Home

CA Enterprise Log Manager

Contents

1. 224 Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLogSensor 2222eeeeeeeeeeeeeen 224 Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLogSensor 2222eeeeeeeee 231 Anzeigen und Steuern des Agenten bzw Connector Status asnasna nannan arraren 237 10 Implementierungshandbuch Kapitel 7 Erstellen von F derationen 239 Abfragen und Berichte in einer f derierten Umgebung 2222222eeeeeeseeeeeenennenn 239 Hierarchischer Verbund 222222222sseeenseeeeeeseneeeeeeeeeneeeeeeeeeneneeeeeenenn 240 Beispiel f r einen hierarchischen Verbund 2222222oeeeeeeesnneeneennnneenn 241 Netzverbund 22222osssseeeeneseeeeeeeneeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeneneenn 242 Beispiel f r einen Netzverbund 2222222eeeeseesseeeensenseeenneneeeeeennnenneeen 243 Konfigurieren einer CA Enterprise Log Manager F deration 2 222222seeeeeeeeeeenenen 244 Konfigurieren eines CA Enterprise Log Manager Servers als untergeordneter Server 244 F derationsdiagramm und Server Statusmonitor anzeigen 22222seeeeeeeeenennenenn nn 245 Kapitel 8 Arbeiten mit der Ereignisverfeinerungs Bibliothek 247 Wissenswertes ber die Ereignisverfeinerungs Bibliothek 222 nen 247 Unterst tzen neuer Ereignisquellen mit der Ereignisverfeinerungs Bibliothek 248 Zuordnungs und Analysedateien 2ccceesoes
2. Microsoft Active Directory Zertifikatdienste m Microsoft Forefront Security f r Exchange Server m Microsoft Forefront Security f r SharePoint Server m Microsoft Hyper V Server 2008 m Microsoft Office Communication Server m Microsoft Windows Server 2008 Die vollst ndige Liste finden Sie unter Produktintegrationsmatrix auf Support Online Kapitel 6 Konfigurieren der Ereigniserfassung 231 Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLodSensor Dieses Beispiel zeigt wie die direkte Erfassung von Ereignissen mithilfe eines auf der WinRM Integration basierten Connectors aktiviert werden kann Wenn ein solcher Connector bereitgestellt wird werden Ereignisse von einer Ereignisquelle des Windows Server 2008 Betriebssystems erfasst Die Erfassung beginnt nachdem Sie die Ereignisquellen konfiguriert haben um Ereignisse in der Windows Ereignisanzeige zu protokollieren und die Windows Remoteverwaltung auf dem Server zu aktivieren wie in dem Connector Handbuch zu dieser Integration beschrieben wird So konfigurieren Sie die Windows Server 2008 Ereignisquelle 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Bibliothek Erweitern Sie Ereignisverfeinerungs Bibliothek anschlie end Integrationen Automatisches Software Update und w hlen Sie WinRM aus Das Dialogfeld Integrationsdetails anzeigen zeigt den Sensorennamen WinRMLinuxLogSensor an Unterst tzte Plattforme
3. 2 2222 2 133 berpr fen der Installation des RPM Pakets 2 n een 134 Registrieren des CA Enterprise Log Manager Servers beim CA EEM Server 222ccccceese 134 Beziehen von Zertifikaten vom CA EEM Server 2222cceseeeseeseeenennnssnnnnnnnnnnnnnenn 135 Importieren von CA Enterprise Log Manager Berichten 222222ssseeeeseesenenennnn 136 Importieren von CA Enterprise Log Manager Datenzuordnungsdateien 22222 136 Importieren der Dateien f r die ELM Schemadefinition 222ccccceeeeeseceen 137 Importieren von Dateien der Korrelationsregel 2ccceeeseeeneeeeeennnneenn 138 Importieren von Dateien f r die allgemeine Agentenverwaltung 222222cccssssnn 138 Importieren von CA Enterprise Log Manager Konfigurationsdateien 22222222 139 Importieren von Unterdr ckungs und Zusammenfassungsdateien 22cccccccc 140 Importieren von Analyse Token Dateien cceesseeenneeeesnnneeeeeeeenneenn 141 Importieren von CA Enterprise Log Manager Benutzeroberfl chendateien 142 Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration 143 Grundlagen zu Benutzern und Zugriff 2 22 ccooeeneeeeeeeeeeeeeeeeeeeenn 143 Konfigurieren des Benutzerspeichers 22222222 seeeeeeeennneeeeeeenneeneeeeeneeneennn 144 bernehmen des Standardbenutzerspeichers 2 c2n2eeeeeeeenneneneneneeeee een 144 Verweisen
4. Sie k nnen nach der Installation ggf weitere Administratorkonten erstellen um auf die CA EEM Funktionen zuzugreifen Gibt an ob die virtuelle Appliance im FIPS Modus oder Nicht FIPS Modus ausgef hrt werden soll Wenn Sie einen lokalen EEM Server CA verwenden k nnen Sie einen beliebigen Modus ausw hlen Wenn Sie einen Remote CA EEM Server verwenden m ssen Sie denselben Modus ausw hlen den der Remote CA EEM Server verwendet Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Weitere Informationen Hinzuf gen virtueller Server zu Ihrer Umgebung siehe Seite 351 Erstellen einer ausschlie lich virtuellen Umgebung siehe Seite 374 Schnelle Bereitstellung der virtuellen Server siehe Seite 399 Anhang E CA Enterprise Log Manager und Virtualisierung 403 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Rufen Sie OVF Tool mithilfe von Skripts auf Hinweis Bevor Sie die automatische Installation durchf hren m ssen Sie das OVF Tool 4 0 0 installieren Weitere Informationen zum OVF Tool finden Sie im OVF Tool Benutzerhandbuch von VMware oder unter www vmware com Sie k nnen gleichzeitig mehrere CA Enterprise Log Manager Server installieren indem Sie Skripte mit Befehlen die das OVF Tool abrufen erstellen und ausf hren Sie k nnen die Skripte mit einer beliebigen Skripting Sprache erstellen So rufen Sie das OVF Tool mithilfe von Skripten auf 1 Er
5. Weitere Informationen So erstellen Sie ein Benachrichtigungsziel siehe Seite 197 Anwenden der Korrelationsregeln und der Incidents Benachrichtigungen siehe Seite 190 196 Implementierungshandbuch Konfigurieren des Korrelationsservices So erstellen Sie ein Benachrichtigundsziel Sie k nnen Benachrichtigungszielobjekte f r die Verwendung in Korrelationsregeln erstellen Ziele erm glichen es Ihnen gemeinsame Lieferungseinstellungen auf verschiedene Regeln anzuwenden Ein Ziel kann nach Bedarf zu mehreren Regeln zugewiesen werden Sie k nnen w hrend der Korrelationsregelanwendung zugewiesen werden oder nachdem ein Incident erstellt wurde Sie k nnen ein Benachrichtigungszielobjekt erstellen indem Sie folgenden Prozess vornehmen 1 ffnen Sie den Assistenten zur Verwaltung der Benachrichtigungsziele und legen Sie einen Namen und eine Beschreibung f r das Ziel fest 2 Legen Sie Parameter f r die gew nschten Zieltypen fest a E Mails b CAITPAM Prozesse c SNMP Traps Ein Benachrichtigungszielobjekt kann mehrere Benachrichtigungstypen haben Weitere Informationen Offnen Sie den Assistenten zur Verwaltung der Benachrichtigungsziele siehe Seite 197 E Mail Ziele festlegen siehe Seite 198 Festlegen eines Prozessziels siehe Seite 199 Festlegen von SNMP Zielen siehe Seite 200 ffnen Sie den Assistenten zur Verwaltung der Benachrichtigungsziele Um ein Benachrichtigungsziel zu erstellen m ssen Sie de
6. c Speichern und schlie en Sie die Datei multipath conf 4 Stellen Sie sicher dass Multipfad aktiviert wurde und dass die LUNs aufgelistet werden indem Sie Folgendes ausf hren multipath l Hinweis Pfade werden als mpath0 und mpath1 angezeigt Wenn die LUNs nicht angezeigt werden starten Sie neu und f hren Sie multipath erneut aus 5 Zeigen Sie die verf gbaren Laufwerke an fdisk l 6 Erstellen Sie eine Liste der verf gbaren Partitionen und berpr fen Sie dass mpath0 und mpath1 aufgelistet werden ls la dev mapper 7 Ordnen Sie die erste Partition folgenderma en zu kpartx a dev mapper mpatho 8 Ordnen Sie die zweite Partition folgenderma en zu kpartx a dev mapper mpath1 106 Implementierungshandbuch Installationshinweise f r ein System mit SAN Laufwerken Erstellen eines logischen Volumes Sie k nnen Software zur Verwaltung der Volumes verwenden um mehrere LUNS in ein logisches Volume zu vereinen auf das CA Enterprise Log Manager zugreifen kann Logical Volume Manager LVM verwaltet Festplattenlaufwerke und hnliche Massenspeicherger te auf dem Linux Betriebssystem Mit dem LVM erstellte Speicherspalten k nnen angepasst oder auf die Backend Ger te wie SAN Speicher verschoben werden So erstellen Sie logische Volumes 1 Erstellen Sie das erste physische Volume pvcreate dev mapper mpath0 Erstellen Sie das zweite physische Volume pvcreate dev mapper mpathl Zeigen
7. 166 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Konfigurieren von nicht interaktiver Authentifizierung f r die automatische Archivierung Sie k nnen festlegen dass die automatische Archivierung zwischen Servern unterschiedliche Rollen haben kann Beispiel m Von einem oder mehreren Sammelservern zu einem einzelnen Berichtsserver m Von einem oder mehreren Berichtsservern zu einem einzelnen Remote Speicherserver Bevor Sie die automatische Archivierung von einem Server zu einem anderen konfigurieren konfigurieren Sie nicht interaktive ssh Authentifizierung vom Quellserver zum Zielserver Nicht interaktiv bedeutet dass ein Server Dateien auf den anderen Server verschieben kann ohne dass Kennw rter erforderlich sind m Wenn Sie nur drei Server haben einen Sammelserver einen Berichtsserver und einen Remote Speicherserver konfigurieren Sie die nicht interaktive Authentifizierung zweimal Vom Sammelserver zum Berichtsserver Vom Berichtsserver zum Remote Speicherserver m Wenn Sie sechs Server haben vier Sammelserver einen Berichtsserver und einen Remote Speicherserver konfigurieren Sie die nicht interaktive Authentifizierung f nfmal Vom Sammelserver 1 zum Berichtsserver Vom Sammelserver 2 zum Berichtsserver Vom Sammelserver 3 zum Berichtsserver Vom Sammelserver 4 zum Berichtsserver Vom Berichtsserver zum Remote Speicherserver Zur Konfiguration von nicht interaktiver ssh Aut
8. Arbeitsblatt f r CA SiteMinder siehe Seite 47 Planen des Benutzerspeichers Melden Sie sich nach der Installation des ersten CA Enterprise Log Manager Servers bei CA Enterprise Log Manager an und konfigurieren Sie den Benutzerspeicher Im konfigurierten Benutzerspeicher werden Benutzernamen und Kennw rter f r die Authentifizierung sowie weitere globale Informationen gespeichert Bei allen Optionen des Benutzerspeichers werden die Anwendungsbenutzerdaten im CA Enterprise Log Manager Benutzerspeicher gespeichert Hierzu geh ren Informationen wie Rollen Benutzerfavoriten und Zeitpunkt der letzten Anmeldung Kapitel 2 Planen der Umgebung 43 Benutzer und Zugriffsplanung Bedenken Sie bei der Planung des zu konfigurierenden Benutzerspeichers folgende Punkte m Verwendung des CA Enterprise Log Manager Benutzerspeichers Standard Benutzer werden ber die in CA Enterprise Log Manager erstellten Benutzernamen und Kennw rter authentifiziert Sie legen Kennwortrichtlinien fest Benutzer k nnen ihre eigenen Kennw rter ndern und andere Benutzerkonten freigeben m Verweis aus CA SiteMinder Benutzernamen Kennw rter und globale Gruppen werden aus CA SiteMinder in den CA Enterprise Log Manager Benutzerspeicher geladen Benutzer werden ber die referenzierten Benutzernamen und Kennw rter authentifiziert Sie k nnen die globale Gruppe einer neuen oder bestehenden Richtlinie zuweisen Sie k nnen keine neuen Benutzer erstellen
9. Geben Sie eine oder mehrere DNS Server IP Adressen f r die Verwendung in Ihrem Netzwerk ein In der Liste sind die Eintr ge durch Komma ohne Leerzeichen zwischen den Eintr gen getrennt Falls Ihre DNS Server IPv6 Adressen verwenden geben Sie diese Adressen im entsprechenden Format ein Geben Sie ggf ein neues Systemdatum und eine neue Uhrzeit ein Geben Sie an ob der CA Enterprise Log Manager Server so konfiguriert werden soll dass Datum und Uhrzeit anhand eines bestimmten NTP Servers NTP Network Time Protocol aktualisiert werden Hinweis Die Synchronisierung der Uhrzeit hilft sicherzustellen dass Alarme vollst ndige Daten enthalten Geben Sie den Hostnamen bzw die g ltige IP Adresse des NTP Servers ein von dem dieser CA Enterprise Log Manager Server die Informationen zu Datum und Uhrzeit beziehen soll Lesen Sie die Lizenzvereinbarung und bl ttern Sie bis zu der Frage ob Sie die Bedingungen der Lizenzvereinbarung akzeptieren ja oder nein Lesen Sie die Lizenzvereinbarung und bl ttern Sie bis zu der Frage ob Sie die Bedingungen der Lizenzvereinbarung akzeptieren ja oder nein CA Enterprise Log Manager Daten Local or Remote CA Embedded Entitlements Manager server Lokaler CA Embedded Entitlements Manager Server oder CA Embedded Entitlements Manager Remote Server Enter name of the CA EEM server Name des CA EEM Servers eingeben Installieren eines CA Enterprise Log Manager
10. Greifen Sie mit dem Hilfsprogramm su auf das root Konto zu Navigieren Sie zu dem Verzeichnis opt CA LogManager F hren Sie den folgenden TAR Befehl aus um eine Sicherungskopie der CA Enterprise Log Manager Serverdateien zu erstellen tar hzcvf backupData tgz data Mit diesem Befehl wird die komprimierte Ausgabedatei backupData tgz mit den Dateien aus dem Verzeichnis data erstellt Navigieren Sie zu dem Verzeichnis opt CA SharedComponents iTechnology F hren Sie den folgenden TAR Befehl aus um eine Sicherungskopie der digitalen Zertifikate d h aller Dateien mit der Dateierweiterung cer zu erstellen tar zcvf backupCerts tgz cer Mit diesem Befehl wird die komprimierte Ausgabedatei backupCerts tgz erstellt tar hzcvf backupCerts tgz data Anhang D Disaster Recovery 325 Wiederherstellen eines CA Enterprise Log Manager Servers mit Hilfe von Sicherungsdateien Wiederherstellen eines CA Enterprise Log Manager Servers mit Hilfe von Sicherungsdateien Sie k nnen einen CA Enterprise Log Manager Server mit Hilfe von Sicherungsdateien wiederherstellen nachdem Sie die CA Enterprise Log Manager Software Appliance auf dem neuen Server installiert haben So stellen Sie einen CA Enterprise Log Manader Server mit Hilfe von Sicherungen wieder her 1 Stoppen Sie den iGateway Prozess auf dem neuen Server Navigieren Sie hierf r zu dem Ordner opt CA SharedComponents iTechnology und f hren Sie
11. Hinweis Sie m ssen nicht f r jeden auf diesem physischen Server gehosteten CA Enterprise Log Manager Server eine eigene NIC einrichten Sie m ssen jedoch f r jede NIC eine statische IP Adresse zuweisen 10 W hlen Sie die Option Connect at Power On aus und klicken Sie auf Next Das Dialogfeld I O Adapter Types wird angezeigt 11 W hlen Sie LSI Logic f r den I O Adapter aus und klicken Sie auf Next Das Dialogfeld Select a Disk wird angezeigt 12 W hlen Sie die Option Create a new virtual disk aus und klicken Sie auf Next Ein Dialogfeld f r die Festplattenkapazit t und den Speicherort wird angezeigt 13 Legen Sie die Optionen Disk Capacity und Location fest und klicken Sie auf Next Ein Dialogfeld mit erweiterten Optionen wird angezeigt Sie k nnen diese Festplatte entweder mit dem virtuellen Rechner speichern oder einen anderen Speicherort angeben Empfohlen wird eine Mindestgr e von 500 GB 14 bernehmen Sie im Dialogfeld Advanced Options die Standardwerte und klicken Sie auf Next 15 Best tigen Sie die Einstellungen und klicken Sie auf Finish um den neuen virtuellen Rechner zu erstellen Hinzuf gen virtueller Festplattenlaufwerke Gehen Sie wie unten beschrieben vor um virtuelle Festplattenlaufwerke f r die Speicherung von Ereignisprotokollen hinzuzuf gen Verwenden Sie dieselben Einstellungen unabh ngig davon welche Rolle ein bestimmter CA Enterprise Log Manager Se
12. Hinzuf gen virtueller Server zu Ihrer Umgebung Falls Sie bereits ber eine CA Enterprise Log Manager Implementierung verf gen k nnen Sie virtuelle CA Enterprise Log Manager Quellserver f r Protokolldateien hinzuf gen um ein gesteigertes Ereignisvolumen im Netzwerk zu verarbeiten In diesem Szenario wird vorausgesetzt dass bereits ein CA Enterprise Log Manager Verwaltungsserver und mindestens ein CA Enterprise Log Manager Server f r Erfassung und Berichterstellung installiert wurden Anhang E CA Enterprise Log Manager und Virtualisierung 351 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Hinweis Um eine optimale Leistung zu erzielen installieren Sie CA Enterprise Log Manager auf virtuellen Servern ausschlie lich f r die Erfassung und Berichterstellung Zum Hinzuf gen von virtuellen Quellservern in der Umgebung sind folgende Schritte notwendig 1 Laden Sie das Paket mit der virtuellen CA Enterprise Log Manager Appliance herunter 2 Installieren Sie einen CA Enterprise Log Manager Server mithilfe der virtuellen Appliance 3 Konfigurieren Sie den CA Enterprise Log Manager Server wie im Abschnitt zur Installation beschrieben Nachdem Sie den virtuellen Quellserver installiert haben k nnen Sie ihn f r Abfragen und Berichte zur F deration hinzuf gen Wichtig Wenn Sie einen CA Enterprise Log Manager Server mithilfe einer virtuellen Appliance bereitstellen m chten muss der An
13. Integration mit CA Access Control Sie k nnen CA Enterprise Log Manager in verschiedene Release Versionen von CA Access Control integrieren Dabei gilt die folgende allgemeine Vorgehensweise Bei CA Access Control Versionen mit einem TIBCO Nachrichtenserver f r das Weiterleiten von Ereignissen gehen Sie wie folgt vor Installieren Sie einen CA Enterprise Log Manager Agenten m Konfigurieren Sie einen Connector der den Connector AccessControl_R12SP1_TIBCO_Connector verwendet Informationen zu CA Access Controlr12 5 finden Sie im CA Access Controlr12 5 Implementierungshandbuch und dem CA Enterprise Log Manager CA Access Control Connector Handbuch Informationen zu CA Access Control r12 SP1 finden Sie im CA Access Control r12 SP1 Implementierungshandbuch 3 Edition und dem Connector Handbuch f r CA Access Control Hinweis Diese Implementierungen verwenden Komponenten die Teil der CA Access Control Premium Edition sind Anhang B Aspekte f r CA Access Control Benutzer 281 Integration mit CA Access Control Bei CA Access Control Versionen mit selogrd f r das Weiterleiten von Ereignissen gehen Sie wie folgt vor Installieren Sie einen CA Enterprise Log Manager Agenten m Konfigurieren Sie einen Connector der die ACSelogrd Integration verwendet Weitere Informationen zum Konfigurieren eines Connectors zum Erfassen von CA Access Control Ereignissen finden Sie im CA Access Control r8 SP1 Connector Handbuch Fall
14. 2 Installieren des ersten CA Enterprise Log Manager Servers d h des Verwaltungsservers 3 Installieren von mindestens einem weiteren Server 4 Konfigurieren der Beziehungen zwischen bergeordneten und untergeordneten Servern W hlen Sie beispielsweise zuerst die untergeordneten F derationsserver des Verwaltungsservers in den Ereignisprotokollspeicher Einstellungen dieses Servers aus Diese erste Gruppe mit untergeordneten Servern bildet die zweite Ebene der F deration falls Sie einen hierarchischen Verbund einrichten 5 Rufen Sie das F derationsdiagramm auf um zu berpr fen ob die Struktur zwischen den Servern auf der ber und der untergeordneten Ebene so konfiguriert ist wie von Ihnen beabsichtigt Konfigurieren eines CA Enterprise Log Manager Servers als untergeordneter Server Die Konfiguration eines CA Enterprise Log Manager Servers als untergeordneter Server eines anderen Servers ist der wesentliche Schritt beim Anlegen einer F deration Verbunds Gehen Sie wie unten beschrieben vor um Ihrem Serververbund Server hinzuzuf gen Bevor Sie diesen Teil der Konfiguration durchf hren m ssen Sie alle CA Enterprise Log Manager Server die in den Verbund aufgenommen werden sollen unter demselben registrierten Anwendungsinstanznamen installieren Die Namen aller neu installierten Server werden in der Liste der f r die F deration verf gbaren Server angezeigt Sie k nnen die folgenden Schritte so oft wie n tig durchf hr
15. 4 Kopieren Sie das Hilfsprogramm LMSeosImport in das iTechnology Verzeichnis des CA Audit Data Tools Servers opt CA SharedComponents iTechnology Sie k nnen das Hilfsprogramm verwenden sobald es in das vorgesehene Verzeichnis kopiert wurde und die erforderlichen Umgebungsvariablen festgelegt wurden Eine eigene Installation ist nicht erforderlich Erstellen eines SEOSDATA Ereignisberichts f r CA Access Control Ereignisse Erstellen Sie einen Ereignisbericht um herauszufinden ob eine bestehende SEOSDATA Tabelle CA Access Control Ereignisse enth lt und um eine Importmethode auszuw hlen Der Protokollname f r CA Access Control Ereignisse lautet eTrust Access Control Im Bericht werden alle Ereignisse in der Datenbank getrennt nach Protokollname aufgef hrt Am einfachsten lassen sich CA Access Control Ereignisse anhand ihres Protokollnamens importieren Anhang B Aspekte f r CA Access Control Benutzer 297 Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank So erstellen Sie einen Ereignisbericht 1 Erstellen Sie einen Ereignisbericht so dass Sie feststellen k nnen welche CA Access Control Ereignisse in der SEOSDATA Tabelle enthalten sind LMSeosImport dsn My Audit DSN user sa password sa report Nach der Verarbeitung wird ein Bericht hnlich dem folgenden angezeigt Import started on Fri Jan 2 15 20 30 2009 No transport specified defaulting to SAPI Preparing ODBC connectio
16. B meineFirma com Hinweis Der Dom nenname muss beim DNS Server DNS Domain Name Server in Ihrem Netzwerk registriert sein damit der Hostname in eine IP Adresse aufgel st werden kann Anhang E CA Enterprise Log Manager und Virtualisierung 365 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen acceptAllEulas deploymentOption TIMEZONE NTPLOCATION Wert Accept medium oder large Ihre gew nschte Zeitzone Relevanter Hostname bzw IP Adresse Anwendunssspezifische Einstellungen LOCAL_REMOTE_EEM 366 Implementierungshandbuch Local beim ersten installierten Server Verwaltungsserve r Remote bei jedem weiteren Server Kommentare Akzeptieren Sie die CA Lizenzvereinbarung um mit der Bereitstellung eines CA Enterprise Log Manager Servers fortzufahren Wenn Sie Medium ausw hlen stellt VMware vier CPUs mit je 8 GB RAM bereit Wenn Sie Large ausw hlen stellt VMware acht CPUs mit je 8GB RAM bereit W hlen Sie die Zeitzone aus in der sich der Server befindet Geben Sie den Hostnamen bzw die g ltige IP Adresse des NTP Servers ein von dem der CA Enterprise Log Manager Server die Informationen zu Datum und Uhrzeit beziehen soll Geben Sie an ob Sie einen lokalen oder einen standortfernen CA EEM Server verwenden m chten W hlen Sie bei einem CA Enterprise Log Manager Verwaltungsserver die Option Local
17. Die Namenskonventionen f r Server jeder Serverrolle lauten wie folgt CA Enterprise Log Manager Server zur Berichterstellung Verwaltung ELM RPT CA Enterprise Log Manager Sammelserver ELM C1 ELM C2 ELM C3 ELM C4 m Remote Speicherserver RSS Die Vorgehensweisen f r das Aktivieren der nicht interaktiven Authentifizierung f r die CA Enterprise Log Manager F deration lauten wie folgt 1 Generieren Sie vom ersten Sammelserver ein RSA Schl sselpaar als caelmservice und kopieren Sie den ffentlichen Schl ssel als authorized_keys in das Verzeichnis tmp auf dem Zielberichtsserver 2 Generieren Sie bei Bedarf von jedem zus tzlichen Sammelserver ein RSA Schl sselpaar und kopieren Sie den ffentlichen Schl ssel als authorized_keys_n wobei n die Quelle angibt 3 Verbinden Sie den Inhalt dieser ffentlichen Schl sseldateien vom Verzeichnis tmp des Berichtsservers zum urspr nglichen authorized_keys Erstellen Sie ein ssh Verzeichnis und ndern Sie die Besitzerrechte des Verzeichnisses auf caelmservice verschieben Sie authorized_keys in das ssh Verzeichnis und legen Sie die Eigent merschaft f r die Schl sseldatei sowie die entsprechenden Berechtigungen fest 4 berpr fen Sie dass nicht interaktive Authentifizierung zwischen jedem Sammelserver und dem Berichtsserver vorhanden ist 5 Erstellen Sie vom Remote Speicherserver eine Verzeichnisstruktur f r das ssh Verzeichnis wobei der
18. Filtern basiert die anhand von Benutzer und Gruppenattributen erstellt wird Der EEM Benutzer der im Auto Archivierungsbereich des Ereignisprotokollspeichers konfiguriert wird gibt den Benutzer an der eine Archivabfrage durchf hren die Archivdatenbank neu katalogisieren das Hilfsprogramm LMArchive und das Shellskript restore ca elm zur Wiederherstellung von Archivdatenbanken zur Pr fung ausf hren kann Dem Benutzer muss die vordefinierte Rolle des Administrators oder eine benutzerdefinierte Rolle mit einer benutzerdefinierten Richtlinie zugewiesen werden die die Aktion Bearbeiten in der Datenbankressource zul sst Eine Eingabeaufforderung ist ein besonderer Typ von Abfrage durch die Ergebnisse basierend auf dem eingegebenen Wert und den ausgew hlten CEG Feldern angezeigt werden Es werden nur Zeilen f r Ereignisse zur ckgegeben bei denen der eingegebene Wert in mindestens einem der ausgew hlten CEG Felder angezeigt wird ELM Schemadefinition CEG EPHI Berichte Die ELM Schemadefinition ist das Schema das ein Standardformat enth lt in das CA Enterprise Log Manager Ereignisse mithilfe von Analysen und Zuordnungen konvertiert werden bevor diese im Ereignisprotokollspeicher gespeichert werden CEG verwendet allgemeine normalisierte Felder um die Sicherheitsereignisse von verschiedenen Plattformen und Produkten zu definieren Ereignisse die nicht analysiert oder zugeordnet werden k nnen werden als Rohereignisse g
19. Komponenten erhalten Diese Komponenten umfassen CA Audit Clients iRecorder und SAPI Recorder sowie Quellen die Ereignisse nativ ber iTechnology senden CAELM ist der Name der Anwendungsinstanz die CA EEM f r CA Enterprise Log Manager verwendet Um die CA Enterprise Log Manager Funktionen in CA Embedded Entitlements Manager aufzurufen geben Sie die URL https lt ip_address gt 5250 spin eiam eiam csp ein dann w hlen Sie CAELM als Anwendungsnamen und geben das Kennwort des Benutzers EiamAdmin ein Der Benutzername und das Kennwort caelmadmin sind Anmeldeinformationen die f r den Zugriff auf das Betriebssystem der Soft Appliance ben tigt werden Die Benutzerkennung caelmadmin wird w hrend der Installation des Betriebssystems erstellt W hrend der Installation der Software Komponente muss der Installierende das Kennwort f r das CA EEM Superuser Konto EiamAdmin eingeben Dem Konto caelmadmin wird dasselbe Konto zugewiesen Es empfiehlt sich dass sich der Server Administrator ber ssh als caelmadmin Benutzer anmeldet und dieses Kennwort ndert Auch wenn der Administrator sich nicht ber ssh als Root anmelden kann kann er bei Bedarf Benutzer zu Root su root wechseln lassen 420 Implementierungshandbuch caelmservice CALM Der caelmservice bezeichnet eine Service Konto das es erm glicht dass iGateway und die lokalen CA EEM Services als Nicht Root Benutzer ausgef hrt werden k nnen Das caelmservice
20. Sie werden im Zuge der Installation aufgefordert ein Kennwort f r das EiamAdmin Standardbenutzerkonto anzulegen W hlen Sie bei jedem weiteren Server die Option Remote Sie werden im Zuge der Installation nach dem Namen des Verwaltungsservers gefragt Unabh ngig davon ob Sie die Option local oder remote gew hlt haben m ssen Sie bei der erstmaligen Anmeldung bei jedem CA Enterprise Log Manager Server die EiamAdmin Konto ID und das EiamAdmin Kennwort verwenden Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen Wert REMOTE_EEM_LOCATION Hostname EEM_PASSWORD Kennwort des EiamAdmin Kontos FIPS_MODE Ja oder Nein IP Adresse oder Kommentare Geben Sie diesen Wert ein nur wenn Sie die Serveroption remote ausgew hlt haben Geben Sie die IP Adresse bzw den Hostnamen des CA Enterprise Log Manager Verwaltungsservers ein den Sie zuerst installiert haben Der Hostname muss auf dem DNS Server registriert sein Wenn Sie eine lokalen CA EEM Server verwenden m chten ist der Standardwert keine Notieren Sie sich das Kennwort f r das Standardadministratorkonto EiamAdmin Der CA Enterprise Log Manager Server ben tigt diese Kontoanmeldeinformationen f r die erste Anmeldung Falls Sie den Verwaltungsserver installieren erstellen und best tigen Sie hier ein neues EiamAdmin Kennwort Notieren Sie sich dieses Kennwort Sie be
21. Verwaltungs Erfassung Berichtsserver e und Abfragen Ereian ss Protokollspeicher Protokollspeicher Recorder Windows Server UNIX Server Konfigurations und Befehlsfluss Die durchgezogenen Linien zeigen den Ereignisfluss von den Ereignisquellen zum agentenlosen Quellserver bzw zu einem Agentenhost und dann zum agentenlosen Quellserver f r Protokolldateien Syslog Ereignisse k nnen direkt mit dem Standardagenten auf dem agentenlosen CA Enterprise Log Manager Quellserver f r Protokolldateien erfasst werden Ferner k nnen Sie einen oder mehrere Connectors auf einem separaten Agentenhost konfigurieren die Daten von mehreren Syslog Quellen erfassen nicht abgebildet 76 Implementierungshandbuch Wissenswertes ber die CA Enterprise Log Manager Umgebung Bei der Windows Ereigniserfassung wird Windows Management Instrumentation WMI zur berwachung der Windows Server auf Ereignisse eingesetzt Hierf r m ssen Sie einen WMI Connector auf einem Agenten der auf einem Windows Host installiert ist als agentenbasierten Quellserver f r Protokolldateien konfigurieren Bei einigen anderen Ereignisarten bietet sich eventuell die Verwendung eines eigenst ndigen CA Technologies iRecorders auf einem Hostserver an Sie k nnen die Agenten und Connectors f r diese Ereignisquellen ber jeden CA Enterprise Log Manager Server im Netzwerk konfigurieren und verwalten Die gestrichelten Linien in der Abbildung s
22. aus und berpr fen Sie die Ergebniszeichenfolge f r die ersten beiden Ereignisse Die Ergebniszeichenfolge wird im Rohereignis zuletzt angezeigt Die folgenden Werte zeigen einen erfolgreichen Beginn an result_string ODBCSource initiated successfully MSSQL_TRACE a result_string lt connector name gt Connector Started Successfully 230 Implementierungshandbuch Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLodgSensor Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLogSensor Sie k nnen die direkte Erfassung von Ereignissen aktivieren die von Windows Anwendungen oder dem Windows Server 2008 Betriebssystem mit WinRMLinuxLogSensor generiert wurden Dazu m ssen Sie einen Connector auf dem Standardagenten erstellen basierend auf einer Integration die WinRMLinuxLogSensor verwendet Viele Integrationen verwenden diesen Sensor zum Beispiel Active_Directory_Certificate_Services Forefront_Security_for_Exchange_Server Hyper V MS_OCS und WinRM F r die Anwendung und das Betriebssystem von Microsoft Windows die Ereignisse generieren die ber WinRMLinuxLogSensor abgerufen werden k nnen ist die Windows Remoteverwaltung aktiviert Die folgende Liste zeigt einige Produkte an die Ereignisse generieren die direkt vom Standardagenten auf einem CA Enterprise Log Manager Server erfasst werden k nnen F r jedes Produkt wird ein einziger Connector verwendet jeder Connector verwendet WinRMLinuxLogSensor
23. automatische Software Updates k nnen direkt eine Verbindung mit dem CA Technologies Server f r automatische Software Updates herstellen oder den lokalen HTTP Proxy verwenden berlegen Sie ob Sie alle Aktualisierungen automatisch entsprechend dem festgelegten Ablaufplan f r automatische Software Updates herunterladen m chten oder einige bestimmte Aktualisierungen manuell herunterladen m chten Zum Beispiel schreiben interne Sicherheitsrichtlinien m glicherweise vor gewisse Upgrades zu testen bevor sie in Ihrer Umgebung angewendet werden k nnen berlegen Sie wie h ufig Sie Ihre CA Enterprise Log Manager Umgebung aktualisieren m chten Aktualisierungen sind regelm ig verf gbar wobei die H ufigkeit vom Typ der Aktualisierung abh ngt Weitere Details zu den Aktualisierungstypen finden Sie unter Herunterzuladende Module im Abschnitt Weitere Informationen Hinweis Best tigen Sie dass Sie ber ausreichenden Festplattenspeicher verf gen um automatische Software Updates auf alle CA Enterprise Log Manager Server herunterladen zu k nnen bevor Sie mit den automatischen Software Updates fortfahren Wenn der verf gbare Festplattenspeicher auf einem Server unter 5 GB liegt gibt der Service f r automatische Software Updates ein selbst berwachendes Ereignis aus und unterbricht den Download Vorgang Kapitel 2 Planen der Umgebung 55 Planen von automatischen Software Updates Weitere Informationen Architektur aut
24. hlten Datenzuordnungsdateien Der Service f r das Ereignis Plug in ist so vorkonfiguriert dass er die meisten wichtigen Datenzuordnungsdateien umfasst Klicken Sie auf Speichern um die nderungen in den Konfigurationsdateien auf dem Verwaltungsserver zu speichern Senden von CA Audit Ereignissen an CA Enterprise Log Manager Sie k nnen CA Enterprise Log Manager auf folgende Weise in Ihre bestehende CA Audit Implementierung integrieren Konfigurieren Sie einen iRecorder der sich nicht auf demselben Host befindet wie ein CA Audit Client so dass Ereignisse an CA Enterprise Log Manager gesendet werden ndern Sie eine bestehende CA Audit Richtlinie so dass Ereignisse an CA Audit und CA Enterprise Log Manager gesendet werden 264 Implementierungshandbuch Senden von CA Audit Ereignissen an CA Enterprise Log Manager Konfigurieren eines iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager CA Enterprise Log Manager empf ngt Ereignisse von iRecordern ber den Listener f r das iTech Ereignis Plugin Sie m ssen den Listener konfigurieren bevor Sie die Konfiguration des iRecorders ndern Andernfalls k nnen Ereignisdaten verloren gehen Nachdem Sie den Listener konfiguriert haben gehen Sie wie unten beschrieben vor um den iRecorder f r das Senden von Ereignissen an den CA Enterprise Log Manager Server einzurichten iRecorder die auf demselben Computer installiert sind wie ein CA Audit Client senden E
25. prop SUBNET MASK value prop HOSTNAME value prop DEFAULT GATEWAY value prop DNS SERVERS value prop DOMAIN NAME value prop TIMEZONE value prop NTPLOCATION value lt OVF_Name ovf gt vi username password hostname_of VMware vSphere Client Datacenter host host name Die Meldung Opening VI target wird angezeigt Der Bereitstellungsstatus des CA Enterprise Log Manager Servers wird angezeigt Wenn die Installation erfolgreich ist wird der CA Enterprise Log Manager Server im linken Fensterbereich unter dem Datenspeicher aufgelistet den Sie ausgew hlt haben Hinweis Schlie en Sie Eigenschaftswerte die Leerstellen enthalten in doppelte Anf hrungsstriche ein Wenn der OVF Name z B CA ELM ist geben Sie als Wert CA ELM ovf ein Weitere Informationen zum OVF Tool finden Sie im Benutzerhandbuch des OVF Tools Beispiel Anhang E CA Enterprise Log Manager und Virtualisierung 393 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances ovftool dm thick acceptAllEulas name example server deploymentOption medium prop ROOT_PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE_EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS _MODE Yes prop IP ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example serverl prop DEFAULT_GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZON
26. r jede Regel zuweisen So k nnen Sie Korrelationsregeln anwenden und Benachrichtigungsziele festlegen 1 Klicken Sie auf Verwaltung und anschlie end auf die Unterregisterkarte Services und blenden Sie den Knoten Korrelationsservice ein W hlen Sie den CA Enterprise Log Manager Server aus auf dem Sie Korrelationsregeln anwenden m chten Im rechten Fenster erscheinen die Details des Korrelationsserver Klicken Sie auf Hinzuf gen Ein Dialogfeld f r Regel und Version wird angezeigt Aktivieren Sie das Kontrollk stchen neben der Regelkategorie oder der Regel die Sie anwenden m chten Sie k nnen gesamte Kategorienordner individuelle Regeln oder Kombinationen ausw hlen W hlen Sie die Regelversion aus die Sie f r jede ausgew hlte Regel anwenden m chten Optional W hlen Sie ein Benachrichtigungsziel f r eine Regel aus die Sie zur Anwendung ausgew hlt haben Wenn Sie kein Ziel ausw hlen wird die Regel keine automatische Benachrichtigung haben Sie k nnen eine Benachrichtigung f r Incidents die durch eine beliebige Regel generiert wurden manuell festlegen W hlen Sie Erfassungsserver aus um Ereignisse zur Korrelation aus der verf gbaren Serverliste zu bertragen Sie m ssen alle Server ausw hlen denen Sie Ereignisse zur Korrelation senden m chten Wenn keine Server ausgew hlt sind werden keine Ereignisse zur Korrelation weitergeleitet Klicken Sie auf OK oder Anwenden 190 Implementie
27. 90 Implementierungshandbuch Installieren eines CA Enterprise Log Manager Servers So berpr fen Sie die CA Enterprise Log Manader Serverinstallation 1 ffnen Sie einen Webbrowser und geben Sie die folgende URL ein https lt Server IP Adresse gt 5250 spin calm Der CA Enterprise Log Manager Anmeldebildschirm wird angezeigt Melden Sie sich als EiamAdmin Verwaltungsbenutzer an Auf der Registerkarte Verwaltung wird die untergeordnete Registerkarte Benutzer und Zugriffsverwaltung angezeigt Wenn Sie sich beim CA Enterprise Log Manager Server anmelden k nnen war die Installation erfolgreich Hinweis Sie m ssen mindestens einen Ereignisquellenservice konfigurieren bevor Sie Ereignisdaten empfangen und Berichte anzeigen k nnen Anzeigen von selbst berwachenden Ereignissen Sie k nnen mit Hilfe von selbst berwachenden Ereignissen berpr fen ob der CA Enterprise Log Manager Server ordnungsgem installiert wurde Bevor Sie mit CA Enterprise Log Manager Ereignisprotokolldaten im Netzwerk erfassen und entsprechende Berichte erstellen k nnen m ssen Sie zwar zun chst noch einige Konfigurationsaufgaben durchf hren Die vom CA Enterprise Log Manager Server erzeugten selbst berwachenden Ereignisse k nnen allerdings sofort angezeigt werden Die Anmeldung beim CA Enterprise Log Manager Server ist der erste und beste Test der Installation Selbst berwachende Ereignisse sind eine weitere M glichkeit den Status de
28. Administratorrolle zugewiesen ist oder eine benutzerdefinierte Rolle mit individueller Richtlinie die dem Benutzer die Berechtigung zum Bearbeiten der Datenbankressourcen gibt Beim Berichtsserver legen Sie opt CA LogManager als Remote Standort und caelmservice als Remote Benutzer fest falls die automatische Archivierung vom Berichtsserver auf den Remote Speicherserver stattfindet Sie erstellen diesen Pfad und Benutzer wenn Sie die nicht interaktive Authentifizierung zwischen diesen Servern einrichten Mit den Optionen f r die automatische Archivierung in diesem Beispiel werden Archivdateien t glich ab 23 00 Uhr vom Berichtsserver auf den Remote Speicherserver verschoben Nachdem die Datenbank in den Offline Speicher auf dem Remote Server verschoben wurde verbleibt sie f r die Maximale Anzahl an Archivtagen auf dem Berichtsserver Falls die automatische Archivierung nicht aktiviert ist werden Standby Datenbanken basierend auf den f r Maximale Anzahl an Archivtagen und Festplattenspeicher f r Archiv konfigurierten Grenzwerten je nachdem welcher Wert zuerst auftritt beibehalten Archivierte Datenbanken werden im Beispiel 30 Tage lang auf dem Berichtsserver beibehalten bevor sie gel scht werden au er der freie Speicherplatz f llt unter 10 Prozent In diesem Fall erzeugt der Berichtsserver ein selbst berwachendes Ereignis und l scht die ltesten Datenbanken bis der freie Speicherplatz wieder ber 10 Prozent liegt S
29. Aktualisierungen heruntergeladen haben Sie k nnen auch unter ca com de support die CA Support Website aufrufen um zu erfahren wann neue Log Manager Service Packs und Versionen verf gbar sind Bevor Sie Module ausw hlen k nnen um Offline Proxys f r automatische Software Updates herunterzuladen laden Sie das Paket der Dateien der automatischen Software Updates von der CA Technologies FTP Seite herunter und kopieren Sie es manuell f r Ihre Offline Proxys Anschlie end k nnen Sie ausw hlen welche Module heruntergeladen und installiert werden Clients f r automatische Software Updates im Offline Modus erhalten im Gegensatz dazu automatisch alle Aktualisierungen die auf ihren Offline Proxys manuell installiert sind Dabei spielen die ausgew hlten Module f r den Client auf der lokalen Ebene keine Rolle Kapitel 5 Konfigurieren von Services 215 Konfiguration automatischer Software Updates So laden Sie automatische Software Updates im Offline Modus herunter und w hlen sie aus 1 Navigieren Sie auf einem System mit Internet oder FTP Zugriff zum Speicherort des automatischen Software Updates im Offline Modus ftp ftp ca com pub elm connectors ftp outgoing pub elm ELM_Offline_ Subscription Der Verzeichnisindex zeigt einen Ordner f r jede gr ere CA Enterprise Log Manager Version an Laden Sie die entsprechende ZIP Datei die Sie ausf hren m chten f r die Aktualisierung herunter Hinweis Der Ordner f r die C
30. Art des verwendeten Benutzerspeichers fest Gibt den zugewiesenen Namen des Benutzerspeichers an auf den im Feld Authorization Store Type verwiesen wird Nur Benutzer denen die Administratorrolle zugewiesen wurde k nnen CA Enterprise Log Manager Komponenten konfigurieren Nach der Installation des ersten CA Enterprise Log Manager Server greifen Sie ber einen Browser auf CA Enterprise Log Manager zu melden sich mit Ihren EiamAdmin Anmeldedaten an und konfigurieren den Benutzerspeicher Als N chstes weisen Sie dem Konto des Benutzers der die Konfiguration vornehmen soll die Administrator Anwendungsgruppe zu Falls Sie den Benutzerspeicher als standardm igen CA Enterprise Log Manager Benutzerspeicher konfiguriert haben erstellen Sie ein neues Benutzerkonto und weisen diesem die Administratorrolle zu Falls Sie auf einen externen Benutzerspeicher verwiesen haben k nnen Sie keine neuen Benutzer erstellen In diesem Fall suchen Sie nach dem Benutzerdatensatz der Person die als Administrator fungieren soll und weisen diesem Benutzerkonto die Administrator Anwendungsgruppe zu 48 Implementierungshandbuch Benutzer und Zugriffsplanung Planen der Kennwortrichtlinien Falls Sie den Standardbenutzerspeicher bernehmen definieren Sie neue Benutzer und Kennwortrichtlinien f r diese Benutzerkonten in CA Enterprise Log Manager Starke Kennw rter helfen beim Schutz Ihrer Computerressourcen Durch Kennwortrichtlinien k nnen S
31. Befehl auf den root Benutzer um su 140 Implementierungshandbuch Fehlerbehebung bei der Installation Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content F hren Sie folgenden Befehl aus ImportCALMSAS sh Das Shell Skript importiert die Unterdr ckungs und Zusammenfassungsdateien Importieren von Analyse Token Dateien Symptom W hrend der Installation wurden die Analyse Token Dateien nicht richtig vom CA EEM Server importiert Ohne diese Dateien k nnen Sie im Assistenten f r Analysedateien keine Standard Analyse Tokens verwenden Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Analyse Token Dateien manuell So importieren Sie Analyse Token Dateien 1 Greifen Sie auf eine Eingabeaufforderung auf dem CA Enterprise Log Manager Server zu Melden Sie sich mit den Anmeldeinformationen f r das caelmadmin Konto an Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content F hren Sie folgenden Befehl aus ImportCALMTOK sh Das Shell Skript importiert die Analyse Token Dateien Kapitel 3 Installieren von CA Enterprise Log Manager 141 Fehlerbehebung bei der Installation Importieren von CA Enterprise Log Manager Benutzeroberfl chendateien Symptom W hrend der Installation w
32. CA Enterprise Log Manager und Virtualisierung 353 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Deploy OYF Template Source Select the source location Source OYF Template Details End User License Agreement Name and Location Of a ao Properties Ready to Complete 9 Klicken Sie auf Next Die Seite OVF Template Details wird ge ffnet Auf dieser Seite werden Details wie Download Gr e verf gbarer Speicherplatz und Anbietername angezeigt die in der OVF Vorlage gespeichert sind 10 Stellen Sie sicher dass auf dem VMware Server mindestens 350 GB Festplattenspeicher vorhanden sind und klicken Sie auf Next Deploy OYF Template OYF Template Details Verify OVF template details Source OYF Template Details End User License Agreement Name and Location Deployment Configuration E Host Cluster Resource Pool Properties Ready to Complete 354 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Die Seite End User License Agreement wird angezeigt Diese Seite zeigt die Lizenzvereinbarung f r Produkte von Drittanbietern an Um CA Enterprise Log Manager zu installieren m ssen Sie diese Lizenzvereinbarung akzeptieren 11 Lesen Sie den Text der Lizenzvereinbarung Deploy OYF Template End User License Agreement Accept the end user license agreements Source OVF Tem
33. CPUs mit je 8 GB RAM bereit Wenn Sie Large ausw hlen stellt VMware acht CPUs mit je 8GB RAM bereit W hlen Sie die Zeitzone aus in der sich der Server befindet Geben Sie den Hostnamen bzw die g ltige IP Adresse des NTP Servers ein von dem der CA Enterprise Log Manager Server die Informationen zu Datum und Uhrzeit beziehen soll Geben Sie an ob Sie einen lokalen oder einen standortfernen CA EEM Server verwenden m chten W hlen Sie bei einem CA Enterprise Log Manager Verwaltungsserver die Option Local Sie werden im Zuge der Installation aufgefordert ein Kennwort f r das EiamAdmin Standardbenutzerkonto anzulegen W hlen Sie bei jedem weiteren Server die Option Remote Sie werden im Zuge der Installation nach dem Namen des Verwaltungsservers gefragt Unabh ngig davon ob Sie die Option local oder remote gew hlt haben m ssen Sie bei der erstmaligen Anmeldung bei jedem CA Enterprise Log Manager Server die EiamAdmin Konto ID und das EiamAdmin Kennwort verwenden Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen Wert REMOTE_EEM_LOCATION Hostname EEM_PASSWORD Kennwort des EiamAdmin Kontos FIPS_MODE Ja oder Nein IP Adresse oder Kommentare Geben Sie diesen Wert ein nur wenn Sie die Serveroption remote ausgew hlt haben Geben Sie die IP Adresse bzw den Hostnamen des CA Enterprise Log Manager Verwaltungsservers
34. Datacenter Ready to Complete Deployment Configuration medium Host Cluster 10 10 0 10 Datastore Storage 172 60 10 20 Network Mapping YM Network to YM Network IP Allocation Fixed IPv4 Property LOCAL_REMOTE_EEM Local Property REMOTE_EEM_LOCATION none Property EEM_PASSWORD exampleeiamadminpassword Property FIPS_MODE No Property HOSTNAME examplecaelm Property ROOT_PASSWORD examplerootpassword Property IP_ADDRESS 172 160 0 0 Property SUBNET_MASK 10 0 0 0 Property DEFAULT_GATEWAY 198 168 0 0 Property DNS_SERVERS 198 168 10 20 198 168 10 25 Property DOMAIN_NAME example com Property TIMEZONE Africa bidjan Property NTPLOCATION 198 168 10 30 gt Help lt Back Cancel Die Meldung Opening VI target wird angezeigt Der Bereitstellungsstatus der virtuellen Appliance wird angezeigt Wenn die Installation erfolgreich ist wird die virtuelle Appliance im linken Fensterbereich unter dem Datenspeicher aufgelistet den Sie ausgew hlt haben 18 Optional Wenn Sie an den eingegebenen Details nderungen vornehmen m chten gehen Sie folgenderma en vor a Klicken Sie im Fenster Deploy OVF Template so oft auf Back bis Sie zur entsprechenden Seite gelangen b Nehmen Sie die erforderlichen nderungen vor c Klicken Sie im Fenster Deploy OVF Template so oft auf Next bis Sie zur Seite Ready to Complete gelangen Weitere Informationen Arbeitsblatt f r die Installati
35. Die OVF Deskriptordatei enth lt die Parameter f r die Konfiguration von CA Enterprise Log Manager Geben Sie w hrend der Installation f r jeden Konfigurationsparameter einen Wert ein Arbeitsblatt f r die Installation der virtuellen Appliance Bevor Sie die virtuelle Appliance installieren sammeln Sie die in der nachstehenden Tabelle aufgef hrten Informationen Wenn Sie sich die Daten im Arbeitsblatt notieren k nnen Sie sie w hrend der Installation zu Rate ziehen Sie k nnen f r jeden zu installierenden CA Enterprise Log Manager Server ein eigenes Arbeitsblatt ausdrucken und ausf llen Erforderliche Informationen Wert Kommentare Hostspezifische Einstellungen Hostname Der Hostname f r Verwenden Sie f r die Angabe des Hostnamens diesen CA f r diesen Server nur f r Hostnamen zul ssige Enterprise Log Zeichen Empfohlen werden die Buchstaben A Manager Server Z unabh ngig von Gro oder Beispiel Kleinschreibung die Zahlen 0 9 und der CA ELM1 Bindestrich wobei das erste Zeichen ein Buchstabe und das letzte Zeichen ein alphanumerisches Zeichen ist Verwenden Sie in Hostnamen keine Unterstriche und h ngen Sie keine Dom nennamen an Hinweis Der Hostname darf h chstens 15 Zeichen enthalten Root Kennwort neues root Erstellen und best tigen Sie ein neues root Kennwort Kennwort f r diesen Server 348 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances
36. Diese SQL Anweisungen werden nur vom CA Enterprise Log Manager Server mit dem Ereignisprotokollspeicher verwendet Erstellen Sie Ihre ODBC SQL Abfragen anhand von Standardkonstruktionen gem den ANSI SQL Standards 126 Implementierungshandbuch Installieren des JDBC Clients So testen Sie den Datenabruf der Serverkomponente 1 ffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Verzeichnis in dem Sie den ODBC Client installiert haben Starten Sie das ISQL Hilfsprogramm odbcisql exe Geben Sie folgende SELECT Anweisung ein um den Abruf aus dem Ereignisprotokollspeicher zu testen select top 5 event logname receiver hostname SUM event count as Count from view event where event time gmt lt now and event _time_gmt gt timestampadd mi 15 now GROUP BY receiver hostname event logname Installieren des JDBC Clients Mit dem JDBC Client haben Sie ber alle Java aktivierten Applets Anwendungen oder den Anwendungsserver Zugriff auf JDBC Er liefert einen leistungsstarken Point to Point und n Tier Zugriff auf Datenquellen Der Client ist f r die Java Umgebung optimiert so dass Sie die Java Technologie einbeziehen und die Funktionalit t und Leistung Ihres vorhandenen Systems erweitern k nnen Der JDBC Client wird auf 32 Bit und 64 Bit Plattformen ausgef hrt Vorhandene Anwendungen m ssen nicht ge ndert werden um auf 64 Bit Plattformen ausgef hrt zu werden Die Installation des JDBC Clients beste
37. Dieser Anhang beschreibt den Vorgang CA IT PAM auf einem Windows Server zu installieren und CA EEM auf dem CA Enterprise Log Manager Server zur Authentifizierung freizugeben Diese Vorgehensweisen erg nzen die Angaben im CA IT Process Automation Installationshandbuch Wichtig Die Freigabe von CA EEM wird im FIPS Modus nicht unterst tzt da CA IT PAM nicht FIPS kompatibel ist Wenn Sie Ihren CA Enterprise Log Manager Server auf den FIPS Modus aktualisieren schl gt die Integration mit CA IT PAM fehl Hinweis Wenn Sie CA IT PAM auf einem UNIX Server installieren bzw LDAP oder lokales CA EEM zur Authentifizierung verwenden m chten trifft die Dokumentation in diesem Anhang nicht auf Sie zu In diesem Fall nutzen Sie nicht den gleichen CA EEM Server CA Enterprise Log Manager r12 1 SP1 kann im FIPS Modus ausgef hrt werden und mit CA IT PAM kommunizieren diese Kommunikationskan le sind jedoch nicht FIPS kompatibel Laden Sie f r Installationsszenarien das Installationshandbuch f r CA IT Process Automation Manager r2 1 SP03 von Support Online herunter Laden Sie auch Adobe Acrobat Reader herunter damit Sie Pdfs ffnen k nnen Der Vorgang bei dem Sie CA EEM auf CA Enterprise Log Manager zur Authentifizierung von CA IT PAM verwenden k nnen enth lt zwei manuelle Schritte Sie kopieren eine Datei vom Windows Server auf die Anwendung und eine andere Datei von der Anwendung auf den Windows Server Diese Schritte werden in diesem Anhang be
38. Ebene der Ereignisnormalisierung das von CEG verwendet wird Es beschreibt allgemeine Aktionen Beispieltypen f r Ereignisaktionen sind Start und Stopp eines Prozesses oder Anwendungsfehler Ereigniserfassung bezeichnet das Lesen der Rohereigniszeichenfolge aus einer Ereignisquelle und das Senden dieser an den konfigurierten CA Enterprise Log Manager Auf die Ereigniserfassung folgt die Ereignisverfeinerung Ereignisfilterung ist der Prozess in dem Ereignisse auf der Basis von CEG Filtern verworfen werden Ereigniskategorie event_category Ereigniskategorien Die Ereigniskategorie ist das ereignisspezifische Feld auf der zweiten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es dient der weiteren Klassifizierung von Ereignissen mit einen speziellen Idealmodell Ereigniskategorietypen umfassen die Betriebssicherheit das Identit ten Management das Konfigurations Management den Ressourcen und Systemzugriff Ereigniskategorien sind Kennungen anhand derer CA Enterprise Log Manager Ereignisse nach ihrer Funktion klassifiziert bevor sie in den Ereignisspeicher eingef gt werden 426 Implementierungshandbuch Ereignisklasse event_class Die Ereignisklasse ist das ereignisspezifische Feld auf der dritten Ebene der Ereignisnormalisierung das von CEG verwendet wird Es dient der weiteren Klassifizierung von Ereignissen mit einer speziellen Ereigniskategorie Ereignisprotokollspeicher Der Ereignisprotokollspeich
39. Enterprise Log Manager Servern sowie zum Anzeigen eines F derationsdiagramms Arbeiten mit der Ereignisverfeinerungs Bibliothek Aspekte f r CA Audit Benutzer Bietet bersichtsinformationen zur Arbeit mit Nachrichtenanalyse und Datenzuordnungsdateien Beschreibt die m glichen Interaktionen zwischen CA Enterprise Aspekte f r CA Access Control Log Manager und CA Audit die Konfiguration von iRecordern und Richtlinien sowie den Import von Daten aus einer CA Audit Collector Datenbank Beschreibt die Integration mit CA Access Control die nderung Benutzer Hinweise zu CA IT PAM von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager die Konfiguration eines CA Access Control iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager sowie den Import von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Beschreibt den Installationsprozess f r CA IT PAM durch den die Authentifizierung von der EEM Komponente auf dem CA Enterprise Log Manager Verwaltungsserver ausgef hrt wird Disaster Recovery Beschreibt Verfahren zur Sicherung Wiederherstellung und zum Austausch von Daten mit dem Ziel die Wiederherstellung Ihrer Protokollverwaltungsl sung im Notfall zu gew hrleisten Beschreibt das Verfahren zum Erstellen und Konfigurieren eines CA Enterprise Log Manager und Virtualisierung virtuellen Rechners f r einen CA Enterprise Log Manager Server Kapit
40. Enterprise Log Manager Ereignisprotokoll Speicher wird die Verwendung von Ereignisdaten mit einer Vielzahl von Produkten anderer Hersteller unterst tzt darunter die benutzerdefinierte Berichterstellung zu Ereignissen mit Berichterstellungstools anderer Hersteller die Ereigniskorrelation mit Korrellations Engines und die Ereignisauswertung durch Produkte f r die Erkennung von Sicherheitsverletzungen Intrusion Detection und Malware Auf Systemen mit Windows Betriebssystemen wird der ODBC Zugriff verwendet auf UNIX und Linux Systemen hingegen der JDBC Zugriff 436 Implementierungshandbuch ODBC Server OID Objekt ID Ordner Pflichtrichtlinie pozFolder Der ODBC Server ist der konfigurierte Service der den f r die Kommunikation zwischen dem ODBC oder JDBC Client und dem CA Enterprise Log Manager Server verwendeten Port festlegt und angibt ob SSL Verschl sselung verwendet werden soll Eine OID Objekt ID ist eine eindeutige numerische ID f r ein Datenobjekt das mit Werten in einer SNMP Trap Meldung verbunden wird Alle OIDs die in einer CA Enterprise Log Manager SNMP Trap verwendet werden werden einem CEG Textfeld in der MIB zugeordnet Jede OID die einem CEG Feld zugeordnet ist hat folgende Syntax 1 3 6 1 4 1 791 9845 x x x wobei 791 die Unternehmensnummer f r CA Technologies und 9845 die Produkt ID f r CA Enterprise Log Manager ist Ein Ordner ist ein Verzeichnispfad Speicherort an dem der CA Enterprise Log
41. Fertig stellen Abbrechen Hilfe N Informationen D Skript Aktionen bearbeiten bearbeiten bearbeiten Aktionen durchsuchen Durchsuchen Sie die Liste der Aktionen und erstellen Sie Aktionen die zur Regel hinzugef gt Remote Server Optionale werden sollen Hostname oder IP Adresse mean a Beschreibung CA ELM Collector CA ELM CA Enterprise Log Manager OSlex Management a action E E mail Gesce Status Monitor External Program fki 288 Implementierungshandbuch ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager 10 11 Sie k nnen auch die Route Aktion verwenden Die Collector Aktion bietet jedoch den Vorteil dass zus tzlich ein alternativer Hostname f r eine einfache Failover Verarbeitung angegeben werden kann Klicken Sie auf Neu um eine neue Regel hinzuzuf gen Geben Sie die IP Adresse bzw den Hostnamen des CA Enterprise Log Manager Quellservers f r Protokolldateien ein Regel bearbeiten Aktionen Zur ck Weiter Fertig stellen Abbrechen Hilfe a gt Informationen 2 gt Skript EN Aktionen LY bearbeiten L bearbeiten bearbeiten Aktionen durchsuchen Hilfe Collector Speichern Abbrechen Durchsuchen Sie die Liste der Aktionen und erstellen Sie Aktionen die zur Regel hinzugef gt werden sollen Hostname oder IP Adresse CA ELM Collector O collector Name des alternativen Hosts CA ELM Management E
42. Festplattenlaufwerke Gehen Sie wie unten beschrieben vor um virtuelle Festplattenlaufwerke f r die Speicherung von Ereignisprotokollen hinzuzuf gen Verwenden Sie dieselben Einstellungen unabh ngig davon welche Rolle ein bestimmter CA Enterprise Log Manager Server im Netzwerk spielt Anhang E CA Enterprise Log Manager und Virtualisierung 337 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern So bearbeiten Sie die Einstellungen 1 Klicken Sie im VMware Infrastructure Client mit der rechten Maustaste auf den virtuellen Rechner und w hlen Sie Edit Settings aus Das Dialogfeld Virtual Machine Properties wird angezeigt 2 Markieren Sie die Eigenschaft CD DVD Drive 1 3 Klicken Sie auf die Optionsschaltfl che Host Device und w hlen Sie in der Dropdown Liste Ihr DVD ROM Laufwerk aus 4 W hlen Sie unter Device Status die Option Connect at power on aus 5 Klicken Sie auf Add um den Add Hardware Wizard zu starten und f gen Sie eine zweite Festplatte hinzu 6 Markieren Sie in der Ger teliste den Eintrag Hard Disk und klicken Sie auf Next Das Dialogfeld Select a Disk wird angezeigt 7 W hlen Sie die Option Create a new virtual disk aus und klicken Sie auf Next 8 Legen Sie die Gr e der neuen Festplatte fest und w hlen Sie die Option Specify a datastore um den Standort festzulegen CA Enterprise Log Manager erkennt das zus tzliche Laufwerk w hren
43. Gro und Kleinschreibung unterschieden Das f r CA SiteMinder definierte shared secret Beim Agent Secret wird zwischen Gro und Kleinschreibung unterschieden Legt fest ob globale Benutzer f r einen schnellen Zugriff im Cache gespeichert werden Die Verwendung dieser Option beschleunigt die Suche auf Kosten der Skalierbarkeit Hinweis Globale Benutzergruppen werden immer im Cache gespeichert Kapitel 2 Planen der Umgebung 47 Benutzer und Zugriffsplanung Erforderliche Informationen Wert Cache Update Time Aktualisierungszeit des Cache Include Unmapped Attributes Nicht zugeordnete Attribute einbeziehen Retrieve Exchange Groups as Global User Groups Exchange Gruppen als globale Benutzergruppen abrufen Authorization Store Type Art des Autorisierungsspeichers Authorization Store Name Name des Autorisierungsspeichers Benutzer mit Administratorrolle Kommentare Das Intervall in Minuten nach dem der Benutzercache automatisch aktualisiert wird Legt fest ob externe nicht zugeordnete Attribute f r die Verwendung als Filter oder in Suchabfragen einbezogen werden sollen Falls es sich bei dem externen Verzeichnis um Microsoft Active Directory handelt wird mit dieser Option festgelegt dass globale Gruppen anhand der Microsoft Exchange Gruppeninformationen erstellt werden Wenn Sie diese Option aktivieren k nnen Sie Richtlinien gegen Mitglieder von Verteilerlisten erstellen Legt die
44. Installation wird eine Meldung angezeigt dass CA Enterprise Log Manager erfolgreich installiert wurde Hinweis Falls Sie weitere CA Enterprise Log Manager Server installieren wird m glicherweise im Installationsprotokoll eine Meldung angezeigt die besagt dass der Anwendungsname der w hrend der Installation beim CA EEM Server registriert werden sollte bereits vorhanden ist Sie k nnen diese Meldung ignorieren da bei jeder CA Enterprise Log Manager Installation versucht wird den Anwendungsnamen als neuen Namen zu erstellen Nach Abschluss der Installation m ssen Sie den CA Enterprise Log Manager Server konfigurieren damit Ereignisse empfangen werden k nnen Hierzu geh rt eventuell auch die Konfiguration eines Connectors auf dem Standardagenten damit Syslog Ereignisse empfangen werden k nnen Weitere Informationen Fehlerbehebung bei der Installation siehe Seite 131 Konfigurieren des Standardagenten siehe Seite 221 berpr fen der Ausf hrung des iGateway Prozesses Falls Sie nach der Installation nicht auf die Webschnittstelle des CA Enterprise Log Manager Servers zugreifen k nnen und sich sicher sind dass die Netzwerkschnittstellenports richtig konfiguriert wurden kann es sein dass der iGateway Prozess nicht ausgef hrt wird Gehen Sie wie unten beschrieben vor um eine schnelle berpr fung des iGateway Prozessstatus vorzunehmen Der iGateway Prozess muss ausgef hrt werden damit der CA Enterprise Log Manager
45. Klicken Sie auf Service automatischer Software Updates Die globale Service Konfiguration f r den Service automatischer Software Updates wird angezeigt Kapitel 5 Konfigurieren von Services 213 Konfiguration automatischer Software Updates 3 F hren Sie einen der folgenden Schritte aus a Um global f r Ihre ganze CA Enterprise Log Manager Umgebung auszuw hlen welche Module heruntergeladen werden sollen klicken Sie auf die Registerkarte Verwaltung oder m Um f r einen bestimmten Server Module auszuw hlen die heruntergeladen werden sollen klicken Sie auf den Servernamen dann auf die Registerkarte Verwaltung und wechseln Sie in Zum Download ausgew hlte Module auf die lokale Konfiguration 4 Best tigen Sie dass die richtige RSS Adresse im Feld der RSS Feed URL angezeigt wird oder schalten Sie auf lokale Konfiguration um und geben Sie die RSS URL ein um eine benutzerdefinierte RSS Adresse f r einen bestimmten Server zu konfigurieren 5 Klicken Sie auf Durchsuchen Das Dialogfeld Zum Download verf gbare Module wird angezeigt 6 W hlen Sie die Module aus die Sie aktivieren m chten Hinweis Um neue Aktualisierungen von CA zu erhalten sobald diese verf gbar sind w hlen Sie die monatlichen und regelm igen Module aus und legen Sie Ihren Zeitplan f r Software Updates so fest dass mindestens einmal pro Monat automatisch aktualisiert wird Aktualisierungen von Service Pack und Versionen sind wenig
46. Klicken Sie auf Speichern Weitere Informationen Konfiguration automatischer Software Updates siehe Seite 204 Kapitel 5 Konfigurieren von Services 209 Konfiguration automatischer Software Updates Konfigurieren von Proxy Listen Wenn Sie mehrere Proxys f r automatische Software Updates f r Ihre Umgebung konfigurieren k nnen Sie Proxy Listen f r Clientaktualisierungen konfigurieren Sollte ein bestimmter Proxy nicht verf gbar sein wenn ein Client Aktualisierungen anfragt setzt sich der Client mit jedem Proxy auf der Proxy Liste der Reihe nach in Verbindung bis das Herunterladen der Aktualisierungen gelingt Sie k nnen eine Proxy Liste f r Clientaktualisierungen global f r Ihre ganze CA Enterprise Log Manager Umgebung oder lokal f r individuelle Clients f r automatische Software Updates konfigurieren Mit mehreren Proxys f r automatische Software Updates k nnen Sie auch eine Proxy Liste f r Inhaltsaktualisierungen konfigurieren Dabei handelt es sich um Server die Inhaltsaktualisierungen wie Abfragen Berichte und Korrelationsregeln erhalten und sie an den Verwaltungsserver verteilen wo sie zur Verwendung von CA Enterprise Log Manager gespeichert werden Sie k nnen eine Proxy Liste f r Inhaltsaktualisierungen nur auf globaler Ebene konfigurieren Proxy Listen helfen Ihnen dabei sicherzustellen dass automatische Software Updates erfolgreich abgerufen und zeitnah verteilt werden Auch in kleinen CA Enterprise
47. Konfiguration f r den Benutzerspeicher wird angezeigt W hlen Sie die Option f r den Verweis aus CA SiteMinder CA SiteMinder spezifische Felder werden angezeigt a F llen Sie die Felder wie auf dem Arbeitsblatt f r SiteMinder geplant aus b Um die von CA SiteMinder verwendeten Verbindungen und Ports anzuzeigen bzw zu ndern klicken Sie auf die Auslassungspunkte um das Fenster f r die Verbindungsattribute einzublenden Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration 147 Konfigurieren von Kennwortrichtlinien 5 7 Klicken Sie auf Speichern Wenn Sie diesen Verweis speichern werden die Benutzerkontoinformationen in CA EEM geladen So k nnen Sie auf diese Benutzerdatens tze als globale Benutzer zugreifen und Anwendungsinformationen wie die Anwendungsbenutzergruppe und den Namen f r die Benutzerrolle hinzuf gen berpr fen Sie den angezeigten Status um sicherzustellen dass die Bindung an das externe Verzeichnis ordnungsgem erfolgt ist und Daten geladen werden Falls beim Status eine Warnung angezeigt wird klicken Sie auf die Option zum Aktualisieren des Status Falls beim Status ein Fehler angezeigt wird korrigieren Sie die Konfiguration klicken auf Speichern und wiederholen diesen Schritt Klicken Sie auf Schlie en Weitere Informationen Planen des Benutzerspeichers siehe Seite 43 Arbeitsblatt f r CA SiteMinder siehe Seite 47 Konfigurieren von Kennwortrichtlinien Si
48. Konfigurationen werden auf dem Verwaltungsserver gespeichert wobei eine lokale Kopie auf dem CA Enterprise Log Manager Quellserver verbleibt So kann die Ereigniserfassung auf den agentenlosen Quellservern f r Protokolldateien auch dann ohne Unterbrechung fortgesetzt werden falls die Netzwerkverbindung unterbrochen wird oder der Verwaltungsserver ausf llt Der Zugriffsbereich Systemstatus enth lt Tools die f r einen CA Enterprise Log Manager Server und dessen Dienste gelten und mit denen Informationen f r den Support gesammelt werden k nnen Zus tzliche Informationen zu diesem Bereich finden Sie im Administrationshandbuch und in der Online Hilfe Bearbeiten globaler Konfigurationen Sie k nnen globale Konfigurationen f r alle Services festlegen Beim Versuch Werte au erhalb des zul ssigen Bereichs zu speichern wird CA Enterprise Log Manager standardm ig je nachdem auf den minimalen oder maximalen Wert gesetzt Einige Einstellungen h ngen voneinander ab So bearbeiten Sie globale Einstellungen 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services Die Service Liste wird angezeigt 2 Klicken Sie in der Service Liste auf Globale Konfiguration Das Detailfenster Globale Service Konfiguration wird ge ffnet 156 Implementierungshandbuch 3 Bearbeiten globaler Konfigurationen Folgende Konfigurationseinstellungen k nnen ge ndert werden Aktualisierungsintervall Gibt d
49. Linie zeigt den Verlauf der auf Richtlinien basierenden Steuerung zwischen dem Richtlinien Manager Server und den Clients Anhang A Aspekte f r CA Audit Benutzer 253 Unterschiede in der Architektur Der Data Tools Server stellt einfache Berichts und Visualisierungsprogramme sowie eine Ereignisspeicherung bereit Benutzerdefinierte Abfragen und Berichte deren Erstellung und Verwaltung sehr zeitaufw ndig ist sind die Regel in Unternehmensimplementierungen Diese Netzwerktopologie erm glicht die Erfassung verschiedener Ereignistypen aus unterschiedlichen Ger ten Anwendungen und Datenbanken Der zentrale Speicher f r die erfassten Ereignisse ist normalerweise Teil des Data Tools Servers der diesen Speicher auch verwaltet und bestimmte Berichte bereitstellt Sie ben tigen allerdings zus tzliche Ressourcen um Ihre L sung so anzupassen dass schnell ansteigende Ereignismengen verarbeitet werden k nnen Sie m ssen Berichte erstellen die zeigen dass lokale und internationale Bestimmungen eingehalten werden Und Sie m ssen in der Lage sein diese Berichte schnell und problemlos aufzufinden 254 Implementierungshandbuch Unterschiede in der Architektur Architektur von CA Enterprise Log Manager Die folgende Abbildung zeigt eine einfache CA Enterprise Log Manager Implementierung mit zwei Servern Verwaltungs Berichtsserver Erfassung Ereignisse Konfiguration Syslog und Steuerung v Ereignisse Ag
50. Log Manager Umgebungen wird es empfohlen mindestens einen Sicherungsproxy sowohl f r Client als auch Inhaltsaktualisierungen zu konfigurieren falls der erste Proxy nicht verf gbar ist So konfigurieren Sie Proxy Listen 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services 2 Klicken Sie auf Service automatischer Software Updates Die globale Service Konfiguration f r den Service automatischer Software Updates wird angezeigt 3 F hren Sie einen der folgenden Schritte aus m Um eine globale Proxy Liste f r Ihre ganze CA Enterprise Log Manager Umgebung festzulegen klicken Sie auf die Registerkarte Verwaltung oder Um eine lokale Proxy Liste f r einen bestimmten Client f r automatische Software Updates anzugeben klicken Sie auf den Servernamen anschlie end auf die Registerkarte Verwaltung und wechseln Sie auf die lokale Konfiguration 210 Implementierungshandbuch Konfiguration automatischer Software Updates 4 F gen Sie die gew nschten Proxy Server zu den Proxy Listen hinzu Wichtig In einer gemischten Umgebung automatischer Software Updates in der sowohl Offline als auch Online Proxys konfiguriert sind nehmen Sie keine Offline Proxys in die Proxy Liste f r Online Clients auf Ansonsten w rde der Client f r automatische Software Updates im Online Modus automatisch alle Aktualisierungen erhalten die manuell auf dem Offline Proxy Server installiert wurden un
51. Machine Properties HT Sharing Any 408 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 6 W hlen Sie in der Spalte Settings die Option Memory aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties HT Sharing Any 7 Klicken Sie auf OK 8 Hinweis Weitere Informationen zur Paravirtualisierung finden Sie auf www vmware com Anhang E CA Enterprise Log Manager und Virtualisierung 409 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Schalten Sie den bereitgestellten CA Enterprise Log Manader Server ein Sie m ssen den CA Enterprise Log Manager Server einschalten damit er in Betrieb genommen werden kann So schalten Sie einen CA Enterprise Log Manager Server ein 1 W hlen Sie den neuen CA Enterprise Log Manager Server im linken Bereich des VMware Anwendungsfensters aus 2 Klicken Sie auf der Registerkarte Getting Started unter Basic Tasks auf Power On Der CA Enterprise Log Manager Server ist eingeschaltet Hinweis Stellen Sie sicher dass Sie der prim re CA Enterprise Log Manager Server in Betrieb ist bevor Sie einen sekund ren CA Enterprise Log Manager Server einschalten berpr fen des Installation eines virtuellen CA Enterprise Log Manager Servers Wenn
52. Manager Benutzeroberfl che verwaltet werden Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert 138 Implementierungshandbuch Fehlerbehebung bei der Installation L sung Importieren Sie die Agentenverwaltungsdateien manuell So importieren Sie Dateien f r die allgemeine Agentenverwaltund 1 Greifen Sie auf eine Eingabeaufforderung auf dem CA Enterprise Log Manager Server zu 2 Melden Sie sich mit den Anmeldeinformationen f r das caelmadmin Konto an 3 Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su 4 Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content 5 F hren Sie folgenden Befehl aus ImportCALMAgentContent sh Das Shell Skript importiert die Dateien f r die allgemeine Agentenverwaltung Importieren von CA Enterprise Log Manager Konfigurationsdateien Symptom W hrend der Installation wurden die Konfigurationsdateien nicht richtig vom CA EEM Server importiert Sie k nnen CA Enterprise Log Manager starten es fehlen jedoch bestimmte Einstellungen und Werte aus den Bereichen f r die Service Konfiguration und ohne diese Dateien k nnen Sie einzelne Hosts nicht zentral konfigurieren Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Konfigurationsdateien man
53. Manager Server fungieren Wissenswertes ber Archivdateien Der CA Enterprise Log Manager Server erstellt automatisch Standby Datenbankdateien auch Archivdateien genannt wenn eine Online Datenbank die im Ereignisprotokollspeicherservice angegebene Einstellung Maximale Zeilenanzahl erreicht Online Datenbankdateien werden nicht komprimiert Wenn Sie die automatische Archivierung von einem agentenlosen Quellserver auf einen Berichtsserver einrichten werden die Standby Datenbanken auf dem Quellserver gel scht nachdem sie auf den Berichtsserver kopiert wurden In diesem Fall hat die Einstellung Maximale Anzahl an Archivtagen keine G ltigkeit Wenn Sie die automatische Archivierung von einem Berichtsserver auf einen Remote Speicherserver einrichten werden die Standby Datenbanken auf dem Berichtsserver nicht gel scht nachdem sie auf den Remote Speicherserver kopiert wurden Die Standby Datenbanken verbleiben auf dem Berichtsserver bis der f r die Einstellung Maximale Anzahl an Archivtagen festgelegte Wert erreicht wurde Dann werden sie gel scht Es wird allerdings eine Aufzeichnung dieser gel schten Offline Datenbanken aufbewahrt so dass Sie Daten in der Archivdatenbank abfragen k nnen falls diese Informationen einmal f r eine Wiederherstellung ben tigt werden 162 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Bei der Festlegung des Werts f r Maximale Anzahl an Archivtagen ziehen Sie den ver
54. Produkt an Nachdem Sie das gew nschte Profil erstellt haben k nnen Sie es sobald Sie angemeldet sind jederzeit aktivieren Wenn Sie mehrere Profile erstellen k nnen Sie in einer Sitzung verschiedene Profile jeweils eins nach dem anderen auf Ihre Aktivit ten anwenden Vordefinierte Filter erhalten Sie mit den automatischen Software Updates Ein Protokoll ist ein Audit Datensatz oder eine erfasste Nachricht eines Ereignisses oder mehrerer Ereignisse Ein Protokoll kann ein Audit Protokoll ein Transaktionsprotokoll ein Intrusionsprotokoll ein Verbindungsprotokoll ein Systemleistungsdatensatz ein Benutzeraktivit tsprotokoll oder ein Alarm sein Protokollanalyse ist eine Untersuchung der Protokolleintr ge um relevante Ereignisse festzustellen Wenn Protokolle nicht zeitnah analysiert werden verringert sich ihr Wert betr chtlich Protokollanalyse ist der Prozess der Datenextraktion aus einem Protokoll damit die analysierten Werte in einem Folgestadium der Protokollverwaltung verwendet werden k nnen Protokollarchivierung bezeichnet den Prozess der auftritt wenn die hei e Datenbank ihre Maximalgr e erreicht wenn eine Komprimierung auf Zeilenebene durchgef hrt wird und der Status von hei in warm ge ndert wird Administratoren m ssen die warme Datenbank sichern bevor die Schwelle zum L schen erreicht wird und sie m ssen das Hilfsprogramm LMArchive ausf hren um den Namen der Sicherungen zu erfassen Diese Informati
55. Regeln aus und w hlen Sie dann die zu berpr fende Regel aus Anhang A Aspekte f r CA Audit Benutzer 267 Senden von CA Audit Ereignissen an CA Enterprise Log Manager 13 Klicken Sie auf Richtlinien berpr fen um die ge nderte Regel mit den neuen Aktionen zu berpr fen und sicherzustellen dass sie richtig kompiliert wird Nehmen Sie ggf alle notwendigen nderungen an der Regel vor und vergewissern Sie sich dass sie richtig kompiliert wird bevor Sie sie aktivieren 14 Klicken Sie auf Aktivieren um die berpr fte Richtlinie mit den neuen hinzugef gten Regelaktionen zu verteilen 15 Wiederholen Sie diesen Vorgang f r alle Regeln und Richtlinien mit erfassten Ereignissen die an CA Enterprise Log Manager gesendet werden sollen Weitere Informationen Wissenswertes ber den SAPI Router und Collector siehe Seite 260 Konfigurieren des SAPI Collector Service siehe Seite 262 Konfigurieren des SAPI Router Service siehe Seite 262 ndern einer bestehenden r8 SP2 Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager Gehen Sie wie unten beschrieben vor um einen r8 SP2 CA Audit Client so einzurichten dass Ereignisse an CA Enterprise Log Manager und an die CA Audit Collector Datenbank gesendet werden Indem Sie der Route bzw Collector Aktion einer bestehenden Regel ein neues Ziel hinzuf gen k nnen Sie erfasste Ereignisse an beide Systeme senden Alternativ k nnen Sie bestimmte Richtl
56. Remoteverwaltung hinzugef gt haben Beispiel Connector Konfiguration Geben Sie die Konfigurationsdetails ein Gespeicherte Konfigurationen Konfiguration ausw hlen v Sensorkonfiguration Computername 172 24 36 107 a Port 80 E Benutzername ELMagent Kennwort Ereignisprotokollname NT Security Abfrageintervall 10 Y a Ankerfrequenz aktualisieren 10 D V von Beginn an lesen Quellenname Security Name des Kanals Protokoll security 9 Klicken Sie auf Speichern und schlie en 10 Der neue Connectorname wird unter dem Agenten im Agenten Explorer angezeigt Protokollerfassungs Explorer vw ESAgenten Explorer v Default Agent Group v my elm 2 E Syslog_Connecor E Linux_localsyslog_Connector E winRM_Connector Kapitel 6 Konfigurieren der Ereigniserfassung 235 Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLodSensor 11 Klicken Sie auf WinRM_Connector um die Statusdetails anzuzeigen Zu Beginn wird der Status Ausstehende Konfiguration angezeigt Warten Sie bis der Status Wird ausgef hrt angezeigt wird Statusdetails Neu starten Start Beenden Connector Agent Agentengruppe Plattform Integration Status inRM_Connector my eim Default Agent Group Linux_X86_32 WioRM Wird ausgef hrt 12 Klicken Sie auf Wird ausgef hrt um zusammenfassende Daten wie EPS Ereignisse pro
57. Richtlinien hinsichtlich CA IT PAM Zugriff Gruppen und Benutzer einschlie lich vordefinierte ITPAMAdmins ITPAMUsers itpamadmin und itpamuser Zertifikat itpamcert p12 Anhang C Hinweise zu CAITPAM 313 Registrieren von CA IT PAM mit freigegebenem CA EEM Sie k nnen die CA IT PAM Sicherheitsobjekte auf dem CA Enterprise Log Manager Verwaltungsserver erstellen Gehen Sie sicher dass Sie vor Beginn ber das Kennwort f r caelmadmin verf gen So registrieren Sie CA IT PAM mit CA EEM auf dem CA Enterprise Log Manager Verwaltungsserver 1 Melden Sie sich bei der CA Enterprise Log Manager Anwendung ber ssh als caelmadmin Benutzer an Schalten Sie Benutzer auf das root Konto um SU Wechseln Sie die Verzeichnisse auf den Zielpfad und erstellen Sie eine Liste des Inhalts cd opt CA SharedComponents iTechnology ls berpr fen Sie dass die folgenden Dateien aufgelistet werden a ITPAM_eem xml m safex F hren Sie folgenden Befehl aus safex h lt ELM Hostname gt u EiamAdmin p lt Kennwort gt f ITPAM eem xml Dieser Prozess erstellt die CA IT PAM Anwendung im CA Enterprise Log Manager Verwaltungsserver f gt die Standardbenutzer hinzu und generiert das w hrend der IT PAM Installation ben tigte Zertifikat Das Zertifikat wird mit dem in der Datei ITPAM_eem xml angegebenen Kennwort erstellt oder wenn nicht ver ndert mit itpamcertpass Hinweis Geben Sie safex ein um Hilfe zur Verw
58. SNMP ist ein Akronym und steht f r Simple Network Management Protocol einen offenen Standard zum Senden von Warnmeldungen in Form von SNMP Traps von einem Agentensystem an mehrere Managementsysteme Eine SNMP Trap besteht aus Namen Wertepaaren wobei jeder Name eine OID Objekt ID und jeder Wert ein zur ckgegebener Wert aus dem geplanten Alarm ist Abfrageergebnisse die von einem Aktionsalarm zur ckgegeben werden bestehen aus CEG Feldern und ihren Werten SNMP Traps werden ausgef llt indem die CEG Felder der Namen in den Namen Wertepaaren durch OIDs ersetzt werden Die Zuordnung zwischen CEG Feld und OID wird in der MIB gespeichert Die SNMP Trap enth lt nur Namen Wertepaare f r Felder die Sie beim Konfigurieren des Alarms ausgew hlt haben Beim Planen von Aktionsalarmen k nnen ein oder mehrere SNMP Trap Ziele hinzugef gt werden F r jedes SNMP Trap Ziel wird eine IP Adresse und eine Port konfiguriert Das Ziel ist typischerweise ein NOC oder ein Verwaltungsserver z B CA Spectrum oder CA NSM Eine SNMP Trap wird an die konfigurierten Ziele gesendet wenn Abfragen f r einen geplanten Alarmjob Ergebnisse zur ckgeben Glossary 443 Soft Appliance Standardagent Unterdr ckung Unterdr ckungsregeln Soft Appliance ist ein vollst ndig funktionelles Softwarepaket das sowohl die Software als auch das zugrunde liegende Betriebssystem und alle abh ngigen Pakete enth lt Es wird durch Starten auf dem Installationsdate
59. Sekunde zu erhalten Status Prozent der CPU 3 4 Arbeitsspeicherverwendung in MB 12 Durchschnittliche EPS 1519 95 Anzahl der gefilterten Ereignisse 0 So berpr fen Sie ob der Standardagent Ereignisse von der Zielereignisquelle erfasst 1 W hlen Sie die Registerkarte Abfragen und Berichte Die Unterregisterkarte Abfragen wird angezeigt 2 Erweitern Sie Eingabeaufforderungen in der Abfrageliste und w hlen Sie Connector aus 3 Geben Sie den Connectornamen ein und klicken Sie auf Los 4 Die erfassten Ereignisse werden angezeigt 236 Implementierungshandbuch Anzeigen und Steuern des Agenten bzw Connector Status Anzeigen und Steuern des Agenten bzw Connector Status Sie k nnen den Status der Agenten bzw Connectors in Ihrer Umgebung berwachen Agenten neu starten und Connectors nach Bedarf starten stoppen und neu starten Die Agenten bzw Connectors k nnen auf verschiedenen Ebenen der Ordnerstruktur im Agenten Explorer angezeigt werden Mit jeder Ebene wird die Anzeige entsprechend eingegrenzt Auf der Ebene des Ordners Agenten Explorer k nnen Sie alle dem aktuellen CA Enterprise Log Manager Server zugeordneten Agenten bzw Connectors sehen Auf der Ebene eines bestimmten Agentengruppenordners k nnen Sie die dieser Agentengruppe zugewiesenen Agenten und Connectors sehen Auf der Ebene eines einzelnen Agenten sehen Sie nur diesen Agenten und die ihm zugeordneten Connectors Sie k
60. Server Ereignisse erfassen kann und die Benutzeroberfl che verf gbar ist So berpr fen Sie den iGateway Daemon 1 Rufen Sie auf dem CA Enterprise Log Manager Server eine Befehlszeile auf 2 Melden Sie sich mit den Anmeldedaten des caelmadmin Kontos an 3 Schalten Sie Benutzer mit folgendem Befehl auf das root Konto um su root Kapitel 3 Installieren von CA Enterprise Log Manager 87 Installieren eines CA Enterprise Log Manager Servers 4 berpr fen Sie mit dem folgenden Befehl ob der iGateway Prozess ausgef hrt wird ps ef grep igateway Das Betriebssystem gibt die Daten f r den iGateway Prozess und eine Liste der unter iGateway ausgef hrten Prozesse zur ck Weitere Informationen Beheben von Fehlern bei der Netzwerkschnittstellenkonfiguration siehe Seite 133 Starten des iGateway Daemon oder Service Beim iGateway Daemon bzw Service handelt es sich um den Prozess der alle Aufrufe an die Benutzerschnittstelle von CA EEM und CA Enterprise Log Manager verarbeitet Der Prozess muss ausgef hrt werden damit Sie auf diese beiden Anwendungen zugreifen k nnen Gehen Sie wie unten beschrieben vor um den iGateway Prozess zu starten falls er nicht ausgef hrt wird Hinweis Falls Sie iGateway nicht starten k nnen vergewissern Sie sich dass f r den Ordner ausreichend Speicherplatz verf gbar ist Falls zu wenig Speicherplatz verf gbar ist kann iGateway nicht gestartet werden So starten Sie de
61. Servers Wert Local beim ersten installierten Server Verwaltungsserver Remote bei jedem weiteren Server IP Adresse oder Hostname Kommentare Geben Sie an ob Sie einen lokalen oder einen standortfernen CA EEM Server verwenden m chten W hlen Sie bei einem CA Enterprise Log Manager Verwaltungsserver die Option Local Sie werden im Zuge der Installation aufgefordert ein Kennwort f r das EiamAdmin Standardbenutzerkonto anzulegen W hlen Sie bei jedem weiteren Server die Option Remote Sie werden im Zuge der Installation nach dem Namen des Verwaltungsservers gefragt Unabh ngig davon ob Sie die Option local oder remote gew hlt haben m ssen Sie bei der ersten Anmeldung bei jedem CA Enterprise Log Manager Server die EiamAdmin Konto ID und das EiamAdmin Kennwort verwenden Diese Eingabeaufforderung wird nur angezeigt wenn Sie bei der Eingabeaufforderung f r den lokalen oder standortfernen Server die Option Remote gew hlt haben Geben Sie die IP Adresse bzw den Hostnamen des CA Enterprise Log Manager Verwaltungsservers ein den Sie zuerst installiert haben Der Hostname muss auf dem DNS Server registriert sein Kapitel 3 Installieren von CA Enterprise Log Manager 83 Installieren eines CA Enterprise Log Manager Servers CA Enterprise Log Manager Daten Wert CA EEM Server Admin password Kennwort des EiamAdmin Kennwort des CA EEM Kontos Serveradministrators 84 Impl
62. Sie alle physischen Volumes auf dem System an pvdisplay Erstellen Sie die Volume Gruppe VolGroup01 Die Volume Gruppe VolGroupO00 ist bereits vorhanden vgcreate VolGroup0l dev mapper mpath dev mapper mpathl Hinweis Dieser Befehl erstellt ein Volume und f gt die zwei physischen Volumes in die Gruppe Erstellen Sie ein logisches Volume innerhalb der Volume Gruppe lvcreate n LogVol00 1 384030 VolGroup l Erstellen Sie ein Dateisystem mkfs t ext3 dev VolGroup 1 LogVoLl00 Kapitel 3 Installieren von CA Enterprise Log Manager 107 Installationshinweise f r ein System mit SAN Laufwerken Vorbereiten des logischen Volumes f r CA Enterprise Log Manager Nachdem Sie ein logisches Volume erstellt haben bernehmen Sie die erwartete Verzeichnisstruktur und weisen Sie die von CA Enterprise Log Manager ben tigten Besitzrechte und Gruppenvereinigungen zu Verwenden Sie den vi Texteditor um die Datei fstab zu ndern damit sie auf das von Ihnen erstellte logische Volume gerichtet ist Anschlie end laden Sie das neue Datenverzeichnis So bereiten Sie logische Volumes f r CA Enterprise Log Manager vor 1 Erstellen Sie ein tempor res Verzeichnis datal ndern Sie die Besitzrechte des Verzeichnisses datal auf caelmservice und ndern Sie die mit diesem Verzeichnis verkn pfte Gruppe auf caelmservice mkdir datal chown caelmservice datal chgrp caelmservice datal Halten Sie die IiGateway Prozesse d
63. Sie sich am Remote Speicherserver anmelden ohne eine Passphrase einzugeben Beispiel Konfigurieren von nicht interaktiver Authentifizierung ber drei Server Die einfachste Szenario zur Konfiguration einer nicht interaktiven Authentifizierung Voraussetzung f r die automatische Archivierung besteht aus zwei CA Enterprise Log Manager Server einem Sammelserver und einem Berichts Verwaltungsserver sowie einem Remote Speichersystem auf einem UNIX oder Linux Server In diesem Beispiel werden die drei f r die automatische Archivierung vorbereiteten Server wie folgt genannt m NY Sammel ELM m NY Berichts ELM m NY Speicherserver Die Vorgehensweise zum Aktivieren der nicht interaktiven Authentifizierung lautet wie folgt 1 Generieren Sie vom NY Sammel ELM das RSA Schl sselpaar als caelmservice und kopieren Sie den ffentlichen Schl ssel dieses Paares als authorized_keys in das Verzeichnis tmp auf dem NY Berichts ELM 2 Erstellen Sie ein ssh Verzeichnis auf NY Berichts ELM ndern Sie die Eigentumsrechte auf caelmservice verschieben Sie authorized_keys vom Verzeichnis tmp in das ssh Verzeichnis und legen Sie die Eigentumsrechte an der Schl sseldatei mit den erforderlichen Berechtigungen auf caelmservice fest Kapitel 5 Konfigurieren von Services 177 Konfigurieren des Ereignisprotokollspeichers 3 Validieren Sie nicht interaktive Authentifizierung zwischen NY Sammel ELM und NY Berichts ELM 4 Gen
64. Um einen Systembericht ber selbst berwachende Ereignisse auf jedem CA Enterprise Log Manager Server im Netzwerk zu erstellen f hren Sie den Bericht auf dem Verwaltungsserver aus Um zusammenfassende Berichte oder Trendberichte f r alle Berichtsserver im Netzwerk zu erstellen f hren Sie den Bericht auf einem der Berichtsserver aus Um einen Bericht zu Daten auf einem Berichtsserver und den zugeh rigen Quellservern zu erstellen f hren Sie den Bericht auf einem der Quellserver aus Kapitel 2 Planen der Umgebung 39 Planen von F derationen Beispiel F derations bersicht f r ein mittelgro es Unternehmen Legen Sie vor dem Erstellen der F derations bersicht die Anzahl der Server fest die Sie den einzelnen Serverrollen zuweisen m chten Im folgenden Beispiel dient ein Server f r Verwaltungs und Berichtszwecke und die verbleibenden Server dienen der Erfassung Wir empfehlen diese Konfiguration f r Umgebungen mittlerer Gr e Sie k nnen die Architektur des Verwaltungs Berichtsservers und des Quellservers als Hub and Spoke betrachten wobei der Verwaltungs Berichtsserver der Hub ist Die F derations bersicht spiegelt diese Konfiguration nicht Sie zeigt stattdessen die Ebenen an so dass Sie hierarchisch f derierte Paare leicht von den vernetzten unterscheiden k nnen Wenn Sie eine F derations bersicht erstellen m ssen Sie berlegen welche Berichte und Warnungen mit welchen Gruppen von konsolidierten Daten ers
65. Um sich anzumelden geben Sie den Benutzernamen der vom Administrator f r dieses Konto definiert wurde sowie den zugeh rige Kennwort ein Oder Sie geben EiamAdmin den Standardnamen des Superusers und das zugeh rige Kennwort ein Eine Varbind ist eine SNMP variable Verbindung Jede Varbind besteht aus einem OID einem Typ und einem Wert Sie f gen Varbinds zu einer benutzerdefinierten MIB hinzu 444 Implementierungshandbuch Verfeinertes Ereignis Verf gbarmachung Vernetzte F deration Ein verfeinertes Ereignis sind zugeordnete oder verfeinerte Ereignisdaten die von einem Rohereignis oder von zusammengefassten Ereignissen stammen CA Enterprise Log Manager f hrt die Zuordnung und Analyse aus damit die gespeicherten Informationen durchsucht werden k nnen Die Verf gbarmachung bezeichnet die Status nderung einer Datenbank von kalt in verf gbar gemacht Der Prozess wird von CA Enterprise Log Manager durchgef hrt wenn dieser vom Hilfsprogramm LMArchive benachrichtigt wird dass eine bekannte kalte Datenbank wiederhergestellt wurde Wenn die kalte Datenbank nicht auf ihrem urspr nglichen CA Enterprise Log Manager wiederhergestellt wird das Hilfsprogramm LMArchive nicht verwendet wird und eine Verf gbarmachung nicht erforderlich ist wird die wiederhergestellte Datenbank bei der Neukatalogisierung als warme Datenbank hinzugef gt Eine Vernetzte F deration von CA Enterprise Log Manager Servern ist eine Topolog
66. Updates 5 W hlen Sie die ZIP Datei aus die die Dateien f r automatische Software Updates im Offline Modus enth lt die Sie ber die Drop down Liste Datei installieren m chten Hinweis F r diesen Vorgang wird angenommen dass Sie bereits alle Offline Pakete f r automatische Software Updates an den richtigen Speicherort auf diesem Server kopiert haben Wenn Sie dies noch nicht durchgef hrt haben wird eine Aufforderung dazu angezeigt 6 Klicken Sie auf Speichern Weitere Informationen Konfiguration automatischer Software Updates siehe Seite 204 Konfigurieren von Clients f r automatische Software Updates Clients f r automatische Software Updates laden die letzten CA Enterprise Log Manager Aktualisierungen von Proxys f r automatische Software Updates herunter Nachdem ein Client Aktualisierungen abgerufen hat installiert er die heruntergeladenen Komponenten Standardm ig sind alle CA Enterprise Log Manager Server die nicht als Proxy f r automatische Software Updates konfiguriert sind Clients f r automatische Software Updates Sie m ssen einen Server nur lokal als Client konfigurieren wenn Sie global festgelegte Einstellungen automatischer Software Updates berschreiben wollen Ein Client f r automatische Software Updates kann keine Aktualisierungen von einem Proxy abrufen bis dieser die Aktualisierungen vollst ndig heruntergeladen hat und sie selbst installiert hat Ein Client versucht Aktualisierungen
67. Verzeichnis CA Linux_x86 Sie k nnen das Skript auch im Dateisystem eines installierten CA Enterprise Log Manager Servers finden Das Skript bleibt im Verzeichnis opt CA LogManager 3 Kopieren Sie das Skript Rename_ELM sh zum Zielserver 4 ndern Sie die Informationen f r den virtuellen CA Enterprise Log Manager Server mit folgendem Befehl Rename_ELM sh 5 Reagieren Sie auf die Eingabeaufforderungen 6 Starten Sie den virtuellen Rechner der den aktuellen virtuellen Server enth lt 346 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Sie k nnen CA Enterprise Log Manager als virtuelle Appliance im Open Virtualization Format OVF bereitstellen Die Bereitstellung der virtuellen Appliance ben tigt weniger Zeit als das Bereitstellen oder Klonen eines CA Enterprise Log Manager Servers auf einem virtuellen Rechner Info zu virtuellen CA Enterprise Log Manager Appliances OVF ist ein offener Standard f r das Packen und Bereitstellen virtueller Appliances CA Enterprise Log Manager verwendet das auf OVF basierte Dateiformat Virtual Machine Disk VMDK Das OVF Paket enth lt folgende Dateien OVF Descriptor XML Datei Eine OVF Descriptor XML Datei mit der Erweiterung ovf Diese Datei enth lt die Spezifikationen f r die virtuelle Hardware CA Enterprise Log Manager Konfigur
68. auf neue Ereignisse Jede Instanz des SAPI Moduls verf gt ber ihre eigene Konfiguration mit der folgende Einstellungen angegeben werden Zu berwachender Port Zu ladende Datenzuordnungsdateien Zu verwendende Verschl sselungsbibliotheken Nach Eingang des Ereignisses wird dieses vom Modul an die Zuordnungsbibliothek gesendet und dann von CA Enterprise Log Manager in die Datenbank eingef gt Wichtig Die Datenzuordnungsbibliothek kann Zuordnungsdateien mit demselben Namen aber einer anderen Versionsnummer enthalten Die verschiedenen Dateien unterst tzen unterschiedliche Versionen derselben Ereignisquelle wie etwa eines Betriebssystems oder einer Datenbank Wichtig ist dass Sie bei der Konfiguration des SAPI Collectors bzw Routers nur eine Zuordnungsdatei mit der richtigen Version ausw hlen Falls die Liste der ausgew hlten Zuordnungsdateien zwei Dateien mit demselben Namen enth lt verwendet das Zuordnungsmodul nur die erste Datei in der Liste Falls dies nicht die richtige Datei f r den eintreffenden Ereignisstrom ist kann das Zuordnungsmodul die Ereignisse nicht richtig zuordnen Dies kann wiederum dazu f hren dass die falsch zugeordneten Ereignisse nicht in Abfragen und Berichten erscheinen bzw dass Abfragen und Berichte berhaupt keine Ereignisse enthalten Anhang A Aspekte f r CA Audit Benutzer 261 Konfigurieren von CA Technologies Adaptern Konfigurieren des SAPI Collector Service Gehen Sie wie unten
69. auf dem Server ausgef hrt auf dem CA EEM installiert ist CA Directory Prozess wird auf dem Server ausgef hrt auf dem CA EEM installiert ist Hauptprozess von CA Enterprise Log Manager dieser Prozess muss f r die Erfassung und Speicherung von Ereignissen ausgef hrt werden CA Enterprise Log Manager Prozess f r die Kommunikation zwischen Agent und CA Enterprise Log Manager Server zum Senden von Ereignissen CA Enterprise Log Manager Prozess der f r die Verarbeitung von ODBC und JDBC Anforderungen f r den Zugriff zum Ereignisprotokollspeicher auf der Serverseite ausgef hrt wird Erste CA Enterprise Log Manader Serverkonfigurationen Prozessname Standardport Beschreibung safetynet Das CA Enterprise Log Manager Prozess Framework das den fortlaufenden Betrieb gew hrleistet ssid CA Directory Prozess wird auf dem Server ausgef hrt auf dem CA EEM installiert ist Betriebssystemh rtung Die CA Enterprise Log Manager Soft Appliance enth lt eine vereinfachte und geh rtete Version des Red Hat Linux Betriebssystems Die folgenden H rtungsverfahren sind enthalten Der Zugriff auf SSH als Stammbenutzer wird deaktiviert Die Verwendung der Tastenkombination Strg Alt Entf um den Server von der Konsole neu zu starten ohne sich anzumelden wird deaktiviert Umleitungen werden in iptables f r folgenden Porte angewandt TCP Port 80 und 443 werden an 5250 umgeleitet UDP Port 514 wird an 40514 umgeleitet
70. auf die CA Audit SEOSDATA Tabelle verf gt Kopieren Sie das Hilfsprogramm LMSeosiImport auf den CA Audit Data Tools Server Rufen Sie auf dem Data Tools Server eine Eingabeaufforderung auf und navigieren Sie zu dem entsprechenden Verzeichnis Solaris opt CA SharedComponents iTechnology Windows Programme CA SharedComponents iTechnology Kopieren des Importhilfsprogramms auf einen Windows Data Tools Server Bevor Sie Daten aus der SEOSDATA Tabelle importieren k nnen m ssen Sie das Hilfsprogramm LMSeosImport von der CA Enterprise Log Manager Anwendunsgsinstallations DVD ROM auf Ihren Windows Data Tools Server kopieren Hinweis F r das Hilfsprogramm LMSeosImport m ssen die Dynamic Link Libraries etsapi und etbase vorhanden sein Diese Dateien geh ren zum Umfang der Basisinstallation des Data Tools Servers Vergewissern Sie sich vor der Verwendung des Hilfsprogramms LMSeosImport dass die PATH Systemanweisung das Verzeichnis Programme CA eTrust Audit bin enth lt So kopieren Sie das Hilfsprogramm 1 Rufen Sie auf dem Windows Data Tools Server eine Eingabeaufforderung auf 2 Legen Sie die CA Enterprise Log Manager Anwendunssinstallations DVD ROM ein 3 Navigieren Sie zu dem Verzeichnis CA ELM Windows 4 Kopieren Sie das Hilfsprogramm LMSeosImport exe in das iTechnology Verzeichnis des CA Audit Data Tools Servers lt Laufwerk gt Programme CA SharedComponents iTechnology Sie k nnen das Hil
