5 Recopilar registros de eventos
Contents
1. ce cece ee ee eee c cece eceeeeeeeeeeeees 208 Configurar propiedades generales de comprobaci n 2 200eeeee eens 208 Captura de pantalla 157 Captura de pantalla 158 Captura de pantalla 159 Captura de pantalla 160 Captura de pantalla 161 Captura de pantalla 162 Captura de pantalla 163 Captura de pantalla 164 Captura de pantalla 165 Captura de pantalla 166 Captura de pantalla 167 Captura de pantalla 168 Captura de pantalla 169 Captura de pantalla 170 Captura de pantalla 171 Captura de pantalla 172 Captura de pantalla 173 Captura de pantalla 174 Captura de pantalla 175 Captura de pantalla 176 Captura de pantalla 177 Captura de pantalla 178 Captura de pantalla 179 Captura de pantalla 180 Captura de pantalla 181 Captura de pantalla 182 Captura de pantalla 183 Captura de pantalla 184 Captura de pantalla 185 Captura de pantalla 186 Captura de pantalla 187 Captura de pantalla 188 Captura de pantalla 189 Captura de pantalla 190 Captura de pantalla 191 Captura de pantalla 192 Captura de pantalla 193 Captura de pantalla 194 Captura de pantalla 195 Captura de pantalla 196 Configurar par metros de comprobaci n de supervisi n 20 eeeeeeeee 209 Seleccionar or genes efectuados 2 2 2 2 ccc cccceccceccceccecceeeceeeceeeceecneeees 210 Definir el intervalo de tiempo del an lisis cccceecececececeeeeeeees 211 Configurar acci2. days hours minutes seconds click here to load sample Captura de pantalla 148 Ficha Folder properties Schedule 4 En la ficha Schedule defina el intervalo de tiempo en el cual GFI EventsManager ejecuta las comprobaciones de supervisi n en los or genes de evento seleccionados De forma predeterminada el intervalo de comprobaci n de supervisi n se define en 5 segundos GFI EventsManager 10 Supervisi n activa 200 Folder properties General Target computers Schedule Action events Action events Generate an audit event from this machine device when the check Fails x 5 Continuous 5 Only once Once every 5 minutes Once every 10 messages Y When the check switch state generate an audit event from this machine device Failed severity 2 Critical Success severity l6 Informational click here to load sample Captura de pantalla 149 Ficha Folder Properties Action events v Nota Independientemente de si la supervisi n activa falla o tiene xito el equipo que ejecuta la comprobaci n genera un registro de eventos Este registro de eventos puede ser procesado por las reglas de procesamiento de eventos que permiten activar alertas o ejecutar secuencias de comando o aplicaciones para las operaciones de recuperaci n Para obtener m s informaci n consulte Crear nuevas reglas desde eventos existentes 5 En la ficha
3. Captura de pantalla 243 Filtrar eventos no deseados por medio de condiciones de filtrado GFI EventsManager 14 Mantenimiento de base de datos 289 10 Agregue parametros de filtrado avanzado para importar solamente datos especificos Deje en blanco esta opci n para importar todos los registros de eventos O Nota Para obtener m s informaci n consulte Dise ar restricciones de consultas E a Completing the New Job Wizard Select when the job should be executed 5 4 Run the job now The job will be executed only once lt Back Finish Cancel Captura de pantalla 244 Especificar cuando se ejecuta la tarea de mantenimiento Seleccione Run the job now y haga clic en Finish 14 2 8 Importar desde almacenamiento de archivos heredados Para importar desde tareas de archivos heredados 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations haga clic con el boton secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asistente GFI EventsManager 14 Mantenimiento de base de datos 290 Job Type Select the job type Please select the type of action that this job should perform 5 Import Export Job Import data from another database instance Export data from this instance to files and import data as part of the data centralization process 9 Legacy Import Job Import data fro
4. 000 20 cc cece cece eee eeceeeeeeeseeeeeees 212 Tabla 74 Acciones de clasificaci n predeterminadas 2 c cece cece eee e eee ee cece eeeceeceeeeeeeeeees 217 Tabla 75 Cuadro de di logo Alerting Options Email alerts 0 00 0 0 c ccc c cee eee cece cece cece cece eeeeeues 220 Tabla 76 Cuadro de di logo Alerting Options SMS 000 c ccc e cece cece ccc e cece eee eeeeeceeeeeeeeeenees 222 Tabla 77 Opciones de alerta Capturas SNMP 00 22 00 cece cece cece cece ee cece cece teen ee ceeeeeeeneeeees 223 Tabla 78 Opciones de alerta Configuraci n general 20 c cece cece cece eee ec cece eeeeeeceeeeeeeeeeeeaes 224 Tabla 79 Opciones de filtrado de usuarios 22 2 2 cece ec ccc ec ccecececeeeccceeeccceeeccecetcceeeccceeeeeeeees 238 Tabla 80 Opciones de rotaci n de base de datos 2 22 2 ec ccc ccc ceccccceccceccceccceecceeccecceecceeeceeeees 261 Tabla 81 Configurar operaciones de base de datos 2 eee c cece eee ccceceeecccccceceecccccceceeeeecccceeees 262 Tabla 82 Tipos de tareas de Mantenimiento _ 2 2 cece cece ceccccecccccecccceecccececcceeeccceeecceeteees 263 Tabla 83 Crear tareas de mantenimiento Opciones de programaci n 22 cecceecececeeeceeeceees 267 Tabla 84 Filtrar datos exportados 2 0200 e cc cce cece ee ecccceeeeeccccecceeeccccceceeeecccceceeteeneceeees 270 Tabla 85 Crear tareas de mantenimiento Opciones de p
5. Reporting General Configurations Default Classification Actions 4 Users and Groups Console Security and Audit Options i Security Options Anonymization Options Audit Options t Auto discovery Credentials B Syslog Server Options E SNMP Traps Server Options lll Performance Options Common Tasks A W Open Quick Launch Console Help Send us feedback Anonymization Options Edit anonymization options Configure protection for encrypted data Captura de pantalla 191 Activar la consola de anonimizaci n 1 En la ficha Configuration gt Options expanda el nodo Console Security and Audit Options haga clic con el bot n secundario en Anonymization y haga clic en Edit anonymization options GFI EventsManager 13 Opciones de auditoria y seguridad de la consola 246 Anonymization xa Gorra EA Configure anonymization protection level Y Enable Anonymization Confirm key Y Use a secondary protection key Protection key Secondary protection key is optional Y Archive storage might be changed if you enable anonymization ok Cancel at Captura de pantalla 192 Opciones de anonimizaci n 2 Seleccione Enable Anonymization e ingrese la contrase a de cifrado 3 Opcional Seleccione Use a secondary protection key para utilizar dos contrase as para cifrar el registro de eventos Los registros de eventos sola
6. Add New Event Sources Select the event sources Specify the computers from where GFI EventsManager will collect logs i A 2 In GFI EventsManager event sources are organized into event source groups The event sources specified below will be added to the Servers group Add the following computers 192 168 11 11 Computer Remove ice set Mi MailServer E Workstation 11 In order to scan a machine running Microsoft Vista or a newer operating system you must install GFI EventsManager on a machine running Microsoft Vista or a newer operating system Captura de pantalla 40 Agregar nuevo asistente de origen de eventos GFI EventsManager 4 Administrar origenes de eventos 69 3 En la siguiente tabla se describen las opciones disponibles Tabla 15 Agregar nuevos origenes de eventos manualmente Opci n Descripci n Add Ingrese el nombre del equipo o la direcci n IP en el campo Add the following computers Haga clic en Add para agregar el equipo especificado en la lista Computer nota Repita este paso hasta que haya agregado todos los origenes de eventos al grupo seleccionado nota Puesto que los syslog y las capturas SNMP utilizan direcciones IP para determinar el origen de un evento se recomienda utilizar la direcci n IP de origen en lugar del nombre del equipo al agregar or genes de syslog y capturas SNMP Remove Seleccione uno o varios equipos de la lista Computer y haga clic en
7. Classify the event as High importance event X Captura de pantalla 141 Nueva regla a partir de un evento Configuraci n general 3 Especifique un nombre nico y una descripci n opcional para la nueva regla 4 En el men desplegable The rule applies if the event happens seleccione el momento en que la regla es aplicable Seleccione una de las siguientes opciones At any time of the day para cualquier momento del dia During Normal Operational Time para el tiempo operativo normal gt Outside the Normal Operational Time fuera del tiempo operativo normal vw Nota Para obtener mas informacion consulte Configurar tiempo operativo de los origenes de eventos 5 En el men desplegable Classify the event as seleccione el nivel de clasificaci n que desea asignar al evento cuando se genere GFI EventsManager 9 Reglas de procesamiento de eventos 191 Select formats Log names File Replication Service Windows PowerShell Application Microsoft Windc a mA MEE 2 Applications and Services Logs Captura de pantalla 142 Nueva regla a partir de un evento Seleccionar registros que desea recopilar 6 En la ficha Event Logs seleccione los registros que desea recopilar Para agregar registros personalizados haga clic en Add custom log especifique el nombre del registro personalizado y haga clic en OK v Nota Para obtener
8. AND zs Not date Occured This Month AND importance Critical AND importance High ada eit petete clear Captura de pantalla 236 Agregar condiciones de filtrado para filtrar datos no deseados 9 Agregue parametros de filtrado avanzado para importar solamente datos especificos Deje en blanco esta opci n para importar todos los registros de eventos O Nota Para obtener m s informaci n consulte Dise ar restricciones de consultas GFI EventsManager 14 Mantenimiento de base de datos 285 Completing the New Job Wizard Select when the job should be executed 4 Run the job now The job will be executed only once Captura de pantalla 237 Especificar cudndo se ejecuta la tarea de mantenimiento Seleccione Run the job now y haga clic en Finish 14 2 7 Importar desde archivos heredados Para importar desde tareas de archivos heredados 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations haga clic con el boton secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asistente GFI EventsManager 14 Mantenimiento de base de datos 286 Job Type Select the job type gt Please select the type of action that this job should perform Import Export Job Import data from another database instance Export data from this instance to files and import dat
9. GFI Network Server Monitor GFI EventsManager GFI BackUp GFI Device Warden and GFI EndPointSecurity Software MEACE CANCCIUIY ACINCIA TUC CAI IMAI TENMRAC ARKIN CORIMITIORNIC ME TUIC 4 I accept the terms in the License Agreement eme Bak J net canei Captura de pantalla 20 EULA del servidor de base de datos DLib 4 Lea detenidamente el acuerdo de licencia Seleccione accept the terms in the License Agreement y haga clic en Next GFI EventsManager 2 Instalaci n de GFI EventsManager 47 Destination Folder Click Next to install to the default folder or dick Change to choose another Install GFI Database Server 2 0 to c Program Files GFI Database Server 2 0 Captura de pantalla 21 Carpeta de instalaci n de DLib 5 Haga clic en Next para instalar el servidor de bases de datos en la carpeta predeterminada o haga clic en Change para seleccionar una carpeta alternativa para la instalaci n avona GET Click Install to begin the installation Click Back to review or change any of your installation settings Click Cancel to exit the wizard Captura de pantalla 22 Iniciar instalaci n del servidor de base de datos DLib 6 Haga clic en Install para iniciar la instalaci n del servidor de base de datos DLib Haga clic en Finish cuando se le solicite GFI EventsManager 2 Instalaci n de GFI EventsManager 48 v Nota Una vez instalado
10. 2 0 22 ccccecceeccceccecccecceeecceeceees 253 Editar configuraci n de almacenamiento de archivos 0 2 2c eceeeeeeees 254 Habilitar el cifrado 2 0 0 e eee tence ee eneeeeeeeeeees 255 Activar o desactivar hashing de registros _ 2 200 cccceeccceeccceeeececeecceees 256 Cuadro de di logo Record hashing cccccececececececcceecceeeceeeceeees 257 Ficha Options Li A AS tada 258 Cambiar de base de datos desde el panel _ 20 0 cece eecceececccecececeecceees 259 Configurar opciones de rotaci n de bases de datos cc cecececeeeceeees 260 Cuadro de di logo Database Operations Options cccceceeeceeeceees 262 Crear tareas de importaci n exportaci n 0ccccceecceccceececceeeeees 264 Importar desde archivo 2 0 0 cece cece ccc ecccccccceccccccccececccccceeeeeeccceeeees 264 Importar desde archivo Especificar ruta del archivo de importaci n 265 Descifrar archivos de importaci n seguros oooocooccccccccccoccccccconcnnncnnncnooo 265 Agregar condiciones de filtrado ooocccoccccccccccccccccccccnccnncconccnncnnnccnno 266 Ejecutar opciones de tarea 0 lee ce cece ee eee eee cece cece ee eee eeeeeeees 267 Crear tareas de importaciOn exportaciOn 002 c cece cece eee eeceeceeeeees 268 Exportar acuncarchiVo ic yeoecsesacs aida 268 do YP ES Nee RM Ce te e A ote AON Nate NE cea nn He Sachets Ui ooh 269 Descif
11. 8 Generaci n de informes 178 9 Reglas de procesamiento de eventos Durante el procesamiento de eventos GFI EventsManager ejecuta un conjunto de reglas configurable en los registros recopilados con el fin de clasificar los eventos y activar las alertas acciones seg n corresponda De forma predeterminada GFI EventsManager viene con un conjunto preconfigurado de reglas de procesamiento de eventos que le permite obtener control de toda la red sobre los registros del equipo con un esfuerzo de configuraci n m nimo Tambi n puede modificar estas reglas predeterminadas o crear otras adaptadas a las necesidades de su organizaci n Temas de este cap tulo 9 1 Acerca de las reglas de procesamiento de eventos ooocccccccccccccccccccccccccccccnnnncccccccnnnnccoss 179 9 2 Administrar carpetas de conjuntos de reglas o ooocccoccccccccccccccccccccococccccccnnnncccccccnnnnccons 181 9 3 Crear nuevas reglas de procesamiento de eventos 2 2 eee eee cece cece cece cece eeeeeeeeeeeees 184 9 4 Crear nuevas reglas desde eventos existentes 2 22 2 2 22 ooo eceececceeeeee ee cece ee ceeeeececeeeeeees 189 9 5 Par metros de filtro avanzado de eventos 2 22 20 e eee c ccc ceceeceeceeceeceeeeeceeeeeees 194 9 6 Priorizar reglas de procesamiento de eventos 00 2222 0 cece eee c cece e cece cece ceeeeeeeceeeeeees 195 9 1 Acerca de las reglas de procesamiento de eventos Las reglas de procesamiento de eventos son comprobaciones que se ejecu
12. ooccccccccccccccccccccccccnocnnono 231 Filtrar cuenta de usuario ooooccccccccccccccccccnccccconnnccnnnnncnnnnnnnnnnnnnnnnnnnns 232 Crear UN NUEVO usuario 2 ccc cece cece e cece cece eee eeeeeeeeeeeeees 233 Crear un nuevo usuario Propiedades generales 220cceeeeeeeeeeeees 233 Crear un nuevo usuario Horas de trabajo ooooooccccccccccccccccccccccccccnnnoos 234 Crear un nuevo usuario Opciones de alerta 2c cee eee e cece eeeee eens 235 Crear un nuevo usuario Seleccionar grupos de notificaci n 2 2 22 236 Crear un nuevo usuario Privilegios 0 0 00 e cece cece cece e eee ce ee eeeeeeees 237 Opciones de filtrado de usuarios 20 2 0 cece cece cece eee cece eceeeceeeeeeneeees 238 Crear un nuevo grupo de usuarios 20 220 c cece eee e cece cece cece eeeeeeeeeeeees 239 Crear un nuevo grupo de usuarios Propiedades generales 22 06 240 Crear un nuevo grupo de usuarios Propiedades generales ooooccccccccccccco 241 Editar opciones de seguridad de la consola ooocccccccccccccccccccccncccnononoss 243 Habilitar sistema de inicio de sesi n de EventsManager ooocccccccccccccccocccooo 244 Solicitud de credenciales de inicio de sesi n oooococccccccccccccccocccccnccnccnos 245 Activar la consola de anonimizaci n ooccccccccccccnccnccocccccccccncnnccncnnnnos 246 Opciones de anonimizaciOn oooocccccccccccccccn
13. 5 Opcional Haga clic en Edit para cambiar el nombre del evento personalizado seleccionado o haga clic en Remove para eliminar el evento personalizado seleccionado 6 Haga clic en Apply y OK 5 6 Recopilar registros de eventos de GFI LanGuard GFI EventsManager le permite supervisar los eventos generados por GFI LanGuard GFI LanGuard es una herramienta de an lisis de vulnerabilidad de red que audita su red para detectar debilidades que podr an aprovechar usuarios con fines maliciosos Durante las auditor as de red GFI LanGuard crea eventos en el Application Log de la m quina en el que est instalado Por cada m quina que analiza GFI LanGuard se genera una entrada Aplication Log con un Event ID 0 y con un Source definido como GFI LanGuard Estos eventos denotan la informaci n de vulnerabilidades de la red que se extrajo de los equipos analizados incluso Tabla 37 Informaci n recopilada por GFI LanGuard Informaci n reco Descripci n pilada Nivel de amenaza Recopila informaci n sobre el nivel general de amenazas en la red Esta clasificaci n se genera a trav s de un extenso algoritmo despu s de que GFI LanGuard audita la red Revisiones y service Averig e a qu equipos le faltan actualizaciones y qu actualizaciones se deben instalar para packs faltantes reforzar el nivel de seguridad Puertos abiertos Descubra todo puerto TCP o UDP abierto no deseado GFI EventsManager 5 Recopilar registros de eventos
14. Captura de pantalla 263 Bot n para comprar 2 En el panel derecho haga clic en Buy now Ser redireccionado a la pagina web de GFI donde puede ver m s informaci n acerca de las licencias y la compra de una clave v lida GFI EventsManager 15 Configurar la Consola de administraci n 306 v Nota Para obtener m s informaci n consulte Informacion de licencias http www gfi com page 13789 products gfi even tsmanager pricing licensing licensing Informacion de precios http www gfi com products gfi eventsmanager pricing 15 4 Informaci n de versi n del producto GFI recomienda mantener GFI EventsManager actualizado y usar la ltima versi n del producto para obtener compatibilidad integral con caracter sticas y dispositivos La informaci n de la versi n tambi n puede ser til para solucionar errores de funcionalidad con un representante de soporte t cnico Consulte las siguientes secciones para obtener informaci n acerca de 15 4 1 Comprobar su versi n de GFI EventsManager Para comprobar los detalles de informaci n de su versi n 1 En la ficha General gt General haga clic en Version Information 0 3 GF EventsManager Fo Jess File Configure Help Status Configuration Events Browser Reporting General a General Send us feedback W Open Quick Launch Console Help GA Licensing Version Information GFI EventsManager 2013 Support Copyright 2006
15. 00 0 2 cece cece ence ec ceccecceceeseeseees 255 14 1 4 Cambiar de base de datos de almacenamiento de archivos __ 257 14 1 5 Configurar opciones de rotaci n de bases de datos 2 2 2 e eee cece cece 260 14 1 6 Configurar operaciones de base de datos 0 20 2 0 ccc cece cece ec cccceccecceeeeees 261 14 2 Crear tareas de mantenimiento u un anaana anaana cece cee eeeeeeee 262 14 2 1 Importar desde archivo 2 0 20 occ c ence ccnccncecceeceecteseeseeseeseeseeees 263 14 2 2 Exportar a UN archivo 22 2 occ cece ccc ence cece ce ceeceececcenceteeeseeeseseeeeseeaes 267 142 3 Expontaria SQL heise fe a o Ls tel he da ae A 271 14 2 4 Copiar datos 20 2 0 occ cece ccc ccc ccc ence cenccncecceeceeceeceeseeseeseestneeteenetneeeeees 276 14 2 5 Confirmar eliminaciones nn nn cece eeeeeeees 279 14 2 6 Importar desde la base de datos de SQL Server 0 2 occ cece e cece eee eee eees 282 14 2 7 Importar desde archivos heredados 2 20 2 20 2 ce ccceccecceccecceceecceceeseeseees 286 14 2 8 Importar desde almacenamiento de archivos heredados 2 2 2 2 0 290 14 3 Editar tareas de mantenimiento _ 0 200000 oon cece eee eects ees 292 14 3 1 Ver tareas de mantenimiento programadas 2 2 2 2cceccecceeceeceeceeees 292 14 3 2 Editar propiedades de las tareas de mantenimiento 2 20 2 2 2 20 22 eee eee 293 14 3 3 Cambiar prioridad de las
16. Custom Event Logs 2 AutoUpdate Options Common Tasks Captura de pantalla 76 Configurar puerto de comunicaciones del servidor Syslog Para cambiar la configuraci n predeterminada de los puertos Syslog 1 Haga clic en la ficha Configuration gt Options 2 Haga clic con el bot n secundario en Syslog Server Options y seleccione Edit Syslog options GFI EventsManager 5 Recopilar registros de eventos 112 f Syslog Options General e Configure the in build Syslog server options To receive messages from Syslog clients enable the EventsManager Syslog server and specify the port on which the server will run V Enable in built Syslog server on the TCP port 514 Y Enable in built Syslog server on the UDP port 514 G To configure receiving of Syslog events 1 Configure Syslog clients to send messages to this server on the specified port 2 Specify the client name IP addresses in a computer group which is configured to accept Syslog messages Captura de pantalla 77 Opciones de servidor Syslog 4 Seleccione Enable in built Syslog server on TCP port y especifique el puerto TCP en el que GFI EventsManager recibira los mensajes Syslog 5 Seleccione Enable in built Syslog server on UDP port y especifique el puerto UDP en el que GFI EventsManager recibira los mensajes Syslog 6 Haga clic en Apply y OK v Nota Cuando configure los par metros del puerto del servidor Syslog aseg rese de que
17. dateRange fullFilter startGroupHeaderBlock headerLabel headerValue endGroupHeaderBlock startRepeatBlock tableHeaderCells tableRows tableTotal chartTop chartBottom endRepeateBlock T tulo del informe Subt tulo del informe Descripci n del informe Usuario que gener el informe Fecha en que se genera el informe Ordenar campo Los datos del informe se recopilan a partir del per odo de tiempo especificado Lista de restricciones definidas para el informe Principio de la secci n de encabezado del bloque repetitivo Nombre de encabezado del grupo Valor de encabezado del grupo Fin de la secci n de encabezado del bloque repetitivo Principio de la secci n de cuerpo del bloque repetitivo La secci n de encabezado de los datos de la tabla La secci n de cuerpo de los datos de la tabla Para gr ficos Contiene la suma o el valor de recuento del campo calculado Coloca el gr fico al principio del informe Coloca el gr fico al final del informe Fin de la secci n de cuerpo del bloque repetitivo 4 Guarde la plantilla HTML y genere un informe usando el nuevo dise o Para obtener m s informaci n consulte Generar informes p gina 164 v Nota Si se usan las mismas convenciones HTML CSS que las plantillas HTML tambi n puede crear sus propias plantillas personalizadas Copie la plantilla c mbiele el nombre y vuelva a utilizar los mismos marcadores GFI EventsManager
18. 1 22 2 20 o coo e cece cece cece e cece eceeeeeeeeeeeeeseeeeeereeses 127 6 3 Administrar vistas en el Explorador de eventos 22 000 e cece cece eee c cece cceeeececeeeeeeeeees 130 6 4 Personalizar el dise o del Explorador de eventos 2 0 0 2 eee e cece e cece cece eeeeeeceeeeeeeeeeees 134 6 5 Buscar eventos desde diferentes bases de datos 2 2 2 2 cece cece eee es 136 6 1 Desplazarse en el Explorador de eventos E GF EventsManage esae File Configure Help Status Configuration Events Browser Reporting General D views Send us feedback W Open Quick Launch Console Help o Al Events a S E Windows Events E Filter Security Events 1 365 495 events O Report from view 6 E DNS server events 15 File Replication Even E Other Events E Directory Services Ex 1 Type Importance Event ID Event description Fields E Security Events j E Application Events a Failure Audi Critical 4625 amp System Events S Bry eee 4634 Text Logs a Success Audi Critical 4624 Syslog Messages a Success Audt Critical 4672 Date 2012 04 13 a SNMP Traps Messages a Success Audi Critical 4776 ee a 27 os E Microsoft SQL Server Aur AL Success Audt Critical 4634 nube Kanes ew processi ng G4 Oracle Audit Messages A Success Audt Critical 4624 rule a ara Monitoring Checks Event Al Success Audt Crtical 4672 tog Format windows E All critical and high import
19. 119 Informacion reco Descripcion pilada Estado de definici n GFI LanGuard es capaz de verificar si las definiciones de su base de datos de virus est n actua de funcionamiento lizadas De no ser as se le notificar y GFI LanGuard intentar actualizar las definiciones de antivirus y malware Aplicaciones que se GFI LanGuard enumera las aplicaciones que se instalaron en los objetivos analizados Puede detectaron en los crear un inventario de las aplicaciones deseadas o no deseadas y configurar GFI LanGuard para objetivos analizados que desinstale autom ticamente las aplicaciones que se clasificaron como no deseadas O Nota Para obtener m s informaci n sobreGFl LanGuard consulte http www gfi com network security vulnerability scanner y Nota GFI EventsManager puede procesar los eventos generados por la versi n 9 5 deGFI LanGuard o por una posterior 5 6 1 C mo habilitar el registro de eventos de GFI LanGuard Hay dos pasos clave necesarios para habilitar la integraci n del registro de eventos entreGFI LanGuard y GFI EventsManager Paso 1 Habilitar registro gt Paso 2 Configurar GFI EventsManager para que recopile registros de la aplicaci n Paso 1 Habilitar registro de GFI LanGuard Para permitir que GFI LanGuard genere registros de eventos una vez que finalizan las auditor as del sistema 1 Agregue la m quina donde GFI LanGuard est instalado como un origen de eventos 2 Haga clic e
20. 19 Glosario A Acciones La actividad que se llevara a cabo como resultado de eventos que cumplen con condiciones especificas Por ejemplo usted puede activar acciones siempre que un evento est clasificado como cr tico Las acciones admitidas por GFI EventsManager incluyen alertas por correo elec tr nico archivado de eventos y ejecuci n de secuencias de comando Administraci n remota de registros de eventos Se necesita para permitir que GFI EventsManager acceda y recopile eventos de equipos remo tos Para obtener m s informaci n consulte http technet microsoft com en us library cc766438 aspx Alertas Notificaciones que informan a los destinatarios que ocurri un evento en particular GFI Even tsManager puede generar alertas por correo electr nico por SMS y a trav s de la red Alertas a trav s de la red Mensajes de red conocidos como mensajes Netsend que informan a los destinatarios que ocu rri un evento en particular Estos mensajes se env an a trav s de un sistema protocolo de mensajer a instant nea y se muestran como una ventana emergente en la bandeja del sis tema del escritorio del destinatario Para configurar alertas a trav s de la red debe espe cificar el nombre o IP de los equipos a los que se env an los mensajes Netsend Alertas por correo electr nico Notificaciones por correo electr nico que informan a los destinatarios que ocurri un evento en particular Para activar las alerta
21. Despu s de aplicar las actualizaciones del producto se abre el cuadro de dialogo Switch Database Server Este cuadro de dialogo se usa para vincular la Consola de administraci n a un servidor de base de datos Puede cambiar de servidor de bases de datos en la Consola de administraci n Para obtener m s informaci n consulte Cambiar de bases de datos de almacenamiento de archivos 17 Especifique el equipo que tiene el servidor de bases de datos D Lib instalado Si la base de datos que desea usar est en gt El host local ingrese localhost predeterminado Un equipo remoto ingrese el nombre del equipo o la direcci n IP Haga clic en OK para aceptar O Nota Una vez completada la instalaci n la Consola de administraci n se abre autom ticamente Para ejecutarla manualmente haga clic en Inicio gt Todos los programas gt GFI EventsManager gt Management Console GFI EventsManager 2 Instalaci n de GFI EventsManager 44 O Nota Los datos de configuraci n de GFI EventsManager 2012 no se eliminan Se copian en la nueva carpeta de instalaci n icarpeta nstall Data_Old Los datos en esta carpeta se utilizan para conservar las configuraciones anteriores Nota Pruebe la instalaci n para asegurarse de que que todos los componentes se hayan instalado correctamente Para obtener m s informaci n consulte Probar la instalaci n 2 4 Instalar una nueva instancia de GFI EventsManager Los component
22. Grouping Determina c mo se agrupan los eventos como eventos equipos grupos de equipos even tos equipos o grupos de eventos equipos Event type Seleccione el tipo de datos que desea mostrar Windows registros de texto syslog cap tura SNMP registros de supervisi n activa auditor a de SQL y Oracle Alert type Especifique la gravedad de la alerta como todas las alertas cr ticas o altas Period Especifique el per odo de tiempo en que ocurrieron los hechos ltima hora ltimas 24 horas Ultimos 7 d as o una fecha espec fica ANOTA Esta secci n tambi n muestra los resultados de vulnerabilidad supervisados por GFI LanGuard JA NOTA Para obtener informaci n detallada sobre los diferentes tipos de eventos importantes que se muestran en esta vista descargue la Gu a de supervisi n de seguridad y planificaci n de detecci n de ataques de Microsoft en http go gfi com pageid esm_smad_plan Top Service Status Events muestra los primeros 10 servicios que causaron el evento seleccionado Un servicio 4 puede generar eventos cuando gt Termina con un error Nose puede cargar Nose puede iniciar Se agota el tiempo de espera Se detiene Se inicia El gr fico muestra la frecuencia de estos eventos seg n el tipo de servicio o el equipo que genera el evento Seleccione un equipo o servicio de las listas desplegables o especifique los criterios necesarios para personalizar los result
23. Manual de producto de GFI GFI EventsManager Guia del administrador ao U D O MM GFI La informacion y contenido de este documento se proporciona solo para fines informativos y se proporciona tal cual sin garant a de ning n tipo ya sea expresa o implicita incluyendo pero no limitadas a las garant as impl citas de comercializaci n idoneidad para un prop sito particular y ausencia de infracci n GFI Software no se hace responsable de ning n da o incluyendo da os consecuentes de cualquier naturaleza que puedan deberse a la utilizaci n de este documento La informaci n se ha obtenido de fuentes disponibles p blicamente A pesar de los esfuerzos razonables que se han hecho para asegurar la exactitud de los datos facilitados GFI no reclama promete o garantiza la integridad exactitud actualidad o adecuaci n de la informaci n y no es responsable de errores tipogr ficos fuera de la informaci n actualizada o errores GFI no ofrece ninguna garant a expresa o impl cita y no asume ninguna obligaci n legal ni responsabilidad por la exactitud o la exhaustividad de la informaci n contenida en este documento Si estima que existe alg n error objetivo en este documento p ngase en contacto con nosotros y revisaremos sus dudas tan pronto como sea posible Todos los nombres de productos y empresas que se mencionan aqu pueden ser marcas comerciales de sus respectivos propietarios GFI EventsManager es propiedad
24. Other 4 Split report f contains more than 50 000 records Max number of records per page 10 000 Y Limit records to 500 000 lt Captura de pantalla 109 Configuraci n de limite de registro 13 Haga clic en la ficha Other para configurar los l mites de registro del informe Las opciones disponibles se describen en la siguiente tabla Tabla 50 Configuraci n de registro del informe Opci n Descripci n Split report if it con Marque la casilla de comprobaci n para habilitar el l mite de registro por informe GFI tains more than X EventsManager crea autom ticamente un nuevo informe para cada n mero de registros records especificado Por ejemplo si escribe 50 000 y el informe contiene 150 000 registros GFI EventsManager genera tres informes Max number of records Especifique el n mero de registros que se muestran en una sola p gina per page Limit records to Especifique el n mero m ximo de registros que se incluyen en el informe Se ignoran los regis tros que superan el l mite 14 Haga clic en Apply y OK 8 5 Crear informes personalizados La creaci n de informes personalizados requiere planificaci n mientras se configuran las condiciones Las condiciones se establecen para determinar lo que se filtra y se presenta en el informe Si no se configuran las condiciones correctamente se genera ruido no deseado e informaci n inexacta Para crear un nuevo informe personalizado
25. S SSF La S38 38 Jm localhost N A N A a m 20 00 00 00 00 00 tejto W Open Quick Launch Console Help EX Windows Events E Text Logs EA Syslog Messages m SNMP Traps Messages E SQL Server Messages EM Oracle Server Messages E Monitoring Checks Events Epot data Syslog Messages SNMP Traps M SQL ETA m N A 1 524 7 Captura de pantalla 101 Estado de GFI EventsManager Vista de estad sticas La informaci n proporcionada en esta vista se divide en las siguientes secciones espec ficas Tabla 45 Supervisi n de estado Vista de estad sticas Secci n Descripci n or genes espec ficos para ver su informaci n seg n corresponda 0908 GFI EventsManager Use este menu desplegable para seleccionar qu informacion se muestra Elija entre All sources o seleccione Today s Events Count representa gr ficamente la tendencia diaria de recopilaci n de eventos m quina por m quina as como de red en red Se usa una codificaci n por color para diferenciar entre eventos de Windows registros de texto registros de supervisi n activa syslogs y capturas SNMP Events Count By Log Type representa el n mero de eventos de Windows registros de texto capturas SNMP y syslogs que recopila GFI EventsManager de un equipo o de una red en particular 7 Supervisi n de actividades 143 La secci n Activity Overview proporciona informacion sobre 4 El n mero total de eventos d
26. configurando 4 Haga clic en Apply y OK 4 4 4 Configurar el tiempo operativo de los origenes de eventos GFI EventsManager incluye una opci n de tiempo operativo a trav s de la cual se especifican las horas normales de trabajo de sus grupos de or genes de eventos Esto es necesario para que GFI EventsManager pueda realizar un seguimiento de los eventos que ocurren durante las horas laborales y no laborales Utilice la informacion de tiempo operativo para el analisis forense para identificar el acceso de usuarios no autorizados transacciones ilicitas realizadas fuera de las horas normales de trabajo y otras infracciones de seguridad potenciales que se podrian estar llevando a cabo en la red El tiempo operativo se puede configurar en base a un grupo de equipos Esto se logra al marcar las horas de trabajo normales en una escala grafica de tiempo operativo que se divide en segmentos de una hora Para configurar las propiedades de los origenes de eventos 1 En la ficha Configuration gt Event Sources gt Group Type seleccione Event Sources Groups 2 Para configurar los parametros de Computer group haga clic con el bot n secundario en el grupo de equipos que desea configurar y seleccione Properties Single event source haga clic con el bot n secundario en el origen que desea configurar y selec cione Properties New Event Sources Group eee a Windows Event Log Text Logs Monitoring Syslog SNMP Tr
27. e Users and Groups File Storage Configure file storage E SNMP Traps Server Options D Select this option to configure the storage where archived events are MM Performance Options stored 1 File Storage Configure hashing Select this option to enable record hashing or to check record hashes on a OF AutoUpdate Options specified database Captura de pantalla 202 Ficha Options 2 En el panel izquierdo haga clic con el bot n secundario en File Storage y seleccione Configure file storage GFI EventsManager 14 Mantenimiento de base de datos 258 r A Configure file storage ES General Rotation esmstg New Program Files GFIMDLibServer Databases Browse Switch server Encrypt data using th Enter the hostname or IP address of the remote database server you want to use Enter localhost to use the server on local machine NOTE Changing the hostname will tigger a restart of Events Manager A Server hostname RemoteComputerName IP Cano 3 En el cuadro de di logo Configure file storage haga clic en Switch server Se abre el cuadro de di logo Switch Database Server 4 En el cuadro de texto Server hostname especifique los valores de Computer Name o IP address del equipo de la base de datos Haga clic en Aceptar 5 Haga clic en Apply y OK Cambiar de base de datos desde el panel La vista del panel General le permite cambiar de base de datos sin
28. ofevery 1 S month s O me its of every 1 month s Send report by email to EventsManagerAdministrators Captura de pantalla 113 Configurar programaci n de generaci n de informes 9 Opcional Haga clic en la ficha Schedule y configure los par metros de programaci n 10 Seleccione Send report by email to y haga clic en Configure para seleccionar los destinatarios del informe GFI EventsManager 8 Generaci n de informes 161 Create Report xa General Layout Chart_ Schedule Options Other Target path C Users John Smith Documents Events Manager Reports am Open location Generate options Range pattem Relative z This Month v OK Cancel ao Captura de pantalla 114 Opciones para crear nuevo informe 11 Haga clic en la ficha Options y especifique la ruta en la que se debe generar el informe en el rea Target path 12 En el men desplegable Range pattern seleccione las opciones que se describen en la siguiente tabla Tabla 51 Opciones de patr n de rango Patr n Descripci n All Time Seleccione All Time para generar el informe en funci n de la informaci n de todos los registros rela cionados Relative Permite generar el informe en funci n de los siguientes eventos Today para el dia de hoy Yesterday para ayer Last 7 Days para los ltimos 7 dias This Month para este mes gt
29. 2 5 2 Eventos del proceso Dominio local 0 2 020 0022 cece cece cece ee eee eececeececeececeee 57 2 5 3 Eventos de proceso M quinas seleccionadas 2 0 0 0 020cccecececececeeeeeeees 60 3 Obtenci n de resultados 0 00000000000000 cc cnn cnc ceceeccecceceeeecesesctsseteeesetseeeeeees 63 3 1 Lograr la seguridad de la red 12 0 0 cece cece cee cece ecce cee ceceeeeceteeseeeeeeeeees 63 3 2 Supervisar eficientemente el estado del sistema 0 20 0 cece cece eee cece cececeeceeeeee 65 3 3 Lograr el cumplimiento con PCI DSS o 22 0 0 e eee ec cee ec ceceececeececeeseces 67 4 Administrar or genes de eventos ooo eee ccc cc ence ccc ceceeceeceeceeceecteceeeeeseeeteeenes 69 4 1 Agregar or genes de eventos manualmente 2 0 0 0 0 0c0ccccecececececececcecececececess 69 4 2 Agregar or genes de eventos autom ticamente 2 2 2 0 o oo eee cece cece ec ececcccecececececees 70 4 3 Crear un nuevo grupo de origenes de eventos 2 22 2 cece e cece cc ccececececececeececeees 73 4 4 Configurar propiedades de Or genes de eventos 2 0 2 2 o cece ce cecececececececeeceeeceeees 75 4 4 1 Configurar propiedades generales de origenes de eventos 2 202 22222 75 4 4 2 Configurar credenciales de inicio de sesi n de or genes de eventos 76 4 4 3 Configurar el tipo de licencia de los or genes de eventos 2 0 2 2 2 e cece 78 4 4 4 Configurar e
30. Captura de pantalla 265 Exportar configuraciones a un archivo 2 Seleccione Export the desired configuration to a file y haga clic en Next Export configurations to file Select the path in which to save exported file Save the exported fle as B E C Users John Smith Desktop configurationsBkp esmbkp Captura de pantalla 266 Especificar destino de la exportaci n 3 Especifique la ubicaci n donde se guardar el archivo exportado o haga clic en Browse para buscar la ubicaci n Haga clic en Siguiente GFI EventsManager 15 Configurar la Consola de administraci n 309 Export configurations to file Select what configurations you want to export Export the following configurations o MF Event Sources E M Computer Group _ 9 W L y Database Server Group H V Event Processing Rules H V 8 Events Browser Filters i V kg Default Classification Actions H V Users and Groups Y Sig Syslog Server Options Y Sk SNMP Traps Server Options ME Alerting Options Y12 Audit Options Captura de pantalla 267 Seleccionar configuraciones de exportaci n 4 Seleccione las configuraciones que desea exportar y haga clic en Next 5 Espere hasta que GFI EventsManager exporte la configuraci n y haga clic en OK 15 5 2 Importar configuraciones desde un archivo Para importar configuraciones desde un archivo 1 Haga clic en File gt Import and Export Configurations GFI EventsManag
31. Captura de pantalla 62 Ficha Oracle Database group Operational Time 6 Seleccione la ficha Operational Time y configure el tiempo operativo normal de los servidores de la base de datos de Oracle en este grupo GFI EventsManager 4 Administrar or genes de eventos 96 Database Servers Group Properties General Logon Credentials Operational Time Oracle Audit al Select the processing you want to perform on the Oracle Server z gt logs collected Archive all logs without any further processing 0 Process the logs with the rules selected below before archiving gt ala 5 V Noise reduction Y User based noise NE Database changes Server changes Y Credentials related Y Global configuration changes 1E Logon Logoff EE Security changes E E ok J cama J aw Captura de pantalla 63 Ficha Oracle Database group Oracle Audit 7 Seleccione Oracle Audit y configure las opciones que se describen a continuaci n Tabla 31 Grupo de base de datos de Oracle Database Auditor a de Oracle Archive all logs without further pro Permite archivar eventos en el back end de la base de datos de GFI Even cessing tsManager sin aplicar reglas de procesamiento Process the logs with the rules selec Permite especificar las reglas que desea ejecutar antes de archivar eventos en ted below before archiving el back end de la base de datos de GFI EventsManager 8
32. Create Le permite crear vistas dentro de las vistas ra z Las vistas personalizadas se pueden agregar a las vistas ra z view y las vistas predeterminadas Para crear una vista raiz vista 1 En Events Browser gt Actions haga clic en Create root view Create view O Nota Ambas opciones abren el mismo cuadro de di logo Create view y ambas se configuran del mismo modo La diferencia radica en el posicionamiento de la nueva vista personalizada Create Root View General Customize view ES Create new filters to organize in a simpler way the collected events Description Root view description wa a EAE OK Cancel Apply Captura de pantalla 91 Generador de vista personaliza GFI EventsManager 6 Buscar eventos almacenados 131 2 Escriba un nombre y una descripci n para la nueva vista 3 Haga clic en Add para agregar condiciones de filtro a su vista Si no se especifican condiciones la vista mostrar la informaci n de cada evento que se genera Field Name Select field name EMdate lab log name ab isadmin E Jtime seJevent id 83 description id Rg importance lin work hours E timestamp ab mule name E lintemal timestamp BP logoft time lab monitored machine lablintemal hash 83 logoff Iread E abllog format Ra type 83 logoff pread 4 Field operator Occured Field value This Month v ok
33. Customize View x 2 Description g HH Colors 9 Description on the right Description on bottom No description Captura de pantalla 95 Personalizar la descripci n del explorador 2 Seleccione una de las opciones que se describen a continuaci n Tabla 42 Descripci n de las posiciones del panel Opci n Descripci n Description on the right Permite colocar el panel de descripci n a la derecha de la lista de eventos Description on bottom Permite colocar el panel de descripci n en la parte inferior de la lista de eventos No description Elimina el panel de descripci n 6 4 2 Opciones de codificaci n de colores de eventos Use la herramienta de codificaci n de colores para te ir los eventos clave de un color particular De este modo los eventos requeridos son m s f ciles de localizar durante la exploraci n de eventos Customize View x E Description F Colors O Color event if Type Equal To x Information y in a Apply Color Clear colors Advanced Captura de pantalla 96 Configurar la codificaci n de colores GFI EventsManager 6 Buscar eventos almacenados 134 Para asignar una codificacion de colores a un evento especifico 1 En Events Browser gt Common Tasks seleccione Customize browser layout gt Colors 2 Especifique los parametros de filtrado de eventos incluso el color que se aplicara a los eventos tamizados 3 Haga clic en Apply Color v
34. Especificar detalles de contacto 9 Especifique sus datos de contacto para que nuestro equipo de soporte pueda comunicarse con usted para obtener mas informacion Haga clic en Siguiente Please fill in the appropriate information Please describe in detail the problem you are having am able to add SQL Server sources but no event logs are being collected If it can be reproduced please explain how EventsManager is installed on Windows Server 2008 Trying to scan Microsoft SQL Server 2008 machine Captura de pantalla 296 Escribir la descripci n del problema y otros datos 10 Especifique el error que se genera y otros datos que podr an ayudar a nuestro equipo de soporte a recrear este problema Haga clic en Siguiente GFI EventsManager 18 Soluci n de problemas 357 Please fill in the appropriate information This information was gathered from your machine Lbgged user John Smith Computer name W706 Windows directory C Windows System directory C Windows system32 GFI EventsManager 2012 directory C Program Files GFI EventsManager2012 OS Version Windows 7 6 1 Build 7600 You can add more information e g machine specifications network configuration Captura de pantalla 297 Recopilar informaci n de la m quina 11 El solucionador de problemas analiza su sistema para obtener informaci n acerca del hardware Puede agregar manualmente m s informaci n en el espacio proporcio
35. Expanda Group Policy Management gt Forest gt Domains gt lt Nombre de dominio gt gt Group Policy Objects GFI EventsManager 17 Varios 348 af File Action View Window Help e r L Group Policy Management El Forest tcdomainb com El 3 Domains El gq tcdomainb com a Default Domain Policy E Domain Controllers E Microsoft Exchange Security Groups E LS Group Policy Objects E Default Domain Controllers Policy P WMI Filters Starter GPOs Sites E Group Policy Modeling Group Policy Results g Group Policy Management ioj ES Captura de pantalla 286 Administraci n de pol ticas de grupo en Microsoft Windows Server 2008 R2 3 Haga clic con el bot n secundario en Default Domain Policy y seleccione Edit 4 Expanda Computer Configuration gt Policies gt Windows Settings gt Security Settings gt Windows Firewall with Advanced Security haga clic con el bot n secundario en Inbound Rules y seleccione New Rule GFI EventsManager 17 Varios 349 Group Policy Management Editor g Default Domain Policy WINSERVB TCDOMAINB COM Policy a siine Settings Select an item to view its description oe Ee a A Windows Settings amp User Configuration Scripts Startup Shutdown 2 Security Settings Account Policies so Wired Network IEEE 802 3 Policies E Windows Firewall with Advanced Security E 2 Windows Firewall with Advanced Security E Connection Security Rule
36. Install GFI EventsManager 2013 to c Program Files GFI EventsManager 20 13 Captura de pantalla 27 Carpeta de instalaci n de GFI EventsManager 11 Haga clic en Next para instalar la Consola de administraci n en la carpeta predeterminada o haga clic en Change para seleccionar una carpeta alternativa de instalaci n Ready to install GFI EventsManager 2013 GF Click Install to begin the installation Click Back to review or change any of your installation settings Click Cancel to exit the wizard Captura de pantalla 28 Se complet la instalaci n de GFI EventsManager 12 Haga clic en Install para iniciar la instalaci n 13 Cuando la instalaci n se haya completado haga clic en Finish GFI EventsManager 2 Instalaci n de GFI EventsManager 52 2 Auto Update rc nC Esa Performing step 1 of 11 Get missing updates Stop es Details gt gt Y Close dialog after execution finished Captura de pantalla 29 Comprobaci n autom tica de actualizaciones 14 Si GFI EventsManager detecta una conexi n a Internet autom ticamente intenta descargar actualizaciones de productos de los servidores de actualizaci n de GFI Haga clic en Details para ampliar la secci n de informaci n del cuadro de di logo Auto Update y ver las actualizaciones que se est n descargando al Switch Database Server a Enter the hostname or IP address of the remote database server you want to
37. Para configurar los par metros de Computer group haga clic con el bot n secundario en el grupo de equipos que desea configurar y seleccione Properties Single event source haga clic con el bot n secundario en el origen que desea configurar y selec cione Properties GFI EventsManager 4 Administrar or genes de eventos 75 y New Event Sources Group Windows Event Log Text Logs Syslog SNMP Traps Monitoring General Logon Credentials Licensingtype Operational Time Aue Enter a group name and description for the computers you want a ae Group Name Group Name Description Group description Schedule scanning Once every 15 Next scan lt to include in this group Y Enable collection of logs from this computer group Real Time i e once every 5 seconds Minut ao mn 11 58 39 OK ad _ Cancel Captura de pantalla 45 Cuadro de di logo de propiedades de or genes de eventos 3 En la ficha General configure las opciones descritas a continuaci n Tabla 18 Propiedades de or genes de eventos Opciones generales Opci n Descripci n Group Name Description Enable collection of logs from this computer group Real Time i e once every 5 seconds Once every 4 Haga clic en Apply y OK Ingrese un nombre exclusivo para el grupo de equipos Opcional Escriba una descripci n Marque o desmarque esta opci n
38. Send email Las alertas de correo electr nico se env an cuando ocurren errores en una base de datos como error alerts on data de copia de seguridad da os de datos el tama o excede el tama o m ximo especificado y otros base errors errores de operaci n de alguna base de datos GFI EventsManager 11 Alertas y acciones predeterminadas 224 12 Grupos de usuarios En este capitulo se proporciona informaci n relacionada con la creaci n y administraci n de usuarios y grupos A trav s de los nodos Users y Groups se pueden crear usuarios y grupos y se pueden asignar alertas horarios de trabajo y otras propiedades espec ficas a cada usuario y grupo mientras que se pueden asignar diferentes derechos de acceso a la consola para cada usuario de los nodos Console Security y Audit Options Temas de este cap tulo 12 1 Configurar la cuenta del administrador 22 20 0000 cece cece ccc eee e eee cece eeeeeeceeeeeeeeeeees 225 12 2 Administrar cuentas de usuario nn e ee eeeeeeeees 232 239 12 3 Administrar grupos de usuarios 2 2 e cece cece eee eeeeeeeeeeeeeeeeeeeeees 12 1 Configurar la cuenta del administrador GFI EventsManager crea autom ticamente una cuenta EventsManagerAdministrator Sin embargo todav a debe configurar algunas propiedades como las direcciones de notificaci n y la seguridad de la cuenta O Nota GFI EventsManager requiere una direcci n de correo electr nico de administrador v lida para distri
39. Windows 7 2 2 6 Permisos del firewall La siguiente tabla contiene los permisos que deben estar habilitados en el firewall del host de GFI EventsManager Tabla 8 Permisos del firewall Permisos del Windows Server Windows Server Windows XP Windows 7 Windows Vista firewall y 2008 2003 politicas de auditoria Administracion Habilitar No corresponde No corresponde Habilitar Habilitar remota de registros de eventos Uso compartido Habilitar Habilitar Habilitar Habilitar Habilitar de archivos e impresoras Detecci n de Habilitar No corresponde No corresponde Habilitar Habilitar redes Politica de Habilitar No corresponde No corresponde Habilitar Habilitar auditoria Acceso a objetos Politica de Habilitar No corresponde No corresponde Habilitar Habilitar auditoria Seguimiento del proceso Politica de Habilitar Habilitar Habilitar Habilitar Habilitar auditoria Auditar administracion de cuentas Politica de Habilitar Habilitar Habilitar Habilitar Habilitar auditoria Auditar eventos del sistema fi Nota Para obtener m s informaci n consulte Habilitar permisos en or genes de eventos manualmente o Habilitar permisos en or genes de eventos autom ticamente 2 2 7 Configuraci n de or genes de eventos La siguiente tabla contiene los valores que se deben configurar en sus or genes de eventos Los origenes de eventos son equipos que desea supervisar a trav s de GFI EventsManager GFI
40. You can also automate generation of these reports So using esmreport exe command line tool Captura de pantalla 127 Cuadro de di logo de descripci n general de actividades 3 Configure las opciones descritas y haga clic en Export Tabla 59 Opciones de exportaci n del historial operativo Format El formato de salida del informe Los formatos disponibles son HTML y CSV All time Exportar todos los mensajes que se muestran en la descripci n general de actividad From a specific date Especifique una fecha para exportar todos los mensajes generados en esa fecha Only computers with errors not scan Permite exportar solamente los datos de los equipos con problemas en el ned an lisis Include error messages Seleccione esta opci n para incluir el mensaje de error generado Save files to Muestra la ubicaci n de exportaci n predeterminada GF EventsMan ager Activity Overview for period 2012 01 25 Windows Text Logs Syslog SNMP Traps SQL Server Oracle Server Source Events Events Messages Messages Messages Messages Last Activity TCMUSICSERVER 0 N A N A N A N A N A No Activity 2012 01 25 TECHCOMSERVTWO 23753 N A N A N A N A N A 18 08 00 933 2012 01 25 TEMP 196799 N A N A N A N A N A 17 55 47 542 W7_07 0 N A N A N A N A N A No Activity W702 0 N A N A N A N A N A No Activity W703 0 N A N A N A N A N A No Activity w705 0 N A N A N A N A N A No Activity 192 168 11 11 N A N A N A N A N A 0 No Activity Captura de panta
41. aaao aoaaa eeeeeeeeeees 232 12 2 2 Cambiar propiedades de la cuenta de usuario 2 2 2 e cece ccc ecceeeeeee 238 12 2 3 Eliminar una cuenta de usuario o an anaana aana aaa LLELLE e eee eeeees 239 12 3 Administrar grupos de usuarios 22 eee eee ccc ecceccecceceecceeceeeneetetteeteeeeees 239 12 3 1 Crear UN NUEVO grupo 8 2 e cece eee e eee e eee eeeeeeeeeeseeees 239 12 3 2 Cambiar propiedades de un grupo 2 2 eee cece nce ccceccecceceeceeseeseeseees 241 12 3 3 Eliminar UN grupo 22 ccc cece ccc ccc ec cece ec ceccecceecenseteeteenseceeeseeseeseens 241 13 Opciones de auditor a y seguridad de la consola 2 2 22 ooo cc ccc eccecceceeceeeee 242 13 1 Activar sistema de inicio de sesi n __ 2 2 2 ccc cece cece cece cece cee ce Laana daanan aa 242 13 1 1 Recuperaci n de contrase a 20 2 o eee cece aoaaa aaa ALAALA AADAL a aaraa 244 13 2 Oc ltaci n de Td e Ce nore oe a de 245 13 3 Auditar actividad de la consola ccoo conccncc cnn nc nnnnnnnnnzs 248 13 4 Credenciales de detecci n autom tica ccoo coccocconnccn cnc cnnnnnncnnnncos gt 249 14 Mantenimiento de base de datos 60ers eee 252 14 1 Administrar back end de base de datos occ co cccoccoccconnccnnccnccnnnccnnono 252 14 1 1 Crear una nueva base de datos ooo oococccocococcncccncccncccnncnnncnnncos 252 14 1 2 Proteger su base de datos oooocccccccccccccccccccccccnccncconcnncnncnncn 0 00 ano2 21n 253 14 1 3 Hashing de registro de base de datos
42. cccceceeeccecceccceeececcseetceeeees 170 Informe del historial operativo 2 2 2 0 0 c cece eccceeeccceeccccecccecececeeeteceees 171 Cuadro de di logo del historial operativo 2 2 0 2 ccccecccecececececeecceeeees 171 Muestra de informe del historial operativo 2 2 cece e cece e eee ecccceeeeeees 172 Descripci n general de la actividad Bot n para exportar 20 20eee ee 172 Cuadro de di logo de descripci n general de actividades 20 0000 173 Muestra de informe de descripci n general de actividad 2 22ee0 173 NA AAA A A ees 174 Definir condiciones de columnas personalizadas 22 cccceeeeeeecccceeeees 175 Cuadro de di logo Switch database 1 20 2 eee cece cece eee eee eeeeeees 176 Editar plantillas de informes HTML 0 2 c2 ccc cee eee ee eee eeceeeeeeeeeeees 177 C mo funcionan las reglas de procesamiento de eventos ccceeeeeeeee 180 Carpeta de conjuntos de reglas y conjuntos de reglas ooooocccccccccccccccccccoo 181 Crear una nueva regla oococccccccccccccccccccnoccccnocccnnocc cnn cn eeeaeeeeeeeeeeeaes 184 Seleccionar los registros a los que se aplicar la regla 0 0c eee eee eee 185 Configurar condiciones de la regla 0 2 0 ccc e ccc e ccc e eee e eee e cence eeceenceeeeees 186 Seleccionar ocurrencia e importancia del evento 2 0 e cece cece ee eee eee 187 Seleccionar a
43. metros que se describen en la tabla a continuaci n List of events Range of events Combination of events Tabla 69 Par metros de filtrado de eventos de Windows Campos Source Category y User Par metro Descripci n Single source name Message session opened Message session opened session closed Message Xsession opened 9 5 2 Par metros de filtrado de syslog List of sources Wildcards and Los campos Message y Process les permiten a los administradores de sistemas configurar los par metros que se describen en la tabla a continuaci n Tabla 70 Par metros de filtrado de syslog Campos Message y Process Single message Message session opened Message session opened session closed Message Xsession opened List of messages Wildcards and GFI EventsManager 9 Reglas de procesamiento de eventos 194 9 6 Priorizar reglas de procesamiento de eventos Las reglas de procesamiento de eventos se ejecutan en orden de prioridad Para cambiar el orden de ejecucion 1 En la ficha Configuration gt Events Processing Rules gt Rule Folders expanda la carpeta de conjunto de reglas File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules I Active Monitoring a Options Rule Folders 14 Windows Events 4 Noise Reduction 6 PCI Requirements Windows OS Send us feedback W Open Quick Launch Console He
44. n de GFI EventsManager Esta secci n contiene informaci n acerca de la implementaci n de GFI EventsManager en una Red de rea local LAN supervisa la actividad de la red de producci n servidores y estaciones de trabajo principales Zona Desmilitarizada DMZ supervisa los eventos que generaron los servidores p blicos como los servidores de correo los servidores web y los servidores DNS Red de rea extensa WAN supervisa los eventos que generaron los equipos y dispositivos de red distribuidos en diferentes ubicaciones geogr ficas GFI EventsManager 2 Instalaci n de GFI EventsManager 27 2 1 1 GFI EventsManager en una Red de rea local LAN GFI EventsManager se puede implementar en redes basadas en Windows asi como en entornos mixtos donde tambi n se est n utilizando los sistemas Linux y Unix Local Area Network LAN gt Firewall Figura 2 Implementar GFI EventsManager en una LAN Cuando se instala en una red de rea local LAN GFI EventsManager puede administrar eventos de Windows registros de texto mensajes de syslog capturas SNMP y auditor as de SQL Server generados por cualquier hardware o software que se conecte a la LAN incluidos Tabla 3 Dispositivos admitidos por GFI EventsManager Estaciones de trabajo y equipos port tiles Equipos y sistemas del usuario final Servidores Servidores web servidores de correo servidores DNS y m s Dispositivos de red Enrutador
45. n que desea eliminar y seleccione Delete dy Importante Al eliminar una carpeta ra z carpeta principal tambi n se elimina todo el contenido Aseg rese de eliminar solamente los elementos no deseados GFI EventsManager 10 Supervisi n activa 215 11 Alertas y acciones predeterminadas En este capitulo se proporciona informacion acerca de los m todos de alerta disponibles y acerca de como configurar cada uno de ellos de acuerdo con sus necesidades Durante el procesamiento de eventos GFI EventsManager ejecuta de forma autom tica las acciones y activa alertas cuando se producen determinados eventos Temas de este cap tulo 11 1 Configurar acciones de clasificaci n predeterminadas 11 2 Configurar opciones de alerta 11 1 Configurar acciones de clasificaci n predeterminadas A trav s de los par metros de configuraci n especificados en las acciones de clasificaci n predeterminadas puede activar alertas y acciones que se basen solamente en la clasificaci n del evento Por ejemplo los par metros de clasificaci n predeterminados se pueden configurar para activar alertas por correo electr nico cuando se produce cualquier tipo de evento cr tico alto medio y bajo pero solamente para archivar los eventos cr ticos 2 GFI EventsManager amma File Configure Help Status Configuration Events Browser Reporting General a Event Sources Event Processing Rules EJ Active Monitoring 4 Options A
46. poddo poddOo mnooogo 3558 T 0 caer Captura de pantalla 280 Programas admitidos en Microsoft Windows Vista o una versi n posterior 2 En la lista Allowed programs and features active las siguientes reglas Administraci n remota de registros de eventos gt Uso compartido de archivos e impresoras gt Detecci n de redes GFI EventsManager 17 Varios 343 3 Seleccione Domain Private y Public para cada regla mencionada anteriormente 4 Haga clic en Aceptar Paso 2 Activar caracteristicas adicionales de auditoria 1 Haga clic en Start gt Run y escriba secpol msc Presione la tecla Enter 2 En el nodo Security Settings amplie Local Policies gt Audit Policy File View Help e9 A 0X b B m EA Security Settings Policy Security Setting b D Account Policies He bie Audit account logon events Success Failure 2 Mi bic Audit account management Success Failure ay Lo Audit directory service access Success Failure fa Security Options bie Audit logon events Success Failure b Windows Firewall with Advanced Security ee eee Suca Fule Network List Manager Policies bie Audit policy change Success Failure Public Key Policies bie Audit privilege use Success Failure ES Software Restriction Policies Eo Audit process tracking Success Failure gt 2 IP Security Policies on Local Computer b b b Application Control Policies tio Audit system events Succe
47. se proporciona informaci n sobre el sistema de almacenamiento que utiliza GFI EventsManager para almacenar los eventos procesados Este sistema permite una gran escalabilidad con sus r pidas capacidades de lectura escritura incluso cuando se procesan grandes vol menes de datos Para ayudarlo a mantener el back end de su base de datos GFI EventsManager le proporciona opciones dedicadas de tareas de mantenimiento Las tareas de mantenimiento de bases de datos proporcionan una funcionalidad avanzada para los administradores lo que les permite gt Centralizar los eventos que recopilaron otras instancias remotas de GFI EventsManager en un solo back end de base de datos gt Optimizar el rendimiento de GFI EventsManager al controlar activamente el crecimiento del back end de base de datos y por lo tanto mantenerlo en buen estado gt Importar y exportar datos hacia y desde versiones anteriores de GFI EventsManager sin inco herencias en los datos gt Importar y exportar eventos hacia y desde una carpeta de almacenamiento de modo que se mini micen las cargas de datos desde la base de datos Temas de este cap tulo 14 1 Administrar back end de base de datos 252 14 2 Crear tareas de Mantenimiento occ ns 262 14 3 Editar tareas de mantenimiento oooocccoccccccccnccconnnnnnnnn rre 292 14 1 Administrar back end de base de datos En esta secci n se describe c mo puede administrar f cilmente el back end de la base de dato
48. 0 0 e cece eee eee ee 96 Ficha Oracle Database group Oracle Audit 0 00 cece cece eee e eee eee 97 Agregar nuevo servidor Oracle 200 c0cce eee c cence ee eeeeeeneeeeeneeeeeseeeeees 98 Ficha Oracle Server properties General 0 00 00 c occ cece eee cece cece e eens 99 Ficha Oracle Server properties Connection Settings oooooocccccccccccccccccnoo 100 Ficha Oracle Server properties Audit by Objects 0 0 000000 e eee 101 Ficha Oracle Server properties Audit by Statements 2000ce2eeeee 102 Propiedades del grupo de equipos Configurar par metros de registros de eventos rd la a a att aja 104 Seleccionar registros de eventos que desea recopilar 200 2 eee eeee ee 105 Configurar par metros de procesamiento del registro de eventos de Windows 106 Opciones de registros de texto 2 200 107 Agregar carpetas que contienen registros de texto o ococccccccccccccccccccccccoo 108 Se deben dirigir los mensajes Syslog al equipo que ejecuta GFI EventsManager 110 Recopilar Syslogs Opciones de Syslogs 1 0 2 002 2 cco e ce eececeeeeeeees 111 Configurar puerto de comunicaciones del servidor Syslog 022 2022 112 Opciones de servidor Syslog ooocccoocccccccccccccccccccccccccccccnnncccccccnnncccons 113 Captura de pantalla 78 EventsManager Captura de pantalla 79 Captura de pantalla 80 Captura de pantalla 81 Captura de pantalla
49. 01 1 W706 System 2012 10 10 16 20 01 1 W706 GFI EndPoint Security 2012 10 10 16 20 01 1 WIN7 08 Application 2012 10 10 16 20 01 1 WIN7 08 System 2012 10 10 16 20 01 1 WIN7 08 GFI EndPoint Security Server Message History a Date Time Type Source Machine Mess 2012 10 10 16 40 49 2 Monitoring C win7 08 2012 10 10 16 40 47 6 Monitoring C w710 3 2012 10 10 16 40 46 0 Monitoring C w706 3 2012 10 10 16 40 41 8 Monitoring C w7_09 4 2012 10 10 16 40 39 8 Monitoring C tcofficeserver 2012 10 10 16 40 38 3 Monitoring C localhost y 4 m Q Operational History X Export data Date Time Machine Source Job ID Log format Message 2012 10 10 16 35 30 8 w7_09 Processor service N A monitoring Processing 1 monitoring events from machi 2012 10 10 16 35 28 6 tcofficeserver Processor service N A monitoring Finished processing 1 monitoring events fr Q 2012 10 10 16 35 28 6 tcofficeserver Processor service N A monitoring Processing 1 monitoring events from machi 2012 10 10 16 35 26 5 localhost Processor service N A monitoring Finished processing 1 monitoring events fr Q 2012 10 10 16 35 26 2 localhost Processor service N A monitoring Processing 1 monitoring events from machi O 2012 10 10 16 35 23 7 win7 08 Processor service N A monitoring Finished processing 1 monitoring events fr 1 2012 10 10 16 35 23 7 win7 08 Processor service N A monitoring Proces
50. 2 E D Choose Archive events in database to archive all the events collected Captura de pantalla 65 Ficha Oracle Server properties General 4 En el panel derecho haga doble clic en el nuevo origen de eventos del servidor Oracle y configure las opciones que se describen a continuaci n Tabla 32 Ficha Oracle Server properties General Inherit Oracle Server post collecting Seleccione esta opci n para heredar toda la configuraci n del grupo primario processing from parent group Archive events in database Permite archivar eventos en el back end de la base de datos de GFI Even tsManager sin aplicar reglas de procesamiento Process using these rule sets Permite especificar las reglas que desea ejecutar antes de archivar eventos en el back end de la base de datos de GFI EventsManager GFI EventsManager 4 Administrar or genes de eventos 99 OracleServer X Connection Settings Audit by Objects Audit by Statements Specify the connection parameters which GFI EventsManager will use to access and collect events from the Oracle server Logon credentials Inherit the logon credentials from the parent group By default GF EventsManager performs event collection using the security context of the account under which GFI EventsManager service is running You may specify an altemate set of credentials to access the computers contained within this computer group Usemame admin Pa
51. 225 234 Alertas a trav s de la red 221 Alertas por correo electr nico 24 33 179 218 227 234 Alertas por SMS 222 Almacenamiento de archivos 31 44 53 140 254 263 291 322 Antivirus 32 36 117 Archivo 25 61 78 93 113 142 218 249 262 263 267 308 322 337 354 B Back end de base de datos 24 33 141 252 263 314 Base de datos 31 36 47 56 84 94 103 120 127 129 136 140 170 172 176 179 183 224 252 253 257 260 267 269 274 278 281 284 323 332 C Carpeta ra z 149 158 198 202 215 Clasificaci n 64 66 119 130 179 187 191 196 216 308 Comprobaciones 65 74 81 179 183 189 196 198 202 207 213 215 218 257 354 Conjuntos de reglas 181 Consola de inicio r pido 54 Copia de seguridad 141 295 Credenciales 42 51 59 61 64 70 74 76 85 93 220 245 249 274 284 299 319 Credenciales de detecci n autom tica 249 CSV 75 79 108 127 171 173 335 D DLib 38 45 323 DMZ 27 29 DNS 27 28 30 35 103 E Estado 120 138 142 143 168 169 305 334 EventsManagerAdministrator 225 Explorador de eventos 22 31 126 127 130 134 189 198 245 252 254 308 GFI EventsManager Exportar 31 127 141 146 170 172 174 245 252 267 271 284 292 308 323 337 Exportar datos 31 172 263 326 F Firewall 22 29 32 111 340 343 345 346 348 349 G Generacion de informes 127 128 145 GFI EndPointSecurity 28 67 124 171
52. 56 65 66 68 106 109 112 115 123 125 130 179 181 184 193 195 196 201 205 308 315 Resumen diario 164 S Seguridad de la consola 63 242 243 Servidor de base de datos DLib 38 47 SNMP 22 24 33 61 64 70 75 79 83 113 140 142 143 170 172 182 189 196 218 325 Supervisar 21 22 28 29 34 45 63 65 68 84 93 119 125 183 242 Supervisi n de actividades 137 Syslog 24 30 33 56 75 83 140 147 222 U Usuarios 63 80 92 119 124 140 147 151 177 196 217 225 232 239 242 298 314 V Vista de estad sticas 143 Vista general 138 W WAN 27 31 Z Zona desmilitarizada 29 GFI EventsManager indice 365 EE UU CANADA AMERICA CENTRAL Y AMERICA DEL SUR 15300 Weston Parkway Suite 104 Cary NC 27513 EE UU Tel fono 1 888 243 4329 Fax 1 919 379 3402 ussalesOgfi com REINO UNIDO Y REP BLICA DE IRLANDA Magna House 18 32 London Road Staines upon Thames Middlesex TW18 4BP REINO UNIDO Tel fono 44 0 870 770 5370 Fax 44 0 870 770 5377 sales gfi com EUROPA ORIENTE MEDIO Y AFRICA GFI House San Andrea Street San Gwann SGN 1612 Malta Tel fono 356 2205 2000 Fax 356 2138 2419 sales gfi com AUSTRALIA Y NUEVA ZELANDA 83 King William Road Unley 5061 South Australia Tel fono 61 8 8273 3000 Fax 61 8 8273 3099 sales gfiap com Fl
