Reporting: Bereich „Warnmeldung erstellen oder ändern“

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

Der Bereich „Warnmeldung erstellen oder ändern“ ist ein Bereich in der Ansicht „Warnmeldungsliste“. In diesem Bereich können Sie eine Warnmeldung entsprechend den Anforderungen erstellen oder ändern.

Workflow

Workflow der Ansicht „Warnmeldung“

Was möchten Sie tun?

                                           
RolleZielDokumentation

Administrator/Analyst

Konfigurieren der Reporting Engine

Konfigurieren der Reporting Engine

Administrator/Analyst

Konfigurieren einer Warnmeldung*

Konfigurieren einer Warnmeldung

Administrator/Analyst

Planen einer WarnmeldungPlanen einer Warnmeldung

Administrator/Analyst

Anzeigen einer Warnmeldung

Anzeigen einer Warnmeldung

Administrator/AnalystUntersuchen einer WarnmeldungErmitteln einer Warnmeldung
Administrator/AnalystManagen einer Warnmeldung und WarnmeldungsvorlageManagen einer Warnmeldung und Warnmeldungsvorlage

*Sie können diese Aufgaben hier durchführen.

Verwandte Themen

Übersicht über Warnmeldungen

Konfigurieren einer Warnmeldung

Schnellansicht

Die folgende Abbildung zeigt ein Beispiel mit der Bezeichnung der wichtigsten Funktionen.

Warnmeldung erstellen/ändern

                             
1Klicken Sie auf Monitor> Berichte, um die Registerkarte „Managen“ anzuzeigen.
2Klicken Sie auf Warnmeldungen, um die Warnmeldungsansicht anzuzeigen.
3

Klicken Sie auf , um zum Bereich „Warnmeldungen erstellen oder bearbeiten zu navigieren.

4Aktivieren Sie die Warnmeldung, navigieren Sie zur Regel und wählen Sie eine Datenquelle für die Warnmeldung.
5Geben Sie eine kurze Beschreibung der Warnmeldung ein.
6Definieren Sie die Methoden für Warnmeldungsbenachrichtigungen (Datensatz, SMTP, SNMP, Syslog), wenn eine Warnmeldungsbedingung vorliegt.

Der Bereich „Erstellen oder Ändern von Warnmeldungsansichten“ enthält folgende Bereiche:

  • Warnmeldungsdefinition
  • Beschreibung der Warnmeldung
  • Warnmeldungsbenachrichtigung

Warnmeldungsdefinition

In der nachstehenden Tabelle sind die Felder des Bereichs „Warnmeldungsdefinition“ beschrieben.

                         
FeldBeschreibung
Aktivieren
  • Die Option Aktivieren aktiviert die Warnmeldung. Die Warnmeldung wird ausgeführt und sendet Ausgabeaktionen im Minutentakt (standardmäßig), wenn die Bedingungen für die Warnmeldung erfüllt sind.
  • Die Option Deaktivieren deaktiviert eine Warnmeldung. Die Warnmeldung wird nicht ausgeführt und sendet keine Ausgabeaktionen.
RegelbasisKlicken Sie auf Durchsuchen, um den Bereich „Regelbibliothek“ anzuzeigen, von dem aus Sie die Regelbasis für diese Warnmeldung auswählen.
Sie müssen eine Regel auswählen, die eine eindeutige Where-Klausel für eine Warnmeldung enthält.
DatenquellenGibt die Datenquelle der Warnmeldung an.
Per Push an die Decoder übertragenÜberträgt die „Where“-Klausel der Warnmeldungsregel per Push auf die Decoder, die mit der ausgewählten NWDB-Datenquelle verbunden sind. Hierbei handelt es sich um die empfohlene Option zur Erstellung einer RE-Warnmeldung, da die Warnmeldungsbedingungen auf dem Decoder selbst überprüft werden und die Warnmeldungsabfragen in NWDB vergleichsweise schneller sind.
Wenn Sie diese Option deaktivieren, wird die Warnmeldungsregel mit der Where-Klausel auf der gewählten NWDB-Datenquelle abgefragt. Basierend auf der Komplexität und der Metas in der Where-Klausel der Regel kann die Ausführung der Warnmeldungsabfragen in NWDB mehr Zeit in Anspruch nehmen.

Hinweis: NetWitness sendet die Regeln nicht automatisch an den Decoder.

Beschreibung der Warnmeldung

In der nachstehenden Tabelle sind die Felder des Bereichs „Warnmeldungsbeschreibung“ beschrieben:

                     
FeldBeschreibung
BeschreibungBeschreibt die Regel.
ErstellenErstellt eine Warnmeldung. (Diese Option wird bei der Erstellung einer Warnmeldung angezeigt.)
SpeichernSpeichert die an einer Warnmeldung durchgeführten Änderungen. (Diese Option wird bei der Änderung einer Warnmeldung angezeigt.)