71. auf ein LDAP Verzeichnis 2222eo2sseeeeseeseeeensseseeeennnneeeeeeenn 145 Verweisen auf CA SiteMinder als Benutzerspeicher 22 22222ceseeseeeeeeeseeeeeeenn 147 Konfigurieren von Kennwortrichtlinien 22222222eeeseeeseeeeneeeseeeeneneeeeeeenennenn 148 Aufbewahren vordefinierter Zugriffsrichtlinien 2222c2ccceeseeeeseeeeeennnnen nenn 150 Erstellen des ersten Administrators 2222e2e2ceeeeeeeeeeeeeeensneeeeeeeneeeeeeeeeeenennen 151 Erstellen eines neuen Benutzerkontos 2222222sssseseeeseeensnnnnenennnnnnnnnnn nen 152 Zuweisen einer Rolle zu einem globalen Benutzer 222cuneeneeennneeneennn 153 Kapitel 5 Konfigurieren von Services 155 Ereignisquellen und Konfigurationen 222222uuneeeeeennneeeeeennnneneeeeennneneeenn 155 Bearbeiten globaler Konfigurationen 22ccceeeeeeeeeeeenssnennnnnnnnennnneeeeeeenen 156 Arbeiten mit globalen Filtern und Einstellungen 22222ouneeeeee sense eennnnnenn 159 Verwenden f derierter Abfragen 222cceseesseeeseessssssensnnneenenneeeenenn 160 Konfigurieren des globalen Aktualisierungsintervalls 2222222cceeeeeeeeeeeeenen nen 160 Inhalt 9 Konfigurieren des Ereignisprotokollspeichers 2222220cseeeeeenennneneennnnneneenen 161 Wissenswertes ber den Ereignisprotokollspeicherservice 2222 2220 seeeeeenn 162 Wissenswertes ber Archivdateien 2222eeeeeeeeeeeeeeeeee
72. beibeh lt und gleichzeitig als Index h chster Ebene f r alle Datenbanken agiert Die Statusinformationen warm kalt oder verf gbar gemacht werden f r alle Datenbanken beibehalten die sich je auf diesem CA Enterprise Log Manager befunden haben und f r jede Datenbank die auf diesem CA Enterprise Log Manager als verf gbar gemachte Datenbank wiederhergestellt wurde Die Indizierungsf higkeit erstreckt sich auf alle hei en und warmen Datenbanken im Ereignisprotokollspeicher auf diesem CA Enterprise Log Manager Eine Kennung ist ein Term oder eine Schl sselphrase mit der Abfragen oder Berichte identifiziert werden die zur selben gesch ftsrelevanten Gruppierung geh ren Kennungen erm glichen Suchl ufe die auf gesch ftsrelevanten Gruppierungen basieren Eine Kennung ist au erdem der Ressourcenname der in einer Richtlinie verwendet wird die dem Benutzer die Berechtigung zur Erstellung einer Kennung erteilt Kompatibel mit FIPS 140 2 Kompatibel mit FIPS 140 2 ist die Bezeichnung f r ein Produkt das optional FIPS konforme kryptographische Bibliotheken und Algorithmen nutzen kann um sensible Daten zu verschl sseln und zu entschl sseln CA Enterprise Log Manager ist ein FIPS kompatibles Protokollerfassungsprodukt da Sie ausw hlen k nnen ob es im FIPS Modus oder im Nicht FIPS Modus ausgef hrt werden soll Konform mit FIPS 140 2 Konto Lokaler Filter Konform mit FIPS 140 2 ist die Bezeichnung f r ein Produkt das stan
73. beschrieben vor um den SAPI Collector Service zu konfigurieren Sie k nnen CA Audit Richtlinien ndern die Ereignisse mit Hilfe von Collector Aktionen an einen CA Enterprise Log Manager Server senden wobei der CA Enterprise Log Manager Server zus tzlich zur oder anstelle der CA Audit Collector Datenbank verwendet werden kann Konfigurieren Sie diesen Service bevor Sie die Audit Richtlinien ndern damit keine Ereignisse verloren gehen So konfigurieren Sie den SAPI Collector Service 1 Melden Sie sich beim CA Enterprise Log Manager Server an und w hlen Sie die Registerkarte Verwaltung aus Die untergeordnete Registerkarte Protokollerfassung wird standardm ig angezeigt 2 Erweitern Sie den Eintrag CA Technologies Adapter 3 W hlen Sie den SAPI Collector Service aus 4 Eine Beschreibung der einzelnen Felder finden Sie in der Online Hilfe 5 Klicken Sie abschlie end auf Speichern Konfigurieren des SAPI Router Service Gehen Sie wie unten beschrieben vor um den SAPI Router Service zu konfigurieren Sie k nnen CA Audit Richtlinien ndern die Ereignisse mit Hilfe von Route Aktionen an einen CA Enterprise Log Manager Server senden wobei die Ereignisse zus tzlich zu oder anstelle von anderen Zielen an den CA Enterprise Log Manager Server geleitet werden Ferner k nnen Sie SAPI Recorder Ereignisse so umleiten dass diese direkt an den SAPI Router Listener gesendet werden indem Sie die entsprechenden Kon
74. che durchgef hrt Normalerweise m ssen Sie nicht direkt mit den eingebetteten Funktionen des CA EEM Servers interagieren au er bei der Failover Konfiguration und den Sicherungs und Wiederherstellungsfunktionen die Teil der Disaster Recovery sind Hinweis Sie m ssen bei der CA Enterprise Log Manager Serverinstallation das Kennwort f r das standardm ige CA EEM Verwaltungskonto EiamAdmin verwenden damit der CA Enterprise Log Manager Server ordnungsgem registriert wird Wenn Sie den ersten CA Enterprise Log Manager Verwaltungsserver installieren erstellen Sie dieses Kennwort als Teil der Installation Wenn Sie weitere CA Enterprise Log Manager Server mit demselben Anwendungsinstanznamen installieren erstellen Sie automatisch eine Netzwerkumgebung in der Sie sp ter F derationsbeziehungen zwischen den CA Enterprise Log Manager Servern einrichten k nnen Kapitel 2 Planen der Umgebung 33 Planen von F derationen Richtlinien f r die Protokollerfassung Bedenken Sie w hrend der Planungsphase folgende Richtlinien f r die Protokollerfassung m Daten werden immer verschl sselt vom Agenten an den CA Enterprise Log Manager Server gesendet unabh ngig davon ob Sie die agentenlose oder agentenbasierte Protokollerfassung verwenden Ziehen Sie einen Mechanismus f r die lokale Syslog Erfassung in Betracht um potenzielle Probleme bei der garantierten Auslieferung zu umgehen Ziehen Sie folgende Faktoren in Betracht wenn
75. den RSS Feed gesendet werden Ein Berichtsserver ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt wird Ein Berichtsserver empf ngt automatisch archivierte warme Datenbanken von einem oder mehreren Erfassungsservern Ein Berichtsserver verwaltet Abfragen Berichte geplante Alarme und geplante Berichte Glossary 419 CA Enterprise Log Manager CAITPAM CA Spectrum CA Adapter CAELM caelmadmin CA Enterprise Log Manager ist ein L sung mit der Sie Protokolle weit verteilter Ereignisquellen verschiedenster Art sammeln nach bereinstimmungen von Abfragen und Berichten suchen und Datens tze von Datenbanken mit komprimierten Protokollen speichern k nnen die Sie in externe Langzeitspeicher verschoben haben CA IT PAM ist die Abk rzung f r CA IT Process Automation Manager Dieses CA Produkt automatisiert von Ihnen definierte Prozesse CA Enterprise Log Manager verwendet zwei Prozesse den Prozess zur Erstellung eines Ereignis Alarmausgabeprozesses f r ein lokales Produkt wie z B CA Service Desk und den Prozess zur dynamischen Erstellung von Listen die als Schl sselwerte importiert werden k nnen F r die Integration ist CA IT PAM r2 1 erforderlich CA Spectrum ist ein Neztwerkfehlerverwaltungsprogramm das in CA Enterprise Log Manager integriert werden kann um als Ziel f r Alarme in Form von SNMP Traps zu dienen Die CA Adapter sind eine Gruppe von Listenern die Ereignisse von CA Audit
76. den benannten CA Enterprise Log Manager Ereignisprotokollspeicher iRecorder die auf demselben Computer installiert sind wie ein CA Audit Client senden Ereignisse direkt an den Client Bei diesen Servern sollten Sie eine bestehende CA Audit Richtlinie ndern und Regelaktionen hinzuf gen nachdem Sie den CA Enterprise Log Manager SAPI Collector bzw Router Adapter konfiguriert haben Anhang B Aspekte f r CA Access Control Benutzer 293 Konfigurieren eines CA Access Control iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager So konfigurieren Sie den iRecorder zum Senden von Ereignissen an CA Enterprise Log Manager 1 Melden Sie sich beim Hostserver des iRecorders als Benutzer mit Administratorrechten bzw mit root Berechtigungen an Navigieren Sie zu folgendem Verzeichnis auf Ihrem Betriebssystem UNIX oder Linux opt CA SharedComponents iTechnology a Windows Programme CA SharedComponents iTechnology Stoppen Sie den iGateway Daemon bzw Service mit folgendem Befehl a UNIX oder Linux S99igateway stop m Windows net stop igateway Bearbeiten Sie die Datei iControl conf Im Folgenden finden Sie ein Beispiel f r eine iControl Datei wobei die erforderlichen Abschnitte fett gedruckt dargestellt sind lt xml version 1 0 encoding UTF 8 standalone no gt lt iSponsor gt lt Name gt iControl lt Name gt lt ImageName gt iControl lt ImageName gt lt Version gt 4 5 0 2 lt Version gt l
77. den folgenden Befehl aus S99igateway stop Kopieren Sie die Dateien backupData tgz und backupCerts tgz in das Verzeichnis opt CA LogManager auf dem neuen Server Erweitern Sie den Inhalt der Datei backupData tgz mit folgendem Befehl tar xzvf backupData tgz Mit diesem Befehl wird der Inhalt des Datenordners mit dem Inhalt der Sicherungsdatei berschrieben Navigieren Sie zu dem Verzeichnis opt CA SharedComponents iTechnology Erweitern Sie den Inhalt der Datei backupCerts tgz mit folgendem Befehl tar xzvf backupCerts tgz Mit diesem Befehl werden die Zertifikatdateien p12 im aktuellen Ordner mit den Zertifikatdateien aus der Sicherungsdatei berschrieben Starten Sie den iGateway Prozess Geben Sie hierf r folgenden Befehl ein S99igateway start 326 Implementierungshandbuch Wiederherstellen von CA Enterprise Log Manader Server nach automatischem Software Update Wiederherstellen von CA Enterprise Log Manader Server nach automatischem Software Update Sie k nnen einen CA Enterprise Log Manager Server nach einem fehlgeschlagenen oder anderweitig unerw nschten Software Update wiederherstellen Bei jedem Software Update Download entstehen Sicherungsdateien die mit dem Datum der Sicherung versehen sind Dieser Vorgang stellt nur den Log Manager Server selbst wieder her jedoch nicht EEM oder andere Komponenten So stellen Sie Server nach einem Software Update wieder her 1 Stoppen Sie den iGateway P
78. der Liste der ausgew hlten Zuordnungsdateien Zuordnungsdateien Verf gbar Ausgew hlt Hame a Version Datei AccessCortri 12 0 5004 0 AccessCortrol 12 0 5004 0 r eh 2SP1_TIE 12 0 5008 0 iD ACF2 12 0 4565 E S ACSelogrd 12 0 5006 fii AlX_syslog 12 0 5003 0 Apache_2059_to_2280_iRe 12 0 5003 0 Apache 2059 to 2280 Sv 12 0 5003 0 7 Klicken Sie auf Speichern Anhang B Aspekte f r CA Access Control Benutzer 285 ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager ndern einer bestehenden CA Audit Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager Gehen Sie wie unten beschrieben vor um einen CA Audit Client so einzurichten dass Ereignisse an CA Enterprise Log Manager und an die CA Audit Collector Datenbank gesendet werden Indem Sie der Route bzw Collector Aktion einer bestehenden Regel ein neues Ziel hinzuf gen k nnen Sie erfasste Ereignisse an beide Systeme senden Alternativ k nnen Sie bestimmte Richtlinien bzw Regeln auch so ndern dass Ereignisse nur an den CA Enterprise Log Manager Server gesendet werden CA Enterprise Log Manager erfasst Ereignisse von CA Audit Clients mit Hilfe des CA Audit SAPI Router und des CA Audit SAPI Collector Listeners CA Enterprise Log Manager kann Ereignisse auch direkt ber das iTech Plugin erfassen falls Sie iRecorder f r den direkten Versand zum CA Enterprise Log Manager Server konfigurie
79. der Status Ausstehende Konfiguration angezeigt Warten Sie bis der Status Wird ausgef hrt angezeigt wird Connector Agent Agentengruppe Plattform Integration Status MS_SQL_Server_2005_Connector my elm Defaut Agent Group Linux_X86_32 MS_S L_Server_2005 Wird ausgef hrt Kapitel 6 Konfigurieren der Ereigniserfassung 229 Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLogSensor 12 W hlen Sie den Connector aus und klicken Sie auf Wird ausgef hrt um Details der Ereigniserfassung anzuzeigen Hinweis Sie k nnen auch einen Bericht ausf hren um Daten dieser Datenbank anzuzeigen So berpr fen Sie ob der Standardagent Ereignisse von der Zielereignisquelle erfasst 1 W hlen Sie die Registerkarte Abfragen und Berichte Die Unterregisterkarte Abfragen wird angezeigt 2 Erweitern Sie Eingabeaufforderungen in der Abfrageliste und w hlen Sie Connector aus 3 Geben Sie den Connectornamen ein und klicken Sie auf Los Die erfassten Ereignisse werden angezeigt Die ersten zwei sind interne Ereignisse Die nachfolgenden Ereignisse wurden aus der MS SQL Ablaufverfolgungstabelle erfasst die Sie konfiguriert haben Hinweis Wenn die erwarteten Ereignisse nicht angezeigt werden klicken Sie auf Globale Filter und Einstellungen auf der Hauptsymbolleiste legen Sie den Zeitraum auf Unbegrenzt fest und speichern Sie die Einstellungen 4 Optional W hlen Sie Rohereignisse anzeigen
80. der unten beschriebenen Vorgehensweise Ereignisdaten aus einer Collector Datenbank die sich auf einem Solaris Data Tools Server befindet importieren So importieren Sie Ereignisse aus einer SEOSDATA Tabelle auf einem Solaris Server 1 Suchen Sie den Namen des Servers auf dem sich die SEOSDATA Tabelle befindet 2 Vergewissern Sie sich dass Sie sich mit den Anmeldedaten eines Benutzers bei diesem Server anmelden die Ihnen zumindest Lesezugriff auf die SEOSDATA Tabelle geben 3 Rufen Sie eine Befehlszeile auf dem CA Audit Data Tools Server auf 4 Navigieren Sie zu dem Verzeichnis opt CA SharedComponents iTechnology 5 Starten Sie das Importhilfsprogramm mit der folgenden Befehlssyntax LMSeosImport dsn lt DSN Name gt user lt Benutzer ID gt password lt Kennwort gt target lt Zielhostname gt lt optionale Flags gt 280 Implementierungshandbuch Anhang B Aspekte f r CA Access Control Benutzer Dieses Kapitel enth lt folgende Themen Integration mit CA Access Control siehe Seite 281 ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager siehe Seite 283 Konfigurieren eines CA Access Control iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager siehe Seite 291 Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank siehe Seite 295 Sichern von CA Enterprise Log Manager mithilfe von CA Access Control siehe Seite 306
81. eigens abgestimmten Sitzungen basierend auf einem Eintrags ID Bereich der Protokollart oder bestimmten Zeitr umen migrieren Hinweis Das Hilfsprogramm speichert keine Informationen zu vorangegangenen Importsitzungen Daher kann es zu doppelten Daten in der CA Enterprise Log Manager Datenbank kommen falls Sie den Befehl mehrmals mit denselben Parametern ausf hren Die besten Ergebnisse und die beste Importleistung erzielen Sie wenn Sie den Import anhand der Protokollart mit der Option log oder anhand der Eintrags ID mit den Optionen minid und maxid aufteilen Mit der Option retry k nnen Sie potenziellen Fehlern beim Ereignisimport begegnen Das Hilfsprogramm verwendet einen Standardwert von 300 Sekunden f r die Option retry damit der Import m glichst erfolgreich ablaufen kann 274 Implementierungshandbuch Importieren von Daten aus einer SEOSDATA Tabelle Hilfsprogramm f r den Import Befehlssyntax und Optionen Das Hilfsprogramm LMSeosImport unterst tzt die folgende Befehlszeilensyntax und die folgenden Optionen LMSeosImport dsn DSN Name user Benutzername password Kennwort target Zielname sid nnn eid nnnn stm jjjj mm tt etm jjjj mm tt log Protokollname transport sapilitech chunk nnnn pretend verbose delay report retry dsn Gibt den Namen des Hostservers an auf dem sich die SEOSDATA Tabelle befindet Dieser Parameter ist erforderlich user Gibt die g ltige ID eines Benutzers a
82. eine Datenquelle 4 Konfigurieren Sie die Verbindungsdetails f r den ODBC Client 5 Testen Sie die Datenbankverbindung Ein ODBC Zugriff auf den Ereignisprotokollspeicher ist nur ab CA Enterprise Log Manager Release r12 1 verf gbar Lesen Sie die Hinweise zur ODBC Datenquelle bevor Sie mit der Installation beginnen Die Benutzer dieser Funktion m ssen einer Benutzergruppe angeh ren die in der Standard Datenzugriffsrichtlinie in den CALM Zugriffsrichtlinien ber das Datenzugriffs Privileg verf gt Weitere Informationen zu Zugriffsrichtlinien finden Sie im CA Enterprise Log Manager r12 1 Administrationshandbuch F r einen ODBC Client gelten folgende Voraussetzungen m Sie m ssen ber Administratorrechte verf gen um den ODBC Client auf einem Windows Server zu installieren F r die Installation des ODBC Clients ben tigen Sie den Microsoft Windows Installer Dienst Falls dieser nicht gefunden werden kann wird eine Meldung angezeigt Konfigurieren Sie den ODBC Server Service in CA Enterprise Log Manager Stellen Sie dabei sicher dass das Kontrollk stchen Dienste aktivieren aktiviert ist Konfigurieren Sie mit dem Hilfsprogramm Datenquellen ODBC der Systemsteuerung eine ODBC Datenquelle f r Windows Systeme m Sie m ssen ber die Rechte zum Erstellen von Dateien in dem Verzeichnis verf gen in dem Sie den Client in UNIX und Linux Systemen installieren m chten Kapitel 3 Installieren von CA Enterpr
83. eine Abfrage die einen Aktionsalarm unterst tzt Sie wird in einem wiederkehrenden Plan ausgef hrt um die Bedingungen zu testen die von dem zugeh rigen Aktionsalarm definiert sind Ein Aktionsalarm ist ein geplanter Abfragejob mit dessen Hilfe Richtlinienverletzungen Nutzungstrends Anmeldemuster und andere Ereignisaktionen die ein kurzfristiges Eingreifen erfordern ermittelt werden k nnen Wenn Alarmabfragen Ergebnisse zur ckgeben werden diese standardm ig auf der Seite Alarme in CA Enterprise Log Manager angezeigt und au erdem einem RSS Feed hinzugef gt Wenn Sie einen Alarm planen k nnen Sie zus tzliche Ziele angeben einschlie lich E Mail einen CA IT PAM Ereignis Alarmausgabeprozess und SNMP Traps Der Alarmserver ist der Speicher f r Aktionsalarme und Aktionsalarmjobs Die Analystenrolle erteilt Benutzern die Berechtigung benutzerdefinierte Berichte und Abfragen zu erstellen Berichte zu bearbeiten und Anmerkungen dazu einzugeben Kennungen zu erstellen und Berichte und Aktionswarnungen zu planen Analysten k nnen auch alle Auditor Aufgaben durchf hren 414 Implementierungshandbuch Anwendungsbenutzer Anwendungsgruppe Anwendunssinstanz Anwendungsressource Ein Anwendungsbenutzer ist ein globaler Benutzer dem Detaildaten auf Anwendungsebene zugewiesen wurden Zu den CA Enterprise Log Manager Anwendungsbenutzerdetails geh ren die Benutzergruppe und Einschr nkungen der Zugriffsrechte Wenn der Benut
84. erhalb dieses Bereichs und werden daher nicht importiert Nach Abschluss der Importsitzung zeigt das Hilfsprogramm die letzte verarbeitete Eintrags ID an Eventuell m ssen Sie mehrere Importsitzungen ausf hren um alle Ereignisse zu erfassen oder Sie f hren das Importhilfsprogramm zu einer Zeit mit wenig Netzwerk und Ereignisaktivit ten aus Sie k nnen ggf weitere Importsitzungen durchf hren und dabei die letzte Eintrags ID der vorherigen Sitzung als Wert f r den Parameter minid in der neuen Sitzung verwenden Anhang A Aspekte f r CA Audit Benutzer 271 Importieren von Daten aus einer SEOSDATA Tabelle Importieren von Daten aus einer SEOSDATA Tabelle Gehen Sie beim Importieren von Daten aus einer Collector Datenbank SEOSDATA Tabelle wie unten beschrieben vor um optimale Ergebnisse zu erzielen 1 Kopieren Sie das Hilfsprogramm LMSeosImport in den iTechnology Ordner auf einem CA Audit Data Tools Server Hinweis F r das Hilfsprogramm LMSeosImport sind die unterst tzenden Bibliotheken etsapi und etbase erforderlich die mit dem CA Audit Client bereitgestellt werden 2 Machen Sie sich mit der LMSeosimport Befehlszeile und den Optionen vertraut 3 Erstellen Sie einen Ereignisbericht um Art und Anzahl der Ereignisse sowie die Eintrags ID Bereiche in Erfahrung zu bringen 4 Zeigen Sie eine Vorschau der Importergebnisse f r die Parameter an die Sie zu verwenden gedenken Sie k nnen die Importvorschau auch
85. f r Abfragen und Berichte verf gbar sind Die Speicherung au erhalb des Systems wird Offline Speicherung genannt Sie k nnen Dateien die in einen Offline Speicher verschoben wurden f r Abfragen und Berichte wiederherstellen Das berwachungsskript f hrt das Sicherungsskript automatisch mit den Einstellungen aus die Sie im Abschnitt f r die automatische Archivierung w hrend der Konfiguration des Ereignisprotokollspeicherservice festgelegt haben Weitere Informationen Beispiel Automatische Archivierung ber drei Server hinweg siehe Seite 178 164 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Flussdiagramm zum Verschieben der Datenbanken und Sicherungsstrategie Sie k nnen sowohl die Ereigniserfassung als auch die Berichterstellung auf den einzelnen CA Enterprise Log Manager Server ausf hren oder verschiedene Server f r Ereigniserfassung und Berichterstellung festlegen Wenn Sie Server f r die Ereigniserfassung festlegen sind st ndliche automatisierte Verschiebungen vom Sammelserver auf den Berichtsserver zu programmieren Wenn Sie keinen Server spezifisch f r die Ereigniserfassung festlegen ist diese Automatisierung nicht n tig Wenn ber Sie keine dedizierten Serverrollen verf gen legen Sie die Bezeichnung im Flussdiagramm von Berichtsserver auf Remote Speicher als von einem nicht dedizierten CA Enterprise Log Manager Server auf Remote Speicher aus Die Sicherungsstrategie implizier
86. f r CA Audit Benutzer 265 Senden von CA Audit Ereignissen an CA Enterprise Log Manager 6 Geben Sie den folgenden Wert f r RouteHost an lt RouteHost gt CA_ELM Hostname lt RouteHost gt Mit diesem Eintrag wird iGateway angewiesen Ereignisse an den CA Enterprise Log Manager Server zu senden der seinen DNS Namen verwendet 7 Starten Sie den iGateway Daemon bzw Service mit folgendem Befehl m UNIX oder Linux S99igateway start a Windows net start igateway Mit dieser Aktion werden die neuen Einstellungen im iRecorder aktiviert Ereignisse flie en jetzt vom iRecorder zum CA Enterprise Log Manager Server Weitere Informationen Wissenswertes ber den SAPI Router und Collector siehe Seite 260 Konfigurieren des SAPI Collector Service siehe Seite 262 Konfigurieren des SAPI Router Service siehe Seite 262 ndern einer bestehenden CA Audit Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager Gehen Sie wie unten beschrieben vor um einen CA Audit Client so einzurichten dass Ereignisse an CA Enterprise Log Manager und an die CA Audit Collector Datenbank gesendet werden Indem Sie der Route bzw Collector Aktion einer bestehenden Regel ein neues Ziel hinzuf gen k nnen Sie erfasste Ereignisse an beide Systeme senden Alternativ k nnen Sie bestimmte Richtlinien bzw Regeln auch so ndern dass Ereignisse nur an den CA Enterprise Log Manager Server gesendet werden CA Enterprise Log Manager erfasst E
87. folgenden Befehl ein RSA Schl sselpaar ssh keygen t rsa Dr cken Sie die Eingabetaste um die Standardangaben zu best tigen wenn die folgenden Eingabeaufforderungen angezeigt werden m Geben Sie die Datei ein in der der Schl ssel gespeichert werden soll opt CA LogManager ssh id_rsa m Geben Sie eine Passphrase ein leer bei keiner Passphrase m Geben Sie die gleiche Passphrase erneut ein Wechseln Sie zu folgendem Verzeichnis opt CA LogManager ndern Sie die Berechtigungen f r das Verzeichnis ssh mit folgendem Befehl chmod 755 ssh Navigieren Sie zu dem Verzeichnis ssh Kopieren Sie die Datei id_rsa pub mit dem folgenden Befehl auf RSS den Remote Zielspeicherserver scp id_rsa pub caelmadmin RSS tmp authorized keys Dadurch wird die Datei authorized_keys im Verzeichnis tmp auf dem Remote Speicherserver mit dem Inhalt des ffentlichen Schl ssels erstellt Kapitel 5 Konfigurieren von Services 175 Konfigurieren des Ereisnisprotokollspeichers Festlegen der Eigentumsrechte an der Schl sseldatei auf dem Remote Speicherserver Sie k nnen die Eigent merschaft f r eine Schl sseldatei und Berechtigungen auf einem Remote Speicherserver festlegen nachdem Sie ein Schl sselpaar auf dem Berichtsserver generiert und den ffentlichen Schl ssel auf diesen Remote Speicherserver kopiert haben So verschieben Sie die ffentliche Schl sseldatei an den richtigen Speicherort auf dem Remote Speicherserve
88. gt 8 GB bzw 8192 MB 9 Konfigurieren Sie die Netzwerkschnittstellenverbindung NIC CA Enterprise Log Manager erfordert mindestens eine Netzwerkverbindung W hlen Sie in der Liste der verf gbaren NICs NIC x aus und legen Sie als Adapterwert Flexible fest Hinweis Sie m ssen nicht f r jeden auf diesem physischen Server gehosteten CA Enterprise Log Manager Server eine eigene NIC einrichten Sie m ssen jedoch f r jede NIC eine statische IP Adresse zuweisen 10 W hlen Sie die Option Connect at Power On aus und klicken Sie auf Next Das Dialogfeld I O Adapter Types wird angezeigt 11 W hlen Sie LSI Logic f r den I O Adapter aus und klicken Sie auf Next Das Dialogfeld Select a Disk wird angezeigt 12 W hlen Sie die Option Create a new virtual disk aus und klicken Sie auf Next Ein Dialogfeld f r die Festplattenkapazit t und den Speicherort wird angezeigt 13 Legen Sie die Optionen Disk Capacity und Location fest und klicken Sie auf Next Ein Dialogfeld mit erweiterten Optionen wird angezeigt Sie k nnen diese Festplatte entweder mit dem virtuellen Rechner speichern oder einen anderen Speicherort angeben Empfohlen wird eine Mindestgr e von 500 GB 14 bernehmen Sie im Dialogfeld Advanced Options die Standardwerte und klicken Sie auf Next 15 Best tigen Sie die Einstellungen und klicken Sie auf Finish um den neuen virtuellen Rechner zu erstellen Hinzuf gen virtueller
89. hierarchischen Verbund befinden desto mehr Netzwerkdaten k nnen Sie einsehen Auf der obersten Ebene haben Sie Zugang zu allen Daten in der gesamten Serverstruktur Hierarchische Verbunde sind beispielsweise bei regionalen Bereitstellungen sinnvoll So m chten Sie zum Beispiel erreichen dass lokale Ressourcen Zugang zu Ereignisdaten in einer bestimmten Hierarchie bzw einem Zweig des Netzwerks haben nicht jedoch auf die Ereignisdaten anderer paralleler Zweige zugreifen k nnen In diesem Fall erstellen Sie einen hierarchischen Verbund mit zwei oder mehr parallelen Zweigen die die Daten f r die jeweilige Region enthalten Jeder Zweig kann dann Daten an den CA Enterprise Log Manager Verwaltungsserver im Hauptquartier senden um dort eine Gesamt bersicht ber alle Ereignisprotokollberichte zu erm glichen 240 Implementierungshandbuch Hierarchischer Verbund Beispiel f r einen hierarchischen Verbund In der unten zu sehenden F derations bersicht verwendet das Netzwerk den CA Enterprise Log Manager Verwaltungsserver als Berichtsserver und mehrere agentenlose Quellserver f r Protokolldateien Diese Konfiguration hnelt einem Organisationsdiagramm Der Verwaltungs Berichtsserver fungiert als bergeordneter CA Enterprise Log Manager Server und stellt Funktionen f r Authentifizierung und Autorisierung wesentliche Verwaltungsfunktionen sowie die Berichtsfunktionen zur Verarbeitung von Abfragen Berichten und Alarmen bereit Die ag
90. http ca com de support http www ca com worldwide die CA Support Website aufrufen um zu erfahren wann neue Log Manager Service Packs und Versionen verf gbar sind Weitere Informationen Ausw hlen von Modulen f r automatische Software Updates im Online Modus siehe Seite 213 Herunterladen und Ausw hlen von Modulen f r automatische Software Updates im Offline Modus siehe Seite 215 Planen automatischer Software Updates siehe Seite 55 Konfiguration automatischer Software Updates siehe Seite 204 Ausw hlen von Modulen f r automatische Software Updates im Online Modus Die gegenw rtig verf gbaren automatischen CA Enterprise Log Manager Software Updates sind im von CA Technologies bereitgestellten RSS Feed aufgelistet Die RSS Feed URL wird nach der Installation standardm ig auf der Registerkarte Verwaltung unter Service automatischer Software Updates bereitgestellt Sobald neue Module verf gbar sind werden sie im RSS Feed f r automatische Software Updates angezeigt berpr fen Sie die Liste der verf gbaren Module regelm ig um sicherzustellen dass alle von Ihnen ben tigten Module ausgew hlt sind Sie k nnen auch unter http ca com de support die CA Support Website aufrufen um zu erfahren wann neue Log Manager Service Packs und Versionen verf gbar sind So w hlen Sie Module zum Herunterladen aus 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services 2
91. keine Kennw rter ndern und keine Kennwortrichtlinien konfigurieren Verweis aus dem LDAP Verzeichnis LDAP Lightweight Directory Access Protocol Benutzernamen und Kennw rter werden aus dem LDAP Verzeichnis in den CA Enterprise Log Manager Benutzerspeicher geladen Benutzer werden ber die referenzierten Benutzernamen und Kennw rter authentifiziert Die geladenen Benutzerkontodaten werden zu globalen Benutzerkonten Sie k nnen den globalen Benutzern eine Benutzerrolle zuweisen die den gew nschten Zugriffsrechten in CA Enterprise Log Manager entspricht Sie k nnen keine neuen Benutzer erstellen und keine Kennwortrichtlinien konfigurieren Wichtig Sichern Sie m glichst die mit CA Enterprise Log Manager bereitgestellten vordefinierten Zugriffsrichtlinien bevor Sie oder ein Administrator damit arbeiten Weitere Informationen finden Sie im CA Enterprise Log Manager Administrationshandbuch Weitere Informationen bernehmen des Standardbenutzerspeichers siehe Seite 144 Verweisen auf ein LDAP Verzeichnis siehe Seite 145 Verweisen auf CA SiteMinder als Benutzerspeicher siehe Seite 147 44 Implementierungshandbuch Arbeitsblatt f r ein externes LDAP Verzeichnis Benutzer und Zugriffsplanung Notieren Sie sich die folgenden Konfigurationsinformationen bevor Sie auf ein externes LDAP Verzeichnis verweisen Erforderliche Informationen Wert Type Typ Host Port Base DN Basis DN Password Kennwort Anme
92. nach der Version und den Einstellungen von VMware vSphere Client die Sie verwenden Weitere Informationen zum Bereitstellen einer OVF Vorlage finden Sie auf www vmware com W hlen Sie die Option Deploy from file und klicken Sie anschlie end auf Browse um den Speicherort der OVF Vorlage auszuw hlen Gehen Sie im Dialog Open zum Speicherort der OVF Vorlage w hlen Sie die OVF Vorlage aus und klicken Sie auf Open Der Pfad zum Speicherort der OVF Vorlage wird im Feld Deploy from file angezeigt Anhang E CA Enterprise Log Manager und Virtualisierung 377 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Deploy OYF Template Source Select the source location Source OYF Template Details End User License Agreement Name and Location Of a ao Properties Ready to Complete 9 Klicken Sie auf Next Die Seite OVF Template Details wird ge ffnet Auf dieser Seite werden Details wie Download Gr e verf gbarer Speicherplatz und Anbietername angezeigt die in der OVF Vorlage gespeichert sind 10 Stellen Sie sicher dass auf dem VMware Server mindestens 350 GB Festplattenspeicher vorhanden sind und klicken Sie auf Next Deploy OYF Template OYF Template Details Verify OVF template details Source OYF Template Details End User License Agreement Name and Location Deployment Configuration E Host Cluster Resource Pool Properties Ready t
93. nnen auf allen drei Ebenen den FIPS Modus FIPS oder Nicht FIPS f r einen Agenten bestimmen So zeigen Sie den Agenten bzw Connector Status an 1 Klicken Sie auf die Registerkarte Verwaltung und anschlie end auf die Unterregisterkarte Protokollerfassung Die Ordnerliste Protokollerfassung wird angezeigt 2 W hlen Sie den Ordner Agenten Explorer aus Im Detailfenster werden Schaltfl chen f r die Agentenverwaltung angezeigt 3 Klicken Sie auf Status und Befehl i Das Statusfenster wird angezeigt 4 W hlen Sie Agenten oder Connectors aus Das Fenster f r die Agenten bzw Connector Suche wird eingeblendet Kapitel 6 Konfigurieren der Ereigniserfassung 237 Anzeigen und Steuern des Agenten bzw Connector Status 5 Optional W hlen Sie Suchkriterien f r die Agenten oder Connector Aktualisierung aus Falls Sie keine Suchbegriffe eingeben werden alle verf gbaren Updates angezeigt Sie k nnen unter den folgenden Kriterien w hlen um die Suche einzugrenzen m Agentengruppe Gibt nur die der ausgew hlten Gruppe zugewiesenen Agenten und Connectors zur ck m Plattform Gibt nur die auf dem ausgew hlten Betriebssystem ausgef hrten Agenten und Connectors zur ck m Suchmuster f r den Agentennamen Gibt nur die Agenten und Connectors zur ck die das angegebene Muster enthalten m Nur Connectors Integration Gibt nur Connectors zur ck die die gew hlte Integration verwenden 6 Klicken Sie au
94. oberen Ebenen miteinander vernetzen so dass die Gesch ftsleitung und die Sicherheitsverantwortlichen Berichte f r das gesamte Netzwerk erstellen k nnen Zumindest sollten die grundlegenden CA Enterprise Log Manager Einf ge und Abfrageserver der Umgebung miteinander f deriert werden 5 berlegen Sie wie viele CA Enterprise Log Manager Server Sie insgesamt bereitstellen m ssen Die Anzahl ist abh ngig von der Anzahl der Ger te in Ihrem Netzwerk und der von diesen Ger ten erzeugten Menge an Ereignissen 36 Implementierungshandbuch Planen von F derationen 6 berlegen Sie wie viele Ebenen an f derierten Servern Sie ben tigen Diese Anzahl ist teilweise abh ngig von den in Schritt 2 und 3 gef llten Entscheidungen 7 Identifizieren Sie die Ereignistypen die auf den jeweiligen CA Enterprise Log Manager Servern im Verbund eintreffen Falls Ihr Netzwerk ber eine gro e Anzahl Syslog basierter Ger te und nur wenige Windows Server verf gt k nnen Sie ggf CA Enterprise Log Manager Server nur f r die Windows Ereigniserfassung einrichten F r die Verarbeitung der Syslog Daten dagegen sind eventuell mehrere Server erforderlich Wenn Sie im Voraus planen auf welchen CA Enterprise Log Manager Servern welche Arten von Ereignissen eingehen lassen sich die lokalen Listener und Services einfacher konfigurieren 8 Skizzieren Sie eine bersicht dieses Netzwerks die Sie bei der Konfiguration der f derierten untergeord
95. produktiven Umgebungen nicht empfehlenswert ist so kann der Management Server alle Rollen ausf hren MIB Management Information Base Die MIB Management Information Base f r CA Enterprise Log Manager CA ELM MIB muss f r jedes Produkt das Alarme in Form von SNMP Traps von CA Enterprise Log Manager erfassen soll importiert und konfiguriert werden Die MIB zeigt die Quelle der numerischen OIDs Objekt ID an die in einer SNMP Trap Meldung verwendet werden zusammen mit einer Beschreibung des Datenobjekts oder Netzwerkelements In der MIB f r SNMP Traps die von CA Enterprise Log Manager gesendet werden bezieht sich die Beschreibung der einzelnen Datenobjekte auf das entsprechende CEG Feld Die MIB stellt sicher dass alle Namen Wertepaare aus einer SNMP Trap am Ziel korrekt interpretiert werden Modul f r automatische Software Updates Das Modul f r automatische Software Updates ist ein Dienst bei dem automatische Software Updates ber den CA Technologies Software Update Server automatisch heruntergeladen und an CA Enterprise Log Manager Server und an alle Agenten verteilt werden k nnen Globale Einstellungen gelten f r lokale CA Enterprise Log Manager Server Lokale Einstellungen geben an ob der Server ein Offline Proxy ein Online Proxy oder ein Client f r automatische Software Updates ist Module zum Herunterladen Ein Modul ist eine logische Gruppierung von Komponentenaktualisierungen die ber ein automatisches
96. r einen Client f r automatische Software Updates im Offline Modus auf lokaler Ebene ausgew hlte Module f r automatische Software Updates haben keine Auswirkung Eine Architektur automatischer Software Updates kann auch gemischt sein Zum Beispiel k nnen Sie nur einen Proxy als offline bezeichnen w hrend Sie andere als online festlegen Der Offline Proxy und ihm zugewiesene Clients bleiben ohne Internetzugriff w hrend der Rest Ihrer CA Enterprise Log Manager Umgebung Aktualisierungen ber automatische Software Updates im Online Modus erh lt Da eine gemischte Architektur sehr komplex ist wird diese Vorgehensweise nicht empfohlen Ber cksichtigen und planen Sie Ihre Gesambtstrategie f r automatische Software Updates bevor Sie diese Architektur implementieren Wichtig Nehmen Sie in einer gemischten Umgebung keine Offline Proxys in die Proxy Liste f r einen Online Client f r automatische Software Updates auf Ansonsten erh lt der Online Client f r automatische Software Updates automatisch alle Aktualisierungen die manuell installiert wurden und nicht die Module die Sie global f r Ihre CA Enterprise Log Manager Umgebung oder lokal f r jenen Client ausgew hlt haben Kapitel 2 Planen der Umgebung 61 Planen von automatischen Software Updates Weitere Informationen Planen automatischer Software Updates siehe Seite 55 Architektur automatischer Software Updates siehe Seite 57 Beispiel amp nbsp Konfiguration f r auto
97. sselwerte Die RSS Feed URL f r Software Updates ist ein vorkonfigurierter Link der von Online Proxy Servern f r Software Updates bei der Abfrage von automatischen Software Updates verwendet wird Diese URL ist f r den CA Technologies Server f r automatische Software Updates bestimmt SafeObject ist eine vordefinierte Ressourcenklasse in CA EEM Es ist die Ressourcenklasse zu der Anwendungsobjekte die im Bereich der Anwendung gespeichert sind geh ren Benutzer die Richtlinien und Filter f r die Erteilung des Zugriffs auf Anwendungsobjekte definieren beziehen sich auf diese Ressourcenklasse Der SAPI Collector ist ein CA Adapter der Ereignisse von CA Audit Clients erh lt CA Audit Clients senden mit der Aktion Collector die ber einen integrierten Failover verf gt Administratoren konfigurieren den CA Audit SAPI Collector beispielsweise mit ausgew hltem Chiffre und Datenzuordnungsdateien Ein SAPI Recorder bezeichnet die Technologie die vor iTechnology zum Versenden von Informationen an CA Technologies Audit verwendet wurde SAPI steht f r Submit Application Programming Interface API starten CA Technologies Audit Recorder f r CA ACF2 CA Top Secret RACF Oracle Sybase und DB2 sind Beispiele f r SAPI Recorder Der SAPI Router ist ein CA Adapter der Ereignisse aus Integrationen erh lt wie z B Mainframe und diese an einen CA Audit Router Schl sselwerte sind benutzerdefinierte Werte die einer benutzerdefiniert
98. ssen den Speicherort des Clusters unter dem Datacenter angeben in dem Sie den CA Enterprise Log Manager Server bereitstellen m chten 15 W hlen Sie einen Cluster unter dem Datacenter aus und klicken Sie auf Next Deploy OYF Template oj x Host Cluster On which host or cluster do you want to run the deployed template Source OYF Template Details ELMQA 5P2 vApp Datacenter End User License Agreement O pooo g 1010 020 Name and Location Deployment Configuration Host Cluster Properties Ready to Complete Compatibility Validation not applicable this time Help lt Back L Cancel 4 358 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Die Seite Properties wird ge ffnet Diese Seite enth lt die Host Einstellungen und CA Enterprise Log Manager Einstellungen 16 Geben Sie in die einzelnen Felder die Informationen ein die Sie im Arbeitsblatt gesammelt haben und klicken Sie auf Next Deploy OVF Template ies Customize the software solution for this deployment Source Sf Trunareleniz A Host Settings End User License Agreement Name and Location A Host Name Deployment Configuration Enter name of this host machine Host Cluster paeen 7 Properties B Root Password Vomp Enter root password of this machine a C IP Address Enter IP address of this machine D Subnet Mask Enter the subnet m
99. von jedem Server in seiner Liste konfigurierter Proxys der Reihe nach abzurufen Wenn kein Proxy die Installation der vom Client angefragten Aktualisierungen abgeschlossen hat sendet der Client die Abfrage alle 5 Minuten erneut bis die Aktualisierung erfolgreich ist Wenn der Client die Aktualisierungen nach einer Stunde nicht herunterladen konnte wird die Aktualisierung abgebrochen und der Client versucht es zum n chsten geplanten Zeitpunkt erneut Meldungen werden w hrend dieses Vorgangs im Protokoll Selbst berwachende Ereignisse angezeigt das Sie ber den Status der Aktualisierungen auf dem Laufenden h lt 208 Implementierungshandbuch Konfiguration automatischer Software Updates So konfigurieren Sie Clients f r automatische Software Updates 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services Erweitern Sie den Service f r automatische Software Updates und w hlen Sie den zu konfigurierenden Server aus Die Konfiguration des Services automatischer Software Updates wird f r den ausgew hlten CA Enterprise Log Manager Server angezeigt Machen Sie den ausgew hlten Server zum Client indem Sie das Kontrollk stchen Proxy f r automatische Software Updates deaktivieren Da Clients f r automatische Software Updates die Proxys durch das interne Netzwerk kontaktieren ist es nicht notwendig lokale HTTP Proxy Einstellungen f r einen individuellen Client Server zu konfigurieren
100. womit er konfigurierten Connector wird ein eigener verbunden wird Connector Prozess ausgef hrt 116 Implementierungshandbuch Erste CA Enterprise Log Manader Serverkonfigurationen Prozessname Standardport Beschreibung caelmdispatcher Dieser CA Enterprise Log Manager Prozess verarbeitet die Ereignis bergabe und Statusinformationen zwischen Connector und Agent caelmwatchdog Keine Der CA Enterprise Log Manager berwachungsprozess Watchdog Prozess der andere Prozesse berwacht um einen kontinuierlichen Betrieb zu gew hrleisten caelm agentmanager Dieser CA Enterprise Log Manager Prozess verarbeitet Aufgaben der Agentenverwaltung wie Status und automatisches Software Update caelm alerting Dieser CA Enterprise Log Manager Prozess verarbeitet Warnmeldungen die ber E Mail IT PAM und SNMP Trap gesendet werden caelm correlation Dieser CA Enterprise Log Manager Prozess verarbeitet Korrelationsregeln die mit dem Korrelationsservice kommunizieren wenn eine Korrelationsregel ausgel st wird caelm eemsessionsponsor Der Hauptprozess von CA EEM der die gesamte Kommunikation mit CA EEM f r lokale Sponsoren die unter safetynet auf dem CA Enterprise Log Manager Server ausgef hrt werden verwaltet Dieser Prozess kann unter safetynet ausgef hrt werden caelm incidentservice Dieser CA Enterprise Log Manager Prozess verarbeitet die Konfiguration zur Incident Generierung und Protokollierung Dabei werden Informatio
101. 2009 09 23 26 Microsoft Windows security auditi Q Erfolgs berw 10 12 2009 09 23 26 Microsoft Windows security auditir Q Erfolgs berw 10 12 2009 09 23 25 Microsoft Windows security auditir Q Erfolgs berw 10 12 2009 09 20 00 Microsoft Windows security auditir Q Erfolgs berw 10 12 2009 09 20 00 Microsoft Windows security auditir w Ereignis 4776 Microsoft Windows security auditing x So aktivieren Sie die direkte Ereigniserfassung von Windows Ereignisquellen 1 3 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Protokollerfassung Erweitern Sie den Agenten Explorer im Protokollerfassungs Explorer und erweitern Sie anschlie end die Agentengruppe die den CA Enterprise Log Manager Standardagenten enth lt W hlen Sie einen Standardagenten aus d h einen Agenten mit dem Namen eines CA Enterprise Log Manager Servers Der Standardagent verf gt m glicherweise ber andere bereitgestellte Connectors Kapitel 6 Konfigurieren der Ereigniserfassung 233 Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLodSensor 4 Klicken Sie auf Neuen Connector erstellen Protokollerfassungs Explorer ZAE AS Rea E3 vw EAgenten Explorer Anzeigen des Status von tors Y Default Agent Group Neuen Connector erstellen my elm 2 a x Details zum Agentenstatus e Syslog_Connecor e nux localsysiog Connedor w hlen Sie ausgef hrte Agenten zum Neustart aus Der Assist
102. 2220 313 Registrieren von CA IT PAM mit freigegebenem CAEEM 2uceeeeeeeeeeeeeeeeeeeeeeennnn 313 Kopieren des Zertifikats auf den CA ITPAM Server 22c2ceeeseeeeeeeeeeeenenseeseeennneenn 315 Festlegen von Kennw rtern f r die vordefinierten CA IT PAM Benutzerkonten 315 Installieren der f r CA IT PAM erforderlichen Komponenten von Drittanbietern 317 Installieren der CAITPAM Dom ne 22eeeeeeeeeseeeeneeeeeneneeneneeeeeeeeeeeeneeneeeennnn 318 Starten des CA ITPAM Server Service 222222eeeeeeeeeeeseeeeeeseeeeeeseeeeeeeeeeeeeeeeene 319 12 Implementierungshandbuch Starten der CA IT PAM Serverkonsole und Anmelden an der Konsole 2cnccnee 320 Anhang D Disaster Recovery 321 Planen einer effizienten Zur ckgewinnung Disaster Recovery 2222222sseeeseeeeeeenennn 321 Wissenswertes ber das Sichern des CA EEM Servers 222222ooeeeeeeeeneeenn 322 Sichern einer CA EEM Anwendungsinstanz 2222eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeenn 323 Wiederherstellen eines CA EEM Servers f r die Verwendung mit CA Enterprise Log Manager 324 Sichern eines CA Enterprise Log Manager Servers 2222ooeeeeeeeeeeeeeeeeeeeeeeeeeeeeeenn 325 Wiederherstellen eines CA Enterprise Log Manager Servers mit Hilfe von Sicherungsdateien 326 Wiederherstellen von CA Enterprise Log Manager Server nach automatischem Software Update 327 Ersetzen eines CA Enterprise Log Man
103. A Enterprise Log Manager verf gbaren Abfragen und Berichte genutzt werden Mit einer einfachen Richtlinienregel nderung wird den CA Audit Clients erm glicht erfasste Ereignisse sowohl an den Data Tools Server als auch an den CA Enterprise Log Manager Server zu senden Neben einem h heren Durchsatz bietet CA Enterprise Log Manager vorgefertigte Abfragen und Berichte mit denen Sie zeigen k nnen dass Normen wie etwa PCI DSS und SOX erf llt werden Wenn Sie die vordefinierten Abfragen und Berichte mit Ihrer bestehenden CA Audit und CA Security Command Center Implementierung verkn pfen nutzen Sie Ihre Investitionen in individuelle L sungen sowie die CA Enterprise Log Manager Berichte und den h heren Durchsatz zu Ihren Gunsten Konfigurieren von CA Technologies Adaptern Bei den CA Technologies Adaptern handelt es sich um eine Gruppe von Listenern die Ereignisse von alten Komponenten wie etwa CA Audit Clients iRecordern und SAPI Recordern sowie von Ereignisquellen die Ereignisse systemeigen ber iTechnology senden empfangen Legen Sie die Konfigurationsoptionen f r die CA Technologies Adapter fest bevor Sie die Konfiguration der CA Audit Richtlinien oder iRecorder ndern So wird sichergestellt dass die Listener Prozesse arbeiten bevor Ereignisse eintreffen Dies beugt falsch zugeordneten Ereignisdaten vor Anhang A Aspekte f r CA Audit Benutzer 259 Konfigurieren von CA Technologies Adaptern Falls Sie Ereignisse ber
104. A Enterprise Log Manager Version r12 5 enth lt einen Unterordner sowie eine ZIP Datei Der Unterordner enth lt Module zum Durchf hren von Upgrades von Vorg ngerversionen auf die Version r12 5 Die ZIP Datei enth lt die Module f r die Ausf hrung routinem iger periodischer Aktualisierungen auf die Version r12 5 Wenn Sie mithilfe eines automatischen Software Updates im Offline Modus ein Upgrade von einer Vorg ngerversion auf r12 5 durchf hren m chten finden Sie weitere Informationen dazu im Abschnitt Upgrade auf CA Enterprise Log Manager in den Versionshinweisen Wenn Sie eine routinem ige Aktualisierung ausf hren w hlen Sie die ZIP Datei aus Wenn Sie physische Datentr ger wie eine Festplatte oder scp verwenden kopieren Sie die ZIP Datei manuell in den folgenden Dateipfad auf Ihren Offline Proxys opt CA LogManager data subscription offline Melden Sie sich in Ihrer CA Enterprise Log Manager Umgebung beim System an Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services Erweitern Sie den Service f r automatische Software Updates und w hlen Sie den zu konfigurierenden Offline Proxy Server aus Die Konfiguration des Services automatischer Software Updates wird f r den ausgew hlten CA Enterprise Log Manager Server angezeigt Hinweis Clients f r automatische Software Updates im Offline Modus erhalten alle Module die manuell auf ihren Offline Proxys installiert sind Die Inhalt
105. A Ereignisse in Namen Wert Paaren 270 Implementierungshandbuch Grund f r den Import von Ereignissen m bermitteln der Ereignisse an den CA Enterprise Log Manager Server ber den SAPI Ereignissponsor bzw den iTech Ereignissponsor und Einf gen der Ereignisse in den Ereignisprotokollspeicher Die Ereignisse werden der ELM Schemadefinition zugeordnet die die Basis f r die Datenbanktabellen des Ereignisprotokollspeichers bildet Sie k nnen dann anhand der vordefinierten Abfragen und Berichte Informationen aus den gespeicherten Ereignissen abrufen Importieren aus einer aktiven SEOSDATA Tabelle Die Verwendung des Hilfsprogramms LMSeosImport bei einer aktiven SEOSDATA Tabelle ist zwar nicht empfehlenswert gelegentlich jedoch unumg nglich Falls Sie das Hilfsprogramm bei einer Online Datenbank ausf hren wird nur ein bestimmter Teil der Daten importiert Der Grund hierf r ist dass Ereignisse die der Datenbank hinzugef gt werden nachdem das Hilfsprogramm LMSeosiImport gestartet wurde w hrend dieser Importsitzung nicht importiert werden Falls Sie beispielsweise die Parameter minid und maxid nicht in der Befehlszeile angeben werden beim Start des Hilfsprogramms in der Datenbank die erste und die letzte Eintrags ID abgefragt Das Hilfsprogramm f hrt die Abfragen und den Import dann anhand dieser Werte aus Die Eintrags IDs der Ereignisse die nach dem Start des Hilfsprogramms in die Datenbank eingef gt werden liegen au
