Erstellen von Regeln zur Ereignisverarbeitung Einführung GFI EventsManager unterstützt die Erfassung und Verarbeitung von Windows-Ereignisprotokollen, W3C-Protokollen, Syslog-Meldungen, SNMP-Traps und Microsoft SQL Server Überwachungsprotokollen. Die Protokolle führen Ereignisse in eigenen, proprietären Formaten, für die Einstellungen separat zu definieren sind. Einstellungen für die Protokollerfassung und -verarbeitung lassen sich konfigurieren: • für jeden einzelnen Computer • für jede einzelne Computer-Gruppe Bei der Verarbeitung von Ereignissen überprüft GFI EventsManager die erfassten Protokolle mit mehreren konfigurierbaren Regeln, auf deren Grundlage Ereignisse klassifiziert und gegebenenfalls Warnungen ausgegeben und Aktionen durchgeführt werden. Im Lieferumfang von GFI EventsManager sind bereits mehrere vordefinierte Regeln zur Ereignisverarbeitung enthalten, mit der sich Protokolle im gesamten Netzwerk ohne großen Konfigurationsaufwand erfassen und kontrollieren lassen. Regeln zur Ereignisverarbeitung Regeln zur Ereignisverarbeitung enthalten Anweisungen/Checks, die bewirken, dass • erfasste Protokolle analysiert werden. • Ereignisse klassifiziert werden: Die Einstufung erfolgt anhand der Einstellungen der jeweiligen Verarbeitungsregel. • Ereignisse, die bestimmten Kriterien entsprechen, herausgefiltert werden: Beispielsweise lassen sich mit einer Regel Ereignisse von geringerer Bedeutung und als „Noise“ identifizierte Events herausfiltern. • je nach Schwere des Ereignisses Warnungen und Aktionen erfolgen: Wird ein Ereignis als „kritisch“" eingestuft, kann beispielsweise eine Warnung per SMS und E-Mail verschickt werden. Bei einer niedrigeren Klassifizierung wie „hoch“ besteht hingegen die Möglichkeit, die Mitteilung lediglich per E-Mail zu verschicken. Weitere Informationen hierzu erhalten Sie im Kapitel „Konfigurieren von Warnungen und Aktionen". • gefilterte Ereignisse archiviert werden (optional): Die Archivierung erfolgt abhängig von der Schwere eines Ereignisses und den Einstellungen der Verarbeitungsregeln. Beispielsweise lassen sich nur solche Ereignisse für die Archivierung bestimmen, die als „kritisch“ oder „hoch“ klassifiziert wurden. GFI EventsManager verwaltet Regeln zur Ereignisverarbeitung in Regelsätzen, in denen eine oder mehrere Einzelregeln gruppiert sein können. Screenshot 38 – Ordner mit Regelsätzen und einzelne Regelsätze Regelsätze werden in nach Kontrollbereich unterteilten Ordnern verwaltet. Je nach Kontrollbereich enthalten Regelsätze Regeln mit unterschiedlichen Funktionen und Aktionen. GFI EventsManager bietet bereits vordefinierte Regelsatz-Ordner, Regelsätze und Regeln zur Ereignisverarbeitung, die sich an Ihre Anforderungen anpassen lassen. Ereignisklassifizierung GFI EventsManager stuft Ereignisse in 5 Kategorien ein: • Kritisch • Hoch • Mittel • Niedrig • Noise („Rauschen“, d. h. unerwünschte oder wiederholt auftretende Protokolleinträge) Die Klassifizierung erfolgt anhand der auf die Protokolle angewendeten Regeln. Ereignisse, die keine Bedingungen der Regeln zur Ereignisklassifizierung erfüllen, werden als „nicht klassifiziert“ („unclassified“) gekennzeichnet. Auch für diese Ereignisse lassen sich dieselben Warnungen und Aktionen wie für klassifizierte Events einrichten. Flussdiagramm zur Ereignisverarbeitung, Klassifizierung und zu Aktionen Im folgenden Flussdiagramm werden die einzelnen Schritte der Ereignisverarbeitung durch GFI EventsManager dargestellt. Screenshot 39 – Flussdiagramm zur Ereignisverarbeitung, Klassifizierung und zu Aktionen
