierung. Sie können beispielsweise<br />
Standardeinstellungen festlegen, nach denen nur als<br />
"kritisch" klassifizierte Ereignisse archiviert werden. Informationen<br />
zur Konfigurierung der Ereignisarchivierung für dieses Kriterium<br />
erhalten Sie im Kapitel "Konfigurieren <strong>von</strong> Warnmeldungen und<br />
Aktionen" unter "Konfigurieren <strong>von</strong> klassifizierungsabhängigen<br />
Standardaktionen".<br />
• Unter Berücksichtigung der in den Regeln zur Ereignisverarbeitung<br />
definierten Bedingungen. Verarbeitete Ereignisse<br />
lassen sich mit Hilfe <strong>von</strong> Regeln weitaus flexibler archivieren. Es<br />
ist möglich, nur solche Ereignisse zu archivieren, die ungeachtet<br />
ihrer Klassifizierung bestimmte Regelbedingungen erfüllen. So ist<br />
denkbar, dass eine Regel eingerichtet wird, die als "kritisch" klassifizierte<br />
Ereignisse der speziellen Ereigniskennung 537 archiviert.<br />
Weitere Informationen zur Erstellung und Konfigurierung <strong>von</strong><br />
Regeln zur Ereignisverarbeitung erhalten Sie im Kapitel<br />
"Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung".<br />
Auswählen <strong>von</strong> Regeln zur Ereignisverarbeitung<br />
Screenshot 39 – Eigenschaften einer Computer-Gruppe: Einstellungen zu Windows-<br />
Ereignisprotokollen<br />
56 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Legen Sie fest, welche Regeln zur Verarbeitung und Klassifizierung<br />
der Ereignisse in den erfassten Protokollen zur Anwendung kommen<br />
sollen. Wählen Sie hierfür den Regelsatz-Ordner oder die Regelsätze<br />
aus, in denen die gewünschten Regeln zur Ereignisverarbeitung<br />
enthalten sind.<br />
Screenshot 40 – Auswahl der Regeln/Regelsätze zur Ereignisverarbeitung<br />
Achten Sie darauf, dass abhängig vom zu analysierenden Protokoll<br />
die passende Regel ausgewählt wird. Im Lieferumfang <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> enthaltene Regelsätze sind bereits für bestimmte<br />
Protokolltypen vorkonfiguriert. Um die Ereignisse aus den erfassten<br />
Protokollen wie gewünscht zu verarbeiten, müssen daher die richtigen<br />
Regelsätze ausgewählt werden.<br />
Einige da<strong>von</strong> enthalten Regeln, die sich auf spezielle Ereignisse<br />
beziehen. Werden diese Regeln zur Verarbeitung anderer Ereignisse<br />
verwendet, sind eine fehlerhafte Verarbeitung, Datenverlust und<br />
irrelevante Ergebnisse die Folge. Beispiel: Der Regelsatz "Monitoring<br />
and Attack Detection" umfasst Regeln, die speziell zur Verarbeitung<br />
<strong>von</strong> Windows-Sicherheitsereignissen konzipiert wurde. Eine<br />
Anwendung dieser Regel auf Windows-Anwendungsereignisse liefert<br />
somit keine verwertbaren Ergebnisse.<br />
Hinweis 1: <strong>GFI</strong> <strong>EventsManager</strong> wird standardmäßig mit vorausgewählten<br />
Regelsätzen/-ordnern bereitgestellt, die eine effektive<br />
Verarbeitung <strong>von</strong> Windows-Ereignisprotokollen erlauben. Sollten Sie<br />
mit dem Produkt oder der Verwendung <strong>von</strong> Regelsätzen noch nicht<br />
vertraut sein, empfehlen wir, die Standardeinstellungen beizubehalten.<br />
Hinweis 2: Werden im Auswahlbereich keine Regelsätze angezeigt,<br />
stehen für den aktuellen Protokolltyp keine Regeln zur Ereignisverarbeitung<br />
zur Verfügung. Weitere Informationen zur Konfigurierung<br />
<strong>von</strong> Regeln zu Ereignisverarbeitung und Regelsätzen erhalten Sie im<br />
Kapitel "Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung".<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung • 57
58 • Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Konfigurieren <strong>von</strong> Warnmeldungen<br />
und Aktionen<br />
Einführung<br />
Werden während der Verarbeitung der Ereignisprotokolle spezielle<br />
Ereignisse festgestellt, kann <strong>GFI</strong> <strong>EventsManager</strong> automatisch<br />
Aktionen durchführen. Hierzu zählen der Versand <strong>von</strong> E-Mail-<br />
Warnungen und die Archivierung <strong>von</strong> Ereignissen.<br />
Für das Auslösen <strong>von</strong> Warnmeldungen und Aktionen stehen zwei<br />
Möglichkeiten zur Verfügung:<br />
1. Die Konfigurierung einer Gruppe mit "Default Classification Actions"<br />
(klassifizierungsabhängigen Standardaktionen) in der Verwaltungskonsole<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>.<br />
2. Die Erstellung oder Anpassung <strong>von</strong> Regeln und Regelsätzen.<br />
Default Classification Actions (klassifizierungsabhängige<br />
Standardaktionen)<br />
Anhand der über die Default Classification Actions festlegbaren<br />
Einstellungen können Warnmeldungen und Aktionen bereits aufgrund<br />
der Klassifizierung eines Ereignisses ausgelöst werden. Im Rahmen<br />
dieser Kontrolle lassen sich Parameter festlegen, mit denen<br />
beispielsweise E-Mail-Warnungen für sämtliche als "kritisch", "hoch",<br />
"mittel" und "niedrig" klassifizierte Ereignisse erfolgen, jedoch nur als<br />
"kritisch" gekennzeichnete Events archiviert werden.<br />
Von Regeln zur Ereignisverarbeitung gestartete Aktionen<br />
Durch das Erstellen <strong>von</strong> Regeln lassen sich Aktionen noch<br />
differenzierter konfigurieren. Aktionen können gezielt ausgelöst<br />
werden, wenn ein Ereignis eine oder mehrere in den Regeln definierte<br />
Bedingungen erfüllt. Zum Beispiel kann eine Regel veranlassen, dass<br />
ein Ereignis ungeachtet seiner Klassifizierung nur dann archiviert wird,<br />
wenn es die Ereigniskennung 231 besitzt.<br />
Unterstützte Aktionen<br />
<strong>GFI</strong> <strong>EventsManager</strong> erlaubt die Durchführung folgender Aktionen:<br />
• Archivierung eines Ereignisses – Ein klassifiziertes Ereignis<br />
wird per Archive the event im Datenbank-Backend <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> archiviert.<br />
• Versand <strong>von</strong> Warnmeldungen per E-Mail/SMS/Netzwerk –<br />
Warnmitteilungen lassen sich per Send email/SMS/network<br />
notifications to auf verschiedene Weise an Systemverantwortliche<br />
verschicken.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Warnmeldungen und Aktionen • 59
• Öffnen einer Datei – Erlaubt per Run File die Ausführung einer<br />
exe-Datei. Zu den ausführbaren Dateien zählen VBScripts (.vbs),<br />
Batch-Dateien (.bat) und andere ausführbare Dateien (.exe).<br />
Zusätzlich lassen sich Befehlszeilenparameter für die ausführbaren<br />
Dateien verwenden.<br />
Konfigurieren der Default Classification Actions<br />
(klassifizierungsabhängige Standardaktionen)<br />
Screenshot 41 – Konfigurieren der Default Classification Actions (klassifizierungsabhängige<br />
Aktionen)<br />
So legen Sie die Einstellungen für die Default Classification Actions<br />
(klassifizierungsabhängige Standardaktionen) fest:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf<br />
Options.<br />
3. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste<br />
auf den Knoten Default Classifications Actions, und wählen Sie<br />
Edit defaults…<br />
60 • Konfigurieren <strong>von</strong> Warnmeldungen und Aktionen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 42 – Klassifizierungsabhängige Standardaktionen<br />
4. Wählen Sie aus der angezeigten Drop-Down-Liste die zu<br />
bearbeitende Ereignisklassifizierung aus.<br />
5. Wählen Sie auf der Liste Action die Aktionen aus, die für die<br />
gewählte Ereignisklassifizierung ausgelöst werden sollen.<br />
6. Klicken Sie auf die Schaltfläche Configure, um weitere erforderliche<br />
Einstellungen für die jeweilige Aktion vorzunehmen.<br />
Hinweis: Beachten Sie, dass Aktionen für als "niedrig" klassifizierte<br />
Ereignisse folgende Auswirkungen haben können:<br />
• Der Datenverkehr im Netzwerk wird erhöht (v. a. bei<br />
Benachrichtigungen per E-Mail, SMS oder Netzwerk)<br />
• Im Fall einer Archivierung vergrößern sich Datenaustausch und<br />
Wachstum der Backend-Datenbank bedeutend.<br />
Konfigurieren <strong>von</strong> Aktionen für Regeln zur Ereignisverarbeitung<br />
Weitere Informationen zur Konfigurierung <strong>von</strong> Aktionen im Rahmen<br />
<strong>von</strong> Regeln zu Ereignisverarbeitung erhalten Sie im Kapitel<br />
"Konfigurieren <strong>von</strong> Regeln zur Ereignisverarbeitung".<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Warnmeldungen und Aktionen • 61
62 • Konfigurieren <strong>von</strong> Warnmeldungen und Aktionen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Der Events Browser<br />
Einführung<br />
Der Events Browser dient der Darstellung verarbeiteter und unverarbeiteter<br />
Ereignisse/Protokolle, die im Datenbank-Backend oder der<br />
Backup-Datenbank gespeichert sind.<br />
Screenshot 43 – <strong>GFI</strong> <strong>EventsManager</strong> Events Browser<br />
Der Events Browser unterstützt zudem die digitale Spurensuche bei<br />
forensischen Analysen <strong>von</strong> Ereignissen. Sämtliche per Events<br />
Browser anzeigbaren Ereignisse können nach Protokolltyp geordnet<br />
über drei Reiter dargestellt werden: Windows Events Browser, W3C<br />
Events Browser und Syslog Events Browser. Ereignisse eines<br />
Protokolltyps lassen sich hierdurch schneller aufrufen. Ereignisinformationen<br />
werden in Spalten angezeigt. Per Mausklick auf ein<br />
Ereignis werden zusätzliche Hinweise in einem separaten<br />
Fensterbereich angezeigt.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Der Events Browser • 63
Screenshot 44 – Ereignisdetails<br />
Bei der Anzeige <strong>von</strong> Windows-Ereignissen erhalten Sie zusätzlich<br />
einen Link, über den Sie detaillierte Informationen zum Ereignis über<br />
das Internet abrufen können, wie:<br />
• eine umfangreiche Beschreibung des Ereignisses<br />
• Links und Tipps zu Ursachen des Ereignisses und ggf.<br />
Lösungsvorschläge zu Problemen.<br />
Tools zur Ereignisanzeige<br />
Spezialwerkzeuge <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> vereinfachen das<br />
Durchsuchen und Anzeigen <strong>von</strong> Ereignissen. Zu diesen Tools<br />
gehören:<br />
• Ein Ereignisfilter/Ereignisabfrage-Generator<br />
• Farbliche Hervorhebung unterschiedlicher Ereignisse<br />
• Tool zur Ereignissuche<br />
64 • Der Events Browser <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Ereignisfilter/Ereignisabfrage-Generator<br />
Screenshot 45 – Generator für Ereignisabfragen<br />
Mit Hilfe des Ereignisabfrage-Generators lassen sich eigene Filter zur<br />
separaten Darstellung spezieller Ereignisse einrichten, ohne dass<br />
diese aus dem Datenbank-Backend gelöscht werden. Diese Filter<br />
können neben der bereits im Lieferumfang enthaltenen Standardauswahl,<br />
die keine weitere Konfigurierung erfordert, eingesetzt<br />
werden.<br />
Screenshot 46 – Standardmäßige und benutzerdefinierte Ereignisabfragen<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Der Events Browser • 65
Farbliches Hervorheben unterschiedlicher Ereignisse<br />
Screenshot 47 – Filter zur farblichen Kennzeichnung des Gefährdungsgrads<br />
Mit Hilfe des Tools zur Ereigniskennzeichnung lassen sich Ereignisse<br />
ihrem Gefährdungsgrad entsprechend farblich kennzeichnen. Eine<br />
solche Markierung erleichtert das schnelle Auffinden wichtiger<br />
Ereignisse bei der Durchsicht. Beispielsweise lässt sich eine Abfrage<br />
zu Ereignissen der Kategorie "kritisch" oder "hoch" erstellen, bei der<br />
zusätzlich alle kritischen Ereignisse der Kennung 231 rot gekennzeichnet<br />
werden.<br />
Die Festlegung der Farbkodierung erfolgt über einen eigenen<br />
Abfragegenerator. Für diesen sind festzulegen:<br />
• Bedingungen zur Kennzeichnung einzelner Ereignisse<br />
• Auswahl der Anzeigefarbe<br />
66 • Der Events Browser <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Tool zur Ereignissuche<br />
Screenshot 48 – Tool zur Ereignissuche<br />
Mit dem Tool zur Ereignissuche können Ereignisse anhand einer<br />
spezifischen Suchangabe gefunden werden. Zum Beispiel lassen sich<br />
Ereignisse mit einer speziellen Kennung anzeigen oder deren<br />
Beschreibung bestimmte Stichwörter enthält.<br />
Anzeigen gespeicherter Ereignisprotokolle<br />
So zeigen Sie im Datenbank-Backend gespeicherte Ereignisse an:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
Screenshot 49 – Events Browser:<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste je nach<br />
gewünschter Ereignisart auf Windows Events Browser, W3C<br />
Events Browser oder Syslog Events Browser.<br />
Starten einer Ereignisabfrage<br />
So starten Sie eine Ereignisabfrage:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Queries die<br />
gewünschten Abfrage aus.<br />
Herausgefilterte Ereignisse werden im rechten Fenster angezeigt.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Der Events Browser • 67
Erstellen eigener Ereignisabfragen<br />
Screenshot 50 – <strong>GFI</strong> <strong>EventsManager</strong> Events Browser<br />
Benutzerdefinierte Ereignisabfragen werden als Unterknoten zu<br />
bereits vorgegebenen Abfragen hinzugefügt.<br />
So erstellen Sie eine eigene Ereignisabfrage:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Klicken Sie im linken Navigationsbereich unter Queries mit der<br />
rechten Maustaste auf die Standardabfrage, unter der die neue<br />
Abfrage erstellt werden soll. Wählen Sie im Kontextmenü Query<br />
builder..., um den Ereignisabfrage-Generator zu starten.<br />
68 • Der Events Browser <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 51 – Generator für Ereignisabfragen<br />
4. Geben Sie den Namen und die Beschreibung der neue Abfrage an.<br />
5. Klicken Sie auf die Schaltfläche Add, um die Abfragebedingungen<br />
festzulegen. Klicken Sie danach auf die Schaltfläche OK. Wiederholen<br />
Sie diesen Schritt, bis alle erforderlichen Bedingungen angegeben<br />
sind.<br />
6. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Anpassen des Ereignisanzeige-Fensters<br />
Auswählen der anzuzeigenden Spalten<br />
So legen Sie fest, welche Spalten im Anzeigefenster des Protokoll-<br />
Browsers dargestellt werden sollen:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Der Events Browser • 69
3. Wählen Sie im linken Navigationsbereich unter Common Tasks die<br />
Option Customize view aus.<br />
Screenshot 52 – Anpassung des Anzeigefensters: Spaltenauswahl<br />
4. Klicken Sie im rechten Fenster Customize View auf Columns.<br />
5. Wählen Sie alle Spalten aus, die im Ereignisanzeige-Fenster <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> dargestellt werden sollen. Mit Hilfe der Nachoben-<br />
und Nach-unten-Pfeile können Sie festlegen, in welcher<br />
Reihenfolge Spalten anzuzeigen sind.<br />
6. Schließen Sie das Fenster Customize View, um die Einstellungen<br />
zu speichern.<br />
Anzeigen der Ereignisbeschreibung<br />
So legen Sie fest, in welchem Bereich des rechten Anzeigefensters<br />
die Beschreibung eines Ereignisses angezeigt werden soll:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Common Tasks die<br />
Option Customize view aus.<br />
Screenshot 53 – Anpassung des Ereignisanzeige-Fensters<br />
4. Klicken Sie im rechten Fenster Customize View auf Description,<br />
und wählen Sie aus, ob die Beschreibung auf der rechten Seite oder<br />
im unteren Fensterbereich angezeigt oder ausgeblendet werden soll.<br />
70 • Der Events Browser <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Farbliches Kennzeichnen <strong>von</strong> Ereignissen<br />
Kennzeichnen eines Ereignisses mit einer bestimmten<br />
Eigenschaft<br />
Screenshot 54 – Farbliche Kennzeichnung eines Ereignisses<br />
So können Sie Ereignisse mit einer bestimmten Eigenschaft farblich<br />
kennzeichnen:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Common Tasks die<br />
Option Customize view aus.<br />
4. Klicken Sie im rechten Fenster Customize View auf die Option<br />
Colors.<br />
5. Geben Sie die Abfragebedingung an, und wählen Sie die Farbe<br />
aus, in der herausgefilterte Ereignisse gekennzeichnet werden sollen.<br />
6. Klicken Sie auf die Schaltfläche Apply Color, um die Einstellungen<br />
zu speichern.<br />
Hinweis: Per Mausklick auf die Option Clear color filters werden alle<br />
Farbeinstellungen gelöscht.<br />
Kennzeichnen mehrerer Ereignisse<br />
So kennzeichnen Sie mehrere Ereignisse mit unterschiedlichen<br />
Farben:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Common Tasks die<br />
Option Customize view aus.<br />
4. Klicken Sie im rechten Fenster Customize View auf die Option<br />
Colors und dann auf die Option Advanced.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Der Events Browser • 71
Screenshot 55 – Erweiterte Optionen für Farbfilter<br />
5. Klicken Sie auf die Schaltfläche Add, geben Sie der<br />
Filterbedingung einen Namen, und legen Sie die Abfrageparameter<br />
an. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern. Wiederholen Sie diesen Schritt, bis alle Bedingungen<br />
festgelegt sind.<br />
6. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Tool zur Ereignissuche<br />
Mit dem Tool zur Ereignissuche lassen sich einzelne Ereignisse rasch<br />
auffinden. So starten Sie die Suche nach einem bestimmten Ereignis:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Actions die Option<br />
Find events aus.<br />
72 • Der Events Browser <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 56 – Tool zur Ereignissuche<br />
4. Im oberen Bereich des rechten Ereignisanzeige-Fensters können<br />
Sie Suchbedingungen eingeben. Um bei der Suche die Groß-/Kleinschreibung<br />
zu beachten, klicken Sie in linken Navigationsbereich auf<br />
Options, und wählen Sie die Option Match case.<br />
5. Klicken Sie im rechten Ereignisanzeige-Fenster auf die Schaltfläche<br />
Find, um die Suche zu starten.<br />
Sichern <strong>von</strong> Ereignissen<br />
Mit <strong>GFI</strong> <strong>EventsManager</strong> können Sie im Datenbank-Backend<br />
gespeicherte Ereignisse per Backup sichern. So verringern Sie die<br />
Größe der Hauptdatenbank und können weiterhin sämtliche Ereigniseinträge<br />
für forensische Sicherheitsanalysen und andere Kontrollen<br />
nutzen.<br />
Mit der Funktion Backup events lassen sich alle Ereignisse sichern,<br />
die älter sind als <strong>von</strong> Ihnen angegeben. Die Zeitangabe erfolgt hierbei<br />
in Stunden.<br />
So lassen Sie Ereignisse sichern:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Actions die Option<br />
Backup events aus.<br />
Screenshot 57 – Backup <strong>von</strong> Ereignissen<br />
4. Legen Sie den Zeitraum in Stunden fest, vor dem Ereignisse<br />
eingetreten sein müssen, um archiviert zu werden.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Der Events Browser • 73
Wechseln zwischen Datenbanken<br />
Wechseln Sie zwischen der Haupt- und Backup-Datenbank, um<br />
Ereignisse in beiden Datenbanken anzuzeigen. Hierfür stehen die<br />
verschiedenen Tools des Events Browser zur Verfügung.<br />
So wechseln Sie zwischen den Datenbanken:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Common Tasks die<br />
Option Switch to main/backup database aus.<br />
Löschen aller Ereignisse<br />
So löschen Sie alle Ereignisse aus der aktuell ausgewählten<br />
Datenbank:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der angezeigten zweiten Symbolleiste auf Windows<br />
Events Browser, W3C Events Browser oder Syslog Events<br />
Browser.<br />
3. Wählen Sie im linken Navigationsbereich unter Actions die Option<br />
