Home

PDF herunterladen

Contents

1. b Markieren Sie den leeren Eintrag unter dem Ordner Geben Sie die IP Adresse eines vertrauensw rdigen Hosts ein den Sie f r diesen Connector definiert haben oder den NTP Time Server den Sie bei der Installation von CA Enterprise Log Manager festgelegt haben Zeitzonen ee Mm 2 America New_York P 172 24 36 157 Details dieser Konfiguration anzeigen oder bearbeiten Erforderlich IP Adresse 172 24 36 157 Klicken Sie auf Speichern und Schlie en Zeigen sie den Staus an a Klicken Sie auf Status und Befehl 2E ae lal Anzeigen des St Se und Befehl Kapitel 2 Schnellstartbereitstellung 33 Bearbeiten des Syslog Connectors 34 bersichtshandbuch Anzeigen des Status von Agents ist ausgew hlt In der Spalte Agenten wird der Hostname des installierten Servers angezeigt da sich der Standardagent auf diesem Server befindet Der Status Wird ausgef hrt wird angezeigt Klicken Sie auf den Link Wird ausgef hrt um Details anzuzeigen Klicken Sie auf die Schaltfl che Connectors um den Status des Connectors anzuzeigen Statusdetails Neu starten Start Beenden Connector Agent Agentengruppe Plattform Integration Status Syslog_Connector ca elm Default Agent Group Linux_X86_32 Syslog Antwortet nicht I I Klicken Sie auf den Link Wird ausgef hrt Die Felder Prozent der CPU Arbeitsspeicherverwendung Durchschnittliche Ereignisse pro Sekunde
2. Ein Kalender ist ein Mittel mit dem Sie die G ltigkeitsdauer einer Zugriffsrichtlinie begrenzen k nnen Eine Richtlinie erm glicht bestimmten Identit ten die Durchf hrung bestimmter Aktionen in einer angegebenen Ressource w hrend eines definierten Zeitraums Der Katalog ist die Datenbank auf jedem CA Enterprise Log Manager die den Status der archivierten Datenbanken beibeh lt und gleichzeitig als Index h chster Ebene f r alle Datenbanken agiert Die Statusinformationen warm kalt oder verf gbar gemacht werden f r alle Datenbanken beibehalten die sich je auf diesem CA Enterprise Log Manager befunden haben und f r jede Datenbank die auf diesem CA Enterprise Log Manager als verf gbar gemachte Datenbank wiederhergestellt wurde Die Indizierungsf higkeit erstreckt sich auf alle hei en und warmen Datenbanken im Ereignisprotokollspeicher auf diesem CA Enterprise Log Manager Eine Kennung ist ein Term oder eine Schl sselphrase mit der Abfragen oder Berichte identifiziert werden die zur selben gesch ftsrelevanten Gruppierung geh ren Kennungen erm glichen Suchl ufe die auf gesch ftsrelevanten Gruppierungen basieren Eine Kennung ist au erdem der Ressourcenname der in einer Richtlinie verwendet wird die dem Benutzer die Berechtigung zur Erstellung einer Kennung erteilt Ein Konto bezeichnet einen globalen Benutzer der auch ein CALM Anwendungsbenutzer ist Eine einzelne Person kann mehr als ein Konto haben jedoch muss d
3. m Dom ne der Anwendung Hinweis Die Dom ne muss auf den DNS Servern in Ihrem Netzwerk registriert werden um die Installation abzuschlie en m IP Adressen der DNS Server Optional IP Adresse des NTP Zeitservers m Ein Kennwort f r den Standard Superuser Installationsnamen EiamAdmin a CAELM Dies ist der Standardanwendungsname f r die CA Enterprise Log Manager Anwendung Installation eines Single Server Systems Installieren Sie das vorkonfigurierte Betriebssystem ber den Datentr ger den Sie aus dem CA Enterprise Log Manager Downloadpaket erstellt haben Gehen Sie bei der Installation des Betriebssystems folgenderma en vor a W hlen Sie einen Tastaturtyp aus Der Standard ist USA b W hlen Sie eine Zeitzone z B Amerika New York und w hlen Sie OK c Geben Sie das Kennwort ein das als Stammkennwort verwendet werden soll Geben Sie es erneut ein um es zu best tigen W hlen Sie OK Der Installationsfortschritt wird angezeigt Kapitel 2 Schnellstartbereitstellung 17 Installation eines Single Server Systems 18 bersichtshandbuch d Entnehmen Sie den Installationsdatentr ger f r das Betriebssystem und dr cken Sie die Eingabetaste um das System neu zu starten Das System wird neu gestartet und wechselt in den nicht interaktiven Startmodus Es werden Meldungen zum Installationsfortschritt angezeigt Weitere Informationen zu dieser Installation w
4. benutzerdefinierten Richtlinien und Zugriffsfiltern finden Sie im CA Enterprise Log Manager Verwaltungshandbuch Kapitel 4 Hauptfunktionen 65 Verwalten Von Automatischen Software aktualisieren Verwalten Von Automatischen Software aktualisieren 66 bersichtshandbuch Das Modul F r Automatische Software aktualisieren ist ein Dienst bei dem Sie automatische Software aktualisieren ber H hlen CA Software Update Server Nach Einem Festgelegten Plan Automatisch Herunterladen Und ein CA Enterprise Log Manager Server Verteilen K nnen Wenn Ein Automatisches Software Aktualisierungs auch das Modul f r Agenten Betrifft wird als Bereitstellung dieser aktualisieren sterben ein Agenten Durch als Benutzer initiiert sterben Automatische Software Updates sind Aktualisierungen f r CA Enterprise Log Manager Softwarekomponenten und das Betriebssystem Patch sowie Inhaltsaktualisierungen wie z B Berichte Sterben Sie als folgende Abbildung zeigt ein Szenario mit der einfachsten direkten Internetverbindung aus GA c RWArE Update Proxy Softw re Update Clerit Vorgefertigter Inhalt Sterben Sie als Nummern in H hle Abbildungen beziehen sich auf folgende Schritte 1 Der CA Enterprise Log Manager Server kontaktiert als Standardserver f r das Software Aktualisierungs H hlen CA Software Update Server Und L dt Alle Verf gbaren Neuen aktualisieren Herunter Der CA Enterprise Log Manager Server erstellt eine Sich
5. um nach Ergebnissen zu sortieren b Bl ttern Sie zum ersten Ergebnis f r F wie Fehler Angenommen es handelt sich dabei um eine Konfigurationswarnung der Kategorie Konfigurationsverwaltung c Doppelklicken Sie auf die Zeile um die Details anzuzeigen Die Ereignisanzeige wird ge ffnet Bl ttern Sie zu dem Bereich in dem das Ergebnis angezeigt wird In diesem Beispiel handelt es sich bei dem Fehler um eine Warnung die Sie im Modul f r automatische Software Updates konfigurieren m ssen Diese Warnung sollten Sie ignorieren bis Sie alle gew nschten CA Enterprise Log Manager Server installiert haben Ereignisanzeige Ereignisdetails Host Kopieren v Leere Zeilen ausblenden An Name Wert gt X v agent_hostname Log Manager02 r T agent_name Subscription L agent_version 12 0 44 2 E Quelle o Ziel Ereignis E Ergebnis E Ereignisquelle Agent _ Schlie en 36 bersichtshandbuch Kapitel 3 Bereitstellung von Windows Agents Dieses Kapitel enth lt folgende Themen Erstellen eines Benutzerkontos f r den Agent siehe Seite 38 Festlegen des Authentifizierungsschl ssels f r einen Agenten siehe Seite 40 Herunterladen des Agentinstallationsprogramms siehe Seite 41 Installieren eines Agents siehe Seite 42 Erstellen eines Connectors basierend auf NTEventLlog siehe Seite 45 Konfigurieren einer Windows Ereignisquelle siehe Seite 49 Anzeigen von Protoko
6. EPS und Anzahl der gefilterten Ereignisse werden angezeigt Anzeigen von Syslog Ereignissen Anzeigen von Syslog Ereignissen Eine der schnellsten M glichkeiten Abfrageergebnisse f r Ereignisse anzuzeigen die von einem Syslog Listener erfasst wurden ist die Verwendung der Eingabeaufforderung f r den Host So zeigen Sie Syslog Ereignisse an 1 W hlen Sie die Registerkarte Abfragen und Berichte Die untergeordnete Registerkarte Abfragen wird angezeigt 2 Erweitern Sie die Eingabeaufforderung auf der Abfrageliste und w hlen Sie den Host Abfrageliste Optionen Suchen Y Prompts Connector Host l IP H Protokollname l Port gt Benutzer 3 bermitteln Sie eine Abfrage f r Ereignisse die vom Standardagent erfasst wurden a Geben Sie den Namen des Standardagents im Feld Host ein Dies ist auch der Name des CA Enterprise Log Manager auf dem er sich befindet W hlen Sie agent_hostname Klicken Sie auf Los a Filter zur Eingabeaufforderung E Geben Sie die Werte der Eingabeaufforderung ein und berpr fen Sie alle entsprechenden CEG Spalten Host LogManager02 Los V source_hostname Y dest_hostname Y event_source_hostname Y receiver_hostname v agent_hostname Kapitel 2 Schnellstartbereitstellung 35 Anzeigen von Syslog Ereignissen 4 Zeigen Sie die Ergebnisse an die weiter verfolgt werden sollen a Klicken Sie auf die Spalte Ergebnisse
7. Zeigen Sie das entsprechende Balkendiagramm an Flerfassungs berwachung nach Protokollmanager Trend EE NIEA ES Zaag 6000 5000 4000 3 3000 w zZ 2000 1000 o 13 00 14 00 15 00 16 00 17 00 13 00 19 00 Uhrzeit Kapitel 3 Bereitstellung von Windows Agents 51 Anzeigen von Protokollen der Windows Ereignisquellen 8 Klicken Sie auf Berichte Geben Sie unter Berichtsliste im Feld Suchen den Eintrag selbst ein um den Berichtsnamen Selbst berwachende Ereignisse des Systems anzuzeigen W hlen Sie diesen Bericht um eine Liste der Ereignisse anzuzeigen die vom CA Enterprise Log Manager Server generiert wurden Hinweis Weitere Informationen zum Planen von Berichten mit Informationen die Sie analysieren m chten finden Sie in der Online Hilfe oder im Verwaltungshandbuch 52 bersichtshandbuch Kapitel 4 Hauptfunktionen Dieses Kapitel enth lt folgende Themen Protokollerfassung siehe Seite 54 Protokollspeicherung siehe Seite 57 Standarddarstellung von Protokollen siehe Seite 59 Konformit tsberichte siehe Seite 60 Alarm bei Verletzung von Richtlinien siehe Seite 62 Verwaltung von Berechtigungen siehe Seite 63 Rollenbasierter Zugriff siehe Seite 65 Verwalten Von Automatischen Software aktualisieren siehe Seite 66 Vorgefertigter Inhalt siehe Seite 67 Kapitel 4 Hauptfunktionen 53 Protokollerfassung Protokollerfassung 54 bersichtshandbuch Der CA Enterprise Log
8. fung ausf hren kann Dem Benutzer muss die vordefinierte Rolle des Administrators oder eine benutzerdefinierte Rolle mit einer benutzerdefinierten Richtlinie zugewiesen werden die die Aktion Bearbeiten in der Datenbankressource zul sst Eine Eingabeaufforderung ist ein besonderer Typ von Abfrage durch die Ergebnisse basierend auf dem eingegebenen Wert und den ausgew hlten CEG Feldern angezeigt werden Es werden nur Zeilen f r Ereignisse zur ckgegeben bei denen der eingegebene Wert in mindestens einem der ausgew hlten CEG Felder angezeigt wird ELM Schemadefinition CEG EPHI Berichte Die ELM Schemadefinition ist das Schema das ein Standardformat enth lt in das CA Enterprise Log Manager Ereignisse mithilfe von Analysen und Zuordnungen konvertiert werden bevor diese im Ereignisprotokollspeicher gespeichert werden CEG verwendet allgemeine normalisierte Felder um die Sicherheitsereignisse von verschiedenen Plattformen und Produkten zu definieren Ereignisse die nicht analysiert oder zugeordnet werden k nnen werden als Rohereignisse gespeichert Die EPHI Berichte sind Berichte die sich auf die HIPAA Sicherheit beziehen wobei EPHI f r Electronic Protected Health Information Elektronisch gesch tzte Gesundheitsinformationen steht Mit diesen Berichten k nnen Sie einfach demonstrieren dass alle einzeln feststellbaren Gesundheitsinformationen der Patienten die elektronisch erstellt verwaltet oder bertragen werden auc
9. r CA Enterprise Log Manager ist Glossary 99 Ordner Pflichtrichtlinie pozFolder Profil Protokoll Protokollanalyse Ein Ordner ist ein Verzeichnispfad Speicherort an dem der CA Enterprise Log Manager Management Server die CA Enterprise Log Manager Objekttypen speichert Sie sollten Ordner in Richtlinien zur Bereichsdefinierung referenzieren um Benutzern die Berechtigung zum Zugriff auf einen bestimmten Objekttyp zu erteilen oder zu verweigern Eine Pflichtrichtlinie ist eine Richtlinie die beim Erstellen eines Zugriffsfilters automatisch erstellt wird Sie sollten nicht versuchen eine Pflichtrichtlinie direkt zu erstellen zu bearbeiten oder zu l schen Erstellen bearbeiten oder l schen Sie stattdessen den Zugriffsfilter Der pozFolder ist ein Attribut des Anwendungsobjekts wobei der Wert dem bergeordneten Pfad des Anwendungsobjekt entspricht Attribut und Wert von pozFolder werden in Filtern f r Zugriffsrichtlinien verwendet die den Zugriff auf Ressourcen wie Berichte Abfragen und Konfigurationen einschr nken Ein Profil ist ein optionaler konfigurierbarer Satz von Kennungs und Datenfiltern die produktspezifisch technologiespezifisch oder auf eine ausgew hlte Kategorie beschr nkt sind Ein Kennungsfilter f r ein Produkt beschr nkt beispielsweise die gelisteten Kennungen auf die ausgew hlte Produktkennung Datenfilter f r ein Produkt zeigen in den von Ihnen generierten Berichten den von Ihnen geplante
10. r den WMI Server WMI Servername Benutzername Kennwort Dom ne Namespace Ereignisprotokollname Ankerfrequenz aktualisieren USEROO1LAB useri katad d 523 520 22 220 2 ca com root cimy2 NT 100 10 Optional Konfigurieren Sie mit demselben Connector einen WMI Sensor f r einen anderen Computer f r die Protokollerfassung ohne Agent a Klicken Sie auf die Schaltfl che bergeordneten Knoten wiederholen Die folgende Abbildung zeigt eine Konfiguration mit zwei WMI Quellen Sensorkonfiguration WMI Quellen WMI Quellen u bergeordneten Knoten wiederholen Kapitel 3 Bereitstellung von Windows Agents 47 Erstellen eines Connectors basierend auf NTEventLog 48 bersichtshandbuch 11 12 13 b Konfigurieren Sie die WMiLogSensor Einstellungen f r einen anderen Computer Das folgende Beispiel zeigt eine Konfiguration f r einen zweiten WMI Protokollsensor in derselben Dom ne und mit denselben Administrator Anmeldeinformationen WMI Servername USEROOLXP Benutzername user00i Kennwort Dom ne ca com Namespace rootcimv2 Ereignisprotokollname NT Ankerfrequenz aktualisieren 100 Klicken Sie auf Speichern und Schlie en Um den Status des Connectors anzuzeigen den Sie konfiguriert haben gehen Sie folgenderma en vor a W hlen Sie im linken Fensterbereich den Agent aus b Klicken Sie auf Status und Bef
11. rige Kennwort ein Oder Sie geben EiamAdmin den Standardnamen des Superusers und das zugeh rige Kennwort ein 106 bersichtshandbuch Verfeinertes Ereignis Verf gbarmachung Vernetzte F deration Ein verfeinertes Ereignis sind zugeordnete oder verfeinerte Ereignisdaten die von einem Rohereignis oder von zusammengefassten Ereignissen stammen CA Enterprise Log Manager f hrt die Zuordnung und Analyse aus damit die gespeicherten Informationen durchsucht werden k nnen Die Verf gbarmachung bezeichnet die Status nderung einer Datenbank von kalt in verf gbar gemacht Der Prozess wird von CA Enterprise Log Manager durchgef hrt wenn dieser vom Hilfsprogramm LMArchive benachrichtigt wird dass eine bekannte kalte Datenbank wiederhergestellt wurde Wenn die kalte Datenbank nicht auf ihrem urspr nglichen CA Enterprise Log Manager wiederhergestellt wird das Hilfsprogramm LMArchive nicht verwendet wird und eine Verf gbarmachung nicht erforderlich ist wird die wiederhergestellte Datenbank bei der Neukatalogisierung als warme Datenbank hinzugef gt Eine Vernetzte F deration von CA Enterprise Log Manager Servern ist eine Topologie die eine gleichartige Beziehung zwischen Servern einrichtet In seiner einfachsten Form ist dies der Fall wenn Server 2 ein untergeordneter Server von Server 1 ist und umgekehrt Ein vernetztes Paar von Servern hat eine Beziehung die in beide Richtungen geht Eine vernetzte F deration kann so
12. Cursor ber den Feldnamen halten IN Offline Proxy f r automatische Software Updates Ist dieser Rechner ein Proxy Server f r automatische Software Updates ohne Internetzugang Zeigen Sie Beschreibungen f r Berichte an indem Sie den Cursor ber den Berichtnamen halten BEFABEUNGEUBATWST TUNG nach Protokollmanager Y Automatische Aktualisierung Fl bersicht F A T Beschreibung Erstellt eine bersicht ber die vollst ndige Protokollerfassung gruppiert nach 1 Protokollmanager ordnet Aktivit ten nach den aktivsten ca elm 932 44 Protokollmanager Agenten den am h ufigsten verwendeten Hostnamen und Protokollnamen listet die durchschhnittliche CPU Verwendung und Datentr gerverwendung in Prozentangaben sowie die Connectoren auf die nur in der letzten Stunde nicht aktiv waren liefert Trendanalysen Protok Iyezuv 0 00 Uhrzeit Version 12 1 5011 0 Zn Kennungen System CA Access Control CA Identity Manager CA SiteMinder Letzte Aktualisierung des Berichts Wed Nov 11 a 2009 09 55 53 AM Lokale Zeitzone AmericaNew_YorkProfilfilter ooo 200 400 600 Anzahl yusdy liche Datentr geru Zn Giobate Fitter Last 6 hours From Wed Nov 11 2009 03 55 53 AM ca el To Wed Nov 11 2009 09 55 53 AM 5 935633802t Protc Links neben einigen Feldern wird ein orangefarbener Punkt angezeigt Felder mit diesem Punkt m ssen ausgef llt werden Eine zu speichernde Konfiguration kann
13. Datenzuordnungsdatei ndern und diese auf einen angegebenen Connector anwenden Eine Delegierungsrichtlinie ist eine Zugriffsrichtlinie mit der ein Benutzer seine Rechte auf einen anderen Benutzer eine andere Anwendungsgruppe eine andere globale oder dynamische Gruppe bertragen kann Delegierungsrichtlinien die von einem gel schten oder deaktivierten Benutzer erstellt wurden m ssen explizit gel scht werden Direkte Protokollerfassung Direkte Protokollerfassung bezeichnet die Protokollerfassungsmethode bei der es keinen unmittelbaren Agenten zwischen Ereignisquelle und der CA Enterprise Log Manager Software gibt Dynamische Benutzergruppe 88 bersichtshandbuch Eine dynamische Benutzergruppe setzt sich aus globalen Benutzern zusammen die ein oder mehrere Attribute gemeinsam haben Eine dynamische Benutzergruppe wird ber eine spezielle Richtlinie f r dynamische Benutzergruppen erstellt wobei der Ressourcenname der Name der dynamischen Benutzergruppe ist und die Mitgliedschaft auf einer Gruppe von Filtern basiert die anhand von Benutzer und Gruppenattributen erstellt wird EEM Benutzer Eingabeaufforderung Der EEM Benutzer der im Auto Archivierungsbereich des Ereignisprotokollspeichers konfiguriert wird gibt den Benutzer an der eine Archivabfrage durchf hren die Archivdatenbank neu katalogisieren das Hilfsprogramm LMArchive und das Shellskript restore ca elm zur Wiederherstellung von Archivdatenbanken zur Pr
14. Manager Server kann so eingerichtet werden dass er Protokolle mit einer oder mehreren unterst tzten Techniken erfasst Die Techniken unterscheiden sich durch Typ und Speicherort der Komponente die die Protokolle abh rt und erfasst Diese Komponenten werden auf Agents konfiguriert Die folgende Abbildung zeigt ein Single Server System auf dem der Ort der Agents mit einem dunklen gr nen Kreis dargestellt wird ISE ta t T i Direkte ganiantasna Frotokollerfassung Protokollerfassung Protokollerfassung ohne Agent ber den Standardagenten Protokollerfassung Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Konfigurieren Sie den Standardagent auf CA Enterprise Log Manager um Ereignisse direkt von den angegebenen Syslog Quellen abzurufen 2 Konfigurieren Sie den Agent der auf einem Windows Sammelpunkt installiert wurde um Ereignisse von angegebenen Windows Servern zu erfassen und an CA Enterprise Log Manager zu senden 3 Konfigurieren Sie Agents die auf Hosts installiert wurden auf denen Ereignisquellen ausgef hrt werden um den konfigurierten Ereignistyp zu erfassen und eine Unterdr ckung durchzuf hren Hinweis Datenverkehr vom Agent zum Ziel CA Enterprise Log Manager Server wird immer verschl sselt Kapitel 4 Hauptfunktionen 55 Protokollerfassung 56 bersichtshandbuch Die einzelnen Protokollerfassungstechniken haben folgende Vorteile Direkte Protokollerfassung Bei der d
15. Sie sicher dass der Zertifikatstatus OK lautet f Klicken Sie auf OK und anschlie end auf Ja Die Anmeldeseite wird angezeigt Konfigurieren des ersten Administrators 3 Melden Sie sich mit dem Benutzernamen EiamAdmin und dem Kennwort an das Sie bei der Installation der Software verwendet haben Klicken Sie auf Anmelden CA Enterprise Log Manager W Eingabehilfen aktivieren W Meine Einstellungen speichern ca Copyright 2009 CA Alle Rechte vorbehalten Die Anwendung wird mit der Administrator Registerkarte und aktiver Unterregisterkarte f r die Benutzer und Zugriffsverwaltung ge ffnet 4 Klicken Sie auf Benutzer EN Benutzer 5 Klicken Sie auf Neuen Benutzer hinzuf gen Benutzer Verwenden Sie die obige Option Benutzer suchen um eine Liste vorhandener Benutzer anzuzeigen A Benutzer 6 Geben Sie Ihren Namen in das Feld Name ein und klicken Sie auf Anwendungsbenutzerdetails hinzuf gen Neuer Benutzer Speichern Schlie en Ordner Name I ca elm Benutzerdetails Giobaler Benutzer Details Kapitel 2 Schnellstartbereitstellung 25 Konfigurieren des ersten Administrators 7 10 11 26 bersichtshandbuch W hlen Sie Administrator und verschieben Sie ihn in die Liste Ausgew hlte Benutzergruppen Anwendungsgruppenmitgliedschaft Yerf gbare Benutzergruppen Ausgew hlte Benutzergruppen JAdministrator Anal