53. 82 Captura de pantalla 83 Captura de pantalla 84 Captura de pantalla 85 Captura de pantalla 86 Captura de pantalla 87 Captura de pantalla 88 Captura de pantalla 89 Captura de pantalla 90 Captura de pantalla 91 Captura de pantalla 92 Captura de pantalla 93 Captura de pantalla 94 Captura de pantalla 95 Captura de pantalla 96 Captura de pantalla 97 Captura de pantalla 98 Captura de pantalla 99 Captura de pantalla 100 Captura de pantalla 101 Captura de pantalla 102 Captura de pantalla 103 Captura de pantalla 104 Captura de pantalla 105 Captura de pantalla 106 Captura de pantalla 107 Captura de pantalla 108 Captura de pantalla 109 Captura de pantalla 110 Captura de pantalla 111 Captura de pantalla 112 Captura de pantalla 113 Captura de pantalla 114 Captura de pantalla 115 Captura de pantalla 116 Se deben dirigir los mensajes de captura SNMP al equipo que ejecuta GFI NI A A A A A 114 Recopilar capturas SNMP 2 022200 cece cece cece ccc c eee eeeceeceeeceeeeeeeeeeeeees 115 Configurar capturas SNMP aaa 200 0 e cece cece eee eeeceeeeceeeeeeees 116 Opciones de capturas SNMP 2 02 20 0 00 c a000 aoaaa e cece cece cece ee eveeceeeeeeees 117 Configuraci n de registros de eventos personalizados 2 222 22 222 118 Cuadro de di logo Custom event logs 2 2 2 20 2 ccc cece cece eee eecceecceeceeeeeee 119 Habilitar el inicio de sesi n de GFI LanGuard a trav s del reg
54. A A A Sa Mo PFP Peres Tu PFEFFFFFFFR FERFFFFFEFEA Wwe PFTTFFFFFFA FPFEFFFFFFFA Add r Marked time intervals are considered as work time Un marked times will be considered as outside working time Captura de pantalla 180 Crear un nuevo usuario Horas de trabajo 4 Haga clic en la ficha Working Hours y especifique las horas de trabajo habituales del nuevo usuario Los intervalos de tiempo marcados se consideran horas de trabajo GFI EventsManager 12 Grupos de usuarios 234 General Working Hours Alerts Member Of Privileges Fiter 2 Specify the types of alerts this user is to receive Specify the types of alerts this user should receive for events which happen during working hours or outside working hours During working Outside of working hours hours Tell me more Captura de pantalla 181 Crear un nuevo usuario Opciones de alerta 5 Haga clic en la ficha Alerts y seleccione las alertas enviadas durante las horas de trabajo y fuera de las horas de trabajo Opcionalmente seleccione Send daily report via email at y especifique la hora para enviar un correo electronico que incluya la actividad diaria Para obtener mas informacion consulte Alertas y acciones predeterminadas pagina 216 GFI EventsManager 12 Grupos de usuarios 235 Captura de pantalla 182 Crear un nuevo usuario Seleccionar grupos de notificaci n 6 Haga clic e
55. Action events configure cu ndo se generan registros de eventos y c mo GFI EventsManager clasifica los eventos generados Las opciones disponibles se describen en la tabla siguiente Tabla 71 Comprobaciones de supervisi n Eventos de acci n Opci n Descripci n Generate an audit event GFI EventsManager le permite generar registros de eventos despu s de haber from this machine device comprobado que no hay irregularidades en el origen de eventos En el men when the check desplegable seleccione Fails permite generar un registro de eventos cuando falla la comprobaci n Succeeds permite generar un registro de eventos cuando la comprobaci n se eje cuta correctamente Fails or Succeeds permite generar un registro de eventos cada vez que se ejecuta la comprobaci n en los or genes de eventos especificados Continuous Genera un registro de eventos cada vez que la comprobaci n se ejecuta correc tamente incorrectamente ambas situaciones GFI EventsManager 10 Supervisi n activa 201 Only once Genera un registro de eventos la primera vez que la comprobaci n se ejecuta correc tamente incorrectamente ambas situaciones Once every X minutes Genera un registro de eventos cada vez que transcurre la cantidad de minutos que usted especifico Once every X messages Genera un registro de eventos cada vez que se alcanza la cantidad de mensajes que usted especific Por ejemplo si escribe 10 solamente se genera un eve
56. Activity Events O y SH Monitoring Statistics 9 y Captura de pantalla 99 Estado de GFI EventsManager Vista general La vista general consta de las secciones que se describen a continuaci n Tabla 43 Supervisi n de estado Secciones de vista general Secci n Descripci n Utilice esta secci n para seleccionar el tipo de gr fico de los eventos principales La secci n Top Important Log Events proporciona informaci n estad stica sobre 2 Los primeros 10 eventos de inicio de sesion con xito fuera de horas de trabajo gt Los primeros 10 eventos de inicio de sesi n importantes en horas de trabajo Los primeros 10 eventos de inicio de sesion fallidos Los eventos en esta seccion se filtran por Machine Seleccione un equipo o ingrese un nombre de equipo en la lista desplegable gt Period El per odo de tiempo en que ocurrieron los hechos ltima hora ltimas 24 horas ltimos 7 dias o una fecha espec fica GFI EventsManager 7 Supervisi n de actividades 138 Seccion Descripcion La secci n Critical and High Importance Events proporciona informaci n estadistica grafica sobre eventos 6 cr ticos recopilados de todos los or genes de eventos Este gr fico muestra las reglas de procesamiento de eventos que recopilan y procesan los eventos durante un per odo determinado En las listas desplegables seleccione el tipo de informaci n que desea mostrar Seleccione una de las siguientes opciones
57. Common Tasks Found 103 matching records The report is based on event 528 4624 Vista Longhorn successful logon and event 540 feate noot heport i E pe 7 4636 Vista Longhorn successful network logon The report shows all successful logons Generate nepo A enabling you to monitor the users successfully accessing the computers using various logon Actions 4 m Captura de pantalla 129 Analizar informes El sistema de informaci n de GFI EventsManager cuenta con herramientas espec ficas para ayudarlo a analizar y exportar informes Una vez que se genera un informe selecci nelo en la lista de informes generados y utilice los controles comunes que ayudan a ejecutar comandos comunes de an lisis de informes A continuaci n se describen las herramientas disponibles Tabla 60 Analizar informes Herramientas Print Utilice la opci n Print para ver una vista previa de impresi n configurar par metros de la impresora e imprimir el informe seleccionado Open Utilice el bot n Open para abrir el informe seleccionado en un navegador GFI EventsManager utiliza su navegador predeterminado para ver informes en formato HTML Open File Open File Location le permite acceder a la carpeta que contiene el informe para fines de alma Location cenamiento o copias de seguridad Export to Utilice Export to PDF para exportar el informe seleccionado en formato de documento port til PDF Suprimir Haga clic en Dele
58. Configuraci n 0 0 0 0 20 c eee cece c eee ee eee ee 88 Tabla 25 Base de datos de Microsoft SQL Opciones de la ficha General 220000 222e eee e eee 90 Tabla 26 Base de datos de Microsoft SQL Ficha Connection Settings 0 002 2200 c cee cece eee ee eee 91 Tabla 27 Base de datos de Microsoft SQL Opciones de la ficha Settings oooocccccccccccccccccccccccoo 92 Tabla 28 Auditor as admitidas por Oracle Server o 2 22 20 2202 20c2 ccc ecc cece cece 0000000000000000 02202212222 92 Tabla 29 Etapas de configuraci n de Oracle Server 2 0 2 2 c cece cece cece eee ce cee ceeceeceeceeceeceeseeeee 93 Tabla 30 Grupo de base de datos de Oracle General 0222 22 2 0c e tence eee 94 Tabla 31 Grupo de base de datos de Oracle Database Auditor a de Oracle 0 0 00 20 c cece eee ee eee 97 Tabla 32 Ficha Oracle Server properties General 2 0 0 0 2c ccc cece cece cece cece cece ecececeececeeeeeeees 99 Tabla 33 Ficha Oracle Server properties Connection Settings 00 0000000 c cece e eee eeceeee cece 100 Tabla 34 Ficha Oracle Server properties Audit by Objects 0 0 220000 cee cece cece cece ceeeeeeees 101 Tabla 35 Ficha Oracle Server properties Audit by Statements _ 00 2000 00 02 ccc cece eee cee cece eeeeeeees 102 Tabla 36 Registro de eventos de Windows recopilados por GFI EventsManager 2222 2 103 Tab
59. Configurations Send us feedback W Open Quick Launch Console Help 4 Default Classification Actions 3 i Users and Groups Default Classification Actions g Console Security and Audit Options 1 Alerting Options E i Syslog Server Options am Edit defaults y SNMP Traps Server Options Here you can configure the default classification actions m BB Performance Options J File Storage Database Operations Ej Custom Event Logs OF AutoUpdate Options Common Tasks de alguna bases de datos Captura de pantalla 163 Configurar acciones de clasificaci n predeterminadas Para configurar acciones de clasificaci n predeterminadas 1 En la ficha Configuration gt Options haga clic con el bot n secundario en el nodo Default Classification Actions y en Edit defaults GFI EventsManager 11 Alertas y acciones predeterminadas 216 Default classification actions x This dialog provides the definition of default alerting and archiving options These options are referenced by rules which process the collected logs depending on the classification applied by the rule 2 Critical events actions y Action 2 3 1 Send email alerts to Events ManagerAdministrators Ea Send network messageto lt No Recipients Configured gt C E Send SMS message to EventsManagerAdministrators gj m7 3 Configure G Unclassified events are all the events sent for processing which do not tri
60. GFI EventsManager 8 Generaci n de informes 157 1 En la ficha Reporting gt Reports haga clic con el bot n secundario en una carpeta carpeta raiz informe raiz y seleccione Create Report General Layout Chart_ Schedule Options Other Create new Report to organize in a simpler way the collected events Ascending a Let er fe Bo date Occured AND 3 importance Critical AND 2 in work hours Yes Add _Edt Delete Qear e ok J Cancel J aw Captura de pantalla 110 Crear un informe ra z 2 En la ficha General especifique un nombre y una descripci n opcional para el nuevo informe ra z 3 Haga clic en Add para seleccionar un campo en el que desea basar la condici n de consulta Para el campo seleccionado especifique Field Operator y Field Value Haga clic en OK para aceptar v Nota Repita este paso hasta seleccionar todos los campos obligatorios Para obtener m s informaci n consulte Dise ar restricciones de consulta GFI EventsManager 8 Generaci n de informes 158 Check the columns that you wish to be visible and their names in the list view Also you can customize the order of their appearance Column Headings 4 Add Existing Column Add Custom Column Edit Custom Column Template path C Program Files GFI Events Manager2012 Data Templates Det m ok Comcel Ay _ Captura de pantal
61. Haga clic en Apply y OK Agregar nuevo origen de eventos de Oracle Server Para agregar una nueva base de datos de Oracle a un grupo de bases de datos 1 Haga clic con el bot n secundario en un grupo de Oracle Server y seleccione Add new Oracle Server GFI EventsManager 4 Administrar or genes de eventos 97 Select the Oracle Servers Select from which Oracle Servers you want to collect events Add the following Oracle Server 192 168 11 11 Oracle Server E OradeServer Captura de pantalla 64 Agregar nuevo servidor Oracle 2 Escriba el nombre del servidor o la direcci n IP y haga clic en Add 3 Haga clic en Finish se cierra el cuadro de di logo Add New Oracle Servers v Nota Use Select e Import para buscar en la red SQL Server o importar la lista de SQL Server desde un archivo de texto respectivamente GFI EventsManager 4 Administrar or genes de eventos 98 OracleServer General Connection Settings Audit by Objects Audit by Statements i Specify the Oracle Servers post collecting processing Inherit Oracle Server post collection processing from parent group Specify the post collection processing for the events collected from the configured Oracle Server s Archive events in database 9 Process using these rule sets o m a f Oracle Audit a G ME Noise reduction MIA Database changes hM Table changes H O Server changes
62. Last Month para el ltimo mes Dia Especifique un solo dia en el que desea basar el informe Month Especifique el mes y el a o en el que desea basar el informe Date Especifique una fecha From y To para basar el informe en eventos recopilados en un per odo espec fico de Range tiempo GFI EventsManager 8 Generaci n de informes 162 Create Report General Layout Chart Schedule Options Other v Split report if contains more than 50 000 records Max number of records per page 10 000 Limit records to 500 000 4 Lox concer J _ aw Captura de pantalla 115 Configuraci n de l mite de registro 13 Haga clic en la ficha Other para configurar los l mites de registro del informe Las opciones disponibles se describen en la siguiente tabla Tabla 52 Configuraci n de registro del informe Opci n Descripci n Split report if it con Marque la casilla de comprobaci n para habilitar el l mite de registro por informe GFI tains more than X EventsManager crea autom ticamente un nuevo informe para cada n mero de registros records especificado Por ejemplo si escribe 50 000 y el informe contiene 150 000 registros GFI EventsManager genera tres informes Max number of records Especifique el n mero de registros que se muestran en una sola p gina per page Limit records to Especifique el n mero m ximo de registros que se incluyen en el informe Se ignora
63. Name y License Key Para registrarse y acceder a una clave de licencia de evaluaci n gratuita de 30 d as haga clic en Register Haga clic en Siguiente GFI EventsManager 2 Instalaci n de GFI EventsManager 41 Specify the logon credentials for GFI EventsManager GFI EventsManager requires a user account with administrative privileges to log on to remote sources Enter domain administrator account details for GFI EventsManager service in any of the following formats Domain Administrator or Administrator DOMAIN Account DOMAIN ADMINISTRATOR Password eeeeeccccccssece a Captura de pantalla 13 Credenciales de inicio de sesi n remoto para supervisi n de registros de eventos 12 Ingrese las credenciales de inicio de sesi n que utiliza GFI EventsManager para iniciar sesi n en equipos remotos O Nota Se recomienda usar un administrador de dominios o una cuenta con derechos administrativos sobre todos los equipos remotos administrados por GFI EventsManager GFI EventsManager 2 Instalaci n de GFI EventsManager 42 4 GFI EventsManager 2013 Setup fos Destination Folder Click Next to install to the default folder or click Change to choose another Install GFI EventsManager 2013 to c Program Files GFI EventsManager 20 13 Captura de pantalla 14 Carpeta de instalaci n de GFI EventsManager 13 Haga clic en Next para instalar la Consola de administraci n en la
64. Nota Use la opci n Clear color para borrar la configuraci n del color Para asignar diferentes codificaciones de colores a varios eventos 1 En Events Browser gt Common tasks seleccione Customize view gt Colors gt Advanced Gore Advanced Color Filters E M The color filters that are going to be applied on the current log Name Priority Critical Events Color Filter 1 meroma emen 7 Medium Events Color Filter 3 Remove Low Events Color Filter 4 Unclassified Events Color Filter 5 Color Filter Condition Name itical Events Color Filter Color Captura de pantalla 97 Filtro de color avanzado 2 Haga clic en el bot n Add Especifique el nombre del filtro y configure los par metros de filtro de eventos 3 Haga clic en Aceptar 4 Repita el proceso hasta que se hayan configurado todas las condiciones de filtro de eventos requeridas Haga clic en Aceptar GFI EventsManager 6 Buscar eventos almacenados 135 6 5 Buscar eventos desde diferentes bases de datos GFI EventsManager le permite cambiar de bases de datos Use esta funci n para buscar eventos que se exportaron o archivaron para su posterior an lisis o que se almacenaron en diferentes bases de datos Para cambiar de bases de datos 1 Haga clic en Events Browser gt Common Tasks gt Switch database Switch DLib Database ma General Select the database containing t
65. Para configurar alertas por SMS 1 En el cuadro de di logo Alerting options haga clic en la ficha SMS 2 Configure las opciones que se describen a continuaci n Tabla 76 Cuadro de di logo Alerting Options SMS Permite seleccionar el servicio de SMS que se utiliza para enviar alertas por SMS Los servicios disponibles incluyen Select SMS Set properties for the selected SMS sys tem Format SMS message GFI EventsManager gt gt gt gt In built GSM SMS Server FaxMaker SMS service provider template Clickatell Email2SMS Service Generic SMS service provider template Permite configurar las propiedades para el tipo de servicio de SMS seleccionado Entre otras se incluyen las siguientes configuraciones de propiedades gt gt gt gt gt Service center number COM Port Baud Rate Servidor SMTP SMTP Port Haga clic en Edit para configurar la propiedad seleccionada Opcionalmente en el men desplegable Format Email Message seleccione el tipo de registro Windows registros de texto Syslog y personalice el contenido del correo electr nico 11 Alertas y acciones predeterminadas 222 3 Haga clic en Apply y OK 11 2 4 Alertas a trav s de SNMP Para configurar alertas a trav s de capturas SNMP Alerting Options x Email Network SMS SNMP General Specify the SNMP forwarding settings that will be used to send SNMP ale
66. Remove para eliminarlos de la lista Select Haga clic en Select para abrir el cuadro de di logo Select Computers 1 En el men desplegable Domain seleccione el dominio en el que desea buscar or genes disponibles y haga clic en Search 2 En la lista de resultados de b squeda seleccione los equipos que desee agregar 3 Haga clic en OK para cerrar el cuadro de di logo Select Computers y volver al cuadro de di logo Add New Event Sources Import Haga clic en Import para importar equipos desde un archivo de texto Aseg rese de que el archivo de texto contenga solamente un nombre de equipo o direcci n IP por l nea 4 Haga clic en Finish para finalizar la configuraci n GFI EventsManager intenta analizar autom ticamente los or genes de eventos agregados con las credenciales de inicio de sesi n predefinidas Para obtener m s informaci n consulte Configurar credenciales de inicio de sesi n de or genes de eventos uw Nota Si la sincronizacion no esta activada puede usar Network Discovery Wizard para buscar y agregar origenes de eventos de forma automatica Para iniciar el asistente Network Discovery Wizard haga clic con el bot n secundario en All event sources en el rbol de origenes de eventos y seleccione Scan local domain Para obtener mas informacion consulte Agregar origenes de eventos automaticamente 4 2 Agregar origenes de eventos automaticamente GFI EventsManager le permite sincron
67. SKIDATA Car Park F Select text logs folder Select the folder containing logs in the text format Note that the p folder has to exist on the target computers Folder path C WebServerLogs File restrictions Captura de pantalla 73 Agregar carpetas que contienen registros de texto 2 Haga clic en la ficha Text Logs gt Add para agregar las rutas de las carpetas que contengan registros de texto 3 En el cuadro de dialogo Select text logs folder escriba la ruta a la carpeta que contenga los archivos de registros de texto y haga clic en OK 4 Seleccione Clear collected events after completion para borrar los eventos recopilados desde el origen del evento en cuesti n 5 Seleccione Process subdirectories para analizar de forma recursiva la ruta especificada que contenga los registros de texto 6 En el men desplegable Parsing schema seleccione el esquema en el que se interpretan los registros de texto Seleccione una de las siguientes opciones gt W3C CSV DHCP XML Registros SAP Registros ESM Pagos estacionamiento de veh culos SKI Data GFI EventsManager 5 Recopilar registros de eventos 108 7 Seleccione Archive events in database para archivar los eventos recopilados sin aplicar las reglas de procesamiento de eventos 8 Seleccione Process using these rule sets y seleccione los conjuntos de reglas que desee ejecutar contra los eventos recopilados 9 Haga
68. Server SQLSRV SQLSERVER Microsoft SQL Server ib 192 168 11 11 SQLEXPRESS Captura de pantalla 55 Agregar nuevo servidor de Microsoft SQL 2 Escriba el nombre del servidor o la direcci n IP y haga clic en Add v Nota Use Select e Import para buscar en la red de SQL Server o importar una lista de servidores SQL desde un archivo de texto respectivamente 3 Haga clic en Finish se cierra el cuadro de di logo Add New SQL Servers 4 En Groups seleccione SQL Servers y en el panel derecho haga doble clic en la nueva instancia de base de datos de Microsoft SQL GFI EventsManager 4 Administrar or genes de eventos 89 192 168 11 11 B Specify the SQL Servers post collecting processing Inherit SQL Server post collection processing from parent group Specify the post collection processing for the events collected from the configured SQL Server s D Archive events in database Process using these rule sets o ma H A Noise reduction 6 JB Database changes E V E4 Server changes i V Credentials related jamo om D Choose Archive events in database to archive all the events collected Captura de pantalla 56 Propiedades de la base de datos de Microsoft SQL Ficha General 5 En la ficha General configure las opciones que se describen a continuaci n Tabla 25 Base de datos de Microsoft SQL Opciones de la ficha Gene
69. Setup Wizard Captura de pantalla 5 Servidor de base de datos DLib 3 El asistente de instalaci n del servidor de base de datos DLib se abre autom ticamente despu s de instalar los componentes del sistema Haga clic en Next en la pantalla de bienvenida del asistente Please read the following license agreement carefully GFI End User License Agreement For GFI FaxMaker GFI MailArchiver GFI MailEssentials and GFI MailSecurity GFI WebMonitor GFI LanGuard GFI Network Server Monitor GFI EventsManager GFI BackUp GFI Device Warden and GFI EndPointSecurity Software MEACE CANCCIUIY ACINCIA TUC CAI IMAI TENMRAC ARKIN CORIMITIORNIC ME TUIC 4 I accept the terms in the License Agreement eme Bak J net canei Captura de pantalla 6 EULA del servidor de base de datos DLib 4 Lea detenidamente el acuerdo de licencia Seleccione accept the terms in the License Agreement y haga clic en Next GFI EventsManager 2 Instalaci n de GFI EventsManager 38 Destination Folder Click Next to install to the default folder or dick Change to choose another Install GFI Database Server 2 0 to c Program Files GFI Database Server 2 0 Captura de pantalla 7 Carpeta de instalaci n de DLib 5 Haga clic en Next para instalar el servidor de bases de datos en la carpeta predeterminada o haga clic en Change para seleccionar una carpeta alterna
70. _ Al Success Audt Critical 4776 Log Name Security E as Event ID 4634 4 m Q Success Audt Critical 4634 In work Hours Yes 3 ic Q Success Audt Critical 4624 Eidos Nae ad Success Audt Critical 4672 An account was logged off Customize browser layout a Success Audt Critical ATN Subject Open Quick Launch Console AL Success Audt Critical 4634 admini sEsurity 1D TECHCOMSERVONE A inistrator E Switch database A Success Audt Crtical 4634 j Account Name administrator 33 e a Success Audt Critical 4624 ee oe o Audt Critical 4672 Logon ID 0xC34B2DE1 Create root view Success Audt Critical 4776 mede rol view Logon e 3 Create view B Faire Aude Ctical 4625 o Edt view A success Aude Otic 4634 ats event is generated when a Togon session Delete view a Success Audi Critical 4624 correlated with a logon event using the a A gt Logon ID value Logon IDs are only unique Export events to CSV file ts Audt Crtical 4672 between reboots on the same computer a Success Audt Critical 4776 Online information Mark events as deleted success Audt Critical 4624 http www eventid net display asp eventid 4 rce Securit Help A success Audt Critical 4624 Configuring and using events browser s n 2 Fields FAQ id 4 Page 1 of 1 366 gt bi Loading view finished Click here for details Database C Program Files GFI EventsManager2012 data FileStguesmstg Security Events 1 365 495 event s O Captura de pantalla 87 E
71. a para el nombre de usuario especificado en el par metro User 16 1 6 op setAdminEmail Esta funci n le permite configurar la direcci n de correo electr nico del administrador de EventsManager Se admite el siguiente par metro Tabla 103 Par metro op setAdminEmail Par metro Descripci n email lt correo electronico gt Especifique la direcci n de correo electr nico del administrador de EventsManager 16 1 7 op createProgramGroupShortcuts Esta funci n le permite crear accesos directos de grupo y no tiene par metros adicionales GFI EventsManager 16 Herramientas de la l nea de comandos 321 16 1 8 op removeProgramGroupShortcuts Esta funci n le permite eliminar los accesos directos de grupo y no tiene par metros adicionales 16 1 9 op getComputers Esta funci n le permite recuperar un archivo de texto que contenga los nombres de los or genes de eventos que administra GFI EventsManager Se admite el siguiente par metro Tabla 104 Par metro op getComputers Par metro Descripci n filename lt nombre de Especifique la ruta de acceso completa donde se exporta el archivo de texto incluido el archivo gt nombre del archivo de texto Nota Los par metros que contienen espacios deben escribirse entre comillas dobles 16 2 Usar EsmDlibM exe EsmDlibM exe le permite ejecutar operaciones en el sistema de almacenamiento de archivos donde se almacenan los eventos procesados base de
72. acceso completa a la carpeta de registro del objeto Por ejemplo C W3C logs GFI EventsManager 9 Reglas de procesamiento de eventos 185 ff a New Processing Rule Wizard Conditions Configure the filtering conditions for the events Po Ean date lt 25 10 2011 AND importance Critical OR type Warning i Edit Query Restriction Field Name Select field name BE ltime IR importance lab rule name lab monitored machine ab log name iRg event id adin work hours EBintemal timestamp ablisadmin K description id E2Jtimestamp E logoff time Rg logoff Iread R38 logoff pread iRg logott lwrite a SSA ISA ISA ISA ISA ab log format 4 Field operator Equal To z 25 10 2011 Field value Captura de pantalla 137 Configurar condiciones de la regla 6 Haga clic en Add para seleccionar un campo en el que desea basar la condici n de consulta Para el campo seleccionado especifique Field Operator y Field Value Haga clic en OK para aceptar v Nota Repita este paso hasta seleccionar todos los campos obligatorios Para obtener m s informaci n consulte Dise ar restricciones de consulta Nota Para filtrar los eventos que hacen referencia a un usuario administrador eventos con el identificador de seguridad SID que identifica una sesi n de inicio de administrador aseg rese de que si el origen del evento es un miembro
73. ae E W 41 Event Processing Rules Y Folders H V Definitions 6 V Events Browser Filters 3 1 Maps 4 48 Browser Filters H V Query Filters 41 Options Select All Clear All Captura de pantalla 270 Seleccionar las configuraciones que desea importar 4 Seleccione la configuraci n que desea importar y haga clic en Next 5 Espere hasta que GFI EventsManager importe las configuraciones y haga clic en OK O Nota Si GFI EventsManager detecta otras configuraciones se le preguntar si desea reemplazar o combinar ambas configuraciones 15 5 3 Importar configuraciones desde otra instancia Para importar configuraciones desde otra instancia de GFI EventsManager 1 Haga clic en File gt Import and Export Configurations GFI EventsManager 15 Configurar la Consola de administraci n 312 Welcome to the Import and Export Configurations Wizard You can use this wizard to import or export specific categories of configurations or to reset to the default collections of configurations What do you want to do Export the desired configurations to a file Exports the desired EventsManager configurations to a file Import the desired configurations from a file Imports the desired EventsManager configurations from a file 9 Import the configurations from another instance Imports all the configurations from another instance of EventsManager Captura de pantalla 271 Importar c
74. al de los equipos supervisados Para obtener mas informaci n consulte http go gfi com pageid esm_ code_page GFI EventsManager 5 Recopilar registros de eventos 111 5 Seleccione Archive events in database para archivar los eventos recopilados sin aplicar las reglas de procesamiento de eventos 6 Seleccione Process using these rule sets y seleccione los conjuntos de reglas que desee ejecutar contra los eventos recopilados 7 Haga clic en Apply y OK O Nota El servidor Syslog de GFI EventsManager est configurado de forma predeterminada para recibir los mensajes Syslog en el puerto 514 Para obtener m s informaci n consulte Configurar puerto de comunicaciones del servidor Syslog W Importante Eliminar registros de eventos sin archivar puede dar lugar a penalizaciones legales 5 3 1 Configurar puerto de comunicaciones del servidor Syslog Fa GFI EventsManager o O fee File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules W Active Monitoring 4 Options Configurations 2 Send us feedback W Open Quick Launch Console Help 1 Default Classification Actions 6 Users and Groups Syslog Server Options Console Security and Audit Options 3 Alerting Options Si Edit Syslog options y SNMP Traps Server Options Here you can configure the Syslog server options BB Performance Options A File Storage Y Database Operations l
75. bases de datos y recopilar todos los eventos de bases Microsoft SQL Server Scan only the security events for Permite analizar todas las bases de datos y recopilar solamente los eventos de all databases seguridad de Microsoft SQL Server Scan all the events that are related Permite recopilar todos los eventos de las bases de datos seleccionadas Utilice to the following databases only Add Edit y Remove para administrar los origenes de las bases de datos 8 Haga clic en Apply y OK 4 5 2 Origenes de Oracle Server GFI EventsManager le permite recopilar y procesar los eventos generados por los sistemas de administraci n de bases de datos de Oracle Relational Las siguientes auditor as son recopiladas y procesadas por GFI EventsManager Tabla 28 Auditor as admitidas por Oracle Server Session auditing Audita sesiones de usuarios y acceso a bases de datos Statement auditing Audita declaraciones procesadas por SQL Object auditing Audita consultas y declaraciones relacionadas con objetos espec ficos Las siguientes versiones de Oracle Database son admitidas GFI EventsManager 4 Administrar or genes de eventos 92 gt Oracle Database 9i gt Oracle Database 10g gt Oracle Database 11g Esta secci n contiene informaci n acerca de Par metros previos a la configuraci n de or genes de eventos de Oracle Server Crear nuevo grupo de Oracle Server Agregar nuevo origen de eventos de Oracle Server Par met
76. c cece cece cece cece cece e cece cece eeeeeeeeeeeeeeeeeereeeseeeeereees 32 2 3 Actualizar GFI EventsManager 020000 c cece cece cece cece cece cece cee eee eeceeeecececeeeeeeeeeeeeeeees 36 2 4 Instalar una nueva instancia de GFI EventsManager 2 2000 22 cece eeec eee c cece cee ececeeeeceeeeeee 45 2 5 Probar la instalaci n 22 2 2 0 2 0 ccc eee cece cece c cece cece cece cee eeeeeeeeececeeeeccecereeeesteceeeseeeees 54 2 1 Escenario de implementaci n GFI EventsManager se puede instalar en cualquier equipo que cumpla los requisitos m nimos del sistema independientemente de la ubicaci n en su red Si desea recopilar registros de eventos de Microsoft Windows Vista o de sistemas operativos posteriores se debe instalar GFI EventsManager en un equipo con Microsoft Windows Vista 7 Server 2008 o Server 2012 Utilice GFI EventsManager para administrar los registros de eventos que genera El mismo equipo donde est instalado gt Todos los servidores estaciones de trabajo y dispositivos de red a los que se puede obtener acceso desde el equipo en el que est instalado GFI EventsManager 2 Instalaci n de GFI EventsManager 26 GF EventsManager GF EventsManager Servers e GFI Computers where GFI EventsManager EventsManager is installed Computers with Linux Unix operating systems ox Computers with Microsoft Windows operating systems Figura 1 Escenario de implementaci
77. cierre de sesi n Reglas de SQL Server Reglas de acceso a las bases de datos Auditor as de Contiene reglas adaptadas para la supervisi n de auditor as de Oracle Server Estas incluyen entre Oracle otras Reglas de reducci n de ruido Reglas de cambios de base de datos Reglas de cambios de servidor Reglas de inicio cierre de sesi n Reglas de cambios en la seguridad Comprobaciones Contiene reglas que le permiten supervisar los mensajes de supervisi n activa Se incluyen reglas de supervisi n relacionadas con el conjunto predeterminado de reglas de supervisi n Las comprobaciones de super visi n generan registros de eventos Las reglas de procesamiento de eventos pueden procesar estos registros de eventos para activar una acci n o una notificaci n cuando se detecta un error 9 2 2 Agregar una carpeta de conjuntos de reglas Para crear una nueva carpeta de conjunto de reglas 1 Haga clic en la ficha Configuration y seleccione Event Processing Rules 2 En Common Tasks seleccione Create folder 3 Especifique un nombre nico para la nueva carpeta de conjuntos de reglas v Nota Para crear carpetas de conjunto de reglas secundarias haga clic con el bot n secundario en la carpeta principal y seleccione Create new folder 9 2 3 Renombrar y eliminar una carpeta de conjunto de reglas Para cambiar el nombre o eliminar carpetas de conjunto de reglas existentes haga clic con el bot n secund
78. clic en OK 11 Cierre la ventana Local Security Policy GFI EventsManager 17 Varios 342 17 1 3 Activar permisos en Microsoft Windows 7 Para activar permisos en maquinas con Microsoft Windows 7 Paso 1 Active los permisos de firewall Paso 2 Active las caracteristicas adicionales de auditoria Paso 1 Activar permisos de firewall Para activar manualmente las reglas del firewall en Microsoft Windows 7 1 Haga clic en Start gt Control Panel gt System and Security y haga clic en Allow a program through Windows Firewall en la categoria Windows Firewall Allowed Programs iof x 7 Ow Windo Allowed P y Search Control Panel Allow programs to communicate through Windows Firewall To add change or remove allowed programs and ports dick Change settings What are the risks of allowing a program to communicate M4 Change settings O For your security some settings are managed by your system administrator Allowed programs and features M Kerberos Key Distributi O Key Management Service CO Netlogon Service M Network Discovery C Performance Logs and C Remote Administration C Remote Desktop Remote Event Log Man C Remote Scheduled Tas C Remote Service Manag CO Remote Volume Manag C Routing and Remote A Secure Sackat Tunnalin OOOWOO80 ooosoomsoek OOOWOO8O 335555535 K K KK e tails Remove
79. compliancy with the legal acts which require monitoring of access to the company s resources The report is grouped by users thus providing a quick view of the computers used by each user User Name John Smith 4624 An account was successfully logged on ANONYMOUS LOGON Network 20 09 05 2011 12 05 TEMP 4624 An account was successfully logged on John Smith Network 20 11 21 2011 12 05 TEMP 4624 An account was successfully logged on John Smith Network 20 11 21 2011 12 05 Captura de pantalla 117 Muestra de informe 8 6 2 Generar informes de resumen diarios GFI EventsManager puede configurarse para enviar un informe de resumen por correo electr nico todos los d as El informe contiene un resumen de los eventos m s importantes recopilados y procesados durante las ltimas 24 horas Para configurar un usuario y enviarle el resumen diario por correo electr nico 1 En la ficha Configuration gt Options Expanda Users and Groups y seleccione Users 2 Haga clic con el bot n secundario en un usuario en el panel derecho y seleccione Properties 3 En la ficha General aseg rese de especificar una direcci n de correo electr nico v lida 4 En la ficha Alerts seleccione Send daily report via email GFI EventsManager 8 Generaci n de informes 165 2 Specify the types of alerts this user is to receive Specify the types of alerts this user should receive for events which happen during working hours or outside working hour
80. computer Start collecting events from the local computer where GFI EventsManager is installed MiB Process events Local domain LA Launch the Automatic network discovery wizard This wizard will automatically i search your domain for event sources i Process events Selected machines i Start collecting events from selected machines g Customize E Customize GFI EventsManager settings Help me choose o New monitoring feature Tell me how to configure Captura de pantalla 38 Eventos de proceso M quinas seleccionadas 1 Haga clic en Process events Selected machines 2 Se abre el cuadro de di logo Add New Event Source GFI EventsManager 2 Instalaci n de GFI EventsManager 60 Add New Event Sources Select the event sources Specify the computers from where GFI EventsManager will collect logs A In GFI EventsManager event sources are organized into event source groups The event sources specified below will be added to the Servers group Add the following computers 192 168 11 11 Computer Remove Mi MailServer E Workstation 11 D In order to scan a machine running Microsoft Vista or a newer operating system you must install GFI EventsManager on a machine running Microsoft Vista or a newer operating system Captura de pantalla 39 Agregar nuevo asistente de origen de eventos 3 En la siguiente tabla se describen las opciones disponibles Tabl
81. crea un grupo de servidores Para obtener m s informaci n consulte Recopilar capturas SNMP 5 Haga clic en Apply y OK 4 4 Configurar propiedades de or genes de eventos GFI EventsManager le permite personalizar los par metros de or genes de eventos para adaptarse a los requisitos de funcionamiento de su infraestructura Puede configurar estos par metros en cada origen de eventos o en un grupo de or genes de eventos Cualquier miembro de un grupo configurado hereda la misma configuraci n de forma autom tica Esta secci n contiene informaci n acerca de gt Configurar propiedades generales de los or genes de eventos Configurar credenciales de inicio de sesi n de los or genes de eventos Configurar tipo de licencia de los or genes de eventos Configurar tiempo operativo de los or genes de eventos Configurar supervisi n de los or genes de eventos Configurar par metros de procesamiento de eventos 4 4 1 Configurar propiedades generales de or genes de eventos Utilice la ficha General del cuadro de di logo de propiedades para Cambiar el nombre de un grupo de equipos Habilitar o inhabilitar la recopilaci n de registros y el procesamiento de los equipos de un grupo Configurar la frecuencia de recopilaci n y procesamiento de registros Para configurar las propiedades de los or genes de eventos 1 En la ficha Configuration gt Event Sources gt Group Type seleccione Event Sources Groups 2
82. datos back end Entre estas operaciones se incluyen importar o exportar datos Para utilizar EsmDlibM exe 1 Haga clic en Start gt Run y escriba CMD 2 Haga clic en Ctrl Shift Enter para ejecutar CMD con privilegios elevados 3 Cambie el directorio al directorio de instalaci n de GFI EventsManager Ejemplo CD lt C Program Files GFI EventsManager gt 4 Escriba EsmDlibM exe seguido de las funciones que se describen a continuaci n gt importFromSQL gt importFromDlib copyData gt importFromLegacyFile gt exportToFile GFI EventsManager 16 Herramientas de la linea de comandos 322 importFromFile gt commitDeletedRecords gt exportToSQL 16 2 1 importFromSQL Esta funci n le permite importar datos de una base de datos SQL Server Se deben exportar los datos desde una versi n anterior de GFI EventsManager Se admiten los siguientes par metros Tabla 105 Par metros importFromSQL Par metro Descripci n server lt serverName gt Especifique la direcci n IP o el nombre de la m quina de SQL Server database lt maindb Especifique el tipo y el nombre de la base de datos de origen para importar los datos backupdb da tabaseName gt nota Los par metros que contienen espacios deben escribirse entre comillas dobles dbauth lt SQL WIN gt Especifique el modo de autenticaci n configurado en el origen SQL Server Se admiten los siguientes valores SQL
83. de GFI SOFTWARE Ltd 1999 2013 GFI Software Ltd Reservados todos los derechos Versi n del documento 13 0 0 ltima actualizaci n mes d a a o 3 18 2014 Tabla de contenido o a AAA A A Re eae re renam 21 1 1 Acerca de GFI EventsManager ooocccccccccccccccccccnccnccncnncnncnn cnn n cnn nn nn nnn LL LL 2222n 21 1 2 C mo funciona GFI EventsManager aaao anaona aoaaa aana oaa aoaaa DALDAL DADL Da aa aan 23 1 2 1 Etapa 1 Recopilaci n de eventos 2 o eee ce cece ccc ec eve cececcccececeseeeceees 24 1 2 2 Etapa 2 Procesamiento de eventos 22 0 eee eee cece eee ec ee cece cece eee ee eee 24 1 3 Convenciones utilizadas en esta gu a 2 22 ooo ec ec oaa DAADAA PALLADA aaan 25 2 Instalaci n de GFI EventsManager _ 22 20 2002 0 2 c cece ccc eee cece ccc ccccccceececeeseesteceeseeseesees 26 2 1 Escenario de implementaci n occ ccoo coco coco no ec ececececececeecececececeseceseeeeeeees 26 2 1 1 GFI EventsManager en una Red de rea local LAN 0 ooooooooococcccccccccccococococooos 28 2 1 2 GFI EventsManager en una zona desmilitarizada DMZ ooo 29 2 1 3 GFI EventsManager en una red de rea extensa WAN 2 2 2 20 2 2 eee cece cece ees 31 2 2 Requisitos del sistema 2 2 2 hccsdvcdenckaccs5steedSeee doce eededaiveseadeigaseaechedicaasdesedeceeses 32 2 2 1 Requisitos de hardware 2 0 2 0 ccc ccc 000a cnc cecceccecceceecceceeeceetscensstseteeeseeee 32 2 2 2 Sistemas operativos admitidos 32 y
84. de base de datos DLib 0 0 0 20 20 2 ee ee eee 39 Eliminar archivos de la version anterior 2 00 00 20 c cece cece ee eeceeceeceeeveeeeee 40 Pantalla de bienvenida del asistente de instalaci n de GFI EventsManager 40 EULA de GFI EventsManager 22000 c ccc ceec cece cece cee eeceeeeeeeeeeeeeeeees 41 Detalles del registro de GFI EventsManager 02 2000 22c cece eee ceeeceeeee 41 Credenciales de inicio de sesi n remoto para supervisi n de registros de eventos 42 Carpeta de instalaci n de GFI EventsManager oooocccccccccccccccccccccccccccccccno 43 Se complet la instalaci n de GFI EventsManager oooooccccccccccccccccccccccccoccns 43 Comprobaci n autom tica de actualizaciones ooooooccccccccccccccccccccocccccnccos 44 Definir el back end de la base de datos ooocccccccccccccccccccccccccccccnccccnccccos 44 Comprobaci n de requisitos previos a la actualizaci n oooooccccccccccccccccccccoo 46 Servidor de base de datos DLib o 220 2 47 EULA del servidor de base de datos DLib 2 0200022 eee 47 Carpeta de instalaci n de DLib 12 22 00 0 0 eee cece cece cece oa aaan aano oaa anani 48 Iniciar instalaci n del servidor de base de datos DLib 20 20 2002 eee eee 48 Pantalla de bienvenida del asistente de instalaci n de GFI EventsManager 49 EULA de GFI EventsManager 20 2220000 c ccc e ccc ec eee ceeccececeeece
85. de eventos que GFI EventsManager buscar en el dominio especificado 4 Administrar or genes de eventos 71 Y General Exclusions Schedule ae Exclude event sources L Configure the list of event sources to exclude from the synchronization operation Event Source Workstation11 MailServer2 Add Remove _ E Event sources configured in non synchronized groups will be automatically excluded ok J _ Cance Ay Captura de pantalla 42 Excluir equipos de la sincronizaci n autom tica 6 Opcional Seleccione la ficha Exclusions para configurar la lista de equipos que ser n excluidos de la sincronizaci n Haga clic en Add e ingrese el nombre del equipo que desea excluir v Nota Los origenes de eventos que ya forman parte de un grupo de origenes de eventos ser n autom ticamente excluidos de la sincronizaci n 7 Seleccione la ficha Schedule para configurar cu ndo se debe realizar la sincronizaci n GFI EventsManager 4 Administrar or genes de eventos 72 Synchronization Properties a General Exclusions Schedule e Configure Synchronization schedule Configure the schedule used to perform the synchronization operation and the email notification Interval 11 hours 7 Synchronize now Synchronize now Captura de pantalla 43 Ficha Synchronization properties Schedule 8 Ingrese un intervalo valido en horas
86. de la l nea de comandos a trav s de las cuales puede llevar a cabo diversas funciones sin tener acceso a la Consola de administraci n Las herramientas CMD disponibles se encuentran en la carpeta de instalaci n de GFI EventsManager Temas de este cap tulo 16 1 Usar ESMCmdConfig exe ETE E A AE A eae ce ees ae eee 319 16 2 Usar EsmDlibM exe _ ooo ccc cece cece ccc e eee e cece eee e cece cece eeeeececeeseeseeeeeeseees 322 16 3 Usar DLibAdm exe 2 22 ccc cece cece ee eee eee cece eee e eee e cece cece eeeeeeeeeeeeereeeeeeess 331 16 4 Usar EsmReport exe 000 2 c cece cece cece cece cece ce cee cece eee e eee eeeeeeeeeeeeeteeeeserees 333 16 1 Usar ESMCmdConfig exe ESMCmdConfig exe le permite configurar opciones generales para GFI EventsManager Por ejemplo Credenciales de inicio de sesi n de GFI EventsManager Clave de licencia Configuraci n del servidor de correo Cuenta de administrador gt Crear Eliminar accesos directos del grupo gt Obtener nombres de los equipos Para utilizar ESMCmdConfig exe 1 Haga clic en Start gt Run y escriba CMD 2 Haga clic en Ctrl Shift Enter para ejecutar CMD con privilegios elevados 3 Cambie el directorio al directorio de instalaci n de GFI EventsManager Ejemplo CD lt C Program Files GFI EventsManager gt 4 Escriba ESMCmdConfig exe seguido de las funciones que se describen a continuaci n gt op registerService gt op enable gt op disa
87. de origenes de los eventos Utilice este parametro para generar un informe de configuraci n de un grupo de or genes de eventos nota Los parametros que contienen espacios deben escribirse entre comillas dobles source lt name gt group lt name gt Ejemplo EsmReport exe type configuration target C ReportsFolder Format html qroups Domain Controllers GFI EventsManager 16 Herramientas de la linea de comandos 334 16 4 2 Generar informes de estado Esta funci n le permite generar informes de estado de GFI EventsManager Se admiten los siguientes par metros Tabla 118 Par metros de informes de estado Par metro Descripci n type lt con Especifique el tipo de informe que desea generar Se admiten los siguientes valores figuration status events gt configuraci n status para estado gt events para eventos Escriba type status para generar un informe de estado subtype lt messages stats gt Especifique el tipo de informe de estado que desea generar Se admiten los siguientes valores messages cuando se especifica este tipo se pueden utilizar los siguientes par metros e period lt current date gt escriba current para generar un informe que con tenga los mensajes generados en el mismo d a O bien escriba una fecha para generar un informe de estado que contenga los mensajes generados en la fecha especificada stats cuando se especifica stats como un subti
88. de pantalla 117 Captura de pantalla 118 Captura de pantalla 119 Captura de pantalla 120 Captura de pantalla 121 Captura de pantalla 122 Captura de pantalla 123 Captura de pantalla 124 Captura de pantalla 125 Captura de pantalla 126 Captura de pantalla 127 Captura de pantalla 128 Captura de pantalla 129 Captura de pantalla 130 Captura de pantalla 131 Captura de pantalla 132 Captura de pantalla 133 Captura de pantalla 134 Captura de pantalla 135 Captura de pantalla 136 Captura de pantalla 137 Captura de pantalla 138 Captura de pantalla 139 Captura de pantalla 140 Captura de pantalla 141 Captura de pantalla 142 Captura de pantalla 143 Captura de pantalla 144 Captura de pantalla 145 Captura de pantalla 146 Captura de pantalla 147 Captura de pantalla 148 Captura de pantalla 149 Captura de pantalla 150 Captura de pantalla 151 Captura de pantalla 152 Captura de pantalla 153 Captura de pantalla 154 Captura de pantalla 155 Captura de pantalla 156 Muestracde informe A dees 165 Configuraci n de resumen diario por correo electr nico 2c eee eee eee 166 Resumen diario por correo electr nico 2 2 2 c cece ecececececeeccececeeeceecseees 167 Generar informe de configuraci n 2ccccecceecececeeccececeecceetceeeees 168 Muestra de informe de configuraci n 2 2 2 0cccecceececcceecceccceccceeeeeees 169 Generar informe de configuraci n
89. el servidor de bases de datos el instalador abre autom ticamente el asistente de instalaci n de la Consola de administraci n de GFI EventsManager Welcome to the GFI EventsManager 2013 Setup Wizard The Setup Wizard will install GFI EventsManager 2013 on your computer Click Next to continue or Cancel to exit the Setup Wizard Captura de pantalla 23 Pantalla de bienvenida del asistente de instalaci n de GFI EventsManager 7 Haga clic en Next en la pantalla de bienvenida del asistente GFI EventsManager 2 Instalaci n de GFI EventsManager 49 Carefully read the following end user license agreement GFI End User License Agreement For GFI FaxMaker GFI MailArchiver GFI MailEssentials and GFI MailSecurity GFI WebMonitor GFI LanGuard GFI Network Server Monitor GFI EventsManager GFI BackUp GFI Device Warden and GFI EndPointSecurity Software MEACE PANEE LIV ACVICIM TUC COI MAINO TOMAAC ANN CONDITIONE ME TUIC 4 I accept the terms in the License Agreement Captura de pantalla 24 EULA de GFI EventsManager 8 Lea detenidamente el acuerdo de licencia Seleccione accept the terms in the License Agreement y haga clic en Next Specify your username and license key Key in the 30 day evaluation key sent to you by email or dick Next to specify a license key later Events processing features are disabled without a valid license key User Name
90. equipos que se ejecutan en Windows NT o en una versi n superior de Windows registran errores advertencias y eventos de informaci n en tres registros Concretamente estos son registros de Seguridad Aplicaciones y Registros del sistema Los equipos que tienen funciones m s especiales en la red como los controladores de dominio y los servidores DNS tienen categor as de registro de eventos adicionales Como m nimo los sistemas operativos Windows registran eventos en los siguientes registros Tabla 36 Registro de eventos de Windows recopilados por GFI EventsManager Tipo de regis Descripci n tro Registro de Este registro contiene eventos relacionados con la seguridad a trav s de los cuales puede auditar los eventos de intentos de infracci n de seguridad o las infracciones de seguridad exitosas Eventos t picos que se seguridad encuentran en el registro de eventos de seguridad incluyen intentos de inicio de sesi n v lidos y no v lidos Registro de Este registro contiene eventos registrados por las aplicaciones de software como los errores de archi eventos de vos aplicaciones Registro de Este registro contiene eventos registrados por los componentes del sistema operativo como los erro eventos del res al cargar controladores de dispositivos sistema Registro de Este registro contiene los eventos generados por Active Directory entre los que se incluyen los inten servicio de tos exitosos o fallidos de actualizar
91. especifica la cantidad de dias semanas meses gt lt unit gt e d d as w semanas m meses markEventsAsDeleted Opcional Marca los eventos copiados como eliminados de la base de datos de origen Estos eventos ya no se mostrar n en la Consola de administraci n pero permanecer n en la base de datos Para eliminarlos por completo de la base de datos ejecute la tarea Commit Deletions log_format lt valor gt Estos par metros proporcionan al usuario una forma pr ctica para filtrar los eventos por las machine lt valor gt im columnas correspondientes Estos filtros son opcionales Cuando se usan en conjunto estan portance lt valor gt oc vinculados a una condici n AND en los datos de origen A excepci n de la m quina donde el cured lt valor gt usuario puede ingresar el nombre de la m quina de destino seg n se muestra en el explorador de eventos los dem s par metros tienen valores predefinidos de significado obvio que se indican a continuaci n Se admiten los siguientes valores log_ format windows e sql audit para auditor a de sql oracle audit para auditor a de oracle text logs para registros de texto syslog messages para mensajes syslog snmp traps para capturas SNMP monitoring para supervision 2 importance para importancia unclassified para sin clasificar low para baja medium para media high para alta e critical para cr tica noise para ruido gt
92. etc Una lista que muestra todas las declaraciones auditadas de Oracle actuales 8 Haga clic en Apply y OK GFI EventsManager 4 Administrar origenes de eventos 102 5 Recopilar registros de eventos En este capitulo se proporciona informacion acerca de como configurar los origenes de eventos para aplicar reglas de procesamiento de eventos a los eventos recopilados Asigne reglas de procesamiento de eventos existentes o personalizados para procesar con precisi n solamente los eventos deseados Temas de este cap tulo 5 1 Recopilar registros de eventos de Windows 2 22 22 oo eee c eee c eee ee cece ceceeeeeeeeeeeeeeeees 103 5 2 Recopilar registros de texto 2 0 2 e cece cece eee eeeeeeeeeeeeeeeeeeeeeeeees 106 5 3 Recopilar Syslogs 2 2 2 2 ecco eee ccc eee cece ee cece cece eee cece ee eeeeeeeeceeeeeeeeeeeeressseeeees 109 5 4 Recopilar mensajes de capturas SNMP 0000000000000000 0000000000000000 aaao aaao aoaaa aoaaa aaan 113 5 5 Recopilar registros personalizados 0000000000000000 cece eee eee 0000000 adaa aa oaa aoaaa anaran 117 5 6 Recopilar registros de eventos de GFI LanGuard 02 20 00 0000000000000000 aaao oaaao naana 119 5 7 Recopilar eventos de GFI EndPointSecurity 0 220 0200 ccc cece cece cece cece aaora o araona 124 5 1 Recopilar registros de eventos de Windows Los eventos de Windows se organizan en categor as de registros espec ficos De forma predeterminada los
93. eventos manualmente 0 0 aa eee eceeeeee eee 339 17 1 1 Activar permisos en Microsoft Windows XP ooccccccccccccccccnccnccnccnccnccnos 339 17 1 2 Activar permisos en Microsoft Windows Vista 2 2 2ccecceeeeceeeeeees 340 17 1 3 Activar permisos en Microsoft Windows 7 2 2 2 2 2 c2cceccecceccecceceeseeees 343 17 1 4 Activar permisos en Microsoft Windows Server 2003 ccoo 345 17 1 5 Activar permisos en Microsoft Windows Server 2008 incluido R2 346 17 2 Activar permisos de origenes de eventos autom ticamente 2 20 2 2 eee eee 347 17 2 1 Activar permisos en Windows Server 2003 a trav s de GPO occ 347 17 2 2 Activar permisos en Windows Server 2008 a trav s de GPO occ 348 17 3 Desactivar Control de cuentas de usuario UAC 0 0 0 occ cece ccc eee cee cecceeceeees 352 18 Soluci n de problemas 2 2 2 2 o oo ccc ccc cence nce cc cnc cecceceeceeseeseeeeeaeeesteetsetseteeeees 353 18 1 Documentacion ssar eee Sadan ohn as Maes baudeses meni AS 353 182 GFLSKyNeE sasar tine T 0 SAA O tad Oo et e Lhe eA Senn a OE hte 353 18 3 Solicitar soporte TECNICO re tes a sc te ie ee heh ee ea ls 353 1 8 24 FOrOsenila hed te seen RR ea RAO Salat Ae pit oe Sit PRB EMOTO Bie SEITE OM 353 18 5 Asistente para el solucionador de problemas 0 2 2ccecceccecceccecceseeseees 354 A 360 DO TCC NO 364 Lista de figuras Ca
94. have to use the same password when you decrypt the data ok cancel _apw Captura de pantalla 197 Cuadro de di logo File storage system 2 Haga clic en New y escriba el nombre de la nueva base de datos Haga clic en OK para cerrar el cuadro de di logo Create new database 3 Haga clic en Browse para seleccionar una ubicaci n distinta del almac n de base de datos predeterminado 4 Opcional Seleccione Encrypt data using the following password y especifique la contrase a de cifrado que se utiliza para proteger la informaci n en la nueva base de datos O Nota O Indica que las contrase as especificadas no coinciden 5 Haga clic en Apply y OK 14 1 2 Proteger su base de datos GFI EventsManager le permite proteger su base de datos con una clave de cifrado Cifrar la base de datos impide que el personal no autorizado pueda acceder a los registros de eventos GFI EventsManager 14 Mantenimiento de base de datos 253 wy Importante Cifrar la base de datos genera que el Monitor de estado y el Explorador de eventos dejen de ver la informacion confidencial Para cifrar el back end de la base de datos File Configure Help Status Configuration Events Browser Reporting General s Event Sources Event Processing Rules E Active Monitoring 2 Options Configurations E Send us feedback W Open Quick Launch Console 6 Help Default Classification Actions fe Users and Gro
95. inicio de sesi n est habilitado se les solicitar a todos los usuarios que especifiquen sus credenciales cada vez que inicien la consola de administraci n de GFI EventsManager O Nota Antes de activar el sistema de inicio de sesi n debe configurar los par metros del servidor de correo electr nico Para obtener m s informaci n consulte Configurar opciones de alerta Para habilitar el sistema de inicio de sesi n 1 En la ficha Configuration Options expanda el nodo Console Security and Audit Options GFI EventsManager 13 Opciones de auditor a y seguridad de la consola 242 File Configure Help Status Configuration Events Browser Reporting General NY Event Sources Event Processing Rules I Active Monitoring Unix Options A _ Configurations _ 9 Send us feedback W Open Quick Launch Console Help oP Default Classification Actions e Users and Groups Console Security e Ty Console Security and Audit Options i Security Options Anonymization Options Edit security options Audit Options Here you enable or disable the EventsManager login system Syslog Server Options SNMP Traps Server Options Performance Options Captura de pantalla 188 Editar opciones de seguridad de la consola 2 Expanda el nodo Console Security and Audit Options haga clic con el bot n secundario en el nodo Security Options y seleccione Edit security options GFI EventsManager 13 Opcione
96. la base de datos de Active Directory directorio Registro de Este registro contiene eventos registrados por el servicio de replicaci n de archivos de Windows servicio de Estos incluyen los errores y eventos de replicaci n de archivos que ocurren mientras se actualizan los replicaci n de controladores de dominio con informaci n sobre SYSVOL archivos Registro del Este registro contiene los eventos asociados con el proceso de resoluci n de nombres DNS en direc servidor DNS ciones IP GFI EventsManager 5 Recopilar registros de eventos 103 Tipo de regis Descripcion tro Registros de Estos registros contienen eventos asociados con Windows Vista y los servicios y las funciones rela aplicaciones y cionadas que este ofrece servicios Windows Evert Log Tert Logs Syslog SNMP Traps Montos i Specify the Windows event logs to collect archive and process Specify the logs to collect Microsoft Windows RemoteAssistance Ope Microsoft Windows RemoteAssistance Tra Events to collect Microsoft Windows RemoteAssistance Admin Remove Palos heer a Y Clear collected events after completion Post collection processing Archive all logs without any further processing Archive logs without processing 9 Process the logs with the rules selected below before archiving Process collected logs o ma Windows Events A one Reduction a E Rule sets to apply to 4 Requirements indows Aa Secur
97. la contrase a para descifrar los datos exportados Opcional Si la base de datos de origen est anonimizada escriba la contrase a de anonimizaci n pri maria para descifrar los datos exportados Opcional Si la base de datos de origen esta anonimizada con dos claves de anonimizaci n escriba la contrase a de anonimizaci n secundaria para descifrar los datos exportados EsmDlibM exe exportToSOL server 192 168 11 11 database EventsDatabase dbauth SQL username sa password p ss table EventsTable anonpassl pa s 16 3 Usar DLibAdm exe Se usa DLibAdm exe para ejecutar operaciones administrativas en los servidores de bases de datos DLib instalados en la red Para utilizar DLibAdm exe 1 Haga clic en Start gt Run y escriba CMD 2 Haga clic en Ctrl Shift Enter para ejecutar CMD como administrador 3 Cambie el directorio activo a la carpeta de instalaci n del servidor de bases de datos DLib Escriba ejemplo CD C Program Files GFI Database Server 2 0 Presione la tecla Enter 4 Escriba DLibAdm exe seguido por las funciones que se describen a continuacion decryptDatabase gt encryptDatabase GFI EventsManager 16 Herramientas de la l nea de comandos 331 gt displayAUDLib gt copyMoveDLib 16 3 1 decryptDatabase Esta funcion le permite descifrar una base de datos DLib cifrada Se admiten los siguientes parametros Tabla 113 Par metros decryptDatabase Especifique
98. la ruta a la base de datos que desea descifrar dbPath lt ruta gt nota Los parametros que contienen espacios deben escribirse entre comillas dobles dbName lt nombre gt Especifique el nombre de la base de datos que desea descifrar nota Los par metros que contienen espacios deben escribirse entre comillas dobles Especifique la contrase a que se utiliza para descifrar la base de datos password lt contrase a gt 16 3 2 encryptDatabase Esta funci n le permite cifrar una base de datos especificada Se admiten los siguientes par metros Tabla 114 Par metros encryptDatabase Especifique la ruta a la base de datos que desea cifrar dbPath lt ruta gt Nota Los par metros que contienen espacios deben escribirse entre comillas dobles dbName lt nombre gt Especifique el nombre de la base de datos que desea cifrar nota Los par metros que contienen espacios deben escribirse entre comillas dobles Especifique la contrase a que se utiliza para cifrar la base de datos password lt contrase a gt 16 3 3 displayAllDLib Esta funci n le permite enumerar todos los servidores de bases de datos DLib v lidos que se ejecutan en una carpeta especificada Se admite el siguiente par metro GFI EventsManager 16 Herramientas de la linea de comandos 332 Tabla 115 Par metros displayAllDLib Parametro Descripcion path lt ruta gt Especifique la ruta de la carpeta en la q
99. log Windows application log Windows S A All event sources system log and Monitoring log The scanning will use the appropriate processing rules ET z Credent A Ser E Add new event source Ins 4 E Wod Create grou Ctrl Ins mo ey PEF apt D ii W706 Enabled Inherted uP Infra Disable ee EQ y R AE 7 Rename F2 8 Web X Delete Del af a Linul Scanning options gt NE Cisci Sort by name oo Ema CE aE Repor onsetings Common Properties car m Report on settings 2 event source s Captura de pantalla 120 Generar informe de configuraci n 2 Haga clic con el bot n secundario en un grupo de or genes de eventos y seleccione Report on settings GFI EventsManager 8 Generaci n de informes 168 GFI EventsManager Monitored computers Scan Group Computer interval Enabled Rule sets D H M S All rules Windows Events Security Windows Filtering Platform events All rules Windows Events System Health Disk issues All rules Windows Events System Health Memory dumps All rules Windows Events System Health TCP IP issues All rules Windows Events System Health Unexpected system shutdowns All rules Windows Events System Health Applications crashing or hanging All rules Windows Events System Health Windows updates All rules Windows Events System Health Performance logs and alerts All rules Windows Events System Health Shutdown reboot logoff actions All rules Windows Events System Health Kerber
100. los mensajes SNMP cifrados la clave de host de cifrado se debe especificar en el campo de descifrado de mensajes entrantes de capturas SNMP 3 W Importante Eliminar registros de eventos sin archivar puede dar lugar a penalizaciones legales 5 4 1 Configurar servidor de capturas SNMP A forales File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules IZ Active Monitoring 4 Options A Configurations Send us feedback W Open Quick Launch Console Help 1 Default Classification Actions c Users and Groups SNMP Traps Server Options E M Console Security and Audit Options 2 Alerting Options D Syslog Server Options gt Edit SNMP Traps Server Options Here you can configure the SNMP Traps server options M Performance Options z g File Storage Database Operations Ej Custom Event Logs 2 AutoUpdate Options Common Tasks Captura de pantalla 80 Configurar capturas SNMP Para cambiar la configuraci n predeterminada del servidor de capturas SNMP 1 Haga clic en la ficha Configuration gt Options 2 Haga clic con el bot n secundario en SNMP Traps Options y seleccione Edit SNMP Traps options GFI EventsManager 5 Recopilar registros de eventos 116 SNMP Traps Options a General Advanced Specific fic Trap Type gt Configure the in build SNMP Traps server options To receive messages from SNMP Traps clients enable
101. necesarios la Consola de administraci n se abre autom ticamente De forma predeterminada est configurada para ejecutar la Consola de inicio r pido al iniciarse Quick Launch Console x Welcome to GFI EventsManager Select an option Process events Local computer gt gt Start collecting events from the local computer where GFI EventsManager is installed EE Process events Local domain LA Launch the Automatic network discovery wizard This wizard will automatically n search your domain for event sources bh Process events Selected machines Start collecting events from selected machines Customize Customize GF EventsManager settings gt j Help me choose New New monitoring feature Tell me how to configure Captura de pantalla 31 Ejecutar GFI EventsManager por primera vez Seleccione una opci n de la Consola de inicio r pido para procesar eventos o personalizar la configuraci n predeterminada Tabla 12 Opciones de la consola de inicio r pido Process events Local Se empiezan a procesar registros generados por el host de GFI EventsManager computer Nota Para obtener m s informaci n consulte Procesar eventos Equipo local Process events Local Se empiezan a procesar registros generados por equipos y dispositivos de red en el mismo domain dominio que el host de GFI EventsManager nota Para obtener mas informacion consulte Procesar eventos Dominio local GFI Even
102. network path was not fo Ly 1 2012 04 06 21 38 25 256 DC1 Events collector Eror connecting to machine DC1 The network path was not fo Y 2012 04 06 21 38 17 334 DC1 Events collector Eror c ing to machine DC1 The network path was not fo Captura de pantalla 123 Informe del historial operativo 2 Haga clic en Export data Export Operation History Data 5 e Export messages to html csv format fanet Specify data current messages errors from a specific date 01 November 2011 Save filesto ogram Files GFI EventsManager2012 Reports Status Ea E You can also automate generation of these reports using esmreport exe command line tool Captura de pantalla 124 Cuadro de di logo del historial operativo 3 Especifique las opciones que se describen a continuaci n y haga clic en Export Tabla 57 Opciones de exportaci n del historial operativo Format Seleccione el formato de salida del informe Los formatos disponibles son HTML y CSV Current mess Permite exportar todos los mensajes que aparecen en la ficha Job Activity ages Errors froma Especifique una fecha y exporte todos los mensajes generados en esa fecha specific date Save file to Marque la casilla de verificaci n para especificar la ubicaci n de salida Si no se marca los informes se guardan en la ubicaci n predeterminada en el directorio de GFI EventsManager GFI EventsManager 8 Generaci n de informes 171 GFI EventsMan ager i O
103. new folder Collapse all Create new rule iia Find rule Increase Priority Ctrl Up Open Quick Launch Console Decrease Priority Ctrl Down Sort by name z me Actions idad m r Edi lew Properties 5 rule s Captura de pantalla 135 Crear una nueva regla 2 Haga clic con el bot n secundario en el conjunto de reglas donde se crear la nueva regla y haga clic en Create new rule 3 Especifique el nombre y la descripci n opcional de la nueva regla Haga clic en Siguiente GFI EventsManager 9 Reglas de procesamiento de eventos 184 Select the log s Please select the log s to which the rule will apply Log formats windows Log names File Replication Service Directory Service Windows PowerShell Application Security Windows Logs a Applications and Services Logs 18 Microsoft Y 14 Key Management Service 3 DFS Replication 3 Hardware Events vlil Internet Exolorer ih D H pope 2 08 Eee m Captura de pantalla 136 Seleccionar los registros a los que se aplicar la regla 4 Seleccione los registros de eventos a los que aplica la regla 5 Opcional Haga clic en Add custom log para insertar un registro de eventos preconfigurado Haga clic en Next Para obtener m s informaci n consulte Recopilar eventos personalizados v Nota Para las auditorias SQL las auditor as Oracle los registros de texto y las capturas SNMP especifique la ruta de
104. ocurred today para el d a de hoy yesterday para ayer e last 7 days para los ltimos 7 dias e last 30 days para los ltimos 30 dias this month para este mes last month para el mes pasado GFI EventsManager 16 Herramientas de la l nea de comandos 325 Ejemplo EsmDlibM exe copyData destinationPath 2Z DestServ destinationName DestData sourcePath C SourServ sourceName SourData sourceEncPass p ss markEventsAsDeleted 16 2 4 importFromLegacyFile Esta funcion le permite importar datos que se exportaron a archivos desde una version anterior de GFI EventsManager Se admiten los siguientes par metros Tabla 108 Par metros importFromLegacyFile Par metro Descripci n path lt ruta gt Especifique la ruta de acceso al archivo de importaci n nota Los parametros que contienen espacios deben escribirse entre comillas dobles logTypes lt aplicaci n personalizado directorio segu Opcional Especifique el tipo de registro que desea ridad dns replicacion de archivo syslog sistema importar Excluya el parametro para importar todos los snmp oracle sql texto gt tipos de registro password lt contrasena gt Opcional Especifique una contrasena para descifrar los datos de importaci n anonpass1 lt contrase a gt Opcional Especifique la contrase a de anonimizaci n primaria para anonimizar los datos de importaci n anonpass2 lt contrase a gt Opcional E