106. Angabe des Hostnamens f r diesen Server nur f r Hostnamen zul ssige Zeichen Empfohlen werden die Buchstaben A Z unabh ngig von Gro oder Kleinschreibung die Zahlen 0 9 und der Bindestrich wobei das erste Zeichen ein Buchstabe und das letzte Zeichen ein alphanumerisches Zeichen ist Verwenden Sie in Hostnamen keine Unterstriche und h ngen Sie keine Dom nennamen an Hinweis Der Hostname darf h chstens 15 Zeichen enthalten Erstellen und best tigen Sie ein neues root Kennwort f r diesen Server Geben Sie eine g ltige IP Adresse f r diesen Server ein Geben Sie eine g ltige Teilnetzmaske an die mit diesem Server verwendet werden soll Geben Sie eine g ltige Teilnetzmaske und ein Standard Gateway f r die Verwendung mit diesem Server ein Geben Sie eine oder mehrere DNS Server IP Adressen f r die Verwendung in Ihrem Netzwerk ein In der Liste sind die Eintr ge durch Komma ohne Leerzeichen zwischen den Eintr gen getrennt Falls Ihre DNS Server IPv6 Adressen verwenden geben Sie diese Adressen im entsprechenden Format ein Geben Sie den qualifizierten Namen der Dom ne ein in der dieser Server betrieben wird z B meineFirma com Hinweis Der Dom nenname muss beim DNS Server DNS Domain Name Server in Ihrem Netzwerk registriert sein damit der Hostname in eine IP Adresse aufgel st werden kann Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforde
107. Appliance ist ber den Link Download bei Support Online verf gbar Sie m ssen f nf Dateien herunterladen Die Manifestdatei Die ovf Datei Drei virtuelle Laufwerkdateien Automatische Installation eines CA Enterprise Log Manager Servers Um die virtuelle Appliance automatisch zu installieren m ssen Sie die folgenden Tasks ausf hren 1 Rufen Sie das OVF Tool auf 2 Legen Sie die Paravirtualisierungs und Ressourceneinstellungen fest 3 Schalten Sie den bereitgestellten CA Enterprise Log Manager Server ein In der folgenden Tabelle sind die Parameter aufgelistet die f r die Bereitstellung von CA Enterprise Log Manager mithilfe des OVF Tools verwendet werden Sie m ssen diese Parameter als Befehlszeilenargumente in der Befehlszeile angeben Erforderliche Informationen Wert Kommentare Hostspezifische Einstellungen Anhang E CA Enterprise Log Manager und Virtualisierung 399 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME 400 Implementierungshandbuch Wert Der Hostname f r diesen CA Enterprise Log Manager Server Beispiel CA ELM1 neues root Kennwort Die relevante IPv4 Adresse Die relevante IP Adresse Die relevante IP Adresse Relevante IPv4 Adressen der Name Ihrer Dom ne Kommentare Verwenden Sie f r die
108. CA Access Control nderungen am Kapitel Aspekte f r CA Access Control Benutzer zur Funktionsbeschreibung Die nderungen umfassen Informationen zur Sicherung von CA Enterprise Log Manager mithilfe von CA Access Control m Virtualisierung nderung am Kapitel Virtualisierung um die nderungen an den zur Bereitstellung einer OVF Vorlage erforderlichen Parametern zu adressieren Weitere Informationen Integration mit CA Access Control siehe Seite 281 Sichern von CA Enterprise Log Manager mithilfe von CA Access Control siehe Seite 306 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances siehe Seite 347 Inhalt Kapitel 1 Einf hrung 15 ber dieses Handb ch ass3 22 3355535 R Eu 16 Kapitel 2 Planen der Umgebung 19 SEFVErplan ng s t 4 24 E a TREE RE IE EEE 20 Serverrollen 2 2 2 442452244424 2484462428 14212 a al alla ainsalirakasniasshakaiasnidses 21 Beispiel Netzwerkarchitekturen 222222sssseseseseesseennnnnnnnnnnnnnnnnnnn nennen 26 Planen der Ereigniserfassung annannanna nnana rnaen arnar r arrar arrar r annarr annarrar 29 Planen des Speicherplatzes 22222ssssssesssessesssenennnnnnnnnnnnnnnnnnnnnnnnnnn 32 Wissenswertes ber den CA EEM Server 2222eeeeeeeeeeeeeeseeneeneeeeeeeeeeeeeenennnn 33 Richtlinien f r die Protokollerfassung 2222222eseeeeeeeeeneeeneeeneeeneeeeeee nen 34 Planen von F der ti nen zu suw 8er an Br ee EE
109. CA EEM Server und mit demselben Anwendungsinstanznamen registriert sein damit Agenten auf diese Weise konfiguriert werden k nnen Hinweis Sie k nnen theoretisch zwar bis zu 256 Connectors auf einem bestimmten Agenten konfigurieren die Leistung vermindert sich jedoch bei einer hohen Anzahl an Connectors Wir empfehlen nicht mehr als 70 Connectors pro Agent zu konfigurieren um die bestm gliche Leistung zu garantieren 70 Implementierungshandbuch Agentenplanung Im Allgemeinen gibt es einen Connector f r jede Ereignisquelle im Netzwerk Bei Syslog Ereignissen kann je nach Konfiguration auch ein Connector f r mehrere Ereignisquellen vorhanden sein Sie k nnen mehrere Connectors erstellen die dieselbe Integration verwenden allerdings mit leicht unterschiedlichen Konfigurationsdetails f r den Zugriff auf verschiedene Ereignisquellen Einige Connectors bieten eine Konfigurationshilfe mit der die f r den Zugriff auf die Ereignisquelle notwendigen Informationen gesammelt werden Falls Sie einen Connector ben tigen f r den es derzeit noch keine Integration gibt k nnen Sie die Integration mit dem Integrationsassistenten erstellen Wissenswertes ber Protokollsensoren Bei einem Protokollsensor handelt es sich um eine Komponente in einem Connector die wei wie auf Ereignisquellen zugegriffen wird CA Enterprise Log Manager stellt Protokollsensoren f r folgende Arten von Ereignisquellen und Protokollformate bereit ACLogsenso
110. CA Enterprise Log Manager Implementierungshandbuch Release 12 5 01 technologies Diese Dokumentation die eingebettete Hilfesysteme und elektronisch verteilte Materialien beinhaltet im Folgenden als Dokumentation bezeichnet dient ausschlie lich zu Informationszwecken des Nutzers und kann von CA jederzeit ge ndert oder zur ckgenommen werden Diese Dokumentation darf ohne vorherige schriftliche Genehmigung von CA weder vollst ndig noch auszugsweise kopiert bertragen vervielf ltigt ver ffentlicht ge ndert oder dupliziert werden Diese Dokumentation enth lt vertrauliche und firmeneigene Informationen von CA und darf vom Nutzer nicht weitergegeben oder zu anderen Zwecken verwendet werden als zu denen die i in einer separaten Vereinbarung zwischen dem Nutzer und CA ber die Verwendung der CA Software auf die sich die Dokumentation bezieht zugelassen sind oder die ii in einer separaten Vertraulichkeitsvereinbarung zwischen dem Nutzer und CA festgehalten wurden Ungeachtet der oben genannten Bestimmungen ist der Benutzer der ber eine Lizenz f r das bzw die in dieser Dokumentation ber cksichtigten Software Produkt e verf gt berechtigt eine angemessene Anzahl an Kopien dieser Dokumentation zum eigenen innerbetrieblichen Gebrauch im Zusammenhang mit der betreffenden Software auszudrucken vorausgesetzt dass jedes Exemplar diesen Urheberrechtsvermerk und sonstige Hinweise von CA enth lt Dieses Recht zum Drucken oder a
111. CA Enterprise Log Manager stellt eine Reihe von Integrationen f r beliebte und g ngige Ereignisquellen wie etwa CA Technologies Produkte g ngige Firewalls Datenbanken Betriebssysteme und Anwendungen bereit Sie k nnen weitere Integrationen auf folgende Weise beziehen m Automatische Software Updates mit neuen Integrationen bzw neuen Versionen bestehender Integrationen Erstellen von benutzerdefinierten Integrationen mit Hilfe der verf gbaren Assistenten Mit den Integrationen legen Sie bei der Konfiguration Ihrer Connectors fest welche Art von Ereigniserfassung durchgef hrt werden soll Wissenswertes ber Connectors Connectors suchen nach Ereignissen und senden in regelm igen Abst nden Statusereignisse zur bergabe an den CA Enterprise Log Manager Server an den Agenten Bei einem Connector handelt es sich um einen Prozess der mit einem Protokollsensor und einer Integration eine Konfiguration f r erfasste Ereignisse einer bestimmten Ereignisquelle erstellt Anders als bei Syslog verwenden Connectors Integrationen als Konfigurationsvorlage Syslog Connectors basieren auf Listenern Agenten erfassen Ereignisse mithilfe von Connectors Nachdem Sie einen Agenten installiert haben k nnen Sie mit dem Agenten Explorer auf jedem CA Enterprise Log Manager Server einen oder mehrere Connectors f r diesen Agenten konfigurieren Die CA Enterprise Log Manager Server m ssen unter demselben Verwaltungsserver bzw demselben externen
112. CA LogManager data subscription offline Planm ig erhalten Clients f r automatische Software Updates von Offline Proxy Servern automatisch alle Aktualisierungen die manuell auf dem Offline Proxy installiert wurden ungeachtet der f r einen Client auf lokaler Ebene ausgew hlten Module Nehmen Sie daher in einer gemischten Umgebung automatischer Software Updates in der sowohl Offline als auch Online Proxys konfiguriert sind keine Offline Proxys in die Proxy Liste f r Online Clients auf Ansonsten w rde der Client f r automatische Software Updates im Online Modus automatisch alle Aktualisierungen erhalten die manuell auf dem Offline Proxy Server installiert wurden und nicht nur die Module die Sie f r jenen Client ausgew hlt haben So konfigurieren Sie Offline Proxys f r automatische Software Updates 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services 2 Erweitern Sie den Service f r automatische Software Updates und w hlen Sie den zu konfigurierenden Server aus Die Konfiguration des Services automatischer Software Updates wird f r den ausgew hlten CA Enterprise Log Manager Server angezeigt 3 Klicken Sie auf die Registerkarte Verwaltung 4 Aktivieren Sie das Kontrollk stchen Proxy f r automatische Software Updates und w hlen Sie Offline Proxy f r automatische Software Updates aus Kapitel 5 Konfigurieren von Services 207 Konfiguration automatischer Software
113. DBC Dienst in CA Enterprise Log Manager bereinstimmen da der Verbindungsversuch andernfalls fehlschl gt ServerDataSource Default Gibt den Namen der Datenquelle an Stellen Sie diesen Wert f r den Zugriff auf den CA Enterprise Log Manager Ereignisprotokollspeicher auf Default ein CustomProperties x y z Diese Eigenschaften entsprechen den benutzerdefinierten ODBC Eigenschaften Wenn Sie diese nicht explizit angeben werden die in der Beispiel URL gezeigten Standardwerte verwendet Weitere Informationen Hinweise zur ODBC Datenquelle siehe Seite 124 Fehlerbehebung bei der Installation Sie k nnen zun chst folgende Protokolldateien der Installation berpr fen falls Sie bei der Installation aufgetretene Fehler beheben m ssen Produkt CA Enterprise Log Manager CA Embedded Entitlements Manager CA Directory Speicherort der Protokolldatei tmp pre install_ca elm log tmp install_ca elm lt Zeitstempel gt log tmp install_ca elmagent lt Zeitstempel gt log opt CA SharedComponents EmbeddedIAM eiam install log tmp etrdir_install log Kapitel 3 Installieren von CA Enterprise Log Manager 131 Fehlerbehebung bei der Installation Bei der CA Enterprise Log Manager Installation werden Inhaltsdateien und andere Dateien zur Verwaltung auf den CA EEM Server kopiert Aus Sicht des CA EEM Servers werden die CA Enterprise Log Manager Berichte und anderen Dateien importiert Falls bei der Installation keine Ve
114. Das GRUB Paket ist kennwortgesch tzt Die Installation f gt die folgenden Benutzer mit eingeschr nkten Berechtigungen hinzu caelmadmin Betriebssystemkonto mit Anmeldeberechtigung bei der CA Enterprise Log Manager Serverkonsole caelmservice Service Konto unter dem die iGateway und Agent Prozesse laufen Sie k nnen sich nicht direkt mit diesem Konto anmelden Kapitel 3 Installieren von CA Enterprise Log Manager 119 Erste CA Enterprise Log Manager Serverkonfigurationen Umleiten von Firewall Ports f r Syslog Ereignisse Sie k nnen den auf Standardports eintreffenden Datenverkehr an einen anderen Port umleiten falls zwischen einem Agenten und dem CA Enterprise Log Manager Server eine Firewall geschaltet ist Die bew hrten Vorgehensweisen f r die Sicherheit geben in diesem Fall vor die minimale f r die Ausf hrung von Anwendungsprozessen und Daemons erforderliche Benutzerberechtigung zu verwenden UNIX und Linux Daemons die unter einem Nicht Root Konto ausgef hrt werden k nnen keine Ports unterhalb von Port 1024 ffnen Der standardm ige UDP Syslog Port ist 514 Dies kann Probleme bereiten bei Ger ten wie Routern und Switches die nur Standardports verwenden k nnen Als L sung des Problems k nnen Sie die Firewall so konfigurieren dass sie Port 514 auf eintreffende Daten abh rt und diese dann ber einen anderen Port an den CA Enterprise Log Manager Server sendet Die Umleitung findet auf dem Host des S
115. Dateitypen Verzeichnis iTechnology bezogene Dateien iGateway opt CA SharedComponents iTechnology CA Enterprise Log ManagerEEM Server bezogene opt CA LogManager EEM Dateien CA Enterprise Log Manager Installationsdateien opt CA LogManager install Datendateien Links zu data im Falle mehrerer opt CA LogManager data Laufwerke Protokolldateien opt CA SharedComponents iTechnology Unter normalen Umst nden m ssen Sie nur auf das Hilfsprogramm ssh auf dem CA Enterprise Log Manager Server zugreifen wenn Sie Archivdateien f r die Sicherung oder langfristige Speicherung verschieben oder Festplattenlaufwerke hinzuf gen m chten Benutzerspezifisches Betriebssystem Image Bei der Installation wird das Betriebssystem angepasst indem ein Minimal Image erstellt und der Zugriff auf so wenige Kan le wie m glich eingeschr nkt wird Nicht unbedingt erforderliche Services werden nicht installiert Der CA Enterprise Log Manager Server h rt eine kleine Anzahl von Ports ab und deaktiviert explizit nicht verwendete Ports W hrend der Installation des Betriebssystems erstellen Sie ein Kennwort f r das root Konto Nach Abschluss der CA Enterprise Log Manager Installation wird das root Konto gesperrt so dass keine weitere Anmeldung mit diesem Konto m glich ist Der CA Enterprise Log Manager Installationsvorgang erstellt den Standardbenutzer caelmadmin der lediglich das Recht zur Anmeldung besitzt Kapitel 3 Installieren von CA En
116. Dialogfeld Sicherheitsservertyp ausw hlen kommen Wenn dieses Dialogfeld angezeigt wird w hlen Sie EEM als Sicherheitsserver aus und klicken Sie auf Weiter Das Fenster EEM Sicherheitseinstellungen wird angezeigt 318 Implementierungshandbuch Starten des CA ITPAM Server Service Geben Sie die folgenden EEM Sicherheitseinstellungen an a Geben Sie den Hostnamen des CA Enterprise Log Manager Verwaltungsservers im Feld EEM Server ein b Geben Sie ITPAM im Feld EEM Anwendung an c Klicken Sie auf Durchsuchen und gehen Sie zum Ordner in dem itpamcert p12 zu finden ist d W hlen Sie itpamcert p12 aus e F llen Sie das Feld EEM Zertifikatskennwort aus indem Sie eine der beiden folgenden Vorgehensweisen w hlen Geben Sie das Kennwort ein das Sie in der Datei ITPAM_eem xml bei der Vorbereitung ersetzt haben Geben Sie itpamcertpass das Standardkennwort ein Klicken Sie auf EEM Einstellungen testen Die Meldung Ein Test wird durchgef hrt Dies dauert m glicherweise ein paar Minuten wird angezeigt Klicken Sie auf OK Das Dialogfeld EEM Einstellungen berpr fen wird angezeigt Geben Sie itpamadmin als Benutzername ein Geben Sie das Kennwort ein das Sie f r das itpamadmin Benutzerkonto festgelegt haben und klicken Sie anschlie end auf OK Klicken Sie auf Weiter Folgen Sie den Anweisungen der IT PAM Dokumentation um den Rest des Assistenten abzuschlie en Starte
117. E Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 394 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Festlegen der Paravirtualisierungs und Ressourceneinstellungen Nachdem Sie die OVF Vorlage importiert haben m ssen Sie die Paravirtualisierungs und Ressourceneinstellungen manuell festlegen um die Leistung des bereitgestellten CA Enterprise Log Manager Servers zu verbessern Hinweis Vergewissern Sie sich dass Sie das CD DVD Laufwerk auf Client Ger t festgelegt haben So legen Sie die der Paravirtualisierungs und Ressourceneinstellungen fest 1 Klicken Sie mit der rechten Maustaste auf die virtuelle CA Enterprise Log Manager Appliance im linken Bereich und klicken Sie auf Edit Settings Das Fenster mit den Eigenschaften des virtuellen Rechners lt CA Enterprise Log Manager Virtual Appliance name gt wird angezeigt 2 Klicken Sie in diesem Fenster auf die Registerkarte Option 3 W hlen Sie im linken Fensterbereich die Einstellung Paravirtualization aus und aktivieren Sie im rechten Bereich die Option Support VMI Paravirtualization Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Yirtual Machine Version 7 settings Summary YMI is a paravirtualization standard supported
118. E EEE ER 34 Erstellen einer F derations bersicht 22222ssseeeeeeesessnnssnnnsnnnnnnnnnnnn nn 36 Beispiel F derations bersicht f r ein gro es Unternehmen 2 222cceeeeeseeeeen 38 Beispiel F derations bersicht f r ein mittelgro es Unternehmen 2222cccccceen 40 Benutzer und Zugriffsplanung 222ceceesseeeeeseseenennnneseeeeenseeeeeeeeneneneen 43 Planen des Benutzerspeichers 222222ssssseessssesssnnnnnnnnennnnnnnnnnnnnnennn nen 43 Benutzer mit Administratorrolle 2222cssseeeesesesessnnnennnnnnnnnnnnnennnnnn nn 48 Planen der Kennwortrichtlinien 22222ssssssesssessesennnnnnnsnnnnnnnnnnnnnnnn nn 49 Planen von automatischen Software Updates 22ccceceeeeeeeeeeennsnnennnnneennnneenen 51 Service automatischer Software Updates 22cooeeeeeeeeeeeeeeeeneeenn 52 Funktionsweise automatischer Software Updates 22222ssssesesssessesnennnnnnnn nen 53 Planen automatischer Software Updates 2222sssssesseeesenessnsnnnsnnnnnnenn nenn 55 Beispiel amp nbsp Konfiguration f r automatische Software Updates mit sechs Servern 62 BEENTENDIANINE ee RER EAE EEVEE ENNEY 65 Wissenswertes ber die Syslog Ereigniserfassung 22222222eseseeseeeeeeeeeeeeeeneenn 65 Agenten und das Agentenzertifikat 2222o22seeeeeeeeseeeneseseeeeeneseeeeeeeneenn 67 Wissenswertes ber Agenten aonannan nannan ararnar rnar reran arran r rnrn r
119. EOSDATA Tabelle u222ooueneeenee nennen 272 Kopieren des Hilfsprogramms f r den Ereignisimport auf einen Solaris Data Tools Server 272 Kopieren des Importhilfsprogramms auf einen Windows Data Tools Server 273 Wissenswertes ber die LMSeosimport Befehlszeile 2ccceeeeeeeeeeeeeeeeeneen 274 Erstellen eines Ereignisberichts 2222 220 eeeeesennsnneenesnnnneeeeeeeneneenn 277 Vorschau der Importergebnisse 222ceeessesesneeeeeenennneneeeeeneeeeeeeee nen 278 Inhalt 11 Importieren von Ereignissen aus einer Windows Collector Datenbank 2 2222222 279 Importieren von Ereignissen aus einer Solaris Collector Datenbank 22222 280 Anhang B Aspekte f r CA Access Control Benutzer 281 Integration mit CA Access Control 222eeeeeeeeeeeeeeeeeeeeeenneeeeeeeeeeeeneeeeeeeeeeeen 281 ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager 283 Konfigurieren des SAPI Collector Adapters f r den Empfang von CA Access Control Er IiEniSSenessses see es es erneuern 284 ndern einer bestehenden CA Audit Richtlinie zum Senden von Ereignissen an CA Enterprise Log M n ger 4 254343 Reese nisse 286 berpr fen und Aktivieren der ge nderten Richtlinie 222222ceseseseeeeseeeeeeeen 290 Konfigurieren eines CA Access Control iRecorders zum Senden von Ereignissen an CA Enterprise LOB Manager ee ne r S 291 Konfigur
120. Enterprise Log Manager Server eine Abfrage durchgef hrt zu dem die Datenbankverbindung hergestellt wird F r diese Eigenschaft wird folgende Syntax verwendet queryfederated true queryfetchrows Gibt an wie viele Zeilen in einem einzelnen Fetch Vorgang abgerufen werden sollen wenn die Abfrage erfolgreich ist Der minimale Wert betr gt 1 und der maximale Wert 5000 Der Standardwert ist 1000 F r diese Eigenschaft wird folgende Syntax verwendet queryfetchrows 1000 offsetmins Gibt den Offset f r die Zeitzone f r diesen ODBC Client an Bei einem Wert von 0 wird GMT verwendet Sie k nnen diese Feld verwenden um die Abweichung Ihrer Zeitzone von GMT festzulegen F r diese Eigenschaft wird folgende Syntax verwendet offsetmins 0 suppressNoncriticalErrors Gibt das Verhalten des Interface Providers bei nicht kritischen Fehlern an z B wenn eine Datenbank nicht reagiert oder ein Host nicht antwortet F r diese Eigenschaft wird folgende Syntax verwendet suppressNoncriticalErrors false Kapitel 3 Installieren von CA Enterprise Log Manager 125 Installieren Sie den lt ODBC gt Llient Testen der Verbindung des ODBC Client zur Datenbank Der ODBC Client ist mit einem Tool zur SQL Abfrage ISQL installiert das mit der Befehlszeile interaktiv ist Sie k nnen dieses Tool verwenden um Ihre Konfigurationseinstellungen und die Konnektivit t zwischen ODBC Client und CA Enterprise Log Manager Ereignisprotokollspeicher z
121. Er bewahrt wiederhergestellte Datens tze ber verschiedene konfigurierte Zeitr ume hinweg auf je nach Wiederherstellungsmethode Der Vorteil eines eigenen Wiederherstellungspunkts ist dass dieser Server aus der F deration ausgeschlossen werden kann so dass f derierte Berichte keine alten wiederhergestellten Daten enthalten Alle auf dem Wiederherstellungspunktserver erstellten Berichte enthalten nur Ereignisdaten aus den wiederhergestellten Datenbanken Wenn Sie einem Server eine bestimmte Rolle zuweisen bedeutet dies nicht dass auf diesem Server keine Funktionen anderer Rollen ausgef hrt werden k nnen Nehmen Sie als Beispiel eine Umgebung mit dedizierten Erfassungsservern und einem Berichtsserver Sie k nnen in dieser Umgebung einen Alarm planen mit dem der Erfassungsserver auf einen bestimmten Umstand hin berpr ft wird ber den Sie unbedingt so bald wie m glich unterrichtet werden m ssen Kapitel 2 Planen der Umgebung 25 Serverplanung Beispiel Netzwerkarchitekturen Die einfachste CA Enterprise Log Manager Architektur ist ein System mit einem Server in dem ein CA Enterprise Log Manager Server alle Rollen bernimmt Der Verwaltungs Erfassungs und Berichtsserver in CA Enterprise Log Manager bernimmt die Konfigurations und Inhaltsverwaltung Ereigniserfassung und verfeinerung Korrelation sowie Abfragen und Berichte Hinweis Ein Remote Server bei dem es sich nicht um einen CA Enterprise Log Manager S
122. Ereignisprotokollspeichers Weitere Informationen Beispiel F derations bersicht f r ein mittelgro es Unternehmen siehe Seite 40 Beispiel F derations bersicht f r ein gro es Unternehmen siehe Seite 38 246 Implementierungshandbuch Kapitel 8 Arbeiten mit der Ereignisverfeinerungs Bibliothek Dieses Kapitel enth lt folgende Themen Wissenswertes ber die Ereignisverfeinerungs Bibliothek siehe Seite 247 Unterst tzen neuer Ereignisquellen mit der Ereignisverfeinerungs Bibliothek siehe Seite 248 Zuordnungs und Analysedateien siehe Seite 248 Wissenswertes ber die Ereignisverfeinerungs Bibliothek Die Ereignisverfeinerungs Bibliothek stellt Werkzeuge bereit mit denen Sie neue Analyse und Zuordnungsdateien erstellen bzw bestehende Dateien so ndern k nnen dass neue Ger te Anwendungen usw unterst tzt werden Die Bibliothek bietet folgende Optionen m Integrationen Listener Zuordnungs und Analysedateien Unterdr ckungs und Zusammenfassungsregeln Mit Unterdr ckungsregeln wird verhindert dass Daten erfasst bzw in den Ereignisprotokollspeicher eingef gt werden Mittels Zusammenfassungsregeln k nnen Sie Ereignisse aggregieren und so die Anzahl von Einf gungen f r hnliche Ereignistypen oder Aktionen reduzieren Unterdr ckungs und Zusammenfassungsregeln sind der am h ufigsten verwendete Teil der Bibliothek da hiermit die Netzwerk und Datenbankleistung optimiert werden kann Im Abschn
123. Ereignissen an CA Enterprise Log Manager 264 Unterschiede in der Architektur 251 CA Embedded Entitlements Manager Definition 33 CA Enterprise Log Manager F deration 34 Installation 86 Planen der Architektur 75 Prozesse 116 CA Adapter Konfigurieren f r die Verwendung mit CA Audit 259 263 CA Verwaltungsdatenbank CA MDB Benutzerspeicher 144 Connectors Anzeigen des Status 237 Beenden und neu starten 237 Wissenswertes ber Protokollsensoren 71 D Disaster Recovery Ersetzen eines CA Enterprise Log Manager Servers 327 Planen 321 Sichern des CA Embedded Entitlements Manager Servers 322 323 Sichern eines CA Enterprise Log Manager Servers 325 Wiederherstellen eines CA Embedded Entitlements Manager Servers 324 Index 449 Wiederherstellen eines CA Enterprise Log Manager Servers 326 E Ereignisprotokollspeicher Grundlegende Einstellungen 185 Konfigurieren 161 188 Wissenswertes 162 Wissenswertes ber Archivdateien 162 Ereignisverfeinerungs Bibliothek Unterst tzen neuer Ereignisquellen 248 Wissenswertes 247 EventPlugin iTechnology Ereignis Plugin 263 F Filter Global und lokal 159 F deration Ausw hlen von f derierten Abfragen 160 Beispiel einer F derationszuordnung f r ein Gro unternehmen 38 Beispiel einer F derationszuordnung f r ein mittelst ndisches Unternehmen 40 F derations bersicht 36 Hierarchisch 240 Konfigurieren 244 Ne
124. Erforderliche Informationen IP Adresse Subnetzmaske Standard Gateway DNS Server Dom nenname EULA Lizenzvereinbarung Zeitzone NTP Serverstandort Wert Die relevante IPv4 Adresse Die relevante IP Adresse Die relevante IP Adresse Relevante IPv4 Adressen der Name Ihrer Dom ne Accept Ihre gew nschte Zeitzone Relevanter Hostname bzw IP Adresse Anwendungsspezifische Einstellungen Kommentare Geben Sie eine g ltige IP Adresse f r diesen Server ein Geben Sie eine g ltige Teilnetzmaske an die mit diesem Server verwendet werden soll Geben Sie ein g ltiges Gateway an das mit diesem Server verwendet werden soll Geben Sie eine oder mehrere DNS Server IP Adressen f r die Verwendung in Ihrem Netzwerk ein In der Liste sind die Eintr ge durch Komma ohne Leerzeichen zwischen den Eintr gen getrennt Falls Ihre DNS Server IPv6 Adressen verwenden geben Sie diese Adressen im entsprechenden Format ein Geben Sie den qualifizierten Namen der Dom ne ein in der dieser Server betrieben wird z B meineFirma com Hinweis Der Dom nenname muss beim DNS Server DNS Domain Name Server in Ihrem Netzwerk registriert sein damit der Hostname in eine IP Adresse aufgel st werden kann Lesen Sie die CA Lizenzvereinbarung und klicken Sie unten auf Accept um sie zu akzeptieren W hlen Sie die Zeitzone aus in der sich der Server befindet Geben Sie den Hostnamen b
125. F deration in der FIPS Modus aktiviert ist siehe Seite 101 Kapitel 3 Installieren von CA Enterprise Log Manager 95 Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Upgrade Richtlinien Die folgenden Richtlinien gelten f r Upgrades auf CA Enterprise Log Manager mit FIPS Unterst tzung Wenn die F deration mehr als einen CA Enterprise Log Manager Server enth lt f hren Sie das Upgrade auf r12 1 SP1 zuerst f r den Prim rserver oder Verwaltungsserver von CA Enterprise Log Manager durch Danach k nnen Sie das Upgrade f r alle anderen Server in gew nschter Reihenfolge durchf hren Wenn das Upgrade durchgef hrt wurde starten die Server nur im Nicht FIPS Modus Nur ein Benutzer mit Administratorrechten kann den Betriebsmodus manuell ab ndern und somit den FIPS Modus aktivieren Wichtig Wechseln Sie w hrend der Verarbeitung von automatischen Software Updates nicht den FIPS Modus auf einem sekund ren CA Enterprise Log Manager Server Dadurch kann die Verarbeitung von automatischen Software Updates fehlschlagen CA Enterprise Log Manager Server der Version r12 1 SP1 k nnen mit r12 1 Agenten kommunizieren aber FIPS Unterst tzung auf Agentenebene ist erst verf gbar wenn Sie ein Upgrade auf r12 1 SP1 durchf hren Wenn Sie den FIPS Modus aktivieren k nnen nur FIPS aktivierte Agenten der Version r12 1 SP1 und h her mit dem CA Enterprise Log Manager Server ko
126. Gehen Sie dabei folgenderma en vor a Wenn die Wiederherstellung auf dem NY Berichts ELM erfolgen soll f hren Sie das Skript restore ca elm sh vom NY Berichts ELM aus durch und geben Sie den NY Speicherserver als Remote Host an a Wenn die Wiederherstellung auf dem NY Berichts ELM erfolgen soll f hren Sie das Skript restore ca elm sh vom NY Berichts ELM aus durch und geben Sie den NY Speicherserver als Remote Host an NY Berichts ELM NY Speicherserver NY Wiederherstellungspunkt ELM Exteme langfristige Speicherung Hinweis Sie k nnen nun die wiederhergestellten Daten abfragen und dar ber berichten 184 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Weitere Informationen Wissenswertes ber die automatische Archivierung siehe Seite 163 Wissenswertes ber Archivdateien siehe Seite 162 Einstellungen f r den Ereignisprotokollspeicher in einer einfachen Umgebung siehe Seite 185 Beispiel F derations bersicht f r ein gro es Unternehmen siehe Seite 38 Einstellungen f r den Ereignisprotokollspeicher in einer einfachen Umgebung In einer Umgebung mit getrennten CA Enterprise Log Manager Servern f r die Rolle des agentenlosen Quellservers f r Protokolldateien und des Berichtsservers sollten Sie die Ereignisprotokollspeicher einzeln als lokale Konfigurationen einrichten Falls der Berichtsserver auch den Failover Datenverkehr bernehmen soll k nnen Sie f r Maximale Zeilenanza
127. Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances ovftool dm thin acceptAllEulas name example secondaryserver deploymentOption medium prop ROOT_PASSWORD example passwordl prop LOCAL REMOTE EEM Remote prop REMOTE EEM LOCATION example primaryserver prop EEM PASSWORD calmr12 prop FIPS_MODE Yes prop IP ADDRESS 172 168 10 10 prop SUBNET MASK 10 0 10 10 prop HOSTNAME example secondary_server prop DEFAULT GATEWAY 198 168 10 30 prop DNS SERVERS 198 168 20 20 198 168 20 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Beispiel 2 Batch Skript f r das Erstellen eines Verwaltungsservers und zweier Erfassundsserver REM CA Enterprise Log Manager Verwaltungsserver ovftool dm thin acceptAllEulas name example primaryserver deploymentOption medium prop ROOT_PASSWORD example password prop LOCAL_ REMOTE EEM Local prop REMOTE_EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS _MODE Yes prop IP ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example primary_server prop DEFAULT_GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTP
128. Konto wird f r die Installation von Betriebssystemaktualisierungen verwendet die mit automatischen Software Updates heruntergeladen werden CALM ist eine vordefinierte Ressourcenklasse die folgende CA Enterprise Log Manager Ressourcen umfasst Alarm ArchiveQuery calmTag Daten EventGrouping Integration und Bericht Folgende Aktionen sind in dieser Ressourcenklasse zul ssig Anmerken Berichte Erstellen Alarm calmTag EventGrouping Integration und Bericht Datenzugriff Daten Ausf hren ArchiveQuery und Planen Alarm Bericht CALM Anwendungszugriffsrichtlinie calmTag Die CALM Anwendungszugriffsrichtlinie ist ein Zugriffssteuerungslistentyp einer Richtlinie zur Bereichsdefinierung die festlegt wer sich in CA Enterprise Log Manager anmelden darf Anmeldungszugriff wird standardm ig dem Gruppen Administrator dem Gruppen Analysen und dem Gruppen Auditor erteilt calmTag ist ein benanntes Attribut f r das Anwendungsobjekt das bei der Erstellung einer Richtlinie zur Bereichsdefinierung verwendet wird um Benutzer auf bestimmte Berichte und Abfragen zu beschr nken die zu bestimmten Kennungen geh ren Alle Berichte und Abfrage sind Anwendungsobjekte und haben calmTag als Attribut Dies ist nicht zu verwechseln mit der Ressource Kennung CA Server f r automatische Software Updates Der CA Technologies Server f r automatische Software Updates ist die Quelle f r automatische Aktualisierungen aus CA Tech
129. LOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 0 10 0 REM CA Enterprise Log Manager Erfassungsserver 1 ovftool dm thin acceptAllEulas name example collectionserverl deploymentOption medium prop ROOT _PASSWORD example passwordl prop LOCAL REMOTE _EEM Remote prop REMOTE EEM LOCATION example managementserver prop EEM PASSWORD calmr12 prop FIPS_MODE Yes prop IP ADDRESS 172 168 10 10 prop SUBNET MASK 10 0 10 10 prop HOSTNAME example collection serverl prop DEFAULT_GATEWAY 198 168 10 30 prop DNS SERVERS 198 168 20 20 198 168 20 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 REM CA Enterprise Log Manager Erfassungsserver 2 Anhang E CA Enterprise Log Manager und Virtualisierung 405 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances ovftool dm thin acceptAllEulas name example collectionserver deploymentOption medium prop ROOT_PASSWORD example password2 prop LOCAL REMOTE _EEM Remote prop REMOTE EEM LOCATION example managementserver prop EEM PASSWORD calmr12 prop FIPS_MODE Yes prop IP ADDRESS 172 168 10 30 prop SUBNET MASK 10 0 10 40 prop HOSTNA
130. ME example collection server prop DEFAULT_GATEWAY 198 168 10 40 prop DNS SERVERS 198 168 30 30 198 168 30 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 0 10 0 406 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Festlegen der Paravirtualisierungs und Ressourceneinstellungen Nachdem Sie die OVF Vorlage importiert haben m ssen Sie die Paravirtualisierungs und Ressourceneinstellungen manuell festlegen um die Leistung des bereitgestellten CA Enterprise Log Manager Servers zu verbessern Hinweis Vergewissern Sie sich dass Sie das CD DVD Laufwerk auf Client Ger t festgelegt haben So legen Sie die der Paravirtualisierungs und Ressourceneinstellundgen fest 1 Klicken Sie mit der rechten Maustaste auf die virtuelle CA Enterprise Log Manager Appliance im linken Bereich und klicken Sie auf Edit Settings Das Fenster mit den Eigenschaften des virtuellen Rechners lt CA Enterprise Log Manager Virtual Appliance name gt wird angezeigt 2 Klicken Sie in diesem Fenster auf die Registerkarte Option 3 W hlen Sie im linken Fensterbereich die Einstellung Paravirtualization aus und aktivieren Sie im rechten Bereich die Option Support VMI Paravirtualization Example CA Enterprise L
131. Manager Management Server die CA Enterprise Log Manager Objekttypen speichert Sie sollten Ordner in Richtlinien zur Bereichsdefinierung referenzieren um Benutzern die Berechtigung zum Zugriff auf einen bestimmten Objekttyp zu erteilen oder zu verweigern Eine Pflichtrichtlinie ist eine Richtlinie die beim Erstellen eines Zugriffsfilters automatisch erstellt wird Sie sollten nicht versuchen eine Pflichtrichtlinie direkt zu erstellen zu bearbeiten oder zu l schen Erstellen bearbeiten oder l schen Sie stattdessen den Zugriffsfilter Der pozFolder ist ein Attribut des Anwendungsobjekts wobei der Wert dem bergeordneten Pfad des Anwendungsobjekt entspricht Attribut und Wert von pozFolder werden in Filtern f r Zugriffsrichtlinien verwendet die den Zugriff auf Ressourcen wie Berichte Abfragen und Konfigurationen einschr nken Glossary 437 Profil Protokoll Protokollanalyse Protokollanalyse Protokollarchivierung Protokolldatensatz Ein Profil ist ein optionaler konfigurierbarer Satz von Kennungs und Datenfiltern die produktspezifisch technologiespezifisch oder auf eine ausgew hlte Kategorie beschr nkt sind Ein Kennungsfilter f r ein Produkt beschr nkt beispielsweise die gelisteten Kennungen auf die ausgew hlte Produktkennung Datenfilter f r ein Produkt zeigen in den von Ihnen generierten Berichten den von Ihnen geplanten Alarmen und den von Ihnen angezeigten Abfrageergebnissen nur die Daten f r das angegebene
132. Manager kann auf einem bestimmten Niveau mit CA Audit interagieren ist jedoch nicht auf vollst ndige Interoperabilit t ausgelegt CA Enterprise Log Manager ist eine neue und eigenst ndige Serverinfrastruktur die parallel zu CA Audit ausgef hrt werden kann Dabei gilt es allerdings folgende Punkte zur Ereignisverarbeitung zu bedenken CA Enterprise Log Manager bietet folgende CA Enterprise Log Manager bietet folgende Funktionen Funktionen nicht Empfang von Ereignisprotokollen die von CA Direkter Zugriff auf Ereignisprotokolle die in der Audit Clients und iRecordern ber konfigurierbare CA Audit Collector Datenbank gespeichert sind Listener gesendet werden Anhang A Aspekte f r CA Audit Benutzer 251 Unterschiede in der Architektur CA Enterprise Log Manager bietet folgende Funktionen Hilfsprogramm f r den Import von Ereignisprotokolldaten die in der CA Audit Collector Datenbank SEOSDATA Tabelle gespeichert sind Verwendung von Agenten zum ausschlie lichen Senden von Ereignisprotokollen an die CA Enterprise Log Manager Serverinfrastruktur Ausf hren von CA Enterprise Log Manager Agenten und CA Audit Clients mit iRecordern auf demselben physischen Host Verwenden des integrierten Agenten Explorers zum ausschlie lichen Verwalten von CA Enterprise Log Manager Agenten W hrend des parallelen Betriebs der beiden Systeme verwendet CA Audit seinen Richtlinien Manager nur zum Verwalten von CA Audit Clients 252 I
133. Modus ausgef hrt werden k nnen keine Berichts und Abfragedaten erfassen und nicht auf die Anfragen der anderen Server antworten Kapitel 3 Installieren von CA Enterprise Log Manager 97 Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung So wechseln Sie zwischen FIPS und Nicht FIPS Modus 1 Melden Sie sich beim CA Enterprise Log Manager Server an 2 Klicken Sie auf der Registerkarte Verwaltung auf die Unterregisterkarte Services 3 Erweitern Sie den Knoten Systemstatus und w hlen Sie den gew nschten CA Enterprise Log Manager Server aus Das Dialogfeld zur Konfiguration des Systemstatusdienstes wird angezeigt 4 W hlen Sie den gew nschten FIPS Modus Ein oder Aus aus der Dropdown Liste aus 5 Klicken Sie auf Speichern Der CA Enterprise Log Manager Server startet im ausgew hlten Modus neu Sie k nnen sich erneut anmelden um vom Agenten Explorer aus den FIPS Modus des Agenten anzuzeigen 6 berpr fen Sie den Betriebsmodus des CA Enterprise Log Manager Servers indem Sie nach dem Neustart des Servers das Dialogfeld des Systemstatusdienstes kontrollieren Sie k nnen auch selbst berwachende Ereignisse verwenden um zu berpr fen ob der CA Enterprise Log Manager Server im gew nschten Modus gestartet wurde Suchen Sie auf der Registerkarte Selbst berwachende Ereignisse im Dialogfeld Systemstatus nach folgenden Ereignissen FIPS Mo
134. Protokollerfassung und die Option Archivkatalogabfrage starten Archivierte Datenbanken Archivkatalog Die archivierten Datenbanken auf einem bestimmten CA Enterprise Log Manager Server umfassen alle warmen Datenbanken die f r die Abfrage zur Verf gung stehen jedoch manuell gesichert werden m ssen bevor sie ablaufen alle kalten Datenbanken die als gesichert erfasst wurden und alle Datenbanken die als von einer Datensicherung wiederhergestellt erfasst wurden Siehe Katalog Assistent f r Analysedateien Der Assistent f r Analysedateien ist eine CA Enterprise Log Manager Funktion mit der Administratoren XMP Dateien eXtensible Message Parsing die auf dem CA Enterprise Log Manager Verwaltungsserver gespeichert werden erstellen bearbeiten und analysieren k nnen Die Anpassung der Analyse eingehender Ereignisdaten umfasst auch die Bearbeitung vorabgestimmter Zeichenfolgen und Filter Neue und bearbeitete Dateien werden im Protokollerfassung Explorer in der Ereignisverfeinerungsbibliothek in den Analysedateien und im Benutzerordner angezeigt 416 Implementierungshandbuch Audit Datens tze Audit Datens tze enthalten Sicherheitsereignisse wie Authentifizierungsversuche Dateizugriffe und nderungen an Sicherheitsrichtlinien Benutzerkonten und Benutzerrechten Administratoren geben an welche Ereignistypen auditiert und welche protokolliert werden sollten Auditorenrolle Die Auditorenrolle gew hrt den Benutzern Zu
135. Ressource f r das CA Enterprise Log Manager Produkt ist eine Ressource die mit anderen CA Anwendungen gemeinsam genutzt wird Sie k nnen Richtlinien zur Bereichsdefinierung mit globalen Ressourcen erstellen Beispiele hierf r sind Benutzer Richtlinien und Kalender Siehe auch Anwendungsressource Glossary 429 Globaler Benutzer Globaler Filter Bei einem globalen Benutzer handelt es sich um die Benutzerkontoinformationen ohne anwendungsspezifische Details Die Details und eines globalen Benutzers und die Mitgliedschaften einer globalen Gruppe werden gemeinsam in allen CA Technologies Anwendungen genutzt die mit dem Standardbenutzerspeicher integriert werden k nnen Die Details globaler Benutzer k nnen im eingebetteten Repository oder in einem externen Verzeichnis gespeichert werden Ein globaler Filter ist ein Satz von Kriterien die Sie angeben k nnen und mit denen die in den Berichten angezeigten Daten begrenzt werden k nnen Beispielsweise zeigt ein globaler Filter f r die letzten 7 Tage nur die Ereignisse an die in den letzten sieben Tagen generiert wurden Hierarchische F deration Eine hierarchische F deration von CA Enterprise Log Manager Servern ist eine Topologie die eine hierarchische Beziehung zwischen Servern einrichtet In seiner einfachsten Form ist dies der Fall wenn Server 2 ein untergeordneter Server von Server 1 ist Server 1 jedoch nicht Server 2 untergeordnet ist Dies bedeutet dass die Beziehung nur in e
136. Services W hlen Sie den Eintrag f r den Ereignisprotokollspeicher aus Die Standardoptionen sind eine gute Anfangskonfiguration f r ein mittelgro es Netzwerk mit moderatem Datenverkehr Weitere Informationen zu den einzelnen Feldern finden Sie in der Online Hilfe Hinweis Die Tabelle Untergeordnete F deration und die Tabelle f r die automatische Archivierung werden nur angezeigt wenn Sie die lokalen Optionen f r einen bestimmten CA Enterprise Log Manager Server aufrufen 188 Implementierungshandbuch Konfigurieren des Korrelationsservices Konfigurieren des Korrelationsservices Der Korrelationsservice steuert wie und wo in Ihrer Umgebung Korrelationsregeln angewendet werden Beim Konfigurieren des Korrelationsservices sollten Sie Folgendes ber cksichtigen Ob Sie planen einen dedizierten Korrelationsserver bereitzustellen oder nicht Die Namen und Speicherorte der Erfassungsserver die Ereignisse f r die Korrelation liefern m Typen und bestimmte Namen der Korrelationsregeln die Sie in Ihrer Umgebung anwenden wollen m Benachrichtigungsziele die Sie f r Ihre Umgebung erstellt haben Kapitel 5 Konfigurieren von Services 189 Konfigurieren des Korrelationsservices Anwenden der Korrelationsregeln und der Incidents Benachrichtigungen Sie m ssen Korrelationsregeln anwenden damit sie in Ihrer Umgebung in Kraft treten kann Wenn Sie Korrelationsregeln anwenden k nnen Sie auch Benachrichtigungsziele f
137. Sie berlegen ob Sie die direkte Erfassung durch den Standardagenten die agentenbasierte Erfassung durch einen auf dem Host mit der Ereignisquelle installierten Agenten oder die agentenlose Erfassung bei der sich der Agent auf einem von den Ereignisquellen unabh ngigen Quellserver f r Protokolldateien befindet verwenden m chten m Unterst tzte Plattformen WMI funktioniert beispielsweise f r den Protokollsensor nur unter Windows sm Unterst tzte Treiber f r bestimmte Protokollsensoren Damit ODBC funktioniert ben tigen Sie beispielsweise einen ODBC Treiber Remote Zugriff auf die Protokollquelle Bei dateibasierten Protokollen ben tigen Sie beispielsweise ein freigegebenes Laufwerk damit diese standortfern remote verwendet werden k nnen Planen von F derationen In CA Enterprise Log Manager ist eine F deration auch Verbund genannt ein Netzwerk aus Servern auf denen Ereignisdaten gespeichert und archiviert und Berichte ber diese Daten erstellt werden Mit einer F deration k nnen Sie steuern wie Daten in einem Netzwerk gruppiert und berpr ft werden Sie k nnen die Beziehungen der Server untereinander und somit die Abfrageroute zwischen den Servern festlegen Ferner haben Sie die M glichkeit f derierte Abfragen bei spezifischen Abfragen ggf zu aktivieren bzw zu deaktivieren 34 Implementierungshandbuch Planen von F derationen Die Entscheidung f r oder gegen eine F deration basiert auf der Kombinati
138. Sie den bereitgestellten CA Enterprise Log Manager Server einschalten wird in der Registerkarte Console des VMware vSphere Client Fensters eine URL f r den Zugriff auf CA Enterprise Log Manager angezeigt Verwenden Sie diese URL und die folgenden Standardanmeldeinformationen um auf CA Enterprise Log Manager zuzugreifen Standardbenutzername EiamAdmin Standardkennwort Das Kennwort das Sie w hrend der CA Enterprise Log Manager Serverinstallation eingegeben haben Weitere Informationen Hinzuf gen virtueller Server zu Ihrer Umgebung siehe Seite 351 Erstellen einer ausschlie lich virtuellen Umgebung siehe Seite 374 Schnelle Bereitstellung der virtuellen Server siehe Seite 399 Aufgaben nach der Installation Nachdem Sie einen CA Enterprise Log Manager Server eingeschalten haben haben Sie folgende M glichkeiten m ndern des Tastaturtyps m Hinzuf gen eines NTP Servers 410 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances ndern des Tastaturtyps Standardm ig verwendet ein bereitgestellter CA Enterprise Log Manager Server die standardm ige US Tastatur Sie k nnen die Spracheinstellungen ndern um ihn in den gew nschten Tastaturtyp umzu ndern So ndern Sie den Tastaturtyp 1 Melden Sie sich bei der CA Enterprise Log Manager Konsole als root Benutzer an F hren Sie folgenden Befehl aus vi etc sysconfig keyboard Die Tastaturdatei wir
139. Software Update zum Herunterladen zur Verf gung gestellt wird Ein Modul kann bin re Aktualisierungen Inhaltsaktualisierungen oder beides enthalten Beispielsweise bilden alle Berichte ein Modul und alle Sponsor Bin raktualisierungen ein anderes CA definiert was ein Modul ausmacht 434 Implementierungshandbuch Nachrichtenanalyse Nachrichtenanalyse Die Analyse auch als Nachrichtenanalyse bezeichnet umfasst den Prozess der Umwandlung roher Ger tedaten in Schl sselwertpaare Die Nachrichtenanalyse wird durch eine XMP Datei gesteuert Die Analyse die der Datenzuordnung vorausgeht ist ein Schritt des Integrationsprozesses der das von einer Ereignisquelle erfasste Rohereignis in ein verfeinertes Ereignis umwandelt das Sie anzeigen k nnen Nachrichtenanalyse bezeichnet die Anwendung von Regeln auf die Analyse eines Rohereignisprotokolls um relevante Informationen wie Zeitstempel IP Adresse und Benutzername abzurufen Analyseregeln arbeiten mit der Zeichen bereinstimmung um einen bestimmten Ereignistext zu suchen und diesen mit den ausgew hlten Werten zu verkn pfen Nachrichtenanalysebibliothek Die Nachrichtenanalysebibliothek ist eine Bibliothek die Ereignisse aus den Listener Warteschlangen bernimmt und regul re Ausdr cke verwendet um Zeichenfolgen in Token Namenwertpaare zu bersetzen Nachrichtenanalysedatei XMP Eine Nachrichtenanalysedatei XMP ist eine XML Datei die mit einem bestimmten Ereignisquelle
140. Standard opt CA LogManager lautet Erstellen Sie ein ssh Verzeichnis auf dem Ziel und ndern Sie die Besitzerrechte auf caelmservice 168 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Generieren Sie vom Berichtserver ein RSA Schl sselpaar als caelmservice und kopieren Sie den ffentlichen Schl ssel als authorized_keys in das Verzeichnis tmp auf dem Remote Speicherserver Verschieben Sie vom Remote Speicherserver aus authorized_keys von tmp in das ssh Verzeichnis und legen Sie die Eigent merschaft f r die Schl sseldatei mit den erforderlichen Berechtigungen auf caelmservice fest berpr fen Sie dass nicht interaktive Authentifizierung zwischen dem Berichtsserver und dem Remote Speicherserver vorhanden ist Konfigurieren der Schl ssel f r das Paar Erster Sammelserver Berichterstellungsserver F r die Konfiguration von nicht interaktiver Authentifizierung der Hub and Spoke Architektur muss ein Paar ffentlicher RSA Schl ssel oder Privatschl ssel auf dem Sammelserver generiert werden Der ffentliche Schl ssel muss auf seinen Berichtsserver kopiert werden Kopieren Sie die ffentliche Schl sseldatei mit dem Namen authorized_keys Nehmen Sie an dass dieser Schl ssel der erste ffentliche Schl ssel ist der auf den angegebenen Berichtsserver kopiert wird So generieren Sie ein RSA Schl sselpaar auf dem ersten Sammelserver und kopieren den ffentlichen Schl ssel auf
141. UID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIY None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel Anhang E CA Enterprise Log Manager und Virtualisierung 361 Erstellen von CA Enterprise Log Managder Servern mithilfe von virtuellen Appliances 4 Klicken Sie in diesem Fenster auf die Registerkarte Resources 5 W hlen Sie in der Spalte Settings die Option CPU aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties HT Sharing Any 362 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 6 W hlen Sie in der Spalte Settings die Option Memory aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties HT Sharing Any 7 Klicken Sie auf OK 8 Hinweis Weitere Informationen zur Paravirtualisierung finden Sie auf www vmware com Anhang E CA Enterprise Log Manager und Virtualisierung 363 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Schalten Sie den bereitgestellten CA Enterprise Log Manader Server ein Sie m ssen den CA Enterprise Log Manager Server einschalten dam