16. Unterregisterkarte Protokollerfassung und die Option Archivkatalogabfrage starten Archivierte Datenbanken Archivkatalog Die archivierten Datenbanken auf einem bestimmten CA Enterprise Log Manager Server umfassen alle warmen Datenbanken die f r die Abfrage zur Verf gung stehen jedoch manuell gesichert werden m ssen bevor sie ablaufen alle kalten Datenbanken die als gesichert erfasst wurden und alle Datenbanken die als von einer Datensicherung wiederhergestellt erfasst wurden Siehe Katalog Assistent f r Analysedateien 80 bersichtshandbuch Der Assistent f r Analysedateien ist eine CA Enterprise Log Manager Funktion mit der Administratoren XMP Dateien eXtensible Message Parsing die auf dem CA Enterprise Log Manager Verwaltungsserver gespeichert werden erstellen bearbeiten und analysieren k nnen Die Anpassung der Analyse eingehender Ereignisdaten umfasst auch die Bearbeitung vorabgestimmter Zeichenfolgen und Filter Neue und bearbeitete Dateien werden im Protokollerfassung Explorer in der Ereignisverfeinerungsbibliothek in den Analysedateien und im Benutzerordner angezeigt Audit Datens tze Audit Datens tze enthalten Sicherheitsereignisse wie Authentifizierungsversuche Dateizugriffe und nderungen an Sicherheitsrichtlinien Benutzerkonten und Benutzerrechten Administratoren geben an welche Ereignistypen auditiert und welche protokolliert werden sollten Auditorenrolle Die Auditorenrolle gew hrt d
17. aus Gr nden der Redundanz Prozess mit dynamischen Werten Remote Ereignis Ein Prozess mit dynamischen Werten ist ein CA IT PAM Prozess den Sie aufrufen um die Werteliste f r einen in Berichten oder Alarmen verwendeten ausgew hlten Schl ssel aufzuf llen oder zu aktualisieren Sie stellen den Pfad zum Prozess mit dynamischen Werten als Teil der IT PAM Konfiguration f r die Service Liste des Berichtsservers auf der Registerkarte Verwaltung bereit Im Abschnitt Werte der mit den Schl sselwerten auf derselben Seite der Benutzeroberfl che verkn pft ist klicken Sie auf Liste der dynamischen Werte importieren Das Aufrufen des Prozesses mit dynamischen Werten ist eine von drei M glichkeiten wie Sie den Schl sseln Werte hinzuf gen k nnen Ein Remote Ereignis ist ein Ereignis das zwei verschiedene Hostrechner umfasst die Quelle und das Ziel Ein Remote Ereignis entspricht Typ 2 der vier Ereignistypen die in der ELM Schemadefinition CEG verwendet werden Remote Speicher Server Ein Remote Speicher Server ist eine Rolle die einem Server zugewiesen wird der automatisch archivierte Datenbanken von einem oder mehreren Berichtsservern empf ngt In einem Remote Speicher Server k nnen kalte Datenbanken f r die ben tigte Anzahl an Jahren gespeichert werden Auf dem Remote Host der zum Speichern verwendet wird sind normalerweise kein CA Enterprise Log Manager oder andere Produkte installiert Konfigurieren Sie f r die Auto
18. k nnen F derationsserver sind CA Enterprise Log Manager Server die in einem Netzwerk miteinander verbunden sind um die erfassten Protokolldaten zu verteilen aber um die erfassten Daten f r die Berichterstellung zu aggregieren F derationsserver k nnen hierarchisch oder ber eine vernetzte Topologie verbunden werden Berichte von f derierten Daten umfassen Daten vom Zielserver sowie Daten von Unter oder Gleichordnungen dieses Servers sofern vorhanden Funktionszuordnungen sind ein optionaler Teil der Datenzuordnungsdatei f r eine Produktintegration Mit einer Funktionszuordnung kann ein CEG Feld gef llt werden wenn der ben tigte Wert nicht direkt vom Quellereignis abgerufen werden kann Alle Funktionszuordnungen bestehen aus dem Namen des CEG Feldes einem vordefinierten oder Klassenfeldwert und der Funktion mit der der Wert abgerufen oder berechnet wird Gespeicherte Konfiguration 92 bersichtshandbuch Eine gespeicherte Konfiguration ist eine gespeicherte Konfiguration mit den Werten f r die Datenzugriffsattribute einer Integration die als Vorlage bei der Erstellung einer neuen Integration verwendet werden kann Globale Gruppe Globale Konfiguration Globale Ressource Globaler Benutzer Globaler Filter Eine globale Gruppe ist eine Gruppe die von mehreren Anwendungsinstanzen gemeinsam verwendet wird die im selben CA Enterprise Log Manager Management Server registriert sind Jeder Benutzer kann einer oder meh
19. m ccl am m Das Fenster Globale Filter und Einstellungen mit einer Hilfe Schaltfl che wird ge ffnet Globale Filter und Einstellungen nn w w w G Globale Filter sind berall in der Anwendung wirksam und werden bei der Ansicht verschiedener Berichte aufrechterhalten Schnellfilter Erweiterte Filter Einstellungen en G Ereignisse f r diese Abfrage filtern indem ein Datum und bereinstimmungsmuster ausgew hlt wird Zeitraum Letzte 6 Stunden v Ca von Dienstag 10 November 2009 21 12 32 Ca bis Mittwoch 11 November 2009 03 12 32 LC bereinstimmung Filter hinzuf gen L Als Standard festlegen Alle l schen Speichern Abbrechen Hilfe R b Klicken Sie auf die Schaltfl che Hilfe In einem zweiten Fenster wird die Online Hilfe f r den Vorgang ge ffnet den Sie auf der aktuellen Seite im aktuellen Bereich oder im Dialogfeld durchf hren k nnen Inhaltsverzeichnis Index Suchen Globale und lokale Filter gt Erstellen von globalen Filtern 3 g Erstellen von globalen Filtern e CA Enterprise Log Manager r12 1 Sie k nnen globale Filter erstellen Mit globalen Filtern k nner Rechtliche Hinweise anwendungsweite Abfrageeinstellungen lassen sich in der Ot CA Produktreferenzen e Technischer Support So erstellen Sie einen globalen Filter F derationsstruktur 3 Glob Abfrageeinstellungen Kontaktinformationen 1 Klicken Sie o
20. mit E Mail Anhang Richtlinien zur automatischen Berichtsaufbewahrung Hinweis Weitere Informationen zu vordefinierten Abfragen und Berichten oder zur eigenen Erstellung finden Sie im CA Enterprise Log Manager Verwaltungshandbuch Kapitel 4 Hauptfunktionen 61 Alarm bei Verletzung von Richtlinien Alarm bei Verletzung von Richtlinien 62 bersichtshandbuch Mit CA Enterprise Log Manager k nnen Sie bei Ereignissen die ein zeitnahes Eingreifen erfordern das Versenden von Alarmen automatisieren Sie k nnen Aktionsalarme auch jederzeit ber CA Enterprise Log Manager berwachen indem Sie ein Intervall festlegen das einen beliebigen Zeitraum von die letzten f nf Minuten bis die letzten drei ig Tage umfassen kann Alarme werden auch automatisch an ein RSS Feed gesendet auf das ber einen Webbrowser zugegriffen werden kann Optional k nnen Sie auch andere Ziele angeben u a E Mail Adressen einen CA IT PAM Prozess der beispielsweise Help Desk Tickets erstellt oder eine oder mehrere SNMP Trap IP Zieladressen Um Ihnen den Einstieg zu erleichtern sind verschiedene vordefinierte Abfragen f r die Planung von Aktionsalarmen verf gbar Beispiele m berm ige Benutzeraktivit t Hohe durchschnittliche CPU Auslastung m Geringer freier Speicherplatz Sicherheitsereignisprotokoll in den letzten 24 Stunden gel scht m Windows berwachungsrichtlinie in den letzten 24 Stunden ge ndert Einige Abfragen verwenden Schl sse
21. 0 bersichtshandbuch Beispiel Alternative Quelle f r Connector Handb cher Support Online Sie k nnen ein ausgew hltes Connector Handbuch ber die CA Enterprise Log Manager Benutzeroberfl che oder ber den CA Support Online ffnen Das folgende Beispiel zeigt wie Sie ein Connector Handbuch ber die alternative Quelle ffnen 1 2 Melden Sie sich bei CA Support Online an W hlen Sie im Dropdown Listenfeld Produkt ausw hlen den CA Enterprise Log Manager Bl ttern Sie zum Produktstatus und w hlen Sie CA Enterprise Log Manager Certification Matrix W hlen Sie die Produktintegrationsmatrix Suchen Sie die Kategorie f r die Integration die mit der Ereignisquelle verkn pft ist die Sie konfigurieren Wenn es sich bei der Ereignisquelle beispielsweise um das AIX Betriebssystem handelt gehen Sie zur Kategorie Betriebssystem und klicken Sie auf die AIX Verkn pfung Produkt Version Log Sensor Betriebssysteme AIX 5 1 syslog 5 2 5 3 Bearbeiten des Syslog Connectors Bearbeiten des Syslog Connectors Jeder CA Enterprise Log Manager verf gt ber einen Standardagent Wenn CA Enterprise Log Manager installiert wurde verf gt der Standardagent ber einen teilweise konfigurierten Connector mit Namen Syslog_Connector der auf dem Listener Syslog basiert Der Listener empf ngt Syslog Rohereignisse auf den Standard Ports sobald Sie die Ereignisquellen konfiguriert haben die Syslogs an CA Enterprise Log Ma
22. 009 18 29 song11 song11 ca elm CALM System Access Login Attempt S Informationen Donnerstag 12 November 2009 18 23 liuyue liuyue ca elm CALM System Access Login Attempt s Informationen Donnerstag 12 November 2009 18 15 miao miao ca elm CALM System Access Login Attempt s Informationen Donnerstag 12 November 2009 18 09 admin admin ca elm CALM System Access Login Attempt s Konfigurieren von Syslog Ereignisquellen Um die direkte Erfassung von Syslog Ereignissen durch den Standardagent zu erm glichen der auf jedem CA Enterprise Log Manager Server existiert m ssen Sie zun chst die Syslog Ereignisquellen definieren ber die Sie Ereignisse erfassen m chten und die damit verbundene Integration festlegen Anschlie end f hren Sie die beiden folgenden Schritte in beliebiger Reihenfolge durch m Konfigurieren Sie die Syslog Ereignisquellen Melden Sie sich bei den Hosts an auf denen eine Syslog Ereignisquelle ausgef hrt wird und konfigurieren Sie sie wie im Connector Handbuch f r diese Syslog Integration beschrieben Konfigurieren Sie den Syslog Connector auf dem Standardagent um Ziel Syslog Integrationen hinzuzuf gen die mit den konfigurierten Ereignisquellen verkn pft sind Sobald Sie diese beiden Konfigurationsschritte abgeschlossen haben beginnt die Erfassung und Verfeinerung der Ereignisse Dann k nnen Sie CA Enterprise Log Manager verwenden um im Standardformat f r Sie wichtige Ere
23. 09 Index A Agenteninstallation Manuell f r Windows 42 Archivieren Definition 57 Benutzerkontoberechtigungen f r Agenten Eingerichtet f r Windows 38 Benutzerrollen Definition 65 Bin rdateien des Agenten Herunterladen f r Windows Systeme 41 C CA Embedded Entitlements Manager Definition 63 CA Enterprise Log Manager Benutzerrollen 65 Installation 12 Komponenten 12 Online Hilfe 71 Quicklnfo 69 Connectors Konfigurieren 45 D Datenzuordnung Definition 59 E Eingabeaufforderungen Protokolle aus Windows Ereignisquellen anzeigen 50 Syslog Ereignisse anzeigen 35 ELM Schemadefinition CEG Definition 59 K Klicken Sie auf 40 N Nachrichtenanalyse Definition 59 P Protokollerfassung Definition 54 Protokollspeicherung Definition 57 Q QuickInfo Verwenden 69 5 Standardagent Syslog Connector konfigurieren 31 Syslog Ereignisse anzeigen 35 T Testumgebung Installationsgegenstand 12 V Verwalten von automatischen Software Updates Definition 66 Prozessbeschreibung 66 Index 111
24. Abfragen durchf hren Das Verschieben kalter Datenbanken zu einem bestimmten Wiederherstellungspunkt Server ist eine alternative Methode dazu sie aus Untersuchungsgr nden zur ck zum urspr nglichen Server zu verschieben XMP Dateianalyse ist der Prozess der vom Nachrichtenanalyse Hilfsprogramm durchgef hrt wird um alle Ereignisse zu suchen die jede vorabgestimmte Zeichenfolge enthalten und um bei einem bereinstimmendem Ereignis das Ereignis mit dem ersten gefundenen Filter der dieselbe vorabgestimmte Zeichenfolge verwendet in Tokens zu analysieren Die vordefinierten Zertifikate die von CA Enterprise Log Manager verwendet werden sind CAELMCert cer und CAELM_AgentCert cer Alle CA Enterprise Log Manager Services verwenden CAELMCert cer um mit dem Verwaltungsserver zu kommunizieren Alle Agenten verwenden CAELM_AgentCert cer um mit ihrem Sammelserver zu kommunizieren Ein Zugriffsfilter kann vom Administrator festgelegt werden um zu steuern welche Ereignisdaten Benutzer oder Gruppen ohne Administratorrechte anzeigen k nnen So kann ein Zugriffsfilter beispielsweise den Datenumfang in Berichten einschr nken der von bestimmten Identit ten eingesehen werden kann Zugriffsfilter werden automatisch in Pflichtrichtlinien konvertiert Eine Zugriffsrichtlinie ist eine Regel die einer Identit t Benutzer oder Benutzergruppe Zugriffsrechte auf eine Anwendungsressource gew hrt oder verweigert CA Enterprise Log Manager bestimmt anhan
25. Archivierung eine nicht interaktive Authentifizierung Richtlinie zur Bereichsdefinierung Rohereignis Eine Richtlinie zur Bereichsdefinierung ist ein Typ einer Zugriffsrichtlinie die den Zugriff auf Ressourcen die auf dem Management Server gespeichert sind wie z B Anwendungsobjekte Benutzer Gruppen Ordner und Richtlinien gew hrt oder verweigert Mit der Richtlinie zur Bereichsdefinierung werden die Identit ten festgelegt die auf die angegebenen Ressourcen zugreifen d rfen Ein Rohereignis stellt die Informationen dar die von einem nativen Ereignis ausgel st werden das von einem berwachungsagenten zum Protokollmanager Collector gesendet wird Das Rohereignis wird h ufig als Syslog Zeichenfolge oder als Namenswertpaare formatiert Es ist m glich ein Ereignis in seiner Rohform in CA Enterprise Log Manager anzuzeigen Glossary 103 RSS Ereignis Ein RSS Ereignis ist ein Ereignis das von CA Enterprise Log Manager generiert wird um einen Aktionsalarm an Drittanbieterprodukte und benutzer zu leiten Das Ereignis besteht aus einer Zusammenfassung aller Aktionsalarmergebnisse und einem Link zur Ergebnisdatei Die Dauer eines bestimmten RSS Feed Elements ist konfigurierbar RSS Feed URL f r Aktionsalarme Die RSS Feed URL f r Aktionsalarme lautet https elmhostname 5250 spin calm getActionQueryRssFeeds csp Von dieser URL k nnen Sie das maximale Alter sowie die maximale Menge f r Aktionsalarme anzeigen die zu die
26. Bericht Berichtsbibliothek Berichtsserver Berichtsserver Ein beobachtetes Ereignis ist ein Ereignis das eine Quelle ein Ziel und einen Agenten umfasst wobei das Ereignis von einem Ereigniserfassungsagenten beobachtet und erfasst wird Ein Bericht ist eine grafische oder tabellarische Darstellung von Ereignisprotokolldaten die beim Ausf hren von vordefinierten oder benutzerdefinierten Abfragen mit Filtern erstellt wird Die Daten k nnen aus hei en warmen und verf gbar gemachten Datenbanken im Ereignisprotokollspeicher des ausgew hlten Servers und sofern angefordert der zugeh rigen f derierten Server stammen Die Berichtsbibliothek ist der Speicher f r alle vordefinierten und benutzerdefinierten Berichte Berichtskennungen und geplanten Berichtsjobs Der Berichtsserver ist der Service der folgenden Konfigurationsinformationen speichert den beim Mailen von Alarmen zu verwendenden E Mail Server die Anzeige von Berichten die im PDF Format gespeichert werden und die Beibehaltung von Richtlinien f r Berichte die auf dem Berichtsserver gespeichert werden sowie von Alarmen die an den RSS Feed gesendet werden Ein Berichtsserver ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt wird Ein Berichtsserver empf ngt automatisch archivierte warme Datenbanken von einem oder mehreren Erfassungsservern Ein Berichtsserver verwaltet Abfragen Berichte geplante Alarme und geplante Berichte CA Enterpris
27. C ca Bookshelf Home CA Enterprise Log Manager r12 1 Welcome to the CA Enterprise Log Manager r12 1 bookshelf Please select one of the categories below to view the documentation available on this bookshelf All Documentation Si Select a book title to view the documentation Administration Guide HTML PDF Agent Installation Guide HTML PDF API Programming Guide HTML PDF Examples HTML Implementation Guide HTML PDF Overview Guide HTML PDF Release Notes HTML PDF Select a book title to view the documentation CA EEM Getting Started HTML PDF CA EEM Release Notes HTML PDF Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager 73 berblick ber das Bookshelf mit Dokumentation Komponente Agent Installationshandbuch Implementierungshandbu ch Administrationshandbuch API Programmierhandbuch Beispiele 74 bersichtshandbuch Eine Beschreibung des Inhalts der wichtigsten Handb cher und Beispiele folgen Inhalt Installieren der Agents Installieren und Konfigurieren eines CA Enterprise Log Manager Systems Anpassen der Konfiguration Durchf hren von routinem igen Verwaltungsaufgaben und Arbeiten mit Abfragen Berichten und Alarmen Mit der API k nnen Sie Ereignisdaten in einem Web Browser anzeigen oder Berichte in ein anderes CA Produkt oder ein Produkt eines Drittanbieters einbetten L sen allgemeiner unternehmensbezogener Probleme mit Verkn pfungen zu Kapiteln in der D
28. CA Enterprise Log Manager bersichtshandbuch r12 1 SP2 technologies Diese Dokumentation und die dazugeh rigen Software Hilfeprogramme nachfolgend als die Dokumentation bezeichnet dienen ausschlie lich zu Informationszwecken des Nutzers und k nnen jederzeit durch CA ge ndert oder zur ckgenommen werden Diese Dokumentation darf ohne vorherige schriftliche Genehmigung von CA weder vollst ndig noch auszugsweise kopiert bertragen vervielf ltigt ver ffentlicht ge ndert oder dupliziert werden Diese Dokumentation ist vertraulich und geistiges Eigentum von CA und darf vom Benutzer weder ver ffentlicht noch zu anderen Zwecken verwendet werden als solchen die in einem separaten Vertraulichkeitsabkommen zwischen dem Nutzer und CA erlaubt sind Ungeachtet der oben genannten Bestimmungen ist der Nutzer der ber eine Lizenz verf gt berechtigt eine angemessene Anzahl an Kopien dieser Dokumentation zum eigenen Gebrauch f r sich und seine Angestellten im Zusammenhang mit der betreffenden Software auszudrucken vorausgesetzt dass jedes kopierte Exemplar diesen Urheberrechtsvermerk und sonstige Hinweise von CA enth lt Das Recht zum Anfertigen einer Kopie der Dokumentation beschr nkt sich auf den Zeitraum der vollen Wirksamkeit der Produktlizenz Sollte die Lizenz aus irgendeinem Grund enden best tigt der Nutzer gegen ber CA schriftlich dass alle Kopien oder Teilkopien der Dokumentation an CA zur ckgegeben oder vernichtet word
29. Ereignisspeicherung statt Ereignisverfeinerungs Bibliothek Die Ereignisverfeinerungs Bibliothek ist der Speicher f r vordefinierte und benutzerdefinierte Integrationen f r Zuordnungs und Analysedateien sowie f r Unterdr ckungs und Zusammenfassungsregeln Glossary 91 Ereignisweiterleitungsregeln Erfassungspunkt Erfassungsserver Filter F derationsserver Funktionszuordnungen Ereignisweiterleitungsregeln geben an dass ausgew hlte Ereignisse nach der Speicherung im Ereignisprotokoll Speicher an Produkte anderer Hersteller weitergeleitet werden sollen beispielsweise an Produkte zur Korrelation von Ereignissen Ein Erfassungspunkt ist ein Server auf dem ein Agent installiert ist und bei dem sich der Server in unmittelbarer Netzwerkn he zu allen Servern mit Ereignisquellen befindet die mit den Connectors des Agenten verkn pft sind Ein Erfassungsserver ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt wird Ein Erfassungsserver verfeinert eingehende Ereignisprotokolle f gt sie in die hei e Datenbank ein komprimiert die hei e Datenbank und archiviert oder kopiert sie automatisch auf den entsprechenden Berichtsserver Der Erfassungsserver komprimiert die hei e Datenbank sobald diese die konfigurierte Gr e erreicht hat und archiviert sie automatisch entsprechend dem konfigurierten Plan Ein Filter ist ein Mittel mit dem Sie eine Abfrage f r den Ereignisprotokollspeicher eingrenzen
30. Wertepaare die aus CEG Feldern und Werten aus dem Rohereignis bestehen So werden unterschiedliche Labels aus Rohelementen f r dasselbe Datenobjekt oder Netzwerkelement bei der Verfeinerung von Rohereignissen in denselben CEG Feldnamen umgewandelt CEG Felder werden in der MIB der SNMP Traps bestimmten OIDs zugeordnet Glossary 85 Client f r automatische Software Updates Ein Client f r automatische Software Updates ist ein CA Enterprise Log Manager Server der Inhaltsaktualisierungen von einem anderen CA Enterprise Log Manager Server erh lt der als Proxy Server f r automatische Software Updates bezeichnet wird Clients f r automatische Software Updates fragen den konfigurierten Proxy Server in regelm igen Abst nden ab und rufen neue Aktualisierungen bei Verf gbarkeit ab Nach dem Abrufen der Aktualisierungen installiert der Client die heruntergeladenen Komponenten Computersicherheitsprotokoll Verwaltung Connector Die Computersicherheitsprotokoll Verwaltung wird durch NIST als der Prozess zum Generieren bertragen Speichern Analysieren und Entsorgen von Computersicherheitsprotokoll Daten definiert Ein Connector ist eine Integration f r eine bestimmte Ereignisquelle die in einem bestimmten Agenten konfiguriert wurde Ein Agent kann mehrere Connectors hnlicher oder verschiedener Typen in den Speicher laden Der Connector erm glicht die Erfassung von Rohereignissen von einer Ereignisquelle und die regelbasierte
31. agent ist der integrierte Agent der mit dem CA Enterprise Log Manager Server installiert wird Er kann f r die direkte Erfassung von Syslog Ereignissen sowie von Ereignissen von verschiedenen Nicht Syslog Ereignisquellen wie CA Access Control r12 SP1 Microsoft Active Directory Zertifikatdiensten und Oracle9i Datenbanken konfiguriert werden Unterdr ckung ist der Prozess in dem Ereignisse auf der Basis von CEG Filtern verworfen werden Die Unterdr ckung wird durch eine SUP Datei gesteuert Unterdr ckungsregeln sind Regeln die Sie konfigurieren um zu verhindern dass bestimmte verfeinerte Ereignisse in Ihren Berichten angezeigt werden Sie k nnen permanente Unterdr ckungsregeln erstellen um nicht sicherheitsrelevante Routineereignisse zu unterdr cken Sie k nnen aber auch tempor re Regeln erstellen um die Protokollierung geplanter Ereignisse wie die Erstellung vieler neuer Benutzer zu unterdr cken URL f r CA Embedded Entitlements Manager Die URL f r CA Embedded Entitlements Manager CA EEM lautet https lt ip_address gt 5250 spin eiam Um sich anzumelden w hlen Sie CAELM als die Anwendung und geben das Kennwort ein das mit dem Benutzernamen EiamAdmin verkn pft ist URL f r CA Enterprise Log Manager Die URL f r CA Enterprise Log Manager lautet https lt ip_address gt 5250 spin calm Um sich anzumelden geben Sie den Benutzernamen der vom Administrator f r dieses Konto definiert wurde sowie den zugeh
32. andene Thema ist aktualisiert worden und nimmt Bezug auf das neue API Programmierungshandbuch das nun im CA Enterprise Log Manager Bookshelf zur Verf gung steht Weitere Informationen berblick ber den Schnellstart siehe Seite 15 Alarm bei Verletzung von Richtlinien siehe Seite 62 berblick ber das Bookshelf mit Dokumentation siehe Seite 73 Inhalt Kapitel 1 Einf hrung 9 ber dieses Handbuch 2 2555s2 3222er 9 lnie EEEE E A EEE 10 Ihr Netzwerk vor der Installation 2222 22ssseeeeseseeeseeeneeeeeeneeneeeneeen 11 Install tionsumfane u u u0 000 ee ee ee 12 Kapitel 2 Schnellstartbereitstellung 15 berblick ber den Schnellstart 2 seunas euni rorun u raeur rreri rrrrrrrrrrnn 15 Installation eines Single Server Systems nonannanna nnana rnan n arnar r arrar r arrar a rnrn 16 Aktualisieren der Windows Hostdatei aanan nannan annen arrana rnaen arrana rnanan 23 Konfigurieren des ersten Administrators 22 222222eeeeeeeeeeeeeeeseeeennseeeeeennneeneen 23 Konfigurieren von Syslog Ereignisquellen 22cceceeeeeeeeeeeseenenneeeeeenenneneeen 27 Bearbeiten des Syslog Connectors 222222ceeeeeeeeeeeeeeeeeeneeeeeeeeeeeeeeeeeeeeeeeeennn 31 Anzeigen von Syslog Ereignissen 2222oseeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeenn 35 Kapitel 3 Bereitstellung von Windows Agents 37 Erstellen eines Benutzerkontos f r den Agent 2cccceeeeeeeesennnennennennennenn
33. as Connector Handbuch f r das NT Ereignisprotokoll Sicherheit Anwendung System wird ge ffnet Minimieren Sie die Benutzeroberfl che von CA Enterprise Log Manager und befolgen Sie die Anweisungen im Connector Handbuch um lokale Richtlinien einer Ereignisquelle auf einem Windows Betriebssystem zu bearbeiten Hinweis Wenn es sich bei Ihrem System um Windows Server 2003 handelt w hlen Sie in der Systemsteuerung die Optionen Verwaltung Lokale Sicherheitsrichtlinie und erweitern Sie anschlie end die lokalen Sicherheitsrichtlinien Optional Wenn Sie einen WMI Sensor f r einen zweiten WMI Server konfiguriert haben bearbeiten Sie auch die lokalen Richtlinien dieses Servers Maximieren Sie CA Enterprise Log Manager Kapitel 3 Bereitstellung von Windows Agents 49 Anzeigen von Protokollen der Windows Ereignisquellen Anzeigen von Protokollen der Windows Ereignisquellen 50 bersichtshandbuch Eine der schnellsten M glichkeiten Abfrageergebnisse f r eingehende Ereignisse anzuzeigen ist die Verwendung der Eingabeaufforderung f r den Host Sie k nnen auch Abfragen oder Berichte ausw hlen So zeigen Sie eingehende Ereignisprotokolle an 1 W hlen Sie die Registerkarte Abfragen und Berichte Die untergeordnete Registerkarte Abfragen wird angezeigt 2 Erweitern Sie die Eingabeaufforderung auf der Abfrageliste und w hlen Sie den Host 3 Geben Sie den Namen des WMI Servers ein der im Feld Host f r den Sen
34. auf NTEventLog 1 Maximieren Sie den Browser der den CA Enterprise Log Manager Agent Explorer anzeigt 2 Erweitern Sie den Agent Explorer und anschlie end die Standard Agentengruppe Der Name des Computers auf dem der Agent installiert wurde wird angezeigt Protokollerfassungs Explorer vw EAgenten Explorer y Default Agent Group D LogManager02 B LSEROO1LAB ca com 3 W hlen Sie diesen Agent Das Feld Agenten Connectors wird angezeigt 4 Klicken Sie auf Neuen Connector erstellen 22 le Na E Anzeigen des Status von Neuen Connector erstellen Details zum Agentenstatus Der Assistent zum Erstellen von neuen Connectors wird ge ffnet Der Schritt Erstellung von neuem Connector ist ausgew hlt Kapitel 3 Bereitstellung von Windows Agents 45 Erstellen eines Connectors basierend auf NTEventlLog 46 bersichtshandbuch 5 Belassen Sie die Auswahl von Integrationen und w hlen Sie aus der Integrations Dropdownliste NTEventLog Die Felder Connector Name und Beschreibung werden auf Grundlage der Auswahl unter Integration ausgef llt Bearbeiten Sie den Connector Namen um einen eindeutigen Namen zu definieren Erweitern Sie den Namen m glicherweise durch den Namen des Zielservers z B NTEventLog_Connector_USEROO1LAB Connector Erstellung E Geben Sie die erforderlichen Informationen ein Typ Integrationen Listener Integration NTEventLog v Connector Name NTEventLog_Co
35. ben im Hauptfenster auf die Schaltfl che C Einf hrung Das Dialogfeld Globale Filter und Einstellungen wird rm i 2 Optional Geben Sie mit Hilfe des Dropdown Men s Z E 3 Optional Aktivieren Sie das Kontrollk stchen berein Konfigurieren von globalen allen verf gbaren Rohereignissen gesucht werden soll Hinweis Sir kfinnen in den Rnhereinnissen narh mehr berblick ber das Bookshelf mit Dokumentation c Wenn Sie wissen welche Aufgabe Sie ausf hren m chten aber nicht wissen wie Sie in CA Enterprise Log Manager auf die entsprechende Seite gelangen nutzen Sie zun chst das Inhaltsverzeichnis Durch Klicken auf den Aufgabennamen wird die Seite ge ffnet Hinweis Wenn Sie die Aufgabe im Inhaltsverzeichnis nicht finden k nnen schlagen Sie im Bookshelf der Dokumentation nach berblick ber das Bookshelf mit Dokumentation Sie k nnen das Bookshelf auf Ihr lokales Laufwerk kopieren Die B cher k nnen als HTML oder PDF ge ffnet werden B cher im HTML Format enthalten buch bergreifende Querverweise So erhalten Sie einen berblick ber das Bookshelf 1 Kopieren Sie das Bookshelf von der Installations DVD der Anwendung auf Ihr lokales Laufwerk oder laden Sie es von der CA Kundensupport Website herunter Doppelklicken Sie auf die Datei Bookshelf hta oder Bookshelf html um das Bookshelf zu ffnen Ein Fenster wird angezeigt das in etwa folgenderma en aussieht E CA Bookshelf lel
36. bertragung konvertierter Ereignisse in einen Ereignisprotokollspeicher wo sie in die hei e Datenbank eingef gt werden Standardisierte Integrationen liefern eine optimierte Erfassung einer breiten Palette von Ereignisquellen einschlie lich Betriebssystemen Datenbanken Webservern Firewalls und diversen Arten von Sicherheitsanwendungen Sie k nnen einen Connector f r eine selbstentwickelte Ereignisquelle von Anfang an selbst definieren oder Sie verwenden eine Integration als Vorlage Datenbankstatus hei 86 bersichtshandbuch Der Datenbankstatus hei bezeichnet den Status der Datenbank im Ereignisprotokollspeicher wenn neue Ereignisse eingef gt werden Wenn die hei e Datenbank eine konfigurierbare Gr e auf dem Erfassungsserver erreicht wird sie komprimiert katalogisiert und in den warmen Speicher auf dem Berichtsserver verschoben Au erdem speichern alle Server neue selbst berwachende Ereignisse in einer hei en Datenbank Datenbankstatus kalt Der Datenbankstatus kalt wird einer warmen Datenbank zugewiesen wenn ein Administrator das Hilfsprogramm LMArchive ausf hrt um CA Enterprise Log Manager zu benachrichtigen dass die Datenbank gesichert wurde Administratoren m ssen warmen Datenbanken sichern und dieses Hilfsprogramm ausf hren bevor die Datenbanken gel scht werden Eine warme Datenbank wird automatisch gel scht wenn ihr Alter den f r Maximale Anzahl an Archivtagen konfigurierten Wert erreicht ode
37. chen Konformit tsverletzung Handlungsbedarf entsteht Sie k nnen Daten von unterschiedlichen sicherheits und nicht sicherheitsbezogenen Ger ten sammeln Info Ihr Netzwerk vor der Installation Lokale Bestimmungen und Richtlinien schreiben die Aufbewahrung von Protokolldatens tzen vor Zur Erf llung dieser Vorgaben m ssen Sie Protokolle f r Auditing Zwecke verf gbar machen Protokolle ber Jahre hinweg speichern Protokolle auf Anforderung wiederherstellen Erschwerend f r die Verwaltung von Protokolldatens tzen sind ihre gro e Anzahl ihr Speicherort und ihre tempor re Natur Protokolle werden durch Benutzer und Prozessaktivit ten in der Software st ndig generiert Die Generierungsrate wird in Ereignissen pro Sekunde EPS gemessen F r jedes aktive System jede aktive Datenbank und jede aktive Anwendung in Ihrem Netzwerk werden Rohereignisse erfasst An jeder Ereignisquelle m ssen Ereignisprotokolle f r die Speicherung gesichert werden bevor sie berschrieben werden Die Wiederherstellung von Ereignisprotokollen gestaltet sich schwierig wenn Sicherungen aus anderen Ereignisquellen separat gespeichert werden Die Auswertung von Rohereignissen wird durch das Zeichenfolgenformat erschwert bei dem der Ereignisschweregrad nicht hervorgehoben ist Zudem variieren hnliche Daten aus verschiedenen Systemen Benutzerspeicher ge LDAP Server Server MS Active Directory Sun ONE CA SiteMinder Window
38. d sind Eigentum der entsprechenden Rechtsinhaber CA Produktreferenzen Dieses Dokument bezieht sich auf die folgenden Produkte von CA CA Access Control CA Audit CA ACF2 CA Directory CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CA IT Process Automation Manager CA IT PAM CA NSM CA Security Command Center CA SCC CA Service Desk CA SiteMinder CA Spectrum CA Top Secret Technischer Support Kontaktinformationen Wenn Sie technische Unterst tzung f r dieses Produkt ben tigen wenden Sie sich an den Technischen Support unter http www ca com worldwide Dort finden Sie eine Liste mit Standorten und Telefonnummern sowie Informationen zu den B rozeiten nderungen in der Dokumentation Seit der letzten Version dieser Dokumentation wurden folgende Aktualisierungen vorgenommen berblick ber den Schnellstart Dieses bereits vorhandene Thema ist aktualisiert worden und nimmt nun ber Syslogs hinaus Bezug auf weitere Ereignistypen die vom Standardagenten auf dem CA Enterprise Log Manager Server erfasst werden k nnen Alarme zu Richtlinienverletzungen Dieses bereits vorhandene Thema ist aktualisiert worden und nimmt nun Bezug auf die M glichkeit Alarme als SNMP Traps an Netzwerk Sicherheits berwachungssysteme zu senden und einen IT PAM Ereignis Alarmausgabeprozess z B zur Erstellung eines Help Desk Tickets auszuf hren Bookshelf Dieses bereits vorh
39. d der bereinstimmung von Identit ten Ressourcen Ressourcenklassen und der Auswertung der Filter welche Richtlinien f r einen bestimmten Benutzer gelten 108 bersichtshandbuch Zugriffssteuerungsliste f r Identit ten Mit der Zugriffssteuerungsliste f r Identit ten k nnen Sie verschiedene Aktionen angeben die ausgew hlten Identit ten in ausgew hlten Ressourcen gew hrt werden sollen Beispielsweise k nnen Sie mit der Zugriffssteuerungsliste f r Identit ten angeben dass eine Identit t Berichte erstellen und eine andere Berichte planen und anmerken kann Eine Zugriffssteuerungsliste f r Identit ten unterscheidet sich darin von einer Zugriffssteuerungsliste dass sie sich auf Identit ten und nicht auf Ressourcen richtet Zuordnungsanalyse Eine Zuordnungsanalyse ist ein Schritt im Assistenten zur Dateizuordnung bei dem Sie eine Datenzuordnungsdatei testen und ndern k nnen Beispielereignisse werden mit der Datenzuordnungsdatei verglichen und die Ergebnisse werden mit CEG gepr ft Zusammenfassungsregeln Zusammenfassungsregeln fassen bestimmte g ngige native Ereignistypen zu einem verfeinerten Ereignis zusammen Eine Zusammenfassungsregel kann beispielsweise so konfiguriert werden dass sie bis zu 1000 doppelte Ereignisse die dieselben Quell und Ziel IP Adressen und Ports haben durch ein Zusammenfassungsereignis ersetzt Diese Regeln vereinfachen die Ereignisanalyse und verringen das Protokollaufkommen Glossary 1
40. das Agentinstallationsprogramm auf den Desktop herunterladen So laden Sie das Agentinstallationsprogramm herunter 1 Klicken Sie in der Symbolleiste des Agent Explorers auf Bin rdateien des Agents herunterladen aa Bin rdateien des Agenten herunterladen Im Hauptbereich werden Verkn pfungen zu den verf gbaren Bin rdateien des Agents angezeigt 2 Klicken Sie auf die Windows Verkn pfung um den Agent auf einem Server mit dem Betriebssystem Windows Server 2003 zu installieren Bin rdateien des Agenten Plattformname Plattformversion Windows 2003 Wind Klicken Sie hier um die Bin rdatei auf die Festplatte Wind herunterzuladen RedHat Enterprise Linux 4 x Das Dialogfeld Speicherort f r den Download nach lt IP Adresse gt wird ge ffnet 3 W hlen Sie den Desktop und klicken Sie auf Speichern Speichern in E Desktop Kapitel 3 Bereitstellung von Windows Agents 41 Installieren eines Agents Es wird ein Meldungsfeld ge ffnet das den Fortschritt des Downloads der ausgew hlten Bin rdateien des Agents anzeigt gefolgt von einer Best tigungsmeldung Klicken Sie auf OK Minimieren Sie den Browser unterbrechen Sie jedoch nicht die Verbindung so dass Sie die Installation schnell berpr fen k nnen nachdem sie abgeschlossen ist Auf dem Desktop wird das Setup Startprogramm f r die Agentinstallation angezeigt Er ca elmagent 12_1_66_ LEENE Beschreibung Setup Lau
41. dded Entitlements Manager aufzurufen geben Sie die URL https lt ip_address gt 5250 spin eiam eiam csp ein dann w hlen Sie CAELM als Anwendungsnamen und geben das Kennwort des Benutzers EiamAdmin ein Der Benutzername und das Kennwort caelmadmin sind Anmeldeinformationen die f r den Zugriff auf das Betriebssystem der Soft Appliance ben tigt werden Die Benutzerkennung caelmadmin wird w hrend der Installation des Betriebssystems erstellt W hrend der Installation der Software Komponente muss der Installierende das Kennwort f r das CA EEM Superuser Konto EiamAdmin eingeben Dem Konto caelmadmin wird dasselbe Konto zugewiesen Es empfiehlt sich dass sich der Server Administrator ber ssh als caelmadmin Benutzer anmeldet und dieses Kennwort ndert Auch wenn der Administrator sich nicht ber ssh als Root anmelden kann kann er bei Bedarf Benutzer zu Root su root wechseln lassen Der caelmservice bezeichnet eine Service Konto das es erm glicht dass iGateway und die lokalen CA EEM Services als Nicht Root Benutzer ausgef hrt werden k nnen Das caelmservice Konto wird f r die Installation von Betriebssystemaktualisierungen verwendet die mit automatischen Software Updates heruntergeladen werden CALM CALM ist eine vordefinierte Ressourcenklasse die folgende CA Enterprise Log Manager Ressourcen umfasst Alarm ArchiveQuery calmTag Daten EventGrouping Integration und Bericht Folgende Aktionen sind in diese
42. definiert werden dass viele Server alle untereinander gleichrangig sind Eine f derierte Abfrage gibt die Ergebnisse vom ausgew hlten Server und all seinen gleichrangigen Servern zur ck Verwaltung von Berechtigungen Die Verwaltung von Berechtigungen ist ein Mittel zur Steuerung der Aktionen die Benutzer durchf hren d rfen sobald sie sich authentifiziert und an der CA Enterprise Log Manager Oberfl che angemeldet haben Dies geschieht ber Zugriffsrichtlinien die mit den Rollen die den Benutzern zugewiesen wurden verkn pft werden Rollen oder Anwendungsbenutzergruppen und Zugriffsrichtlinien k nnen vordefiniert oder benutzerdefiniert sein Die Verwaltung von Berechtigungen wird ber den internen CA Enterprise Log Manager Benutzerspeicher gehandhabt Visualisierungskomponenten Visualisierungskomponenten sind verf gbare Optionen mit denen Berichtsdaten einschlie lich Tabelle Diagramm Zeilendiagramm Balkendiagramm Spaltendiagramm Kreisdiagramm oder ein Ereignis angezeigt werden k nnen Glossary 107 Wiederherstellungspunkt Server XMP Dateianalyse Zertifikate Zugriffsfilter Zugriffsrichtlinie Ein Wiederherstellungspunkt Server ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt wird Um kalte Ereignisse zu untersuchen k nnen Sie Datenbanken mit einem Hilfsprogramm vom Remote Speicher zum Wiederherstellungspunkt Server verschieben dann die Datenbanken zum Katalog hinzuf gen und
43. die Ereignisklassifikation und normalisierung verwendet werden Beispiele eines Idealmodells sind z B Antivirus DBMS Firewall Betriebssystem und Webserver Die Firewall Produkte Check Point Cisco PIX und Netscreen Juniper k nnten mit dem Wert Firewall im Feld ideal_model normalisiert werden Identit t Inhaltsaktualisierungen Installierender Integration Integrationselemente Eine dentit t in CA Enterprise Log Manager ist eine Benutzergruppe die Zugriff auf die CAELM Anwendungsinstanz und ihre Ressourcen hat Eine Identit t f r ein CA Produkt kann ein globaler Benutzer ein Anwendungsbenutzer eine globale Gruppe eine Anwendungsgruppe oder eine dynamische Gruppe sein Inhaltsaktualisierungen sind der nicht bin re Anteil der automatischen Software Updates die auf dem CA Enterprise Log Manager Management Server gespeichert werden Inhaltsaktualisierungen umfassen Inhalte wie XMP Dateien Datenzuordnungsdateien Konfigurationsaktualisierungen f r CA Enterprise Log Manager Module und Aktualisierungen ffentlicher Schl ssel Der Installierende ist derjenige der die Soft Appliance und die Agenten installiert W hrend des Installationsprozesses werden die Benutzernamen caelmadmin und EiamAdmin erstellt und das f r EiamAdmin angegebene Kennwort wird caelmadmin zugewiesen Diese caelmadmin Anmeldeinformationen werden f r den ersten Zugriff auf das Betriebssystem ben tigt die EiamAdmin Anmeldeinformation
44. e Log Manager CA Enterprise Log Manager ist ein L sung mit der Sie Protokolle weit verteilter Ereignisquellen verschiedenster Art sammeln nach bereinstimmungen von Abfragen und Berichten suchen und Datens tze von Datenbanken mit komprimierten Protokollen speichern k nnen die Sie in externe Langzeitspeicher verschoben haben Glossary 83 CAITPAM CA Spectrum CA Adapter CAELM caelmadmin caelmservice 84 bersichtshandbuch CA IT PAM ist die Abk rzung f r CA IT Process Automation Manager Dieses CA Produkt automatisiert von Ihnen definierte Prozesse CA Enterprise Log Manager verwendet zwei Prozesse den Prozess zur Erstellung eines Ereignis Alarmausgabeprozesses f r ein lokales Produkt wie z B CA Service Desk und den Prozess zur dynamischen Erstellung von Listen die als Schl sselwerte importiert werden k nnen F r die Integration ist CA IT PAM r2 1 erforderlich CA Spectrum ist ein Neztwerkfehlerverwaltungsprogramm das in CA Enterprise Log Manager integriert werden kann um als Ziel f r Alarme in Form von SNMP Traps zu dienen Die CA Adapter sind eine Gruppe von Listenern die Ereignisse von CA Audit Komponenten erhalten Diese Komponenten umfassen CA Audit Clients iRecorder und SAPI Recorder sowie Quellen die Ereignisse nativ ber iTechnology senden CAELM ist der Name der Anwendungsinstanz die CA EEM f r CA Enterprise Log Manager verwendet Um die CA Enterprise Log Manager Funktionen in CA Embe
