Systemwartung: Konfigurieren der Ereignisquellenüberwachung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

Um Ereignisquellen zu überwachen, müssen Sie die Ereignisquellen so konfigurieren, dass sie Benachrichtigungen erzeugen und senden, falls erforderlich. Weitere Informationen finden Sie unter Ansicht „Einstellungen“ der Benutzeroberfläche „Integrität und Zustand“ – Ereignisquellen.

So konfigurieren und aktivieren Sie die Ereignisüberwachung in NetWitness Suite:

  1. Navigieren Sie zu ADMINISTRATION > Integrität und Zustand.
  2. Wählen Sie Einstellungen > Ereignisquelle aus.

    Die Registerkarte „Ereignisquelle“ wird angezeigt.

    Registerkarte „Einstellungen“ der Benutzeroberfläche „Integrität und Zustand“ – Ereignisquelle

  3. Klicken Sie unter Ereignisquellenüberwachung auf Icon-Add.png.
    Das Dialogfeld „Quellüberwachung hinzufügen oder bearbeiten“ wird angezeigt.
  4. Definieren Sie den Quelltyp, den Quellhost und den Zeitschwellenwert für die Quelle der zu überwachenden Ereignisquelle, um zu erkennen, wenn NetWitness Suite keine Protokolle mehr von ihr empfängt.  Wenn Sie keinen Zeitschwellenwert angeben, überwacht NetWitness Suite die Ereignisquelle solange, bis Sie einen Schwellenwert angeben.

Hinweis: Für den Quelltyp und Quellhost müssen Sie die Werte angeben, die Sie für die Ereignisquelle auf der Registerkarte Ereignisquellen in der Ansicht Administration > Services > Log Collector-Service > Ansicht > Konfiguration konfiguriert haben. Fügen Sie die Ereignisquellen hinzu, die Sie überwachen möchten, oder ändern Sie sie.  Die beiden Parameter, die eine Ereignisquelle identifizieren, sind Quelltyp und Quellhost. Sie können Globbing (Musterzuordnung und Platzhalterzeichen) verwenden, wenn Sie den Quelltyp und den Quellhost der Ereignisquellen angeben.

add-edit_source_monitor_dialog.png

  1. Klicken Sie auf OK.

    Die Ereignisquelle wird im Bereich angezeigt.

  2. Führen Sie eine der folgenden Aktionen durch, um die Benachrichtigungsmethode zu konfigurieren:

    • Wählen Sie E-Mails oder Verteilerlisten konfigurieren.

      Der Bereich „ADMINISTRATION > System > E-Mail-Konfiguration“ wird angezeigt, in dem Sie angeben können, an wen Benachrichtigungen gesendet werden sollen.

    • Wählen Sie Syslog- und SNMP-Trap-Server konfigurieren.

      Der Bereich Administration > Systemauditkonfiguration wird angezeigt, in dem Sie die Syslog- und SNMP-Traps konfigurieren können, an die Benachrichtigungen gesendet werden.

  1. Klicken Sie auf Anwenden.

    NetWitness Suite beginnt mit der Versendung von Benachrichtigungen, wenn es keine Ereignisse mehr aus dieser Ereignisquelle empfängt und der Zeitschwellenwert abgelaufen ist.

Weitere Informationen zu den Parametern in der Ansicht „Einstellungen“ der Ereignisquellenüberwachung finden Sie unter Ansicht „Ereignisquellenüberwachung“.

Außerbetriebnahme der Ereignisquellenüberwachung

Wenn ein Log Collector-Service (Local Collector oder Remote Collector), für den Sie die Ereignisquellenüberwachung eingerichtet haben, nicht mehr betriebsbereit ist, werden Sie von NetWitness Suite benachrichtigt, dass keine Ereignisse eingehen, bis Sie die Sammlung außer Betrieb nehmen.

Achtung: Wenn Sie einen Failover Local Collector für einen Remote Collector konfiguriert haben und für den Local Collector ein Failover zu einem Stand-by Log Decoder durchgeführt wurde, müssen Sie den Local Collector außer Betrieb nehmen, um die Benachrichtigungen zu stoppen.   

 So nehmen Sie die Ereignisquellenüberwachung für eine Ereignisquelle außer Betrieb:

  1. Navigieren Sie zu ADMINISTRATION > Integrität und Zustand.
  2. Wählen Sie Einstellungen > Ereignisquelle aus.
    Die Registerkarte Ereignisquelle wird angezeigt.
  3. Klicken Sie unter Außerbetriebnahme auf Icon-Add.png.
    Das Dialogfeld Außerbetriebnahme wird angezeigt.
  4. Definieren Sie den Quelltyp und den Quellhost für die Quelle, für die Sie die Benachrichtigungen der Ereignisüberwachung stoppen möchten.

Dialogfeld „Außerbetriebnahme“

You are here
Table of Contents > Überwachen von Integrität und Zustand in der NetWitness Suite > Überwachen von Ereignisquellen > Konfigurieren der Ereignisquellenüberwachung

Attachments

    Outcomes