CA Enterprise Log Manager - Übersichtshandbuch
Contents
1. CAELM ist der Name der Anwendungsinstanz die CA EEM f r CA Enterprise Log Manager verwendet Um die CA Enterprise Log Manager Funktionen in CA Embedded Entitlements Manager aufzurufen geben Sie die URL https lt ip_address gt 5250 spin eiam eiam csp ein dann w hlen Sie CAELM als Anwendungsnamen und geben das Kennwort des Benutzers EiamAdmin ein Terminologieglossar 73 caelmadmin caelmservice CALM Der Benutzername und das Kennwort caelmadmin sind Anmeldeinformationen die f r den Zugriff auf das Betriebssystem der Soft Appliance ben tigt werden Die Benutzerkennung caelmadmin wird w hrend der Installation des Betriebssystems erstellt W hrend der Installation der Software Komponente muss der Installierende das Kennwort f r das CA EEM Superuser Konto EiamAdmin eingeben Dem Konto caelmadmin wird dasselbe Konto zugewiesen Es empfiehlt sich dass sich der Server Administrator ber ssh als caelmadmin Benutzer anmeldet und dieses Kennwort ndert Auch wenn der Administrator sich nicht ber ssh als Root anmelden kann kann er bei Bedarf Benutzer zu Root su root wechseln lassen Der caelmservice bezeichnet eine Service Konto das es erm glicht dass iGateway und die lokalen CA EEM Services als Nicht Root Benutzer ausgef hrt werden k nnen Das caelmservice Konto wird f r die Installation von Betriebssystemaktualisierungen verwendet die mit automatischen Software Updates heruntergeladen werden CAL2. Abmelden Die Anmeldeseite wird angezeigt Melden Sie sich mit den gerade definierten Administratoranmeldeinformationen erneut bei CA Enterprise Log Manager an CA Enterprise Log Manager wird ge ffnet Nun stehen alle Funktionen zur Verf gung Die Registerkarte Abfragen und Berichte wird mit der untergeordneten Registerkarte Abfragen angezeigt Optional Zeigen Sie Ihre Anmeldeversuche wie folgt an a W hlen Sie in der Abfragekennungsliste den Eintrag Systemzugriff b W hlen Sie in der Abfragekennungsliste den Eintrag Systemzugriff Details Das Abfrageergebnis zeigt Ihre beiden Anmeldeversuche an zuerst als EiamAdmin dann mit Ihrem Administratornamen Beide Anmeldeversuche sind mit S f r Successful Erfolgreich markiert CA Schweregrad Datum v Konto Benutzer Host Protokoll Kategorie Aktion Ergebnis E Informationen Donnerstag 12 November 2009 18 29 song11 song11 ca elm CALM System Access Login Attempt S E Informationen Donnerstag 12 November 2009 18 23 liuyue liuyue ca elm CALM System Access Login Attempt S E Informationen Donnerstag 12 November 2009 18 15 miao rio ca elm CALM System Access Login Attempt Is E Informationen T Donnerstag 12 Nov rber 2009 18 09 admin admin ca elm CALM System Access Login Attempt Is Kapitel 2 Schnellstartbereitstellung 25 Konfigurieren von Syslog Ereignisquellen Weitere Informationen Installation eines Sing
3. Festlegen des Authentifizierungsschl ssels f r einen Agenten 22222ceeeeeeeeeeeeneenenn 37 Herunterladen des Agentinstallationsprogramms 222e22seeseeseesneeneeneeneeneenennenn 38 Installieren eines Agents sn EEE RE 39 Erstellen eines Connectors basierend auf NTEventLog 222e2cceeseeseeseeeneeneenennennenn 41 Konfigurieren einer Windows Ereignisquelle 22c2cceeseeeeeeeeeneeneeneeneeneeneeneenene 45 Anzeigen von Protokollen der Windows Ereignisquellen 22222cesceeeeeeeeeeeeneeneenen 45 Kapitel 4 Haupffunktionen 49 Protokollerfassung 222222eeseeseeseeseeeeennenneeeeeneeneeeeeneeneeneeneeneeneeneenene 49 Pro tok llspeicherung un ss 51 Standarddarstellung von Protokollen 22222ceeeeeeeeeneeneeneeneeneeneeneeneeneeneene 53 Konformit tsberichte 32444334423 4428434432443 54 02 410 10a 0 aaa ga asus eashtinds 54 Alarm bei Verletzung von Richtlinien 22222cesseeeeeenesneeneeneeneeneeneeneeneeneenen 56 Verwaltung von Berechtigungen 22222cesseeseeeeeeneeneeneeneeneeneeneeneeneeneeneenen 57 R llenb sierter Zugfifft us 82 58 Verwalten von automatischen Software Updates 2222cseseeeeeeeneeneenenneeneenennen 59 Vorgefertigter Inhalt 2 2 338323342334342 32233 1 38 41444 2 4 31 aus 1 Ja da aaa 1 Bd dad aa da das 60 Inhalt 7 Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager Anzeigen von Kurzinfos Anzeigen der Online Hilfe berblick
4. Kennwort wird caelmadmin zugewiesen Diese caelmadmin Anmeldeinformationen werden f r den ersten Zugriff auf das Betriebssystem ben tigt die EiamAdmin Anmeldeinformationen werden f r den ersten Zugriff auf die CA Enterprise Log Manager Software und f r die Installation der Agenten ben tigt Integration ist das Mittel mit dem nicht klassifizierte Ereignisse in verfeinerte Ereignisse verarbeitet werden so dass sie in Abfragen und Berichten angezeigt werden Die Integration wird mit einem Satz von Elementen implementiert die es einem bestimmten Agenten und Connector erm glichen Ereignisse von einem oder mehreren Typen von Ereignisquellen zu erfassen und zu CA Enterprise Log Manager zu senden Der Satz von Elementen umfasst den Protokollsensor und die XMP und DM Dateien die aus einem bestimmten Produkt lesen sollen Beispiele f r vordefinierte Integrationen sind die f r die Verarbeitung von Syslog und WMI Ereignissen Sie k nnen benutzerdefinierte Integrationen erstellen um die Verarbeitung nicht klassifizierter Ereignisse zu erm glichen Integrationselemente Integrationselemente umfassen einen Sensor eine Konfigurationshilfe eine Datenzugriffsdatei eine oder mehrere XMP Nachrichtenanalysedateien und eine oder mehrere Datenzuordnungsdateien Terminologieglossar 83 iTech Ereignis Plugin Kalender Katalog Kennung Konto Lokaler Filter Lokales Ereignis 84 bersichtshandbuch Das iTech Ereignis Plugin
5. beibehalten bis ihr Alter in Tagen den konfigurierten Wert f r Maximale Anzahl an Archivtagen berschreitet Ereignisprotokolle k nnen in Datenbanken mit dem Status hei warm und verf gbar gemacht abgefragt werden Datenbankstatuswerte Datenzugriff 76 bersichtshandbuch Es gibt folgende Datenbankstatuswerte hei f r eine nicht komprimierte Datenbank mit neuen Ereignissen warm f r eine Datenbank mit komprimierten Ereignissen kalt f r eine gesicherte Datenbank und verf gbar gemacht f r eine Datenbank die im Ereignisprotokollspeicher wiederhergestellt wurde auf dem sie gesichert wurde Sie k nnen hei e warme und verf gbar gemachte Datenbanken abfragen Eine Archivabfrage zeigt die Informationen von kalten Datenbanken an Datenzugriff ist eine Art der Berechtigung die allen CA Enterprise Log Managers ber die Standarddatenzugriffsrichtlinie in der CALM Ressourcenklasse gew hrt wird Alle Benutzer haben Zugriff auf alle Daten au er wenn diese durch Datenzugriffsfilter eingeschr nkt sind Datenzuordnung Datenzuordnung ist der Prozess der Zuordnung der Schl sselwertpaare in CEG Die Datenzuordnung wird durch eine DM Datei gesteuert Datenzuordnung von Dateien Unter der Datenzuordnung von Dateien versteht man XML Dateien die die CA ELM Schemadefinition CEG verwenden um Ereignisse vom Ursprungsformat in ein CEG kompatibles Format zu bertragen das zur Berichterstellung und Analyse im Ereig
6. das vorhandene Kennwort eingeben Nach der Installation der Soft Appliance ffnet der Installierende einen Browser von einer Workstation aus gibt die URL f r CA Enterprise Log Manager ein und meldet sich als EiamAdmin mit dem zugeh rigen Kennwort an Dieser erste Benutzer richtet den Benutzerspeicher ein erstellt Kennwortrichtlinien sowie das erste Benutzerkonto mit Administratorrolle Optional kann der Benutzer EiamAdmin jede Operation durchf hren die von CA EEM gesteuert wird Terminologieglossar 71 Benutzerrolle Benutzerspeicher Eine Benutzerrolle kann eine vordefinierte oder eine benutzerdefinierte Anwendungsgruppe sein Benutzerdefinierte Benutzerrollen werden ben tigt wenn die vordefinierten Anwendungsgruppen Administrator Analyst und Auditor nicht ausreichend differenziert sind um Arbeitszuweisungen zu reflektieren F r benutzerdefinierte Benutzerrollen sind benutzerdefinierte Zugriffsrichtlinien erforderlich Zudem muss vordefinierten Richtlinien die neue Rolle hinzugef gt werden Ein Benutzerspeicher ist das Repository f r globale Benutzerinformationen und Kennwortrichtlinien Der CA Enterprise Log Manager Benutzerspeicher ist standardm ig das lokale Repository das jedoch so konfiguriert werden kann dass CA SiteMinder oder ein unterst tztes LDAP Verzeichnis wie Microsoft Active Directory Sun One oder Novell eDirectory referenziert werden Unabh ngig davon wie der Benutzerspeicher konfiguriert wird enth
7. entsprechenden Richtlinien erstellen die den Benutzerzugriff auf Ressourcen so einschr nken wie es f r Ihre betriebsinternen Anforderungen erforderlich ist Administrator REINE Benutzer Jefinierte Rolle Bernuizer definierte Rolle Benutzer Jefinierte Rolle Administratoren k nnen den Zugriff auf jede Ressource anpassen indem sie eine benutzerdefinierte Anwendungsgruppe mit entsprechenden Richtlinien erstellen und diese Anwendungsgruppe oder Rolle bestimmten Benutzerkonten zuweisen Hinweis Weitere Informationen zur Planung oder Erstellung von Rollen benutzerdefinierten Richtlinien und Zugriffsfiltern finden Sie im CA Enterprise Log Manager Verwaltungshandbuch 58 bersichtshandbuch Verwalten von automatischen Software Updates Verwalten von automatischen Software Updates Das Modul f r automatische Software Updates ist ein Dienst bei dem Sie automatische Software Updates ber den CA Software Update Server nach einem festgelegten Plan automatisch herunterladen und an CA Enterprise Log Manager Server verteilen k nnen Wenn ein automatisches Software Update auch das Modul f r Agents betrifft wird die Bereitstellung dieser Updates an Agents durch die Benutzer initiiert Automatische Software Updates sind Aktualisierungen f r CA Enterprise Log Manager Softwarekomponenten und das Betriebssystem Patches sowie Inhaltsaktualisierungen wie z B Berichte Die folgende Abbildung zeigt ein Szenario mit der ei
8. nderungen an Sicherheitsrichtlinien Benutzerkonten und Benutzerrechten Administratoren geben an welche Ereignistypen auditiert und welche protokolliert werden sollten Die Auditorenrolle gew hrt den Benutzern Zugriff auf Berichte und die darin enthaltenen Daten Auditoren k nnen Berichte die Listen mit den Berichtvorlagen den geplanten Berichtauftr gen und mit den generierten Berichten anzeigen Auditoren k nnen Berichte planen und mit Anmerkungen versehen Auditoren haben keinen Zugriff auf die RSS Feeds Rich Site Summary au er die Konfiguration erfordert keine Authentifizierung f r die Anzeige von Aktionsalarmen Aufgezeichnetes Ereignis Auto Archivierung Ein aufgezeichnetes Ereignis bezeichnet die Informationen des Rohereignisses oder des verfeinerten Ereignisses nachdem diese in die Datenbank eingef gt wurden Rohereignisse werden immer als verfeinerte Ereignisse erfasst au er sie wurden unterdr ckt oder zusammengefasst Diese Informationen werden gespeichert und k nnen durchsucht werden Auto Archivierung ist ein konfigurierbarer Prozess der das Verschieben von Archivdatenbanken von einem Server zu einem anderen automatisiert In der ersten Phase der Auto Archivierung sendet der Erfassungsserver neu archivierte Datenbanken in der von Ihnen angegebenen H ufigkeit zum Berichtsserver In der zweiten Phase der Auto Archivierung sendet der Berichtsserver ltere Datenbanken zur langfristigen Speicherung an den Remote S
9. wobei der Hostname entweder aus dem Hostnamen oder der IP Adresse des Servers besteht auf dem Sie CA Enterprise Log Manager installiert haben https lt hostname gt 5250 spin calm 2 Falls ein Sicherheitsalarm eingeblendet wird gehen Sie folgenderma en vor a Klicken Sie auf Zertifikat anzeigen b Klicken Sie auf Zertifikat installieren bernehmen Sie die Standardeinstellungen und schlie en Sie den Import Assistenten ab Es wird eine Sicherheitswarnung eingeblendet die Sie darauf hinweist dass Sie ein Zertifikat installieren das vorgibt den Hostnamen des CA Enterprise Log Manager Servers zu repr sentieren c Klicken Sie auf Ja Das Stammzertifikat wird installiert und es wird eine Meldung eingeblendet dass der Import erfolgreich war d Klicken Sie auf OK Das Dialogfeld Vertrauensw rdige Zertifikate wird angezeigt e Optional Klicken Sie auf den Pfad des Zertifikats und stellen Sie sicher dass der Zertifikatstatus OK lautet f Klicken Sie auf OK und anschlie end auf Ja Die Anmeldeseite wird angezeigt Kapitel 2 Schnellstartbereitstellung 23 Konfigurieren des ersten Administrators 24 bersichtshandbuch 3 Melden Sie sich mit dem Benutzernamen EiamAdmin und dem Kennwort an das Sie bei der Installation der Software verwendet haben Klicken Sie auf Anmelden CA Enterprise Log Manager Kennwort W Eingabehilfen aktivieren WM Meine Einstellungen speichern Copyr
10. Datenbanken bezieht w hrend sich normale Abfragen auf hei e warme und verf gbar gemachte Datenbanken beziehen Administratoren k nnen eine Archivabfrage ber die Registerkarte Verwaltung die Unterregisterkarte Protokollerfassung und die Option Archivkatalogabfrage starten Archivierte Datenbanken Archivkatalog Die archivierten Datenbanken auf einem bestimmten CA Enterprise Log Manager Server umfassen alle warmen Datenbanken die f r die Abfrage zur Verf gung stehen jedoch manuell gesichert werden m ssen bevor sie ablaufen alle kalten Datenbanken die als gesichert erfasst wurden und alle Datenbanken die als von einer Datensicherung wiederhergestellt erfasst wurden Siehe Katalog Assistent f r Analysedateien Audit Datens tze Auditorenrolle 70 bersichtshandbuch Der Assistent f r Analysedateien ist eine CA Enterprise Log Manager Funktion mit der Administratoren XMP Dateien eXtensible Message Parsing die auf dem CA Enterprise Log Manager Verwaltungsserver gespeichert werden erstellen bearbeiten und analysieren k nnen Die Anpassung der Analyse eingehender Ereignisdaten umfasst auch die Bearbeitung vorabgestimmter Zeichenfolgen und Filter Neue und bearbeitete Dateien werden im Protokollerfassung Explorer in der Ereignisverfeinerungsbibliothek in den Analysedateien und im Benutzerordner angezeigt Audit Datens tze enthalten Sicherheitsereignisse wie Authentifizierungsversuche Dateizugriffe und
11. Die folgende Eingabeaufforderung wird angezeigt Legen Sie den Datentr ger CA Enterprise Log Manager r12 f r die Anwendungsinstallation ein und dr cken Sie die Eingabetaste Legen Sie den Datentr ger der CA Enterprise Log Manager Anwendung ein Dr cken Sie die Eingabetaste Es wird berpr ft ob Ihr System die empfohlenen Mindestanforderungen f r eine optimale Leistung erf llt Ist dies nicht der Fall wird eine Meldung eingeblendet in der Sie gefragt werden ob Sie den Installationsprozess abbrechen m chten Die folgende Eingabeaufforderung wird angezeigt Geben Sie einen neuen Hostnamen ein Geben Sie den Hostnamen f r diese CA Enterprise Log Manager Soft Appliance ein Geben Sie beispielsweise CALM1 ein bernehmen Sie das Standardger t eth0 Dr cken Sie die Eingabetaste um zum n chsten Bildschirm zu wechseln 18 bersichtshandbuch 6 10 Installation eines Single Server Systems F hren Sie einen der folgenden Schritte aus und w hlen Sie dann OK a W hlen Sie DHCP verwenden Diese Option wird nur von Standalone Testsystemen akzeptiert m Geben Sie die statische IP Adresse die Subnet Maske und eine Standard Gateway IP Adresse ein die mit dem eingegebenen Hostnamen verkn pft werden soll Die Netzwerkservices werden mit den neuen angezeigten Einstellungen neu gestartet Die folgende Meldung wird angezeigt M chten Sie die Netzwerkkonfiguration ndern n berpr fen Sie
12. Hilfe ber dem Integrationsnamen im rechten Fensterbereich Das Connector Handbuch f r die ausgew hlte Integration wird angezeigt Kapitel 2 Schnellstartbereitstellung 27 Konfigurieren von Syslog Ereignisquellen 28 bersichtshandbuch Klicken Sie auf den Bereich in den Konfigurationsanforderungen der Ereignisquelle In diesem Beispiel wird beschrieben wie Sie die Ereignisquelle des AIX Betriebssystems konfigurieren damit die Syslogs an CA Enterprise Log Manager gesendet werden 1 0 Connector Handbuch f r AIX 2 0 Voraussetzungen 3 0 Konfiguration von AIX 3 1 Konfigurieren der Syslog Konfigurationsdatei 3 2 Schreiben eines PERL Skripts 3 3 berwachung aktivieren 3 3 2 Konfigurieren der berwachungsverzeichnisdateien 3 3 2 1 Konfigurieren der Objects Datei 3 3 2 2 Konfigurieren der Datei Syslog 3 3 2 3 Konfigurieren der Streamemds Datei 3 3 3 Bearbeiten der Datei etc rc 3 3 4 Bearbeiten der Datei etc shutdown 3 3 5 Starten der berwachung Beispiel Alternative Quelle f r Connector Handb cher Support Online Sie k nnen ein ausgew hltes Connector Handbuch ber die CA Enterprise Log Manager Benutzeroberfl che oder ber den CA Support Online ffnen Das folgende Beispiel zeigt wie Sie ein Connector Handbuch ber die alternative Quelle ffnen 1 2 Melden Sie sich bei CA Support Online an W hlen Sie im Dropdown Listenfeld Produkt ausw hlen den CA Enterprise Log Manager B
13. IP Adresse des NTP Servers ein Es wird eine Best tigungsmeldung mit dem ungef hren Wortlaut angezeigt Ihr System wurde so konfiguriert dass die Uhrzeit um Mitternacht ber den NTP Server unter lt ihrntpserver gt aktualisiert wird Lesen Sie die angegebenen Endbenutzerlizenzvertr ge End User License Agreements oder EULAs und gehen Sie folgenderma en vor a Lesen Sie die EULA f r das Sun Java Development Kit JDK Am Ende der EULA wird die folgende Meldung angezeigt Stimmen Sie den Bestimmungen des oben aufgef hrten Lizenzvertrags zu Ja oder Nein Geben Sie Ja ein wenn Sie den Bestimmungen des oben aufgef hrten Lizenzvertrags zustimmen Die Produktregistrierungsinformationen werden angezeigt gefolgt von dieser Meldung Dr cken Sie zum Fortfahren die Eingabetaste Dr cken Sie die Eingabetaste Die folgenden Meldungen geben an dass zur Vorbereitung der CA Enterprise Log Manager Installation die Systemeinstellungen konfiguriert werden Der CA Endbenutzer Lizenzvertrag EULA wird angezeigt Lesen Sie die CA EULA Am Ende des Lizenzvertrags wird die folgende Meldung angezeigt Stimmen Sie den Bestimmungen des oben aufgef hrten Lizenzvertrags zu Ja oder Nein Geben Sie Ja ein wenn Sie den Bestimmungen des Lizenzvertrags zustimmen Die CA EEM Serverinformationen werden angezeigt 13 14 Installation eines Single Server Systems Befolgen Sie die folgenden Eingabeaufforderungen um CA EEM
14. Klicken Sie auf Status und Befehl le ma Gati Anzeigen des St 3r Status und Befehl Anzeigen des Status von Agents ist ausgew hlt In der Spalte Agenten wird der Hostname des installierten Servers angezeigt da sich der Standardagent auf diesem Server befindet Der Status Wird ausgef hrt wird angezeigt b Klicken Sie auf den Link Wird ausgef hrt um Details anzuzeigen c Klicken Sie auf die Schaltfl che Connectors um den Status des Connectors anzuzeigen Statusdetails Neu starten Start Beenden Connector Agent Agentengruppe Plattform Integration Status Syslog_Connector ca elm Default Agent Group Antwortet nicht Linux_X86_32 Syslog Kapitel 2 Schnellstartbereitstellung 31 Anzeigen von Syslog Ereignissen d Klicken Sie auf den Link Wird ausgef hrt Die Felder Prozent der CPU Arbeitsspeicherverwendung Durchschnittliche Ereignisse pro Sekunde EPS und Anzahl der gefilterten Ereignisse werden angezeigt Anzeigen von Syslog Ereignissen Eine der schnellsten M glichkeiten Abfrageergebnisse f r Ereignisse anzuzeigen die von einem Syslog Listener erfasst wurden ist die Verwendung der Eingabeaufforderung f r den Host So zeigen Sie Syslog Ereignisse an 1 W hlen Sie die Registerkarte Abfragen und Berichte Die untergeordnete Registerkarte Abfragen wird angezeigt 2 Erweitern Sie die Eingabeaufforderung auf der Abfrageliste und w hlen S
