Bereich „Globale Auditprotokollierungskonfigurationen“

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

Im Bereich Globale Auditprotokollierungskonfigurationen (Admin > System > Globales Auditing) können Sie die globale Auditprotokollierung konfigurieren, indem Sie Konfigurationen hinzufügen, die definieren, wie globale Auditprotokolle an externe Syslog-Systeme weitergeleitet werden. Globale Auditprotokolle werden an den ausgewählten Benachrichtigungsserver in Ihrer globalen Auditprotokollierungskonfiguration mithilfe der ausgewählten Benachrichtigungsvorlage weitergeleitet. 

Globale Auditprotokollierung bietet Security Analytics-Prüfern konsolidierte Einsichten in Benutzeraktivitäten innerhalb von NetWitness Suite in Echtzeit von einem zentralen Standort aus.

Workflow

Dieser Workflow zeigt die erforderlichen Verfahren zum Konfigurieren und Überprüfen des Bereichs „Globale Auditprotokollierungskonfigurationen“.

Workflow für die globale Auditprotokollierungskonfiguration

Bevor Sie eine globale Auditprotokollierungskonfiguration definieren können, müssen Sie einen Syslog-Benachrichtigungsserver unter Globale Benachrichtigungen > Registerkarte Server erstellen. Der Syslog-Benachrichtigungsserver ist das Ziel, an das die globalen Auditprotokolle gesendet werden. Als nächstes müssen Sie eine Auditprotokollierungsvorlage unter Globale Benachrichtigungen > Registerkarte Vorlagen auswählen oder definieren. Die Auditprotokollierungsvorlage definiert das Format und die Meldungsfelder der Auditprotokolle, die an den Log Decoder oder Syslog-Server eines Drittanbieters gesendet werden. Bei Verwendung eines Log Decoders implementieren Sie von Live aus den Common Event Format-Parser in Ihrem Log Decoder.

Hinweis: Die Registerkarte „Ausgabe“ unter Globale Benachrichtigungen muss nicht für die globale Auditprotokollierung konfiguriert werden. 

Nachdem Sie eine globale Auditprotokollierungskonfiguration hinzugefügt haben, werden Auditprotokolle an den in der Konfiguration angegebenen Benachrichtigungsserver weitergeleitet. Testen Sie Ihre Auditprotokolle, um sicherzustellen, dass darin alle Auditereignisse aufgeführt werden, die in Ihrer Auditprotokollierungsvorlage definiert sind.

Was möchten Sie tun?

                                 
Rolle Ich möchte...Details anzeigen
AdministratorErstellen Sie einen Syslog-Benachrichtigungsserver.

Konfigurieren eines Ziels zum Empfang globaler Auditprotokolle

AdministratorEine Auditprotokollierungsvorlage auswählen.

Definieren einer Vorlage für die globale Auditprotokollierung

AdministratorKonfigurieren der globalen Auditprotokollierung

Definieren einer globalen Auditprotokollierungskonfiguration

Das vollständige Verfahren finden Sie unter „Globalen Auditprotokollierung – Übergeordnetes Verfahren“ unter Konfigurieren der globalen Auditprotokollierung.

AdministratorÜberprüfen von globalen Auditprotokollen

Überprüfen von globalen Auditprotokollen

Verwandte Themen

Überblick

Das folgende Beispiel zeigt eine globale Auditprotokollierungskonfiguration. Diese Konfigurationen definiert, wie NetWitness Suite Auditprotokolle an externe Syslog-Systeme weiterleitet.

Bereich „Globalen Auditprotokollierungskonfiguration“ unter Registerkarte „System“

                         
1Der Bereich Globale Auditprotokollierungskonfigurationen wird angezeigt.
2Name der globalen Auditprotokollierungskonfiguration.
3Benachrichtigungsserver der globalen Auditprotokollierungskonfiguration.
4Benachrichtigungsvorlage der globalen Auditprotokollierungskonfiguration.
5Zeigt den Bereich „Globale Benachrichtigungen“, in dem Sie die erforderlichen Server und Vorlagen zum Konfigurieren einer globalen Auditprotokollierungskonfiguration festlegen.

