Erfassen und Verarbeiten von Syslog-Meldungen

Syslog kommt vorrangig bei Linux- und Unix-Systemen zur Protokollierung von Ereignisdaten zum Einsatz. Die Protokollierung wird dabei vollständig von einem dedizierten Syslog-Server übernommen. Im Gegensatz zu Umgebungen mit Windows- und W3C-Protokollen erfolgt sie somit nicht durch die eigentlichen Programme. Ereignisinformationen werden lediglich als Datenmitteilungen (Syslog-Meldungen) an den Syslog-Server geschickt, der für die Verwaltung und Speicherung der Daten in einer Protokolldatei verantwortlich ist.

Screenshot 46 – Eigenschaften einer Computer-Gruppe: Parameter zur Verarbeitung von Syslog-Meldungen

Zur Verarbeitung von Syslog-Meldungen bietet GFI EventsManager einen integrierten Syslog-Server. Er erfasst automatisch sämtliche von Syslog-Quellen ausgegebenen Meldungen in Echtzeit und leitet sie zur Ereignisverarbeitung an die GFI EventsManager-Engine weiter. Standardmäßig werden ohne weitere Konfigurierung Ereignisse unterschiedlicher Netzwerk-Hardware, z. B. von Cisco und Juniper, unterstützt. Weitere Informationen zu den durch vorkonfigurierte Regeln unterstützten Geräten erhalten Sie in folgendem Knowledge-Base-Artikel von GFI: http://kbase.gfi.com/showarticle.asp?id=KBID002868.

Durch einen integrierten Pufferspeicher kann der Syslog-Server bis zu 30 Meldungen zwecks Stapelverarbeitung erfassen, in eine Warteschlange stellen und weiterleiten. Zwischengespeicherte Meldungen werden standardmäßig an die Verarbeitungs-Engine weitergeleitet, wenn der Pufferspeicher seine maximale Kapazität erreicht hat oder in Intervallen von 1 Minute (je nachdem, welche dieser beiden Bedingungen zuerst eintritt).

 

Abbildung 6 – Weiterleitung von Syslog-Meldungen an den GFI EventsManager-Computer

Hinweis: Zur korrekten Verarbeitung von Syslog-Meldungen müssen alle Syslog-Quellen (z. B. Workstations, Server, Netzwerkgeräte u. Ä.) so konfiguriert werden, dass sie die Informationen an den GFI EventsManager-Computer schicken. Diese Einstellung ist auch für den eigentlichen Computer, auf dem GFI EventsManager läuft, erforderlich.

So konfigurieren Sie die Einstellungen zur Verarbeitung von Syslog-Ereignissen in GFI EventsManager:

1. Öffnen Sie den jeweiligen Eigenschaften-Dialog zum betreffenden Computer/zur Computer-Gruppe.

2. Klicken Sie auf den Reiter Syslog.

3. Wählen Sie die Option Accept Syslog messages from this computer group, um den Syslog-Server für den Empfang von Meldungen dieser Computer-Gruppe zu aktivieren.

Wichtig: Beachten Sie, dass das Löschen von Ereignissen aus Protokollen der Ereignisquelle ohne vorherige Archivierung oder anderweitige Sicherung eine Verletzung gesetzlicher Richtlinien darstellen kann. Stellen Sie daher sicher, dass wichtige Ereignisse gemäß den für Ihr Unternehmen geltenden Gesetzen zur Datenaufbewahrung und zum Datenschutz archiviert oder gesichert werden.

Hinweis 1: Standardmäßig lauscht der Syslog-Server von GFI EventsManager auf Port 514 nach Syslog-Meldungen. Weitere Informationen zur Anpassung der Port-Einstellungen erhalten Sie unter „Konfigurieren des Syslog-Server-Ports“ in diesem Kapitel.

Hinweis 2: Der integrierte Syslog-Server akzeptiert nur Syslog-Meldungen von Computern, die zur gewählten Gruppe gehören.

Archivieren von Syslog-Ereignissen

Weitere Informationen zur Archivierung von Ereignissen erhalten Sie unter „Archivieren von Ereignissen“ in diesem Kapitel.

Auswählen von Regeln zur Verarbeitung von Syslog-Ereignissen

Weitere Informationen zur Auswahl von Regeln zur Ereignisverarbeitung erhalten Sie unter „Auswählen von Regeln zur Ereignisverarbeitung“ in diesem Kapitel.