Clear all events aus, um alle Ereignisse der aktuellen Datenbank zu<br />
löschen.<br />
Screenshot 58 – Löschen aller Ereignisse<br />
4. Haben Sie die Haupt-Datenbank zur Anzeige <strong>von</strong> Ereignissen<br />
geöffnet, legen Sie fest, ob Ereignisse vor dem Löschen per Backup<br />
gesichert werden sollen.<br />
74 • Der Events Browser <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Statusüberwachung<br />
Einführung<br />
Der Status-Monitor informiert über den aktuellen Programmstatus <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> und liefert statistische Informationen zu<br />
erfassten, verarbeiteten und archivierten Ereignissen. Es stehen<br />
hierfür drei unterschiedliche Ansichten zur Verfügung: General<br />
(Allgemein), Job Activity (Prozessabläufe) und Statistics<br />
(Statistiken).<br />
Öffnen des Status-Monitors<br />
So rufen Sie den Status-Monitor auf:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Status.<br />
Screenshot 59 – Anzeigeoptionen<br />
2. Wählen Sie die die gewünschte Ansicht General, Job Activity<br />
oder Statistics per Mausklick aus.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Statusüberwachung • 75
Ansicht "General"<br />
Screenshot 59 – Status <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>: Ansicht "General"<br />
Folgende Informationen stehen über die Ansicht General bereit:<br />
• Status der <strong>GFI</strong> <strong>EventsManager</strong>-Engine zur Ereignisverarbeitung.<br />
• Statistische Daten wie die Anzahl der pro Computer verarbeiteten<br />
Ereignisse.<br />
Die Anzeige der Informationen erfolgt in einzelnen Fenstern, die<br />
nachfolgend näher erklärt werden.<br />
Fenster "<strong>EventsManager</strong> Status"<br />
Screenshot 60 – Fenster "Service Status"<br />
Dieses Fenster informiert über:<br />
• Den Betriebsstatus der Ereignisverarbeitungs-Engine<br />
• Das Benutzerkonto, unter dem die <strong>GFI</strong> <strong>EventsManager</strong>-Engine<br />
läuft.<br />
• Startzeitpunkt der Ereignisverarbeitungs-Engine<br />
76 • Statusüberwachung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Wichtig: Die Ereignisverarbeitungs-Engine bleibt deaktiviert, solange<br />
kein Datenbank-Backend eingerichtet ist.<br />
Fenster "Syslog Server Status"<br />
Screenshot 61 – Fenster "Service Server Status"<br />
Dieses Fenster informiert über:<br />
• Den Betriebsstatus des Syslog-Servers<br />
• Die Port-Einstellung des Syslog-Servers<br />
Fenster "Database Backend Status"<br />
Screenshot 62 – Fenster "Database Backend Status"<br />
Dieses Fenster informiert über:<br />
• Den Betriebsstatus des aktuell <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
verwendeten Datenbank-Servers<br />
• Den Namen des aktuell <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> verwendeten<br />
Datenbank-Servers<br />
• Den Namen der Datenbank, in der erfasste Ereignisse archiviert<br />
werden<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Statusüberwachung • 77
Fenster "Global Event Count"<br />
Screenshot 63 – Fenster "Global Event Count"<br />
Dieses Fenster informiert anhand eines Kuchendiagramms über den<br />
prozentualen Anteil der <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> verarbeiteten<br />
Windows- und W3C-Ereignisse sowie Syslog-Nachrichten.<br />
Fenster "Events Type By Classification"<br />
Screenshot 64 – Fenster "Events Type By Classification"<br />
Dieses Fenster informiert anhand eines Kuchendiagramms über den<br />
prozentualen Anteil <strong>von</strong> Ereignissen der Kategorien:<br />
• Kritisch, hoch, mittel, niedrig<br />
• Nicht klassifiziert<br />
78 • Statusüberwachung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Fenster "Activity Overview"<br />
Screenshot 65 – Fenster "Activity Overview"<br />
Dieses Fenster informiert über:<br />
• Die Gesamtzahl der Windows- und W3C-Ereignisse sowie Syslog-<br />
Nachrichten je überwachten Computer<br />
• Das Datum des letzten Ereignisabrufs <strong>von</strong> einem Rechner<br />
Ansicht "Job Activity"<br />
Screenshot 66 - Status <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>: Ansicht "Job Activity"<br />
Über die Ansicht Job Activity können Sie aktuelle Prozessabläufe<br />
kontrollieren, darunter die Ereigniserfassung und -Verarbeitung. Für<br />
Syslog-Nachrichten steht ein separates Verlaufsfenster zur<br />
Verfügung.<br />
Die Anzeige der Informationen erfolgt in einzelnen Fenstern, die<br />
nachfolgend näher erklärt werden.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Statusüberwachung • 79
Fenster "Active Jobs"<br />
Screenshot 67 - Fenster "Active Jobs"<br />
In diesem Fenster werden alle auf den überwachten Ereignisquellen<br />
aktiven Erfassungsvorgänge dargestellt. Zu den angezeigten Informationen<br />
zählen der aktuelle Erfassungsfortschritt in Prozent (Progress)<br />
und die Protokollquelle (Log Source).<br />
Fenster "Queued Jobs"<br />
Screenshot 68 – Fenster "Queued Jobs"<br />
In diesem Fenster wird die Warteschlange aller noch ausstehenden<br />
Ereigniserfassungsvorgänge nach Computer aufgeschlüsselt dargestellt.<br />
Zu den angezeigten Informationen zählen die Protokollquelle<br />
(Log Source), <strong>von</strong> der Ereignisse abgerufen werden sollen, und der<br />
Zeitpunkt, zu dem die Aufgabe in die Warteschlange gestellt wurde.<br />
80 • Statusüberwachung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Fenster "Syslog Message History"<br />
Screenshot 69 -Fenster "Syslog Message History"<br />
In diesem Fenster werden alle Syslog-Nachrichten dargestellt, die <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> empfangen wurden. Zu den angezeigten Informationen<br />
zählen die Gesamtzahl der <strong>von</strong> jedem Quellgerät verschickten<br />
Nachrichten und der Zeitpunkt, zu dem die letzte Syslog-Nachricht<br />
empfangen wurde.<br />
Fenster "Operational History"<br />
Screenshot 70 – Fenster "Operational History"<br />
In diesem Fenster sind alle <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> durchgeführten<br />
Aktionen zur Ereigniserfassung chronologisch aufgeführt. Angezeigt<br />
werden während der Erfassung ausgegebene Fehlermeldungen und<br />
andere Informationen sowie der Name der auf dem Zielrechner<br />
überprüften Protokolldatei.<br />
Fenster "Maintenance Jobs"<br />
Screenshot 71 – Fenster "Maintenance Jobs"<br />
In diesem Fenster wird der Fortschritt <strong>von</strong> Wartungsarbeiten<br />
angezeigt, die über die Database Operations festgelegt wurden.<br />
Angezeigt werden die Beschreibung der einzelnen Arbeiten sowie der<br />
Startzeitpunkt.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Statusüberwachung • 81
Ansicht "Statistics"<br />
Screenshot 72 – Statistiken zu <strong>GFI</strong> <strong>EventsManager</strong><br />
Über die Ansicht Statistics können Sie Trends bei täglichen<br />
Ereignissen feststellen und Statistiken zu einzelnen Computern Ihres<br />
Netzwerks abrufen.<br />
Die Anzeige der Informationen erfolgt in einzelnen Fenstern, die<br />
nachfolgend näher erklärt werden.<br />
Fenster "Events Count For Today"<br />
Screenshot 73 – Fenster "Events Count For Today"<br />
In diesem Fenster werden rechner- und netzwerkspezifische<br />
Ereignistrends im Tagesablauf anhand eines Kurvendiagramms<br />
angezeigt. Dabei erfolgt eine farbliche Unterscheidung zwischen<br />
Windows- und W3C-Ereignissen sowie Syslog-Nachrichten.<br />
82 • Statusüberwachung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Fenster "Events Count By Log Type"<br />
Screenshot 74 – Fenster "Events Count By Log Type"<br />
In diesem Fenster wird die Anzahl aller für einen Rechner oder<br />
Netzwerk erfassten Windows- und W3C-Ereignisse sowie Syslog-<br />
Nachrichten anhand eines Balkendiagramms angezeigt.<br />
Fenster "Events Type By Classification"<br />
Screenshot 75 – Fenster "Events Type By Classifications"<br />
In diesem Fenster werden anhand eines Kuchendiagramms rechneroder<br />
netzwerkspezifische Ereignisse folgender Kategorien prozentual<br />
dargestellt:<br />
• Kritisch, hoch, mittel, niedrig<br />
• Nicht klassifiziert<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Statusüberwachung • 83
Fenster "Windows Events Count By Event Log"<br />
Screenshot 76 – Fenster "Windows Events Count By Event Log"<br />
In diesem Fenster wird anhand eines Kuchendiagramms der<br />
prozentuale Anteil der Windows-Ereignisse aus den Protokollen<br />
Sicherheit, System, Anwendungen, DNS-Server, Verzeichnisse und<br />
Dateireplikation angezeigt.<br />
84 • Statusüberwachung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Das Modul Database Operations<br />
Einführung<br />
Das Modul Database Operations <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> unterstützt<br />
Administratoren bei folgenden Aufgaben der Datenbankwartung:<br />
• Zusammenführung <strong>von</strong> Ereignissen, die entfernte<br />
<strong>GFI</strong> <strong>EventsManager</strong>-Instanzen erfasst haben, in einem zentralen<br />
Datenbank-Backend.<br />
• Optimierung der Leistung <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> durch aktives<br />
Überwachen der Größe des Datenbank-Backends.<br />
Gründe für die Datenbankwartung<br />
Die Datenbank muss regelmäßig gewartet werden, um einen<br />
übermäßig großen Datenbestand zu vermeiden. Die Leistung <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> wird bei Verwendung einer zu umfassenden<br />
Datenbank bedeutend eingeschränkt. Ereignisse lassen sich nur mit<br />
Verzögerung durchsuchen, und Abfragen werden verlangsamt. Auch<br />
die Berichterstellung mit dem Reporting-Modul <strong>GFI</strong> <strong>EventsManager</strong><br />
ReportPack beansprucht mehr Zeit.<br />
Die Leistung des Datenbank-Backends lässt sich über die Database<br />
Operations optimieren. Es stehen mehrere Optionen für Wartungsaufgaben<br />
bereit. Hierzu zählen:<br />
• Move to database – Mit diesem Vorgang werden Ereignisse aus<br />
der Haupt-Datenbank in die Backup- oder eine andere Datenbank<br />
verschoben.<br />
• Export to file – Mit diesem Vorgang werden Ereignisse aus der<br />
Haupt-Datenbank in eine komprimierte Binärdatei exportiert. Diese<br />
lässt sich verschlüsseln und zur Sicherung auf CD/DVD oder<br />
einem anderen Datenträger speichern.<br />
• Import from file – Mit diesem Vorgang lassen sich Ereignisse aus<br />
Exportdateien <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in die Haupt-Datenbank<br />
importieren.<br />
• Delete data – Mit diesem Vorgang lassen sich Ereignisse aus<br />
dem Haupt- oder Backup-Datenbank-Backend löschen.<br />
Für alle Vorgänge lassen sich zudem Filter zur gezielteren Wartung<br />
einrichten.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 85
Konsolidieren <strong>von</strong> Ereignissen in einem WAN<br />
Abbildung 1: Konsolidieren <strong>von</strong> Ereignissen in einem WAN<br />
Bei Unternehmen mit mehreren Niederlassungen können einzelne<br />
oder alle erfassten Ereignisdaten dieser verteilten Dependancen mit<br />
den Database Operations in einer zentralen Datenbank konsolidiert<br />
werden. Zunächst werden die Daten per Export to file vorbereitet,<br />
damit die komprimierten und verschlüsselten Dateien zur zentralen<br />
Verarbeitung verschickt werden können. Sie werden dann nach dem<br />
Empfang per Import to file in die zentrale Datenbank importiert.<br />
Der Events Browser erlaubt dann die Anzeige der Ereignisse. Die in<br />
dieser Form in der zentralen Datenbank gesicherten Ereignisse lassen<br />
sich zudem zum Erstellen niederlassungsspezifischer Ereignisberichte<br />
nutzen.<br />
86 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Konfigurieren der Datenbankwartung per Database Operations<br />
Legen Sie fest, wann Wartungsarbeiten erfolgen sollen (Uhrzeit und<br />
Tag sowie Wartungsintervalle).<br />
Screenshot 77 – Konfigurierung der Database Operations<br />
Hinweis: Die Datenbankwartung kann zu Lasten der Leistung des<br />
Servers und <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> gehen. Für eine uneingeschränkte<br />
Verfügbarkeit Ihrer Systemressourcen und zur Vermeidung<br />
<strong>von</strong> Beeinträchtigungen sollten diese Arbeiten daher außerhalb der<br />
normalen Geschäftszeiten erfolgen.<br />
So konfigurieren Sie die Database Operations:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Operations und wählen Sie Properties.<br />
Hierdurch wird der Dialog für die Optionen zur Datenbankwartung<br />
geöffnet.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 87
Screenshot 78 – Optionen zur Datenbankwartung: Eindeutige Kennung einer Instanz <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong><br />
4. Geben Sie der Instanz <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> eine eindeutige<br />
Kennung, die der Identifizierung im Netzwerk dient. Diese ID ist bei<br />
dem Vorgang Export to file Bestandteil des Namens der zu<br />
exportierenden Datei.<br />
88 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 79 – Optionen zur Datenbankwartung: Wartung nach Zeitplan<br />
5. Per Mausklick auf den Reiter Schedule können Sie folgende<br />
Einstellungen festlegen:<br />
• Tageszeiten, zu denen Wartungsarbeiten durchgeführt werden<br />
können.<br />
• Der Zeitabstand in Stunden/Tagen, zu denen Wartungsarbeiten<br />
erfolgen sollen.<br />
• Der Startzeitpunkt für die erste Durchführung <strong>von</strong><br />
Wartungsarbeiten.<br />
Einrichten einer Wartungsaufgabe<br />
So richten Sie eine neue Wartungsaufgabe ein:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Operations, und wählen Sie Create new job…<br />
Der Assistent zum Einrichten neuer Wartungsaufgaben wird<br />
aufgerufen.<br />
4. Klicken Sie auf die Schaltfläche Next, um zum Auswahlschritt Job<br />
Type zu gelangen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 89
Screenshot 80 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Auswahl des<br />
Aufgabentyps<br />
5. Wählen Sie den gewünschten Aufgabentyp aus (zur Auswahl der<br />
verfügbaren Typen siehe oben unter "Gründe für die<br />
Datenbankwartung").<br />
6. Geben Sie alle erforderlichen Parameter an, und klicken Sie auf die<br />
Schaltfläche Next. Im nächsten Schritt können Filter zur präziseren<br />
Verarbeitung der Ereignisprotokolle im Rahmen der Wartungsaufgabe<br />
eingerichtet werden.<br />
Hinweis: Weitere Informationen zur Festlegung der Parameter einer<br />
einzelnen Wartungsaufgabe erhalten Sie weiter unten in diesem<br />
Kapitel.<br />
90 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 81 – Festlegung zu bearbeitender Protokolltypen und Ereignisfilterung<br />
7. Legen Sie fest, welche Ereignisdaten der jeweiligen Protokolle aus<br />
dem Datenbank-Backend herausgefiltert werden sollen. Wird kein<br />
Filter definiert, erfolgt die Bearbeitung aller Daten des Datenbank-<br />
Backends. Klicken Sie auf die Schaltfläche Next.<br />
Hinweis: Weitere Informationen zur Festlegung <strong>von</strong><br />
Filterbedingungen erhalten Sie unter „Konfigurieren der Filterbedingungen"<br />
in diesem Kapitel.<br />
Screenshot 82 – Zeitpunkt der Durchführung der Wartungsaufgabe<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 91
8. Legen Sie fest, ob die Wartungsaufgabe nach Zeitplan oder sofort<br />
und nur einmalig durchzuführen ist.<br />
Hinweis 1: Aufgaben nach Zeitplan werden gemäß den Vorgaben der<br />
Database Operations durchgeführt.<br />
Hinweis 2: Andere ausgewählte Wartungsaufgaben werden nur<br />
einmal durchgeführt.<br />
9. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung<br />
abzuschließen.<br />
Screenshot 83 – Fortschrittsanzeige und Abschluss einer Wartungsaufgabe<br />
Wartungsaufgabe "Move to database"<br />
So erstellen Sie eine Wartungsaufgabe, mit der Ereignisse aus der<br />
Haupt-Datenbank in eine andere Datenbank verschoben werden:<br />
1. Starten Sie den Assistenten für neue Wartungsaufgaben ("New job<br />
wizard"), und wählen Sie den Aufgabentyp Move to database.<br />
Screenshot 84 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Aufgabe "Move to<br />
database"<br />
92 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
2. Geben Sie die Datenbank an, in die Ereignisse verschoben werden<br />
sollen. Hierbei sollte es sich um die Backup-Datenbank handeln oder<br />
eine andere zugängliche Datenbank auf dem SQL-Server, auf dem<br />
sich die Haupt-Datenbank befindet.<br />
3. Legen Sie mit der Option Move events older than the specified<br />
period fest, wie alt Ereignisse sein müssen (älter als der angegebene<br />
Wert), um verschoben werden zu können.<br />
4. Klicken Sie auf die Schaltfläche Next, um weitere Filterbedingungen<br />
für Ereignisdaten zu definieren.<br />
5. Die weiter festlegbaren Filterbedingungen sind aufgabenspezifisch.<br />
Sollten Sie keine weiteren Filterbedingungen angeben, werden alle<br />
Ereignisse, die älter sind als <strong>von</strong> Ihnen festgelegt, verschoben.<br />
Klicken Sie auf die Schaltfläche Next.<br />
Hinweis: Weitere Informationen zur Festlegung <strong>von</strong> Filterbedingungen<br />
erhalten Sie unter „Konfigurieren der Filterbedingungen"<br />
in diesem Kapitel.<br />
6. Legen Sie fest, ob die Wartungsaufgabe nach Zeitplan oder sofort<br />
und nur einmalig durchzuführen ist.<br />
7. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung der<br />
Wartungsaufgabe zu beenden.<br />
Wartungsaufgabe "Export to file"<br />
So exportieren Sie Ereignisse aus der Haupt-Datenbank in eine Binärdatei:<br />
1. Starten Sie den Assistenten für neue Wartungsaufgaben ("New job<br />
wizard"), und wählen Sie den Aufgabentyp Export to file.<br />
Screenshot 85 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Wartungsaufgabe<br />
"Export to file"<br />
2. Geben Sie den Zielordner für die Exportdatei an. Geben Sie<br />
Speicherpfade entfernter Ziele im UNC-Format an.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 93
Hinweis: Stellen Sie sicher, dass <strong>GFI</strong> <strong>EventsManager</strong> administrative<br />
Zugriffsrechte für den Zielordner besitzt.<br />
3. Legen Sie mit der Option Export events older than the specified<br />
period fest, wie alt ein Ereignis sein muss (älter als der angegebene<br />
Wert), um exportiert werden zu können.<br />
4. Klicken Sie auf die Schaltfläche Next, um ein Passwort zum Schutz<br />
der Exportdaten einzurichten.<br />
Screenshot 86 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Passwortschutz für<br />
eine Exportdatei<br />
5. Legen Sie fest, ob die zu exportierenden Ereignisdaten mit einem<br />
Passwort verschlüsselt werden sollen, und geben Sie dieses an.<br />
Klicken Sie auf die Schaltfläche Next, um weitere Filterbedingungen<br />
für Ereignisdaten zu definieren.<br />
Hinweis 1: Wählen Sie ein sicheres Passwort zur Verschlüsselung<br />
aus. Beachten Sie, dass dieses zum Import der Datei erneut<br />
verwendet werden muss.<br />
6. Die weiter festlegbaren Bedingungen sind aufgabenspezifisch.<br />
Sollten Sie keine weiteren Filterbedingungen angeben, werden alle<br />
Ereignisse, die älter sind als <strong>von</strong> Ihnen festgelegt, exportiert. Klicken<br />
Sie auf die Schaltfläche Next.<br />
Hinweis: Weitere Informationen zur Festlegung <strong>von</strong> Filterbedingungen<br />
erhalten Sie unter „Konfigurieren der Datenfilter-<br />
Bedingungen" in diesem Kapitel.<br />
7. Legen Sie fest, ob die Wartungsaufgabe nach Zeitplan oder sofort<br />
und nur einmalig durchzuführen ist.<br />
8. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung<br />
abzuschließen.<br />
Benennung der Exportdatei<br />
Exportdateien werden <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> nach folgendem<br />
Schema benannt:<br />
94 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
[ESM-ID]_[Aufgaben-ID]_[Datum <strong>von</strong>]_[Datum bis].EXP<br />
• ESM-ID – Zeigt die eindeutige Kennung der zugehörigen Instanz<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> an.<br />
• Aufgaben-ID – Zeigt die eindeutige Kennung der Wartungsaufgabe<br />
an.<br />
• Datum <strong>von</strong> – Informiert über das Datum des am längsten<br />
zurückliegenden Ereignisses, das exportiert wurde.<br />
• Datum bis – Informiert über das Datum des neuesten Ereignisses,<br />
das exportiert wurde.<br />
• .EXP – Bezeichnet die Dateierweiterung aller Exportdateien.<br />
Folgendes Beispiel zeigt den Namen einer Exportdatei:<br />
SERVER01_0051_20061020_20061025.EXP<br />
Wartungsaufgabe "Import from file"<br />
So importieren Sie in einer Exportdatei gesicherte Ereignisse in die<br />
Haupt-Datenbank:<br />
1. Starten Sie den Assistenten für neue Wartungsaufgaben ("New job<br />
wizard"), und wählen Sie den Aufgabentyp Import from file.<br />
Screenshot 87 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Wartungsaufgabe<br />
"Import from file"<br />
2. Geben Sie den Speicherort der Exportdatei an. Geben Sie<br />
Speicherpfade entfernter Ziele im UNC-Format an.<br />
Hinweis 1: Stellen Sie sicher, dass <strong>GFI</strong> <strong>EventsManager</strong><br />
administrative Zugriffsrechte für den Ordner besitzt, in dem sich die<br />
Datei befindet.<br />
Hinweis 2: <strong>GFI</strong> <strong>EventsManager</strong> importiert alle Dateien mit der<br />
Erweiterung .EXP.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 95
3. Klicken Sie auf die Schaltfläche Next, um das Passwort zur<br />
Freigabe der Exportdaten anzugeben.<br />
Screenshot 88 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Angabe des<br />
Passworts bei der Aufgabe "Import from file"<br />
4. Geben Sie das Passwort zur Freigabe der Ereignisdaten an.<br />
Klicken Sie auf die Schaltfläche Next, um Filter für die Ereignisdaten<br />
zu definieren.<br />
Hinweis: Verwenden Sie das Passwort, das zur Verschlüsslung der<br />
Ereignisdaten verwendet wurde.<br />
5. Definieren Sie Filter, die auf die importierte Datei angewendet<br />
werden sollen. Klicken Sie auf die Schaltfläche Next.<br />
Hinweis 1: Mit Hilfe der für zu importierende Dateien definierbaren<br />
Filter lassen sich Ereignisse gezielt in die Haupt-Datenbank<br />
importieren.<br />
Hinweis 2: Weitere Informationen zur Festlegung <strong>von</strong> Filterbedingungen<br />
erhalten Sie unter „Konfigurieren der Filterbedingungen"<br />
in diesem Kapitel.<br />
6. Legen Sie fest, ob die Wartungsaufgabe nach Zeitplan oder sofort<br />
und nur einmalig durchzuführen ist.<br />
7. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung<br />
abzuschließen.<br />
Hinweis: Bei erfolgreich importierten Dateien wird die<br />
Dateierweiterung <strong>von</strong> EXP in IMP geändert.<br />
96 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Wartungsaufgabe "Delete data"<br />
So entfernen Sie Ereignisse aus der Haupt-Datenbank:<br />
1. Starten Sie den Assistenten für neue Wartungsaufgaben ("New job<br />
wizard"), und wählen Sie den Aufgabentyp Delete data.<br />
Hinweis: Wichtige Ereignisse sollten durch die Wartungsaufgaben<br />
Move to database oder Export to file gesichert werden, bevor die<br />
Aufgabe Delete data durchgeführt wird. Gelöschte Ereigniseinträge<br />
können NICHT wiederhergestellt werden.<br />
Screenshot 89 – Assistent zum Einrichten einer neuen Wartungsaufgabe: Wartungsaufgabe<br />
"Delete data"<br />
2. Legen Sie fest, ob Ereignisse aus der Haupt- oder Backend-<br />
Datenbank gelöscht werden sollen.<br />
3. Legen Sie mit der Option Delete events older than the specified<br />
period fest, wie alt ein Ereignis sein muss (älter als der angegebene<br />
Wert), um gelöscht zu werden.<br />
4. Klicken Sie auf die Schaltfläche Next, um weitere<br />
Filterbedingungen für Ereignisdaten zu definieren.<br />
5. Die weiter festlegbaren Bedingungen sind aufgabenspezifisch.<br />
Sollten Sie keine weiteren Filterbedingungen angeben, werden alle<br />
Ereignisse, die älter sind als <strong>von</strong> Ihnen festgelegt, gelöscht. Klicken<br />
Sie auf die Schaltfläche Next.<br />
Hinweis: Weitere Informationen zur Festlegung <strong>von</strong> Filterbedingungen<br />
erhalten Sie unter „Konfigurieren der Datenfilter-<br />
Bedingungen" in diesem Kapitel.<br />
6. Legen Sie fest, ob die Wartungsaufgabe nach Zeitplan oder sofort<br />
und nur einmalig durchzuführen ist.<br />
7. Klicken Sie auf die Schaltfläche Finish, um die Konfigurierung der<br />
Wartungsaufgabe zu beenden.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 97
Konfigurieren der Datenfilter-Bedingungen<br />
Durch das Einrichten <strong>von</strong> Filtern im Rahmen der Wartungsaufgaben<br />
können Ereignisdaten noch gezielter bearbeitet werden. So haben Sie<br />
die Möglichkeit, nur solche Ereignisse verarbeiten, verschieben,<br />
exportieren, löschen oder importieren zu lassen, die mit den<br />
angegebenen Filterbedingungen übereinstimmen.<br />
Filter können für einen oder mehrere der folgenden Protokolltypen<br />
eingerichtet werden:<br />
• Windows-Ereignisprotokolle<br />
• W3C-Protokolle<br />
• Syslog-Nachrichten<br />
Screenshot 90 – Festlegung zu bearbeitender Protokolltypen<br />
Um genauer zu definieren, welche Ereignisse durch die einzelnen<br />
Wartungsaufgaben verarbeitet werden sollen, klicken Sie im<br />
Assistenten "New job wizard" auf die Schaltfläche Filter neben dem<br />
jeweiligen Protokolltyp.<br />
Beispiel: Filter für Windows-Ereignisprotokolle<br />
Im folgenden Beispiel sollen durch die Festlegung <strong>von</strong> Bedingungen<br />
bestimmte Ereignisse aus dem Sicherheitsprotokoll <strong>von</strong> Windows<br />
exportiert werden:<br />
• Protokolltyp: Sicherheitsprotokoll<br />
• Ereignis-ID: 540 – erfolgreiche Anmeldung<br />
• Benutzer: Administrator<br />
• Ereignistyp: Fehler<br />
Die hierfür notwendigen Filtereinstellungen sind wie im folgenden<br />
Screenshot dargestellt zu konfigurieren:<br />
98 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 91 – Bearbeiten eines Filters für Windows-Ereignisse:<br />
Klicken Sie auf die Schaltfläche OK, um die Filtereinstellungen zu<br />
bestätigen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 99
Erweiterte Filterbedingungen<br />
Screenshot 92 – Erweiterte Filterbedingungen<br />
Über den Dialog Edit filter lassen sich per Mausklick auf die Schaltfläche<br />
Advanced erweiterte Filterbedingungen festlegen. Sie erlauben<br />
es Ihnen, Filter auf alle <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> verwendeten<br />
Ereignis-Datenfelder anzuwenden.<br />
Hinweis: Filter lassen sich auch auf bereits erstellte Wartungsaufgaben<br />
anwenden. Weitere Informationen hierzu erhalten Sie unter<br />
"Bearbeiten einer Wartungsaufgabe".<br />
100 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Anzeigen geplanter Wartungsaufgaben<br />
Screenshot 93 – Anzeigen geplanter Wartungsaufgaben<br />
So zeigen Sie geplante Wartungsaufgaben an:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Navigationsbereich auf den Knoten Database<br />
Operations.<br />
4. Eine Übersicht aller geplanten Wartungsaufgaben wird im rechten<br />
Fenster angzeigt.<br />
Statusanzeige zu Wartungsprozessen<br />
Screenshot 94 – Fenster "Maintenance Jobs"<br />
Der Fortschritt aktuell durchgeführter Wartungsaufgaben kann über<br />
den Status-Monitor abgerufen werden.<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Status.<br />
2. Wählen Sie die Ansicht Job Activity.<br />
3. Der Status aktueller Wartungsaufgaben kann im Bereich<br />
Maintenance Jobs abgerufen werden.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 101
Bearbeiten einer Wartungsaufgabe<br />
So ändern Sie die Einstellungen <strong>von</strong> geplanten Wartungsaufgaben:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Navigationsbereich auf den Knoten Database<br />
Operations.<br />
4. Klicken Sie im rechten Fenster mit der rechten Maustaste auf die zu<br />
bearbeitende Wartungsaufgabe, und wählen Sie im Kontextmenü<br />
Properties.<br />
Screenshot 95 – Änderung <strong>von</strong> Einstellungen einer geplanten Wartungsaufgabe<br />
5. Konfigurieren Sie die Parameter wie oben beschrieben:<br />
• Über den Reiter General lassen sich folgende Einstellungen<br />
ändern:<br />
o<br />
o<br />
Speicherort <strong>von</strong> Dateien; Datenbanken<br />
Zeitliche Vorgaben für zu verarbeitende Ereignisse<br />
• Über den Reiter Data lassen sich Filterbedingungen ändern.<br />
• Der Reiter Data Protection dient der Bearbeitung <strong>von</strong> Passwort-<br />
Einstellungen.<br />
102 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Bearbeiten der Priorität einer Wartungsaufgabe<br />
Screenshot 96 – Priorität einer Wartungsaufgabe<br />
Jeder erstellten Wartungsaufgabe wird eine Priorität zugewiesen.<br />
Diese richtet sich nach der Reihenfolge, in der die Aufgaben erstellt<br />
werden. Die zu Beginn erstellte Aufgabe erhält somit die Priorität 1,<br />
die drauf folgende die Priorität 2 usw. Die Abfolge der auszuführenden<br />
Aufgaben richtet sich nach deren Priorität.<br />
So erhöhen oder senken Sie die Priorität einer Wartungsaufgabe:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Navigationsbereich auf den Knoten Database<br />
Operations.<br />
4. Klicken Sie im rechten Fenster mit der rechten Maustaste auf die zu<br />
bearbeitende Wartungsaufgabe. Wählen Sie im Kontextmenü<br />
Increase Priority zum Erhöhen oder Decrease Priority zum Senken<br />
der Priorität.<br />
Entfernen einer Wartungsaufgabe<br />
So löschen Sie noch nicht durchgeführte Wartungsaufgaben:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Navigationsbereich auf den Knoten Database<br />
Operations.<br />
4. Klicken Sie im rechten Fenster mit der rechten Maustaste auf die zu<br />
löschende Wartungsaufgabe, und wählen Sie im Kontextmenü Delete.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Das Modul Database Operations • 103
Wichtiger Hinweis: Wartungsaufgaben sollten mit Vorsicht gelöscht<br />
werden, da dieser Vorgang sich indirekt auf Ereignisdaten auswirkt.<br />
Beispiel: Einer Aufgabe "Export to file" ist eine höhere Priorität<br />
zugewiesen worden als der Aufgabe "Delete data" zum Löschen <strong>von</strong><br />
Daten. Wird die Aufgabe "Export to file" gelöscht, kann die<br />
nachfolgende Aufgabe dazu führen, dass Ereignisdaten entfernt<br />
werden, ohne dass diese zuvor gesichert worden sind.<br />
104 • Das Modul Database Operations <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Anpassen <strong>von</strong> Regeln zur<br />
Ereignisverarbeitung<br />
Einführung<br />
Regeln zur Ereignisverarbeitung haben folgende Aufgaben:<br />
• Klassifizierung <strong>von</strong> verarbeiteten Ereignissen<br />
• Herausfilterung <strong>von</strong> sich wiederholenden oder unerwünschten<br />
Ereignissen<br />
• Versand <strong>von</strong> Warnmeldungen per E-Mail, SMS und Netzwerk bei<br />
wichtigen Ereignissen<br />
• Durchführung <strong>von</strong> Gegenmaßnahmen durch das Ausführen <strong>von</strong><br />
Skripten und ausführbaren Dateien bei wichtigen Ereignissen<br />
Im Lieferumfang <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> sind vordefinierte Regeln<br />
enthalten, mit denen sich Ereignisse ohne großen Konfigurationsaufwand<br />
bearbeiten lassen. Diese Standardregeln lassen sich an<br />
eigene Anforderungen anpassen. Ebenso können Sie neue Regeln für<br />
alle unterstützten Protokolltypen erstellen (Windows-Ereignisprotokolle,<br />
W3C-Protokolle und Syslog-Nachrichten).<br />
<strong>GFI</strong> <strong>EventsManager</strong> verwaltet Regeln zur Ereignisverarbeitung in<br />
Regelsätzen, die wiederum in speziellen Regelsatz-Ordnern abgelegt<br />
werden. Für bereits mitgelieferte Standardregeln bestehen die<br />
nachfolgenden Regelsatz-Ordner:<br />
Regelsatz-Ordner<br />
Noise Reduction<br />
(Noise-<br />
Reduzierung)<br />
Security (Sicherheit)<br />
System Health<br />
(Systemzustand)<br />
Security<br />
Applications<br />
(Sicherheitsanwendungen)<br />
Infrastructure<br />
Server<br />
(Infrastruktur-<br />
Server)<br />
Database Server<br />
(Datenbank-Server)<br />
Beschreibung<br />
Regeln entfernen sich wiederholende und<br />
irrelevante Ereignisse aus Protokollen<br />
Regeln verarbeiten Sicherheits- und<br />
Systemprotokolle<br />
Regeln verarbeiten Anwendungs- und<br />
Systemprotokolle<br />
Regeln verarbeiten Anwendungs-,<br />
Sicherheits- und Systemprotokolle<br />
Regeln verarbeiten Anwendungs-, DNS-<br />
Server- und Systemprotokolle<br />
Regeln verarbeiten Anwendungsprotokolle<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung • 105
Web Server<br />
(Webserver)<br />
Print Server<br />
(Drucker-Server)<br />
Terminal Services<br />
(Terminal-Dienste)<br />
Linux/Unix<br />
Cisco PIX & ASA<br />
Regeln verarbeiten Anwendungs- und<br />
Systemprotokolle<br />
Regeln verarbeiten Anwendungs- und<br />
Systemprotokolle<br />
Regeln verarbeiten Ereignisse <strong>von</strong> Terminal-<br />
Gerätetreibern<br />
Regeln verarbeiten Syslog-Ereignisse<br />
Regeln verarbeiten Ereignisse <strong>von</strong> Cisco<br />
PIX-Firewalls und Cisco Adaptive Security<br />
Applicances<br />
Erstellen eines neuen Regelsatz-Ordners<br />
Screenshot 97 – Auswahl <strong>von</strong> Protokolltypen<br />
So erstellen Sie einen neuen Regelsatz-Ordner:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event<br />
Processing Rules.<br />
3. Wählen Sie aus der angezeigten Drop-Down-Liste den Protokolltyp<br />
aus, für den der Regelsatz-Ordner erstellt werden soll.<br />
4. Wählen Sie im linken Navigationsbereich unter Common Tasks die<br />
Option Create folder aus.<br />
5. Geben Sie dem neuen Regelsatz-Ordner einen eindeutigen<br />
Namen.<br />
Umbenennen und Löschen <strong>von</strong> Ordnern<br />
Klicken Sie mit der rechten Maustaste auf den Regelsatz-Ordner, und<br />
wählen Sie zum Umbenennen des Ordners Rename bzw. zum<br />
Löschen Delete.<br />
Hinweis: Durch das Löschen eines Regelsatz-Ordners werden alle<br />
darin enthaltenen Regeln und Regelsätze gelöscht.<br />
Erstellen eines neuen Regelsatzes<br />
So erstellen Sie einen neuen Regelsatz:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event<br />
Processing Rules.<br />
106 • Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
3. Wählen Sie aus der angezeigten Drop-Down-Liste den Protokolltyp<br />
aus, für den der Regelsatz erstellt werden soll.<br />
4. Klicken Sie mit der rechten Maustaste auf den Ordner, in dem der<br />
neue Regelsatz erstellt werden soll, und wählen Sie im Kontextmenü<br />
Create new rule set… aus.<br />
Screenshot 98 – Erstellen eines neuen Regelsatzes<br />
5. Geben Sie dem Regelsatz einen Namen und eine Beschreibung.<br />
6. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Bearbeiten eines Regelsatzes<br />
So ändern Sie die Einstellungen eines Regelsatzes:<br />
1. Klicken Sie mit der rechten Maustaste auf den zu bearbeitenden<br />
Regelsatz, und wählen Sie im Kontextmenü Properties.<br />
2. Führen Sie die gewünschten Änderungen durch, und klicken Sie<br />
auf die Schaltfläche OK, um die Einstellungen zu speichern.<br />
Löschen eines Regelsatzes<br />
Klicken Sie mit der rechten Maustaste auf einen Regelsatz, und<br />
wählen Sie im Kontextmenü Delete, um ihn zu löschen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung • 107
Erstellen einer neuen Regel für Windows-Ereignisprotokolle<br />
So erstellen Sie eine neue Regel, die nur für Windows-<br />
Ereignisprotokolle gilt:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event<br />
Processing Rules.<br />
Screenshot 99 – Auswahl des Protokolltyps<br />
3. Wählen Sie aus der angezeigten Drop-Down-Liste den Eintrag<br />
Windows Event Logs aus.<br />
4. Klicken Sie mit der rechten Maustaste auf den Regelsatz, für den<br />
die neue Regel erstellt werden soll, und wählen Sie im Kontextmenü<br />
Create new rule…<br />
5. Geben Sie den Namen und die Beschreibung der neuen Regel an.<br />
Klicken Sie auf die Schaltfläche Next, um mit der Konfigurierung<br />
fortzufahren.<br />
Screenshot 100 – <strong>GFI</strong> <strong>EventsManager</strong> Protokollauswahl<br />
6. Wählen Sie die Ereignisprotokolle aus, für die die Regel gelten soll,<br />
und klicken Sie auf die Schaltfläche Next.<br />
108 • Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 101 – Einrichtung der Filterbedingungen<br />
7. Richten Sie die Filterbedingungen der Regel ein. Soll eine Regel für<br />
alle Ereignisse gelten, lassen Sie das Feld Event IDs frei. Klicken Sie<br />
auf die Schaltfläche Next.<br />
Hinweis: Weitere Informationen zur Festlegung erweiterter Filterbedingungen<br />
erhalten Sie im Kapitel "Erweiterte Ereignisfilter-<br />
Einstellungen".<br />
Screenshot 102 – Eintritt und Klassifizierung eines Ereignisses<br />
8. Legen Sie über The rule applies if the event happens fest, wann<br />
die Regel zur Anwendung kommen soll (jederzeit, während oder<br />
außerhalb der Arbeitszeit).<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung • 109
Hinweis: Die Arbeitszeit richtet sich nach der Betriebszeit, die für eine<br />
Ereignisquelle definiert wurde. Weitere Informationen zur Festlegung<br />
der Betriebszeit finden Sie im Kapitel "Konfigurieren <strong>von</strong> Ereignisquellen"<br />
unter "Konfigurieren der Betriebszeit einer Ereignisquelle".<br />
9. Legen Sie mit Classify the event as die Klassifizierung eines<br />
Ereignisses fest ("kritisch", "hoch", "mittel", "niedrig" oder "Noise"), das<br />
die Bedingungen dieser Regel erfüllt. Klicken Sie auf die Schaltfläche<br />
Next.<br />
Screenshot 103 – Auswahl einer Aktion<br />
10. Legen Sie fest, welche Aktionen <strong>von</strong> der Regel durchgeführt<br />
werden sollen. Das Ereignis kann ignoriert werden (Ignore the<br />
event), es kann eine klassifizierungsabhängige Standardaktion<br />
erfolgen (Use the default classification actions), oder Sie wählen<br />
ein anpassbares Aktionsprofil (Use the following actions profile)<br />
aus.<br />
11. Klicken Sie auf die Schaltfläche Next, um die Konfigurierung<br />
abzuschließen. Klicken Sie auf die Schaltfläche Finish, um die<br />
Einstellungen zu speichern.<br />
Hinweis: Neu erstellte Regeln sind standardmäßig deaktiviert und<br />
müssen manuell aktiviert werden. Weitere Informationen zur<br />
Aktivierung <strong>von</strong> Regeln zur Ereignisverarbeitung erhalten Sie im<br />
Kapitel "Erfassen und Verarbeiten <strong>von</strong> Windows-Ereignisprotokollen".<br />
110 • Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Erstellen einer neuen Regel für W3C-Protokolle<br />
So erstellen Sie eine neue Regel, die nur für W3C-Ereignisprotokolle<br />
gilt:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event<br />
Processing Rules.<br />
3. Wählen Sie aus der Drop-Down-Liste den Eintrag W3C Logs aus.<br />
4. Klicken Sie mit der rechten Maustaste auf den Regelsatz, für den<br />
die neue Regel erstellt werden soll, und wählen Sie im Kontextmenü<br />
Create new rule…<br />