105. ohn Smith License Key none Click Register to obtain a free 30 day evaluation key Captura de pantalla 25 Detalles del registro de GFI EventsManager 9 Ingrese su nombre de usuario y la clave de licencia en los campos User Name y License Key Para registrarse y acceder a una clave de licencia de evaluaci n gratuita de 30 d as haga clic en Register Haga clic en Siguiente GFI EventsManager 2 Instalaci n de GFI EventsManager 50 Specify the logon credentials for GFI EventsManager GFI EventsManager requires a user account with administrative privileges to log on to remote sources Enter domain administrator account details for GFI EventsManager service in any of the following formats Domain Administrator or Administrator DOMAIN Account DOMAIN ADMINISTRATOR Password eeeeeccccccssece a Captura de pantalla 26 Credenciales de inicio de sesi n remoto para supervisi n de registros de eventos 10 Ingrese las credenciales de inicio de sesi n que utiliza GFI EventsManager para iniciar sesi n en equipos remotos O Nota Se recomienda usar un administrador de dominios o una cuenta con derechos administrativos sobre todos los equipos remotos administrados por GFI EventsManager GFI EventsManager 2 Instalaci n de GFI EventsManager 51 4 GFI EventsManager 2013 Setup fos Destination Folder Click Next to install to the default folder or click Change to choose another
106. origenes de eventos Este capitulo proporciona informacion acerca de como agregar y administrar sus origenes de eventos Los or genes de eventos son equipos y dispositivos conectados a la red a los que GFI EventsManager tiene acceso para procesarlos La ficha secundaria Events Sources le permite organizar sus or genes de eventos en grupos espec ficos Puede crear nuevos grupos o utilizar los predeterminados para configurar y organizar distintivamente los or genes de eventos Temas de este cap tulo 4 1 Agregar or genes de eventos manualmente 2 2 2 20 20 20 cece eee ce ccc e cece cece ee ceceeececececeeceeceeeees 69 4 2 Agregar or genes de eventos autom ticamente 2 2 22 0 2 02 occ e cece cece eee ec eee cecceceeeceeceeceeees 70 4 3 Crear un nuevo grupo de or genes de eventos 2 22 20 22 cece cece cece cece cee ceecececeeeeceeseeeeeeeees 73 4 4 Configurar propiedades de or genes de eventos 22 2 2 20 2 eee ccc ec cc cece cece ccc ceccceeeeeeeeeeeeeees 75 4 5 Or genes de bases de datos 2 20 0 o cece ccc ccc cece cece cece cece cece cee ceeeeeeeeeeeeetseeeeeeeseetseeees 84 4 1 Agregar origenes de eventos manualmente Para agregar manualmente un nuevo origen de eventos a un grupo de equipos 1 Haga clic en la ficha Configuration gt Event Sources y en Group Type seleccione Event Sources Groups 2 Haga clic con el boton secundario en un grupo de equipos que desee y seleccione Add new event source
107. para habilitar o inhabilitar la recopilaci n de registros de eventos del grupo Seleccione esta opci n para comprobar si hay nuevos registros de eventos cada 5 segundos nota Se recomienda si los miembros de este grupo generan grandes vol menes de registros de eventos puesto que podria afectar el rendimiento de su red Especifique una programaci n personalizada para cuando GFI EventsManager busque nuevos registros de eventos 4 4 2 Configurar credenciales de inicio de sesi n de or genes de eventos Utilice la ficha Logon Credentials en el cuadro de di logo de propiedades para Ver la configuraci n de las credenciales de inicio de sesi n Editar la configuraci n de las credenciales de inicio de sesi n GFI EventsManager 4 Administrar origenes de eventos 76 Durante el procesamiento de eventos GFI EventsManager debe iniciar sesi n de forma remota en los equipos de destino Esto es necesario con el fin de recopilar los datos de registro que se almacenan actualmente en los equipos de destino y pasar estos datos al motor de procesamiento de eventos Para recopilar y procesar los registros GFl EventsManager debe tener privilegios administrativos en los equipos de destino De forma predeterminada GFI EventsManager inicia sesi n en los equipos de destino utilizando las credenciales de la cuenta con la que se est ejecutando actualmente sin embargo algunos entornos de red est n configurados para utilizar distintas
108. predeterminadas 4 Configure la supervisi n activa Las comprobaciones de supervisi n activa son par metros condicionales que se ejecutan en los or genes de eventos en base a una programaci n Independientemente de si las condiciones de los par metros se cumplen o no las comprobaciones de supervisi n generan registros de eventos El registro de eventos generado se puede combinar con las reglas de procesamiento de eventos para analizar m s exhaustivamente el problema que gener el registro enviar notificaciones ejecutar secuencias de comandos e implementar medidas correctivas GFI EventsManager contiene algunas supervisiones activas gen ricas que se pueden usar inmediatamente Tambi n puede crear nuevas supervisiones y establecer la configuraci n granular para adquirir informaci n precisa e importante Consulte las siguientes secciones para obtener informaci n acerca de Supervisi n activa Crear y configurar carpetas ra z Crear y configurar la supervisi n activa Aplicar la supervisi n activa Analizar la actividad de la supervisi n activa 3 Obtenci n de resultados 66 GFI EventsManager 5 Configure las reglas de procesamiento de eventos Las reglas de procesamiento de eventos son las comprobaciones condicionales que se ejecutan en los registros de eventos recopilados Seg n la informaci n que se encuentra en el registro de eventos como Log Type Timestamp y Classification GFI EventsMana
109. registrar su versi n del producto y recibir una prueba gratuita de 30 dias Una vez transcurrido el periodo de prueba se inhabilitan todos los servicios de supervision de registros de eventos y de administraci n y se necesita una clave de licencia completa Para registrarse y recibir una clave de licencia de prueba de 30 d as 1 En la ficha General gt General haga clic en Licensing 2 Haga clic en el v nculo proporcionado Ser redireccionado a la p gina web de GFI donde puede ingresar sus detalles y recibir la clave de licencia por correo electr nico Se enviar su clave de prueba gratuita de 30 d as a la direcci n de correo electr nico que indique en el formulario de registro Si tiene un sistema de filtro de correo no deseado aseg rese de que el correo electr nico no est bloqueado como correo no deseado 15 3 3 Ver detalles de la licencia Los detalles de la licencia le proporcionan detalles de la distribuci n de licencias Para ver los detalles de la licencia 1 En la ficha General gt General haga clic en Licensing 2 En el panel derecho haga clic en Show details para expandir la secci n de detalles Esto le mostrar el n mero de or genes de eventos configurados y el tipo de licencia correspondiente servidor por ejemplo estaci n de trabajo o servidor 15 3 4 Comprar una clave de licencia Para adquirir una clave de licencia 1 En la ficha General gt General haga clic en Licensing GL Buy now
110. sesi n del grupo primario dentials from the parent group Use Windows authen Permite conectarse con la base de datos de Microsoft SQL mediante la autenticaci n de tication Windows Use SQL Server cre Permite conectarse a la base de datos de Microsoft SQL a trav s de una cuenta de usuario dentials de la base de datos de Microsoft SQL Escriba un nombre de usuario y una contrase a GFI EventsManager 4 Administrar or genes de eventos 91 192 168 11 11 x General Connection Settings Settings is Specify the source of the events Inherit the settings from the parent group Please specify whether to collect the events from the SQL Server system databases and whether to collect events from other databases Scan all the events for all databases gt Scan only the security events for all databases 9 Scan all the events that are related to the following databases only v 4 Database1 Y 4 Database2 Edit Remove o Gomes a Captura de pantalla 58 Propiedades de la base de datos de Microsoft SQL Ficha Settings 7 Seleccione la ficha Settings y configure las opciones que se describen a continuaci n Tabla 27 Base de datos de Microsoft SQL Opciones de la ficha Settings Inherit the settings from the Hereda la configuraci n del grupo primario parent group Scan all the events for all data Permite analizar todas las
111. state generate an audit event from this machi ne device Failed severity Success severity GFI EventsManager le permite generar registros de eventos despu s de haber comprobado que no hay irregularidades en el origen de eventos En el men desplegable seleccione Fails permite generar un registro de eventos cuando falla la comprobaci n Succeeds permite generar un registro de eventos cuando la comprobaci n se eje cuta correctamente Fails or Succeeds permite generar un registro de eventos cada vez que se ejecuta la comprobaci n en los or genes de eventos especificados Genera un registro de eventos cada vez que la comprobaci n se ejecuta correc tamente incorrectamente ambas situaciones Genera un registro de eventos la primera vez que la comprobaci n se ejecuta correc tamente incorrectamente ambas situaciones Genera un registro de eventos cada vez que transcurre la cantidad de minutos que usted especific Genera un registro de eventos cada vez que se alcanza la cantidad de mensajes que usted especific Por ejemplo si escribe 10 solamente se genera un evento despu s de ejecutar 10 veces la comprobaci n de forma correcta incorrecta ambas situaciones Genera un registro de eventos cuando el control cambia del estado Fail a Succeed o vice versa Seleccione el nivel de gravedad que GFI EventsManager asigna al registro de eventos de una comprobaci n fallida del sistema Seleccione el nivel de gr
112. tabla contiene los puertos y protocolos que deben habilitarse en el firewall del host de GFI EventsManager Tabla 7 Puertos y protocolos del firewall 135 UDP y TCP Los equipos de destino utilizan este puerto para publicar informaci n sobre los puertos din micos disponibles GFI EventsManager utiliza esta informaci n para poder comunicarse con los equipos de destino 139y UDPyTCP GFI EventsManager lo utiliza para recuperar las descripciones del registro de eventos de las 445 m quinas de destino 162 UDP y TCP GFIEventsManager lo utiliza para recibir capturas SNMP Aseg rese de que este puerto est abierto en el equipo donde est instalado GFI EventsManager 514 UDP y TCP GFI EventsManager lo utiliza para recibir mensajes Syslog 1433 UDP y TCP GFIEventsManager lo utiliza para comunicarse con el back end de base de datos de SQL Server Aseg rese de que este puerto est habilitado en Microsoft SQL Server y en el equipo donde est instalado GFI EventsManager GFI EventsManager 2 Instalaci n de GFI EventsManager 33 1521 UDP yTCP Se utiliza para recopilar los registros de auditor a de Oracle Server El puerto 1521 es el puerto predeterminado para esta conexi n Si el puerto se cambia manualmente en la configuraci n de Oracle Listener ajuste la configuraci n del firewall seg n corresponda 49153 UDPyTCP Utilizado por GFI EventsManager para recopilar eventos de or genes de eventos con Microsoft Windows Vista o Microsoft
113. tareas de mantenimiento 2 2 2 20 20 2000 0 295 14 3 4 Eliminar una tarea de mantenimiento ccoo coccccccncccnnnnooo 295 15 Configurar la Consola de administraci n 22 2 2 00 cece cece ccc cece cecceccecceceeceeseeseess 296 15 1 Opciones de rendimiento 22 cc cece ccc ceccecceccecceeecensenseeseeseeseesees 296 15 2 Actualizaciones del producto 2 2 0 oo c ec cccccccecccc ccc ce cenceeceeceeceeceesetseesteseeseens 297 15 2 1 Descargar actualizaciones directamente 0 20 2 20 2 cece ccc eceecceccecceceeceeeees 298 15 2 2 Descargar actualizaciones desde una ubicaci n alternativa sin conexi n 299 15 3 Licencias del producto ooooccccccccccccccoccnccnccnccnccnccncn cnn nnn nn nn nn nn DD PL D o raaa 305 15 3 1 Actualizar una clave de licencia 305 15 3 3 Ver detalles de la licencia nn 306 15 3 4 Comprar una clave de licencia 2 2 2 cece cece nce eccecceceeceescesseasesenees 306 15 4 Informaci n de versi n del producto 2 0 20 oe e cece cece ececececcccecececececeetetetececesees 307 15 4 1 Comprobar su version de GFI EventsManager 0 0 2 2 20 0cecececececcececeeee 307 15 4 2 Comprobar si hay versiones nuevas 2 2ccecceccecceccecceccecetccecetseeeees 307 15 5 Importar y exportar configuraciones 0 2 0 2 2c ccc cece ec ceccecceccecceceeseessessenseees 308 15 5 1 Exportar configuraciones a un archivo 22 2 0 20 22 cece cc cec
114. the protected data A If the files are password protected select the option below and enter the password that will be used to decrypt the files 4 Decrypt the files using the following password Password TIITII Confirm password eocccccece lt Back Next gt Cancel Captura de pantalla 241 Descifrar informaci n en el archivo de importaci n 7 Opcional Si se cifr el archivo seleccione Decrypt the files using the following password y especifique la contrase a que se us para cifrar el archivo Haga clic en Siguiente GFI EventsManager 14 Mantenimiento de base de datos 288 Anonymized data Decrypt anonymized data Decrypt anonymized data V Enable decryption Decryption key eeeeeeeee Confirm key eeeeeeeee V Use secondary decryption key Decryption key Sere Confirm key id Captura de pantalla 242 Quitar anonimizaci n 8 Opcional Si el archivo est anonimizado seleccione Enable decryption y especifique la contrase a que se us para anonimizar los datos 9 Opcional Si el archivo se anonimiz con dos contrase as seleccione Use secondary decryption key y especifique la segunda clave que se us para anonimizar los datos dentro del archivo Haga clic en Siguiente Filter data Specify filtering conditions for the imported exported data AND x E not c 4 date Occured This Month AND importance Critical AND importance High
115. use Enter localhost to use the server on local machine NOTE Changing the hostname will trigger a restart of Events Manager Server hostname localhost Captura de pantalla 30 Definir el back end de la base de datos i Nota Despu s de aplicar las actualizaciones del producto se abre el cuadro de dialogo Switch Database Server Este cuadro de dialogo se utiliza para vincular la Consola de administraci n al servidor de bases de datos Puede cambiar de servidor de bases de datos en la Consola de administraci n Para obtener m s informaci n consulte Cambiar de bases de datos de almacenamiento de archivos 15 Especifique el equipo que tiene instalado el servidor de base de datos DLib Si la base de datos que desea usar est en Un equipo remoto ingrese el nombre de equipo o la direcci n IP El host local ingrese el localhost predeterminado Haga clic en OK para aceptar O Nota Una vez completada la instalaci n la Consola de administraci n se abre autom ticamente Para ejecutarla manualmente haga clic en Inicio gt Todos los programas gt GFI EventsManager gt Management Console GFI EventsManager 2 Instalaci n de GFI EventsManager 53 v Nota Pruebe la instalaci n para asegurarse de que que todos los componentes se hayan instalado correctamente Para obtener m s informaci n consulte Probar la instalaci n 2 5 Probar la instalaci n Una vez instalados todos los componentes
116. using the security context of the account under which GFI EventsManager service is running Use SQL Server authentication Connect to the database servers using the following credentials Usemame sa Password eeeeseecece Captura de pantalla 52 Configurar par metros de inicio de sesi n en la ficha Logon Credentials 4 Seleccione la ficha Logon Credentials y configure las opciones que se describen a continuaci n Tabla 22 Grupo de base de datos de Microsoft SQL Credenciales de inicio de sesi n Use Windows Permite conectarse a la base de datos de Microsoft SQL mediante la autenticaci n de Windows authentication Use SQL Ser Permite conectarse a la base de datos de Microsoft SQL a trav s de una cuenta de usuario de la base ver authen de datos de Microsoft SQL Escriba un nombre de usuario y una contrase a tication GFI EventsManager 4 Administrar or genes de eventos 85 Specify the Normal Operational Time for the database servers specified in this group Normal operational time is the time during which the database servers specified in this group are normally used This information is used to classify events differently depending on whether they occur during normal operational time or not For example failed log on attempts that occur outside of the normal operational time will be assigned a higher risk level i A ck We de ET a a SS S AS SS a a SS a 44444444M FFFFFFFR 444444448 44444
117. want p to include in this group Group Name Group Name Description Optional group description a Enable collection of logs from this computer group Schedule scanning Real Time i e once every 5 seconds O ore T Next scan 2012 04 11 v 01 43 58 Captura de pantalla 44 Agregar un nuevo grupo de origenes de eventos 4 Ingrese un nombre nico y una descripci n opcional Seleccione las fichas que se describen a continuaci n y configure las opciones disponibles Tabla 17 Opciones de grupo de or genes de eventos Nombre de Description la ficha General Habilita la recopilaci n de eventos y programa el proceso de an lisis Para obtener m s informaci n consulte Configurar propiedades generales de los or genes de eventos Logon Permite configurar el nombre de usuario y la contrase a que se utilizan para iniciar sesi n en equipos de credentials destino y recopilar informaci n Para obtener m s informaci n consulte Configurar credenciales de inicio de sesi n de los or genes de evento Licensing Permite seleccionar el tipo de licencia que se usar Seleccione Active Monitoring o Complete Para type obtener m s informaci n consulte Configurar tipo de licencia de los or genes de eventos Operational Permite configurar el tiempo operativo en el que los equipos se utilizan normalmente Para obtener m s time informaci n consulte Configurar tiempo operativo de los or genes de eve
118. 03 1 Haga clic en Start gt Control Panel gt Windows Firewall y seleccione la ficha Exceptions GFI EventsManager 17 Varios 345 Windows Firewall Ed General Exceptions Advanced Windows Firewall is turned off Your computer is at risk of attacks and intrusions from outside sources such as the Internet We recommend that you click the General tab and select On Programs and Services File and Printer Sharing Message Queuing Message Queuing Downlevel Client Support O Remote Desktop O UPrP Framework Add Program Add Pott Edit Delete IV Display a notification when Windows Firewall blocks a program Cancel Captura de pantalla 283 Activar reglas del firewall en Microsoft Windows Server 2003 2 En la lista Programs and Services active File and Printer Sharing 3 Haga clic en Aceptar 17 1 5 Activar permisos en Microsoft Windows Server 2008 incluido R2 1 Haga clic en Start gt Control Panel gt Security y haga clic en Allow a program through Windows Firewall en la categor a Windows Firewall 2 En la lista de programas active gt Uso compartido de archivos e impresoras gt Detecci n de redes Administraci n remota de registros de eventos GFI EventsManager 17 Varios 346 Allowed Programs Iof x om G J gt dP windo AlowedP KA Search Control Panel Allow programs to communicate through Windows Firewall To add change or rem
119. 16 Tabla 98 Definir restricciones Herramientas de condici n de consulta 0 0 00 c cece cece eee ee eee eee ee 317 Tabla 99 Par metros de op registerService 2 2 0 0 20 cece eee e ccc cece cece cece cece eee eeeeeecseeeeeeeneenaeees 320 Tabla 100 op disable Parameter ooocccccccccccccccnococcccccnnnoocccn cnn nn cnn eee eeeeeeeseeeeeeeaes 320 Tabla 101 Par metros op SetLicense 000 c ccc eee c ccc c cece ccc e eee e eee eeceeeeeeeceeeaeeeeteceeeneeeaaes 320 Tabla 102 Par metros op configureAlerting 00 0 0 2 cece cece eee cece cee ce cece cece eeeeeeceeeeeeeeeaeens 321 Tabla 103 Par metro op setAdminEmail 0 0 020 c cece cee cece cece cece eee eeeeceeeeeeeaeeeaeeseeeaees 321 Tabla 104 Par metro op getComputers 2 0 2 0 00 000 cc cece cece cece eee ce cece cece eee eeceeeeeeeaeeeeeeeneaees 322 Tabla 105 Par metros importFromSQL 000 c cece cece cece cece cece cece ce eeceeeeeeeaeeeeeeeeeesaeeneeeaees 323 Tabla 106 Par metros importFromDlib 0 0 000 c 0 ccc ccc c cece cece cece cece cece eee conocia coca cnc ninas 323 Tabla 107 Par metros copyData 2 0c cece cece cece cece cece nono cece ce cnn nn nn cnn anna nn na cnc nnnannnans 324 Tabla 108 Par metros importFromLegacyFile 0 0 0 c cece eee e eee cece cece cece eeeceeeeeeeeecseeeaeees 326 Tabla 109 exporttorile acres Wick a a let da 326 Tabla 110 Par metros importFromFi
120. 172 GFI LanGuard 28 119 139 171 172 Grupos 35 60 63 69 70 73 80 83 139 167 178 225 230 236 239 Grupos de servidores de base de datos 84 93 H Hashing 255 Historial operativo 142 164 170 173 Implementacion 26 29 Importar 36 60 70 89 98 247 252 263 267 282 286 290 308 323 336 Informes 56 67 68 147 247 315 Inicio de sesi n 42 51 61 63 70 76 85 100 103 121 137 147 242 274 284 299 Instalaci n 26 30 31 36 45 54 147 177 299 313 319 322 331 334 336 337 354 L LAN 27 29 257 Licencia 38 47 74 75 78 305 319 353 Licencias 296 305 M MIB 114 182 O Ocultaci n de identidad 245 Opciones de alerta 55 64 66 151 218 235 242 321 Opciones de auditor a 64 101 242 Opciones de rendimiento 296 Operaciones de base de datos 55 261 271 Origen del evento 24 80 82 106 108 186 ndice 364 Origenes de eventos 24 32 55 57 61 64 65 69 70 73 75 77 79 81 83 93 103 111 129 139 167 169 186 191 196 200 203 210 213 218 238 249 260 306 308 334 339 347 P Panel 56 57 89 99 123 124 127 130 134 137 165 195 226 239 241 258 293 306 307 315 339 340 343 345 346 Protocolos 33 140 182 puertos 32 119 124 140 R Registros de eventos personalizados 118 Registros de texto 22 24 28 35 64 75 78 84 106 109 127 139 143 182 185 220 325 Reglas de procesamiento de eventos 24 55
121. 2 0 Already Installed Microsoft NET Framework 4 0 Already Installed Microsoft SQL Server Compact 3 5 SP2 x86 MSXML6 Already Installed Microsoft SQL Server Native Client Already Installed Microsoft SQL Server Management Objects Collection Already Installed GFI Database Server 2 0 GFI EventsManager 2013 Click here for more information http www afi com eventsmanager Captura de pantalla 18 Comprobacion de requisitos previos a la actualizacion 2 El programa de instalaci n muestra una lista de componentes del sistema que deben instalarse antes de instalar el producto Haga clic en Install para iniciar la instalaci n de los componentes del sistema que faltan si es necesario GFI EventsManager 2 Instalaci n de GFI EventsManager 46 Welcome to the GFI Database Server 2 0 Setup Wizard The Setup Wizard will install GFI Database Server 2 0 on your computer Click Next to continue or Cancel to exit the Setup Wizard Captura de pantalla 19 Servidor de base de datos DLib 3 El asistente de instalacion del servidor de base de datos DLib se abre automaticamente despu s de instalar los componentes del sistema Haga clic en Next en la pantalla de bienvenida del asistente Please read the following license agreement carefully GFI End User License Agreement For GFI FaxMaker GFI MailArchiver GFI MailEssentials and GFI MailSecurity GFI WebMonitor GFI LanGuard
122. 2 eee eee eee eee eee 45 Tabla 12 Opciones de la consola de inicio rapido 2 2 22 eee eee eee e cece eee eeceeeeeccecceeeeeeeee 54 Tabla 13 Opciones de la consola de inicio rapido 2 2 2 2 c eee ec cece ec eeeeeceeeceeeeeeees 56 Tabla 14 Agregar nuevos or genes de eventos manualmente 2 220 202 20 20 cece cece eee eeceeeeeceeeeeeees 61 Tabla 15 Agregar nuevos or genes de eventos manualmente 2 2 20 2 ec eee ec cee eeceeceeceeceeeeeeees 70 Tabla 16 Ficha Synchronization properties General 1 2 2 2 2 000 c cece cece cece cece cece eeeceeeeececeeeeees 71 Tabla 17 Opciones de grupo de or genes de eventos 2 20 22 22 cece e cece cece cece cece ceeceeeceeceeeeeeees 74 Tabla 18 Propiedades de or genes de eventos Opciones generales 0 2 e cece eee eceeeeeeeeeeeeees 76 Tabla 19 Tipos de licencia 22 2 2 2 000 occ ccc cece cece cece cece cece e cece cece ceeeeeeeeeeeeeseeeeeeeeeees 78 Tabla 20 Opciones de supervisi n de Or genes de eventos 2 2 2 20 eee e eee cece cece ccc eecceceeceeseeeee 82 Tabla 21 Grupo de base de datos de Microsoft SQL General 00 2 2222 c cece eee 84 Tabla 22 Grupo de base de datos de Microsoft SQL Credenciales de inicio de sesi n 2 2 2 2 85 Tabla 23 Grupo de base de datos de Microsoft SQL SQL Server Auditoria 0 00 00 2eeee cece eee 87 Tabla 24 Grupo de base de datos de Microsoft SQL
123. 20 Opciones de supervisi n de or genes de eventos Inherit event log collection and processing from parent group Enable GFI EventsManager monitoring Perform the following che cks Archive all logs without any further processing Process the logs with the rules selected below before archiving 4 Haga clic en GFI EventsManager Esta opcion esta disponible cuando se habilita la supervision de un Unico origen de evento Si habilito la supervisi n en el grupo que contiene el origen del evento marque esta opci n para obtener la misma configuraci n Marque o desmarque esta opci n para habilitar o inhabilitar el procesamiento de la supervisi n activa Expanda la lista de comprobaciones y seleccione las que desea aplicar a su origen de evento grupo de or genes de eventos Para obtener informaci n sobre la creaci n de comprobaciones de supervisi n consulte Crear una nueva comprobaci n de supervisi n Seleccione esta opci n para almacenar los eventos sin aplicar ninguna otra comprobaci n en Events Processing Rules Expanda la lista de reglas que se aplican a los registros recopilados GFI EventsManager le permite crear reglas personalizadas y configurarlas para activarlas cuando una de las comprobaciones de supervisi n genera un evento A continuaci n a trav s de la configuraci n de la regla de procesamiento de eventos seleccionada se ejecutan acciones o se generan alertas Una vez que una comprobaci n de s
124. 2013 GFI Software Ltd G Support Center 2 Knowledge Base E GFI Forums Version 13 0 0 Submit feedback Build number 20121203 Latest version N A Links 2 GFI EventsManager homepage G How to purchase A Other GFI Products Y Automatically check for a newer version at startup Ed Click here to obtain the version number of the latest release Captura de pantalla 264 Pantalla Version Information 2 Vea los detalles de la versi n en el panel derecho 3 Opcional Haga clic en Click here to obtain the version number of the latest release para obtener la informaci n de versi n m s reciente de los servidores de GFI 15 4 2 Comprobar si hay versiones nuevas Para comprobar si hay nuevas compilaciones de GFI EventsManager GFI EventsManager 15 Configurar la Consola de administraci n 307 1 En la ficha General gt General haga clic con el bot n secundario en Version Information y seleccione Check for newer builds 2 Opcional En el panel derecho marque o desmarque la opci n Automatically check for a newer version at startup para comprobar de forma autom tica si hay nuevas versiones Esta opci n est marcada de forma predeterminada 15 5 Importar y exportar configuraciones La herramienta de importaci n y exportaci n le permite mover sin problemas las configuraciones de una instancia de GFI EventsManager a otra Esto tambi n se puede hacer como parte de un plan de recuperaci n ante desastres pa
125. 3 COPYD ACA NS onc tees esha oes Ia sono O22 nan do Ws OEE ta 324 16 2 4 importFromLegacyFile 2 2 2 2 0 c cc ccccncceccccccecececeeceeseeseeseeseess 326 16 2 5 exportTOFile ee e a a e ec ccc l aian a ae E ri an Ta a a 326 16 2 6 importFromFile 20 2 o oo ccc ccc cece ccc ec ccc cccccccecceececseneetetesecseeseeeeaeens 328 16 2 7 commitDeletedRecords nn e LLD LLL LL22 330 16 287 eXOportToSQl 2 sine cere sstet e retardo 330 16 3 Usar DUDA dM CX au 22028 tear ik hehe Se pene da IO Da 331 16 3 1 decryptDatabase 222 cccn ccc ce ccncceceeccecececnseesetseeseeseeseess 332 16 3 2 encryptDatabase 222 2 cence cece cence ceeccnceveenseeseeseteeeseeseess 332 16 3 3 displayAllDLib 2202 cece cence ccc cc ceccccceceeceeseeceesenceteeteeteeeeees 332 16 3 4 COPyMOVEDLID 222 2 occ ccc cece ccc ccc ec cccceeceeceeeneeveeteeeseesetseeseeseess 333 16 4 Usar EsmReport exe ooo cnc e ence cece cece cece cece ceeeeceesceeeeeenes 333 16 4 1 Generar informes de configuraci n 2 22 22 0 0 oe ce cc ccecececececcccececececececeeeees 334 16 4 2 Generar informes de estado ccoo cece aLa aaan 335 16 4 3 Generar informes de eventos ooo ccoo conc conc ee cece eeeeeeeeees 335 16 4 4 Usar ImportSettings exe 2200 c ccc cece rrr rriro 336 16 4 5 Usar ExportSettings exe 2 2200 ccc ccc cence cece cece ceceeeseeeseeeees 337 UT NANOS 222 55 AA assess are A NON Be Det yea NA ra ceria a 8 er ee 339 17 1 Activar permisos de or genes de
126. 311 Especificar ubicaci n del archivo de configuraci n 2 2 c2c eeee eee 311 Seleccionar las configuraciones que desea importar 0 020 00 e ee eee ee 312 Importar configuraciones desde otra instancia de GFI EventsManager 313 Especificar la ubicaci n de instancia ooocccocccccccccccccccocococccoccnncccccnoos 313 Seleccione las configuraciones que desea importar desde otra instancia de GFI e dre dl le e Ao Sint a e o dr Siok ado tb 314 Consultas de usuarios reglas de procesamiento de eventos e informes 315 Definir restricciones Editar una restricci n de consulta ooo 316 Captura de pantalla 276 Captura de pantalla 277 Captura de pantalla 278 Captura de pantalla 279 Captura de pantalla 280 Captura de pantalla 281 Captura de pantalla 282 Captura de pantalla 283 Captura de pantalla 284 Captura de pantalla 285 Captura de pantalla 286 Captura de pantalla 287 Captura de pantalla 288 Captura de pantalla 289 Captura de pantalla 290 Captura de pantalla 291 Captura de pantalla 292 Captura de pantalla 293 Captura de pantalla 294 Captura de pantalla 295 Captura de pantalla 296 Captura de pantalla 297 Captura de pantalla 298 Definir restricciones Personalizar la condici n 0 00 cccecceeeeceeeeeeeeees 317 Reglas del firewall en Microsoft Windows XP eee eee e eee cece 340 Ventana de pol tica de seguridad local 0 0 0 c cece e
127. 347 N DO wo KR WN Haga clic en Finish para finalizar Controllers Policy Haga clic en Aceptar 8 Haga clic en Finish y Close Haga clic en Start gt Run y escriba mmc Presione la tecla Enter Haga clic en File gt Add Remove Snap in y haga clic en Add Busque y seleccione Group Policy Object Editor y haga clic en Add Haga clic en Browse seleccione Default Domain Policy y haga clic en OK Seleccione Group Policy Object Editor de nuevo y haga clic en Add Haga clic en Browse haga doble clic en la carpeta Domain Controllers y seleccione Default Domain 9 En Console Root expanda Default Domain Policy gt Administrative Templates gt Network gt Network Connections gt Windows Firewall gt Domain Profile Ti Console Root Default Domain Policy winserva tcdomaina com Policy Computer Configuration Administrat 014 EG CI Console Root E Default Domain Policy winserva tcdomaina com Policy Fal Computer Configuration 3 Software Settings C Windows Settings Administrative Templates E Windows Components E System J Network J Microsoft Peer to Peer Networking Services C DNS Client C Offline Files C Network Connections Windows Firewall 3 Domain Profile 3 Standard Profile E QoS Packet Scheduler E sump 3 Background Intelligent Transfer Service Y Printers E KR Use
128. 4448 ddddddd a8 Captura de pantalla 53 Configurar horas normales de trabajo de la ficha Operational Time 5 Seleccione Operational Time y configure el tiempo operativo en el que se utiliza normalmente la base de datos Los intervalos de tiempo marcados se consideran horas normales de trabajo GFI EventsManager 4 Administrar or genes de eventos 86 Database Servers Group Properties General Logon Credentials Operational Time SQL Server Audit Settings Select the processing you want to perform on the Microsoft SQL Server logs collected Archive all logs without any further processing Process the logs with the rules selected below before archiving o Le SQL Server Audit A VJ Noise reduction r Y Remove query duplicate entries EA Database changes g Server changes FF m Captura de pantalla 54 Configurar auditor a de SQL Server en la ficha SQL Server Audit 6 Seleccione la ficha SQL Server Audit y configure las opciones que se describen a continuaci n Tabla 23 Grupo de base de datos de Microsoft SQL SQL Server Auditor a Archive all logs without further pro Permite archivar eventos en el back end de la base de datos de GFI Even cessing tsManager sin aplicar reglas de procesamiento Process the logs with the rules selec Permite especificar las reglas que desea ejecutar antes de archivar ev
129. 64 bits 20 200 20 cc cece cece eeeee 32 2 2 3 Otros componentes de software 2 22 20 e coe e cece cece eee cece ec eececeececcececeece 33 2 2 4 Requisitos de almacenamiento 20 2 o eee cece cence cece eee cence eeeeeees 33 2 2 5 Puertos y protocolos del firewall 2 2 2 0 0 00 ccc c ccc cence ec ceccccceccecceceescesseneees 33 2 2 6 Permisos del firewall ooo oo ose ceca eects cence ae 34 2 2 7 Configuraci n de or genes de eventos 20 2 2 2 cece cece cece c ec ec cece ccecececececeeeeees 34 2 2 8 Excepciones del antivirus 0 0 00 00 e cece ee cece ee cee cee eececcecseeecseeeseeeeeees 35 2 2 9 Consideraciones de identificaci n de equipos 2 2 2 eee cece ec eccecececececees 35 2 2 10 Recopilar registros de eventos desde equipos que ejecutan Microsoft Vista o una versi n posterior AAA 35 2 3 Actualizar GFI EventsManager 20 20 20 2 2 ccc cecceccecccccceceeceecececceeceeceeseeseeeesees 36 2 3 1 Actualizar desde una versi n anterior 2 0 0 0 0 020 c cece ccc ececececcececececececeeeee 36 2 4 Instalar una nueva instancia de GFI EventsManager 2 22 2 20 2cceccecceccecceeceeeeees 45 2 4 1 Procedimiento de instalaci n 2 2 0 0 2 0 occ ccc cee c ec ec cece ccc ecececececececeeeeceees 45 2 5 Probar la St AA CIO uste gaat hag tA ae tL Ie tlt 54 2 5 1 Eventos del proceso Equipo local 0 20 0 c cece cece eee ec ec cec ec cececcececeeceeeece 55
130. 7 Escribir la descripci n del problema y otros datos ooooccccccccccccccccccccccnoo 357 Recopilar informaci n de la maquina oococccccccccccccccocccocccocccocccociconos 358 Finalizar el proceso de resoluci n de problemas ooocccocccccccccccccccccccocino 358 Lista de tablas Tabla 1 Motores de GFI EventsManager 0 20 0 0 222 cece cece cece cece eee e cece eee cee cece eeeeeeeeeeecereeseees 24 Tabla 2 T rminos y convenciones que se usan en este manual l 22 20 20 22 2 e cee ee eee eee eee ec eee eeeceeeeee 25 Tabla 3 Dispositivos admitidos por GFI EventsManager 0 0c 0 cece cece cece cece ececeeeceeeeeeeeeees 28 Tabla 4 Beneficios de la instalaci n de GFI EventsManager en una DMZ 2 22 22 22 220e022 30 Tabla 5 Requisitos de hardware ooooccccccccccccccccccccccccccccnnoccccccn cece eee eececeeeeeeeeeeeceseeeeeereeses 32 Tabla 6 Requisitos de espacio de almacenamiento 2 2 2 222s 33 Tabla 7 Puertos y protocolos del firewall 00000000000000000 0000000000000 000a 000a aa aada oaaao aaar anaa 33 Tabla 8 Permisos del firewall occ ns 34 Tabla 9 Configuraci n de or genes de eventos 2 2 22 22 c cece cece cece cece ccc cee cece cceeceeeeeeeseeeeeeeees 35 Tabla 10 Actualizar GFI EventsManager 2 2 0 0 2 22 c cece cece eee ec cece eee c cece cece ee eeeeeeeeeeeeeeeeeeees 36 Tabla 11 Componentes instalados mediante EventsManager exe 2 22 2
131. 8 8 Definir encabezados de columna ninas 175 8 8 1 Generar informes de eventos de distintas bases de datos 0000 176 8 9 Personalizar informes HTML nas 176 9 Reglas de procesamiento de eventos ooo ccc ccc ccc cnc cnn cc ceccecceceesceseeeetsetseteees 179 9 1 Acerca de las reglas de procesamiento de eventos 2 0 20 ccc c cee ccecceccecceceecceceeees 179 9 1 1 Clasificaci n de eventos nono LL 180 9 2 Administrar carpetas de conjuntos de reglas 2 0 2 eee cece cece ec ccc ceccecceesesseeeees 181 9 2 1 Conjuntos de reglas disponibles 22 2 2 0 20 cc ccc cc cc cecceccececcceceeceeeeeeees 181 9 2 2 Agregar una carpeta de conjuntos de reglas 20 20 20 0 c cece cece cece ceccecceeeeeeeees 183 9 2 3 Renombrar y eliminar una carpeta de conjunto de reglas occiso 183 9 3 Crear nuevas reglas de procesamiento de eventos 2 2 2 0 eee cece ec ceccecceceeceeceees 184 9 4 Crear nuevas reglas desde eventos existentes oooooocccccccccccccccoccnccnccnccnccnccnccncoos 189 9 5 Par metros de filtro avanzado de eventos ccoo cococ coco cncconnccncnccnnnncnnos 194 9 5 1 Par metros de filtrado de eventos de Windows ccoo 194 9 5 2 Par metros de filtrado de syslog 22 20 o oo occ cece cc cecececececcccececectsesteeeseees 194 9 6 Priorizar reglas de procesamiento de eventos 22 2 2 cece cece cece ceccecceccecceceeceeseeees 195 10 Supervision Activa ooa t i aa a A eaa ia 196 10 1 Acerca de las comprobaciones de supervi
132. 9 Import Export Job Import data from another database instance Export data from this instance to files and import data as part of the data centralization process Legacy Import Job Import data from older version of the product Data can be imported from SOL Server database legacy files or legacy file storage Captura de pantalla 206 Crear tareas de importaci n exportaci n 4 Seleccione Import Export Job y haga clic en Next Import Export Job Type Select the job type Please select the type of action that this job should perform 9 Import from file Import data as part of the data centralization process The file to import from needs to be created by the Export to file job Export to file Export data from this instance to files in order to import them at another location as part of the data centralization process You can also burn the exported files for safekeeping Export to SQL Export data from this instance to SQL Copy data Copy data to another storage Commit deletions Physically delete events that are marked as deleted Captura de pantalla 207 Importar desde archivo 5 Seleccione Import from file y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 264 Import from file Select the file from which to import data Please select the file from which to import C ExportedData EventManager cfa Captura de pantalla 208 Importar desde archivo Esp
133. AutoUpdate Options Common Tasks Captura de pantalla 193 Activar auditoria de actividad del usuario de la consola 1 En la ficha Configuration gt Options amplie el nodo Console Security and Audit Options 2 Haga clic en Audit Options y seleccione Edit audit options GFI EventsManager 13 Opciones de auditoria y seguridad de la consola 248 Specify whether to audit the actions done by a user and where to save the output log By default GFI EventsManager does not audit the actions done by users You can specify to audit all the changes made by a user to the application configurations and also the path where the output log will be saved V Audit all the actions done by users Save the output log to this path C Program Files GFI Events Manager2012 debuglogs esmaudit csv Captura de pantalla 194 Cuadro de didlogo Audit Options 3 Seleccione la opci n Audit all the actions done by users y especifique la ubicaci n donde se guardar el archivo de registro de salida 4 Haga clic en Apply y OK 13 4 Credenciales de detecci n autom tica Las credenciales de detecci n autom tica son utilizadas por GFI EventsManager para iniciar sesi n en los equipos de destino y recopilar informaci n al realizar una b squeda autom tica de or genes de eventos Para configurar las credenciales de detecci n autom tica GFI EventsManager 13 Opciones de auditor a y seguridad de la c
134. Cancel _ Captura de pantalla 92 Editar restricci n de vista 4 Seleccione un campo de la lista de campos disponibles y especifique los valores en Field operator y Field value para el operador y el valor del campo respectivamente Repita este paso hasta que se especifiquen todas las condiciones requeridas Haga clic en OK Para obtener m s informaci n consulte Definir restricciones GFI EventsManager 6 Buscar eventos almacenados 132 Create Customize view Check the columns that you wish to be visible and their names in the list view Also you can customize the order of their appearance f Ss Importance Event ID Date Time 3 Log Format Monitored machine Log Name In Work Hours Y V Ei 9 Ei 9 Y V v v Column information Apply to Database field name type i Lok Cancel Ay Captura de pantalla 93 Ficha Customize View 4 Haga clic en la ficha Customize view para seleccionar las columnas que se deben mostrar en la nueva vista personalizada Tambi n puede organizar el orden de aparici n con las teclas de flecha Hacia arriba y Hacia abajo 5 Opcional Haga clic en Apply to subviews para aplicar las columnas seleccionadas a todas las subvistas de la vista ra z 6 Haga clic en Apply y OK SNMP Traps Messages Microsoft SQL Server Audit Messages Oracle Audit Messa
135. Classification i Classification Actions Actions Options Saveto Database Send Alert by Email SMS etc Save to Database Captura de pantalla 133 Como funcionan las reglas de procesamiento de eventos 9 1 1 Clasificaci n de eventos La clasificaci n de eventos se basa en la configuraci n de las reglas que se ejecutan en los registros recopilados Los eventos que no cumplen con una condici n de clasificaci n de eventos se etiquetan GFI EventsManager 9 Reglas de procesamiento de eventos 180 como sin clasificar Los eventos sin clasificar tambi n se pueden usar para activar las mismas alertas y acciones disponibles para los eventos clasificados GFI EventsManager clasifica los eventos en los niveles de importancia est ndar como cr tica alta media baja y ruido entradas de registro no deseadas o repetidas 9 2 Administrar carpetas de conjuntos de reglas En GFI EventsManager las reglas de procesamiento de eventos se organizan en conjuntos de reglas y cada conjunto de reglas puede contener una o m s reglas especializadas que se pueden ejecutar en los registros recopilados Post collection processing Archive events in database O Process using these rule sets 3 153 Security lt a Rule set folders T O Monitoring and attack detection pe VIE Object access monitoring M Rule sets 4 mm b Add generic fields e g Field 00 Field 01 to Securty Events Captura de pantalla 134 Carpeta de
136. DOMAIN Administrator Password eeccccccccccccece ox Jj Cancel Captura de pantalla 37 Buscar el progreso de red v Nota Si GFI EventsManager detecta equipos que no se pueden registrar usando las credenciales proporcionadas la aplicaci n le permite especificar credenciales de inicio de sesi n alternativas para cada equipo que seleccione 4 Seleccione un equipo de la lista e ingrese el nombre de usuario y la contrase a Haga clic en OK para cerrar el cuadro de di logo Alternative Credentials v Nota Repita este paso hasta que haya agregado todos los or genes necesarios 5 Haga clic en Next y en Finish v Nota Para agregar autom ticamente nuevos equipos que est n vinculados al mismo dominio grupo de trabajo que GFI EventsManager debe configurar las opciones de sincronizaci n Para obtener m s informaci n consulte Agregar or genes de eventos autom ticamente GFI EventsManager 2 Instalaci n de GFI EventsManager 59 2 5 3 Eventos de proceso Maquinas seleccionadas Esta opcion le permite agregar equipos especificos de forma manual al Ingresar nombres de equipos y direcciones IP Seleccionar equipos desde dominios y grupos de trabajo accesibles Importar equipos desde un archivo de texto que contiene un nico nombre de equipo por linea Para procesar los eventos de las m quinas seleccionadas 5 Welcome to GFI EventsManager Select an option A Process events Local
137. Event Processing Rules En el panel izquierdo seleccione GFI Rules gt GFI LanGuardrules Para obtener m s informaci n consulte Reglas de procesamiento de eventos Pruebas y resoluci n de problemas Para comprobar si se est n generando los eventos de GFI LanGuard 1 Abra GFI LanGuard y ejecute un an lisis de auditor a de seguridad en el host local GFI EventsManager 5 Recopilar registros de eventos 123 2 Cuando finalice el an lisis abra Event Viewer en Start gt Run y escriba eventvwr Presione la tecla Enter 3 Vaya a Event Viewer local Windows Logs Application 4 Una vez que se hayan cargados los eventos almacenados busque una entrada con gt Origen GFI LanGuard ID de evento 0 En caso de que el registro de eventos no est creado por lo general el an lisis de GFI LanGuard ya se inici una vez que se modific la clave de registro para generar los registros de eventos Vuelva a ejecutar el an lisis O bien aseg rese de que el valor de registro se haya creado en la ubicaci n correcta puesto que la ubicaci n de las plataformas x86 es diferente a la de las plataformas x64 5 7 Recopilar eventos de GFI EndPointSecurity GFI EndPointSecurity le permite mantener la integridad de datos mediante la prevenci n del acceso no autorizado y la transferencia de contenido hacia y desde los siguientes dispositivos o puertos de conexi n Tabla 38 Dispositivos compatibles con GFI EndPointSecurity CA CT Pue
138. EventsManager 2 Instalaci n de GFI EventsManager 34 Tabla 9 Configuraci n de or genes de eventos Procesamiento de Habilite el registro remoto registros de eventos de Windows Procesamiento de Las carpetas de origen deben ser accesibles a trav s de recursos compartidos de Windows registros de texto Procesamiento de Sys Configure los origenes remitentes para enviar mensajes al equipo direcci n IP donde est log y capturas SNMP instalado GFI EventsManager Analisis de equipos Instale GFI EventsManager en un equipo con Windows Vista o posterior con Windows Vista o posterior Auditor a del sistema Habilite la auditor a en los or genes de eventos Para obtener m s informaci n consulte Habilitar permisos de or genes de eventos de forma manual y Habilitar permisos de or genes de eventos de forma autom tica 2 2 8 Excepciones del antivirus Si una aplicaci n antivirus est instalada en el equipo donde se est ejecutando GFI EventsManager aseg rese de que El tr fico no est bloqueado en los puertos que usa GFI EventsManager esmui exe y esmproc exe tengan acceso permitido a trav s del firewall Las carpetas de GFI EventsManager se excluyan del an lisis antivirus en tiempo real 2 2 9 Consideraciones de identificaci n de equipos GFI EventsManager identifica los equipos a trav s del nombre de equipo o la direcci n IP Si se utilizan nombres de equipos compatibles con NETBIOS aseg rese de que el s
139. Exportar datos e importarlos en otras instancias como parte del proceso de centralizaci n de datos Legacy Import Importar datos de versiones anteriores del producto Importar datos de bases de datos archivos here Job dados y almacenamiento de archivos heredados de Microsoft SQL Server Las tareas de importaci n compatibles con este tipo de tarea se basan en el tipo de back end de base de datos de versiones ante riores de GFI EventsManager Lea las siguientes secciones para obtener informaci n sobre la creaci n de las siguientes tareas de mantenimiento Importar desde archivo Exportar a un archivo Exportar a SQL Copiar datos gt Confirmar eliminaciones gt Importar de bases de datos de SQL Server Importar de archivos heredados Importar del almacenamiento de archivos heredados 14 2 1 Importar desde archivo La tarea de importaci n desde un archivo le permite importar datos que se exportaron anteriormente a un archivo de configuraci n Para crear una tarea de importaci n desde un archivo 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations haga clic con el bot n secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asistente GFI EventsManager 14 Mantenimiento de base de datos 263 Job Type Select the job type gt Please select the type of action that this job should perform
140. GFI EventsManager 14 Mantenimiento de base de datos 266 fe New job wizard Completing the New Job Wizard Select when the job should be executed 7 Scheduled job The job will be saved and executed according to the Enterprise Maintenance schedule options 7 Run the job now The job will be executed only once Captura de pantalla 211 Ejecutar opciones de tarea 9 Seleccione cuando se ejecuta la tarea y haga clic en Finish Tabla 83 Crear tareas de mantenimiento Opciones de programacion Schedule job La tarea se guardar y se ejecutar de acuerdo con la programaci n de operaciones de la base de datos Run the job La tarea se ejecuta inmediatamente Las tareas no programadas solamente se ejecutan una vez y no now pueden ser reutilizadas 14 2 2 Exportar a un archivo La opci n Export to file le permite exportar los par metros seleccionados a un archivo de configuraci n que otra instancia o versi n de GFI EventsManager puede importar Para crear una tarea de exportaci n a archivo 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations haga clic con el bot n secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asistente GFI EventsManager 14 Mantenimiento de base de datos 267 Job Type Select the job type Please select the type of action that this job should perf
141. I EventsManager 5 Recopilar registros de eventos 122 5 W706 Logon Credentials Licensing Type Windows Event Log Text Logs Syslog SNMP Traps Monitoring l Specify the Windows event logs to collect archive and process E Inherit event log collection and processing from parent group Specify the logs to collect 13 File Replication Events a Add 18 Directory Services Events 13 Windows PowerShell v Remove E Clear collected events after completion Post collection processing Archive events in database Process using these rule sets li GFI Rules a p GFI LANguard rules NE GFI EventsManager rules E Add generic fields e g Field 00 Field 017 to Security Events ok Cancel Apy Captura de pantalla 86 Agregar reglas de GFI LanGuard 5 Seleccione Process using these rule sets Expanda el nodo Windows Events gt GFI Rules y seleccione GFI LanGuardrules 6 Haga clic en OK para aceptar O Nota GFI EventsManager tiene reglas de procesamiento de eventos integradas para eventos de GFI LanGuard que est n habilitadas de forma predeterminada Para supervisar los eventos generados por GFI LanGuard seleccione la ficha Status gt General y busque la secci n Critical and High Importance Events Nota Para configurar las reglas de procesamiento de eventos de GFI LanGuard haga clic en la ficha Configuration gt
142. I EventsManager consulta ese origen de evento y detecta si el equipo de destino est funcionando seg n los niveles de uso de CPU especificados v Nota Para obtener m s informaci n consulte Supervisi n activa Para configurar las propiedades de los or genes de eventos 1 En la ficha Configuration gt Event Sources gt Group Type seleccione Event Sources Groups 2 Para configurar los par metros de Computer group haga clic con el bot n secundario en el grupo de equipos que desea configurar y seleccione Properties Single event source haga clic con el bot n secundario en el origen que desea configurar y selec cione Properties GFI EventsManager 4 Administrar or genes de eventos 81 y New Event Sources Group x a General Logon Credentials Licensingtype Operational Time Windows Event Log Text Logs Syslog SNMP Traps Monitoring Al Configure GFI EventsManager monitoring for this group V Enable GFI EventsManager monitoring Tell me more Post collection processing Archive all logs without any further processing Process the logs with the rules selected below before archiving a w Monitoring Checks v Default system monitoring rules Captura de pantalla 49 Ficha Event source properties Monitoring 3 En la ficha Monitoring configure las opciones descritas a continuaci n Tabla
143. Logon X Delete Del For Last Month Em H E Account Logons t Account Management Copy Report Restrictions Ctrl Shift C For Custom Date Ctrl F5 H Policy Changes H Object Access Copy Report Ctrl C a Paste Report Restrictions Ctrl Shift V H Windows Event Log System Paste Report Ctrl V bo oo a e G Events Trend Location a Exportto PDF Delete rh a am E Y nae E m Properties Filter Reports 2 Quick Start Guide Reset filter Has Chart Has Schedule 1 Generate a 2 Selecta 3 Preview Common Tasks Report Generated Export Print Create Root Folder _ rs _ gt Create Root Report m Captura de pantalla 116 Generar un informe 2 Espere hasta que el informe se genere y vea los resultados en la secci n Preview Report GFI EventsManager 8 Generaci n de informes 164 v Nota Los informes tambi n se pueden generar mediante la selecci n de un informe de la lista y haciendo clic en Generate Report en la parte superior de la p gina de informe GFI EventsManager Event log monitoring management and archiving Successful Logons Grouped By Users Found 103 matching records The report is based on event 528 4624 Vista Longhorn successful logon and event 540 4636 Vista Longhorn successful network logon The report shows all successful logons enabling you to monitor the users successfully accessing the computers using various logon types and at the same time achieve
144. Manager 10 Supervisi n activa 204 Folder properties Ea General Target computers Schedule Action events Action events Inherit from parent 7 fails or succeeds Continuous Only once wn Once every Once ev a ry ao 2 Critical 6 Informational click here to load sample Captura de pantalla 153 Ficha Folder Properties Action events v Nota Independientemente de si la supervisi n activa falla o tiene xito el equipo que ejecuta la comprobaci n genera un registro de eventos Este registro de eventos puede ser procesado por las reglas de procesamiento de eventos que permiten activar alertas o ejecutar secuencias de comando o aplicaciones para las operaciones de recuperaci n Para obtener m s informaci n consulte Crear nuevas reglas desde eventos existentes Nota Seleccione Inherit from parent para usar la misma configuraci n que la carpeta principal 5 En la ficha Action events configure cu ndo se generan registros de eventos y c mo GFI EventsManager clasifica los eventos generados Las opciones disponibles se describen en la tabla siguiente GFI EventsManager 10 Supervisi n activa 205 Tabla 72 Comprobaciones de supervisi n Eventos de acci n Opci n Descripci n Generate an audit event from this machine device when the check Continuous Only once Once every X minutes Once every X messages When the check switch
145. NMP Traps 3 messages Host key Seeeeeoeeseseeseeees Post collection processing Archive all logs without any further processing Process the logs with the rules selected below before archiving o vEa SNMP Traps H v E4 Cisco IOS release 12 1 11 MIBs H V Cisco IOS release 12 1 14 MIBs De D The EventsManager SNMP server runs by default on pot 162 OK Comcel aw Captura de pantalla 79 Recopilar capturas SNMP 2 Haga clic en la ficha SNMP Traps y seleccione Accept SNMP Traps messages from this event source para activar la recopilaci n de capturas SNMP 3 Seleccione Decrypt incoming SNMP Traps 3 messages y especifique la clave de seguridad en el cuadro de texto Host key 4 Seleccione Archive events in database para archivar los eventos recopilados sin aplicar las reglas de procesamiento de eventos 5 Seleccione Process using these rule sets y seleccione los conjuntos de reglas que desee ejecutar contra los eventos recopilados 6 Haga clic en Apply y OK v Nota El servidor de captura SNMP de GFI EventsManager est configurado de forma predeterminada para escuchar los mensajes de captura SNMP en el puerto 162 Para obtener m s informaci n consulte Configurar servidor de capturas SNMP GFI EventsManager 5 Recopilar registros de eventos 115 v Nota El servidor de captura SNMP integrado es compatible con las capturas cifradas de la versi n 3 de SNMP Para
146. OK 4 4 3 Configurar el tipo de licencia de los origenes de eventos La ficha Licensing type se utiliza para configurar el modo de licencia de un origen de evento o grupo de eventos Esto determina el tipo de registros que se deben recopilar del origen grupo configurado En la siguiente tabla se describen los tipos de licencia disponibles Tabla 19 Tipos de licencia Tipo de licen Descripci n cia Active Moni Esta licencia permite recopilar y procesar toring gt Registros de eventos de Microsoft Windows license Registros de texto como W3C CSV XML DHCP registros SAP registros SKIDATA y registros per sonalizados de estaciones de trabajo de Windows o que no son de Windows Registros de eventos de supervisi n activa Si se detecta Windows Server en un origen con esta licencia el procesamiento de registros de eventos se inhabilita GFI EventsManager 4 Administrar or genes de eventos 78 Tipo de licen Descripci n cia Complete Habilita funcionalidad y soporte integrales para servidores estaciones de trabajo y dispositivos de red license de Windows y que no son de Windows Use esta licencia para recopilar y procesar Registros de eventos de Microsoft Windows Registros de texto como W3C CSV XML DHCP registros SAP registros SKIDATA y registros per sonalizados de estaciones de trabajo de Windows o que no son de Windows Registros de eventos de supervisi n activa Mensajes
147. System settings Use Certificate Rules on Windows Executabl Disabled C Security Options g B Windows Firewall with Advanced Securii User Account Control Admin Approval Mode for the Built i Disabled o User Account Control Allow UlAccess applications to prom Disabled Network List Manager Policies ANA User Account Control Behavior of the elevation prompt for Prompt for consent for Public Key Policies p p Software Restriction Policies User Account Control Behavior of the elevation prompt for Prompt for credentials Application Control Policies User Account Control Detect application installations and p Enabled 3 IP Security Policies on Local Computer User Account Control Only elevate executables that are sign Disabled 1 Advanced Audit Policy Configuration User Account Control Only elevate UlAccess applications th Enabled E A User Account Control Run all administrators in Admin tg i User Account Control Switch to the secure desktop wh 2 User Account Control Virtualize file and registry write fa E N 5 1 Opens the properties dialog box for the current selection Captura de pantalla 289 Desactivar UAC 4 En la ficha Local Security Settings seleccione Enabled y haga clic en OK 5 Cierre la ventana Local Security Policy GFI EventsManager 17 Varios 352 18 Soluci n de problemas Utilice la informaci n de las secciones siguientes para
148. Vista de actividad de tareas 0 142 Estado de GFI EventsManager Vista de estad sticas 2 22 220 2202222 143 Desplazarse por la interfaz de informes 22000 c eee ee cece eeeeeeeeeees 146 Cuadro de di logo Create Report Folder 00 20 200c20ccceceeeceeeeees 150 Crear un informe raiZ l a cece cece eee eee e cee ee ceceeeceeceeceeceeceeeeees 152 Configurar opciones de dise o del nuevo informe raiz ooo 153 Insertar un gr fico en un nuevo informe raiz o ooocccccccccccccccccccccccccccnccooo 154 Configurar programaci n de generaci n de informes 22 22 222 155 Opciones para crear nuevo informe 2220000 e cece cece c eee aaao anaa 156 Configuraci n de limite de registro 2 2 2 0 20 2200 2 ccc ccc ccc cece ccc ceecceeceeeee 157 Crear un informe raiZ 20 20 20 0e eee eee e cc eccece cece eee ceeeeceeeceeceeceeceeeeeee 158 Configurar opciones de dise o del nuevo informe raiz ooo 159 Insertar un grafico en un nuevo informe raiz 22 220 220020eeeeee cesses 160 Configurar programaci n de generaci n de informes 2 22 22 22 161 Opciones para crear nuevo informe o occcccccccccccccccccocccccccnnnnccccccnnnnncos 162 Configuraci n de limite de registro 1 22 200 2222 ccc ccc ceee cece ccc ceeceeeee 163 Generar un informe 2 2 2 0 2000 c cece cece ccc ee d ce ce eee een A ESET 164 Captura
149. a auditar sistemas y procesar los eventos necesarios Este proceso se tiene que llevar a cabo en cada m quina que se desea analizar Esta secci n contiene informaci n acerca de gt gt gt gt gt Activar permisos en Microsoft Windows XP Activar permisos en Microsoft Windows Vista Activar permisos en Microsoft Windows 7 Activar permisos en Microsoft Windows Server 2003 Activar permisos en Microsoft Windows Server 2008 incluido R2 v Nota En un entorno de directorio activo los permisos se pueden configurar de forma autom tica a trav s de Group Policy Object GPO Para obtener m s informaci n consulte Activar permisos de or genes de eventos autom ticamente 17 1 1 Activar permisos en Microsoft Windows XP Para activar permisos de origenes de eventos de Microsoft Windows 1 Haga clic en la ficha Start gt Control Panel gt Windows Firewall gt Exceptions GFI EventsManager 17 Varios 339 Windows Firewall General Exceptions Advanced Windows Firewall is turned off Your computer is at risk of attacks and intrusions from outside sources such as the Internet We recommend that you click the General tab and select On Programs and Services Name O EventsManager Network Diagnostics for Windows xP Remote Assistance Remote Desktop O UPrP Framework Add Program Add Pott Display a notification when Windo
150. a 14 Agregar nuevos origenes de eventos manualmente Add Ingrese el nombre del equipo o la direcci n IP en el campo Add the following computers Haga clic en Add para agregar el equipo especificado en la lista Computer rota Repita este paso hasta que haya agregado todos los origenes de eventos al grupo seleccionado rota Puesto que los syslog y las capturas SNMP utilizan direcciones IP para determinar el origen de un evento se recomienda utilizar la direcci n IP de origen en lugar del nombre del equipo al agregar or genes de syslog y capturas SNMP Remove Seleccione uno o varios equipos de la lista Computer y haga clic en Remove para eliminarlos de la lista Select Haga clic en Select para abrir el cuadro de di logo Select Computers 1 En el men desplegable Domain seleccione el dominio en el que desea buscar or genes disponibles y haga clic en Search 2 En la lista de resultados de b squeda seleccione los equipos que desee agregar 3 Haga clic en OK para cerrar el cuadro de di logo Select Computers y volver al cuadro de di logo Add New Event Sources Import Haga clic en Import para importar equipos desde un archivo de texto Aseg rese de que el archivo de texto contenga solamente un nombre de equipo o direcci n IP por l nea 4 Haga clic en Finish para finalizar la configuraci n GFI EventsManager intenta analizar autom ticamente los or genes de eventos agregados con las credenciales de i
151. a as part of the data centralization process 9 Legacy Import Job Import data from older version of the product Data can be imported from SOL Server database legacy files or legacy file storage Captura de pantalla 238 Crear tareas de importaci n exportaci n 4 Seleccione Legacy Import Job y haga clic en Next Legacy Import Import data from older version of the product Please select the type of action that this job should perform Import from SQL Server database Imports data from a SQL Server database created with an older version of the product 9 Import from legacy files Import data from files created with an older version of the product Import from legacy file storage Imports data from an older file storage Captura de pantalla 239 Importar desde archivos heredados 5 Seleccione Import from legacy files y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 287 New job wizard Import from Legacy files Select the folder from which to import data Please select from which folder to import the files C ExportedData EventsManager Captura de pantalla 240 Especificar ubicaci n del archivo de importaci n 6 Especifique la ruta de acceso al archivo de configuraci n que contiene los datos que desea importar Opcionalmente haga clic en Browse para buscar la ubicaci n Haga clic en Siguiente New job wizard Data protection Decrypt
152. a clic en la ficha Privileges para editar los privilegios del usuario De forma predeterminada la cuenta EventsManagerAdministrator tiene privilegios plenos y no se puede modificar GFI EventsManager 12 Grupos de usuarios 231 E t Ma A j ini t t Pro ti General Working Hours Alerts Member Of Privileges Fitter 2 Specify fter paivieges Event Sources w C 6 Event Sources Total privileges SD User has full privileges Filters are disabled Advanced Captura de pantalla 177 Filtrar cuenta de usuario 8 Haga clic en la ficha Filter para editar lo que el administrador puede ver en la consola de administracion De forma predeterminada esta ficha esta inhabilitada para la cuenta EventManagerAdministartor 9 Haga clic en Apply y OK 12 2 Administrar cuentas de usuario GFI EventsManager le permite crear una lista personalizada de los usuarios que se pueden organizar en grupos para agilizar las tareas administrativas Esta secci n contiene informaci n acerca de Crear una nueva cuenta de usuario Cambiar las propiedades de la cuenta de usuario gt Eliminar una cuenta de usuario 12 2 1 Crear una nueva cuenta de usuario Para crear un nuevo usuario 1 En la ficha Configuration gt Options ampl e el nodo Users and Groups GFI EventsManager 12 Grupos de usuarios 232 File Configure Help Event Sources Event Processing Rules E Activ
153. a configuraci n de un grupo de usuarios 1 En la ficha Configuration gt Options amplie el nodo Users and Groups 2 En el panel derecho haga clic con el bot n secundario en el grupo que desea configurar y seleccione Properties 3 Realice los cambios necesarios en las fichas disponibles y haga clic en OK 12 3 3 Eliminar un grupo Para eliminar un grupo de usuarios 1 En la ficha Configuration gt Options amplie el nodo Users and Groups 2 Haga clic con el bot n secundario en el grupo que desea eliminar y seleccione Delete GFI EventsManager 12 Grupos de usuarios 241 13 Opciones de auditor a y seguridad de la consola Las opciones de seguridad de la consola y auditor a le permiten proteger GFI EventsManager contra los accesos no autorizados y los intentos malintencionados Las opciones de auditor a proporcionadas le permiten supervisar con precisi n la actividad de GFI EventsManager Temas de este cap tulo 13 1 Activar sistema de inicio de SESI N 20 00 22 occ e cee e cece cece cece ee ceeceececceeceecceceeceeeeeees 242 13 2 Ocultaci n de identidad 2 22 22 0 cece cece cece eee ec cece ee eeeeeeceeeeeceeceececececeecseeees 245 13 3 Auditar actividad de la consola 2 2 2 20 02 2 0c ccc ccc eee eee eee eeeeeeeeee 248 13 4 Credenciales de detecci n autom tica 0 00000000000000 0 eee cece eee ec cece ee cececececceceeesecees 249 13 1 Activar sistema de inicio de sesion Cuando el sistema de
154. a de pantalla 274 Captura de pantalla 275 Especificar cu ndo se ejecuta la tarea de mantenimiento 2 20005 286 Crear tareas de importaci n exportaci n ooooococccccccccccccccnncccnccnncccnccns 287 Importar desde archivos heredados 0 220 cece cece cee eeceeceeeeeeeeeeeeees 287 Especificar ubicaci n del archivo de importaci n 00 20 ccceececeeeeeeeeees 288 Descifrar informaci n en el archivo de importaci n 2 20ccecceeeeees 288 Quitar anonimizaci n a eee cece eee ec cece ec eececceeceeeeecceccecceceeeeeeee 289 Filtrar eventos no deseados por medio de condiciones de filtrado 289 Especificar cu ndo se ejecuta la tarea de mantenimiento 2 2 00 290 Crear tareas de importaci n exportaci n ooooococococccccccccccnncccnccnncccnccns 291 Importar datos desde almacenamiento de archivos heredados 291 Especificar cu ndo se ejecuta la tarea de mantenimiento 2 2 00 292 Actividad de las tareas de Mantenimiento ooocccccccccccocccccccccnoccccnncccnns 293 Ver las tareas de mantenimiento programadas ooooooccccccccccccccccccnnnnnccccns 293 Cuadro de di logo Maintenance job properties 20 cccceecceeceeeeeeeees 294 Prioridades de las tareas de Mantenimiento ooocccccccccccccccccccccnccccononoss 295 Opciones de rendimiento deGFI EventsManager oooooccccccccccccnocccccnnncnononos 296 Cua
155. a el nombre de la nueva carpeta y una descripci n opcional Y All Domain Controllers 0 Allied Telesis AR700 family 0 Archive all IIS Text Logs 0 Archive all Syslog messages 0 Archive all Windows logs DC 0 Archive all Windows logs Non DC 0 Cisco Catalyst Devices 0 Cisco PIX 4 ASA devices 0 Database Servers 0 Default 1 E mail Servers 0 File Servers 0 IBM iSeries 0 Infrastructure Servers 0 Seleccione Inherit from parent para usar la misma configuraci n que la carpeta principal 3 Haga clic en la ficha Target computers y seleccione los origenes de eventos Las supervisiones activas que se agregan a esta nueva carpeta se aplican a los origenes de eventos seleccionados GFI EventsManager 10 Supervisi n activa 203 fi Folder properties x General Target computers Schedule Action events Scanning interval 5 seconds click here to load sample Captura de pantalla 152 Ficha Folder properties Schedule v Nota Seleccione Inherit from parent para usar la misma configuraci n que la carpeta principal 4 En la ficha Schedule establezca el intervalo en el que GFI EventsManager ejecuta las comprobaciones de supervisi n en los or genes de eventos seleccionados De forma predeterminada el intervalo de comprobaci n de supervisi n se define en 5 segundos GFI Events
156. a que se especifican a continuaci n Si tiene pensado administrar un gran numero de or genes de eventos en una red de alto tr fico considere el uso de un equipo con mayores especificaciones del sistema Consulte las siguientes secciones para obtener informaci n acerca de gt Requisitos de hardware Sistemas operativos admitidos 32 y 64 bits Otros componentes de software Requisitos de almacenamiento Puertos y protocolos del firewall Permisos del firewall Configuraci n de or genes de eventos Excepciones del antivirus Consideraciones de identificaci n de equipos gt Recopilar registros de eventos de equipos que ejecutan Microsoft Vista o una versi n posterior 2 2 1 Requisitos de hardware La siguiente tabla contiene los requisitos de hardware para GFI EventsManager Tabla 5 Requisitos de hardware Procesador 2 5 GHz de dos n cleos o superior RAM 3 GB Disco duro 10 GB de espacio libre O Nota El tama o del disco duro depende de su entorno el tama o especificado en los requisitos es el m nimo requerido para instalar y archivar eventos 2 2 2 Sistemas operativos admitidos 32 y 64 bits GFI EventsManager se puede instalar en un equipo que est ejecutando cualquiera de los siguientes sistemas operativos Windows Server 2012 Foundation Essentials Standard o Datacenter Windows Server 2008 Standard o Enterprise Windows Server 2008 R2 Standard o Enterprise W