15. Manager in der Lage Ereignisse korrekt zu verfeinern Optional k nnen Sie Unterdr ckungsregeln anwenden die Akzeptanz von Syslogs f r vertrauensw rdige Hosts beschr nken neben 514 dem bekannten UDP Port und 1468 dem Standard TCP Port noch weitere Ports zum Abh ren festlegen und oder eine neue Zeitzone f r einen vertrauensw rdigen Host hinzuf gen So bearbeiten Sie den Syslog Connector f r einen Standardagent 1 Klicken Sie auf die Registerkarte Verwaltung Die untergeordnete Registerkarte Protokollerfassung wird angezeigt Erweitern Sie den Agent Explorer und dann die Standard Agentengruppe oder die benutzerdefinierte Gruppe mit dem zu konfigurierenden CA Enterprise Log Manager W hlen Sie den Namen eines CA Enterprise Log Manager Servers Der Connector mit dem Namen Syslog_Connector wird angezeigt Connectors U Connector Hame Integration Bearbeiten M Syslog _Connector Syslog b Bearbeiten Kapitel 2 Schnellstartbereitstellung 29 Bearbeiten des Syslog Connectors 4 Klicken Sie auf Bearbeiten Der Assistent zum Bearbeiten von Connectors wird ge ffnet Der Schritt Connector Details ist ausgew hlt 5 Optional Klicken Sie auf Unterdr ckungsregeln anwenden Wenn Sie bestimmte Syslog Ereignistypen unterdr cken also nicht erfassen m chten verschieben Sie diesen Ereignistyp von der Liste Verf gbar in die Liste Ausgew hlt W hlen Sie das Ereignis das Sie verschieben m chten und
16. Nach der Wiederherstellung einer kalten Datenbank in ihrem urspr nglichen CA Enterprise Log Manager k nnen Sie mit LMArchive CA Enterprise Log Manager benachrichtigen der dann die Datenbankdateien wiederum verf gbar macht so dass sie abgefragt werden k nnen Hilfsprogramm LMSEOSImport Hilfsprogramm scp HTTP Proxy Server 82 bersichtshandbuch Das Hilfsprogramm LMSEOSImport ist ein Befehlszeilenhilfsprogramm mit dem SEOSDATA oder vorhandene Ereignisse als Teil der Migration von Audit Reporter Viewer oder Audit Collector in CA Enterprise Log Manager importiert werden Dieses Hilfsprogramm wird nur von Microsoft Windows und Sun Solaris Sparc unterst tzt Die Sicherheitskopie scp Kopierprogramm f r Remote Dateien ist ein UNIX Hilfsprogramm das Dateien zwischen UNIX Computern in einem Netzwerk transferiert Dieses Hilfsprogramm wird w hrend der CA Enterprise Log Manager Installation f r Sie zur Verf gung gestellt damit Sie Dateien f r automatische Software Updates vom Online Proxy zum Offline Proxy f r Software Updates transferieren k nnen Ein HTTP Proxy Server ist ein Proxy Server der wie eine Firewall agiert und daf r sorgt dass Internet Traffic das Unternehmen nur ber den Proxy betritt und wieder verl sst Wenn bei ausgehendem Verkehr eine ID und ein Kennwort angegeben werden kann der Proxy Server umgangen werden Beim Verwalten automatischer Software Updates kann die Verwendung eines lokalen HTTP Proxy
17. Service Eintr ge generieren Datenbanken und Ger te Ein optimaler Betrieb erfordert eine L sung in der s mtliche Protokolle konsolidiert werden und die daf r sorgt dass Protokolle gut lesbar sind dass die Archivierung im Speicher automatisiert ist und die Protokollwiederherstellung vereinfacht wird CA Enterprise Log Manager bietet diese Vorteile und gibt Ihnen die M glichkeit Alarme an Benutzer und Systeme zu senden wenn kritische Ereignisse eintreten Kapitel 1 Einf hrung 11 Info Installationsumfang 12 bersichtshandbuch Es nimmt nur wenig Zeit in Anspruch eine Single Server L sung einzurichten und mit dem Erfassen von Ereignissen zu beginnen Die Installationsdatentr ger enthalten folgende Komponenten m Betriebssystem Red Hat Enterprise Linux f r die Soft Appliance m CA Enterprise Log Manager Server m CA Enterprise Log Manager Agent in dieser Dokumentation der Agent In der folgenden Abbildung ist CA Enterprise Log Manager ein Server bestehend aus einem kleinen Server einem dunklen gr nen Kreis und einer Datenbank Der kleine Server steht f r das lokale Repository das den Inhalt auf Anwendungsebene speichert Der dunkle Kreis steht f r den Standardagent und die Datenbank steht f r den Ereignisprotokollspeicher in dem eingehende Ereignisprotokolle verarbeitet und f r Abfragen und Berichte verf gbar gemacht werden Die dunklen gr nen Kreise am Sammelpunkt und den anderen Ereignisquellen stehe
18. Sie auf Schlie en Weitere Informationen Installieren eines Agents siehe Seite 39 Festlegen des Authentifizierungsschl ssels f r einen Agenten Festlegen des Autheniifizierungsschl ssels f r einen Agenten Bevor Sie den ersten Agent installieren m ssen Sie den Authentifizierungsschl ssel des Agents kennen Sie k nnen den Standardwert verwenden wenn kein Schl ssel festgelegt wurde den aktuellen Schl ssel verwenden sofern ein solcher eingerichtet wurde oder einen neuen Schl ssel festlegen Der hier konfigurierte Authentifizierungsschl ssel des Agenten muss bei der Installation der einzelnen Agents angegeben werden Dieser Schritt kann nur von einem Administrator durchgef hrt werden So legen Sie den Authentifizierungsschl ssel des Agenten fest 1 ffnen Sie den Browser auf dem Host auf dem Sie den Agent installieren m chten und geben Sie die URL des CA Enterprise Log Manager Servers f r diesen Agent an Beispiel https lt IP Adresse gt 5250 spin calm Melden Sie sich beim CA Enterprise Log Manager Server an Geben Sie Ihren Benutzernamen und Ihr Kennwort ein und klicken Sie auf Anmelden Klicken Sie auf die Registerkarte Verwaltung Im linken Fensterbereich wird der Protokollerfassungs Explorer angezeigt W hlen Sie den Agent Explorer Ordner Im Hauptbereich wird eine Symbolleiste angezeigt Klicken Sie auf Authentifizierungsschl ssel des Agenten oga gan Ba Agentengruppe All
19. Ziele angeben u a E Mail Adressen einen CA IT PAM Prozess der beispielsweise Help Desk Tickets erstellt oder eine oder mehrere SNMP Trap IP Zieladressen Um Ihnen den Einstieg zu erleichtern sind verschiedene vordefinierte Abfragen f r die Planung von Aktionsalarmen verf gbar Beispiele m berm ige Benutzeraktivit t m Hohe durchschnittliche CPU Auslastung m Geringer freier Speicherplatz m Sicherheitsereignisprotokoll in den letzten 24 Stunden gel scht Windows berwachungsrichtlinie in den letzten 24 Stunden ge ndert Einige Abfragen verwenden Schl ssellisten bei denen Sie die in der Abfrage verwendeten Werte verf gbar machen Einige Schl ssellisten umfassen vordefinierte Werte die Sie erg nzen k nnen Dazu geh ren beispielsweise Standardkonten und berechtigte Gruppen Andere Schl ssellisten beispielsweise die Liste f r unternehmenskritische Ressourcen verwenden keine Standardwerte Nach deren Konfiguration k nnen Warnungen f r vordefinierte Abfragen geplant werden z B m Hinzuf gen oder Entfernen von Gruppenmitgliedern durch berechtigte Gruppen m Erfolgreiche Anmeldung durch Standardkonto m Keine Ereignisse von unternehmenskritischen Quellen erhalten Schl ssellisten k nnen manuell durch Import einer Datei oder durch Ausf hren eines CA IT PAM Prozesses mit dynamischen Werten aktualisiert werden Hinweis Einzelheiten zu Aktionsalarmen finden Sie im CA Enterprise Log Manager Administrationsha
20. ber das Bookshelf mit Dokumentation Terminologieglossar Index 8 bersichtshandbuch 61 61 63 65 67 97 Kapitel 1 Einf hrung Dieses Kapitel enth lt folgende Themen ber dieses Handbuch siehe Seite 9 Info siehe Seite 10 ber dieses Handbuch Dieses bersichtshandbuch bietet eine Einf hrung in CA Enterprise Log Manager Es beginnt mit kurzen Lernprogrammen die sofort eine praktische Einf hrung in das Produkt erm glichen Das erste Lernprogramm befasst sich mit der Einrichtung und Aktivierung eines Single Server CA Enterprise Log Managers und dem Anzeigen von Syslogs die von einem UNIX Ger t in unmittelbarer Netzwerkn he erfasst wurden Das zweite Lernprogramm gibt eine Einf hrung in die Installation eines Agents auf einem Windows Betriebssystem die Konfiguration der Protokollerfassung und die Anzeige daraus resultierender Ereignisprotokolle Anschlie end beschreibt es die Hauptfunktionen und gibt Hinweise zu weiteren Informationen Dieses Handbuch richtet sich an alle Benutzer Zusammenfassung des Inhalts Abschnitt Inhalt Info zu CA Enterprise Log Manager Integration von CA Enterprise Log Manager in Ihre aktuelle Netzwerkumgebung Schnellstartbereitstellung Installation eines Single Server Systems Konfiguration von Syslog Ereignisquellen Update des Syslog Connectors f r den Standardagent und Anzeigen von verfeinerten Ereignissen Bereitstellung von Windows Agents Vorbereiten der Agen
21. die zugeordneten CEG Felder analysiert wird Benutzer k nnen Abfragen durchf hren um die Ergebnisse der verfeinerten Ereignisdaten anzuzeigen Die Ereignisverfeinerung findet nach der Ereigniserfassung und vor der Ereignisspeicherung statt Ereignisverfeinerungs Bibliothek Die Ereignisverfeinerungs Bibliothek ist der Speicher f r vordefinierte und benutzerdefinierte Integrationen f r Zuordnungs und Analysedateien sowie f r Unterdr ckungs und Zusammenfassungsregeln Ereignisweiterleitungsregeln Ereignisweiterleitungsregeln geben an dass ausgew hlte Ereignisse nach der Speicherung im Ereignisprotokoll Speicher an Produkte anderer Hersteller weitergeleitet werden sollen beispielsweise an Produkte zur Korrelation von Ereignissen Erfassungspunkt Ein Erfassungspunkt ist ein Server auf dem ein Agent installiert ist und bei dem sich der Server in unmittelbarer Netzwerkn he zu allen Servern mit Ereignisquellen befindet die mit den Connectors des Agenten verkn pft sind Erfassungsserver Ein Erfassungsserver ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt wird Ein Erfassungsserver verfeinert eingehende Ereignisprotokolle f gt sie in die hei e Datenbank ein komprimiert die hei e Datenbank und archiviert oder kopiert sie automatisch auf den entsprechenden Berichtsserver Der Erfassungsserver komprimiert die hei e Datenbank sobald diese die konfigurierte Gr e erreicht hat und archiviert sie automatis
22. entsprechenden Rechtsinhaber CA Produktreferenzen Dieses Dokument bezieht sich auf die folgenden Produkte von CA CA Access Controll CA Audit CA ACF2 CA Directory CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CA IT Process Automation Manager CA IT PAM CA NSM CA Security Command Center CA SCC CA Security Compliance Manager CA SCM CA Service Desk CA SiteMinder CA Spectrum CA Top Secret Technischer Support Kontaktinformationen Wenn Sie technische Unterst tzung f r dieses Produkt ben tigen wenden Sie sich an den Technischen Support unter http www ca com worldwide Dort finden Sie eine Liste mit Standorten und Telefonnummern sowie Informationen zu den B rozeiten nderungen in der Dokumentation Seit der letzten Version dieser Dokumentation wurden folgende Aktualisierungen vorgenommen berblick ber den Schnellstart Dieses bereits vorhandene Thema ist aktualisiert worden und nimmt nun ber Syslogs hinaus Bezug auf weitere Ereignistypen die vom Standardagenten auf dem CA Enterprise Log Manager Server erfasst werden k nnen Alarme zu Richtlinienverletzungen Dieses bereits vorhandene Thema ist aktualisiert worden und nimmt nun Bezug auf die M glichkeit Alarme als SNMP Traps an Netzwerk Sicherheits berwachungssysteme zu senden und einen IT PAM Ereignis Alarmausgabeprozess z B zur Erstellung eines Help Desk Tickets auszuf hren Book
23. im selben CA Enterprise Log Manager Management Server registriert sind Jeder Benutzer kann einer oder mehreren globalen Gruppen zugeordnet werden Zugriffsrichtlinien k nnen mit globalen Gruppen als Identit ten definiert werden denen die Durchf hrung bestimmter Aktionen in ausgew hlten Ressourcen gew hrt oder verweigert wird Globale Konfiguration Globale Ressource Globaler Benutzer Globaler Filter Die global Konfiguration bezeichnet eine Reihe von Einstellungen die alle CA Enterprise Log Manager Server betreffen die denselben Management Server verwenden Eine globale Ressource f r das CA Enterprise Log Manager Produkt ist eine Ressource die mit anderen CA Anwendungen gemeinsam genutzt wird Sie k nnen Richtlinien zur Bereichsdefinierung mit globalen Ressourcen erstellen Beispiele hierf r sind Benutzer Richtlinien und Kalender Siehe auch Anwendungsressource Bei einem globalen Benutzer handelt es sich um die Benutzerkontoinformationen ohne anwendungsspezifische Details Die Details und eines globalen Benutzers und die Mitgliedschaften einer globalen Gruppe werden gemeinsam in allen CA Anwendungen genutzt die mit dem Standardbenutzerspeicher integriert werden k nnen Die Details globaler Benutzer k nnen im eingebetteten Repository oder in einem externen Verzeichnis gespeichert werden Ein globaler Filter ist ein Satz von Kriterien die Sie angeben k nnen und mit denen die in den Berichten angezeigten Daten begrenzt
24. ist ein CA Adapter den ein Administrator mit ausgew hlten Zuordnungsdateien konfigurieren kann Er erh lt Ereignisse von Remote iRecorders CA EEM iTechnology selbst oder von einem Produkt das Ereignisse ber iTechnology sendet Ein Kalender ist ein Mittel mit dem Sie die G ltigkeitsdauer einer Zugriffsrichtlinie begrenzen k nnen Eine Richtlinie erm glicht bestimmten Identit ten die Durchf hrung bestimmter Aktionen in einer angegebenen Ressource w hrend eines definierten Zeitraums Der Katalog ist die Datenbank auf jedem CA Enterprise Log Manager die den Status der archivierten Datenbanken beibeh lt und gleichzeitig als Index h chster Ebene f r alle Datenbanken agiert Die Statusinformationen warm kalt oder verf gbar gemacht werden f r alle Datenbanken beibehalten die sich je auf diesem CA Enterprise Log Manager befunden haben und f r jede Datenbank die auf diesem CA Enterprise Log Manager als verf gbar gemachte Datenbank wiederhergestellt wurde Die Indizierungsf higkeit erstreckt sich auf alle hei en und warmen Datenbanken im Ereignisprotokollspeicher auf diesem CA Enterprise Log Manager Eine Kennung ist ein Term oder eine Schl sselphrase mit der Abfragen oder Berichte identifiziert werden die zur selben gesch ftsrelevanten Gruppierung geh ren Kennungen erm glichen Suchl ufe die auf gesch ftsrelevanten Gruppierungen basieren Eine Kennung ist au erdem der Ressourcenname der in einer Richtlinie verwendet
25. konfigurieren diese Services auf einer globalen Ebene bei der standardm ig alle Einstellungen auf alle CA Enterprise Log Managers angewendet werden Die meisten globalen Einstellungen f r Services k nnen auf der lokalen Ebene also f r jeden angegebenen CA Enterprise Log Manager berschrieben werden SNMP ist ein Akronym und steht f r Simple Network Management Protocol einen offenen Standard zum Senden von Warnmeldungen in Form von SNMP Traps von einem Agentensystem an mehrere Managementsysteme SNMP Trap Inhalte SNMP Trap Ziele Soft Appliance Standardagent Unterdr ckung Eine SNMP Trap besteht aus Namen Wertepaaren wobei jeder Name eine OID Objekt ID und jeder Wert ein zur ckgegebener Wert aus dem geplanten Alarm ist Abfrageergebnisse die von einem Aktionsalarm zur ckgegeben werden bestehen aus CEG Feldern und ihren Werten SNMP Traps werden ausgef llt indem die CEG Felder der Namen in den Namen Wertepaaren durch OIDs ersetzt werden Die Zuordnung zwischen CEG Feld und OID wird in der MIB gespeichert Die SNMP Trap enth lt nur Namen Wertepaare f r Felder die Sie beim Konfigurieren des Alarms ausgew hlt haben Beim Planen von Aktionsalarmen k nnen ein oder mehrere SNMP Trap Ziele hinzugef gt werden F r jedes SNMP Trap Ziel wird eine IP Adresse und eine Port konfiguriert Das Ziel ist typischerweise ein NOC oder ein Verwaltungsserver z B CA Spectrum oder CA NSM Eine SNMP Trap wird an die konfiguri
26. schvorgang konfiguriert wurde manuell gesichert werden und zu einer Remote Protokollspeicherl sung verschoben werden Archivierte Datenbanken k nnen in einem Ereignisprotokollspeicher wiederhergestellt werden Ereignisprotokollspeicher Ereignisquelle Ereignisse Der Ereignisprotokollspeicher ist das Ergebnis des Archivierungsprozesses bei dem der Benutzer eine warme Datenbank sichert CA Enterprise Log Manager durch Ausf hren des Hilfsprogramms LMArchive benachrichtigt und die gesicherte Datenbank aus dem Ereignisprotokollspeicher in den langfristigen Speicher verschiebt Eine Ereignisquelle ist der Host von dem ein Connector Rohereignisse erfasst Eine Ereignisquelle kann mehrere Protokollspeicher enthalten auf die jeweils durch einen separaten Connector zugegriffen wird Die Bereitstellung eines neuen Connectors umfasst gew hnlich die Konfiguration der Ereignisquelle so dass der Agent darauf zugreifen und Rohereignisse aus einem der zugeh rigen Protokollspeicher lesen kann Rohereignisse f r das Betriebssystem andere Datenbanken und verschiedene Sicherheitsanwendungen werden separat f r die Ereignisquelle gespeichert Ereignisse in CA Enterprise Log Manager sind Protokolldatens tze die von jeder angegebenen Ereignisquelle generiert werden Terminologieglossar 79 Ereignisverfeinerung Ereignisverfeinerung bezeichnet den Prozess in dem die Zeichenfolge eines erfassten Rohereignisses in die jeweiligen Ereignisfelder und
27. werden k nnen Beispielsweise zeigt ein globaler Filter f r die letzten 7 Tage nur die Ereignisse an die in den letzten sieben Tagen generiert wurden Terminologieglossar 81 Hierarchische F deration Eine hierarchische F deration von CA Enterprise Log Manager Servern ist eine Topologie die eine hierarchische Beziehung zwischen Servern einrichtet In seiner einfachsten Form ist dies der Fall wenn Server 2 ein untergeordneter Server von Server 1 ist Server 1 jedoch nicht Server 2 untergeordnet ist Dies bedeutet dass die Beziehung nur in eine Richtung geht Eine hierarchische F deration kann mehrere Ebenen von ber und untergeordneten Beziehungen haben und ein einzelner bergeordneter Server kann mehrere untergeordnete Server haben Eine f derierte Abfrage gibt die Ergebnisse vom ausgew hlten Server und all seinen untergeordneten Servern zur ck Hilfsprogramm LMArchive Das Hilfsprogramm LMArchive ist das Befehlszeilenhilfsprogramm mit dem die Sicherung und Wiederherstellung von Archivdatenbanken zum Ereignisprotokollspeicher auf einem CA Enterprise Log Manager Server verfolgt wird Mit LMArchive k nnen Sie die Liste der warmen Datenbankdateien abfragen die f r die Archivierung bereit sind Nach der Sicherung der aufgelisteten Datenbank und nach deren Verschieben in den langfristigen kalten Speicher k nnen Sie mit LMArchive einen Datensatz im CA Enterprise Log Manager erstellen dass diese Datenbank gesichert wurde
28. wird Ein Berichtsserver empf ngt automatisch archivierte warme Datenbanken von einem oder mehreren Erfassungsservern Ein Berichtsserver verwaltet Abfragen Berichte geplante Alarme und geplante Berichte CA Enterprise Log Manager CA IT PAM CA Spectrum CA Adapter CAELM CA Enterprise Log Manager ist ein L sung mit der Sie Protokolle weit verteilter Ereignisquellen verschiedenster Art sammeln nach bereinstimmungen von Abfragen und Berichten suchen und Datens tze von Datenbanken mit komprimierten Protokollen speichern k nnen die Sie in externe Langzeitspeicher verschoben haben CA IT PAM ist die Abk rzung f r CA IT Process Automation Manager Dieses CA Produkt automatisiert von Ihnen definierte Prozesse CA Enterprise Log Manager verwendet zwei Prozesse den Prozess zur Erstellung eines Ereignis Alarmausgabeprozesses f r ein lokales Produkt wie z B CA Service Desk und den Prozess zur dynamischen Erstellung von Listen die als Schl sselwerte importiert werden k nnen F r die Integration ist CA IT PAM r2 1 erforderlich CA Spectrum ist ein Neztwerkfehlerverwaltungsprogramm das in CA Enterprise Log Manager integriert werden kann um als Ziel f r Alarme in Form von SNMP Traps zu dienen Die CA Adapter sind eine Gruppe von Listenern die Ereignisse von CA Audit Komponenten erhalten Diese Komponenten umfassen CA Audit Clients iRecorder und SAPI Recorder sowie Quellen die Ereignisse nativ ber iTechnology senden
29. ANWENDBAREM RECHT ERLAUBT STELLT CA DIESE DOKUMENTATION IM VORLIEGENDEN ZUSTAND OHNE JEGLICHE GEW HRLEISTUNG ZUR VERF GUNG DAZU GEH REN INSBESONDERE STILLSCHWEIGENDE GEW HRLEISTUNGEN DER MARKTTAUGLICHKEIT DER EIGNUNG F R EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN IN KEINEM FALL HAFTET CA GEGEN BER DEM NUTZER ODER DRITTEN F R VERLUSTE ODER UNMITTELBARE ODER MITTELBARE SCH DEN DIE AUS DER VERWENDUNG DIESER DOKUMENTATION ENTSTEHEN DAZU GEH REN INSBESONDERE ENTGANGENE GEWINNE VERLORENGEGANGENE INVESTITIONEN BETRIEBSUNTERBRECHUNG VERLUST VON GOODWILL ODER DATENVERLUST SELBST WENN CA BER DIE M GLICHKEIT DIESES VERLUSTES ODER SCHADENS INFORMIERT WURDE Die Verwendung aller in der Dokumentation aufgef hrten Software Produkte unterliegt den entsprechenden Lizenzvereinbarungen und diese werden durch die Bedingungen dieses Urheberrechtsvermerks in keiner Weise ver ndert Diese Dokumentation wurde von CA hergestellt Diese Dokumentation wird mit Restricted Rights eingeschr nkten Rechten geliefert Die Verwendung Duplizierung oder Ver ffentlichung durch die US Regierung unterliegt den in FAR Abs tze 12 212 52 227 14 und 52 227 19 c 1 bis 2 und DFARS Absatz 252 227 7014 b 3 festgelegten Einschr nkungen soweit anwendbar oder deren Folgebestimmungen Copyright 2009 CA Alle Rechte vorbehalten Alle Marken Produktnamen Dienstleistungsmarken oder Logos auf die hier verwiesen wird sind Eigentum der