5. Geben Sie den Namen und die Beschreibung der neuen Regel an.<br />
Klicken Sie auf die Schaltfläche Next, um mit der Konfigurierung<br />
fortzufahren.<br />
Screenshot 104 – Auswahl des W3C-Protokolls<br />
6. Klicken Sie auf die Schaltfläche Add. Geben Sie den Dateipfad des<br />
W3C-Protokolls an, für das die Regel gelten soll. Wird kein Pfad<br />
angegeben, wird die Regel auf alle W3C-Protokolle angewendet.<br />
Klicken Sie auf die Schaltfläche Next.<br />
Hinweis: Es lassen sich mehrere Dateipfade angeben.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung • 111
Screenshot 105 – Konfigurierung <strong>von</strong> Filterbedingungen<br />
7. Klicken Sie auf die Schaltfläche Add, um Bedingungen für die<br />
Ereignisfilterung festzulegen. Wiederholen Sie diesen Schritt, bis alle<br />
Bedingungen festgelegt sind. Klicken Sie auf die Schaltfläche Next.<br />
Screenshot 106 – Eintritt und Klassifizierung eines Ereignisses<br />
112 • Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
8. Legen Sie über The rule applies if the event happens fest, wann<br />
die Regel zur Anwendung kommen soll (jederzeit, während oder<br />
außerhalb der regulären Arbeitszeit).<br />
Hinweis: Die Arbeitszeit richtet sich nach der Betriebszeit, die für eine<br />
Ereignisquelle definiert wurde. Weitere Informationen zur Festlegung<br />
der Betriebszeit finden Sie im Kapitel "Konfigurieren <strong>von</strong> Ereignisquellen"<br />
unter "Konfigurieren der Betriebszeit einer Ereignisquelle".<br />
9. Legen Sie mit Classify the event as die Klassifizierung eines<br />
Ereignisses fest ("kritisch", "hoch", "mittel", "niedrig" oder "Noise"), das<br />
die Bedingungen dieser Regel erfüllt. Klicken Sie auf die Schaltfläche<br />
Next.<br />
Screenshot 107 – Auswahl einer Aktion<br />
10. Legen Sie fest, welche Aktionen <strong>von</strong> der Regel durchgeführt<br />
werden sollen. Das Ereignis kann ignoriert werden (Ignore the<br />
event), es kann eine klassifizierungsabhängige Standardaktion<br />
erfolgen (Use the default classification actions), oder Sie wählen<br />
ein anpassbares Aktionsprofil (Use the following actions profile)<br />
aus.<br />
11. Klicken Sie auf die Schaltfläche Next, um die Konfigurierung<br />
abzuschließen. Klicken Sie auf die Schaltfläche Finish, um die<br />
Einstellungen zu speichern.<br />
Hinweis: Neu erstellte Regeln sind standardmäßig deaktiviert und<br />
müssen manuell aktiviert werden. Weitere Informationen zur<br />
Aktivierung <strong>von</strong> Regeln zur Ereignisverarbeitung erhalten Sie im<br />
Kapitel "Erfassen und Verarbeiten <strong>von</strong> W3C-Protokollen".<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung • 113
Erstellen einer neuen Syslog-Regel<br />
So erstellen Sie eine neue Regel, die nur zur Verarbeitung <strong>von</strong><br />
Syslog-Nachrichten gilt:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event<br />
Processing Rules.<br />
3. Wählen Sie aus der Drop-Down-Liste den Eintrag Syslog aus.<br />
4. Klicken Sie mit der rechten Maustaste auf den Regelsatz, für den<br />
die neue Regel erstellt werden soll, und wählen Sie im Kontextmenü<br />
Create new rule…<br />
5. Geben Sie den Namen und die Beschreibung der neuen Regel an.<br />
Klicken Sie auf die Schaltfläche Next, um mit der Konfigurierung<br />
fortzufahren.<br />
Screenshot 108 – Konfigurierung <strong>von</strong> Filterbedingungen<br />
6. Geben Sie alle im Rahmen dieser Regel zu beachtenden<br />
Filterbedingungen an. Klicken Sie auf die Schaltfläche Next,<br />
nachdem Sie alle Bedingungen festgelegt haben.<br />
Hinweis: Weitere Informationen zur Festlegung erweiterter<br />
Filterbedingungen erhalten Sie im Kapitel "Erweiterte Ereignisfilter-<br />
Einstellungen".<br />
114 • Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 109 – Eintritt und Klassifizierung eines Ereignisses<br />
7. Legen Sie über The rule applies if the event happens fest, wann<br />
die Regel zur Anwendung kommen soll (jederzeit, während oder<br />
außerhalb der regulären Arbeitszeit).<br />
Hinweis: Die Arbeitszeit richtet sich nach der Betriebszeit, die für eine<br />
Ereignisquelle definiert wurde. Weitere Informationen zur Festlegung<br />
der Betriebszeit finden Sie im Kapitel "Konfigurieren <strong>von</strong> Ereignisquellen"<br />
unter "Konfigurieren der Betriebszeit einer Ereignisquelle".<br />
8. Legen Sie mit Classify the event as die Klassifizierung eines<br />
Ereignisses fest ("kritisch", "hoch", "mittel", "niedrig"), das die<br />
Bedingungen dieser Regel erfüllt. Klicken Sie auf die Schaltfläche<br />
Next.<br />
Screenshot 110 – Auswahl einer Aktion<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung • 115
9. Legen Sie fest, welche Aktionen <strong>von</strong> der Regel durchgeführt<br />
werden sollen. Das Ereignis kann ignoriert werden (Ignore the<br />
event), es kann eine klassifizierungsabhängige Standardaktion<br />
erfolgen (Use the default classification actions), oder Sie wählen<br />
ein anpassbares Aktionsprofil (Use the following actions profile)<br />
aus.<br />
10. Klicken Sie auf die Schaltfläche Next, um die Konfigurierung<br />
abzuschließen. Klicken Sie auf die Schaltfläche Finish, um die<br />
Einstellungen zu speichern.<br />
Hinweis: Neu erstellte Regeln sind standardmäßig deaktiviert und<br />
müssen manuell aktiviert werden. Weitere Informationen zur<br />
Aktivierung <strong>von</strong> Regeln zur Ereignisverarbeitung erhalten Sie im<br />
Kapitel "Erfassen und Verarbeiten <strong>von</strong> Syslog-Nachrichten".<br />
Ändern der Regeleigenschaften<br />
Screenshot 111 – Eigenschaften einer Regel zur Ereignisverarbeitung<br />
So ändern Sie die Eigenschaften einer Regel zur Ereignisverarbeitung:<br />
1. Klicken Sie mit der rechten Maustaste auf die zu bearbeitende<br />
Regel, und wählen Sie im Kontextmenü Properties. Der Dialog zur<br />
Anpassung der Regeleigenschaften wird aufgerufen.<br />
2. Über folgende Reiter lassen sich die Regel-Parameter ändern:<br />
• General – Erlaubt die Festlegung allgemeiner Regeleigenschaften<br />
wie Name und Klassifizierung.<br />
116 • Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
• Logs – Nur für Regeln zu W3C-Protokollen aufrufbar. Geben Sie<br />
die W3C-Protokolle an, auf die diese Regel angewendet werden<br />
soll.<br />
• Event Logs – Nur für Regeln zu Windows-Ereignisprotokollen<br />
aufrufbar. Geben Sie an, welche Ereignisse mit dieser Regel<br />
verarbeitet werden sollen.<br />
• Conditions – Legen Sie Bedingungen zur Ereignisfilterung fest.<br />
• Actions – Geben Sie an, welche Warnungen und Aktionen<br />
aufgrund dieser Regel erfolgen sollen.<br />
• Threshold – Geben Sie an, wie oft ein Ereignis erkannt worden<br />
sein muss, bevor Warnungen und Aktionen erfolgen. Hierdurch<br />
lassen sich durch Noise ausgelöste Fehlalarme vermeiden.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung • 117
Erweiterte Einstellungen zur Ereignisfilterung<br />
Administratoren stehen zur differenzierteren Ereignisfilterung weitere<br />
Detaileinstellungen zur Verfügung. Diese sind nur für Windows-<br />
Ereignisse und Syslog-Nachrichten nutzbar.<br />
Bedingungen für Windows-Ereignisse<br />
Feld "Event IDs":<br />
Folgende Parameter können über das Feld Event IDs angegeben<br />
werden:<br />
Parameter-Art<br />
Einzelereignis<br />
Lose Folge <strong>von</strong><br />
Ereignissen<br />
Ereignisbereich<br />
Variable Ereignisangabe<br />
Beispiel:<br />
Felder "Source", "Category" und "User"<br />
Folgende Parameter können über die Felder Source, Category und<br />
User angegeben werden:<br />
Parameter-Art<br />
Name einer Einzelquelle<br />
Mehrere Quellen<br />
Platzhalter (% und *)<br />
Syslogspezifische Kategorien<br />
Felder "Message" und "Process":<br />
Beispiel:<br />
Folgende Parameter können über die Felder Message und Process<br />
angebenen werden:<br />
Parameter-Art<br />
Einzelne Nachricht<br />
Mehrere Nachrichten<br />
Platzhalter (% und *)<br />
Beispiel:<br />
118 • Anpassen <strong>von</strong> Regeln zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Konfigurieren <strong>von</strong> Benutzern und<br />
Gruppen<br />
Einführung<br />
Screenshot 112 – Konfigurierung <strong>von</strong> Benutzern und Gruppen<br />
Bei Auslösung einer Warnung erfolgt deren Versand (z. B. per E-Mail<br />
oder SMS) unter Berücksichtigung zuvor definierter Benutzereigenschaften.<br />
In den Benutzereigenschaften sind die Kontaktdaten und Arbeitszeiten<br />
jedes für den Erhalt <strong>von</strong> Warnungen vorgesehenen Empfängers festgelegt.<br />
Unter Berücksichtigung dieser Angaben bestimmt<br />
<strong>GFI</strong> <strong>EventsManager</strong> automatisch die Art der während und außerhalb<br />
der angegebenen Arbeitszeiten zu verschickenden Warnung.<br />
Empfänger <strong>von</strong> Warnungen lassen sich mit Hilfe <strong>von</strong> Gruppen<br />
verwalten. Warnoptionen können hierdurch übergreifend und<br />
zeitsparend für alle Mitglieder der Gruppe definiert werden.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Benutzern und Gruppen • 119
Erstellen eines neuen Benutzers<br />
So erstellen Sie einen neuen Benutzer:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf<br />
Options.<br />
3. Erweitern Sie im linken Navigationsbereich die Struktur des<br />
Knotens Users and Groups. Klicken Sie mit der rechten Maustaste<br />
auf den Unterknoten Users, und wählen Sie im Kontextmenü Create<br />
user ..., um den Benutzer zu erstellen.<br />
4. Legen Sie die Benutzereigenschaften wie gewünscht fest. Weitere<br />
Informationen hierzu erhalten Sie im Kapitel "Erste Schritte" unter<br />
"Konfigurieren des Administratorkontos <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>".<br />
Ändern <strong>von</strong> Benutzereigenschaften<br />
So ändern Sie die Eigenschaften eines Benutzers:<br />
1. Erweitern Sie im linken Navigationsbereich die Struktur des<br />
Knotens Users and Groups. Klicken Sie auf den Knoten Users.<br />
2. Klicken Sie mit der rechten Maustaste auf den zu bearbeitenden<br />
Benutzer, und wählen Sie im Kontextmenü Properties.<br />
3. Führen Sie die gewünschten Änderungen durch, und klicken Sie<br />
auf die Schaltfläche OK, um die Einstellungen zu speichern.<br />
Löschen <strong>von</strong> Benutzern<br />
So löschen Sie einen Benutzer:<br />
1. Erweitern Sie im linken Navigationsbereich die Struktur des<br />
Knotens Users and Groups. Klicken Sie auf den Knoten Users.<br />
2. Klicken Sie im rechten Fenster mit der rechten Maustaste auf den<br />
zu löschenden Benutzer, und wählen Sie im Kontextmenü Delete.<br />
120 • Konfigurieren <strong>von</strong> Benutzern und Gruppen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Konfigurieren <strong>von</strong> Gruppen<br />
Screenshot 113 –Konfigurierung <strong>von</strong> Gruppen<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf<br />
Options.<br />
3. Erweitern Sie im linken Navigationsbereich die Struktur des<br />
Knotens Users and Groups. Klicken Sie mit der rechten Maustaste<br />
auf den Unterknoten Groups, und wählen Sie im Kontextmenü Create<br />
group ..., um die Gruppe zu erstellen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Konfigurieren <strong>von</strong> Benutzern und Gruppen • 121
Screenshot 114 – Einrichtung einer neuen Gruppe<br />
4. Geben Sie der Gruppe einen Namen.<br />
5. Klicken Sie auf die Schaltfläche Add, um der Gruppe Benutzer<br />
hinzuzufügen.<br />
6. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Ändern <strong>von</strong> Eigenschaften einer Benutzergruppe<br />
So ändern Sie die Eigenschaften einer Benutzergruppe:<br />
1. Erweitern Sie im linken Navigationsbereich die Struktur des<br />
Knotens Users and Groups. Klicken Sie auf den Knoten Groups.<br />
2. Klicken Sie im rechten Fenster mit der rechten Maustaste auf die zu<br />
bearbeitende Gruppe, und wählen Sie im Kontextmenü Properties.<br />
3. Führen Sie die gewünschten Änderungen durch, und klicken Sie<br />
auf die Schaltfläche OK, um die Einstellungen zu speichern.<br />
Löschen <strong>von</strong> Benutzergruppen<br />
So löschen Sie eine Benutzergruppe:<br />
1. Erweitern Sie im linken Navigationsbereich die Struktur des<br />
Knotens Users and Groups. Klicken Sie auf den Knoten Groups.<br />
2. Klicken Sie im rechten Fenster mit der rechten Maustaste auf die zu<br />
löschende Gruppe, und wählen Sie im Kontextmenü Delete.<br />
122 • Konfigurieren <strong>von</strong> Benutzern und Gruppen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Ergänzende Optionen<br />
Befehlszeilen-Tools<br />
<strong>GFI</strong> <strong>EventsManager</strong> bietet drei Befehlszeilen-Tools für den Export und<br />
Import <strong>von</strong> Daten:<br />
• Exportdata.exe: Exportiert Daten aus einer Datenbank <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> 7.1 mit Hilfe des Moduls Database Operations.<br />
• Importdata.exe: Importiert Daten in eine Datenbank <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> 7.1 mit Hilfe des Moduls Database Operations.<br />
• Importsettings.exe: Importiert Konfigurationseinstellungen aus<br />
einem Ordner oder einer konfigurationsspezifischen Export-Datei<br />
(.esmbkp). Dieses Tool dient vorrangig der Wiederherstellung<br />
zuvor gesicherter Einstellungen.<br />
Exportdata.exe<br />
Mit diesem Tool werden Daten aus der <strong>GFI</strong> <strong>EventsManager</strong>-<br />
Datenbank in eine Binärdatei exportiert.<br />
Verwendung:<br />
exportdata.exe <br />
Parameter<br />
/folder:<br />
/period:<br />
/password:<br />
<br />
<br />
Datei-<br />
Passwort<br />
Erforderlich/<br />
optional<br />
Erforderlich<br />
Optional<br />
Optional<br />
Beschreibung<br />
Gibt das Verzeichnis zur Speicherung der<br />
Datendatei an.<br />
Exportiert Ereignisse, die älter sind als<br />
angegeben (in Stunden). Standard: 7 Tage.<br />
Legt ein Passwort für die Verschlüsselung fest.<br />
/delete Optional Löscht die Ereignisse nach dem Export.<br />
/movetodb:<br />
<br />
Optional<br />
Verschiebt Ereignisse in eine andere Datenbank<br />
auf demselben Server. Bei Nichtangabe des<br />
Namens wird die Backup-Datenbank gewählt.<br />
Hinweis: Parameter mit Leerzeichen müssen in doppelten<br />
Anführungsstrichen (") stehen.<br />
Beispiel:<br />
Exportdata.exe /folder:c:\exportfiles /period:240 /password:aip112sK<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Ergänzende Optionen • 123
Bei diesem Beispiel erfolgt der Datenexport wie folgt:<br />
In ein Verzeichnis mit dem Namen "exportfiles" auf Laufwerk "c:\"<br />
Es werden Ereignisse exportiert, die alter als 10 Tage sind (240<br />
Stunden)<br />
Die Daten werden mit dem Passwort "aip112sK" geschützt.<br />
Importdata.exe<br />
Mit diesem Tool werden in Binärdateien gesicherte Daten in die<br />
<strong>GFI</strong> <strong>EventsManager</strong>-Datenbank importiert.<br />
Verwendung:<br />
importdata.exe <br />
Parameter<br />
/folder:<br />
/password:<br />
<br />
Datei-<br />
Passwort<br />
/dbserver:<br />
<br />
/dbname:<br />
<br />
/dbuser:<br />
<br />
/dbpass:<br />
<br />
Erforderlich/ Beschreibung<br />
optional<br />
Erforderlich Gibt das Verzeichnis zur Speicherung der<br />
Datendatei an.<br />
Optional<br />
Optional<br />
Optional<br />
Optional<br />
Optional<br />
Gibt das Passwort zur Freigabe der Datei an.<br />
Gibt den Server mit der Ziel-Datenbank an. Bei<br />
Nichtangabe werden die in <strong>GFI</strong> <strong>EventsManager</strong><br />
definierten Datenbankinformationen verwendet.<br />
Gibt den Namen der Ziel-Datenbank an. Bei<br />
Nichtangabe wird der in <strong>GFI</strong> <strong>EventsManager</strong><br />
definierte Datenbank-Name verwendet.<br />
Gibt den Benutzernamen zur Herstellung der<br />
Datenbank-Verbindung an. Bei Nichtangabe wird<br />
die Windows-Authentifizierung verwendet.<br />
Gibt das Passwort für die Verbindungsherstellung<br />
mit dem Ziel-Server/der Ziel-Datenbank an. Bei<br />
Nichtangabe wird das Passwort ignoriert.<br />
Hinweis: Parameter mit Leerzeichen müssen in doppelten<br />
Anführungsstrichen (") stehen.<br />
Beispiel:<br />
importdata.exe /folder:c:\exportfiles /password:aip112sK<br />
/dbserver:192.168.3.55 /dbname:mainesmdb /dbuser:sa<br />
/dbpass:sapwd<br />
Bei diesem Beispiel erfolgt der Datenimport wie folgt:<br />
Aus einem Verzeichnis mit dem Namen "exportfiles" auf Laufwerk "c:\"<br />
Die Daten werden mit dem Passwort "aip112sK" freigegeben.<br />
Es erfolgt die Speicherung in der Datenbank auf dem Server mit der<br />
IP-Adresse 192.168.3.55. Der Datenbank-Name lautet "mainesmdb",<br />
und folgende Zugangsdaten sind erforderlich: Benutzername: "sa" und<br />
Passwort "sapwd".<br />
124 • Ergänzende Optionen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Importsettings.exe<br />
Mit diesem Tool können zuvor exportierte Konfigurationseinstellungen<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> importiert werden.<br />
Verwendung:<br />
importsettings.exe <br />
Parameter<br />
/operation:<br />
<br />
/destination:<br />
<br />
/Sourcefile:<br />
<br />
/Sourcefolder:<br />
<br />
Erforderlich/<br />
optional<br />
Erforderlich<br />
Beschreibung<br />
Gibt den durchzuführenden Vorgang an (Import<br />
eines Verzeichnisses [importfolder] oder einer<br />
Datei [importfile])<br />
Optional Gibt das Zielverzeichnis an, in das die<br />
Konfigurationsdaten importiert werden sollen.<br />
Optional<br />
Optional<br />
Gibt den Namen der Datei mit den exportierten<br />
Konfigurationsdaten <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> an.<br />
Gibt den Namen des Verzeichnisses mit den<br />
exportierten Konfigurationsdaten <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> an.<br />
Hinweis: Parameter mit Leerzeichen müssen in doppelten<br />
Anführungsstrichen (") stehen.<br />
Beispiel:<br />
importdata.exe /operation:importfolder: /destination: c:\esm\data<br />
/sourcefolder: c:\esm\old /<br />
Bei diesem Beispiel erfolgt der Datenimport wie folgt:<br />
Per Vorgang "importfolder" werden Konfigurationsdaten aus dem<br />
Verzeichnis "c:\esm\old" in das Verzeichnis "c:\esm\data" importiert.<br />
Anpassen <strong>von</strong> eindeutigen Kennungen<br />
Die eindeutige Kennung einer Instanz <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> lässt<br />
sich ebenfalls per Befehlszeile verändern. Hierdurch können Sie<br />
dieselben Konfigurationseinstellungen importieren, ohne doppelte<br />
Instanzkennungen zu erhalten. Weitere Informationen erhalten Sie im<br />
Kapitel "Das Modul Datebase Operations" unter "Konfigurieren der<br />
Datenbankwartung per Database Operations".<br />
Fügen Sie die folgende Option den Befehlszeilenparametern <strong>von</strong><br />
importdata.exe hinzu, um eine neue eindeutige Kennung für eine<br />
Instanz <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> anzugeben.<br />
Parameter Erforderlich/ Beschreibung<br />
optional<br />
/id: Optional Gibt nach dem Import der Konfigurationseinstellungen<br />
die neue Kennung der Instanz <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> an. Dieser Parameter dient<br />
nur der Änderung der Instanz-ID. Bei<br />
Nichtangabe wird die bestehende ID<br />
beibehalten.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Ergänzende Optionen • 125
Lizenzierung<br />
So überprüfen Sie die Lizenzinformationen <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> auf General.<br />
2. Klicken Sie im linken Navigationsbereich auf Licensing. Die<br />