157. a seccion se actualiza cada 20 segundos y le proporciona Nombre de la comprobaci n 2 Recuento exitoso fallido Numero de eventos generados Fecha y hora de la comprobaci n Tipo de comprobaci n Seleccione una fila y haga clic en View Events para ver los registros relacionados que se generaron cuando la comprobacion de completo correctamente incorrectamente Haga clic en el icono Arrange Window para ajustar automaticamente todos los graficos de la Consola de administracion El estado de servicio de GFI EventsManager se utiliza para ver El estado de funcionamiento del servicio motor de procesamiento de eventos de GFI EventsManager El estado de funcionamiento del servidor Syslog El estado de funcionamiento del servidor de capturas SNMP El estado de funcionamiento del servidor de base de datos actualmente en uso por GFI EventsManager nota Haga clic en el nombre del servicio para editar la configuraci n del servicio pnota Haga clic en Database server is running para cambiar de base de datos Para obtener mas informacion consulte Cambiar de bases de datos de almacenamiento de archivos GFI EventsManager 7 Supervisi n de actividades 140 Events Count By Database Fill Up muestra 9 Las barras horizontales representan el n mero de eventos almacenados en el back end de base de datos ordenados por tipo de registro de eventos La fecha y hora de la ltima copia de seguridad La fecha y ho
158. aciones exportadas Utilice este lt nombre de la par metro para definir el nombre de la carpeta cuando se ejecuta una operaci n importFolder carpeta gt pnota Los par metros que contienen espacios deben escribirse entre comillas dobles id lt Esmins Solamente se puede utilizar este par metro cuando desea cambiar el ID de la instancia de GFI Even tancelD gt tsManager Si no se especifica un valor se conserva el mismo ID Si no utiliza este par metro son obligatorios los par metros operation destination sourceFile o sourceFolder Ejemplo ImportSettings exe operation importFile destination C NewDestination sourceFile C ExportedSettings O BIEN ImportSettings exe id newInstancel 16 4 5 Usar ExportSettings exe ExportSettings exe le permite exportar los par metros de configuraci n de GFI EventsManager a un archivo de configuraci n Para utilizar ExportSettings exe 1 Haga clic en Start gt Run y escriba CMD 2 Haga clic en Ctrl Shift Enter para ejecutar CMD con privilegios elevados 3 Cambie el directorio al directorio de instalaci n de GFI EventsManager Ejemplo CD lt C Program Files GFI EventsManager gt 4 Escriba ExportSettings exe seguido de los par metros que se describen a continuaci n GFI EventsManager 16 Herramientas de la l nea de comandos 337 Tabla 121 CMD Par metros ExportSettings exe Parametro Descripcion destination Especifi
159. acle que inicie la auditor a de las actividades del servidor correspondientes a los par metros seleccionados como usuarios declaraciones etc Audit Stop Audit Seleccione esta opci n para indicarle al servidor de Oracle que detenga la auditor a de las actividades del servidor correspondientes a los par metros seleccionados como usuarios declaraciones etc Current Una lista que muestra todos los esquemas actuales de Oracle auditados audited schema objects GFI EventsManager 4 Administrar origenes de eventos 101 y OracleServer General Connection Settings Audit by Objects Audi by Statements a 3 Configure the Oracle SQL statements and user activity to audit 4 Statements ADMINISTER ANY SOL TUNING SET ADMINIST ua User ALL USERS Options BY ACCESS y SUCCESS y Audit Stop Audit Current audited statements User name Audit option Success Failure ALLUSERS ALTER SYSTEM BY ACCESS BY ACCESS 2 ALL USERS SYSTEM AUDIT BY ACCESS BY ACCESS 2 ALLUSERS CREATE SESSION BYACCESS BYACCESS 3 ALL USERS CREATE USER BY ACCESS BYACCESS ALLUSERS ALTER USER BY ACCESS BYACCESS 7 mW Captura de pantalla 68 Ficha Oracle Server properties Audit by Statements 7 Seleccione Audit by Statements y configure las opciones que se describen a continuaci n Tabla 35 Ficha Oracle Server properties Audit by Statements Statements User Opcion
160. activa 196 A Process Triggers an Active Monitoring Check Active Monitoring Check Enabled Execute Active Monitoring Check Active Monitoring Check Error Is Run Count lt Error Limit Parse New Event Log Events Processing Rules Captura de pantalla 144 C mo funcionan las comprobaciones de supervisi n activa Ejemplo Configure una comprobaci n de supervisi n para generar un registro de eventos cuando el espacio de disco duro de un equipo alcanza un l mite preconfigurado Para lograr esto GFI EventsManager 10 Supervisi n activa 197 1 Cuando se alcanza el l mite y la comprobaci n de supervisi n genera un evento b squela en el Explorador de eventos y cree una regla de procesamiento de eventos basado en este Para obtener m s informaci n consulte Crear nuevas reglas desde eventos existentes 2 Configure las nuevas condiciones de reglas del procesamiento de eventos para ignorar eventos que no coincidan Para obtener m s informaci n consulte Crear nuevas reglas de procesamiento de eventos 3 Configure la nueva regla para activar una alerta o una acci n a fin de resolver el problema Para obtener m s informaci n consulte Configurar acciones de clasificaci n predeterminadas Monitoring checks B Genericnode verifications 3 34 Root Folder Sub folder 1 3 44 sub folder a I sub folderb 33 Sub folder 2 Captura de pantalla 145 Estructura de carpeta ra z y subcarpetas L
161. ades de las tareas de mantenimiento Para editar las propiedades de las tareas de mantenimiento 1 En la ficha Configuration gt Options gt Configurations haga clic en Database Operations 2 En el panel derecho haga clic con el bot n secundario en una tarea de mantenimiento y seleccione Properties GFI EventsManager 14 Mantenimiento de base de datos 293 Please select from which database to copy data 9 Main database EventsManager main database will be used Other database Path Name Please select the destination database Main database EventsManager main database will be used 9 Other database Path C Users John Smith Desktop e 0 cancel Ao Captura de pantalla 250 Cuadro de di logo Maintenance job properties al crear la tarea como gt 3 En el cuadro de di logo Maintenance job properties puede modificar los par metros que configur Contrase as de cifrado descifrado gt Nombres y direcciones de bases de datos gt Rutas de acceso de origen destino gt Detalles generales de las tareas 4 Haga clic en Apply y OK O Nota Para obtener m s informaci n consulte Crear tareas de mantenimiento GFI EventsManager 14 Mantenimiento de base de datos 294 14 3 3 Cambiar prioridad de las tareas de mantenimiento is Database Operations Here you can define maintenance jobs to import export data from Events Manager
162. ados gr ficos Prota Para recopilar informaci n de los servicios los or genes de eventos deben tener activada la pol tica Audit system events Para obtener m s informaci n consulte Activar permisos de or genes de eventos manualmente p gina 339 GFI EventsManager 7 Supervisi n de actividades 139 Secci n Descripci n CHE La secci n Top Network Activity Events muestra los detalles de las primeras 10 actividades de la red entrantes y salientes La actividad de la red se compone de todo tipo de tr fico generado por varios protocolos incluso SMTP HTTP FTP y MSN Las actividades de la red que se muestran se pueden filtrar por 2 Aplicaciones Direcciones de origen Direcciones de destino gt Equipos gt Puertos Usuarios Seleccione los par metros de las listas desplegables o ingrese los valores para filtrar el tipo de gr fico que se muestra rota La actividad de la red que se muestra en el gr fico solamente se aplica a equipos con Microsoft Windows Vista o posterior nota Para recopilar las actividades de la red los origenes de eventos deben tener activadas las opciones Object auditing y Process tracking Para obtener mas informacion consulte Activar permisos de origenes de eventos manualmente La secci n Monitoring Statistics muestra informaci n de estado acerca de la supervisi n activa que usted est ejecutando en los origenes de eventos La informacion que se muestra en est
163. ager 1 Introduccion 22 1 2 C mo funciona GFI EventsManager Text Log Format Windows Event Syslog Format Support Log Support Support Windows Hosts EVT Log Format Log Receiving Engine Syslog Server Run Actions Generate Alerts Archive Events Run Commands Quewe Events for Archiving Captura de pantalla 2 Las etapas operativas de GFI EventsManager La funcionalidad operativa de GFI EventsManager se divide en las siguientes etapas Etapa 1 Recopilaci n de eventos Etapa 2 Procesamiento de eventos GFI EventsManager 1 Introducci n 23 1 2 1 Etapa 1 Recopilaci n de eventos Durante la etapa de recopilaci n de eventos GFI EventsManager recopila registros de or genes de eventos espec ficos Esto se logra mediante el uso de dos motores de recopilaci n de eventos el motor de recuperaci n de eventos y el motor de recepci n de eventos Tabla 1 Motores de GFI EventsManager El motor de recuperaci n de eventos El agente de escucha SQL Server El motor de recuperacion de Oracle Motor de recepcion de registros Se utiliza para recopilar los registros de eventos y registros de texto de Windows a partir de origenes de eventos en red Durante el proceso de recopilacion de eventos este motor hara lo siguiente 1 Iniciar sesion en el origen del evento 2 Recopilar eventos del origen 3 Enviar los eventos recopilados al servidor de GFl EventsManager 4 Desconectarse del
164. ager 18 Soluci n de problemas 355 Please fill in the appropriate information Enter search terms Cannot scan SQL Server sources Note The search terms must be accurate Entering more search terms will narrow your search and yield less results Search will be performed using the knowledge databases available at http Forums gfi com and http kbase gfi com Did the information found in the knowledge databases help you fix the issue s Yes No Captura de pantalla 293 Si el problema persiste busque art culos en nuestra base de conocimiento 7 Busque art culos relacionados con el problema en nuestra base de conocimiento Especifique el error que experimenta en el cuadro de texto Enter search items y haga clic en Search Si esto no resuelve el problema haga clic en Yes y Finish Si el problema persiste seleccione No y haga clic en Next More Information The troubleshooter will collect further information The troubleshooter was unable to automatically locate your issue Next it will guide you through a wizard which will collect the information required by our support department in order to fix your issue s Captura de pantalla 294 Comprobar problemas manualmente 8 Haga clic en Siguiente GFI EventsManager 18 Soluci n de problemas 356 Contact Details Please fill in your personal details correctly Registered Name name domain com 11 11 11 Captura de pantalla 295
165. all Cisco PIX para registrar las errores e infracciones de seguridad entre otras actividades R Registros de eventos Una colecci n de entradas que describen los eventos ocurridos en la red o en un sistema infor m tico GFI EventsManager admite diferentes tipos de registros de eventos incluso registro de evento de Windows registro W3C Syslog captura SNMP y auditor a de SQL Server Registros de eventos de Windows Una colecci n de entradas que describen los eventos que ocurrieron en un sistema infor m tico con Windows OS Registros W3C W3C es un formato de registro com n desarrollado por el Consorcio de Internet Los registros W3C son archivos planos basados en texto usados principalmente por servidores web como Microsoft Internet Information Server IIS para registrar eventos relacionados con la Web como registros web Reglas de procesamiento de eventos Un conjunto de instrucciones que se aplican contra un registro de eventos Ruido Entradas de registro repetidas que informan el mismo evento Uso compartido de archivos e impresoras Active este permiso de firewall para permitir que GFI EventsManager acceda a las definiciones de eventos en los equipos de destino Para obtener m s informaci n consulte http technet microsoft com en us library cc779133 WS 10 aspx GFI EventsManager 19 Glosario 363 20 Indice A Actualizaci n autom tica 298 Alertas 55 56 64 66 82 139 179 180 193 216 218
166. ame Successful Logon outside work hours Monitored machine 192 168 3 236 Log Format Windows Log Name Security Event ID 4624 In Work Hours No Customize browser layout Quick Launch Console Switch database Actions Create root view Create view Edit view io uccess Audit Medium 08 57 40 272 Find events AL Success Audit Medium Type Success Export events to CSV file i Audit Maik avants as deleted a Success Audit Low isadarin No a Success Audit Low source security Help a Success Audit Medium ent ER time 04 21 12 4 m 14 56 41 cce Su 7 Success Audit Medium Dynamic Fields S internal timestamp 2012 09 05 PPPPPPPPPPI Configuring and using events browser z FAQ Id 4 Page 1 of 70 gt Di Loading view finished Click here for details Database C Program Files GFI DLibServer Databases esmstg All Events 69 205 event s Captura de pantalla 140 Crear una regla a partir de un evento existente 2 Haga clic con el bot n secundario en el evento y seleccione Create rule from event GFI EventsManager 9 Reglas de procesamiento de eventos 190 Event equal 10000 and log name is Application Properties General Event Logs Conditions Actions Threshold El Configure the general properties for this rule Name Event equal 10000 and log name is Application Description A The rule applies if the event happens At any time of the day y
167. an Select what action to be taken when this rule is triggered Y Y Run al The following actions will be taken Ignore the event Use the default classification actions 0 Use the following actions profile Archive All lt New actions profile gt Captura de pantalla 139 Seleccionar acci n activada 9 Especifique qu acciones activa esta regla y haga clic en Next Las acciones disponibles son Tabla 66 Configurar nuevas reglas de procesamiento de eventos Acciones Ignore the event Seleccione esta opci n para que GFI EventsManager ignore el evento y no genere una acci n o noti ficaci n Use the default Seleccione esta opci n para usar las opciones preconfiguradas en Default Classification Actions classification actions GFI EventsManager 9 Reglas de procesamiento de eventos 188 Use the follo El perfil Archive All se agrega de forma predeterminada Para crear un nuevo perfil wing actions pro 1 En el men desplegable seleccione lt Nuevo perfil de accion gt Esto inicia el cuadro de di logo file New actions profile 2 Especifique un nombre para el nuevo perfil en el cuadro de texto Action Profile Name 3 Seleccione las acciones que desea que realice el perfil Las siguientes acciones se encuentran disponibles Archive the event gt Send email alerts to Send network message to Send SMS message to Run file Send SNMP Message gt Scan computer 2 R
168. anager ejecute una serie de comprobaciones para determinar qu es incorrecto Gather only application information and logs especifique los detalles de contacto la des cripci n del problema y la informaci n del sistema para cargarlos y enviarlos a nuestro equipo de soporte Si elige esta opci n omita los siguientes pasos y vaya directamente al Paso 9 GFI EventsManager 18 Soluci n de problemas 354 Y Checks if the Processor service is running on this computer WV Checks if the Processor service user has administration privileges V Checks if Data subfolder has correct permissions V Checks if DebugLogs subfolder has correct permissions i v Checks if Processor service is excepted by Windows Firewall Captura de pantalla 291 Solucionador de problemas de comprobaciones autom ticas 5 Espere hasta que el solucionador de problemas ejecute las comprobaciones necesarias y haga clic en Next Fixed all of the issues which can be automatically solved Does this solve the problem s you were having Yes 9 No Captura de pantalla 292 Solucionador de problemas de correcci n autom tica de problemas detectados 6 Espere hasta que el solucionador de problemas aplique las correcciones correspondientes a los problemas detectados durante la comprobaci n Si esto no resuelve el problema haga clic en Yes y Finish Si el problema persiste seleccione No y haga clic en Next GFI EventsMan
169. anager2 12 C Program Files GFI EventsManager2612 gt updater exe InstallNow Get missing updates Found O missing updates Update finished C Program Files GFI EventsManager2 12 gt Captura de pantalla 261 Estado de las actualizaciones 15 3 Licencias del producto El equipo o el origen de eventos le concede licencia para usar GFI EventsManager Se considera un origen de evento a todos los dispositivos que generan un registro Consulte las secciones a continuaci n para obtener mas informaci n sobre las opciones de licencia de GFI EventsManager Las siguientes secciones contienen informacion acerca de Actualizar la clave de licencia Obtener una clave de licencia de prueba de 30 dias gratuita gt Ver detalles de la licencia Y Comprar una clave de licencia 15 3 1 Actualizar una clave de licencia Para actualizar su clave de licencia actual 1 En la ficha General gt General haga clic con el bot n secundario en Licensing y seleccione Update key GFI EventsManager 15 Configurar la Consola de administraci n 305 a License 8 Enter the license key for EventsManager below Computers limit 25 Evaluation version 10 days 13 days passed License key MIC Cancel Captura de pantalla 262 Cuadro de didlogo Update license key 3 Especifique su clave de licencia y haga clic en OK 15 3 2 Obtener una clave de licencia de prueba de 30 dias gratuita GFI EventsManager le permite
170. antalla 47 Captura de pantalla 48 Captura de pantalla 49 Captura de pantalla 50 Captura de pantalla 51 Captura de pantalla 52 Captura de pantalla 53 Captura de pantalla 54 Captura de pantalla 55 Captura de pantalla 56 Captura de pantalla 57 Captura de pantalla 58 Captura de pantalla 59 Captura de pantalla 60 Captura de pantalla 61 Captura de pantalla 62 Captura de pantalla 63 Captura de pantalla 64 Captura de pantalla 65 Captura de pantalla 66 Captura de pantalla 67 Captura de pantalla 68 Captura de pantalla 69 de Windows Captura de pantalla 70 Captura de pantalla 71 Captura de pantalla 72 Captura de pantalla 73 Captura de pantalla 74 Captura de pantalla 75 Captura de pantalla 76 Captura de pantalla 77 Agregar nuevo asistente de Origen de eventos 22 e cece eee cece eee eee ee eens 61 Agregar nuevo asistente de Origen de eventos 22 e eee eee cece cece ee eee eens 69 Ficha Synchronization properties General 0 0 0 0 cc ccee cece cccccceeeecccceeees 71 Excluir equipos de la sincronizaci n autom tica 2 2 2 ceeeecceeeeceeceeees 72 Ficha Synchronization properties Schedule oooooooccccccccccccccccccccoccccccnnnos 73 Agregar un nuevo grupo de or genes de eventos 2 2 2 2 cccceceeeceeeceeeceeees 74 Cuadro de di logo de propiedades de or genes de eventos 22 2 ec eee eee ee 76 Configurar credenciales de inicio de sesi n al
171. aps General Logon Credentials Licensing type Operational Time pe Specify the normal operational time for the computers specified in this group Normal operational time is the time during which the computers specified in this group are normally used This information is used to classify events differently depending on whether they occur during normal operational time or not For example failed log on attempts that occur outside of the normal operational time will be assigned a higher risk level a C 00h 03h O6h 09h 12h 15h 18h 21h 24h Mo 2444445 Tu 244844488 We ageaeaae Th PPPT Fr 2448485 Sa Su Marked time intervals are considered normal operation time ok cancel _apw Captura de pantalla 48 Especificar tiempo operativo GFI EventsManager 4 Administrar origenes de eventos 80 3 En la ficha Operational Time marque los intervalos de tiempo de sus horas normales de trabajo v Nota Las celdas marcadas en azul representan sus horas normales de trabajo 4 Haga clic en Apply y OK 4 4 5 Configurar la supervisi n de or genes de eventos GFI EventsManager es capaz de recopilar informaci n adicional acerca de sus origenes de eventos a trav s de la supervisi n activa Estas comprobaciones generan eventos espec ficos que a su vez activan notificaciones en tiempo real o ejecutan una acci n Por ejemplo cuando se supervisa la comprobaci n del uso de CPU GF
172. aps Server mensaje generado al recopilar mensajes de captura SNMP gt EnetrpriseMaintenance mensaje generado durante las tareas de mantenimiento de la base de datos Job ID Un ID interno asociado con la tarea Log file name El tipo de registros recopilados Entre otros gt Aplicaci n gt Seguridad gt Registros generados por otras aplicaciones como GFI LanGuard y GFI EndPointSecurity Message El mensaje real generado durante la ejecucion de la tarea Para exportar la descripci n general de actividades 1 Haga clic en Status gt Statistics Activity Overview Export data Source w Windows Events Text Logs Syslog Messages SNMP Traps M SQL Server Mes Oracle Server M Last Activity E jm w703 0 0 0 0 0 0 No pm w702 0 0 0 0 0 0 No _ Mi w7_07 0 0 0 0 0 0 No jm TEMP 199 122 0 0 0 0 N A 2012 01 25 1 jM TECHCO 17 754 0 0 0 0 N A 2012 01 25 1 jM TCMUSIC 0 0 0 0 0 0 No A 192168 1 N A N A N A N A 0 0 No ai m Captura de pantalla 126 Descripci n general de la actividad Bot n para exportar 2 Haga clic en Export data GFI EventsManager 8 Generaci n de informes 172 Export Activity Overview Data X Export messages to html csv format Fomat Specify data D alltime 9 fora specific date 08 June 2011 Ey Y only computers with errors not scanned Y include error messages Save filesto 7 Program Files GFIMEventsManager Reports Status na i
173. ara iniciar el cuadro de di logo de restricciones de consulta 1 Haga clic en la ficha Reporting 2 En la lista Reports haga clic con el bot n secundario en el informe que desea editar y seleccione Properties 3 En la ficha General haga clic en Add GFI EventsManager 15 Configurar la Consola de administraci n 315 Reglas de pro Para iniciar el cuadro de dialogo de restricciones de consulta cesamiento de eventos 1 Haga clic en la ficha Configuration gt Events Processing Rules 2 En la lista Rule Folders haga clic con el bot n secundario en la regla de procesamiento de eventos que desea editar y seleccione Properties 3 En el cuadro de di logo de propiedades de la regla de procesamiento haga clic en la ficha Conditions gt Add Edit Query Restriction x Field Name importance Select field name BP idate lin work hours Ra logoff pread Fi Ee ltime Flintemal timestamp 3 logoff lwnte EH importance Re type 8 session id i ab le name ab isadmin 83 entry id if ab monitored machine Ri description id Ra statement id i ab log format BF timestamp 83 retum code ab log name BF logoff time ite session cpu f Re event id 83 logoff Iread BZlextended timestamp 4 p Field operator Equal To v Field value Unclassified v ok Cancel Captura de pantalla 275 Definir restricciones Editar una restricci n de consulta 2 En la lista de campos dis
174. archivos Schedule A trav s de la ficha Schedule especifique gt Las horas del d a durante las cuales se pueden ejecutar las tareas de mantenimiento El intervalo en horas dias en el que se ejecutar n las tareas de mantenimiento La fecha hora programada durante la cual se iniciar la ejecuci n de las tareas de mantenimiento 4 Haga clic en Apply y OK v Nota Tambi n se pueden modificar las opciones de programaci n en la ficha Configuration gt Options gt Actions al hacer clic en Edit schedule options 14 2 Crear tareas de mantenimiento Con GFI EventsManager usted puede programar las tareas de mantenimiento para que se ejecuten en un d a determinado a una hora determinada y a intervalos determinados Las operaciones de mantenimiento de bases de datos pueden requerir una alta utilizaci n de los recursos Esto puede reducir el rendimiento del servidor y de GFI EventsManager Programe tareas de mantenimiento que GFI EventsManager 14 Mantenimiento de base de datos 262 se ejecuten despu s del horario de oficina para maximizar la disponibilidad de los recursos de sus sistemas y evitar posibles interrupciones en el flujo de trabajo GFI EventsManager admite dos tipos de tareas de mantenimiento las cuales se describen a continuaci n Tabla 82 Tipos de tareas de mantenimiento Import Export Importar datos de otras instancias de GFI EventsManager y exportarlas de otras instancias de la apli Job caci n
175. ario en la carpeta de conjunto de reglas de destino y seleccione Rename o Delete seg n corresponda Wy Importante Eliminar una carpeta de conjunto de reglas genera la eliminaci n de todas las reglas y conjuntos de reglas incluidos en la carpeta eliminada GFI EventsManager 9 Reglas de procesamiento de eventos 183 9 3 Crear nuevas reglas de procesamiento de eventos Para crear una nueva regla de procesamiento de eventos 1 Haga clic en la ficha Configuration gt Event Processing Rules File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules EJ Active Monitoring fnis Options Rule Folders Send us feedback W Open Quick Launch Console Help B J All rules a y Windows Events A All rules Windows Events Noise Reductio B Noise Reduction O Defective I Create new rule Ins D Overdogair 4 P Classification Actions i Typical beh 9 Create new folder Ctrl Ins ts generated by the system 1 Noise event Use the default ale 8 Windows F J Rename F2 ts with user name not avai 2 Noise event Use the default ale oe PCI Requireme E D ts generated by computer 3 Noise event Use the default ale H Securty X Delete el ts generated by local servi 4 Noise event Use the default ale lll System Health Find rule Ctrl F ts generated by network s 5 Noise event Use the default ale Common Tasks Expand all Create
176. as comprobaciones se organizan en carpetas ra z y subcarpetas Los objetos heredan la configuraci n de la carpeta principal Esto le permite configurar una serie de comprobaciones de supervisi n de forma simult nea 10 2 Crear y configurar una carpeta ra z Una carpeta ra z es una carpeta principal que puede contener un conjunto de subcarpetas y supervisi n activa Cada uno de los objetos secundarios de una carpeta ra z hereda la misma configuraci n Esto permite la configuraci n r pida de m ltiples comprobaciones de supervisi n y subcarpetas Para crear una nueva carpeta ra z 1 En la ficha Configuration gt Active Monitoring gt Common tasks haga clic en Create root folder Se abre el cuadro de di logo Folder properties GFI EventsManager 10 Supervisi n activa 198 Monitoring checks folder Name New Root Folder Descrioti This root folder contains different monitoring checks pertaining to Captura de pantalla 146 Ficha Folder properties General 2 Especifique un nombre y una descripci n opcional en los campos Name y Description ll 192 168 3 236 v 192 168 3 41 C SharePoint Servers 0 Captura de pantalla 147 Ficha Folder properties Target computer GFI EventsManager 10 Supervision activa 199 3 Haga clic en la ficha Target computers y seleccione los origenes de eventos La supervision activa agregada a esta nueva carpeta se aplica a los origenes de eventos seleccionados
177. assword vcorsrsr s o V SSH authentication Username JSmith Private key C Users John Smith Desktop Key Browse Key passphrase Confim passphrase rn Captura de pantalla 46 Configurar credenciales de inicio de sesi n alternativas 3 Haga clic en la ficha Logon Credentials 4 Marque o desmarque la opci n Logon using credentials below para utilizar dejar de utilizar las credenciales de inicio de sesi n alternativas Escriba un nombre de usuario y una contrase a GFI EventsManager 4 Administrar or genes de eventos 77 O Nota Las credenciales de inicio de sesi n alternativas le permiten utilizar diferentes nombres de usuario y contrase as para iniciar sesi n en equipos remotos Puede configurar credenciales alternativas para un grupo de or genes de eventos o para cada origen de evento Los miembros de un grupo de or genes de eventos se pueden configurar para heredar credenciales del grupo primario 5 Marque o desmarque la opci n SSH authentication para utilizar dejar de utilizar la autenticaci n SSH vw Nota SSH utiliza criptografia de clave publica para autenticar el equipo remoto y permitirle autenticar al usuario si es necesario Se trata de un protocolo de seguridad para los equipos basados en Linux y Unix 6 Haga clic en Browse para seleccionar el archivo de Private key 7 Ingrese la clave de contrasefia y vuelva a escribirla para confirmarla 8 Haga clic en Apply y
178. ator 3 En la ficha General especifique gt Un nombre de usuario para la cuenta de administrador de GFI EventsManager Opcional Una descripci n de la cuenta Una direcci n de correo electr nico v lida para distribuci n de alertas por correo electr nico Un n mero de celular v lido para la distribuci n de alertas por SMS Una IP o nombre de equipo v lido para la distribuci n de alertas a trav s de la red GFI EventsManager 12 Grupos de usuarios 227 2 Specify the user working hours C am 00h O3h 06h O9h 12h 15h 18h 21h 24h a a La Sa SS LS A A SS HS SL A SS A SS SS A Mo PPP Tu PP We PFFFFFFFFFRE FFEFFFFFRRRRA Ferrer Fe PPPPPPrrrrrr Pree BCE ee Su E Marked time intervals are considered as work time Un marked times will be considered as outside working time Captura de pantalla 173 Configurar horas de trabajo habituales del usuario 4 Haga clic en la ficha Working Hours y especifique las horas de trabajo habituales del administrador Los intervalos de tiempo marcados se consideran horas de trabajo GFI EventsManager 12 Grupos de usuarios 228 General Working Hours Alerts Member Of Privileges Fiter 2 Specify the types of alerts this user is to receive Specify the types of alerts this user should receive for events which happen during working hours or outside working hours During working Outside of working hours urs Email alerts Netw
179. avedad que GFI EventsManager asigna al registro de eventos de una comprobaci n del sistema exitosa 6 Haga clic en OK para aceptar GFI EventsManager 10 Supervisi n activa 206 10 4 Crear y configurar comprobaciones de supervision activa Para crear una nueva comprobacion de supervision activa File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules I Active Monitoring Options Monitoring checks a Send us feedback W Open Quick Launch Console Help Create vootfokder Citas Generic node verifications y Create newfolder Alt Ins The folder contains generic checks applicable to all computer nodes Create new check Ins Name State Description E Disable all checks EP CPU usage Disable This check will alert y Enable all checks E Disk space Disable This check will alert y apps I Physical disk condition Disable This check wil alert y Expand all Ping computer Disable This check will verify 1 Collapse all E Filter x Delete Del Mas lew P ti Reset filter Common Tasks Create root folder Create new folder 4 m Open Quick Launch Console Captura de pantalla 154 Crear una nueva comprobaci n de supervisi n activa 1 Haga clic en Configuration gt Active Monitoring 2 Haga clic con el bot n secundario en la ra z subcarpeta donde desea guardar la nueva comprobaci n de supervisi n y seleccione Create new
180. ble op SetLicense gt op configureAlerting op setAdminEmail gt op createProgramGroupShortcuts gt op removeProgramGroupShortcuts gt op getComputers GFI EventsManager 16 Herramientas de la l nea de comandos 319 16 1 1 op registerService Esta funci n le permite registrar servicios deGFl EventsManager a trav s de una cuenta de administrador Se admiten los siguientes par metros Tabla 99 Par metros de op registerService Par metro Descripci n username lt nombre de usuario gt Especifique el nombre de usuario de una cuenta de administrador nota Los parametros que contienen espacios deben escribirse entre comillas dobles pass lt contrase a gt Especifique la contrase a de la cuenta especificada en el par metro username 16 1 2 op enable Esta funci n le permite activar las funciones de administraci n de eventos y no admite par metros adicionales 16 1 3 op disable Esta funci n le permite desactivar las caracter sticas de administraci n de eventos y le solicita al usuario un mensaje personalizado Se admite el siguiente par metro Tabla 100 op disable Parameter Par metro Descripci n message Especifique un mensaje personalizado que se mostrar al usuario antes de que se inhabiliten las lt mensaje gt funciones de administraci n de eventos Jj Nota Los par metros que contienen espacios deben escribirse entre comillas dobles 16 1 4 op S
181. bleHeaderCells tableRows tableTotal chartBottom endRepeatBlock Captura de pantalla 132 Editar plantillas de informes HTML 2 En la carpeta DefaultReportLayout edite las plantillas que se describen a continuaci n Tabla 62 Plantillas HTML predeterminadas Plantilla template_ Esta plantilla se utiliza al generar informes que contienen datos sobre los or genes agrupados La group_ agrupaci n se puede hacer por usuarios or genes datos de eventos y m s new html GFI EventsManager 8 Generaci n de informes 177 Plantilla Description OO template_ new html grupos Utilice esta plantilla para generar informes estadisticos y graficos que no organizan los datos en 3 Con un editor de HTML edite los siguientes elementos de las plantillas Tabla 63 Plantilla HTML Secciones editables Seccion Description Logo de informe Reemplace el logo de GFI EventsManager por un logo de su elecci n Agregue mas logos o eliminelos por completo de sus informes Etiquetas y Cambie el nombre y la posici n de las etiquetas de acuerdo con sus necesidades texto Marcadores A pesar de que usted puede cambiar de posici n los marcadores en el informe si les cambia el nombre el motor de informes de GFI EventsManager dejar de generar los datos respectivos Los marcadores disponibles incluyen Tabla 64 Marcadores de plantilla de informes HTML title subtitle description creator currentDate sortBy
182. buir alertas autom ticas cuando se detectan eventos particulares Para configurar la cuenta de administrador de GFI EventsManager 1 En la ficha Configuration gt Options expanda Users and Groups gt Users GFI EventsManager 12 Grupos de usuarios 225 Active Monitoring Options 9 Send us feedback _ R Open Quick Launch Console Help 2 Users Users Define the recipient information of each user which will be alerted by EventsManager when Gy Console rules are triggered It is recommended to assign users into groups and set groups for ie erts it Name Description 3 EventsManagerA N A i File Storage a y Custom Event Logs 0 AutoUpdate Options Captura de pantalla 171 Configurar cuenta EventsManagerAdministrator 2 En el panel derecho haga clic con el bot n secundario en EventsManagerAdministrator y haga clic en Properties GFI EventsManager 12 Grupos de usuarios 226 General Working Hours Alerts Member OF Privileges Fitter 2 Specify the general details for this user User name EventsManagerAdministrator Description N A Email ismith domain com Mobile Number 111222333444 Computers 192 168 11 11 192 168 0 6 SD Multiple emails or computers can be specified by using semicolons as separator Network message alerts are sent to the computers specified Captura de pantalla 172 Propiedades de EventsManagerAdministr
183. carpeta predeterminada o haga clic en Change para seleccionar una carpeta alternativa donde instalarla Ready to install GFI EventsManager 2013 GF Click Install to begin the installation Click Back to review or change any of your installation settings Click Cancel to exit the wizard Captura de pantalla 15 Se complet la instalaci n de GFI EventsManager 14 Haga clic en Install para iniciar la instalaci n 15 Cuando la instalaci n se haya completado haga clic en Finish GFI EventsManager 2 Instalaci n de GFI EventsManager 43 2 Auto Update rc nC Esa Performing step 1 of 11 Get missing updates Stop es Details gt gt Y Close dialog after execution finished Captura de pantalla 16 Comprobaci n autom tica de actualizaciones 16 Si GFI EventsManager detecta una conexi n a Internet autom ticamente intenta descargar actualizaciones de productos de los servidores de actualizaci n de GFI Haga clic en Details para ampliar la secci n de informaci n del cuadro de di logo Auto Update y ver las actualizaciones que se est n descargando al Switch Database Server a Enter the hostname or IP address of the remote database server you want to use Enter localhost to use the server on local machine NOTE Changing the hostname will trigger a restart of Events Manager Server hostname localhost Captura de pantalla 17 Definir el back end de la base de datos i Nota
184. cci n activada di 188 Crear una regla a partir de un evento existente 2 00 0 e cece cece ee ee eens 190 Nueva regla a partir de un evento Configuraci n general 2 2 191 Nueva regla a partir de un evento Seleccionar registros que desea recopilar 192 Nueva regla a partir de un evento Agregar condiciones oocoococcccccccccccoo 193 C mo funcionan las comprobaciones de supervisi n activa 000000000000 197 Estructura de carpeta ra z y subcarpetas ooocccocccccccccccccccocccnnccnnccnncnono 198 Ficha Folder properties General 20 00 0002 cece cece cece ccc e eee eee cece ee eeees 199 Ficha Folder properties Target computer 00 0000 00 e cece eee cece e ees 199 Ficha Folder properties Schedule eee e eee cece eee cece eee e eee e ences 200 Ficha Folder Properties Action events 00 cece cece cece cece eee eee eeceeeeeee 201 Ficha Folder properties General 0 0 0 0 cc ccc cee eee cece ee eee cece e eee eeeeees 202 Ficha Folder properties Target computer 00 0 000002 eee e cece eee ee eee eee ees 203 Ficha Folder properties Schedule eee e cece cece eee eee eee ee ee eee eens 204 Ficha Folder Properties Action events 0 0 00 2 2 ecco cece eee cece cece eee eee eens 205 Crear una nueva comprobaci n de supervisi n activa 2 00 c eee ee ees 207 Seleccionar tipo de comprobaci n
185. ccnccncccnccncnncnncnncnnccncnnccnces 247 Activar auditor a de actividad del usuario de la consola ooococccccccccccccoo 248 Cuadro de di logo Audit Options oococccccccoccccoccncocccconccnoncnconnnccnnnnonos 249 Configurar credenciales de detecci n autom tica oooooccccccoccccocccconccconos 250 Especifique las credenciales de detecci n autom tica ooococccccccccccccconooo 251 Captura de pantalla 197 Captura de pantalla 198 Captura de pantalla 199 Captura de pantalla 200 Captura de pantalla 201 Captura de pantalla 202 Captura de pantalla 203 Captura de pantalla 204 Captura de pantalla 205 Captura de pantalla 206 Captura de pantalla 207 Captura de pantalla 208 Captura de pantalla 209 Captura de pantalla 210 Captura de pantalla 211 Captura de pantalla 212 Captura de pantalla 213 Captura de pantalla 214 Captura de pantalla 215 Captura de pantalla 216 Captura de pantalla 217 Captura de pantalla 218 Captura de pantalla 219 Captura de pantalla 220 Captura de pantalla 221 Captura de pantalla 222 Captura de pantalla 223 Captura de pantalla 224 Captura de pantalla 225 Captura de pantalla 226 Captura de pantalla 227 Captura de pantalla 228 Captura de pantalla 229 Captura de pantalla 230 Captura de pantalla 231 Captura de pantalla 232 Captura de pantalla 233 Captura de pantalla 234 Captura de pantalla 235 Captura de pantalla 236 Cuadro de di logo File storage system
186. cecceccecceccesseseeees 308 15 5 2 Importar configuraciones desde un archivo 2 0 2 20 cece cece ecenccecceceeceesees 310 15 5 3 Importar configuraciones desde otra instancia 20 2 20 2 cece ccc ecc eee ecceeeeeee 312 15 6 Dise ar restricciones de consulta ccoo coco eeeeeeeee 314 15 6 1 Usar el cuadro de di logo Edit Query Restriction ooocococcccccccccccccccccccccoo 315 16 Herramientas de la linea de comandos nro e tees 319 16 1 Usar ESMCmdConfig exe 2 22 2 oon cece cnc ceccececccecteceesecseecsessetetseetetnesteeesees 319 16 1 1 op registerService ccoo coco coo c cece cece cece cece cece eeeeeeeeeeseeeees 320 16 1 2 op enable naea c a aa aena A de oiue niinn 320 16 1 3 op disable n a T E a a aa a a e ai aa a 320 t6 1 4 70p Setlicens da a 320 16 1 5 op configureAlerting 0 00000000000000 00000000000 00000000000 cnn nn nn cnc nc DD anaon 321 16 1 6 op setAdminEmail 2 2 20 22 2 c ccc cece ccc ccc cecccccecccceectnceceeeseesteeeseeseenes 321 16 1 7 op createProgramGroupShortcuts 22 2 2 e cee ccccccceccecceceeceeseeseees 321 16 1 8 op removeProgramGroupShortcuts 2 2 0 2 20 cece cece cece ceccccceceeceeseeeeeseees 322 16 1 9 op getComputers Ta a a a a E 322 16 2 Usar ESMDIDM eXe osi en enanta aa aa a aa a a 322 16 2 1 importFromSQL aaao cc cece c ccc cence eee e 0000000200200222 323 16 2 2 importFromDlib 220 2 00 o ccc ccc ccc cece cecccccccccececcenceeseesetceeseeseeseeaes 323 16 2
187. cha Reports a GFI EventsManager io Esa File Configure Help Status Configuration Events Browser Reporting General Reports 3 Account Usage z E Successful Logons Grouped By Users e The reportis based t 528 4624 Vista Longhorn ful nd t 540 4636 Vista Longhorn ogons Grouped r is based on even Vista Longhorn successful logon and even Vista Longhorn ese E successful network logon The report shows all successful logons enabling you to monitor the users successfully 2 ara accessing the computers using various logon types and at the same time achieve compliancy with the legal acts vents Account Lockouts 1 11 Successful Logon Count on es 1 11 Failed Logon Count on echC Generated Reports Generate Repot Show HTMLs CearAl Top 10 Accounts which Failec f Accounts which Failed to Log Name Size Creation Date Fie loca Account Logons 20120413 204317 Html 1827148 bytes 2012 04 13 20 47 59 C Progr m b gt protec Preview Report Panta Open 13 Open File Location Lp Epotto POF J Delete iat CXR At Cine laa y 4 w For Repons GFI EventsManager 9 Event log monitoring management and archiving mot Successful Logons Grouped By Users Found 52393 matching records this report contains only first 10000 The report is based on event 528 4624 Vista Longhorn successful logon and event 540 4636 Vista Longh
188. check GFI EventsManager 10 Supervisi n activa 207 Name Description IS VBScript Use your own function in V B Terminal Service Terminal services port Terminal Services Port Che CPU usage Check global CPU usage o IS Disk space Check for disk free space File existence Check that the file exists z File size Check the size of a file on Folder size Check disk space used by E LDAP query Check the status of the LD UY Physical diskcondition Check the physical healt of __ PowerShell Use your own PowerShell UY Printer availability Check the status of a print _ Process running Check that a process is rul 2 Services Check if services are runni Users and groups members Check group allowed mem _ 4 m the filter is empty Captura de pantalla 155 Seleccionar tipo de comprobaci n 3 Seleccione el tipo de comprobaci n y haga clic en Next ES creck properties Name Services Descripti This checks for running services on the specified sources Consider this monitoring check as a fail after Enable disable this check Captura de pantalla 156 Configurar propiedades generales de comprobaci n 4 Especifique un nombre y una descripci n opcional en los campos Name y Description 5 En el cuadro de texto Consider this monitoring check as fail after X errors especifique el numero de errores que deben ocurrir antes de que las nuevas comprobaciones se clasifiquen como Failed o err nea
189. ci n de eventos La categorizaci n de eventos de importancia cr tica alta media baja o ruido COM Network Access Active este permiso de firewall para permitir que los equipos del cliente puedan acceder a aplicaciones o servicios que residen en el servidor Esto permite a GFI EventsManager acceder a los recursos de todos los servidores Para obtener m s informaci n acerca de este permiso consulte http technet microsoft com en us library cc731967 aspx GFI EventsManager 19 Glosario 361 Conjuntos de reglas Una colecci n de reglas de procesamiento de eventos Detecci n de redes Habilite este permiso de firewall para permitir que GFI EventsManager recopile informaci n acerca de los equipos conectados a la red que se pueden analizar Para obtener m s infor maci n consulte http technet microsoft com en us library cc181373 aspx Eventos sin clasificar Eventos que no cumpl an con alguna de las condiciones de procesamiento de eventos con figuradas en las reglas de procesamiento de eventos Identificador de objeto SNMP OID Un identificador de objeto SNMP es una direcci n compuesta por una secuencia de n meros con puntos Ejemplo 1 3 6 1 4 1 2682 1 Estos n meros identifican de forma exclusiva y localizan un dispositivo concreto por ejemplo hub en toda la red Los OID de SNMP son un componente clave en el dise o de los mensajes SNMP De hecho un servidor SNMP no puede interpretar o dise ar mensajes que no ten
190. cifrar los datos exportados Le permite filtrar por fecha de evento para acceder a los eventos desde el ltimo period d a semana mes o desde un d a semana mes anterior Por ejemplo para filtrar los eventos lt tipo gt lt n mero gt lt uni que ocurrieron en los ltimos 24 dias el valor del par metro es 24d Para filtrar los eventos dad gt con m s de 3 semanas de antig edad el valor del par metro es O3W Se admiten los siguientes valores lt type gt o anteriora e ltimo ltima gt lt number gt especifica la cantidad de d as semanas meses gt lt unit gt e d d as w semanas m meses markEventsAsDeleted Opcional Marca los eventos copiados como eliminados de la base de datos de origen Estos eventos ya no se mostrar n en la Consola de administraci n pero permanecer n en la base de datos Para eliminarlos por completo de la base de datos ejecute la tarea Commit Deletions GFI EventsManager 16 Herramientas de la l nea de comandos 327 Parametro Descripci n log_format lt valor gt machine lt valor gt im portance lt valor gt oc cured lt valor gt columnas correspondientes Estos filtros son opcion Estos par metros proporcionan al usuario una forma pr ctica para filtrar los eventos por las ales Cuando se usan en conjunto est n vinculados a una condici n AND en los datos de origen A excepci n de la m quina donde el usuario puede ingresar el nombre de
191. clic en Aplicar y Aceptar dy Importante Eliminar registros de eventos sin archivar puede dar lugar a penalizaciones legales 5 3 Recopilar Syslogs Syslog es un servicio de registro de datos que se usa m s com nmente en sistemas basados en Linux y UNIX Syslogs se basa en el concepto de que un servidor dedicado llamado Servidor Syslog controla totalmente el registro de eventos e informaci n A diferencia de Windows y los sistemas basados en registros de texto los dispositivos habilitados para Syslog env an eventos en forma de mensajes de datos conocidos t cnicamente como Mensajes Syslog a un servidor Syslog que interpreta y administra mensajes y guarda los datos en un archivo de registro A fin de procesar los mensajes Syslog GFI EventsManager se env a con un servidor Syslog integrado Este servidor Syslog recopila de forma autom tica en tiempo real todos los mensajes y eventos Syslog enviados por los or genes Syslog y los transfiere al motor de procesamiento de eventos Listo para usar GFI EventsManager es compatible con los eventos generados por los diversos dispositivos de red fabricados por proveedores l deres como Cisco y Juniper v Nota Para obtener m s informaci n acerca de los dispositivos compatibles visite el siguiente art culo de la base de conocimiento http go gfi com pageid esm_syslog_snmp_ support Nota Un b fer incorporado permite que el servidor Syslog recopile ponga en cola y r
192. con una contrase a escriba la contrase a Estos par metros proporcionan al usuario una forma pr ctica para filtrar los eventos por las columnas correspondientes Estos filtros son opcionales Cuando se usan en conjunto est n vinculados a una condici n AND en los datos de origen A excepci n de la m quina donde el usuario puede ingresar el nombre de la m quina de destino seg n se muestra en el explorador de eventos los dem s par metros tienen valores predefinidos de significado obvio que se indican a continuaci n Se admiten los siguientes valores log format e windows auditor a de sql auditor a de oracle registros de texto mensajes syslog capturas SNMP supervision gt importancia e Sin clasificar Baja Media e Alta e Critica Ruido 2 ocurred e Hoy e Ayer ltimos 7 dias ltimos 30 dias Este mes Mes pasado EsmDlibM exe importFromFile pathse2 importFolder Import cig password p ss machine MS11 domain com occured true GFI EventsManager 16 Herramientas de la linea de comandos 329 16 2 7 commitDeletedRecords Esta funci n le permite eliminar los eventos que est n marcados como eliminados de la base de datos Se admiten los siguientes par metros Tabla 111 Par metros commitDeletedRecords Par metro Descripci n dbPath lt ruta_base_ Especifique la ruta de acceso al servidor de bases de datos que contiene los eventos marcados datos g
193. conjuntos de reglas y conjuntos de reglas Los conjuntos de reglas se organizan tambi n en carpetas de conjuntos de reglas De esta manera puede agrupar los conjuntos de reglas de acuerdo con las funciones y acciones que realizan las reglas respectivas De forma predeterminada GFI EventsManager viene con carpetas preconfiguradas conjuntos de reglas y reglas de procesamiento de eventos que se pueden personalizar incluso mas para adaptarlas a sus necesidades de procesamiento de eventos Este tema contiene informacion sobre gt Conjuntos de reglas disponibles Agregar una carpeta de conjuntos de reglas gt Renombrar y eliminar carpetas de conjuntos de reglas 9 2 1 Conjuntos de reglas disponibles La siguiente tabla proporciona las carpetas de conjuntos de reglas disponibles al instalar GFI EventsManager Cada carpeta de conjunto de reglas contiene varias reglas y o conjuntos de reglas de procesamiento de eventos GFI EventsManager 9 Reglas de procesamiento de eventos 181 Tabla 65 Carpetas de conjuntos de reglas comunes disponibles Carpeta de con Descripcion junto de reglas Eventos de Win Contiene reglas adaptadas para servidores y estaciones de trabajo de Windows entre las que se dows incluyen Reglas de reducci n de ruido Reglas de requisitos de PCI DSS Reglas de seguridad Reglas de estado del sistema Reglas de aplicaci n de seguridad Reglas del servidor de infraestructura Reglas del ser
194. conocimiento http go gfi com pageid esm_syslog_snmp_support GFI EventsManager incluye un servidor de captura SNMP dedicado a trav s del cual se administran las capturas SNMP Un b fer integrado permite al servidor de captura SNMP recopilar poner en cola y reenviar hasta 30 capturas SNMP a la vez De forma predeterminada los registros almacenados en b fer pasan al motor de procesamiento de eventos no bien el b fer se llena o a intervalos de un minuto lo que ocurra primero W Importante Antes de empezar a recopilar los mensajes de captura SNMP cada origen de evento SNMP estaciones de trabajo servidores o dispositivos de red debe estar configurado para enviar sus mensajes de captura SNMP al nombre o la direcci n IP del equipo donde est instalado GFI EventsManager Para recopilar capturas SNMP 1 En la ficha Configuration gt Event Sources haga clic con el bot n secundario en un origen de eventos y seleccione Properties GFI EventsManager 5 Recopilar registros de eventos 114 New Event Sources Group a General Logon Credentials icensi ional Time Windows Event Log Text Logs Syslog SNMP Traps Monitoring Specify if this computer group can send SNMP Traps messages to EventsManager SNMP Traps messages can be received from any computer or device configured to send SNMP Traps messages to EventsManager V Accept SNMP Traps messages from this computer group V Decrypt incoming S
195. credenciales para iniciar sesi n en las estaciones de trabajo y servidores con privilegios administrativos A modo de ejemplo por motivos de seguridad es posible que desee crear una cuenta de administrador que solamente tenga privilegios administrativos sobre las estaciones de trabajo y una cuenta diferente que nicamente tenga privilegios administrativos sobre los servidores Para configurar las propiedades de los or genes de eventos 1 En la ficha Configuration gt Event Sources gt Group Type seleccione Event Sources Groups 2 Para configurar los par metros de Computer group haga clic con el bot n secundario en el grupo de equipos que desea configurar y seleccione Properties Single event source haga clic con el bot n secundario en el origen que desea configurar y selec cione Properties New Event Sources Group Windows Event Log Text Logs j Syslog SNMP Traps Monitoring i General Logon Credentials Licensing type Operational Time Specify the credentials you want GFI EventsManager to use to E connect to the database servers specified in this group to collect events By default GF EventsManager performs event collection using the security context of the account under which GF EventsManager service is running You may specify an altemate set of credentials to access the computers contained within this computer group V Logon using credentials below Username DOMAIN Administrator P
196. cundario en Oracle Servers y seleccione Create group GFI EventsManager 4 Administrar origenes de eventos 93 Database Servers Group Properties General Logon Credentials Operational Time Oracle Audit a Enter a group name and description for the database servers you 3 gt Want to include in this group Group Name Group name Description Optional group description A Collects logs from the database servers included in this group Schedule scanning Orecerey T Maintenance Delete audit logs older than 1 y days from the Oracle Server Cleanup old entries every a y hours MC Cancel Ay Captura de pantalla 60 Ficha Oracle Database group General 4 En la ficha General configure las opciones que se describen a continuaci n Tabla 30 Grupo de base de datos de Oracle General Opci n Descripci n Group Name Ingrese un nombre de grupo para identificar el grupo de Oracle Server Description Opcionalmente ingrese una descripci n Collects logs from Permite recopilar eventos de los or genes de eventos en el grupo de Oracle Una vez que se the database ser habilita esta opci n configure las opciones de programaci n de an lisis y mantenimiento vers included in this group Schedule scanning Permite especificar la frecuencia para recopilar eventos en un horario predefinido Maintenance Los eventos de auditor a de Oracle se almacenan en una tabla
197. cured AND R importance Critical AND fin work hours Yes ada Eat Doe Gear ial Captura de pantalla 104 Crear un informe raiz 2 En la ficha General especifique un nombre y una descripci n opcional para el nuevo informe ra z 3 Haga clic en Add para seleccionar un campo en el que desea basar la condici n de consulta Para el campo seleccionado especifique Field Operator y Field Value Haga clic en OK para aceptar v Nota Repita este paso hasta seleccionar todos los campos obligatorios Para obtener m s informaci n consulte Dise ar restricciones de consulta GFI EventsManager 8 Generaci n de informes 152 Check the columns that you wish to be visible and their names in the list view Also you can customize the order of their appearance Column Headings 4 Add Existing Column Add Custom Column Edit Custom Column Template path C Program Files GFI Events Manager2012 Data Templates Det m ok Comcel Ay _ Captura de pantalla 105 Configurar opciones de dise o del nuevo informe raiz 4 Haga clic en la ficha Layout y agregue los encabezados de columna que desea mostrar en el informe Si tiene una plantilla de informe guardada haga clic en Open location para buscar y cargar su plantilla Para obtener m s informaci n consulte Definir encabezados de columna GFI EventsManager 8 Generaci n de informes 153 General La
198. d seg n corresponda O bien seleccione una regla y presione Ctrl Up para aumentar o Ctrl Down para disminuir la prioridad GFI EventsManager 9 Reglas de procesamiento de eventos 195 10 Supervision activa Los registros de eventos son utiles para hacer un seguimiento de diferentes aspectos operativos de dispositivos equipos y servidores pero en muchos casos los usuarios necesitan mas que simplemente registros para inspeccionar esta actividad con mayor detalle Para mitigar este problema GFI EventsManager usa las comprobaciones de supervisi n activa Las comprobaciones de supervisi n lo ayudan a detectar errores o irregularidades de forma autom tica por lo tanto es posible identificar y resolver de forma proactiva problemas imprevistos antes de que sucedan GFI EventsManager viene con un conjunto de comprobaciones predefinidas especificamente dise adas para cumplir con los requisitos de los sistemas operativosWindows los sistemas operativos Linux Unix los dispositivos SNMP y los protocolos y servicios de red Internet En este cap tulo se brinda informaci n acerca de la administraci n la creaci n y el uso de las comprobaciones de supervisi n activa Temas de este cap tulo 10 1 Acerca de las comprobaciones de Supervisi n activa 20 22 200c20c cece ceecceecceeceeeeeeee 196 10 2 Crear y configurar Una Carpeta raiZ ooooococcccccccccccccccccccncccncccncccnccnnnncnnnnncncnncnnnncnnces 198 10 3 Agregar s
199. de acceso a la carpeta donde se guardan los archivos exportados O bien haga clic en Browse para buscar la ubicaci n Haga clic en Siguiente New job wizard Decrypt Encrypt Source data decryption and destination data encryption A Source database esmstg is not encrypted In order to protect your data you can password protect the exported files by selecting the option below V Encrypt exported data using the following password Password eocccccccece Confirm password eeeeeeeesece lt Back Next gt Cancel Captura de pantalla 215 Descifrar Cifrar datos 7 Si la base de datos de origen esmstg esta cifrada seleccione Decrypt data using the following password e ingrese la clave de descifrado en el campo Password GFI EventsManager 14 Mantenimiento de base de datos 269 8 Para cifrar los datos de exportaci n seleccione Encrypt exported data using the following password e ingrese una clave de cifrado en los campos Password y Confirm password Haga clic en Siguiente iG New job wizard x Filter data Export events based on a specific period Use the advanced option to add more complex A filters 7 Export all events Advanced O Events older than 7 Days Ez Events in the last 7 Days Y Mark events as deleted The exported copied events will be marked as deleted and will be hidden from the source database lt Back Next gt Cancel Captura de pan
200. de antivirus registros de firewall y otras aplicaciones de seguridad Para configurar eventos personalizados 1 Haga clic en la ficha Configuration gt Options GFI EventsManager 5 Recopilar registros de eventos 117 File Configure Help Send us feedback Wi Open Quick Launch Console 6 Help oo Default Classification Actions 4 e Users and Groups Custom Event Logs E Console Security and Audit Options Syslog Server Options El Edit custom logs E SNMP Traps Server Options Here you can configure remove or add custom event logs lll Performance Options 4 File Storage Custom Event Logs OS Auto Update Option Ed Captura de pantalla 82 Configuraci n de registros de eventos personalizados 2 En Configurations haga clic con el bot n secundario en Custom Event Logs y seleccione Edit custom logs GFI EventsManager 5 Recopilar registros de eventos 118 7 Custom Event Logs ES Custom Event Logs a Add custom event logs from which GFI EventsManager can retrieve and process event records 13 Windows PowerShell 13 LOGbndSP 13 GFI EndPoint Security Edit Remove Add custom log Log name idl New Custom Event Log Name Captura de pantalla 83 Cuadro de di logo Custom event logs 3 Haga clic en el bot n Add y especifique el nombre de su registro de eventos personalizados 4 Haga clic en Aceptar
201. de auditor a espec fica en el servidor de Oracle Para evitar el crecimiento excesivo de una tabla de auditor a configure las opciones de esta secci n para eliminar los registros de auditor a y entradas antiguas en un tiempo predefinido GFI EventsManager 4 Administrar origenes de eventos 94 Logon Crederiials Specify the credentials you want GF EventsManager to use to connect to the database servers specified in this group to collect events Connect to the database servers using the following credentials Usemame admin Password eeeeseeecccccces AAA Captura de pantalla 61 Ficha Oracle Database group Logon Credentials 5 Seleccione la ficha Logon Credentials e ingrese un nombre de usuario y una contrase a v lidos para conectarse al servidor de Oracle GFI EventsManager 4 Administrar or genes de eventos 95 Specify the Normal Operational Time for the database servers specified in this group Normal operational time is the time during which the database servers specified in this group are normally used This information is used to classify events differently depending on whether they occur during normal operational time or not For example failed log on attempts that occur outside of the normal operational time will be assigned a higher risk level baal 12h 15h 18h 21h o SS S AS SS a a SS a 444444448 jddddd008 444444448
202. de captura SNMP Syslogs Registros personalizados Auditor as SQL Server gt Auditor as de Oracle Server Para configurar las propiedades de los or genes de eventos 1 En la ficha Configuration gt Event Sources gt Group Type seleccione Event Sources Groups 2 Para configurar los par metros de Computer group haga clic con el bot n secundario en el grupo de equipos que desea configurar y seleccione Properties Single event source haga clic con el bot n secundario en el origen que desea configurar y selec cione Properties New Event Sources Group bs Windows Event Log Text Logs Monitoring Syslog SNMP Traps General Logon Credentials Licensingtype Operational Time EA Specify the default license type for event sources in this group Active Monitoring license Complete check based active monitoring for all types of assets and log data collection for Windows workstations evt and text logs Complete license Complete functionality check based active monitoring and log data management all supported formats for all types of assets servers workstations and network devices Captura de pantalla 47 Configurar el tipo de licencia de los or genes de eventos GFI EventsManager 4 Administrar or genes de eventos 79 3 Haga clic en la ficha Licensing type y seleccione la licencia que desee utilizar para el origen del evento o grupo que se est
203. de datos occ ccocccccccccccccoccccnnos 136 7 Supervisi n de actividades 2202 0 2c ccc cc ence nc cncccccececcceeeeseeseeseesetseeneetseteees 137 7 1 Vista de estado general l 2 0 0 ecco ccc enc ence ccnccececcenceceenceeseeseeseeseeeesetneenes 137 7 2 Vista de actividad de tareas one ALAALA annaa aaa 141 7 3 Nista EN AU e imaa e on Ooms A eo Ae AS 143 8 Generaci n de informes nin 145 8 1 Desplazarse por la ficha Reports 0 00 20 co cc cece cece cc ecccecceceeceececseceeeseeseeseeses 146 8 2 Informes disponibles 2 2 2 2 0 20 c cece ccc a aA a T ANDS 147 8 3 Administrar informes 149 6 3 2 Crear una Garpeta c0 cock A Le Siew Sods Se aa a y EE 151 8 4 Crear Uninforme Balzac e dd A en hab ols 151 8 5 Crear informes personalizados 2 2 2 2 2 ccc cee cecceccecccccececcceceeceeseeseessesseseeneeees 157 8 6 Generar informes nro 164 8 6 1 Generar UN INTOFME A 0 0 be he oe ee cede ee Lice tdt bid 164 8 6 2 Generar informes de resumen diarios _ 2 2000 20 e cece cece eee e cece eee eeeees 165 8 6 3 Generar informes de configuraci n 0 0 0 0c cece cece cece cecececececcccccececesees 167 8 6 4 Generar informes de reglas 2 0 2 0 0 coco ccc ence ccnccecenccecenceeseteeeseeseeseesees 169 8 6 5 Generar informes del historial operativo 2 2 2 0 20 2 c cece cece ccc ecceccecceseeeeees 170 8 6 6 Generar informes de descripci n general de actividades ooo 172 8 7 Analizar informes 174
204. de dominio tambi n se agregue el controlador de dominio como un origen de eventos Para obtener m s informaci n consulte Crear un nuevo grupo de origenes de eventos GFI EventsManager 9 Reglas de procesamiento de eventos 186 Filter the events on which part of the day the event happen and select their classification Select event occurence and importance level PA The rule applies if the event happens Outside of the Normal Operational Time N O T z Classify the event as Critical importance event v Captura de pantalla 138 Seleccionar ocurrencia e importancia del evento 7 Especifique el tiempo en que la regla es aplicable Ejemplo en cualquier momento durante las horas laborales o no laborales Las horas laborales y no laborables se basan en los par metros de tiempo de funcionamiento configurados para sus origenes de eventos Para obtener m s informaci n consulte Configurar tiempo operativo de los or genes de eventos 8 Seleccione la clasificaci n cr tica alta media baja o ruido que se asignar a los eventos que cumplan con las condiciones establecidas en esta regla Haga clic en Siguiente GFI EventsManager 9 Reglas de procesamiento de eventos 187 4 Archive the event Es Send email alerts to lt No Recipients Configured gt sz Send network message to lt No Recipients Configured gt C El Send New Processing Rule Wizard 12 Run Og Send y Actions O Mk Sc
205. de los origenes que se detecten Para procesar los eventos desde los equipos en el mismo dominio grupo de trabajo Quick Launch Console Welcome to GFI EventsManager Select an option z A Process events Local computer gt Start collecting events from the local computer where GFI EventsManager is installed MiB Process events Local domain LA Launch the Automatic network discovery wizard This wizard will automatically n search your domain for event sources i Process events Selected machines Start collecting events from selected machines Customize Y Customize GF EventsManager settings Help me choose New New monitoring feature Tell me how to configure Captura de pantalla 34 Eventos del proceso Dominio local 1 Haga clic en Process events Local domain Se abre el asistente Automatic Network Discovery v Nota El asistente tambi n se puede iniciar desde la ficha Configuration gt Event Sources En el panel izquierdo haga clic con el bot n secundario en All event sources y seleccione Scan local domain GFI EventsManager 2 Instalaci n de GFI EventsManager 57 Welcome to the Automatic network discovery wizard This wizard searches the entire network for computers and servers Stage 1 Configure the event sources to indude when scanning the local domain Stage 2 Search network for target computers The wizard will collect information from all network computers using crede
206. de soporte t cnico tenga su identificaci n de cliente a mano Su ID de cliente es el n mero de cuenta en l nea que se le asigna cuando registra por primera sus claves de licencia en el rea de clientes de GFI en http customers gfi com Le responderemos en 24 horas o antes en funci n de su huso horario 18 4 Foro en la red El soporte t cnico de usuario a usuario est disponible a trav s del foro web de GFI Para acceder al foro web visite http forums gfi com GFI EventsManager 18 Soluci n de problemas 353 18 5 Asistente para el solucionador de problemas Para usar el solucionador de problemas 1 Vaya a la carpeta de instalaci n de GFI EventsManager 2 Localice el archivo Trouble exe y haga doble clic en l 3 Haga clic en Next en la pantalla de bienvenida del asistente Troubleshooter Wizard Gathering Information Information Details Please select the information to gather GFI The troubleshooter should O Automatically detect and fix known issues Recommended Gather only application information and logs Note Use this option when the problem is already located and only support files are needed Gale 3 Captura de pantalla 290 Seleccione el modo de recopilaci n de datos 4 Seleccione c mo desea que el solucionador de problemas recopile la informaci n Seleccione una de las siguientes opciones Automatically detect and fix known issues esta opci n permite que GFI EventsM
207. derecho haga clic en View deleted events El Explorador de eventos cambia automaticamente de base de datos O Nota Para eliminar por completo los registros de eventos de GFI EventsManager debe ejecutar una tarea Commit Deletion para confirmar la eliminaci n en la base de datos seleccionada Para obtener m s informaci n consulte Confirmar eliminaciones 6 2 4 Buscar eventos almacenados Use la herramienta de b squeda de eventos para buscar y localizar eventos espec ficos con filtros simples que se pueden personalizar Para buscar un evento en particular 1 Haga clic en Events Browser gt Actions gt Find events Look for Success In Column Find Close S Send us feedback e Open Quick Launch Console Help 3 All Events 392 376 events A Database C Program Files GFl Events Manager2012 data FileStg esmstg Captura de pantalla 90 Herramienta de busqueda de eventos 2 Configure los parametros de busqueda de eventos a trav s de las opciones que aparecen en la parte superior del panel derecho Para activar una b squeda que distinga entre may sculas y min sculas haga clic en Options y seleccione Match whole word 3 Haga clic en Find para iniciar la b squeda 6 2 5 Identificar reglas mediante la herramienta de b squeda de reglas GFI EventsManager le permite identificar la regla de procesamiento de eventos que provoc el registro de evento seleccionado Para identificar las reglas que se utilizan
208. desde una ubicaci n alternativa 1 En un equipo con acceso a Internet vaya a http update gfi com esm 2 Ingrese su nombre de usuario y contrase a Se abre el directorio de actualizaciones de GFI EventsManager en el servidor de actualizaciones GFI EventsManager 15 Configurar la Consola de administraci n 300 http update gfi com esm Dr OX Index of esm Last modified Size Description Parent Directory 20110817 ESM2011SR2 gt 19 Aug 2011 20111220 ESM2012 PAT gt 23 Dec 2011 20111221 ESM2012 PAT gt 23 Dec 2011 20120112 ESM2012 PAT gt 12 Jan 2012 20120214 ESM20125R1_ gt 15 Feb 2012 20120221 ESM2012SR1_ gt 21 Feb 2012 20120227 ESM2012SR1_ gt 27 Feb 2012 20120301 ESM2012SR1_ gt 01 Mar 2012 20120307 ESM2012SR1_ gt 09 Mar 2012 20120315 ESM2012SR1 gt 15 Mar 2012 20120507 ESM2012SR1 gt 07 May 2012 20120528 ESM2012S5R1_ gt 28 May 2012 20120606 ESM2012S5R1_ gt 08 Jun 2012 20120614 ESM2012S5R1_ gt 14 Jun 2012 20120619 ESM20125R1_ gt 20 Jun 2012 20120629 ESM2012SR1_ gt 02 Jul 2012 20120725 ESM20125R1_ gt 25 Jul 2012 EE a Wy ar Captura de pantalla 256 Actualizaciones de GFI EventsManager 3 Haga clic en ESMUpdatelnfo xml gz y gu rdelo en una ubicaci n de su elecci n O Nota Transfiera el paquete de actualizaciones descargadas desde el equipo con acceso a Internet al host de GFI EventsManager GFI EventsManager 15 Configurar la Consola de adm