30. CA Enterprise Log Manager Server ausgef hrt wird Um kalte Ereignisse zu untersuchen k nnen Sie Datenbanken mit einem Hilfsprogramm vom Remote Speicher zum Wiederherstellungspunkt Server verschieben dann die Datenbanken zum Katalog hinzuf gen und Abfragen durchf hren Das Verschieben kalter Datenbanken zu einem bestimmten Wiederherstellungspunkt Server ist eine alternative Methode dazu sie aus Untersuchungsgr nden zur ck zum urspr nglichen Server zu verschieben XMP Dateianalyse ist der Prozess der vom Nachrichtenanalyse Hilfsprogramm durchgef hrt wird um alle Ereignisse zu suchen die jede vorabgestimmte Zeichenfolge enthalten und um bei einem bereinstimmendem Ereignis das Ereignis mit dem ersten gefundenen Filter der dieselbe vorabgestimmte Zeichenfolge verwendet in Tokens zu analysieren In CA Enterprise Log Manager werden die vordefinierten Zertifikate CAELMCert p12 und CAELM_AgentCert p12 verwendet Alle CA Enterprise Log Manager Services verwenden zur Kommunikation mit dem Verwaltungsserver das Zertifikat CALEMCert p12 Alle Agenten verwenden zur Kommunikation mit dem zugeh rigen Erfassungsserver das Zertifikat CAELM_AgentCert p12 Ein Zugriffsfilter kann vom Administrator festgelegt werden um zu steuern welche Ereignisdaten Benutzer oder Gruppen ohne Administratorrechte anzeigen k nnen So kann ein Zugriffsfilter beispielsweise den Datenumfang in Berichten einschr nken der von bestimmten Identit ten eingese
31. CA Enterprise Log Manager Ubersichtshandbuch r12 1 Diese Dokumentation und die dazugeh rigen Software Hilfeprogramme nachfolgend als die Dokumentation bezeichnet dienen ausschlie lich zu Informationszwecken des Nutzers und k nnen jederzeit durch CA ge ndert oder zur ckgenommen werden Diese Dokumentation darf ohne vorherige schriftliche Genehmigung von CA weder vollst ndig noch auszugsweise kopiert bertragen vervielf ltigt ver ffentlicht ge ndert oder dupliziert werden Diese Dokumentation ist vertraulich und geistiges Eigentum von CA und darf vom Benutzer weder ver ffentlicht noch zu anderen Zwecken verwendet werden als solchen die in einem separaten Vertraulichkeitsabkommen zwischen dem Nutzer und CA erlaubt sind Ungeachtet der oben genannten Bestimmungen ist der Nutzer der ber eine Lizenz verf gt berechtigt eine angemessene Anzahl an Kopien dieser Dokumentation zum eigenen Gebrauch f r sich und seine Angestellten im Zusammenhang mit der betreffenden Software auszudrucken vorausgesetzt dass jedes kopierte Exemplar diesen Urheberrechtsvermerk und sonstige Hinweise von CA enth lt Das Recht zum Anfertigen einer Kopie der Dokumentation beschr nkt sich auf den Zeitraum der vollen Wirksamkeit der Produktlizenz Sollte die Lizenz aus irgendeinem Grund enden best tigt der Nutzer gegen ber CA schriftlich dass alle Kopien oder Teilkopien der Dokumentation an CA zur ckgegeben oder vernichtet worden sind SOWEIT NACH
32. Datenbanken generierte Ereignisse zu erfassen Einzelheiten hierzu finden Sie in der CA Enterprise Log Manager Produktintegrationsmatrix Sie ben tigen f r die Installation von CA Enterprise Log Manager die EiamAdmin Anmeldeinformationen Als EiamAdmin Superuser konfigurieren Sie ein Administratorkonto das Sie f r die Konfiguration verwenden Wenn Sie sich mit den Administrator Anmeldeinformationen anmelden k nnen Sie berpr fen ob das Setup funktionsf hig ist indem Sie die selbst berwachenden Ereignisse anzeigen Kapitel 2 Schnellstartbereitstellung 15 Installation eines Single Server Systems Installation eines Single Server Systems 16 bersichtshandbuch Ein Single Server System ist die einfachste Art abgefragte Ereignisse anzuzeigen Stellen Sie sicher dass Sie ein Ger t w hlen das die minimalen Hardwareanforderungen f r eine CA Enterprise Log Manager Soft Appliance erf llt oder bertrifft Hinweis Die zertifizierte Hardwareliste Informationen zur Unterst tzung von Betriebssystemen und zur Systemsoftware sowie Dienstanforderungen finden Sie in den Versionshinweisen So installieren Sie einen CA Enterprise Log Manager f r ein Single Server System 1 Halten Sie die folgenden Informationen bereit Ein Kennwort das als Stammkennwort verwendet wird Hostname f r Ihre Anwendung Wenn DHCP nicht verwendet wird die statische IP Adresse Subnet Maske und Standard Gateway f r Ihre Anwendung Dom
33. Im Falle von CA Adaptern k nnen XMP Dateien auch auf dem CA Enterprise Log Manager Server angewendet werden Nachrichtenanalyse Token ELM Natives Ereignis Neukatalogisierung 86 bersichtshandbuch Ein Nachrichtenanalyse Token ist eine wiederverwendbare Vorlage f r die Erstellung einer regul ren Ausdruckssyntax die bei der CA Enterprise Log Manager Nachrichtenanalyse verwendet wird Ein Token verf gt ber einen Namen einen Typ und eine entsprechende Zeichenfolge f r den regul ren Ausdruck Ein natives Ereignis ist der Zustand oder die Aktion die ein Rohereignis ausl st Native Ereignisse werden empfangen entsprechend analysiert zugeordnet und dann als Rohereignisse oder verfeinerte Ereignisse bertragen Eine fehlgeschlagene Authentifizierung ist ein natives Ereignis Eine Neukatalogisierung ist eine erzwungene Neuerstellung des Katalogs Die Neukatalogisierung ist nur erforderlich wenn Daten im Ereignisprotokollspeicher eines anderen Servers wiederhergestellt werden als auf dem Server auf dem sie generiert wurden Wenn Sie einen CA Enterprise Log Manager als Wiederherstellungspunkt f r Untersuchungen von kalten Daten bestimmen m ssen Sie eine Neukatalogisierung der Datenbank immer dann erzwingen nachdem diese auf dem festgelegten Wiederherstellungspunkt wiederhergestellt wurde Eine Neukatalogisierung wird ggf automatisch durchgef hrt wenn iGateway erneut gestartet wird Die Neukatalogisierung einer einzelnen Daten
34. M ist eine vordefinierte Ressourcenklasse die folgende CA Enterprise Log Manager Ressourcen umfasst Alarm ArchiveQuery calmTag Daten EventGrouping Integration und Bericht Folgende Aktionen sind in dieser Ressourcenklasse zul ssig Anmerken Berichte Erstellen Alarm calmTag EventGrouping Integration und Bericht Datenzugriff Daten Ausf hren ArchiveQuery und Planen Alarm Bericht CALM Anwendungszugriffsrichtlinie calmTag Die CALM Anwendungszugriffsrichtlinie ist ein Zugriffssteuerungslistentyp einer Richtlinie zur Bereichsdefinierung die festlegt wer sich in CA Enterprise Log Manager anmelden darf Anmeldungszugriff wird standardm ig dem Gruppen Administrator dem Gruppen Analysen und dem Gruppen lAuditor erteilt calmTag ist ein benanntes Attribut f r das Anwendungsobjekt das bei der Erstellung einer Richtlinie zur Bereichsdefinierung verwendet wird um Benutzer auf bestimmte Berichte und Abfragen zu beschr nken die zu bestimmten Kennungen geh ren Alle Berichte und Abfrage sind Anwendungsobjekte und haben calmTag als Attribut Dies ist nicht zu verwechseln mit der Ressource Kennung CA Server f r automatische Software Updates 74 bersichtshandbuch Der CA Server f r automatische Software Updates ist die Quelle f r automatische Aktualisierungen aus CA CEG Felder CEG Felder sind Label mit denen die Darstellung von Rohereignisfeldern aus unterschiedlichen Ereignisquellen standardisier
35. Servers konfiguriert werden Idealmodell ideal_model Identit t Das Idealmodell stellt die Technologie dar die das Ereignis ausdr ckt Dies ist das erste CEG Feld in einer Hierarchie von Feldern die f r die Ereignisklassifikation und normalisierung verwendet werden Beispiele eines Idealmodells sind z B Antivirus DBMS Firewall Betriebssystem und Webserver Die Firewall Produkte Check Point Cisco PIX und Netscreen Juniper k nnten mit dem Wert Firewall im Feld ideal_model normalisiert werden Eine Identit t in CA Enterprise Log Manager ist eine Benutzergruppe die Zugriff auf die CAELM Anwendungsinstanz und ihre Ressourcen hat Eine Identit t f r ein CA Produkt kann ein globaler Benutzer ein Anwendungsbenutzer eine globale Gruppe eine Anwendungsgruppe oder eine dynamische Gruppe sein Inhaltsaktualisierungen Installierender Integration Inhaltsaktualisierungen sind der nicht bin re Anteil der automatischen Software Updates die auf dem CA Enterprise Log Manager Management Server gespeichert werden Inhaltsaktualisierungen umfassen Inhalte wie XMP Dateien Datenzuordnungsdateien Konfigurationsaktualisierungen f r CA Enterprise Log Manager Module und Aktualisierungen ffentlicher Schl ssel Der Installierende ist derjenige der die Soft Appliance und die Agenten installiert W hrend des Installationsprozesses werden die Benutzernamen caelmadmin und EiamAdmin erstellt und das f r EiamAdmin angegebene
36. Startprogramm f r die Agentinstallation Der Installations Assistent wird gestartet Klicken Sie auf Weiter lesen Sie den Lizenzvertrag klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu um fortzufahren und klicken Sie auf Weiter Akzeptieren Sie den angebotenen Installationspfad oder ndern Sie ihn und klicken Sie auf Weiter Geben Sie die erforderlichen Informationen wie folgt ein a Geben Sie den Hostnamen des CA Enterprise Log Manager Servers ein an den dieser Agent die erfassten Protokolle weiterleiten soll Hinweis Da CA Enterprise Log Manager in diesem Beispielszenario DHCP f r die IP Adressenzuordnung verwendet d rfen Sie hier keine IP Adresse eingeben Andernfalls besteht die Gefahr dass der Agent neu installiert werden muss falls sich die IP Adresse des Servers ndert Kapitel 3 Bereitstellung von Windows Agents 39 Installieren eines Agents 40 bersichtshandbuch b Geben Sie den Authentifizierungsschl ssel des Agenten ein Beispiel CA Enterprise Log Manager Agent InstallShield Wizard xi Information about CA Enterprise Log Manager Agent ca Ca Enter CA Enterprise Log Manager Server IP or Name and Authentication Code Server IP or LogManager02 Name Authentication Imy_agent_auth_keyl Code E Geben Sie Namen und Kennwort des Benutzerkontos ein das Sie f r den Agent eingerichtet haben und klicken Sie auf Weiter CA Enterprise Log Manage
37. ails ein Gespeicherte Konfigurationen Konfiguration ausw hlen v Sensorkonfiguration WMI Quellen amp njis Klicken Sie hier um die Integrationshilfe anzuzeigen 42 bersichtshandbuch Erstellen eines Connectors basierend auf NTEventLog 8 Klicken Sie auf die Schaltfl che zum Anzeigen von Details f r WMI Quellen Connector Konfiguration G Geben Sie die Konfigurationsdetails ein Gespeicherte Konfigurationen Konfiguration ausw hlen vr Sensorkonfiguration WMI Quellen N d Details anzeigen 9 Konfigurieren Sie die WMILogSensor Einstellungen des lokalen Computers f r die agentbasierte Protokollerfassung Weitere Informationen erhalten Sie wenn Sie auf Hilfe klicken Das folgende Beispiel zeigt eine Konfiguration bei der der Benutzer ein Windows Administrator auf dem angegebenen WMI Server ist Die Dom ne gilt f r den WMI Server WMI Servername USEROOLLAB Benutzername user0o i Kennwort batt 22 E E E Dom ne cacom Namespace vroot cimv2 Ereignisprotokollname NT Ankerfrequenz aktualisieren 100 10 Optional Konfigurieren Sie mit demselben Connector einen WMI Sensor f r einen anderen Computer f r die Protokollerfassung ohne Agent a Klicken Sie auf die Schaltfl che bergeordneten Knoten wiederholen Die folgende Abbildung zeigt eine Konfiguration mit zwei WMI Quellen Sensorkonfiguration WMI Quellen WMI Quellen bergeordneten Knoten wiederh
38. auf Ihr lokales Laufwerk oder laden Sie es von der CA Kundensupport Website herunter Doppelklicken Sie auf die Datei Bookshelf hta oder Bookshelf html um das Bookshelf zu ffnen Ein Fenster wird angezeigt das in etwa folgenderma en aussieht cal Bookshelf ca Bookshelf CA Enterprise Log Manager r12 1 MEN Home Welcome to the CA Enterprise Log Manager r12 1 bookshelf Please select one of the categories below to view the documentation available on this bookshelf All Documentation Select a book title to view the documentation Administration Guide HTML PDF Agent Installation Guide HTML PDF API Programming Guide HTML PDF Examples HTML Implementation Guide HTML PDF Overview Guide HTML PDF Release Notes HTML PDF Related Documentation Select a book title to view the documentation CA EEM Getting Started HTML PDF CA EEM Release Notes HTML PDF Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager 65 berblick ber das Bookshelf mit Dokumentation Komponente Agent Installationshandbuch Implementierungshandb uch Administrationshandbuc h API Programmierhandbuch Beispiele 66 bersichtshandbuch Eine Beschreibung des Inhalts der wichtigsten Handb cher und Beispiele folgen Inhalt Installieren der Agents Installieren und Konfigurieren eines CA Enterprise Log Manager Systems Anpassen der Konfiguration Durchf hren von routinem igen Verwaltungsaufgabe
39. bank kann mehrere Stunden in Anspruch nehmen NIST Das National Institute of Standards and Technology NIST ist die Bundesagentur die Empfehlungen in ihrer Special Publication 800 92 Guide to Computer Security Log Management Leitfaden f r die Computersicherheitsprotokoll Verwaltung gibt die als Basis f r CA Enterprise Log Manager verwendet wurde ODBC und JDBC Zugriff ODBC Server OID Objekt ID Ordner Pflichtrichtlinie Durch den ODBC und JDBC Zugriff auf CA Enterprise Log Manager Ereignisprotokoll Speicher wird die Verwendung von Ereignisdaten mit einer Vielzahl von Produkten anderer Hersteller unterst tzt darunter die benutzerdefinierte Berichterstellung zu Ereignissen mit Berichterstellungstools anderer Hersteller die Ereigniskorrelation mit Korrellations Engines und die Ereignisauswertung durch Produkte f r die Erkennung von Sicherheitsverletzungen Intrusion Detection und Malware Auf Systemen mit Windows Betriebssystemen wird der ODBC Zugriff verwendet auf UNIX und Linux Systemen hingegen der JDBC Zugriff Der ODBC Server ist der konfigurierte Service der den f r die Kommunikation zwischen dem ODBC oder JDBC Client und dem CA Enterprise Log Manager Server verwendeten Port festlegt und angibt ob SSL Verschl sselung verwendet werden soll Eine OID Objekt ID ist eine eindeutige numerische ID f r ein Datenobjekt das mit Werten in einer SNMP Trap Meldung verbunden wird Alle OIDs die in einer CA Enter
40. bezeichnet die Anwendung von Regeln auf die Analyse eines Rohereignisprotokolls um relevante Informationen wie Zeitstempel IP Adresse und Benutzername abzurufen Analyseregeln arbeiten mit der Zeichen bereinstimmung um einen bestimmten Ereignistext zu suchen und diesen mit den ausgew hlten Werten zu verkn pfen Terminologieglossar 85 Nachrichtenanalyse Die Analyse auch als Nachrichtenanalyse bezeichnet umfasst den Prozess der Umwandlung roher Ger tedaten in Schl sselwertpaare Die Nachrichtenanalyse wird durch eine XMP Datei gesteuert Die Analyse die der Datenzuordnung vorausgeht ist ein Schritt des Integrationsprozesses der das von einer Ereignisquelle erfasste Rohereignis in ein verfeinertes Ereignis umwandelt das Sie anzeigen k nnen Nachrichtenanalysebibliothek Die Nachrichtenanalysebibliothek ist eine Bibliothek die Ereignisse aus den Listener Warteschlangen bernimmt und regul re Ausdr cke verwendet um Zeichenfolgen in Token Namenwertpaare zu bersetzen Nachrichtenanalysedatei XMP Eine Nachrichtenanalysedatei XMP ist eine XML Datei die mit einem bestimmten Ereignisquellentyp verkn pft ist der Analyseregeln anwendet Analyseregeln zerlegen die relevanten Daten in einem erfassten Rohereignis in Namenswertepaare die dann zur weiteren Verarbeitung an die Datenzuordnungsdatei weitergeleitet werden Dieser Dateityp wird in allen Integrationen sowie in Connectors verwendet die auf Integrationen basieren
41. ch entsprechend dem konfigurierten Plan Filter Ein Filter ist ein Mittel mit dem Sie eine Abfrage f r den Ereignisprotokollspeicher eingrenzen k nnen F derationsserver F derationsserver sind CA Enterprise Log Manager Server die in einem Netzwerk miteinander verbunden sind um die erfassten Protokolldaten zu verteilen aber um die erfassten Daten f r die Berichterstellung zu aggregieren F derationsserver k nnen hierarchisch oder ber eine vernetzte Topologie verbunden werden Berichte von f derierten Daten umfassen Daten vom Zielserver sowie Daten von Unter oder Gleichordnungen dieses Servers sofern vorhanden 80 bersichtshandbuch Funktionszuordnungen Funktionszuordnungen sind ein optionaler Teil der Datenzuordnungsdatei f r eine Produktintegration Mit einer Funktionszuordnung kann ein CEG Feld gef llt werden wenn der ben tigte Wert nicht direkt vom Quellereignis abgerufen werden kann Alle Funktionszuordnungen bestehen aus dem Namen des CEG Feldes einem vordefinierten oder Klassenfeldwert und der Funktion mit der der Wert abgerufen oder berechnet wird Gespeicherte Konfiguration Globale Gruppe Eine gespeicherte Konfiguration ist eine gespeicherte Konfiguration mit den Werten f r die Datenzugriffsattribute einer Integration die als Vorlage bei der Erstellung einer neuen Integration verwendet werden kann Eine globale Gruppe ist eine Gruppe die von mehreren Anwendungsinstanzen gemeinsam verwendet wird die
42. deinformationen der Dom ne eines Administrators f r den Agent eingeben Diese Vorgehensweise wird jedoch nicht empfohlen So erstellen Sie ein Windows Benutzerkonto f r den Agent 1 Melden Sie sich bei dem Host an auf dem Sie den Agent installieren m chten Verwenden Sie die Verwaltungsanmeldeinformationen 2 Klicken Sie auf Start Programme Verwaltung Computerverwaltung 3 Erweitern Sie Lokale Benutzer und Gruppen 4 Klicken Sie mit der rechten Maustaste auf Benutzer und w hlen Sie Neuer Benutzer Das Windows Dialogfeld Neuer Benutzer wird ge ffnet Kapitel 3 Bereitstellung von Windows Agents 35 Erstellen eines Benutzerkontos f r den Agent 36 bersichtshandbuch Geben Sie einen Benutzernamen und das Kennwort ein Best tigen Sie das Kennwort durch erneute Eingabe Ein effektives Kennwort besteht aus einer Mischung von alphanumerischen Zeichen und Sonderzeichen Beispiel calmr12_agent Optional k nnen Sie eine Beschreibung eingeben Wichtig Notieren Sie den Namen und das Kennwort oder speichern Sie sie Sie ben tigen ihn bei der Installation des Agents Benutzername Se Yollst ndiger Name I Beschreibung Use for CA ELM Agent Kennwort Kennwort best tigen m 17 Benutzer muss Kennwort bei der n chsten Anmeldung ndern I Benutzer kann Kennwort nicht ndern b Serien 6 Klicken Sie auf Erstellen Klicken
43. denen die Ereignisprotokollspeicher der aktiven CA Enterprise Log Manager Server und sofern angegeben seiner f derierten Server durchsucht werden Eine Abfrage richtet sich an die hei en warmen oder verf gbaren gemachten Datenbanken die in der Where Klausel der Abfrage angegeben wurden Beispiel Wenn die Where Klausel die Abfrage auf Ereignisse mit source_username myname in einem bestimmten Zeitrahmen beschr nkt und nur zehn von 1000 Datenbanken Datens tze enthalten die diesen Kriterien basierend auf den Informationen in der Katalogdatenbank entsprechen wird die Abfrage nur in diesen zehn Datenbanken durchgef hrt Eine Abfrage kann maximal 5000 Datenzeilen zur ckgeben Ein Benutzer mit einer vordefinierten Rolle kann eine Abfrage durchf hren Nur Analysten und Administratoren k nnen eine Abfrage planen um einen Aktionsalarm zu verteilen einen Bericht unter Auswahl der enthaltenen Abfragen erstellen oder eine benutzerdefinierte Abfrage mithilfe des Abfragedesign Assistenten erstellen Siehe auch Archivabfrage Die Abfragebibliothek ist der Speicher f r alle vordefinierten und benutzerdefinierten Abfragen Abfragekennungen und Prompt Filter Die Administratorrolle erteilt Benutzern die Berechtigung alle g ltigen Aktionen in allen Ressourcen von CA Enterprise Log Manager auszuf hren Nur Administratoren d rfen Protokollerfassung und Services konfigurieren oder Benutzer Zugriffsrichtlinien und Zugriffsfilter verwalten Ein Ag