45. ehl c W hlen Sie Anzeigen des Status von Connectors Das Fenster Statusdetails wird angezeigt Statusdetails Neu starten Start Beenden Connector Agent Agentengruppe Plattform Integration Status NTEventLog_Connector _USEROO1LAB USERODILAB ca com Detaut Agent Group Windows_X86_32 NTEveritLog ird ausgef hrt Klicken Sie auf den Link Wird ausgef hrt Der angezeigte Status des Ziels das im Connector konfiguriert wurde umfasst Prozent der CPU Arbeitsspeicherverwendung und durchschnittliche Ereignisse pro Sekunde EPS Konfigurieren einer Windows Ereignisquelle Konfigurieren einer Windows Ereignisquelle Nachdem Sie einen Connector mit der NTEventLog Integration auf dem Agent konfiguriert haben sollten Sie Ereignisse in der Ereignisanzeige anzeigen k nnen Falls Ereignisse nicht an die Ereignisanzeige weitergeleitet werden sollten Sie die Windows Einstellungen f r die lokalen Richtlinien auf der Ereignisquelle ndern So konfigurieren Sie lokale Richtlinien auf der Ereignisquelle f r einen NTEventLog Connector 1 Wenn der Protokollerfassungs Explorer nicht bereits angezeigt wird klicken Sie auf die Registerkarte Verwaltung Erweitern Sie die Punkte Ereignisverfeinerungs Bibliothek Integrationen und Automatische Software Updates w hlen Sie NTEventLog und klicken Sie auf die Hilfeverkn pfung ber dem Integrationsnamen im Teilfenster Integrationsdetails anzeigen D
46. elden und ein Administratorkonto erstellen mit dem Sie die Konfiguration vornehmen k nnen Hinweis F r diese Schnellstartbereitstellung werden der Standardbenutzerspeicher und die Standardkennwortrichtlinien akzeptiert Normalerweise werden diese konfiguriert bevor der erste Administrator hinzugef gt wird Kapitel 2 Schnellstartbereitstellung 23 Konfigurieren des ersten Administrators 24 bersichtshandbuch So konfigurieren Sie den ersten Administrator 1 ffnen Sie in Ihrem Browser die folgende URL wobei der Hostname entweder aus dem Hostnamen oder der IP Adresse des Servers besteht auf dem Sie CA Enterprise Log Manager installiert haben https lt hostname gt 5250 spin calm Falls ein Sicherheitsalarm eingeblendet wird gehen Sie folgenderma en vor a Klicken Sie auf Zertifikat anzeigen b Klicken Sie auf Zertifikat installieren bernehmen Sie die Standardeinstellungen und schlie en Sie den Import Assistenten ab Es wird eine Sicherheitswarnung eingeblendet die Sie darauf hinweist dass Sie ein Zertifikat installieren das vorgibt den Hostnamen des CA Enterprise Log Manager Servers zu repr sentieren c Klicken Sie auf Ja Das Stammzertifikat wird installiert und es wird eine Meldung eingeblendet dass der Import erfolgreich war d Klicken Sie auf OK Das Dialogfeld Vertrauensw rdige Zertifikate wird angezeigt e Optional Klicken Sie auf den Pfad des Zertifikats und stellen
47. en Benutzern Zugriff auf Berichte und die darin enthaltenen Daten Auditoren k nnen Berichte die Listen mit den Berichtvorlagen den geplanten Berichtauftr gen und mit den generierten Berichten anzeigen Auditoren k nnen Berichte planen und mit Anmerkungen versehen Auditoren haben keinen Zugriff auf die RSS Feeds Rich Site Summary au er die Konfiguration erfordert keine Authentifizierung f r die Anzeige von Aktionsalarmen Aufgezeichnetes Ereignis Ein aufgezeichnetes Ereignis bezeichnet die Informationen des Rohereignisses oder des verfeinerten Ereignisses nachdem diese in die Datenbank eingef gt wurden Rohereignisse werden immer als verfeinerte Ereignisse erfasst au er sie wurden unterdr ckt oder zusammengefasst Diese Informationen werden gespeichert und k nnen durchsucht werden Auto Archivierung Auto Archivierung ist ein konfigurierbarer Prozess der das Verschieben von Archivdatenbanken von einem Server zu einem anderen automatisiert In der ersten Phase der Auto Archivierung sendet der Erfassungsserver neu archivierte Datenbanken in der von Ihnen angegebenen H ufigkeit zum Berichtsserver In der zweiten Phase der Auto Archivierung sendet der Berichtsserver ltere Datenbanken zur langfristigen Speicherung an den Remote Speicher wodurch die Notwendigkeit eines manuellen Sicherungs und Verschiebevorgangs entf llt F r die Auto Archivierung m ssen Sie eine Authentifizierung ohne Kennw rter vom Quell zum Zielserver konfigur
48. en sind SOWEIT NACH ANWENDBAREM RECHT ERLAUBT STELLT CA DIESE DOKUMENTATION IM VORLIEGENDEN ZUSTAND OHNE JEGLICHE GEW HRLEISTUNG ZUR VERF GUNG DAZU GEH REN INSBESONDERE STILLSCHWEIGENDE GEW HRLEISTUNGEN DER MARKTTAUGLICHKEIT DER EIGNUNG F R EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN IN KEINEM FALL HAFTET CA GEGEN BER DEM NUTZER ODER DRITTEN F R VERLUSTE ODER UNMITTELBARE ODER MITTELBARE SCH DEN DIE AUS DER VERWENDUNG DIESER DOKUMENTATION ENTSTEHEN DAZU GEH REN INSBESONDERE ENTGANGENE GEWINNE VERLORENGEGANGENE INVESTITIONEN BETRIEBSUNTERBRECHUNG VERLUST VON GOODWILL ODER DATENVERLUST SELBST WENN CA BER DIE M GLICHKEIT DIESES VERLUSTES ODER SCHADENS INFORMIERT WURDE Die Verwendung aller in der Dokumentation aufgef hrten Software Produkte unterliegt den entsprechenden Lizenzvereinbarungen und diese werden durch die Bedingungen dieses Urheberrechtsvermerks in keiner Weise ver ndert Diese Dokumentation wurde von CA hergestellt Diese Dokumentation wird mit Restricted Rights eingeschr nkten Rechten geliefert Die Verwendung Duplizierung oder Ver ffentlichung durch die US Regierung unterliegt den in FAR Abs tze 12 212 52 227 14 und 52 227 19 c 1 bis 2 und DFARS Absatz 252 227 7014 b 3 festgelegten Einschr nkungen soweit anwendbar oder deren Folgebestimmungen Copyright 2009 CA Alle Rechte vorbehalten Alle Marken Produktnamen Dienstleistungsmarken oder Logos auf die hier verwiesen wir
49. en werden f r den ersten Zugriff auf die CA Enterprise Log Manager Software und f r die Installation der Agenten ben tigt Integration ist das Mittel mit dem nicht klassifizierte Ereignisse in verfeinerte Ereignisse verarbeitet werden so dass sie in Abfragen und Berichten angezeigt werden Die Integration wird mit einem Satz von Elementen implementiert die es einem bestimmten Agenten und Connector erm glichen Ereignisse von einem oder mehreren Typen von Ereignisquellen zu erfassen und zu CA Enterprise Log Manager zu senden Der Satz von Elementen umfasst den Protokollsensor und die XMP und DM Dateien die aus einem bestimmten Produkt lesen sollen Beispiele f r vordefinierte Integrationen sind die f r die Verarbeitung von Syslog und WMI Ereignissen Sie k nnen benutzerdefinierte Integrationen erstellen um die Verarbeitung nicht klassifizierter Ereignisse zu erm glichen Integrationselemente umfassen einen Sensor eine Konfigurationshilfe eine Datenzugriffsdatei eine oder mehrere XMP Nachrichtenanalysedateien und eine oder mehrere Datenzuordnungsdateien Glossary 95 iTech Ereignis Plugin Kalender Katalog Kennung Konto Lokaler Filter 96 bersichtshandbuch Das iTech Ereignis Plugin ist ein CA Adapter den ein Administrator mit ausgew hlten Zuordnungsdateien konfigurieren kann Er erh lt Ereignisse von Remote iRecorders CA EEM iTechnology selbst oder von einem Produkt das Ereignisse ber iTechnology sendet
50. enen 38 Festlegen des Authentifizierungsschl ssels f r einen Agenten 22cceeccceeeeennen nen 40 Herunterladen des Agentinstallationsprogramms 2222eeeeeeeeeeeeseeneeeeeeeeeennnnn 41 Installieren eines Agents ccuceooonnneeeennnnnnneeeessnnneeeeeeeeeeeeeeeeeneeeeeeen 42 Erstellen eines Connectors basierend auf NTEventlog 22ccccseeeeeeeeeeeenenenennnn 45 Konfigurieren einer Windows Ereignisquelle 222cccceeeeeeseeeenesnnennennennnnnnennnn 49 Anzeigen von Protokollen der Windows Ereignisquellen 222 ccceeeeen 50 Kapitel 4 Hauptfunktionen 53 Pro tokollerf ssung u2 ea aaa aaa 54 Protokollspeicher n 2 2002 200 200 ee a een 57 Standarddarstellung von Protokollen 22222eeeeeeeeeeeeeeeeeeeseeeeseeeeeeeeenn 59 Konformit tsberichte 2222222esseeeseseeseseeeeseeeesneneneeeeseeeeseeeeneeenseenen 60 Alarm bei Verletzung von Richtlinien 222222coeeeeeeeeeeeeeeeeeenn 62 Verwaltung von Berechtigungen 22ooseeeeeeeeeeeeeeeeeeeeeeeeeeeenn 63 Rollenbasierter Zuskift essen ee ae re we ee 65 Verwalten Von Automatischen Software aktualisieren 22222coccseeeeseeeeeeeennen nenn 66 Inhalt 7 Vorgefertigter Inhalt cooooueeeneeeeeeeeeeeeeenn Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager Anzeigen von Kurzinfos 2222ceoeseeeeeseeseeeennseneeeenenneeeeeeeeneeeeeen Anzei
51. enster Integrationsdetails wird angezeigt AIX_Syslog 12 0 5010 0 v Integrationsdetails E Integrationsdetails anzeigen Klicken Sie hier um die Integrationshilfe anzuzeigen slog Seiu eenn m IT Version 1 0 Konfigurationshilfe Yersion Beschreibung Diese Integration unterst tzt IBM AIX 5 1 5 2 und 5 3 mithilfe von Syslog XMP AIX_syslog_12 0 5010 0 xMPS g Datenzuordnung Alx_syslog_12 0 5010 0 DMS EN 6 Klicken Sie auf die Schaltfl che Hilfe ber dem Integrationsnamen im rechten Fensterbereich Das Connector Handbuch f r die ausgew hlte Integration wird angezeigt 7 Klicken Sie auf den Bereich in den Konfigurationsanforderungen der Ereignisquelle In diesem Beispiel wird beschrieben wie Sie die Ereignisquelle des AIX Betriebssystems konfigurieren damit die Syslogs an CA Enterprise Log Manager gesendet werden 1 0 Connector Handbuch f r AIX 2 0 Voraussetzungen 3 0 Konfiguration von AIX 3 1 Konfigurieren der Syslog Konfigurationsdatei 3 2 Schreiben eines PERL Skripts 3 3 berwachung aktivieren 3 3 1 Beenden der berwachung 3 3 2 Konfigurieren der berwachungsverzeichnisdateien 3 3 2 1 Konfigurieren der Objects Datei 3 3 2 2 Konfigurieren der Datei Syslog 3 3 2 3 Konfigurieren der Streamemds Datei 3 3 3 Bearbeiten der Datei etc rc 3 3 4 Bearbeiten der Datei etc shutdown 3 3 5 Starten der berwachung Kapitel 2 Schnellstartbereitstellung 29 Konfigurieren von Syslog Ereignisquellen 3
52. er 2005 Datenbanken generierte Ereignisse zu erfassen Einzelheiten hierzu finden Sie in der CA Enterprise Log Manager Produktintegrationsmatrix Sie ben tigen f r die Installation von CA Enterprise Log Manager die EiamAdmin Anmeldeinformationen Als EiamAdmin Superuser konfigurieren Sie ein Administratorkonto das Sie f r die Konfiguration verwenden Wenn Sie sich mit den Administrator Anmeldeinformationen anmelden k nnen Sie berpr fen ob das Setup funktionsf hig ist indem Sie die selbst berwachenden Ereignisse anzeigen Kapitel 2 Schnellstartbereitstellung 15 Installation eines Single Server Systems Installation eines Single Server Systems 16 bersichtshandbuch Ein Single Server System ist die einfachste Art abgefragte Ereignisse anzuzeigen Stellen Sie sicher dass Sie ein Ger t w hlen das die minimalen Hardwareanforderungen f r eine CA Enterprise Log Manager Soft Appliance erf llt oder bertrifft Hinweis Die zertifizierte Hardwareliste Informationen zur Unterst tzung von Betriebssystemen und zur Systemsoftware sowie Dienstanforderungen finden Sie in den Versionshinweisen So installieren Sie einen CA Enterprise Log Manager f r ein Single Server System 1 Halten Sie die folgenden Informationen bereit m Ein Kennwort das als Stammkennwort verwendet wird m Hostname f r Ihre Anwendung a Wenn DHCP nicht verwendet wird die statische IP Adresse Subnet Maske und Standard Gateway f r Ihre Anwendung
53. er verf gbaren gemachten Datenbanken die in der Where Klausel der Abfrage angegeben wurden Beispiel Wenn die Where Klausel die Abfrage auf Ereignisse mit source_username myname in einem bestimmten Zeitrahmen beschr nkt und nur zehn von 1000 Datenbanken Datens tze enthalten die diesen Kriterien basierend auf den Informationen in der Katalogdatenbank entsprechen wird die Abfrage nur in diesen zehn Datenbanken durchgef hrt Eine Abfrage kann maximal 5000 Datenzeilen zur ckgeben Ein Benutzer mit einer vordefinierten Rolle kann eine Abfrage durchf hren Nur Analysten und Administratoren k nnen eine Abfrage planen um einen Aktionsalarm zu verteilen einen Bericht unter Auswahl der enthaltenen Abfragen erstellen oder eine benutzerdefinierte Abfrage mithilfe des Abfragedesign Assistenten erstellen Siehe auch Archivabfrage Die Abfragebibliothek ist der Speicher f r alle vordefinierten und benutzerdefinierten Abfragen Abfragekennungen und Prompt Filter Die Administratorrolle erteilt Benutzern die Berechtigung alle g ltigen Aktionen in allen Ressourcen von CA Enterprise Log Manager auszuf hren Nur Administratoren d rfen Protokollerfassung und Services konfigurieren oder Benutzer Zugriffsrichtlinien und Zugriffsfilter verwalten Ein Agent ist ein generischer Service der mit Connectors konfiguriert wurde von denen jeder Rohereignisse von einer einzelnen Ereignisquelle erfasst und diese dann zur Verarbeitung an CA Enterprise Log Mana
54. erden Die dunklen gr nen Kreise am Sammelpunkt und den anderen Ereignisquellen stehen f r separat installierte Agents Das Installieren von Agents ist optional Mit dem Standardagent k nnen Sie Syslogs von UNIX kompatiblen Ereignissen erfassen nachdem die erforderliche Konfiguration abgeschlossen ist CA Enterprise Log Manager Info Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Installieren Sie das Betriebssystem f r die Soft Appliance und anschlie end die CA Enterprise Log Manager Anwendung Sobald Sie die Quellen konfiguriert haben um Syslogs an CA Enterprise Log Manager auszugeben und die Syslog Ziele in der Konfiguration des Connectors des Standardagents angegeben haben werden Syslogs erfasst und zur leichteren Interpretation verfeinert 2 Optional Sie k nnen einen Agent auf einem Host installieren den Sie als Sammelpunkt bestimmt haben oder Sie k nnen Agents direkt auf den Hosts mit Quellen zu erfassende Ereignisse generieren installieren Hinweis Weitere Informationen zum Installieren der Soft Appliance finden Sie im Implementierungshandbuch Weitere Informationen zum Installieren von Agents finden Sie im Agent Installationshandbuch Weitere Informationen Installieren eines Agents siehe Seite 42 Kapitel 1 Einf hrung 13 Kapitel 2 Schnellstartbereitstellung Dieses Kapitel enth lt folgende Themen berblick ber den Schnellstart siehe Seite 15 Installati
55. erden in der folgenden Datei gespeichert tmp pre install_ca elm log Die folgende Eingabeaufforderung wird angezeigt Legen Sie den Datentr ger CA Enterprise Log Manager r12 f r die Anwendungsinstallation ein und dr cken Sie die Eingabetaste Legen Sie den Datentr ger der CA Enterprise Log Manager Anwendung ein Dr cken Sie die Eingabetaste Es wird berpr ft ob Ihr System die empfohlenen Mindestanforderungen f r eine optimale Leistung erf llt Ist dies nicht der Fall wird eine Meldung eingeblendet in der Sie gefragt werden ob Sie den Installationsprozess abbrechen m chten Die folgende Eingabeaufforderung wird angezeigt Geben Sie einen neuen Hostnamen ein Geben Sie den Hostnamen f r diese CA Enterprise Log Manager Soft Appliance ein Geben Sie beispielsweise CALM1 ein Installation eines Single Server Systems 5 bernehmen Sie das Standardger t eth0 Dr cken Sie die Eingabetaste um zum n chsten Bildschirm zu wechseln 6 F hren Sie einen der folgenden Schritte aus und w hlen Sie dann OK m W hlen Sie DHCP verwenden Diese Option wird nur von Standalone Testsystemen akzeptiert Geben Sie die statische IP Adresse die Subnet Maske und eine Standard Gateway IP Adresse ein die mit dem eingegebenen Hostnamen verkn pft werden soll Die Netzwerkservices werden mit den neuen angezeigten Einstellungen neu gestartet Kapitel 2 Schnellstartbereitstellung 19 Installation eines Single Se
56. erst gespeichert werden wenn alle erforderlichen Felder ausgef llt wurden Abfragedetails S Geben Sie den Namen und die Beschreibung ein und w hlen Sie Kennungen f r diese Abfrage aus Name Kurzname Anzeigen der Online Hilfe Anzeigen der Online Hilfe Sie k nnen f r die angezeigte Seite oder f r jede Aufgabe die Sie durchf hren m chten Hilfe aufrufen So ffnen Sie die Online Hilfe 1 Klicken Sie auf der Symbolleiste auf Hilfe um die Online Hilfe f r CA Enterprise Log Manager zu ffnen CA CA Enterprise Log Manager nitfe Das CA Enterprise Log Manager Hilfesystem wird ge ffnet Im linken Fensterbereich wird der Inhalt aufgelistet Inhaltsverzeichnis Index Suchen 3 g CA Enterprise Log Manager r12 1 Rechtliche Hinweise CA Produktreferenzen Technischer Support Kontaktinformationen Einf hrung EX F derationsstruktur globale und lokale Fiter Aufgaben mit Kennungen t Abfragen t Berichtsaufgaben Aufgaben in verbindung mit geplanten Berichten w Alarmverwaltungsaufgaben Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager 71 Anzeigen der Online Hilfe 72 bersichtshandbuch ffnen Sie ber eine Hilfe Schaltfl che die kontextabh ngige Hilfe siehe folgendes Beispiel a Klicken Sie auf die Schaltfl che Globale Filter anzeigen bearbeiten al As Profile EICHE Globale Filter und Einstellungen aa
57. erung und verschiebt dann als Inhaltsaktualisierungen zur eingebetteten Komponente des Verwaltungsservers sterben der als Inhaltsaktualisierungen f r alle anderen CA Enterprise Log Managers speichert sterben 2 Der CA Enterprise Log Manager Server Installiert Als Client F r Automatische Software aktualisieren das Produkt und als ben tigten Betriebssystem Aktualisierungs Selbst ndig sterben Hinweis Weitere Informationen Zum Planen und Konfigurieren von automatischen Software aktualisieren finden Sie im Implementierungshandbuch Weitere Informationen Zum Verfeinern und Bearbeiten der Konfiguration f r automatische Software aktualisieren und f r das Anwenden von aktualisieren auf Agenten finden Sie im Verwaltungshandbuch Vorgefertigter Inhalt CA Enterprise Log Manager umfasst vordefinierten Inhalt den Sie verwenden k nnen sobald Sie das Produkt installiert und konfiguriert haben Durch das automatische Software Update werden regelm ig neue Inhalte hinzugef gt und vorhandene Inhalte aktualisiert Kategorien vordefinierter Inhalte sind z B Berichte mit Kennungen m Abfragen mit Kennungen m Integrationen mit zugeh rigen Sensoren Analysedateien XMP Zuordnungsdateien DM ung in einigen F llen Unterdr ckungsregeln m Unterdr ckungs und Zusammenfassungsregeln Kapitel 4 Hauptfunktionen 67 Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager Dieses Kapitel enth lt folgende Themen Anzeige
58. erzeichnisse wie beispielsweise Microsoft Active Directory Sun One und Novell eDirectory unterst tzt Wenn Sie einen externen Benutzerspeicher referenzieren werden die Informationen der Benutzerkonten automatisch im schreibgesch tzten Format geladen siehe Pfeil in der folgenden Abbildung Sie definieren ausschlie lich anwendungsspezifische Details f r ausgew hlte Konten Es werden keine Daten vom internen Benutzerspeicher in den referenzierten externen Benutzerspeicher verschoben CA Enterprise Log Manager Kapitel 4 Hauptfunktionen 63 Verwaltung von Berechtigungen 64 bersichtshandbuch Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Der interne Benutzerspeicher verwaltet Berechtigungen indem die von den Benutzern bei der Anmeldung eingegebenen Informationen authentifiziert werden Anschlie end erhalten die Benutzer Zugriff auf verschiedene Funktionen der Benutzeroberfl che und zwar auf der Grundlage von Berechtigungen die mit den Rollen der entsprechenden Benutzerkonten verkn pft sind Wenn Name und Kennwort des Benutzers der sich anmeldet von einem externen Benutzerspeicher geladen wurden m ssen die eingegebenen Anmeldeinformationen den geladenen Anmeldeinformationen entsprechen Der externe Benutzerspeicher dient lediglich dem Laden der Benutzerkonten in den internen Benutzerspeicher Diese werden automatisch geladen wenn die Referenz auf den Benutzerspeicher gespeichert wird Hin
59. f r jeden angegebenen CA Enterprise Log Manager berschrieben werden SNMP ist ein Akronym und steht f r Simple Network Management Protocol einen offenen Standard zum Senden von Warnmeldungen in Form von SNMP Traps von einem Agentensystem an mehrere Managementsysteme Eine SNMP Trap besteht aus Namen Wertepaaren wobei jeder Name eine OID Objekt ID und jeder Wert ein zur ckgegebener Wert aus dem geplanten Alarm ist Abfrageergebnisse die von einem Aktionsalarm zur ckgegeben werden bestehen aus CEG Feldern und ihren Werten SNMP Traps werden ausgef llt indem die CEG Felder der Namen in den Namen Wertepaaren durch OIDs ersetzt werden Die Zuordnung zwischen CEG Feld und OID wird in der MIB gespeichert Die SNMP Trap enth lt nur Namen Wertepaare f r Felder die Sie beim Konfigurieren des Alarms ausgew hlt haben Glossary 105 SNMP Trap Ziele Soft Appliance Standardagent Unterdr ckung Unterdr ckungsregeln Beim Planen von Aktionsalarmen k nnen ein oder mehrere SNMP Trap Ziele hinzugef gt werden F r jedes SNMP Trap Ziel wird eine IP Adresse und eine Port konfiguriert Das Ziel ist typischerweise ein NOC oder ein Verwaltungsserver z B CA Spectrum oder CA NSM Eine SNMP Trap wird an die konfigurierten Ziele gesendet wenn Abfragen f r einen geplanten Alarmjob Ergebnisse zur ckgeben Die Soft Appliance umfasst eine Betriebssystemkomponente und die CA Enterprise Log Manager Software Komponente Der Standard