Lizenzinformationen werden im rechten Fenster der Verwaltungskonsole<br />
angezeigt.<br />
Eingeben des Registrierschlüssels nach der Installation<br />
So geben Sie den Registrierschlüssel nach der Installation ein:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> auf General.<br />
2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste<br />
auf Licensing, und wählen Sie Edit license key…<br />
Screenshot 115 – Eingabe des Registrierschlüssels<br />
3. Geben Sie den Registrierschlüssel an.<br />
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
126 • Ergänzende Optionen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Versionsinformationen<br />
So überprüfen Sie die <strong>von</strong> Ihnen verwendete Version <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong>:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> auf General.<br />
2. Klicken Sie im linken Navigationsbereich auf Version Information.<br />
Die Versionsinformationen werden im rechten Fenster der<br />
Verwaltungskonsole angezeigt.<br />
Screenshot 116 – Versionsinformationen<br />
Suchen nach neueren Builds<br />
So suchen Sie nach neueren Builds <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> auf General.<br />
2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste<br />
auf Version Information, und wählen Sie im Kontextmenü Check for<br />
newer builds…<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Ergänzende Optionen • 127
128 • Ergänzende Optionen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Troubleshooting<br />
Einführung<br />
Knowledge-Base<br />
In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei<br />
Problemen gibt. Folgende Informationsquellen stehen zur Verfügung:<br />
• Das Handbuch – die meisten Probleme lassen sich mit Hilfe des<br />
Handbuchs lösen.<br />
• Die <strong>GFI</strong> Knowledge-Base auf der Website <strong>von</strong> <strong>GFI</strong>.<br />
• Die <strong>GFI</strong>-Site für technischen Support.<br />
• E-Mail-Anfrage an den technischen Support <strong>von</strong> <strong>GFI</strong> unter<br />
support@gfisoftware.de<br />
• Kontaktaufnahme mit dem technischen Support <strong>von</strong> <strong>GFI</strong> über den<br />
englischsprachigen Live-Support unter http://support.gfi.com/<br />
livesupport.asp.<br />
• Telefonische Kontaktaufnahme mit dem technischen Support <strong>von</strong><br />
<strong>GFI</strong>.<br />
Die Knowledge-Base <strong>von</strong> <strong>GFI</strong> hält Antworten zu den am häufigsten<br />
gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die<br />
Knowledge-Base konsultieren. Diese Wissensdatenbank bietet immer<br />
die neuesten Informationen zu Support-Fragen und Patches.<br />
Sie kann aufgerufen werden unter http://kbase.gfi.com.<br />
Support-Anfrage per E-Mail<br />
Wenn Sie Probleme mit Hilfe der Wissensdatenbank und dem<br />
Handbuch nicht lösen konnten, wenden Sie sich an den technischen<br />
Support <strong>von</strong> <strong>GFI</strong>. Sie sollten den Support per E-Mail kontaktieren, da<br />
Sie Ihrer Nachricht wichtige Informationen beifügen können, die<br />
helfen, Ihre Fragen schneller zu beantworten.<br />
Das Programm Troubleshooter aus der Programmgruppe generiert<br />
automatisch eine Reihe <strong>von</strong> Dateien, die der technische Support zur<br />
Problemanalyse benötigt. Die Dateien beinhalten u. a. Angaben zur<br />
Konfiguration. Um diese Dateien zu erzeugen, starten Sie den<br />
Troubleshooter, und folgen Sie den Anweisungen des Programms.<br />
Neben dem Erfassen allgemeiner Informationen stellt Ihnen das<br />
Programm einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt<br />
zu beantworten. Ohne die richtigen Informationen ist es dem Support<br />
nicht möglich, Ihr Problem genauer zu diagnostizieren.<br />
Öffnen Sie danach im Programmverzeichnis das Unterverzeichnis<br />
„Support“ (unter „troubleshooter\support“), komprimieren Sie die darin<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Troubleshooting • 129
enthaltenen Dateien im ZIP-Format, und senden Sie die komprimierte<br />
ZIP-Datei an support@gfisoftware.de.<br />
Stellen Sie jedoch zuvor sicher, dass Sie Ihr Produkt auf der <strong>GFI</strong>-<br />
Website unter http://www.gfisoftware.de/de/pages/regfrm.htm<br />
registriert haben!<br />
Ihre Anfrage wird für gewöhnlich innerhalb <strong>von</strong> 24 Stunden<br />
beantwortet.<br />
Support-Anfrage per Web-Chat<br />
Sie erhalten weiteren technischen Support über unseren Live-Chat im<br />
Web. Die Kontaktaufnahme über den Live-Support erfolgt unter<br />
http://support.gfi.com/livesupport.asp.<br />
Stellen Sie jedoch zuvor sicher, dass Sie Ihr Produkt auf der <strong>GFI</strong>-<br />
Website unter http://www.gfisoftware.de/de/pages/regfrm.htm<br />
registriert haben.<br />
Support-Anfrage per Telefon<br />
Web-Forum<br />
Für technische Hilfe können Sie auch telefonischen Kontakt mit dem<br />
Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr<br />
Land finden Sie auf der Website <strong>von</strong> <strong>GFI</strong>.<br />
Website für technischen Support:<br />
http://support.gfi.com.<br />
Stellen Sie jedoch zuvor sicher, dass Sie Ihr Produkt auf der <strong>GFI</strong>-<br />
Website unter http://www.gfisoftware.de/de/pages/regfrm.htm<br />
registriert haben.<br />
Über das Web-Forum steht Ihnen der User-to-User-Support zur<br />
Verfügung. Das Forum erreichen Sie unter<br />
http://forums.gfi.com/.<br />
Mitteilungen zu neuen Builds<br />
Es wird empfohlen, für aktuelle Informationen zu den neuesten<br />
Produkt-Builds den entsprechenden <strong>GFI</strong>-Newsletter zu abonnieren.<br />
Um stets über alle aktuellen Builds auf dem Laufenden zu sein,<br />
können Sie den Newsletter abonnieren unter:<br />
http://support.gfi.com.<br />
130 • Troubleshooting <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Anhang 1 – SMS-Einstellungen<br />
Globale Einstellungen für Warnungen per SMS/Pager<br />
Hinweis: Dieser Anhang richtet sich nur an fortgeschrittene<br />
Anwender. <strong>GFI</strong> kann die korrekte Funktionsweise des SMS-Verwands<br />
beim Einsatz <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> mit einem SMS-Provider nicht<br />
garantieren. Informieren Sie sich vor der Konfigurierung <strong>von</strong> SMS-<br />
Warnungen bei Ihrem SMS-Service-Provider über die empfohlenen<br />
Einstellungen.<br />
Screenshot 117 – Einstellungen für SMS-Warnungen<br />
Für die Weiterleitung <strong>von</strong> SMS-Warnungen mit <strong>GFI</strong> <strong>EventsManager</strong><br />
stehen folgende Möglichkeiten bereit:<br />
• Integrierter GSM SMS-Server<br />
• SMS-Service <strong>von</strong> <strong>GFI</strong> FAXmaker<br />
• E-Mail-zu-SMS-Dienst <strong>von</strong> Clickatell<br />
• Standardmäßiger SMS-Service-Provider<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 1 – SMS-Einstellungen • 131
Integrierter GSM SMS-Server<br />
Abbildung 7 – Weiterleitung <strong>von</strong> SMS-Warnungen über integrierten GSM-Server<br />
Der in <strong>GFI</strong> <strong>EventsManager</strong> integrierte GSM SMS-Server ermöglicht<br />
Ihnen den direkten Versand <strong>von</strong> SMS-Mitteilungen per GSM-Telefon<br />
oder -Modem. Die Verbindung kann über ein serielles Kabel, per<br />
Infrarot oder via Bluetooth erfolgen.<br />
Screenshot 118 – Eigenschaften des integrierten GSM SMS-Servers<br />
Anforderungen<br />
1. Erforderlich ist ein GSM-Modem oder -Telefon, das AT+ C-Befehle<br />
verarbeiten kann. Dieses GSM-Gerät muss mit dem Server verbunden<br />
werden, auf dem <strong>GFI</strong> <strong>EventsManager</strong> läuft.<br />
132 • Anhang 1 – SMS-Einstellungen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
2. Es muss ein Übermittlungsvertrag mit einem SMSC-Provider (SMS<br />
Service Center) bestehen.<br />
Konfigurieren des integrierten GSM SMS-Servers<br />
So konfigurieren Sie den integrierten GSM SMS-Server:<br />
1. Klicken Sie mit der rechten Maustaste auf den Knoten Alerting<br />
Options, und wählen Sie Properties.<br />
2. Klicken Sie auf den Reiter SMS, und wählen Sie aus der Drop-<br />
Down-Liste Select SMS die Option In-built GSM SMS Server aus.<br />
Screenshot 119 – Bearbeitung der Eigenschaften des SMSC<br />
3. Doppelklicken Sie auf die Eigenschaft, die Sie konfigurieren<br />
möchten (z. B. die Nummer des SMS Service Centers). Legen Sie die<br />
neuen Einstellungen im Dialogfenster Edit Property fest.<br />
Hinweis: Verwenden Sie beim Konfigurieren <strong>von</strong> Eigenschaften<br />
immer die Angaben, die <strong>von</strong> Ihrem SMSC-Provider bereitgestellt<br />
wurden. Sollten Ihnen keine Konfigurationsparameter zur Verfügung<br />
gestellt worden sein, fordern Sie diese Informationen bei Ihrem<br />
Provider an.<br />
Für den integrierten GSM SMS-Server sind folgende Parameter<br />
festzulegen:<br />
• Service Center Number – Die Nummer des SMS-Service-<br />
Centers (SMSC) Ihres Providers. Diese Nummer erhalten Sie<br />
<strong>von</strong> Ihrem SMS-Service-Provider.<br />
• COM port – Wählen Sie den COM-Port aus, an dem das GSM-<br />
Gerät (Telefon/Modem) angeschlossen ist.<br />
• Baud Rate – Legen Sie die Datenübertragungsrate fest.<br />
Verwenden Sie hierbei immer die vom SMSC-Provider<br />
empfohlene Geschwindigkeit.<br />
• Initialization String – (Optional) Geben Sie, falls notwendig, AT-<br />
Befehle an, die an Ihr Modem geschickt werden sollen.<br />
Hinweis: Beim Initialisierungsstring handelt es sich um eine Reihe<br />
<strong>von</strong> modemspezifischen AT-Befehlen, die in einem String angegeben<br />
sind (z. B. AT &F &C1 &D2). Die vollständige Liste der AT-Befehle<br />
finden Sie hier: http://www.modems.com/general/extendat.html.<br />
4. Geben Sie im Eingabefeld Retries die Gesamtzahl der Versuche<br />
für die Übermittlung der SMS-Warnung an, falls die erste Übermittlung<br />
erfolglos war.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 1 – SMS-Einstellungen • 133
Vorlage für den SMS-Service <strong>von</strong> <strong>GFI</strong> FAXmaker<br />
Abbildung 8 – Weiterleitung <strong>von</strong> SMS-Warnungen über den SMS-Service <strong>von</strong> <strong>GFI</strong> FAXmaker<br />
<strong>GFI</strong> EventsMonitor kann den SMS-Service <strong>von</strong> <strong>GFI</strong> FAXmaker<br />
nutzen, um SMS-Mitteilungen über <strong>GFI</strong> FAXmaker zu versenden.<br />
<strong>GFI</strong> FAXmaker ist der marktführende Fax-Server, der den Versand<br />
und Empfang <strong>von</strong> Fax- und SMS-Mitteilungen im Rahmen des<br />
normalen E-Mail-Worflows ermöglicht. Der SMS-Gateway <strong>von</strong> <strong>GFI</strong><br />
FAXmaker erlaubt die Übermittlung <strong>von</strong> Kurzmitteilungen per<br />
• mit dem Fax-Server verbundenen GSM-Telefon/Modem<br />
oder<br />
• Web-basierten SMS-Provider.<br />
Weitere Informationen zu <strong>GFI</strong> FAXmaker stehen zur Verfügung unter<br />
http:// www.gfisoftware.de/de/faxmaker/.<br />
Löst ein Ereignis eine Warnung aus, die per SMS verschickt werden<br />
soll, sendet <strong>GFI</strong> <strong>EventsManager</strong> über E-Mail (via SMTP) eine<br />
Nachrichtenvorlage an den Fax-Server. Diese Vorlage enthält alle für<br />
die SMS-Warnung benötigten Informationen, darunter der Text der<br />
SMS-Mitteilung und die Empfängernummer. <strong>GFI</strong> FAXmaker<br />
konvertiert die Vorlage in das SMS-Format und verschickt sie an den<br />
gewünschten Empfänger.<br />
134 • Anhang 1 – SMS-Einstellungen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 120 – Konfigurierung des SMS-Diensts <strong>von</strong> <strong>GFI</strong> FAXmaker<br />
Anforderungen<br />
Folgende Anforderungen bestehen für die Nutzung des SMS-Service<br />
<strong>von</strong> <strong>GFI</strong> FAXmaker:<br />
1. Sie benötigen <strong>GFI</strong> FAXmaker mit konfiguriertem Dienst für die<br />
SMS-Kommunikation. Weitere Informationen zur Konfigurierung des<br />
SMS-Gateways <strong>von</strong> <strong>GFI</strong> FAXmaker erhalten Sie im Kapitel "Der SMS-<br />
Gateway" im Handbuch zu <strong>GFI</strong> FAXmaker. Das Handbuch zu<br />
<strong>GFI</strong> FAXmaker steht zum Download bereit unter<br />
http://www.gfi.com/downloads/downloads.aspxpid=fax&lid=de.<br />
2. Ein unterstütztes GSM-Telefon/Modem, verbunden mit dem <strong>GFI</strong><br />
FAXmaker Fax-Server, oder Nutzung der SMS-Dienste eines<br />
unterstützten Web-basierten SMS-Providers.<br />
Konfigurieren des SMS-Diensts <strong>von</strong> <strong>GFI</strong> FAXmaker<br />
So konfigurieren Sie den SMS-Dienst <strong>von</strong> <strong>GFI</strong> FAXmaker:<br />
1. Klicken Sie mit der rechten Maustaste auf den Knoten Alerting<br />
Options, und wählen Sie Properties.<br />
2. Klicken Sie auf den Reiter SMS, und wählen Sie aus der Drop-<br />
Down-Liste Select SMS die Option FAXmaker SMS service provider<br />
template aus.<br />
3. Doppelklicken Sie auf die Eigenschaft, die Sie konfigurieren<br />
möchten (z. B. den SMTP-Server). Legen Sie die zugehörigen<br />
Einstellungen im Dialogfenster Edit Property fest.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 1 – SMS-Einstellungen • 135
Für den SMS-Dienst <strong>von</strong> <strong>GFI</strong> FAXmaker müssen folgende Parameter<br />
festgelegt werden:<br />
• SMTP server – Geben Sie den Namen des SMTP-Servers an,<br />
über den <strong>GFI</strong> <strong>EventsManager</strong> die E-Mail mit der Vorlage an<br />
<strong>GFI</strong> FAXmaker schickt.<br />
• SMTP port – Geben Sie den SMTP-Port an, über den der<br />
Versand laufen soll. Die Vorgabe lautet "25" (standardmäßiger<br />
SMTP-Port).<br />
• From – Geben Sie das Konto an, über das die E-Mail mit der<br />
Vorlage verschickt werden soll. Dieser Parameter ist wie folgt<br />
anzugeben: @.<br />
• To – (Vorgabe beizubehalten) Dies ist die E-Mail-Adresse, unter<br />
der <strong>GFI</strong> FAXmaker E-Mails mit der in das SMS-Format zu konvertierenden<br />
Vorlage erhält, (d. h. [smsnumber]@smsmaker.com).<br />
Die Variable [smsnumber] wird beim Erstellen der Vorlagen-E-Mail<br />
durch die Nummer des SMS-Empfängers ersetzt. Beispiel: Soll<br />
eine SMS-Warnung an einen Empfänger mit der Nummer<br />
8888555 geschickt werden, erfolgt der Versand der Vorlagen-E-<br />
Mail an 8888555@smsmaker.com. <strong>GFI</strong> FAXmaker übermittelt die<br />
SMS dann an die in der E-Mail-Adresse angegebene Nummer.<br />
• Subject – (Optional) Geben Sie den Text ein, der im Betreff der<br />
Vorlagen-E-Mail stehen soll.<br />
4. Geben Sie im Eingabefeld Retries die Gesamtzahl der Versuche<br />
für die Übermittlung der SMS-Warnung an, falls die erste Übermittlung<br />
erfolglos war.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
E-Mail-zu-SMS-Dienst <strong>von</strong> Clickatell<br />
Abbildung 9 – Weiterleitung <strong>von</strong> SMS-Warnungen über den E-Mail-zu-SMS-Dienst <strong>von</strong> Clickatell<br />
Der E-Mail-zu-SMS-Dienst <strong>von</strong> Clickatell erlaubt den SMS-Versand<br />
<strong>von</strong> Warnungen, die <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> ausgegeben werden.<br />
Der Web-basierte SMS-Dienst <strong>von</strong> Clickatell übermittelt Kurzmitteilungen<br />
weltweit.<br />
Löst ein Ereignis eine Warnung aus, die per SMS verschickt werden<br />
soll, sendet <strong>GFI</strong> <strong>EventsManager</strong> über E-Mail (via SMTP) eine<br />
Nachrichtenvorlage an den SMS-Gateway <strong>von</strong> Clickatell. Diese<br />
Vorlage enthält alle für die SMS-Warnung benötigten Informationen,<br />
darunter der Text der SMS-Mitteilung und die Empfängernummer.<br />
Clickatell konvertiert die Vorlagen-E-Mail in das SMS-Format und<br />
verschickt sie an den gewünschten Empfänger. Weitere Informationen<br />
136 • Anhang 1 – SMS-Einstellungen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
zu Clickatells SMS-Service erhalten Sie unter<br />
http://www.Clickatell.com/brochure/products/api_smtp.php.<br />
Screenshot 121 – Konfigurierung des E-Mail-zu-SMS-Diensts <strong>von</strong> Clickatell<br />
Anforderungen<br />
Für den Versand <strong>von</strong> SMS-Warnungen mit Hilfe dieses Diensts gelten<br />
keine besonderen Hardware-Anforderungen. Folgende Voraussetzungen<br />
müssen jedoch erfüllt sein, um den Service nutzen zu<br />
können:<br />
1. Sie müssen für die Nutzung des SMS-Gateways <strong>von</strong> Clickatell<br />
registriert und Kunde <strong>von</strong> Clickatell sein. Um sich für den Clickatell-<br />
Service anzumelden, gehen Sie auf:<br />
http://www.Clickatell.com/central/campaigns/redir.phpcid=870.<br />
2. Der im Dialog Alerting Options unter den Eigenschaften des<br />
Clickatell-Diensts konfigurierte SMTP-Server muss E-Mails über das<br />
Internet versenden können.<br />
Hinweis: <strong>GFI</strong> <strong>EventsManager</strong> kann bei einer fehlenden oder<br />
gestörten Internet-Verbindung keine SMS-Warnungen über den<br />
Clickatell-Service verschicken.<br />
Konfigurieren des E-Mail-zu-SMS-Diensts <strong>von</strong> Clickatell<br />
So konfigurieren Sie den E-Mail-zu-SMS-Dienst <strong>von</strong> Clickatell:<br />
1. Klicken Sie mit der rechten Maustaste auf den Knoten Alerting<br />
Options, und wählen Sie im Kontextmenü Properties.<br />
2. Klicken Sie auf den Reiter SMS, und wählen Sie aus<br />
der Drop-<br />
Down-Liste Select SMS die Option Clickatell Email2SMS Service.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 1 – SMS-Einstellungen • 137
3. Doppelklicken Sie auf die Eigenschaft, die Sie konfigurieren<br />
möchten (z. B. den SMTP-Server). Legen Sie die zugehörigen<br />
Einstellungen im Dialogfenster Edit Property fest.<br />
Hinweis: Verwenden Sie beim Konfigurieren <strong>von</strong> Eigenschaften die<br />
Angaben, die <strong>von</strong> Clickatell bereitgestellt wurden. Sollten Sie keine<br />
Konfigurationsparameter erhalten haben, fordern Sie diese<br />
Informationen <strong>von</strong> Clickatell an.<br />
Für den SMS-Dienst <strong>von</strong> Clickatell müssen folgende Parameter<br />
festgelegt werden:<br />
• SMTP server – Geben Sie den Namen des SMTP-Servers an,<br />
über den <strong>GFI</strong> <strong>EventsManager</strong> die E-Mail an den SMS-Gateway<br />
schickt.<br />
• SMTP port – Geben Sie den SMTP-Port an, über den der<br />
Versand laufen soll. Die Vorgabe lautet "25" (standardmäßiger<br />
STMP-Port).<br />
• From – Geben Sie das Konto an, über das die E-Mail verschickt<br />
werden soll. Sie können beispielsweise die in <strong>GFI</strong> <strong>EventsManager</strong><br />
konfigurierte E-Mail-Adresse für standardmäßige Warnmeldungen<br />
angeben.<br />
• To – Geben Sie die E-Mail-Adresse des SMS-Gateways <strong>von</strong><br />
Clickatell an (d. h. die Adresse, an die <strong>GFI</strong> <strong>EventsManager</strong> E-<br />
Mails zur Konvertierung in das SMS-Format schicken soll). Diese<br />
Adresse ist <strong>von</strong> Clickatell vorgegeben. Standardmäßig lautet sie<br />
sms@messaging.Clickatell.com.<br />
Hinweis: Verändern Sie diese Angabe nur dann, wenn Sie <strong>von</strong><br />
Clickatell dazu aufgefordert werden.<br />
• CC – (Optional) Geben Sie eine E-Mail-Adresse an, an die Kopien<br />
der an den SMS-Gateway geschickten E-Mails weitergeleitet<br />
werden sollen.<br />
• Subject – (Optional) Geben Sie den Text ein, der im Betreff der E-<br />
Mail stehen soll.<br />
• Body line 1 – Geben Sie die API-ID an (z. B. api_id:124576). Bei<br />