209. dos de 3 todos los or genes de eventos en las ltimas 24 horas 8 6 3 Generar informes de configuraci n GFI EventsManager le permite generar informes de configuraci n en grupos de or genes de eventos La informaci n proporcionada se describe a continuaci n Tabla 54 Informaci n de encabezado del informe de configuraci n Encabezado Descripci n Group name El nombre del grupo en el que se basa el informe Computer Una lista de todos los or genes de eventos en el grupo seleccionado name Scan inter Intervalo de an lisis para cada origen de evento en el grupo seleccionado se muestra en d as horas vals minutos segundos GFI EventsManager 8 Generaci n de informes 167 Encabezado Descripcion Rules folder Proporciona una lista de categor as de reglas aplicadas para el grupo seleccionado tales como gt Reducci n de ruido Seguridad gt Estado del sistema Requisitos de PCI DSS Rule sets Una lista granular de las reglas aplicadas al grupo seleccionado Para generar un informe de configuracion 1 Haga clic en la ficha Configuration gt Event Sources i a Ss es File Configure Help Status Configuration Events Browser Reporting General s Event Sources Event Processing Rules E Active Monitoring 2 Options Group Type Send us feedback W Open Quick Launch Console Help mo v Event Sources Groups A Default Group Groups The logs scanned are the Windows security
210. dos en una vista seleccionada del Explorador de eventos v Nota GFI EventsManager env a una selecci n de informes predefinidos Le recomendamos que revise los informes disponibles antes de crear nuevos informes para evitar la duplicaci n de informes Para generar un informe a partir de una vista 1 En Events Browser gt Views seleccione una vista S Send us feedback ES Open Quick Launch Console 4 Help ig All Events 392 376 events El Report from view Database C Program Files GFl Events Manager2012 data FileSto esmstg Captura de pantalla 89 Bot n Report from view 2 En la esquina superior derecha del Explorador de eventos haga clic en Report from view GFI EventsManager 6 Buscar eventos almacenados 128 3 En el cuadro de dialogo Create Report configure las opciones de las fichas que se describen a continuacion Tabla 40 Explorador de eventos Crear nuevo informe General Especifique el nombre del nuevo informe y agregue condiciones Layout Seleccione las columnas que desea mostrar en el informe Tambi n puede personalizar el orden de aparici n Chart Seleccione Use graphical charts para generar un informe que muestre la informaci n en un gr fico Los tipos de gr fico disponibles son Gr fico circular gt Gr fico de barras gt Gr fico de l neas Schedule Seleccione Use schedule para habilitar la programaci n de informes Configure la fecha y frecuencia de generaci n para el nue
211. dro de di logo Performance Options ccccccccecceccceeceeeeeeceees 297 Configurar opciones de actualizaci n autom tica 2 2 2 0 cece eeeeeeceeeeees 298 Configurar el servidor proxy para descargar las actualizaciones del producto 299 Actualizaciones de GFI EventsManager 00 0 02 cc cece eee cece ee eee eee cece 301 Repositorio de actualizaciones de GFI EventsManager 2 222e0000 302 Abrir CMD en el modo de administrador oooooccccccccccccccccccncccccnncnncnnnnos 303 Cambiar ruta de acceso al directorio de instalaci n de GFI EventsManager 304 Iniciar manualmente una sesi n de actualizaci n 0 20 20 eee eee ee eee 304 Estado de las actualizaciones 2 0 cc cece cence eee e cence cence eeeneeeeeneeeees 305 Cuadro de di logo Update license key 0 2 0 cece cee eee eee eceeecceeeeeeeees 306 Bot n para Comprar 2 0 20 e cece cece c cece cece cece eee eeceeeeceeeseeceeeeseeeeeees 306 Pantalla Version Information 0 ccccecce cece cence eee neeeeeneeeeeseeeeees 307 Exportar configuraciones a un archivo 2 02 e cece e cece ee eens 309 Especificar destino de la exportaci n 0 0 20 ce cece eee e cece cece cece eeeeeeees 309 Seleccionar configuraciones de exportaci n cc cee eee eee cece ee eeeeee 310 Importar configuraciones desde un archivo 02 2 e cece cece e eee eee eee ees
212. e Enterprise Maintenance schedule options 7 Run the job now The job will be executed only once Captura de pantalla 223 Ejecutar opciones de tarea 9 Seleccione cuando se ejecuta la tarea y haga clic en Finish Tabla 89 Crear tareas de mantenimiento Opciones de programaci n Schedule job La tarea se guardar y se ejecutar de acuerdo con la programaci n de operaciones de la base de datos Run the job La tarea se ejecuta inmediatamente Las tareas no programadas solamente se ejecutan una vez y no now pueden ser reutilizadas 14 2 4 Copiar datos Para crear tareas de copia de datos 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations haga clic con el bot n secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asistente GFI EventsManager 14 Mantenimiento de base de datos 276 Job Type Select the job type gt Please select the type of action that this job should perform 9 Import Export Job Import data from another database instance Export data from this instance to files and import data as part of the data centralization process Legacy Import Job Import data from older version of the product Data can be imported from SOL Server database legacy files or legacy file storage Captura de pantalla 224 Crear tareas de importaci n exportaci n 4 Seleccione Import Export J
213. e seleccione un perfil o lt Nuevo perfil de acci n gt y haga clic en Edit actions profile para configurar el perfil de la acci n 9 Haga clic en la ficha Threshold y configure el valor del umbral de evento Es decir el n mero de veces que se debe detectar un evento antes de activar las alertas y acciones correctivas Esto ayuda a reducir los falsos positivos que provoca el ruido los eventos repetidos en sus registros de eventos 10 Haga clic en Apply y OK GFI EventsManager 9 Reglas de procesamiento de eventos 193 9 5 Parametros de filtro avanzado de eventos GFI EventsManager le permite a los administradores de sistemas configurar par metros avanzados de filtrado de eventos Estas opciones solamente est n disponibles para syslogs y registros de eventos de Windows Consulte las siguientes secciones para obtener informaci n acerca de Par metros de filtrado de eventos de Windows Par metros de filtrado de syslog 9 5 1 Par metros de filtrado de eventos de Windows El campo Event IDs les permite a los administradores de sistemas configurar los par metros que se describen en la tabla a continuaci n Tabla 68 Par metros de filtrado de eventos de Windows Campo Event ID Par metro Descripci n Single events Event IDs 575 Event IDs 550 570 Event IDs 575 600 Event IDs 550 570 575 600 Los campos Source Category y User fields les permiten a los administradores de sistemas configurar los par
214. e Monitoring Options A 9 Send us feedback _ R Open Quick Launch Console Help 2 Users Define the recipient information of each user which will be alerted by Events Manager when rules are triggered It is recommended to assign users into groups and set groups for erts Name Description a EventsManagerA N A Captura de pantalla 178 Crear un nuevo usuario 2 Haga clic con el bot n secundario en el subnodo Users y seleccione Create user 2 Specify the general details for this user User name New User Description This user manages stored events Email user domain com Q Multiple emails or computers can be specified by using semicolons as separator Network message alerts are sent to the computers specified Captura de pantalla 179 Crear un nuevo usuario Propiedades generales GFI EventsManager 12 Grupos de usuarios 233 3 En la ficha General especifique gt gt gt gt gt Un nombre de usuario para la cuenta de usuario Opcional Una descripci n de la cuenta Una direcci n de correo electr nico v lida para distribuci n de alertas por correo electr nico Un n mero de celular v lido para la distribuci n de alertas por SMS Una IP o nombre de equipo v lido para la distribuci n de alertas a trav s de la red 2 Specify the user working hours C a 00h 03h 06h 09h 12h 15h 18h 21h 24h af A A a A OS SOOD A
215. e Windows registros de texto registros de supervisi n activa capturas SNMP y syslogs que se procesaron maquina por maquina gt La fecha hora de la ltima recopilaci n de eventos que se realiz en cada m quina Haga clic en Export data para generar informes de descripci n general de las actividades GFI EventsManager 7 Supervision de actividades 144 8 Generacion de informes En este capitulo se proporciona informaci n sobre el motor de informe integral de GFI EventsManager Viene con una serie de informes incluidos los informes de nivel t cnico y ejecutivo que muestran informaci n gr fica y estad sticas en funci n del hardware y software administrados por GFI EventsManager Temas de este cap tulo 8 1 Desplazarse por la ficha Reports oocccccoccccccccccccccccccccnnocccccccnnnncccccn oada oaan aana 146 8 2 Informes disponibles 0000000000000000000000000 0000000000000000 000000 000000010001 Laaa 2a aaan 147 8 3 Administrar informes nes 149 8 4 Crear un informe raiZ 2 0 22 c cece cece cece cece e eee ceeeeeceeeeceeeceeceeerecseseeeeees 151 8 5 Crear informes personalizados 22 0000 0ce cece cece eee e cece cece cece ee ceeeeeeeeeeeeeeeeeeeeeeeeeees 157 8 6 Generar informes ns 164 8 7 AnaliZarintOrMes cita A dd sss hae dai daa 174 8 8 Definir encabezados de columna occ nn 175 8 9 Personalizar informes HTML nes 176 GFI EventsManager 8 Generaci n de informes 145 8 1 Desplazarse por la fi
216. e alertas por correo electr nico y SMS a uno o m s destinatarios cuando se procesa un evento cr tico Esta secci n contiene informaci n acerca de gt Configurar alertas por correo electr nico Configurar alertas a trav s de la red Configurar alertas por SMS Configurar alertas a trav s de capturas SNMP Configurar par metros generales Para configurar opciones de alerta GFI EventsManager 11 Alertas y acciones predeterminadas 218 File Configure Help Status Configuration Events Browser Reporting General s Event Sources Event Processing Rules W Active Monitoring 4 Options Configurations od Send us feedback W Open Quick Launch Console Help 9 Default Classification Actions i ce Be Users and Groups Alerting Options E M Console Security and Audit Options A Syslog Server Options 3 Edit alerting options i gt SNMP Traps Server Options a Here you can configure the SMTP server that will be used to send email lll Pert Opti alerts the SMS gateway that will be used to send alerts by SMS or SNMP m S traps alerting settings File Storage ie A Database Operations Ig Custom Event Logs Edit alerting recipients he iz AutoUpdate Options Select this option to configure the contact details of the alerting recipients and to manage user accounts Common Tasks Captura de pantalla 165 Configurar opciones de alerta 1 Haga clic en la ficha Config
217. e coinciden con criterios espec ficos se eliminan los registros de eventos que no son importantes para usted Por ejemplo puede ejecutar una regla que no incluya los eventos duplicados o de baja gravedad gt Archivar eventos filtrados el archivado de eventos se basa en la gravedad del evento y en las opciones de configuraci n de las reglas de procesamiento de eventos Por ejemplo puede GFI EventsManager 9 Reglas de procesamiento de eventos 179 configurar GFI EventsManager para que archive solamente los eventos que estan clasificados como criticos o de alta gravedad y descartar todos los demas El siguiente diagrama de flujo ilustra las etapas de procesamiento de eventos que lleva a cabo GFI EventsManager START Logs Collected Legent Archive All Archive ALL E Pre P ing Functionality or Process E Rule Process Engine E Processing Alerts amp Actions Get Lisitng of Rules to Apply for the Collected Events Save All Collected Events with Classification N A Directly to Database NO More Events to Process Access Next A Parite Does the Event NO Event ppicabre Match the Rule to Process Rule Any Other Rule Available NO Classify Events Depending on Rule Settings Use Default Classification Actions What Actions ignore Event to Perform Get Actions to Perform Get Actions Depending Use Rule s on Unclassified Events on Classification and Defined Actions from the Default Default
218. e datos Opci n Descripci n Rotate when data base reaches X Records Rotate when data base reaches X GB Rotate when data base is X weeks old Rotate database on 1st of each X months Number of data bases to create Delete database as needed Each day every 24hrs from the ser vice starting time Only after data base maintenance is performed Especifique el numero de registros que debe contener la base de datos antes de rotar a una nueva Nota Valor m nimo 1 000 000 registros Rotar a una nueva base de datos cuando la base de datos actual alcance el tama o especificado en GB Nota Valor m nimo 1 GB Rotar la base de datos cuando la base de datos actual sea mayor que el n mero de semanas especificado Qnota Valor minimo 1 semana Seleccione esta opcion para rotar las bases de datos en el primer dia de cada numero de meses especificado Por ejemplo rote la base de datos en el primer dia de cada mes el primer d a cada dos meses o el primer d a cada seis meses Especifique el n mero maximo de bases de datos que GFI EventsManager puede crear Deje el valor en O para que se pueda crear un n mero ilimitado de bases de datos Seleccione esta opci n para que cuando se alcance el n mero m ximo de bases de datos GFI EventsManager elimine autom ticamente la base de datos m s antigua para liberar espacio para las nuevas Seleccione esta opci n para crear y utilizar una
219. e los parametros de linea de comandos que desea pasar al archivo Entre los archivos admitidos se incluyen Secuencias de comando VB VBS gt Archivos por lotes BAT Ejecutables EXE Haga clic en Configure y seleccione los destinatarios GFI EventsManager vuelve a auditar el equipo Haga clic en Configure y seleccione las comprobaciones de supervisi n que desee ejecutar cuando se desencadena la acci n Prota La supervisi n activa se aplica a los or genes de eventos correspondientes seleccionados de la ficha Target computers Para obtener m s informaci n consulte Crear y configurar comprobaciones de supervisi n activa Prota Aseg rese de que el procesamiento de las comprobaciones de supervisi n est habilitado de lo contrario se descartar n las comprobaciones Para obtener m s informaci n consulte Configurar supervisi n de or genes de eventos 4 Haga clic en Apply y OK i Nota La ejecuci n de acciones predeterminadas en eventos clasificados como Low puede generar una gran cantidad de tr fico de red cuando est n activadas las alertas por correo electr nico SMS red o SNMP Esto tambi n puede ser un problema cuando el archivado est activado en eventos de baja importancia 11 2 Configurar opciones de alerta Las opciones de alerta le permiten configurar qu alertas se activan cuando se presenta un evento en particular Por ejemplo se puede configurar GFI EventsManager para que env
220. ec ccc ecceccecceccecceeceeeeees 341 Auditar propiedades de acceso a objetos 2 0 2 2 eee cece e cece cece eee eeeee ees 342 Programas admitidos en Microsoft Windows Vista o una versi n posterior 343 Ventana de pol tica de seguridad local 1 0 2 0 0 cece ce ceccececceccecceeceeceeueees 344 Auditar propiedades de acceso a objetos 2 0 22 eee eee cece eee eee eee eee neues 345 Activar reglas del firewall en Microsoft Windows Server 2003 346 Reglas del firewall en Microsoft Windows Server 2008 20 0000 347 Consola de politica de dominio en Microsoft Windows Server 2003 348 Administraci n de pol ticas de grupo en Microsoft Windows Server 2008 R2 349 Editor de administraci n de pol ticas de grupo 20 2 ecccceceeeceeeceeeeeee 350 Reglas predefinidas 0 0 e cece eee c cece cece ee neeeeeeeeeeeanes 351 Desactivar UAG cio ia 352 Seleccione el modo de recopilaci n de datos ooocccccccccccccccccccocccccnccncno 354 Solucionador de problemas de comprobaciones autom ticas 2 22 355 Solucionador de problemas de correcci n autom tica de problemas detectados 355 Si el problema persiste busque art culos en nuestra base de conocimiento 356 Comprobar problemas manualmente occcccccccccccccccocccccccnnnnccccccnnnnocos 356 Especificar detalles de contacto ooooooocccccccccccccccccnnncccccccnnnnnncccccnnns 35
221. eccione Report on rules 8 6 5 Generar informes del historial operativo El historial operativo de GFI EventsManager se puede exportar para su posterior an lisis y para fines de almacenamiento Los mensajes del historial operativo proporcionan a los administradores la informaci n que se describe a continuaci n Tabla 56 Descripci n del informe del historial operativo Date Time La fecha y la hora en que se gener el mensaje Machine Origen de evento que gener el mensaje Source Operaci n de origen que gener el mensaje Entre otras se incluyen EvtCollector mensaje generado al recopilar registros de eventos gt SNMP TrapsServer mensaje generado durante la recopilaci n de capturas SNMP gt EnetrpriseMaintenance mensaje generado durante las tareas de mantenimiento de la base de datos GFI EventsManager 8 Generaci n de informes 170 Job ID Un ID interno asociado con la tarea Log file name El tipo de registros recopilados Entre otros Aplicaci n Seguridad Registros generados por otras aplicaciones tales como GFI LanGuard y GFI EndPointSecurity Message El mensaje real generado durante la ejecuci n de la tarea Para generar informes de historial operativo 1 Haga clic en la ficha Status gt Job Activity Operational History X Export data Tell me more 2 Date Time Machine Source JobID L Message NE 1 2012 04 06 21 38 20 287 DC1 Events collector Error connecting to machine DC1 The
222. ecificar ruta del archivo de importacion 6 Especifique la ruta de acceso al archivo de configuraci n que contiene los datos que desea importar Opcionalmente haga clic en Browse para buscar la ubicaci n Haga clic en Siguiente i Data protection Decrypt the protected data If the files are password protected select the option below and enter the password that will be used to decrypt the files V Decrypt the files using the following password Password eeeccccce Confirm password eocccccee Captura de pantalla 209 Descifrar archivos de importaci n seguros GFI EventsManager 14 Mantenimiento de base de datos 265 7 Opcional Si el archivo que esta importando esta cifrado seleccione Decrypt the files using the following password y especifique la contrase a que se utiliza para cifrar el archivo Haga clic en Siguiente New job wizard E Filter data Specify filtering conditions for the imported exported data A AND L Not date Occured This Month AND importance Critical AND importance High Cas eat paete cea tal Captura de pantalla 210 Agregar condiciones de filtrado 8 Agregar par metros de filtrado avanzado para importar solamente datos espec ficos Deje en blanco esta opci n para importar todos los registros de eventos desde el archivo O Nota Para obtener m s informaci n consulte Dise ar restricciones de consultas
223. ecifique la contrase a y la contrase a de confirmaci n O Nota O Indica que las contrase as especificadas no coinciden 4 Haga clic en Apply y OK v Nota La base de datos activa la base de datos que est utilizando actualmente no se puede cifrar desde este cuadro de di logo Solamente las bases de datos nuevas o sin conexi n se pueden cifrar desde aqui Para cifrar la base de datos activa utilice la herramienta CMD provista esmdlibm exe Para obtener m s informaci n consulte Usar Esmdlibm exe 14 1 3 Hashing de registro de base de datos Para proteger sus datos m s eficientemente GFI EventsManager le proporciona capacidades de hashing de registros El hashing de nuevos registros es un m todo que se utiliza para asegurar que los datos en sus bases de datos no se modifiquen Cuando se habilita el hashing de registros se crea un hash para cada registro recopilado a la hora de recopilaci n El hash se dise a en base a los datos GFI EventsManager 14 Mantenimiento de base de datos 255 contenidos en el propio registro de eventos y se crea no bien se recopila el registro de eventos para asegurar que sea la version original Cuando los datos de un registro con hash se modifican incluso el caracter de una palabra el valor del hash cambia lo cual indica que alguien podria estar alterando los documentos almacenados Wy Importante El hashing fallar si la anonimizaci n esta habilitada Para configurar e
224. ed Please select the database from which you want to physically delete events Main database EventsManager main database will be used Other database Captura de pantalla 231 Seleccionar la base de datos de la que desea eliminar los registros 6 Seleccione la base de datos de la que desea eliminar los registros Haga clic en Siguiente 7 Seleccione cu ndo se ejecuta la tarea y haga clic en Finish GFI EventsManager 14 Mantenimiento de base de datos 281 Tabla 92 Crear tareas de mantenimiento Opciones de programacion Opciones Descripci n Schedule job La tarea se guardar y se ejecutar de acuerdo con la programaci n de operaciones de la base de datos Run the job La tarea se ejecuta inmediatamente Las tareas no programadas solamente se ejecutan una vez y no now pueden ser reutilizadas 14 2 6 Importar desde la base de datos de SQL Server 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations haga clic con el bot n secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asistente New job wizard x Job Type Select the job type A Please select the type of action that this job should perform Import Export Job Import data from another database instance Export data from this instance to files and import data as part of the data centralization process Legacy Import Job Import data f
225. eeceeeeeees 50 Detalles del registro de GFI EventsManager 222 0 200 cece eee e eee ee eee 50 Credenciales de inicio de sesi n remoto para supervisi n de registros de eventos 51 Carpeta de instalaci n de GFI EventsManager oooocccccccccccccccccccccccccccccconos 52 Se complet la instalaci n de GFI EventsManager ooooococcccccccccccccccocccccoccos 52 Comprobaci n autom tica de actualizaciones ooooocccccccccccccccccccccoccnccnccns 53 Definir el back end de la base de datos 20222 occ 53 Ejecutar GFI EventsManager por primera VeZ 22 0000 c eee eeee cece ceeeeeees 54 Eventos del proceso Equipo local 22 0 2 c coco eee cece cece c ee ceeeeeeeee 55 Acciones principales de la consola 00 2202 e cece cece cece cece ceeeeeeececeeees 56 Eventos del proceso Dominio local 0 200 222 57 Asistente de detecci n autom tica 0 2 0 2 cece eee e cece ec cee ceceeceeceeeeeeeeee 58 Seleccionar los tipos de or genes de eventos que desea detectar en la red 58 Buscar el progreso de red 2 2 2 0 ooo eee eee ec eee ec cece eee eee eceeeeeeeceeeeeees 59 Eventos de proceso M quinas seleccionadas 2 0 e0ceeceeeeeeeeeeeeee 60 Captura de pantalla 39 Captura de pantalla 40 Captura de pantalla 41 Captura de pantalla 42 Captura de pantalla 43 Captura de pantalla 44 Captura de pantalla 45 Captura de pantalla 46 Captura de p
226. eee ence eee ee eee eens 65 3 3 Lograr el cumplimiento con PCI DSS _ 0 oo eee cee eee eee eee eect eee eeeeeeees 67 3 1 Lograr la seguridad de la red Muchas empresas consideran err neamente que el acceso no autorizado es simplemente una amenaza externa La mayor a de las amenazas a la seguridad corporativa en realidad provienen de fuentes internas contra las que un servidor de seguridad no ofrece ninguna protecci n Una buena estrategia de seguridad incluye la supervisi n en tiempo real de los eventos de seguridad cr ticos y el an lisis peri dico de los registros de seguridad de sus sistemas para que pueda detectar y responder r pidamente a los ataques La seguridad de la red se define como un conjunto de normas y pol ticas que adopta el administrador de red para supervisar y prevenir el mal uso y el acceso no autorizado a una red Para definir una estrategia de red segura y eficaz siga los pasos que se describen a continuaci n 1 Agregue usuarios y grupos a la consola de administraci n Q Varios usuarios pueden administrar GFI EventsManager Puede vincular la actividad de la consola a Y los diferentes usuarios mediante la creaci n de un usuario para cada persona que tenga acceso a la consola e implemente cambios en las configuraciones Cree usuarios para poder auditar la actividad individual Para obtener m s informaci n con sulte Administrar cuentas de usuario Cree grupos de usuarios para poder administrar varios u
227. eenv e hasta 30 mensajes Syslog a la vez De forma predeterminada los registros almacenados en b fer pasan al motor de procesamiento de eventos no bien el b fer se llena o a intervalos de un minuto lo que ocurra primero GFI EventsManager 5 Recopilar registros de eventos 109 C Workstations Workstations Devices 3 lications npp GFI EventsManager De S Servers Servers Captura de pantalla 74 Se deben dirigir los mensajes Syslog al equipo que ejecuta GFI EventsManager Q Importante Antes de empezar a recopilar Syslogs se debe configurar cada origen de eventos Syslog estaciones de trabajo servidores o dispositivos de red para enviar sus mensajes Syslog al nombre o la direcci n IP del equipo donde est instalado GFI EventsManager Para recopilar Syslogs 1 En la ficha Configuration gt Event Sources haga clic con el bot n secundario en un origen de eventos y seleccione Properties GFI EventsManager 5 Recopilar registros de eventos 110 New Event Sources Group Ea Lm General Logon Credentials Licensingtype Operational Time Windows Event Log Text Logs Syslog SNMP Traps Monitoring Specify if this computer group can send Syslog messages to EventsManager Syslog messages can be received from any computer or device configured to send Syslog messages to EventsManager Y Accept Syslog messages from this computer group Syslog parsing
228. eguridad de red automatizado que detecte ataques de intrusi n Lograr el cumplimiento de diversas normas y leyes como SOX PCI DSS C digo de Conexi n HIPAA leyes de protecci n de datos y otras Detectar proactivamente eventos que generar n un desastre como un error de hardware Cuando se procesan estos eventos GFI EventsManager proporciona una advertencia oportuna para brindarle el control y tomar medidas correctivas Minimizar el riesgo y la p rdida de ganancia debido al tiempo de inactividad y la configuraci n incorrecta de los sistemas Buscar con facilidad eventos desde cualquier cantidad de bases de datos a trav s del Explorador de eventos que lo ayuda a llevar a cabo investigaciones forenses con m nima intervenci n humana Procesar y archivar autom ticamente los registros de eventos recopilar y destacar la infor maci n que usted necesita saber acerca de los eventos m s importantes que se producen en la red para que nunca lo sorprendan Generar nivel t cnico de Tl e informes de nivel gerencial a partir de la extensa lista de informes y crear otros nuevos informes a partir de los informes existentes o los eventos recopilados Proteger su empresa mediante el seguimiento de los eventos de seguridad en su red Descubrir qui n es responsable de las infracciones de seguridad y amenazas de la red uw Para obtener una lista completa de las caracteristicas consulte http www gfi com eventsmanager features GFI EventsMan
229. el puerto configurado no est ya en uso por otras aplicaciones instaladas Ello puede afectar la entrega de mensajes Syslog a GFI EventsManager 5 4 Recopilar mensajes de capturas SNMP SNMP es un servicio de registro de datos que permite que los dispositivos conectados en red puedan registrar eventos e informaci n por medio de mensajes de datos conocidos t cnicamente como capturas SNMP La tecnolog a de mensajeria SNMP es similar en concepto a Syslogs donde a diferencia deWindows y de los entornos basados en registros de eventos los dispositivos que generan mensajes SNMP no registran datos de eventos en los registros locales En cambio la informaci n de los eventos se env a en forma de mensajes de datos a un servidor de captura SNMP que administra y guarda los datos de mensajes SNMP en un archivo de registro local centralizado GFI EventsManager 5 Recopilar registros de eventos 113 Network Printer Hardware Firewall PEO Switch GA EventsManager SNMP Trap SNMP Trap Messages Messages Network Devices Servers Captura de pantalla 78 Se deben dirigir los mensajes de captura SNMP al equipo que ejecuta GFI EventsManager v Nota GFI EventsManager es compatible de forma nativa con una amplia lista de dispositivos SNMP y bases de informaci n de administraci n MIB por sus siglas en ingl s Para obtener una lista completa de los dispositivos compatibles consulte el siguiente art culo de la base de
230. eleccione OR NOT Ello significa que la condici n seleccionada debe coincidir con los par metros de restricci n o que las siguientes condiciones no lo deben hacer Haga clic en para agregar un par ntesis de apertura a la condici n seleccionada Primero se procesan las condiciones encerradas entre par ntesis Haga clic en para agregar un par ntesis de cierre a la condici n seleccionada Primero se procesan las condiciones encerradas entre par ntesis Haga clic en para eliminar un par ntesis de apertura de la condici n seleccionada Haga clic en para eliminar un par ntesis de cierre de la condici n seleccionada Add Haga clic en Add para abrir el cuadro de di logo de restricciones y agregar m s campos a la condici n Edit Haga clic en Edit para obtener acceso al cuadro de di logo de restricciones y personalizar la condici n seleccionada Suprimir Haga clic en Delete para eliminar una condici n Clear El bot n Clear elimina todas las condiciones de consulta Flecha Utilice la flecha hacia arriba para desplazar hacia arriba en la lista la condici n seleccionada hacia arriba Flecha Use la flecha hacia abajo para desplazar hacia abajo en la lista la condici n seleccionada hacia abajo 7 Haga clic en Apply y OK GFI EventsManager 15 Configurar la Consola de administraci n 318 16 Herramientas de la linea de comandos GFI EventsManager le proporciona herramientas
231. en escribirse entre comillas dobles Especifique el nombre de la base de datos de destino nota Los par metros que contienen espacios deben escribirse entre comillas dobles Opcional Especifique una contrase a para cifrar los datos en el destino Especifique la ruta de acceso al servidor de base de datos de origen nota Los par metros que contienen espacios deben escribirse entre comillas dobles Especifique el nombre de la base de datos de origen nota Los par metros que contienen espacios deben escribirse entre comillas dobles Opcional Especifique una clave de cifrado para cifrar los datos de origen Opcional Especifique la contrase a de anonimizaci n primaria para anonimizar los datos de origen Opcional Especifique una contrase a de anonimizaci n secundaria para anonimizar los datos de origen mediante el uso de dos claves 16 Herramientas de la l nea de comandos 324 Parametro Descripcion Le permite filtrar por fecha de evento para acceder a los eventos desde el ultimo period dia semana mes o desde un dia semana mes anterior Por ejemplo para filtrar los eventos lt tipo gt lt n mero gt lt uni que ocurrieron en los ltimos 24 dias el valor del par metro es 124d Para filtrar los eventos dad gt con m s de 3 semanas de antigiiedad el valor del par metro es O3W Se admiten los siguientes valores gt lt type gt o anterior a e ltimo ltima lt number gt
232. eneral__ Logon Credentials Licensing type Operational Time Windows Event Log Text Logs Syslog SNMP Traps Monitoring idl Specify the Windows event logs to collect archive and process Specify the logs to collect a File Replication Events A Add a Directory Services Events E 14 Windows PowerShell Remove a 4 Clear collected events after completion Post collection processing Archive all logs without any further processing O Process the logs with the rules selected below before archiving v a Windows Events a Gg Noise Reduction H v Ea PCI Requirements Windows OS H vw Security 4 System Health 3 Y Add generic fields e g Field 00 Field 017 to Security Events ok J cance Apy Captura de pantalla 71 Configurar par metros de procesamiento del registro de eventos de Windows 4 Seleccione Clear collected events after completion para borrar los eventos recopilados desde el origen del evento en cuesti n 5 Seleccione Archive events in database para archivar los eventos recopilados sin aplicar las reglas de procesamiento de eventos 6 Seleccione Process using these rule sets y seleccione los conjuntos de reglas que desee ejecutar contra los eventos recopilados 7 Seleccione Add generic fields para agregar campos extendidos a la base de datos Los campos extendidos contienen datos de descripciones de eventos y se agregan
233. entos en ted below before archiving el back end de la base de datos de GFI EventsManager GFI EventsManager 4 Administrar origenes de eventos 87 Database Servers Group Properties General Logon Credentials Operational Time SQL Server Audit E Specify the source of the events Please specify whether to collect the events from all databases and whether to collect only security events 9 Scan all the events for all databases Scan only the security events for all databases ok J cancel aw 7 Seleccione la ficha Settings y configure las opciones descritas a continuaci n Tabla 24 Grupo de base de datos de Microsoft SQL Configuraci n Scan all the events for all data Todos los eventos de Microsoft SQL Server son recopilados y procesados por GFI bases EventsManager Scan only security events for all Solamente los eventos de seguridad son recopilados y procesados por GFI Even databases tsManager 8 Haga clic en Aplicar y Aceptar Agregar un nuevo origen de eventos de Microsoft SQL Server Para agregar un nuevo origen de Microsoft SQL Server 1 Haga clic con el boton secundario en un grupo de base de datos y seleccione Add newSQL Server GFI EventsManager 4 Administrar origenes de eventos 88 Add New SQL Servers Select the Microsoft SQL Servers Select from which Microsoft SQL Servers you want to collect events Add the following Microsoft SQL
234. er 15 Configurar la Consola de administraci n 310 You can use this wizard to import or export specific categories of configurations or to reset MNP anal EXPOI LOMNQGUIGTIONS vrilara x Welcome to the Import and Export Configurations Wizard 3 i to the default collections of configurations What do you want to do Export the desired configurations to a file Exports the desired EventsManager configurations to a file 9 Import the desired configurations from a file Imports the desired EventsManager configurations from a file Import the configurations from another instance Imports all the configurations from another instance of EventsManager Captura de pantalla 268 Importar configuraciones desde un archivo 2 Seleccione Import the desired configuration from a file y haga clic en Next Import configurations from file Select the path of the file from which to import configurations File to import C Users John Smith Desktop configurationsBkp esmbkp Captura de pantalla 269 Especificar ubicaci n del archivo de configuraci n 3 Especifique la ruta donde se almacena el archivo de importaci n o haga clic en Browse para buscarlo Haga clic en Siguiente GFI EventsManager 15 Configurar la Consola de administraci n 311 Import and Export Configurations Wizard Import configurations from file Select what configurations you want to import P l Import the following configurations
235. er aplicaci n antivirus que se est ejecutando en el sistema Para actualizar a una nueva versi n 1 Haga doble clic en EventsManager exe GFI EventsManager 2 Instalaci n de GFI EventsManager 36 GFI ventsManager 20 13 Event log monitoring management and archiving Version 13 0 GFI EventsManager setup wizard will install the following system components These are required for archiving and enhanced event log management performance Microsoft NET Framework 2 0 Already Installed Microsoft NET Framework 4 0 Already Installed Microsoft SQL Server Compact 3 5 SP2 x86 MSXML6 Already Installed Microsoft SQL Server Native Client Already Installed Microsoft SQL Server Management Objects Collection Already Installed GFI Database Server 2 0 GFI EventsManager 2013 Click here for more information http www afi com eventsmanager Captura de pantalla 4 Comprobaci n de requisitos previos a la actualizaci n 2 El programa de instalaci n muestra una lista de componentes del sistema que deben instalarse antes de instalar el producto Haga clic en Install para iniciar la instalaci n de los componentes del sistema que faltan si es necesario GFI EventsManager 2 Instalaci n de GFI EventsManager 37 Welcome to the GFI Database Server 2 0 Setup Wizard The Setup Wizard will install GFI Database Server 2 0 on your computer Click Next to continue or Cancel to exit the
236. ervicio DNS est configurado correctamente para la resoluci n del nombre Una resoluci n de nombre poco fiable disminuye el rendimiento global del sistema Si inhabilita NetBIOS sobre TCP IP puede seguir utilizando GFI EventsManager sin embargo debe especificar el nombre del equipo a trav s de su IP 2 2 10 Recopilar registros de eventos desde equipos que ejecutan Microsoft Vista o una versi n posterior GFI EventsManager no se puede instalar en Microsoft Windows XP para supervisar eventos de Microsoft Windows Vista o una versi n posterior Microsoft Windows Vista y Microsoft Windows 7 introdujeron grandes cambios estructurales en el registro de eventos y la administraci n del registro de eventos Lo m s importante de estos cambios Un nuevo formato basado en XML para registros de eventos Esto proporciona un enfoque m s estructurado para informar sobre todos los sucesos del sistema Categorizaci n de eventos en cuatro grupos distintos administrativos operativos anal ticos y de depuraci n Un nuevo formato de archivo EVTX que reemplaza al antiguo formato de archivo EVT Debido a estos cambios para recopilar y procesar registros de eventos de Microsoft Windows Vista o posterior GFI EventsManager debe estar instalado en un sistema que ejecute Windows Vista Windows 7 Windows Server 2008 GFI EventsManager 2 Instalaci n de GFI EventsManager 35 O Nota Los eventos de W
237. es Tabla 79 Opciones de filtrado de usuarios Event GFI EventsManager le proporciona un conjunto de condiciones preconfiguradas para filtrar or genes de even Sources tos Seleccione los or genes de eventos que desea que sean visibles para el usuario Total pri Haga clic en Advanced para iniciar el cuadro de di logo Advanced Filtering Este cuadro de di logo le vileges permite compilar sus propias condiciones para el filtrado granular lo cual le permite filtrar los eventos que contienen atributos espec ficos Para agregar una condici n 1 En el cuadro de di logo Advanced Filtering haga clic en Add y seleccione un campo de la lista Ejemplo Date Importance Log format 2 En el campo seleccionado seleccione un operador del men desplegable Field operator Ejemplo Equal to Less than Greater than 3 Especifique un valor para el operador en el cuadro de texto Field value 4 Haga clic en Aceptar 5 Repita los Pasos 1 a 4 para agregar m s de un nombre de campo nota Para obtener mas informacion consulte Definir restricciones de consulta 9 Haga clic en Apply y OK 12 2 2 Cambiar propiedades de la cuenta de usuario Para editar propiedades de usuario 1 En la ficha Configuration gt Options amplie el nodo Users and Groups GFI EventsManager 12 Grupos de usuarios 238 2 En el subnodo Users haga clic con el boton secundario en un usuario y seleccione Properties 3 Haga los cambios necesarios en las fic
238. es Audit Stop Audit Current audited sta tements Haga clic en Browse para abrir una lista de declaraciones de Oracle disponibles Seleccione las declaraciones de Oracle para auditar y haga clic en OK NOTA Entre otras las declaraciones de Oracle pueden ser ALTER CREATE y SELECT Oracle le permite auditar las declaraciones de un usuario espec fico Haga clic en el bot n Browse para abrir una lista de usuarios disponibles Seleccione el usuario y haga clic en OK Seleccione las opciones de auditor a By Access crea un registro de auditor a para cada ejecuci n de la declaraci n By Session crea un registro de auditor a por usuario y por objeto de esquema Una sesi n es el tiempo entre una conexi n y una desconexi n de la base de datos Success procesa solamente las auditor as exitosas Failure seleccione la opci n para procesar solamente las auditor as fallidas Oracle crea un registro de auditor a si la auditor a no se completa gt Both seleccione la opci n para procesar todos los registros de auditor a Elija esta opci n para indicarle al servidor de Oracle que inicie la auditor a de las actividades del servidor correspondientes a los par metros seleccionados como usuarios declaraciones etc Seleccione esta opci n para indicarle al servidor de Oracle que detenga la auditor a de las actividades del servidor correspondientes a los par metros seleccionados como usuarios declaraciones
239. es conmutadores y cualquier otro dispositivo que genere registros de rendimiento Software Incluso GFI EndPointSecurity GFI LanGuard y otras aplicaciones que generan registros Servicios especializados Servidor de Informaci n de Internet de Microsoft IIS PABX sistemas de acceso sin clave sistemas de GFI EventsManager le permite supervisar cualquier dispositivo detecci n de intrusi n y m s que est conectado a la red GFI EventsManager 2 Instalaci n de GFI EventsManager 28 2 1 2 GFI EventsManager en una zona desmilitarizada DMZ GFI EventsManager puede supervisar los eventos generados por equipos en una DMZ al instalarlo dentro de la LAN o directamente en la DMZ Ya que por lo general un firewall o un enrutador protege esta zona con capacidades de filtrado de tr fico de red debe asegurarse de que Los puertos de comunicaci n utilizados por GFI EventsManager no est n bloqueados por el firewall Para obtener m s informaci n sobre los puertos de comunicaci n utilizados por GFI Even tsManager consulte http go gfi com pageid esm_ports gt GFI EventsManager tiene privilegios administrativos sobre los equipos que se ejecutan en la DMZ de Importante GFI recomienda instalar GFI EventsManager directamente en la DMZ en lugar de habilitar puertos y permisos de firewall para habilitar la comunicaci n entre equipos servidores y dispositivos de red LAN y DMZ Router Firewall GFI EventsManager Mai
240. es incluidos en la siguiente tabla se pueden instalar usando EventsManager exe Tabla 11 Componentes instalados mediante EventsManager exe Componentes GFI EventsManager requiere los siguientes componentes del sistema para su funcionalidad completa del sistema gt gt gt gt gt Visual C 2010 redistribuible Microsoft NET Framework 2 0 Microsoft NET Framework 4 0 Microsoft SQL Server Compact 3 5 SP2 MSXML6 Microsoft SQL Server Native Client Microsoft SQL Server Management Objects Collection Servidor de El servidor de bases de datos DLib es el componente donde GFI EventsManager almacena los registros bases de datos procesados El servidor de bases de datos se puede instalar en el mismo equipo que est ejecutando DLib GFI EventsManager as como en un equipo remoto independiente o unidad de red GFI Even El producto real desde donde se pueden administrar y supervisar los eventos generados por equipos y tsManager dispositivos en su red 2 4 1 Procedimiento de instalaci n Para instalar GFI EventsManager 1 Haga doble clic en EventsManager exe GFI EventsManager 2 Instalaci n de GFI EventsManager 45 GFI ventsManager 20 13 Event log monitoring management and archiving Version 13 0 GFI EventsManager setup wizard will install the following system components These are required for archiving and enhanced event log management performance Microsoft NET Framework
241. essing Archive all logs without any further processing Process the logs with the rules selected below before archiving o mian Windows Events gt tH v Ea Noise Reduction a a PCI Requirements Windows OS E V g Security H va System Health x E Add generic fields e g Field 00 Field 01 to Security Events ok came J _ aw Captura de pantalla 50 Fichas de configuraci n de procesamiento de eventos 3 Utilice las fichas Windows Event Log Text Logs Syslog y SNMP Traps para configurar los par metros de procesamiento de eventos requeridos 4 Haga clic en Apply y en OK GFI EventsManager 4 Administrar or genes de eventos 83 v Nota Para obtener m s informaci n consulte gt Recopilar registros de eventos de Windows Recopilar registros de texto Recopilar Syslogs Recopilar capturas SNMP 4 5 Or genes de bases de datos GFI EventsManager puede supervisar y procesar eventos desde servidores de bases de datos Los origenes de eventos de bases de datos requieren par metros de configuraci n espec ficos para recopilar y procesar los eventos generados por la actividad de la base de datos GFI EventsManager es capaz de auditar y supervisar la actividad de los siguientes servidores de bases de datos Microsoft SQL Server Oracle Server 4 5 1 Origenes de Microsoft SQL Server Esta secci n contiene informaci n acerca de Crear un nuevo grupo de Micr
242. etLicense Esta funci n le permite ingresar la clave de licencia del producto Se admite el siguiente par metro Tabla 101 Par metros op SetLicense Par metro Descripci n licenseKey lt clave gt Especifique la clave de licencia del producto GFI EventsManager 16 Herramientas de la l nea de comandos 320 16 1 5 op configureAlerting Esta funci n le permite activar y configurar las opciones de alerta por correo electr nico Se admiten los siguientes par metros Tabla 102 Par metros op configureAlerting Par metro Descripci n Server lt servidor gt Especifique la direcci n IP del servidor de correo electr nico o el nombre de dominio com pleto FQDN por sus siglas en ingl s SenderEmail lt correo Especifique la direcci n de correo electr nico del remitente Parece que se enviaron las electr nico gt notificaciones desde la direcci n especificada Port lt puerto gt Especifique el puerto TCP que se utiliza para enviar mensajes de correo electr nico RequiresAuthentication Especifique si el servidor de correo requiere autenticaci n Se admiten los siguientes lt true false gt valores gt True False User lt nombre de usua Especifique el nombre de usuario de la direcci n de correo electr nico especificada en el rio gt par metro SenderEmail nota Los par metros que contienen espacios deben escribirse entre comillas dobles Pass lt contrase a gt Especifique la contrase
243. etwork discovery 12 Cierre Group Policy Management Editor GFI EventsManager 17 Varios 351 13 En Group Policy Management expanda Group Policy Management gt Forest gt Domains gt lt Nombre de dominio gt gt Default Domain Controllers Policy 14 Repita los Pasos 4 a 13 15 Haga clic en File gt Save para guardar la consola de administraci n La pol tica del grupo entra en vigor la pr xima vez que se reinicie cada equipo 17 3 Desactivar Control de cuentas de usuario UAC Cuando GFI EventsManager se configura para recopilar eventos utilizando una cuenta local los equipos de destino deben tener desactivado el Control de cuenta de usuario UAC Para desactivar el UAC en m quinas con Microsoft Windows Vista o una versi n posterior 1 Haga clic en Start gt Run ingrese secpol msc y presione Enter 2 En Security Settings expanda Local Policies y haga clic en Security Options 3 Haga clic con el bot n secundario en User Account Control Run all administrators in Admin Approval Mode y seleccione Properties Fa a Local Security Policy ales File Action View Help SEEN o EA Security Settings Policy Security Setting a CA Account Policies 4 T Local Policies System objects Require case insensitivity for non Windows Enabled System objects Strengthen default permissions of internals Enabled Audit Poli ie Ri ae rem System settings Optional subsystems Posix
244. figurar opciones de alerta Configure las operaciones que se llevan a cabo cuando se detectan atributos espec ficos de un registro de eventos Para obtener m s informaci n consulte Configurar acciones de cla sificaci n predeterminadas 4 Agregue or genes de eventos Si todav a no lo hizo agregue los or genes de eventos que desea asegurar co Agregue los or genes de eventos de forma manual al especificar las direcciones IP o los nom bres de equipos Para obtener mas informacion consulte Agregar origenes de eventos manual mente Agregue los or genes de eventos de forma autom tica no bien se unan al dominio o a la red Para obtener m s informaci n consulte Agregar or genes de eventos autom ticamente 5 Habilite los permisos de auditor a de los or genes de eventos R A fin de auditar los origenes de eventos se deben habilitar las opciones de auditor a en el sistema operativo de origen Habilite las opciones de auditor a de forma manual para cada equipo Para obtener m s infor maci n consulte Activar permisos de or genes de eventos manualmente gt Active las opciones de auditor a de forma autom tica para grupos m s grandes de equipos Para obtener m s informaci n consulte Activar permisos de or genes de eventos auto m ticamente 6 Recopile los registros de eventos Comience a recopilar los registros de eventos que generaron las fuentes agregadas en el paso anterior Los reg
245. formato HTML o en PDF La secci n Preview Report le brinda una vista de un informe seleccionado que gener Use los botones de control Print Open Export o Delete reports directamente en esta secci n para imprimir abrir exportar o eliminar informes respectivamente GFI EventsManager 8 Generaci n de informes 146 8 2 Informes disponibles La amplia lista de informes de GFI EventsManager contiene informes para diversos requisitos dise ados para facilitar la presentaci n de informes tanto como sea posible Las siguientes categor as de informes se incluyen de forma predeterminada en GFI EventsManager GFI EventsManager permite el uso de los informes existentes como plantillas para crear los suyos propios Cada categor a en la tabla de abajo contiene una serie de informes que se pueden utilizar como est n o que se pueden personalizar para satisfacer sus necesidades Tabla 47 Informes disponibles Account Usage Account Management Policy Changes Object Access Application Management Print Server Windows Event Log Sys tem Events Trend All Critical Miscellaneous Cus tomizable PCI DSS Compliance GCSx Code of Con nection Requirements SOX Compliance HIPAA Compliance GLBA Com pliance General and Security Requirements GFI EventsManager Utilice los informes de esta categor a para identificar los problemas de inicio de sesi n del usuario Los detalles de los eventos que se muestran en estos in
246. formes incluyen inicios de sesi n de usuario exitosos fallidos y cuentas de usuarios bloqueadas Utilice los informes de esta categor a para generar un resumen gr fico de los eventos importantes que tuvieron lugar en toda la red Los detalles de los eventos que se muestran en estos informes incluyen cambios en el usuario y cuentas del equipo as como cambios en las directivas de grupo de seguridad Utilice los informes de esta categor a para identificar cambios de directivas efectuados en la red Utilice los informes de esta categor a para identificar los problemas de acceso a objetos Los detalles de los eventos que se muestran en estos informes incluyen el acceso y los objetos exitosos fallidos que se eliminaron Utilice los informes de esta categor a para identificar las aplicaciones defectuosas y los problemas de instalaci n y eliminaci n de aplicaciones Los detalles de los eventos que se muestran en estos informes incluyen las aplicaciones que se instalaron o eliminaron as como las aplicaciones que fallan y no responden Utilice los informes de esta categor a para visualizar los detalles relacionados con los eventos de impresi n Los detalles proporcionados en estos informes incluyen documentos que se imprimieron los usuarios que activaron el evento de impresi n y la fecha hora en que tuvo lugar la operaci n de impresi n Utilice los informes de esta categor a para identificar errores de auditor a y los problemas impo
247. ga clic en Finish Tabla 85 Crear tareas de mantenimiento Opciones de programacion Schedule job La tarea se guardar y se ejecutar de acuerdo con la programaci n de operaciones de la base de datos Run the job La tarea se ejecuta inmediatamente Las tareas no programadas solamente se ejecutan una vez y no now pueden ser reutilizadas Nombre del archivo de exportaci n La convenci n que utiliza GFI EventsManager para nombrar al archivo de exportaci n se muestra y se describe a continuaci n ESM ID ID de tarea Fecha inicial Fecha final EXP Tabla 86 Operaciones de base de datos Estructura del nombre del archivo de exportaci n Secci n del nom Descripci n bre ESM ID Se refiere al identificador nico asignado a cada instancia de GFI EventsManager que se ejecuta en la organizaci n ID de tarea Se refiere al identificador nico asignado a cada tarea de mantenimiento creada Fecha inicial Se refiere a la fecha del primer evento exportado Fecha final Se refiere a la fecha del ltimo evento exportado EXP Este es el archivo de extensi n que se la asigna a todos los archivos de exportaci n 14 2 3 Exportar a SQL Exportar a SQL le permite exportar documentos directamente a una instancia de SQL Server a la que se puede llegar por el host de GFI EventsManager Para crear una tarea de exportaci n a SQL GFI EventsManager 14 Mantenimiento de base de datos 271 1 Haga clic en la ficha Config
248. gan un OID Los proveedores individuales a menudo crean sus propias MIB que solamente incluyen los OID asociados espec ficamente con su dis positivo Internet Protocol Security Un marco de normas abiertas utilizadas para cifrar y autenticar paquetes de red durante una sesi n de comunicaci n entre equipos Al utilizar servicios de criptograf a IPsec garantiza la integridad autenticaci n y confidencialidad de los datos IPsec Internet Protocol Security es un marco para un conjunto de protocolos de seguridad en la red o capa de procesamiento de paquetes de comunicaci n en red Los abordajes de seguridad anteriores implementaron seguridad en la capa de aplicaciones del modelo de comu nicaciones Se considera que IPsec es especialmente til para la implementaci n de redes pri vadas virtuales y el acceso de usuarios remotos a trav s de la conexi n de acceso telef nico a redes privadas Una gran ventaja del IPsec es que las medidas de seguridad se pueden admi nistrar sin necesidad de implementar cambios en los equipos de los usuarios individuales M Mensajes Syslog Notificaciones alertas generadas y transmitidas con mayor frecuencia a un servidor Syslog por UNIX y los sistemas basados en Linux cuando se producen eventos importantes Los mensajes Syslog pueden ser generados por estaciones de trabajo servidores y dispositivos de red acti GFI EventsManager 19 Glosario 362 vos y ciertos dispositivos como enrutadores de Cisco y firew
249. ger determina la acci n que se debe realizar Cree nuevas reglas a partir de registros de eventos generados por los controles de supervisi n activa para desencadenar operaciones autom ticas correctivas cuando se detecta un error del sistema Opcionalmente configure los or genes de eventos para ejecutar reglas de estado del sistema en los registros de eventos recopilados Consulte las siguientes secciones para obtener informaci n acerca de Reglas de procesamiento de eventos Acerca de las reglas de procesamiento de eventos Administrar carpetas de conjuntos de reglas Crear nuevas reglas a partir de eventos existentes Configurar condiciones de reglas Configurar or genes de eventos para procesar registros con reglas de estado del sistema 6 Genere informes GFI EventsManager le permite generar informes para el personal t cnico de TI asi como informes de resumen ejecutivos para el personal de administraci n Los informes lo ayudan a visualizar la informaci n de red a trav s de gr ficos y tablas as como la informaci n estad stica que se proporciona en los informes GFI EndPointSecurity viene con una diversidad de informes predefinidos y tambi n le permite crear nuevos informes o modificar los informes ya existentes Informes disponibles Generar informes Administrar informes Crear informes personalizados Configurar condiciones de filtrado de informes 3 3 Lograr el cumplimiento co
250. ges Monitoring Checks Events Mi critical and high importance events Captura de pantalla 94 Muestra Vistas y vistas raiz nuevas 6 3 2 Editar una vista 1 En Events Browser gt Views seleccione la vista que desea editar 2 En Actions haga clic en Edit view GFI EventsManager 6 Buscar eventos almacenados 133 3 En el cuadro de dialogo View Properties agregue edite o elimine las condiciones de acuerdo con sus necesidades 6 3 3 Eliminar una vista 1 En Events Browser gt Views seleccione la vista que desea eliminar 2 En Actions haga clic en Delete view O bien haga clic derecho en la vista que desea eliminar y seleccione Delete view 6 4 Personalizar el dise o del Explorador de eventos GFI EventsManager le permite personalizar el Explorador de eventos de acuerdo con sus preferencias Puede cambiar la posici n del panel de descripci n adem s de modificar las opciones de codificaci n de colores del registro de eventos que se usa para facilitar la identificaci n de los eventos importantes Las siguientes secciones le proporcionan informaci n acerca de c mo personalizar el Explorador de eventos Personalizar la posici n de descripci n Opciones de codificaci n de colores de eventos 6 4 1 Personalizar la posici n de descripci n Para cambiar la posici n del panel de descripci n de un evento 1 En Events Browser gt Common Tasks haga clic en Customize browser layout gt Description
251. gger any of the selected rules Captura de pantalla 164 Cuadro de didlogo Default Classification Actions 2 En el menu desplegable seleccione la clasificacion de evento que desea configurar 3 En la lista Action seleccione las acciones que se deben activar y haga clic en Configure Las acciones disponibles son Tabla 74 Acciones de clasificaci n predeterminadas Acci n Descripci n Archive Permite archivar los eventos sin procesamiento adicional the event Send email Haga clic en Configure y seleccione los destinatarios alerts to NOTA Aseg rese de que los usuarios tengan configurada una direcci n de correo electr nico v lida Para obtener m s informaci n consulte Administrar cuentas de usuario Send Haga clic en Configure y seleccione los destinatarios network messages NOTA to Aseg rese de que los usuarios tengan configurado un nombre de equipo IP v lido Para obtener m s informaci n consulte Administrar cuentas de usuario Send SMS Haga clic en Configure y seleccione los destinatarios message to NOTA Aseg rese de que los usuarios tengan configurado un n mero de celular v lido Para obtener m s informaci n consulte Administrar cuentas de usuario GFI EventsManager 11 Alertas y acciones predeterminadas 217 Accion Descripcion Run file Send SNMP Message Scan com puter Run che cks on computer Haga clic en Configure y seleccione el archivo que desea ejecutar y especifiqu
252. has disponibles y haga clic en OK 12 2 3 Eliminar una cuenta de usuario Para eliminar un usuario 1 En la ficha Configuration gt Options expanda el nodo Users and Groups y seleccione Users 2 En el panel derecho haga clic con el bot n secundario en un usuario y seleccione Delete 12 3 Administrar grupos de usuarios GFI EventsManager le permite asignar usuarios a un grupo Una vez que se hayan configurado las propiedades del grupo cada miembro del grupo hereda la misma configuraci n Esta secci n contiene informaci n acerca de Crear un nuevo grupo Cambiar propiedades de un grupo Eliminar un grupo 12 3 1 Crear un nuevo grupo Para crear un nuevo grupo de usuarios 1 En la ficha Configuration gt Options ampl e el nodo Users and Groups i 3 GF EventsManager anm File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules W Active Monitoring Options a Configurations Send us feedback Y Open Quick Launch Console Help Default Classification Actions Users and Groups E Groups 7 U roups are collection of users which can be assigned as alerting recipients Itis recommended to 1 Console Secunty and Audit Options E sign groups to rule alerts and only assign users to groups 3 Alerting Options S ia Syslog Server Options Name Description Rights T SNMP Traps Server Options amp EventsManagerAdministrators Th
253. he button below to checks records hashes on a specified database Checking records hashes means that EventsManager will read all records in the specified database one by one and ff the record has a field called intemal hash it will compute a new hash for the record and check it against intemal hash field value Note that hash check will fail f anonymization is enabled Check records hashes ox J Cancel Ap Captura de pantalla 201 Cuadro de di logo Record hashing 2 Marque o desmarque la opci n Enable record hashing para activar o desactivar las funciones de hashing 3 Haga clic en Check records hashes para ejecutar comprobaciones de hash en la base de datos seleccionada Seleccione una base de datos de la lista y haga clic en OK para iniciar la comprobaci n 4 Haga clic en Apply y OK 14 1 4 Cambiar de base de datos de almacenamiento de archivos GFI EventsManager le permite utilizar varias bases de datos almacenadas en diferentes lugares en el mismo equipo o en cualquier equipo remoto dentro de su LAN Para cambiar de base de datos 1 Haga clic en la ficha Configuration gt Options GFI EventsManager 14 Mantenimiento de base de datos 257 File Configure Help Events Browser Reporting General Event Sources Event Processing Rules EZ Active Monitoring p Options A 9 Send us feedback _ R Open Quick Launch Console Help p S Default Classification Actions 6
254. he events you wish to be displayed into the events browser Database Path C Program Files GFI EventsManager2012 data FileSt 1 DB2 C Program Files GFI EventsManager2012 data FileS Archive C Program Files GFI EventsManager2012 data FileS 4 m gt Edit Remove ok cme Captura de pantalla 98 Cuadro de di logo Switch database 2 Seleccione la base de datos de la lista de bases de datos y haga clic en OK fi Nota Puede hacer clic en Add para especificar una ruta y un nombre nico para crear una nueva base de datos Haga clic en Edit para editar la informaci n especificada GFI EventsManager 6 Buscar eventos almacenados 136 7 Supervision de actividades En este capitulo se brinda informaci n acerca de la supervisi n de los procesos de recopilaci n de eventos La ficha Status es un panel donde se muestra el estado deGFI EventsManager asi como la informaci n estad stica relacionada con los eventos recopilados procesados y archivados El monitor de estado se compone de tres diferentes vistas del panel Vista General vista Job Activity y vista Statistics Temas de este cap tulo 7 1 Vista de estado general 20 2000 00 e cece eee cece cece eee eeeeeeeeeeeeeeeeeseeeees 137 7 2 Vista de actividad de tareas ns 141 7 3 Vista de estadisticas 7 1 Vista de estado general Esta vista de estado general se utiliza para gt Ver el estado del motor de proce
255. hursday Y Friday Y Saturday V Send report by email to Events ManagerAdministrators Captura de pantalla 103 Cuadro de di logo Create Report Folder 2 En la ficha General especifique un nombre y una descripci n opcional para la nueva carpeta 3 Haga clic en la ficha Schedule y seleccione Use schedule para configurar una programaci n para los informes incluidos en esta nueva carpeta Configure las opciones que se describen a continuaci n Tabla 48 Crear carpeta de informes Opciones de programaci n Inherit from Parent Use sche dule Generation time Recurrence pattern Seleccione esta opci n cuando la nueva carpeta sea parte de una carpeta ra z cuya programaci n ya est configurada Seleccione Use Schedule para habilitar la programaci n de los informes contenidos en la nueva carpeta Especifique el tiempo en que los informes se generan Especifique la frecuencia de generaci n de informes Seleccione entre el patr n Daily Weekly o Monthly y configure los par metros diarios semanales o mensuales respectivamente GFI EventsManager 8 Generaci n de informes 150 Send report Seleccione esta opci n para habilitar las notificaciones de correo electr nico Haga clic en Configure by email to para seleccionar los usuarios en el di logo Select users and groups NOTA Configure las opciones de alerta antes de utilizar esta caracter
256. i n que se export desde otra instancia de GFI EventsManager Utilice esta herramienta para obtener copias de seguridad de los par metros de configuraci n de la Consola de administraci n Para utilizar ImportSettings exe 1 Haga clic en Start gt Run y escriba CMD 2 Haga clic en Ctrl Shift Enter para ejecutar CMD con privilegios elevados 3 Cambie el directorio al directorio de instalaci n de GFI EventsManager Ejemplo CD lt C Program Files GFI EventsManager gt GFI EventsManager 16 Herramientas de la l nea de comandos 336 4 Escriba ImportSettings exe seguido de los parametros que se describen a continuacion Tabla 120 CMD Par metros de ImportSettings exe Par metro Descripci n operation lt ope Especifique la operaci n que desea realizar Se admiten los siguientes valores racion gt gt importFile importFolder destination Especifique la carpeta de destino donde se importa la configuracion lt carpeta gt Cnota Los par metros que contienen espacios deben escribirse entre comillas dobles sourceFile Especifique el nombre del archivo que contiene las configuraciones exportadas Utilice este lt nombre de par metro para definir el nombre del archivo cuando se ejecuta una operaci n importFile archivo gt rota Los par metros que contienen espacios deben escribirse entre comillas dobles sourceFolder Especifique el nombre de la carpeta que contiene las configur
257. ia para las organizaciones que deben registrar la informacion con fines forenses y de cumplimiento Es esencial llevar a cabo una supervision de los registros de eventos de toda la red en tiempo real ejecutar analisis y generar informes para abordar los incidentes y los problemas de seguridad ademas de combatir los riesgos relacionados con la continuidad de la empresa GFI EventsManager asiste en esta tarea monumental al supervisar y administrar los registros de eventos de forma centralizada y autom tica adem s admite una amplia diversidad de tipos de eventos generados por aplicaciones y dispositivos de los principales proveedores y por aplicaciones y dispositivos personalizados En este cap tulo se proporciona informaci n acerca de c mo se logra la administraci n de eventos utilizando GFI EventsManager Temas de este cap tulo 1 1 Acerca de GFI EventsManager 0 00000 cece cece ccc cece cece eee cnn cnn eeeeeeececeeeeeeeeeeereeeees 21 1 2 Como funciona GFI EventsManager 0 222 222 2220 2 20 220 cc cece cece ec ceec cece ccececeeeeecseeseeeseeesseeees 23 1 3 Convenciones utilizadas en esta gu a 2 2 2 2 eee eee 000o 000001 oro cence eee ce DDr rD r r r2 25 1 1 Acerca de GFI EventsManager Printers GQ l Automates event Pohs Workstations Provides extensive event analysis tools SY Routers Firewalls GFI EventsManager _ Archives events for legal compliance and Y activi
258. ibirse entre comillas dobles GFI EventsManager 16 Herramientas de la l nea de comandos 323 Parametro Descripci n name lt nom Especifique el nombre de la base de datos DLib que desea importar bre gt nota Los par metros que contienen espacios deben escribirse entre comillas dobles anonpass1 lt Opcional Si la base de datos de origen est anonimizada escriba la contrase a de anonimizaci n pri contrase a gt maria para descifrar los datos de importaci n anonpass2 lt Opcional Sila base de datos de origen esta anonimizada con dos claves de anonimizaci n escriba en la contrase a gt contrase a de anonimizaci n secundaria para descifrar los datos de importaci n Ejemplo EsmDlibM exe importFromDlib path C DLibServer name Events anonpass1l plss 16 2 3 copyData Esta funci n le permite copiar datos de un servidor de base de datos DLib a otro Se admiten los siguientes par metros Tabla 107 Par metros copyData Par metro Descripci n destinationPath lt ruta_destino gt destinationName lt nombre_destino gt destinationEncPass lt contrase a gt sourcePath lt ruta_ori gen gt sourceName lt nom bre_origen gt sourceEncPass lt contrasena gt anonpass1 lt contra sena gt anonpass2 lt contra sena gt GFI EventsManager Especifique el servidor de base de datos de destino nota Los par metros que contienen espacios deb
259. iene xito o falla En Action events cu ndo se generan los registros de eventos y c mo GFI EventsManager clasifica los registros generados Las opciones disponibles se describen en la tabla siguiente Tabla 73 Comprobaciones de supervisi n Eventos de acci n Opci n Descripci n Generate an audit event GFI EventsManager le permite generar registros de eventos despu s de haber from this machine device comprobado que no hay irregularidades en el origen de eventos En el men when the check desplegable seleccione Fails permite generar un registro de eventos cuando falla la comprobaci n Succeeds permite generar un registro de eventos cuando la comprobaci n se eje cuta correctamente Fails or Succeeds permite generar un registro de eventos cada vez que se ejecuta la comprobaci n en los or genes de eventos especificados Continuous Genera un registro de eventos cada vez que la comprobaci n se ejecuta correc tamente incorrectamente ambas situaciones Only once Genera un registro de eventos la primera vez que la comprobaci n se ejecuta correc tamente incorrectamente ambas situaciones Once every X minutes Genera un registro de eventos cada vez que transcurre la cantidad de minutos que usted especific GFI EventsManager 10 Supervisi n activa 212 Once every X messages Genera un registro de eventos cada vez que se alcanza la cantidad de mensajes que usted especific Por ejemplo si escribe 10 sola
260. inar los registros 281 Crear tareas de importaciOn exportaciOn ooocccccccccccccccccccnncccncccncccncno 282 Seleccionar Import from SQL Server Database occccccccccccccccccccccccnncoccos 283 Especificar direcci n y datos de acceso a SQL Server 0 e cece cece ee eee 283 Descifrar bases de datos anonimizadas 0 0ccecccee eee ee eee ceeeeeeeeeees 284 Agregar condiciones de filtrado para filtrar datos no deseados 285 Captura de pantalla 237 Captura de pantalla 238 Captura de pantalla 239 Captura de pantalla 240 Captura de pantalla 241 Captura de pantalla 242 Captura de pantalla 243 Captura de pantalla 244 Captura de pantalla 245 Captura de pantalla 246 Captura de pantalla 247 Captura de pantalla 248 Captura de pantalla 249 Captura de pantalla 250 Captura de pantalla 251 Captura de pantalla 252 Captura de pantalla 253 Captura de pantalla 254 Captura de pantalla 255 Captura de pantalla 256 Captura de pantalla 257 Captura de pantalla 258 Captura de pantalla 259 Captura de pantalla 260 Captura de pantalla 261 Captura de pantalla 262 Captura de pantalla 263 Captura de pantalla 264 Captura de pantalla 265 Captura de pantalla 266 Captura de pantalla 267 Captura de pantalla 268 Captura de pantalla 269 Captura de pantalla 270 Captura de pantalla 271 Captura de pantalla 272 Captura de pantalla 273 EventsManager Captur
261. indows Server 2003 SP2 Standard o Enterprise Windows 8 Standard Professional o Enterprise Windows 7 Enterprise Professional o Ultimate Windows Vista SP1 Enterprise Business o Ultimate GFI EventsManager 2 Instalaci n de GFI EventsManager 32 Windows XP Professional SP3 Windows SBS 2008 Windows SBS 2003 v Nota GFI EventsManager no se puede instalar en instalaciones Server Core 2 2 3 Otros componentes de software Se recomienda instalar los siguientes componentes de software adicionales para garantizar la plena funcionalidad de GFI EventsManager Microsoft NET framework 4 0 Microsoft Data Access Components MDAC 2 8 o posterior Un servidor de correo cuando se requieren alertas por correo electr nico vw Nota Microsoft Data Access Components MDAC 2 8 se puede descargar desde http go gfi com pageid esm_mdac 2 2 4 Requisitos de almacenamiento Los requisitos de almacenamiento a continuaci n est n basados en el tama o medio de un registro de eventos que es de 535 bytes por evento Las siguientes especificaciones indican el tama o del disco duro requerido que responde a las demandas de su infraestructura Tabla 6 Requisitos de espacio de almacenamiento Eventos almacenados por 1 Gb de espacio de almacenamiento 2 006 994 Eventos almacenados en 500 Gb de espacio de almacenamiento 1 003 497 032 2 2 5 Puertos y protocolos del firewall La siguiente
262. indows XP se pueden recopilar cuando se instala GFI EventsManager en Windows Vista o m quinas posteriores Nota Cuando GFI EventsManager esta usando una cuenta que no pertenece al dominio para recopilar eventos de m quinas con Windows Vista o una versi n de Windows superior las m quinas de destino deben tener inhabilitado el Control de cuentas de usuario UAC Para obtener m s informaci n consulte Desactivar Control de cuentas de usuario UAC 2 3 Actualizar GFI EventsManager La actualizaci n desde versiones anteriores a GFI EventsManager 2011 no es totalmente compatible Algunos par metros pueden perderse debido a los cambios de la tecnolog a subyacente GFI EventsManager se puede actualizar utilizando cualquiera de los m todos siguientes Tabla 10 Actualizar GFI EventsManager Autom ticamente Inicie la nueva instalaci n y complete el asistente para actualizar y conservar los datos Para obtener m s informaci n consulte Actualizar desde una versi n anterior Manualmente Exporte las configuraciones y los eventos desde una versi n anterior de GFl EventsManager e imp rtelos en la nueva versi n a trav s de las herramientas de importaci n exportaci n y operaciones de la base de datos Para obtener m s informaci n consulte Crear tareas de mantenimiento e Importar y exportar configuraciones 2 3 1 Actualizar desde una versi n anterior r Nota Antes de comenzar la actualizaci n inhabilite cualqui
263. informe GFI EventsManager 8 Generaci n de informes 155 Create Report xa General Layout Chart_ Schedule Options Other Target path C Users John Smith Documents Events Manager Reports am Open location Generate options Range pattem Relative z This Month v OK Cancel ao Captura de pantalla 108 Opciones para crear nuevo informe 11 Haga clic en la ficha Options y especifique la ruta en la que se debe generar el informe en el rea Target path 12 En el men desplegable Range pattern seleccione las opciones que se describen en la siguiente tabla Tabla 49 Opciones de patr n de rango Patr n Descripci n All Time Seleccione All Time para generar el informe en funci n de la informaci n de todos los registros rela cionados Relative Permite generar el informe en funci n de los siguientes eventos Today para el dia de hoy Yesterday para ayer Last 7 Days para los ltimos 7 dias This Month para este mes gt Last Month para el ltimo mes Dia Especifique un solo dia en el que desea basar el informe Month Especifique el mes y el a o en el que desea basar el informe Date Especifique una fecha From y To para basar el informe en eventos recopilados en un per odo espec fico de Range tiempo GFI EventsManager 8 Generaci n de informes 156 Create Report General Layout Chart Schedule Options
264. inistraci n 301 ppr a we a GFI gt EventsManager2012 gt gt AutoUpdate 3 Search AutoUpdate pl New folder Ft Favorites Name Type Date modified Lo Backup File folder 21 08 2012 15 12 Libraries IJ Patches File folder 21 08 2012 15 12 Documents config xml XML Document d Music ESMUpdatelnto xml gz I File Pictures updateHistory xml XML Document E Videos S updaterStatexml XML Document 30 08 2012 10 27 4 Homegroup Computer Ek Network D ESMUpdatelnfo xml gz Date modified 30 08 2012 11 34 Date created 25 08 2012 15 46 GZ File Size 3 14 KB Captura de pantalla 257 Repositorio de actualizaciones de GFI EventsManager 4 En el equipo con GFI EventsManager copie el paquete de actualizaciones al siguiente repositorio C Program Files GFl EventsManager 201 2 Data AutoUpdate GFI EventsManager 15 Configurar la Consola de administraci n 302 Programs 1 EN cmd exe Open Run as administrator 7 Zip Pin to Taskbar Pin to Start Menu Restore previous versions Send to Cut Copy Delete Open file location Properties P See more results Captura de pantalla 258 Abrir CMD en el modo de administrador 5 Abra CMD en el modo de privilegios elevados y escriba gt sistemas de 64 bits CD C Program Files x86 GFI EventsManager2012 sistemas de 32 bits CD C Program Files GFI EventsManager2012 Presione la tecla Enter GFI EventsMa
265. is group has full privileges BB Performance Options a File Storage Database Operations Ej Custom Event Logs 2 AutoUpdate Options 4 m b Common Tasks Captura de pantalla 185 Crear un nuevo grupo de usuarios 2 Haga clic con el bot n secundario en el subnodo Groups y seleccione Create group GFI EventsManager 12 Grupos de usuarios 239 Specify the members of this group Description Memebers of this group have read only permissions Members amp User 1 2 User 2 amp User 3 Captura de pantalla 186 Crear un nuevo grupo de usuarios Propiedades generales 3 Especifique el nombre y una descripci n opcional para el nuevo grupo 4 Haga clic en Add para agregar usuarios al grupo GFI EventsManager 12 Grupos de usuarios 240 Read Only users Properties xsl General Privileges Specify the privileges of this group Specify whether this group has full privileges or read only privileges This group has full privileges O This group has read only privileges D All the users from a group that has full privileges have also full privileges ok Cancel Apy Captura de pantalla 187 Crear un nuevo grupo de usuarios Propiedades generales 5 En la ficha Privileges determine si el grupo tiene permisos Full o Read Only es decir plenos o de solo lectura 6 Haga clic en Apply y OK 12 3 2 Cambiar propiedades de un grupo Para editar l
266. istraci n de eventos de los paneles de informaci n Para obte ner m s informaci n consulte Supervisar actividades 3 2 Supervisar eficientemente el estado del sistema GFI EventsManager puede llevar a cabo comprobaciones exhaustivas del sistema en los servidores y las estaciones de trabajo Aplica una supervisi n activa para ayudarlo a detectar y resolver de manera proactiva los errores del sistema y los defectos del hardware a fin de evitar desastres en la red Las comprobaciones del sistema son capaces de supervisar los servidores cr ticos para la misi n incluso Microsoft ISA Server Exchange Server SQL Server e 1159 Incluso se les puede configurar para profundizar en los sistemas y supervisar las colas de correo electr nico las puertas de enlace SMTP la disponibilidad MAPI los bloques defectuosos del disco duro el espacio en disco y mucho m s La supervisi n de la eficacia de las reglas y las pol ticas aplicadas a los sistemas ayuda a determinar el grado de eficacia de los planes y las acciones en pr ctica 1 Agregue or genes de eventos Una vez instalado GFI EventsManager agrega autom ticamente el host local a la lista de oo or genes de eventos Agregue otras fuentes de forma manual o autom tica de acuerdo con sus preferencias Agregue equipos manualmente especificando nombres de equipo direcciones IP Para obtener m s informaci n consulte Agregar or genes de eventos manualmente Los equipos
267. istro de Windows 121 Agregar registros de aplicaci n de Windows o ooocccccccccccccccccccccccccccoccco 122 Agregar reglas de GFI LanGuard 2 222200 cece cece ccc aaao cece ceeeceeeeees 123 Explorador de eventos 02 2000 c eee ccc cece cece eee eeeeeeeececeeseeeeeeeeeees 126 Herramienta de exportaci n de eventos 2 2 2 200 20 0c cece cece ccc eeecceeeeeee 128 Bot n Report from View 20 2200220ccee cece ccc cecceeeceeeceeeeeesseeseeees 128 Herramienta de b squeda de eventos 2 2 2 2 220 220ccecceecccecceeeceeeeeeees 130 Generador de vista personaliza 0 00000 c cece ccc cece cece ccc eeeceeeeceeeeeeees 131 Editar restricci n de vista 2 0 0 0 00 2 o cece eee cece ccc ec eee ceceeececeeececceeceeceees 132 Ficha Customize View 2 0 0 020 2 20 c cece cece cece eee eee e cence eeeeeeeeeeees 133 Muestra Vistas y vistas ra z nuevas 2 2 2 22 e cece eee cece eeeceeeseeeees 133 Personalizar la descripci n del explorador 2 20 22002200ceeceeeeeeeeeess 134 Configurar la codificaci n de colores 2 2 22 2 022 cece ccc eee eec cece ccecceeeeeees 134 Filtro de color avanzado 2 222 e eee ee eect e eect eee ee 135 Cuadro de di logo Switch database 200 20 220 c cece cece ccc c ccc eecceeceeeees 136 Estado de GFI EventsManager Vista general 00 000000 e cece ee cece eee eeee 138 Estado de GFI EventsManager
268. istros de eventos se pueden recopilar no bien se agrega el origen Sin embargo puede personalizar incluso m s la configuraci n de or genes de eventos para recuperar informaci n espec fica gt Configure las propiedades de or genes de eventos como las credenciales de inicio de sesi n el tipo de licencia y otras opciones Para obtener m s informaci n consulte Configurar pro piedades de or genes de eventos gt Configure los or genes de eventos para recopilar y procesar los registros de eventos de Win dows los mensajes de captura SNMP los registros de texto y mucho m s Para obtener m s informaci n consulte Recopilar registros de eventos GFI EventsManager 3 Obtenci n de resultados 64 7 Analice los registros de eventos recopilados y supervise la actividad y Despu s de recopilar los registros de eventos requeridos puede analizarlos en la aplicaci n Events Browser Events Browser es el explorador de eventos que le permite crear reglas personalizadas a partir de los registros recopilados Esto le permite activar alertas o acciones cuando se recopilan eventos del mismo tipo Cree reglas basadas en eventos recopilados Las reglas de procesamiento de eventos le per miten comprobar un registro de eventos y realizar acciones en funci n de los par metros que se configuraron en el Paso 3 Para obtener m s informaci n consulte Crear nuevas reglas a partir de eventos existentes Supervise la actividad de admin
269. it the collected logs m l E Add generic fields e g Field 00 Field 01 to Securty Events Captura de pantalla 69 Propiedades del grupo de equipos Configurar par metros de registros de eventos de Windows Para configurar par metros de recopilaci n y procesamiento de registros de eventos de Windows 1 En la ficha Configuration gt Event Sources haga clic con el bot n secundario en un origen de eventos y seleccione Properties GFI EventsManager 5 Recopilar registros de eventos 104 New Event Sources Group 33 General ogon Credentials Licensing type Operational Time Windows Evert Log Tee Logs Syslog _ SNMP Traps Montos idl Specify the Windows event logs to collect archive and process Specify the logs to collect 2 File Replication Events 13 Directory Services Events o Annlicatinne and Services nne i aa Captura de pantalla 70 Seleccionar registros de eventos que desea recopilar 2 Haga clic en la ficha Windows Event Log gt Add para seleccionar los registros que desea recopilar Expanda Windows Logs o Applications and Services Logs y seleccione una opci n de la lista de registros disponibles 3 Opcional Haga clic en Add custom log e ingrese un nombre nico para el registro de eventos que no figure en la lista GFI EventsManager 5 Recopilar registros de eventos 105 New Event Sources Group Ea _G
270. itar el registro de eventos de GFI LanGuard 0 0 2 2 2 20 cc eee 120 5 7 Recopilar eventos de GFI EndPointSecurity 2 0 2 00 00 0002 c cece ccc ecccccecceccecceceeeeeneees 124 6 Buscar eventos almacenados nenes 126 6 1 Desplazarse en el Explorador de eventos 202 0 0 ecco cece cece ec ceccecceccecceceesseseeeees 126 6 2 Usar el Explorador de eventos 02 2 02 2 c ccc ccc c cece ccc ccccccecececeneenceccetseeeeeseeseeseeees 127 6 2 1 Exportar eventos a CSV occ ccoo coo c cece cece ence cece ceceeeeeeseeeeeenees 127 6 2 2 Crear informes a partir de vistas 20 2 0 occ cece ccc cc ccc eccecceccececcceseessessesees 128 6 2 3 Eliminar eventos nn nn nn 129 6 2 4 Buscar eventos almacenados nro 130 6 2 5 Identificar reglas mediante la herramienta de b squeda de reglas 130 6 3 Administrar vistas en el Explorador de eventos 2 22 20 cece cece eccecceccecceeceeeeceees 130 6 3 1 Crear vistas ra z VISOS a lh lle eo did aa 131 6 372 Editar Una VISTA coto e dE 133 6 33 ElMINAF UNA VISta 2225045620528 nat nie acute tail sista abri haha sapito iio 134 6 4 Personalizar el dise o del Explorador de eventos oooococccccccccccccccnccnccnccnccnccnccncoos 134 6 4 1 Personalizar la posici n de descripci n oooococccocococococcccccococococncccnccocococono 134 6 4 2 Opciones de codificaci n de colores de eventos ooocococcccccccccococcccccccccococono 134 6 5 Buscar eventos desde diferentes bases
271. iten los siguientes valores SQL para usar autenticaci n de SQL Server WIN para usar autenticaci n de Windows Especifique un nombre de usuario que tenga acceso a la base de datos desde la que desea importar los datos nota Los par metros que contienen espacios deben escribirse entre comillas dobles Especifique la contrase a del nombre de usuario especificado en el par metro username 16 Herramientas de la l nea de comandos 330 Parametro Descripcion table lt tabla gt period tipo gt lt numero gt lt uni dad gt sourceEncPass lt contrasena gt anonpass1 lt contrasena anonpass2 lt contrasena gt Ejemplo Especifique el nombre de la tabla de destino Prota Los par metros que contienen espacios deben escribirse entre comillas dobles Le permite filtrar por fecha de evento para acceder a los eventos desde el ltimo d a semana mes o desde un dia semana mes anterior Por ejemplo para filtrar los eventos que ocurrieron en los Ultimos 24 dias el valor del parametro es 124d Para filtrar los eventos con mas de 3 semanas de antigiiedad el valor del parametro es O3W Se admiten los siguientes valores gt lt type gt o anterior a e ltimo ltima lt number gt especifica la cantidad de d as semanas meses gt lt unit gt e d d as w semanas m meses Opcional Si los datos de origen se encuentran cifrados escriba
272. izar autom ticamente los dominios con grupos de or genes de eventos Cuando se configura la sincronizaci n cada nuevo miembro del dominio se agrega autom ticamente a la lista de or genes de eventos de GFI EventsManager Para habilitar la sincronizaci n autom tica 1 Haga clic en la ficha Configuration gt Event Sources y en Group Type seleccione Event Sources Groups 2 Haga clic en All event sources y seleccione Edit synchronization options GFI EventsManager 4 Administrar or genes de eventos 70 Synchronization Properties ES Configure Synchronization options Configure synchronization between GFI EventsManager event sources and network domains Domain Domain v Group Default kd Source type Workstations ma Remove Selected Remove All Captura de pantalla 41 Ficha Synchronization properties General 3 Seleccione la ficha General y configure las opciones que se describen a continuacion Tabla 16 Ficha Synchronization properties General Opci n Descripci n Domain Group detectados Source type 4 Para incluir la sincronizaci n haga clic en Add 5 Repita los Pasos 3 a 4 para cada dominio que desee sincronizar GFI EventsManager Seleccione el nombre de dominio de la lista o ingrese un nombre de dominio v lido Seleccione el nombre del grupo de GFI EventsManager en el que desea agregar los or genes de eventos Seleccione el tipo de or genes
273. l Server Figura 3 La DMZ se encuentra entre la LAN interna e Internet Una DMZ es la red neutral que se sit a entre la red corporativa interna y el mundo exterior Internet La implementaci n de GFI EventsManager en una DMZ ayuda a automatizar la administraci n de los eventos generados por los sistemas de hardware y software DMZ tales como GFI EventsManager 2 Instalaci n de GFI EventsManager 29 Tabla 4 Beneficios de la instalaci n de GFI EventsManager en una DMZ Automatizaci n Descripci n de la DMZ Automatizar la administraci n de eventos del servidor web y de correo Automatizar la administraci n de eventos del servidor DNS Automatizar la administraci n de eventos de dispositivos de red GFI EventsManager Las redes DMZ normalmente se utilizan para ejecutar sistemas de hardware y software que tienen roles espec ficos de Internet como servidores HTTP servidores FTP y servidores de correo Por lo tanto se puede implementar GFI EventsManager para administrar autom ticamente los eventos generados por 2 Servidores web incluidos los registros web W3C generados por los servidores web Apache en plataformas web LAMP gt Servidores web basados en Windows incluidos los registros web W3C generados por los ser vidores Internet Information Services IIS de Microsoft Servidores de correo basados en Linux Unix y Windows incluidos los mensajes de los servicios de auditor a Syslog generados p
274. l proceso de hashing File Configure Help Status Configuration Events Browser Reporting General s Event Sources Event Processing Rules E Active Monitoring 4 Options Configurations Send us feedback W Open Quick Launch Console Help Default Classification Actions c Be Users and Groups File Storage E M Console Security and Audit Options 9 Alerting Options Hs Syslog Server Options Configure file storage A gt SNMP Traps Server Options Select this option to configure the storage where archived events are MY Perfomance Options E stored y 4 Database Operations a Configure hashing j Custom Event Logs E Select this option to enable record hashing or to check record hashes on a ho iz AutoUpdate Options specified database Common Tasks Captura de pantalla 200 Activar o desactivar hashing de registros 1 En la ficha Configuration gt Options gt Configurations haga clic en File Storage gt Configure hashing GFI EventsManager 14 Mantenimiento de base de datos 256 Use this dialog to enable disable record hashing or to check records hashes on a specific database Enable disable record hashing Enable record hasing When enabling record hashing each record will have a field named intemal hash containing the shal hash of all record data Note that enabling record hashing will increase CPU usage and reduce insert performance Check hashing Click t
275. l servicio 3 Mueva el deslizador de izquierda bajo a derecha alto hasta que alcance el nivel de rendimiento requerido 4 Haga clic en Apply y OK y Nota Se estima que definir el nivel de rendimiento en low procesa 50 eventos por segundo por origen de eventos mientras que definir la barra en high procesa de 1000 a 2000 eventos por segundo por origen de eventos 15 2 Actualizaciones del producto GFI publica actualizaciones del producto de forma peri dica para mejorar o agregar funcionalidades a GFI EventsManager Es importante descargar e instalar las actualizaciones del producto puesto que resuelven los problemas con tecnolog as subyacentes adem s de aumentar la compatibilidad con diferentes tecnolog as y dispositivos Cuando el host de GFI EventsManager est conectado a Internet se pueden descargar las actualizaciones de los productos directamente desde la Consola de administraci n Cuando el acceso a Internet es limitado o nulo se pueden descargar las actualizaciones del producto desde una GFI EventsManager 15 Configurar la Consola de administraci n 297 ubicaci n alternativa y a continuaci n se las puede colocar en el repositorio de actualizaciones de forma manual Consulte las siguientes secciones para obtener informaci n acerca de Descargar actualizaciones directamente Descargar actualizaciones desde una ubicaci n alternativa sin conexi n 15 2 1 Descargar actualizaciones directamente GFI E
276. l tiempo operativo de los or genes de eventos 2 2 2 22020022 80 4 4 5 Configurar la supervisi n de origenes de eventos 2 0 2 2 eee eceeeccecececececeeeees 81 4 4 6 Configurar par metros de procesamiento de eventos 2 2 2 2 2 0ceeeeeeeeee 83 4 5 Or genes de bases de datos ect carac dd caste eels ods eee peed la as ieee so ted 84 4 5 1 Or genes de Microsoft SQL Server 2222 0 occ cece cece ec cece cececececcecececececeeteeees 84 4 5 2 Origenes de Oracle Server ei baso 92 5 Recopilar registros de eventos 22 ccc eee cc ccc ec ccc cecceceeceeccesecneeteeteetetteeteeeseeses 103 5 1 Recopilar registros de eventos de Windows 2 2 2 0 2 ccc eccecceccecceccecceccecsesseeeees 103 5 2 Recopilar registros de texto 22 0 ccc ccc ccc ccecceceecenceececeecsenseeseeseeeeneeas 106 5 3 Recopilar Syslogs 2 2 2 0 occ ccc cece cecceccccccceccecceeseccceeeeeeeseesceteeneeteeteeteecseeeesees 109 5 3 1 Configurar puerto de comunicaciones del servidor Syslog ooo 112 5 4 Recopilar mensajes de capturas SNMP 20 oo cece nonoa oono naana aooo orraa ooon na 113 5 4 1 Configurar servidor de capturas SNMP 2 2 20 eee eee cece ec cecccccecceceeseesceees 116 5 5 Recopilar registros personalizados 20 2 00 cece ccc ccccccnccnceccceceeceeceesetseeseeseeneeees 117 5 6 Recopilar registros de eventos de GFI LanGuard 2 2 0 2 20 c cece cece cece cecceccecceceeeees 119 5 6 1 C mo habil
277. la 111 Configurar opciones de dise o del nuevo informe raiz 4 Haga clic en la ficha Layout y agregue los encabezados de columna que desea mostrar en el informe Si tiene una plantilla de informe guardada haga clic en Open location para buscar y cargar su plantilla Para obtener m s informaci n consulte Definir encabezados de columna GFI EventsManager 8 Generaci n de informes 159 General Layout Chat Schedule Options Other v Use graphical charts Place chart at Begining of Repot v Chart type Pie Y tb Xaxis date zi ST Y axis date X E Captura de pantalla 112 Insertar un gr fico en un nuevo informe ra z 5 Opcional Haga clic en la ficha Chart y seleccione Use graphical charts para incluir gr ficos en el informe 6 En el men desplegable Place chart at especifique la ubicaci n del gr fico Seleccione una de las siguientes opciones Beginning of Report para colocarlo al inicio del informe gt End of Report para colocarlo al final del informe 7 En Properties gt X axis y Y axis configure las propiedades de los ejes X e Y Es decir seleccione los datos representados en el gr fico 8 Seleccione Top 10 para ver los primeros 10 registros nicamente GFI EventsManager 8 Generaci n de informes 160 Inherit from Parent Y Use schedule Generation Time 11 00 11 la Recurance aten Day 1
278. la 37 Informaci n recopilada por GFI LanGuard 2 2 2 20 22 20 220cc2ccceeccecccecccececeeeeeceeeees 119 Tabla 38 Dispositivos compatibles con GFI EndPointSecurity 000 0 2200 0c cee eee eee eee eee 124 Tabla 39 Desplazarse en el Explorador de eventos 2 02 20 200 cc ccc cece cece cece cece cee eceeeceeeeeeeeeceeeaaes 127 Tabla 40 Explorador de eventos Crear nuevo informe 00 0 2 0 e cece eee cece cece cece e eee ee eee eeeeeeeees 129 Tabla 41 Explorador de eventos Crear una nueva Vista 0 0 0 ccc cece e eee e eee e cece ee eee eee eeeeeeeanes 131 Tabla 42 Descripci n de las posiciones del panel 22 2 2 ccc ccccecccecececececececececeeeceteseeceeeeseeees 134 Tabla 43 Supervisi n de estado Secciones de vista general 00 2 ccc ccc ccceceececceeceeceeceeceeceeneeeees 138 Tabla 44 Supervisi n de estado Vista de actividad de tareas 20 c ccc eceeccecceccececceeceeceeceeneeees 142 Tabla 45 Supervisi n de estado Vista de estad sticas 22 2 0 2 cece ececc cee eccecececceccecceeceeceeneeneeees 143 Tabla 46 Desplazarse por la ficha Reporting 2 2 220 ccc ec ccc cece cc eccccecccececccceeccceeececerecceeetneees 146 Tabla 47 Informes disponibles 2 0 0 0 ccc cecc ccc ecccccccececcccceceececcccccecececcccccceteeeccceeeeeeceeees 147 Tabla 48 Crear carpeta de informes Opciones de programaci n 2ccceceeecceececececcceeceeeeees 150 Tabla 49 Opci
279. la direcci n del servidor proxy y el puerto de escucha en los campos Address y Port 5 Opcional Si el servidor proxy requiere autenticaci n seleccione Enable Authentication y escriba las credenciales de inicio de sesi n del proxy 6 Haga clic en Apply y OK 15 2 2 Descargar actualizaciones desde una ubicaci n alternativa sin conexi n Para descargar actualizaciones del producto GFI EventsManager se conecta al servidor de actualizaciones de GFI Si el host de GFI EventsManager se encuentra en un entorno seguro y no est conectado a Internet se pueden descargar las actualizaciones desde una ubicaci n alternativa Desde un equipo con acceso a Internet descargue el paquete de actualizaciones y transfi ralo al host de GFI EventsManager Utilice CMD para iniciar de forma manual una sesi n de actualizaci n mediante la herramienta de actualizaci n provista en el directorio de instalaci n Necesitar un nombre de usuario y una contrase a para iniciar sesi n en el servidor de actualizaciones de GFI Para obtener sus credenciales de inicio de sesi n comun quese con uno de GFI EventsManager 15 Configurar la Consola de administraci n 299 nuestros representantes de soporte Para obtener mas informacion consulte Solicitar soporte t cnico O Nota Este procedimiento supone que el producto est instalado en la ubicaci n predeterminada C Program Files x86 GFIl EventsManager201 2 Para descargar las actualizaciones
280. la m quina de destino seg n se muestra en el explorador de eventos los dem s par metros tienen valores predefinidos de significado obvio que se indican a continuaci n Se admiten los siguientes valores log format windows auditor a de sql auditor a de oracle registros de texto mensajes syslog capturas SNMP supervision gt importancia e Sin clasificar Baja Media e Alta e Cr tica Ruido gt ocurred e Hoy e Ayer Ultimos 7 dias Ultimos 30 dias Este mes Mes pasado Ejemplo EsmDlibM exe exportToFile path C Exported sourceEncPass p ss markEventsAsDeleted importance High 16 2 6 importFromFile Esta funcion le permite importar datos de un archivo como parte DataFolder del proceso de centralizaci n de datos El archivo de importaci n se debe crear a partir de una tarea Export to File Se admiten los siguientes par metros GFI EventsManager 16 Herramientas de la l nea de comandos 328 Tabla 110 Par metros importFromFile Parametro Descripci n path lt ruta gt password lt contrase a gt log_ format lt valor gt ma chine lt valor gt importance lt valor gt oc cured lt valor gt Ejemplo Especifique la ruta de acceso donde se guarda el archivo de importaci n nota Los parametros que contienen espacios deben escribirse entre comillas dobles Opcional Si el archivo de importaci n esta protegido
281. last 7 Days v Mark events as deleted The exported copied events will be marked as deleted and will be hidden from the source database lt Back Next gt Cancel Captura de pantalla 222 Filtrar datos exportados 8 Configure las siguientes opciones de filtro y haga clic en Next Tabla 88 Filtrar datos de exportaci n Opci n Descripci n Export all Exporta todos los eventos de la base de datos events Events Solamente se exportan los eventos anteriores al n mero especificado de dias semanas meses older than Events in Solamente se exportan los eventos que ocurrieron en el ltimo n mero especificado de d a the last s semanas meses Mark Permite ocultar los eventos de la base de datos de origen despu s de exportarlos Para eliminar events as completamente estos eventos de la base de datos debe ejecutar una tarea de confirmar eliminaciones deleted Para obtener m s informaci n consulte Confirmar eliminaciones Advanced Haga clic en Advanced para iniciar el cuadro de di logo Advanced Filtering Le permite configurar par metros de filtro granulares para exportar nicamente eventos espec ficos Para obtener m s informaci n consulte Dise ar restricciones de consulta GFI EventsManager 14 Mantenimiento de base de datos 275 Completing the New Job Wizard Select when the job should be executed Y Scheduled job The job will be saved and executed according to th
282. le 00 000 ccc ccc cece cece ccc e cece eee nn cc nn cn nn cc coca nnnannncnnnns 329 Tabla 111 Par metros commitDeletedRecords oooccoccccccccccccnccnccoccnccnccnccnnccncnncnncnncnncnnccnccns 330 Tabla 112 Par metros exportTOSQL oooocccccccccccccccocccocccocccnncno nono nonn canon cnn cnn conan nnnnnannnes 330 Tabla 113 Par metros decryptDatabase ooocccocccccccccccccccocccnccconcconccnncnnncnn cnn nnnn cnn ncnnncnane 332 Tabla 114 Par metros encryptDatabase oooocccocccccccocccocccocccocccocccnncnn cano nn nn na non conan ncnnnannss 332 Tabla 115 Par metros displayAllDLib oooooocccococccccccccccccocccoccco coco cece cece ce eeeeeeaeeeaeeeeeeaeens 333 Tabla 116 copyMoveDLib 0 0 2 0 eee cnn 333 Tabla 117 Par metros de los informes de configuraci n 0 cc c ccc cece cece cee eeceeeeeeeeeeeeeees 334 Tabla 118 Par metros de informes de estado 2 2 0 0 eee ce cece e cece cece cece ence eee ceeceeeeeeeeeeeeeeneens 335 Tabla 119 Par metros de informes de eventos l a cece ccc cece cece cece aoaaa aaa anaona annaa annann en Tabla 120 CMD Par metros de ImportSettings exe 2 2 2 2 cece cece cc cccccccceccceccceecceeccecceeeceeeceeeees Tabla 121 CMD Par metros ExportSettings exe 220 220 occ cece cece ccccececcceccceeccecececcceccceecseteeetenees 1 Introduccion El considerable volumen de registros de eventos del sistema generado por dia es de creciente importanc
283. lla 128 Muestra de informe de descripci n general de actividad GFI EventsManager 8 Generaci n de informes 173 8 7 Analizar informes A 2 GFI EventsManager Lo fas File Configure Help Status Configuration Events Browser Reporting General ci e Send us feedback W Open Quick Launch Console Help B Account Usage a fas Successful Logons Group i Saeed bara Cha Successful Logons Grouped By Users Apio The report is based on event 528 4624 Vista Longhorn successful logon and event 540 4636 Vista Longhorn Logoff Events successful network logon The report shows all successful logons enabling you to monitor the users successfully Y Account Lockouts accessing the computers using various logon types and atthe same time achieve compliancy with the legal acts 1 11 Successful Logon Count 1 11 Failed Logon Count on ez Generated Reports Generate Report Show HTMLs Clear All Top 10 Accounts which H Accounts which Failed tol Name Size Creation Date File Ic 6 Account Logons 20111205 203404 html 24546 bytes 05 12 2011 20 34 10 CAPr H Account Management H E Policy Changes H Object Access 5 Application Management al T gt H Print Server H Events Trend e O AA MM il Ml 4 m r itr Repons GFI EventsManager Event log monitoring management and archiving Reset filter Has Chart Ha Successful Logons Grouped By Users
284. log Alerts SNMP Traps Alerts SQL Server Audit Alerts Oracle Server Audit Alerts successfully receive the message For both computers and users the messenger service must be enabled and started Captura de pantalla 167 Configurar opciones de red Para configurar alertas a trav s de la red 1 En el cuadro de dialogo Alerting options haga clic en la ficha Network 2 En el menu desplegable Format network message seleccione el tipo de registro y personalice el formato del mensaje ll Save aa Inserttag Close rule name importance monitored machine event id Captura de pantalla 168 Configurar alertas a trav s de la red Dar formato a mensaje 3 Haga clic en Insert tag para seleccionar de una lista de etiquetas para incluir en el mensaje 4 Haga clic en Save y en OK GFI EventsManager 11 Alertas y acciones predeterminadas 221 11 2 3 Alertas por SMS Alerting Options Emai__ Network SMS SNMP_ General Select SMS a Specify settings for available SMS systems through which SMS S alerts will be sent In built GSM SMS Server Set properties for the selected SMS system Property COM Port Baud Rate initialisation String Service Center Nu Value 123 1 115200 ATF Optional settings Edit Format SMS message Y ok J cancel ap Captura de pantalla 169 Configurar opciones de SMS
285. lp All rules Windows Events Security Monitori This processing rules group is based on Microsoft Security Monitoring and Attack lala gt 3 53 Monitoring and attack detection Detection Planning Guide Y Kerberos events Windows 2000 ae a eerie ice o 133 Kerberos events Windows 2003 Take ownership attempts based on ob 1 High import Use the defauli 3 Windows Filtering Platform events 2 Users using the take ownership privile 2 Medium imp Use the default 1 08 System Health a Change password attempts 3 High import Use the defaul a y User account fp Disable bit Use the defaut Common Tasks 2 Changes to d prt Use the default User acco X Delete Del po Use the default oo User account Find rule Ctrl F fp Use the default eate cew rile 9 User acco prt Use the defauh Find rule E User account _ Increase priority Ctrl Up mp Use the default Open Quick Launch Console Security Enah Y Decrease priority Ctrl Down mp Use the defauli 9 Security enab E prt Use the defau Security enak Ey SS mp Use the defaull Security enabled aroup type changes 13 Medium imp Use the defaut Actions 7 mi Edit calactad faldar 78 rule s 2 En el panel derecho haga clic con el bot n secundario en una regla y seleccione Increase priority o Decrease priority para aumentar o reducir la priorida
286. m s informaci n consulte Recopilar registros personalizados GFI EventsManager 9 Reglas de procesamiento de eventos 192 Event equal 10000 and log name is Application Properties x General Event Logs Conditions Actions Threshold El Configure the filtering conditions AND Not 15 TIE i f event id 10000 Edit Delete t OK Cancel Apy Captura de pantalla 143 Nueva regla a partir de un evento Agregar condiciones 7 Haga clic en la ficha Conditions Haga clic en Add para seleccionar un campo en el que desea basar la condici n de consulta Para el campo seleccionado especifique Field Operator y Field Value Haga clic en OK para aceptar O Nota Repita este paso hasta seleccionar todos los campos obligatorios Para obtener m s informaci n consulte Dise ar restricciones de consulta 8 Haga clic en la ficha Actions y seleccione la acci n que se debe realizar cuando se active la regla Las opciones disponibles se describen a continuaci n Tabla 67 Acciones disponibles de reglas de procesamiento de eventos Ignore the event Ignora el evento hasta que se genera una nueva instancia del evento Use the default cla Se usan las acciones configuradas en Default Classification Actions Para obtener m s ssification actions informaci n consulte Configurar acciones de clasificaci n predeterminadas Use the following En el men desplegabl
287. m older version of the product Data can be imported from SQL Server database legacy files or legacy file storage Captura de pantalla 245 Crear tareas de importaci n exportaci n 4 Seleccione Legacy Import Job y haga clic en Next Legacy Import Import data from older version of the product Please select the type of action that this job should perform Import from SQL Server database Imports data from a SQL Server database created with an older version of the product Import from legacy files Import data from files created with an older version of the product Import from legacy file storage Imports data from an older file storage Captura de pantalla 246 Importar datos desde almacenamiento de archivos heredados 5 Seleccione Import from legacy file storage y haga clic en Next 6 Especifique la ruta donde se ubica el archivo de importaci n O bien haga clic en Browse y busque la ubicaci n GFI EventsManager 14 Mantenimiento de base de datos 291 7 Opcional Si los datos estan anonimizados seleccione Enable decryption y especifique la contrase a que se us para cifrar los datos 8 Opcional Si los datos est n cifrados con dos contrase as seleccione Use secondary decryption y escriba la contrase a secundaria Haga clic en Siguiente 9 Opcional Especifique las condiciones de filtrado para filtrar los datos no deseados D jelo en blanco para exportar todos los datos en la base de da
288. mente se genera un evento despu s de ejecutar 10 veces la comprobaci n de forma correcta incorrecta ambas situaciones When the check switch Genera un registro de eventos cuando el control cambia del estado Fail a Succeed o vice state generate an audit versa event from this machi ne device Failed severity Seleccione el nivel de gravedad que GFI EventsManager asigna al registro de eventos de una comprobaci n fallida del sistema Success severity Seleccione el nivel de gravedad que GFI EventsManager asigna al registro de eventos de una comprobaci n del sistema exitosa 11 Haga clic en Finish para finalizar 10 5 Aplicar comprobaciones de supervisi n activa La supervisi n activa se puede aplicar a or genes de eventos individuales o grupos de or genes de eventos Los or genes de eventos se pueden seleccionar a nivel de comprobaci n por comprobaci n o a nivel de la carpeta ra z Configurar los par metros a nivel de la carpeta permite que las comprobaciones relativas hereden la misma configuraci n de or genes de eventos Para asignar una comprobaci n de supervisi n preconfigurada 1 Acceda a Configuration gt Active Monitoring 2 Haga clic con el bot n secundario en la supervisi n activa carpeta que desea asignar a sus or genes de eventos y seleccione Properties g Disk space H General Custom properties Target computers Schedule Action events hd Target computers Inhe
289. mente se pueden descifrar proporcionando dos claves de descifrado 4 Haga clic en Apply y OK O Nota Una vez que est activada la anonimizaci n los datos personales se ocultan en gt Cualquiera de las vistas de estado General Job Activity y Statistics Explorador de eventos Informes Registros de eventos exportados archivados usted puede quitar la anonimizaci n al importar los registros exportados GFI EventsManager 13 Opciones de auditor a y seguridad de la consola 247 13 3 Auditar actividad de la consola GFI EventsManager puede guardar la actividad de la consola en registros externos Para configurar la auditor a de actividad de la consola 2 GFI EventsManager cie File Configure Help Status Configuration Events Browser Reporting General s Event Sources Event Processing Rules E Active Monitoring 2 Options Configurations 14 Send us feedback W Open Quick Launch Console Help Default Classification Actions 61 Users and Groups Audit Options Console Security and Audit Options i Security Options 2 Anonymization Options 0 Edit audit options Here you can configure whether you wish to audit all the actions done by a m E Auto discovery Credentials user You can also specify the path of the output log lig Syslog Server Options gt SNMP Traps Server Options Performance Options j Database Operations Ig Custom Event Logs ce i G
290. mes requeridos por varios c digos de conexi n GCSx 8 Generaci n de informes 147 LOGbinder SP reports Utilice los informes de esta categoria para generar informes relacionados con los eventos de auditoria de Microsoft SharePoint GFI EventsManager 8 Generaci n de informes 148 8 3 Administrar informes Los informes estan organizados en una estructura de arbol que le permite encontrar y generar el informe requerido f cilmente GFI EventsManager incluye varias opciones que le permiten mantener f cilmente la estructura de los informes a medida que aumenta el n mero de informes con el tiempo Esta secci n contiene informaci n acerca de gt gt gt gt gt Crear una carpeta ra z Crear una carpeta Crear un informe raiz Crear informes personalizados Definir encabezados de columna 8 3 1 Crear una carpeta ra z Las carpetas ra z son las carpetas de nivel superior que pueden contener una o m s subcarpetas o informes Para crear una carpeta ra z 1 En la ficha Reporting gt Common Tasks haga clic en Create Root Folder GFI EventsManager 8 Generaci n de informes 149 Create Folder General Schedule Create new Folder to group and better organize Reports for p collected events Inherit from Parent Use schedule Generation Time 20 29 45 Recurrance pattem Weekly Recurevery 1 week s on Sunday V Monday Sunday T
291. miento de GFI EventsManager de forma negativa Por ejemplo si sus or genes de eventos normalmente generan una gran cantidad de registros de eventos de tama o peque o permita la rotaci n de la base de datos cuando se alcance un n mero m ximo de registros Por otro lado si sus or genes de eventos generan registros de eventos de gran tama o configure la rotaci n de la base de datos cuando esta alcance el l mite de tama o Para configurar opciones de rotaci n de la base de datos 1 Haga clic en la ficha Configuration gt Options 2 En Configurations haga clic en File storage gt Configure file storage Configure file storage mm General Rotation 2 jJ Specify the rotation settings Y Enable database rotation Rotate options Y Rotate when database reaches 1000000 records Y Rotate when database reaches 1 GB Y Rotate when database is 1 weeks old Y Rotate database on 1st of each 1 months Number of databases to create leave Oforno limit 0 Y Delete databases as needed Check and rotate database Each day every 24hrs from the service starting time Only after database maintenance is performed Captura de pantalla 204 Configurar opciones de rotaci n de bases de datos 3 Haga clic en Enable database rotation 4 Configure las opciones que se describen a continuaci n GFI EventsManager 14 Mantenimiento de base de datos 260 Tabla 80 Opciones de rotaci n de base d
292. n PCI DSS El Est ndar de seguridad de datos DSS de la Industria de tarjetas de pago PCI es una norma que define una lista de requisitos relacionados con la administraci n de la seguridad las pol ticas la arquitectura de la red y otras medidas que ayudan a proteger la cuenta de un cliente y los datos de las tarjetas de cr dito El pleno cumplimiento con PCI DSS requiere una administraci n completa de los registros de eventos junto con informes exhaustivos por lo tanto GFI EventsManager es una soluci n esencial para contribuir con su programa de cumplimiento de PCI Para obtener m s informaci n acerca de c mo cumplir con PCI DSS use los siguientes v nculos Documento sobre el cumplimiento de PCI DSS y productos de GFI Software Consulte los documentos de GFI sobre el cumplimiento de PCI DSS http go gfi com pageid EM_PCIDSS 3 Obtenci n de resultados 67 C mo GFI EventsManager puede contribuir al cumplimiento con PCI DSS Supervisa regularmente las actividades de administraci n de eventos Para obtener m s GO informaci n consulte Supervisar actividades gt Aplica reglas de procesamiento de eventos seg n la lista de requisitos de PCI DSS Para obtener m s informaci n consulte Reglas de procesamiento de eventos gt Genera informes a intervalos regulares para supervisar los eventos Para obtener m s informaci n consulte Informes GFI EventsManager 3 Obtenci n de resultados 68 4 Administrar
293. n Start gt Run y escriba regedit Presione la tecla Enter GFI EventsManager 5 Recopilar registros de eventos 120 BY Registry Editor oE sz File Edit View Favorites Help a J HKEY_LOCAL_MACHINE 2 Name Type Data dl BcDo0000000 28 Default REG_SZ value not set lt oma ab DataDir REG_SZ C ProgramData GFI LANguard 10 Je SECURITY tro Debug REG_DWORD 0x00000000 0 a J SOFTWARE JB AT Technologies 2b LibraryPath REG_SZ C Program Files GFI LANguard 10 Agent Library J Classes ab LogDir REG_SZ C ProgramData GFI LANguard 10 DebugLogs B Clients ab RepositoryDir REG_SZ C ProgramData GFI LANguard 10 Repository 4 p GFI 5 R J Backup k Edit DWORD 32 bit Value Sa dl Value name Lo AttendantPlugins Lo Config y LNSSComm Value data Base de Plugin Hexadecimal y 1 e E Decimal Computer HKEY_LOCAL_MACHINE SOFTWARE GFI LNSS10 Config Captura de pantalla 84 Habilitar el inicio de sesi n de GFI LanGuard a trav s del registro de Windows 3 Vaya a la siguiente clave del registro y editar el valor para habilitar el registro de eventos Plataformas Windows x86 HKEY LOCAL MACHINE SOFTWARE GFI LNSS n Config Defina el valor de REG_DWORD EventLog en 1 Plataformas Windows x64 HKEY LOCAL MACHINE SOFTWARE Wow6432Node GFI LNSS n Config Defina el valor de REG_DWORD EventLog en 1 de Importan
294. n la ficha Member Of y haga clic en Add Seleccione los grupos de notificaci n a los que pertenece el usuario y haga clic en OK GFI EventsManager 12 Grupos de usuarios 236 Specify whether this user has full privileges or read only privileges This user has full privileges This user has read only privileges D A user with full privileges can modify all the EventsManager Captura de pantalla 183 Crear un nuevo usuario Privilegios 7 Haga clic en la ficha Privileges para configurar los privilegios del usuario De forma predeterminada las nuevas cuentas de usuario solamente tienen privilegios de lectura GFI EventsManager 12 Grupos de usuarios 237 y New User x General Working Hours Alerts Member OF Privileges Filter ify filter privileges Beeston Event Sources E m amp Event Sources a S m amp Computer Group Default z amp localhost Ms Servers V Workstations YE Laptops y M Be irfractnictura Carare Total privileges ab monitored machine localhost OR ab m onitored machine 192 168 3 24 OR ab monitored machine 192 168 3 23 OR ab m onitored machine 192 168 3 13 Captura de pantalla 184 Opciones de filtrado de usuarios 8 Haga clic en la ficha Filter para configurar lo que se le permite mostrar al nuevo usuario en la consola de administraci n En la siguiente tabla se describen las opciones disponibl
295. n los regis tros que superan el l mite 14 Haga clic en Apply y OK GFI EventsManager 8 Generaci n de informes 163 8 6 Generar informes GFI EventsManager le permite generar una serie de informes diferentes que contienen informaci n sobre los par metros de configuraci n la actividad de la red y la actividad de GFI EventsManager Esta secci n contiene informaci n acerca de Generar un informe Generar informes de resumen diario Generar informes de configuraci n Generar informes de reglas Generar informes del historial operativo Generar informes de descripci n general de actividad 8 6 1 Generar un informe Para generar un informe 1 En la ficha Reporting gt Reports haga clic con el bot n secundario en un informe y seleccione Generate Report File Configure Help Status Configuration Events Browser Reporting General hem S Send us feedback W Open Quick Launch Console Help a count Usage a e O Successful Logons Grouped By Usem Ga icin ee O Successful Logons Grouped By Con gt Generate Report For Configured Interval F5 OY Failed Logons EY Logoff Events T Create Report For Today lt ful E Y Account Lockouts x Edd For Yesterday ing o a a sl Faled Logon Court on each Comp Forbast7 Days ara Top 10 Accounts which Failed to Ld Rename F2 For This Month 3 E Accounts which Failed to
296. nado o hacer clic en Next Completing the GFI EventsManager 2012 Troubleshooter Wizard The file shown below is a ZIP archive containing all the files that where gathered by this Wizard EaProgram Files GFI EventsManager2012 2012_04_12_202 Select Go to GFI Support for instructions on how to contact the GFI support department F the resulting ZIP archive is larger than 4 MB please select FTP Upload Instructions for instructions on how to upload this file to our FTP site Go to GFI Support Captura de pantalla 298 Finalizar el proceso de resoluci n de problemas 12 En esta etapa el solucionador de problemas crea un paquete con la informaci n recopilada en los pasos anteriores A continuaci n se debe enviar el paquete a nuestro equipo de soporte para que pueda analizar y resolver el problema Seleccione una de las siguientes opciones GFI EventsManager 18 Soluci n de problemas 358 FTP Upload Instructions permite abrir un art culo para brindarle instrucciones acerca de c mo cargar el paquete del solucionador de problemas a nuestro servidor FTP Open Containing Folder permite abrir la carpeta que contiene el paquete generado por el solu cionador de problemas de modo que pueda enviarlo por correo electr nico Go to GFI Support permite abrir la p gina de soporte del sitio web de GFI 13 Haga clic en Finish para finalizar GFI EventsManager 18 Soluci n de problemas 359
297. nager 15 Configurar la Consola de administraci n 303 Administrator C Windows System32 cmd exe Om 2 nee Microsoft Windows Version 6 1 76661 A Copyright lt c gt 2669 Microsoft Corporation All rights reserved C Windows system32 gt CD C Program Files GFI EventsManager2 12 C Program Files GFI EventsManager2612 gt Captura de pantalla 259 Cambiar ruta de acceso al directorio de instalaci n de GFI EventsManager Nota La ruta de acceso cambia seg n el directorio que especifique Administrator C Windows System32 cmd exe E Microsoft Windows Version 6 1 76001 Copyright lt c gt 2669 Microsoft Corporation All rights reserved C Windows system32 gt CD C Program Files GFI EventsManager2 12 C Program Files GFI EventsManager2612 gt updater exe InstallNow Captura de pantalla 260 Iniciar manualmente una sesi n de actualizaci n 6 Escriba updater exe InstallNow Presione la tecla Enter GFI EventsManager 15 Configurar la Consola de administraci n 304 Para asegurarse de que se hayan instalado todas las actualizaciones ejecute updater exe InstallNow hasta que aparezca un mensaje que indique que se encontraron 0 actualizaciones faltantes EX Administrator CA Windows System321cmd exe Co E m s Microsoft Windows Version 6 1 7600 A Copyright lt c gt 2669 Microsoft Corporation All rights reserved C Windows system32 gt CD C Program Files GFI EventsM
298. nes que se describen a continuacion Tabla 61 Opciones para agregar definiciones de columna Field Name Especifique un nombre para el nuevo campo GFI EventsManager 8 Generaci n de informes 175 Fixed Seleccione Fixed Value si el valor del nuevo campo sera fijo Especifique un valor como un nombre de Value campo Por ejemplo para verificar que siempre se generen los eventos despu s de las 5 p m especifique 5 como valor fijo en lugar de definir un campo de hora y asignar un valor de 5 Special Las columnas especiales son columnas predefinidas que se pueden utilizar en su condici n Column Edit res Esta secci n le permite agregar editar o eliminar las restricciones de los campos trictions 6 Haga clic en Apply y OK 8 8 1 Generar informes de eventos de distintas bases de datos Para los informes GFI EventsManager le permite cambiar entre diferentes bases de datos Utilice esta funci n para informar sobre los eventos que se exportaron archivaron para su posterior an lisis o que se almacenaron en diferentes bases de datos Para cambiar de base de datos 1 En la ficha Reports gt Common Tasks haga clic en Switch database Switch DLib Database xa General Select the database containing the events you wish to be is displayed into the events browser Database Path F esmstg C Program Files GFI EventsManager2012 data FileSt 1 DB2 C Program Files GFI EventsManager2012 data FileS J Archive C Prog
299. nicio de sesi n predefinidas Para obtener m s informaci n consulte Configurar credenciales de inicio de sesi n de or genes de eventos GFI EventsManager 2 Instalaci n de GFI EventsManager 61 v Nota Si la sincronizaci n no est activada puede usar Network Discovery Wizard para buscar y agregar or genes de eventos de forma autom tica Para iniciar el asistente Network Discovery Wizard haga clic con el bot n secundario en All event sources en el rbol de origenes de eventos y seleccione Scan local domain Para obtener m s informaci n consulte Agregar or genes de eventos autom ticamente Nota Para verificar que los registros se procesen correctamente vaya a la ficha Status gt Job Activity y compruebe que haya registros de actividad en la secci n Operational History GFI EventsManager 2 Instalaci n de GFI EventsManager 62 3 Obtenci n de resultados En este capitulo se brinda informaci n acerca de c mo usar GFI EventsManager para lograr resultados La informacion provista lo ayuda a llevar a cabo investigaciones forenses positivas y supervisiones del sistema Tambi n le permite alcanzar resultados positivos de cumplimiento legal al tiempo que garantiza la seguridad de la red en todo momento Temas de este capitulo 3 1 Lograr la seguridad de la red 2 02 00 ccc cece ee eee cece cece cece ee eeeeeececeveeeseeeeeeeeees 63 3 2 Supervisar eficientemente el estado del sistema 22 22 22 e oo eee
300. nitoring Options Configurations Send us feedback W Open Quick Launch Console Help Default Classification Actions id Users and Groups Performance Options 44g Console Security and Audit Options 2 Alerting Options i Syslog Server Options E Edit Performance options SNMP Traps Server Options Here you can configure the GFI EventsManager service performance IM J File Storage i Database Operations l Custom Event Logs Q AutoUpdate Options m Common Tasks Captura de pantalla 252 Opciones de rendimiento deGFI EventsManager GFI EventsManager 15 Configurar la Consola de administraci n 296 1 En la ficha Configuration gt Options gt Configurations haga clic con el boton secundario en Performance Options y seleccione Edit Performance Options Fat Performance Options E xs General E GFI EventsManager service performance Enable and configure GF EventsManager service performance level v Enable EventsManager service performance Low Medium High i Changing the performance level reduces CPU load but affect GFI EventsManger log events processing speed Low Performance 50 events second for each event source High Performance 1000 2000 events second for each event source Captura de pantalla 253 Cuadro de di logo Performance Options 2 Marque o desmarque Enable EventsManager service performance para activar o desactivar las opciones de rendimiento de
301. ntials used by the EventsManager Service Stage 3 Select network computers Selected computers will be added as event sources Finish Captura de pantalla 35 Asistente de detecci n autom tica 2 Haga clic en Next en la pantalla de bienvenida del asistente Configure event sources Select the type of machines to include while scanning Select the type of event sources from which events will be collected Workstations Generic Servers Domain Controllers Exchange Servers ISA Servers E EE Captura de pantalla 36 Seleccionar los tipos de or genes de eventos que desea detectar en la red 3 Seleccione el tipo de or genes de eventos que el asistente intentar detectar en la red Haga clic en Siguiente GFI EventsManager 2 Instalaci n de GFI EventsManager 58 Fs gt Network Discovery Select network computers A rn Select the computers to monitor Computer Domain License Type Information 2 E Ml w7_07 WORKGROUP Error Wrong credentials or E IM wIN2K3B WORKGROUP Error Wrong credentials or E fll wIN2K3S WORKGROUP Error Wrong credentials or pi WIN7 08 WORKGROUP Error Wrong credentials or pM WIN8 01 WORKGROUP Error Wrong credentials or E pill wINXPW WORKGR Alternative Credentials 4 Please enter some altemative credentials to connect to this computer G License status 1024 Co 1023 free licenses Usemame
302. nto despu s de ejecutar 10 veces la comprobaci n de forma correcta incorrecta ambas situaciones When the check switch Genera un registro de eventos cuando el control cambia del estado Fail a Succeed o vice state generate an audit versa event from this machi ne device Failed severity Seleccione el nivel de gravedad que GFI EventsManager asigna al registro de eventos de una comprobaci n fallida del sistema Success severity Seleccione el nivel de gravedad que GFI EventsManager asigna al registro de eventos de una comprobaci n del sistema exitosa 6 Haga clic en OK para aceptar 10 3 Agregar subcarpetas a una carpeta ra z Las subcarpetas se usan para subdividir un grupo de comprobaciones de supervisi n que comparten algunas caracter sticas comunes pero pueden por ejemplo destinarse a diferentes tipos de or genes de eventos Para agregar una subcarpeta nueva 1 En Configuration gt Active Monitoring gt Monitoring checks haga clic con el bot n secundario en una carpeta raiz subcarpeta y seleccione Create new folder g Folder properties l General Target computers Schedule Action events Monitoring checks folder Name New Root Folder Description This root folder contains different monitoring checks pertaining to production workstations Captura de pantalla 150 Ficha Folder properties General GFI EventsManager 10 Supervisi n activa 202 2 En la ficha General escrib
303. ntos Monitoring Permite habilitar la supervision activa de GFI EventsManager en los equipos de destino y configurar las auditor as que se desean realizar Las comprobaciones de supervisi n permiten a los administradores identificar problemas del sistema en las primeras etapas para evitar tiempos de inactividad Para obtener m s informaci n consulte Configurar supervisi n de los or genes de eventos Windows Permite especificar los registros que se desean recopilar y configurar los par metros de almacenamiento Event Log de los registros de eventos de Windows Para obtener m s informaci n consulte Recopilar eventos de Windows o ee GFI EventsManager 4 Administrar origenes de eventos 74 Nombre de Description la ficha Text Logs Permite especificar los registros que se desean recopilar y configurar los par metros de los registros de W3C HTTP CSV Esta ficha solamente est disponible cuando se crea un grupo de servidores Para obtener m s informaci n consulte Recopilar registros de texto Syslog Permite especificar los registros que se desean recopilar y configurar los par metros de almacenamiento para Syslogs Esta ficha solamente est disponible cuando se crea un grupo de servidores Para obtener m s informaci n consulte Recopilar Syslogs SNMP Traps Permite especificar los registros que se desean recopilar y configurar los par metros de almacenamiento de capturas SNMP Esta ficha solamente est disponible cuando se
304. nts in Solamente se exportan los eventos que ocurrieron en el ltimo n mero especificado de d a the last s semanas meses Mark Permite ocultar los eventos de la base de datos de origen despu s de exportarlos Para eliminar events as completamente estos eventos de la base de datos debe ejecutar una tarea de confirmar eliminaciones deleted Para obtener m s informaci n consulte Confirmar eliminaciones Advanced Haga clic en Advanced para iniciar el cuadro de di logo Advanced Filtering Le permite configurar par metros de filtro granulares para exportar nicamente eventos espec ficos Para obtener m s informaci n consulte Dise ar restricciones de consulta 10 Seleccione cu ndo se ejecuta la tarea y haga clic en Finish Tabla 91 Crear tareas de mantenimiento Opciones de programaci n Schedule job La tarea se guardar y se ejecutar de acuerdo con la programaci n de operaciones de la base de datos Run the job La tarea se ejecuta inmediatamente Las tareas no programadas solamente se ejecutan una vez y no now pueden ser reutilizadas 14 2 5 Confirmar eliminaciones Para crear tareas de confirmaci n de eliminaci n GFI EventsManager 14 Mantenimiento de base de datos 279 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations haga clic con el bot n secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asis
305. nueva base de datos cada 24 horas Se calculan 24 horas desde el momento en que se inicia el servicio de GFI EventsManager Se crea y usa una nueva base de datos despu s de que una base de datos existente lleve a cabo operaciones de mantenimiento 5 Haga clic en Apply y OK 14 1 6 Configurar operaciones de base de datos Para configurar operaciones de base de datos 1 Haga clic en la ficha Configuration gt Options 2 En Configurations haga clic con el bot n secundario en Database Operations y seleccione Properties GFI EventsManager 14 Mantenimiento de base de datos 261 Database Operations Options xa Schedule A Please set the schedule options Mark the intervals when maintenance options can be executed laai 00h O3h 06h OSh 12h 15h 18h 21h 24h mn as a i i i i E me ee ee a ie i i i i ie ie i i i ee ee a eee a EERE Specify the time when the maintenance options should be executed merai Start datetime 06 09 2010 Mv 20 01 00 Captura de pantalla 205 Cuadro de didlogo Database Operations Options 3 Configure las opciones en las fichas que se describen a continuacion Tabla 81 Configurar operaciones de base de datos General Especifique el identificador nico por el cual esta instancia de GFI EventsManager se identificar en la red Este identificador se utiliza como parte del nombre de archivo de exportaci n durante las operaciones de exportaci n de
306. o creadas File Configure Help Status Configuration Events Browser Reporting General s Event Sources Event Processing Rules E Active Monitoring 4 Options Configurations a Send us feedback W Open Quick Launch Console Help Default Classification Actions 4 Users and Groups w Database Operations 4 Console Security and Audit Options m i ions Here you can define maintenance jobs to import export data from Events Manager storage and to Alerting Option a Syslog Server Options importfrom SQL Server or legacy export files legacy file storage The maintenance jobs will be g executed sequentially in the priority order SNMP Traps Server Options E Performance Options ID Job description Date Range Filter gt Ej 2107F99C Import files from folder C Users John Smith Desktop Export all E D per y P fig 48047456 Export to file in C Users John Smith Desktop Export all AutoUpdate Options ay 17B8F2CC Copy data from C Program Files GFI Database Server 2 0 Export all R 6168C5E5 Delete events from C Program Files GFI Database Server Export all Common Tasks s u s 4 maintenance job s Captura de pantalla 249 Ver las tareas de mantenimiento programadas 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations seleccione el nodo Database Operations Las tareas de mantenimiento programadas se muestran en el panel derecho 14 3 2 Editar propied
307. o dias 9 Opcional Seleccione Send an email to the para enviar una notificaci n por correo electr nico cuando se cambian los or genes de eventos despu s de la sincronizaci n 10 Opcional Haga clic en Synchronize now para sincronizar los or genes de eventos inmediatamente 11 Haga clic en Apply y OK v Nota No se pueden agregar or genes de eventos manualmente a un grupo sincronizado en GFI EventsManager 4 3 Crear un nuevo grupo de origenes de eventos El agrupamiento de origenes de eventos en grupos de origenes de eventos mejora la velocidad a la que se configuran los origenes de eventos Una vez que se haya configurado un grupo de origenes de eventos todos los miembros de ese grupo heredan la misma configuraci n Para crear un nuevo grupo de origenes de eventos 1 Haga clic en la ficha Configuration gt Event Sources y en Group Type seleccione Event Sources Groups 2 Haga clic con el boton secundario en All event sources y seleccione Create group GFI EventsManager 4 Administrar or genes de eventos 73 3 Seleccione el tipo de licencia Elija una licencia Complete o Active Monitoring Para obtener mas informacion consulte Configurar tipo de licencia de los origenes de eventos New Event Sources Group x Windows Event Log Text ae Syslog SNMP Traps Monitoring General Logon Credentials Licensingtype Operational Time A M Enter a group name and description for the computers you
308. o que desea eliminar y seleccione Delete O Nota Antes de eliminar tareas de mantenimiento aseg rese de que todos los datos tengan una copia de seguridad GFI EventsManager 14 Mantenimiento de base de datos 295 15 Configurar la Consola de administracion En este capitulo se proporciona informaci n sobre c mo configurar los par metros generales de GFI EventsManager como las licencias del producto las opciones de rendimiento y las actualizaciones del producto Temas de este cap tulo 15 1 Opciones de rendimiento 2 0 eee cece cee cece cece cece cece ccnnnnnnnnncoss 296 15 2 Actualizaciones del producto 2 e occ cece cece cece cece eeceeeeeeeeeceeeeeeeeeeeres 297 15 3 Licencias del producto 20 0 0 cece cece cece eee eeeeeeeeeeeeeeeeereeeeeeees 305 15 4 Informaci n de versi n del producto 2 2 2 20 22 cece cece cece cece cnc ceeccceceeecececeeceeeseeeees 307 15 5 Importar y exportar configuraciones 0 000000000 00000000000 e cece cece cece cece ceeeeeeeeeeceeeeeeees 308 15 6 Dise ar restricciones de consulta 314 15 1 Opciones de rendimiento GFI EventsManager le proporciona opciones que le permiten definir el nivel de rendimiento del servicio de GFI EventsManager Para configurar el nivel de rendimiento 5 2 GFI EventsManager kobakas File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules I Active Mo
309. ob y haga clic en Next Import Export Job Type Select the job type Please select the type of action that this job should perform Import from file Import data as part of the data centralization process The file to import from needs to be created by the Export to file job Export to file Export data from this instance to files in order to import them at another location as part of the data centralization process You can also burn the exported files for safekeeping Export to SQL Export data from this instance to SQL 9 Copy data Copy data to another storage Commit deletions Physically delete events that are marked as deleted Captura de pantalla 225 Seleccionar tarea de copia de datos 5 Seleccione Copy data y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 277 Copy data Copy data to from a database to another database Please select from which database to copy data Main database EventsManager main database will be used C Other database Please select the destination database C Main database EventsManager main database will be used 9 Other database Path C EventsManagerDB Name Database 2 Captura de pantalla 226 Especificar bases de datos de origen y destino 6 Seleccione las bases de datos de origen y destino Haga clic en Siguiente Decrypt Encrypt Source data decryption and destination data encryption Source database esmstg is n
310. ola de administraci n 314 Advanced Filtering Advanced filtering Specify filtering conditions New Processing Rule Wizard Conditions Configure the filtering conditions for the events Report Properties General Layout Chart Schedule Options Other AND Configure the general properties for this report Name New Report Query oo Pr EE E ab log name Test AND Bu date Occured Last 7 Days aad Eat Date Gear tl Lox Cancel _ Anni Captura de pantalla 274 Consultas de usuarios reglas de procesamiento de eventos e informes 15 6 1 Usar el cuadro de dialogo Edit Query Restriction Para editar las restricciones de consulta para el filtrado y la configuraci n granulares 1 En la siguiente tabla se describe c mo iniciar el cuadro de di logo Edit Query Restriction para usuarios informes y reglas de procesamiento Tabla 96 Iniciar el cuadro de di logo Edit Query Restrictions Usuarios Para iniciar el cuadro de di logo de restricciones de consulta 1 Haga clic en la ficha Configuration gt Options gt Users and Groups gt Users 2 En el panel derecho haga clic con el bot n secundario en el usuario que desea editar y seleccione Properties 3 En el cuadro de di logo User Properties haga clic en la ficha Filter gt Advanced 4 En el cuadro de di logo Advanced Filtering haga clic en Add para agregar Informes P
311. omputer Click Next to continue or Cancel to exit the cr Captura de pantalla 10 Pantalla de bienvenida del asistente de instalaci n de GFI EventsManager 9 Haga clic en Next en la pantalla de bienvenida del asistente de instalaci n de GFI EventsManager GFI EventsManager 2 Instalaci n de GFI EventsManager 40 Carefully read the following end user license agreement GFI End User License Agreement For GFI FaxMaker GFI MailArchiver GFI MailEssentials and GFI MailSecurity GFI WebMonitor GFI LanGuard GFI Network Server Monitor GFI EventsManager GFI BackUp GFI Device Warden and GFI EndPointSecurity Software MEACE PANEE LIV ACVICIM TUC COI MAINO TOMAAC ANN CONDITIONE ME TUIC 4 I accept the terms in the License Agreement Captura de pantalla 11 EULA de GFI EventsManager 10 Lea detenidamente el acuerdo de licencia Seleccione accept the terms in the License Agreement y haga clic en Next Specify your username and license key Key in the 30 day evaluation key sent to you by email or dick Next to specify a license key later Events processing features are disabled without a valid license key User Name ohn Smith License Key none Click Register to obtain a free 30 day evaluation key Captura de pantalla 12 Detalles del registro de GFI EventsManager 11 Ingrese su nombre de usuario y la clave de licencia en los campos User
312. on Credentials Licensing type Operational Time Windows Event Log Text Logs Syslog SNMP Traps Monitoring Specify the text logs files to collect from archive and process Specify the text logs files to collect from A CAWAC logs Ada Ba CACSV logs Add logs to collect Remove Clear collected events after completion E Process subdirectories Parsing schema w3e Select log type Tell me more _ Post collection processing Archive all logs without any further processing Process the logs with the rules selected below before archiving Process collected logs c v Ga Text Logs a u mln _ _ Rule sets to apply to pu lg oe the collected logs Captura de pantalla 72 Opciones de registros de texto Para recopilar registros de texto 1 En la ficha Configuration gt Event Sources haga clic con el bot n secundario en un origen de eventos y seleccione Properties GFI EventsManager 5 Recopilar registros de eventos 107 5 New Event Sources Group 3 General Logon Credentials Licensing type Operational Time Windows Event Log Text Logs Syslog SNMP Traps Monitoring Specify the text logs files to collect from archive and process Specify the text logs files to collect from a CAWSCIogs z CACSVlogs A C XMLioas Remove E Clear collected events after completion E Process subdirectories Parsing schema