60. fort m Wenn Sie eine statische IP Adresse konfiguriert haben m ssen Sie die IP Adresse mit den in Schritt 9 festgelegten DNS Servern registrieren m Wenn Sie DHCP konfiguriert haben aktualisieren Sie Ihre Hostdatei auf dem Ger t von dem aus Sie ber einen Browser auf diesen Server zugreifen m chten m Gehen Sie zu der URL die Sie in Schritt 14 notiert haben und konfigurieren Sie den ersten Administrator Aktualisieren der Windows Hostdatei W hrend der Installation von CA Enterprise Log Manager k nnen Sie einen oder mehrere DNS Server festlegen oder DHCP w hlen Wenn Sie DHCP gew hlt haben m ssen Sie Ihre Windows Hostdatei auf dem Computer aktualisieren ber den Sie mit Ihrem Browser auf CA Enterprise Log Manager zugreifen m chten So aktualisieren Sie Ihre Hostdatei auf dem Host mit Ihrem Browser 1 ffnen Sie den Windows Explorer und navigieren Sie zu C WINDOWS system32 drivers etc 2 ffnen Sie die Hostdatei mit einem Editor z B Notepad 3 F gen Sie einen Eintrag mit der IP Adresse des CA Enterprise Log Manager Servers und den entsprechenden Hostnamen hinzu 4 W hlen Sie im Men Datei die Option Speichern und schlie en Sie die Datei anschlie end Konfigurieren des ersten Administrators Nach der Installation eines Single Server CA Enterprise Log Manager bereiten Sie die Konfiguration vor indem Sie die URL von CA Enterprise Log Manager von einer Remote Workstation aus aufrufen sich anm
61. gement Leitfaden f r die Computersicherheitsprotokoll Verwaltung gibt die als Basis f r CA Enterprise Log Manager verwendet wurde ODBC und JDBC Zugriff ODBC Server OID Objekt ID Durch den ODBC und JDBC Zugriff auf CA Enterprise Log Manager Ereignisprotokoll Speicher wird die Verwendung von Ereignisdaten mit einer Vielzahl von Produkten anderer Hersteller unterst tzt darunter die benutzerdefinierte Berichterstellung zu Ereignissen mit Berichterstellungstools anderer Hersteller die Ereigniskorrelation mit Korrellations Engines und die Ereignisauswertung durch Produkte f r die Erkennung von Sicherheitsverletzungen Intrusion Detection und Malware Auf Systemen mit Windows Betriebssystemen wird der ODBC Zugriff verwendet auf UNIX und Linux Systemen hingegen der JDBC Zugriff Der ODBC Server ist der konfigurierte Service der den f r die Kommunikation zwischen dem ODBC oder JDBC Client und dem CA Enterprise Log Manager Server verwendeten Port festlegt und angibt ob SSL Verschl sselung verwendet werden soll Eine OID Objekt ID ist eine eindeutige numerische ID f r ein Datenobjekt das mit Werten in einer SNMP Trap Meldung verbunden wird Alle OIDs die in einer CA Enterprise Log Manager SNMP Trap verwendet werden werden einem CEG Textfeld in der MIB zugeordnet Jede OID die einem CEG Feld zugeordnet ist hat folgende Syntax 1 3 6 1 4 1 791 9845 x x x wobei 791 die Unternehmensnummer f r CA und 9845 die Produkt ID f
62. gen der Online Hilfe 222cccseeeseeeeesseeeennssesenenennneeneen berblick ber das Bookshelf mit Dokumentation 222222 Terminologieglossar Index 8 bersichtshandbuch 111 Kapitel 1 Einf hrung Dieses Kapitel enth lt folgende Themen ber dieses Handbuch siehe Seite 9 Info siehe Seite 10 ber dieses Handbuch Dieses bersichtshandbuch bietet eine Einf hrung in CA Enterprise Log Manager Es beginnt mit kurzen Lernprogrammen die sofort eine praktische Einf hrung in das Produkt erm glichen Das erste Lernprogramm befasst sich mit der Einrichtung und Aktivierung eines Single Server CA Enterprise Log Managers und dem Anzeigen von Syslogs die von einem UNIX Ger t in unmittelbarer Netzwerkn he erfasst wurden Das zweite Lernprogramm gibt eine Einf hrung in die Installation eines Agents auf einem Windows Betriebssystem die Konfiguration der Protokollerfassung und die Anzeige daraus resultierender Ereignisprotokolle Anschlie end beschreibt es die Hauptfunktionen und gibt Hinweise zu weiteren Informationen Dieses Handbuch richtet sich an alle Benutzer Zusammenfassung des Inhalts Abschnitt Info zu CA Enterprise Log Manager Schnellstartbereitstellung Bereitstellung von Windows Agents Hauptfunktionen Weitere Informationen zu CA Enterprise Log Manager Inhalt Integration von CA Enterprise Log Manager in Ihre aktuelle Netzwerkumgebung Installation eines Single Server Sy
63. ger sendet Jeder CA Enterprise Log Manager verf gt ber einen integrierten Agent Au erdem k nnen Sie einen Agenten auf einem Remote Sammelpunkt installieren und Ereignisse auf Hosts erfassen auf denen keine Agenten installiert werden k nnen Sie k nnen einen Agenten auch auf dem Host installieren auf dem die Ereignisquellen ausgef hrt werden und so die M glichkeit nutzen f r einen CA Enterprise Log Manager Unterdr ckungsregeln anzuwenden und bertragungen zu verschl sseln Glossary 77 Agenten Explorer Agentengruppe Agenten Management Aktionsabfrage Aktionsalarm Alarmserver Analystenrolle 78 bersichtshandbuch Der Agenten Explorer bezeichnet den Speicher f r die Einstellungen der Agentenkonfiguration Agenten k nnen in einem Erfassungspunkt oder in Endpunkten installiert werden an denen Ereignisquellen vorhanden sind Eine Agentengruppe ist eine Kennung die Benutzer auf ausgew hlte Agenten anwenden k nnen mit denen Benutzer eine Agentenkonfiguration gleichzeitig auf mehrere Agenten anwenden und Berichte auf der Basis der Gruppen abrufen k nnen Ein bestimmter Agent kann jeweils nur zu einer Gruppe geh ren Agentengruppen basieren auf benutzerdefinierten Kriterien wie der geografischen Region oder der Wichtigkeit Agenten Management ist der Software Prozess der alle Agenten steuert die mit allen f derierten CA Enterprise Log Managers verkn pft sind Dabei werden die Agenten mit denen kommuniz
64. h gesch tzt sind Ereignis Alarmausgabeprozess Der Ereignis Alarmausgabeprozess ist der IT PAM Prozess von CA durch den ein Produkt eines anderen Herstellers aufgerufen wird um auf Alarmdaten zu reagieren die in CA Enterprise Log Manager konfiguriert werden Sie k nnen einen CA IT PAM Prozess beim Planen eines Alarmjobs als Ziel ausw hlen Wenn ein Alarm zur Ausf hrung des CA IT PAM Prozesses f hrt sendet CA Enterprise Log Manager CA IT PAM Alarmdaten CA IT PAM leitet diese zusammen mit eigenen Verarbeitungsparametern als Teil des Ereignis Alarmausgabeprozesses an das Produkt des anderen Herstellers weiter Glossary 89 Ereignisaggregation Unter Ereignisaggregation versteht man den Prozess in dem hnliche Protokolleintr ge in einen Eintrag konsolidiert werden der die Anzahl der Vorkommnisse des Ereignisses enth lt ber Zusammenfassungsregeln wird definiert wie Ereignisse aggregiert werden Ereignisaktion event_action Ereigniserfassung Ereignisfilterung Die Ereignisaktion ist das ereignisspezifische Feld auf der vierten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es beschreibt allgemeine Aktionen Beispieltypen f r Ereignisaktionen sind Start und Stopp eines Prozesses oder Anwendungsfehler Ereigniserfassung bezeichnet das Lesen der Rohereigniszeichenfolge aus einer Ereignisquelle und das Senden dieser an den konfigurierten CA Enterprise Log Manager Auf die Ereigniserfassung folgt die Ereig
65. hergestellt werden Ereignisprotokollspeicher Ereignisquelle Ereignisse Ereignisverfeinerung Der Ereignisprotokollspeicher ist das Ergebnis des Archivierungsprozesses bei dem der Benutzer eine warme Datenbank sichert CA Enterprise Log Manager durch Ausf hren des Hilfsprogramms LMArchive benachrichtigt und die gesicherte Datenbank aus dem Ereignisprotokollspeicher in den langfristigen Speicher verschiebt Eine Ereignisquelle ist der Host von dem ein Connector Rohereignisse erfasst Eine Ereignisquelle kann mehrere Protokollspeicher enthalten auf die jeweils durch einen separaten Connector zugegriffen wird Die Bereitstellung eines neuen Connectors umfasst gew hnlich die Konfiguration der Ereignisquelle so dass der Agent darauf zugreifen und Rohereignisse aus einem der zugeh rigen Protokollspeicher lesen kann Rohereignisse f r das Betriebssystem andere Datenbanken und verschiedene Sicherheitsanwendungen werden separat f r die Ereignisquelle gespeichert Ereignisse in CA Enterprise Log Manager sind Protokolldatens tze die von jeder angegebenen Ereignisquelle generiert werden Ereignisverfeinerung bezeichnet den Prozess in dem die Zeichenfolge eines erfassten Rohereignisses in die jeweiligen Ereignisfelder und die zugeordneten CEG Felder analysiert wird Benutzer k nnen Abfragen durchf hren um die Ergebnisse der verfeinerten Ereignisdaten anzuzeigen Die Ereignisverfeinerung findet nach der Ereigniserfassung und vor der
66. ie benutzerdefinierte Rolle eine andere sein Ein lokaler Filter ist ein Satz von Kriterien die Sie w hrend der Berichtsanzeige angeben k nnen um die angezeigten Daten f r den aktuellen Bericht zu begrenzen Lokales Ereignis Management Server Ein lokales Ereignis ist ein Ereignis das eine einzelne Einheit umfasst bei der sich Quelle und Ziel des Ereignisses auf demselben Hostrechner befinden Ein lokales Ereignis entspricht Typ 1 der vier Ereignistypen die in der ELM Schemadefinition CEG verwendet werden Der Management Server ist eine Rolle die dem ersten installierten CA Enterprise Log Manager Server zugewiesen ist Dieser CA Enterprise Log Manager Server enth lt das Repository in dem gemeinsam genutzte Inhalte wie Richtlinien f r all seine CA Enterprise Log Managers gespeichert werden Dieser Server ist normalerweise der Standard Proxy f r automatische Software Updates Auch wenn dies in den meisten produktiven Umgebungen nicht empfehlenswert ist so kann der Management Server alle Rollen ausf hren MIB Management Information Base Die MIB Management Information Base f r CA Enterprise Log Manager CA ELM MIB muss f r jedes Produkt das Alarme in Form von SNMP Traps von CA Enterprise Log Manager erfassen soll importiert und konfiguriert werden Die MIB zeigt die Quelle der numerischen OIDs Objekt ID an die in einer SNMP Trap Meldung verwendet werden zusammen mit einer Beschreibung des Datenobjekts oder Ne
67. ie folgenden Eingabeaufforderungen um CA EEM zu konfigurieren Verwenden Sie einen lokalen oder einen Remote EEM Server Geben Sie I lokal oder r remote ein Um ein Standalone Testsystem zu erstellen geben Sie I f r lokal ein Geben Sie das Kennwort f r den Benutzer EiamAdmin des EEM Servers ein Best tigen Sie das Kennwort f r den Benutzer EiamAdmin des EEM Servers Geben Sie das Kennwort ein das Sie dem EiamAdmin Standard Superuser zugewiesen haben und best tigen Sie es durch erneute Eingabe Geben Sie einen Anwendungsnamen f r diesen CAELM Server CAELM ein Kapitel 2 Schnellstartbereitstellung 21 Installation eines Single Server Systems 22 bersichtshandbuch 14 15 c Dr cken Sie die Eingabetaste um CAELM zu akzeptieren den Standardanwendungsnamen f r CA Enterprise Log Manager Die bisher eingegebenen EEM Serverinformationen werden mit einer Meldung eingeblendet in der Sie gefragt werden ob Sie nderungen vornehmen m chten EEM server is not installed on the local host EEM Server Information EEM Server Type 1 local or r remote 1 EEM Server Name CALM1 EEM application name for this CAELM server CAELM Do you want to change the EEM Server information n d Dr cken Sie die Eingabetaste oder geben Sie n f r Nein ein um die eingegebenen CA EEM Serverinformationen zu akzeptieren Der Installationsvorgang wird gestartet Die folgenden Meldungen zeigen den erfolg
68. ierarchische F deration von CA Enterprise Log Manager Servern ist eine Topologie die eine hierarchische Beziehung zwischen Servern einrichtet In seiner einfachsten Form ist dies der Fall wenn Server 2 ein untergeordneter Server von Server 1 ist Server 1 jedoch nicht Server 2 untergeordnet ist Dies bedeutet dass die Beziehung nur in eine Richtung geht Eine hierarchische F deration kann mehrere Ebenen von ber und untergeordneten Beziehungen haben und ein einzelner bergeordneter Server kann mehrere untergeordnete Server haben Eine f derierte Abfrage gibt die Ergebnisse vom ausgew hlten Server und all seinen untergeordneten Servern zur ck Glossary 93 Hilfsprogramm LMArchive Das Hilfsprogramm LMArchive ist das Befehlszeilenhilfsprogramm mit dem die Sicherung und Wiederherstellung von Archivdatenbanken zum Ereignisprotokollspeicher auf einem CA Enterprise Log Manager Server verfolgt wird Mit LMArchive k nnen Sie die Liste der warmen Datenbankdateien abfragen die f r die Archivierung bereit sind Nach der Sicherung der aufgelisteten Datenbank und nach deren Verschieben in den langfristigen kalten Speicher k nnen Sie mit LMArchive einen Datensatz im CA Enterprise Log Manager erstellen dass diese Datenbank gesichert wurde Nach der Wiederherstellung einer kalten Datenbank in ihrem urspr nglichen CA Enterprise Log Manager k nnen Sie mit LMArchive CA Enterprise Log Manager benachrichtigen der dann die Datenbankdateien
69. ieren Automatische Software Updates Automatische Software Updates betreffen bin re und nicht bin re Dateien die vom CA Server f r automatische Software Updates zur Verf gung gestellt werden Bin rdateien sind Produktmodulaktualisierungen die normalerweise in CA Enterprise Log Manager installiert sind Nicht bin re Dateien oder Inhaltsaktualisierungen werden auf dem Management Server gespeichert Glossary 81 Benutzergruppe Eine Benutzergruppe kann eine Anwendungsgruppe eine globale oder eine dynamische Gruppe sein Vordefinierte CA Enterprise Log Manager Anwendungsgruppen sind Administrator Analyst und Auditor CA Enterprise Log Manager Benutzer k nnen ber Mitgliedschaften au erhalb von CA Enterprise Log Manager zu globalen Gruppen geh ren Dynamische Gruppen sind benutzerdefiniert und werden ber eine dynamische Gruppenrichtlinie erstellt Benutzername EiamAdmin Benutzerrolle Benutzerspeicher 82 bersichtshandbuch EiamAdmin ist der Standardname f r den Superuser der dem Benutzer zugewiesen wird der die CA Enterprise Log Manager Server installiert Bei der Installation der ersten CA Enterprise Log Manager Software erstellt der Installierende ein Kennwort f r dieses Superuser Konto wenn nicht bereits ein Remote CA EEM Server vorhanden ist In diesem Fall muss der Installierende das vorhandene Kennwort eingeben Nach der Installation der Soft Appliance ffnet der Installierende einen Browser von einer Workstat
70. iert wird authentifiziert Eine Aktionsabfrage ist eine Abfrage die einen Aktionsalarm unterst tzt Sie wird in einem wiederkehrenden Plan ausgef hrt um die Bedingungen zu testen die von dem zugeh rigen Aktionsalarm definiert sind Ein Aktionsalarm ist ein geplanter Abfragejob mit dessen Hilfe Richtlinienverletzungen Nutzungstrends Anmeldemuster und andere Ereignisaktionen die ein kurzfristiges Eingreifen erfordern ermittelt werden k nnen Wenn Alarmabfragen Ergebnisse zur ckgeben werden diese standardm ig auf der Seite Alarme in CA Enterprise Log Manager angezeigt und au erdem einem RSS Feed hinzugef gt Wenn Sie einen Alarm planen k nnen Sie zus tzliche Ziele angeben einschlie lich E Mail einen CA IT PAM Ereignis Alarmausgabeprozess und SNMP Traps Der Alarmserver ist der Speicher f r Aktionsalarme und Aktionsalarmjobs Die Analystenrolle erteilt Benutzern die Berechtigung benutzerdefinierte Berichte und Abfragen zu erstellen Berichte zu bearbeiten und Anmerkungen dazu einzugeben Kennungen zu erstellen und Berichte und Aktionswarnungen zu planen Analysten k nnen auch alle Auditor Aufgaben durchf hren Anwendungsbenutzer Anwendungsgruppe Anwendunssinstanz Anwendungsressource Ein Anwendungsbenutzer ist ein globaler Benutzer dem Detaildaten auf Anwendungsebene zugewiesen wurden Zu den CA Enterprise Log Manager Anwendungsbenutzerdetails geh ren die Benutzergruppe und Einschr nkungen der Zugriffs
71. ierte Datenbank kann entweder basierend auf einer Auto Archivierungskonfiguration automatisch verschoben werden oder sie kann manuell gesichert und verschoben werden bevor sie das konfigurierte L schalter erreicht Automatisch archivierte Datenbanken werden sofort nach dem Verschieben aus der Quelle gel scht Wenn Sie komprimierte Datenbanken t glich per Auto Archivierung auf einen Remote Server verschieben k nnen Sie diese Sicherungen falls gew nscht in einen langfristigen Off Site Protokollspeicher verschieben Mit Hilfe von beibehaltenen Protokollsicherungen k nnen Sie die Konformit t mit Gesetzen und Bestimmungen aufrechterhalten die besagen dass Protokolle sicher erfasst ber eine bestimmte Anzahl von Jahren zentral gespeichert und f r berpr fungen verf gbar gemacht werden m ssen Sie k nnen Protokolle aus einem langfristigen Speicher jederzeit wiederherstellen Hinweis Weitere Informationen zum Konfigurieren des Ereignisprotokollspeichers einschlie lich der Einrichtung der Auto Archivierung finden Sie im Implementierungshandbuch Weitere Informationen zum Wiederherstellen der Sicherungen f r Untersuchungen und Berichte finden Sie im Verwaltungshandbuch Standarddarstellung von Protokollen Standarddarstellung von Protokollen Protokolle die von Anwendungen Betriebssystemen und Ger ten erstellt werden verwenden eigene Formate CA Enterprise Log Manager verfeinert die erfassten Protokolle um die Datenberich
72. ignisse anzuzeigen oder entsprechende Berichte zu erstellen Sie k nnen auch Alarme generieren wenn bestimmte Ereignisse eintreten Kapitel 2 Schnellstartbereitstellung 27 Konfigurieren von Syslog Ereignisquellen 28 bersichtshandbuch So konfigurieren Sie eine ausgew hlte Syslog Ereignisquelle 1 Melden Sie sich bei dem Host an auf dem sich eine Ziel Syslog Ereignisquelle befindet Starten Sie CA Enterprise Log Manager ber einen Browser auf diesem Host Klicken Sie auf die Registerkarte Verwaltung und die untergeordnete Registerkarte Protokollerfassung Der Protokollerfassungs Explorer wird ge ffnet Erweitern Sie die Punkte Ereignisverfeinerungs Bibliothek Integrationen und Automatische Software Updates Eine Liste vordefinierter Integrationen wird angezeigt Eine kurzes Beispiel Protokollerfassungs Explorer gt I Agenten Explorer gt 0 Archivkatalogabfrage gt I CA Adapter y SEreignisverfeinerungs Bibliothek vw Integrationen Y Automatisches Software Update AIx_Syslog amp Apache_2059_to_2280_Syslog E CiscoACS_Syslog amp Siscoasa amp CiscoPIXFW E HPUX _ Syslog E Linux_localsyslog E Linux_Syslog Konfigurieren von Syslog Ereignisquellen 5 W hlen Sie die Integration f r die Ereignisquelle die Sie konfigurieren m ssen Wenn Sie beispielsweise Syslogs erfassen m chten die von einem AIX Betriebssystem generiert wurden m ssen Sie AIX_Syslog w hlen Das F
73. ine wiederverwendbare Vorlage f r die Erstellung einer regul ren Ausdruckssyntax die bei der CA Enterprise Log Manager Nachrichtenanalyse verwendet wird Ein Token verf gt ber einen Namen einen Typ und eine entsprechende Zeichenfolge f r den regul ren Ausdruck Ein natives Ereignis ist der Zustand oder die Aktion die ein Rohereignis ausl st Native Ereignisse werden empfangen entsprechend analysiert zugeordnet und dann als Rohereignisse oder verfeinerte Ereignisse bertragen Eine fehlgeschlagene Authentifizierung ist ein natives Ereignis Neukatalogisierung NIST Eine Neukatalogisierung ist eine erzwungene Neuerstellung des Katalogs Die Neukatalogisierung ist nur erforderlich wenn Daten im Ereignisprotokollspeicher eines anderen Servers wiederhergestellt werden als auf dem Server auf dem sie generiert wurden Wenn Sie einen CA Enterprise Log Manager als Wiederherstellungspunkt f r Untersuchungen von kalten Daten bestimmen m ssen Sie eine Neukatalogisierung der Datenbank immer dann erzwingen nachdem diese auf dem festgelegten Wiederherstellungspunkt wiederhergestellt wurde Eine Neukatalogisierung wird ggf automatisch durchgef hrt wenn iGateway erneut gestartet wird Die Neukatalogisierung einer einzelnen Datenbank kann mehrere Stunden in Anspruch nehmen Das National Institute of Standards and Technology NIST ist die Bundesagentur die Empfehlungen in ihrer Special Publication 800 92 Guide to Computer Security Log Mana