der API-ID handelt es sich um eine Kennziffer, die Ihnen <strong>von</strong><br />
Clickatell nach der Anmeldung für den SMS-Dienst zugewiesen<br />
wird. Dieser Parameter ist wie folgt anzugeben: api_id:.<br />
Hinweis: Ist Ihnen Ihre API-ID nicht bekannt, fordern Sie diese<br />
Nummer direkt bei Clickatell an.<br />
• Body line 2 – Geben Sie Ihren Benutzernamen für den SMS-<br />
Gateway <strong>von</strong> Clickatell an (z. B. User:JasonM). Dieser Parameter<br />
ist wie folgt anzugeben: User:<br />
Hinweis: Ist Ihnen Ihr Benutzername nicht bekannt, fordern Sie<br />
ihn direkt bei Clickatell an.<br />
• Body line 3 – Geben Sie Ihr Passwort für den SMS-Gateway <strong>von</strong><br />
Clickatell an (z. B. Password:abcde). Dieser Parameter ist wie<br />
folgt anzugeben: Password:<br />
Hinweis: Ist Ihnen Ihr Passwort nicht bekannt, fordern Sie es<br />
direkt bei Clickatell an.<br />
• Body line 4 – (Vorgabe beizubehalten) Dieser Parameter enthält<br />
die Nummer des Empfängers der SMS-Warnung. Die Variable<br />
138 • Anhang 1 – SMS-Einstellungen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
[smsnumber] wird beim Erstellen der Vorlagen-E-Mail automatisch<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> durch die Empfängernummer ersetzt.<br />
Dieser Parameter ist wie folgt zu formatieren: to:[smsnumber]<br />
• Body line 5 – (Vorgabe beizubehalten) Dieser Parameter gibt den<br />
Mitteilungstext der SMS an. Die Variable [smsmessage] wird beim<br />
Erstellen der E-Mail automatisch <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> durch<br />
den Inhalt der SMS-Warnung ersetzt. Dieser Parameter ist wie<br />
folgt zu formatieren: text:[smsmessage].<br />
4. Geben Sie im Eingabefeld Retries die Gesamtzahl der Versuche<br />
für die Übermittlung der E-Mail an den SMS-Provider an, falls die<br />
erste Übermittlung erfolglos war.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Vorlage für einen standardmäßigen SMS-Service-Provider<br />
Abbildung 10 – Weiterleitung <strong>von</strong> SMS-Warnungen über einen Web-basierten Email2SMS-<br />
Provider<br />
<strong>GFI</strong> <strong>EventsManager</strong> kann SMS-Warnungen auch über einen Web-<br />
basierten SMS-Gateway weiterleiten.<br />
Löst ein Ereignis eine Warnung aus, die per SMS verschickt werden<br />
soll, sendet <strong>GFI</strong> <strong>EventsManager</strong> über E-Mail (via SMTP) eine<br />
Nachrichtenvorlage an den Web-basierten SMS-Gateway. Diese<br />
Vorlage enthält alle für die SMS-Warnung benötigten Informationen,<br />
darunter der Text der SMS-Mitteilung und die Empfängernummer. Der<br />
SMS-Gateway konvertiert die Vorlage in das SMS-Format und<br />
verschickt sie an den gewünschten Empfänger.<br />
Hinweis: Die Vorlage lässt sich individuell anpassen, um für jeden<br />
Email2SMS-Dienst verwendet werden zu können.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 1 – SMS-Einstellungen • 139
Screenshot 122 – Konfigurierung der Vorlage für einen standardmäßigen SMS-Provider<br />
Anforderungen<br />
Für den Versand <strong>von</strong> SMS-Warnungen mit Hilfe dieses Diensts gelten<br />
keine besonderen Hardware-Anforderungen. Folgende Voraussetzungen<br />
müssen jedoch erfüllt sein, um den Dienst nutzen zu<br />
können:<br />
1. Sie müssen Vertragskunde eines SMS-Gateway-Diensts sein.<br />
2. Der im Dialog Alerting Options unter den Eigenschaften des SMS-<br />
Diensts konfigurierte SMTP-Server muss E-Mails über das Internet<br />
versenden können.<br />
Hinweis: <strong>GFI</strong> <strong>EventsManager</strong> kann bei einer fehlenden oder<br />
gestörten Internet-Verbindung keine SMS-Warnmeldungen über einen<br />
standardmäßigen SMS-Service verschicken.<br />
Konfigurierung der Vorlage für einen standardmäßigen<br />
SMS-Service-Provider<br />
So konfigurieren Sie den standardmäßigen SMS-Dienst:<br />
1. Klicken Sie mit der rechten Maustaste auf den Knoten Alerting<br />
Options, und wählen Sie im Kontextmenü Properties.<br />
2. Klicken Sie auf den Reiter SMS, und wählen Sie aus der Drop-<br />
Down-Liste Select SMS die Option Generic SMS Service provider<br />
template aus.<br />
3. Doppelklicken Sie auf die Eigenschaft, die Sie konfigurieren<br />
möchten (z. B. den SMTP-Server). Legen Sie die zugehörigen<br />
Einstellungen im Dialogfenster Edit Property fest.<br />
140 • Anhang 1 – SMS-Einstellungen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Hinweis: Verwenden Sie beim Konfigurieren <strong>von</strong> Eigenschaften<br />
immer die Angaben, die <strong>von</strong> Ihrem SMS-Gateway-Provider bereitgestellt<br />
wurden.<br />
Für den standardmäßigen SMS-Dienst müssen folgende Parameter<br />
festgelegt werden:<br />
• SMTP server – Geben Sie den Namen des SMTP-Servers an,<br />
über den <strong>GFI</strong> <strong>EventsManager</strong> die E-Mail an den SMS-Gateway<br />
schickt.<br />
• SMTP port – Geben Sie den SMTP-Port an, über den der<br />
Versand laufen soll. Die Vorgabe lautet "25" (standardmäßiger<br />
STMP-Port).<br />
• From – Geben Sie das Konto an, über das die E-Mail verschickt<br />
werden soll. Sie können hier die in <strong>GFI</strong> <strong>EventsManager</strong><br />
konfigurierte E-Mail-Adresse für standardmäßige Warnungen<br />
angeben.<br />
• To – Geben Sie die E-Mail-Adresse des SMS-Gateway-Providers<br />
an (d. h. die Adresse, an die <strong>GFI</strong> <strong>EventsManager</strong> E-Mails zur<br />
Konvertierung in das SMS-Format schicken soll). Diese Adresse<br />
ist vom Provider vorgegeben und muss wie folgt formatiert<br />
werden: @. Beispiel:<br />
sms@messaging.Clickatell.com.<br />
Hinweis: Ist Ihnen die E-Mail-Adresse Ihres SMS-Gateways nicht<br />
bekannt, fordern Sie diese direkt bei Ihrem Provider an.<br />
• CC – (Optional) Geben Sie eine E-Mail-Adresse an, an die Kopien<br />
der an den SMS-Gateway geschickten E-Mails weitergeleitet<br />
werden sollen.<br />
• Subject – (Optional) Geben Sie den Text ein, der im Betreff der E-<br />
Mail stehen soll.<br />
• Body line 1 – Geben Sie die API-ID an, die Sie <strong>von</strong> Ihrem SMS-<br />
Gateway-Provider erhalten haben. Die Angabe wird vom SMS-<br />
Gateway zur Authentifizierung benötigt. Dieser Parameter ist wie<br />
folgt anzugeben: api_id:. Beispiel: api_id:124576.<br />
Hinweis: Ist Ihnen Ihre API-ID nicht bekannt, fordern Sie diese<br />
Nummer direkt bei Ihrem SMS-Gateway-Provider an.<br />
• Body line 2 – Geben Sie Ihren Benutzernamen für den SMS-<br />
Gateway an (z. B. User:JasonM). Dieser Parameter ist wie folgt<br />
anzugeben: User:<br />
Hinweis: Ist Ihnen Ihr Benutzername für den SMS-Gateway nicht<br />
bekannt, fordern Sie ihn direkt bei Ihrem SMS-Gateway-Provider<br />
an.<br />
• Body line 3 – Geben Sie Ihr Passwort für den SMS-Gateway an<br />
(z. B. Password:abcde). Dieser Parameter ist wie folgt anzugeben:<br />
Password:<br />
Hinweis: Ist Ihnen Ihr Passwort für den SMS-Gateway nicht<br />
bekannt, fordern Sie es direkt bei Ihrem SMS-Gateway-Provider<br />
an.<br />
• Body line 4 – (Vorgabe beizubehalten) Dieser Parameter enthält<br />
die Nummer des Empfängers der SMS-Warnung. Die Variable<br />
[smsnumber] wird beim Erstellen der E-Mail automatisch <strong>von</strong> <strong>GFI</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 1 – SMS-Einstellungen • 141
<strong>EventsManager</strong> durch die Empfängernummer ersetzt. Dieser<br />
Parameter ist wie folgt zu formatieren: to:[smsnumber]<br />
• Body line 5 – (Vorgabe beizubehalten) Dieser Parameter gibt den<br />
Mitteilungstext der SMS an. Die Variable [smsmessage] wird beim<br />
Erstellen der E-Mail automatisch <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> durch<br />
den Inhalt der SMS-Warnung ersetzt. Dieser Parameter ist wie<br />
folgt zu formatieren: text:[smsmessage].<br />
4. Geben Sie im Eingabefeld Retries die Gesamtzahl der Versuche<br />
für die Übermittlung der E-Mail an den SMS-Provider an, falls die<br />
erste Übermittlung erfolglos war.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
142 • Anhang 1 – SMS-Einstellungen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Anhang 2 – Vorbereiten <strong>von</strong> Microsoft<br />
Windows für <strong>GFI</strong> <strong>EventsManager</strong><br />
Einführung<br />
In diesem Anhang erfahren Sie, wie Sie:<br />
• die Überwachung <strong>von</strong> Windows-Sicherheitsereignissen mit Hilfe<br />
der Überwachungsrichtlinien aktivieren und konfigurieren<br />
• die Remote-Registrierung aufrufen<br />
Eine korrekte Verwaltung der Windows-Ereignisprotokolle durch<br />
<strong>GFI</strong> <strong>EventsManager</strong> kann nur mit Hilfe der Sicherheitsüberwachung<br />
und der Remote-Registrierung <strong>von</strong> Windows erfolgen.<br />
Remote-Registrierung<br />
Über den Dienst Remote-Registrierung stellt <strong>GFI</strong> <strong>EventsManager</strong><br />
eine Remote-Verbindung mit den Ereignisquellen durch, um Ereignisprotokolle<br />
zu erfassen und überwachen. Dieser Dienst ist bereits<br />
standardmäßig auf allen Rechnern mit Windows NT/2000/XP und<br />
2003 installiert.<br />
Screenshot – Scan-Überwachung: Fehlermeldungen<br />
Ist die Remote-Registrierung nicht aktiviert, werden im Status-Monitor<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> in der Ansicht Job Activity, Bereich<br />
Operational History, mehrere Fehlermeldungen angezeigt. Weitere<br />
Informationen zum Aufruf des Status-Monitors erhalten Sie im Kapitel<br />
"Statusüberwachung".<br />
Sicherheitsüberwachung unter Windows<br />
Die Sicherheitsprotokolle <strong>von</strong> Windows lassen sich so konfigurieren,<br />
dass Informationen über Server-Ereignisse sowie Verzeichnis- oder<br />
Dateizugriffe aufgezeichnet werden. Zu den protokollierbaren<br />
Ereignissen zählen gültige und ungültige Anmeldeversuche sowie<br />
Ereignisse im Bereich der Ressourcenverwendung, beispielsweise<br />
beim Erstellen, Öffnen und Löschen <strong>von</strong> Dateien.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> • 143
Screenshot 123 – Knoten "Überwachungsrichtlinie" Konfigurationsoptionen der<br />
Überwachungsrichtlinie<br />
Erst mit der für das Betriebssystem aktivierten Sicherheitsüberwachung<br />
werden Ereignisse im Sicherheitsprotokoll <strong>von</strong> Windows<br />
aufgezeichnet und können dadurch <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
verarbeitet werden. Die Überwachung <strong>von</strong> Sicherheitsereignissen wird<br />
über den Knoten Überwachungsrichtlinie in der Microsoft<br />
Management Console (MMC) aktiviert und konfiguriert.<br />
Hinweis: Beachten Sie, dass <strong>GFI</strong> <strong>EventsManager</strong> bei einer<br />
deaktivierten Überwachung <strong>von</strong> Sicherheitsereignissen keinen Fehler<br />
ausgibt.<br />
Aktivieren der Remote-Registrierung<br />
So aktivieren Sie die Remote-Registrierung:<br />
1. Gehen Sie auf Start Ausführen, und geben Sie<br />
"Services.msc" ein. Hierdurch wird der Dialog Dienste geöffnet.<br />
Screenshot 124 – Eigenschaften der lokalen Dienste<br />
144 • Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
2. Suchen Sie in der Liste der angezeigten Dienste nach Remote-<br />
Registrierung. Klicken Sie mit der rechten Maustaste auf den Dienst,<br />
und wählen Sie im Kontextmenü Eigenschaften.<br />
Screenshot 125 – Eigenschaften <strong>von</strong> Remote-Registrierung<br />
3. Wählen Sie über den bereits angezeigten Reiter Allgemein in der<br />
Drop-Down-Liste Starttyp die Option Automatisch, und klicken Sie<br />
auf die Schaltfläche Starten.<br />
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern und den Dialog zu schließen.<br />
Aktivieren der Windows-Sicherheitsüberwachung<br />
Hinweis: Um den Zugriff auf Dateien und Ordner unter Windows 2000<br />
überwachen zu lassen, müssen Sie mit Hilfe des Gruppenrichtlinien-<br />
Snap-In in der Überwachungsrichtlinie die Option Objektzugriffsversuche<br />
überwachen auswählen. Andernfalls erhalten Sie<br />
eine Fehlermeldung, wenn Sie die Überwachung für Dateien und<br />
Ordner aktivieren und keine Dateien oder Ordner überwacht werden.<br />
Weitere Informationen zur Erstellung/Installation des<br />
Gruppenrichtlinien-Snap-In erhalten Sie unter "<strong>Installieren</strong> des<br />
Gruppenrichtlinien-Snap-In" in diesem Anhang.<br />
So aktivieren Sie die lokale Windows-Sicherheitsüberwachung:<br />
1. Melden Sie sich mit einem Konto mit Administratorrechten bei<br />
Windows an.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> • 145
2. Stellen Sie sicher, dass das Gruppenrichtlinien-Snap-In installiert<br />
ist.<br />
3. Navigieren Sie zur Verwaltung über Start Einstellungen <br />
Systemsteuerung Verwaltung.<br />
Screenshot 126 – MMC-Snap-In "Lokale Sicherheitsrichtlinie"<br />
4. Doppelklicken Sie auf Lokale Sicherheitsrichtlinie, um das Snap-<br />
In Lokale Sicherheitseinstellungen zu starten.<br />
5. Erweitern Sie die Struktur des Knotens Lokale Richtlinien.<br />
Doppelklicken Sie auf den Knoten Überwachungsrichtlinie.<br />
6. Doppelklicken Sie im rechten Fensterausschnitt auf die Richtlinie,<br />
die Sie aktivieren oder deaktivieren möchten. Der jeweilige<br />
Eigenschaften-Dialog wird geöffnet.<br />
Screenshot 127 – Eigenschaften <strong>von</strong> "Systemereignisse überwachen"<br />
7. Markieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen<br />
definieren, und legen Sie fest, welche Art <strong>von</strong><br />
146 • Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Zugriffsversuchen (erfolgreich/fehlgeschlagen) überwacht werden<br />
sollen.<br />
Weitere Informationen zu Einstellungen der Windows-<br />
Sicherheitsüberwachung erhalten Sie unter:<br />
http://support.microsoft.com/kbid=300549<br />
<strong>Installieren</strong> des Gruppenrichtlinien-Snap-In<br />
Um die Überwachungsfunktion <strong>von</strong> Windows 2000 nutzen zu können,<br />
muss das Gruppenrichtlinien-Snap-In installiert sein. Dieses ist in der<br />
Computerverwaltungskonsole nicht enthalten. Sie müssen daher eine<br />
neue Konsole erstellen. Weitere Informationen zum Hinzufügen <strong>von</strong><br />
Verwaltungskonsolen-Snap-Ins (MMC) finden Sie in der Produktdokumentation<br />
zu Windows 2000.<br />
So erstellen Sie eine neue Microsoft Management Console (MMC)<br />
und fügen das Gruppenrichtlinien-Snap-In hinzu:<br />
1. Gehen Sie auf Start Ausführen, und geben Sie "mmc" ein. Die<br />
neue MMC wird geöffnet.<br />
2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.<br />
3. Klicken Sie im geöffneten Dialog Snap-In hinzufügen/entfernen<br />
auf die Schaltfläche Hinzufügen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> • 147
Screenshot 128 – Liste verfügbarer Snap-Ins<br />
4. Wählen Sie aus der Liste der angezeigten Snap-Ins Gruppenrichtlinie<br />
aus, und klicken Sie auf die Schaltfläche Hinzufügen.<br />
5. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen<br />
auf die Schaltfläche Durchsuchen, um den zu überwachenden<br />
Computer zu suchen.<br />
Screenshot 129 – Gruppenrichtlinienobjekt suchen, Reiter "Computer"<br />
6. Klicken Sie im Dialog Gruppenrichtlinienobjekt suchen auf den<br />
Reiter Computer. Wählen Sie Anderer Computer, wechseln Sie zu<br />
148 • Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
dem zu überwachenden Computer, und klicken Sie auf die<br />
Schaltfläche OK.<br />
7. Klicken Sie auf die Schaltfläche Fertig stellen, um die<br />
Einstellungen zu speichern.<br />
8. Schließen Sie das Dialogfeld Eigenständiges Snap-In<br />
hinzufügen, und klicken Sie auf die Schaltfläche OK.<br />
9. Klicken Sie auf Datei Speichern, um die neue Konsole auf der<br />
Festplatte zu speichern. Mit der neuen Konsole können Sie nun die<br />
Überwachungsfunktionen konfigurieren.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> • 149
150 • Anhang 2 – Vorbereiten <strong>von</strong> Microsoft Windows für <strong>GFI</strong> <strong>EventsManager</strong> <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server<br />
Express<br />
Einführung<br />
In diesem Anhang wird die Installation der Microsoft SQL Server 2005<br />
Express Edition erläutert.<br />
Software-Anforderungen<br />
Zur Installation <strong>von</strong> SQL Server Express ist folgende Software auf<br />
dem Installationscomputer erforderlich:<br />
• Windows Installer 3.1<br />
• .NET Framework 2.0.<br />
<strong>Installieren</strong> <strong>von</strong> SQL Server Express<br />
So installieren Sie SQL Server Express:<br />
Screenshot 130 – Download <strong>von</strong> SQL Server Express<br />
1. Laden Sie SQL Server Express <strong>von</strong> folgender Microsoft-Seite<br />
herunter: http://go.microsoft.com/fwlink/LinkId=65109.<br />
2. Doppelklicken Sie auf die Installationsdatei SQLEXPR_ADV.exe.<br />
3. Lesen Sie die Endbenutzer-Lizenzvereinbarung, und stimmen Sie<br />
den Bedingungen der Lizenzvereinbarung zu.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server Express • 151
Screenshot 131 - Installationsanforderungen<br />
4. Klicken Sie auf die Schaltfläche <strong>Installieren</strong>.<br />
Screenshot 132 – Kontrolle der Systemkonfiguration<br />
5. Das Installationsprogramm analysiert Ihr System und erstellt eine<br />
Übersicht zu den aktuellen Konfigurationseinstellungen. Überprüfen<br />
Sie alle Einstellungen und beheben Sie ggf. angezeigte Fehler.<br />
Klicken Sie auf die Schaltfläche Weiter.<br />
152 • Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server Express <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 133 – Angabe der Registrierungsdaten<br />
6. Geben Sie zur Registrierung Ihre persönlichen Daten an. Heben<br />
Sie die Auswahl <strong>von</strong> Erweiterte Konfigurationsoptionen<br />
ausblenden auf, und klicken Sie auf die Schaltfläche Weiter.<br />
Screenshot 134 – Funktionsauswahl<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server Express • 153
7. Wählen Sie die zu installierenden Funktionen aus, und klicken Sie<br />
auf die Schaltfläche Weiter.<br />
Screenshot 135 – Auswahl der Instanz<br />
8. Wählen Sie die Option Standardinstanz aus, und klicken Sie auf<br />
die Schaltfläche Weiter.<br />
Screenshot 136 – Konfigurierung des Dienstkontos<br />
154 • Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server Express <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
9. Geben Sie alle erforderlichen Daten für das Dienstkonto an, und<br />
klicken Sie auf die Schaltfläche Weiter.<br />
10. Wählen Sie den Authentifizierungsmodus aus, und klicken Sie auf<br />
die Schaltfläche Weiter.<br />
Screenshot 137 – Festlegen <strong>von</strong> Sortierungseinstellungen<br />
11. Wählen Sie die gewünschten Sortierungseinstellungen aus, und<br />
klicken Sie auf die Schaltfläche Weiter.<br />
12. Legen Sie fest, ob Benutzerinstanzen aktiviert werden sollen, und<br />
klicken Sie auf die Schaltfläche Weiter.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server Express • 155
Screenshot 138 – Einstellungen für Fehler- und Verwendungsberichte<br />
13. Wählen Sie die gewünschten Einstellungen für Fehler- und<br />
Verwendungsberichte aus, und klicken Sie auf die Schaltfläche<br />
Weiter.<br />
14. Klicken Sie nach Abschluss des Installationsvorgangs auf die<br />
Schaltfläche Fertig stellen, um die Installation abzuschließen.<br />
156 • Anhang 3 – <strong>Installieren</strong> <strong>von</strong> SQL Server Express <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Übung 1 – Konfigurieren der grundlegenden<br />