313. ones de patr n de rango 2 2 0 eee e eee c ccc eceececcecceeceececcceceeeecceccceceeneceeeeneess 156 Tabla 50 Configuraci n de registro del informe 2 2 0 2 ccccecccecececececeeccececeeeceeecercseeccetenees 157 Tabla 51 Opciones de patr n de rango 22 0 2 eee ee ccc eceececcecceccecceececcceceecceccecceeceeneceeeeeeneess 162 Tabla 52 Configuraci n de registro del informe 20 2 2 cece ecceecececececeeccececeecsececeecsetecetenees 163 Tabla 53 Descripci n del resumen diario por correo electr nico 2 22 2 cece e eee ee eee cece e eee eeeeeees 167 Tabla 54 Informaci n de encabezado del informe de configuraci n 200 ce cece cece cece eee ees 167 Tabla 55 Informaci n de encabezado del informe de reglas 0 2 0 ccccecceecccecececececeecceeeceteneees 169 Tabla 56 Descripci n del informe del historial operativo 22 0 0 00 ccc ce eceec ccc cecccceececceeceeceeceeeeeees 170 Tabla 57 Opciones de exportaci n del historial operativo 2 0 22 ccc ccececcceccccceecceccceccceeceeeeees 171 Tabla 58 Encabezados de los informes generales de actividad 20 c cece cee e cece ee eeeeeeeeeeeeees 172 Tabla 59 Opciones de exportaci n del historial Operativo 0 2 0 c cece cece cece cece cece cee eceeeeeeeeees 173 Tabla 60 Analizar informes Herramientas 200 ccc cece cece ee cee eect ee nee eee eeeeeneeeeenaeeeenaees 174 Tabla 61 Opciones pa
314. ones de registro de eventos elec eee cece e eee eee ees 212 Ficha Target Computers 00 2 2 e cece e cece ce eee cence ee eeeeeeeeneees 213 Eliminar carpetas y comprobaciones de supervisi n 22 eeceeeeeeeeees 215 Configurar acciones de clasificaci n predeterminadas ooooccccccccccccccnccnoo 216 Cuadro de di logo Default Classification Actions 0 00 ccc ccceececeeeeenees 217 Configurar opciones de alerta 2 20 cccceecccceccccecccccececececcceeeceeeeres 219 Configurar opciones de correo electr nico 2 cc eececeeceeceeceeceeceenees 220 Configurar opciones de red 2 0 eee cece c eee ee eee eeeeeeeasenes 221 Configurar alertas a trav s de la red Dar formato a mensaje 200 221 Configurar opciones de SMS 1 2 0 cece eee cece cece eee e eee ec eee eeeeeeeeeeeeeaes 222 Configurar alertas a trav s de capturas SNMP 2 2 222 e ce cee ccc ec eee eeceeceeeeees 223 Configurar cuenta EventsManagerAdministrator 2 cc cece eee e eee eeeees 226 Propiedades de EventsManagerAdministrator 2 0 2 0 cece eee eee e eee eeeeeeees 227 Configurar horas de trabajo habituales del usuario 0 0 00 00c cece eee eee 228 Configurar alertas fuera del horario de trabajo 1 2 0 eee e eee eee eee eee 229 Seleccione el grupo del cual es miembro la cuenta de usuario 230 Configurar privilegios de la cuenta de usuario
315. onfiguraci n status para estado events para eventos Escriba type events para generar un informe de eventos repname lt fullReportName gt Especifique un nombre para el informe generado Cnota Los par metros que contienen espacios deben escribirse entre comillas dobles repid lt reportID gt Especifique un ID unico para el informe generado nota Los parametros que contienen espacios deben escribirse entre comillas dobles a target lt ruta gt Especifique la ruta de acceso a la carpeta donde se guarda el informe Cnota Los par metros que contienen espacios deben escribirse entre comillas dobles format lt html csv gt Especifique el formato del informe Se admiten los siguientes valores html gt CSV datefrom lt startDate gt Especifique la fecha de inicio del periodo de tiempo del que desea obtener un informe dateto lt endDate gt Especifique la fecha de finalizacion del periodo de tiempo del que desea obtener el informe scheduled Especifique este parametro para generar el informe basado en los parametros de pro gramacion que se configuraron en la Consola de administracion Ejemplo EsmReport exe type events repname New Events Report repid 11 target C ReportsFolder format html datefrom 20121201 dateto 20130111 16 4 4 Usar ImportSettings exe Importsettings exe le permite importar la configuraci n de una carpeta de datos o de un archivo de configurac
316. onfiguraciones desde otra instancia de GFI EventsManager 2 Seleccione Import the configuration from another instance y haga clic en Next Import configurations from another instance Select the folder to import from Select the folder to import from C Users John Smith Desktop Captura de pantalla 272 Especificar la ubicaci n de instancia 3 Especifique la ruta a la carpeta de instalaci n de la instancia desde la que desea importar configuraciones O bien haga clic en Browse para buscarla Haga clic en Siguiente GFI EventsManager 15 Configurar la Consola de administraci n 313 Import and Export Configurations Wizard x Import configurations from another instance SE Importing all the configurations from another instance Import the following configurations ave H A Computer Group 0 W L 7 Database Server Group MIE Event Processing Rules M Events Browser Filters ee Options Default Classification Actions H V Users and Groups M Se Syslog Server Options M Se SNMP Traps Server Options Alerting Options VI2 Audit Options WW Ce Gc be Gb Select All Clear All Captura de pantalla 273 Seleccione las configuraciones que desea importar desde otra instancia de GFI EventsManager 4 Seleccione la configuraci n que desea importar y haga clic en Next 5 Espere hasta que la configuraciones se importen y haga clic en OK O Nota Si GFI EventsManager detecta otra
317. onsola 249 La File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules Active Monitoring Options A W Open Quick Launch Console Help Configurations Send us feedback Default Classification Actions j j 63 A Users and Groups Auto Discovery Credentials Edit auto discovery credentials Here you can edit the default auto discovery credentials pa Syslog Server Options ls SNMP Traps Server Options lll Performance Options Ig Custom Event Logs Common Tasks Captura de pantalla 195 Configurar credenciales de detecci n autom tica 1 En la ficha Configuration gt Options ampl e el nodo Console Security and Audit Options 2 Haga clic con el bot n secundario en Auto discovery credentials y seleccione Edit auto discovery credentials GFI EventsManager 13 Opciones de auditor a y seguridad de la consola 250 ES Configure credentials used in auto discovery Specify the credentials used to collect information from network computers Usemame admini listrator o l Password eeeeseesece Captura de pantalla 196 Especifique las credenciales de detecci n autom tica 3 Ingrese un nombre de usuario y una contrase a v lidos 4 Haga clic en Apply y OK GFI EventsManager 13 Opciones de auditor a y seguridad de la consola 251 14 Mantenimiento de base de datos En este capitulo
318. or Sun Solaris v 9 o posterior gt Automatizar la administraci n de eventos del servidor DNS Siusted tiene un servidor DNS p blico hay una buena probabilidad de que est ejecutando un servidor DNS en la DMZ Por lo tanto puede utilizar GFI EventsManager para recopilar y pro cesar autom ticamente los eventos del servidor DNS incluso aquellos almacenados en sus registros del servidor DNS de Windows Si usted tiene un servidor DNS p blico hay una buena probabilidad de que est ejecutando un ser vidor DNS en la DMZ Por lo tanto puede utilizar GFI EventsManager para recopilar y procesar auto m ticamente los eventos del servidor DNS incluso aquellos almacenados en sus registros del servidor DNS de Windows Los enrutadores y firewall son dos dispositivos de red que se encuentran com nmente en una DMZ Los enrutadores y firewall especializados por ejemplo enrutadores de la serie Cisco IOS no solo ayudan a proteger su red interna sino que proporcionan funciones especiales como la Traducci n de la direcci n del puerto PAT que puede aumentar el rendimiento operativo de sus sistemas Al implementar GFI EventsManager en su DMZ puede recopilar los eventos generados por estos dispositivos de red Por ejemplo puede configurar GFI EventsManager para que funcione como un servidor Syslog y recopilar en tiempo real los mensajes Syslog generados por los enrutadores Cisco IOS 2 Instalaci n de GFI EventsManager 30 2 1 3 GFI E
319. origen del evento El motor de recuperacion de eventos recopila eventos a intervalos de tiempo especificos El intervalo de recopilaci n de eventos se puede configurar en la Consola de administraci n de GFI EventsManager El agente de escucha recibe mensajes de seguimiento del Microsoft SQL Server analizado en tiempo real Tras la recepci n GFI EventsManager procesa el mensaje inmediatamente El motor de recuperaci n de Oracle se conecta peri dicamente a los servidores de Oracle y recopila las auditor as de una tabla de auditor a espec fica Al igual que el motor de recuperaci n de eventos de Microsoft Windows GFI EventsManager procesa los eventos generados por el servidor de Oracle El motor de recepci n de eventos funciona como un servidor de Syslog y captura SNMP escucha y recopila eventos mensajes Syslog y capturas SNMP enviados por varios or genes en la red A diferencia del motor de recuperaci n del evento el motor de recepci n de eventos recibe mensajes directamente desde el origen del evento por lo que no requiere que inicie sesi n de forma remota en los or genes de eventos para la recopilaci n de eventos Adem s los eventos mensajes de Syslog y captura SNMP se recopilan en tiempo real y por lo tanto no hace falta configurar intervalos de tiempo de recopilaci n De forma predeterminada el motor de recepci n de eventos escucha los mensajes Syslog en el puerto 514 y para mensajes de captura SNMP en el puer
320. ork message alerts SMS alerts Send daily report via email at 12 00 00 Tell me more Captura de pantalla 174 Configurar alertas fuera del horario de trabajo 5 Haga clic en la ficha Alerts y seleccione las alertas enviadas durante las horas de trabajo y fuera de las horas de trabajo Opcionalmente seleccione Send daily report via email at y especifique la hora para enviar un correo electr nico que incluya la actividad diaria GFI EventsManager 12 Grupos de usuarios 229 EventsManagerAdministrator Properties sz General Working Hours Alerts Member Of Privileges Fiter 2 Select the notification groups to which this user belongs Member of 32 Events ManagerAdministrators Select the groups you want this userto belong to 32 Accounts 2 R amp D 2 Sales 82 Executives Captura de pantalla 175 Seleccione el grupo del cual es miembro la cuenta de usuario 6 Haga clic en la ficha Member Of y seleccione los grupos de notificaci n a los que pertenece el usuario De forma predeterminada el administrador es un miembro del grupo de notificaci n EventsManagerAdministrators GFI EventsManager 12 Grupos de usuarios 230 This user has full privileges This user has read only privileges D This user belongs to at least one group that has full privileges Captura de pantalla 176 Configurar privilegios de la cuenta de usuario 7 Hag
321. orm 9 Import Export Job Import data from another database instance Export data from this instance to files and import data as part of the data centralization process Legacy Import Job Import data from older version of the product Data can be imported from SOL Server database legacy files or legacy file storage Captura de pantalla 212 Crear tareas de importaci n exportaci n 4 Seleccione Import Export Job y haga clic en Next Import Export Job Type Select the job type Please select the type of action that this job should perform Import from file Import data as part of the data centralization process The file to import from needs to be created by the Export to file job 9 Export to file Export data from this instance to files in order to import them at another location as part of the data centralization process You can also burn the exported files for safekeeping Export to SQL Export data from this instance to SQL Copy data Copy data to another storage Commit deletions Physically delete events that are marked as deleted Captura de pantalla 213 Exportar a un archivo 5 Seleccione Export to file y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 268 Export To File Select the folder in which to save the exported data Save the exported files to this folder C Users John Smith Desktop Captura de pantalla 214 6 Ingrese la ruta
322. orn successful network logon The report shows all successful logons enabling you to monitor the users successfully accessing the computers using various logon types and at the same time achieve compliancy with the legal acts which require monitoring of access to the company s resources The report is grouped by users thus providing a quick view of the Create Folder Create Report Edit Delete computers used by each user Captura de pantalla 102 Desplazarse por la interfaz de informes La ficha Reporting contiene las siguientes secciones Tabla 46 Desplazarse por la ficha Reporting Secci n Descripci n La secci n Reporting contiene todos los informes predefinidos que vienen con el producto Use esta secci n para organizar y generar diversos informes desde t cnicos hasta ejecutivos Encuentre informes r pidamente con las opciones de filtro disponibles A trav s de las opciones incluidas en Filter Reports puede buscar informes que contengan gr ficos y que se generan en funci n de una programaci n La secci n Common Tasks le permite iniciar r pidamente operaciones t picas como la creaci n de vistas de carpeta e informes para organizar los informes y generar informes En Actions puede crear editar o eliminar informes seg n sus necesidades Use la secci n Generated Reports para ver el historial de un informe seleccionado Secci n 1 Esto le permite volver a generar y exportar el informe en
323. os 3 Cambie el directorio al directorio de instalaci n de GFI EventsManager Ejemplo CD lt C Program Files GFI EventsManager gt 4 Escriba EsmReport exe seguido de cualquiera de las siguientes funciones Generar informes de configuraci n Generar informes de estado Generar informes de eventos 16 4 1 Generar informes de configuraci n Esta funci n le permite generar informes de configuraci n de un nico origen de eventos o de un grupo de or genes de eventos Se admiten los siguientes par metros Tabla 117 Par metros de los informes de configuraci n type lt con Especifique el tipo de informe que desea generar Se admiten los siguientes valores figuration status events gt configuraci n status para estado gt events para eventos Escriba type configuration para generar un informe de configuraci n Especifique la ruta de acceso a la carpeta donde se guarda el informe generado Cnota Los par metros que contienen espacios deben escribirse entre comillas dobles format lt html csv gt Especifique el formato del informe Se admiten los siguientes valores html target lt ruta gt gt CSV Especifique el nombre del origen de los eventos Utilice este parametro para generar un informe de configuraci n de un nico origen de eventos Cnota Los par metros que contienen espacios deben escribirse entre comillas dobles Especifique el nombre del grupo
324. os system events All rules Windows Events System Health Kerberos Key Distribution Center system events All rules Windows Events System Health System uptime Servers TEMP 00 15 00 Yes All rules Windows Events Security Applications Event logging system All rules Windows Events Security Applications Windows file protection All rules Windows Events Security Applications Windows firewall All rules Windows Events Security Applications Windows installer All rules Windows Events Security Applications Group Poli All rules Windows Events Security Applications Windows services Captura de pantalla 121 Muestra de informe de configuraci n 8 6 4 Generar informes de reglas Los informes de reglas proporcionan una vista detallada de las reglas aplicadas a los or genes de eventos La informaci n proporcionada en los informes de reglas se describe a continuaci n Tabla 55 Informaci n de encabezado del informe de reglas Rule name Nombre de la norma aplicada Importance El nivel de importancia clasificada del registro de eventos recopilados como Cr tica Alta Media gt Baja Ruido Logfile monitored Proporciona el nombre de la categor a del registro de eventos recopilados como Seguridad Estado del sistema gt Aplicaci n Sistema Conditions Las condiciones de procesamiento de la regla seleccionada Esto incluye ID de evento Origen Categoria gt Usuario gt Tipo gt Avanzadas GFI Even
325. osoft SQL Server Agregar un nuevo origen de eventos de Microsoft SQL Server Crear un nuevo grupo de Microsoft SQL Server Para crear un grupo de Microsoft SQL Server 1 Haga clic en la ficha Configuration gt Event Sources 2 En Group Type seleccione Database Servers Groups Group Type Event Sources Groups ly Event Sources Groups Database Servers Groups Captura de pantalla 51 Grupos de servidores de base de datos 3 En Groups haga clic con el bot n secundario en Microsoft SQL Server y seleccione Create group 4 Seleccione Microsoft SQL Server como tipo de servidor y en la ficha General configure las opciones descritas a continuaci n Tabla 21 Grupo de base de datos de Microsoft SQL General Group Name Ingrese un nombre de grupo para identificar el grupo de Microsoft SQL Server Description Opcional Escriba una descripcion Collects logs from the database servers Permite habilitar la opcion para recopilar eventos de base de datos de included in this group todos los servidores de este grupo GFI EventsManager 4 Administrar or genes de eventos 84 Database Servers Group Properties General Operational Time SQL Server Audit Settings Specify the credentials you want GF EventsManager to use to a connect to the database servers specified in this group to collect events 5 Use Windows authentication Connect to the database servers
326. ot encrypted Destination database ddd is not encrypted Encrypt exported data using the following password Password eecccccee Confirm password eeeeeeeee Captura de pantalla 227 Descifrar y cifrar las bases de datos de origen y destino 7 Si la base de datos de origen esta cifrada seleccione Decrypt data using the following password y especifique la contrasena utilizada para cifrar la base de datos GFI EventsManager 14 Mantenimiento de base de datos 278 8 Si desea cifrar los datos de origen seleccione Encrypt exported data using the following password Especifique la contrase a de cifrado y haga clic en Next 7 New job wizard Filter data Export events based on a specific period Use the advanced option to add more complex filters san mes 7 Export all events Advanced O Events older than 7 Days y Events in the last 7 Days Y Mark events as deleted The exported copied events will be marked as deleted and will be hidden from the source database lt Back Next gt Cancel Captura de pantalla 228 Filtrar datos exportados 9 Configure las siguientes opciones de filtro y haga clic en Next Tabla 90 Filtrar datos exportados Opci n Descripci n Export all Exporta todos los eventos de la base de datos events Events Solamente se exportan los eventos anteriores al n mero especificado de dias semanas meses older than Eve
327. ove Edit Haga clic en Add para especificar los detalles del servidor de correo incluido el nombre del servidor IP las credenciales de inicio de sesi n y la direcci n de correo electr nico del destinatario Use el bot n Remove o Edit para eliminar un servidor seleccionado o editar los detalles respectivamente Teclas de flechas Utilice las teclas de flecha para cambiar la posici n del servidor de correo seleccionado GFI Even hacia arri tsManager intenta enviar alertas de correo electr nico a trav s del primer servidor de correo Si no ba hacia abajo tiene xito se comprueban de forma recursiva los siguientes servidores de correo Send email alerts Seleccione esta opci n para enviar mensajes de correo electr nico como texto Unicode en lugar del as Unicode text formato HTML o RTF Format Email Opcionalmente en el men desplegable Format Email Message seleccione el tipo de registro Message Windows registros de texto Syslog y personalice el contenido del correo electr nico 3 Haga clic en Apply y OK GFI EventsManager 11 Alertas y acciones predeterminadas 220 11 2 2 Alertas a trav s de la red Email Network sms SNMP General he Specify the network settings to use when sending network alerts Specify the network message settings to use when sending net send alerts to the computers used by the administrators of the machines which triggered any monitoring alerts Windows Events Alerts Sys
328. ove allowed programs and ports dick Change settings What are the risks of allowing a program to communicate M4 Change settings O For your security some settings are managed by your system administrator Allowed programs and features M Kerberos Key Distributi Key Management Service C Netlogon Service M Network Discovery Performance Logs and C Remote Administration C Remote Desktop DOOOYgODORgKO DOOOgoDoOgOo 00000000 s555855588 Remote Event Log Man C Remote Scheduled Tas O Remote Service Manag C Remote Volume Manag Routing and Remote A Dl Secure Sarkat Tunnelin podoOo gado gado 535536 bl Details Remove 0 caer Captura de pantalla 284 Reglas del firewall en Microsoft Windows Server 2008 3 Haga clic en Aceptar O Nota En Windows Server 2008 R2 aseg rese de seleccionar Domain Private y Public para cada regla mencionada anteriormente 17 2 Activar permisos de or genes de eventos autom ticamente Esta secci n contiene informaci n acerca de Activar permisos en Windows Server 2003 a trav s de GPO Activar permisos en Windows Server 2008 a trav s de GPO 17 2 1 Activar permisos en Windows Server 2003 a trav s de GPO Para abrir permisos activados en los clientes de todos los dominios que utilizan el controlador de dominio de Microsoft Windows Server 2003 GFI EventsManager 17 Varios
329. para un evento espec fico 1 En Events Browser haga clic con el bot n secundario en un registro de eventos 2 Haga clic en Find Rule Esto lo llevar a la ficha Configuration gt Event Processing Rules Para obtener m s informaci n consulte Reglas de procesamiento de eventos 6 3 Administrar vistas en el Explorador de eventos Los registros de eventos se clasifican autom ticamente en carpetas diferentes seg n el tipo de registro de eventos y el origen del que se gener En GFI EventsManager estas carpetas se denominan vistas GFI EventsManager incluye una lista completa de vistas que le permiten iniciar la clasificaci n de los registros de eventos procesados en la instalaci n Se pueden crear nuevas vistas y se pueden modificar las vistas ya existentes Las siguientes secciones proporcionan informaci n sobre la administraci n de las vistas del Explorador de eventos GFI EventsManager 6 Buscar eventos almacenados 130 Crear vistas raiz y vistas Editar una vista Eliminar una vista 6 3 1 Crear vistas raiz y vistas En el Explorador de eventos GFI EventsManager le permite crear los dos tipos de vistas que se describen a continuaci n Tabla 41 Explorador de eventos Crear una nueva vista Create Le permite crear vistas de primer nivel que pueden contener un n mero de subvistas Esto crea un nuevo root conjunto de vistas inferiores a las que se incluyen con el producto por ejemplo vista All Events view
330. para usar autenticaci n de SQL Server WIN para usar autenticaci n de Windows username lt nombre_ Especifique un nombre de usuario que tenga acceso a la base de datos desde la que desea de_usuario gt importar los datos prota Los par metros que contienen espacios deben escribirse entre comillas dobles password lt Especifique la contrase a del nombre de usuario especificado en el par metro username contrase a gt anonpass1 lt Opcional Si la base de datos de origen est anonimizada escriba la contrase a de ano contrase a gt nimizaci n primaria para descifrar los datos de importaci n anonpass2 lt Opcional Si la base de datos de origen est anonimizada con dos claves de anonimizaci n contrase a gt escriba en la contrase a de anonimizaci n secundaria para descifrar los datos de impor taci n Ejemplo EsmDlibM exe importFromSQL server 192 168 11 11 database EventsDatabase dbauth SQL username sa password p ss anonpass1l plss 16 2 2 importFromDlib Esta funci n le permite importar datos que se exportaron desde un servidor de base de datos DLIB por sus siglas en ingl s de una versi n anterior de GFI EventsManager Se admiten los siguientes par metros Tabla 106 Par metros importFromDlib Par metro Descripci n path lt ruta gt Especifique la ruta de acceso al servidor de base de datos DLib nota Los par metros que contienen espacios deben escr
331. perational History for period 2011 11 01 Date Time Type Machine Source Job ID Log file name Message ana Information 192 168 3 1 EvtCollector N A GFI EventsManager Start executing checks on machine 192 168 3 1 31 10 2011 Information 192 168 3 1 EvtColector N A GFI EventsManager Executed 5 checks on machine 192 168 3 1 31 10 2011 Information 192 168 3 1 EvtCollector B3789E4A Security Start the collection on machine 192 168 3 1 log Securty pr benim 11 information 192 168 3 1 ProcessorService N A windows Processing 2000 windows events from machine 192 168 3 1 31 10 2011 Information 192 168 3 1 EvtCollector 1017473C Application Start the collection on machine 192 168 3 1 log Application beh 11 information 192 168 3 1 ProcessorService N A windows Processing 2000 windows events from machine 192 168 3 1 Captura de pantalla 125 Muestra de informe del historial operativo 8 6 6 Generar informes de descripci n general de actividades GFI EventsManager le permite exportar datos de descripci n general de actividades Los informes generales de actividad proporcionan la informacion que se describe a continuacion Tabla 58 Encabezados de los informes generales de actividad Date Time La fecha y la hora en que se gener el mensaje Machine Origen de evento que gener el mensaje Source Operaci n de origen que gener el mensaje Entre otras se incluyen gt EvtCollector mensaje generado al recopilar registros de eventos gt SNMP Tr
332. po se pueden utilizar los siguien tes par metros format lt html csv gt especifique el formato del informe Los valores admi tidos son HTML y CSV e period lt all time date gt especifique el per odo de tiempo en el que se basa el informe Los valores admitidos incluyen all time para todos los periodos o bien una fecha espec fica options lt error messages only with issues gt especifique el tipo de estad sticas que desea generar Los valores admitidos son error messages y only with issues para mensajes de error y solamente con problemas respectivamente target lt ruta gt especifique la ruta de acceso a la carpeta donde se guarda el informe Cnota Los par metros que contienen espacios deben escribirse entre comillas dobles Ejemplo de mensajes EsmReport exe type status subtype messages period current date Ejemplo de estadisticas EsmReport exe type status subtype stats format html period 20130111 e ptions error messages target C StatsReports 16 4 3 Generar informes de eventos Esta funci n le permite generar informes de eventos Se admiten los siguientes par metros GFI EventsManager 16 Herramientas de la l nea de comandos 335 Tabla 119 Par metros de informes de eventos Par metro Descripci n type lt con Especifique el tipo de informe que desea generar Se admiten los siguientes valores figuration status events gt c
333. ponibles seleccione un campo Opcionalmente escriba el nombre en el cuadro de texto Field Name para buscar el campo requerido 3 Especifique un operador de campo en Field Operator para el campo seleccionado Los operadores disponibles son Tabla 97 Definir restricciones Operadores de campo Equal To Cuando el campo del evento es igual al valor configurado Less than Cuando el campo del evento tiene un valor inferior al valor configurado Greater than Cuando el campo del evento tiene un valor superior al valor configurado Occurred Related to date time fields Cuando la fecha del campo del evento ocurri antes que la fecha del valor Like Cuando el campo del evento tiene texto similar al texto del valor Contains Cuando el campo del evento contiene el texto del valor Value in List Cuando el campo del evento es igual a uno de los valores en una lista 4 Especifique un valor en Field Value para el campo y el operador seleccionados Algunos campos tienen valores predefinidos mientras que otros requieren que se especifique un valor 5 Haga clic en OK para aceptar GFI EventsManager 15 Configurar la Consola de administraci n 316 v Nota Repita los Pasos 1 a 4 para agregar todos los campos que desea incluir en la consulta O Nota Puede copiar restricciones de informe de informes existentes En la ficha Reporting gt Reports haga clic con el bot n secundario en un informe y seleccione Copy Report Restrictions Repor
334. por un nombre com n por ejemplo Campo01 Nombre de campo personalizado 8 Haga clic en Apply y OK W Importante Eliminar registros de eventos sin archivar puede dar lugar a penalizaciones legales 5 2 Recopilar registros de texto Los registros de texto son otros formatos de registro compatibles con GFI EventsManager Los registros W3C son archivos planos basados en texto que contienen diversos detalles de eventos delimitados por caracteres especiales Com nmente los sistemas de hardware por ejemplo servidores y dispositivos que tienen roles espec ficos de Internet usan el formato de registro W3C Microsoft Por ejemplo el servicio Internet GFI EventsManager 5 Recopilar registros de eventos 106 Information Server IIS y los servidores web Apache pueden recopilar eventos relacionados con la web como registros web en forma de archivos de texto con formato W3C En GFI EventsManager el proceso de configuraci n de los par metros de registro W3C es id ntico al que se realiza para el procesamiento de eventos de Windows con una excepci n A diferencia de los registros de eventos de Windows no hay ninguna norma que dicte una ubicaci n de carpeta espec fica o centralizada donde los archivos de registro W3C se almacenen en el disco Por lo tanto para recopilar los registros W3C debe especificar la ruta de acceso completa a estos archivos de registro basados en texto b es Group exami General Log
335. ptura de pantalla 1 Captura de pantalla 2 Captura de pantalla 3 Captura de pantalla 4 Captura de pantalla 5 Captura de pantalla 6 Captura de pantalla 7 Captura de pantalla 8 Captura de pantalla 9 Captura de pantalla 10 Captura de pantalla 11 Captura de pantalla 12 Captura de pantalla 13 Captura de pantalla 14 Captura de pantalla 15 Captura de pantalla 16 Captura de pantalla 17 Captura de pantalla 18 Captura de pantalla 19 Captura de pantalla 20 Captura de pantalla 21 Captura de pantalla 22 Captura de pantalla 23 Captura de pantalla 24 Captura de pantalla 25 Captura de pantalla 26 Captura de pantalla 27 Captura de pantalla 28 Captura de pantalla 29 Captura de pantalla 30 Captura de pantalla 31 Captura de pantalla 32 Captura de pantalla 33 Captura de pantalla 34 Captura de pantalla 35 Captura de pantalla 36 Captura de pantalla 37 Captura de pantalla 38 GFI EventsManager se integra en cualquier infraestructura de TI existente Las etapas operativas de GFI EventsManager Exportar datos desde sitios remotos a la instancia principal de GFI EventsManager 31 Comprobaci n de requisitos previos a la actualizaci n ooooocccccccccccccccccccoo 37 Servidor de base de datos DLib 22 2 oes 38 EULA del servidor de base de datos DLib 2 022002 38 Carpeta de instalaci n de DLib 22 2 0 2 o eee cece eee eee cece eee eceeececeeeeeeees 39 Iniciar instalaci n del servidor
336. que una ruta de carpeta v lida que incluya el nombre del archivo donde se exportan los lt nombre de par metros A menos que se especifique lo contrario esmbkp se anexa como una extensi n al nombre archivo gt de archivo nota Los par metros que contienen espacios deben escribirse entre comillas dobles folder lt car Este par metro se utiliza para indicar a la herramienta que exporte los par metros desde un lugar peta gt distinto a la carpeta de datos predeterminada Especifique la ruta a la carpeta que contenga los par metros de datos de GFI EventsManager que desea exportar prota Los par metros que contienen espacios deben escribirse entre comillas dobles GFI EventsManager 16 Herramientas de la l nea de comandos 338 17 Varios En este capitulo se proporciona informaci n relacionada con la configuraci n de los componentes de terceros necesarios para las operaciones de auditor a de GFI EventsManager M s informaci n sobre c mo configurar y ejecutar acciones de GFI EventsManager a trav s de las herramientas de linea de comandos proporcionadas Temas de este cap tulo 17 1 Activar permisos de or genes de eventos manualmente 17 2 Activar permisos de or genes de eventos autom ticamente 17 3 Desactivar Control de cuentas de usuario UAC 17 1 Activar permisos de or genes de eventos manualmente En esta secci n se describe c mo configurar los permisos requeridos por GFI EventsManager par
337. r Configuration Windows Firewall El Windows Firewall Ed Windows Firewall En Windows Firewall En Windows Firewall Es Windows Firewall El Windows Firewall En Windows Firewall Protect all network connections En Windows Firewall Se Windows Firewall En Windows Firewall En Windows Firewall Do not allow exceptions Define program exceptions Allow local program exceptions Allow remote administration exception file and printer sharing exce Allow ICMP exceptions Allow Remote Desktop exception Allow UPnP framework exception Prohibit notifications Allow logging Prohibit unicast response to multicast or broad Define port exceptions Allow local port exceptions Ej Extended A Standard Captura de pantalla 285 Consola de pol tica de dominio en Microsoft Windows Server 2003 10 En la lista Setting haga clic en Windows Firewall Allow file and printer sharing exception y seleccione Properties 11 En la ficha Settings seleccione Enabled y haga clic en OK 12 Repita los Pasos 9 a 11 para Default Domain Controllers Policy 13 Haga clic en File gt Save para guardar la consola de administraci n La pol tica del grupo entra en vigor la pr xima vez que se reinicie cada equipo 17 2 2 Activar permisos en Windows Server 2008 a trav s de GPO Para activar permisos en los clientes de todos los dominios 1 Haga clic en Start gt Administrative Tools gt Group Policy Management 2
338. r y la contrase a en el campo Password tication Test con Haga clic en Test Connection para intentar conectarse a SQL Server con la configuraci n nection especificada pnota GFI EventsManager prueba la conexi n de forma autom tica despu s de que se hace clic en Next fe New job wizard x Select SQL table columns Choose which columns will be exported to the SQL table 7 Export all columns Table columns Y date T access list F algorithm n Y time access mask allowed to V importance __ access reason El application V rule name FP accesses F audit sourc Y monitored machine 7 account domain authenticat V log format 7 account expires bytes recei V log name account name bytes recei Y event id C action bytes sent Y in work hours active profile bytes sent access granted activity id callout id fom Export descriptions Update Table Captura de pantalla 221 Seleccionar columnas que desea exportar 7 Seleccione las columnas que desea exportar y haga clic en Next v Nota Para exportar todas las columnas seleccione Export all columns GFI EventsManager 14 Mantenimiento de base de datos 274 New job wizard Filter data Export events based on a specific period Use the advanced option to add more complex filters Export al events O Events older than 7 Days z Events in the
339. ra agregar definiciones de columna cece eee eee cece c cece eee eee eeeeeees 175 Tabla 62 Plantillas HTML predeterminadas 0000 ccc cece cece ccc unean eee c eee e eee e cece eee eeeeeeeeeeeenees 177 Tabla 63 Plantilla HTML Secciones editables 2 2 2 0 00 cece cece cece e ence cee e cece ence eeneeeeeneeeeeseeeenes 178 Tabla 64 Marcadores de plantilla de informes HTML 0 0 000000 c cece cece cece eee ee eee cece ee ee ee eeeeeeees 178 Tabla 65 Carpetas de conjuntos de reglas comunes disponibles 00 00 00 cece eee e cece eee ee ee eeeeees 182 Tabla 66 Configurar nuevas reglas de procesamiento de eventos ACCiONES 20 e cece e eee ee ee ees 188 Tabla 67 Acciones disponibles de reglas de procesamiento de eventos 222 cecee cece ee cece eeeeees 193 Tabla 68 Par metros de filtrado de eventos de Windows Campo Event ID 0 0 c 2 eee eee ee eee 194 Tabla 69 Par metros de filtrado de eventos de Windows Campos Source Category y User 194 Tabla 70 Par metros de filtrado de syslog Campos Message y Process oococccccccccccccccocccnccnccnccncons 194 Tabla 71 Comprobaciones de supervisi n Eventos de acciOn ooocccccccccccccccocccnccconccnnccnnccanccone 201 Tabla 72 Comprobaciones de supervisi n Eventos de acciOn oooocccccccccccccccocccoccccncconcconicaninono 206 Tabla 73 Comprobaciones de supervisi n Eventos de acciOn
340. ra de la siguiente copia de seguridad programada El color de la barra cambia de verde a rojo a medida que la base de datos se llena con eventos O Nota Haga doble clic en el gr fico para abrir el gr fico en una nueva ventana Cuando se selecciona un gr fico 3D la nueva ventana le permite rotar hacer zoom o cambiar el tama o del gr fico Utilice el bot n Export to image para exportar el gr fico 7 2 Vista de actividad de tareas Esta vista muestra la recopilaci n de eventos actuales y la actividad de procesamiento Esto incluye tareas activas de recopilaci n de eventos as como el historial de mensajes del servidor m quina por m quina Para acceder a la vista Job Activity vaya a la ficha Status gt Job Activity GFI EventsManager 7 Supervision de actividades 141 3 GFI EventsManager D Eo File Configure Help Status Configuration Events Browser Reporting General E General E Job Activity MB Statistics Send us feedback W Open Quick Launch Console Help wh Job Activity This view displays your current event collection and processing activity This includes active event collection jobs as well as server messaging history on a machine by machine basis aQ Active Jobs 2 Queued Jobs a Job ID Target Machine Progress Log Sou Queued Time Target Machine Target Log 36AD8CD W706 24 Security 2012 10 10 16 20 01 1 W706 Application A29997F8 WIN7 08 82 Securty 2012 10 10 16 20
341. ra evitar tener que volver a configurar GFI EventsManager en caso de un desastre Los siguientes par metros se pueden importar exportar por medio de GFI EventsManager gt gt gt gt Or genes de eventos Reglas de procesamiento de eventos Filtros del Explorador de eventos Opciones entre las que se incluyen las acciones de clasificaci n predeterminadas las opciones de alerta las operaciones de base de datos y m s Esta secci n contiene informaci n acerca de Exportar configuraciones a un archivo gt Importar configuraciones desde un archivo Importar configuraciones desde otra instancia 15 5 1 Exportar configuraciones a un archivo Para exportar sus configuraciones de GFI EventsManager 1 Haga clic en File gt Import and Export Configurations GFI EventsManager 15 Configurar la Consola de administraci n 308 You can use this wizard to import or export specific categories of configurations or to reset Welcome to the Import and Export Configurations Wizard AP 5 to the default collections of configurations What do you want to do 9 Export the desired configurations to a file Exports the desired EventsManager configurations to a file Import the desired configurations from a file Imports the desired EventsManager configurations from a file Import the configurations from another instance Imports all the configurations from another instance of EventsManager
342. ra obtener m s informaci n acerca de c mo configurar las opciones de registro GFI EndPointSecurity consulte la documentaci n de GFI EndPointSecurity disponible en http www gfi com products gfi endpointsecurity manual Supervisar eventos de GFI EndPointSecurity GFI EventsManager tiene reglas de procesamiento integradas para eventos de GFI EndPointSecurity que est n habilitadas de forma predeterminada Para supervisar los eventos generados por GFI EndPointSecurity seleccione la ficha Status gt General y busque la secci n Critical and High Importance Events Para configurar reglas de procesamiento de eventos de GFI EndPointSecurity haga clic en la ficha Configuration gt Event Processing Rules Para obtener m s informaci n consulte Reglas de procesamiento de eventos GFI EventsManager 5 Recopilar registros de eventos 125 6 Buscar eventos almacenados En este capitulo se proporciona informacion sobre como usar el Explorador de eventos El Explorador de eventos esta equipado con herramientas para llevar a cabo analisis de eventos e investigaciones forenses Tambi n le permite desplazarse facilmente a trav s de multiples bases de datos de eventos ademas de exportar eventos a bases de datos cifradas para cumplir con los requisitos legales Temas de este capitulo 6 1 Desplazarse en el Explorador de eventos 0 22000 c cece cece cece cece cece cece eeeeeeeeeeeeeeeees 126 6 2 Usar el Explorador de eventos
343. ral Inherit SQL Server post collecting Hereda toda la configuraci n del grupo primario processing from parent group Archive events in database Permite archivar eventos en el back end de la base de datos de GFI Even tsManager sin aplicar reglas de procesamiento Process using these rule sets Permite especificar las reglas que desea ejecutar antes de archivar eventos en el back end de la base de datos de GFI EventsManager GFI EventsManager 4 Administrar or genes de eventos 90 192 168 11 11 x Connection Settings Specify the connection parameters which GFI EventsManager will use to access and collect events from the SQL server Logon credentials Inherit the logon credentials from the parent group By default GF EventsManager performs event collection using the security context of the account under which GFI EventsManager service is running You may specify an altemate set of credentials to access the computers contained within this computer group D Use Windows authentication 0 Use SQL Server credentials Usemame sa Password eeesseeeccccce Captura de pantalla 57 Propiedades de la base de datos de Microsoft SQL Ficha Connection Settings 6 Seleccione Connection Settings y configure las opciones que se describen a continuacion Tabla 26 Base de datos de Microsoft SQL Ficha Connection Settings Inherit the logon cre Seleccione esta opci n para heredar la configuraci n de inicio de
344. ram Files GFI EventsManager2012 data FileS 4 m gt Edit Remove ok cma Captura de pantalla 131 Cuadro de di logo Switch database 2 Seleccione la base de datos de la lista de bases de datos y haga clic en OK Haga clic en Add para especificar un nuevo nombre de base de datos y su ruta relevante Haga clic en Edit para editar la informaci n especificada 8 9 Personalizar informes HTML Las plantillas de informes HTML son personalizables lo que le permite adaptar GFI EventsManager m s eficientemente para satisfacer sus necesidades diarias Para editar las plantillas disponibles se requieren conocimientos de HTML y CSS GFI EventsManager 8 Generaci n de informes 176 wy Importante Antes de editar la plantilla de informe predeterminada guarde una copia del original para que pueda volver f cilmente a la predeterminada para la resoluci n de problemas Para editar el dise o de informes HTML 1 Vaya al directorio de instalaci n de GFI EventsManager Program Filesi1GF EventsManager2012 Data Templates DefaultReportLayout Event log monitoring management and archiving title subtitle description Created by creator Created on currentDate Sort by sortBy Date range dateRange Full filter ffullFilter Reviewed by Reviewed date Signature startGroupHeaderBlock IES ba headerValue endGroupHeaderBlock startRepeatBlock chartTop ta
345. rar Cifrar datos 1 2 0 2 llc e cece cece ee cece cece eee e eee eeeeeeeeeanes 269 Filtrar datos exportados 2 2 00 20000 e cece e cece ee eee eee cece ee eeeees 270 Ejecutar opciones de tarea 0 e eee eee eee ccc eee eee cece e eee eeeeeeeeees 271 Crear tareas de importaciOn exportaciOn 000 c cece eee e eee eee eee eeeeees 272 Exportar ia SQL curves tune seed er eet dace A ake dale est 273 Especificar detalles de SQL Server 0 0 0 0 cece cece cece cece eee cece eee eeeeees 273 Seleccionar columnas que desea exportar 22 2 e eee eee eee e cece ee ees 274 Filtrar datos exportados 1 2 00 200 0 A sentr cece eee eee eee eee eee cece eeeneees 275 Ejecutar opciones de tarea 2 eee cece eee ee cece eee cece cece ee eeeeeeeees 276 Crear tareas de importaciOn exportaciOn 000 c cee ece cece cece eeeeeeees 277 Seleccionar tarea de copia de datos 0 0 2 2 2 occ e cece eee eeecee eens 277 Especificar bases de datos de origen y destino 00 00 cece cece cece eee eee 278 Descifrar y cifrar las bases de datos de origen y destino 2200005 278 Filtraridatos exportados 2 lt 0 0 225 cee 22 evade deoeev ale reten etilo denia 279 Crear tareas de importaciOn exportaciOn 202 c cece cece eee eeceeeeeeeees 280 Crear tareas de confirmaci n de eliminaci n 0 0 00 0 c cece eee ee eee eee 281 Seleccionar la base de datos de la que desea elim
346. resolver los problemas detectados en GFI EventsManager Documentaci n gt GFI SkyNet Solicitar soporte t cnico Foroen la red Asistente para el solucionador de problemas 18 1 Documentacion Si este manual no cumple sus expectativas o si cree que esta documentaci n se puede mejorar indiquenoslo enviando un correo electr nico a documentation gfi com 18 2 GFI SkyNet GFI mantiene un exhaustivo repositorio de su base de conocimientos que incluye respuestas a los problemas m s habituales GFI SkyNet tiene siempre la lista m s actualizada de preguntas y revisiones de soporte t cnico Si la informaci n de esta guia no soluciona sus problemas consulte GFI SkyNet para ello visite http kb gfi com 18 3 Solicitar soporte t cnico Si ninguno de los recursos especificados anteriormente le permite solucionar los problemas p ngase en contacto con el equipo de Soporte t cnico de GFI rellenando un formulario de solicitud de soporte t cnico en l nea o bien de forma telef nica En linea Complete el formulario de solicitud de soporte t cnico y siga las instrucciones deta lladas que se indican en esta p gina para enviar su solicitud de soporte t cnico en http support gfi com supportrequestform asp Tel fono Para obtener el n mero de tel fono de soporte t cnico correspondiente a su regi n visite http www gfi com company contact htm O Nota Antes de ponerse en contacto con el Centro
347. rit from parent E of z 3 7 Servers 5 Y 192 168 3 2 M 192 168 3 22 yv 192 168 3 235 y 192 168 3 236 y 192 168 3 41 SharePoint Servers 0 Terminal Services Servers 0 Web Servers 0 Windows 2000 Domain Controllers 0 Windows 2003 Domain Controllers 0 Windows 2008 Domain Controllers 0 Workstations 3 v ok cm W moooooo PPs PPs PP PP HP HP pP Captura de pantalla 161 Ficha Target computers 3 En la ficha Target computers seleccione el origen de evento o grupo de origenes de eventos GFI EventsManager 10 Supervision activa 213 4 Haga clic en OK para aceptar y Nota Seleccione Inherit from parent para usar la misma configuraci n que la carpeta principal GFI EventsManager 10 Supervisi n activa 214 10 6 Eliminar carpetas y comprobaciones de supervision Para eliminar una carpeta comprobacion de supervision 1 Acceda a Configuration gt Active Monitoring Monitoring checks 33 Genericnode verifications sE PF RootFolder Sub fo o Create rootfolder Ctrl Ins B Sub fo y Create newfolder Alt Ins Create new check Ins Disable all checks amp Enable all checks Expand all Collapse all x Delete Del Properties Captura de pantalla 162 Eliminar carpetas y comprobaciones de supervisi n 2 En la secci n Monitoring checks haga clic con el bot n secundario en la carpeta comprobaci n de supervisi
348. rmes instant neos programados y la distribuci n automatizada de informes Para obtener m s informaci n consulte Informes Ver panel A Permite acceder al panel de estado de GFI EventsManager Esto le permite ver representaciones gr ficas de los eventos m s importantes recopilados y procesados por GFI EventsManager Para obtener m s informaci n consulte Supervisi n de actividad Pl Personalizar te Permite personalizar la configuraci n de GFI EventsManager incluso habilitar Syslog el procesamiento de captura SNMP las comprobaciones del sistema las notificaciones de eventos clave y m s Para obtener m s informaci n consulte Administrar or genes de eventos Configurar reglas de procesamiento de eventos Configurar opciones de mantenimiento de la base de datos 2 Configurar alertas y acciones predeterminadas gt Configurar la supervisi n activa GFI EventsManager 2 Instalaci n de GFI EventsManager 56 v Nota Para verificar que los registros se procesen correctamente vaya a la ficha Status gt Job Activity y compruebe que haya registros de actividad en la secci n Operational History 2 5 2 Eventos del proceso Dominio local Esta opci n le permite agregar uno o m s equipos que est n en el mismo dominio o grupo de trabajo que GFI EventsManager El asistente de detecci n autom tica de red le permite seleccionar el tipo de origenes de eventos que desea agregar y a continuaci n presenta una lista
349. rogramaci n 22 cecceecececeeeceeeceees 271 Tabla 86 Operaciones de base de datos Estructura del nombre del archivo de exportaci n 271 Tabla 87 Exportar a SQL Opciones del servidor 2 00 cccceccccecccccecccccecccccecccceeccceeeccceeeecees 274 Tabla 88 Filtrar datos de exportaci n 20 2 2 ccc eccceccccceccceccceccceeccecceccceeceeeccetccetceeeceesees 275 Tabla 89 Crear tareas de mantenimiento Opciones de programaci n 20 cecceeceeeceeeceeeceees 276 Tabla 90 Filtrar datos exportados 2 2100 oe ieee cee cc ccc cece ee ccccceeeececcceeeeteccccceceeececcceceeeeececeeees 279 Tabla 91 Crear tareas de mantenimiento Opciones de programaci n 22 cecceecececceeceeeceees 279 Tabla 92 Crear tareas de mantenimiento Opciones de programaci n 22 ecceecececceeceeeceees 282 Tabla 93 Exportar a SQL Opciones del servidor occccccccccccccccccccccccccnnnncccccccnnnnnncccnnnnnnnncccnns 284 Tabla 94 Opciones de actualizaci n autom tica 2 0 2 0 0 c cece cece cece cece cece cece cee eeeeeceeeeeeeseeeuees 298 Tabla 95 Usos de restricciones de consulta 2 2 00 cece cece cece nce ce eee e cece eee eeeeceeeeeeeeeseneenees 314 Tabla 96 Iniciar el cuadro de di logo Edit Query Restrictions ccccecccececcccecceccceeeceeeeeees 315 Tabla 97 Definir restricciones Operadores de campo 2 0 ececeeccccecccceccccececccececcceeecceeeeeees 3
350. rom older version of the product Data can be imported from SQL Server database legacy files or legacy file storage Captura de pantalla 232 Crear tareas de importaci n exportaci n 4 Seleccione Legacy Import Job y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 282 Legacy Import Import data from older version of the product x Please select the type of action that this job should perform 9 Import from SQL Server database Imports data from a SQL Server database created with an older version of the product Import from legacy files Import data from files created with an older version of the product Import from legacy file storage Imports data from an older file storage Captura de pantalla 233 Seleccionar Import from SQL Server Database 5 Seleccione Import from SQL Server database y haga clic en Next Import from SQL Select the database from which the events will be imported Database settings Please specify the name or IP of the machine containing the SQL Server MSDE database to use Server W706 SQLEXPRESS Database EventsManager Use Windows authentication Use SQL Server authentication User Password Captura de pantalla 234 Especificar direcci n y datos de acceso a SQL Server 6 Configure las siguientes opciones de servidor y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 283 Tabla 93 Expor
351. ros previos a la configuraci n de or genes de eventos de Oracle Server Antes de agregar or genes de eventos de Oracle Server siga estos pasos en cada instancia de Oracle Server que desee supervisar Tabla 29 Etapas de configuraci n de Oracle Server Paso previo a la Descripci n configuraci n Paso 1 Aseg rese de que las credenciales de inicio de sesi n que se utilizan para conectarse configurar auditor as y acceder a la tabla de auditor a tengan los permisos necesarios Paso 2 Habilite la auditor a en Oracle Server mediante el cambio de los par metros de inicio Para habilitar la auditor a 1 Los par metros de inicio para los servidores de Oracle se almacenan en lt Oracle Home Directory gt admin lt Oracle SID gt pfile init ora 2 Busque y abra el archivo de parametros utilizando un editor de texto 3 Localice el par metro AUDIT_TRAIL y cambie el valor predeterminado a db o db_extended db extended en las ltimas versiones de Oracle 4 Guarde y reinicie el servidor de Oracle Agregar nuevo grupo de Oracle Server Para agregar un nuevo grupo de Oracle Database 1 Haga clic en la ficha Configuration gt Event Sources 2 En Group Type seleccione Database Servers Groups Group Type amp Event Sources Groups 7 Event Sources Groups Database Servers Groups Captura de pantalla 59 Grupos de servidores de base de datos 3 En Groups haga clic con el bot n se
352. rtantes del registro de eventos de Windows Los datos facilitados en estos informes incluyen el inicio y la detenci n de los servicios de registro de eventos y operaciones de borrado de registro as como los errores generados durante el registro de eventos Utilice los informes de esta categor a para mostrar la informaci n estad stica relacionada con la generaci n de eventos Los gr ficos proporcionados incluyen los 10 equipos y usuarios con m s eventos Otros informes proporcionan recuentos de eventos en base a toda la red as como en base a equipo por equipo Los informes de esta categor a pueden ser generados por cada intervalo principal por hora d a semana o mes Utilice los informes de esta categor a para mostrar la informaci n relacionada con los eventos cr ticos de Windows Syslog registros de texto eventos personalizados capturas SNMP y eventos de auditor a de SQL Server Los gr ficos facilitados incluyen los 10 eventos m s cr ticos Utilice los informes de esta categor a para generar informes que ofrecen una amplia personalizaci n Estos pueden ser usados para generar informes basados en cualquier registro de eventos de Windows usando condiciones de filtrado y modos de agrupaci n que no est n cubiertos por los otros informes predeterminados Utilice los informes de estas categor as para generar informes de normas de cumplimiento legal Utilice los informes de esta categor a para generar varios infor
353. rtos USB Lectores de tarjetas flash memoria y pen drives Puertos Firewire C maras digitales y lectores de tarjetas Firewire Dispositivos inal mbricos Llaves bluetooth e infrarrojas Unidades de disquete Unidades de disco internas y externas USB Unidades pticas Discos CD DVD y Blu ray Unidades magneto pticas Unidades internas y externas USB Dispositivos de almacenamiento extra ble Unidades de disco duro USB Otras unidades como unidades Zip y unidades de cinta Unidades internas o externas USB seriales pararelas i Nota Para mas informaci n sobreGFI EndPointSecurity consulte http www gfi com endpointsecurity Habilitar registro de GFI EndPointSecurity De forma predeterminada GFI EndPointSecurity genera registros con informaci n sobre gt El servicio de GFI EndPointSecurity Dispositivos conectados y desconectados de su red gt Acceso permitido o denegado por GFI EndPointSecurity a los usuarios Para configurar las opciones de registro en GFI EndPointSecurity 1 En la m quina que ejecuta el equipo de GFI EndPointSecurity inicie la Consola de administraci n de GFI EndPointSecurity 2 Haga clic en la ficha Configuration gt Protection Policies 3 En el panel izquierdo seleccione la directiva de protecci n y haga clic en Set Logging Options 4 Personalice los par metros disponibles en el cuadro de di logo Logging Option GFI EventsManager 5 Recopilar registros de eventos 124 v Nota Pa
354. rts Specify the IP address where the SNMP alerts will be sent 192 168 11 11 Specify the port s which will be used to send SNMP alerts Y Enable forwarding of SNMP alerts on TCP port 162 T Enable forwarding of SNMP alerts on UDP port 162 Format SNMP message Y ok Cance Apy Captura de pantalla 170 Configurar alertas a trav s de capturas SNMP 1 En el cuadro de di logo Alerting Options haga clic en la ficha SNMP 2 Configure las opciones que se describen a continuaci n Tabla 77 Opciones de alerta Capturas SNMP Specify the IP address Ingrese la direcci n IP del destinatario where the SNMP alerts will be sent Specify the port s which Especifique el puerto de comunicaci n TCP UDP De forma predeterminada el puerto will be used to send SNMP asignado es el 162 alerts Format SNMP message Opcionalmente en el men desplegable Format Email Message seleccione el tipo de registro Windows registros de texto Syslog y personalice el contenido del correo electr nico 3 Haga clic en Apply y OK 11 2 5 Configuraci n general Para configurar opciones de alerta generales 1 En el cuadro de di logo Alerting Options haga clic en la ficha General 2 Configure las opciones que se describen a continuaci n y haga clic en OK GFI EventsManager 11 Alertas y acciones predeterminadas 223 Tabla 78 Opciones de alerta Configuraci n general Opci n Descripci n
355. s During working Outside of working SMS alerts Send daily report via email at 12 00 00 al Tell me more Captura de pantalla 118 Configuraci n de resumen diario por correo electr nico 5 Configure el momento en que se env a el resumen diario por correo electr nico 6 Haga clic en Apply y OK GFI EventsManager 8 Generaci n de informes 166 GFI EventsManager Daily Report You are receiving this email from GFI EventsManager The following report contains an overview of the most important events collected and processed by GFI EventsManager Report start date 13 03 2010 11 30 AM 4 Report end date 14 03 2010 11 30 AM Take camente atempts based on object socess events Syren ime changed No volume encrypted by Microsof No active IPSec policy found New process Crested outside work hours Machine doesn respond to PING Appications tech tated to msisi o Oe eee i n 2 2 Thanks The GFI EventsManager team Captura de pantalla 119 Resumen diario por correo electr nico Tabla 53 Descripci n del resumen diario por correo electr nico La fecha de inicio y fin del informe El informe muestra los hechos m s importantes recopilados por GFI Even Q tsManager entre la fecha de inicio y fin 2 El n mero de eventos de importancia cr tica y alta recopilados en las ltimas 24 horas En este gr fico se ofrece informaci n estad stica acerca de los eventos de importancia cr tica recopila
356. s GFI EventsManager 10 Supervisi n activa 208 6 Marque o desmarque Enable disable this check para activar desactivar la nueva comprobaci n de supervisi n Haga clic en Siguiente LO Check if services are running on the target computer s Check that service PolicyAgent 9 with intemal name with display name host user name password D To access services properties Start gt Settings gt Control Panel gt Administrative Tools gt Services click here to load sample Cancel Finish Captura de pantalla 157 Configurar par metros de comprobaci n de supervisi n 7 Configure los par metros que se deben comprobar y haga clic en Next v Nota Este paso es diferente para cada tipo de comprobaci n que usted seleccione en el Paso 3 GFI EventsManager 10 Supervisi n activa 209 O Nota lA Target computers khat from parent E T Print Servers 0 a M E 192 168 3 2 Ay 192 168 3 22 V M 192 168 3 235 M 192 168 3 236 v 192 168 3 41 E x SharePoint Servers 0 C Terminal Services Servers 0 Web Servers 0 Windows 2000 Domain Controllers 0 _ Windows 2003 Domain Controllers 0 C a Windows 2008 Domain Controllers 0 H a Workstations 3 Captura de pantalla 158 Seleccionar origenes efectuados Seleccione Inherit from parent para usar la misma configuraci n que la carpeta principal 8 En la lista de origenes de eventos
357. s Network List Manager Policies gaff Wireless Network IEEE 802 11 Policies E Public Key Policies E Software Restriction Policies 5 Network Access Protection 9 TP Security Policies on Active Directory TCDO uly Policy based Qos E Administrative Templates Policy definitions ADMX aes fh m Captura de pantalla 287 Editor de administraci n de pol ticas de grupo 5 En el asistente New Inbound Rule seleccione Predefined y seleccione File and Printer Sharing GFI EventsManager 17 Varios 350 New Inbound Rule Wizard xi Rule Type Select the type of firewall rule to create Steps a Rule Type What type of rule would you like to create Predefined Rules Action C Program Rule that controls connections for a program C Port Rule that controls connections for a TCP or UDP port Captura de pantalla 288 Reglas predefinidas 6 Haga clic en Next 7 Seleccione todas las reglas y haga clic en Next 8 Seleccione Allow the connection y haga clic en Finish 9 Repita los Pasos 5 a 8 para cada una de las siguientes reglas Administraci n remota de registros de eventos Detecci n de redes 10 En Group Policy Management Editor expanda Computer Configuration gt Policies gt Windows Settings gt Security Settings gt Windows Firewall with Advanced Security haga clic con el bot n secundario en Outbound Rules y seleccione New Rule 11 Repita los Pasos 5 al 9 pero en el Paso 9 active solamente N
358. s a trav s de la Consola de administraci n de GFI EventsManager Esta secci n contiene informaci n acerca de Crear una nueva base de datos Proteger su base de datos gt Habilitar hashing de registro de la base de datos Cambiar de base de datos Configurar opciones de rotaci n de bases de datos 14 1 1 Crear una nueva base de datos GFI EventsManager le permite tener varias bases de datos para almacenar los registros de eventos procesados Mediante el Explorador de eventos la ficha Reporting y otras ubicaciones puede cambiar f cilmente de una base de datos a otra lo que le permite ver eventos o generar informes desde varias bases de datos Se pueden proteger con una capa adicional las bases de datos mediante el cifrado con una contrase a Para crear una nueva base de datos GFI EventsManager 14 Mantenimiento de base de datos 252 1 En la ficha Configuration gt Options gt Configurations haga clic con el boton secundario en File Storage y seleccione Configure file storage Configure file storage Specify the storage folder path where to store archived events Name esmstg New Path Program Files GFI DLibServer Databases Browse Switch server In order to protect your data you can password protect it by selecting the option below Y Encrypt data using the following password Password eeccccece Confirm password eeccceece o Waming Please note that you will
359. s configuraciones se le preguntar si desea reemplazar o combinar ambas configuraciones 15 6 Dise ar restricciones de consulta GFI EventsManager le permite crear consultas personalizadas mediante el cuadro de di logo Edit Query Restriction Las consultas son las instrucciones que GFI EventsManager env a al back end de base de datos cuando almacena y recupera datos Tambi n se utilizan para configurar reglas que permiten activar acciones y alertas cuando se detectan ciertos valores de atributos Los siguientes escenarios utilizan el cuadro de di logo Edit Query Restriction para la configuraci n granular Tabla 95 Usos de restricciones de consulta Configuring Permite crear consultas para filtrar la informaci n del informe y generar informes relativos a atributos reports espec ficos Configuring Impide que los usuarios de la Consola de administraci n de GFI EventsManager muestren informaci n no user autorizada sobre otros usuarios registros de eventos o actividades de red accounts Configuring Permite analizar los registros de eventos recopilados para detectar atributos que coincidan con los valo events pro res configurados en las consultas de procesamiento de eventos Esto le permite inspeccionar la actividad cessing de la red en detalle granular lo cual le permite resolver los problemas relacionados con la red de forma rules proactiva antes de que se conviertan en problemas graves GFI EventsManager 15 Configurar la Cons
360. s de auditor a y seguridad de la consola 243 Login Options General EA Configure the EventsManager login options To compel the users to login when the application starts enable the EventsManager login system Y Enable EventsManager login system D To use the EventsManager login system you must set the password of the EventsManagerAdministrator user ok Cancel Anny Captura de pantalla 189 Habilitar sistema de inicio de sesi n de EventsManager 3 Seleccione Enable EventsManager login system para permitir el inicio de sesi n 4 Haga clic en Apply y OK O Nota Para configurar o modificar las contrase as de usuario vaya a la ficha Configuration gt Users and Groups gt Users haga clic con el bot n secundario en la cuenta de usuario y seleccione Change Password Importante Una vez que el sistema de inicio de sesi n est habilitado los usuarios deben iniciar sesi n en la consola especificando su nombre de usuario y contrase a y deben tener configurada una direcci n de correo electr nico v lida para poder recuperar contrase as perdidas Para obtener m s informaci n consulte Administrar cuentas de usuario 13 1 1 Recuperaci n de contrase a Cuando est activado el sistema de inicio de sesi n de GFI EventsManager se les solicita a todos los usuarios que ingresen una contrase a y un nombre de usuario v lidos para acceder a la consola de administraci n GFI Event
361. s por correo electr nico debe tener acceso a un servidor de correo activo Alertas por SMS Notificaciones por SMS que informan a los destinatarios que ocurri un evento en particular En GFI EventsManager las alertas por SMS pueden enviarse a trav s de varios or genes incluso los tel fonos celulares con capacidades de m dem y puertas de enlace basadas en Internet de correo electr nico a SMS Archivo Una colecci n de eventos almacenados en la base de datos basada en SQL Server con copia de seguridad de GFI EventsManager Auditar administraci n de cuentas Genera eventos cuando se realizan operaciones de administraci n de cuentas como crea r eliminar una cuenta de usuario o grupo habilitar inhabilitar una cuenta de usuario y defi nir cambiar una contrase a de usuario Para obtener m s informaci n consulte http technet microsoft com en us library cc737542 WS 10 aspx GFI EventsManager 19 Glosario 360 Auditar eventos del sistema Genera eventos cuando ocurren eventos importantes del sistema como un usuario que rei nicia o apaga el equipo de destino o cuando se produce un evento que afecta el registro de seguridad Para obtener m s informaci n consulte http technet microsoft com en us library cc782518 WS 10 aspx Auditar seguimiento de procesos Genera eventos que llevan a cabo un seguimiento de ciertas acciones como los programas que se inician se cierran as como otra informaci n de acceso indirec
362. sManager 13 Opciones de auditor a y seguridad de la consola 244 A Login a s HN Enter your usemame and password Usemame EventsManagerAdministrator Password eee Remember my password Forgot your password Captura de pantalla 190 Solicitud de credenciales de inicio de sesi n Si olvida o pierde una contrase a 1 Ingrese su nombre de usuario 2 Haga clic en el v nculo Forgot your password GFI EventsManager le enviar un correo electr nico con su contrase a de inicio de sesi n a la direcci n de correo electr nico especificada durante la configuraci n de la cuenta de usuario 13 2 Ocultaci n de identidad En algunos pa ses las leyes de privacidad establecen que est en contra de la ley no cifrar la informaci n personal recuperada por las aplicaciones de supervisi n para la protecci n de la privacidad GFI EventsManager le permite cifrar informaci n personal al exportar o ver los registros de eventos Active la anonimizaci n para cifrar toda la informaci n personal El Explorador de eventos y el panel pueden reconocer dicha informaci n y no mostrarla En su lugar muestran mensajes lt cifrado gt o anonimizados Para configurar la anonimizaci n GFI EventsManager 13 Opciones de auditor a y seguridad de la consola 245 La File Configure Help Status Configuration Events Browser Event Sources Event Processing Rules Active Monitoring Options
363. sa y qui n lo gener El encabezado de codificaci n de colores le permite identificar r pidamente la gravedad del evento La secci n de descripci n le permite cambiar de una vista a otra General contiene la informaci n del evento en el formato heredado que era est ndar para los registros de eventos previos a Microsoft Windows Vista gt Fields contiene una lista de informaci n de eventos clasificados por campos El v nculo que aparece en la descripci n del evento le brinda acceso a gt Una descripci n m s detallada del evento 2 Informaci n y v nculos que explican la causa de este tipo de evento gt Consejos y sugerencias sobre c mo resolver cualquier problema existente 6 2 Usar el Explorador de eventos El an lisis de eventos es una tarea exigente GFI EventsManager est equipado con herramientas especiales que simplifican este proceso Use el Explorador de eventos para el an lisis forense de los eventos Todos los eventos a los que se pueden acceder con el Explorador de eventos se encuentran organizados seg n el tipo de registro en la secci n Views En las siguientes secciones se describe c mo usar el Explorador de eventos para administrar sus eventos Exportar eventos a CSV Crear informes a partir de vistas del explorador de eventos Eliminar eventos Buscar eventos almacenados gt Identificar reglas mediante la herramienta de b squeda de reglas 6 2 1 Exportar eventos a CSV GFI Even