Symbolleiste

In der folgenden Tabelle werden die Aktionen der Symbolleiste beschrieben

                       
Symbol Beschreibung

Fügt eine globale Auditprotokollierungskonfiguration hinzu.

Löscht eine globale Auditprotokollierungskonfiguration. Durch das Löschen einer globalen Auditprotokollierungskonfiguration werden die zugehörigen Benachrichtigungsserver- und Vorlagen nicht gelöscht. Nachdem Sie eine globale Auditprotokollierungskonfiguration gelöscht haben, wird die in dieser Konfiguration festgelegte Weiterleitung der globalen Auditprotokolle eingestellt.

Bearbeitet eine globale Auditprotokollierungskonfiguration. Sie können das Ziel der globalen Auditprotokolle für Ihre Benutzeraudits ändern, indem Sie einen anderen Benachrichtigungsserver auswählen. Sie können auch das Format und die Meldungsfelder der globalen Auditprotokolleinträge ändern, indem Sie eine andere Benachrichtigungsvorlage auswählen. Sie können nicht ändern, welche NetWitness Suite Benutzeraktionen protokolliert und in den globalen Auditprotokollen versendet werden.

Konfigurationen

In der folgenden Tabelle werden die aufgeführten Konfigurationen beschrieben.

                           
Titel Beschreibung

Wählen Sie das Kontrollkästchen neben einer Konfiguration aus, um eine einzelne Konfiguration auszuwählen.
Wählen Sie das Kontrollkästchen in der Titelleiste der Tabelle aus, um alle Konfigurationen auszuwählen.
NameZeigt den Namen der globalen Auditkonfiguration an. Zum Beispiel können Sie die Konfigurationen auf der Grundlage des Ziels der globalen Auditprotokolle benennen, wie z. B. „HQ SA“ und „Mein Syslog-Server“.
BenachrichtigungsserverZeigt den Syslog-Benachrichtigungsserver an, der als Ziel für die globalen Auditprotokolle ausgewählt wurde. Wenn Sie globale Auditprotokolle an einen Log Decoder weiterleiten möchten, erstellen Sie einen Benachrichtigungsserver vom Syslog-Typ. Unter Konfigurieren eines Ziels zum Empfang globaler Auditprotokolle finden Sie Anweisungen zum Erstellen eines Syslog-Benachrichtigungsservers für die globale Auditprotokollierung.
BenachrichtigungsvorlageZeigt die Auditprotokollierungs-Benachrichtigungsvorlage an, die für die Konfiguration ausgewählt wurde. Sie definiert das Format und die Meldungsfelder der Auditprotokolleinträge.
Für Log Decoder verwenden Sie die Audit-CEF-Standardvorlage. Wenn bestimmte Anforderungen vorliegen, können Sie Felder zur CEF-Vorlage (Common Event Format) hinzufügen oder aus ihr entfernen. Definieren einer Vorlage für die globale Auditprotokollierung enthält Anweisungen und Unterstützte CEF-Metaschlüssel beschreibt die verfügbaren CEF-Metaschlüssel.
Für Syslog-Server von Drittanbietern können Sie eine Standard-Auditprotokollierungsvorlage verwenden oder Ihr eigenes Format (CEF oder nicht CEF) definieren. Entsprechende Anweisungen finden Sie unter Definieren einer Vorlage für die globale Auditprotokollierung. Die verfügbaren Metaschlüsselvariablen werden im Abschnitt Unterstützte Metaschlüsselvariablen für die globale Auditprotokollierung beschrieben.
Previous Topic:Referenzen
You are here
Table of Contents > Referenzen > Bereich „Globale Auditprotokollierungskonfigurationen“

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)4 Views
      Last modified on May 11, 2018 3:18 AM
      Ratings: