Table of Contents Einführung Informationen zu diesem Handbuch Aufbau dieses Handbuchs Definitionen der in diesem Handbuch verwendeten Begriffe Über GFI EventsManager Hauptmerkmale Erweiterte Ereignisprotokoll-Unterstützung Regelbasierte Verwaltung von Ereignisprotokollen Scan-Profile für Ereignisprotokolle Granulare Regelkonfigurierung Verständliche Erklärungen zu Windows-Ereignissen Optimierte Event-Scan-Engine Automatische Noise-Reduzierung Aktionen in Echtzeit Fortschrittliche Funktionen zur Ereignisfilterung Zentralisierte Ereignisüberwachung und -verwaltung Benutzerspezifische Zugriffsrechte SQL-Server-Überwachung Modul Database Operations (WAN-Connector)) Management Information Base Unterstützung von Microsoft Windows Vista und Windows Server 2008 Funktionsweise von GFI EventsManager Phase 1: Ereigniserfassung Phase 2: Ereignisverarbeitung Module mit erforderlichen administrativen Zugriffsrechten Die Verwaltungskonsole von GFI EventsManager im Überblick Lizenzierung Installation Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? Installieren von GFI EventsManager in einem Local Area Network (LAN) Installieren von GFI EventsManager in einer demilitarisierten Zone (DMZ) Verwalten von Ereignissen von Microsoft Windows Vista und Windows Server 2008 Hardware-Anforderungen Installationscomputer mit Microsoft Windows 2000/XP/2003 Installationscomputer mit Microsoft Windows Vista Software-Anforderungen Installationscomputer Zu überprüfende Computer Aktualisieren einer früheren Version Starten der Installation Erste Schritte Einführung Was ist ein Computerprotokoll? Was ist ein Ereignis? Was sind Windows-Ereignisprotokolle? Was sind W3C-Protokolle? Was ist Syslog? Was sind SNMP-Traps? Was sind Überwachungsprotokolle von Microsoft SQL Server? Erste Schritte: Starten von GFI EventsManager Erste-Schritte-Dialog Konfigurieren des Datenbank-Backends Über die Notwendigkeit der Protokollarchivierung Konfigurieren der SQL Server-Einstellungen Konfigurieren des Administratorkontos von GFI EventsManager Konfigurieren allgemeiner Optionen für Warnungen Konfigurieren von E-Mail-Warnungen Konfigurieren von Warnungen per Netzwerknachricht Konfigurieren von SMS-Warnungen Ändern der allgemeinen Optionen für Warnungen Erste Schritte: Verarbeiten von Ereignisprotokollen Konfigurieren von Ereignisquellen Einführung Hinzufügen neuer Ereignisquellen zu einer Gruppe der „Computers Groups“ Konfigurieren der Eigenschaften einer Ereignisquelle Festlegen allgemeiner Eigenschaften einer Ereignisquelle Festlegen alternativer Anmeldeinformationen des Domänenadministrators Konfigurieren der üblichen Betriebszeit einer Ereignisquelle Festlegen von Einstellungen für die Ereignisverarbeitung Hinzufügen einer neuen SQL-Server-Gruppe Festlegen der Eigenschaften von SQL-Servern als Ereignisquelle Erweitern der Standardgruppe um neue SQL-Server Entfernen von SQL-Servern aus der Standardgruppe Festlegen der Eigenschaften eines SQL-Servers Erstellen von Regeln zur Ereignisverarbeitung Einführung Regeln zur Ereignisverarbeitung Ereignisklassifizierung Flussdiagramm zur Ereignisverarbeitung, Klassifizierung und zu Aktionen Erfassen und Verarbeiten von Windows-Ereignisprotokollen Überblick Auswählen zu erfassender und zu bearbeitender Ereignisprotokolle Archivieren von Windows-Ereignissen Auswählen von Regeln zur Verarbeitung von Windows-Ereignissen Konfigurieren individueller Ereignisprotokolle Erfassen und Verarbeiten von W3C-Protokollen Auswählen zu erfassender und zu verarbeitender Ereignisprotokolle Archivieren von W3C-Ereignissen Auswählen von Regeln zur Verarbeitung von W3C-Ereignissen Erfassen und Verarbeiten von Syslog-Meldungen Archivieren von Syslog-Ereignissen Auswählen von Regeln zur Verarbeitung von Syslog-Ereignissen Konfigurieren des Syslog-Server-Ports Erfassen und Verarbeiten von SNMP-Traps Archivieren von SNMP-Traps Auswählen von Regeln zur Verarbeitung von SNMP-Traps Konfigurieren