364. samiento de eventos de GFI EventsManager Acceder a informaci n de estad sticas como el n mero de eventos de inicio de sesi n los eventos cr ticos y los eventos de estado de servicio Para acceder a la vista General vaya a la ficha Status gt General GFI EventsManager 7 Supervisi n de actividades 137 3 GFI EventsManager kalok File Configure Help Status Configuration Events Browser Reporting General W General Job Activity I Statistics Send us feedback W Open Quick Launch Console O Help A General Status The General Status displays the primary monitoring requirements associated with EventsManager displays global log collection counts and lists the activities performed by EventsManager Select view type for top events charts Bars y E Logarithmic scale Top Important Logon Events 2 4 GFI EventsManager Service Status 8 Successful logons outside work hot y Al computers r Y GFI EventsManager service is running V Syslog V SNMP Traps Y Database server is running 180 162 E Administrator jh BB John Smith E HomeGroupusers Events Count By Database Fill Up 2 ge E John Smith 3 Windows Events 9 72 Text Logs Events Syslog Messages SNMP Traps Messages y SQL Server Messages i Oracle Server Messages Monitoring Checks Events Hour Omand Critical and High Importance Events 9 y Omand Top Services Status Events O y o Top Network
365. schema Simple syslog messa y Advanced Tell me more Post collection processing D Archive all logs without any further processing Process the logs with the rules selected below before archiving C Syslog Messages a H V Linux Unix hosts H V Juniper Networks a D The EventsManager Syslog server runs by default on pot 514 ok Cancel Apy Captura de pantalla 75 Recopilar Syslogs Opciones de Syslogs 2 Haga clic en la ficha Syslog y seleccione Accept Syslog messages to EventsManager para permitir la recopilacion de Syslogs de ese origen de eventos o grupo de origenes de eventos 3 En el menu desplegable Syslog parsing schema seleccione el m todo con que el servidor Syslog de GFI EventsManager interpreta los mensajes Syslog de los dispositivos de red Seleccione una de las siguientes opciones Mensaje Syslog simple Mensaje estandar de Linux Firewall de red Juniper Cisco ASA 4 Haga clic en Advanced para usar la pagina de codigos de Windows personalizada Especifique el codigo y haga clic OK v Nota La p gina de c digos de Windows se usa para codificar caracteres internacionales en cadenas ASCII Puesto que Syslog no es compatible con Unicode GFI EventsManager usa una p gina de c digos para decodificar los eventos Esto solamente es aplicable si GFI EventsManager se instal en una m quina que usa un lenguaje distinto
366. seleccione los equipos que desea supervisar con esta nueva comprobacion Haga clic en Siguiente GFI EventsManager 10 Supervisi n activa 210 D O ai gas i a New check o Schedule scanning Inherit from parent F Scanning interval click here to load sample Cance J _ Frish Captura de pantalla 159 Definir el intervalo de tiempo del an lisis O Nota Seleccione Inherit from parent para usar la misma configuraci n que la carpeta principal 9 Configure el programa de intervalo del an lisis para la nueva comprobaci n De forma predeterminada la comprobaci n analiza los or genes seleccionados una vez cada 5 segundos GFI EventsManager 10 Supervisi n activa 211 z New check wizard Action events Inherit from parent Generate an audit event from this machine device when the check fails or succeeds Continuous G F gt Only once Once every 5 minutes O Once every 10 messages Y When the check switch state generate an audit event from this machine device Failed severity 2 Critical y Success severity 6 Informational z click here to load sample Crs C Captura de pantalla 160 Configurar acciones de registro de eventos v Nota Seleccione Inherit from parent para usar la misma configuraci n que la carpeta principal 10 Una comprobaci n de supervisi n genera un registro de eventos independientemente de si t
367. si n activa 0 0 ccccececececcececececeee 196 10 2 Crear y configurar una carpeta ra z 22 0 2 ooo cece cc aao aaan aLaaa DALDAL Laa aoaaa 198 10 3 Agregar subcarpetas a una carpeta raiz 22 2 eee ec ec ec cece cccececececeecesesesesees 202 10 4 Crear y configurar comprobaciones de supervisi n activa 2 0 0 2 2 ececeeeeeeee 207 10 5 Aplicar comprobaciones de supervisi n activa 2 0 2 0 cco eee ec eccccececececcceececeees 213 10 6 Eliminar carpetas y comprobaciones de supervisi n 2 0 0 2cececeecececececeee 215 11 Alertas y acciones predeterminadas ooo cocci cece ccc ccc cece cccceccccceccncetseeseeseeses 216 11 1 Configurar acciones de clasificaci n predeterminadas 0 2 2 2 2 2c0eeee ee 216 11 2 Configurar opciones de alerta oooooccccccccccccccccccnccnccnccnccncconcnncn cnn ncnncnncnncnnnnss 218 11 2 1 Alertas por correo electr nico oooocococococcccccccococococncncnccccncncncncncnccncncnoo 220 11 2 2 Alertas a Traves de la red e e de cod 221 112 3 Alertas POF SMS 2x2 de o ssi Tit 222 11 2 4 Alertas a trav s de SNMP Conocer ts Oak gh hs o eae cerebro ad ces ee AS no 223 112 0 CONTIBUFACI N DEBA A e ta nace ee rn 223 12 Grupos de USUAMIOS ci 225 12 1 Configurar la cuenta del administrador _ 2 0 2 2 20 0 ccc ccc cence eccecceccecceceeseeseees 225 12 2 Administrar cuentas de usuario ccoo e eee LLALL 232 12 2 1 Crear una nueva cuenta de usuario
368. siguiente art culo http go efi com pageid esm_process_rights 1 3 Convenciones utilizadas en esta gu a En la tabla siguiente se describen los t rminos y las convenciones comunes utilizados en esta Gu a Tabla 2 T rminos y convenciones que se usan en este manual T rmino Descripci n y Informaci n adicional y referencias esenciales para la operaci n de GFI EventsManager Notificaciones y precauciones importantes sobre los problemas comunes que pueden surgir gt Instrucciones de navegaci n paso a paso para acceder a una funci n concreta Texto en Elementos que se seleccionan como nodos opciones de men o botones de comando negrita Texto en cur Par metros y valores que debe reemplazar por valores por el valor aplicable como rutas de acceso y siva nombres de archivo personalizados C digo Indica los valores de texto que se escriben como comandos y direcciones GFI EventsManager 1 Introducci n 25 2 Instalaci n de GFI EventsManager En este capitulo se describen los posibles escenarios de implementaci n admitidos por GFI EventsManager Es indispensable revisar los requisitos del sistema y la configuraci n del equipo antes de instalar el producto para garantizar la plena comunicaci n entre GFI EventsManager y los dispositivos equipos de red que deben ser supervisados Temas de este cap tulo 2 1 Escenario de implementaci n occ non nnnnnnnnnnnes 26 2 2 Requisitos del sistema 020 200 occ
369. sing 1 monitoring events from machi Captura de pantalla 100 Estado de GFI EventsManager Vista de actividad de tareas La informaci n proporcionada en esta vista se divide en las siguientes secciones espec ficas Tabla 44 Supervisi n de estado Vista de actividad de tareas La secci n Active Jobs proporciona una lista de todas las tareas de recopilaci n de eventos que se llevan a cabo en cada origen de eventos maquina La informaci n proporcionada incluye el progreso de la tarea asi como el origen del registro del que se est n recopilando eventos La secci n Operational Histoy muestra un seguimiento de las auditor as de las operaciones de recopilaci n de eventos ejecutadas por GFI EventsManager La informaci n proporcionada incluye los errores y los mensajes de informaci n generados durante el proceso de recopilaci n de eventos as como el nombre del archivo de registro que se estaba procesando en el origen del evento NOTA Los registros del historial operativo se pueden exportar al utilizar el bot n Export data Para obtener m s informaci n consulte Generar informes ORS La secci n Queued Jobs proporciona una lista maquina por maquina de todas las tareas de recopilaci n de eventos pendientes La informaci n proporcionada incluye el origen de eventos de los cuales se recopilar n los eventos as como el tiempo de espera y el tipo de registro que se debe recopilar La secci n Server Message History muestra
370. specifique una contrase a de anonimizaci n secundaria para anonimizar los datos de importaci n mediante dos claves Ejemplo EsmDlibM exe importFromLegacyFile path C ImportData Configuration cfg password p ss anonpassl pss 16 2 5 exportToFile Esta funcion le permite exportar datos desde un servidor de bases de datos DLib hasta otro como parte del proceso de centralizaci n de datos Tambi n puede utilizar esta funci n para obtener copias de seguridad de sus datos con fines de protecci n Se admiten los siguientes par metros Tabla 109 exportToFile Par metro Descripci n path lt ruta gt Especifique la ruta de la carpeta donde se exportan los datos nota Los par metros que contienen espacios deben escribirse entre comillas dobles sourceEncPass lt Opcional Especifique una contrase a para cifrar los datos de origen contrase a gt destinationEncPass lt Opcional Especifique una contrase a para cifrar los datos de destino contrase a gt anonpass1 lt contra Opcional Si la base de datos de origen est anonimizada escriba la contrase a de ano se a gt nimizaci n primaria para descifrar los datos exportados GFI EventsManager 16 Herramientas de la linea de comandos 326 Parametro Descripcion anonpass2 lt contra Opcional Sila base de datos de origen esta anonimizada con dos claves de anonimizacion sena gt escriba la contrase a de anonimizacion secundaria para des
371. ss Failure b b 3 Advanced Audit Policy Configuration Captura de pantalla 281 Ventana de politica de seguridad local 3 En el panel derecho haga doble clic en Audit object access 4 En Audit object access Properties seleccione Success y Failure Haga clic en Aceptar GFI EventsManager 17 Varios 344 i Audit object access Properties Local Security Setting Explain ri Audit object access a This setting might not be enforced if other policy is configured to ds ovenide category level audit policy For more information see Audit object access Q921468 Captura de pantalla 282 Auditar propiedades de acceso a objetos 5 En el panel derecho haga doble clic en Audit Process tracking 6 En Audit process tracking Properties seleccione Success y Failure Haga clic en Aceptar 7 En Audit process tracking Properties seleccione Success y Failure Haga clic en Aceptar 8 En el panel derecho haga doble clic en Audit account management 9 En Audit process tracking Properties seleccione Success y Failure Haga clic en Aceptar 10 En el panel derecho haga doble clic en Audit system events 11 En Audit process tracking Properties seleccione Success y Failure Haga clic en Aceptar 12 Cierre la ventana Local Security Policy 17 1 4 Activar permisos en Microsoft Windows Server 2003 Para activar manualmente las reglas del firewall en Microsoft Windows Server 20
372. ssword eeeeeeeecccccce Connection parameters Host Oracle Server Port 1521 9 SID Orc1 Service Name Captura de pantalla 66 Ficha Oracle Server properties Connection Settings 5 Seleccione Connection Settings y configure las opciones que se describen a continuaci n Tabla 33 Ficha Oracle Server properties Connection Settings Inherit the logon credentials Seleccione esta opci n para heredar la configuraci n de inicio de sesi n del grupo from the parent group primario Port Ingrese el puerto que se utilizar para conectarse a la base de datos de Oracle SID El SID es un nombre nico para identificar una instancia de base de datos de Oracle Ingrese el SID de la base de datos a auditar Service Name El nombre de servicio es el alias utilizado para identificar la base de datos de Oracle Ingrese el nombre de servicio de la base de datos a auditar Test Pruebe la conexi n con el servidor de la base de datos de Oracle GFI EventsManager 4 Administrar origenes de eventos 100 y OracleServer x A General Connection Settings Audit by Objects Audit by Statements al Configure Oracle user sessions schema objects and SQL 3 operations to audit Object APEX_030200 APEX_APPLICATION_GET_PG_Tt L Operations ALLALTER AUDIT COMMENT DELETE EXECUT Options BY ACCESS y SUCCESS y Sop A Current audited schema objects Object name Object type Alter Audi
373. stica 4 Haga clic en Apply y OK 8 3 2 Crear una carpeta GFI EventsManager le permite crear tantas carpetas recurrentes como sea necesario Para crear una carpeta 1 En la ficha Reporting gt Reports haga clic con el bot n secundario en una ra z o subcarpeta y seleccione Create Folder 2 En la ficha General especifique el nombre y una descripci n opcional para el nuevo grupo 3 Haga clic en la ficha Schedule y configure los par metros de programaci n requeridos 4 Haga clic en Apply y OK 8 4 Crear un informe ra z Los informes ra z se comportan de la misma manera que las carpetas ra z Estos se crean en el nivel superior y pueden contener una serie de informes secundarios Por ejemplo usted puede crear un informe ra z que se genere de forma mensual y que contenga informaci n acerca de inicios de sesi n exitosos conexiones fallidas y bloqueos de cuentas Sus informes secundarios solamente contendrian informaci n sobre partes espec ficas del informe ra z como nicamente los inicios de sesi n fallidos generados a diario Para crear un informe ra z 1 En la ficha Reporting gt Common Tasks haga clic en Create Root Report GFI EventsManager 8 Generaci n de informes 151 General Layout Char Schedule Options Other n Create new Report to organize in a simpler way the collected events Name New General Description Ascending CIE Eb date Oc
374. storage and to import from SQL Server or legacy export files legacy file storage The maintenance jobs will be executed sequentially in the priority order ID Job description Filter State Ej E8D7E104 Import files from folder C Users John Smith Desktop Enabled 9 DEC8DFE6 Export to file in C Users John Smith Desktop Enabled Ej 39B7062A Import from SQL database EventsManager on server TEM Enabled Ej F5084116 Import legacy files from folder C Users John Smith Desktop Enabled Captura de pantalla 251 Prioridades de las tareas de mantenimiento De forma predeterminada las tareas de mantenimiento se llevan a cabo segun la secuencia con la que se crean las tareas primero en entrar primero en salir Por lo tanto la secuencia en la que se ejecutan las tareas determina la prioridad de las tareas de mantenimiento Para aumentar o disminuir la prioridad de una tarea de mantenimiento 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations seleccione Database Operations 3 En el panel derecho haga clic con el bot n secundario en la tarea de mantenimiento y seleccione Increase Priority o Decrease Priority seg n corresponda 14 3 4 Eliminar una tarea de mantenimiento Para eliminar tareas de mantenimiento 1 Haga clic en la ficha Configuration y seleccione Options 2 En Configurations seleccione Database Operations 3 En el panel derecho haga clic con el bot n secundario en la tarea de mantenimient
375. suarios a la vez Para obtener mas informaci n consulte Administrar grupos de usuarios 2 Configure las opciones de seguridad de la consola GFI EventsManager le permite configurar las opciones de seguridad de la consola para facilitar la Y protecci n de la informaci n confidencial gt Habilite el sistema de inicio de sesi n de GFI EventsManager para que se pueda realizar un seguimiento individual de los usuarios Para obtener m s informaci n consulte Habilitar el sis tema de inicio de sesi n Configure opciones de anonimizaci n para que los usuarios no autorizados no tengan acceso a la informaci n confidencial dentro de la consola de administraci n Para obtener m s infor maci n consulte Anonimizaci n gt Habilite la auditor a de usuarios para que se pueda crear un registro de actividad de cada usuario que cambie las configuraciones del sistema Para obtener m s informaci n consulte Auditar la actividad de la consola GFI EventsManager 3 Obtenci n de resultados 63 3 Configure alertas y acciones predeterminadas GFI EventsManager le permite realizar un seguimiento de la actividad de la red en tiempo real al activar alertas ejecutar secuencias de comandos y llevar a cabo otras operaciones cuando se recopilan ciertos registros de eventos Configure los destinatarios de alertas y la configuraci n de notificaci n por SMS correo elec tr nico redes y mensajes SNMP Para obtener m s informaci n consulte Con
376. t password lt contra como eliminados nota Los par metros que contienen espacios deben escribirse entre comillas dobles Opcional Si la base de datos est protegida por una contrase a escriba la contrase a se a gt anonpass1 lt contra Opcional Si la base de datos est anonimizada escriba la contrase a para quitar la se a gt anonimizaci n anonpass2 lt contra Opcional Si la base de datos est anonimizada mediante dos claves de anonimizaci n escriba se a gt la clave secundaria Ejemplo EsmDlibM exe commitDeletedRecords dbpath C DatabaseServerFolder password p ss anonpassl pa 16 2 8 exoportToSQL Esta funci n le permite exportar el evento especificado a SQL Server Se admiten los siguientes par metros Tabla 112 Par metros exportToSQL Par metro Descripci n server lt nom bre_servidor gt database lt bd_ principal copia_ seguridad_bd gt dbauth lt SQL WIN gt username lt nom bre_usuario password lt contrasena gt GFI EventsManager Especifique la direcci n IP o el nombre del equipo que ejecuta SQL Server nota Los par metros que contienen espacios deben escribirse entre comillas dobles Especifique el nombre de la base de datos de destino Nota Los par metros que contienen espacios deben escribirse entre comillas dobles Especifique el modo de autenticaci n configurado en el origen SQL Server Se adm
377. t Corr APEX_030200 APEX_APPLICA VIEW AR Ar Captura de pantalla 67 Ficha Oracle Server properties Audit by Objects 6 Seleccione Audit by Objects y configure las opciones que se describen a continuaci n Tabla 34 Ficha Oracle Server properties Audit by Objects Object Haga clic en Browse para abrir una lista de los objetos de Oracle disponibles Seleccione el objeto a auditar y haga clic en OK NOTA Entre otras cosas los objetos de Oracle pueden ser procedimientos vistas funciones y tablas Operations Las operaciones son acciones que modifican o consultan un objeto Haga clic en Browse para abrir una lista de operaciones disponibles Seleccione las operaciones a auditar y haga clic en OK Opciones Seleccione las opciones de auditor a gt By Access crea un registro de auditor a por cada ejecuci n de operaci n de un objeto gt By Session crea un registro de auditor a por cada operaci n y por cada objeto de esquema Una sesi n es el tiempo entre una conexi n y una desconexi n de la base de datos gt Success seleccione esta opci n para procesar solamente auditor as exitosas gt Failure seleccione esta opci n para procesar solamente las auditor as fallidas Oracle crea un registro de auditor a si la auditor a no se completa gt Both seleccione esta opci n para procesar todos los registros de auditor a Elija esta opci n para indicarle al servidor de Or
378. t Properties x General Layout Chart Schedule Options Other E Configure the general properties for this report Name Computer Account Created Description The report shows the computer accounts which were created The report is based on the computer account created event which usually signals the fact that a xd Select sort column Date X T Ascending Captura de pantalla 276 Definir restricciones Personalizar la condici n 6 Una vez que est n definidas todas las restricciones utilice las opciones que se describen a continuaci n para personalizar las condiciones de consulta Tabla 98 Definir restricciones Herramientas de condici n de consulta AND Seleccione la condici n que desea configurar y seleccione AND La condici n seleccionada Y las condiciones siguientes se deben cumplir para que la consulta sea v lida OR Seleccione la condici n que desea configurar y seleccione OR La condici n seleccionada O las condiciones siguientes se deben cumplir para que la consulta sea v lida GFI EventsManager 15 Configurar la Consola de administraci n 317 Opciones Descripcion AND NOT Seleccione la condici n que desea configurar y seleccione AND NOT Ello significa que la condici n seleccionada debe coincidir con los par metros de restricci n pero que las siguientes condiciones no lo deben hacer ORNOT Seleccione la condici n que desea configurar y s
379. talla 216 Filtrar datos exportados 9 Configure las siguientes opciones de filtro y haga clic en Next Tabla 84 Filtrar datos exportados Opci n Descripci n Export all Exporta todos los eventos de la base de datos events Events Solamente se exportan los eventos anteriores al n mero especificado de dias semanas meses older than Events in Solamente se exportan los eventos que ocurrieron en el ltimo n mero especificado de d a the last s semanas meses Mark Permite ocultar los eventos de la base de datos de origen despu s de exportarlos Para eliminar events as completamente estos eventos de la base de datos debe ejecutar una tarea de confirmar eliminaciones deleted Para obtener m s informaci n consulte Confirmar eliminaciones Advanced Haga clic en Advanced para iniciar el cuadro de di logo Advanced Filtering Le permite configurar par metros de filtro granulares para exportar nicamente eventos espec ficos Para obtener m s informaci n consulte Dise ar restricciones de consulta GFI EventsManager 14 Mantenimiento de base de datos 270 Completing the New Job Wizard Select when the job should be executed Y Scheduled job The job will be saved and executed according to the Enterprise Maintenance schedule options Run the job now The job will be executed only once Captura de pantalla 217 Ejecutar opciones de tarea 10 Seleccione cuando se ejecuta la tarea y ha
380. tambi n se pueden agregar de forma autom tica no bien son detectados por GFI EventsManager Para obtener m s informaci n consulte Agregar or genes de eventos autom ticamente 2 Configure los or genes de eventos Configure las propiedades de or genes de eventos para habilitar la supervisi n activa y el procesamiento de eventos Consulte las siguientes secciones para obtener informaci n acerca de Configurar propiedades de or genes de eventos Configurar supervisi n de or genes de eventos Recopilar registros de eventos GFI EventsManager 3 Obtenci n de resultados 65 GFI EventsManager 3 Configure alertas y acciones predeterminadas Una de las caracter sticas clave de GFI EventsManager es la capacidad de enviar notificaciones y realizar acciones predefinidas cuando se recopilan ciertos registros de eventos Planifique c mo se env an las notificaciones y configure el servidor de correo electr nico la puerta de enlace SMS o la configuraci n de la red seg n corresponda Agregue los destinatarios en GFI EventsManager a los que se env an las notificaciones Una vez completado este paso configure las acciones predeterminadas que se deben llevar a cabo cuando se procesan eventos espec ficos Consulte la siguiente secci n para obtener informaci n acerca de Configurar la cuenta del administrador Administrar cuentas de usuario Configurar opciones de alerta Configurar acciones de clasificaci n
381. tan contra los registros de eventos cuando estos se recopilan Segun las condiciones configuradas en una regla las reglas de procesamiento de eventos lo ayudan a Clasificar eventos procesados se asigna una clasificaci n de gravedad a los registros recopilados Esto le permite activar acciones o notificaciones si se procesa un determinado registro de gra vedad De forma predeterminada los eventos se clasifican seg n cinco clasificaciones principales sin embargo es posible agregar m s clasificaciones No incluir el ruido sucesos repetidos o eventos no deseados se eliminan los registros dupli cados o los registros que no son importantes para usted y se archivan solamente los datos de los eventos importantes Esto reduce el crecimiento de la base de datos y reduce el espacio de alma cenamiento gt Activar alertas por correo electr nico SMS o la red cuando se producen eventos clave se env an notificaciones a los destinatarios configurados cuando se detectan determinados eventos Puede configurar una regla de procesamiento de eventos para enviar notificaciones a los des tinatarios cuando se cumplan las condiciones de la regla Intentar acciones correctivas se ejecutan los archivos ejecutables los comandos y las secuen cias de comando cuando se detectan eventos espec ficos Esto le permite implementar auto m ticamente acciones correctivas para mitigar o eliminar por completo un problema detectado Filtrar eventos qu
382. tar a SQL Opciones del servidor Descripcion Server Escriba el nombre de la maquina que esta ejecutando SQL Server Base de datos Escriba el nombre de la base de datos de origen Use Windows Se usan las mismas credenciales de inicio de sesi n que se usan para iniciar sesi n en Windows SQL authentication Server debe admitir este tipo de modo de autenticaci n para poder conectarse y copiar informaci n desde el servidor Use SQL Ser Se usan las credenciales de inicio de sesi n configuradas en su SQL Server Escriba el nombre de usua ver authen rio en el campo User y la contrase a en el campo Password tication fe New job wizard x Anonymized data Decrypt anonymized data A Decrypt anonymized data 4 Enable decryption V Use secondary decryption key Decryption key aiii Confirm key Captura de pantalla 235 Descifrar bases de datos anonimizadas 7 Opcional Si la base de datos de SQL Server est anonimizada seleccione Enable decryption y especifique la contrase a que se us para anonimizar la base de datos 8 Opcional Si la base de datos de SQL Server est anonimizada con dos contrase as seleccione Use secondary decryption key y especifique la clave de seguridad secundaria que se us para anonimizar la base de datos Haga clic en Siguiente GFI EventsManager 14 Mantenimiento de base de datos 284 Filter data Specify filtering conditions for the imported exported data
383. te n es el n mero de versi n principal de GFI LanGuard Ejemplo HKEY_LOCAL_MACHINE SOFT WARE GFI LNSS9 Config EventLog 1 dword O Nota Para evitar que GFI LanGuard genere entradas Application Log elimine el valor de registro que se describi anteriormente o cambie el valor del registro a 0 Paso 2 Configurar GFI EventsManager para que recopile registros de aplicaci n GFI LanGuard imprime registros de eventos de Windows en la categor a de registros de aplicaci n Aseg rese de que el conjunto de registros de aplicaci n est habilitado en el origen de eventos de GFI LanGuard Para habilitar el procesamiento de eventos de GFI LanGuard 1 Abra la Consola de administraci n de GFI EventsManager GFI EventsManager 5 Recopilar registros de eventos 121 2 Haga clic en la ficha Configuration gt Event Sources 3 Haga clic en el origen de eventos de GFI LanGuard y seleccione Properties W706 Ez ogon Credentials Licensing Type Windows Evert Log Tex Logs Syslog SNMP Traps Montonng ial Specify the Windows event logs to collect archive and process E Inherit event log collection and processing from parent group Specify the logs to collect o Mua Windows Logs 48 Applications and Services Logs Captura de pantalla 85 Agregar registros de aplicaci n de Windows 4 En la ficha Windows Event Log haga clic en Add y seleccione Windows Logs Haga clic en Aceptar GF
384. te events that are marked as deleted Captura de pantalla 219 Exportar a SQL 5 Seleccione Export to SQL y haga clic en Next Export to SQL Export data from this instance to SQL Database settings Please specify the name or IP of the machine containing the SQL Server MSDE database to use Server ServerName DatabaseName Table TableName Use Windows authentication 0 Use SQL Server authentication User sa Password eeeesecesccccccccs Captura de pantalla 220 Especificar detalles de SQL Server 6 Configure las siguientes opciones de servidor y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 273 Tabla 87 Exportar a SQL Opciones del servidor Server Escriba el nombre de la maquina que esta ejecutando SQL Server Base de datos Escriba el nombre de la base de datos de destino Cnota Si la base de datos especificada no existe GFI EventsManager la crea para usted Table Escriba el nombre de la tabla de destino rota Si la tabla especificada no existe GFI EventsManager la crea para usted Use Windows Se usan las mismas credenciales de inicio de sesi n que se usan para iniciar sesi n en Windows SQL authentication Server debe admitir este tipo de modo de autenticaci n para poder conectar y copiar la informaci n al servidor Use SQL Ser Se usan las credenciales de inicio de sesi n configuradas en su SQL Server Escriba el nombre de usua ver authen rio en el campo Use
385. te para quitar de la lista un informe generado GFI EventsManager 8 Generaci n de informes 174 8 8 Definir encabezados de columna GFI EventsManager le permite crear columnas personalizadas a trav s del cuadro de di logo Add Custom Columns Este cuadro de di logo le permite especificar condiciones crear un campo nuevo y agregarlos a su informe Tambi n seg n las condiciones este cuadro de di logo le permite personalizar m s eficientemente los informes existentes o nuevos Para agregar columnas personalizadas 1 En la ficha Reporting gt Actions haga clic en Create Report 2 Haga clic en la ficha Layout gt Add Existing Column para agregar columnas predeterminadas 3 Haga clic en Add Existing Column para iniciar el cuadro de di logo Add Custom Columns Add Custom Column sz Column name Y Is Visible F ls Group Column definitions t Field Name Filter Add Definition 0 Field Name New Field Name Fixed Value Special Column Occured Edit restrictions oR x E net MPAA date Occured OR time lt 21 03 25 AND rule name New Rule AND log format Text Logs CEE za base Gen ls OK Cancel Captura de pantalla 130 Definir condiciones de columnas personalizadas 4 En el cuadro de dialogo Add Custom Column haga clic en Add 5 En el cuadro de dialogo Add Definition configure las opcio
386. tener que acceder a la ficha de configuraci n Esto es til cuando se comparan registros de eventos o se eval a la situaci n general de la administraci n de eventos en su entorno Para cambiar de base de datos desde el panel 1 Haga clic en Status gt General CA GFI EventsManager Service Status Y GFI EventsManager service is running Y Syslog W SNMP Traps Y Database server is running Captura de pantalla 203 Cambiar de base de datos desde el panel 2 En la secci n GFI EventsManager Service Status haga clic en Database server is running 3 En el cuadro de dialogo Configure file storage haga clic en Switch server y especifique los valores de Name o IP address del servidor de bases de datos Haga clic en OK para aceptar GFI EventsManager 14 Mantenimiento de base de datos 259 4 Haga clic en Apply y OK 14 1 5 Configurar opciones de rotaci n de bases de datos Cuando se procesan eventos de un gran n mero de or genes de eventos es importante configurar las opciones de rotaci n de la base de datos Estas opciones le indican a GFI EventsManager que cambie autom ticamente a una nueva base de datos cuando se cumpla una determinada condici n Esto contribuye a mantener un conjunto de bases de datos de tama o fijo lo cual permite que GFI EventsManager tenga un mejor rendimiento Cuando una base de datos adquiere un tama o muy grande las consultas demoran m s tiempo en completarse Por lo tanto esto afecta el rendi
387. tente New job wizard Job Type Select the job type A Please select the type of action that this job should perform O Import Export Job Import data from another database instance Export data from this instance to files and import data as part of the data centralization process D Legacy Import Job Import data from older version of the product Data can be imported from SQL Server database legacy files or legacy file storage Captura de pantalla 229 Crear tareas de importaci n exportaci n 4 Seleccione Import Export Job y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 280 Import Export Job Type Select the job type Please select the type of action that this job should perform Import from file Import data as part of the data centralization process The file to import from needs to be created by the Export to file job Export to file Export data from this instance to files in order to import them at another location as part of the data centralization process You can also burn the exported files for safekeeping Export to SQL Export data from this instance to SQL Copy data Copy data to another storage Physically delete events that are marked as deleted Captura de pantalla 230 Crear tareas de confirmaci n de eliminaci n 5 Seleccione Commit deletions y haga clic en Next Commit deletion Physically delete events that are marked as delet
388. ter GFI EventsManager 2 Instalaci n de GFI EventsManager 55 Quick Launch Console x Welcome to GFI EventsManager At any time you can perform the following main actions k Browse events y Access the builtin events browser and forensic tools that will help you to locate analyze and filter key events Sa G te ts Tell me more Access reporting features including instant scheduled report generation and automated report distribution Tell me more A View dashboard Access the dashboard to view a graphical representation of the most important events Tell me more xs Customize Use this option to customize GFI EventsManager settings e g enable Syslog and SNMP Trap processing key event notifications etc Tell me more V Show this dialog on next startup EN Service is running 0 events processed so far on 2 event source s Click here to go to the status to find out more Captura de pantalla 33 Acciones principales de la consola 2 Despu s de que los registros del host local comiencen a procesarse usted puede Tabla 13 Opciones de la consola de inicio r pido k Buscar eventos gt Permite acceder a las herramientas forenses y de eventos incorporadas que lo ayudan a localizar analizar y filtrar los eventos clave Para obtener m s informaci n consulte Buscar eventos almacenados y Generar informes a Permite acceder a las caracter sticas de informes incluso la generaci n de info
389. ternativas 0 0 ccceeceeeeeeeee 77 Configurar el tipo de licencia de los or genes de eventos oooccccccccccccnccnccnoo 79 Especificar tiempo operativo ooooccccccccccccccccccccccncccnnnccnnnncnnnnncnnnncnnnnel 80 Ficha Event source properties Monitoring ccc ccecceceeecccccceeececees 82 Fichas de configuraci n de procesamiento de eventos 2 ecceceeeeeeeeees 83 Grupos de servidores de base de datos 0 02 2 0 0 e cece cece eee cece cece ee eeeeeee es 84 Configurar par metros de inicio de sesi n en la ficha Logon Credentials 85 Configurar horas normales de trabajo de la ficha Operational Time 86 Configurar auditor a de SQL Server en la ficha SQL Server Audit 2 2 87 Agregar nuevo servidor de Microsoft SQL ooccoccccccccccccccccncocccnnccccnnccccno 89 Propiedades de la base de datos de Microsoft SQL Ficha General 90 Propiedades de la base de datos de Microsoft SQL Ficha Connection Settings 91 Propiedades de la base de datos de Microsoft SQL Ficha Settings 92 Grupos de servidores de base de datos oococccccccccccccccccccoccconnccnnnnnnnnnnoos 93 Ficha Oracle Database group General ooocccccccccocccccccccocccccccnncnncccccnnoo 94 Ficha Oracle Database group Logon Credentials oooccccccccccccccccccccccccccoo 95 Ficha Oracle Database group Operational Time 00 2 0
390. tes auto Instala autom ticamente las actualizaciones descargadas matically Only notify me when Las actualizaciones disponibles se muestran en la secci n Missing Updates pero no se updates are available instalan GFI EventsManager 15 Configurar la Consola de administraci n 298 Opciones Descripcion Show messages in the Muestra un mensaje en la parte inferior de la p gina de la aplicaci n Haga clic en el application mensaje que se muestra para iniciar las actualizaciones Send alerts on GFI Even Env a una alerta por correo electr nico a la cuenta configurada del administrador de GFI tsManager Administrator EventsManager Para obtener m s informaci n consulte Configurar cuenta de user administrador 3 Si se deben descargar las actualizaciones del producto a trav s de un servidor proxy haga clic en la ficha Proxy Server Configure Updater xa General Proxy Server Define a proxy server GF EventsManager will use this proxy server to connect and download updates Y Use a proxy server Proxy Settings Address 192 168 11 11 Port 8080 Y Enable Authentication User Name DOMAIN Administrator Password p if the proxy is invalid or offline GF EventsManager will use default connection settings defined in Intemet Options Captura de pantalla 255 Configurar el servidor proxy para descargar las actualizaciones del producto 4 Seleccione Use a proxy server y escriba
391. the GFI EventsManager SNMP Traps server and specify the port on which the server will run Y Enable in built SNMP Traps server on the TCP port 162 Y Enable in built SNMP Traps server on the UDP port 162 Q To configure receiving of SNMP Traps 1 Configure SNMP Traps clients to send messages to this server on the specified port 2 Specify the client name IP addresses in a computer group which is configured to accept SNMP Traps ok cms Captura de pantalla 81 Opciones de capturas SNMP 3 Habilite el servidor SNMP TCP UDP requerido Especifique el puerto TCP UDP en el cual GFI EventsManager recibir los mensajes SNMP 4 Haga clic en la ficha Advanced para agregar editar o eliminar los ID de objeto de captura OID por sus siglas en ingl s SNMP 5 Haga clic en la ficha Specific Trap Type para agregar editar o eliminar tipos de captura 6 Haga clic en Apply y OK v Nota Al configurar los par metros del puerto del servidor de captura SNMP aseg rese de que el puerto TCP o UDP configurado no se est ya en uso por otras aplicaciones instaladas Ello puede afectar la entrega de mensajes de captura SNMP a GFI EventsManager 5 5 Recopilar registros personalizados GFI EventsManager est configurado para recopilar y procesar registros de eventos est ndar Sin embargo tambi n se puede configurar GFI EventsManager para administrar eventos registrados en aplicaciones de terceros como los registros
392. tiva para la instalaci n avona GET Click Install to begin the installation Click Back to review or change any of your installation settings Click Cancel to exit the wizard Captura de pantalla 8 Iniciar instalaci n del servidor de base de datos DLib 6 Haga clic en Install para iniciar la instalaci n del servidor de base de datos DLib Haga clic en Finish cuando se le solicite GFI EventsManager 2 Instalaci n de GFI EventsManager 39 v Nota Una vez instalado el servidor de bases de datos el instalador abre autom ticamente el asistente de instalaci n de la Consola de administraci n de GFI EventsManager 7 Haga clic en Yes para desinstalar la versi n anterior de GFI EventsManager y continuar con la instalaci n de la nueva versi n Haga clic en No para detener la instalaci n v Nota No es posible ejecutar dos instancias de la Consola de administraci n en el mismo equipo GFI EventsManager 2011 InstallShield Wizard mA Do you want to completely remove the selected application and all of its features Captura de pantalla 9 Eliminar archivos de la versi n anterior 8 Haga clic en Yes para confirmar la eliminaci n de los archivos de la versi n anterior de GFI EventsManager o haga clic en No para detener la instalaci n TH GFI EventsManager 2013 Setup oa a Welcome to the GFI EventsManager 2013 Setup Wizard The Setup Wizard will install GFI EventsManager 2013 on your c
393. to 162 Ambas configuraciones de los puertos son sin embargo personalizables a trav s de la Consola de administraci n de GFI EventsManager 1 2 2 Etapa 2 Procesamiento de eventos Durante esta etapa GFI EventsManager ejecuta un conjunto de reglas de procesamiento de eventos contra los eventos recopilados Las reglas de procesamiento de eventos son instrucciones que Analizan los registros recopilados y clasifican los eventos procesados en un nivel de importancia cr tica alta media baja y ruido eventos no deseados o repetidos Filtran eventos que responden a condiciones espec ficas Activan alertas por correo electr nico SMS y red en eventos clave Activan acciones de correcci n como la ejecuci n de archivos ejecutables o secuencias de coman dos en eventos clave Opcionalmente archivan eventos recopilados en el back end de base de datos GFI EventsManager se puede configurar para archivar eventos sin tener que ejecutar reglas de procesamiento de eventos En tales casos a pesar de que no se apliquen reglas contra registros recopilados el archivo todav a se controla en la etapa de procesamiento de eventos Para obtener m s informaci n consulte Reglas de procesamiento de eventos GFI EventsManager 1 Introducci n 24 wy Importante Algunos de los m dulos clave en GFI EventsManager se deben ejecutar con privilegios administrativos Para obtener m s informaci n sobre estos m dulos consulte el
394. to a objetos que con tengan datos de seguridad importante Para obtener m s informaci n consulte http technet microsoft com en us library cc775520 WS 10 aspx Auditor a de objetos Active esta funci n de auditor a para auditar los eventos de usuarios que acceden a objetos ejemplo archivos carpetas e impresoras Para obtener m s informaci n consulte http technet microsoft com en us library cc976403 aspx Base de informaci n de administraci n Una MIB es el equivalente a un diccionario de datos o libro de c digos Asocia identificadores de objetos OID con una etiqueta legible y otros par metros relacionados con un objeto de red activa como un enrutador Su funci n principal es recopilar e interpretar mensajes SNMP transmitidos por los dispositivos de red habilitados con SNMP La informaci n almacenada en la MIB se organiza jer rquicamente y normalmente se puede acceder a ella mediante un pro tocolo como SNMP C Capturas SNMP Notificaciones alertas generadas y transmitidas por los componentes de red activos Ejemplo hubs enrutadores y puentes a servidores SNMP cuando se producen eventos importantes como errores o infracciones de seguridad Los datos contenidos en las capturas SNMP pueden contener informaci n de configuraci n estado y estad sticas como el n mero de errores del dispositivo hasta la fecha Carpeta de conjunto de reglas La carpeta que contiene uno o m s conjuntos de reglas Clasifica
395. tos Para obtener m s informaci n consulte Definir restricciones Haga clic en Siguiente OO wand al Completing the New Job Wizard Select when the job should be executed la V Run the job now The job will be executed only once Captura de pantalla 247 Especificar cu ndo se ejecuta la tarea de mantenimiento Seleccione Run the job now y haga clic en Finish 14 3 Editar tareas de mantenimiento Esta secci n contiene informaci n acerca de gt Ver tareas de mantenimiento programadas gt Editar propiedades de la tarea de mantenimiento Cambiar prioridad de las tareas de mantenimiento Eliminar tarea de mantenimiento 14 3 1 Ver tareas de mantenimiento programadas Para ver el progreso de las tareas de mantenimiento programadas GFI EventsManager 14 Mantenimiento de base de datos 292 Queued Jobs Queued Time Target Target Log 3 2012 04 12 19 06 11 158 TECHCO System 2012 04 12 19 06 11 158 TECHCO System y 2012 04 12 19 06 11 158 W703 GFI EndPointSec 2012 04 12 19 06 11 158 W706 Application 2012 04 12 19 06 11 158 W706 System 2012 04 12 19 06 11 158 W706 GFI EndPointSec 2012 04 12 19 06 11 158 W702 Application X Captura de pantalla 248 Actividad de las tareas de mantenimiento Haga clic en la ficha Status gt Job Activity El estado de todas las tareas de mantenimiento se mostrar en la secci n Queued Jobs Para ver las tareas de mantenimient
396. tsManager 2 Instalaci n de GFI EventsManager 54 Process events Selec Se empiezan a procesar registros generados por uno o varios equipos espec ficos ted machines Nota Para obtener m s informaci n consulte Procesar eventos M quinas seleccionadas Customize Permite personalizar la configuraci n predeterminada por ejemplo gt Origenes de eventos y tipos de registro Reglas de procesamiento de eventos Operaciones de base de datos 2 Destinatarios de las alertas 2 Opciones de alerta Supervision activa 2 5 1 Eventos del proceso Equipo local Esta opcion le permite agregar automaticamente el host local como origenes de eventos e iniciar el procesamiento de registros generados por este Para procesar eventos del equipo local Quick Launch Console Welcome to GFI EventsManager Select an option A Process events Local computer Start collecting events from the local computer where GFI EventsManager is installed EE Process events Local domain LA Launch the Automatic network discovery wizard This wizard will automatically gt search your domain for event sources la Process events Selected machines Start collecting events from selected machines Customize Customize GF EventsManager settings Help me choose o New monitoring feature Tell me how to configure Captura de pantalla 32 Eventos del proceso Equipo local 1 Haga clic en Process events Local compu
397. tsManager 8 Generaci n de informes 169 Actions Describe las acciones realizadas cuando se procesa el evento incluso gt Configuraci n de almacenamiento Correo a configuraci n Configuraci n del umbral Para generar un informe de reglas 1 Haga clic en la ficha Configuration gt Event Sources y a GFI EventsManager o O m sa File Configure Help Status Configuration Events Browser Reporting General Event Sources Event Processing Rules I Active Monitoring a Options Send us feedback Y Open Quick Launch Console Help au s Event Sources Groups A Default Group Groups The logs scanned are the Windows security log Windows application log Windows CE as E system log and Monitoring log The scanning will use the appropriate processing rules E Default i Ep Computer Name State Credentials A Workstations 0 i ers Mlw706 3 Disable E Infrastructure Servers 0 Inherit licensing type from group Database Servers 0 Exclude from synchronization ic Print Servers 0 oo Web Servers 0 X Delete oa A File Servers 0 Scanning options Linux Hosts 0 aid a Ceco PIX amp ASA devices 0 E mail Servers 0 EY Archive all Windows logs Non DC 0 Properties Common Tasks Report on settings S Ranat an niaes 2 event source s Captura de pantalla 122 Generar informe de configuraci n 2 Haga clic en un origen de eventos y sel
398. tsManager le permite exportar los datos de eventos a archivos CSV directamente desde el Explorador de eventos Esto es muy pr ctico especialmente cuando se requiere el posterior procesamiento de los datos del evento Esto incluye GFI EventsManager 6 Buscar eventos almacenados 127 Distribuci n de datos de eventos clave mediante correo electr nico Ejecuci n de secuencias de comando automatizadas que convierten los datos del evento expor tado de CSV a HTML para su carga en la web intranet de la compa a Generaci n de informes de administraci n gr ficos y datos estad sticos con herramientas nativas como Microsoft Excel Generaci n de informes personalizados con aplicaciones de terceros Conexion de datos de eventos con aplicaciones y secuencias de comandos implementados en la empresa Para exportar eventos a CSV 1 En Events Browser gt Views haga clic con el bot n secundario en una vista y seleccione Export events Export events a pa Export the events to CSV file Save the events in the following file C Program Files GFI Events Manager2012 Repor Browse ICI Cancel Captura de pantalla 88 Herramienta de exportaci n de eventos 2 Especifique o busque la ubicaci n donde se guardan los eventos exportados Haga clic en Aceptar 6 2 2 Crear informes a partir de vistas GFI EventsManager le permite crear sus propios informes personalizados con gr ficos y estad sticas basa
399. twork List Manager Policies LJavit policy change No auditing F Public Key Policies El Audit privilege use No auditing 5 Software Restriction Policies i Audit process tracking No auditing gt amp IP Security Policies on Local Compute il Audit system events No auditing gt Td Account Policies 4 Id Local Policies ZH Audit Policy gt Ld User Rights Assignment D E Security Options 4 m Captura de pantalla 278 Ventana de politica de seguridad local 3 En el panel derecho haga doble clic en Audit object access GFI EventsManager 17 Varios 341 Audit object access Properties Local Security Setting Explain E Audit object access a This setting might not be enforced if other policy is configured to da overide category level audit policy For more information see Audit object access Q921468 Captura de pantalla 279 Auditar propiedades de acceso a objetos 4 En Audit object access Properties seleccione Success y Failure y haga clic en OK 5 En el panel derecho haga doble clic en Audit Process tracking 6 En Audit object access Properties seleccione Success y Failure y haga clic en OK 7 En el panel derecho haga doble clic en Audit account management 8 En Audit object access Properties seleccione Success y Failure y haga clic en OK 9 En el panel derecho haga doble clic en Audit system events 10 En Audit process tracking Properties seleccione Success y Failure y haga
400. ty monitoring e a Domain Controllers Web Servers Mail Servers Captura de pantalla 1 GFI EventsManager se integra en cualquier infraestructura de TI existente GFI EventsManager es una soluci n de administraci n de registros de eventos orientada a los resultados que se integra en cualquier infraestructura de Tl existente y automatiza y simplifica las tareas relacionadas con la administraci n de eventos de toda la red A trav s de las funciones admitidas por GFI EventsManager usted puede GFI EventsManager 1 Introduccion 21 gt gt gt gt gt gt gt gt gt gt gt Supervisar autom ticamente los equipos y dispositivos de red a trav s del amplio rango de soporte de registro de eventos de GFI EventsManager como registros de texto registros de even tos de Windows Syslogs capturas SNMP eventos de supervisi n activa e incluso registros de eventos personalizados Supervisar los equipos y servicios que se ejecutan en la red a trav s de funciones de supervisi n activas como la comprobaci n continua de la disponibilidad de sitios HTTP HTTPS FTP con sultas de roles de servidor consultas de firewall y m s Optimizar la seguridad y el rendimiento a la vez que realiza el seguimiento de problemas operativos al auditar los sistemas dispositivos cr ticos como enrutadores firewalls sensores servidores y motores de bases de datos Crear y mantener un sistema de s
401. ubcarpetas a una Carpeta raiz _ 22 22 2 e cece cece cece ceceeeeeeeeeeeeees 202 10 4 Crear y configurar comprobaciones de supervisi n activa 2 20 220 200cceceeeeeeeeeeeeees 207 10 5 Aplicar comprobaciones de supervisi n activa o oooccccccccccccccccccccccccccconccnnccnnccnnccnnccnncoss 213 10 6 Eliminar carpetas y comprobaciones de supervision 2 220 220 220cce0cceeccecceeeeceeeeeeees 215 10 1 Acerca de las comprobaciones de supervisi n activa Una comprobaci n de supervisi n es una regla preconfigurada que depende de la operaci n de los componentes o la actividad de un sistema como el uso de la CPU o las solicitudes de ping que se usan para comprobar la disponibilidad del sistema Las comprobaciones de supervisi n activa analizan de forma activa los or genes de eventos para determinar si se cumplen las condiciones de los par metros configurados Independientemente de si una prueba de supervisi n falla o tiene xito se genera un registro de eventos del equipo que analiz GFI EventsManager asigna una clasificaci n de gravedad al registro de evento generado Se puede crear una regla de procesamiento de eventos a partir del registro de eventos generado Las reglas de procesamiento de eventos pueden activar autom ticamente alertas ejecutar comprobaciones adicionales y ejecutar secuencias de comandos y aplicaciones para solucionar el problema que gener el registro GFI EventsManager 10 Supervisi n
402. ue desea buscar los servidores de bases de datos DLib v lidos Jj Nota Los par metros que contienen espacios deben escribirse entre comillas dobles 16 3 4 copyMoveDLib Esta funci n le permite copiar o mover una base de datos DLlib a una ubicaci n determinada Se admiten los siguientes par metros Tabla 116 copyMoveDLib Par metro Descripci n sourcePath lt sourcePath gt Especifique la ruta a la base de datos de origen la base de datos que desea mover o copiar Nota Los par metros que contienen espacios deben escribirse entre comillas dobles destinationPath lt des Especifique la ruta a la carpeta de destino tinationPath gt prota Los parametros que contienen espacios deben escribirse entre comillas dobles i copyMove lt copy move gt Especifique la accion que desea llevar a cabo en la base de datos Valores admitidos gt copiar mover dbName lt dbName gt Especifique el nombre de la base de datos que desea copiar o mover nota Los par metros que contienen espacios deben escribirse entre comillas dobles G 16 4 Usar EsmReport exe EsmReport exe le permite generar informes en el producto como informes de configuraci n y actividades de tareas Para utilizar EsmReport exe GFI EventsManager 16 Herramientas de la l nea de comandos 333 1 Haga clic en Start gt Run y escriba CMD 2 Haga clic en Ctrl Shift Enter para ejecutar CMD con privilegios elevad
403. un checks on computer nota Si se selecciona Run checks on computer aseg rese de que las comprobaciones de supervisi n est n habilitadas en el equipo Para obtener m s informaci n consulte Configurar supervisi n de or genes de eventos 4 Para cada acci n que seleccione haga clic en Configure para configurar los par metros 10 Haga clic en Apply y OK v Nota Asigne las nuevas reglas a sus or genes de eventos Para obtener informaci n sobre c mo recopilar registros de eventos y procesarlos mediante las reglas de procesamiento de eventos especificadas consulte Recopilar registros de eventos 9 4 Crear nuevas reglas desde eventos existentes GFI EventsManager le permite crear nuevas reglas en base a la informaci n de eventos existentes Para crear una nueva regla a partir de un evento existente 1 En el Explorador de eventos busque el registro de eventos en el que desea basar la regla GFI EventsManager 9 Reglas de procesamiento de eventos 189 E File Configure Help Status Configuration Events Browser Reporting General Send us feedback W Open Quick Launch Console Help 3 E All Events 69 205 events ereen Database C Program Files GFADLibServer Databases esmstg This database contains events that were marked as deleted View deleted events gt gt Delete e a Success Audit Medium 4624 Low Standard Fields Date 2012 04 21 Time 14 56 41 Importance Medium Rule N
404. una lista de todos los mensajes del servidor capturas SNMP y Sys log que recibi GFI EventsManager La informaci n proporcionada incluye el n mero total de mensajes envia dos por cada origen de evento el n mero de mensajes y la fecha hora en que se recibi el ltimo mensaje Haga clic en Export data para generar informes del historial operativo 090 GFI EventsManager 7 Supervision de actividades 142 7 3 Vista de estadisticas La vista Statistics se usa para mostrar las estadisticas y tendencias de actividad de eventos diarios de un equipo en particular o de toda la red Para acceder a la vista Statistics vaya a la ficha Status gt Statistics 3 GFI EventsManager File Configure Help Status Configuration Events Browser E General MB Job Activity Ml Statistics Reporting General Send us feedback WB Statistics The Statistics view shows a graphical representation of the events processed today Select the event source for which to view the statistics Oni All Sources X Q Today s Events Count 35 000 30 000 25 000 20 000 15 000 10 000 5 000 0 00 00 00 04 00 00 On Events Count By Log Type 08 00 00 12 00 00 16 00 00 Y Activity Overview Source Windows Events Text Logs Windows py ext Logs g S Jog Messages w710 SNMP Traps Messages E w706 SQL Server Messages Ml w709 Oracle Server Messages Monitoring Checks Events E TECH a Che ak ME TCOFF 3 3 3 3 E MIRO
405. upervisi n est habilitada busque el evento que genera y cree una regla basada en ese evento Para obtener m s informaci n consulte Crear nuevas reglas desde eventos existentes Apply y OK 4 Administrar or genes de eventos 82 4 4 6 Configurar parametros de procesamiento de eventos La configuraci n del procesamiento de eventos est habilitada solamente para origenes grupos con licencia de servidores Los or genes de eventos del servidor tienen m s opciones de configuraci n que las estaciones de trabajo normales con el fin de recopilar registros de eventos registros de texto Syslogs y capturas SNMP de Windows Para configurar las propiedades de los or genes de eventos 1 En la ficha Configuration gt Event Sources gt Group Type seleccione Event Sources Groups 2 Para configurar los par metros de Computer group haga clic con el bot n secundario en el grupo de equipos que desea configurar y seleccione Properties Single event source haga clic con el bot n secundario en el origen que desea configurar y selec cione Properties All Domain Controllers ma Pa A Windows Event Log Text Logs Syslog SNMP Traps Monitoring ial Specify the Windows event logs to collect archive and process Specify the logs to collect Gl Seay Events a Application Events fal System Events Remove fan ew E Clear collected events after completion Post collection proc
406. ups File Storage 4 Console Security and Audit Options bo SI Alerting Options i Syslog Server Options Configure file storage bss SNMP Traps Server Options Select this option to configure the storage where archived events are lll Performance Options y File Storage 4 Database Operations Configure hashing ro a Custom Event Logs Select this option to enable record hashing or to check record hashes on a 0 Auto Update Options specified database Common Tasks Captura de pantalla 198 Editar configuraci n de almacenamiento de archivos 1 Haga clic en la ficha Configuration gt Options haga clic con el bot n secundario en File Storage y seleccione Configure file storage GFI EventsManager 14 Mantenimiento de base de datos 254 Configure file storage Specify the storage folder path where to store archived events Name esmstg y New Path Program Files GFI DLibServer Databases Switch server In order to protect your data you can password protect it by selecting the option below Y Encrypt data using the following password Password eeccccce Confirm password eeecccee o A Waming Please note that you will have to use the same password when you decrypt the data ok Cancel J a Captura de pantalla 199 Habilitar el cifrado 2 En la ficha General seleccione Encrypt data using the following password para activar el cifrado 3 Esp
407. uration gt Options haga clic con el boton secundario en Alerting Options y seleccione Edit alerting options v Nota Seleccione Edit alert recipients para configurar los detalles de contacto de los destinatarios de la alerta y para administrar las cuentas de usuario Para obtener m s informaci n consulte Administrar cuentas de usuario 2 Configure el m todo de alerta de su elecci n Las siguientes secciones describen c mo configurar GFI EventsManager 11 Alertas y acciones predeterminadas 219 11 2 1 Alertas por correo electr nico Alerting Options x Email Network SMS SNMP General Specify the mail server settings to use when sending email alerts Specify one or more mail servers to use when sending email alerts in order of priority The altemative mail servers will only be used when mail servers with higher priority cannot be contacted or retum errors t Send email alerts as unicode text Format Email Message v G Waming Sending email alerts as unicode text will not work on some mail servers ok J Cama J Ay Captura de pantalla 166 Configurar opciones de correo electr nico Para configurar alertas por correo electr nico 1 En el cuadro de di logo Alerting Options haga clic en la ficha Email 2 Configure las opciones que se describen a continuaci n Tabla 75 Cuadro de di logo Alerting Options Email alerts Add Rem
408. uration y seleccione Options 2 En Configurations haga clic con el bot n secundario en el nodo Database Operations y seleccione Create new job 3 Haga clic en Next en la pantalla de bienvenida del asistente New job wizard Job Type Select the job type A Please select the type of action that this job should perform O Import Export Job Import data from another database instance Export data from this instance to files and import data as part of the data centralization process D Legacy Import Job Import data from older version of the product Data can be imported from SQL Server database legacy files or legacy file storage Captura de pantalla 218 Crear tareas de importaci n exportaci n 4 Seleccione Import Export Job y haga clic en Next GFI EventsManager 14 Mantenimiento de base de datos 272 Import Export Job Type Select the job type gt Please select the type of action that this job should perform Import from file Import data as part of the data centralization process The file to import from needs to be created by the Export to file job Export to file Export data from this instance to files in order to import them at another location as part of the data centralization process You can also burn the exported files for safekeeping 9 Export to SQL Export data from this instance to SQL Copy data Copy data to another storage Commit deletions Physically dele
409. ventsManager en una red de rea extensa WAN GFI EventsManager se puede instalar en entornos que tienen m ltiples sitios en diferentes ubicaciones geograficas Site 1 Head Office Ar J GFI EventsManager Site 2 Production Site ae s GFI EventsManager GFI EventsManager Site 3 Distribution Outlet D g Captura de pantalla 3 Exportar datos desde sitios remotos a la instancia principal de GFI EventsManager Esto se consigue mediante la instalaci n de una instancia de GFI EventsManager en cada ubicaci n Peri dicamente en base a una programaci n puede exportar eventos desde los sitios remotos e importarlos a la base de datos central para la completa consolidaci n de los registros de eventos Los eventos del sitio remoto se pueden ver a continuaci n en el Explorador de eventos Los informes con datos pertinentes a sitios remotos tambi n se pueden generar utilizando los datos de la base de datos central Utilice la opci n Switch Database para ver o informar sobre los datos almacenados en bases de datos remotas v Nota Para obtener m s informaci n consulte Cambiar de bases de datos de almacenamiento de archivos O Nota Para obtener m s informaci n consulte Mantenimiento de base de datos GFI EventsManager 2 Instalaci n de GFI EventsManager 31 2 2 Requisitos del sistema Para instalar GFI EventsManager el equipo host debe cumplir con los requisitos del sistem
410. ventsManager le permite a los usuarios configurar c mo comprobar descargar e instalar de forma autom tica las actualizaciones del producto Para configurar las opciones de actualizaci n autom tica 1 En la ficha Configuration gt Options gt Configurations haga clic con el bot n secundario en Auto Update Options y seleccione Edit updater options Configure Updater x General Proxy Serer Configure how to automatically check for download and install patches and updates Enable Disable automatic updates 4 Check for updates automatically Daily v Update Now Updates installation 9 Install updates automatically 5 Only notify when new updates are available Updates installation notification Show messages in the application V Send alerts to the GFI EventsManager Administrator user ok J cancel aw Captura de pantalla 254 Configurar opciones de actualizaci n autom tica 2 Configure las opciones que se describen a continuaci n Tabla 94 Opciones de actualizaci n autom tica Opciones Descripci n Check for updates auto Si selecciona esta opci n GFI EventsManager comprobar autom ticamente de forma diaria matically o semanal si hay actualizaciones Actualizar ahora Sino se selecciona la opci n Check for updates automatically utilice esta opci n para comprobar manualmente si hay actualizaciones e instalar las actualizaciones que faltan Install upda
411. vidor de bases de datos Reglas de servidor web Reglas del servidor de impresi n Reglas de GFI Reglas de servicios de terminal Reglas del servidor de correo electr nico Reglas de replicaci n de archivos Reglas del servicio de directorio Reglas personalizadas gt Reglas de informes Reglas de auditor a de SharePoint Registros de Contiene reglas adaptadas al procesamiento de los protocolos de transferencia web Estos incluyen texto Reglas HTTP Reglas FTP Reglas SMTP Mensajes syslog Contiene reglas adaptadas al procesamiento de los registros de sistema de LINUX y UNIX Estos incluyen Reglas de hosts de Linux Unix Reglas de redes Juniper Reglas de Cisco PIX y ISA Reglas seg n la gravedad gt Reglas de IBM iSeries Capturas SNMP Contiene reglas adaptadas a la mensajer a de capturas SNMP Estas incluyen Reglas de Cisco IOS versi n 12 1 11 MIB Reglas de Cisco IOS version 12 1 14 MIB Reglas de Cisco IOS version 12 2 20 MIB Reglas de Cisco IOS version 12 2 25 MIB Reglas de Allied Telesis AT AR 700 Family GFI EventsManager 9 Reglas de procesamiento de eventos 182 Carpeta de con Descripci n junto de reglas Auditor as SQL Contiene reglas adaptadas a la supervisi n de auditor as de SQL Server Estas incluyen Server Reglas de reducci n de ruido Reglas de cambios de base de datos Reglas de cambios de servidor Reglas de inicio
412. vo informe O Nota Para obtener m s informaci n consulte Crear informes personalizados 6 2 3 Eliminar eventos Al recopilar y procesar los registros de eventos de un n mero significativamente amplio de or genes de eventos se recopila una serie de registros no deseados Para ayudar a eliminar estos registros de eventos GFI EventsManager incluye una opci n de eliminaci n Cuando se eliminan los eventos Se eliminan del explorador de eventos Ya no se incluyen en taras de exportaci n importaci n Yano se incluyen en los informes Despu s de eliminar un evento tambi n se eliminan todos los dem s eventos del mismo tipo categor a y vista Y Importante Antes de eliminar los registros de eventos aseg rese de estar respetando las normas de cumplimiento legal La eliminaci n de registros de eventos puede conllevar sanciones legales Para eliminar eventos 1 En la ficha Events Browser gt Views seleccione una vista 2 Seleccione un evento que desea eliminar En Actions haga clic en Mark events as deleted 3 Haga clic en Yes para confirmar la eliminaci n o en No para cancelar Ver eventos eliminados Los registros de eventos eliminados se almacenan en una base de datos independiente y se pueden ver desde el Explorador de eventos Para ver los registros de eventos eliminados GFI EventsManager 6 Buscar eventos almacenados 129 1 Haga clic en la ficha Events Browser 2 En el panel superior
413. ws Firewall blocks a program What are the risks of allowing exceptions Captura de pantalla 277 Reglas del firewall en Microsoft Windows XP 2 En la lista Programs and Services active File and Printer Sharing 3 Haga clic en Aceptar 17 1 2 Activar permisos en Microsoft Windows Vista Para activar permisos en maquinas que ejecutan Microsoft Windows Vista Paso 1 Active los permisos de firewall Paso 2 Active las caracteristicas adicionales de auditoria Paso 1 Activar permisos de firewall 1 Haga clic en Start gt Control Panel gt Security y haga clic en Allow a program through Windows Firewall en el panel izquierdo 2 Seleccione la ficha Exceptions y en la lista Allowed programs and features active las siguientes reglas gt Administraci n remota de registros de eventos Uso compartido de archivos e impresoras Detecci n de redes 3 Haga clic en Aplicar GFI EventsManager 17 Varios 340 Paso 2 Activar caracteristicas adicionales de auditoria 1 Haga clic en Start gt Run y escriba secpol msc Presione la tecla Enter 2 En el nodo Security Settings amplie Local Policies gt Audit Policy Fi es j0 b m Policy Security Setting E Audit account logon events No auditing El Audit account management No auditing E Audit directory service access No auditing E Audit logon events No auditing l Windows Firewall with Advanced Seci Lil Audit object access A ps Ne
414. xplorador de eventos El Explorador de eventos se compone de las siguientes secciones GFI EventsManager 6 Buscar eventos almacenados 126 Tabla 39 Desplazarse en el Explorador de eventos MN EC E Views La secci n Views incluye una amplia gama de vistas predefinidas Use esta secci n para ver registros espec ficos como Windows registros de eventos registros de texto auditor as de SQL Server y mucho m s Common Tasks Common Tasks le permite personalizar la apariencia del Explorador de eventos y cambiar de base de datos para poder ver registros de eventos exportados o archivados Actions Use la secci n Actions para ejecutar funciones comunes relacionadas con el an lisis de los registros de eventos Esto le permite crear o editar vistas personalizadas exportar eventos para su posterior an lisis y mucho m s Events La secci n Events se usa para explorar los eventos clasificados en la vista seleccionada de la secci n 1 Controles de Use los controles de desplazamiento para buscar eventos recopilados desplazamiento Generaci n de La opci n Report from view le permite generar informes gr ficos y estad sticos basados en la informes vista seleccionada de la secci n 1 Panel Event El panel Events Description proporciona un amplio desglose del evento seleccionado de la Description secci n 4 Use esta secci n para analizar los detalles del evento y saber cuando se gener el EAFA AOL evento cu l fue la cau
415. yout Chat Schedule Options Other v Use graphical charts Place chart at Begining of Repot v Chart type Pie Y tb Xaxis date zi ST Y axis date X E Captura de pantalla 106 Insertar un grafico en un nuevo informe ra z 5 Opcional Haga clic en la ficha Chart y seleccione Use graphical charts para incluir graficos en el informe 6 En el men desplegable Place chart at especifique la ubicaci n del gr fico Seleccione una de las siguientes opciones Beginning of Report para colocarlo al inicio del informe gt End of Report para colocarlo al final del informe 7 En Properties gt X axis y Y axis configure las propiedades de los ejes X e Y Es decir seleccione los datos representados en el gr fico 8 Seleccione Top 10 para ver los primeros 10 registros nicamente GFI EventsManager 8 Generaci n de informes 154 Inherit from Parent Y Use schedule Generation Time 11 00 11 la Recurance aten Day 1 ofevery 1 S month s O me its of every 1 month s Send report by email to EventsManagerAdministrators Captura de pantalla 107 Configurar programaci n de generaci n de informes 9 Opcional Haga clic en la ficha Schedule y configure los par metros de programaci n 10 Seleccione Send report by email to y haga clic en Configure para seleccionar los destinatarios del
Download Pdf Manuals
Related Search