74. ion aus gibt die URL f r CA Enterprise Log Manager ein und meldet sich als EiamAdmin mit dem zugeh rigen Kennwort an Dieser erste Benutzer richtet den Benutzerspeicher ein erstellt Kennwortrichtlinien sowie das erste Benutzerkonto mit Administratorrolle Optional kann der Benutzer EiamAdmin jede Operation durchf hren die von CA EEM gesteuert wird Eine Benutzerrolle kann eine vordefinierte oder eine benutzerdefinierte Anwendungsgruppe sein Benutzerdefinierte Benutzerrollen werden ben tigt wenn die vordefinierten Anwendungsgruppen Administrator Analyst und Auditor nicht ausreichend differenziert sind um Arbeitszuweisungen zu reflektieren F r benutzerdefinierte Benutzerrollen sind benutzerdefinierte Zugriffsrichtlinien erforderlich Zudem muss vordefinierten Richtlinien die neue Rolle hinzugef gt werden Ein Benutzerspeicher ist das Repository f r globale Benutzerinformationen und Kennwortrichtlinien Der CA Enterprise Log Manager Benutzerspeicher ist standardm ig das lokale Repository das jedoch so konfiguriert werden kann dass CA SiteMinder oder ein unterst tztes LDAP Verzeichnis wie Microsoft Active Directory Sun One oder Novell eDirectory referenziert werden Unabh ngig davon wie der Benutzerspeicher konfiguriert wird enth lt das lokale Repository auf dem Management Server anwendungsspezifische Informationen ber die Benutzer wie ihre Benutzerrolle und dazugeh rige Zugriffsrichtlinien Beobachtetes Ereignis
75. irekten Protokollerfassung konfigurieren Sie den Syslog Listener auf dem Standardagent so dass dieser Ereignisse von den von Ihnen angegebenen vertrauensw rdigen Quellen empf ngt Sie k nnen andere Connectors auch so konfigurieren dass sie Ereignisse von allen Ereignisquellen erfassen die mit der Soft Appliance Plattform kompatibel sind Vorteil Sie m ssen keinen Agents installieren um Protokolle von Ereignisquellen zu erfassen die sich in unmittelbarer N he des CA Enterprise Log Manager Servers befinden Erfassung ohne Agent Bei der Erfassung ohne Agent gibt es keinen lokalen Agent an den Ereignisquellen Stattdessen wird an einem bestimmten Sammelpunkt ein Agent installiert F r jede Zielereignisquelle wird auf diesem Agent ein Connector konfiguriert Vorteil Sie k nnen Protokolle von Ereignisquellen erfassen die auf Servern ausgef hrt werden auf denen keine Agenten installiert werden k nnen beispielsweise auf Servern auf denen die Installation von Agenten aufgrund von betriebsinternen Richtlinien nicht zugelassen ist Die bermittlung ist garantiert wenn beispielsweise die ODBC Protokollerfassung korrekt konfiguriert wurde Agentbasierte Erfassung Bei der agentbasierten Erfassung wird ein Agent berall dort installiert wo ein oder mehrere Ereignisquellen ausgef hrt werden und ein Connector f r jede Ereignisquelle konfiguriert wurde Vorteil Sie k nnen Protokolle von Quellen erfassen auch wenn die Bandbrei
76. llen der Windows Ereignisquellen siehe Seite 50 Kapitel 3 Bereitstellung von Windows Agents 37 Erstellen eines Benutzerkontos f r den Agent Erstellen eines Benutzerkontos f r den Agent 38 bersichtshandbuch Bevor Sie einen Agent auf einem Windows Betriebssystem installieren erstellen Sie im Ordner der Windows Benutzer ein Konto f r den Agent Ziel dieses Agentkontos mit eingeschr nkten Rechten ist es den Agent mit den geringsten Berechtigungen auszuf hren Sie geben den Benutzernamen und das Kennwort ein die Sie hier bei der Installation des Agents erstellt haben Hinweis Sie k nnen diesen Schritt berspringen und bei der Installation die Anmeldeinformationen der Dom ne eines Administrators f r den Agent eingeben Diese Vorgehensweise wird jedoch nicht empfohlen So erstellen Sie ein Windows Benutzerkonto f r den Agent 1 Melden Sie sich bei dem Host an auf dem Sie den Agent installieren m chten Verwenden Sie die Verwaltungsanmeldeinformationen 2 Klicken Sie auf Start Programme Verwaltung Computerverwaltung 3 Erweitern Sie Lokale Benutzer und Gruppen 4 Klicken Sie mit der rechten Maustaste auf Benutzer und w hlen Sie Neuer Benutzer Das Windows Dialogfeld Neuer Benutzer wird ge ffnet 5 Geben Sie einen Benutzernamen und das Kennwort ein Best tigen Sie das Kennwort durch erneute Eingabe Ein effektives Kennwort besteht aus einer Mischung von alphanumerischen Zeichen und Sonder
77. llisten bei denen Sie die in der Abfrage verwendeten Werte verf gbar machen Einige Schl ssellisten umfassen vordefinierte Werte die Sie erg nzen k nnen Dazu geh ren beispielsweise Standardkonten und berechtigte Gruppen Andere Schl ssellisten beispielsweise die Liste f r unternehmenskritische Ressourcen verwenden keine Standardwerte Nach deren Konfiguration k nnen Warnungen f r vordefinierte Abfragen geplant werden z B m Hinzuf gen oder Entfernen von Gruppenmitgliedern durch berechtigte Gruppen Erfolgreiche Anmeldung durch Standardkonto m Keine Ereignisse von unternehmenskritischen Quellen erhalten Schl ssellisten k nnen manuell durch Import einer Datei oder durch Ausf hren eines CA IT PAM Prozesses mit dynamischen Werten aktualisiert werden Hinweis Einzelheiten zu Aktionsalarmen finden Sie im CA Enterprise Log Manager Administrationshandbuch Verwaltung von Berechtigungen Verwaltung von Berechtigungen Wenn Sie den Benutzerspeicher konfigurieren k nnen Sie entscheiden ob Sie den Standardbenutzerspeicher von CA Enterprise Log Manager verwenden m chten um Benutzerkonten einzurichten oder ob Sie einen externen Benutzerspeicher referenzieren m chten auf dem bereits Benutzerkonten definiert wurden Die zugrunde liegende Datenbank ist f r CA Enterprise Log Manager exklusiv Es wird kein kommerzielles Datenbankmanagementsystem DBMS verwendet Als externe Benutzerspeicher werden CA SiteMinder und LDAP V
78. ln arbeiten mit der Zeichen bereinstimmung um einen bestimmten Ereignistext zu suchen und diesen mit den ausgew hlten Werten zu verkn pfen Die Analyse auch als Nachrichtenanalyse bezeichnet umfasst den Prozess der Umwandlung roher Ger tedaten in Schl sselwertpaare Die Nachrichtenanalyse wird durch eine XMP Datei gesteuert Die Analyse die der Datenzuordnung vorausgeht ist ein Schritt des Integrationsprozesses der das von einer Ereignisquelle erfasste Rohereignis in ein verfeinertes Ereignis umwandelt das Sie anzeigen k nnen Nachrichtenanalysebibliothek Die Nachrichtenanalysebibliothek ist eine Bibliothek die Ereignisse aus den Listener Warteschlangen bernimmt und regul re Ausdr cke verwendet um Zeichenfolgen in Token Namenwertpaare zu bersetzen Nachrichtenanalysedatei XMP Eine Nachrichtenanalysedatei XMP ist eine XML Datei die mit einem bestimmten Ereignisquellentyp verkn pft ist der Analyseregeln anwendet Analyseregeln zerlegen die relevanten Daten in einem erfassten Rohereignis in Namenswertepaare die dann zur weiteren Verarbeitung an die Datenzuordnungsdatei weitergeleitet werden Dieser Dateityp wird in allen Integrationen sowie in Connectors verwendet die auf Integrationen basieren Im Falle von CA Adaptern k nnen XMP Dateien auch auf dem CA Enterprise Log Manager Server angewendet werden Nachrichtenanalyse Token ELM Natives Ereignis 98 bersichtshandbuch Ein Nachrichtenanalyse Token ist e
79. log Connector eingehende Ereignisse akzeptieren soll Geben Sie in das Eingabefeld die IP Adresse ein und klicken Sie auf Hinzuf gen Wiederholen Sie dies f r alle vertrauensw rdigen Hosts Wenn dann ein Ereignis von einem Host empfangen wird der nicht als vertrauensw rdig konfiguriert wurde wird dieses Ereignis abgelehnt Hinweis Es ist eine gute bung vertrauensw rdige Hosts zu konfigurieren Normalerweise konfigurieren Sie alle Hosts auf denen Sie Ereignisse konfiguriert haben die Syslogs an CA Enterprise Log Manager senden sollen Durch die Angabe von vertrauensw rdigen Hosts stellen Sie sicher dass der Standardagent keine Ereignisse von Schurkensystemen akzeptiert die ein Angreifer konfiguriert hat um Ereignisse an den Syslog Listener zu senden 32 bersichtshandbuch 9 10 11 12 Bearbeiten des Syslog Connectors Optional F gen Sie Ports hinzu Sie k nnen typischerweise die Standard UPD und TCP Ports f r den Standardagent akzeptieren Hinweis Sie erreichen Leistungsverbesserungen indem Sie einen Syslog Connector f r verschiedene Ereignistypen definieren und f r jeden einen eigenen Port festlegen Stellen Sie sicher dass die Ports nicht verwendet werden wenn Sie neue Ports zuweisen Optional F gen Sie nur eine Zeitzone hinzu wenn Sie Syslogs von Ger ten erfassen deren Zeitzone sich von der Soft Appliance unterscheidet a Klicken Sie auf Ordner erstellen und erweitern Sie den Ordner
80. m stellt Folgendes zur Verf gung Leicht zu verwendende Abfragefunktion mit Kennungen Echtzeitnahe Berichte Zentral durchsuchbare verteilte Archive kritischer Protokolle Der Fokus liegt auf Konformit tsberichten und weniger auf der Echtzeitzuordnung von Ereignissen und Alarmen Gesetze und Bestimmungen erfordern Berichte mit denen die Einhaltung von branchenspezifischen Regelungen nachgewiesen werden kann CA Enterprise Log Manager bietet Berichte mit folgenden Kennungen f r eine einfache Identifizierung m Basel Il m COBIT m COSO m EU Datenschutzrichtlinie m FISMA m GLBA m HIPAA m ISO IEC 27001 2 m JPIPA m JSOX m NERC m NISPOM m PCI m SAS70 m SOX Konformit tsberichte Sie k nnen vordefinierte Protokollberichte berpr fen oder auf Grundlage von selbst definierten Kriterien Suchl ufe durchf hren Neue Berichte erhalten Sie mit den automatischen Software Updates Protokollanzeigefunktionen werden wie folgt unterst tzt Bedarfsbasierte Abfragefunktion mit vordefinierten oder benutzerdefinierten Abfragen deren Ergebnisse bis zu 5000 Datens tze umfassen k nnen Schnelle Suche ber Eingabeaufforderungen nach bestimmten Hostnamen IP Adressen Portnummern oder Benutzernamen Geplante und bedarfsbasierte Berichterstattung mit standardisiertem Berichtsinhalt Geplante Abfragen und Alarme Basisberichte mit Trendinformationen Interaktive grafische Ereignisanzeige Automatische Berichterstattung
81. n Alarmen und den von Ihnen angezeigten Abfrageergebnissen nur die Daten f r das angegebene Produkt an Nachdem Sie das gew nschte Profil erstellt haben k nnen Sie es sobald Sie angemeldet sind jederzeit aktivieren Wenn Sie mehrere Profile erstellen k nnen Sie in einer Sitzung verschiedene Profile jeweils eins nach dem anderen auf Ihre Aktivit ten anwenden Vordefinierte Filter erhalten Sie mit den automatischen Software Updates Ein Protokoll ist ein Audit Datensatz oder eine erfasste Nachricht eines Ereignisses oder mehrerer Ereignisse Ein Protokoll kann ein Audit Protokoll ein Transaktionsprotokoll ein Intrusionsprotokoll ein Verbindungsprotokoll ein Systemleistungsdatensatz ein Benutzeraktivit tsprotokoll oder ein Alarm sein Protokollanalyse ist eine Untersuchung der Protokolleintr ge um relevante Ereignisse festzustellen Wenn Protokolle nicht zeitnah analysiert werden verringert sich ihr Wert betr chtlich 100 bersichtshandbuch Protokollanalyse Protokollarchivierung Protokolldatensatz Protokolleintrag Protokollsensor Protokollanalyse ist der Prozess der Datenextraktion aus einem Protokoll damit die analysierten Werte in einem Folgestadium der Protokollverwaltung verwendet werden k nnen Protokollarchivierung bezeichnet den Prozess der auftritt wenn die hei e Datenbank ihre Maximalgr e erreicht wenn eine Komprimierung auf Zeilenebene durchgef hrt wird und der Status von hei in warm ge nder
82. n Authentifizierungsschl ssel des Agenten ein Beispiel CA Enterprise Log Manager Agent InstallShield Wizard xi Information about CA Enterprise Log Manager gent ca d Enter CA Enterprise Log Manager Server IP or Name and Authentication Code Server IP or LogManagerD2 Name Authentication my_agent_auth_keyl Code SS Kapitel 3 Bereitstellung von Windows Agents 43 Installieren eines Agents 5 Geben Sie Namen und Kennwort des Benutzerkontos ein das Sie f r den Agent eingerichtet haben und klicken Sie auf Weiter CA Enterprise Log Manager Agent InstallShield Wizard xi Agent user credential information ca C4 Enter the credentials for gent user Specify as domain for local user account Username elmagentusr Domain Password Tree 6 Klicken Sie auf Weiter Optional k nnen Sie eine Datei f r den exportierten Connector angeben Die Seite Kopieren der Dateien starten wird angezeigt 7 Klicken Sie auf Weiter Die Installation des Agents ist abgeschlossen 8 Klicken Sie auf Fertig stellen 9 Fahren Sie mit der Konfiguration der Connectors f r diesen Agent fort Nachdem Sie die Connectors konfiguriert haben werden die erfassten Ereignisse ber Port 17001 an den CA Enterprise Log Manager Ereignisprotokollspeicher gesendet Wichtig Wenn Sie ber den Host auf dem Sie den Agent installiert haben keinen ausgehenden Datenverkehr zulassen und die Wind
83. n von Kurzinfos siehe Seite 69 Anzeigen der Online Hilfe siehe Seite 71 berblick ber das Bookshelf mit Dokumentation siehe Seite 73 Anzeigen von Kurzinfos Sie k nnen die Bedeutung von Schaltfl chen Kontrollk stchen und Berichten auf der CA Enterprise Log Manager Seite in Ihrer aktuellen Ansicht abfragen So zeigen Sie Kurzinfos und andere Hilfselemente an 1 Halten Sie den Cursor ber die Schaltfl che um eine Beschreibung der entsprechenden Funktion anzuzeigen Auf diese Weise k nnen Sie die Funktion aller Schaltfl chen anzeigen ET S Profile Rem Profil Fr nuichtn Alanne s m ihren sa Unum anit F derationsdiagramm und Statusmonitor anzeigen avor TI Profile ichhedie Globale Filter und Einstellungen se am ciha am 2 Beachten Sie den Unterschied zwischen aktiven und inaktiven Schaltfl chen Aktivierte Schaltfl chen werden farbig angezeigt So wird die Schaltfl che Zugriffsfilterliste f r Administratoren der Benutzer und Zugriffsverwaltung farbig angezeigt Zugriffsfilterliste DAAN Deaktivierte Schaltfl chen werden schwarz wei dargestellt So wird die Schaltfl che Zugriffsfilterliste f r Auditoren schwarz wei dargestellt Zugriffsfilterliste CEAN Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager 69 Anzeigen von Kurzinfos 70 bersichtshandbuch 3 Zeigen Sie die Beschreibungen f r Eingabefelder und Kontrollk stchen an indem Sie den
84. nager senden sollen Damit CA Enterprise Log Manager diese Rohereignisse verfeinern kann m ssen Sie diesen Syslog_Connector editieren Bestimmte Bearbeitungen sind erforderlich andere sind optional Sie m ssen die Syslog Ziele angeben wenn Sie diesen Connector bearbeiten Als Syslog Ziele w hlen Sie jede Integration die einer oder mehreren Ereignisquellen entspricht die Sie konfiguriert haben oder konfigurieren m chten Durch die Angabe der Syslog Ziele ist CA Enterprise Log Manager in der Lage Ereignisse korrekt zu verfeinern Optional k nnen Sie Unterdr ckungsregeln anwenden die Akzeptanz von Syslogs f r vertrauensw rdige Hosts beschr nken neben 514 dem bekannten UDP Port und 1468 dem Standard TCP Port noch weitere Ports zum Abh ren festlegen und oder eine neue Zeitzone f r einen vertrauensw rdigen Host hinzuf gen So bearbeiten Sie den Syslog Connector f r einen Standardagent 1 3 Klicken Sie auf die Registerkarte Verwaltung Die untergeordnete Registerkarte Protokollerfassung wird angezeigt Erweitern Sie den Agent Explorer und dann die Standard Agentengruppe oder die benutzerdefinierte Gruppe mit dem zu konfigurierenden CA Enterprise Log Manager W hlen Sie den Namen eines CA Enterprise Log Manager Servers Der Connector mit dem Namen Syslog_Connector wird angezeigt Connectors U Connector Hame Integration Bearbeiten Syslog_Connector Syslog FA Bearbeiten Kapitel 2 Schnellstartbereit
85. ncher Firma CA Dateiversion 11 50 0 42618 Erstellt am 11 11 2009 10 21 Gr e 20 5 MB Installieren eines Agents 42 bersichtshandbuch Bevor Sie beginnen sollten Sie Folgendes bereit halten IP Adresse des CA Enterprise Log Manager Servers von dem Sie das Agentprogramm heruntergeladen haben Benutzername und Kennwort des Benutzerkontos das Sie f r den Agent erstellt haben Authentifizierungsschl ssel des Agenten den Sie festgelegt haben So installieren Sie einen Agent f r einen Windows Host 1 Doppelklicken Sie auf das Startprogramm f r die Agentinstallation u ca elmagen Installieren eines Agents Der Installations Assistent wird gestartet Klicken Sie auf Weiter lesen Sie den Lizenzvertrag klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu um fortzufahren und klicken Sie auf Weiter Akzeptieren Sie den angebotenen Installationspfad oder ndern Sie ihn und klicken Sie auf Weiter Geben Sie die erforderlichen Informationen wie folgt ein a Geben Sie den Hostnamen des CA Enterprise Log Manager Servers ein an den dieser Agent die erfassten Protokolle weiterleiten soll Hinweis Da CA Enterprise Log Manager in diesem Beispielszenario DHCP f r die IP Adressenzuordnung verwendet d rfen Sie hier keine IP Adresse eingeben Andernfalls besteht die Gefahr dass der Agent neu installiert werden muss falls sich die IP Adresse des Servers ndert b Geben Sie de
86. nisverfeinerung Ereignisfilterung ist der Prozess in dem Ereignisse auf der Basis von CEG Filtern verworfen werden Ereigniskategorie event_category Ereigniskategorien Die Ereigniskategorie ist das ereignisspezifische Feld auf der zweiten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es dient der weiteren Klassifizierung von Ereignissen mit einen speziellen Idealmodell Ereigniskategorietypen umfassen die Betriebssicherheit das Identit ten Management das Konfigurations Management den Ressourcen und Systemzugriff Ereigniskategorien sind Kennungen anhand derer CA Enterprise Log Manager Ereignisse nach ihrer Funktion klassifiziert bevor sie in den Ereignisspeicher eingef gt werden Ereignisklasse event_class 90 bersichtshandbuch Die Ereignisklasse ist das ereignisspezifische Feld auf der dritten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es dient der weiteren Klassifizierung von Ereignissen mit einer speziellen Ereigniskategorie Ereignisprotokollspeicher Der Ereignisprotokollspeicher ist eine Komponente im CA Enterprise Log Manager Server bei der eingehende Ereignisse in Datenbanken gespeichert werden Die Datenbanken im Ereignisprotokollspeicher m ssen vor dem Zeitpunkt der f r den L schvorgang konfiguriert wurde manuell gesichert werden und zu einer Remote Protokollspeicherl sung verschoben werden Archivierte Datenbanken k nnen in einem Ereignisprotokollspeicher wieder
87. nnector_User001LAB Plattformversion WIN2003 v L berpr fung der Plattformversion umgehen Version 12 0 5009 0 v Beschreibung Dieser Connector geh rt zu NTEventLog W hlen Sie den Schritt Connector Konfiguration Connector Details Unterdr ckungsregeln anwenden Zusammenfassungsregeln anwenden Connector Konfiguration Der Bereich Sensorkonfiguration wird eingeblendet Er enth lt eine Hilfe Schaltfl che mit einer Verkn pfung zum Connector Handbuch f r NTEventLog in dem Sie Hilfe zu den Feldern f r die Sensorkonfiguration finden Connector Konfiguration Geben Sie die Konfigurationsdetails ein Gespeicherte Konfigurationen Konfiguration ausw hlen v Sensorkonfiguration WMI Quellen amp g Klicken Sie hier um die Integrationshilte anzuzeigen Erstellen eines Connectors basierend auf NTEventlog 8 Klicken Sie auf die Schaltfl che zum Anzeigen von Details f r WMI Quellen Connector Konfiguration S Geben Sie die Konfigurationsdetails ein Gespeicherte Konfigurationen Konfiguration ausw hlen w Sensorkonfiguration WMI Quellen N Details anzeigen 9 Konfigurieren Sie die WMILogSensor Einstellungen des lokalen Computers f r die agentbasierte Protokollerfassung Weitere Informationen erhalten Sie wenn Sie auf Hilfe klicken Das folgende Beispiel zeigt eine Konfiguration bei der der Benutzer ein Windows Administrator auf dem angegebenen WMI Server ist Die Dom ne gilt f
88. nternetzugang Glossary 101 Proxy f r automatische Software Updates online Ein Online Proxy f r automatische Software Updates ist ein CA Enterprise Log Manager Server mit Internetzugang der automatische Software Updates nach einem wiederkehrenden Zeitplan von einem CA Server f r automatische Software Updates erh lt Ein bestimmter Online Proxy f r automatische Software Updates kann f r einen oder mehrere Clients in die Proxy List aufgenommen werden Dieser kontaktiert die aufgelisteten Proxys im Ringversuch um bin re Aktualisierungen anzufordern Ein bestimmter Online Proxy leitet wenn er so konfiguriert wurde neue Inhalts und Konfigurationsaktualisierungen an den Management Server weiter wenn diese nicht bereits von einem anderen Proxy weitergeleitet wurden Das Verzeichnis f r automatische Software Updates eines ausgew hlten Online Proxys wird beim Kopieren von Aktualisierungen in Offline Proxys automatischer Software Updates als Quelle verwendet Proxy f r automatische Software Updates Standardwert Der Standard Proxy f r automatische Software Updates ist normalerweise der CA Enterprise Log Manager Server der als erster installiert wurde und der auch der prim re CA Enterprise Log Manager sein kann Der Standard Proxy f r automatische Software Updates ist au erdem ein Online Proxy f r automatische Software Updates und muss daher ber einen Internetzugang verf gen Wenn keine anderen Online Proxys f r automatische Sof
89. obalen Gruppen gemeinsam Verschiedene CA Produkte verf gen ber verschiedene Standardanwendunsgsinstanzen Eine Anwendungsressource ist eine der CA Enterprise Log Manager spezifischen Ressourcen in denen CALM Zugriffsrichtlinien bestimmten Identit ten die Durchf hrung bestimmter anwendungsspezifischer Aktionen wie der Erstellung Planung und Bearbeitung gew hren oder verweigern Beispiele hierf r sind Berichte Alarme und Integration Sieh auch globale Ressource Glossary 79 AppObjects Archivabfrage AppObjects oder Anwendungsobjekte sind produktspezifische Ressourcen die in CA EEM unter der Anwendungsinstanz eines bestimmten Produkts gespeichert sind F r die CAELM Anwendungsinstanz umfassen diese Ressourcen Berichts und Abfrageinhalte geplante Berichts und Alarmjobs Agenteninhalte und konfigurationen Service Adapter und Integrationskonfigurationen Datenzuordnungs und Nachrichtenanalysedateien sowie Unterdr ckungs und Zusammenfassungsregeln Eine Archivabfrage ist eine Abfrage des Katalogs anhand dessen die kalten Datenbanken identifiziert werden die wiederhergestellt und f r die Abfrage verf gbar gemacht werden m ssen Eine Archivabfrage unterscheidet sich darin von einer normalen Abfrage dass sie sich auf kalte Datenbanken bezieht w hrend sich normale Abfragen auf hei e warme und verf gbar gemachte Datenbanken beziehen Administratoren k nnen eine Archivabfrage ber die Registerkarte Verwaltung die
90. okumentation Geben Sie im Eingabefeld Suchen einen Wert ein und klicken Sie auf die Schaltfl che Suchen um alle dokumentierten Vorkommnisse anzuzeigen die Ihren Eintrag enthalten Klicken Sie auf eine Druckverkn pfung um die PDF Version des ausgew hlten Handbuchs zu ffnen berblick ber das Bookshelf mit Dokumentation Klicken Sie auf eine HTML Verkn pfung um den integrierten Dokumentationssatz zu ffnen Der integrierte Satz enth lt alle Handb cher im HTML Format Wenn Sie die HTML Verkn pfung f r das bersichtshandbuch w hlen wird dieses Handbuch angezeigt Contents Search oo 28 3 Overview Guide CA Enterprise Log Manager Guides Legal Notices CA Enterprise Log Manager C Product References r12 1 Contact CA Examples Release Notes E Overview Guide Implementation Guide I Agent Installation Guide Administration Guide API Programming Guide ca EEM Release Notes CA EEM Getting Started ba Glossary Copyright 2009 CA All rights reserved Kapitel 5 Weitere Informationen zu CA Enterprise Log Manager 75 Terminolodieglossar Abfrage Abfragebibliothek Administratorrolle Agent Eine Abfrage ist ein Satz von Kriterien mit denen die Ereignisprotokollspeicher der aktiven CA Enterprise Log Manager Server und sofern angegeben seiner f derierten Server durchsucht werden Eine Abfrage richtet sich an die hei en warmen od
91. on eines Single Server Systems siehe Seite 16 Aktualisieren der Windows Hostdatei siehe Seite 23 Konfigurieren des ersten Administrators siehe Seite 23 Konfigurieren von Syslog Ereignisquellen siehe Seite 27 Bearbeiten des Syslog Connectors siehe Seite 31 Anzeigen von Syslog Ereignissen siehe Seite 35 berblick ber den Schnellstart Sie k nnen eine einfache funktionsf hige CA Enterprise Log Manager Bereitstellung mit einer Soft Appliance erstellen Mit Hilfe des vordefinierten Syslog Connectors kann der Standardagent generierte Syslog Ereignisse empfangen Sie m ssen lediglich Ihre Syslog Quellen konfigurieren um Syslog Ereignisse an CA Enterprise Log Manager weiterzugeben und die Syslog Connector Konfiguration bearbeiten so dass die Syslog Ziele erkannt werden Die Bandbreite zwischen dem Server und den Syslog Quellen sowie die Latenz bestimmen was empfangen wird Protokollsensoren einschlie lich WinRM und ODBC unterst tzen die direkte Protokollerfassung von ber zwanzig Nicht Syslog Ereignisquellen Der WinRM Protokollsensor erm glicht die direkte Ereigniserfassung von Servern auf denen Windows Betriebssysteme ausgef hrt werden wie z B Forefront Security f r Exchange Server Forefront Security f r SharePoint Server Microsoft Office Communication Server und der virtuelle Server Hyper V sowie Services wie Active Directory Certificate Services Der ODBC Protokollsensor erm glicht von Oracle9i oder SQL Serv
92. ows Firewall verwenden m ssen Sie diesen Port auf Ihrer Windows Firewall ffnen Weitere Informationen Herunterladen des Agentinstallationsprogramms siehe Seite 41 Erstellen eines Benutzerkontos f r den Agent siehe Seite 38 Festlegen des Authentifizierungsschl ssels f r einen Agenten siehe Seite 40 44 bersichtshandbuch Erstellen eines Connectors basierend auf NTEventLog Erstellen eines Connectors basierend auf NTEventLog Nach der Installation eines Agents k nnen Sie einen Connector erstellen um die Ereignisquelle f r die Erfassung von Ereignissen festzulegen Da Sie einen Agent auf einem Server mit Windows Betriebssystem installiert haben erstellen Sie einen Connector basierend auf der NTEventlog Integration und legen die Einstellungen f r den WMlLogSensor wie im Connector Handbuch beschrieben fest Dieses Handbuch ffnen Sie ber den Assistenten zum Erstellen neuer Connectors Sie geben den Namen des Hosts an auf dem der Agent f r eine agentbasierte Protokollerfassung installiert ist Optional k nnen Sie einen anderen WMI Protokollsensor f r diesen Connector hinzuf gen und einen Host angeben der nicht dem Host entspricht auf dem der Agent installiert ist So erm glichen Sie die Protokollverbindung ohne Agent Der die zus tzliche n Host s m ssen sich in derselben Dom ne befinden und ber denselben Windows Administrator verf gen wie der erste hinzugef gte Host So erstellen Sie einen Connector basierend
93. r 104 bersichtshandbuch Schl sselwerte Schl sselwerte sind benutzerdefinierte Werte die einer benutzerdefinierten Liste Schl sselgruppe zugewiesen werden Wenn eine Abfrage eine Schl sselgruppe verwendet enthalten die Suchergebnisse bereinstimmungen mit beliebigen Schl sselwerten in der Schl sselgruppe Es gibt mehrere vordefinierte Schl sselgruppen einige von diesen enthalten vordefinierte Schl sselwerte die in vordefinierten Abfragen und Berichten verwendet werden Selbst berwachendes Ereignis Services SNMP SNMP Trap Inhalte Ein selbst berwachendes Ereignis ist ein Ereignis das von CA Enterprise Log Manager protokolliert wird Solche Ereignisse werden automatisch durch Aktionen generiert die von angemeldeten Benutzern und Funktionen durchgef hrt wurden die wiederum von verschiedenen Modulen wie den Services oder Listeners ausgef hrt wurden Der Bericht f r SIM Operationen selbst berwachende Ereignisdetails kann angezeigt werden indem Sie einen Berichtsserver ausw hlen und die Registerkarte Selbst berwachende Ereignisse ffnen Die CA Enterprise Log Manager Services sind Ereignisprotokollspeicher Berichtsserver und automatisches Software Update Administratoren konfigurieren diese Services auf einer globalen Ebene bei der standardm ig alle Einstellungen auf alle CA Enterprise Log Managers angewendet werden Die meisten globalen Einstellungen f r Services k nnen auf der lokalen Ebene also
94. r Ressourcenklasse zul ssig Anmerken Berichte Erstellen Alarm calmTag EventGrouping Integration und Bericht Datenzugriff Daten Ausf hren ArchiveQuery und Planen Alarm Bericht CALM Anwendungszugriffsrichtlinie calmTag Die CALM Anwendungszugriffsrichtlinie ist ein Zugriffssteuerungslistentyp einer Richtlinie zur Bereichsdefinierung die festlegt wer sich in CA Enterprise Log Manager anmelden darf Anmeldungszugriff wird standardm ig dem Gruppen Administrator dem Gruppen Analysen und dem Gruppen Auditor erteilt calmTag ist ein benanntes Attribut f r das Anwendungsobjekt das bei der Erstellung einer Richtlinie zur Bereichsdefinierung verwendet wird um Benutzer auf bestimmte Berichte und Abfragen zu beschr nken die zu bestimmten Kennungen geh ren Alle Berichte und Abfrage sind Anwendungsobjekte und haben calmTag als Attribut Dies ist nicht zu verwechseln mit der Ressource Kennung CA Server f r automatische Software Updates CEG Felder Der CA Server f r automatische Software Updates ist die Quelle f r automatische Aktualisierungen aus CA CEG Felder sind Label mit denen die Darstellung von Rohereignisfeldern aus unterschiedlichen Ereignisquellen standardisiert wird W hrend der Verfeinerung von Ereignissen wandelt CA Enterprise Log Manager Rohereignismeldungen in Namen Wertepaare um und ordnet die Namen der Rohereignisse Standard CEG Feldern zu Bei dieser Verfeinerung entstehen Namen
95. r wenn der f r Festplattenspeicher f r Archiv konfigurierte Schwellenwert erreicht wird je nachdem welcher Wert zuerst erreicht wird Sie k nnen die Archivdatenbank abfragen um kalte und warme Datenbanken zu ermitteln Datenbankstatus verf gbar gemacht Der Datenbankstatus verf gbar gemacht ist der Status der einer Datenbank zugewiesen wird die im Archivverzeichnis wiederhergestellt wurde nachdem der Administrator das Hilfsprogramm LMArchive ausgef hrt hat um CA Enterprise Log Manager mitzuteilen dass die Datenbank wiederhergestellt wurde Verf gbar gemachte Datenbanken bleiben f r die Anzahl der Stunden erhalten die f r die Exportrichtlinie konfiguriert wurde Ereignisprotokolle k nnen in Datenbanken mit dem Status hei warm und verf gbar gemacht abgefragt werden Datenbankstatus warm Datenbankstatuswerte Der Datenbankstatus warm bezeichnet den Status in dem eine hei e Datenbank von Ereignisprotokollen verschoben wird wenn die Gr e Maximale Zeilenanzahl der hei en Datenbank berschritten wird oder wenn nach der Wiederherstellung einer kalten Datenbank in einem neuen Ereignisprotokollspeicher eine Neukatalogisierung durchgef hrt wird Warme Datenbanken werden komprimiert und im Ereignisprotokollspeicher beibehalten bis ihr Alter in Tagen den konfigurierten Wert f r Maximale Anzahl an Archivtagen berschreitet Ereignisprotokolle k nnen in Datenbanken mit dem Status hei warm und
96. rechte Wenn der Benutzerspeicher das lokale Repository ist umfassen die Anwendungsbenutzerdetails auch die Anmeldedaten und die Kennwortrichtlinien Eine Anwendungsgruppe ist eine produktspezifische Gruppe die einem globalen Benutzer zugewiesen werden kann Vordefinierte Anwendungsgruppen f r CA Enterprise Log Manager oder Rollen sind Administrator Analyst und Auditor Diese Anwendungsgruppen stehen nur CA Enterprise Log Manager Benutzern zur Verf gung Sie k nnen Benutzern anderer Produkte die auf demselben CA EEM Server registriert wurden nicht zugewiesen werden Benutzerdefinierte Anwendungsgruppen m ssen zur Standardrichtlinie f r den CALM Anwendungszugriff hinzugef gt werden damit die Benutzer auf CA Enterprise Log Manager zugreifen k nnen Eine Anwendungsinstanz ist ein allgemeiner Bereich imCA EEM Repository in dem alle Berechtigungsrichtlinien Benutzer Gruppen Inhalte und Konfigurationen gespeichert werden Normalerweise verwenden alle CA Enterprise Log Manager Server in einem Unternehmen dieselbe Anwendunsgsinstanz standardm ig CAELM Sie k nnen CA Enterprise Log Manager Server mit verschiedenen Anwendunsgsinstanzen installieren aber nur die Server die dieselbe Anwendungsinstanz gemeinsam nutzen k nnen f deriert werden Server die f r die Verwendung desselben CA EEM Servers aber mit verschiedenen Anwendunsgsinstanzen konfiguriert wurden nutzen nur den Benutzerspeicher die Kennwortrichtlinien und die gl
97. reichen Fortschritt der einzelnen CA Enterprise Log Manager Komponenten den Abschluss der Registrierungen den Empfang von Zertifikaten den Import von Dateien und die Konfiguration der Komponenten Die folgende Meldung best tigt dass die CA ELM Installation erfolgreich abgeschlossen wurde Nach Abschluss der Installation zeigt das System die Anmeldeadresse der Konsole an Antworten Sie auf die folgende Eingabeaufforderung Do you want to run CAELM Server in FIPS mode M chten Sie den CAELM Server im FIPS Modus starten Geben Sie Yes Ja oder No Nein ein Wenn Sie y eingeben wird der CA Enterprise Log Manager Server im FIPS Modus hochgefahren Wenn Sie n eingeben wird er im Nicht FIPS Modus hochgefahren Notieren Sie sich diese Adresse Diese Adresse m ssen Sie in einem Browser eingeben um auf diesen CA Enterprise Log Manager Server zuzugreifen Diese lautet https lt hostname gt 5250 spin calm Es wird eine Anmeldeaufforderung f r den lt hostname gt angezeigt Diese k nnen Sie au er Acht lassen Hinweis Wenn Sie von dieser Anmeldeaufforderung aus die Eingabeaufforderung des Betriebssystems anzeigen m chten geben Sie caelmadmin und das Standardkennwort ein d h das Kennwort das Sie dem Benutzerkonto f r EiamAdmin zugewiesen haben Mit diesem caelmadmin Konto k nnen Sie sich bei der Anwendung auf der Konsole oder ber SSH anmelden Aktualisieren der Windows Hostdatei 16 Fahren Sie wie folgt
98. reren globalen Gruppen zugeordnet werden Zugriffsrichtlinien k nnen mit globalen Gruppen als Identit ten definiert werden denen die Durchf hrung bestimmter Aktionen in ausgew hlten Ressourcen gew hrt oder verweigert wird Die global Konfiguration bezeichnet eine Reihe von Einstellungen die alle CA Enterprise Log Manager Server betreffen die denselben Management Server verwenden Eine globale Ressource f r das CA Enterprise Log Manager Produkt ist eine Ressource die mit anderen CA Anwendungen gemeinsam genutzt wird Sie k nnen Richtlinien zur Bereichsdefinierung mit globalen Ressourcen erstellen Beispiele hierf r sind Benutzer Richtlinien und Kalender Siehe auch Anwendungsressource Bei einem globalen Benutzer handelt es sich um die Benutzerkontoinformationen ohne anwendungsspezifische Details Die Details und eines globalen Benutzers und die Mitgliedschaften einer globalen Gruppe werden gemeinsam in allen CA Anwendungen genutzt die mit dem Standardbenutzerspeicher integriert werden k nnen Die Details globaler Benutzer k nnen im eingebetteten Repository oder in einem externen Verzeichnis gespeichert werden Ein globaler Filter ist ein Satz von Kriterien die Sie angeben k nnen und mit denen die in den Berichten angezeigten Daten begrenzt werden k nnen Beispielsweise zeigt ein globaler Filter f r die letzten 7 Tage nur die Ereignisse an die in den letzten sieben Tagen generiert wurden Hierarchische F deration Eine h
99. resse gt 5250 spin calm Melden Sie sich beim CA Enterprise Log Manager Server an Geben Sie Ihren Benutzernamen und Ihr Kennwort ein und klicken Sie auf Anmelden Klicken Sie auf die Registerkarte Verwaltung Im linken Fensterbereich wird der Protokollerfassungs Explorer angezeigt W hlen Sie den Agent Explorer Ordner Im Hauptbereich wird eine Symbolleiste angezeigt Klicken Sie auf Authentifizierungsschl ssel des Agenten SLE ler BE Agentengruppe Alle Authentifizierungsschl ssel des Agenten Geben Sie den Authentifizierungsschl ssel des Agenten ein der f r die Agentinstallation verwendet werden soll oder notieren Sie den aktuellen Eintrag Wichtig Notieren Sie diesen Schl ssel oder zeichnen Sie ihn auf Sie ben tigen ihn bei der Installation des Agents Authentifizierungsschl ssel des Agenten Authentifizierungsschl ssel des Agenten anzeigen aktualisieren Erforderlich Authentifizierungsschl ssel This_is_default_authentication_key Authentifizierungsschl ssel eingeben my_agent_auth_key Authentifizierungsschl ssel best tigen my_agent_auth_key 40 bersichtshandbuch Herunterladen des Agentinstallationsprogramms 7 Klicken Sie auf Speichern 8 Fahren Sie mit dem Herunterladen des Agentinstallationsprogramms fort n chster Schritt Herunterladen des Agentinstallationsprogramms Wenn Sie nur den Authentifizierungsschl ssel des Agenten festlegen k nnen Sie
100. rs an b Geben Sie den Hostnamen oder die IP Adresse des NTP Servers ein Es wird eine Best tigungsmeldung mit dem ungef hren Wortlaut angezeigt Ihr System wurde so konfiguriert dass die Uhrzeit um Mitternacht ber den NTP Server unter lt ihrntpserver gt aktualisiert wird Installation eines Single Server Systems 12 Lesen Sie die angegebenen Endbenutzerlizenzvertr ge End User License Agreements oder EULAs und gehen Sie folgenderma en vor 13 a Lesen Sie die EULA f r das Sun Java Development Kit JDK Am Ende der EULA wird die folgende Meldung angezeigt Stimmen Sie den Bestimmungen des oben aufgef hrten Lizenzvertrags zu Ja oder Nein Geben Sie Ja ein wenn Sie den Bestimmungen des oben aufgef hrten Lizenzvertrags zustimmen Die Produktregistrierungsinformationen werden angezeigt gefolgt von dieser Meldung Dr cken Sie zum Fortfahren die Eingabetaste Dr cken Sie die Eingabetaste Die folgenden Meldungen geben an dass zur Vorbereitung der CA Enterprise Log Manager Installation die Systemeinstellungen konfiguriert werden Der CA Endbenutzer Lizenzvertrag EULA wird angezeigt Lesen Sie die CA EULA Am Ende des Lizenzvertrags wird die folgende Meldung angezeigt Stimmen Sie den Bestimmungen des oben aufgef hrten Lizenzvertrags zu Ja oder Nein Geben Sie Ja ein wenn Sie den Bestimmungen des Lizenzvertrags zustimmen Die CA EEM Serverinformationen werden angezeigt Befolgen Sie d
101. rver Systems 20 bersichtshandbuch 10 11 Die folgende Meldung wird angezeigt M chten Sie die Netzwerkkonfiguration ndern n berpr fen Sie die Netzwerkeinstellungen Wenn Sie zufrieden sind geben Sie n ein oder dr cken Sie die Eingabetaste wenn die Meldung angezeigt wird in der Sie die Netzwerkeinstellungen ndern k nnen Die folgende Meldung wird angezeigt Geben Sie den Dom nennamen f r dieses System ein Geben Sie Ihren Dom nennamen ein z B lt ihrunternehmen gt com Die folgende Meldung wird angezeigt Geben Sie eine kommagetrennte Liste mit DNS Servern ein die verwendet werden k nnen Geben Sie die IP Adressen Ihrer internen DNS Server ein Sie m ssen durch Kommas ohne Leerzeichen voneinander getrennt sein Systemdatum und zeit werden in der folgenden Meldung angezeigt M chten Sie Systemdatum und zeit ndern n berpr fen Sie das angezeigte Systemdatum und die Systemzeit Wenn Sie zufrieden sind dr cken Sie die Eingabetaste oder geben Sie n ein Die folgende Meldung wird angezeigt M chten Sie das System konfigurieren um die Uhrzeit ber NTP zu aktualisieren Wenn Sie einen NTP Server Network Time Protocol verwenden gehen Sie wie folgt vor W hlen Sie andernfalls Nein und fahren Sie mit dem n chsten Schritt fort a W hlen Sie f r diese Meldung Ja Wenn Sie Ja w hlen wird die folgende Meldung angezeigt Geben Sie den Namen oder die IP Adresse des NTP Serve
102. s Systeme Unix Systeme und Verschiedene mit aktivem WMI Ger te die Syslog Anwendungen Service Eintr ge generieren Datenbanken und Ger te Ein optimaler Betrieb erfordert eine L sung in der s mtliche Protokolle konsolidiert werden und die daf r sorgt dass Protokolle gut lesbar sind dass die Archivierung im Speicher automatisiert ist und die Protokollwiederherstellung vereinfacht wird CA Enterprise Log Manager bietet diese Vorteile und gibt Ihnen die M glichkeit Alarme an Benutzer und Systeme zu senden wenn kritische Ereignisse eintreten Kapitel 1 Einf hrung 11 Info Installationsumfang 12 bersichtshandbuch Es nimmt nur wenig Zeit in Anspruch eine Single Server L sung einzurichten und mit dem Erfassen von Ereignissen zu beginnen Die Installationsdatentr ger enthalten folgende Komponenten m Betriebssystem Red Hat Enterprise Linux f r die Soft Appliance m CA Enterprise Log Manager Server CA Enterprise Log Manager Agent in dieser Dokumentation der Agent In der folgenden Abbildung ist CA Enterprise Log Manager ein Server bestehend aus einem kleinen Server einem dunklen gr nen Kreis und einer Datenbank Der kleine Server steht f r das lokale Repository das den Inhalt auf Anwendungsebene speichert Der dunkle Kreis steht f r den Standardagent und die Datenbank steht f r den Ereignisprotokollspeicher in dem eingehende Ereignisprotokolle verarbeitet und f r Abfragen und Berichte verf gbar gemacht w