44. die Konfiguration der Komponenten Die folgende Meldung best tigt dass die CA ELM Installation erfolgreich abgeschlossen wurde Nach Abschluss der Installation zeigt das System die Anmeldeadresse der Konsole an Notieren Sie sich diese Adresse Diese Adresse m ssen Sie in einem Browser eingeben um auf diesen CA Enterprise Log Manager Server zuzugreifen Diese lautet https lt hostname gt 5250 spin calm Es wird eine Anmeldeaufforderung f r den lt hostname gt angezeigt Diese k nnen Sie au er Acht lassen Hinweis Wenn Sie von dieser Anmeldeaufforderung aus die Eingabeaufforderung des Betriebssystems anzeigen m chten geben Sie caelmadmin und das Standardkennwort ein d h das Kennwort das Sie dem Benutzerkonto f r EiamAdmin zugewiesen haben Mit diesem caelmadmin Konto k nnen Sie sich bei der Anwendung auf der Konsole oder ber SSH anmelden Kapitel 2 Schnellstartbereitstellung 21 Aktualisieren der Windows Hostdatei 15 Fahren Sie wie folgt fort m Wenn Sie eine statische IP Adresse konfiguriert haben m ssen Sie die IP Adresse mit den in Schritt 9 festgelegten DNS Servern registrieren a Wenn Sie DHCP konfiguriert haben aktualisieren Sie Ihre Hostdatei auf dem Ger t von dem aus Sie ber einen Browser auf diesen Server zugreifen m chten Gehen Sie zu der URL die Sie in Schritt 14 notiert haben und konfigurieren Sie den ersten Administrator Aktualisieren der Windows Hostdatei W hrend der Instal
45. die Netzwerkeinstellungen Wenn Sie zufrieden sind geben Sie n ein oder dr cken Sie die Eingabetaste wenn die Meldung angezeigt wird in der Sie die Netzwerkeinstellungen ndern k nnen Die folgende Meldung wird angezeigt Geben Sie den Dom nennamen f r dieses System ein Geben Sie Ihren Dom nennamen ein z B lt ihrunternehmen gt com Die folgende Meldung wird angezeigt Geben Sie eine kommagetrennte Liste mit DNS Server ein die verwendet werden k nnen Geben Sie die IP Adressen Ihrer internen DNS Server ein Sie m ssen durch Kommas ohne Leerzeichen voneinander getrennt sein Systemdatum und zeit werden in der folgenden Meldung angezeigt M chten Sie Systemdatum und zeit ndern n berpr fen Sie das angezeigte Systemdatum und die Systemzeit Wenn Sie zufrieden sind dr cken Sie die Eingabetaste oder geben Sie n ein Die folgende Meldung wird angezeigt M chten Sie das System konfigurieren um die Uhrzeit ber NTP zu aktualisieren Kapitel 2 Schnellstartbereitstellung 19 Installation eines Single Server Systems 20 bersichtshandbuch 11 Wenn Sie einen NTP Server Network Time Protocol verwenden gehen Sie wie folgt vor W hlen Sie andernfalls Nein und fahren Sie mit dem n chsten Schritt fort 12 a W hlen Sie f r diese Meldung Ja Wenn Sie Ja w hlen wird die folgende Meldung angezeigt Geben Sie den Namen oder die IP Adresse des NTP Servers an Geben Sie den Hostnamen oder die
46. die diese anfordern und dass sie die aktuellste Version der Inhaltsaktualisierungen an den Management Server weiterleiten wenn dieser sie noch nicht erhalten hat Offline Proxys f r automatische Software Updates ben tigen keinen Internetzugang Proxy f r automatische Software Updates online Ein Online Proxy f r automatische Software Updates ist ein CA Enterprise Log Manager Server mit Internetzugang der automatische Software Updates nach einem wiederkehrenden Zeitplan von einem CA Server f r automatische Software Updates erh lt Ein bestimmter Online Proxy f r automatische Software Updates kann f r einen oder mehrere Clients in die Proxy List aufgenommen werden Dieser kontaktiert die aufgelisteten Proxys im Ringversuch um bin re Aktualisierungen anzufordern Ein bestimmter Online Proxy leitet wenn er so konfiguriert wurde neue Inhalts und Konfigurationsaktualisierungen an den Management Server weiter wenn diese nicht bereits von einem anderen Proxy weitergeleitet wurden Das Verzeichnis f r automatische Software Updates eines ausgew hlten Online Proxys wird beim Kopieren von Aktualisierungen in Offline Proxys automatischer Software Updates als Quelle verwendet Terminologieglossar 89 Proxy f r automatische Software Updates Standardwert Der Standard Proxy f r automatische Software Updates ist normalerweise der CA Enterprise Log Manager Server der als erster installiert wurde und der auch der prim re CA Enterprise L
47. durchf hren die Archivdatenbank neu katalogisieren das Hilfsprogramm LMArchive und das Shellskript restore ca elm zur Wiederherstellung von Archivdatenbanken zur Pr fung ausf hren kann Dem Benutzer muss die vordefinierte Rolle des Administrators oder eine benutzerdefinierte Rolle mit einer benutzerdefinierten Richtlinie zugewiesen werden die die Aktion Bearbeiten in der Datenbankressource zul sst Eingabeaufforderung Eine Eingabeaufforderung ist ein besonderer Typ von Abfrage durch die Ergebnisse basierend auf dem eingegebenen Wert und den ausgew hlten CEG Feldern angezeigt werden Es werden nur Zeilen f r Ereignisse zur ckgegeben bei denen der eingegebene Wert in mindestens einem der ausgew hlten CEG Felder angezeigt wird Terminologieglossar 77 ELM Schemadefinition CEG Die ELM Schemadefinition ist das Schema das ein Standardformat enth lt in das CA Enterprise Log Manager Ereignisse mithilfe von Analysen und Zuordnungen konvertiert werden bevor diese im Ereignisprotokollspeicher gespeichert werden CEG verwendet allgemeine normalisierte Felder um die Sicherheitsereignisse von verschiedenen Plattformen und Produkten zu definieren Ereignisse die nicht analysiert oder zugeordnet werden k nnen werden als Rohereignisse gespeichert EPHI Berichte Die EPHI Berichte sind Berichte die sich auf die HIPAA Sicherheit beziehen wobei EPHI f r Electronic Protected Health Information Elektronisch gesch tzte Gesundheitsin
48. e Authentifizierungsschl ssel des Agenten Geben Sie den Authentifizierungsschl ssel des Agenten ein der f r die Agentinstallation verwendet werden soll oder notieren Sie den aktuellen Eintrag Wichtig Notieren Sie diesen Schl ssel oder zeichnen Sie ihn auf Sie ben tigen ihn bei der Installation des Agents Authentifizierungsschl ssel des Agenten Authentifizierungsschl ssel des Agenten anzeigen aktualisieren Erforderlich Authentifizierungsschl ssel This_is_default_authentication_key Authentifizierungsschl ssel eingeben my_agent_auth_key Authentifizierungsschl ssel best tigen my_agent_auth_key Klicken Sie auf Speichern Fahren Sie mit dem Herunterladen des Agentinstallationsprogramms fort n chster Schritt Kapitel 3 Bereitstellung von Windows Agents 37 Herunterladen des Agentinstallationsprogramms Herunterladen des Agentinstallationsprogramms 38 bersichtshandbuch Wenn Sie nur den Authentifizierungsschl ssel des Agenten festlegen k nnen Sie das Agentinstallationsprogramm auf den Desktop herunterladen So laden Sie das Agentinstallationsprogramm herunter 1 Klicken Sie in der Symbolleiste des Agent Explorers auf Bin rdateien des Agents herunterladen aa Bin rdateien des Agenten herunterladen Im Hauptbereich werden Verkn pfungen zu den verf gbaren Bin rdateien des Agents angezeigt Klicken Sie auf die Windows Verkn pfung um den Agent auf einem S
49. egrad Quellbenutzer Ergebnis Kategorie Aktion Protokollname p Warnung calm_agent S System Access Privilege Use NT Security 5 Klicken Sie auf Rohereignisse anzeigen um die Rohereignisse f r die Warnung anzuzeigen 6 Doppelklicken Sie auf die Warnung um die Ereignisanzeige mit weiteren Daten zu ffnen Das folgende Beispiel zeigt einige Zeilen mit Beispieldaten Ereignisanzeige Ereignisdetails Host v Leere Zeilen ausblenden agent_connector_name NTEventLog_Connector_ USEROOILAB 46 bersichtshandbuch Anzeigen von Protokollen der Windows Ereignisquellen 7 Klicken Sie auf die Registerkarte Abfragen und Berichte klicken Sie in der Abfrageliste auf eine Abfrage z B Erfassungs berwachung nach Log Manager Trend Zeigen Sie das entsprechende Balkendiagramm an A Erfassungs berwachung nach Protokollmanager Trend AKT ar IRIRE 6000 5000 4000 3000 jyezuy 2000 1000 13 00 14 00 15 00 16 00 17 00 18 00 19 00 Uhrzeit 8 Klicken Sie auf Berichte Geben Sie unter Berichtsliste im Feld Suchen den Eintrag selbst ein um den Berichtsnamen Selbst berwachende Ereignisse des Systems anzuzeigen W hlen Sie diesen Bericht um eine Liste der Ereignisse anzuzeigen die vom CA Enterprise Log Manager Server generiert wurden Hinweis Weitere Informationen zum Planen von Berichten mit Informationen die Sie analysieren m chten finden Sie in der Online Hilfe oder im Verwaltu
50. ems siehe Seite 16 Aktualisieren der Windows Hostdatei siehe Seite 22 Konfigurieren des ersten Administrators siehe Seite 22 Konfigurieren von Syslog Ereignisquellen siehe Seite 26 Bearbeiten des Syslog Connectors siehe Seite 29 Anzeigen von Syslog Ereignissen siehe Seite 32 berblick ber den Schnellstart Sie k nnen eine einfache funktionsf hige CA Enterprise Log Manager Bereitstellung mit einer Soft Appliance erstellen Mit Hilfe des vordefinierten Syslog Connectors kann der Standardagent generierte Syslog Ereignisse empfangen Sie m ssen lediglich Ihre Syslog Quellen konfigurieren um Syslog Ereignisse an CA Enterprise Log Manager weiterzugeben und die Syslog Connector Konfiguration bearbeiten so dass die Syslog Ziele erkannt werden Die Bandbreite zwischen dem Server und den Syslog Quellen sowie die Latenz bestimmen was empfangen wird Protokollsensoren einschlie lich WinRM und ODBC unterst tzen die direkte Protokollerfassung von ber zwanzig Nicht Syslog Ereignisquellen Der WinRM Protokollsensor erm glicht die direkte Ereigniserfassung von Servern auf denen Windows Betriebssysteme ausgef hrt werden wie z B Forefront Security f r Exchange Server Forefront Security f r SharePoint Server Microsoft Office Communication Server und der virtuelle Server Hyper V sowie Services wie Active Directory Certificate Services Der ODBC Protokollsensor erm glicht von Oracle9i oder SQL Server 2005
51. en kalte Datenbanken f r die ben tigte Anzahl an Jahren gespeichert werden Auf dem Remote Host der zum Speichern verwendet wird sind normalerweise kein CA Enterprise Log Manager oder andere Produkte installiert Konfigurieren Sie f r die Auto Archivierung eine nicht interaktive Authentifizierung Richtlinie zur Bereichsdefinierung Rohereignis RSS Ereignis Eine Richtlinie zur Bereichsdefinierung ist ein Typ einer Zugriffsrichtlinie die den Zugriff auf Ressourcen die auf dem Management Server gespeichert sind wie z B Anwendungsobjekte Benutzer Gruppen Ordner und Richtlinien gew hrt oder verweigert Mit der Richtlinie zur Bereichsdefinierung werden die Identit ten festgelegt die auf die angegebenen Ressourcen zugreifen d rfen Ein Rohereignis stellt die Informationen dar die von einem nativen Ereignis ausgel st werden das von einem berwachungsagenten zum Protokollmanager Collector gesendet wird Das Rohereignis wird h ufig als Syslog Zeichenfolge oder als Namenswertpaare formatiert Es ist m glich ein Ereignis in seiner Rohform in CA Enterprise Log Manager anzuzeigen Ein RSS Ereignis ist ein Ereignis das von CA Enterprise Log Manager generiert wird um einen Aktionsalarm an Drittanbieterprodukte und benutzer zu leiten Das Ereignis besteht aus einer Zusammenfassung aller Aktionsalarmergebnisse und einem Link zur Ergebnisdatei Die Dauer eines bestimmten RSS Feed Elements ist konfigurierbar RSS Feed URL f r Ak
52. ent ist ein generischer Service der mit Connectors konfiguriert wurde von denen jeder Rohereignisse von einer einzelnen Ereignisquelle erfasst und diese dann zur Verarbeitung an CA Enterprise Log Manager sendet Jeder CA Enterprise Log Manager verf gt ber einen integrierten Agent Au erdem k nnen Sie einen Agenten auf einem Remote Sammelpunkt installieren und Ereignisse auf Hosts erfassen auf denen keine Agenten installiert werden k nnen Sie k nnen einen Agenten auch auf dem Host installieren auf dem die Ereignisquellen ausgef hrt werden und so die M glichkeit nutzen f r einen CA Enterprise Log Manager Unterdr ckungsregeln anzuwenden und bertragungen zu verschl sseln Der Agenten Explorer bezeichnet den Speicher f r die Einstellungen der Agentenkonfiguration Agenten k nnen in einem Erfassungspunkt oder in Endpunkten installiert werden an denen Ereignisquellen vorhanden sind Terminologieglossar 67 Agentengruppe Eine Agentengruppe ist eine Kennung die Benutzer auf ausgew hlte Agenten anwenden k nnen mit denen Benutzer eine Agentenkonfiguration gleichzeitig auf mehrere Agenten anwenden und Berichte auf der Basis der Gruppen abrufen k nnen Ein bestimmter Agent kann jeweils nur zu einer Gruppe geh ren Agentengruppen basieren auf benutzerdefinierten Kriterien wie der geografischen Region oder der Wichtigkeit Agenten Management Aktionsabfrage Aktionsalarm Alarmserver Analystenrolle Agenten Management
53. ent zum Erstellen von neuen Connectors wird ge ffnet Der Schritt Erstellung von neuem Connector ist ausgew hlt Kapitel 3 Bereitstellung von Windows Agents 41 Erstellen eines Connectors basierend auf NTEventlLog 5 Belassen Sie die Auswahl von Integrationen und w hlen Sie aus der Integrations Dropdownliste NTEventLog Die Felder Connector Name und Beschreibung werden auf Grundlage der Auswahl unter Integration ausgef llt 6 Bearbeiten Sie den Connector Namen um einen eindeutigen Namen zu definieren Erweitern Sie den Namen m glicherweise durch den Namen des Zielservers z B NTEventLog_Connector_USEROO1LAB Connector Erstellung S Geben Sie die erforderlichen Informationen ein Typ Integrationen Listener Integration NTEventlog v Connector Name NTEventLog_Connecor_UserO0 1lAB Plattformversion w n2005 v berpr fung der Plattformversion umgehen Version 12 0 5009 0 v Beschreibung Dieser Connector geh rt zu NTEventLog 7 W hlen Sie den Schritt Connector Konfiguration d D H eA Connector Details Unterdr ckungsregeln anwenden Zusammenfassungsregeln anwenden Connector Konfiguration Der Bereich Sensorkonfiguration wird eingeblendet Er enth lt eine Hilfe Schaltfl che mit einer Verkn pfung zum Connector Handbuch f r NTEventLog in dem Sie Hilfe zu den Feldern f r die Sensorkonfiguration finden Connector Konfiguration S Geben Sie die Konfigurationsdet
54. er Windows Ereignisquelle Nachdem Sie einen Connector mit der NTEventLog Integration auf dem Agent konfiguriert haben sollten Sie Ereignisse in der Ereignisanzeige anzeigen k nnen Falls Ereignisse nicht an die Ereignisanzeige weitergeleitet werden sollten Sie die Windows Einstellungen f r die lokalen Richtlinien auf der Ereignisquelle ndern So konfigurieren Sie lokale Richtlinien auf der Ereignisquelle f r einen NTEventLog Connector 1 Wenn der Protokollerfassungs Explorer nicht bereits angezeigt wird klicken Sie auf die Registerkarte Verwaltung 2 Erweitern Sie die Punkte Ereignisverfeinerungs Bibliothek Integrationen und Automatische Software Updates w hlen Sie NTEventLog und klicken Sie auf die Hilfeverkn pfung ber dem Integrationsnamen im Teilfenster Integrationsdetails anzeigen Das Connector Handbuch f r das NT Ereignisprotokoll Sicherheit Anwendung System wird ge ffnet 3 Minimieren Sie die Benutzeroberfl che von CA Enterprise Log Manager und befolgen Sie die Anweisungen im Connector Handbuch um lokale Richtlinien einer Ereignisquelle auf einem Windows Betriebssystem zu bearbeiten Hinweis Wenn es sich bei Ihrem System um Windows Server 2003 handelt w hlen Sie in der Systemsteuerung die Optionen Verwaltung Lokale Sicherheitsrichtlinie und erweitern Sie anschlie end die lokalen Sicherheitsrichtlinien 4 Optional Wenn Sie einen WMI Sensor f r einen zweiten WMI Server konfiguri
55. er auf diesem Host 3 Klicken Sie auf die Registerkarte Verwaltung und die untergeordnete Registerkarte Protokollerfassung Der Protokollerfassungs Explorer wird ge ffnet Konfigurieren von Syslog Ereignisquellen 4 Erweitern Sie die Punkte Ereignisverfeinerungs Bibliothek Integrationen und Automatische Software Updates Eine Liste vordefinierter Integrationen wird angezeigt Eine kurzes Beispiel Protokollerfassungs Explorer gt I Agenten Explorer gt 0 Archivkatalogabfrage gt I CA Adapter Y ESEreignisverfeinerungs Bibliothek vw Integrationen y Automatisches Software Update E AIX_Syslog amp Arache_2059_to_2280_Syslog E CiscoACS_Syslog amp Siscoasa amp Siscorixrw E HPUX_Syslog E Linux_localsyslog E Linux_Syslog 5 W hlen Sie die Integration f r die Ereignisquelle die Sie konfigurieren m ssen Wenn Sie beispielsweise Syslogs erfassen m chten die von einem AIX Betriebssystem generiert wurden m ssen Sie AIX_Syslog w hlen Das Fenster Integrationsdetails wird angezeigt AK Syslog 12050100 v Integrationsdetails Integrationsdetails anzeigen Klicken Sie hier um die Integrationshilfe anzuzeigen slog us si ee 1 1 R ia Version 1 0 Konfigurationshilfe Version Beschreibung Diese Integration unterst tzt IBM AIX 5 1 5 2 und 5 3 mithilfe von Syslog XMP AIX_syslog_12 0 5010 0 xMPS Datenzuordnung AIX_syslog_12 0 5010 0 DMS a 6 Klicken Sie auf die Schaltfl che
56. ern und dieses Hilfsprogramm ausf hren bevor die Datenbanken gel scht werden Eine warme Datenbank wird automatisch gel scht wenn ihr Alter den f r Maximale Anzahl an Archivtagen konfigurierten Wert erreicht oder wenn der f r Festplattenspeicher f r Archiv konfigurierte Schwellenwert erreicht wird je nachdem welcher Wert zuerst erreicht wird Sie k nnen die Archivdatenbank abfragen um kalte und warme Datenbanken zu ermitteln Datenbankstatus verf gbar gemacht Der Datenbankstatus verf gbar gemacht ist der Status der einer Datenbank zugewiesen wird die im Archivverzeichnis wiederhergestellt wurde nachdem der Administrator das Hilfsprogramm LMArchive ausgef hrt hat um CA Enterprise Log Manager mitzuteilen dass die Datenbank wiederhergestellt wurde Verf gbar gemachte Datenbanken bleiben f r die Anzahl der Stunden erhalten die f r die Exportrichtlinie konfiguriert wurde Ereignisprotokolle k nnen in Datenbanken mit dem Status hei warm und verf gbar gemacht abgefragt werden Datenbankstatus warm Der Datenbankstatus warm bezeichnet den Status in dem eine hei e Datenbank von Ereignisprotokollen verschoben wird wenn die Gr e Maximale Zeilenanzahl der hei en Datenbank berschritten wird oder wenn nach der Wiederherstellung einer kalten Datenbank in einem neuen Ereignisprotokollspeicher eine Neukatalogisierung durchgef hrt wird Warme Datenbanken werden komprimiert und im Ereignisprotokollspeicher
57. ert haben bearbeiten Sie auch die lokalen Richtlinien dieses Servers 5 Maximieren Sie CA Enterprise Log Manager Anzeigen von Protokollen der Windows Ereignisquellen Eine der schnellsten M glichkeiten Abfrageergebnisse f r eingehende Ereignisse anzuzeigen ist die Verwendung der Eingabeaufforderung f r den Host Sie k nnen auch Abfragen oder Berichte ausw hlen So zeigen Sie eingehende Ereignisprotokolle an 1 W hlen Sie die Registerkarte Abfragen und Berichte Die untergeordnete Registerkarte Abfragen wird angezeigt 2 Erweitern Sie die Eingabeaufforderung auf der Abfrageliste und w hlen Sie den Host Kapitel 3 Bereitstellung von Windows Agents 45 Anzeigen von Protokollen der Windows Ereignisquellen 3 Geben Sie den Namen des WMI Servers ein der im Feld Host f r den Sensor konfiguriert wurde Entfernen Sie alle anderen Markierungen und klicken Sie auf Los a Filter zur Eingabeaufforderung E Geben Sie die Werte der Eingabeaufforderung ein und berpr fen Sie alle entsprechenden CEG Spalten Host USEROOLLAB Los l L source_hostname dest_hostname Y event_source_hostname receiver_hostname agent_hostname Die Ereignisse der WMI Server Ereignisquelle werden angezeigt 4 Klicken Sie auf CA Schweregrad und bl ttern Sie bis Sie eine Warnung gefunden haben Im Folgenden wird ein verk rztes Beispiel ohne die Spalten Datum und Ereignisquelle angezeigt CA Schwer