Optionen per Schnellstart-<br />
Dialog<br />
Überblick<br />
Mit dieser Übung wird gezeigt, welche grundlegenden Einstellungen<br />
beim ersten Start <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong> festzulegen sind. Diese<br />
Einstellungen werden über den beim ersten Programmaufruf automatisch<br />
gestarteten Schnellstart-Dialog vorgenommen.<br />
Die Übung ist in drei Teile untergliedert:<br />
• Teil 1 befasst sich mit der Konfigurierung des Datenbank-<br />
Backends <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>.<br />
• Teil 2 erläutert die Konfigurierung der Standardeinstellungen für<br />
Warnungen.<br />
• Teil 3 informiert über die Konfigurierung des Administratorkontos<br />
<strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong>.<br />
Parameter<br />
Die im Rahmen dieser Übung festzulegenden Parameter sind<br />
nachfolgend aufgeführt:<br />
Teil 1: Konfigurieren des Datenbank-Backends<br />
• Server: SQLServer01<br />
• Database (Datenbank): <strong>EventsManager</strong><br />
• Authentication (Authentifizierung): SQL-Authentifizierung<br />
• User (Benutzer): John Doe<br />
• Password (Passwort): pass1234.<br />
Teil 2: Konfigurieren der Standardeinstellungen für Warnungen<br />
• Hostname/IP: 192.168.0.3<br />
• Port: 25<br />
• Username (Benutzername): Hans Mustermann<br />
• Password (Passwort): pass3344<br />
• Sender (Email) (E-Mail-Adresse des Absenders):<br />
john.doe@mycorporation.com<br />
• Sender (Display Name) (Anzeigename des Absenders) : John<br />
Doe<br />
Teil 2: Konfigurieren des Administratorkontos<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog • 157
• User (Benutzer): John Doe<br />
• Description (Beschreibung): <strong>EventsManager</strong> Administrator<br />
• E-Mail: john.doe@mycorporation.com<br />
• Mobile number (Mobilfunknummer): +12155599877<br />
• Computer: 192.168.0.6, 192.168.0.15<br />
• Working Days (Arbeitstage): Monday to Friday (Montag bis<br />
Freitag)<br />
• Working Hours (Arbeitszeiten): 09.00 – 19.00<br />
• Email notifications (E-Mail-Benachrichtigungen): During and<br />
outside of working hours (während und außerhalb der Arbeitszeit).<br />
• Network message alerts (Netzwerkwarnungen): During and<br />
outside of working hours (während und außerhalb der Arbeitszeit).<br />
• SMS alerts (SMS-Warnungen): During and outside of working<br />
hours (während und außerhalb der Arbeitszeit).<br />
• Member of (Mitglied <strong>von</strong>): <strong>EventsManager</strong>Administrators.<br />
Teil 1: Konfigurieren des Datenbank-Backends <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong><br />
Screenshot 138 – Schnellstart-Dialog<br />
1. Wählen Sie aus dem Quick Start Dialog die Option Configure<br />
SQL Server database backend.<br />
158 • Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 139 – Einrichtung der Datenbank<br />
2. Geben Sie folgende Daten an:<br />
Server: MSSQLServer<br />
Database (Datenbank): <strong>EventsManager</strong><br />
Use SQL Server authentication (SQL Server-Authentifizierung<br />
verwenden)<br />
User (Benutzer): johndoe<br />
Password (Passwort): pass1234<br />
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog • 159
Teil 2: Konfigurieren <strong>von</strong> Standardoptionen für Warnungen<br />
1. Wählen Sie aus dem Quick Start Dialog die Option Configure<br />
Alerting Options.<br />
Screenshot 140 – Konfigurierung <strong>von</strong> Warnungen – Einstellungen des E-Mail-Servers<br />
2. Klicken Sie unter dem standardmäßig geöffneten Reiter Email auf<br />
die Schaltfläche Add, um die neuen Parameter einzugeben.<br />
3. Geben Sie im Dialog Mailserver Properties für den E-Mail-Server<br />
folgende Einstellungen ein:<br />
Hostname/IP: 192.168.0.3<br />
Port: 25<br />
Username (Benutzername): johndoe<br />
Password (Passwort): pass3344<br />
Sender (Email) (Absender E-Mail-Adresse):<br />
john.doe@mycorporation.com<br />
Sender (Display Name) (Anzeigename des Absenders): John Doe<br />
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu E-<br />
Mail-Warnungen zu speichern. Schließen Sie das Dialogfenster.<br />
5. Da an dieser Stelle keine Netzwerk- und SMS-Warnungen<br />
eingerichtet werden, klicken Sie auf die Schaltfläche OK, um die<br />
Konfigurierung der E-Mail-Warnungen abzuschließen.<br />
160 • Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Teil 3: Konfigurieren des Administratorkontos <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong><br />
1. Wählen Sie aus dem Quick Start Dialog die Option Configure<br />
Administrator account.<br />
Screenshot 141 – Einstellungen des Administrators <strong>von</strong> <strong>GFI</strong> <strong>EventsManager</strong><br />
2. Der Reiter General wird standardmäßig aufgerufen. Geben Sie dort<br />
folgende Daten an:<br />
Username (Benutzername): John Doe<br />
Description (Beschreibung): <strong>EventsManager</strong> Administrator<br />
E-Mail (E-Mail-Adresse): john.doe@mycorporation.com<br />
Mobile number (Mobilfunknummer): +12155599877<br />
Computer: 192.168.0.6; 192.168.0.15<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog • 161
Screenshot 142 – Konfigurierung der Arbeitszeit des Administrators<br />
Klicken Sie auf den Reiter Working Hours, und legen Sie die<br />
folgenden Einstellungen fest:<br />
Working Days (Arbeitstage): Monday to Friday (Montag bis Freitag)<br />
Working Hours (Arbeitszeiten): 09.00 – 19.00<br />
162 • Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 143 – Konfigurierung <strong>von</strong> Warnungen –<br />
4. Klicken Sie auf den Reiter Alerts, und legen Sie die folgenden<br />
Einstellungen für Warnungen fest:<br />
Email notifications (E-Mail-Benachrichtigungen): During and outside<br />
of working hours (während und außerhalb der Arbeitszeit).<br />
Network message alerts (Netzwerkwarnungen): During and outside<br />
of working hours (während und außerhalb der Arbeitszeit).<br />
SMS alerts (SMS-Warnungen): During and outside of working hours<br />
(während und außerhalb der Arbeitszeit).<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog • 163
Screenshot 144 – Hinzufügen eines Benutzers zur Benutzergruppe<br />
5. Klicken Sie auf den Reiter Member Of, und geben Sie an, zu<br />
welcher Gruppe der Benutzer gehört.<br />
6. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
164 • Übung 1 – Konfigurieren der grundlegenden Optionen per Schnellstart-Dialog <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Übung 2 – Konfigurieren <strong>von</strong><br />
Einstellungen zur Ereignisverarbeitung<br />
Überblick<br />
Mit dieser Übung erfahren Sie, welche Einstellungen zur<br />
Ereignisverarbeitung durch <strong>GFI</strong> <strong>EventsManager</strong> festzulegen sind. Sie<br />
erfahren beispielsweise, wie Ereignisquellen anzugeben sind und wie<br />
Sie Warnungen für wichtige Ereignisse einrichten.<br />
Am Ende dieser Übung beherrschen Sie alle notwendigen Schritte zur<br />
Konfigurierung und Verarbeitung <strong>von</strong> Ereignissen mit Hilfe <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong>.<br />
Die Übung ist in drei Teile untergliedert:<br />
In Teil 1 wird gezeigt, wie Computer (Ereignisquellen) festzulegen<br />
sind, <strong>von</strong> denen <strong>GFI</strong> <strong>EventsManager</strong> Protokolle erfassen soll.<br />
• Teil 2 erläutert, wie Regeln zur Verarbeitung <strong>von</strong> Windows-<br />
Ereignisprotokollen zu erstellen und konfigurieren sind.<br />
• Teil 3 informiert über die Festlegung benutzerspezifischer<br />
Eigenschaften für Warnungen und Aktionen.<br />
Parameter<br />
Die im Rahmen dieser Übung festzulegenden Parameter und<br />
Bedingungen sind nachfolgend aufgeführt:<br />
Teil 1: Konfigurieren der Protokollquellen<br />
Hinweis: Die folgenden Parameter sind an die Daten Ihres Netzwerks<br />
anzupassen.<br />
Domain (Domäne): <br />
Server: <br />
Teil 2: Erstellen <strong>von</strong> Regeln zur Ereignisverarbeitung<br />
Parameter für Abschnitt 1: Erstellen Sie einen neuen Regelsatz-<br />
Ordner.<br />
• Rule-set Folder Name (Name des Regelsatz-Ordners): New<br />
Rules folder<br />
Parameter für Abschnitt 2: Erstellen Sie einen neuen Regelsatz im<br />
neuen Regelsatz-Ordner.<br />
• Rule-set Name (Name des Regelsatzes): Example Security Ruleset<br />
(Beispiel für einen Sicherheits-Regelsatz)<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 165
• Description (Beschreibung): This is an example of a windows<br />
event rule-set (Dies ist ein Beispiel für einen Regelsatz zu einem<br />
Windows-Ereignis).<br />
• Rule type (Regeltyp): Windows Events processing (Verarbeitung<br />
<strong>von</strong> Windows-Ereignissen)<br />
Parameter für Abschnitt 3: Erstellen Sie eine neue Regel im neuen<br />
Regelsatz.<br />
• Name: Example Security Rule (Beispiel für eine Sicherheitsregel)<br />
• Description (Beschreibung): This is an example of a windows<br />
event processing rule (Beispiel für eine Regel zur Verarbeitung<br />
<strong>von</strong> Windows-Ereignissen).<br />
• Rule type (Regeltyp): Windows Events processing (Verarbeitung<br />
<strong>von</strong> Windows-Ereignissen)<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event ID range (Ereignis-ID-Bereich): 671-681<br />
• Source computers (Ereignisquellen) : 192.168.0.11 –<br />
192.168.0.240<br />
• Category (Kategorie): Security Event Details (Sicherheitsereignis-<br />
Details)<br />
• User (Benutzer): Administrator<br />
• Event type (Ereignistyp): Error (Fehler)<br />
• Regel soll nur während der normalen Arbeitszeit angewandt<br />
werden<br />
• Es sollen Default Classification Actions (klassifizierungsabhängige<br />
Aktionen) verwendet werden.<br />
Teil 3: Konfigurieren <strong>von</strong> Benutzereigenschaften,<br />
Warnungen und anderen Aktionen<br />
Parameter für Abschnitt 1: Erstellen Sie eine neue Gruppe für<br />
Benutzer/Empfänger <strong>von</strong> Warnungen.<br />
• Group name (Gruppenname): <strong>GFI</strong> <strong>EventsManager</strong> User Group<br />
• Description (Beschreibung): Example <strong>GFI</strong> <strong>EventsManager</strong> User<br />
Group (Beispiel für eine <strong>GFI</strong> <strong>EventsManager</strong>-Benutzergruppe)<br />
Parameter für Abschnitt 2: Erstellen Sie einen neuen<br />
Benutzer/Empfänger <strong>von</strong> Warnungen.<br />
• User name (Benutzername): John Doe<br />
• Description (Beschreibung): Demonstration User (Testbenutzer)<br />
• E-Mail: john.doe@mycorporation.com<br />
• Mobile Number (Mobilfunknummer): 1234567890<br />
• Computer: 192.168.0.55<br />
• Working Days (Arbeitstage): Monday to Saturday<br />
• Working Hours (Arbeitszeiten): 09.00 – 19.00<br />
• Email notifications (E-Mail-Benachrichtigungen):<br />
working hours (Während der normalen Arbeitszeit).<br />
During<br />
• Network message alerts (Netzwerkwarnungen): None (keine).<br />
• SMS alerts (SMS-Warnungen): None (keine).<br />
166 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
• Member of (Mitglied <strong>von</strong>): <strong>GFI</strong> <strong>EventsManager</strong> User Group<br />
Parameter für Abschnitt 3: Lassen Sie E-Mail-Warnungen für kritische<br />
Ereignisse ausgeben.<br />
• Hostname/IP: 192. 168.0.3<br />
• Port: 25<br />
• Username (Benutzername): John Doe<br />
• Password (Passwort): pass3344<br />
• Sender email (E-Mail-Adresse<br />
john.doe@mycorporation.com<br />
• Sender name (Absendername): John Doe<br />
• Email notifications (E-Mail-Benachrichtigungen):<br />
working hours (Während der normalen Arbeitszeit).<br />
Teil 1: Konfigurieren der Protokollquellen<br />
Absender)<br />
During<br />
• Network message alerts (Netzwerkwarnungen): None (keine)<br />
• SMS alerts (SMS-Warnungen): None (keine).<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event<br />
Sources.<br />
3. Klicken Sie im linken Fenster mit der rechten Maustaste auf die<br />
Option Servers, und wählen Sie im Kontextmenü Add new<br />
computer. Der Assistent zum Hinzufügen neuer Computer wird<br />
geöffnet.<br />
Screenshot 145 – Hinzufügen eines neuen Servers, dessen Ereignisprotokolle zu erfassen sind<br />
4. Klicken Sie auf die Schaltfläche Select.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 167
5. Wählen Sie auf der Drop-Down-Liste Ihre Domäne aus (im obigen<br />
Screenshot als Beispiel "MYCORPORATION"). Klicken Sie auf die<br />
Schaltfläche Search.<br />
6. Wählen Sie aus der Liste der angezeigten Domänen-Computer<br />
Ihren Server aus (im obigen Screenshot als Beispiel "JOHNDOE01").<br />
7. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Teil 2: Erstellen <strong>von</strong> neuen Regeln zur Ereignisverarbeitung<br />
Nachfolgend erfahren Sie in drei Abschnitten, wie neue Regeln zur<br />
Verarbeitung <strong>von</strong> Windows-Ereignisprotokollen erstellt werden:<br />
Abschnitt 1: Erstellen Sie einen neuen Regelordner.<br />
Abschnitt 2: Erstellen Sie einen neuen Regelsatz<br />
ordner.<br />
im neuen Regel-<br />
Abschnitt 3: Erstellen Sie eine neue Regel im neuen Regelsatz.<br />
Abschnitt 1: Erstellen eines neuen Regelordners<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf Event<br />
Processing Rules.<br />
3. Wählen Sie im linken Navigationsbereich in der Drop-Down-Liste<br />
Log Type den Eintrag Windows Event Logs aus. Klicken Sie unter<br />
Common Tasks auf die Option Create folder, um einen neuen<br />
Ordner zu erstellen.<br />
Screenshot 146 – Erstellen eines neuen Regelordners<br />
4. Benennen Sie den neuen Ordner als New rules folder (neuer<br />
Regelordner).<br />
168 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Abschnitt 2: Erstellen eines neuen Regelsatzes<br />
1. Klicken Sie im linken Navigationsfenster mit der rechten Maustaste<br />
auf den Knoten New rules folder. Wählen Sie die Option Create new<br />
rule set, um einen neuen Regelsatz zu erstellen.<br />
Screenshot 147 – Eigenschaften eines Sicherheits-Regelsatzes<br />
2. Legen Sie folgende Eigenschaften für den Regelsatz fest:<br />
Name: Example Security Rule-set (Beispiel für einen Sicherheits-<br />
Regelsatz)<br />
Description (Beschreibung): This is an example of a windows event<br />
rule-set. (Beispiel für einen Regelsatz für ein Windows-Ereignis).<br />
3. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Abschnitt 3: Erstellen einer neuen Regel<br />
1. Klicken Sie im linken Navigationsfenster mit der rechten Maustaste<br />
auf den Knoten Example Security Rule-set. Wählen Sie im<br />
Kontextmenü Create new rule aus, um eine neue Regel zu erstellen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 169
Screenshot 148 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Angabe <strong>von</strong><br />
Regelinformationen<br />
2. Geben Sie folgende Informationen zur neuen Regel an:<br />
Name: Example security rule (Beispiel für Sicherheitsregel).<br />
Description (Beschreibung): This is an example of a new security<br />
processing rule. (Beispiel für eine neue Regel zur Verarbeitung <strong>von</strong><br />
Sicherheitsereignissen).<br />
3. Klicken Sie auf die Schaltfläche Next.<br />
Screenshot 149 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Auswahl der<br />
Protokolle<br />
170 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
4. Wählen Sie Security Events als zu verarbeitendes Protokoll aus.<br />
Klicken Sie auf die Schaltfläche Next.<br />
Screenshot 150 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Angabe <strong>von</strong><br />
Bedingungen<br />
5. Geben Sie folgende Regelbedingungen an:<br />
Event IDs: 671-681<br />
Source (Quelle): 192.168.0.11-192.168.0.240<br />
Category (Kategorie): Security Event Details (Sicherheitsereignis-<br />
Details)<br />
User (Benutzer): Administrator<br />
Event Type (Ereignistyp): Error (Fehler).<br />
6. Klicken Sie auf die Schaltfläche Next.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 171
Screenshot 151 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Auswahl des<br />
Ereigniseintritts und der Ereigniskategorie<br />
7. Legen Sie fest, wann ein Ereignis eintreten muss, damit die Regel<br />
zur Anwendung kommt, und wie es zu klassifizieren ist:<br />
The rule applies if the event happens: During Normal Operational<br />
Time (N.O.T.) (Regel findet während der normalen Betriebszeit ihre<br />
Anwendung)<br />
Classify the event as: High importance event (Ereignis wird als<br />
sehr wichtig klassifiziert).<br />
8. Klicken Sie auf die Schaltfläche Next.<br />
Screenshot 152 – Assistent zum Erstellen einer neuen Verarbeitungsregel: Auswahl <strong>von</strong><br />
Aktionen<br />
172 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
9. Wählen Sie die Option Use the default classification actions, um<br />
die klassifizierungsabhängigen Aktionen zu verwenden. Klicken Sie<br />
auf die Schaltfläche Next.<br />
10. Klicken Sie auf die Schaltfläche Finish, um die Einstellungen zu<br />
speichern.<br />
Teil 3: Konfigurieren <strong>von</strong> Benutzereigenschaften, Warnungen und<br />
anderen Aktionen<br />
Nachfolgend erfahren Sie in drei Abschnitten, wie Sie Empfänger<br />
festlegen, die mit dieser Regel gewarnt werden sollen, und wie Sie die<br />
E-Mail-Warnung erstellen:<br />
Abschnitt 1: Erstellen Sie eine neue Gruppe für Benutzer/Empfänger<br />
<strong>von</strong> Warnungen.<br />
Abschnitt 2: Fügen Sie neue Empfänger <strong>von</strong> Warnungen hinzu.<br />
Abschnitt 3: Lassen Sie E-Mail-Warnungen für kritische Ereignisse<br />
ausgeben.<br />
Abschnitt 1: Erstellen einer neuen Gruppe für<br />
Benutzer/Empfänger <strong>von</strong> Warnungen<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong><br />
<strong>GFI</strong> <strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf<br />
Options.<br />
3. Klicken Sie im linken Navigationsfenster mit der rechten Maustaste<br />
auf den Knoten Groups, und wählen Sie im Kontextmenü die Option<br />
Create group, um eine neue Gruppe zu erstellen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 173
Screenshot 153 – Eigenschaften einer neuen Benutzergruppe<br />
4. Geben Sie folgende Informationen zur neuen Gruppe an:<br />
Group name (Gruppenname): <strong>GFI</strong> <strong>EventsManager</strong> User Group<br />
Description (Beschreibung): Example <strong>GFI</strong> <strong>EventsManager</strong> User<br />
Group (Beispiel für <strong>GFI</strong> <strong>EventsManager</strong> Benutzergruppe).<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
174 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Abschnitt 2: Hinzufügen eines neuen Empfängers <strong>von</strong><br />
Warnungen<br />
Screenshot 154 – Hinzufügen <strong>von</strong> neuen Warnungsempfängern<br />
1. Klicken Sie im linken Navigationsfenster mit der rechten Maustaste<br />
auf den Knoten Users, und wählen Sie im Kontextmenü die Option<br />
Create user, um einen neuen Benutzer zu erstellen.<br />
Screenshot 155 – Allgemeine Einstellungen für einen neuen Benutzer<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 175
2. Geben Sie folgende Informationen zum neuen Benutzer an:<br />
User name (Benutzername): John Doe<br />
Description (Beschreibung): Demonstration User (Testbenutzer)<br />
E-Mail: john.doe@mycorporation.com<br />
Mobile Number (Mobilfunknummer): 1234567890<br />
Computers (Computer): 192.168.0.55.<br />
Screenshot 156 – Konfigurierung der Arbeitszeiten<br />
3. Klicken Sie auf den Reiter Working Hours, und legen Sie die<br />
Arbeitszeiten wie folgt fest:<br />
Arbeitstage: Montag bis Samstag<br />