103. ser Konfiguration geh ren RSS Feed URL f r Software Updates SafeObject SAPI Collector SAPI Recorder SAPI Router Die RSS Feed URL f r Software Updates ist ein vorkonfigurierter Link der von Online Proxy Servern f r Software Updates bei der Abfrage von automatischen Software Updates verwendet wird Diese URL ist f r den CA Server f r automatische Software Updates bestimmt SafeObject ist eine vordefinierte Ressourcenklasse in CA EEM Es ist die Ressourcenklasse zu der Anwendungsobjekte die im Bereich der Anwendung gespeichert sind geh ren Benutzer die Richtlinien und Filter f r die Erteilung des Zugriffs auf Anwendungsobjekte definieren beziehen sich auf diese Ressourcenklasse Der SAPI Collector ist ein CA Adapter der Ereignisse von CA Audit Clients erh lt CA Audit Clients senden mit der Aktion Collector die ber einen integrierten Failover verf gt Administratoren konfigurieren den CA Audit SAPI Collector beispielsweise mit ausgew hltem Chiffre und Datenzuordnungsdateien Ein SAPI Recorder bezeichnet die Technologie die vor iTechnology zum Versenden von Informationen an CA Audit verwendet wurde SAPI steht f r Submit Application Programming Interface API starten CA Audit Recorder f r CA ACF2 CA Top Secret RACF Oracle Sybase und DB2 sind Beispiele f r SAPI Recorder Der SAPI Router ist ein CA Adapter der Ereignisse aus Integrationen erh lt wie z B Mainframe und diese an einen CA Audit Route
104. sor konfiguriert wurde Entfernen Sie alle anderen Markierungen und klicken Sie auf Los a Filter zur Eingabeaufforderung G Geben Sie die Werte der Eingabeaufforderung ein und berpr fen Sie alle entsprechenden CEG Spalten Host USEROOLLAB Los source_hostname dest_hostname Y event_source_hostname receiver_hostname L agent_hostname Die Ereignisse der WMI Server Ereignisquelle werden angezeigt 4 Klicken Sie auf CA Schweregrad und bl ttern Sie bis Sie eine Warnung gefunden haben Im Folgenden wird ein verk rztes Beispiel ohne die Spalten Datum und Ereignisquelle angezeigt CA Schweregrad Quellbenutzer Ergebnis Kategorie Aktion Protokoliname Warnung calm_agent S System Access Privilege Use NT Security 5 Klicken Sie auf Rohereignisse anzeigen um die Rohereignisse f r die Warnung anzuzeigen Anzeigen von Protokollen der Windows Ereignisquellen 6 Doppelklicken Sie auf die Warnung um die Ereignisanzeige mit weiteren Daten zu ffnen Das folgende Beispiel zeigt einige Zeilen mit Beispieldaten _ i Ereignisanzeige Ereignisdetails Host v Leere Zeilen ausblenden Anzeigen Hame wert R O agent_connector_name NTEventLog_Connector_ USERO01LAB 7 Klicken Sie auf die Registerkarte Abfragen und Berichte klicken Sie in der Abfrageliste auf eine Abfrage z B Erfassungs berwachung nach Log Manager Trend
105. stellung 31 Bearbeiten des Syslog Connectors gt Klicken Sie auf Bearbeiten Der Assistent zum Bearbeiten von Connectors wird ge ffnet Der Schritt Connector Details ist ausgew hlt Optional Klicken Sie auf Unterdr ckungsregeln anwenden Wenn Sie bestimmte Syslog Ereignistypen unterdr cken also nicht erfassen m chten verschieben Sie diesen Ereignistyp von der Liste Verf gbar in die Liste Ausgew hlt W hlen Sie das Ereignis das Sie verschieben m chten und klicken Sie auf die Schaltfl che Verschieben Klicken Sie auf den Schritt Connector Konfiguration Standardm ig werden alle verf gbaren Integrationen ausgew hlt W hlen Sie Syslog Ziele indem Sie die Syslog Integrationen f r Ziele von der Liste Verf gbar in die Liste Ausgew hlt verschieben Wenn Sie beispielsweise das AIX Betriebssystem auf einem Host in Ihrem Netzwerk konfiguriert haben sollten Sie das Syslog Ziel AIX_Syslog aus der Liste Verf gbar in die Liste Ausgew hlt verschieben S Ziel Syslog Integrationen ausw hlen Verf gbar Ausgew hlt Apache_2059_to_2280_Syslog Version 12 0 5003 0 AIX_Syslog Version 12 0 5010 0 Bluecost_Syslog Version 12 0 5007 0 i Aie CA_DLP Version 12 0 5010 0 CiscoACS_Syslog Version 12 0 46 5 CiscoASA Version 12 0 5008 0 K CiscoPIXFW Version 12 0 5010 0 ef CiscoRouter Version 12 0 5008 0 Optional Geben Sie die vertrauensw rdigen Hosts an von denen der Sys
106. stems Konfiguration von Syslog Ereignisquellen Update des Syslog Connectors f r den Standardagent und Anzeigen von verfeinerten Ereignissen Vorbereiten der Agentinstallation Installation eines Agents f r das Windows Betriebssystem Konfiguration eines Connectors f r die agentbasierte Erfassung Aktualisieren der Ereignisquelle und Anzeigen generierter Ereignisse Wichtige Funktionen nutzen darunter die Protokollerfassung die Protokollspeicherung Konformit tsberichte und Alarme Weitere Informationen ber Kurzinfos die Online Hilfe und das Dokumentations Bookshelf Kapitel 1 Einf hrung 9 Info Info 10 bersichtshandbuch Hinweis Weitere Informationen zu unterst tzten Betriebssystemen oder zu den Systemanforderungen finden Sie in den Versionshinweisen Schrittweise Anleitungen f r die Installation von CA Enterprise Log Manager und die erste Konfiguration finden Sie im Implementierungshandbuch Weitere Informationen zum Installieren eines Agents finden Sie im Agent Installationshandbuch Weitere Informationen zum Verwenden und Verwalten des Produkts finden Sie im Verwaltungshandbuch Hilfe zum Verwenden einer CA Enterprise Log Manager Seite finden Sie in der Online Hilfe Ziel von CA Enterprise Log Manager ist die IT Konformit t und Sicherung Es werden Informationen zur IT Aktivit t erfasst standardisiert und aggregiert und entsprechende Berichte erstellt Au erdem werden Alarme ausgegeben wenn aufgrund einer m gli
107. t wird Administratoren m ssen die warme Datenbank sichern bevor die Schwelle zum L schen erreicht wird und sie m ssen das Hilfsprogramm LMArchive ausf hren um den Namen der Sicherungen zu erfassen Diese Informationen stehen dann zur Anzeige ber die Archivabfrage zur Verf gung Ein Protokolldatensatz ist ein einzelner Audit Datensatz Ein Protokolleintrag ist ein Eintrag in einem Protokoll der Informationen zu einem bestimmten Ereignis enth lt das in einem System oder Netzwerk aufgetreten ist Ein Protokollsensor ist eine Integrationskomponente die Daten aus einem bestimmten Typ lesen soll wie z B aus Datenbank Syslog Datei oder SNMP Protokollsensoren werden wiederverwendet Normalerweise erstellen die Benutzer keine benutzerdefinierten Protokollsensoren Proxy f r automatische Software Updates offline Ein Offline Proxy f r automatische Software Updates ist ein CA Enterprise Log Manager Server der automatische Software Updates ber eine manuelle Verzeichniskopie unter Verwendung von scp von einem Online Proxy f r automatische Software Updates erh lt Offline Proxys f r automatische Software Updates k nnen so konfiguriert werden dass Sie bin re Updates zu Clients herunterladen die diese anfordern und dass sie die aktuellste Version der Inhaltsaktualisierungen an den Management Server weiterleiten wenn dieser sie noch nicht erhalten hat Offline Proxys f r automatische Software Updates ben tigen keinen I
108. te zu standardisieren Dieses Standardformat erleichtert Auditoren und leitenden Managern den Vergleich von Daten die in verschiedenen Quellen erfasst wurden Technisch vereinfacht die ELM Schemadefinition Common Event Grammar CEG von CA die Implementierung der Ereignisnormalisierung und klassifizierung Die ELM Schemadefinition verwendet f r die Normalisierung unterschiedlicher Ereignisaspekte verschiedene Felder Dazu z hlen folgende Felder Idealmodell Technologieklasse z B Antivirus DBMS und Firewall m Kategorie z B Identit tsverwaltung und Netzwerksicherheit m Klasse z B Kontenverwaltung und Gruppenverwaltung m Aktion z B Kontenerstellung und Gruppenerstellung m Ergebnisse z B Erfolgreich und Fehler Hinweis Weitere Informationen zu den Regeln und Dateien f r die Ereignisverfeinerung finden Sie im CA Enterprise Log Manager Verwaltungshandbuch Details zum Normalisieren und Kategorisieren von Ereignissen finden Sie in der Online Hilfe im Abschnitt zur ELM Schemadefinition Kapitel 4 Hauptfunktionen 59 Konformit tsberichte Konformit tsberichte 60 bersichtshandbuch Mit CA Enterprise Log Manager k nnen Sie sicherheitsrelevante Daten erfassen und verarbeiten und in Berichte f r interne oder externe Auditoren umwandeln Sie k nnen mit Fragen und Berichten f r Untersuchungen interagieren Sie k nnen die Berichterstellung durch die Planung von Berichtsauftr gen automatisieren Das Syste
109. te zwischen Quelle und CA Enterprise Log Manager nicht ausreicht um eine direkte Protokollerfassung zu unterst tzen Sie k nnen mit dem Agenten die Ereignisse filtern und so den Datenverkehr im Netzwerk reduzieren Die Ereignis bermittlung ist garantiert Hinweis Weitere Informationen zur Konfiguration von Agents finden Sie im Verwaltungshandbuch Protokollspeicherung Protokollspeicherung CA Enterprise Log Manager bietet die M glichkeit der verwalteten eingebetteten Protokollspeicherung f r k rzlich archivierte Datenbanken Ereignisse die durch Agenten von Ereignisquellen erfasst worden sind durchlaufen den im folgenden Diagramm dargestellten Speicherlebenszyklus Kapitel 4 Hauptfunktionen 57 Protokollspeicherung 58 bersichtshandbuch Die Nummern in den Abbildungen beziehen sich auf folgende Schritte 1 Neue Ereignisse werden unabh ngig von der verwendeten Technik an CA Enterprise Log Manager gesendet Der Status der eingehenden Ereignisse h ngt von der verwendeten Erfassungstechnik ab Eingehende Ereignisse m ssen verfeinert werden bevor sie in die Datenbank eingef gt werden k nnen Wenn die Datenbank mit den verfeinerten Datens tzen die konfigurierte Gr e erreicht hat werden alle Datens tze in einer Datenbank komprimiert und unter einem eindeutigen Namen gespeichert Durch das Komprimieren der Protokolldaten werden die Kosten f r das Verschieben und Speichern der Daten reduziert Die komprim
110. tware Updates definiert werden erh lt dieser Server die automatischen Software Updates vom CA Server f r automatische Software Updates l dt die Bin raktualisierungen an alle Clients herunter und leitet die Inhaltsaktualisierungen an CA EEM weiter Wenn andere Proxys definiert sind erh lt dieser Server die automatischen Software Updates immer noch aber er wird von Clients nur dann wegen Aktualisierungen kontaktiert wenn keine Proxy Liste f r automatische Software Updates konfiguriert wurde bzw wenn die konfigurierte Liste ersch pft ist Proxys f r Software Updates f r Client Die Proxys f r Software Updates f r den Client bilden die Proxy Liste f r automatische Software Updates die der Client in einem Ringversuch kontaktiert um die CA Enterprise Log Manager Software und die Betriebssystem Software Updates abzurufen Wenn ein Proxy besch ftigt ist wird der n chste in der Liste kontaktiert Wenn keiner zur Verf gung steht und der Client online ist wird der Standard Proxy f r Software Updates verwendet 102 bersichtshandbuch Proxys f r Software Updates f r Inhaltsaktualisierungen Proxys f r Software Updates f r Inhaltsaktualisierungen sind die Proxys die f r die Aktualisierung des CA Enterprise Log Manager Management Servers mit Inhaltsaktualisierungen ausgew hlt wurden die vom CA Server f r automatische Software Updates heruntergeladen werden Ein bew hrtes Verfahren ist die Konfiguration mehrerer Proxys
111. tzwerkelements In der MIB f r SNMP Traps die von CA Enterprise Log Manager gesendet werden bezieht sich die Beschreibung der einzelnen Datenobjekte auf das entsprechende CEG Feld Die MIB stellt sicher dass alle Namen Wertepaare aus einer SNMP Trap am Ziel korrekt interpretiert werden Modul f r automatische Software Updates Das Modul f r automatische Software Updates ist ein Dienst bei dem automatische Software Updates ber den CA Software Update Server automatisch heruntergeladen und an CA Enterprise Log Manager Server und an alle Agenten verteilt werden k nnen Globale Einstellungen gelten f r lokale CA Enterprise Log Manager Server Lokale Einstellungen geben an ob der Server ein Offline Proxy ein Online Proxy oder ein Client f r automatische Software Updates ist Module zum Herunterladen Ein Modul ist eine logische Gruppierung von Komponentenaktualisierungen die ber ein automatisches Software Update zum Herunterladen zur Verf gung gestellt wird Ein Modul kann bin re Aktualisierungen Inhaltsaktualisierungen oder beides enthalten Beispielsweise bilden alle Berichte ein Modul und alle Sponsor Bin raktualisierungen ein anderes CA definiert was ein Modul ausmacht Glossary 97 Nachrichtenanalyse Nachrichtenanalyse Nachrichtenanalyse bezeichnet die Anwendung von Regeln auf die Analyse eines Rohereignisprotokolls um relevante Informationen wie Zeitstempel IP Adresse und Benutzername abzurufen Analyserege
112. verf gbar gemacht abgefragt werden Es gibt folgende Datenbankstatuswerte hei f r eine nicht komprimierte Datenbank mit neuen Ereignissen warm f r eine Datenbank mit komprimierten Ereignissen kalt f r eine gesicherte Datenbank und verf gbar gemacht f r eine Datenbank die im Ereignisprotokollspeicher wiederhergestellt wurde auf dem sie gesichert wurde Sie k nnen hei e warme und verf gbar gemachte Datenbanken abfragen Eine Archivabfrage zeigt die Informationen von kalten Datenbanken an Glossary 87 Datenzugriff Datenzuordnung Datenzugriff ist eine Art der Berechtigung die allen CA Enterprise Log Managers ber die Standarddatenzugriffsrichtlinie in der CALM Ressourcenklasse gew hrt wird Alle Benutzer haben Zugriff auf alle Daten au er wenn diese durch Datenzugriffsfilter eingeschr nkt sind Datenzuordnung ist der Prozess der Zuordnung der Schl sselwertpaare in CEG Die Datenzuordnung wird durch eine DM Datei gesteuert Datenzuordnung von Dateien Delegierungsrichtlinie Unter der Datenzuordnung von Dateien versteht man XML Dateien die die CA ELM Schemadefinition CEG verwenden um Ereignisse vom Ursprungsformat in ein CEG kompatibles Format zu bertragen das zur Berichterstellung und Analyse im Ereignisprotokollspeicher gespeichert werden kann F r jeden Protokollnamen wird eine Datenzuordnungsdatei ben tigt bevor die Ereignisdaten gespeichert werden k nnen Die Benutzer k nnen eine Kopie der
113. weis Weitere Informationen zum Konfigurieren des grundlegenden Benutzerzugriffs finden Sie im Implementierungshandbuch von CA Enterprise Log Manager Weitere Informationen zu Richtlinien die vordefinierte Rollen das Erstellen von Benutzerkonten und das Zuweisen von Rollen unterst tzen finden Sie im CA Enterprise Log Manager Verwaltungshandbuch Rollenbasierter Zugriff Rollenbasierter Zugriff CA Enterprise Log Manager bietet drei vordefinierte Anwendungsgruppen oder Rollen Administratoren weisen Benutzern folgende Rollen zu um Zugriffsrechte f r CA Enterprise Log Manager Funktionen zu definieren Administrator Analyst Auditor Der Auditor hat Zugriff auf alle Funktionen Der Analyst hat ber die Auditor Funktionen hinaus Zugriff auf weitere Funktionen Der Administrator hat Zugriff auf alle Funktionen Sie k nnen benutzerdefinierte Rollen mit entsprechenden Richtlinien erstellen die den Benutzerzugriff auf Ressourcen so einschr nken wie es f r Ihre betriebsinternen Anforderungen erforderlich ist Administrator Analyst Auditor Benutzer Benutzer Benutzer definierte definierte definierte Rolle Rolle Rolle Administratoren k nnen den Zugriff auf jede Ressource anpassen indem sie eine benutzerdefinierte Anwendungsgruppe mit entsprechenden Richtlinien erstellen und diese Anwendungsgruppe oder Rolle bestimmten Benutzerkonten zuweisen Hinweis Weitere Informationen zur Planung oder Erstellung von Rollen
114. wiederum verf gbar macht so dass sie abgefragt werden k nnen Hilfsprogramm LMSEOSImport Hilfsprogramm scp HTTP Proxy Server Das Hilfsprogramm LMSEOSImport ist ein Befehlszeilenhilfsprogramm mit dem SEOSDATA oder vorhandene Ereignisse als Teil der Migration von Audit Reporter Viewer oder Audit Collector in CA Enterprise Log Manager importiert werden Dieses Hilfsprogramm wird nur von Microsoft Windows und Sun Solaris Sparc unterst tzt Die Sicherheitskopie scp Kopierprogramm f r Remote Dateien ist ein UNIX Hilfsprogramm das Dateien zwischen UNIX Computern in einem Netzwerk transferiert Dieses Hilfsprogramm wird w hrend der CA Enterprise Log Manager Installation f r Sie zur Verf gung gestellt damit Sie Dateien f r automatische Software Updates vom Online Proxy zum Offline Proxy f r Software Updates transferieren k nnen Ein HTTP Proxy Server ist ein Proxy Server der wie eine Firewall agiert und daf r sorgt dass Internet Traffic das Unternehmen nur ber den Proxy betritt und wieder verl sst Wenn bei ausgehendem Verkehr eine ID und ein Kennwort angegeben werden kann der Proxy Server umgangen werden Beim Verwalten automatischer Software Updates kann die Verwendung eines lokalen HTTP Proxy Servers konfiguriert werden Idealmodell ideal_model 94 bersichtshandbuch Das dealmodell stellt die Technologie dar die das Ereignis ausdr ckt Dies ist das erste CEG Feld in einer Hierarchie von Feldern die f r
115. yst Era Auditor a Geben Sie unter Authentifizierung in den beiden Feldern f r Eingabe und Best tigung ein Kennwort f r das neue Konto ein Authentifizierung Falsche Anmeldungszahl fo Aktivierungsdatum l Kennwortrichtlinie au er Kraft setzen Deaktivierungsdatum Kennwort bei n chster Anmeldung ndern O Gesperrt Neues Kennwort Kennwort best tigen Klicken Sie auf Speichern und anschlie end auf Schlie en Klicken Sie auf Schlie en Klicken Sie in der Symbolleiste auf Abmelden Die Anmeldeseite wird angezeigt Melden Sie sich mit den gerade definierten Administratoranmeldeinformationen erneut bei CA Enterprise Log Manager an CA Enterprise Log Manager wird ge ffnet Nun stehen alle Funktionen zur Verf gung Die Registerkarte Abfragen und Berichte wird mit der untergeordneten Registerkarte Abfragen angezeigt Konfigurieren von Syslog Ereignisquellen 12 Optional Zeigen Sie Ihre Anmeldeversuche wie folgt an a W hlen Sie in der Abfragekennungsliste den Eintrag Systemzugriff b W hlen Sie in der Abfragekennungsliste den Eintrag Systemzugriff Details Das Abfrageergebnis zeigt Ihre beiden Anmeldeversuche an zuerst als EiamAdmin dann mit Ihrem Administratornamen Beide Anmeldeversuche sind mit S f r Successful Erfolgreich markiert CA Schweregrad Datum v Konto Benutzer Host Protokoll Kategorie Aktion Ergebnis Informationen Donnerstag 12 November 2
116. zeichen Beispiel calmr12_agent Optional k nnen Sie eine Beschreibung eingeben Wichtig Notieren Sie den Namen und das Kennwort oder speichern Sie sie Sie ben tigen ihn bei der Installation des Agents Erstellen eines Benutzerkontos f r den Agent Neuer Benutzer elmagentusr Use for CA ELM Agent Benutzer muss Kennwort Dei der nachsten Anmeldung ander 6 Klicken Sie auf Erstellen Klicken Sie auf Schlie en Weitere Informationen Installieren eines Agents siehe Seite 42 Kapitel 3 Bereitstellung von Windows Agents 39 Festlegen des Authentifizierungsschl ssels f r einen Agenten Festlegen des Authentifizierungsschl ssels f r einen Agenten Bevor Sie den ersten Agent installieren m ssen Sie den Authentifizierungsschl ssel des Agents kennen Sie k nnen den Standardwert verwenden wenn kein Schl ssel festgelegt wurde den aktuellen Schl ssel verwenden sofern ein solcher eingerichtet wurde oder einen neuen Schl ssel festlegen Der hier konfigurierte Authentifizierungsschl ssel des Agenten muss bei der Installation der einzelnen Agents angegeben werden Dieser Schritt kann nur von einem Administrator durchgef hrt werden So legen Sie den Authentifizierundsschl ssel des Agenten fest 1 ffnen Sie den Browser auf dem Host auf dem Sie den Agent installieren m chten und geben Sie die URL des CA Enterprise Log Manager Servers f r diesen Agent an Beispiel https lt IP Ad

Download Pdf Manuals

Related Search

Related Contents

取扱説明書  Guide de l`utilisateur  Kawasaki KX450 User's Manual  ISTRUZIONI UTENTE TL1 COSTAN:ISTRUZIONI UTENTE LION.qxd  COSECHADORA MF 32 Advanced  Instruction Manual Manual de instrucciones  Etiquette - Plant Products  

Copyright © All rights reserved. Failed to retrieve file