58. erten Ziele gesendet wenn Abfragen f r einen geplanten Alarmjob Ergebnisse zur ckgeben Die Soft Appliance umfasst eine Betriebssystemkomponente und die CA Enterprise Log Manager Software Komponente Der Standardagent ist der integrierte Agent der mit dem CA Enterprise Log Manager Server installiert wird Er kann f r die direkte Erfassung von Syslog Ereignissen sowie von Ereignissen von verschiedenen Nicht Syslog Ereignisquellen wie CA Access Control r12 SP1 Microsoft Active Directory Zertifikatdiensten und Oracle9i Datenbanken konfiguriert werden Unterdr ckung ist der Prozess in dem Ereignisse auf der Basis von CEG Filtern verworfen werden Die Unterdr ckung wird durch eine SUP Datei gesteuert Unterdr ckungsregeln Unterdr ckungsregeln sind Regeln die Sie konfigurieren um zu verhindern dass bestimmte verfeinerte Ereignisse in Ihren Berichten angezeigt werden Sie k nnen permanente Unterdr ckungsregeln erstellen um nicht sicherheitsrelevante Routineereignisse zu unterdr cken Sie k nnen aber auch tempor re Regeln erstellen um die Protokollierung geplanter Ereignisse wie die Erstellung vieler neuer Benutzer zu unterdr cken URL f r CA Embedded Entitlements Manager Die URL f r CA Embedded Entitlements Manager CA EEM lautet https lt ip_address gt 5250 spin eiam Um sich anzumelden w hlen Sie CAELM als die Anwendung und geben das Kennwort ein das mit dem Benutzernamen EiamAdmin verkn pft ist Term
59. erver mit dem Betriebssystem Windows Server 2003 zu installieren Bin rdateien des Agenten Plattformname Plattformversion 2003 wi ows Klicken Sie hier um die Bin rdatei auf die Festplatte Wind herunterzuladen RedHat Enterprise Linux 4 x Das Dialogfeld Speicherort f r den Download nach lt IP Adresse gt wird ge ffnet Wind W hlen Sie den Desktop und klicken Sie auf Speichern Speichern in E Desktop Es wird ein Meldungsfeld ge ffnet das den Fortschritt des Downloads der ausgew hlten Bin rdateien des Agents anzeigt gefolgt von einer Best tigungsmeldung Klicken Sie auf OK Minimieren Sie den Browser unterbrechen Sie jedoch nicht die Verbindung so dass Sie die Installation schnell berpr fen k nnen nachdem sie abgeschlossen ist Auf dem Desktop wird das Setup Startprogramm f r die Agentinstallation angezeigt Beschreibung Setup Launcher Firma CA Dateiversion 11 50 0 42618 Erstellt am 11 11 2009 10 21 Gr e 20 5 MB Installieren eines Agents Installieren eines Agents Bevor Sie beginnen sollten Sie Folgendes bereit halten IP Adresse des CA Enterprise Log Manager Servers von dem Sie das Agentprogramm heruntergeladen haben Benutzername und Kennwort des Benutzerkontos das Sie f r den Agent erstellt haben Authentifizierungsschl ssel des Agenten den Sie festgelegt haben installieren Sie einen Agent f r einen Windows Host Doppelklicken Sie auf das
60. f einem Windows Sammelpunkt installiert wurde um Ereignisse von angegebenen Windows Servern zu erfassen und an CA Enterprise Log Manager zu senden Konfigurieren Sie Agents die auf Hosts installiert wurden auf denen Ereignisquellen ausgef hrt werden um den konfigurierten Ereignistyp zu erfassen und eine Unterdr ckung durchzuf hren Hinweis Datenverkehr vom Agent zum Ziel CA Enterprise Log Manager Server wird immer verschl sselt Die einzelnen Protokollerfassungstechniken haben folgende Vorteile Direkte Protokollerfassung Bei der direkten Protokollerfassung konfigurieren Sie den Syslog Listener auf dem Standardagent so dass dieser Ereignisse von den von Ihnen angegebenen vertrauensw rdigen Quellen empf ngt Sie k nnen andere Connectors auch so konfigurieren dass sie Ereignisse von allen Ereignisquellen erfassen die mit der Soft Appliance Plattform kompatibel sind Vorteil Sie m ssen keinen Agents installieren um Protokolle von Ereignisquellen zu erfassen die sich in unmittelbarer N he des CA Enterprise Log Manager Servers befinden Erfassung ohne Agent Bei der Erfassung ohne Agent gibt es keinen lokalen Agent an den Ereignisquellen Stattdessen wird an einem bestimmten Sammelpunkt ein Agent installiert F r jede Zielereignisquelle wird auf diesem Agent ein Connector konfiguriert Vorteil Sie k nnen Protokolle von Ereignisquellen erfassen die auf Servern ausgef hrt werden auf denen keine Agenten installiert
61. figuriert wurde Ein Agent kann mehrere Connectors hnlicher oder verschiedener Typen in den Speicher laden Der Connector erm glicht die Erfassung von Rohereignissen von einer Ereignisquelle und die regelbasierte bertragung konvertierter Ereignisse in einen Ereignisprotokollspeicher wo sie in die hei e Datenbank eingef gt werden Standardisierte Integrationen liefern eine optimierte Erfassung einer breiten Palette von Ereignisquellen einschlie lich Betriebssystemen Datenbanken Webservern Firewalls und diversen Arten von Sicherheitsanwendungen Sie k nnen einen Connector f r eine selbstentwickelte Ereignisquelle von Anfang an selbst definieren oder Sie verwenden eine Integration als Vorlage Datenbankstatus hei Der Datenbankstatus hei bezeichnet den Status der Datenbank im Ereignisprotokollspeicher wenn neue Ereignisse eingef gt werden Wenn die hei e Datenbank eine konfigurierbare Gr e auf dem Erfassungsserver erreicht wird sie komprimiert katalogisiert und in den warmen Speicher auf dem Berichtsserver verschoben Au erdem speichern alle Server neue selbst berwachende Ereignisse in einer hei en Datenbank Terminologieglossar 75 Datenbankstatus kalt Der Datenbankstatus kalt wird einer warmen Datenbank zugewiesen wenn ein Administrator das Hilfsprogramm LMArchive ausf hrt um CA Enterprise Log Manager zu benachrichtigen dass die Datenbank gesichert wurde Administratoren m ssen warmen Datenbanken sich
62. formationen steht Mit diesen Berichten k nnen Sie einfach demonstrieren dass alle einzeln feststellbaren Gesundheitsinformationen der Patienten die elektronisch erstellt verwaltet oder bertragen werden auch gesch tzt sind Ereignis Alarmausgabeprozess Der EFreignis Alarmausgabeprozess ist der IT PAM Prozess von CA durch den ein Produkt eines anderen Herstellers aufgerufen wird um auf Alarmdaten zu reagieren die in CA Enterprise Log Manager konfiguriert werden Sie k nnen einen CA IT PAM Prozess beim Planen eines Alarmjobs als Ziel ausw hlen Wenn ein Alarm zur Ausf hrung des CA IT PAM Prozesses f hrt sendet CA Enterprise Log Manager CA IT PAM Alarmdaten CA IT PAM leitet diese zusammen mit eigenen Verarbeitungsparametern als Teil des Ereignis Alarmausgabeprozesses an das Produkt des anderen Herstellers weiter Ereignisaggregation Unter EFreignisaggregation versteht man den Prozess in dem hnliche Protokolleintr ge in einen Eintrag konsolidiert werden der die Anzahl der Vorkommnisse des Ereignisses enth lt ber Zusammenfassungsregeln wird definiert wie Ereignisse aggregiert werden Ereignisaktion event_action Die Ereignisaktion ist das ereignisspezifische Feld auf der vierten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es beschreibt allgemeine Aktionen Beispieltypen f r Ereignisaktionen sind Start und Stopp eines Prozesses oder Anwendungsfehler Ereigniserfassung Ereigniserfassung bezeichnet da
63. gramming Interface API starten CA Audit Recorder f r CA ACF2 CA Top Secret RACF Oracle Sybase und DB2 sind Beispiele f r SAPI Recorder Der SAPI Router ist ein CA Adapter der Ereignisse aus Integrationen erh lt wie z B Mainframe und diese an einen CA Audit Router Schl sselwerte sind benutzerdefinierte Werte die einer benutzerdefinierten Liste Schl sselgruppe zugewiesen werden Wenn eine Abfrage eine Schl sselgruppe verwendet enthalten die Suchergebnisse bereinstimmungen mit beliebigen Schl sselwerten in der Schl sselgruppe Es gibt mehrere vordefinierte Schl sselgruppen einige von diesen enthalten vordefinierte Schl sselwerte die in vordefinierten Abfragen und Berichten verwendet werden Selbst berwachendes Ereignis Services SNMP 92 bersichtshandbuch Ein selbst berwachendes Ereignis ist ein Ereignis das von CA Enterprise Log Manager protokolliert wird Solche Ereignisse werden automatisch durch Aktionen generiert die von angemeldeten Benutzern und Funktionen durchgef hrt wurden die wiederum von verschiedenen Modulen wie den Services oder Listeners ausgef hrt wurden Der Bericht f r SIM Operationen selbst berwachende Ereignisdetails kann angezeigt werden indem Sie einen Berichtsserver ausw hlen und die Registerkarte Selbst berwachende Ereignisse ffnen Die CA Enterprise Log Manager Services sind Ereignisprotokollspeicher Berichtsserver und automatisches Software Update Administratoren
64. hen werden kann Zugriffsfilter werden automatisch in Pflichtrichtlinien konvertiert Eine Zugriffsrichtlinie ist eine Regel die einer Identit t Benutzer oder Benutzergruppe Zugriffsrechte auf eine Anwendungsressource gew hrt oder verweigert CA Enterprise Log Manager bestimmt anhand der bereinstimmung von Identit ten Ressourcen Ressourcenklassen und der Auswertung der Filter welche Richtlinien f r einen bestimmten Benutzer gelten Zugriffssteuerungsliste f r Identit ten Mit der Zugriffssteuerungsliste f r Identit ten k nnen Sie verschiedene Aktionen angeben die ausgew hlten Identit ten in ausgew hlten Ressourcen gew hrt werden sollen Beispielsweise k nnen Sie mit der Zugriffssteuerungsliste f r Identit ten angeben dass eine Identit t Berichte erstellen und eine andere Berichte planen und anmerken kann Eine Zugriffssteuerungsliste f r Identit ten unterscheidet sich darin von einer Zugriffssteuerungsliste dass sie sich auf Identit ten und nicht auf Ressourcen richtet Terminologieglossar 95 Zuordnungsanalyse Eine Zuordnungsanalyse ist ein Schritt im Assistenten zur Dateizuordnung bei dem Sie eine Datenzuordnungsdatei testen und ndern k nnen Beispielereignisse werden mit der Datenzuordnungsdatei verglichen und die Ergebnisse werden mit CEG gepr ft Zusammenfassungsregeln 96 bersichtshandbuch Zusammenfassungsregeln fassen bestimmte g ngige native Ereignistypen zu einem verfeinerten Ereignis z
65. ichtet In seiner einfachsten Form ist dies der Fall wenn Server 2 ein untergeordneter Server von Server 1 ist und umgekehrt Ein vernetztes Paar von Servern hat eine Beziehung die in beide Richtungen geht Eine vernetzte F deration kann so definiert werden dass viele Server alle untereinander gleichrangig sind Eine f derierte Abfrage gibt die Ergebnisse vom ausgew hlten Server und all seinen gleichrangigen Servern zur ck Verwaltung von Berechtigungen Die Verwaltung von Berechtigungen ist ein Mittel zur Steuerung der Aktionen die Benutzer durchf hren d rfen sobald sie sich authentifiziert und an der CA Enterprise Log Manager Oberfl che angemeldet haben Dies geschieht ber Zugriffsrichtlinien die mit den Rollen die den Benutzern zugewiesen wurden verkn pft werden Rollen oder Anwendungsbenutzergruppen und Zugriffsrichtlinien k nnen vordefiniert oder benutzerdefiniert sein Die Verwaltung von Berechtigungen wird ber den internen CA Enterprise Log Manager Benutzerspeicher gehandhabt Visualisierungskomponenten 94 bersichtshandbuch Visualisierungskomponenten sind verf gbare Optionen mit denen Berichtsdaten einschlie lich Tabelle Diagramm Zeilendiagramm Balkendiagramm Spaltendiagramm Kreisdiagramm oder ein Ereignis angezeigt werden k nnen Wiederherstellungspunkt Server XMP Dateianalyse Zertifikate Zugriffsfilter Zugriffsrichtlinie Ein Wiederherstellungspunkt Server ist eine Rolle die von einem
66. ie den Host Abfrageliste Optionen Suchen v E Prompts PE Connector ia Host da IP ia Protokollname dB Port Fe Benutzer 3 bermitteln Sie eine Abfrage f r Ereignisse die vom Standardagent erfasst wurden a Geben Sie den Namen des Standardagents im Feld Host ein Dies ist auch der Name des CA Enterprise Log Manager auf dem er sich befindet b W hlen Sie agent_hostname c Klicken Sie auf Los 4 Filter zur Eingabeaufforderung Geben Sie die Werte der Eingabeaufforderung ein und berpr fen Sie alle entsprechenden CEG Spalten Host LogManager02 Los V source_hostname Y dest_hostname Y event_source_hostname Y receiver_hostname V agent_hostname 32 bersichtshandbuch Anzeigen von Syslog Ereignissen 4 Zeigen Sie die Ergebnisse an die weiter verfolgt werden sollen a Klicken Sie auf die Spalte Ergebnisse um nach Ergebnissen zu sortieren b Bl ttern Sie zum ersten Ergebnis f r F wie Fehler Angenommen es handelt sich dabei um eine Konfigurationswarnung der Kategorie Konfigurationsverwaltung c Doppelklicken Sie auf die Zeile um die Details anzuzeigen Die Ereignisanzeige wird ge ffnet 5 Bl ttern Sie zu dem Bereich in dem das Ergebnis angezeigt wird In diesem Beispiel handelt es sich bei dem Fehler um eine Warnung die Sie im Modul f r automatische Software Updates konfigurieren m ssen Diese Warnung sollten Sie ignorieren bis Sie alle gew nschten CA E
67. iederherstellen Hinweis Weitere Informationen zum Konfigurieren des Ereignisprotokollspeichers einschlie lich der Einrichtung der Auto Archivierung finden Sie im Implementierungshandbuch Weitere Informationen zum Wiederherstellen der Sicherungen f r Untersuchungen und Berichte finden Sie im Verwaltungshandbuch Standarddarstellung von Protokollen Standarddarstellung von Protokollen Protokolle die von Anwendungen Betriebssystemen und Ger ten erstellt werden verwenden eigene Formate CA Enterprise Log Manager verfeinert die erfassten Protokolle um die Datenberichte zu standardisieren Dieses Standardformat erleichtert Auditoren und leitenden Managern den Vergleich von Daten die in verschiedenen Quellen erfasst wurden Technisch vereinfacht die ELM Schemadefinition Common Event Grammar CEG von CA die Implementierung der Ereignisnormalisierung und klassifizierung Die ELM Schemadefinition verwendet f r die Normalisierung unterschiedlicher Ereignisaspekte verschiedene Felder Dazu z hlen folgende Felder m Idealmodell Technologieklasse z B Antivirus DBMS und Firewall m Kategorie z B Identit tsverwaltung und Netzwerksicherheit m Klasse z B Kontenverwaltung und Gruppenverwaltung m Aktion z B Kontenerstellung und Gruppenerstellung m Ergebnisse z B Erfolgreich und Fehler Hinweis Weitere Informationen zu den Regeln und Dateien f r die Ereignisverfeinerung finden Sie im CA Enterprise Log Manager Verwaltu
68. ight 2009 CA Alle Rechte vorbehalten Die Anwendung wird mit der Administrator Registerkarte und aktiver Unterregisterkarte f r die Benutzer und Zugriffsverwaltung ge ffnet 4 Klicken Sie auf Benutzer EN Benutzer 5 Klicken Sie auf Neuen Benutzer hinzuf gen Benutzer Verwenden Sie die obige Option Benutzer suchen um eine Liste vorhandener Benutzer anzuzeigen Py gt Woenutzer 6 Geben Sie Ihren Namen in das Feld Name ein und klicken Sie auf Anwendungsbenutzerdetails hinzuf gen Neuer Benutzer Speichern Schlie en Ordner Name N A ca elm Benutzerdetails IA Globaler Benutzer Details 7 10 11 12 Konfigurieren des ersten Administrators W hlen Sie Administrator und verschieben Sie ihn in die Liste Ausgew hlte Benutzergruppen f Anwendungsgruppenmitgliedschaft Verf gbare Benutzergruppen Ausgew hlte Benutzergruppen LA Administrator Analyst Auditor Geben Sie unter Authentifizierung in den beiden Feldern f r Eingabe und Best tigung ein Kennwort f r das neue Konto ein f Authentifizierung Falsche Anmeldungszahl 0 Aktivierungsdatum I Kennwortrichtlinie au er Kraft setzen Deaktivierungsdatum Kennwort bei n chster Anmeldung ndern l Gesperrt Neues Kennwort Kennwort best tigen Klicken Sie auf Speichern und anschlie end auf Schlie en Klicken Sie auf Schlie en Klicken Sie in der Symbolleiste auf
69. ilfe Schaltfl che die kontextabh ngige Hilfe siehe folgendes Beispiel a Klicken Sie auf die Schaltfl che Globale Filter anzeigen bearbeiten TA Profile Globale Filter und Einstellungen Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager 63 Anzeigen der Online Hilfe Das Fenster Globale Filter und Einstellungen mit einer Hilfe Schaltfl che wird ge ffnet Globale Filter und Einstellungen x Globale Filter sind berall in der Anwendung wirksam und werden bei der Ansicht verschiedener Berichte aufrechterhalten Schnellfilter Erweiterte Filter Einstellungen Schnellfilter Ereignisse f r diese Abfrage filtern indem ein Datum und bereinstimmungsmuster ausgew hlt wird Zeitraum Letzte 6 Stunden v Ca von Dienstag 10 November 2009 21 12 32 Ca bis Mittwoch 11 November 2009 03 12 32 bereinstimmung Filter hinzuf gen Ll Als Standard festlegen Alle l schen Speichern Abbrechen TEN b Klicken Sie auf die Schaltfl che Hilfe In einem zweiten Fenster wird die Online Hilfe f r den Vorgang ge ffnet den Sie auf der aktuellen Seite im aktuellen Bereich oder im Dialogfeld durchf hren k nnen Inhaltsverzeichnis Index Suchen Globale und lokale Filter gt Erstellen von globalen Filtern L 28 Erstellen von globalen Filtern e CA Enterprise Log Manager r12 1 Sie k nnen globale Filter erstellen Mit globalen Filtern k nner Rechtliche Hinweise anwendungswei
70. inologieglossar 93 URL f r CA Enterprise Log Manager Verfeinertes Ereignis Verf gbarmachung Vernetzte F deration Die URL f r CA Enterprise Log Manager lautet https lt ip_address gt 5250 spin calm Um sich anzumelden geben Sie den Benutzernamen der vom Administrator f r dieses Konto definiert wurde sowie den zugeh rige Kennwort ein Oder Sie geben EiamAdmin den Standardnamen des Superusers und das zugeh rige Kennwort ein Ein verfeinertes Ereignis sind zugeordnete oder verfeinerte Ereignisdaten die von einem Rohereignis oder von zusammengefassten Ereignissen stammen CA Enterprise Log Manager f hrt die Zuordnung und Analyse aus damit die gespeicherten Informationen durchsucht werden k nnen Die Verf gbarmachung bezeichnet die Status nderung einer Datenbank von kalt in verf gbar gemacht Der Prozess wird von CA Enterprise Log Manager durchgef hrt wenn dieser vom Hilfsprogramm LMArchive benachrichtigt wird dass eine bekannte kalte Datenbank wiederhergestellt wurde Wenn die kalte Datenbank nicht auf ihrem urspr nglichen CA Enterprise Log Manager wiederhergestellt wird das Hilfsprogramm LMArchive nicht verwendet wird und eine Verf gbarmachung nicht erforderlich ist wird die wiederhergestellte Datenbank bei der Neukatalogisierung als warme Datenbank hinzugef gt Eine Vernetzte F deration von CA Enterprise Log Manager Servern ist eine Topologie die eine gleichartige Beziehung zwischen Servern einr
71. ist der Software Prozess der alle Agenten steuert die mit allen f derierten CA Enterprise Log Managers verkn pft sind Dabei werden die Agenten mit denen kommuniziert wird authentifiziert Eine Aktionsabfrage ist eine Abfrage die einen Aktionsalarm unterst tzt Sie wird in einem wiederkehrenden Plan ausgef hrt um die Bedingungen zu testen die von dem zugeh rigen Aktionsalarm definiert sind Ein Aktionsalarm ist ein geplanter Abfragejob mit dessen Hilfe Richtlinienverletzungen Nutzungstrends Anmeldemuster und andere Ereignisaktionen die ein kurzfristiges Eingreifen erfordern ermittelt werden k nnen Wenn Alarmabfragen Ergebnisse zur ckgeben werden diese standardm ig auf der Seite Alarme in CA Enterprise Log Manager angezeigt und au erdem einem RSS Feed hinzugef gt Wenn Sie einen Alarm planen k nnen Sie zus tzliche Ziele angeben einschlie lich E Mail einen CA IT PAM Ereignis Alarmausgabeprozess und SNMP Traps Der Alarmserver ist der Speicher f r Aktionsalarme und Aktionsalarmjobs Die Analystenrolle erteilt Benutzern die Berechtigung benutzerdefinierte Berichte und Abfragen zu erstellen Berichte zu bearbeiten und Anmerkungen dazu einzugeben Kennungen zu erstellen und Berichte und Aktionswarnungen zu planen Analysten k nnen auch alle Auditor Aufgaben durchf hren Anwendungsbenutzer 68 bersichtshandbuch Ein Anwendungsbenutzer ist ein globaler Benutzer dem Detaildaten auf Anwendungsebene zugewiesen
72. it Windows Betriebssystem installiert haben erstellen Sie einen Connector basierend auf der NTEventLog Integration und legen die Einstellungen f r den WMILogSensor wie im Connector Handbuch beschrieben fest Dieses Handbuch ffnen Sie ber den Assistenten zum Erstellen neuer Connectors Sie geben den Namen des Hosts an auf dem der Agent f r eine agentbasierte Protokollerfassung installiert ist Optional k nnen Sie einen anderen WMI Protokollsensor f r diesen Connector hinzuf gen und einen Host angeben der nicht dem Host entspricht auf dem der Agent installiert ist So erm glichen Sie die Protokollverbindung ohne Agent Der die zus tzliche n Host s m ssen sich in derselben Dom ne befinden und ber denselben Windows Administrator verf gen wie der erste hinzugef gte Host So erstellen Sie einen Connector basierend auf NTEventLog 1 Maximieren Sie den Browser der den CA Enterprise Log Manager Agent Explorer anzeigt 2 Erweitern Sie den Agent Explorer und anschlie end die Standard Agentengruppe Der Name des Computers auf dem der Agent installiert wurde wird angezeigt Protokollerfassungs Explorer vw Agenten Explorer Y Default Agent Group amp gt LogManager02 D USEROO1LAB ca com 3 W hlen Sie diesen Agent Das Feld Agenten Connectors wird angezeigt 4 Klicken Sie auf Neuen Connector erstellen le ale ah amp Anzeigen des Status von Neuen Connector erstellen Details zum Agentenstatus Der Assist