der Einstellungen des SNMP-Trap-Servers Archivieren von Ereignissen Archivieren von Ereignissen ohne Protokollverarbeitung Archivieren von Ereignissen nach der Verarbeitung Auswählen von Regeln zur Ereignisverarbeitung Manuelles Scannen von Ereignisquellen Konfigurieren von Warnungen und Aktionen Einführung Default Classification Actions (klassifizierungsabhängige Standardaktionen) Von Regeln zur Ereignisverarbeitung gestartete Aktionen Unterstützte Aktionen Konfigurieren der standardmäßigen Klassifizierungsaktionen Konfigurieren von Aktionen für Regeln zur Ereignisverarbeitung Ereignisanzeige per Events-Browser Einführung Tools zur Ereignisanzeige Ereignisfilter/Ereignisabfrage-Generator Farbliches Hervorheben unterschiedlicher Ereignisse Tool zur Ereignissuche Tool zum Exportieren von Ereignissen Anzeigen gespeicherter Ereignisprotokolle Starten einer Ereignisabfrage Erstellen benutzerdefinierter Ereignisabfragen Anpassen des Ereignisanzeige-Bereichs Auswählen der anzuzeigenden Spalten Anzeigen der Ereignisbeschreibung Farbliches Kennzeichnen von Ereignissen Kennzeichnen eines Ereignisses mit einer bestimmten Eigenschaft Kennzeichnen mehrerer Ereignisse Tool zur Ereignissuche Tool zum Export von Ereignissen Sichern von Ereignissen Wechseln zwischen Datenbanken Löschen aller Ereignisse Statusüberwachung Einführung Aufrufen des Status-Monitors Ansicht zum allgemeinen Status („General“) EventsManager Service Status EventsManager Servers Status Database Backend Status Global Event Count Events Type By Classification Activity Overview Ansicht zu Erfassungsabläufen („Job Activity“) Active Jobs Queued Jobs Server Message History Operational History Maintenance Jobs Ansicht zu Statistiken („Statistics“) Events Count For Today Events Count By Log Type Events Type By Classification Windows Events Count By Event Log Datenbankoperationen Einführung Gründe für die Datenbankwartung Konsolidieren von Ereignissen in einem WAN Konfigurieren der Datenbankwartung per Database Operations Einrichten einer Wartungsaufgabe Aufgabe „Move to database“ (in Datenbank verschieben) Aufgabe „Export to file“ (in Datei exportieren) Benennung der Exportdatei Aufgabe „Import from file“ (aus Datei importieren) Aufgabe „Delete data“ (Daten löschen) Konfigurieren der Datenfilter-Bedingungen Beispiel: Filter für Windows-Ereignisprotokolle Erweiterte Filterbedingungen Anzeigen geplanter Wartungsaufgaben Statusanzeige zu Wartungsprozessen Bearbeiten einer Wartungsaufgabe Ändern der Priorität einer Wartungsaufgabe Löschen einer Wartungsaufgabe Anpassen von Regeln zur Ereignisverarbeitung Einführung Erstellen eines neuen Regelsatz-Ordners Umbenennen und Löschen von Ordnern Erstellen eines neuen Regelsatzes Bearbeiten eines Regelsatzes Löschen eines Regelsatzes Erstellen einer neuen Regel für Windows-Ereignisprotokolle Erstellen einer neuen Regel für W3C-Protokolle Erstellen einer neuen Syslog-Regel Erstellen einer neuen Regel für SNMP-Traps Erstellen einer neuen Regel für SQL-Server-Audit-Protokolle Ändern der Eigenschaften einer Regel Festlegen erweiterter Einstellungen zur Ereignisfilterung Bedingungen für Windows-Ereignisse Syslogspezifische Kategorien Konfigurieren von Benutzern und Gruppen Einführung Erstellen eines neuen Benutzers Ändern von Benutzereigenschaften Löschen von Benutzern Konfigurieren einer Benutzergruppe Ändern von Eigenschaften einer Benutzergruppe Löschen von Benutzergruppen Aktivieren/Deaktivieren der Anmeldung bei GFI EventsManager Aktivieren/Deaktivieren der Überwachung von Benutzeraktionen Weiterführende Optionen Befehlszeilen-Tools Exportdata.exe Importdata.exe Importsettings.exe Anpassen von eindeutigen Kennungen (Unique Identifiers) Lizenzierung Eingeben des Registrierschlüssels nach der Installation Versionsinformationen Suchen nach neueren Builds Fehlerbehebung Einführung Knowledge-Base Web-Forum Technischer Support von GFI Benachrichtigung bei neuen Builds