Warnmeldungsbenachrichtigung

Durch die Warnmeldungsbenachrichtigung können Sie die Benachrichtigungsaktion definieren, die NetWitness durchführt, wenn eine Warnmeldung ausgelöst wird, z. B. Warnmeldungen mithilfe einer der festgelegten Ausgabeaktionen aufzeichnen oder senden. Die Ausgabeaktionen sind Simple Mail Transfer Protocol (SMTP), Simple Network Management Protocol (SNMP) oder Syslog-Meldungen.

Die Benachrichtigung enthält die Standardregisterkarte „Datensatz“, die Sie zum Erstellen einer Warnmeldung nutzen. Durch das Symbol neben der Registerkarte „Datensatz“ können Sie den Benachrichtigungstyp aus der Drop-down-Liste für die Ausgabe aussuchen, den Sie für diese Warnmeldung angeben möchten. SMTP, SNMP, oder Syslog.

Je nachdem, welchen Benachrichtigungstyp Sie ausgewählt haben, wird der Bereich „Benachrichtigung“ mit einem vordefinierten Text ausgefüllt, der bestimmte Variablen enthält, die passende Metadaten zur Warnmeldung hinzufügen. In der Reporting Engine werden diese Variablen durch tatsächliche Werte ersetzt. In der folgenden Tabelle sind die Variablen mit Beschreibung aufgelistet.

                                 
VariableBeschreibung
${meta.<metakey>} Der Metaschlüsselwert.

Hinweis: Wenn der <Metaschlüssel> keinen Wert abgerufen hat, wird eine leere Zeichenfolge ("") gedruckt. 
Standardmäßig werden in Reporting Engine alle wiederholten Werte für einen Metaschlüssel angezeigt. Wenn Metawerte in der Warnmeldungsausgabe nicht wiederholt werden sollen, aktivieren Sie die Option „removeRepeatedMetaValue“. Navigieren Sie dazu in der Ansicht Konfiguration > Warnmeldungskonfiguration, verfügbar für die Reporting Engine in der Ansicht Service-Konfiguration > Durchsuchen.
Beispiel: In einer HTTP-Sitzung wird der Wert für eine Aktion als „get, get, put, put, post, get“ angezeigt. Wenn diese Option aktiviert ist, wird der Wert als „get, put, post“ angezeigt.

${meta.time} / ${meta.time:<time_format>} ${meta.time}: Die Sitzungszeit wird im Format „jjjj-MMM-dd HH:mm:ss“ gedruckt.
${meta.time:<time_format>} : Die Sitzungszeit wird im vom Benutzer angegebenen benutzerdefinierten Zeitformat gedruckt. Zum Beispiel ${meta.time:dd-MM-yyyy HH:mm:ss}.
Weitere Informationen über das unterstützte Zeitformat erhalten Sie unter  http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.html

Hinweis: Wenn das vom Benutzer angegebene Zeitformat ungültig ist, wird das Standardzeitformat angewendet. Das Standardzeitformat ist „JJJJ-MMM-TT hh:mm:ss“.

${name}      Name der Warnmeldung, der in der Reporting Engine definiert ist.
${count}     Anzahl, wie oft eine Warnmeldung in einem vorgegebenen Zeitraum erkannt wird. (Standardmäßig ist es eine Minute)
${nw.host}     NetWitness-Hostname, wie in der Reporting Engine konfiguriert.
${device.id}      Die NetWitness-Geräte-ID der Datenquelle.

Die Warnmeldungsbenachrichtigung verfügt über vier Registerkarten:

Registerkarte Datensatz

In der Registerkarte Datensatz können Sie die Frequenz zur Aufnahme einer Warnmeldung und der Meldung angeben, die Sie beim Auslösen einer Warnmeldung erzeugt werden soll.

Bereich „Warnmeldungsdatensatz“

In der folgenden Tabelle werden die Felder der Registerkarte „Datensatz“ mit den jeweiligen Beschreibungen aufgelistet.

                     
FeldBeschreibung
AusführenDie Frequenz, mit der eine Warnmeldung aufgezeichnet wird.
  • Einmal – Zeichnet die Warnmeldung nur einmal auf, basierend auf dem Warnmeldungsintervall und unabhängig davon, wie oft die Warnmeldung ausgelöst wird. NetWitness zeichnet auf, wie oft die Warnmeldung tatsächlich während des Intervalls in der Protokolldatei ausgelöst wurde, sodass die Analysten wissen, wie oft die Warnmeldung einen Treffer innerhalb eines angegeben Tages registriert hat.
  • Jedes Ereignis – Zeichnet die Warnmeldung jedes Mal auf, wenn diese ausgelöst wird. Wenn eine Warnmeldung unzählig oft an einem Tag ausgelöst wird, wird diese Warnmeldung oft als Störung behandelt und kann ignoriert werden, es sei denn, es handelt sich um eine Warnmeldung, die eine kontinuierliche Überwachung erfordert, wie zum Beispiel Änderungen der Netzwerkkonfiguration und DDoS-Angriffe.