73. it den automatischen Software Updates Protokollanzeigefunktionen werden wie folgt unterst tzt Bedarfsbasierte Abfragefunktion mit vordefinierten oder benutzerdefinierten Abfragen deren Ergebnisse bis zu 5000 Datens tze umfassen k nnen Schnelle Suche ber Eingabeaufforderungen nach bestimmten Hostnamen IP Adressen Portnummern oder Benutzernamen Geplante und bedarfsbasierte Berichterstattung mit standardisiertem Berichtsinhalt Geplante Abfragen und Alarme Basisberichte mit Trendinformationen Interaktive grafische Ereignisanzeige Automatische Berichterstattung mit E Mail Anhang Richtlinien zur automatischen Berichtsaufbewahrung Hinweis Weitere Informationen zu vordefinierten Abfragen und Berichten oder zur eigenen Erstellung finden Sie im CA Enterprise Log Manager Verwaltungshandbuch Kapitel 4 Hauptfunktionen 55 Alarm bei Verletzung von Richtlinien Alarm bei Verletzung von Richtlinien 56 bersichtshandbuch Mit CA Enterprise Log Manager k nnen Sie bei Ereignissen die ein zeitnahes Eingreifen erfordern das Versenden von Alarmen automatisieren Sie k nnen Aktionsalarme auch jederzeit ber CA Enterprise Log Manager berwachen indem Sie ein Intervall festlegen das einen beliebigen Zeitraum von die letzten f nf Minuten bis die letzten drei ig Tage umfassen kann Alarme werden auch automatisch an ein RSS Feed gesendet auf das ber einen Webbrowser zugegriffen werden kann Optional k nnen Sie auch andere
74. klicken Sie auf die Schaltfl che Verschieben 6 Klicken Sie auf den Schritt Connector Konfiguration Standardm ig werden alle verf gbaren Integrationen ausgew hlt 7 W hlen Sie Syslog Ziele indem Sie die Syslog Integrationen f r Ziele von der Liste Verf gbar in die Liste Ausgew hlt verschieben Wenn Sie beispielsweise das AIX Betriebssystem auf einem Host in Ihrem Netzwerk konfiguriert haben sollten Sie das Syslog Ziel AIX_Syslog aus der Liste Verf gbar in die Liste Ausgew hlt verschieben E Ziel Syslog Integrationen ausw hlen Verf gbar Ausgew hlt Apache_2059_to_2280_Syslog Version 12 0 5003 0 AIX_Syslog Version 12 0 5010 0 Bluecoat_Syslog Version 12 0 5007 0 Pe CA_DLP Version 12 0 5010 0 CiscoACS_Syslog Version 12 0 46 5 CiscoASA Version 12 0 5008 0 Zr CiscoPIXFW Version 12 0 5010 0 CiscoRouter Version 12 0 5008 0 8 Optional Geben Sie die vertrauensw rdigen Hosts an von denen der Syslog Connector eingehende Ereignisse akzeptieren soll Geben Sie in das Eingabefeld die IP Adresse ein und klicken Sie auf Hinzuf gen Wiederholen Sie dies f r alle vertrauensw rdigen Hosts Wenn dann ein Ereignis von einem Host empfangen wird der nicht als vertrauensw rdig konfiguriert wurde wird dieses Ereignis abgelehnt Hinweis Es ist eine gute bung vertrauensw rdige Hosts zu konfigurieren Normalerweise konfigurieren Sie alle Hosts auf denen Sie Ereigni
75. l ttern Sie zum Produktstatus und w hlen Sie CA Enterprise Log Manager Certification Matrix W hlen Sie die Produktintegrationsmatrix Suchen Sie die Kategorie f r die Integration die mit der Ereignisquelle verkn pft ist die Sie konfigurieren Wenn es sich bei der Ereignisquelle beispielsweise um das AIX Betriebssystem handelt gehen Sie zur Kategorie Betriebssystem und klicken Sie auf die AIX Verkn pfung Produkt Version Log Sensor Betriebssysteme AIX 5 1 syslog 5 2 5 3 Bearbeiten des Syslog Connectors Bearbeiten des Syslog Connectors Jeder CA Enterprise Log Manager verf gt ber einen Standardagent Wenn CA Enterprise Log Manager installiert wurde verf gt der Standardagent ber einen teilweise konfigurierten Connector mit Namen Syslog_Connector der auf dem Listener Syslog basiert Der Listener empf ngt Syslog Rohereignisse auf den Standard Ports sobald Sie die Ereignisquellen konfiguriert haben die Syslogs an CA Enterprise Log Manager senden sollen Damit CA Enterprise Log Manager diese Rohereignisse verfeinern kann m ssen Sie diesen Syslog_Connector editieren Bestimmte Bearbeitungen sind erforderlich andere sind optional Sie m ssen die Syslog Ziele angeben wenn Sie diesen Connector bearbeiten Als Syslog Ziele w hlen Sie jede Integration die einer oder mehreren Ereignisquellen entspricht die Sie konfiguriert haben oder konfigurieren m chten Durch die Angabe der Syslog Ziele ist CA Enterprise Log
76. lation von CA Enterprise Log Manager k nnen Sie einen oder mehrere DNS Server festlegen oder DHCP w hlen Wenn Sie DHCP gew hlt haben m ssen Sie Ihre Windows Hostdatei auf dem Computer aktualisieren ber den Sie mit Ihrem Browser auf CA Enterprise Log Manager zugreifen m chten So aktualisieren Sie Ihre Hostdatei auf dem Host mit Ihrem Browser 1 ffnen Sie den Windows Explorer und navigieren Sie zu C WINDOWS system32 drivers etc 2 ffnen Sie die Hostdatei mit einem Editor z B Notepad 3 F gen Sie einen Eintrag mit der IP Adresse des CA Enterprise Log Manager Servers und den entsprechenden Hostnamen hinzu 4 W hlen Sie im Men Datei die Option Speichern und schlie en Sie die Datei anschlie end 22 bersichtshandbuch Konfigurieren des ersten Administrators Konfigurieren des ersten Administrators Nach der Installation eines Single Server CA Enterprise Log Manager bereiten Sie die Konfiguration vor indem Sie die URL von CA Enterprise Log Manager von einer Remote Workstation aus aufrufen sich anmelden und ein Administratorkonto erstellen mit dem Sie die Konfiguration vornehmen k nnen Hinweis F r diese Schnellstartbereitstellung werden der Standardbenutzerspeicher und die Standardkennwortrichtlinien akzeptiert Normalerweise werden diese konfiguriert bevor der erste Administrator hinzugef gt wird So konfigurieren Sie den ersten Administrator 1 ffnen Sie in Ihrem Browser die folgende URL
77. le Server Systems siehe Seite 16 Konfigurieren von Syslog Ereignisquellen 26 bersichtshandbuch Um die direkte Erfassung von Syslog Ereignissen durch den Standardagent zu erm glichen der auf jedem CA Enterprise Log Manager Server existiert m ssen Sie zun chst die Syslog Ereignisquellen definieren ber die Sie Ereignisse erfassen m chten und die damit verbundene Integration festlegen Anschlie end f hren Sie die beiden folgenden Schritte in beliebiger Reihenfolge durch m Konfigurieren Sie die Syslog Ereignisquellen Melden Sie sich bei den Hosts an auf denen eine Syslog Ereignisquelle ausgef hrt wird und konfigurieren Sie sie wie im Connector Handbuch f r diese Syslog Integration beschrieben m Konfigurieren Sie den Syslog Connector auf dem Standardagent um Ziel Syslog Integrationen hinzuzuf gen die mit den konfigurierten Ereignisquellen verkn pft sind Sobald Sie diese beiden Konfigurationsschritte abgeschlossen haben beginnt die Erfassung und Verfeinerung der Ereignisse Dann k nnen Sie CA Enterprise Log Manager verwenden um im Standardformat f r Sie wichtige Ereignisse anzuzeigen oder entsprechende Berichte zu erstellen Sie k nnen auch Alarme generieren wenn bestimmte Ereignisse eintreten So konfigurieren Sie eine ausgew hlte Syslog Ereignisquelle 1 Melden Sie sich bei dem Host an auf dem sich eine Ziel Syslog Ereignisquelle befindet 2 Starten Sie CA Enterprise Log Manager ber einen Brows
78. lt das lokale Repository auf dem Management Server anwendungsspezifische Informationen ber die Benutzer wie ihre Benutzerrolle und dazugeh rige Zugriffsrichtlinien Beobachtetes Ereignis Bericht Berichtsbibliothek 72 bersichtshandbuch Ein beobachtetes Ereignis ist ein Ereignis das eine Quelle ein Ziel und einen Agenten umfasst wobei das Ereignis von einem Ereigniserfassungsagenten beobachtet und erfasst wird Ein Bericht ist eine grafische oder tabellarische Darstellung von Ereignisprotokolldaten die beim Ausf hren von vordefinierten oder benutzerdefinierten Abfragen mit Filtern erstellt wird Die Daten k nnen aus hei en warmen und verf gbar gemachten Datenbanken im Ereignisprotokollspeicher des ausgew hlten Servers und sofern angefordert der zugeh rigen f derierten Server stammen Die Berichtsbibliothek ist der Speicher f r alle vordefinierten und benutzerdefinierten Berichte Berichtskennungen und geplanten Berichtsjobs Berichtsserver Berichtsserver Der Berichtsserver ist der Service der folgenden Konfigurationsinformationen speichert den beim Mailen von Alarmen zu verwendenden E Mail Server die Anzeige von Berichten die im PDF Format gespeichert werden und die Beibehaltung von Richtlinien f r Berichte die auf dem Berichtsserver gespeichert werden sowie von Alarmen die an den RSS Feed gesendet werden Ein Berichtsserver ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt
79. lte Kategorie beschr nkt sind Ein Kennungsfilter f r ein Produkt beschr nkt beispielsweise die gelisteten Kennungen auf die ausgew hlte Produktkennung Datenfilter f r ein Produkt zeigen in den von Ihnen generierten Berichten den von Ihnen geplanten Alarmen und den von Ihnen angezeigten Abfrageergebnissen nur die Daten f r das angegebene Produkt an Nachdem Sie das gew nschte Profil erstellt haben k nnen Sie es sobald Sie angemeldet sind jederzeit aktivieren Wenn Sie mehrere Profile erstellen k nnen Sie in einer Sitzung verschiedene Profile jeweils eins nach dem anderen auf Ihre Aktivit ten anwenden Vordefinierte Filter erhalten Sie mit den automatischen Software Updates Ein Protokoll ist ein Audit Datensatz oder eine erfasste Nachricht eines Ereignisses oder mehrerer Ereignisse Ein Protokoll kann ein Audit Protokoll ein Transaktionsprotokoll ein Intrusionsprotokoll ein Verbindungsprotokoll ein Systemleistungsdatensatz ein Benutzeraktivit tsprotokoll oder ein Alarm sein Protokollanalyse ist eine Untersuchung der Protokolleintr ge um relevante Ereignisse festzustellen Wenn Protokolle nicht zeitnah analysiert werden verringert sich ihr Wert betr chtlich Protokollanalyse ist der Prozess der Datenextraktion aus einem Protokoll damit die analysierten Werte in einem Folgestadium der Protokollverwaltung verwendet werden k nnen Protokollarchivierung Protokolldatensatz 88 bersichtshandbuch Protokollarchivieru
80. n 200 400 600 Anzahl Zn Globale Filter liche Datentr geru Protc Last hours as A From Wed Nov 11 2009 03 55 53 AM IL ca el To Wed Nov 11 2009 09 55 53 AM 5 93563380 amp Links neben einigen Feldern wird ein orangefarbener Punkt angezeigt Felder mit diesem Punkt m ssen ausgef llt werden Eine zu speichernde Konfiguration kann erst gespeichert werden wenn alle erforderlichen Felder ausgef llt wurden Abfragedetails E Geben Sie den Namen und die Beschreibung ein und w hlen Sie Kennungen f r diese Abfrage aus Name Kurzname Anzeigen der Online Hilfe Anzeigen der Online Hilfe Sie k nnen f r die angezeigte Seite oder f r jede Aufgabe die Sie durchf hren m chten Hilfe aufrufen So ffnen Sie die Online Hilfe 1 Klicken Sie auf der Symbolleiste auf Hilfe um die Online Hilfe f r CA Enterprise Log Manager zu ffnen CA TA Enterprise Log Manager nife Das CA Enterprise Log Manager Hilfesystem wird ge ffnet Im linken Fensterbereich wird der Inhalt aufgelistet Inhaltsverzeichnis Index Suchen R g CA Enterprise Log Manager r12 1 Rechtliche Hinweise CA Produktreferenzen Technischer Support Kontaktinformationen t Einf hrung a F derationsstruktur Globale und lokale Fiter t Aufgaben mit Kennungen abfragen t Berichtsaufgaben t Aufgaben in Verbindung mit geplanten Berichten t Alarmverwaltungsaufgaben 2 ffnen Sie ber eine H
81. n der Benutzeroberfl che und zwar auf der Grundlage von Berechtigungen die mit den Rollen der entsprechenden Benutzerkonten verkn pft sind Wenn Name und Kennwort des Benutzers der sich anmeldet von einem externen Benutzerspeicher geladen wurden m ssen die eingegebenen Anmeldeinformationen den geladenen Anmeldeinformationen entsprechen 2 Der externe Benutzerspeicher dient lediglich dem Laden der Benutzerkonten in den internen Benutzerspeicher Diese werden automatisch geladen wenn die Referenz auf den Benutzerspeicher gespeichert wird Hinweis Weitere Informationen zum Konfigurieren des grundlegenden Benutzerzugriffs finden Sie im Implementierungshandbuch von CA Enterprise Log Manager Weitere Informationen zu Richtlinien die vordefinierte Rollen das Erstellen von Benutzerkonten und das Zuweisen von Rollen unterst tzen finden Sie im CA Enterprise Log Manager Verwaltungshandbuch Kapitel 4 Hauptfunktionen 57 Rollenbasierter Zugriff Rollenbasierter Zugriff CA Enterprise Log Manager bietet drei vordefinierte Anwendungsgruppen oder Rollen Administratoren weisen Benutzern folgende Rollen zu um Zugriffsrechte f r CA Enterprise Log Manager Funktionen zu definieren Administrator m Analyst Auditor Der Auditor hat Zugriff auf alle Funktionen Der Analyst hat ber die Auditor Funktionen hinaus Zugriff auf weitere Funktionen Der Administrator hat Zugriff auf alle Funktionen Sie k nnen benutzerdefinierte Rollen mit
82. n f r separat installierte Agents Das Installieren von Agents ist optional Mit dem Standardagent k nnen Sie Syslogs von UNIX kompatiblen Ereignissen erfassen nachdem die erforderliche Konfiguration abgeschlossen ist CA Enterprise Log Manager Info Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Installieren Sie das Betriebssystem f r die Soft Appliance und anschlie end die CA Enterprise Log Manager Anwendung Sobald Sie die Quellen konfiguriert haben um Syslogs an CA Enterprise Log Manager auszugeben und die Syslog Ziele in der Konfiguration des Connectors des Standardagents angegeben haben werden Syslogs erfasst und zur leichteren Interpretation verfeinert 2 Optional Sie k nnen einen Agent auf einem Host installieren den Sie als Sammelpunkt bestimmt haben oder Sie k nnen Agents direkt auf den Hosts mit Quellen zu erfassende Ereignisse generieren installieren Hinweis Weitere Informationen zum Installieren der Soft Appliance finden Sie im Implementierungshandbuch Weitere Informationen zum Installieren von Agents finden Sie im Agent Installationshandbuch Weitere Informationen Installation eines Single Server Systems siehe Seite 16 Installieren eines Agents siehe Seite 39 Kapitel 1 Einf hrung 13 Kapitel 2 Schnellstartbereitstellung Dieses Kapitel enth lt folgende Themen berblick ber den Schnellstart siehe Seite 15 Installation eines Single Server Syst
83. n und Arbeiten mit Abfragen Berichten und Alarmen Mit der API k nnen Sie Ereignisdaten in einem Web Browser anzeigen oder Berichte in ein anderes CA Produkt oder ein Produkt eines Drittanbieters einbetten L sen allgemeiner unternehmensbezogener Probleme mit Verkn pfungen zu Kapiteln in der Dokumentation Geben Sie im Eingabefeld Suchen einen Wert ein und klicken Sie auf die Schaltfl che Suchen um alle dokumentierten Vorkommnisse anzuzeigen die Ihren Eintrag enthalten Klicken Sie auf eine Druckverkn pfung um die PDF Version des ausgew hlten Handbuchs zu ffnen Klicken Sie auf eine HTML Verkn pfung um den integrierten Dokumentationssatz zu ffnen Der integrierte Satz enth lt alle Handb cher im HTML Format Wenn Sie die HTML Verkn pfung f r das bersichtshandbuch w hlen wird dieses Handbuch angezeigt Contents Search oo R g Overview Guide CA Enterprise Log Manager Guides CA Enterprise Log Manager 12 1 ca Copyright 2009 CA All rights reserved Legal Notices CA Product References Contact CA t Examples t Release Notes t Overview Guide t Implementation Guide t Agent Installation Guide t Administration Guide t api Programming Guide t ca EEM Release Notes I CA EEM Getting Started t Glossary Terminologieglossar Abfrage Abfragebibliothek Administratorrolle Agent Agenten Explorer Eine Abfrage ist ein Satz von Kriterien mit
84. ndbuch Verwaltung von Berechtigungen Verwaltung von Berechtigungen Wenn Sie den Benutzerspeicher konfigurieren k nnen Sie entscheiden ob Sie den Standardbenutzerspeicher von CA Enterprise Log Manager verwenden m chten um Benutzerkonten einzurichten oder ob Sie einen externen Benutzerspeicher referenzieren m chten auf dem bereits Benutzerkonten definiert wurden Die zugrunde liegende Datenbank ist f r CA Enterprise Log Manager exklusiv Es wird kein kommerzielles Datenbankmanagementsystem DBMS verwendet Als externe Benutzerspeicher werden CA SiteMinder und LDAP Verzeichnisse wie beispielsweise Microsoft Active Directory Sun One und Novell eDirectory unterst tzt Wenn Sie einen externen Benutzerspeicher referenzieren werden die Informationen der Benutzerkonten automatisch im schreibgesch tzten Format geladen siehe Pfeil in der folgenden Abbildung Sie definieren ausschlie lich anwendungsspezifische Details f r ausgew hlte Konten Es werden keine Daten vom internen Benutzerspeicher in den referenzierten externen Benutzerspeicher verschoben R Extemer B Benutzerspeicher CA Enterprise s A See eicher Log Manager Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Der interne Benutzerspeicher verwaltet Berechtigungen indem die von den Benutzern bei der Anmeldung eingegebenen Informationen authentifiziert werden Anschlie end erhalten die Benutzer Zugriff auf verschiedene Funktione
85. ne der Anwendung Hinweis Die Dom ne muss auf den DNS Servern in Ihrem Netzwerk registriert werden um die Installation abzuschlie en IP Adressen der DNS Server Optional IP Adresse des NTP Zeitservers Ein Kennwort f r den Standard Superuser Installationsnamen EiamAdmin CAELM Dies ist der Standardanwendungsname f r die CA Enterprise Log Manager Anwendung Installation eines Single Server Systems Installieren Sie das vorkonfigurierte Betriebssystem ber den Datentr ger den Sie aus dem CA Enterprise Log Manager Downloadpaket erstellt haben Gehen Sie bei der Installation des Betriebssystems folgenderma en vor W hlen Sie einen Tastaturtyp aus Der Standard ist USA a W hlen Sie eine Zeitzone z B Amerika New York und w hlen Sie OK o Geben Sie das Kennwort ein das als Stammkennwort verwendet werden soll Geben Sie es erneut ein um es zu best tigen W hlen Sie OK Der Installationsfortschritt wird angezeigt Kapitel 2 Schnellstartbereitstellung 17 Installation eines Single Server Systems d Entnehmen Sie den Installationsdatentr ger f r das Betriebssystem und dr cken Sie die Eingabetaste um das System neu zu starten Das System wird neu gestartet und wechselt in den nicht interaktiven Startmodus Es werden Meldungen zum Installationsfortschritt angezeigt Weitere Informationen zu dieser Installation werden in der folgenden Datei gespeichert tmp pre install_ca elm log
86. nfachsten direkten Internetverbindung Subscription Server Subscription Default Proxy Subscription Client Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Der CA Enterprise Log Manager Server kontaktiert als Standardserver f r das Software Update den CA Software Update Server und l dt alle verf gbaren neuen Updates herunter Der CA Enterprise Log Manager Server erstellt eine Sicherung und verschiebt dann die Inhaltsaktualisierungen zur eingebetteten Komponente des Verwaltungsservers der die Inhaltsaktualisierungen f r alle anderen CA Enterprise Log Managers speichert 2 Der CA Enterprise Log Manager Server installiert als Client f r automatische Software Updates das Produkt und die ben tigten Betriebssystem Updates selbst ndig Hinweis Weitere Informationen zum Planen und Konfigurieren von automatischen Software Updates finden Sie im Implementierungshandbuch Weitere Informationen zum Verfeinern und Bearbeiten der Konfiguration f r automatische Software Updates und f r das Anwenden von Updates auf Agenten finden Sie im Verwaltungshandbuch Kapitel 4 Hauptfunktionen 59 Vorgefertigter Inhalt Vorgefertigter Inhalt CA Enterprise Log Manager umfasst vordefinierten Inhalt den Sie verwenden k nnen sobald Sie das Produkt installiert und konfiguriert haben Durch das automatische Software Update werden regelm ig neue Inhalte hinzugef gt und vorhandene Inhalte aktualisiert Kategorien vo
