Funktionsweise von GFI EventsManager

Abbildung 2 – Arbeitsabläufe von GFI EventsManager

GFI EventsManager bearbeitet Ereignisse in zwei Phasen:

•	Phase 1: Ereigniserfassung

•	Phase 2: Ereignisverarbeitung

Nachfolgend werden die Arbeitsabläufe der beiden Phasen beschrieben.

Phase 1: Ereigniserfassung

Während der Ereigniserfassung ruft GFI EventsManager Protokolle von verschiedenen Ereignisquellen ab. Hierfür stehen 2 Engines zur Verfügung: die Event Retrieval Engine und die Event Receiving Engine.

Die Event Retrieval Engine – Diese Engine wird zum Abruf der Windows-Ereignisprotokolle und W3C-Protokolle von Ereignisquellen im Netzwerk verwendet. Sie führt während der Ereigniserfassung folgende Schritte durch:

1.	Anmeldung an der/den Ereignisquelle(n)

2.	Erfassung von Ereignissen dieser Quelle(n)

3.	Übermittlung der Ereignisse an den GFI EventsManager Server

4.	Abmeldung von der/den Ereignisquelle(n)

Die Event Retrieval Engine erfasst Ereignisse in bestimmten Zeitabständen, die über die Verwaltungskonsole von GFI EventsManager konfigurierbar sind.

Die Event Receiving Engine – Diese Engine fungiert als Syslog-und SNMP-Trap-Server. Sie überwacht und erfasst Syslog-Ereignisse/Nachrichten und SNMP-Traps, die von unterschiedlichen Quellen im Netzwerk verschickt wurden. Im Gegensatz zur Event Retrieval Engine empfängt die Event Receiving Engine Nachrichten direkt von der Ereignisquelle. Eine Remote-Anmeldung vor dem Erfassen von Ereignissen ist in diesem Fall nicht erforderlich. Syslog-Ereignisse/Nachrichten und SNMP-Traps werden zudem in Echtzeit erfasst, daher müssen keine Abruf-Intervalle definiert werden.

Die Event Receiving Engine überwacht Syslog-Meldungen auf Port 514 und SNMP-Traps auf Port 162. Diese Einstellungen können jedoch über die Verwaltungskonsole von GFI EventsManager geändert werden.

Phase 2: Ereignisverarbeitung

Während dieser Phase überprüft GFI EventsManager die erfassten Ereignisse mit Hilfe mehrerer Regeln zur Ereignisverarbeitung. Sie bewirken, dass

•	erfasste Protokolle analysiert und kontrollierte Ereignisse als kritisch, hoch, mittel, niedrig oder „Noise“ klassifiziert werden,

•	Ereignisse, die bestimmten Kriterien entsprechen, herausgefiltert werden,

•	bei wichtigen Ereignissen Warnungen per E-Mail, SMS und Netzwerk versendet werden,

•	bei wichtigen Ereignissen Aktionen eingeleitet werden, wie die Ausführung von exe-Dateien oder Skripten, und dass

•	erfasste Ereignisse im Datenbank-Backend archiviert werden (optional).

GFI EventsManager kann darüber hinaus Ereignisse ohne die vorherige Kontrolle durch Regeln archivieren. In diesem Fall erfolgt die Archivierung ebenfalls im Rahmen der der Ereignisverarbeitung.