Arbeitszeit: 09.00 – 19.00<br />
176 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 157 – Konfigurierung <strong>von</strong> Warnungen<br />
4. Klicken Sie auf den Reiter Alerts, und legen Sie die folgenden<br />
Einstellungen für Warnungen fest:<br />
Email notifications (E-Mail-Benachrichtigungen): During working<br />
hours (Während der normalen Arbeitszeit).<br />
Network message alerts (Netzwerkwarnungen): None (keine).<br />
SMS alerts (SMS-Warnungen): None (keine).<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 177
Screenshot 158 – Zuweisung eines Benutzers zu einer Benachrichtigungsgruppe<br />
5. Klicken Sie auf den Reiter Member Of, um die<br />
Gruppenmitgliedschaft des Benutzers festzulegen.<br />
6. Klicken Sie auf die Schaltfläche Add, und doppelklicken Sie in der<br />
angezeigten Liste auf den Eintrag <strong>GFI</strong> <strong>EventsManager</strong> User Group.<br />
7. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
178 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Abschnitt 3: Einrichten <strong>von</strong> E-Mail-Warnungen für kritische<br />
Ereignisse<br />
Screenshot 159 – Konfigurierung klassifizierungsabhängiger Standardaktionen<br />
1. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste<br />
auf den Knoten Default Classifications Actions, und wählen Sie<br />
Edit defaults…<br />
Screenshot 160 – Individuelle Anpassung der klassifizierungsabhängigen Standardaktionen<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung • 179
2. Wählen Sie aus der angezeigten Drop-Down-Liste den Eintrag<br />
Critical events actions für Aktionen zu kritischen Ereignissen aus.<br />
3. Markieren Sie in der Liste Action die Option Send email<br />
notifications to, um festzulegen, an welche Empfänger E-Mail-<br />
Warnungen verschickt werden sollen.<br />
4. Wählen Sie im Dialog Select users and groups die Gruppe <strong>GFI</strong><br />
<strong>EventsManager</strong> User Group aus, und klicken Sie auf die<br />
Schaltfläche Add. Klicken Sie auf die Schaltfläche OK, um den Dialog<br />
zu schließen.<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
180 • Übung 2 – Konfigurieren <strong>von</strong> Einstellungen zur Ereignisverarbeitung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Übung 3 – Ereignisabfrage und<br />
Ereignisfilterung<br />
Überblick<br />
Mit dieser Übung lernen Sie, wie Sie den Ereignisabfrage-Generator<br />
zum Erstellen neuer Ereignisabfragen nutzen können. Sie erfahren,<br />
wie Abfragen sich so konfigurieren lassen, dass nur die benötigten<br />
Ereignisdaten herausgefiltert und angezeigt werden.<br />
Parameter<br />
Die im Rahmen dieser Übung festzulegenden Parameter sind<br />
nachfolgend aufgeführt:<br />
Query Name (Abfragename): Filter events with ID 520 (Filter für<br />
Ereignis-ID 520)<br />
Description (Beschreibung): Query that displays events having event<br />
ID 520 (Abfrage, die Ereignisse mit der Ereignis-ID 520 anzeigt)<br />
Event ID (Ereignis-ID): 520.<br />
Erstellen einer neuen Ereignisabfrage<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Events Browser.<br />
2. Klicken Sie in der nun angezeigten zweiten Symbolleiste auf<br />
Windows Events Browser.<br />
3. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste<br />
auf die Option Security Events, und wählen Sie im Kontextmenü die<br />
Option Query builder… Der Ereignisabfrage-Generator wird<br />
aufgerufen.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 3 – Ereignisabfrage und Ereignisfilterung • 181
Screenshot 161 – Einrichtung des Abfragefilters<br />
4. Geben Sie folgende Informationen zur Ereignisabfrage an:<br />
Name: Filter events with ID 520 (Filter für Ereignis-ID 520)<br />
Description (Beschreibung): Query that displays events having event<br />
ID 520 (Abfrage, die Ereignisse mit der Ereignis-ID 520 anzeigt)<br />
5. Klicken Sie auf die Schaltfläche Add, und geben Sie folgende<br />
Abfragebedingungen ein.<br />
Wählen Sie den erforderlichen Operator: Equal To (ist gleich)<br />
Geben Sie den Abfragewert ein: 520.<br />
6. Klicken Sie auf die Schaltfläche OK, um den Dialog zu schließen.<br />
182 • Übung 3 – Ereignisabfrage und Ereignisfilterung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 162 – Eigenschaften eines Filters<br />
7. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Verwenden der neuen Ereignisabfrage<br />
Screenshot 163 – Auswahl des Ereignisfilters<br />
Klicken Sie im linken Navigationsbereich unter Queries > Security<br />
Events auf den Filter Filter events with ID 520 (Filter für Ereignis-ID<br />
520).<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 3 – Ereignisabfrage und Ereignisfilterung • 183
184 • Übung 3 – Ereignisabfrage und Ereignisfilterung <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Übung 4 – Datenbankoperationen<br />
Überblick<br />
Mit dieser Übung lernen Sie, wie Wartungsaufgaben für das<br />
Datenbank-Backend definiert werden. Sie erfahren, wie für diese<br />
Aufgaben ein Zeitplan erstellt wird und wie die Durchführung der<br />
Aufgaben erfolgt.<br />
Die Übung ist in fünf Teile untergliedert:<br />
• In Teil 1 wird gezeigt, wie ein Zeitplan/Intervall für das Durchführen<br />
<strong>von</strong> Wartungsaufgaben eingerichtet wird.<br />
• Teil 2 informiert Sie, wie die Wartungsaufgabe Export to file (In<br />
Datei exportieren) eingerichtet wird.<br />
• Anhand <strong>von</strong> Teil 3 erfahren Sie, wie die Wartungsaufgabe Move<br />
to database (In Datenbank verschieben) eingerichtet wird.<br />
• In Teil 4 wird gezeigt, wie die Wartungsaufgabe Delete data<br />
(Daten löschen) eingerichtet wird.<br />
• In Teil 5 erfahren Sie, wie die Wartungsaufgabe Import from file<br />
(Aus Datei importieren) eingerichtet wird.<br />
Parameter<br />
Die im Rahmen dieser Übung festzulegenden Parameter und<br />
Bedingungen sind nachfolgend aufgeführt:<br />
Teil 1: Einrichtung des Zeitplans/Intervalls für<br />
Wartungsaufgaben<br />
• Uhrzeit: 18.00 Uhr bis 9.00 Uhr<br />
• Intervall: 5 Tage<br />
• Startdatum: 22.12.2006<br />
• Startzeit: 18.00 Uhr<br />
Teil 2: Wartungsaufgabe "Export to file"<br />
Hinweis: Der Parameter Folder (Ordner) ist an Ihr Netzwerk<br />
anzupassen. Ersetzen Sie Ihn mit einem für Ihre Umgebung<br />
passenden Eintrag.<br />
• Folder: c:\esm7_export<br />
• Export events older than …(Ereignisse exportieren, die älter sind<br />
als) 5 Tage<br />
• Encrypt exported data …: pass3344<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 185
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
• Scheduled job (Ausführung nach Zeitplan)<br />
Teil 3: Wartungsaufgabe "Move to database"<br />
Hinweis: Der Parameter Database Name (Datenbankname) ist an Ihr<br />
Netzwerk anzupassen. Ersetzen Sie Ihn mit einem für Ihre Umgebung<br />
passenden Eintrag.<br />
• Database Name (Datenbankname): <strong>EventsManager</strong>200612<br />
• Move events older than (Ereignisse verschieben, die älter sind<br />
als) 5 Tage<br />
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
• Scheduled job (Ausführung nach Zeitplan)<br />
Teil 4: Wartungsaufgabe "Delete data"<br />
• Database (Datenbank): Haupt-Datenbank<br />
• Delete events older than (Ereignisse löschen, die älter sind als) 5<br />
Tage<br />
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
• Scheduled job (Ausführung nach Zeitplan)<br />
Teil 5: Wartungsaufgabe "Import from to file"<br />
Hinweis: Der Parameter Folder (Ordner) ist an Ihr Netzwerk<br />
anzupassen. Ersetzen Sie Ihn mit einem für Ihre Umgebung<br />
passenden Eintrag.<br />
• Verzeichnis: c:\esm7_export<br />
• Passwort zur Entschlüsselung: pass3344<br />
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
• Scheduled job (Ausführung nach Zeitplan)<br />
186 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Teil 1: Einrichtung des Zeitplans/Intervalls für Wartungsaufgaben<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Operations, und wählen Sie Properties.<br />
Hierdurch wird der Dialog für die Optionen zur Datenbankwartung<br />
geöffnet.<br />
Screenshot 164 – Wartung nach Zeitplan<br />
4. Per Mausklick auf den Reiter Schedule können Sie folgende<br />
Einstellungen festlegen:<br />
• Tageszeiten, zu denen Wartungsarbeiten durchgeführt werden<br />
können:<br />
18.00 Uhr bis 9.00 Uhr<br />
• Intervall: 5 Tage<br />
• Startdatum: 22.12.2006<br />
• Startzeit: 18.00 Uhr<br />
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
Teil 2: Wartungsaufgabe "Export to file"<br />
So erstellen Sie eine neue Wartungsaufgabe zum Exportieren <strong>von</strong><br />
Daten:<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 187
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Operations, und wählen Sie Create new job…<br />
Der Assistent zum Einrichten neuer Wartungsaufgaben wird<br />
aufgerufen.<br />
4. Klicken Sie auf die Schaltfläche Next, um zum Auswahlschritt Job<br />
Type zu gelangen.<br />
Screenshot 165 – Auswahl des Aufgabentyps: Wartungsaufgabe "Export to file"<br />
5. Wählen Sie die Wartungsaufgabe Export to file aus. Klicken Sie<br />
auf die Schaltfläche Next.<br />
Screenshot 166 – Für den Datenexport erforderliche Parameter<br />
188 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
6. Legen Sie folgende Exportparameter fest:<br />
• Verzeichnis: c:\esm7_export<br />
• Export events older than (Ereignisse exportieren, die älter sind<br />
als) 5 Tage<br />
7. Klicken Sie auf die Schaltfläche Next.<br />
Screenshot 167 – Verschlüsselung der exportierten Daten<br />
8. Geben Sie die folgenden Parameter an:<br />
• Encrypt exported data … (exportierte Daten mit Passwort<br />
verschlüsseln): pass3344<br />
9. Bestätigen Sie das Passwort, und klicken Sie auf die Schaltfläche<br />
Next. Als nächster Auswahlschritt sind die zu filternden<br />
Ereignisprotokolle anzugeben.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 189
Screenshot 168 – Zu filternde Protokolle<br />
10. Geben Sie folgenden zu bearbeitenden und filternden Protokolltyp<br />
an:<br />
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
11. Klicken Sie auf die Schaltfläche Filter, um weitere<br />
Filterbedingungen für Ereignisdaten zu definieren.<br />
190 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 169 – Angabe <strong>von</strong> Filterbedingungen<br />
12. Legen Sie folgende Filterparameter fest:<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
13. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
14. Klicken Sie auf die Schaltfläche Next.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 191
Screenshot 170 – Wartungsaufgabe nach Zeitplan<br />
15. Wählen Sie Scheduled job, damit die Wartungsaufgabe<br />
regelmäßig nach Zeitplan durchgeführt wird. Klicken Sie auf die<br />
Schaltfläche Finish, um die Einstellungen abschließend zu speichern.<br />
Teil 3: Wartungsaufgabe "Move to database"<br />
So erstellen Sie eine neue Wartungsaufgabe zum Verschieben <strong>von</strong><br />
Daten in eine Datenbank:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Operations, und wählen Sie Create new job…<br />
Der Assistent zum Einrichten neuer Wartungsaufgaben wird<br />
aufgerufen.<br />
4. Klicken Sie auf die Schaltfläche Next, um zum Auswahlschritt Job<br />
Type zu gelangen.<br />
192 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 171 – Auswahl des Aufgabentyps: Wartungsaufgabe "Move to database"<br />
5. Wählen Sie die Wartungsaufgabe Move to database aus. Klicken<br />
Sie auf die Schaltfläche Next.<br />
Screenshot 172 – Parameter für die die Wartungsaufgabe "Move to database"<br />
6. Legen Sie folgende Parameter fest:<br />
• Database Name (Datenbankname): <strong>EventsManager</strong>200612<br />
• Move events older than (Ereignisse verschieben, die älter sind<br />
als) 5 Tage<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 193
7. Klicken Sie auf die Schaltfläche Next. Als nächster Auswahlschritt<br />
sind die zu filternden Ereignisprotokolle anzugeben.<br />
Screenshot 173 – Zu filternde Protokolle<br />
8. Geben Sie folgenden zu bearbeitenden und filternden Protokolltyp<br />
an:<br />
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
9. Klicken Sie auf die Schaltfläche Filter, um weitere Filterbedingungen<br />
für Ereignisdaten zu definieren.<br />
194 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 174 – Angabe <strong>von</strong> Filterbedingungen<br />
10. Legen Sie folgende Filterparameter fest:<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
11. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
12. Klicken Sie auf die Schaltfläche Next.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 195
Screenshot 175 – Wartungsaufgabe nach Zeitplan<br />
13. Wählen Sie Scheduled job, damit die Wartungsaufgabe<br />
regelmäßig nach Zeitplan durchgeführt wird. Klicken Sie auf die<br />
Schaltfläche Finish, um die Einstellungen abschließend zu speichern.<br />
Teil 4: Wartungsaufgabe "Delete data"<br />
So erstellen Sie eine neue Wartungsaufgabe zum Löschen <strong>von</strong> Daten:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Operations, und wählen Sie Create new job…<br />
Der Assistent zum Einrichten neuer Wartungsaufgaben wird<br />
aufgerufen.<br />
4. Klicken Sie auf die Schaltfläche Next, um zum Auswahlschritt Job<br />
Type zu gelangen.<br />
196 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 176 – Auswahl des Aufgabentyps: Wartungsaufgabe "Delete data"<br />
5. Wählen Sie die Wartungsaufgabe Delete data aus. Klicken Sie auf<br />
die Schaltfläche Next.<br />
Screenshot 177 – Parameter zur Datenlöschung<br />
6. Legen Sie folgende Parameter fest:<br />
• Database (Datenbank): Haupt-Datenbank<br />
• Delete events older than (Ereignisse löschen, die älter sind als) 5<br />
Tage<br />
7. Klicken Sie auf die Schaltfläche Next. Als nächster Auswahlschritt<br />
sind die zu filternden Ereignisprotokolle anzugeben.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 197
Screenshot 178 – Zu filternde Protokolle<br />
8. Geben Sie folgenden zu bearbeitenden und filternden Protokolltyp<br />
an:<br />
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
9. Klicken Sie auf die Schaltfläche Filter, um weitere Filterbedingungen<br />
für Ereignisdaten zu definieren.<br />
198 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 179 – Angabe <strong>von</strong> Filterbedingungen<br />
10. Legen Sie folgende Filterparameter fest:<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
11. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
12. Klicken Sie auf die Schaltfläche Next.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 199
Screenshot 180 – Wartungsaufgabe nach Zeitplan<br />
13. Wählen Sie Scheduled job, damit die Wartungsaufgabe<br />
regelmäßig nach Zeitplan durchgeführt wird. Klicken Sie auf die<br />
Schaltfläche Finish, um die Einstellungen abschließend zu speichern.<br />
Teil 5: Wartungsaufgabe "Import from file"<br />
So erstellen Sie eine neue Wartungsaufgabe zum Importieren <strong>von</strong><br />
Daten aus einer Datei:<br />
1. Klicken Sie in der Symbolleiste der Verwaltungskonsole <strong>von</strong> <strong>GFI</strong><br />
<strong>EventsManager</strong> auf die Option Configuration.<br />
2. Klicken Sie in der darunter geöffneten Symbolleiste auf Options.<br />
3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf<br />
den Knoten Database Operations, und wählen Sie Create new job…<br />
Der Assistent zum Einrichten neuer Wartungsaufgaben wird<br />
aufgerufen.<br />
4. Klicken Sie auf die Schaltfläche Next, um zum Auswahlschritt Job<br />
Type zu gelangen.<br />
200 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Screenshot 181 – Auswahl des Aufgabentyps: Wartungsaufgabe "Import from file"<br />
5. Wählen Sie die Wartungsaufgabe Import from file aus. Klicken Sie<br />
auf die Schaltfläche Next.<br />
Screenshot 182 – Parameter für den Datenimport<br />
6. Legen Sie folgende Importparameter fest:<br />
• Verzeichnis: c:\esm7_export<br />
7. Klicken Sie auf die Schaltfläche Next.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 201
Screenshot 183 – Entschlüsselung der zu importierenden Daten<br />
8. Geben Sie die folgenden Parameter an:<br />
• Passwort zur Entschlüsselung: pass3344<br />
9. Bestätigen Sie das Passwort, und klicken Sie auf die Schaltfläche<br />
Next. Als nächster Auswahlschritt sind die zu filternden Ereignisprotokolle<br />
anzugeben.<br />
Screenshot 184 – Zu filternde Protokolle<br />
10. Geben Sie folgenden zu bearbeitenden und filternden Protokolltyp<br />
an:<br />
• Log type (Protokolltyp): Windows Event Logs (Windows-<br />
Ereignisprotokolle)<br />
202 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
11. Klicken Sie auf die Schaltfläche Filter, um weitere<br />
Filterbedingungen für Ereignisdaten zu definieren.<br />
Screenshot 185 – Angabe <strong>von</strong> Filterbedingungen<br />
12. Legen Sie folgende Filterparameter fest:<br />
• Logs (Protokolle): Security Events (Sicherheitsereignisse)<br />
• Event IDs: 528, 540<br />
13. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu<br />
speichern.<br />
14. Klicken Sie auf die Schaltfläche Next.<br />
<strong>GFI</strong> <strong>EventsManager</strong> Handbuch Übung 4 – Datenbankoperationen • 203
Screenshot 186 – Wartungsaufgabe nach Zeitplan<br />
15. Wählen Sie Scheduled job, damit die Wartungsaufgabe<br />
regelmäßig nach Zeitplan durchgeführt wird. Klicken Sie auf die<br />
Schaltfläche Finish, um die Einstellungen abschließend zu speichern.<br />
204 • Übung 4 – Datenbankoperationen <strong>GFI</strong> <strong>EventsManager</strong> Handbuch
Index<br />
K<br />
Kernarbeitszeit 28<br />
L<br />
Lizenzierung 13, 18, 126<br />
N<br />
Netzwerk-Warnmeldung 28<br />
Netzwerkwarnung 7, 32<br />
A<br />
Aktion 110, 117, 179<br />
Aktionen 5, 6, 10, 12, 35, 43,<br />
44, 56, 59, 60, 61, 166<br />
Arbeitszeit 29, 109, 119, 158,<br />
162, 176<br />
B<br />
Betriebszeit 39, 41, 110<br />
C<br />
Computer-Eigenschaften 38<br />
D<br />
Database Operations 85<br />
Datenbank-Backend 10, 12,<br />
25, 26, 27, 56, 67, 73<br />
Datenbankoperationen 185<br />
E<br />
E-Mail-Warnung 6, 27, 32,<br />
43, 59<br />
Ereignisabfrage 10, 64, 65,<br />
67, 68<br />
Ereignisabfrage-Generator<br />
68<br />
Ereignisarchivierung 6, 25,<br />
56, 59<br />
Ereigniskennzeichnung 66<br />
Ereignisklassifizierung 10,<br />
44, 56, 59, 61<br />
Ereignisquelle 9, 12, 35, 37,<br />
38, 41, 48, 110<br />
Ereignisquellen 11<br />
Ereignissicherung 73, 74<br />
Events Browser 5, 63<br />
F<br />
Filterbedingungen 91<br />
I<br />
Installationsassistent 18<br />
R<br />
Regel zur<br />
Ereignisverarbeitung 9<br />
Regeln zur<br />
Ereignisverarbeitung 5,<br />
7, 9, 12, 43, 44, 49, 51,<br />
54, 56, 57, 59, 61, 105<br />
Regelsatz 57, 106, 107, 111<br />
Registrierschlüssel 19<br />
S<br />
Schnellstart-Dialog 24, 28,<br />
35, 158, 160, 161<br />
SMS-Warnung 6, 7, 27, 30,<br />
33, 131, 158, 177<br />
Status-Monitor 75<br />
Syslog-Nachricht 23, 52<br />
Syslog-Server 23, 51, 53, 54<br />
U<br />
Update 18<br />
V<br />
Versionsinformationen 127<br />
W<br />
W3C-Protokoll 23, 43, 50,<br />
111, 117<br />
W3C-Protokolle 7, 11, 21, 39<br />
Warnoptionen 135<br />
Warnungseinstellungen 31<br />
Windows-Ereignisprotokoll 7,<br />
9, 21, 43, 50, 57<br />
Windows-Ereignisprotokolle<br />
11, 39, 45<br />
working hours 158, 166<br />
Z<br />
Zugangsdaten 41<br />
Zugriffsrechte 18<br />
<strong>GFI</strong> <strong>EventsManager</strong> Übung 4 – Datenbankoperationen • 205