NW Cfg: Definieren einer globalen Auditprotokollierungskonfiguration

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Anweisungen für Administratoren zum Definieren einer globalen Auditprotokollierungskonfiguration. Dieses Verfahren muss nur durchgeführt werden, wenn Sie in Ihrer Umgebung eine zentralisierte Auditprotokollierung einrichten möchten. In den globalen Auditprotokollierungskonfigurationen wird festgelegt, wie die globalen Auditprotokolle an externe Syslog-Systeme oder Log Decoder weitergeleitet werden. Die Auditprotokolle werden an die ausgewählten Benachrichtigungsserver gesendet.

Voraussetzungen

Bevor Sie beginnen, konfigurieren Sie zunächst die folgenden Komponenten für die Verwendung der globalen Auditprotokollierung:

  • Syslog-Benachrichtigungsserver
  • Auditprotokollierungsvorlage

Die Konfiguration des Benachrichtigungsservers und der Vorlage erfolgt im Bereich „Globale Benachrichtigungen“. Den Bereich Globale Benachrichtigungen können Sie aufrufen, indem Sie im Bereich Globale Auditprotokollierungskonfigurationen auf den Link Einstellungen anzeigen klicken. Für die globale Auditprotokollierung können nur Benachrichtigungsserver des Typs Syslog definiert werden. Verwenden Sie für Log Decoders einen Benachrichtigungsserver des Typs Syslog sowie eine Auditprotokollierungsvorlage im Common Event Format (CEF). Sie können eine Standard-Auditprotokollierungsvorlage verwenden oder Ihre eigene Vorlage definieren. Es ist auch möglich, mehrere Auditprotokollierungsvorlagen und Syslog-Benachrichtigungsserver für Ihre globalen Auditprotokollierungskonfigurationen zu erstellen. 

Wenn Ihre globalen Auditprotokolle an einen Log Decoder weitergeleitet werden, implementieren Sie von Live aus den Common Event Format-Parser in Ihrem Log Decoder.

Hinzufügen einer globalen Auditprotokollierungskonfiguration

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im Bereich „Optionen“ die Option Globales Auditing aus.
    Der Bereich Globale Auditprotokollierungskonfigurationen wird angezeigt.
  3. Klicken Sie auf , um eine globale Auditprotokollierungskonfiguration hinzuzufügen.
    Das Dialogfeld Neue Konfiguration hinzufügen wird angezeigt.
    Dialogfeld „Neue Konfiguration hinzufügen“
  4. Geben Sie im Feld Konfigurationsname einen eindeutigen Namen für die globale Auditprotokollierungskonfiguration ein. Beispielsweise können Sie eine globale Auditprotokollierungskonfiguration für einen bestimmten Zweck erstellen, wie etwa HQ NW für eine NetWitness Suite-Konfiguration für den Unternehmenshauptsitz.
  5. Wählen Sie im Bereich Benachrichtigungen den Syslog-Benachrichtigungsserver aus, der in dieser Konfiguration verwendet werden soll. Der Benachrichtigungsserver ist das Ziel, an das die globalen Auditprotokolle gesendet werden.
  6. Wählen Sie die Benachrichtigungsvorlage für die Auditprotokollierung aus, die in dieser Konfiguration verwendet werden soll. In der Auditprotokollierungsvorlage sind das Format und die Meldungsfelder des zu versendenden Auditprotokolls festgelegt. 
  7. Klicken Sie auf Speichern.

Im Abschnitt Dialogfeld "Neue Konfiguration hinzufügen" finden Sie weitere Informationen und Beispiele für die protokollierten Benutzeraktionen. Eine Liste der Meldungstypen, die von den verschiedenen Komponenten von NetWitness Suite protokolliert werden, finden Sie unter Bereich „Globale Auditprotokollierungskonfigurationen“.

Bearbeiten einer globalen Auditprotokollierungskonfiguration

Dieses Thema enthält Anweisungen zur Bearbeitung einer globalen Auditprotokollierungskonfiguration. Sie können eine globale Auditprotokollierungskonfiguration bearbeiten, um das Ziel der globalen Auditprotokolle für Ihre Benutzeraudits zu ändern, indem Sie einen anderen Benachrichtigungsserver auswählen. Sie können auch die Felder für Format und Meldung der globalen Auditprotokolleinträge ändern, indem Sie eine andere Benachrichtigungsvorlage auswählen. Änderungen am Benachrichtigungsserver oder an der Vorlage nehmen Sie im Bereich „Globale Benachrichtigungen“ vor. Den Bereich Globale Benachrichtigungen können Sie aufrufen, indem Sie im Bereich Globale Auditprotokollierungskonfigurationen auf den Link Einstellungen anzeigen klicken.

Sie können nicht ändern, welche NetWitness Suite-Benutzeraktionen protokolliert und in den globalen Auditprotokollen versendet werden. 

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im Bereich „Optionen“ die Option Globales Auditing aus.
  3. Wählen Sie im Bereich Globale Auditprotokollierungskonfigurationen eine zu bearbeitende Konfiguration aus und klicken Sie auf .
  4. Ändern Sie im Dialogfeld Neue Konfiguration hinzufügen die globale Auditprotokollierungskonfiguration wie erforderlich. Sie können den Namen der Konfiguration ändern und einen anderen Benachrichtigungsserver oder eine andere Vorlage auswählen.
  5. Klicken Sie auf Speichern.

Löschen einer globalen Auditprotokollierungskonfiguration

Durch das Löschen einer globalen Auditprotokollierungskonfiguration werden die zugehörigen Benachrichtigungsserver- und Vorlagen nicht gelöscht. Nachdem Sie eine globale Auditprotokollierungskonfiguration gelöscht haben, wird die in dieser Konfiguration angegebene Weiterleitung der globalen Auditprotokolle eingestellt.

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im Bereich „Optionen“ die Option Globales Auditing aus.
  3. Wählen Sie im Bereich Globale Auditprotokollierungskonfigurationen eine zu löschende Konfiguration aus und klicken Sie auf .
    Ein Bestätigungsdialogfeld wird angezeigt.
  4. Klicken Sie auf Yes.
    Die ausgewählte Konfiguration wird gelöscht.
You are here
Table of Contents > Standardverfahren > Konfigurieren der globalen Auditprotokollierung > Definieren einer globalen Auditprotokollierungskonfiguration

Attachments

    Outcomes