Hinweis: Wählen Sie die Einstellung Jedes Ereignis aus der Drop-down-Liste Ausführen für SNMP- und Syslog-Ausgabeaktionen aus. 

TextkörperDer Nachrichtentext.
Textkörpervorlage(Optional) Wenn Vorlagen definiert wurden, können Sie für die Warnmeldung eine Vorlage auswählen. 

Registerkarte SMTP

In der Registerkarte SMTP können Sie die SMTP-(E-Mail)-Ausgabe für diese Warnmeldung definieren.

Warnmeldung SMTP-Bereich

In der folgenden Tabelle werden die Felder der Registerkarte SMTP mit entsprechender Beschreibung aufgelistet.

                             
FeldBeschreibung
Führen Sie folgenden Befehl ausDie Häufigkeit, in der für die Warnmeldung eine E-Mail gesendet wird.
  • Einmal – Sendet nur eine E-Mail pro Intervall, wenn Warnmeldungen in diesem Intervall ausgelöst werden, unabhängig davon, wie viele Warnmeldungen ausgelöst wurden.
  • Jedes Ereignis – Sendet eine E-Mail mit der Warnmeldung für jedes Ereignis, auf das die Regelkriterien zutreffen.
AnDie E-Mail-Adressen, an die diese Warnmeldung gesendet werden soll. 
BetreffDer Betreff der E-Mail.
TextkörperDer Nachrichtentext.
Textkörpervorlage(Optional) Wenn Vorlagen definiert wurden, wählen Sie eine Vorlage für die SMTP-Meldung aus, die Sie so, wie sie ist, verwenden oder ändern können.

Registerkarte SNMP

In der Registerkarte SNMP können Sie die SNMP-Ausgabe für die Warnmeldung definieren.

Bereich Warnmeldung SNMP
In der folgenden Tabelle werden die verschiedenen Felder der Registerkarte „SNMP“ mit entsprechender Beschreibung aufgelistet.

                     
FeldBeschreibung
Führen Sie folgenden Befehl ausDie Häufigkeit, in der eine für eine Warnmeldung SNMP-Ausgabe gesendet wird.
  • Einmal – Sendet eine SNMP-Meldung in einer E-Mail für ein Intervall, wenn in diesem Intervall eine Warnmeldung ausgelöst wird, unabhängig davon, wie viele Warnmeldungen ausgelöst wurden.
  • Jedes Ereignis – Sendet eine SNMP-Meldung mit der Warnmeldung für jedes Ereignis, auf das die Regelkriterien zutreffen.
TextkörperDer Nachrichtentext.
Textkörpervorlage(Optional) Wenn Vorlagen definiert wurden, wählen Sie eine Vorlage für die SNMP-Meldung aus, die Sie so, wie sie ist, verwenden oder ändern können.

Registerkarte „Syslog“

In der Registerkarte „Syslog“ können Sie die Syslog-Meldungsausgabe für diese Warnmeldung definieren.

Bereich „Warnmeldung Syslog“

Klicken Sie auf , um eine Syslog-Konfiguration zu einer Warnmeldung hinzuzufügen. Das Dialogfeld „Neue Syslog-Konfiguration“ wird angezeigt:

Neue Syslog-Konfiguration
In der folgenden Tabelle sind die verschiedenen Felder des Dialogfelds „Neue Syslog-Konfiguration“ beschrieben:

                                 
FeldBeschreibung
Syslog-KonfigurationenDie Syslog-Konfiguration im Bereich „Syslog-Konfiguration“ der Ansicht „Gerätekonfiguration“.
AusführenGibt an, wie oft Sie eine Syslog-Ausgabe für die Warnmeldung senden möchten.
  • Einmal – Sendet eine Syslog-Ausgabe mit einer E-Mail für ein Intervall, wenn es in diesem Intervall zu einer Warnmeldung kommt, unabhängig davon, wie viele Warnmeldungen ausgelöst wurden.
  • Jedes Ereignis – Sendet eine Syslog-Ausgabe mit der Warnmeldung für jedes Ereignis, auf das die Regelkriterien zutreffen.
GerätGibt den Programmtypen der Meldungs-Protokollierung an. Einige Beispiele von Programmtypen: Syslog, Daemon, Mail, Kernel.
SchweregradSchweregrad der generierten Warnmeldungen.
  • Notfall
  • Warnmeldungen
  • Kritisch
  • Error
  • Warnung
  • Hinweis
  • Informational
  • Debuggen
TextkörperDer Nachrichtentext.
Textkörpervorlage(Optional) Wenn Vorlagen definiert wurden, wählen Sie eine Vorlage für die Syslog-Nachricht aus, die Sie so, wie sie ist, verwenden oder ändern können.
You are here
Table of Contents > Warnmeldungsreferenzen > Ansicht „Warnmeldung erstellen oder ändern“

Attachments

    Outcomes