ESM: Registerkarte „Einstellungen“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Die Registerkarte „Einstellungen“ enthält Optionen zur automatischen Überwachung (Baseline-Warnmeldungen). Öffnen können Sie diese Registerkarte durch Klicken auf ADMIN > „Ereignisquellen“ > „Einstellungen“.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess zur Konfiguration von Ereignisquellen.

Der Workflow veranschaulicht den allgemeinen Prozess zur Konfiguration von Ereignisquellen.

Was möchten Sie tun?

                       
RolleZielDokumentation
Administrator

Policies und Schwellenwerte für Ereignisquellengruppen festlegen, damit bei Nichteinhaltung der Schwellenwerte E-Mail-Benachrichtigungen versendet werden

Einrichten von Benachrichtigungen

Administrator Baseline-Warnmeldungen anzeigen oder deren Verhalten ändern

Konfigurieren von Warnmeldungen für Ereignisquellengruppen

Verwandte Themen

Automatische Warnmeldungen

Einrichten von Benachrichtigungen

Deaktivieren von Benachrichtigungen

Überblick

Für Ereignisquellengruppen lassen sich Policies und Schwellenwerte festlegen. Sobald die Schwellenwerte nicht eingehalten werden, erhalten Sie eine Benachrichtigung. Darüber hinaus bietet NetWitness Suite auch die Möglichkeit für den automatisierten Versand von Alarmen, falls Sie keine Schwellenwerte zur Alarmerzeugung festlegen möchten.

Informationen über automatische Warnmeldungen

Sie können Policies und Schwellenwerte für Ihre Ereignisquellengruppen einrichten. So erhalten Sie Benachrichtigungen, wenn die Schwellenwerte nicht eingehalten werden. NetWitness Suite bietet darüber hinaus eine Methode, Alarme automatisch zu erhalten, wenn Sie keine Schwellenwerte einrichten möchten, um Alarme zu erzeugen.

Um automatische Warnmeldungen auszulösen, können Sie Baselinewerte verwenden. Auf diese Weisemüssen Sie nicht zahlreiche Gruppenschwellenwerte und -Policies einrichten, um Warnmeldungen zu erhalten. Jede ungewöhnliche Menge von Nachrichten löst Warnmeldungen aus, ohne dass eine Konfiguration erforderlich ist (außer dem Einschalten der automatischen Warnmeldungen).

Beachten Sie Folgendes:

  • Sobald Sie damit beginnen, Nachrichten aus einer Ereignisquelle zu sammeln, braucht das System etwa eine Woche, um einen Baselinewert für diese Ereignisquelle zu speichern. Nach diesem ersten Zeitraum warnt Sie das System, wenn die Anzahl der Nachrichten für einen Zeitraum um eine bestimmte Menge über oder unter der Baseline liegen. Standardmäßig ist diese Menge 2 Standardabweichungen über oder unter der Baseline.
  • Legen Sie Ihre Einstellungen der oberen und unteren Abweichung danach fest, wie „regelmäßig“ Ihre Ereignisquellen sich verhalten. D. h., wenn Sie keine oder nur wenig Abweichung in der Anzahl der Nachrichten erwarten, die in einem bestimmten Zeitraum eingehen (z. B. 8 bis 9 Uhr an einem Wochentag), können Sie einen niedrigen Wert für die Abweichung festlegen. Wenn Sie andererseits oft sehr hohe Abweichungen sehen, legen Sie den Abweichungswert höher fest.
  • Wenn Sie eine Policy aktivieren, aber keine Schwellenwerte festgelegt haben, können Sie dennoch automatische (Baseline-) Benachrichtigungen erhalten, sofern Sie automatische Warnmeldungen aktiviert haben.

Hinweis: Automatische Warnmeldungen und ihre Einstellungen befinden sich derzeit im Betatest.

Beispiel für den Bildschirm „Einstellungen für automatische Überwachung“

                                         
1Bestimmt, ob automatische Warnmeldungen aktiviert oder deaktiviert sind. Diese Option ist standardmäßig ausgewählt (automatische Warnmeldungen sind eingeschaltet)
2

Bestimmt, ob Benachrichtigungen für automatische Warnmeldungen aktiviert oder deaktiviert sind. Diese Option ist standardmäßig deaktiviert (automatische Benachrichtigungen werden nicht gesendet, wenn automatische Warnmeldungen ausgelöst werden)

3

Bei Unterschreitung dieser Standardabweichungen erhalten Sie Warnmeldungen. Der Standardwert ist 2.0 (Wahrscheinlichkeit von 95 %).

4Bei Überschreitung dieser Standardabweichungen erhalten Sie Warnmeldungen. Der Standardwert ist 2.0 (Wahrscheinlichkeit von 95 %).
5

Bei Auswahl dieser Option wird die Anzahl der Ereignisquelle im Intervall von einer Stunde gespeichert. Die erfassten Daten werden verwendet, um die Baselinewerte für jede Ereignisquelle zu bilden.