87. ng bezeichnet den Prozess der auftritt wenn die hei e Datenbank ihre Maximalgr e erreicht wenn eine Komprimierung auf Zeilenebene durchgef hrt wird und der Status von hei in warm ge ndert wird Administratoren m ssen die warme Datenbank sichern bevor die Schwelle zum L schen erreicht wird und sie m ssen das Hilfsprogramm LMArchive ausf hren um den Namen der Sicherungen zu erfassen Diese Informationen stehen dann zur Anzeige ber die Archivabfrage zur Verf gung Ein Protokolldatensatz ist ein einzelner Audit Datensatz Protokolleintrag Protokollsensor Ein Protokolleintrag ist ein Eintrag in einem Protokoll der Informationen zu einem bestimmten Ereignis enth lt das in einem System oder Netzwerk aufgetreten ist Ein Protokollsensor ist eine Integrationskomponente die Daten aus einem bestimmten Typ lesen soll wie z B aus Datenbank Syslog Datei oder SNMP Protokollsensoren werden wiederverwendet Normalerweise erstellen die Benutzer keine benutzerdefinierten Protokollsensoren Proxy f r automatische Software Updates offline Ein Offline Proxy f r automatische Software Updates ist ein CA Enterprise Log Manager Server der automatische Software Updates ber eine manuelle Verzeichniskopie unter Verwendung von scp von einem Online Proxy f r automatische Software Updates erh lt Offline Proxys f r automatische Software Updates k nnen so konfiguriert werden dass Sie bin re Updates zu Clients herunterladen
88. ngig von der verwendeten Technik an CA Enterprise Log Manager gesendet Der Status der eingehenden Ereignisse h ngt von der verwendeten Erfassungstechnik ab Eingehende Ereignisse m ssen verfeinert werden bevor sie in die Datenbank eingef gt werden k nnen Wenn die Datenbank mit den verfeinerten Datens tzen die konfigurierte Gr e erreicht hat werden alle Datens tze in einer Datenbank komprimiert und unter einem eindeutigen Namen gespeichert Durch das Komprimieren der Protokolldaten werden die Kosten f r das Verschieben und Speichern der Daten reduziert Die komprimierte Datenbank kann entweder basierend auf einer Auto Archivierungskonfiguration automatisch verschoben werden oder sie kann manuell gesichert und verschoben werden bevor sie das konfigurierte L schalter erreicht Automatisch archivierte Datenbanken werden sofort nach dem Verschieben aus der Quelle gel scht Wenn Sie komprimierte Datenbanken t glich per Auto Archivierung auf einen Remote Server verschieben k nnen Sie diese Sicherungen falls gew nscht in einen langfristigen Off Site Protokollspeicher verschieben Mit Hilfe von beibehaltenen Protokollsicherungen k nnen Sie die Konformit t mit Gesetzen und Bestimmungen aufrechterhalten die besagen dass Protokolle sicher erfasst ber eine bestimmte Anzahl von Jahren zentral gespeichert und f r berpr fungen verf gbar gemacht werden m ssen Sie k nnen Protokolle aus einem langfristigen Speicher jederzeit w
89. ngshandbuch Kapitel 3 Bereitstellung von Windows Agents 47 Kapitel 4 Haupifunktionen Dieses Kapitel enth lt folgende Themen Protokollerfassung siehe Seite 49 Protokollspeicherung siehe Seite 51 Standarddarstellung von Protokollen siehe Seite 53 Konformit tsberichte siehe Seite 54 Alarm bei Verletzung von Richtlinien siehe Seite 56 Verwaltung von Berechtigungen siehe Seite 57 Rollenbasierter Zugriff siehe Seite 58 Verwalten von automatischen Software Updates siehe Seite 59 Vorgefertigter Inhalt siehe Seite 60 Protokollerfassung Der CA Enterprise Log Manager Server kann so eingerichtet werden dass er Protokolle mit einer oder mehreren unterst tzten Techniken erfasst Die Techniken unterscheiden sich durch Typ und Speicherort der Komponente die die Protokolle abh rt und erfasst Diese Komponenten werden auf Agents konfiguriert Die folgende Abbildung zeigt ein Single Server System auf dem der Ort der Agents mit einem dunklen gr nen Kreis dargestellt wird Agentenbasierte Frotokollerfassun Protokallerfassung Protokollerfassung g ohne Agent ber den Standardagenten Kapitel 4 Hauptfunktionen 49 Protokollerfassung Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Konfigurieren Sie den Standardagent auf CA Enterprise Log Manager um Ereignisse direkt von den angegebenen Syslog Quellen abzurufen Konfigurieren Sie den Agent der au
90. ngshandbuch Details zum Normalisieren und Kategorisieren von Ereignissen finden Sie in der Online Hilfe im Abschnitt zur ELM Schemadefinition Kapitel 4 Hauptfunkfionen 53 Konformit tsberichte Konformit tsberichte 54 bersichtshandbuch Mit CA Enterprise Log Manager k nnen Sie sicherheitsrelevante Daten erfassen und verarbeiten und in Berichte f r interne oder externe Auditoren umwandeln Sie k nnen mit Fragen und Berichten f r Untersuchungen interagieren Sie k nnen die Berichterstellung durch die Planung von Berichtsauftr gen automatisieren Das System stellt Folgendes zur Verf gung m Leicht zu verwendende Abfragefunktion mit Kennungen m Echtzeitnahe Berichte Zentral durchsuchbare verteilte Archive kritischer Protokolle Der Fokus liegt auf Konformit tsberichten und weniger auf der Echtzeitzuordnung von Ereignissen und Alarmen Gesetze und Bestimmungen erfordern Berichte mit denen die Einhaltung von branchenspezifischen Regelungen nachgewiesen werden kann CA Enterprise Log Manager bietet Berichte mit folgenden Kennungen f r eine einfache Identifizierung m Basel II m COBIT m COSO m EU Datenschutzrichtlinie m FISMA m GLBA m HIPAA m ISO IEC 27001 2 m JPIPA m JSOX m NERC m NISPOM m PCI m SAS 70 m SOX Konformit tsberichte Sie k nnen vordefinierte Protokollberichte berpr fen oder auf Grundlage von selbst definierten Kriterien Suchl ufe durchf hren Neue Berichte erhalten Sie m
91. nisprotokollspeicher gespeichert werden kann F r jeden Protokollnamen wird eine Datenzuordnungsdatei ben tigt bevor die Ereignisdaten gespeichert werden k nnen Die Benutzer k nnen eine Kopie der Datenzuordnungsdatei ndern und diese auf einen angegebenen Connector anwenden Delegierungsrichtlinie Eine Delegierungsrichtlinie ist eine Zugriffsrichtlinie mit der ein Benutzer seine Rechte auf einen anderen Benutzer eine andere Anwendungsgruppe eine andere globale oder dynamische Gruppe bertragen kann Delegierungsrichtlinien die von einem gel schten oder deaktivierten Benutzer erstellt wurden m ssen explizit gel scht werden Direkte Protokollerfassung Direkte Protokollerfassung bezeichnet die Protokollerfassungsmethode bei der es keinen unmittelbaren Agenten zwischen Ereignisquelle und der CA Enterprise Log Manager Software gibt Dynamische Benutzergruppe Eine dynamische Benutzergruppe setzt sich aus globalen Benutzern zusammen die ein oder mehrere Attribute gemeinsam haben Eine dynamische Benutzergruppe wird ber eine spezielle Richtlinie f r dynamische Benutzergruppen erstellt wobei der Ressourcenname der Name der dynamischen Benutzergruppe ist und die Mitgliedschaft auf einer Gruppe von Filtern basiert die anhand von Benutzer und Gruppenattributen erstellt wird EEM Benutzer Der EEM Benutzer der im Auto Archivierungsbereich des Ereignisprotokollspeichers konfiguriert wird gibt den Benutzer an der eine Archivabfrage
92. nterprise Log Manager Server installiert haben Ereignisanzeige Ereignisdetails Host Kopieren V Leere Zeilen ausblenden N Name Wert 3 J v agent_hostname LogManagerD2 i agent_name Subscription m agent_version 12 0 44 2 Quelle w Ziel Ereignis 2 Ergebnis K Ereignisquelle Agent Schlie en Kapitel 2 Schnellstartbereitstellung 33 Kapitel 3 Bereitstellung von Windows Agents Dieses Kapitel enth lt folgende Themen Erstellen eines Benutzerkontos f r den Agent siehe Seite 35 Festlegen des Authentifizierungsschl ssels f r einen Agenten siehe Seite 37 Herunterladen des Agentinstallationsprogramms siehe Seite 38 Installieren eines Agents siehe Seite 39 Erstellen eines Connectors basierend auf NTEventLog siehe Seite 41 Konfigurieren einer Windows Ereignisquelle siehe Seite 45 Anzeigen von Protokollen der Windows Ereignisquellen siehe Seite 45 Erstellen eines Benutzerkontos f r den Agent Bevor Sie einen Agent auf einem Windows Betriebssystem installieren erstellen Sie im Ordner der Windows Benutzer ein Konto f r den Agent Ziel dieses Agentkontos mit eingeschr nkten Rechten ist es den Agent mit den geringsten Berechtigungen auszuf hren Sie geben den Benutzernamen und das Kennwort ein die Sie hier bei der Installation des Agents erstellt haben Hinweis Sie k nnen diesen Schritt berspringen und bei der Installation die Anmel
93. og Manager sein kann Der Standard Proxy f r automatische Software Updates ist au erdem ein Online Proxy f r automatische Software Updates und muss daher ber einen Internetzugang verf gen Wenn keine anderen Online Proxys f r automatische Software Updates definiert werden erh lt dieser Server die automatischen Software Updates vom CA Server f r automatische Software Updates l dt die Bin raktualisierungen an alle Clients herunter und leitet die Inhaltsaktualisierungen an CA EEM weiter Wenn andere Proxys definiert sind erh lt dieser Server die automatischen Software Updates immer noch aber er wird von Clients nur dann wegen Aktualisierungen kontaktiert wenn keine Proxy Liste f r automatische Software Updates konfiguriert wurde bzw wenn die konfigurierte Liste ersch pft ist Proxys f r Software Updates f r Client Die Proxys f r Software Updates f r den Client bilden die Proxy Liste f r automatische Software Updates die der Client in einem Ringversuch kontaktiert um die CA Enterprise Log Manager Software und die Betriebssystem Software Updates abzurufen Wenn ein Proxy besch ftigt ist wird der n chste in der Liste kontaktiert Wenn keiner zur Verf gung steht und der Client online ist wird der Standard Proxy f r Software Updates verwendet Proxys f r Software Updates f r Inhaltsaktualisierungen Proxys f r Software Updates f r Inhaltsaktualisierungen sind die Proxys die f r die Aktualisierung des CA Enter
94. olen Kapitel 3 Bereitstellung von Windows Agents 43 Erstellen eines Connectors basierend auf NTEventLog b Konfigurieren Sie die WMILogSensor Einstellungen f r einen anderen Computer Das folgende Beispiel zeigt eine Konfiguration f r einen zweiten WMI Protokollsensor in derselben Dom ne und mit denselben Administrator Anmeldeinformationen WMI Servername USEROO1XP Benutzername user001 Kennwort batt t E E E E a Dom ne ca com Namespace root cimv2 Ereignisprotokollname NT Ankerfrequenz aktualisieren 100 11 Klicken Sie auf Speichern und Schlie en 12 Um den Status des Connectors anzuzeigen den Sie konfiguriert haben gehen Sie folgenderma en vor a W hlen Sie im linken Fensterbereich den Agent aus b Klicken Sie auf Status und Befehl c W hlen Sie Anzeigen des Status von Connectors Das Fenster Statusdetails wird angezeigt Statusdetails Neu starten Start Beenden Connector Agent Agentengruppe Plattform Integration Status NTEvertLog_Connector_USEROOILAB USERO01LAB ca com Default Agent Group Windows _X86_32 NTEvertLog Wird ausgef hrt 13 Klicken Sie auf den Link Wird ausgef hrt Der angezeigte Status des Ziels das im Connector konfiguriert wurde umfasst Prozent der CPU Arbeitsspeicherverwendung und durchschnittliche Ereignisse pro Sekunde EPS 44 bersichtshandbuch Konfigurieren einer Windows Ereignisquelle Konfigurieren ein
95. peicher wodurch die Notwendigkeit eines manuellen Sicherungs und Verschiebevorgangs entf llt F r die Auto Archivierung m ssen Sie eine Authentifizierung ohne Kennw rter vom Quell zum Zielserver konfigurieren Automatische Software Updates Benutzergruppe Automatische Software Updates betreffen bin re und nicht bin re Dateien die vom CA Server f r automatische Software Updates zur Verf gung gestellt werden Bin rdateien sind Produktmodulaktualisierungen die normalerweise in CA Enterprise Log Manager installiert sind Nicht bin re Dateien oder Inhaltsaktualisierungen werden auf dem Management Server gespeichert Eine Benutzergruppe kann eine Anwendungsgruppe eine globale oder eine dynamische Gruppe sein Vordefinierte CA Enterprise Log Manager Anwendungsgruppen sind Administrator Analyst und Auditor CA Enterprise Log Manager Benutzer k nnen ber Mitgliedschaften au erhalb von CA Enterprise Log Manager zu globalen Gruppen geh ren Dynamische Gruppen sind benutzerdefiniert und werden ber eine dynamische Gruppenrichtlinie erstellt Benutzername EiamAdmin EiamAdmin ist der Standardname f r den Superuser der dem Benutzer zugewiesen wird der die CA Enterprise Log Manager Server installiert Bei der Installation der ersten CA Enterprise Log Manager Software erstellt der Installierende ein Kennwort f r dieses Superuser Konto wenn nicht bereits ein Remote CA EEM Server vorhanden ist In diesem Fall muss der Installierende
96. prise Log Manager Management Servers mit Inhaltsaktualisierungen ausgew hlt wurden die vom CA Server f r automatische Software Updates heruntergeladen werden Ein bew hrtes Verfahren ist die Konfiguration mehrerer Proxys aus Gr nden der Redundanz Prozess mit dynamischen Werten Remote Ereignis 90 bersichtshandbuch Ein Prozess mit dynamischen Werten ist ein CA IT PAM Prozess den Sie aufrufen um die Werteliste f r einen in Berichten oder Alarmen verwendeten ausgew hlten Schl ssel aufzuf llen oder zu aktualisieren Sie stellen den Pfad zum Prozess mit dynamischen Werten als Teil der IT PAM Konfiguration f r die Service Liste des Berichtsservers auf der Registerkarte Verwaltung bereit Im Abschnitt Werte der mit den Schl sselwerten auf derselben Seite der Benutzeroberfl che verkn pft ist klicken Sie auf Liste der dynamischen Werte importieren Das Aufrufen des Prozesses mit dynamischen Werten ist eine von drei M glichkeiten wie Sie den Schl sseln Werte hinzuf gen k nnen Ein Remote Ereignis ist ein Ereignis das zwei verschiedene Hostrechner umfasst die Quelle und das Ziel Ein Remote Ereignis entspricht Typ 2 der vier Ereignistypen die in der ELM Schemadefinition CEG verwendet werden Remote Speicher Server Ein Remote Speicher Server ist eine Rolle die einem Server zugewiesen wird der automatisch archivierte Datenbanken von einem oder mehreren Berichtsservern empf ngt In einem Remote Speicher Server k nn
97. prise Log Manager SNMP Trap verwendet werden werden einem CEG Textfeld in der MIB zugeordnet Jede OID die einem CEG Feld zugeordnet ist hat folgende Syntax 1 3 6 1 4 1 791 9845 x x x wobei 791 die Unternehmensnummer f r CA und 9845 die Produkt ID f r CA Enterprise Log Manager ist Ein Ordner ist ein Verzeichnispfad Speicherort an dem der CA Enterprise Log Manager Management Server die CA Enterprise Log Manager Objekttypen speichert Sie sollten Ordner in Richtlinien zur Bereichsdefinierung referenzieren um Benutzern die Berechtigung zum Zugriff auf einen bestimmten Objekttyp zu erteilen oder zu verweigern Eine Pflichtrichtlinie ist eine Richtlinie die beim Erstellen eines Zugriffsfilters automatisch erstellt wird Sie sollten nicht versuchen eine Pflichtrichtlinie direkt zu erstellen zu bearbeiten oder zu l schen Erstellen bearbeiten oder l schen Sie stattdessen den Zugriffsfilter Terminologieglossar 87 pozFolder Profil Protokoll Protokollanalyse Protokollanalyse Der pozFolder ist ein Attribut des Anwendungsobjekts wobei der Wert dem bergeordneten Pfad des Anwendungsobjekt entspricht Attribut und Wert von pozFolder werden in Filtern f r Zugriffsrichtlinien verwendet die den Zugriff auf Ressourcen wie Berichte Abfragen und Konfigurationen einschr nken Ein Profil ist ein optionaler konfigurierbarer Satz von Kennungs und Datenfiltern die produktspezifisch technologiespezifisch oder auf eine ausgew h
98. r Agent InstallShield Wizard xi Agent user credential information ca Enter the credentials for Agent user Specify as domain for local user account Username elmagentusr Domain Password Klicken Sie auf Weiter Optional k nnen Sie eine Datei f r den exportierten Connector angeben Die Seite Kopieren der Dateien starten wird angezeigt Klicken Sie auf Weiter Die Installation des Agents ist abgeschlossen Klicken Sie auf Fertig stellen Fahren Sie mit der Konfiguration der Connectors f r diesen Agent fort Nachdem Sie die Connectors konfiguriert haben werden die erfassten Ereignisse ber Port 17001 an den CA Enterprise Log Manager Ereignisprotokollspeicher gesendet Wichtig Wenn Sie ber den Host auf dem Sie den Agent installiert haben keinen ausgehenden Datenverkehr zulassen und die Windows Firewall verwenden m ssen Sie diesen Port auf Ihrer Windows Firewall ffnen Erstellen eines Connectors basierend auf NTEventLog Weitere Informationen Herunterladen des Agentinstallationsprogramms siehe Seite 38 Erstellen eines Benutzerkontos f r den Agent siehe Seite 35 Festlegen des Authentifizierungsschl ssels f r einen Agenten siehe Seite 37 Erstellen eines Connectors basierend auf NTEventlog Nach der Installation eines Agents k nnen Sie einen Connector erstellen um die Ereignisquelle f r die Erfassung von Ereignissen festzulegen Da Sie einen Agent auf einem Server m
99. rdefinierter Inhalte sind z B m Berichte mit Kennungen m Abfragen mit Kennungen m Integrationen mit zugeh rigen Sensoren Analysedateien XMP Zuordnungsdateien DM und in einigen F llen Unterdr ckungsregeln m Unterdr ckungs und Zusammenfassungsregeln 60 bersichtshandbuch Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager Dieses Kapitel enth lt folgende Themen Anzeigen von Kurzinfos siehe Seite 61 Anzeigen der Online Hilfe siehe Seite 63 berblick ber das Bookshelf mit Dokumentation siehe Seite 65 Anzeigen von Kurzinfos Sie k nnen die Bedeutung von Schaltfl chen Kontrollk stchen und Berichten auf der CA Enterprise Log Manager Seite in Ihrer aktuellen Ansicht abfragen So zeigen Sie Kurzinfos und andere Hilfselemente an T Halten Sie den Cursor ber die Schaltfl che um eine Beschreibung der entsprechenden Funktion anzuzeigen Auf diese Weise k nnen Sie die Funktion aller Schaltfl chen anzeigen a Profile Unum slh f buirhtn Alsummnumalt na F derationsdlagramm und Statusmonitor anzeigen MWh IE ER Profile Globale Filter und Einstellungen Beachten Sie den Unterschied zwischen aktiven und inaktiven Schaltfl chen Aktivierte Schaltfl chen werden farbig angezeigt So wird die Schaltfl che Zugriffsfilterliste f r Administratoren der Benutzer und Zugriffsverwaltung farbig angezeigt Zugriffsfilterliste Enan Deaktivierte Schaltfl chen
100. rheits und nicht sicherheitsbezogenen Ger ten sammeln Info Ihr Netzwerk vor der Installation Lokale Bestimmungen und Richtlinien schreiben die Aufbewahrung von Protokolldatens tzen vor Zur Erf llung dieser Vorgaben m ssen Sie m Protokolle f r Auditing Zwecke verf gbar machen m Protokolle ber Jahre hinweg speichern m Protokolle auf Anforderung wiederherstellen Erschwerend f r die Verwaltung von Protokolldatens tzen sind ihre gro e Anzahl ihr Speicherort und ihre tempor re Natur Protokolle werden durch Benutzer und Prozessaktivit ten in der Software st ndig generiert Die Generierungsrate wird in Ereignissen pro Sekunde EPS gemessen F r jedes aktive System jede aktive Datenbank und jede aktive Anwendung in Ihrem Netzwerk werden Rohereignisse erfasst An jeder Ereignisquelle m ssen Ereignisprotokolle f r die Speicherung gesichert werden bevor sie berschrieben werden Die Wiederherstellung von Ereignisprotokollen gestaltet sich schwierig wenn Sicherungen aus anderen Ereignisquellen separat gespeichert werden Die Auswertung von Rohereignissen wird durch das Zeichenfolgenformat erschwert bei dem der Ereignisschweregrad nicht hervorgehoben ist Zudem variieren hnliche Daten aus verschiedenen Systemen Benutzerspeicher E Mail LDAP Server Server MS Active Directory IN Sun ONE CA SiteMinder Windows Systeme Unix Systeme und Verschiedene mit aktivem WMI Ger te die Syslog Anwendungen
101. rwendung desselben CA EEM Servers aber mit verschiedenen Anwendungsinstanzen konfiguriert wurden nutzen nur den Benutzerspeicher die Kennwortrichtlinien und die globalen Gruppen gemeinsam Verschiedene CA Produkte verf gen ber verschiedene Standardanwendungsinstanzen Anwendungsressource AppObjects Eine Anwendungsressource ist eine der CA Enterprise Log Manager spezifischen Ressourcen in denen CALM Zugriffsrichtlinien bestimmten Identit ten die Durchf hrung bestimmter anwendungsspezifischer Aktionen wie der Erstellung Planung und Bearbeitung gew hren oder verweigern Beispiele hierf r sind Berichte Alarme und Integration Sieh auch globale Ressource AppObjects oder Anwendungsobjekte sind produktspezifische Ressourcen die in CA EEM unter der Anwendungsinstanz eines bestimmten Produkts gespeichert sind F r die CAELM Anwendungsinstanz umfassen diese Ressourcen Berichts und Abfrageinhalte geplante Berichts und Alarmjobs Agenteninhalte und konfigurationen Service Adapter und Integrationskonfigurationen Datenzuordnungs und Nachrichtenanalysedateien sowie Unterdr ckungs und Zusammenfassungsregeln Terminologieglossar 69 Archivabfrage Eine Archivabfrage ist eine Abfrage des Katalogs anhand dessen die kalten Datenbanken identifiziert werden die wiederhergestellt und f r die Abfrage verf gbar gemacht werden m ssen Eine Archivabfrage unterscheidet sich darin von einer normalen Abfrage dass sie sich auf kalte