142. ade auf r12 1 SP1 durch 3 F hren Sie f r alle Agenten ein Upgrade auf r12 1 SP1 durch und aktualisieren Sie nach Bedarf die Connector Protokollsensoren Wichtig Wenn Sie einen Connector bereitstellen der den Syslog Protokollsensor auf einem Windows Host verwendet aktualisieren Sie alle Connector Konfigurationen um den aktuellsten Syslog Sensor f r diese Version zu verwenden wenn der FIPS Modus aktiviert wurde Weitere Informationen zur aktuellsten Liste der Integrationen die den Syslog Protokollsensor verwenden finden Sie in der CA Enterprise Log Manager Produktintegrationsmatrix https support ca com irj portal anonymous phpdocs filePath 0 8238 82 38_integration_certmatrix html 4 Deaktivieren Sie den ODBC und JDBC Zugriff zum Ereignisprotokollspeicher 5 Aktivieren Sie den FIPS Modus auf allen sekund ren CA Enterprise Log Manager Servern in der F deration Agenten erkennen automatisch die Betriebsart des CA Enterprise Log Manager Servers der sie verwaltet 6 Aktivieren Sie den FIPS Modus auf dem Prim r oder Verwaltungsserver 7 berpr fen Sie ber das Dashboard des Agenten Explorers dass die Agenten im FIPS Modus ausgef hrt werden Sie k nnen auch ber Abfragen oder Berichte feststellen ob die Agenten Ereignisse senden Alternativ dazu k nnen Sie die Registerkarte Selbst berwachende Ereignisse im Bereich Systemstatus Service berpr fen 94 Implementierungshandbuch Durchf hren eines Upgra
143. ager Servers 2eessesseeeeeeeseeeneeneeeeeenennnenn 327 Anhang E CA Enterprise Log Manager und Virtualisierung 329 Voraussetzungen f r die Bereitstellung 2222ccccseeeeseeeseeeneneneeeeennnenneen 329 Besondere Aspekte ts len ante tens anne ee rn 329 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern 330 Hinzuf gen virtueller Server zu Ihrer Umgebung 222222 seeeeeeeeeeeneeneeeeennnn 331 Erstellen einer ausschlie lich virtuellen Umgebung 222222cneneeeeeennnneenn 335 Schneller Einsatz der virtuellen CA Enterprise Log Manager Server 2222 n n 339 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 347 Info zu virtuellen CA Enterprise Log Manager Appliances 222ceeeeeeeeeeeenen nen 347 So verwenden Sie die virtuelle Appliance 22222ccoeeeeeeeeeee nennen 348 Arbeitsblatt f r die Installation der virtuellen Appliance 222ccccceeeeeeeeeeennn 348 Hinzuf gen virtueller Server zu Ihrer Umgebung 222222s2eeeeeeeeeeeeeneeeeeenn 351 Erstellen einer ausschlie lich virtuellen Umgebung 22222ocneneeeeeeennnennn 374 Schnelle Bereitstellung der virtuellen Server 222222ocoeeeeeeennnenn 399 Aufgaben nach der Installation 22cceccseeeeeseesseeennneseenenneneeneeeeen 410 Terminologieglossar 413 Index 449 Inhalt 13 Kap
144. aktivieren 92 Implementierungshandbuch Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Gehen Sie wie folgt vor um ein Upgrade f r Ihre Server durchzuf hren Upgrade CA EEM Server for FIPS Support Upgrade all CA Enterprise Log Upgrade Agents to Manager Servers r12 1 SP1 r12 1 SP1 to r12 1 SP1 Enable FIPS Mode on secondary CA Enterprise Log Manager Servers Enable FIPS Mode on the primary CA Enterprise Log Manager Server Verify Agents Running Event Receipt Kapitel 3 Installieren von CA Enterprise Log Manager 93 Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Das Upgrade und der FIPS Aktivierungsprozess umfassen die folgenden Schritte 1 F hren Sie ein Upgrade f r den Prim r oder Verwaltungsserver auf r12 1 SP1 durch Wenn Sie einen CA EEM Remote Server verwenden stellen Sie sicher dass dieser ber eine Version verf gt die den FIPS Betrieb unterst tzt Weitere Informationen zum Upgrade der FIPS Unterst tzung finden Sie in CA EEM Versionshinweise Detaillierte Anweisungen zur Verwendung des Services f r automatische Software Updates um sowohl f r CA Enterprise Log Manager Server als auch Agenten ein Upgrade durchzuf hren sind im Administrationshandbuch verf gbar 2 F hren Sie f r alle anderen CA Enterprise Log Manager Server in der F deration ein Upgr
145. all Ports f r Syslog Ereignisse 2222occoeeeeeeeeeeeeneee nenn 120 Installieren Sie den lt ODBC gt Client 222c22ceeeeeeeeeeeeeeneeseeeeeeeeeeeeeeeeeeeeeenenn 121 Voraussetzungen 222eseeeeeeeeeeneeneeneeneeneeneeeeeneeneeneeneeneeneeneeneeneene 121 Konfigurieren des ODBC Server Services 2 22222ceseeseeeeeesenseeeeneneeeeeennneeeneee 122 Installieren des ODBC Clients in Windows Systemen 222222ssssssessesssssnnnnnnnnnnn 122 Erstellen einer ODBC Datenquelle in Windows Systemen 2222222sseeessesnnenennn nn 123 Testen der Verbindung des ODBC Client zur Datenbank 2 222222cceeeeeenneen 126 Serverabruf von der Datenbank testen 222cceeeeseeeeeeeeeeeennneeeeeeenennenn 126 Installieren des JDBE Clients 42420000000 a a a a a ee 127 8 Implementierungshandbuch Voraussetzungen f r den JDBC Client 222222oeseeeeeennnneneennnnneeneenennnn 128 Installieren des JDBC Clients in Windows Systemen 222222ssesesessessnssnnnnnnnnn nn 129 Installieren des JDBC Clients in UNIX Systemen 222222ssseeessessesssssnnnnnnnnnn nen 129 JDBC Verbindungsparameter 222222ssssesseesssesnsensnnnnnnnnnnsnnnnnnnnnennnnnnn 130 Hinweise zur JDBE RE z 2 43 3432258 2348242821841 un En as E A S E SAA RG 130 Fehlerbehebung bei der Installation 22ceeeeseeennneeeeennnnneneeeeeneeneenen 131 Beheben von Fehlern bei der Netzwerkschnittstellenkonfiguration
146. alls Sie sehr lange Intervalle festlegen kann es vorkommen dass notwendige Konfigurations nderungen erst sehr zeitverz gert zur Anwendung kommen 160 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers So konfigurieren Sie das Aktualisierungsintervall 1 Melden Sie sich beim CA Enterprise Log Manager Server an und w hlen Sie die Registerkarte Verwaltung aus 2 Klicken Sie zuerst auf die Registerkarte Services und dann auf den Knoten Globale Service Konfiguration 3 Geben Sie einen neuen Wert f r das Aktualisierungsintervall ein Der empfohlene Standardwert ist 300 Sekunden Konfigurieren des Ereignisprotokollspeichers Der Ereignisprotokollspeicher ist die zugrunde liegende propriet re Datenbank die die erfassten Ereignisprotokolle enth lt Sie k nnen globale und lokale Konfigurationsoptionen f r den Ereignisprotokollspeicherservice festlegen die die Speicherung und Archivierung von Ereignissen auf den CA Enterprise Log Manager Servern betreffen Die Konfiguration des Ereignisprotokollspeichers beinhaltet Folgendes Kenntnisse zum Ereignisprotokollspeicherservice Kenntnisse zur Verarbeitung von Archivdateien durch den Ereignisprotokollspeicher Konfigurieren der globalen und lokalen Werte f r den Ereignisprotokollspeicher Hierzu geh rt das Festlegen der grundlegenden Werte f r die Aufbewahrung von Archivdateien sowie der Datenbankgr e Zusammenfassungsregeln Unterdr ckungsr
147. als 3 Incidents generiert hat Blockierte Zeit Kapitel 5 Konfigurieren von Services 201 Hinweise zum ODBC Server Legt ein Intervall in Sekunden fest wenn eine Regel davon blockiert ist weitere Incidents zu erstellen Wenn dieses Limit erreicht ist erstellt die Regel keine Incidents bis die Zeit abl uft Hinweise zum ODBC Server Sie k nnen einen ODBC Client oder einen JDBC Client installieren um ber eine externe Anwendung wie SAP BusinessObjects Crystal Reports auf den CA Enterprise Log Manager Ereignisprotokollspeicher zuzugreifen ber diesen Konfigurationsbereich k nnen Sie die folgenden Aufgaben durchf hren Aktivieren oder deaktivieren Sie den ODBC und JDBC Zugriff zum Ereignisprotokollspeicher m Legen Sie den f r die Kommunikation zwischen dem ODBC oder JDBC Client und dem CA Enterprise Log Manager Server verwendeten Dienstport fest m Geben Sie an ob die Kommunikation zwischen dem ODBC oder JDBC Client und dem CA Enterprise Log Manager Server verschl sselt wird Die Feldbeschreibungen lauten wie folgt Dienste aktivieren Gibt an ob die ODBC und JDBC Clients auf Daten im Ereignisprotokollspeicher zugreifen k nnen Aktivieren Sie dieses Kontrollk stchen um den externen Zugriff auf Ereignisse zu erm glichen Heben Sie die Auswahl des Kontrollk stchens auf um den externen Zugriff zu deaktivieren Der ODBC Dienst ist derzeit nicht FIPS kompatibel Heben Sie die Auswahl dieses Kontrollk stchen
148. an Port 5250 Standardm iger UDP Syslog Listening Port dieser Portwert kann ge ndert werden Um den Standardagenten als Nicht Root Benutzer auszuf hren wird der Standardport auf 40514 gesetzt und die Installation wendet eine Firewall Regel zum CA Enterprise Log Manager Server an Standardm iger TCP Syslog Listening Port dieser Portwert kann ge ndert werden CA Technologies LDAP DXadmin Port falls Sie einen CA EEM Server auf demselben physischen Server verwenden auf dem sich auch der CA Enterprise Log Manager Server Verwaltungsserver befindet TCP Kommunikation mit der Benutzerschnittstelle des CA Enterprise Log Manager Servers unter Verwendung von iGateway TCP Kommunikation zwischen m CA Enterprise Log Manager Server und CA EEM Server a F derierten CA Enterprise Log Manager Servern m Agent und CA Enterprise Log Manager Server f r Statusaktualisierungen Agent Befehls und Steuerungs Listening Port Hinweis Falls kein ausgehender Datenverkehr zul ssig ist m ssen Sie diesen Port ffnen damit Vorg nge ordnungsgem ablaufen k nnen Kapitel 3 Installieren von CA Enterprise Log Manager 115 Erste CA Enterprise Log Manager Serverkonfigurationen Port 17001 17002 17003 17200 17201 zuf llig Liste der verwandten Prozesse Prozessname caelmagent caelmconnector Komponente Agent ODBC JDBC Agent Dispatcher SME Listener Dispatcher Ereignis Listener SAPI B
149. anager Verwaltungsserver bzw der CA EEM Remotserver im FIPS Modus ausgef hrt werden kann der neue CA Enterprise Log Manager Server registriert und in die F deration aufgenommen werden Weitere Informationen Aktivieren des Betriebs im FIPS Modus siehe Seite 97 Anzeigen des Agenten Dashboards siehe Seite 99 Installationshinweise f r ein System mit SAN Laufwerken Wenn Sie das Betriebssystem f r die CA Enterprise Log Manager Anwendung auf einem System mit SAN Laufwerken installieren treffen Sie Vorsichtsma nahmen um zu verhindern dass CA Enterprise Log Manager auf einem SAN Laufwerk installiert wird Diese Installation w rden fehl schlagen Folgen Sie einem der folgenden Ans tze um eine erfolgreiche Installation zu garantieren Deaktivieren Sie die SAN Laufwerke Installieren Sie das Betriebssystem und die CA Enterprise Log Manager Anwendung wie gewohnt Konfigurieren Sie dann die SAN Laufwerke f r CA Enterprise Log Manager und starten Sie CA Enterprise Log Manager erneut um die SAN Konfiguration zu aktivieren m Lassen Sie die SAN Laufwerke aktiviert Beginnen Sie mit der Betriebssysteminstallation Verlassen Sie diese Prozedur wie beschrieben um den in der Kickstart Datei angegebenen Betriebsablauf zu ver ndern Setzen Sie den Installationsprozess fort und schlie en Sie ihn wie angegeben ab Kapitel 3 Installieren von CA Enterprise Log Manager 103 Installationshinweise f r ein System mit SAN Laufwerken Ins
150. andby Datenbanken Ferner m ssen Berichtsserver gen gend zus tzlichen Speicherplatz aufweisen um ggf wiederhergestellte Dateien eine Zeit lang aufnehmen zu k nnen Falls Sie mit DAS Direct Attached Storage arbeiten werden die Partitionen automatisch so erweitert dass mehr Speicherplatz zur Verf gung steht 32 Implementierungshandbuch Planen der Ereigniserfassung Wissenswertes ber den CA EEM Server CA Enterprise Log Manager verwendet intern den CA Embedded Entitlements Manager Server CA EEM Server zum Verwalten von Konfigurationen zum Autorisieren und Authentifizieren von Benutzern zum Koordinieren von automatischen Updates f r Inhalte und Bin rdateien und f r weitere Verwaltungsfunktionen In einer einfachen CA Enterprise Log Manager Umgebung wird CA EEM mit dem CA Enterprise Log Manager Verwaltungsserver installiert Ab diesem Zeitpunkt verwaltet CA EEM die Konfigurationen aller CA Enterprise Log Manager Quellserver f r Protokolldateien sowie deren Agenten und Connectors Sie k nnen den CA EEM Server auch mit den auf der Anwendunsgsinstallations CD bereitgestellten Installationspaketen auf einem Remote Server installieren oder Sie k nnen einen bereits vorhandenen mit anderen CA Technologies Produkten verwendeten CA EEM Server nutzen Der CA EEM Server verf gt ber eine eigene Webschnittstelle Die meisten Konfigurations und Wartungsaufgaben werden allerdings ber die CA Enterprise Log Manager Benutzeroberfl
151. angezeigt Verwenden Sie diese URL und die folgenden Standardanmeldeinformationen um auf CA Enterprise Log Manager zuzugreifen Standardbenutzername EiamAdmin Standardkennwort Das Kennwort das Sie w hrend der CA Enterprise Log Manager Serverinstallation eingegeben haben Weitere Informationen Hinzuf gen virtueller Server zu Ihrer Umgebung siehe Seite 351 Erstellen einer ausschlie lich virtuellen Umgebung siehe Seite 374 Schnelle Bereitstellung der virtuellen Server siehe Seite 399 398 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Schnelle Bereitstellung der virtuellen Server Zur schnellen Bereitstellung eines virtuellen CA Enterprise Log Manager Servers f r die Erfassung sind folgende Schritte notwendig 1 Laden Sie das Paket mit der virtuellen CA Enterprise Log Manager Appliance herunter 2 F hren Sie eine automatische Installation eines CA Enterprise Log Manager Servers durch 3 Konfigurieren Sie die virtuellen Appliance Server wie im Abschnitt zur Installation eines CA Enterprise Log Manager Servers beschrieben Wichtig Wenn Sie einen CA Enterprise Log Manager Server mithilfe einer virtuellen Appliance bereitstellen m chten muss der Anwendungsinstanzname des prim ren CA Enterprise Log Manager Servers CAELM sein Laden Sie das Paket mit der virtuellen Appliance herunter Das Verteilungs Image f r die virtuelle CA Enterprise Log Manager
152. as Download Paket aus Die Seite f r das L sungsdokument Solution Document wird angezeigt Bl ttern Sie zum Ende der Seite und w hlen Sie den Link Download neben dem Paketnamen aus Das Paket wird heruntergeladen Hinweis Je nach Verbindungsgeschwindigkeit kann der Download Vorgang eine Weile dauern Entpacken Sie die beiden Installations Images Erstellen Sie zwei getrennte Installationsmedien indem Sie das Image f r das Betriebssystem und das CA Enterprise Log Manager ISO Image auf zwei verschiedene DVD RW Datentr ger brennen Die beiden Installationsmedien enthalten alle Betriebssystem und Produktkomponenten f r Ihre CA Enterprise Log Manager Umgebung Sie k nnen allerdings auch weitere Komponenten wie SAPI Recorder oder iRecorder in Ihrer Umgebung verwenden Diese k nnen gesondert von der Website f r den CA Technologies Support heruntergeladen werden F hren Sie die Installation mit den neu erstellten Installations DVDs durch 78 Implementierungshandbuch Installieren eines CA Enterprise Log Manager Servers Installieren eines CA Enterprise Log Manader Servers Der Installationsvorgang umfasst die folgenden Schritte Ausf llen des Arbeitsblatts f r den CA Enterprise Log Manager Server Installieren des CA Enterprise Log Manager Verwaltungsservers Hinweis Wenn Sie SAN Speicher verwenden treffen Sie Vorsichtsma nahmen um zu vermeiden auf einem SAN Laufwerk zu installieren Installieren von mindest
153. ask E Default Gateway Enter the IP address of the defaut gateway F DNS Servers Enter a list of the IP addresses for your DNS servers Use a comma to separate the IP addresses of the DNS servers i 198 168 10 20 198 168 10 25 6 Domain Name Enter the domain name of this machine Fameen H Time Zone Choose the time zone africajabidjan z L NTP Server Location Enter the NTP Server Location if you want to configure System Time through NTP 198 168 10 30 e Deploy OYF Template laolxi Properties Customize the software solution for this deployment Source OVF Template Details End User License Agreement Name and Location B CA Enterprise Log Manager Settings Deployment Configuration A Host Cluster A Location of CA EEM Server Resource Pool Select Local if the CA EEM server is to be installed on this host Select Remote if this CA Properties Enterprise Log Manager server must use a remote CA EEM server Ready ti omplete Local K B Host Name or IP Address of the Remote CA EEM Server Specify the IP address or the host name of the remote CA EEM server Enter none to install a CA EEM server on this host none C Password for CA EEM Server Enter the password for the EEM server EiamAdmin user exampleeiamadminpassword D FIPS Mode Do you want to run CA Enterprise Log Manager in FIPS mode Choose Yes for FIPS mode or No for non FIPS mode
154. ates 60 Implementierungshandbuch Planen von automatischen Software Updates 1 Ein Systemadministrator l dt Aktualisierungen von einer CA Technologies FTP Seite auf ein System herunter das Zugriff auf das Internet oder auf einen FTP hat 2 Der Systemadministrator kopiert manuell die Aktualisierungsdateien auf einen Offline CA Enterprise Log Manager Proxy Sie k nnen die Dateien mittels physischen Datentr gers wie zum Beispiel eine Festplatte oder via scp bertragen das in CA Enterprise Log Manager enthalten ist 3 Die Aktualisierungen werden dann genau wie bei den automatischen Software Updates im Online Modus durchgef hrt Der Offline Proxy installiert die Aktualisierungen selbst und leitet die Inhaltsaktualisierungen weiter zum Verwaltungsserver Hinweis Sie k nnen zulassen dass der Offline Proxy sich wie geplant aktualisiert es wird jedoch empfohlen eine manuelle Aktualisierung f r den Offline Proxy auszuf hren wenn Sie neue Dateien bertragen Damit stellen Sie sicher dass die Aktualisierungen verf gbar sind wenn sie von Clients f r automatische Software Updates abgefragt werden 4 Clients des Offline Proxys laden die Aktualisierungen herunter dem festgelegten Ablaufplan entsprechend oder wenn Sie eine manuelle Aktualisierung ausf hren Hinweis Clients f r automatische Software Updates im Offline Modus erhalten immer alle Aktualisierungen die manuell auf dem Offline Proxy Server installiert werden F
155. ationsparameter und den Lizenzvertrag Virtuelle Laufwerkdateien Folgende virtuelle vsphere Laufwerkdateien im VMware Format die Image Laufwerkdateien enthalten und f r die Bereitstellung der virtuellen Appliance verwendet werden a CA Enterprise Log Manager 1 vmdk m CA Enterprise Log Manager 2 vmdk m CA Enterprise Log Manager 3 vmdk Manifestdatei Die CA Enterprise Log Manager mf Datei die die Signatur aller Dateien enth lt Hinweis Es wird dringend empfohlen an der virtuellen Laufwerk bzw Manifestdatei keine nderungen vorzunehmen da dies die Leistung der virtuellen Appliance beeintr chtigen kann Standardm ig liest VMware vSphere Client die ber die OVF Vorlage importierten Details und stellt die virtuelle Appliance bereit Anhang E CA Enterprise Log Manager und Virtualisierung 347 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances So verwenden Sie die virtuelle Appliance Anhand der folgenden Szenarien k nnen virtuelle CA Enterprise Log Manager Server f r Ihre Umgebung zur Ereignisprotokollerfassung erstellen m Hinzuf gen virtueller Server zu einer bestehenden CA Enterprise Log Manager Umgebung gemischte Umgebung Erstellen einer virtuellen Protokollerfassungsumgebung m Bereitstellen virtueller CA Enterprise Log Manager Server f r eine schnelle Skalierbarkeit Verwenden Sie VMware vSphere Client um die virtuelle Appliance manuell oder automatisch zu installieren
156. atische Software Updates Automatische Software Updates betreffen bin re und nicht bin re Dateien die vom CA Technologies Server f r automatische Software Updates zur Verf gung gestellt werden Bin rdateien sind Produktmodulaktualisierungen die normalerweise in CA Enterprise Log Manager installiert sind Nicht bin re Dateien oder Inhaltsaktualisierungen werden auf dem Management Server gespeichert Glossary 417 Benutzerdefinierte MIB Eine benutzerdefinierte MIB ist eine MIB die Sie f r einen an ein SNMP Traps Ziel wie CA NSM gesendeten Aktionsalarm erstellen Die im Aktionsalarm festgelegte benutzerdefinierte Trap ID geht von der Existenz einer zugeordneten benutzerdefinierten MIB aus die die ausgew hlten als Trap gesendeten CEG Felder definiert Benutzergruppe Eine Benutzergruppe kann eine Anwendungsgruppe eine globale oder eine dynamische Gruppe sein Vordefinierte CA Enterprise Log Manager Anwendungsgruppen sind Administrator Analyst und Auditor CA Enterprise Log Manager Benutzer k nnen ber Mitgliedschaften au erhalb von CA Enterprise Log Manager zu globalen Gruppen geh ren Dynamische Gruppen sind benutzerdefiniert und werden ber eine dynamische Gruppenrichtlinie erstellt Benutzername EiamAdmin EiamAdmin ist der Standardname f r den Superuser der dem Benutzer zugewiesen wird der die CA Enterprise Log Manager Server installiert Bei der Installation der ersten CA Enterprise Log Manager Software erstellt der Ins
157. ausf llen CA Enterprise Log Manager Daten Wert Kommentare OS Disk BS Datentr ger Keyboard Type Tastatur entsprechender Wert Geben Sie mit Hilfe der nationalen Spracheinstellung an welche Art von Tastatur verwendet werden soll Als Standardwert werden die Hardwareeinstellungen f r die Tastatur verwendet die beim Start des Servers an den Server angeschlossen war Time Zone Selection Ihre gew nschte Zeitzone W hlen Sie die Zeitzone aus in der Zeitzonenauswahl sich der Server befindet Root Kennwort neues root Kennwort Erstellen und best tigen Sie ein neues root Kennwort f r diesen Server Application Disk Anwendungsdatentr ger 80 Implementierungshandbuch CA Enterprise Log Manager Daten New Hostname neuer Hostname Select a device Ger t ausw hlen IP Address Subnet Mask and Default Gateway IP Adresse Teilnetzmaske und Standard Gateway Domain name Dom nenname Installieren eines CA Enterprise Log Manager Servers Wert Hostname f r diesen CA Enterprise Log Manager Server Beispiel CA ELM1 Ger tename relevante IP Werte der Name Ihrer Dom ne Kommentare Geben Sie den Hostnamen f r diesen Server an Verwenden Sie dabei nur f r Hostnamen zul ssige Zeichen Empfohlen werden die Buchstaben A Z unabh ngig von Gro oder Kleinschreibung die Zahlen 0 9 und der Bindestrich wobei das erste Zeichen ein Buchstabe und das letzte Zeichen ein alphanumerisches Zei
158. bei der Installation Importieren von Dateien der Korrelationsregel Symptom W hrend der Installation wurden die Dateien der Korrelationsregel nicht richtig vom CA EEM Server importiert Korrelationsregeln erm glichen es Muster von Ereignissen zu identifizieren die Untersuchung ben tigen Sie k nnen Korrelationsgruppen importieren oder sie selbst konfigurieren Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Dateien der Korrelationsregel manuell So importieren Sie Dateien einer Korrelationsregel 1 Greifen Sie auf eine Eingabeaufforderung auf dem CA Enterprise Log Manager Server zu 2 Melden Sie sich mit den Anmeldeinformationen f r das caelmadmin Konto an 3 Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su 4 Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content 5 F hren Sie einen der folgenden Befehle aus ImportCALMCorrelationGroups sh Das Shell Skript importiert die Korrelationsregelgruppen ImportCALMCorrelationRules sh Das Shell Skript importiert die Dateien der Korrelationsregel Importieren von Dateien f r die allgemeine Agentenverwaltung Symptom W hrend der Installation wurden die Dateien f r die allgemeine Agentenverwaltung nicht richtig vom CA EEM Server importiert Ohne diese Dateien k nnen keine Agenten ber die CA Enterprise Log
159. beiten mit einigen Windows und einigen Syslog basierten Ger ten deren Ereignisprotokolle erfasst gespeichert berwacht und berpr ft werden m ssen Eventuell sind in Ihrem Netzwerk noch andere Ger te und Systemtypen installiert wie Anwendungen Datenbanken Kartenleseger te biometrische Systeme oder CA Audit Recorder und iRecorder Die CA Enterprise Log Manager Services Adapter Agenten und Connectors stehen f r diese Konfigurationen die erforderlich sind damit eine Verbindung mit diesen Ereignisquellen hergestellt werden kann und Ereignisdaten empfangen werden k nnen Die CA Enterprise Log Manager Services umfassen die folgenden Bereiche f r Konfigurationen und Einstellungen Globale Konfigurationen Globale Filter und Einstellungen Alarm Service m Korrelationsservice m Einstellungen f r den Ereignisprotokollspeicher Kapitel 5 Konfigurieren von Services 155 Bearbeiten globaler Konfigurationen Incident Service m ODBC Server Einstellungen Einstellungen f r den Berichtsserver m Regeltestservice m Konfiguration des Services f r automatische Software Updates Zugriffsbereich Systemstatus Die Servicekonfigurationen k nnen global sein das hei t dass sie f r alle unter dem gleichen Anwendungsinstanznamen auf dem Verwaltungsserver installierten CA Enterprise Log Manager Server gelten Konfigurationen k nnen allerdings auch lokal sein dann gelten sie nur f r einen ausgew hlten Server
160. ben vor um den SAPI Collector Adapter f r den Empfang von CA Access Control Ereignissen aus einer CA Audit Implementierung einzurichten Sie k nnen CA Audit Richtlinien ndern die Ereignisse mit Hilfe von Collector Aktionen an einen CA Enterprise Log Manager Server senden wobei der CA Enterprise Log Manager Server zus tzlich zur oder anstelle der CA Audit Collector Datenbank verwendet werden kann Konfigurieren Sie diesen Service bevor Sie die CA Audit Richtlinien ndern damit keine Ereignisse verloren gehen Der SAPI Router Service wird auf hnliche Weise konfiguriert Falls Sie den Router und den Collector Service verwenden vergewissern Sie sich dass die aufgef hrten Ports unterschiedlich sind oder vom Portmapper Service gesteuert werden So konfigurieren Sie den SAPI Collector Service 1 Melden Sie sich beim CA Enterprise Log Manager Server als Administrator an und w hlen Sie die Registerkarte Verwaltung aus Die untergeordnete Registerkarte Protokollerfassung wird standardm ig angezeigt 2 Erweitern Sie den Eintrag CA Technologies Adapter Abfragen und Berichte Geplante Berichte Alarmverwaltung Verwaltung Protokollerfassung gt Services gt Benutzer und Zugriffsverwaltung Protokollerfassungs Explorer gt I Agenten Explorer gt I Archivkstalogabfrage v CA Adapter gt I CA Audit SAPI Collector I CA Audit SAPI Router gt I iTechnology Ereignis Plugin gt 0 Ereignisverfei
161. bindung nicht hergestellt werden Installieren des ODBC Clients in Windows Systemen Verwenden Sie diese Vorgehensweise um den ODBC Client auf einem Windows System zu installieren Hinweis F r die Installation des ODBC Clients ben tigen Sie ein Windows Administratorkonto 122 Implementierungshandbuch Installieren Sie den lt ODBC gt Client So installieren Sie den ODBC Client 1 Suchen Sie das Verzeichnis ODBC Client auf der Anwendungs DVD oder im Installations Image im Verzeichnis CA ELM ODBC Doppelklicken Sie auf die Anwendung Setup exe Stimmen Sie der Lizenzvereinbarung zu und klicken Sie auf Weiter Das Fenster Zielspeicherort ausw hlen wird angezeigt Geben Sie einen Zielspeicherort ein oder akzeptieren Sie den Standardspeicherort und klicken Sie auf Weiter Das Fenster zum Ausw hlen des Programmordners wird angezeigt W hlen Sie einen Programmordner aus oder akzeptieren Sie die Standardauswahl und klicken Sie auf Weiter Das Fenster Kopieren der Dateien starten wird angezeigt Klicken Sie auf Weiter um mit dem Kopieren der Dateien zu beginnen Das Fenster Installationsstatus zeigt den Fortschritt der Installation an Wenn die Installation mit dem Kopieren der Dateien fertig ist wird ein Fenster angezeigt dass der InstallShield Wizard abgeschlossen ist Klicken Sie auf Fertig stellen um die Installation abzuschlie en Erstellen einer ODBC Datenquelle in Windows Systemen Geh
162. by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with YMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no i performance benefit from this support TP Allocation Policy Fixed IPy4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s Ad d Configured compatability For YMotion and some other migrations to vance Ange other hosts which offer YMI support YMware Tools Shut Down Power Management Standby Advanced v General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIY None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel Anhang E CA Enterprise Log Manager und Virtualisierung 395 Erstellen von CA Enterprise Log Managder Servern mithilfe von virtuellen Appliances 4 Klicken Sie in diesem Fenster auf die Registerkarte Resources 5 W hlen Sie in der Spalte Settings die Option CPU aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties 396 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 6 W
163. chen ist Verwenden Sie keine Unterstriche in Hostnamen Hinweis H ngen Sie an diesen Hostnamenwert keinen Dom nennamen an W hlen Sie den Namen des Netzwerkadapters aus der f r die Ereignisprotokollerfassung und Kommunikation verwendet wird Dr cken Sie die LEERTASTE um die Konfiguration f r das Ger t einzugeben Geben Sie eine g ltige IP Adresse f r diesen Server ein Geben Sie eine g ltige Teilnetzmaske und ein Standard Gateway f r die Verwendung mit diesem Server ein Geben Sie den voll qualifizierten Namen der Dom ne ein in der dieser Server fungiert z b meineFirma com Hinweis Der Dom nenname muss beim DNS Server DNS Domain Name Server in Ihrem Netzwerk registriert sein damit der Hostname in eine IP Adresse aufgel st werden kann Kapitel 3 Installieren von CA Enterprise Log Manager 81 Installieren eines CA Enterprise Log Manager Servers CA Enterprise Log Manager Daten Wert List of DNS servers Liste der DNS Server System Date and Time Systemdatum und uhrzeit Update Time through NTP Zeit ber NTP aktualisieren NTP Server Name or Address Name oder Adresse des NTP Servers Sun Java JDK EULA Sun Java JDK Lizenzvereinbarung CA EULA CA Lizenzvereinbarung 82 Implementierungshandbuch relevante IPv4 bzw IPv6 Adressen lokales Datum und lokale Uhrzeit Yes empfohlen oder No relevanter Hostname bzw IP Adresse Ja Ja Kommentare
164. chivierung besteht darin die Ereignisprotokolle f r die Wiederherstellung verf gbar zu halten Kalte Datenbanken k nnen wiederhergestellt werden wenn sich die Notwendigkeit ergibt alte protokollierte Ereignisse zu untersuchen Das manuelle Verschieben archivierter Datenbanken vom internen Speicherserver zu einem externen langfristigen Speicherort ist in der folgenden Grafik dargestellt NY Speicherserver Externe langfristige Speicherung Kapitel 5 Konfigurieren von Services 183 Konfigurieren des Ereisnisprotokollspeichers 4 Stellen Sie sich eine Situation vor die es n tig macht gesicherte und nach extern verschobene Protokolle zu untersuchen Um den Namen der wiederherzustellenden archivierten Datenbank zu ermitteln suchen Sie im lokalen Archivkatalog ber den NY Berichts ELM Klicken Sie auf die Registerkarte Verwaltung w hlen Sie Archivkatalogabfrage im Protokollerfassungs Explorer und klicken Sie auf Abfrage 5 Rufen Sie die identifizierte archivierte Datenbank vom externen Speicherort ab Kopieren Sie sie zur ck zum Verzeichnis opt CA LogManager data archive auf dem NY Speicherserver ndern Sie dann die Eigentumsrechte an dem Archivverzeichnis nach caelmservice Benutzer 6 Stellen Sie die Datenbank entweder auf dem urspr nglichen Berichtsserver wieder her oder an einem Wiederherstellungspunkt der speziell f r die Untersuchung von Protokollen aus wiederhergestellten Datenbanken vorgesehen ist
165. chner der Ihren neuen CA Enterprise Log Manager Server enth lt anhand der Anweisungen des Herstellers Hinweis Erstellen Sie nur ein reines Klon Image Verwenden Sie mit CA Enterprise Log Manager keine verkn pften Klone 5 Importieren Sie den geklonten virtuellen Rechner in einen physischen Zielserver 6 Aktualisieren Sie den geklonten virtuellen Rechner bevor Sie ihn mit dem Netzwerk verbinden 7 Konfigurieren Sie den CA Enterprise Log Manager Server wie im Implementierungshandbuch beschrieben 340 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Erstellen eines neuen virtuellen Rechners Gehen Sie wie unten beschrieben vor um mit dem VMware Infrastructure Client einen neuen virtuellen Rechner zu erstellen Verwenden Sie f r jeden virtuellen CA Enterprise Log Manager Server vier Prozessoren um eine akzeptable Leistung zu erzielen So erstellen Sie einen virtuellen Rechner 1 2 Rufen Sie den VMware Infrastructure Client auf Klicken Sie im linken Fenster auf den ESX Host und w hlen Sie New Virtual Machine aus um den Assistenten f r neue virtuelle Rechner aufzurufen Hierdurch wird ein Konfigurationsdialogfeld angezeigt W hlen Sie Custom configuration aus und klicken Sie auf Next Es wird ein Dialogfeld f r den Namen und Speicherort angezeigt Geben Sie einen Namen f r den CA Enterprise Log Manager Server ein der auf diesem virtuellen Rec
166. d itpamuser zur ck Melden Sie sich beim Windows Server an und installieren Sie die Drittanbieter Komponenten mit Hilfe von Vorgehensweisen die im CA IT Process Automation Manager Installationshandbuch beschrieben werden Installieren Sie die CA IT PAM Dom ne mit Hilfe der Richtlinien in diesem Anhang und den CA IT PAM Installationsanweisungen Starten Sie den CA IT PAM Server Dienst Starten Sie die CA IT PAM Konsole und melden Sie sich an Anhang C Hinweise zu CAITPAM 311 Bereiten Sie die Implementierung der CA IT PAM Authentifizierung auf freigegebenem CA EEM vor Bereiten Sie die Implementierung der CA IT PAM Authentifizierung auf freigegebenem CA EEM vor Nachdem Ihr Installationspaket auf dem Windows Server geladen wurde auf dem Sie die CA IT PAM Dom ne installieren m chten k nnen Sie ein Kennwort f r das Zertifikat itpamcert cer festlegen So bereiten Sie die Implementierung der CA IT PAM Authentifizierung auf dem CA Enterprise Log Manager Verwaltundsserver vor 1 Extrahieren Sie das CA IT PAM ISO Image auf dem Windows Server 2003 Host auf dem Sie CA IT PAM installieren m chten Hinweis Das CA IT PAM ISO Image finden Sie auf CD 2 der CA IT PAM Installationsquelle 2 Optional ndern Sie das Standardkennwort f r das IT PAM Zertifikat a Navigieren Sie zum Ordner lt Installationspfad gt eem b ffnen Sie die Datei ITPAM_eem xml c Ersetzen Sie itpamcertpass in der folgenden Zeile lt Regi
167. d der Installation und weist es dem Datenspeicher zu Es wird empfohlen CA Enterprise Log Manager m glichst viel Speicherplatz zur Verf gung zu stellen Hinweis Die Standardeinstellung f r Block Size in VMware ESX Server ist 1 MB wodurch der maximal erstellbare Speicherplatz auf 256 GB begrenzt wird Falls Sie mehr Platz bis zu 512 GB ben tigen erh hen Sie die Einstellung Block Size mit folgendem Befehl auf 2 MB Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Starten Sie den ESX Server neu damit die neue Einstellung wirksam wird Weitere Informationen zu diesem und anderen Befehlen finden Sie in der Dokumentation zu VMware ESX Server Klicken Sie auf Next um das Dialogfeld Specify Advanced Options aufzurufen 9 bernehmen Sie im Dialogfeld Advanced Options die Standardwerte und klicken Sie auf Next Das Dialogfeld Ready to Complete wird angezeigt 10 Klicken Sie auf Finish um die nderungen an diesem virtuellen Rechner zu speichern Hierdurch kehren Sie zum Dialogfeld VMware Infrastructure Client zur ck 338 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Installieren von CA Enterprise Log Manager auf dem virtuellen Rechner Gehen Sie wie unten beschrieben vor um CA Enterprise Log Manager auf einem zuvor erstellten virtuellen Rechner zu installieren Sie k nnen im Anschluss an die Installation einen virtuellen bzw dedizierte
168. d im Bearbeitungsmodus ge ffnet Die Details zu den vorhandenen Tastaturtypen werden angezeigt Ersetzen Sie den KEYTABLE Wert US durch die durch die Spracheneinstellung die Sie verwenden m chten Um z B eine DE Tastatur zu verwenden geben Sie den KEYTABLE Wert als KEYTABLE DE ein Hinweis Weitere Informationen zu den Spracheneinstellungen finden Sie in der RHEL Installationsdokumentation Speichern und schlie en Sie die Datei Starten Sie den Computer neu Der Tastaturtyp ist ge ndert Hinzuf gen eines NTP Servers Es wird dringend empfohlen einen NTP Server hinzuf gen um Datum und Uhrzeit des CA Enterprise Log Manager Servers zu aktualisieren So f gen Sie einen NTP Server hinzu 1 Melden Sie sich bei der CA Enterprise Log Manager Konsole als root Benutzer an F hren Sie die folgenden Befehle aus crontab e 00 0 usr sbin ntpdate NTPserver _hostname Ein Cron Job wurde hinzugef gt Speichern Sie die nderungen und verlassen Sie die Konsole Der Server ist hinzugef gt Anhang E CA Enterprise Log Manager und Virtualisierung 411 Terminolodieglossar Abfrage Abfragebibliothek Administratorrolle Agent Eine Abfrage ist ein Satz von Kriterien mit denen die Ereignisprotokollspeicher der aktiven CA Enterprise Log Manager Server und sofern angegeben seiner f derierten Server durchsucht werden Eine Abfrage richtet sich an die hei en warmen oder verf gbaren gemachten Dat
169. d nicht nur die ausgew hlten Module 5 Klicken Sie auf Speichern Weitere Informationen Konfiguration automatischer Software Updates siehe Seite 204 Infos zu herunterzuladende Module Modultyp Inhalt Integrationen Betriebssystem Aktualisierungen werden in Module verpackt die ber den CA Technologies Server f r automatische Software Updates heruntergeladen werden Sie greifen auf die Liste der verf gbaren Module ber eine von CA Technologies bereitgestellte RSS Feed URL zu oder im Fall von automatischen Software Updates im Offline Modus ber eine CA Technologies FTP Seite CA Technologies legt den Inhalt der einzelnen Module fest Die folgende Tabelle beschreibt jedes Modul seine Funktion und wie h ufig CA eine Aktualisierung zur Verf gung stellt Beschreibung Aktualisiert die Abfrageliste Berichtsliste und die Korrelationsregeln mit neuem Inhalt Der Proxy f r Inhaltsaktualisierungen verschiebt diesen Inhalt automatisch in das Verwaltungsserver Repository Aktualisiert Connectors wenn Sie den Assistenten f r automatische Software Updates ausf hren und Aktualisierungen f r Connectors ausw hlen Aktualisiert das auf jedem CA Enterprise Log Manager Server installierte Betriebssystem H ufigkeit Monatlich Monatlich Regelm ig Kapitel 5 Konfigurieren von Services 211 Konfiguration automatischer Software Updates Modultyp Agenten Log Manager Service Pack Log Manag
170. dardm ig nur Verschl sselungsalgorithmen verwendet die von einem akkreditierten Labor f r Cryptographic Module Testing CMT zertifiziert sind CA Enterprise Log Manager kann auf zertifizierte RSA BSAFE Crypto C ME und Crypto J Bibliotheken basierte kryptographische Module in FIPS Modus verwenden tut dies jedoch m glicherweise nicht standardm ig Ein Konto bezeichnet einen globalen Benutzer der auch ein CALM Anwendungsbenutzer ist Eine einzelne Person kann mehr als ein Konto haben jedoch muss die benutzerdefinierte Rolle eine andere sein Ein lokaler Filter ist ein Satz von Kriterien die Sie w hrend der Berichtsanzeige angeben k nnen um die angezeigten Daten f r den aktuellen Bericht zu begrenzen Glossary 433 Lokales Ereignis Management Server Ein lokales Ereignis ist ein Ereignis das eine einzelne Einheit umfasst bei der sich Quelle und Ziel des Ereignisses auf demselben Hostrechner befinden Ein lokales Ereignis entspricht Typ 1 der vier Ereignistypen die in der ELM Schemadefinition CEG verwendet werden Der Management Server ist eine Rolle die dem ersten installierten CA Enterprise Log Manager Server zugewiesen ist Dieser CA Enterprise Log Manager Server enth lt das Repository in dem gemeinsam genutzte Inhalte wie Richtlinien f r all seine CA Enterprise Log Managers gespeichert werden Dieser Server ist normalerweise der Standard Proxy f r automatische Software Updates Auch wenn dies in den meisten
171. dardm ig als Clients f r automatische Software Updates konfiguriert Sie k nnen die Konfiguration eines CA Enterprise Log Manager Servers ndern um einen Online oder Offline Proxy oder einen Client f r automatische Software Updates zu erstellen Sie k nnen auch einen beliebigen Online Proxy f r automatische Software Updates in Ihrer Umgebung als Standard Proxy f r automatische Software Updates festlegen Der Inhaltsserver enth lt Inhalts und Integrationsaktualisierungen f r den Verwaltungsserver der Anwendungsinhalt f r Ihre Umgebung abruft und speichert Bei diesem Server kann es sich um den Standard Proxy f r automatische Software Updates handeln oder Sie k nnen einen Online Proxy f r automatische Software Updates in Ihrer Umgebung konfigurieren der als Inhaltsserver agiert In einer Einzelserverumgebung wird der einzige CA Enterprise Log Manager Server als Proxy f r automatische Software Updates konfiguriert Der Server l dt CA Enterprise Log Manager Aktualisierungen ber den Service f r automatische Software Updates herunter und installiert diese selbst Der Server agiert auch als Inhaltsserver f r die Umgebung Kapitel 2 Planen der Umgebung 57 Planen von automatischen Software Updates In einer kleinen Umgebung mit zwei oder mehreren Servern k nnen Sie einen Server sowohl als Proxy f r automatische Software Updates als auch als Inhaltsserver konfigurieren und alle anderen Server als Clients f r automatisch
172. definieren durch die der globale Filter eingegrenzt wird k nnen Sie steuern wie viele Daten in einem Bericht angezeigt werden Zun chst m ssen Sie f r globale Filter und Einstellungen folgende Aufgaben durchf hren Konfigurieren globaler Schnellfilter mit denen die anf ngliche Zeit f r die Berichte dieses CA Enterprise Log Manager Servers festgelegt wird m Ausw hlen f derierter Abfragen auf der Registerkarte Einstellungen zum Anzeigen von Daten f r CA Enterprise Log Manager Server die sich in einer F deration Verbund mit diesem Server befinden Festlegen ob Berichte automatisch aktualisiert werden sollen Festlegen des Intervalls mit dem die Berichtsdaten aktualisiert werden sollen Hinweis Falls Sie den globalen Filter zu eng oder zu spezifisch einstellen werden bestimmte Daten unter Umst nden in einigen Berichten nicht angezeigt Weitere Informationen zu globalen Filtern und ihrer Verwendung finden Sie in der Online Hilfe Kapitel 5 Konfigurieren von Services 159 Arbeiten mit globalen Filtern und Einstellungen Verwenden f derierter Abfragen Sie k nnen w hlen ob Sie Abfragen an f derierten Daten ausf hren m chten Falls Sie planen mehrere CA Enterprise Log Manager Server in einem Verbundnetzwerk zu verwenden k nnen Sie das Kontrollk stchen F derierte Abfragen ausf hren aktivieren Mit dieser Option k nnen Sie Ereignisdaten f r die Berichterstellung von allen CA Enterprise Log Manager Se
173. dem Verzeichnis verf gen in dem Sie den Client in UNIX und Linux Systemen installieren m chten m Stellen Sie Ihre Datenbankverbindungen f r Anwendungen die unter J2SE v 1 4 2 x laufen programmatisch ein wie in einer bestimmen Anwendung definiert m Verwenden Sie f r Anwendungen die ab Version J2EE 1 4 2 x ausgef hrt werden einen Webanwendungsserver wie Oracle WebLogic oder Red Hat JBoss um die Verwaltung Ihres Verbindungspools zu konfigurieren Einzelheiten zu den einzelnen Plattformen die f r die Nutzung mit den ODBC und JDBC Funktionen unterst tzt werden finden in der CA Enterprise Log Manager Support Zertifizierungsmatrix unter http www ca com Support 128 Implementierungshandbuch Installieren des JDBC Clients Installieren des JDBC Clients in Windows Systemen Verwenden Sie diese Vorgehensweise um den JDBC Client Treiber auf einem Windows System zu installieren So installieren Sie den JDBC Treiber 1 Suchen Sie im Verzeichnis CA ELM JDBC der Anwendungs DVD oder des Installations Images nach folgenden zwei jar Dateien LMjc jar LMss114 jar Kopieren Sie die jar Dateien in das gew nschte Verzeichnis des Zielservers und notieren Sie sich den Pfad Installieren des JDBC Clients in UNIX Systemen Verwenden Sie diese Vorgehensweise um den JDBC Client Treiber auf einem UNIX System zu installieren So installieren Sie den JDBC Treiber 1 Suchen Sie im Verzeichnis CA ELM JDBC der Anwendung
174. den Berichtsserver 1 2 Melden Sie sich ber ssh als caelmadmin Benutzer bei ELM C1 an Wechseln Sie die Benutzer zu root su Schalten Sie Benutzer auf das caelmservice Konto um su caelmservice Erzeugen Sie mit dem folgenden Befehl ein RSA Schl sselpaar ssh keygen t rsa Dr cken Sie die Eingabetaste um die Standardangaben zu best tigen wenn die folgenden Eingabeaufforderungen angezeigt werden m Geben Sie die Datei ein in der der Schl ssel gespeichert werden soll opt CA LogManager ssh id_rsa m Geben Sie eine Passphrase ein leer bei keiner Passphrase m Geben Sie die gleiche Passphrase erneut ein Kapitel 5 Konfigurieren von Services 169 Konfigurieren des Ereisnisprotokollspeichers Wechseln Sie zu folgendem Verzeichnis opt CA LogManager ndern Sie die Berechtigungen f r das Verzeichnis ssh mit folgendem Befehl chmod 755 ssh Gehen Sie zu ssh wo der Schl ssel id_rsa pub gespeichert ist cd ssh Kopieren Sie die Datei id_rsa pub mit dem folgenden Befehl auf ELM RPT den CA Enterprise Log Manager Zielserver scp id rsa pub caelmadmin ELM RPT tmp authorized keys Damit wird die Datei authorized_keys auf dem Berichtsserver mit dem Inhalt des ffentlichen Schl ssels erstellt Konfigurieren der Schl ssel f r zus tzliche Paare Sammelserver Berichterstellundsserver Der zweite Schritt der Konfiguration nicht interaktiver Authentifizierung f r eine Hub and Spok
175. den auf den darunter liegenden Ebenen die untergeordneten Berichts und Quellserver eingerichtet Ein wesentlicher Schritt bei der Konfiguration einer F deration ist dass Sie zun chst eine bersicht ber die Server und ihre gew nschten Beziehungen erstellen Dann k nnen Sie einen CA Enterprise Log Manager Server als untergeordneten Server konfigurieren und die Beziehungen zwischen den Servern implementieren Ein Netzverbund Verbund wird auch als F deration bezeichnet kann wie ein hierarchischer Verbund Ebenen aufweisen Der Hauptunterschied zwischen den beiden Verbundarten liegt in der Konfiguration der Verbindungen zwischen den Servern Bei einem Netzverbund k nnen theoretisch ber jeden CA Enterprise Log Manager Server im Netzwerk die Daten auf allen anderen CA Enterprise Log Manager Servern abgefragt und entsprechende Berichte dazu erstellt werden Die M glichkeiten der Berichterstellung sind abh ngig von den Beziehungen zwischen den Servern So k nnen die Server in einem Netzverbund beispielsweise nur innerhalb eines vertikalen Zweigs miteinander verbunden sein In diesem Fall haben alle CA Enterprise Log Manager Server in diesem Zweig Zugang zu allen anderen CA Enterprise Log Manager Servern in demselben Zweig Dies steht in direktem Gegensatz zu einem CA Enterprise Log Manager Server in einem hierarchischen Verbund der nur Berichte ber die Daten auf den ihm untergeordneten Servern erm glicht In einer ring oder sternf rmig
176. der Ausf hrung des Befehls safex wird das Folgende erstellt T PAM Sicherheitsgruppen ITPAMAdmins ITPAMUsers T PAM Benutzer itpamadmin mit einem Standardkennwort itpamuser mit einem Standardkennwort Sie m ssen das Kennwort f r die beiden vordefinierten IT PAM Benutzer zur cksetzen Anhang C Hinweise zu CAITPAM 315 Festlegen von Kennw rtern f r die vordefinierten CA IT PAM Benutzerkonten So setzen Sie Kennw rter f r itpamadmin und itpamuser in der IT PAM Anwendung auf CA EEM zur ck 1 Suchen Sie nach der URL des Servers auf dem CA EEM installiert ist das von CA Enterprise Log Manager verwendet wird zum Beispiel der CA Enterprise Log Manager Verwaltungsserver https lt ELM Verwaltungsserver gt 5250 spin eiam Das Fenster zur Anmeldung bei CA EEM wird angezeigt Die Pulldown Liste Anwendung enth lt lt Global gt CAELM und ITPAM Melden Sie sich bei der IT PAM Anwendung an a W hlen Sie ITPAM als Anwendung aus b Geben Sie EiamAdmin als Benutzername an c Geben Sie ein Kennwort f r das EiamAdmin Benutzerkonto an d Klicken Sie auf Anmelden Klicken Sie auf die Registerkarte Identit ten verwalten Geben Sie im Dialogfeld Benutzer suchen f r Wert itpam ein und klicken Sie anschlie end auf Los Die folgenden Benutzer werden in der Liste angezeigt a itpamadmin m itpamuser Setzen Sie das Kennwort f r itpamadmin zur ck a W hlen Sie itpamadmin au