  • Aktiviert (Standard): Eine Anzahl pro Stunde und Ereignisquelle wird in der zugrunde liegenden Datenbank gespeichert. Dieser einstündigen Zählungen (oder Aggregationen) bilden die Verlaufsbasis zur Berechnung des normalen Bereichs für jede Ereignisquelle.
  • Deaktiviert: Wenn der SMS-Server neu gestartet wird, wird die Ereignisquellenüberwachung keine Verlaufsdaten aufweisen, anhand derer der normale Bereich berechnet werden kann. Der Benutzer wird dann warten müssen, bis genügend Daten (etwa die Daten einer Woche) erfasst worden sind, um eine neue Grundlage für jede Ereignisquelle zu bilden.
6Kontrolliert, wie viele Verlaufsdaten (siehe Aggregierungspersistenz aktivieren) für jede Ereignisquelle aufbewahrt werden. Der Standardwert von 120 Tagen bedeutet, dass etwa 4 Monate Verlaufsdaten aufbewahrt und verwendet werden, wenn die Basis für jede Ereignisquelle rekonstruiert wird.
7

Wenn aktiviert, werden Daten über das Verhalten der automatischen Warnmeldungen auf Festplatte gespeichert. Der Standardwert ist aktiviert.

Die aufbewahrten Daten umfassen den Baselinewert im Laufe der Zeit und den Warnmeldungsverlauf für jede Ereignisquelle. Beachten Sie jedoch, dass Ereignisquellenadresse und -typ anonymisiert sind. Es wird also nur Ihre Ereignisrate angezeigt.

Da automatische Warnmeldungen eine Betafunktion ist, sind diese Daten wichtig, um die Wirksamkeit der Funktion zu messen. Dies kann ohne Auswirkung auf die Funktion der automatischen Warnmeldungen deaktiviert werden.

8Die Option Zurücksetzen verwirft alle ungespeicherten Änderungen für alle Einstellungen auf der Seite.
9Klicken Sie auf Anwenden, um alle Änderungen an den Werten auf dieser Seite zu speichern.

Funktionen

Die Registerkarte „Einstellungen“ enthält die folgenden Funktionen.

                                               
FunktionBeschreibung
Automatische Überwachung aktivieren

Bestimmt, ob automatische Warnmeldungen aktiviert oder deaktiviert sind. Diese Option ist standardmäßig ausgewählt (automatische Warnmeldungen sind eingeschaltet)

Benachrichtigungen von der automatischen Überwachung aktivieren

Bestimmt, ob Benachrichtigungen für automatische Warnmeldungen aktiviert oder deaktiviert sind. Diese Option ist standardmäßig deaktiviert (automatische Benachrichtigungen werden nicht gesendet, wenn automatische Warnmeldungen ausgelöst werden)

Untere Standardabweichungen

Bei Unterschreitung dieser Standardabweichungen erhalten Sie Warnmeldungen. Der Standardwert ist 2.0 (Wahrscheinlichkeit von 95 %).

Obere Standardabweichungen

Bei Überschreitung dieser Standardabweichungen erhalten Sie Warnmeldungen. Der Standardwert ist 2.0 (Wahrscheinlichkeit von 95 %).

Aggregierungspersistenz aktivieren

Bei Auswahl dieser Option wird die Anzahl der Ereignisquelle im Intervall von einer Stunde gespeichert. Die erfassten Daten werden verwendet, um die Baselinewerte für jede Ereignisquelle zu bilden.

  • Aktiviert (Standard): Eine Anzahl pro Stunde und Ereignisquelle wird in der zugrunde liegenden Datenbank gespeichert. Dieser einstündigen Zählungen (oder Aggregationen) bilden die Verlaufsbasis zur Berechnung des normalen Bereichs für jede Ereignisquelle.
  • Deaktiviert: Wenn der SMS-Server neu gestartet wird, wird die Ereignisquellenüberwachung keine Verlaufsdaten aufweisen, mit denen der normale Bereich berechnet werden kann, und der Benutzer wird warten müssen, bis genügend Daten (etwa die Daten einer Woche) erfasst werden, um eine neue Grundlage für jede Ereignisquelle zu bilden.
Intervall für Aggregierungspersistenz in Tagen

Kontrolliert, wie viele Verlaufsdaten (siehe Aggregierungspersistenz aktivieren) für jede Ereignisquelle aufbewahrt werden. Der Standardwert von 120 Tagen bedeutet, dass etwa 4 Monate Verlaufsdaten aufbewahrt und verwendet werden, wenn die Basis für jede Ereignisquelle rekonstruiert wird.

Erzeugung von Analysedaten aktivieren

Wenn aktiviert, werden Daten über das Verhalten der automatischen Warnmeldungen auf Festplatte gespeichert. Der Standardwert ist aktiviert.

Die aufbewahrten Daten umfassen den Baselinewert im Laufe der Zeit und den Warnmeldungsverlauf für jede Ereignisquelle. Beachten Sie jedoch, dass Ereignisquellenadresse und -typ anonymisiert sind. Es wird also nur Ihre Ereignisrate angezeigt.

Da automatische Warnmeldungen eine Betafunktion ist, sind diese Daten wichtig, um die Wirksamkeit der Funktion zu messen. Dies kann ohne Auswirkung auf die Funktion der automatischen Warnmeldungen deaktiviert werden.

Zurücksetzen

Diese Option verwirft alle ungespeicherten Änderungen für alle Einstellungen auf der Seite.

Anwenden

Klicken Sie auf Anwenden, um alle Änderungen an den Werten auf dieser Seite zu speichern.

You are here
Table of Contents > Referenzen > ESM: Registerkarte „Einstellungen“

Attachments

    Outcomes