102. s Lesen der Rohereigniszeichenfolge aus einer Ereignisquelle und das Senden dieser an den konfigurierten CA Enterprise Log Manager Auf die Ereigniserfassung folgt die Ereignisverfeinerung Ereignisfilterung Ereignisfilterung ist der Prozess in dem Ereignisse auf der Basis von CEG Filtern verworfen werden 78 bersichtshandbuch Ereigniskategorie event_category Ereigniskategorien Die Ereigniskategorie ist das ereignisspezifische Feld auf der zweiten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es dient der weiteren Klassifizierung von Ereignissen mit einen speziellen Idealmodell Ereigniskategorietypen umfassen die Betriebssicherheit das Identit ten Management das Konfigurations Management den Ressourcen und Systemzugriff Ereigniskategorien sind Kennungen anhand derer CA Enterprise Log Manager Ereignisse nach ihrer Funktion klassifiziert bevor sie in den Ereignisspeicher eingef gt werden Ereignisklasse event_class Die Ereignisklasse ist das ereignisspezifische Feld auf der dritten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es dient der weiteren Klassifizierung von Ereignissen mit einer speziellen Ereigniskategorie Ereignisprotokollspeicher Der Freignisprotokollspeicher ist eine Komponente im CA Enterprise Log Manager Server bei der eingehende Ereignisse in Datenbanken gespeichert werden Die Datenbanken im Ereignisprotokollspeicher m ssen vor dem Zeitpunkt der f r den L
103. shelf Dieses bereits vorhandene Thema ist aktualisiert worden und nimmt Bezug auf das neue API Programmierungshandbuch das nun im CA Enterprise Log Manager Bookshelf zur Verf gung steht Weitere Informationen berblick ber den Schnellstart siehe Seite 15 Alarm bei Verletzung von Richtlinien siehe Seite 56 berblick ber das Bookshelf mit Dokumentation siehe Seite 65 Inhalt Kapitel 1 Einf hrung 9 ber dieses Handbuch sus 2 4 1 are 9 TINO ee ern 10 Ihr Netzwerk vor der Installation 222220eeeseeeeneeeseeeeeeeeeeeeeneeeeeeeenen 11 Inst allaglomsumtandG zus ae a NE NER RE 12 Kapitel 2 Schnellstartbereitstellung 15 berblick ber den Schnellstart us ea are 15 Installation eines Single Server Systems 22222ceseeeeeeeneeneeneeneeneeneeneeneeneeneene 16 Aktualisieren der Windows Hostdatej sss ssssssssrersrsss run sss iu uana EEEE EEEE EEEE EKENS EENS 22 Konfigurieren des ersten Administrators 22222ceeseeseeeeeeeeeneeneeneeneeneeneenennene 23 Konfigurieren von Syslog Ereignisquellen 222e2cceeseeseeseesneeneeneenenneeneeneenenn 26 Bearbeiten des Syslog Connectors 22222ceeseeseeeeeeeeeneeeeeneeneeneeneeneeneeneeneenene 29 Anzeigen von Syslog Ereignissen 22222ceseeeseeeneeneeneeneeneeneeneeneeneeneeneeneenen 32 Kapitel 3 Bereitstellung von Windows Agents 35 Erstellen eines Benutzerkontos f r den Agent 22cecseeseeeeeeneeneeeeeneeneeneeneenenn 35
104. sse konfiguriert haben die Syslogs an CA Enterprise Log Manager senden sollen Durch die Angabe von vertrauensw rdigen Hosts stellen Sie sicher dass der Standardagent keine Ereignisse von Schurkensystemen akzeptiert die ein Angreifer konfiguriert hat um Ereignisse an den Syslog Listener zu senden 30 bersichtshandbuch Bearbeiten des Syslog Connectors 9 Optional F gen Sie Ports hinzu Sie k nnen typischerweise die Standard UPD und TCP Ports f r den Standardagent akzeptieren Hinweis Sie erreichen Leistungsverbesserungen indem Sie einen Syslog Connector f r verschiedene Ereignistypen definieren und f r jeden einen eigenen Port festlegen Stellen Sie sicher dass die Ports nicht verwendet werden wenn Sie neue Ports zuweisen 10 Optional F gen Sie nur eine Zeitzone hinzu wenn Sie Syslogs von Ger ten erfassen deren Zeitzone sich von der Soft Appliance unterscheidet a Klicken Sie auf Ordner erstellen und erweitern Sie den Ordner b Markieren Sie den leeren Eintrag unter dem Ordner Geben Sie die IP Adresse eines vertrauensw rdigen Hosts ein den Sie f r diesen Connector definiert haben oder den NTP Time Server den Sie bei der Installation von CA Enterprise Log Manager festgelegt haben Zeitzonen PFISNT Vo America New_York 172 24 36 157 Details dieser Konfiguration anzeigen oder bearbeiten Erforderlich 11 Klicken Sie auf Speichern und Schlie en 12 Zeigen sie den Staus an a
105. ssen soll importiert und konfiguriert werden Die MIB zeigt die Quelle der numerischen OIDs Objekt ID an die in einer SNMP Trap Meldung verwendet werden zusammen mit einer Beschreibung des Datenobjekts oder Netzwerkelements In der MIB f r SNMP Traps die von CA Enterprise Log Manager gesendet werden bezieht sich die Beschreibung der einzelnen Datenobjekte auf das entsprechende CEG Feld Die MIB stellt sicher dass alle Namen Wertepaare aus einer SNMP Trap am Ziel korrekt interpretiert werden Modul f r automatische Software Updates Das Modul f r automatische Software Updates ist ein Dienst bei dem automatische Software Updates ber den CA Software Update Server automatisch heruntergeladen und an CA Enterprise Log Manager Server und an alle Agenten verteilt werden k nnen Globale Einstellungen gelten f r lokale CA Enterprise Log Manager Server Lokale Einstellungen geben an ob der Server ein Offline Proxy ein Online Proxy oder ein Client f r automatische Software Updates ist Module zum Herunterladen Nachrichtenanalyse Ein Modul ist eine logische Gruppierung von Komponentenaktualisierungen die ber ein automatisches Software Update zum Herunterladen zur Verf gung gestellt wird Ein Modul kann bin re Aktualisierungen Inhaltsaktualisierungen oder beides enthalten Beispielsweise bilden alle Berichte ein Modul und alle Sponsor Bin raktualisierungen ein anderes CA definiert was ein Modul ausmacht Nachrichtenanalyse
106. t wird W hrend der Verfeinerung von Ereignissen wandelt CA Enterprise Log Manager Rohereignismeldungen in Namen Wertepaare um und ordnet die Namen der Rohereignisse Standard CEG Feldern zu Bei dieser Verfeinerung entstehen Namen Wertepaare die aus CEG Feldern und Werten aus dem Rohereignis bestehen So werden unterschiedliche Labels aus Rohelementen f r dasselbe Datenobjekt oder Netzwerkelement bei der Verfeinerung von Rohereignissen in denselben CEG Feldnamen umgewandelt CEG Felder werden in der MIB der SNMP Traps bestimmten OIDs zugeordnet Client f r automatische Software Updates Ein Client f r automatische Software Updates ist ein CA Enterprise Log Manager Server der Inhaltsaktualisierungen von einem anderen CA Enterprise Log Manager Server erh lt der als Proxy Server f r automatische Software Updates bezeichnet wird Clients f r automatische Software Updates fragen den konfigurierten Proxy Server in regelm igen Abst nden ab und rufen neue Aktualisierungen bei Verf gbarkeit ab Nach dem Abrufen der Aktualisierungen installiert der Client die heruntergeladenen Komponenten Computersicherheitsprotokoll Verwaltung Connector Die Computersicherheitsprotokoll Verwaltung wird durch NIST als der Prozess zum Generieren bertragen Speichern Analysieren und Entsorgen von Computersicherheitsprotokoll Daten definiert Ein Connector ist eine Integration f r eine bestimmte Ereignisquelle die in einem bestimmten Agenten kon
107. te Abfrageeinstellungen lassen sich in der Ot CA Produktreferenzen Technischer Subpart So erstellen Sie einen globalen Filter Kontaktinformationen 1 Klicken Sie oben im Hauptfenster auf die Schaltfl che 3 Einf hrung Das Dialogfeld Globale Filter und Einstellungen wird r t F derationsstruktur Optional Geben Sie mit Hilfe des Dropdown Men s Z d lokale Filt 3 Global 3 Optional Aktivieren Sie das Kontrollk stchen berein Konfigurieren von globalen allen verf gbaren Rohereignissen gesucht werden soll Abfrageeinstellungen Hinweis Sir k nnen in den Rnhereinnissen narh mehr c Wenn Sie wissen welche Aufgabe Sie ausf hren m chten aber nicht wissen wie Sie in CA Enterprise Log Manager auf die entsprechende Seite gelangen nutzen Sie zun chst das Inhaltsverzeichnis Durch Klicken auf den Aufgabennamen wird die Seite ge ffnet Hinweis Wenn Sie die Aufgabe im Inhaltsverzeichnis nicht finden k nnen schlagen Sie im Bookshelf der Dokumentation nach 64 bersichtshandbuch berblick ber das Bookshelf mit Dokumentation berblick ber das Bookshelf mit Dokumentation Sie k nnen das Bookshelf auf Ihr lokales Laufwerk kopieren Die B cher k nnen als HTML oder PDF ge ffnet werden B cher im HTML Format enthalten buch bergreifende Querverweise So erhalten Sie einen berblick ber das Bookshelf 1 Kopieren Sie das Bookshelf von der Installations DVD der Anwendung
108. tinstallation Installation eines Agents f r das Windows Betriebssystem Konfiguration eines Connectors f r die agentbasierte Erfassung Aktualisieren der Ereignisquelle und Anzeigen generierter Ereignisse Hauptfunktionen Wichtige Funktionen nutzen darunter die Protokollerfassung die Protokollspeicherung Konformit tsberichte und Alarme Weitere Informationen zu CA Weitere Informationen ber Kurzinfos die Online Hilfe und Enterprise Log Manager das Dokumentations Bookshelf Kapitel 1 Einf hrung 9 Info Info 10 bersichtshandbuch Hinweis Weitere Informationen zu unterst tzten Betriebssystemen oder zu den Systemanforderungen finden Sie in den Versionshinweisen Schrittweise Anleitungen f r die Installation von CA Enterprise Log Manager und die erste Konfiguration finden Sie im Implementierungshandbuch Weitere Informationen zum Installieren eines Agents finden Sie im Agent Installationshandbuch Weitere Informationen zum Verwenden und Verwalten des Produkts finden Sie im Verwaltungshandbuch Hilfe zum Verwenden einer CA Enterprise Log Manager Seite finden Sie in der Online Hilfe Ziel von CA Enterprise Log Manager ist die IT Konformit t und Sicherung Es werden Informationen zur IT Aktivit t erfasst standardisiert und aggregiert und entsprechende Berichte erstellt Au erdem werden Alarme ausgegeben wenn aufgrund einer m glichen Konformit tsverletzung Handlungsbedarf entsteht Sie k nnen Daten von unterschiedlichen siche
109. tionsalarme Die RSS Feed URL f r Aktionsalarme lautet https elmhostname 5250 spin calm getActionQueryRssFeeds csp Von dieser URL k nnen Sie das maximale Alter sowie die maximale Menge f r Aktionsalarme anzeigen die zu dieser Konfiguration geh ren RSS Feed URL f r Software Updates SafeObject Die RSS Feed URL f r Software Updates ist ein vorkonfigurierter Link der von Online Proxy Servern f r Software Updates bei der Abfrage von automatischen Software Updates verwendet wird Diese URL ist f r den CA Server f r automatische Software Updates bestimmt SafeObject ist eine vordefinierte Ressourcenklasse in CA EEM Es ist die Ressourcenklasse zu der Anwendungsobjekte die im Bereich der Anwendung gespeichert sind geh ren Benutzer die Richtlinien und Filter f r die Erteilung des Zugriffs auf Anwendungsobjekte definieren beziehen sich auf diese Ressourcenklasse Terminologieglossar 91 SAPI Collector SAPI Recorder SAPI Router Schl sselwerte Der SAPI Collector ist ein CA Adapter der Ereignisse von CA Audit Clients erh lt CA Audit Clients senden mit der Aktion Collector die ber einen integrierten Failover verf gt Administratoren konfigurieren den CA Audit SAPI Collector beispielsweise mit ausgew hltem Chiffre und Datenzuordnungsdateien Ein SAPI Recorder bezeichnet die Technologie die vor iTechnology zum Versenden von Informationen an CA Audit verwendet wurde SAPI steht f r Submit Application Pro
110. usammen Eine Zusammenfassungsregel kann beispielsweise so konfiguriert werden dass sie bis zu 1000 doppelte Ereignisse die dieselben Quell und Ziel IP Adressen und Ports haben durch ein Zusammenfassungsereignis ersetzt Diese Regeln vereinfachen die Ereignisanalyse und verringen das Protokollaufkommen Index A Agenteninstallation Manuell f r Windows 39 Archivieren Definition 51 Benutzerkontoberechtigungen f r Agenten Eingerichtet f r Windows 35 Benutzerrollen Definition 58 Bin rdateien des Agenten Herunterladen f r Windows Systeme 38 C CA Embedded Entitlements Manager Definition 57 CA Enterprise Log Manager Benutzerrollen 58 Installation 12 16 Komponenten 12 Online Hilfe 63 QuickInfo 61 Connectors Konfigurieren 41 D Datenzuordnung Definition 53 E Eingabeaufforderungen Protokolle aus Windows Ereignisquellen anzeigen 45 Syslog Ereignisse anzeigen 32 ELM Schemadefinition CEG Definition 53 K Klicken Sie auf 37 N Nachrichtenanalyse Definition 53 P Protokollerfassung Definition 49 Protokollspeicherung Definition 51 Q QuickInfo Verwenden 61 S Standardagent Syslog Connector konfigurieren 29 Syslog Ereignisse anzeigen 32 T Testumgebung Installationsgegenstand 12 V Verwalten von automatischen Software Updates Definition 59 Prozessbeschreibung 59 Index 97
111. werden k nnen beispielsweise auf Servern auf denen die Installation von Agenten aufgrund von betriebsinternen Richtlinien nicht zugelassen ist Die bermittlung ist garantiert wenn beispielsweise die ODBC Protokollerfassung korrekt konfiguriert wurde 50 bersichtshandbuch Protokollspeicherung m Agentbasierte Erfassung Bei der agentbasierten Erfassung wird ein Agent berall dort installiert wo ein oder mehrere Ereignisquellen ausgef hrt werden und ein Connector f r jede Ereignisquelle konfiguriert wurde Vorteil Sie k nnen Protokolle von Quellen erfassen auch wenn die Bandbreite zwischen Quelle und CA Enterprise Log Manager nicht ausreicht um eine direkte Protokollerfassung zu unterst tzen Sie k nnen mit dem Agenten die Ereignisse filtern und so den Datenverkehr im Netzwerk reduzieren Die Ereignis bermittlung ist garantiert Hinweis Weitere Informationen zur Konfiguration von Agents finden Sie im Verwaltungshandbuch Protokollspeicherung CA Enterprise Log Manager bietet die M glichkeit der verwalteten eingebetteten Protokollspeicherung f r k rzlich archivierte Datenbanken Ereignisse die durch Agenten von Ereignisquellen erfasst worden sind durchlaufen den im folgenden Diagramm dargestellten Speicherlebenszyklus Kapitel 4 Hauptfunktionen 51 Protokollspeicherung 52 bersichtshandbuch Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Neue Ereignisse werden unabh
112. werden schwarz wei dargestellt So wird die Schaltfl che Zugriffsfilterliste f r Auditoren schwarz wei dargestellt Zugriffsfilterliste CEAN Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager 61 Anzeigen von Kurzinfos 62 bersichtshandbuch 3 Zeigen Sie die Beschreibungen f r Eingabefelder und Kontrollk stchen an indem Sie den Cursor ber den Feldnamen halten IN Offline Proxy f r automatische Software Updates Ist dieser Rechner ein Proxy Server f r automatische Software Updates ohne Internetzugang Zeigen Sie Beschreibungen f r Berichte an indem Sie den Cursor ber den Berichtnamen halten Ertassungadberwanhung nach Protokollmanager V Automatische Aktualisierung Al bersicht F ZT Beschreibung Ersteit eine bersicht ber die vollst ndige Protokollerfassung gruppiert nach 1 Protokollmanager ordnet Aktivit ten nach den aktivsten id Protokollmanager Agenten den am h ufigsten verwendeten Hostnamen und Protokollnamen listet die durchschnittliche CPU Yerwendung und Datentr gerverwendung in Prozentangaben sowie die Connectoren auf die nur in der letzten Stunde nicht aktiv waren liefert Trendanalysen Protok ca elm 932 iyezuy 0 00 Version 12 1 5011 0 Uhrzeit Zn Kennungen System CA Access Control CA Identity Manager CA SiteMinder Letzte Aktualisierung des Berichts Wed Nov 11 5 2009 09 55 53 AM Lokale Zeitzone AmericaNew_YorkProfilfilter n
113. wird die dem Benutzer die Berechtigung zur Erstellung einer Kennung erteilt Ein Konto bezeichnet einen globalen Benutzer der auch ein CALM Anwendungsbenutzer ist Eine einzelne Person kann mehr als ein Konto haben jedoch muss die benutzerdefinierte Rolle eine andere sein Ein lokaler Filter ist ein Satz von Kriterien die Sie w hrend der Berichtsanzeige angeben k nnen um die angezeigten Daten f r den aktuellen Bericht zu begrenzen Ein lokales Ereignis ist ein Ereignis das eine einzelne Einheit umfasst bei der sich Quelle und Ziel des Ereignisses auf demselben Hostrechner befinden Ein lokales Ereignis entspricht Typ 1 der vier Ereignistypen die in der ELM Schemadefinition CEG verwendet werden Management Server Der Management Server ist eine Rolle die dem ersten installierten CA Enterprise Log Manager Server zugewiesen ist Dieser CA Enterprise Log Manager Server enth lt das Repository in dem gemeinsam genutzte Inhalte wie Richtlinien f r all seine CA Enterprise Log Managers gespeichert werden Dieser Server ist normalerweise der Standard Proxy f r automatische Software Updates Auch wenn dies in den meisten produktiven Umgebungen nicht empfehlenswert ist so kann der Management Server alle Rollen ausf hren MIB Management Information Base Die MIB Management Information Base f r CA Enterprise Log Manager CA ELM MIB muss f r jedes Produkt das Alarme in Form von SNMP Traps von CA Enterprise Log Manager erfa
114. wurden Zu den CA Enterprise Log Manager Anwendungsbenutzerdetails geh ren die Benutzergruppe und Einschr nkungen der Zugriffsrechte Wenn der Benutzerspeicher das lokale Repository ist umfassen die Anwendungsbenutzerdetails auch die Anmeldedaten und die Kennwortrichtlinien Anwendungsgruppe Anwendungsinstanz Eine Anwendungsgruppe ist eine produktspezifische Gruppe die einem globalen Benutzer zugewiesen werden kann Vordefinierte Anwendungsgruppen f r CA Enterprise Log Manager oder Rollen sind Administrator Analyst und Auditor Diese Anwendungsgruppen stehen nur CA Enterprise Log Manager Benutzern zur Verf gung Sie k nnen Benutzern anderer Produkte die auf demselben CA EEM Server registriert wurden nicht zugewiesen werden Benutzerdefinierte Anwendungsgruppen m ssen zur Standardrichtlinie f r den CALM Anwendungszugriff hinzugef gt werden damit die Benutzer auf CA Enterprise Log Manager zugreifen k nnen Eine Anwendungsinstanz ist ein allgemeiner Bereich imCA EEM Repository in dem alle Berechtigungsrichtlinien Benutzer Gruppen Inhalte und Konfigurationen gespeichert werden Normalerweise verwenden alle CA Enterprise Log Manager Server in einem Unternehmen dieselbe Anwendungsinstanz standardm ig CAELM Sie k nnen CA Enterprise Log Manager Server mit verschiedenen Anwendungsinstanzen installieren aber nur die Server die dieselbe Anwendungsinstanz gemeinsam nutzen k nnen f deriert werden Server die f r die Ve
115. zu konfigurieren Verwenden Sie einen lokalen oder einen Remote EEM Server Geben Sie I lokal oder r remote ein a Um ein Standalone Testsystem zu erstellen geben Sie f r lokal ein Geben Sie das Kennwort f r den Benutzer EiamAdmin des EEM Servers ein Best tigen Sie das Kennwort f r den Benutzer EiamAdmin des EEM Servers b Geben Sie das Kennwort ein das Sie dem EiamAdmin Standard Superuser zugewiesen haben und best tigen Sie es durch erneute Eingabe Geben Sie einen Anwendungsnamen f r diesen CAELM Server CAELM ein c Dr cken Sie die Eingabetaste um CAELM zu akzeptieren den Standardanwendungsnamen f r CA Enterprise Log Manager Die bisher eingegebenen EEM Serverinformationen werden mit einer Meldung eingeblendet in der Sie gefragt werden ob Sie nderungen vornehmen m chten EEM server is not installed on the local host EEM Server Information EEM Server Type 1 local or r remote EEM Server Name CALM1 EEM application name for this CAELM server CAELM Do you want to change the EEM Server information n d Dr cken Sie die Eingabetaste oder geben Sie n f r Nein ein um die eingegebenen CA EEM Serverinformationen zu akzeptieren Der Installationsvorgang wird gestartet Die folgenden Meldungen zeigen den erfolgreichen Fortschritt der einzelnen CA Enterprise Log Manager Komponenten den Abschluss der Registrierungen den Empfang von Zertifikaten den Import von Dateien und
Download Pdf Manuals
Related Search