Erstellen von Regeln zur Ereignisverarbeitung : Erfassen und Verarbeiten von SNMP-Traps
Erfassen und Verarbeiten von SNMP-Traps
Abbildung 7 – Weiterleitung von SNMP-Traps an den GFI EventsManager-Computer
SNMP (Simple Network Management Protocol) ist ein Netzwerkprotokoll, mit dem Netzwerkelemente wie Router, Switches, Server u. Ä. zentral überwacht und gesteuert werden können. Auf netzwerkfähigen Geräten eingetretene Ereignisse werden von der Hardware per SNMP-Trap gemeldet und zur zentralen Protokollierung an einen SNMP-Trap-Server geschickt. Das SNMP-Messaging ähnelt somit dem Syslog-Konzept, da im Gegensatz zu Umgebungen mit Windows- und W3C-Protokollen die Hardware ihre SNMP-Meldungen nicht in lokalen Protokollen speichert.
GFI EventsManager bietet native Unterstützung für zahlreiche SNMP-fähige Geräte und zugehörige MIBs (Management Information Bases). Eine vollständige Liste der unterstützten Geräte steht zum Abruf bereit unter: http://kbase.gfi.com/showarticle.asp?id=KBID002868.
Screenshot 49 – Eigenschaften einer Computer-Gruppe: Parameter zur Verarbeitung von SNMP-Traps
Der für die Verarbeitung von SNMP-Traps erforderliche dedizierte SNMP-Trap-Server ist im Lieferumfang von GFI EventsManager enthalten. Durch einen integrierten Pufferspeicher kann er bis zu 30 Meldungen zwecks Stapelverarbeitung erfassen, in eine Warteschlange stellen und weiterleiten. Zwischengespeicherte Meldungen werden standardmäßig an die Verarbeitungs-Engine weitergeleitet, wenn der Pufferspeicher seine maximale Kapazität erreicht hat oder in Intervallen von 1 Minute (je nachdem, welche dieser beiden Bedingungen zuerst eintritt).
Hinweis: Zur korrekten Verarbeitung von SNMP-Traps müssen alle SNMP-Trap-Quellen (z. B. Workstations, Server, Netzwerkgeräte u. Ä.) so konfiguriert werden, dass sie Meldungen an den GFI EventsManager-Computer schicken. Diese Einstellung ist auch für den eigentlichen Rechner, auf dem GFI EventsManager läuft, erforderlich.
So legen Sie die Einstellungen zur Verarbeitung von SNMP-Traps fest:
1. Öffnen Sie den Eigenschaften-Dialog zum betreffenden Computer/zur Computer-Gruppe.
2. Klicken Sie auf den Reiter SNMP-Traps.
3. Zum Empfang und zur Verarbeitung von SNMP-Traps per SNMP-Trap-Server wählen Sie die Option Accept SNMP Traps messages from this computer group.
Wichtig: Beachten Sie, dass das Löschen von Ereignissen aus Protokollen der Ereignisquelle ohne vorherige Archivierung oder anderweitige Sicherung eine Verletzung gesetzlicher Richtlinien darstellen kann.
Hinweis 1: Standardmäßig lauscht der SNMP-Trap-Server von GFI EventsManager auf Port 162 nach SNMP-Traps. Weitere Informationen zur Anpassung der Port-Einstellungen erhalten Sie unter „Konfigurieren der Einstellungen des SNMP-Trap-Servers" in diesem Kapitel.
Hinweis 2: Der SNMP-Trap-Server akzeptiert nur SNMP-Meldungen von Computern, die zur gewählten Gruppe gehören.
Hinweis 3: Der SNMP-Trap-Server unterstützt auch verschlüsselte Traps der SNMP-Version 3. Für diese Meldungen muss zur Entschlüsselung im Feld Decrypt incoming SNMP Traps 3 messages der Host-Schlüssel angegeben werden.
Archivieren von SNMP-Traps
Weitere Informationen zur Archivierung von Ereignissen erhalten Sie unter „Archivieren von Ereignissen“ in diesem Kapitel.
Auswählen von Regeln zur Verarbeitung von SNMP-Traps
Weitere Informationen zur Auswahl von Regeln zur Ereignisverarbeitung erhalten Sie unter „Auswählen von Regeln zur Ereignisverarbeitung“ in diesem Kapitel.