177. der Datenbank in Form der GMT Abweichung an Hinweis Auf einem Windows Server werden diese Informationen in der Registerkarte Zeitzonen in den Eigenschaften zu Datum und Uhrzeit angezeigt ffnen Sie die Uhr in der Taskleiste W hlen Sie die Option Von Beginn an lesen aus wenn Sie m chten dass der Protokollsensor Ereignisse vom Anfang der Datenbank an lesen soll Es folgt ein Beispiel 228 Implementierungshandbuch Sensorkonfiguration Yerbindungszeichenfolge DSN SQL Server Wire Protocol Address 172 24 36 107 1433 Database master Benutzername ELMsglagent gt Kennwort Hk Unterschied der Zeitzonen ber Plus Minuszeichen v Unterschied der Zeitzonen in Stunden 5 gt Unterschied der Zeitzonen in Minuten 0 Ereignisprotokollname ms_SQL_Server Ankerfrequenz aktualisieren 10 Abfrageintervall 10 LT wW Maximale Anzahl an Ereignissen pro Sekunde 1000 gt V von Beginn an lesen Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLodSensor 10 Klicken Sie auf Speichern und schlie en Der neue Connectorname wird unter dem Agenten im Agenten Explorer angezeigt Protokollerfassungs Explorer vwEAgenten Explorer Y Default Agent Group v my elm 3 E Syslog_Connector E Linux_localsyslog_Connector GP MS_SQL_Server_2005_Connecor 11 Klicken Sie auf MS_SQL_Server_2005_Connector um Statusdetails anzuzeigen Zu Beginn wird
178. der F deration sowie Statusinformationen einzelner Server anzeigen Im F derationsdiagramm werden die aktuelle F derationsstruktur und Statusdetails zu jedem Server angezeigt Dar ber hinaus k nnen Sie den lokalen Server der in dieser Sitzung abgefragt wird als bergeordneten Server ausw hlen Kapitel 7 Erstellen von F derationen 245 Konfigurieren einer CA Enterprise Log Manager F deration Zum Anzeigen des F derationsdiagramms klicken Sie am oberen Bildschirmrand auf die Schaltfl che zum Anzeigen des F derationsdiagramms und des Statusmonitors Es wird ein Fenster mit einer grafischen bersicht aller Ereignisspeicherhosts die beim derzeitigen Verwaltungsserver registriert sind eingeblendet Ereignisspeicher mit untergeordneten F derationsservern werden hellblau und mit schwarzen Verbindungslinien die die Beziehung innerhalb der F deration angeben dargestellt Ereignisspeicher ohne untergeordnete F derationsserver werden hellgr n dargestellt Sie k nnen einen aktuellen lokalen Server f r Abfragezwecke ausw hlen Des Weiteren k nnen Sie Statusdetails aller angezeigten Server anzeigen Klicken Sie auf einen Server im F derationsdiagramm um die Statusdetailanzeigen anzuzeigen dazu z hlen m Prozentuale CPU Auslastung m Prozentuale Auslastung des verf gbaren Speichers m Prozentuale Auslastung des verf gbaren Festplattenspeichers m Empfangene Ereignisse pro Sekunde Hauptdiagramm des Status des
179. des vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Wenn Sie f r einen vorhandenen Agenten ein Upgrade auf r12 1 SP1 durchf hren aktualisiert die Verarbeitung von automatischen Software Updates den Agenten standardm ig im Nicht FIPS Modus Sie legen den FIPS Modus f r den CA Enterprise Log Manager Server fest der einen Agenten verwaltet Ein Agent erkennt den FIPS Modus des Servers der ihn verwaltet und startet sich bei Bedarf im entsprechenden Modus neu Verwenden Sie das Dashboard des Agenten Explorers in der CA Enterprise Log Manager Benutzeroberfl che um den FIPS Modus eines Agenten anzuzeigen Dazu ben tigen Sie Administratorrechte Weitere Informationen zu Upgrades finden Sie im Abschnitt zur Installation von CA Enterprise Log Manager des Implementierungshandbuchs oder in der Online Hilfe f r Agentenverwaltungsaufgaben Weitere Informationen Aktivieren des Betriebs im FIPS Modus siehe Seite 97 Anzeigen des Agenten Dashboards siehe Seite 99 Voraussetzungen f r ein Upgrade der FIPS Unterst tzung Die folgenden Punkte sind Voraussetzungen f r ein Upgrade von CA Enterprise Log Manager um FIPS 140 2 zu unterst tzen Installation von CA Enterprise Log Manager r12 0 SP3 oder von r12 1 Upgrade auf CA Enterprise Log Manager r12 1 SP1 ber automatisches Software Update Weitere Informationen Hinzuf gen eines neuen CA Enterprise Log Manager Servers zu einer bereits vorhandenen
180. doch so konfiguriert werden kann dass CA SiteMinder oder ein unterst tztes LDAP Verzeichnis wie Microsoft Active Directory Sun One oder Novell eDirectory referenziert werden Unabh ngig davon wie der Benutzerspeicher konfiguriert wird enth lt das lokale Repository auf dem Management Server anwendungsspezifische Informationen ber die Benutzer wie ihre Benutzerrolle und dazugeh rige Zugriffsrichtlinien Ein beobachtetes Ereignis ist ein Ereignis das eine Quelle ein Ziel und einen Agenten umfasst wobei das Ereignis von einem Ereigniserfassungsagenten beobachtet und erfasst wird Ein Bericht ist eine grafische oder tabellarische Darstellung von Ereignisprotokolldaten die beim Ausf hren von vordefinierten oder benutzerdefinierten Abfragen mit Filtern erstellt wird Die Daten k nnen aus hei en warmen und verf gbar gemachten Datenbanken im Ereignisprotokollspeicher des ausgew hlten Servers und sofern angefordert der zugeh rigen f derierten Server stammen Die Berichtsbibliothek ist der Speicher f r alle vordefinierten und benutzerdefinierten Berichte Berichtskennungen und geplanten Berichtsjobs Der Berichtsserver ist der Service der folgenden Konfigurationsinformationen speichert den beim Mailen von Alarmen zu verwendenden E Mail Server die Anzeige von Berichten die im PDF Format gespeichert werden und die Beibehaltung von Richtlinien f r Berichte die auf dem Berichtsserver gespeichert werden sowie von Alarmen die an
181. dus des Servers erfolgreich auf EIN geschaltet FIPS Modus des Servers erfolgreich auf AUS geschaltet FIPS Modus des Servers konnte nicht auf EIN geschaltet werden FIPS Modus des Servers konnte nicht auf AUS geschaltet werden Wenn der FIPS Modus f r den Prim r oder Management Server deaktiviert wird geben die Abfragen und Berichte der Verb nde keine Daten mehr zur ck Au erdem werden keine geplanten Berichte ausgef hrt Diese Bedingung h lt an bis alle Server im Verbund wieder im gleichen Modus laufen Hinweis FIPS auf dem Management oder Remote CA EEM Server zu deaktivieren stellt eine der Anforderungen daf r dar zu einem Verbund von im FIPS Modus ausgef hrten Servern einen neuen CA Enterprise Log Manager Server hinzuzuf gen 98 Implementierungshandbuch Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Anzeigen des Agenten Dashboards Sie k nnen das Agenten Dashboard anzeigen um den Status von Agenten in Ihrer Umgebung anzuzeigen Das Dashboard zeigt auch Einzelheiten wie den aktuellen FIPS Modus FIPS oder Nicht FIPS sowie Nutzungsdetails an Diese schlie en die Zahl der geladenen Ereignisse pro Sekunde die CPU Auslastung in Prozent und das Datum und die Uhrzeit der letzten Aktualisierung ein So zeigen Sie das Agenten Dashboard an 1 Klicken Sie auf die Registerkarte Verwaltung und anschlie end auf die Unterregisterkarte Protokollerfassung Die O
182. e nderungen zur cksetzen solange Sie die nderungen noch nicht gespeichert haben Nach dem Speichern von nderungen k nnen Sie diese nur einzeln zur cksetzen 7 Klicken Sie auf Speichern 158 Implementierungshandbuch Arbeiten mit globalen Filtern und Einstellungen Arbeiten mit globalen Filtern und Einstellungen Sie k nnen bei der Konfiguration Ihres CA Enterprise Log Manager Servers globale Filter und Einstellungen festlegen Globale Einstellungen werden nur f r die aktuelle Sitzung gespeichert und gehen verloren wenn Sie sich vom Server abmelden au er Sie w hlen die Option Als Standard festlegen aus Ein globaler Schnellfilter steuert das anf ngliche Zeitintervall f r das Berichte erstellt werden bietet einen einfachen Filter f r den Textabgleich und erm glicht Ihnen die Verwendung bestimmter Felder und Werte um festzulegen welche Daten in einem Bericht angezeigt werden ber einen globalen erweiterten Filter k nnen Sie mittels SQL Syntax und Operatoren die Berichtsdaten noch weiter auf Ihre W nsche abstimmen ber die globalen Einstellungen k nnen Sie eine Zeitzone festlegen spezielle Abfragen zum Abrufen von Daten auf anderen CA Enterprise Log Manager Servern in einer F deration verwenden und die automatische Aktualisierung von Berichten w hrend der Anzeige aktivieren Sie sollten sinnvolle globale Filter festlegen die in verschiedenen Berichtsbereichen verwendet werden k nnen Indem Sie Optionen
183. e Software Updates Sie k nnen den Standard Proxy f r automatische Software Updates als Proxy in Ihrer Umgebung festlegen oder Sie k nnen einen anderen CA Enterprise Log Manager Server als Proxy ausw hlen Der Proxy f r automatische Software Updates l dt CA Enterprise Log Manager Aktualisierungen herunter und installiert diese selbst Clients f r automatische Software Updates setzen sich mit dem Proxy in Verbindung um die Aktualisierungen der Reihe nach herunterzuladen Sie k nnen Clients so konfigurieren dass sie die gleichen Aktualisierungen herunterladen wie der Proxy oder ein Teil dieser Gruppe CA Enterprise Log Manager Software Update Prosy online Alle Sofware Update Zlients werden vorm CA Sofware Update Prosy bedient 58 Implementierungshandbuch Planen von automatischen Software Updates In einer umfassenden Umgebung mit mehreren Servern k nnen Sie mehrere Server als Proxys f r automatische Software Updates konfigurieren wobei jeder Proxy Aktualisierungen f r eine beschr nkte Gruppe von Clients bereitstellt Dadurch kann der Service f r automatische Software Updates effizient den Datenverkehr f r die Proxys ausgleichen Bei mehreren Proxys k nnen Sie auch Listen der Proxys f r automatische Software Updates konfigurieren Proxy Listen helfen Ihnen dabei sicherzustellen dass alle CA Enterprise Log Manager Server aktuelle Aktualisierungen erfolgreich und zeitnah erhalten Sollte ein bestimmter Proxy
184. e Verzeichnisstruktur einrichten die der auf dem CA Enterprise Log Manager Quellserver gleicht und verschiedene Eigentumsrechte und Berechtigungen f r die Authentifizierung zuweisen Detaillierte Informationen finden Sie unter Configuring Non Interactive Authentication Konfigurieren der nicht interaktiven Authentifizierung im Implementation Guide Implementierungsanleitung Folgen Sie dabei den Anweisungen unter Set Key File Ownership on a Remote Host Schl sseldatei Eigentumsrechte auf einem Remote Host festlegen Kapitel 5 Konfigurieren von Services 179 Konfigurieren des Ereignisprotokollspeichers Nehmen Sie bei diesem Beispiel an Sie seien ein CA Enterprise Log Manager Administrator in einem Datenzentrum in New York mit einem Netzwerk von CA Enterprise Log Manager Servern von denen jedem eine bestimmte Rolle zugeordnet ist und einem Remote Server mit umfangreicher Speicherkapazit t Die bei der automatischen Archivierung verwendeten Bezeichnungen der Server NY Erfassungs ELM m NY Berichts ELM m NY Speicherserver Hinweis In diesem Beispiel wird davon ausgegangen dass ein Verwaltungsserver existiert der ausschlie lich f r die Verwaltung des CA Enterprise Log Manager Serversystems vorgesehen ist Dieser Server wird hier nicht beschrieben da er bei der automatischen Archivierung keine direkte Rolle spielt NY Erfassungs ELM NY Berichts ELM NY Speicherserver Quellserver agentenbasiert 180 Imple
185. e Architektur ist die Erstellung eines RSA Schl sselpaares auf jedem zus tzlichen Sammelserver Dieses Paar muss anschlie end in das Verzeichnis tmp des gemeinsamen Berichtservers als authorized_keys_n kopiert werden wobei n den Quellsammelserver angibt So generieren Sie ein RSA Schl sselpaar auf zus tzlichen Sammelservern und kopieren den ffentlichen Schl ssel auf einen gemeinsamen Berichtsserver 1 2 3 Melden Sie sich ber ssh am Sammelserver ELM C2 als caelmadmin an Wechseln Sie die Benutzer zu root Schalten Sie Benutzer auf das caelmservice Konto um su caelmservice Erzeugen Sie mit dem folgenden Befehl ein RSA Schl sselpaar ssh keygen t rsa Dr cken Sie die Eingabetaste um die Standardangaben zu best tigen wenn die folgenden Eingabeaufforderungen angezeigt werden a Geben Sie die Datei ein in der der Schl ssel gespeichert werden soll opt CA LogManager ssh id_rsa m Geben Sie eine Passphrase ein leer bei keiner Passphrase m Geben Sie die gleiche Passphrase erneut ein 170 Implementierungshandbuch 10 11 12 13 Konfigurieren des Ereignisprotokollspeichers Wechseln Sie zu folgendem Verzeichnis opt CA LogManager ndern Sie die Berechtigungen f r das Verzeichnis ssh mit folgendem Befehl chmod 755 ssh Gehen Sie zu ssh wo der Schl ssel id_rsa pub gespeichert ist Kopieren Sie die Datei id_rsa pub mit dem folgenden Befehl auf ELM RPT den CA Ente
186. e Datei chmod 755 authorized _keys 755 steht f r die Berechtigungen Lesen und Ausf hren f r alle Benutzer und Lesen Schreiben und Ausf hren f r den Eigent mer der Datei Hiermit ist die Konfiguration der kennwortlosen Authentifizierung zwischen den Sammelserver und dem Berichtsserver abgeschlossen Validieren von nicht interaktiver Authentifizierung zwischen Sammelserver und Berichtsserver Sie k nnen die Konfiguration der nicht interaktiven Authentifizierung zwischen dem Ausgangs und dem Zielserver f r beide Phasen der automatischen Archivierung berpr fen So validieren Sie die Konfiguration zwischen dem Quell und dem Berichtsserver 1 Melden Sie sich ber ssh am Sammelserver ELM C1 als caelmadmin an 2 Wechseln Sie die Benutzer zu root 3 Schalten Sie Benutzer auf das caelmservice Konto um su caelmservice 4 Geben Sie folgenden Befehl ein ssh caelmservice ELM RPT Wenn Sie sich bei ELM RPT anmelden ohne eine Passphrase einzugeben wird die nicht interaktive Authentifizierung zwischen ELM C1 und ELM RPT best tigt 5 Melden Sie sich bei ELM C2 an und wiederholen Sie den Vorgang 6 Melden Sie sich bei ELM C3 an und wiederholen Sie den Vorgang 7 Melden Sie sich bei ELM CA an und wiederholen Sie den Vorgang Kapitel 5 Konfigurieren von Services 173 Konfigurieren des Ereisnisprotokollspeichers Erstellen einer Verzeichnisstruktur mit Eigentumsrechten auf dem Remote Speicherserver Bei dieser Vorge
187. e Sicherungsdatei die alle Arten von vordefinierten Richtlinien enth lt Sie k nnen diese Dateien dann auf einem externen Datentr ger speichern oder auf der Festplatte des Servers auf dem der Export durchgef hrt wurde belassen Hinweis Vorgehensweisen zum Sichern vordefinierter Richtlinien finden Sie im CA Enterprise Log Manager Administrationshandbuch 150 Implementierungshandbuch Erstellen des ersten Administrators Erstellen des ersten Administrators Dem ersten erstellten Benutzer muss die Administratorrolle zugewiesen werden Nur Benutzer mit Administratorrolle k nnen Konfigurationen vornehmen Sie k nnen die Administratorrolle einem neuen von Ihnen erstellten Benutzerkonto oder einem bereits vorhandenen in CA Enterprise Log Manager geladenen Benutzerkonto zuweisen Gehen Sie wie folgt vor 1 Melden Sie sich als Standardbenutzer EiamAdmin beim CA Enterprise Log Manager Server an Erstellen Sie den ersten Administrator Auf welche Weise Sie den ersten CA Enterprise Log Manager Administrator erstellen ist davon abh ngig wie Sie den Benutzerspeicher konfigurieren m Falls CA Enterprise Log Manager den internen Benutzerspeicher verwendet erstellen Sie ein neues Benutzerkonto mit Administratorrolle m Falls CA Enterprise Log Manager einen externen Benutzerspeicher verwendet binden Sie einen bestehenden LDAP Benutzer an das Verzeichnis Nachdem Sie die Bindung zum externen Verzeichnis erstellt haben rufen Si
188. e and location for the deployed template Source Name OVF Template Details Example CA Enterprise Log Manager End User License Agreement Name and Location The name can contain up to 80 characters and it must be unique within the inventory Folder Deployrr Configuration Inventory Location elmga vserver ca com Fh ELMQA Agents Datacenter 3 ELMQA Persistent Lab LC 3 ELMQA Persistent Lab MC 5 ELMQA SP2 vApp Datacenter Help 2 Back Lue Cancel 4 380 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Die Seite Deployment Configuration wird ge ffnet Auf der Seite Deployment Configuration k nnen Sie den Konfigurationsmodus des CA Enterprise Log Manager Servers den Sie bereitstellen m chten angeben 14 W hlen Sie im Dropdown Men Configuration Medium oder Large aus Deploy OYF Template Deployment Configuration Select a deployment configuration Source OVF Template Details End User License Agreement Name and Location Deployment Configuratior E Host Cluster Resource Pool Properties Ready to Complete Anhang E CA Enterprise Log Manager und Virtualisierung 381 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Wenn Sie Medium ausw hlen stellt VMware vier CPUs mit je 8 GB RAM bereit Wenn Sie Large ausw hlen stellt VMware acht CPUs mit je 8 GB RAM b
189. e aus dem externen Benutzerspeicher das Konto des Benutzers ab dem eine CA Enterprise Log Manager Rolle zugewiesen werden soll Benutzerkonten aus externen Benutzerspeichern werden als globale Benutzer abgerufen Sie k nnen die bestehenden Benutzerkontodaten zwar nicht ndern aber eine neue CAELM Anwendungsbenutzergruppe oder Rolle erstellen Dem ersten Benutzer weisen Sie die Rolle des Administrators zu Hinweis Sie k nnen in CA Enterprise Log Manager keine neuen Benutzer erstellen wenn Sie einen externen Benutzerspeicher konfigurieren Melden Sie sich vom CA Enterprise Log Manager Server ab Melden Sie sich erneut mit den Anmeldedaten des neuen Benutzerkontos beim CA Enterprise Log Manager Server an Jetzt k nnen Sie Konfigurationsaufgaben vornehmen Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration 151 Erstellen des ersten Administrators Erstellen eines neuen Benutzerkontos Sie k nnen f r jede Person die CA Enterprise Log Manager verwenden soll ein Benutzerkonto erstellen Sie stellen die Anmeldeinformationen f r die erste Anmeldung des Benutzers bereit und legen die jeweilige Rolle fest Zu den drei vordefinierten Rollen geh ren Administrator Analyst und Auditor Wenn sich Benutzer mit der Rolle Analyst bzw Auditor anmelden werden sie von CA Enterprise Log Manager anhand der gespeicherten Anmeldeinformationen authentifiziert und erhalten basierend auf der zugewiesenen Rolle Zugang zu verschied
190. e des Proxy Servers steuern welche Aktualisierungen der Client f r automatische Software Updates erh lt Auf lokaler Ebene f r einen Offline Client ausgew hlte Module haben keine Auswirkung 216 Implementierungshandbuch Konfiguration automatischer Software Updates 7 Klicken Sie auf die Registerkarte Verwaltung 8 W hlen Sie im Drop down Men Datei die ZIP Datei der Offline Aktualisierung aus die Sie auf den Server kopiert haben und klicken Sie auf Durchsuchen Das Dialogfeld Zum Download verf gbare Module wird angezeigt 9 W hlen Sie die Module aus die Sie aktivieren m chten 10 Klicken Sie auf OK Das Dialogfeld Zum Download verf gbare Module schlie t sich und die Module die Sie ausw hlen werden in der Liste Zum Download ausgew hlte Module angezeigt 11 Klicken Sie auf Speichern Clients f r automatische Software Updates im Offline Modus k nnen diese Module jetzt automatisch entsprechend dem festgelegten Ablaufplan f r automatische Software Updates herunterladen oder sie je nach Bedarf herunterladen wenn Sie eine manuelle Aktualisierung beginnen 12 Optional Klicken Sie auf Jetzt aktualisieren Der Offline Proxy Server aktualisiert sich selbst mit den ausgew hlten Modulen Hinweis Obwohl Sie zulassen k nnen dass der Offline Proxy sich entsprechend dem festgelegten Ablaufplan f r automatische Software Updates selbst aktualisiert wird es empfohlen immer eine manuelle A
191. e k nnen Kennwortrichtlinien festlegen um sicherzustellen dass die von Benutzern selbst erstellten Kennw rter den festgelegten Vorgaben entsprechen und mit der vorgegebenen H ufigkeit ge ndert werden Legen Sie die Kennwortrichtlinien fest nachdem Sie den internen Benutzerspeicher eingerichtet haben Kennwortrichtlinien k nnen nur vom EiamAdmin Benutzer bzw einem Benutzer mit Administratorrolle festgelegt oder ge ndert werden Hinweis Die Kennwortrichtlinien f r CA Enterprise Log Manager gelten nicht f r Benutzerkonten die in einem externen Benutzerspeicher erstellt wurden So konfigurieren Sie Kennwortrichtlinien 1 Melden Sie sich als Benutzer mit Administratorrechten bzw als EiamAdmin Benutzer bei einem CA Enterprise Log Manager Server an Klicken Sie auf die Registerkarte Verwaltung Falls Sie sich als EiamAdmin Benutzer anmelden wird diese Registerkarte automatisch angezeigt 148 Implementierungshandbuch Konfigurieren von Kennwortrichtlinien 3 W hlen Sie die untergeordnete Registerkarte Benutzer und Zugriffsverwaltung aus und klicken Sie im linken Teilfenster auf die Schaltfl che Kennwortrichtlinie Das Fenster Kennwortrichtlinie wird angezeigt 4 Legen Sie fest ob Kennw rter mit dem Benutzernamen identisch sein d rfen 5 Legen Sie fest ob L ngenbeschr nkungen gelten sollen 6 Legen Sie fest ob gem den Richtlinien eine maximale Anzahl gleicher Zeichen enthalten sein dar
192. e vorgefertigte Integrationen f r g ngige Ereignisquellen bereit Weitere Informationen und Vorgehensweisen zum Installieren von Agenten finden Sie im CA Enterprise Log Manager Agent Installationshandbuch Weitere Informationen Anzeigen und Steuern des Agenten bzw Connector Status siehe Seite 237 Verwenden des Agenten Explorers Nachdem Sie einen CA Enterprise Log Manager Server installiert haben wird sofort ein Standardagent im Agenten Explorer aufgelistet Dieser Agent wird mit dem CA Enterprise Log Manager Server installiert und f r die direkte Syslog Ereigniserfassung verwendet Der Agenten Explorer erfasst und verzeichnet die im Netzwerk installierten Agenten und stellt einen zentralen Ort f r die Konfiguration Verwendung und Steuerung von Agenten und Connectors bereit Agenten werden bei dem CA Enterprise Log Manager Server registriert den Sie beim ersten Start der Agenten angeben Nach der Registrierung wird der Agentenname im Agenten Explorer angezeigt und Sie k nnen einen Connector einrichten um mit der Ereignisprotokollerfassung zu beginnen Connectors sammeln Ereignisprotokolle und senden sie an den CA Enterprise Log Manager Server Ein Agent kann mehrere Connectors kontrollieren 220 Implementierungshandbuch Konfigurieren des Standardagenten Die Installation Konfiguration und Steuerung von Agenten und Connectors mit dem Agenten Explorer umfasst folgende Schritte 1 Herunterladen der Bin rdateien des Age
193. eder angegebenen Ereignisquelle generiert werden Ereignisverfeinerung bezeichnet den Prozess in dem die Zeichenfolge eines erfassten Rohereignisses in die jeweiligen Ereignisfelder und die zugeordneten CEG Felder analysiert wird Benutzer k nnen Abfragen durchf hren um die Ergebnisse der verfeinerten Ereignisdaten anzuzeigen Die Ereignisverfeinerung findet nach der Ereigniserfassung und vor der Ereignisspeicherung statt Glossary 427 Ereignisverfeinerungs Bibliothek Die Ereignisverfeinerungs Bibliothek ist der Speicher f r vordefinierte und benutzerdefinierte Integrationen f r Zuordnungs und Analysedateien sowie f r Unterdr ckungs und Zusammenfassungsregeln Ereignisweiterleitungsregeln Erfassungspunkt Erfassungsserver Filter FIPS 140 2 FIPS Modus Ereignisweiterleitungsregeln geben an dass ausgew hlte Ereignisse nach der Speicherung im Ereignisprotokoll Speicher an Produkte anderer Hersteller weitergeleitet werden sollen beispielsweise an Produkte zur Korrelation von Ereignissen Ein Erfassungspunkt ist ein Server auf dem ein Agent installiert ist und bei dem sich der Server in unmittelbarer Netzwerkn he zu allen Servern mit Ereignisquellen befindet die mit den Connectors des Agenten verkn pft sind Ein Erfassungsserver ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt wird Ein Erfassungsserver verfeinert eingehende Ereignisprotokolle f gt sie in die hei e Datenbank ein kom
194. efehl aus nr GFILE CA_ELM DBFILES owner nobody warning Eine neue Ressourcengruppe CA_ELM_DBFILES wird f r DBFiles erstellt 4 F hren Sie folgenden Befehl aus newres FILE data hot owner nobody defaccess none warning audit failure Eine neue Ressourcenregel wird f r die CA Enterprise Log Manager Datenbankdateien im laufenden Betrieb erstellt 5 F hren Sie folgenden Befehl aus newres FILE data raw owner nobody defaccess none warning audit failure Eine neue Ressourcenregel wird f r die CA Enterprise Log Manager Rohdatenbankdateien erstellt 6 F hren Sie die folgenden Befehle aus editres GFILE CA ELM DBFILES mem data hot 306 Implementierungshandbuch Sichern von CA Enterprise Log Manager mithilfe von CA Access Control Die Ressourcenregel f r die CA Enterprise Log Manager Datenbankdateien im laufenden Betrieb wird zu CA_ELM_DBFILES hinzugef gt 7 F hren Sie die folgenden Befehle aus editres GFILE CA_ELM DBFILES mem data raw Die Ressourcenregel f r die CA Enterprise Log Manager Rohdatenbankdateien wird zu CA_ELM_DBFILES hinzugef gt 8 F hren Sie folgenden Befehl aus authorize GFILE CA ELM DBFILES uid caelmservice access all Die Meldung Successfully added caelmservice to CA_ELM_DBFILES s ACL caelmservice wurde erfolgreich zur ACL von CA_ELM_DBFILES hinzugef gt wird angezeigt Eine Regel wurde erstellt um den Benutzerzugriff auf den Ordner data in CA Enterprise Log Manag
195. egeln F derationsbeziehungen Korrelationseinstellungen Datenintegrit ts berpr fung und der Optionen f r die automatische Archivierung CA Enterprise Log Manager schlie t automatisch aktive Datenbankdateien und erstellt Archivdateien wenn die aktiven Datenbanken die f r diesen Service festgelegte Kapazit t erreicht haben Anschlie end ffnet CA Enterprise Log Manager neue aktive Dateien und setzt die Ereigniserfassung fort Sie k nnen Optionen f r die automatische Archivierung f r diese Dateien festlegen allerdings nur als lokale Konfiguration f r jeden einzelnen CA Enterprise Log Manager Server Kapitel 5 Konfigurieren von Services 161 Konfigurieren des Ereignisprotokollspeichers Wissenswertes ber den Ereignisprotokollspeicherservice Der Ereignisprotokollspeicherservice verarbeitet Datenbankinteraktionen wie etwa die folgenden m Einf gen neuer Ereignisse in die aktuelle Online Datenbank m Abrufen von Ereignissen aus lokalen oder standortfernen f derierten Datenbanken f r Abfragen und Berichte m Erstellen neuer Datenbanken wenn die aktuelle Datenbank vollst ndig belegt ist Erstellen neuer und L schen alter Archivdateien m Verwalten des Cache f r Archivabfragen Anwenden ausgew hlter Zusammenfassungs und Unterdr ckungsregeln m Anwenden ausgew hlter Ereignisweiterleitungsregeln Definieren der CA Enterprise Log Manager Server die als untergeordnete Verbundserver f r diesen CA Enterprise Log
196. ehenen System installieren Wichtig Damit der CA Enterprise Log Manager Server eine leistungsstarke Ereignisprotokollerfassung durchf hren kann sollten Sie keine anderen Anwendungen auf dem Hostserver installieren Weitere Anwendungen k nnen sich negativ auf die Leistung des CA Enterprise Log Manager Servers auswirken Es gibt verschiedene M glichkeiten die Umgebung zu konfigurieren Empfohlen wird die folgende spezifische Konfiguration mit der gro e Ereignismengen in Unternehmensumgebungen verarbeitet werden k nnen Kapitel 3 Installieren von CA Enterprise Log Manager 75 Wissenswertes ber die CA Enterprise Log Manager Umgebung Installieren Sie f r eine einfache Produktionsumgebung auf Unternehmensniveau mindestens zwei CA Enterprise Log Manager Server in Ihrem bestehenden Netzwerk Die CA Enterprise Log Manager Server verwenden die vorhandenen DNS Server im Netzwerk f r die Arbeit mit benannten Ereignisquellen und Agentenhosts Der eine Server dient vornehmlich der Erfassung von Ereignisprotokollen der andere der Berichterstellung ber die erfassten Ereignisprotokolle In einer Umgebung mit zwei Servern bernimmt der zuerst installierte Verwaltungsserver die Funktion eines Berichtsservers Als Verwaltungsserver f hrt dieser Server die Benutzerauthentifizierung und autorisierung sowie weitere Verwaltungsfunktionen durch In der folgenden Abbildung ist eine solche einfache Umgebung mit einigen Ereignisquellen dargestellt
197. ei jedem CA Enterprise Log Manager Server die EiamAdmin Konto ID und das EiamAdmin Kennwort verwenden Anhang E CA Enterprise Log Manager und Virtualisierung 401 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen Wert REMOTE_EEM_LOCATION Hostname EEM_PASSWORD Kontos FIPS_MODE Ja oder Nein 402 Implementierungshandbuch IP Adresse oder Kennwort des EiamAdmin Kommentare Geben Sie diesen Wert ein nur wenn Sie die Serveroption remote ausgew hlt haben Geben Sie die IP Adresse bzw den Hostnamen des CA Enterprise Log Manager Verwaltungsservers ein den Sie zuerst installiert haben Der Hostname muss auf dem DNS Server registriert sein Wenn Sie eine lokalen CA EEM Server verwenden m chten ist der Standardwert keine Notieren Sie sich das Kennwort f r das Standardadministratorkonto EiamAdmin Der CA Enterprise Log Manager Server ben tigt diese Kontoanmeldeinformationen f r die erste Anmeldung Falls Sie den Verwaltungsserver installieren erstellen und best tigen Sie hier ein neues EiamAdmin Kennwort Notieren Sie sich dieses Kennwort Sie ben tigen es f r die Installation der brigen CA Enterprise Log Manager Server und Agenten Hinweis Das hier eingegebene Kennwort dient auch als anf ngliches Kennwort f r das caelmadmin Standardkonto mit dem Sie direkt ber SSH auf den CA Enterprise Log Manager Server zugreifen
198. eichern erstellt CA Enterprise Log Manager automatisch eine neue Version und beh lt die Originalversion bei Klicken Sie auf die Unterregisterkarte Services und blenden Sie den Knoten Korrelationsservice ein W hlen Sie den Server aus auf dem Sie die Regel anwenden m chten Wenn Sie einen Korrelationsserver ermittelt haben sollten Sie diesen Server ausw hlen 194 Implementierungshandbuch Konfigurieren des Korrelationsservices 11 Klicken Sie im Bereich Regelkonfiguration auf Anwenden und w hlen Sie die neue Version der Regel Erfolgreiche Anmeldung nach fehlgeschlagenen Anmeldungen zu der Sie das Benachrichtigungsziel zuweisen m chten aus 12 Klicken Sie auf OK um das Dialogfeld zu schlie en und die Regel zu aktivieren Weitere Informationen Anwenden der Korrelationsregeln und der Incidents Benachrichtigungen siehe Seite 190 Erfassundsserver festlegen Sie k nnen Erfassungsserver festlegen um Ereignisse in einer Multiserverumgebung zur Korrelation weiterzuleiten Durch das Festlegen von Erfassungsservern k nnen Sie Korrelationsregeln auf einem Server verwalten und ausf hren egal ob es sich um einen dedizierten Korrelationsserver oder einen mit geteilten Rollen handelt Sie k nnen Incidents dann von allen ausgew hlten Erfassungsservern aus anzeigen So legen Sie Erfassundsserver fest 1 Klicken Sie auf Verwaltung auf die Unterregisterkarte Services und erweitern Sie dann den Knoten Ko
199. eichnis als Benutzerspeicher 1 Melden Sie sich als Benutzer mit Administratorrechten bzw als EiamAdmin Benutzer bei einem CA Enterprise Log Manager Server an Klicken Sie auf die Registerkarte Verwaltung Falls Sie sich als EiamAdmin Benutzer anmelden wird diese Registerkarte automatisch angezeigt W hlen Sie die untergeordnete Registerkarte Benutzer und Zugriffsverwaltung aus und klicken Sie im linken Teilfenster auf Benutzerspeicher Die CA EEM Server Konfiguration f r den Benutzerspeicher wird angezeigt Aktivieren Sie die Option Von externem Verzeichnis referenziert Die Felder f r die LDAP Konfiguration werden angezeigt F llen Sie die Felder wie auf dem Arbeitsblatt f r ein externes Verzeichnis geplant aus Halten Sie sich an das folgende Beispiel um eine Bindung an Active Directory Objekte mit Hilfe der folgenden Bindungszeichenfolge herzustellen Set objUser Get Object LDAP cn Bob cn Users ou Sales dc MyDomain dce com wobei cn der allgemeine Name und ou die Organisationseinheit ist und dc aus den beiden Dom nenkomponenten besteht die den vollst ndigen DNS Namen ergeben F r den Benutzer DN w rden Sie Folgendes eingeben cn Bob cn Users ou Sales dc MyDomain dc com Klicken Sie auf Speichern Wenn Sie diesen Verweis speichern werden die Benutzerkontoinformationen in CA EEM geladen So k nnen Sie auf diese Benutzerdatens tze als globale Benutzer zugreifen und Anwe
200. eigt Sie k nnen diese Festplatte entweder mit dem virtuellen Rechner speichern oder einen anderen Speicherort angeben Empfohlen wird eine Mindestgr e von 500 GB bernehmen Sie im Dialogfeld Advanced Options die Standardwerte und klicken Sie auf Next Best tigen Sie die Einstellungen und klicken Sie auf Finish um den neuen virtuellen Rechner zu erstellen Hinzuf gen virtueller Festplattenlaufwerke Gehen Sie wie unten beschrieben vor um virtuelle Festplattenlaufwerke f r die Speicherung von Ereignisprotokollen hinzuzuf gen Verwenden Sie dieselben Einstellungen unabh ngig davon welche Rolle ein bestimmter CA Enterprise Log Manager Server im Netzwerk spielt So bearbeiten Sie die Einstellungen 1 Klicken Sie im VMware Infrastructure Client mit der rechten Maustaste auf den virtuellen Rechner und w hlen Sie Edit Settings aus Das Dialogfeld Virtual Machine Properties wird angezeigt Markieren Sie die Eigenschaft CD DVD Drive 1 Klicken Sie auf die Optionsschaltfl che Host Device und w hlen Sie in der Dropdown Liste Ihr DVD ROM Laufwerk aus W hlen Sie unter Device Status die Option Connect at power on aus Klicken Sie auf Add um den Add Hardware Wizard zu starten und f gen Sie eine zweite Festplatte hinzu Markieren Sie in der Ger teliste den Eintrag Hard Disk und klicken Sie auf Next Das Dialogfeld Select a Disk wird angezeigt W hlen Sie die Option Create a new vi
201. ein den Sie zuerst installiert haben Der Hostname muss auf dem DNS Server registriert sein Wenn Sie eine lokalen CA EEM Server verwenden m chten ist der Standardwert keine Notieren Sie sich das Kennwort f r das Standardadministratorkonto EiamAdmin Der CA Enterprise Log Manager Server ben tigt diese Kontoanmeldeinformationen f r die erste Anmeldung Falls Sie den Verwaltungsserver installieren erstellen und best tigen Sie hier ein neues EiamAdmin Kennwort Notieren Sie sich dieses Kennwort Sie ben tigen es f r die Installation der brigen CA Enterprise Log Manager Server und Agenten Hinweis Das hier eingegebene Kennwort dient auch als anf ngliches Kennwort f r das caelmadmin Standardkonto mit dem Sie direkt ber SSH auf den CA Enterprise Log Manager Server zugreifen Sie k nnen nach der Installation ggf weitere Administratorkonten erstellen um auf die CA EEM Funktionen zuzugreifen Gibt an ob die virtuelle Appliance im FIPS Modus oder Nicht FIPS Modus ausgef hrt werden soll Wenn Sie einen lokalen EEM Server CA verwenden k nnen Sie einen beliebigen Modus ausw hlen Wenn Sie einen Remote CA EEM Server verwenden m ssen Sie denselben Modus ausw hlen den der Remote CA EEM Server verwendet Anhang E CA Enterprise Log Manager und Virtualisierung 391 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Weitere Informationen Hinzuf gen virtueller Serve
202. einen iRecorder an CA Audit senden oder einen CA Audit Client mit iRecorder nutzen verwenden Sie die CA Enterprise Log Manager SAPI Adapter zum Empfang von Ereignissen Um Ereignisse an CA Enterprise Log Manager zu senden ndern Sie eine bestehende CA Audit Richtlinie f r CA Access Control Ereignisse Sie k nnen entweder eine Collector oder eine Route Aktion zu einer bestehenden Regel hinzuf gen Falls Sie eine Collector Aktion f r eine Regel in einer bestehenden CA Audit Richtlinie erstellen konfigurieren Sie den SAPI Collector CA Technologies Adapter f r den Empfang von Ereignissen Falls Sie eine Route Aktion f r eine Regel in einer bestehenden CA Audit Richtlinie erstellen konfigurieren Sie den SAPI Router CA Technologies Adapter f r den Empfang von Ereignissen Anleitungen dazu wie Sie SAPI so neu konfigurieren k nnen dass Ereignisse direkt an CA Enterprise Log Manager gesendet werden finden Sie in der SAPI Dokumentation Falls Sie einen eigenst ndigen iRecorder installieren oder einen bestehenden iRecorder verwenden m chten konfigurieren Sie das iTech Ereignis Plugin zum Empfang von Ereignissen Verwenden Sie diese Vorgehensweise zum Beispiel wenn CA Audit nicht installiert ist Sie aber mit einem CA Technologies iRecorder Ereignisse aus einer unterst tzten Ereignisquelle erfassen m chten Der Vorgang umfasst folgende Schritte m Konfigurieren des iTechnology Ereignis Plugins Konfigurieren des iRecord
203. eite 279 Importieren von Ereignissen aus einer Solaris Collector Datenbank siehe Seite 280 Anzeigen von Abfragen und Berichten zum Einsehen von CA Access Control Ereignissen CA Enterprise Log Manager bietet eine Reihe von Abfragen und Berichten mit denen Sie die aus CA Access Control erfassten Ereignisse berpr fen k nnen Gehen Sie wie unten beschrieben vor um auf CA Access Control Abfragen und Berichte zuzugreifen So greifen Sie auf CA Access Control Abfragen zu 1 Melden Sie sich beim CA Enterprise Log Manager Server unter einem Benutzer mit der Berechtigung zum Anzeigen von Abfragen und Berichten an 2 Rufen Sie auf der Registerkarte Abfragen und Berichte die untergeordnete Registerkarte Abfragen auf sofern sie noch nicht angezeigt wird Abfragen und Berichte Geplante Berichte x Abfragen gt Berichte gt Favoriten Abfragekennungsfilter E rak SSe Suchen Action Alerts 46 _ I cA Access Control 200 I cA Identity Manager 140 I cA SiteMinder 138 Configuration Management 43 Content Security 6 Data Access 113 Sr hfraneliete Anhang B Aspekte f r CA Access Control Benutzer 303 Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank 3 Klicken Sie auf die Abfragekennung CA Access Control um die verf gbaren Abfragen in einer Liste auf der linken Seite anzuzeigen Abfrageliste Optionen e Suchen L y Automatisc
204. eite 399 Erstellen einer ausschlie lich virtuellen Umgebung Falls zuvor noch keine CA Enterprise Log Manager Umgebung implementiert wurde k nnen Sie eine ausschlie lich virtuelle Umgebung f r die Protokollerfassung erstellen In diesem Szenario wird vorausgesetzt dass eine ausreichende Anzahl von physischen Servern mit jeweils einer Gruppe von mindestens vier Prozessoren verf gbar ist um alle gew nschten CA Enterprise Log Manager Server zu installieren 374 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Installieren Sie einen CA Enterprise Log Manager Server als Verwaltungsserver W hrend der Konfiguration sollten auf diesem Server keine Ereignisprotokolle eingehen und keine Berichte erstellt werden Indem Sie Ihre Umgebung auf diese Weise konfigurieren erzielen Sie den f r die Produktion auf Unternehmensniveau erforderlichen Durchsatz bei der Ereignisprotokollerfassung Im Allgemeinen installieren Sie zwei CA Enterprise Log Manager Server mit jeweils vier Prozessoren f r jeden normalerweise auf zertifizierter Hardware installierten Appliance Server Appliance Server verf gen ber mindestens acht Prozessoren Zum Erstellen einer virtuellen Umgebung mithilfe einer virtuellen Appliance sind folgende Schritte notwendig 1 Laden Sie des Paket mit der virtuellen Appliance herunter 2 Installieren Sie einen virtuellen CA Enterprise Log Manager Server f r Verwalt
205. el 1 Einf hrung 17 ber dieses Handbuch Hinweis Genaue Informationen zur Betriebssystemunterst tzung und zu den Systemanforderungen finden Sie in den Versionshinweisen Eine bersicht ber CA Enterprise Log Manager und ein einfaches Verwendungsszenario finden Sie im bersichtshandbuch Genaue Informationen zur Verwendung und Wartung des Produkts finden Sie im Administrationshandbuch Informationen zur Verwendung aller Seiten in CA Enterprise Log Manager finden Sie in der Online Hilfe 18 Implementierungshandbuch Kapitel 2 Planen der Umgebung Dieses Kapitel enth lt folgende Themen Serverplanung siehe Seite 20 Planen der Ereigniserfassung siehe Seite 29 Planen von F derationen siehe Seite 34 Benutzer und Zugriffsplanung siehe Seite 43 Planen von automatischen Software Updates siehe Seite 51 Agentenplanung siehe Seite 65 Kapitel 2 Planen der Umgebung 19 Serverplanung Serverplanung Zun chst m ssen Sie bei der Planung Ihrer Umgebung entscheiden wie viele CA Enterprise Log Manager Server ben tigt werden und welche Rollen die einzelnen Server bernehmen sollen Es gibt folgende Rollen Verwaltung Auf diesem Server werden vordefinierte und benutzerdefinierte Inhalte und Konfigurationen gespeichert Ferner werden ber diesen Server Benutzer authentifiziert und Zugriff auf Funktionen gew hrt Erfassung Empf ngt Ereignisprotokolle von den Agenten und verfeinert Ereignisse Korrelation Em
206. ele fest 1 ffnen Sie den Assistenten zur Verwaltung der Benachrichtigungsziele legen Sie die Identifizierungsdetails fest und fahren Sie mit dem Schritt Benachrichtigungen fort Klicken Sie auf die Registerkarte SNMP und w hlen Sie SNMP Trap aktivieren aus Optional Um einen Alarm mit SNMP v3 zu senden w hlen Sie SNMP Version 3 Standardm ig wird SNMP Version 2 verwendet Optional Wenn Sie SNMP Version 3 ausw hlen klicken Sie auf die Schaltfl che V3 Sicherheit um im Dialogfeld der Sicherheitsparameter die Authentifizierung oder Verschl sselung festzulegen Geben Sie Informationen zu Zielserver und Zielport ein um das Ziel Ihrer SNMP bertragenen Ereignisse zu identifizieren Optional W hlen Sie eine andere Zeile f r Zielserver Zielport aus und geben Sie andere Werte f r Server Port an F gen Sie beliebige andere Ziele hinzu oder klicken Sie auf Speichern und schlie en 200 Implementierungshandbuch Hinweise zum Incident Service Hinweise zum Incident Service Sie k nnen steuern wie der Incident Service Ereignisse speichert und Incidents f r einen ausgew hlten CA Enterprise Log Manager Server erstellt Sie k nnen die folgenden Werte festlegen Ablaufuhrzeit Gibt an wie viele Tage der Service Incidents in der Incident Datenbank beh lt Wenn der Wert 0 ist werden Ereignisse niemals gel scht Abgelaufene Incidents werden nicht angezeigt Beschr nkungswerte f r die Gener
207. eliste f r einen in Berichten oder Alarmen verwendeten ausgew hlten Schl ssel aufzuf llen oder zu aktualisieren Sie stellen den Pfad zum Prozess mit dynamischen Werten als Teil der IT PAM Konfiguration f r die Service Liste des Berichtsservers auf der Registerkarte Verwaltung bereit Im Abschnitt Werte der mit den Schl sselwerten auf derselben Seite der Benutzeroberfl che verkn pft ist klicken Sie auf Liste der dynamischen Werte importieren Das Aufrufen des Prozesses mit dynamischen Werten ist eine von drei M glichkeiten wie Sie den Schl sseln Werte hinzuf gen k nnen 440 Implementierungshandbuch Remote Ereignis Ein Remote Ereignis ist ein Ereignis das zwei verschiedene Hostrechner umfasst die Quelle und das Ziel Ein Remote Ereignis entspricht Typ 2 der vier Ereignistypen die in der ELM Schemadefinition CEG verwendet werden Remote Speicher Server Ein Remote Speicher Server ist eine Rolle die einem Server zugewiesen wird der automatisch archivierte Datenbanken von einem oder mehreren Berichtsservern empf ngt In einem Remote Speicher Server k nnen kalte Datenbanken f r die ben tigte Anzahl an Jahren gespeichert werden Auf dem Remote Host der zum Speichern verwendet wird sind normalerweise kein CA Enterprise Log Manager oder andere Produkte installiert Konfigurieren Sie f r die Auto Archivierung eine nicht interaktive Authentifizierung Richtlinie zur Bereichsdefinierung Eine Richtlinie zur Bereichsdefinier
208. ellen einer F derations bersicht ist ein n tzlicher Schritt bei der Planung und Implementierung Ihrer F derationskonfiguration Je gr er das Netzwerk desto hilfreicher ist diese bersicht beim Durchf hren der eigentlichen Konfigurationsaufgaben Sie k nnen die bersicht in einem kommerziellen Grafik oder Zeichenprogramm erstellen oder per Hand skizzieren Je mehr Details Sie in der bersicht bereitstellen desto schneller geht die Konfiguration vonstatten So erstellen Sie eine F derations bersicht 1 Beginnen Sie die bersicht mit den beiden grundlegenden CA Enterprise Log Manager Servern dem Verwaltungs und dem agentenlosen Quellserver und stellen Sie Detailinformationen zu beiden Servern zur Verf gung 2 berlegen Sie ob Sie weitere agentenlose Quellserver f r Protokolldateien ben tigen und ob diese in einer Hierarchie ganz oben stehen oder eine Einheit in einem Netzverbund bilden sollen 3 berlegen Sie ob f r Ihre Anforderungen ein hierarchischer Verbund oder ein Netzverbund Verbund steht synonym f r F deration geeignet ist 4 Identifizieren Sie M glichkeiten f r Hierarchien Zweige oder gegenseitige Verbindungen anhand Ihrer Anforderungen an Gesch ftsberichte Compliance und Ereignismengen Falls Ihr Unternehmen beispielsweise ber Niederlassungen auf drei Kontinenten verf gt sind unter Umst nden drei hierarchische Verbunde am besten geeignet Ferner k nnen Sie die Hierarchien auf einer der
209. ellt Dieser Name wird w hrend der Installation beim eingebetteten CA EEM Server registriert Wenn bei nachfolgenden Installationen derselbe Anwendungsinstanzname verwendet wird verwaltet der CA Enterprise Log Manager Verwaltungsserver alle Konfigurationen unter diesem einen Anwendungsinstanznamen Kapitel 3 Installieren von CA Enterprise Log Manager 111 Erste CA Enterprise Log Manager Serverkonfigurationen Nach Abschluss der Installation verf gt der Server ber ein Betriebssystem und einen CA Enterprise Log Manager Server Das 32 Bit Betriebssystem unterst tzt sowohl 32 Bit als auch 64 Bit Hardware Die anf nglichen Konfigurationen umfassen folgende Bereiche m Standardbenutzerkonten m Standardverzeichnisstruktur m benutzerspezifisches Betriebssystem Image Standardportzuweisungen Standardbenutzerkonten W hrend der CA Enterprise Log Manager Installation wird der standardm ige administrative Benutzer caelmadmin mit eigenem Kennwort erstellt F r den direkten Zugriff auf den Hostserver m ssen Sie dieses Konto f r die Anmeldung verwenden da die Anmeldefunktionen des root Kontos nach der Installation eingeschr nkt werden Mit dem caelmadmin Konto ist lediglich die Anmeldung m glich F r den Zugang zu den Hilfsprogrammen f r die Systemverwaltung auf Betriebssystemebene m ssen Sie dann Benutzer auf das root Konto mit dem Kennwort dieses Kontos umschalten Das Standardkennwort f r dieses Konto entspricht dem Ken
210. ementierungshandbuch Kommentare Notieren Sie sich das Kennwort f r das Standardadministratorkonto EiamAdmin Der CA Enterprise Log Manager Server ben tigt diese Kontoanmeldeinformationen f r die erste Anmeldung Falls Sie den Verwaltungsserver installieren erstellen und best tigen Sie hier ein neues EiamAdmin Kennwort Notieren Sie sich dieses Kennwort da Sie es f r die Installation der brigen CA Enterprise Log Manager Server und Agenten ben tigen Hinweis Das hier eingegebene Kennwort dient auch als anf ngliches Kennwort f r das caelmadmin Standardkonto mit dem Sie direkt ber SSH auf den CA Enterprise Log Manager Server zugreifen Sie k nnen nach der Installation ggf weitere Administratorkonten erstellen um auf die CA EEM Funktionen zuzugreifen Installieren eines CA Enterprise Log Manager Servers CA Enterprise Log Manager Daten Wert Application Instance Name CAELM Anwendungsinstanzname Kommentare Wenn Sie den ersten CA Enterprise Log Manager Server im Netzwerk installieren erstellen Sie bei dieser Eingabeaufforderung einen Anwendungsinstanzwert Nachfolgende CA Enterprise Log Manager Server verwenden diesen Wert f r die Registrierung beim Verwaltungsserver Der standardm ige Anwendungsinstanzname lautet CAELM Sie k nnen allerdings jeden beliebigen Namen f r diesen Wert verwenden Notieren Sie sich den Anwendungsinstanznamen zur Verwendung bei weiteren CA Ente
211. en Liste Schl sselgruppe zugewiesen werden Wenn eine Abfrage eine Schl sselgruppe verwendet enthalten die Suchergebnisse bereinstimmungen mit beliebigen Schl sselwerten in der Schl sselgruppe Es gibt mehrere vordefinierte Schl sselgruppen einige von diesen enthalten vordefinierte Schl sselwerte die in vordefinierten Abfragen und Berichten verwendet werden 442 Implementierungshandbuch Selbst berwachendes Ereignis Services SNMP SNMP Trap Inhalte SNMP Trap Ziele Ein selbst berwachendes Ereignis ist ein Ereignis das von CA Enterprise Log Manager protokolliert wird Solche Ereignisse werden automatisch durch Aktionen generiert die von angemeldeten Benutzern und Funktionen durchgef hrt wurden die wiederum von verschiedenen Modulen wie den Services oder Listeners ausgef hrt wurden Der Bericht f r SIM Operationen selbst berwachende Ereignisdetails kann angezeigt werden indem Sie einen Berichtsserver ausw hlen und die Registerkarte Selbst berwachende Ereignisse ffnen Die CA Enterprise Log Manager Services sind Ereignisprotokollspeicher Berichtsserver und automatisches Software Update Administratoren konfigurieren diese Services auf einer globalen Ebene bei der standardm ig alle Einstellungen auf alle CA Enterprise Log Managers angewendet werden Die meisten globalen Einstellungen f r Services k nnen auf der lokalen Ebene also f r jeden angegebenen CA Enterprise Log Manager berschrieben werden
