ESM: Alarme und Benachrichtigungen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Das Modul „Ereignisquelle“ in NetWitness Suite zeigt Alarme an und sendet Benachrichtigungen basierend auf Alarmen, die ausgelöst werden.

Für Alarme ist Folgendes zu beachten:

Es gibt zwei Arten von Alarmen: automatische (ausgelöst, wenn Baselines überschritten oder nicht erfüllt sind) und manuelle (konfiguriert mithilfe von Schwellenwerten).

  • Automatisch: Wenn Sie automatische Warnmeldungen einschalten, meldet das System Alarme für alle Ereignisquellen, die über oder unter ihre normalen Baselines um das erforderliche Maß hinausgehen. Sie können den „über/unter“-Prozentsatz auf der Registerkarte Registerkarte „Einstellungen“ angeben.
  • Manuell: Wenn Sie automatische Warnmeldungen deaktivieren, erhalten Sie Alarme nur für die Ereignisquellengruppen, für die Sie Policies (und Schwellenwerte) angegeben und aktiviert haben.
  • Alarme werden auf der Benutzeroberfläche auf der Registerkarte Registerkarte „Alarme“ angezeigt.

Für Benachrichtigungen ist Folgendes zu beachten:

  • So erhalten Sie manuelle Benachrichtigungen (per e-Mail, SNMP oder Syslog):

    • Geben Sie eine Policy für eine Ereignisquellengruppe an.
    • Legen Sie einen hohen oder niedrigen Schwellenwert (oder beide) fest.
    • Aktivieren Sie die Policy.
  • So erhalten Sie automatische (Baseline-) Benachrichtigungen:

    • „Baseline-Warnmeldungen“ muss aktiviert sein. Es ist standardmäßig aktiviert.
    • Sie müssen „Benachrichtigungen von der automatischen Überwachung“ aktivieren. Weitere Informationen finden Sie unter Konfigurieren von automatischen Warnmeldungen.
    • Die Ereignisquelle, die den Alarm auslöst, muss in einer Gruppe sein, die eine Policy aktiviert hat.
  • Wenn Sie automatische Warnmeldungen eingeschaltet haben und Sie eine Policy und einen Schwellenwert für eine Gruppe konfiguriert haben:

    • Wenn die Ereignisquelle über ihre Baseline hinausgeht, wird Ihnen eine automatische Warnmeldung angezeigt und Sie erhalten eine Benachrichtigung.
    • Wenn die Ereignisquelle über ihre Schwellenwerte hinausgeht, wird Ihnen eine manuelle Warnmeldung angezeigt und Sie erhalten eine Benachrichtigung.
    • Wenn beides geschieht (Schwellenwert und Baseline werden überschritten oder nicht erfüllt), erhalten Sie zwei Alarme (sichtbar auf der Registerkarte „Alarme“) und eine Benachrichtigung, die beide Alarme anzeigt. Diese Benachrichtigung wird die Ereignisquelle auflisten, die zweimal doppelt alarmiert hat. Dabei gibt ein Punkt auf der Liste an, dass es ein automatischer Alarm war.

Große E-Mail-Benachrichtigungen

Beachten Sie beim Einrichten von E-Mail-Benachrichtigungen, dass die E-Mail je nach Anzahl der Ereignisquellen in der Benachrichtigung sehr groß werden kann.

Wenn die Anzahl der Ereignisquellen im alarmierten Status 10.000 überschreitet, enthält die E-Mail-Benachrichtigung nur Details zu den ersten 10.000 sowie eine Angabe der Gesamtzahl. Dadurch wird erreicht, dass die E-Mail erfolgreich zugestellt werden kann.

Die folgenden Beispiele zeigen einen für zwei Ereignisquellengruppen ausgelösten unteren Schwellenwert und einen für drei Ereignisquellengruppen ausgelösten oberen Schwellenwert.

In der Benachrichtigung zur Ereignisquellenüberwachung wird ein unterer Schwellenwert für zwei Ereignisquellen angezeigt.

In der Benachrichtigung zur Ereignisquellenüberwachung wird ein oberer Schwellenwert für mehr als 50 Ereignisquellen angezeigt.

Auslösung des oberen und unteren Schwellenwerts

Es kann vorkommen, dass sowohl der obere als auch der untere Schwellenwert einer bestimmten Ereignisquellengruppe ausgelöst werden. Die einfachste Möglichkeit festzustellen, wann dies der Fall ist, ist es, die Kopfzeile der E-Mail zu lesen, in der wie in der folgenden Abbildung zu sehen klar angegeben ist, wenn beide Schwellenwerte ausgelöst werden:

In der Benachrichtigung zur Ereignisquellenüberwachung werden obere und untere Schwellenwerte für die Gruppe „ciscopix“ ausgelöst.

In diesem Beispiel steht in der Kopfzeile „Oberer Schwellenwert und unterer Schwellenwert für Gruppe ciscopix ausgelöst“. Um Details zu den zum unteren Schwellenwert gehörigen Ereignisquellen anzuzeigen, müssen Sie möglicherweise über Hunderte, wenn nicht Tausende zum oberen Schwellenwert gehörige Ereignisquellen hinweg blättern.

You are here
Table of Contents > ESM: Informationen über Ereignisquellenmanagement > ESM: Alarme und Benachrichtigungen

Attachments

    Outcomes