212. en die die CA Technologies ELM Schemadefinition CEG verwenden um Ereignisse vom Ursprungsformat in ein CEG kompatibles Format zu bertragen das zur Berichterstellung und Analyse im Ereignisprotokollspeicher gespeichert werden kann F r jeden Protokollnamen wird eine Datenzuordnungsdatei ben tigt bevor die Ereignisdaten gespeichert werden k nnen Die Benutzer k nnen eine Kopie der Datenzuordnungsdatei ndern und diese auf einen angegebenen Connector anwenden Eine Delegierungsrichtlinie ist eine Zugriffsrichtlinie mit der ein Benutzer seine Rechte auf einen anderen Benutzer eine andere Anwendungsgruppe eine andere globale oder dynamische Gruppe bertragen kann Delegierungsrichtlinien die von einem gel schten oder deaktivierten Benutzer erstellt wurden m ssen explizit gel scht werden Direkte Protokollerfassung Direkte Protokollerfassung bezeichnet die Protokollerfassungsmethode bei der es keinen unmittelbaren Agenten zwischen Ereignisquelle und der CA Enterprise Log Manager Software gibt 424 Implementierungshandbuch Dynamische Benutzergruppe EEM Benutzer Eingabeaufforderung Eine dynamische Benutzergruppe setzt sich aus globalen Benutzern zusammen die ein oder mehrere Attribute gemeinsam haben Eine dynamische Benutzergruppe wird ber eine spezielle Richtlinie f r dynamische Benutzergruppen erstellt wobei der Ressourcenname der Name der dynamischen Benutzergruppe ist und die Mitgliedschaft auf einer Gruppe von
213. en um die von Ihnen gew nschte F derationsstruktur Verbundstruktur zu erstellen 244 Implementierungshandbuch Konfigurieren einer CA Enterprise Log Manader F deration So konfigurieren Sie einen CA Enterprise Log Manader Server als untergeordneten Server 1 Melden Sie sich bei einem CA Enterprise Log Manager Server an der unter demselben Anwendungsinstanznamen registriert ist wie die anderen Server in Ihrer gew nschten F deration Klicken Sie auf die Registerkarte Verwaltung und w hlen Sie die untergeordnete Registerkarte Services aus Erweitern Sie den Ordner f r den Ereignisprotokollspeicher Service und w hlen Sie den Servernamen f r den bergeordneten CA Enterprise Log Manager Server aus Bl ttern Sie nach unten zur Liste Untergeordnete F deration W hlen Sie in der Liste Verf gbar einen oder mehrere Namen von Servern aus die als untergeordnete Server des bergeordneten Servers konfiguriert werden sollen Verschieben Sie die ausgew hlten Server mit den Pfeiltasten in die Liste Ausgew hlt Die ausgew hlten und in die Liste verschobenen CA Enterprise Log Manager Server sind jetzt untergeordnete Server im Verbund mit dem bergeordneten Server Weitere Informationen Verwenden f derierter Abfragen siehe Seite 160 F derationsdiagramm und Server Statusmonitor anzeigen Sie k nnen ein Diagramm mit den CA Enterprise Log Manager Servern in Ihrer Umgebung und deren Beziehungen innerhalb
214. en Anordnung ist jeder CA Enterprise Log Manager Server ein untergeordneter Server zu allen anderen Servern Wenn Sie Berichtsdaten von einem der CA Enterprise Log Manager Server anfordern werden die Daten f r alle CA Enterprise Log Manager Server im Netzwerk angezeigt 242 Implementierungshandbuch Netzverbund In einem Netzverbund werden zwei oder mehr CA Enterprise Log Manager Server als Prim rserver ausgewiesen und die Server im Verbund werden unabh ngig von ihrer Platzierung im Netzwerk verwendet Die als untergeordnete Server eingerichteten Server sind so konfiguriert dass auch die untergeordneten Server in demselben oder anderen Zweigen angezeigt werden je nachdem wie der Verbund aufgebaut it Falls Sie beispielsweise ber die beiden CA Enterprise Log Manager Server A und B verf gen k nnen Sie einen Netzverbund erstellen indem Sie Server B zu einem untergeordneten Server von Server A machen und A zu einem untergeordneten Server von B Diese Konfiguration wird erwartet wenn Sie zwei oder mehr Verwaltungsserver verwenden Beispiel f r einen Netzverbund Betrachten Sie die folgende Abbildung eines vollst ndigen Netzverbunds Im abgebildeten Netzverbund sind vier agentenlose Quellserver f r Protokolldateien miteinander und mit den beiden Berichtsservern f deriert Jeder Server ist gleichzeitig jedem anderen Server im Verbund unter und bergeordnet Ein potenzieller Vorzug dieser Art der Bereitstellung gegen ber eine
215. en Appliance in einer OVF Vorlage festlegen VMware verwendet diese Vorlage um einen CA Enterprise Log Manager Server bereitzustellen Verwenden Sie VMware vSphere Client um die OVF Vorlage bereitzustellen Hinweis Die Screenshots zu den folgenden Vorg ngen enthalten Beispieldaten Diese Beispiel Screenshots beziehen sich auf VMware vSphere Client 4 0 0 Wir empfehlen dass Sie die passenden Daten f r Ihre Umgebung angeben So stellen Sie eine OVF Vorlage bereit 1 Klicken Sie auf dem Computer auf dem VMware vSphere Client installiert ist auf Start Programme VMware vSphere Client Der VMware vSphere Client Dialog wird ge ffnet Geben Sie im Feld f r IP Adresse und Namen die IP Adresse oder den Hostnamen des VMware vCenter Servers den Sie verbinden m chten ein Geben Sie in den Feldern f r Benutzername und Kennwort die Anmeldeinformationen ein Klicken Sie auf Logon Das Anwendungsfenster wird ge ffnet W hlen Sie unter einem Datacenter im linken Fensterbereich den Speicherort aus an dem Sie einen CA Enterprise Log Manager Server bereitstellen m chten Klicken Sie auf File und anschlie end auf Deploy OVF Template Das Fenster Deploy OVF Template wird angezeigt Standardm ig wird das Fenster Deploy OVF Template auf der Seite Source angezeigt Sie m ssen den Speicherort der OVF Vorlage auf dieser Seite angeben Hinweis Die im Fenster Deploy OVF Template angezeigten Seiten variieren je
216. en Ereignisprotokollspeicher eingef gt Konfigurieren des iTechnology Ereignis Plug ins Gehen Sie wie unten beschrieben vor um das iTechnology Ereignis Plug in zu konfigurieren mit dem Sie Ereignisse von iRecorder und anderen iTechnology Ereignisquellen empfangen k nnen Verwenden Sie das iTechnology Plug in wenn Sie einen eigenst ndigen iRecorder so konfigurieren dass dessen Ereignisse an einen CA Enterprise Log Manager Server gesendet werden Konfigurieren Sie diesen Service bevor Sie einen iRecorder installieren bzw konfigurieren damit keine Ereignisse verloren gehen Hinweis Wenn Sie Ereignisse von einem externen Client zum Listener des iTechnology Ereignis Plug ins senden m chten m ssen Sie diese Ereignisse nur zum sekund ren CA Enterprise Log Manager Server senden Anhang A Aspekte f r CA Audit Benutzer 263 Senden von CA Audit Ereignissen an CA Enterprise Log Manager So konfigurieren Sie iTechnology Ereignis Plug ins 1 Melden Sie sich beim CA Enterprise Log Manager Server an und w hlen Sie die Registerkarte Verwaltung aus Die untergeordnete Registerkarte Protokollerfassung wird standardm ig angezeigt Erweitern Sie den Eintrag CA Technologies Adapter W hlen Sie den Service f r das iTechnology Ereignis Plug in aus W hlen Sie in der Liste der verf gbaren Datenzuordnungsdateien eine oder mehrere Datenzuordnungsdateien aus und verschieben Sie sie mit den Pfeilen in die Liste der ausgew
217. en Sie die CA Enterprise Log Manager Software Appliance auf einem neuen Hardwareserver Rufen Sie eine Eingabeaufforderung auf und navigieren Sie zu dem Verzeichnis opt CA LogManager EEM Kopieren Sie die Sicherungsdatei lt Anwendungsinstanzname gt xml gz vom externen Sicherungsserver in dieses Verzeichnis F hren Sie folgenden Befehl aus um die XML Exportdatei abzurufen gunzip lt Anwendungsinstanzname gt xml gz 324 Implementierungshandbuch 5 Sichern eines CA Enterprise Log Manager Servers F hren Sie folgenden Befehl aus um die Exportdatei auf dem neuen Verwaltungsserver wiederherzustellen safex h eem Serverhostname u EiamAdmin p Kennwort f Anwendungsinstanzname xml Wenn der FIPS Modus aktiviert ist stellen Sie sicher dass Sie die Option fips verwenden Navigieren Sie zu dem Verzeichnis opt CA ELMAgent bin Ersetzen Sie die Standarddatei AgentCert cer durch die Sicherungsdatei CAELM_AgentCert cer um sicherzustellen dass der Agent ordnungsgem gestartet wird Sichern eines CA Enterprise Log Manager Servers Sie k nnen den gesamten CA Enterprise Log Manager Server ber den Ordner opt CA LogManager data sichern Bei diesem Datenordner handelt es sich um einen symbolischen Link zum Datenordner unter dem root Verzeichnis data So sichern Sie einen CA Enterprise Log Manager Server 1 Melden Sie sich als caelmadmin Benutzer beim CA Enterprise Log Manager Server an
218. en Sie wie unten beschrieben vor um die ben tigte ODBC Datenquelle in Windows Systemen zu erstellen Sie k nnen die Datenquelle entweder als Benutzer DSN oder als System DSN erstellen So erstellen Sie die Datenquelle 1 ffnen Sie die Windows Systemsteuerung und w hlen Sie Verwaltung aus Doppelklicken Sie auf das Hilfsprogramm Datenquellen ODBC Das Fenster ODBC Datenquellenadministrator wird angezeigt Kapitel 3 Installieren von CA Enterprise Log Manager 123 Installieren Sie den lt ODBC gt Client 3 Klicken Sie auf Hinzuf gen um das Fenster Neue Datenquelle erstellen anzuzeigen 4 W hlen Sie den Eintrag CA Enterprise Log Manager ODBC Treiber aus und klicken Sie auf Fertig stellen Das Fenster CA Enterprise Log Manager ODBC Treiber Setup wird angezeigt 5 Geben Sie entsprechend der Beschreibung im Abschnitt mit Hinweisen zur ODBC Datenquelle Werte in die Felder ein und klicken Sie auf OK Hinweise zur ODBC Datenquelle Der folgende Abschnitt erl utert die ODBC Datenquellenfelder im Zusammenhang mit CA Enterprise Log Manager Datenquellenname Erstellen Sie einen Namen f r diese Datenquelle Client Anwendungen die auf diese Daten zugreifen m chten verwenden diesen Namen f r die Verbindung zur Datenquelle Service Host Gibt den Namen des CA Enterprise Log Manager Servers an zu dem der Client eine Verbindung herstellt Sie k nnen entweder einen Hostnamen oder eine IPv4 Adre
219. en eines Prozessziels Sie k nnen einen IT PAM Prozess als Benachrichtigungsziel festlegen Die Benachrichtigung bergibt CA Enterprise Log Manager Incident Informationen an CA ServiceDesk oder Drittanbieteranwendungen die IT PAM verwenden Sie legen ein Prozessziel fest indem Sie einen zul ssigen IT PAM Prozess identifizieren Sie definieren die Incident Informationen die mithilfe von Benachrichtigungsdetails die Prozessparameter bilden sollen Weitere Informationen zu IT PAM Prozessen finden Sie im CA Enterprise Log Manager Administrationshandbuch So legen Sie Prozessziele fest 1 ffnen Sie den Assistenten zur Verwaltung der Benachrichtigungsziele und fahren Sie mit dem Schritt Benachrichtigungen fort Klicken Sie auf die Registerkarte Prozess und w hlen Sie Prozessautomatisierung aktivieren aus Geben Sie den Namen eines IT PAM Prozesses ein zu dem Sie Incident Informationen bertragen m chten wie z B CA_ELM EventAlertOutput F gen Sie beliebige andere Ziele hinzu oder klicken Sie auf Speichern und schlie en Kapitel 5 Konfigurieren von Services 199 Konfigurieren des Korrelationsservices Festlegen von SNMP Zielen Sie k nnen SNMP Ziele festlegen die es Ihnen erm glichen SNMP Traps zu verwenden um Incident Informationen an Drittanbieter Verwaltungssysteme zu senden Weitere Informationen zu SNMP Traps finden Sie im CA Enterprise Log Manager Administrationshandbuch So legen Sie SNMP Zi
220. en erfassen kann Der CA Enterprise Log Manager Server stellt ferner Listener bereit ber die mit Hilfe der vorhandenen iRecorder and SAPI Recorder Ereignisse aus anderen CA Technologies Anwendungen im CA Audit Netzwerk erfasst werden k nnen Sie k nnen CA Enterprise Log Manager Server in einen Verbund F deration einbinden um Ihre L sung zu skalieren und Berichtsdaten zwischen den Servern auszutauschen ohne dass Daten zwischen den Servern bertragen werden m ssen So k nnen Sie die Compliance im gesamten Netzwerk berpr fen und gleichzeitig die Vorgaben zur Wahrung des physischen Speicherorts der Daten einhalten Dank automatischer Software Updates f r vordefinierte Abfragen und Berichte m ssen Sie Abfragen und Berichte nicht mehr manuell verwalten Mit den integrierten Assistenten k nnen Sie Ihre eigenen Integrationen f r noch nicht unterst tzte Drittanbieterger te und anwendungen erstellen Anhang A Aspekte f r CA Audit Benutzer 257 Unterschiede in der Architektur Integrierte Architektur Das folgende Diagramm zeigt ein typisches CA Audit Netzwerk dem CA Enterprise Log Manager hinzugef gt wurde so dass die Ressourcen zur Verarbeitung gro er Ereignisvolumen und zur Erstellung Compliance basierter Berichte optimal genutzt werden k nnen Verwaltungs Berichtsserver Erfassung Abfragen a a m m nn a u Windows Ereignisse Konfiguration und Steuerung Syslog eignisse Agent Ere Richtli
221. en in etwa der Kapazit t eines einzelnen dedizierten CA Enterprise Log Manager Servers Ziehen Sie folgende Tabelle bei der Planung Ihres virtuellen Netzwerks heran Rolle des CA Enterprise Log Anzahl der CPU Gesamtspeicher in GB Prozessoren mind Geschwindigkeit in Mindestvoraussetzung GHz pro CPU 8 3 8 8 3 8 4 3 8 Quellserver Hinweis Die gr tm gliche Anzahl an Ereignissen pro Sekunde ist 1000 in der mittleren Bereitstellungskonfiguration und 5000 in der gro en Bereitstellungskonfiguration Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Sie k nnen anhand der folgenden Szenarien virtuelle CA Enterprise Log Manager Server f r Ihre Umgebung zur Ereignisprotokollerfassung erstellen m Hinzuf gen virtueller Server zu einer bestehenden CA Enterprise Log Manager Umgebung gemischte Umgebung m Erstellen einer virtuellen Protokollerfassungsumgebung m Klonen und Bereitstellen virtueller CA Enterprise Log Manager Server f r eine schnelle Skalierbarkeit Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Weitere Informationen Hinzuf gen virtueller Server zu Ihrer Umgebung siehe Seite 351 Erstellen einer ausschlie lich virtuellen Umgebung siehe Seite 374 Schnelle Bereitstellung der virtuellen Server siehe Seite 399 330 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Hinzuf gen vi
222. enbanken die in der Where Klausel der Abfrage angegeben wurden Beispiel Wenn die Where Klausel die Abfrage auf Ereignisse mit source_username myname in einem bestimmten Zeitrahmen beschr nkt und nur zehn von 1000 Datenbanken Datens tze enthalten die diesen Kriterien basierend auf den Informationen in der Katalogdatenbank entsprechen wird die Abfrage nur in diesen zehn Datenbanken durchgef hrt Eine Abfrage kann maximal 5000 Datenzeilen zur ckgeben Ein Benutzer mit einer vordefinierten Rolle kann eine Abfrage durchf hren Nur Analysten und Administratoren k nnen eine Abfrage planen um einen Aktionsalarm zu verteilen einen Bericht unter Auswahl der enthaltenen Abfragen erstellen oder eine benutzerdefinierte Abfrage mithilfe des Abfragedesign Assistenten erstellen Siehe auch Archivabfrage Die Abfragebibliothek ist der Speicher f r alle vordefinierten und benutzerdefinierten Abfragen Abfragekennungen und Prompt Filter Die Administratorrolle erteilt Benutzern die Berechtigung alle g ltigen Aktionen in allen Ressourcen von CA Enterprise Log Manager auszuf hren Nur Administratoren d rfen Protokollerfassung und Services konfigurieren oder Benutzer Zugriffsrichtlinien und Zugriffsfilter verwalten Ein Agent ist ein generischer Service der mit Connectors konfiguriert wurde von denen jeder Rohereignisse von einer einzelnen Ereignisquelle erfasst und diese dann zur Verarbeitung an CA Enterprise Log Manager sendet Jeder CA Enterpr
223. endung des Befehls safex zu erhalten Listen Sie den Inhalt des Verzeichnisses auf und berpr fen Sie dass itpamcert cer vorhanden ist Entfernen Sie die XML Datei zur CA IT PAM Konfiguration Dies wird aus Sicherheitsgr nden empfohlen rm ITPAM_eem xml 314 Implementierungshandbuch Kopieren des Zertifikats auf den CA IT PAM Server Kopieren des Zertifikats auf den CA IT PAM Server Bei der Ausf hrung des Befehls safex auf CA Enterprise Log Manager um CA IT PAM mit CA EEM zu registrieren wurde das Zertifikat itpamcert p12 generiert Sie m ssen dieses Zertifikat auf den Windows Server kopieren auf dem Sie die CA IT PAM Dom ne installieren m chten W hrend der CA IT PAM Dom neninstallation suchen Sie diese Zertifikatsdatei So kopieren Sie das Zertifikat von der CA Enterprise Log Manager Anwendung auf den Ziel Windows Server Kopieren Sie die Datei itpamcert p12 von der CA Enterprise Log Manager Anwendung die CA EEM enth lt auf den Host auf dem CA IT PAM installiert werden soll Quelldatei auf dem CA Enterprise Log Manager Verwaltungsserver opt CA SharedComponents iTechnology itpamcert p12 a Zielpfad auf dem Ziel Windows Server lt Installationspfad gt Hinweis Sie k nnen diese Datei an den Pfad Ihrer Wahl kopieren Sie w hlen diese Datei von ihrem Speicherort aus wenn Sie die CA IT PAM Dom ne installieren Festlegen von Kennw rtern f r die vordefinierten CA IT PAM Benutzerkonten Mit
224. enen Funktionen So erstellen Sie einen neuen Benutzer 1 Melden Sie sich als Standardbenutzer EiamAdmin beim CA Enterprise Log Manager Server an Die Registerkarte Verwaltung und die untergeordnete Registerkarte Benutzer und Zugriffsverwaltung werden angezeigt Klicken Sie im linken Teilfenster auf Benutzer Klicken Sie links neben dem Ordner Benutzer auf die Option Neuer Benutzer Rechts im Fenster werden Detailinformationen zum neuen Benutzer angezeigt Geben Sie im Feld Name einen Benutzernamen ein Bei Benutzernamen wird nicht zwischen Gro und Kleinschreibung unterschieden Klicken Sie auf die Option zum Hinzuf gen von Benutzerdetails f r die Anwendung W hlen Sie die Rolle aus die den k nftigen Aufgaben dieses Benutzers entspricht Verschieben Sie sie mit dem Wechselsteuerelement in die Liste f r die ausgew hlten Benutzergruppen Stellen Sie f r die brigen Felder die gew nschten Werte bereit Im Gruppenfeld f r die Authentifizierung m ssen Sie ein Kennwort hier werden Gro und Kleinschreibung unterschieden mit Best tigung eingeben Klicken Sie auf Speichern und anschlie end auf Schlie en Weitere Informationen Zuweisen einer Rolle zu einem globalen Benutzer siehe Seite 153 152 Implementierungshandbuch Erstellen des ersten Administrators Zuweisen einer Rolle zu einem globalen Benutzer Sie k nnen nach einem vorhandenen Benutzerkonto suchen und die Anwendungsbenut
225. enneeeeeennneeneeeenneeeeeeeeenenen 248 Anhang A Aspekte f r CA Audit Benutzer 251 Unterschiede in der Architektur 22222ceeeeeeeeeeeeeseessenneeeeeeeeeeeneeeeeeeneneenenn 251 Architektur von CA Audit 2 4 343223 222 222 S arer S FENS ES ISS aA 253 Architektur von CA Enterprise Log Manager cceeesseeneneeeeeennnneeeeeneeenn 255 Integrierte Architektur 2 cceesooseneeeeeesnnneesesssnneeeeeeeeeeeeeeeeeneeeen 258 Konfigurieren von CA Technologies Adaptern 222cccceeeeeeeeeeeennnneneenneeennennen 259 Wissenswertes ber den SAPI Router und Collector 222eeeeeeeeeeeeseeeneneennnn 260 Wissenswertes ber das iTechnology Ereignis Plugin ceee2ooceeeeeeeeen nn 263 Senden von CA Audit Ereignissen an CA Enterprise Log Manager 2222ccceennnen 264 Konfigurieren eines iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager 265 ndern einer bestehenden CA Audit Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager as ee ee 266 ndern einer bestehenden r8 SP2 Richtlinie zum Senden von Ereignissen an CA Enterprise LOS Manager ee Re 268 Grund f r den Import von Ereignissen 2222ceeeeeeeeeeeseeeeeennnseeseesenneeneeeeenn 270 Wissenswertes ber das SEOSDATA Importhilfsprogramm 2222eeeeeeeeeeeeeneen 270 Importieren aus einer aktiven SEOSDATA Tabelle cceenooeeeseeeeeennnnennn 271 Importieren von Daten aus einer S
226. ens einem CA Enterprise Log Manager Sammelserver Optional Installieren eines oder mehrerer Berichtsserver Hinweis Falls Sie keinen gesonderten Server f r die Berichterstellung installieren kann auch der Verwaltungsserver die Rolle des Berichtsservers bernehmen Optional Installieren eines Wiederherstellungspunktservers berpr fen der Installation Anzeigen selbst berwachender Ereignisse Wichtig Konfigurieren Sie Ihre Speichermedien in einem RAID Array bevor Sie die CA Enterprise Log Manager Installation starten Konfigurieren Sie die ersten beiden Datentr ger als RAID 1 und machen Sie dieses Array zu einem bootbaren Array Konfigurieren Sie die brigen Datentr ger als einzelnes RAID 5 Array Falls Sie kein RAID Array einrichten k nnen Daten verloren gehen Im Rahmen der Gesamtsicherheit f r den CA Enterprise Log Manager Server selbst ist das GRUB Hilfsprogramm Grand Unified Bootloader kennwortgesch tzt Kapitel 3 Installieren von CA Enterprise Log Manager 79 Installieren eines CA Enterprise Log Manager Servers Arbeitsblatt f r den CA Enterprise Log Manager Server Notieren Sie sich die Informationen in der folgenden Tabelle bevor Sie einen CA Enterprise Log Manager Server installieren Wenn Sie sich die Daten im Arbeitsblatt notieren k nnen Sie sie w hrend der Installation zu Rate ziehen Sie k nnen f r jeden zu installierenden CA Enterprise Log Manager Server ein eigenes Arbeitsblatt ausdrucken und
227. enspeicher aufgelistet den Sie ausgew hlt haben Hinweis Schlie en Sie Eigenschaftswerte die Leerstellen enthalten in doppelte Anf hrungsstriche ein Wenn der OVF Name z B CA ELM ist geben Sie als Wert CA ELM ovf ein Weitere Informationen zum OVF Tool finden Sie im Benutzerhandbuch des OVF Tools Beispiel Anhang E CA Enterprise Log Manager und Virtualisierung 369 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances ovftool dm thick acceptAllEulas name example server deploymentOption medium prop ROOT_PASSWORD example password prop LOCAL REMOTE _EEM Local prop REMOTE_EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS _MODE Yes prop IP ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example serverl prop DEFAULT_GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 370 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Festlegen der Paravirtualisierungs und Ressourceneinstellungen Nachdem Sie die OVF Vorlage importiert haben m ssen Sie die Paravirtualisierungs und Ressourceneinstellungen manuell festlegen um die Leistung des bereitges
228. ent zum Erstellen von neuen Connectors wird ge ffnet Der Schritt der Connector Details ist ausgew hlt 5 W hlen Sie aus der Drop down Liste Integration eine Integration aus die den WinRM Protokollsensor verwendet Geben Sie beispielsweise WinRM ein Connector Erstellung E Geben Sie die erforderlichen Informationen ein Typ Integrationen Listener Integration WinRM Ra Connectorname wWwinRM_Connector Plattformversion RHELS berpr fung der Plattformversion umgehen Diese Auswahl f llt das Feld Connectorname mit WinRM_Connector auf 6 Optional Klicken Sie auf Unterdr ckungsregeln anwenden und w hlen Sie die Regeln aus die mit den unterst tzten Ereignissen verbunden sind 7 Klicken Sie auf den Schritt Connector Konfiguration und klicken Sie auf den Link Hilfe Die Anweisungen umfassen CA Enterprise Log Manager Sensor Konfiguration WinRM 5 0 Konfigurieren des CA Enterprise Log Manager Sensors WinRM 5 1 Fester Parameter 234 Implementierungshandbuch Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLogSensor 8 Folgen Sie den Anweisungen in diesem Connector Handbuch um den Sensor zu konfigurieren Geben Sie statt des Hostnamens vorzugsweise die IP Adresse des Hosts ein auf dem Sie die Windows Remoteverwaltung konfiguriert haben Die Angaben zu Benutzernamen und Kennwort reflektieren die Anmeldeinformationen die Sie w hrend der Konfiguration der Windows
229. enten und dem CA Enterprise Log Manager Server dargestellt CA Enterprise Log Ereignisquelle Manager Server Agenten Explorer CA Access Control Connector Ereignisproto kollspeicher service Ereignisproto kollspeicher Ereignisfluss Befehls und Steuerungsmeldungen Kapitel 6 Konfigurieren der Ereigniserfassung 219 Verwenden des Agenten Explorers Nachdem Sie einen Agenten auf einer Ereignisquelle installiert haben k nnen Sie einen oder mehrere Connectors konfigurieren die Ereignisse aus Ereignisquellen wie etwa Ger ten Anwendungen Betriebssystemen und Datenbanken erfassen Zu den Beispielen im Diagramm geh ren Connectors f r CA Access Control und eine Oracle Datenbank In der Regel wird nur ein Agent pro Hostserver oder Ereignisquelle installiert Sie k nnen allerdings mehrere Connector Arten auf diesem Agenten konfigurieren Mit dem zum CA Enterprise Log Manager Server geh rigen Agenten Explorer k nnen Sie Agenten steuern und Connectors auf einem Agenten konfigurieren und kontrollieren Der Agenten Explorer bietet Ihnen zudem die M glichkeit Agentengruppen zu erstellen mit denen sich Agenten einfacher verwalten und steuern lassen Die Konfiguration eines Connectors basiert entweder auf einer Integration oder einem Listener Hierbei handelt es sich um Vorlagen die Dateien f r den Datenzugriff die Nachrichtenanalyse und die Datenzuordnung enthalten k nnen CA Enterprise Log Manager stellt verschieden
230. entenhost Ereignisse UNIX Server Linux Kartenleser Windows Anhang A Aspekte f r CA Audit Benutzer 255 Unterschiede in der Architektur Ein CA Enterprise Log Manager System kann ber einen oder mehrere Server verf gen wobei der zuerst installierte Server als Verwaltungsserver fungiert Jedes System kann nur einen Verwaltungsserver haben Sie k nnen jedoch ber mehrere Systeme verf gen Auf dem Verwaltungsserver werden der Inhalt und die Konfiguration aller CA Enterprise Log Manager Server verwaltet und die Benutzerautorisierung und authentifizierung durchgef hrt In einer einfachen Implementierung mit zwei Servern bernimmt der Verwaltungsserver auch die Funktion eines Berichtsservers Ein Berichtsserver empf ngt aufbereitete Ereignisse von einem oder mehreren agentenlosen Quellservern f r Protokolldateien Der Berichtsserver verarbeitet Bedarfsabfragen und berichte sowie geplante Alarme und Berichte Auf dem agentenlosen Quellserver f r Protokolldateien werden die erfassten Ereignisse aufbereitet Jeder CA Enterprise Log Manager Server verf gt ber seine eigene interne Ereignisprotokollspeicherdatenbank Beim Ereignisprotokollspeicher handelt es sich um eine propriet re Datenbank die mittels Komprimierung die Speicherkapazit t verbessert und Abfragen in aktiven Datenbankdateien f r die Archivierung ausgewiesenen Dateien und verf gbar gemachten Dateien erm glicht F r die Ereignisspeicherung ist kein relat
231. entenlosen Quellserver f r Protokolldateien in diesem Beispiel sind untergeordnete Server des Verwaltungs Berichtsservers 1 Sie k nnen weitere Ebenen in die Hierarchie einf gen Es kann allerdings nur einen Verwaltungsserver geben Die zus tzlichen Ebenen enthalten dann Berichtsserver als bergeordnete Server f r die Quellserver Bei dieser Art von F deration k nnte der Verwaltungs Berichtsserver 1 beispielsweise in der Hauptniederlassung stehen und die Quellserver k nnten sich in regionalen bzw Zweigstellen repr sentiert durch Quellserver 1 und 2 befinden Jede Zweigstelle kann dann Berichtsinformationen f r die eigenen Daten abrufen nicht jedoch f r die Daten der anderen Zweigstelle Daten f r Quellserver 1 k nnen nur vom Quellserver 1 abgerufen und in Berichte gefasst werden ber den Verwaltungs Berichtsserver 1 k nnen allerdings Daten f r den Verwaltungs Berichtserver 1 sowie f r die Quellserver 1 und 2 abgerufen und als Berichte ausgegeben werden Verwaltungs Berichtsserver 1 MI Erfassungsserver 1 Erfassungsserver 2 Kapitel 7 Erstellen von F derationen 241 Netzverbund Netzverbund In einem hierarchischen Verbund kann jeder CA Enterprise Log Manager Server ber mehrere untergeordnete Server aber nur ber einen bergeordneten Server verf gen Diese Art der F deration wird in einer von oben nach unten verlaufenden Struktur beginnend mit dem Verwaltungsserver konfiguriert Anschlie end wer
232. enutzer 289 ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager berpr fen und Aktivieren der ge nderten Richtlinie Nachdem Sie eine bestehende Richtlinie ge ndert und eine Regelaktion hinzugef gt haben berpr fen kompilieren und aktivieren Sie die Richtlinie So berpr fen und aktivieren Sie eine CA Access Control Richtlinie 1 W hlen Sie unten rechts die Registerkarte Regeln aus und w hlen Sie dann die zu berpr fende Regel aus Regeln Knotengruppen Aktivierungsprotokoll Mac Aktivieren Deaktivieren Richinien pr fen mire Dies ist eine Ordnerebenenansicht der aktuellen Auswahl in Meine Richtlinien Verwenden Sie diesen Abschnitt um Regeln zu aktivieren und deaktivieren und die Richtlinien auf Fehler zu berpr fen Inhalt von AC MT eTrust Access Control Policy i amp Suspicious Events Network Access amp Outgoing Communication Successful amp Incoming Communication Failed amp Outgoing Communication Failed Incoming Communication Successful cocoocoi Account Management 2 Klicken Sie auf Richtlinien berpr fen um die ge nderte Regel mit den neuen Aktionen zu berpr fen und sicherzustellen dass sie richtig kompiliert wird Nehmen Sie ggf alle notwendigen nderungen an der Regel vor und vergewissern Sie sich dass sie richtig kompiliert wird bevor Sie sie aktivieren 3 Klicken Sie auf Aktivieren um die berpr f
233. er Korrelationsregeln ein 2 Blenden Sie den Ordner PCI und anschlie end den Ordner Anforderung 8 ein und w hlen die Regel Erstellen eines neuen Kontos au erhalb der normalen Gesch ftszeiten aus Die Regeldetails werden im rechten Fensterbereich angezeigt 3 berpr fen Sie die Regeldetails um sicherzustellen dass die Regel f r Ihre Umgebung geeignet ist In diesem Fall definieren Filter die Kontoerstellungsaktion und legen die normalen Gesch ftszeiten nach Zeit und Wochentag fest 4 Optional Klicken Sie oben im Fenster auf Bearbeiten um die bei Bedarf die Filtereinstellungen zu ndern Zum Beispiel k nnten Sie die normalen Arbeitsstunden ndern um Ihre lokalen Spezifikationen anzupassen Der Assistent f r die Regelverwaltung wird ge ffnet Die Regeldetails sind bereits eingetragen Kapitel 5 Konfigurieren von Services 191 Konfigurieren des Korrelationsservices 10 F gen Sie bei Bedarf Benachrichtigungsdetails in den Assistenten f r Regelverwaltung hinzu Benachrichtigungsdetails stellen den Meldungsinhalt bereit der wie in Benachrichtigungsziele angegeben geliefert wird Sobald Sie die Regel fertiggestellt haben klicken Sie im Assistenten auf Speichern und schlie en Wenn Sie eine vordefinierte Korrelationsregel bearbeiten und speichern erstellt CA Enterprise Log Manager automatisch eine neue Version und beh lt die Originalversion bei Klicken Sie auf die Unterregisterkarte Service
234. er CA Enterprise Log Manager Quellserver f r Protokolldateien Die folgende Abbildung zeigt ein einfaches Beispiel f r ein solches f deriertes CA Enterprise Log Manager Netzwerk Zwei CA Enterprise Log Manager Server einer f r Berichte und einer f r die Erfassung verarbeiten den von verschiedenen Ereignisquellen stammenden Ereignisstrom Beide Server k nnen Daten f r Abfragen Berichte und Alarme untereinander austauschen Verwaltungs Berichtsserver Erfassung iTech und SAPI Ereignisse 9 So U Ereignisquellen normaler Ereignisfluss Failover Ereignisfluss 30 Implementierungshandbuch Planen der Ereigniserfassung Der agentenlose Quellserver f r Protokolldateien ist haupts chlich zust ndig f r die eingehenden Ereignisprotokolldaten und die Einf gung in die Datenbank Bei diesem Server wird eine kurze Datenaufbewahrungszeit von maximal 24 Stunden verwendet Die gespeicherten Ereignisprotokolle werden ber ein automatisiertes Skript t glich oder je nach Ereignisvolumen auch fter auf den Berichtsserver verschoben Die F deration und die Verwendung f derierter Abfragen zwischen den beiden Servern gew hrleistet dass Sie pr zise Berichte aus den Ereignisprotokollen auf beiden Servern erhalten Der Berichtsserver hat mehrere Funktionen m Verarbeitung von Abfragen und Berichten m Planung und Verwaltung von Alarmen m Verschieben archivierter Dateien auf einen Remote Speicherserver
235. er oder iTechnology basierten Produkts so dass Ereignisse direkt an den CA Enterprise Log Manager Server gesendet werden Wissenswertes ber den SAPI Router und Collector Die SAPI Services sind im Allgemeinen f r den Empfang von Ereignissen von bestehenden CA Audit Clients und integrierten Produkten zust ndig CA Enterprise Log Manager verwendet zwei Instanzen eines SAPI Listener Service wovon der eine als SAPI Collector der andere als SAPI Router installiert wird Die SAPI Module verwenden den iGateway Daemon f r die Befehlsgebung und Steuerung Die Module fungieren als SAPI Router und SAPI Collector und verwenden entweder statische Ports oder dynamische Ports ber den Portmapper 260 Implementierungshandbuch Konfigurieren von CA Technologies Adaptern Verwenden Sie den SAPI Collector zum Senden von Ereignissen die von CA Audit Clients stammen so dass Sie die integrierte Failover Unterst tzung der Audit Collector Aktion nutzen k nnen Verwenden Sie den SAPI Router zum Senden von Ereignissen die von CA Audit Clients stammen mittels Route Aktion oder zum Senden von Ereignissen die von SAPI Recordern oder Integrationen stammen die das direkte Senden von Ereignissen an einen CA Audit Client unterst tzen In diesem Fall konfigurieren Sie den Remote Sender so als ob es sich beim CA Enterprise Log Manager Server um den CA Audit Client handeln w rde Der SAPI Listener ffnet seinen eigenen Port und berwacht diesen passiv
236. er Betriebssystem zur Bearbeitung Verwenden Sie einen ISO Editor b Suchen Sie die folgende Zeile zur Bearbeitung bootloader location mbr driveorder sda sdb Ver ndern Sie sie wie folgt bootloader location mbr driveorder cciss c0d Mit dieser nderung wird nur von der lokalen Festplatte gestartet c Suchen Sie die folgenden Zeilen zur Bearbeitung clearpart all initlabel part boot fstype ext3 size 100 part pv 4 size 0 grow Ver ndern Sie sie wie folgt part boot fstype ext3 size 100 ondisk cciss cO0d part pv 4 size 0 grow ondisk cciss c0d Mit diesen nderungen in den Zeilen der Partitionsdefinition wird sichergestellt dass die Partitionen auf dem Datentr ger cciss cOdO nach Namen erstellt werden Mit ondisk werden die vorhandenen Variablen f r Sdisk1 und Sdisk2 ersetzt d Entfernen Sie bei Bedarf die IF When Klausel f r die Anzahl der Laufwerke und behalten Sie nur den ersten Teil der Festplattenbefehle bei Zeilen 57 65 e Speichern Sie das neue ISO Image 7 Verlassen Sie die Eingabeaufforderung Anaconda und kehren Sie zu den Eingabeaufforderungen der Betriebssysteminstallation zur ck 8 Fahren Sie unter Verwendung der angegebenen Vorgehensweisen mit der Installation fort Erste CA Enterprise Log Manager Serverkonfigurationen Bei der Installation des ersten CA Enterprise Log Manager Servers wird ein Anwendungsname mit dem Standardwert CAELM erst
237. er Server mit Internetzugang der automatische Software Updates nach einem wiederkehrenden Zeitplan von einem CA Technologies Server f r automatische Software Updates erh lt Ein bestimmter Online Proxy f r automatische Software Updates kann f r einen oder mehrere Clients in die Proxy List aufgenommen werden Dieser kontaktiert die aufgelisteten Proxys im Ringversuch um bin re Aktualisierungen anzufordern Ein bestimmter Online Proxy leitet wenn er so konfiguriert wurde neue Inhalts und Konfigurationsaktualisierungen an den Management Server weiter wenn diese nicht bereits von einem anderen Proxy weitergeleitet wurden Das Verzeichnis f r automatische Software Updates eines ausgew hlten Online Proxys wird beim Kopieren von Aktualisierungen in Offline Proxys automatischer Software Updates als Quelle verwendet Glossary 439 Proxy f r automatische Software Updates Standardwert Der Standard Proxy f r automatische Software Updates ist normalerweise der CA Enterprise Log Manager Server der als erster installiert wurde und der auch der prim re CA Enterprise Log Manager sein kann Der Standard Proxy f r automatische Software Updates ist au erdem ein Online Proxy f r automatische Software Updates und muss daher ber einen Internetzugang verf gen Wenn keine anderen Online Proxys f r automatische Software Updates definiert werden erh lt dieser Server die automatischen Software Updates vom CA Technologies Server f r automatische So
238. er Service Port Optionen f r die automatische Archivierung Aktiviert Sicherungstyp H ufigkeit Startzeit EEM Benutzer EEM Kennwort Remote Server Remote Benutzer Remote Standort Remote ELM Server Quellserver Werte 24 17001 Ja Zuwachs St ndlich 0 lt CA Enterprise Log Manager_Administrator gt lt Kennwort gt RptSrvr 1 caelmservice opt CA LogManager Ja Berichtsserver Werte 72 17001 Ja Zuwachs T glich 23 lt CA Enterprise Log Manager_Administrator gt lt Kennwort gt RemoteStore 1 user _X CA ELM_cold_storage Nein Mit den Optionen f r die automatische Archivierung in diesem Beispiel werden st ndlich Archivdateien Standby Datenbankdateien vom Quellserver auf den Berichtsserver verschoben So wird Speicherplatz auf dem Datentr ger f r eintreffende Ereignisse verf gbar gemacht Beide Server verwenden eine Zuwachssicherung damit keine gro en Datenmengen auf einmal verschoben werden m ssen Nachdem eine Standby Datenbank auf den Berichtsserver verschoben wurde wird sie automatisch vom Quellserver f r Protokolldateien gel scht 186 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Hinweis Der Wert 0 als Startzeit hat keine Auswirkung wenn eine st ndliche Sicherungsh ufigkeit gew hlt wurde F r EEM Benutzer und EEM Kennwort geben Sie die Anmeldeinformationen eines CA Enterprise Log Manager Benutzers an dem entweder die vordefinierte
239. er Version Beschreibung H ufigkeit Aktualisiert Agenten wenn Sie den Assistenten f r Regelm ig automatische Software Updates ausf hren und Aktualisierungen f r Agenten ausw hlen Aktualisiert das CA Enterprise Log Manager Produkt auf Viertelj hrlich jedem Server mit dem angezeigten Service Pack Aktualisiert das CA Enterprise Log Manager Produkt auf Regelm ig jedem System auf die angezeigte Version Sie k nnen die Liste der f r Ihre CA Enterprise Log Manager Umgebung herunterzuladenden Module auf globaler Ebene ausw hlen Diese globalen Einstellungen werden an die einzelnen Proxy und Client Server f r automatische Software Updates weitergegeben Sie k nnen die globalen Einstellungen durch das Konfigurieren einer lokalen Liste herunterzuladender Module f r einen individuellen CA Enterprise Log Manager Server berschreiben Hinweis Ein Proxy f r automatische Software Updates kann ein Modul nicht an einen Client verteilen den der Proxy nicht selbst installiert hat Wenn Sie Module f r einen Proxy f r automatische Software Updates ausw hlen schlie en Sie zumindest alle f r die Clients des Proxys ausgew hlten Module ein Sie k nnen mithilfe einer bzw beider folgenden Methoden Aktualisierungen f r Ihre CA Enterprise Log Manager Umgebung durchf hren 1 Automatisch Sie w hlen im Voraus Module aus und legen einen Ablaufplan f r das Herunterladen fest Der Service f r automatische Software Updates l dt en
240. er h ufig und ben tigen gegebenenfalls zus tzliche berlegungen und Planung bevor Sie sie auf Ihre CA Enterprise Log Manager Umgebung anwenden Sie sollten diese Art von Aktualisierungen manuell je nach Bedarf herunterladen Hinweis Clients k nnen keine Module herunterladen die ihr Proxy nicht auch heruntergeladen hat Stellen Sie sicher dass die f r einen Proxy f r automatische Software Updates ausgew hlten Module mindestens alle Module enthalten die in den Download Listen der Clients jenes Proxys ausgew hlt sind 7 Klicken Sie auf OK Das Dialogfeld Zum Download verf gbare Module schlie t sich und die Module die Sie ausw hlen werden in der Liste der Zum Download ausgew hlte Module angezeigt 8 Klicken Sie auf Speichern 214 Implementierungshandbuch Konfiguration automatischer Software Updates Weitere Informationen Konfiguration automatischer Software Updates siehe Seite 204 Infos zu herunterzuladende Module siehe Seite 211 Herunterladen und Ausw hlen von Modulen f r automatische Software Updates im Offline Modus Dateien der automatischen Software Updates im Offline Modus sind auf der CA Technologies FTP Seite f r automatische Software Updates im Offline Modus in ZIP Dateien verpackt verf gbar Sobald neue Module verf gbar sind werden sie auf der FTP Seite angezeigt berwachen Sie die Liste der verf gbaren Module in regelm igen Abst nden um sicherzustellen dass Sie die letzten
241. er ist das Ergebnis des Archivierungsprozesses bei dem der Benutzer eine warme Datenbank sichert CA Enterprise Log Manager durch Ausf hren des Hilfsprogramms LMArchive benachrichtigt und die gesicherte Datenbank aus dem Ereignisprotokollspeicher in den langfristigen Speicher verschiebt Ereignisprotokollspeicher Ereignisquelle Ereignisse Ereignisverfeinerung Der Ereignisprotokollspeicher ist eine Komponente im CA Enterprise Log Manager Server bei der eingehende Ereignisse in Datenbanken gespeichert werden Die Datenbanken im Ereignisprotokollspeicher m ssen vor dem Zeitpunkt der f r den L schvorgang konfiguriert wurde manuell gesichert werden und zu einer Remote Protokollspeicherl sung verschoben werden Archivierte Datenbanken k nnen in einem Ereignisprotokollspeicher wiederhergestellt werden Eine Ereignisquelle ist der Host von dem ein Connector Rohereignisse erfasst Eine Ereignisquelle kann mehrere Protokollspeicher enthalten auf die jeweils durch einen separaten Connector zugegriffen wird Die Bereitstellung eines neuen Connectors umfasst gew hnlich die Konfiguration der Ereignisquelle so dass der Agent darauf zugreifen und Rohereignisse aus einem der zugeh rigen Protokollspeicher lesen kann Rohereignisse f r das Betriebssystem andere Datenbanken und verschiedene Sicherheitsanwendungen werden separat f r die Ereignisquelle gespeichert Ereignisse in CA Enterprise Log Manager sind Protokolldatens tze die von j
242. er mehrerer Benutzer mit der vordefinierten Administratorrolle und der Konfiguration von Kennwortrichtlinien In der Regel wird diese Konfiguration von der Person vorgenommen die CA Enterprise Log Manager installiert hat da dieser Benutzer sich mit den EiamAdmin Anmeldedaten bei CA Enterprise Log Manager anmelden kann Nach Abschluss dieser Konfiguration wird CA Enterprise Log Manager von den als Administratoren ausgewiesenen Benutzern weiter konfiguriert Falls die Konfiguration f r den Standardbenutzerspeicher bernommen wird muss der EiamAdmin Benutzer zumindest noch das Konto f r den ersten Administrator einrichten Der erste Administrator kann Kennwortrichtlinien und dann die brigen CA Enterprise Log Manager Komponenten konfigurieren Hinweis Genaue Informationen zum Erstellen anderer Benutzer und zum Erstellen benutzerdefinierter Rollen und Zugriffsrichtlinien finden Sie im CA Enterprise Log Manager Administrationshandbuch Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration 143 Konfigurieren des Benutzerspeichers Konfigurieren des Benutzerspeichers Der Benutzerspeicher ist das Repository f r globale Benutzerdaten Sie k nnen den Benutzerspeicher sofort nach der Installation eines CA Enterprise Log Manager Servers konfigurieren Der Benutzerspeicher kann nur vom EiamAdmin Benutzer eingerichtet werden Dies geschieht in der Regel sofort nach der ersten Anmeldung Konfigurieren Sie den Benutzerspeicher auf ei
243. er zu berwachen 9 Optional F hren Sie den folgenden Befehl aus um die Aktivit ten anzuzeigen die von einem Benutzer auf den Datenbankdateien im laufenden Betrieb sowie den Rohdatenbankdateien von CA Enterprise Log Manager ausgef hrt werden seaudit a Weitere Informationen Voraussetzungen siehe Seite 308 Anhang B Aspekte f r CA Access Control Benutzer 307 Sichern von CA Enterprise Log Manager mithilfe von CA Access Control Voraussetzungen Bevor Sie Regeln in CA Access Control erstellen berpr fen Sie folgende Punkte CA Enterprise Log Manager ist auf einem System installiert auf dem Sie CA Access Control installieren m chten Sie haben eine Sicherheits Audit Gruppe und eine Sicherheits Admin Gruppe in CA Enterprise Log Manager erstellt um die Installation von CA Access Control auf CA Enterprise Log Manager zu initiieren Sie haben einen Benutzer mit Administratorrechten in CA Enterprise Log Manager erstellt und diesen Benutzer der erstellten Sicherheits Audit Gruppe und Sicherheits Admin Gruppe zugewiesen Sie haben CA Access Control unter Verwendung der erstellten Sicherheits Audit Gruppe der Sicherheits Admin Gruppe und der Anmeldeinformationen des Administratorenbenutzers installiert Sie haben die CA Access Control Konfigurationsdatei zur Auditprotokollierung erstellt und die Datei bearbeitet um generierte Ereignisse zum lokalen Host durch das Bearbeiten des Parameters host loghost weiterzule
244. ereit Hinweis Es wird nachdr cklich empfohlen f r die Bereitstellung eines Erfassungsservers eine mittlere und f r die Bereitstellung eines Verwaltungs oder Berichtsservers eine gro e Bereitstellungskonfiguration zu verwenden Die Seite Host Cluster wird ge ffnet Diese Seite wird nur angezeigt wenn Sie den Ressourcenpool nicht ausgew hlt haben bevor Sie mit dem Import des OVF Vorlage begonnen haben Auf der Seite Host Cluster werden das von Ihnen ausgew hlte Datacenter angezeigt und dessen verf gbare Cluster angezeigt Sie m ssen den Speicherort des Clusters unter dem Datacenter angeben in dem Sie den CA Enterprise Log Manager Server bereitstellen m chten 15 W hlen Sie einen Cluster unter dem Datacenter aus und klicken Sie auf Next Deploy OYF Template lolx Host Cluster On which host or cluster do you want to run the deployed template Source OVF Template Details End User License Agreement Name and Location Deployment Configuration Host Cluster Properties Ready to Complete F3 ELMQA 5P2 vApp Datacenter Dmg o 1010 50 20 Compatibility Yalidation not applicable this time A 382 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Die Seite Properties wird ge ffnet Diese Seite enth lt die Host Einstellungen und CA Enterprise Log Manager Einstellungen 16 Geben Sie in die einzelnen Felder die Inf
245. erieren Sie vom NY Berichts ELM ein weiteres RSA Schl sselpaar als caelmservice und kopieren Sie den ffentlichen Schl ssel als authorized_keys in das Verzeichnis tmp auf dem NY Speicherserver 5 Auf NY Speicherserver erstellen Sie die Verzeichnisstruktur opt CA LogManager Erstellen Sie in diesem Pfad ein ssh Verzeichnis ndern Sie die Eigentumsrechte auf caelmservice verschieben Sie authorized_keys in dieses Verzeichnis und legen Sie die Eigentumsrechte an der Schl sseldatei mit den erforderlichen Berechtigungen auf caelmservice fest 6 Validieren Sie nicht interaktive Authentifizierung zwischen NY Berichts ELM und NY Speicherserver Der Ablauf dieses Verfahrens hnelt den Schritten des Hub and Spoke Szenarios F r ein Szenario mit drei Server berspringen Sie die Anweisungen in Schritt 2 f r zus tzliche Paare Sammelserver Berichterstellungsserver und die Anweisungen in Schritt 3 ber das Verbinden der Dateien mit authorized_keys Beispiel Automatische Archivierung ber drei Server hinweg Wenn Sie die Erfassen Berichten Architektur verwenden m ssen Sie die automatische Archivierung von einem Erfassungs auf einen Berichtsserver konfigurieren Diese Konfiguration automatisiert das Verschieben einer warmen Datenbank erfasster und verfeinerter Daten auf den Berichtsserver wo Sie dar ber berichten k nnen Es ist gute Praxis diese automatische Archivierung einmal pro Stunde einzuplanen anstatt einma
246. erplanung In einem gro en Netzwerk mit hohem Ereignisvolumen vielen komplexen geplanten Berichten und Alarmen und fortw hrender individueller Anpassung k nnen ein oder mehrere CA Enterprise Log Manager Server spezifische Rollen bernehmen Der CA Enterprise Log Manager Verwaltungsserver bernimmt die Konfigurations und Inhaltsverwaltung Der CA Enterprise Log Manager Berichtsserver verarbeitet Abfragen und Berichte Die agentenlosen CA Enterprise Log Manager Quellserver f r Protokolldateien bernehmen die Ereigniserfassung und verfeinerung Die CA Enterprise Log Manager Korrelation verarbeitet Ereigniskorrelation Wahlweise wird die berpr fung von Ereignissen aus wiederhergestellten Archivdatenbanken von einem CA Enterprise Log Manager Wiederherstellungspunktserver bernommen Hinweis Ein Remote Server bei dem es sich nicht um einen CA Enterprise Log Manager Server handelt wird f r die Speicherung archivierter Ereignisprotokolldatenbanken eingerichtet Dieses Setup ist ideal f r gro e Netzwerke Die Pfeile zeigen an dass der Verwaltungsserver die f r alle Server geltenden globalen Einstellungen verwaltet 28 Implementierungshandbuch Planen der Ereigniserfassung CA Enterprise Log Manager Netzwerk Server f r Verwaltungsserver Wiederherste MEA a aiaa Remote Speicherserver Planen der Ereigniserfassung Die Planung der Protokollerfassung f r Ihr Netzwerk basiert auf der Anzahl der Erei
247. erprise Log Manager Konfigurieren des iTech Ereignis Plugins f r CA Access Control Ereignisse Bevor Sie einen iRecorder so einrichten dass Ereignisse direkt an CA Enterprise Log Manager gesendet werden m ssen Sie einen Listener f r den Empfang dieser Ereignisse konfigurieren So konfigurieren Sie den Listener 1 Melden Sie sich als Benutzer mit Administratorrolle beim CA Enterprise Log Manager Server an 2 Klicken Sie auf die Registerkarte Verwaltung und erweitern Sie den Knoten CA Adapter Abfragen und Berichte Geplante Berichte Alarmverwaltung Verwaltung v Protokollerfassung gt Services gt Benutzer und Zugriffsverwaltung Protokollerfassungs Explorer gt 0 Agenten Explorer gt 0 Archivkatalogabfrage v CA Adapter gt I CA Audit SAPI Collector gt 0 CA Audit SAPI Router gt 9 iTechnology Ereignis Plugin gt 0 Ereignisverfeinerungs Bibliothek gt 0 Profile 3 Erweitern Sie den Knoten f r das iTechnology Ereignis Plugin 4 W hlen Sie den aktuellen CA Enterprise Log Manager Server aus um die lokalen Einstellungen anzuzeigen 5 Vergewissern Sie sich dass die AccessControl Zuordnungsdatei ganz oben in der Liste der ausgew hlten Zuordnungsdateien steht damit ein optimaler Betrieb gew hrleistet ist 6 Vergewissern Sie sich dass der Wert f r die Protokollebene auf NOTSET eingestellt ist damit alle Ereignisebenen erfasst werden 7 Klicken Sie auf Speichern 292 Implementi
248. erprise Log Manager Servers als untergeordneter Server siehe Seite 244 Beispiel Automatische Archivierung ber drei Server hinweg siehe Seite 178 42 Implementierungshandbuch Benutzer und Zugriffsplanung Benutzer und Zugriffsplanung Nachdem Sie den ersten CA Enterprise Log Manager Server installiert und sich bei diesem Server als EiamAdmin Benutzer angemeldet haben k nnen Sie den Benutzerspeicher einrichten einen Benutzer als Administrator konfigurieren und Kennwortrichtlinien festlegen Die Benutzer und Zugriffsplanung beschr nkt sich auf folgende Punkte m berlegen Sie ob Sie den standardm igen Benutzerspeicher auf diesem CA Enterprise Log Manager Server bernehmen oder einen externen Benutzerspeicher konfigurieren m chten Falls eine Konfiguration erforderlich ist notieren Sie sich die entsprechenden Werte in den bereitstehenden Arbeitsbl ttern m Bestimmen Sie den Benutzer der als erster Administrator fungieren soll Die CA Enterprise Log Manager Einstellungen k nnen nur von einem Administrator konfiguriert werden Definieren Sie Kennwortrichtlinien mit dem Ziel dass starke Kennw rter f r CA Enterprise Log Manager Benutzer verwendet werden Hinweis Sie k nnen Kennwortrichtlinien nur dann konfigurieren wenn Sie den Benutzerspeicher als Benutzerspeicher auf diesem CA Enterprise Log Manager Server einrichten Weitere Informationen Arbeitsblatt f r ein externes LDAP Verzeichnis siehe Seite 45
249. erungshandbuch Konfigurieren eines CA Access Control iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager Herunterladen und Installieren eines CA Access Control iRecorders Sie k nnen CA Access Control Ereignisse erfassen und an einen CA Enterprise Log Manager Server senden auch wenn CA Audit nicht installiert ist Wenn Sie Ereignisse auf diese Weise erfassen verwenden Sie einen eigenst ndigen iRecorder Den iRecorder erhalten Sie auf der CA Technologies Support Website Hinweis iRecorder werden nur mit CA Access Control ab Release 8 unterst tzt So k nnen Sie einen iRecorder herunterladen und installieren 1 Rufen Sie die folgende CA Technologies Website auf https support ca com irj portal anonymous phpdocs filePath 0 154 cacirecr8 certmatrix html caacirec 2 W hlen Sie den geeigneten iRecorder f r Ihre CA Access Control Version aus 3 Folgen Sie den Installationsanleitungen die Sie ber den Link Integration Guide in der Matrix aufrufen k nnen Konfigurieren eines eigenst ndigen CA Access Control iRecorders Gehen Sie wie unten beschrieben vor um den iRecorder so zu konfigurieren dass CA Access Control Ereignisse an CA Enterprise Log Manager gesendet werden Wichtig Ein eigenst ndiger iRecorder kann Ereignisse nur an ein Ziel senden Wenn Sie einen iRecorder auf die unten beschriebene Weise konfigurieren senden alle auf diesem System installierten iRecorder ihre Ereignisse ausschlie lich an
250. erver 22cecceeeeeseeeeeennnneneeeeenn 97 Deaktivieren des ODBC und JDBC Zugriffs auf den Ereignisprotokollspeicher 97 Aktivieren des Betriebs im FIPS Modus 222222eeeeeeeeeeeeeeeseneeeneneeeeeeeeeennnn 97 Anzeigen des Agenten Dashboards 2222eeeeeeeeeeeeeeeeeneneneeeneeeeeeeeneennnn 99 Hinzuf gen eines neuen CA Enterprise Log Manager Servers zu einer bereits vorhandenen F deration in der FIPS Modus aktiviert ist 22 2222oceeseeseenneeneennnnneneenennneneenen 101 Installationshinweise f r ein System mit SAN Laufwerken 222cceeeeseeeeeeseeeeeeenennnn 103 Installieren mit deaktivierten SAN Laufwerken 2 222ceseeseeeeeeeeeeeeeennnneneen 104 Installieren mit aktivierten SAN Laufwerken 222222ssseseeeesessenensnnnnnnnnnnnnnn 110 Erste CA Enterprise Log Manager Serverkonfigurationen 222222eeeeeeeeeeeeeeeeeeeenen 111 Stand rdbenutzerk nten eure ee re a a rm EEEE UN EEKE 112 Standardverzeichnisstruktur ssrssssssssersrssersvuniv utr EKEV EKEK EEVEE EVEKEN EEKE N EEEE 113 Benutzerspezifisches Betriebssystem Image nnnnnnnn nanan nn nunnana nanara r rnrn nrnna 113 Standardportzuweisungen nanna nnana enaena rnaen arrana nrar r annarr arrar r arrar 114 Liste der verwandten Prozesse 222222sssssssessesessnsnennnnnnnnnnnnnnnnnnnnn erann 116 Betriebssystemh rtung 22222ssssesesesessesssnnnnnnnnnnnnnnnnnnnnnnnnnsnennennnn 119 Umleiten von Firew
251. erver handelt speichert archivierte Ereignisprotokolldatenbanken Diese Konfiguration eignet sich f r Systeme wie etwa Testsysteme mit geringem Ereignisvolumen und wenigen geplanten Berichten CA Enterprise Log Manager Verwaltungs Erfassung Berichtsserver Remote Speicherserver 26 Implementierungshandbuch Serverplanung Auf diese einfachste Architektur folgt ein System mit mehreren Servern in dem der erste installierte CA Enterprise Log Manager Server die meisten Rollen bernimmt Der CA Enterprise Log Manager Verwaltungs und Berichtsserver bernimmt die Konfigurations und Inhaltsverwaltung Abfragen und Berichte sowie Ereigniskorrelation m Die agentenlosen CA Enterprise Log Manager Quellserver f r Protokolldateien bernehmen die Ereigniserfassung und verfeinerung Hinweis Ein Remote Server bei dem es sich nicht um einen CA Enterprise Log Manager Server handelt wird f r die Speicherung archivierter Ereignisprotokolldatenbanken eingerichtet Diese Architektur eignet sich f r ein Netzwerk mit mittlerem Ereignisvolumen Die Pfeile zeigen an dass ber die Verwaltungsfunktionen des Verwaltungs Berichtsservers die f r alle Server geltenden globalen Einstellungen verwaltet werden Sobald mehrere Quellserver vorhanden sind wird diese Architektur Hub and Spoke genannt CA Enterprise Log Manager Netzwerk Verwaltungs Berichtsserver Remote Speicherserver Kapitel 2 Planen der Umgebung 27 Serv
252. ervers Mit dieser Vorgehensweise k nnen Sie einen virtuellen CA Enterprise Log Manager Server klonen In dieser Vorgehensweise wird davon ausgegangen dass Sie bereits einen neuen virtuellen Rechner erstellt Festplattenlaufwerke hinzugef gt und CA Enterprise Log Manager installiert haben So klonen Sie einen virtuellen Server 1 Greifen Sie auf VMware VirtualCenter zu und suchen Sie den virtuellen Rechner der CA Enterprise Log Manager enth lt Schalten Sie den virtuellen Rechner aus falls dieser ausgef hrt wird W hlen Sie die Option Exportieren aus und legen Sie einen Ort f r den exportierten virtuellen Rechner fest Der VMware ESX Server bietet alternative Methoden zum Klonen virtueller Rechner Hinweis Weitere Informationen finden Sie in der VMware Dokumentation Importieren eines geklonten virtuellen Rechners in einen Zielserver Verwenden Sie diese Vorgehensweise um einen geklonten virtuellen Rechner in einen anderen Server zu importieren um ihn zu aktivieren So importieren Sie einen geklonten virtuellen Rechner 1 2 3 berpr fen Sie ob Sie einen Netzwerkzugriff auf den Zielhostserver haben Greifen Sie vom Server mit VMware ESC auf VMware VirtualCenter zu W hlen Sie die Option Importieren aus und suchen Sie den Zielserver Reagieren Sie bei Bedarf auf zus tzliche Eingabeaufforderungen Durch das Importieren wird der geklonte virtuelle Rechner zum Zielserver verschoben Weitere Informati
253. es CA Enterprise Log Manager Servers an opt CA SharedComponents iTechnology S99igateway stop ndern Sie die Verzeichnisse auf das Verzeichnis in dem der CA Enterprise Log Manager Agent ausgef hrt wird halten Sie den Agenten an und stellen Sie sicher dass der Dienst angehalten wurde cd opt CA ELMAgent bin caelmagent s ps ef grep opt CA Wechseln Sie ins Verzeichnis directory Laden Sie das neue Dateisystem auf data1 kopieren Sie den Inhalt des Verzeichnisses data ins Verzeichnis data1 und berpr fen Sie dass die zwei Verzeichnisse bereinstimmen mount t ext3 dev VolGroup01 LogVol00 datal cp pR data datal diff qr data datal Entladen Sie den vorhandenen Datenbereitstellungspunkt und entladen Sie anschlie end den Bereitstellungspunkt data1 umount data umount datal L schen Sie das Verzeichnis data und benennen Sie das Verzeichnis data1 um in data rm rf data mv datal data 108 Implementierungshandbuch Ger tename Keine Keine LABEL boot tmpfs devpts sysfs proc Keine 8 Installationshinweise f r ein System mit SAN Laufwerken ndern Sie in etc fstab die Zeile die sich auf das Verzeichnis data bezieht und richten Sie es auf das neue logischen Volume Das hei t ndern Sie dev VolGroup00 LogVoI02 in dev VolGroup01 LogVoI00 Die ver nderten Daten werden in Fettdruck in der folgenden Wiedergabe der Beispieldatei fstab angeze
254. es Volume Bereiten Sie das logische Volume f r CA Enterprise Log Manager vor Starten Sie die CA Enterprise Log Manager erneut Den wa a berpr fen Sie den Erfolg der Installation 104 Implementierungshandbuch Installationshinweise f r ein System mit SAN Laufwerken Wenn Sie das Betriebssystem mit deaktivierten SAN Laufwerken installieren arbeiten Sie mit den folgenden Dateien Ivm conf Die Konfigurationsdatei f r den Logical Volume Manager von Linux LVM2 multipath conf etc multipath conf Die Konfigurationsdatei f r den Linux Multipfad fstab etc fstab Die Datei der Dateisystemtabelle die Ger te zu Verzeichnissen in einem Linux System zuordnet Deaktivieren des SAN Laufwerks Verwenden Sie die empfohlenen Prozeduren des Anbieters Ihres SAN Laufwerks um die SAN Laufwerke auf der Hardware auf der Sie die Soft Appliance installieren m chten zu deaktivieren Deaktivieren Sie die SAN Laufwerke bevor Sie das Soft Appliance BS oder die CA Enterprise Log Manager Anwendung installieren Einrichten einer Multipfadkonfiguration f r SAN Speicher Der Multipfad muss f r CA Enterprise Log Manager Systeme konfiguriert werden die auf einem RAID System installiert sind das SAN Speicher verwenden soll Physische Datentr ger auf dem SAN werden in Speicherpl tze sogenannte logische Einheitennummern LUNS aufgeteilt So richten Sie eine Multipfadkonfiguration f r SAN Speicher ein 1 Melden Sie sich be
255. es bestimmten CA Enterprise Log Manager Servers beispielsweise vor allem Ereignisse der Cisco PIX Firewall empf ngt sollten die Dateien CiscoPIXFW XMPS und CiscoPIXFW DMS in der jeweiligen Liste ganz oben stehen Kapitel 8 Arbeiten mit der Ereignisverfeinerungs Bibliothek 249 Anhang A Aspekte f r CA Audit Benutzer Dieses Kapitel enth lt folgende Themen Unterschiede in der Architektur siehe Seite 251 Konfigurieren von CA Technologies Adaptern siehe Seite 259 Senden von CA Audit Ereignissen an CA Enterprise Log Manager siehe Seite 264 Grund f r den Import von Ereignissen siehe Seite 270 Importieren von Daten aus einer SEOSDATA Tabelle siehe Seite 272 Unterschiede in der Architektur Bei der Planung der gemeinsamen Verwendung von CA Audit und CA Enterprise Log Manager m ssen Sie zun chst die Unterschiede in der Architektur und deren Auswirkungen auf die Netzwerkstruktur kennen CA Enterprise Log Manager verwendet einen eingebetteten Ereignisprotokollspeicher und stellt einen Agenten Explorer f r die Konfiguration und Verwaltung von Agenten bereit Dank neuer Technologie gekoppelt mit einer ELM Schemadefinition k nnen Ereignisse schneller an den Speicher geleitet und eine gr ere Anzahl von Ereignisquellen unterst tzt werden Mit der ELM Schemadefinition kann CA Enterprise Log Manager Ereignisse aus vielen verschiedenen Ereignisquellen in einem einzelnen Datenbankschema normalisieren CA Enterprise Log
256. eschreibung TCP Port f r sichere Kommunikation zwischen Agent und CA Enterprise Log Manager Server dieser Portwert kann ge ndert werden Hinweis Falls kein ausgehender Datenverkehr zul ssig ist m ssen Sie diesen Port ffnen damit Vorg nge ordnungsgem ablaufen k nnen F r die Kommunikation zwischen ODBC oder JDBC Treiber und dem CA Enterprise Log Manager Ereignisprotokollspeicher wird ein Standard TCP Port verwendet TCP Port den der Opid Nachrichtenbus f r r12 1 Agenten zur Kommunikation verwendet TCP Port f r den Dispatcher Dienst auf dem Localhost des Agenten zum berwachen selbst berwachender Ereignisse zwischen Agentenprozessen TCP Port f r den Dispatcher Dienst auf dem Localhost des Agenten zum berwachen der Ereignisse von Client Connectors F r die Ereigniserfassung verwendete vom Portmapper zugewiesene UDP Ports Sie k nnen den SAPI Router und Collector auch so konfigurieren dass ein fester Portwert ber 1024 verwendet wird In der folgenden Tabelle finden Sie eine bersicht der Prozesse die als Teil einer CA Enterprise Log Manager Implementierung ausgef hrt werden In der Liste nicht enthalten sind Systemprozesse die zum jeweiligen Betriebssystem geh ren Standardport Beschreibung 6789 17001 Dies ist der CA Enterprise Log Manager Agentenprozess Je nachdem wonach Dies ist der CA Enterprise Log Manager der Prozess sucht Connector Prozess F r jeden auf einem Agenten bzw
257. eseeseneneeeeeneeeeenenn 162 Wissenswertes ber die automatische Archivierung 222eeeeeeeeeeeeeeeeneeeeeenenn 163 Flussdiagramm zum Verschieben der Datenbanken und Sicherungsstrategie 165 Konfigurieren von nicht interaktiver Authentifizierung f r die automatische Archivierung 167 Beispiel Konfigurieren von nicht interaktiver Authentifizierung f r Hub and Spoke 168 Beispiel Konfigurieren von nicht interaktiver Authentifizierung ber drei Server 177 Beispiel Automatische Archivierung ber drei Server hinweg cccenceeeenn 178 Einstellungen f r den Ereignisprotokollspeicher in einer einfachen Umgebung 185 Festlegen von Optionen f r den Ereignisprotokollspeicher cccesccceeeen 188 Konfigurieren des Korrelationsservices 222222o2neneeeeeennnneeneennnneeneeeeenneenennn 189 Anwenden der Korrelationsregeln und der Incidents Benachrichtigungen 190 Verwenden von vordefinierten Korrelationsregeln 22cceessseeseeeeeeennn 191 Erfassungsserver festlegen 2222ccocsseeeeseeseeenenseseeeenneneeeeeeenneeeeeee 195 So k nnen Sie Incidents Benachrichtigungen entwerfen und anwenden 22222 196 So erstellen Sie ein Benachrichtigungsziel 2222ccconeeeee nennen 197 Hinweise zum Incident Service nannan annann ennn o rror roro r sorro rror r orror r errre 201 Hin
258. espeichert Die EPHI Berichte sind Berichte die sich auf die HIPAA Sicherheit beziehen wobei EPHI f r Electronic Protected Health Information Elektronisch gesch tzte Gesundheitsinformationen steht Mit diesen Berichten k nnen Sie einfach demonstrieren dass alle einzeln feststellbaren Gesundheitsinformationen der Patienten die elektronisch erstellt verwaltet oder bertragen werden auch gesch tzt sind Glossary 425 Ereignis Alarmausgabeprozess Ereignisaggregation Der Ereignis Alarmausgabeprozess ist der IT PAM Prozess von CA durch den ein Produkt eines anderen Herstellers aufgerufen wird um auf Alarmdaten zu reagieren die in CA Enterprise Log Manager konfiguriert werden Sie k nnen einen CA IT PAM Prozess beim Planen eines Alarmjobs als Ziel ausw hlen Wenn ein Alarm zur Ausf hrung des CA IT PAM Prozesses f hrt sendet CA Enterprise Log Manager CA IT PAM Alarmdaten CA IT PAM leitet diese zusammen mit eigenen Verarbeitungsparametern als Teil des Ereignis Alarmausgabeprozesses an das Produkt des anderen Herstellers weiter Unter Ereignisaggregation versteht man den Prozess in dem hnliche Protokolleintr ge in einen Eintrag konsolidiert werden der die Anzahl der Vorkommnisse des Ereignisses enth lt ber Zusammenfassungsregeln wird definiert wie Ereignisse aggregiert werden Ereignisaktion event_action Ereigniserfassung Ereignisfilterung Die Ereignisaktion ist das ereignisspezifische Feld auf der vierten
259. ess Automation Manager wird ge ffnet Details zur Integration und Verwendung von CA IT PAM mit CA Enterprise Log Manager finden Sie im CA Enterprise Log Manager Administrationshandbuch im Kapitel Aktionsalarme im Abschnitt Arbeiten mit CA IT PAM Ereignis Ausgabeprozessen 320 Implementierungshandbuch Anhang D Disaster Recovery Dieses Kapitel enth lt folgende Themen Planen einer effizienten Zur ckgewinnung Disaster Recovery siehe Seite 321 Wissenswertes ber das Sichern des CA EEM Servers siehe Seite 322 Sichern einer CA EEM Anwendunssinstanz siehe Seite 323 Wiederherstellen eines CA EEM Servers f r die Verwendung mit CA Enterprise Log Manager siehe Seite 324 Sichern eines CA Enterprise Log Manager Servers siehe Seite 325 Wiederherstellen eines CA Enterprise Log Manager Servers mit Hilfe von Sicherungsdateien siehe Seite 326 Wiederherstellen von CA Enterprise Log Manager Server nach automatischem Software Update siehe Seite 327 Ersetzen eines CA Enterprise Log Manager Servers siehe Seite 327 Planen einer effizienten Zur ckgewinnung Disaster Recovery Das Planen einer effizienten Zur ckgewinnung Disaster Recovery genannt ist unumg nglicher Teil eines jeden guten Plans f r die Netzwerkverwaltung Die Disaster Recovery Planung f r CA Enterprise Log Manager ist relativ einfach und unkompliziert Der Schl ssel zu einer erfolgreichen Disaster Recovery f r CA Enterprise Log Manager liegt in regel
260. ess Control Ereignissen importiert werden muss Nehmen Sie f r dieses Beispiel an dass nur die Ereignisse eines Zeitraums von zwei Monaten importiert werden m ssen Sie k nnen den Vorschaubefehl so anpassen dass eine kleinere Gruppe von Ereignissen anhand eines Datums importiert wird 300 Implementierungshandbuch Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank 2 ndern Sie die Importparameter so dass ein Zeitraum angegeben wird und f hren Sie die Vorschau noch einmal mit folgendem Befehl aus LMSeosImport exe dsn My Audit DSN user sa password sa target My CA ELM Server log eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 preview Mit dem ge nderten Befehl werden Daten wie die folgenden angezeigt Import started on Fri Jan 2 15 41 23 2009 No transport specified defaulting to SAPI Preparing ODBC connections Successfully attached to source My Audit _DSN No starting ENTRYID specified using minimum ENTRYID of 1 Import preview running please wait eTrust AC 2349 Last EntryId processed 5167810102 Successfully detached from source My_Audit_DSN Exiting Import Diese Importvorschau zeigt dass sich durch den Zeitraum eine kleinere Untergruppe von zu importierenden Ereignissen ergibt Jetzt k nnen Sie den eigentlichen Import durchf hren Weitere Informationen Wissenswertes ber die LMSeoslmport Befehlszeile siehe Seite 274 Vorschau der I
261. esse mit denen ein dauerhafter Betrieb sichergestellt wird Genaue Informationen finden Sie im CA EEM Handbuch Erste Schritte Wissenswertes ber das Sichern des CA EEM Servers Die Konfigurationen f r die einzelnen CA Enterprise Log Manager Server Agenten und Connectors sowie f r Abfragen Berichte Alarme usw werden separat im CA EEM Repository des CA Enterprise Log Manager Servers verwaltet Wesentlich f r eine erfolgreiche Wiederherstellung des Servers ist dass Sie regelm ig Sicherungskopien der in der CA Enterprise Log Manager Anwendungsinstanz gespeicherten Daten anlegen Bei einer Anwendungsinstanz handelt es sich um allgemeinen Speicherplatz im CA EEM Repository in dem folgende Informationen gespeichert werden Benutzer Gruppen und Zugriffsrichtlinien m Konfigurationen f r Agenten Integrationen Listener und Connectors sowie gespeicherte Konfigurationen Benutzerdefinierte Abfragen Berichte sowie Unterdr ckungs und Zusammenfassungsregeln m F derationsbeziehungen m Informationen zur Bin rcodeverwaltung Verschl sselungscodes 322 Implementierungshandbuch Sichern einer CA EEM Anwendungsinstanz Sie k nnen die CA EEM Sicherung ber die CA EEM Webbrowseroberfl che durchf hren Normalerweise verwenden alle CA Enterprise Log Manager Server in einem Unternehmen dieselbe Anwendunsgsinstanz Der Wert f r die standardm ige CA Enterprise Log Manager Anwendunsgsinstanz lautet CAELM Sie k nnen CA Ente
262. et sich auf einem Windows Computer Der Datenbankname f r die SEOSDATA Tabelle lautet My_Audit_DSN Der Name des Datenbankbenutzers und das zugeh rige Kennwort lauten beide sa In der Importvorschau wird lediglich der Protokollname als Such und Importkriterium verwendet Die Ausgabe des Befehls mit der Option preview sendet Beispielimportergebnisse an STDOUT In diesem Beispiel wird der Wert My_CA ELM_Server f r den Namen des CA Enterprise Log Manager Servers verwendet Anhang B Aspekte f r CA Access Control Benutzer 299 Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank So zeigen Sie eine Vorschau des Imports an 1 Zeigen Sie eine Vorschau des CA Access Control Ereignisimports mit dem folgenden Befehl an LMSeosImport exe dsn My Audit DSN user sa password sa target My CA ELM Server log eTrust Access Control preview Mit dem Befehl preview werden Daten hnlich der folgenden angezeigt Import started on Fri Jan 2 15 35 37 2009 No transport specified defaulting to SAPI Preparing ODBC connections Successfully attached to source My Audit _DSN No starting ENTRYID specified using minimum ENTRYID of 1 Import preview running please wait eTrust AC 143762 Last EntryId processed 101234500 Successfully detached from source My Audit _DSN Exiting Import In den Vorschauergebnissen wird angegeben dass eine relativ gro e Anzahl von CA Acc
263. f Status anzeigen Es wird eine Detail bersicht mit dem Status der Agenten bzw Connectors angezeigt die den Suchkriterien entsprechen Beispiel Summe 10 Wird ausgef hrt 8 Ausstehend 1 Beendet 1 Antwortet nicht 0 7 Optional Klicken Sie auf die Statusanzeige um Detailinformationen im Statusfenster unten in der bersicht einzublenden Hinweis Wenn Sie auf die Schaltfl che f r den Bedarfsstatus eines Agenten oder Connectors klicken wird die Statusanzeige aktualisiert 8 Optional Falls Connectors angezeigt werden w hlen Sie einen Connector aus und klicken Sie auf Neu starten Start oder Beenden Falls Agenten angezeigt werden w hlen Sie einen Agenten aus und klicken Sie auf Neu starten 238 Implementierungshandbuch Kapitel 7 Erstellen von F derationen Dieses Kapitel enth lt folgende Themen Abfragen und Berichte in einer f derierten Umgebung siehe Seite 239 Hierarchischer Verbund siehe Seite 240 Netzverbund siehe Seite 242 Konfigurieren einer CA Enterprise Log Manager F deration siehe Seite 244 Abfragen und Berichte in einer f derierten Umgebung Ein einzelner CA Enterprise Log Manager Server gibt als Antwort auf Abfragen und zum Erstellen von Berichten Daten aus seiner internen Ereignisdatenbank zur ck Falls Sie ber eine F deration Verbund von CA Enterprise Log Manager Servern verf gen k nnen Sie steuern wie Ereignisinformationen in Abfragen und Berichten zur ckgegeben
264. f derierten Daten umfassen Daten vom Zielserver sowie Daten von Unter oder Gleichordnungen dieses Servers sofern vorhanden Funktionszuordnungen sind ein optionaler Teil der Datenzuordnungsdatei f r eine Produktintegration Mit einer Funktionszuordnung kann ein CEG Feld gef llt werden wenn der ben tigte Wert nicht direkt vom Quellereignis abgerufen werden kann Alle Funktionszuordnungen bestehen aus dem Namen des CEG Feldes einem vordefinierten oder Klassenfeldwert und der Funktion mit der der Wert abgerufen oder berechnet wird Gespeicherte Konfiguration Globale Gruppe Globale Konfiguration Globale Ressource Eine gespeicherte Konfiguration ist eine gespeicherte Konfiguration mit den Werten f r die Datenzugriffsattribute einer Integration die als Vorlage bei der Erstellung einer neuen Integration verwendet werden kann Eine globale Gruppe ist eine Gruppe die von mehreren Anwendungsinstanzen gemeinsam verwendet wird die im selben CA Enterprise Log Manager Management Server registriert sind Jeder Benutzer kann einer oder mehreren globalen Gruppen zugeordnet werden Zugriffsrichtlinien k nnen mit globalen Gruppen als Identit ten definiert werden denen die Durchf hrung bestimmter Aktionen in ausgew hlten Ressourcen gew hrt oder verweigert wird Die global Konfiguration bezeichnet eine Reihe von Einstellungen die alle CA Enterprise Log Manager Server betreffen die denselben Management Server verwenden Eine globale
265. f gbaren Speicherplatz auf dem Berichtsserver in Betracht Der Grenzwert wird durch die Konfiguration der Einstellung Festplattenspeicher f r Archiv vorgegeben Falls der verf gbare Speicherplatz unter den festgelegten Prozentsatz f llt werden Ereignisprotokolldaten gel scht um Platz zu schaffen auch wenn die Maximale Anzahl an Archivtagen f r diese Daten noch nicht abgelaufen ist Falls Sie keine automatische Archivierung von einem Berichtsserver auf einen Remote Speicherserver verwenden m ssen Sie die Standby Datenbanken manuell sichern und die Kopie manuell an den Remote Speicherort verschieben und zwar h ufiger als die festgelegte Maximale Anzahl an Archivtagen Andernfalls k nnen Daten verloren gehen Es wird empfohlen Archivdateien t glich zu sichern um Datenverluste zu vermeiden und ausreichend Speicherplatz zu gew hrleisten Der Ereignisprotokollspeicherservice verwaltet seinen eigenen internen Cache f r Abfragen in archivierten Datenbanken So l sst sich die Leistung verbessern falls wiederholte oder sehr weit gefasste Abfragen durchgef hrt werden Weitere Informationen zur Arbeit mit Archivdateien finden Sie im CA Enterprise Log Manager Administrationshandbuch Weitere Informationen Beispiel Automatische Archivierung ber drei Server hinweg siehe Seite 178 Wissenswertes ber die automatische Archivierung Die Verwaltung gespeicherter Ereignisprotokolle erfordert einen sorgf ltigen Umgang mit Sicherun
266. f oder eine Mindestanzahl von Zahlen bzw Ziffern enthalten sein muss 7 Legen Sie Richtlinien f r das Kennwortalter und die Wiederverwendung von Kennw rtern fest 8 berpr fen Sie die Einstellungen und klicken Sie auf Speichern 9 Klicken Sie auf Schlie en Die konfigurierten Kennwortrichtlinien gelten f r alle CA Enterprise Log Manager Benutzer Weitere Informationen Planen der Kennwortrichtlinien siehe Seite 49 Benutzername als Kennwort siehe Seite 49 Kennwortalter und Wiederverwendung von Kennw rtern siehe Seite 50 L nge und Format von Kennw rtern siehe Seite 50 Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration 149 Aufbewahren vordefinierter Zugriffsrichtlinien Aufbewahren vordefinierter Zugriffsrichtlinien Falls Sie beabsichtigen ausschlie lich vordefinierte Anwendungsbenutzergruppen oder rollen mit den zugeh rigen vordefinierten Richtlinien zu verwenden besteht ein gewisses Risiko dass die vordefinierten Richtlinien versehentlich gel scht oder unbrauchbar werden Falls Ihre Administratoren beabsichtigen eigene Rollen mit den zugeh rigen Zugriffsrichtlinien zu verwenden werden die vordefinierten Richtlinien bearbeitet wobei es zu unbeabsichtigten nderungen kommen kann Daher empfiehlt es sich eine Sicherungskopie der urspr nglichen vordefinierten Richtlinien zu erstellen so dass die Richtlinien ggf wiederhergestellt werden k nnen Erstellen Sie mit der Exportfunktion ein
267. ffs auf den Ereignisprotokollspeicher Sie k nnen den Zugriff von ODBC und JDBC auf Ereignisse im Ereignisprotokollspeicher verhindern indem Sie die Optionen im Dialogfeld Konfiguration des ODBC Dienstes verwenden Wenn Sie Ihr f deriertes Netzwerk im FIPS Modus ausf hren m chten deaktivieren Sie den ODBC und JDBC Zugriff um in bereinstimmung mit Bundesstandards zu bleiben So deaktivieren Sie den ODBC und JDBC Zugriff 1 Melden Sie sich beim CA Enterprise Log Manager Server an und w hlen Sie die Registerkarte Verwaltung aus 2 Klicken Sie auf die Unterregisterkarte Services und erweitern Sie dann den Knoten ODBC Service 3 W hlen Sie den gew nschten Server aus 4 Deaktivieren Sie das Kontrollk stchen Dienste aktivieren und klicken Sie anschlie end auf Speichern Hinweis Deaktivieren Sie die ODBC Option f r alle CA Enterprise Log Manager Server in einer F deration um sicherzustellen dass ODBC und JDBC deaktiviert wurden Aktivieren des Betriebs im FIPS Modus Sie k nnen die FIPS Modus Optionen im Systemstatusdienst verwenden um den FIPS Modus ein und auszuschalten Der standardm ige FIPS Modus ist Nicht FIPS Die Administratoren unter den Benutzern m ssen den FIPS Modus f r jeden CA Enterprise Log Manager Server in einem Verbund festlegen Wichtig Sie k nnen innerhalb des gleichen Verbunds nicht mit gemischten Modi arbeiten Server innerhalb eines Verbunds die in einem unterschiedlichen
268. figurationsdateien bearbeiten Konfigurieren Sie diesen Service bevor Sie die Audit Richtlinien oder die Konfigurationen f r den SAPI Recorder ndern damit keine Ereignisse verloren gehen 262 Implementierungshandbuch Konfigurieren von CA Technologies Adaptern So konfigurieren Sie den SAPI Router Service 1 Melden Sie sich beim CA Enterprise Log Manager Server an und w hlen Sie die Registerkarte Verwaltung aus Die untergeordnete Registerkarte Protokollerfassung wird standardm ig angezeigt Erweitern Sie den Eintrag CA Technologies Adapter W hlen Sie den SAPI Router Service aus Eine Beschreibung der einzelnen Felder finden Sie in der Online Hilfe N Be ae gt Klicken Sie abschlie end auf Speichern Wissenswertes ber das iTechnology Ereignis Plugin Das iTechnology Ereignis Plugin empf ngt Ereignisse die ber den iGateway Mechanismus f r die Ereignisverarbeitung gesendet wurden Konfigurieren Sie das iTechnology Ereignis Plugin falls mindestens einer der folgenden Punkte auf Ihre Umgebung zutrifft m Ihr Netzwerk weist bestehende iRecorder auf f r die es keine CA Audit Clients auf demselben System gibt m Sie verf gen ber andere Produkte wie etwa CA EEM die Ereignisse ber iTechnology weiterleiten k nnen Nach Eingang eines Ereignisses wird dieses von diesem Service an die Zuordnungsbibliothek bermittelt Anschlie end wird das zugeordnete Ereignis von CA Enterprise Log Manager in d
269. folgendem Befehl auf den root Benutzer um su 4 Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content 5 F hren Sie folgenden Befehl aus ImportCALMDM sh Das Shell Skript importiert die Datenzuordnungsdateien vom CA EEM Server Importieren der Dateien f r die ELM Schemadefinition Symptom W hrend der Installation wurden die Dateien f r die ELM Schemadefinition nicht richtig vom CA EEM Server importiert Die ELM Schemadefinition ist das zugrunde liegende Datenbankschema f r den Ereignisprotokollspeicher Ohne die Dateien f r die ELM Schemadefinition k nnen keine Ereignisse im CA Enterprise Log Manager Ereignisprotokollspeicher gespeichert werden Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Dateien f r die ELM Schemadefinition manuell So importieren Sie die Dateien f r die ELM Schemadefinition 1 Rufen Sie auf dem CA Enterprise Log Manager Server eine Befehlszeile auf 2 Melden Sie sich mit den Anmeldedaten des caelmadmin Kontos an 3 Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su 4 Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content 5 F hren Sie folgenden Befehl aus ImportCALMCEG sh Das Shell Skript importiert die Dateien f r die ELM Schemadefinition Kapitel 3 Installieren von CA Enterprise Log Manager 137 Fehlerbehebung
270. fsprogramm LMArchive ausf hrt um CA Enterprise Log Manager zu benachrichtigen dass die Datenbank gesichert wurde Administratoren m ssen warmen Datenbanken sichern und dieses Hilfsprogramm ausf hren bevor die Datenbanken gel scht werden Eine warme Datenbank wird automatisch gel scht wenn ihr Alter den f r Maximale Anzahl an Archivtagen konfigurierten Wert erreicht oder wenn der f r Festplattenspeicher f r Archiv konfigurierte Schwellenwert erreicht wird je nachdem welcher Wert zuerst erreicht wird Sie k nnen die Archivdatenbank abfragen um kalte und warme Datenbanken zu ermitteln Datenbankstatus verf gbar gemacht Der Datenbankstatus verf gbar gemacht ist der Status der einer Datenbank zugewiesen wird die im Archivverzeichnis wiederhergestellt wurde nachdem der Administrator das Hilfsprogramm LMArchive ausgef hrt hat um CA Enterprise Log Manager mitzuteilen dass die Datenbank wiederhergestellt wurde Verf gbar gemachte Datenbanken bleiben f r die Anzahl der Stunden erhalten die f r die Exportrichtlinie konfiguriert wurde Ereignisprotokolle k nnen in Datenbanken mit dem Status hei warm und verf gbar gemacht abgefragt werden Datenbankstatus warm Der Datenbankstatus warm bezeichnet den Status in dem eine hei e Datenbank von Ereignisprotokollen verschoben wird wenn die Gr e Maximale Zeilenanzahl der hei en Datenbank berschritten wird oder wenn nach der Wiederherstellung einer kalten Da
271. fsprogramm verwenden sobald es in das vorgesehene Verzeichnis kopiert wurde Eine eigene Installation ist nicht erforderlich 296 Implementierungshandbuch Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Kopieren des Hilfsprogramms f r den Ereignisimport auf einen Solaris Data Tools Server Bevor Sie Daten aus der SEOSDATA Tabelle importieren k nnen m ssen Sie das Hilfsprogramm LMSeosImport von der CA Enterprise Log Manager Anwendunssinstallations DVD ROM auf Ihren Solaris Data Tools Server kopieren Hinweis F r das Hilfsprogramm LMSeosImport m ssen die Bibliotheken etsapi und etbase vorhanden sein Diese Dateien geh ren zum Umfang der Basisinstallation des Data Tools Servers Vergewissern Sie sich vor der Verwendung des Hilfsprogramms LMSeosImport dass die PATH Systemanweisung das CA Audit Installationsverzeichnis enth lt Das Standardverzeichnis ist opt CA eTrustAudit bin Legen Sie die folgenden Umgebungsvariablen mit dem Befehl env fest bevor Sie das Hilfsprogramm ausf hren ODBC_HOME lt CA Audit Data Tools Installationsverzeichnis gt odbc a ODBCINI lt CA Audit Data Tools Installationsverzeichnis gt odbc odbec ini So kopieren Sie das Hilfsprogramm 1 Rufen Sie auf dem Solaris Data Tools Server eine Eingabeaufforderung auf 2 Legen Sie die CA Enterprise Log Manager Anwendunsgsinstallations DVD ROM ein 3 Navigieren Sie zu dem Verzeichnis CA ELM Solaris_sparc
272. ftware Updates l dt die Bin raktualisierungen an alle Clients herunter und leitet die Inhaltsaktualisierungen an CA EEM weiter Wenn andere Proxys definiert sind erh lt dieser Server die automatischen Software Updates immer noch aber er wird von Clients nur dann wegen Aktualisierungen kontaktiert wenn keine Proxy Liste f r automatische Software Updates konfiguriert wurde bzw wenn die konfigurierte Liste ersch pft ist Proxys f r Software Updates f r Client Die Proxys f r Software Updates f r den Client bilden die Proxy Liste f r automatische Software Updates die der Client in einem Ringversuch kontaktiert um die CA Enterprise Log Manager Software und die Betriebssystem Software Updates abzurufen Wenn ein Proxy besch ftigt ist wird der n chste in der Liste kontaktiert Wenn keiner zur Verf gung steht und der Client online ist wird der Standard Proxy f r Software Updates verwendet Proxys f r Software Updates f r Inhaltsaktualisierungen Proxys f r Software Updates f r Inhaltsaktualisierungen sind die Proxys die f r die Aktualisierung des CA Enterprise Log Manager Management Servers mit Inhaltsaktualisierungen ausgew hlt wurden die vom CA Server f r automatische Software Updates heruntergeladen werden Ein bew hrtes Verfahren ist die Konfiguration mehrerer Proxys aus Gr nden der Redundanz Prozess mit dynamischen Werten Ein Prozess mit dynamischen Werten ist ein CA IT PAM Prozess den Sie aufrufen um die Wert
273. g Integrationen und Listener 2 Erstellen Sie einen Syslog Connector 3 berpr fen Sie ob der CA Enterprise Log Manager Server Syslog Ereignisse empf ngt Kapitel 6 Konfigurieren der Ereigniserfassung 221 Konfigurieren des Standardagenten berpr fen von Syslog Integrationen und Listenern Sie k nnen die standardm igen Syslog Integrationen und Listener berpr fen bevor Sie einen Connector erstellen Listener sind im Wesentlichen Vorlagen f r Syslog Connectors die spezifische vorgefertigte und mit dem CA Enterprise Log Manager Server bereitgestellte Syslog Integrationen verwenden So berpr fen Sie Syslog Integrationen 1 Melden Sie sich bei CA Enterprise Log Manager an und rufen Sie die Registerkarte Verwaltung auf Klicken Sie auf die Unterregisterkarte Bibliothek und erweitern Sie den Knoten Ereignisverfeinerungs Bibliothek Erweitern Sie den Knoten Integrationen und den Knoten Automatisches Software Update W hlen Sie eine Integration aus deren Name mit _Syslog endet Die Details zur Integration werden im Fenster auf der rechten Seite angezeigt Sie k nnen die von der Integration verwendete Nachrichtenanalyse und Datenzuordnungsdatei sowie andere Informationen wie etwa die Version und Listen der Unterdr ckungs und Zusammenfassungsregeln berpr fen So berpr fen Sie einen Syslog Listener 1 Erweitern Sie den Knoten Listener und den Knoten Automatisches Software U
274. g Manager Quellservern f r Protokolldateien verarbeitet und gespeichert m Die Ereignisse werden von verschiedenen Ereignisquellen durch das Protokollerfassungsnetzwerk geleitet nachdem Sie die entsprechenden Connectors bzw Adapter konfiguriert haben Kapitel 3 Installieren von CA Enterprise Log Manager 77 Erstellen der Installations DVDs Erstellen der Installations DVDs Die CA Enterprise Log Manager Software steht in Form herunterladbarer verpackter ISO Images zur Verf gung Nachdem Sie die Software heruntergeladen haben m ssen Sie DVD Datentr ger erstellen bevor Sie die Installation durchf hren k nnen Gehen Sie wie unten beschrieben vor um die ISO Images herunterzuladen und die Installationsmedien zu erstellen So erstellen Sie die Installations DVDs 1 Greifen Sie auf einem mit dem Internet verbundenen Computer ber http ca com support auf den Download Server zu Klicken Sie auf den Link f r den technischen Support und dann auf den Link f r das Download Center W hlen Sie im Feld f r die Produktauswahl Select a Product den Eintrag CA Enterprise Log Manager aus und w hlen Sie dann im Feld f r die Releaseauswahl Select a Release die gew nschte Version aus Aktivieren Sie das Kontrollk stchen zur Auswahl aller Komponenten Select all components und klicken Sie auf Go Die Download Seite f r ver ffentlichte L sungen Published Solutions Downloads wird angezeigt W hlen Sie d
275. gen und wiederhergestellten Dateien Die Konfiguration des Ereignisprotokollspeicherservice bietet Ihnen einen zentralen Ort f r die Konfiguration und Optimierung von internen Datenbankgr en und Aufbewahrungszeiten sowie f r die Festlegung von Optionen f r die automatische Archivierung CA Enterprise Log Manager unterst tzt Sie mit folgenden Skripten bei diesen Aufgaben backup ca elm sh m restore ca elm sh m monitor backup ca elm sh Kapitel 5 Konfigurieren von Services 163 Konfigurieren des Ereignisprotokollspeichers Hinweis Die Verwendung dieser Skripten setzt voraus dass Sie die nicht interaktive Authentifizierung zwischen den beiden Servern mittels RSA Schl sseln eingerichtet haben Die Sicherungs und Wiederherstellungsskripten verwenden das Hilfsprogramm LMArchive um Ihnen das Kopieren von Standby Datenbanken auf und von Remote Hosts zu erleichtern Die entsprechenden Katalogdateien werden nach Abschluss der Aufgaben automatisch von den Skripten aktualisiert Sie k nnen auf Remote Server oder auf andere CA Enterprise Log Manager Server kopieren Falls es sich bei dem Remote Host an den Sie Dateien senden um einen CA Enterprise Log Manager Server handelt werden die Katalogdateien auch auf dem empfangenden Server automatisch von den Skripten aktualisiert Die Skripten l schen ferner die Archivdateien vom lokalen Rechner um doppelte Eintr ge in F derationsberichten zu vermeiden So wird sichergestellt dass Daten
276. genten relativ nahe bei den Ereignisquellen deren Ereignisprotokolle erfasst werden sollen Die meisten Connectors erfassen nur die Ereignisse einer einzigen Ereignisquelle Bei Syslog Ereignissen kann ein einzelner Syslog Listener Ereignisse aus mehreren Arten von Ereignisquellen empfangen Ein Agent kann den Ereignisstrom von mehreren Connectors steuern und verarbeiten Wissenswertes ber die Syslog Ereigniserfassung CA Enterprise Log Manager kann Ereignisse direkt von Syslog Quellen empfangen Die Syslog Erfassung unterscheidet sich von anderen Erfassungsmethoden da mehrere unterschiedliche Ereignisquellen gleichzeitig Ereignisse an CA Enterprise Log Manager senden k nnen Netzwerk Router und VPN Concentrators sind zwei m gliche Ereignisquellen Beide k nnen ber Syslog Ereignisse direkt an CA Enterprise Log Manager senden das Protokollformat und die Protokollstruktur sind allerdings unterschiedlich Ein Syslog Agent kann beide Arten von Ereignissen gleichzeitig ber den bereitgestellten Syslog Listener empfangen Kapitel 2 Planen der Umgebung 65 Agentenplanung Allgemein kann die Ereigniserfassung in zwei Kategorien unterteilt werden m CA Enterprise Log Manager sucht auf konfigurierbaren Ports nach Syslog Ereignissen CA Enterprise Log Manager berwacht andere Ereignisquellen auf Ereignisse beispielsweise mittels WMI zum Erfassen von Windows Ereignissen Mehrere Syslog Ereignisquellen k nnen Ereignisse ber einen e
277. ggf m glich Sie k nnen verschiedene Syslog Listener mit unterschiedlichen Standardwerten f r Ports vertrauensw rdige Hosts usw erstellen Hierdurch l sst sich eventuell die Erstellung von Connectors vereinfachen falls Sie beispielsweise viele Connectors f r jede Art von Syslog Ereignis erstellen m ssen Weitere Informationen Standardbenutzerkonten siehe Seite 112 Umleiten von Firewall Ports f r Syslog Ereignisse siehe Seite 120 Agenten und das Agentenzertifikat Das vordefinierte Zertifikat CAELM_AgentCert cer wird von allen Agenten verwendet um mit ihrem CA Enterprise Log Manager Server zu kommunizieren Wenn Sie dieses Zertifikat durch ein benutzerdefiniertes Zertifikat ersetzen empfehlen wir dies vor der Installation von Agenten durchzuf hren Wenn Sie ein benutzerdefiniertes Zertifikat implementieren nachdem Agenten installiert und am CA Enterprise Log Manager Server registriert worden sind m ssen Sie jeden Agenten deinstallieren die Agenteneingabe aus dem Agenten Explorer l schen den Agenten neu installieren und die Connectors neu konfigurieren Kapitel 2 Planen der Umgebung 67 Agentenplanung Wissenswertes ber Agenten Agenten werden nach der Installation als Service oder Daemon ausgef hrt Sie sind optionale Produktkomponenten die in den folgenden Situationen verwendet werden k nnen Ein kleiner entfernter Standort muss Ereignisdaten erfassen ben tigt jedoch keine vollst ndige CA Enterpr
278. gleicher Zeichen enthalten sein darf oder eine Mindestanzahl von Zahlen bzw Ziffern enthalten sein muss m Starke Kennw rter sind niemals W rter aus einem W rterbuch m Starke Kennw rter enthalten ein oder mehrere Zeichen aus mindestens drei der folgenden vier Gruppen Kleinbuchstaben Gro buchstaben Ziffern und Sonderzeichen Planen von automatischen Software Updates Dieser Abschnitt enth lt Informationen und Vorg nge im Zusammenhang mit der Planung von automatischen Software Updates f r Ihre CA Enterprise Log Manager Umgebung Weitere Informationen Service automatischer Software Updates siehe Seite 52 Funktionsweise automatischer Software Updates siehe Seite 53 Planen automatischer Software Updates siehe Seite 55 Architektur automatischer Software Updates siehe Seite 57 Architektur f r automatische Software Updates im Offline Modus siehe Seite 60 Kapitel 2 Planen der Umgebung 51 Planen von automatischen Software Updates Service automatischer Software Updates Ihre Umgebung kann aus einem Server der alle Aufgaben erf llt oder aus mehreren Servern bestehen die alle eine oder mehrere bestimmte Rollen auszuf hren wie die Erfassung Korrelation oder Berichterstellung Sie verwenden den Service automatischer Software Updates um Ihre Server im Hinblick auf Inhalt Betriebssystem und Produktaktualisierungen auf dem aktuellsten Stand zu halten Der Service automatischer Software Updates verwendet ein Prox
279. gnisse pro Sekunde EpS die zur Speicherung verarbeitet werden m ssen und auf der erforderlichen Online Aufbewahrungszeit der Daten Online bedeutet in diesem Fall sofort durchsuchbar In der Regel werden die Daten 30 bis 90 Tage lang online aufbewahrt Jedes Netzwerk hat sein eigenes Ereignisvolumen je nachdem wie viele Ger te und welche Ger tetypen verwendet werden und in welchem Umfang Netzwerkger te und anwendungen wie etwa Firewalls an die Ereignisinformationsanforderungen des Unternehmens angepasst sind So erzeugen beispielsweise manche Firewalls je nach Konfiguration gro e Mengen berfl ssiger Ereignisse Kapitel 2 Planen der Umgebung 29 Planen der Ereigniserfassung Planen Sie Ihre Ereigniserfassung m glichst so dass das gesamte Ereignisvolumen gleichm ig auf alle CA Enterprise Log Manager Server verteilt wird so dass jeder Server nur eine normale konstante Arbeitslast verarbeiten muss Damit bei den in Unternehmen blichen Ereignisvolumen eine optimale Leistung erzielt werden kann empfiehlt sich die Installation von mindestens zwei f derierten CA Enterprise Log Manager Servern Ein CA Enterprise Log Manager Berichtsserver f r die Verarbeitung von Abfragen Berichten und Alarmen die Alarmverwaltung die Verwaltung von automatischen Software Updates sowie die Benutzerauthentifizierung und autorisierung m Mindestens ein spezifisch f r die Maximierung von Datenbankeinf gungen konfigurierter agentenlos
280. gramm f r die Aufbewahrung entsprechend diesen Richtlinien automatisch nach Berichten sucht die gel scht werden k nnen Wenn das Hilfsprogramm f r die Berichtsaufbewahrung beispielsweise einmal t glich ausgef hrt wird werden die Berichte deren Alter den ausgew hlten Zeitraum berschreitet gel scht Konfiguration automatischer Software Updates Nachdem Sie Ihre Architektur f r automatische Software Updates geplant haben k nnen Sie Ihre CA Enterprise Log Manager Umgebung konfigurieren um automatische Software Updates zu implementieren Es folgt eine bersicht ber den Konfigurationsvorgang f r automatische Software Updates Weitere Details zu jedem Schritt finden Sie in den entsprechenden Vorg ngen 1 Konfigurieren Sie auf Ihre Architektur f r automatische Software Updates aufbauend jeden Server als Proxy oder Client Geben Sie im Bedarfsfall einen oder mehrere Proxys als Offline Proxys an Geben Sie jeden Server auf der lokalen Ebene als Proxy oder Client an Konfigurieren Sie Proxy Listen f r Client und Inhaltsaktualisierungen Sie k nnen eine globale Proxy Liste f r Clientaktualisierungen in Ihrer ganzen Umgebung angeben oder lokale Proxy Listen f r individuelle Server festlegen F r Inhaltsaktualisierungen k nnen Sie nur eine Proxy Liste auf globaler Ebene angeben W hlen Sie Module zum Herunterladen aus Sie k nnen Module global oder lokal f r individuelle Server ausw hlen Legen Sie Ihren Ablaufpla
281. greich gesendet wurde Das Hilfsprogramm verwendet automatisch den Standardwert 300 Sekunden Der Parameter muss nur eingegeben werden falls Sie einen anderen Wert festlegen m chten Meldungen zum Wiederholungsstatus werden an STDOUT gesendet Befehlszeilenbeispiele f r das Hilfsprogramm LMSeosImport Sie k nnen mit Hilfe der folgenden Befehlszeilenbeispiele Ihren eigenen Befehl erstellen wenn Sie das SEOSDATA Importhilfsprogramm verwenden So importieren Sie die Datens tze zwischen den ENTRYIDs 1000 und 4000 Geben Sie die folgende Befehlszeile ein LMSeosImport dsn eAudit DSN user sa password sa target 130 200 137 192 minid 1000 maxid 4000 So importieren Sie Datens tze ausschlie lich f r NT Application Ereignisse Geben Sie die folgende Befehlszeile ein LMSeosImport dsn eAudit DSN user sa password sa target 130 200 137 192 log NT Application Erstellen eines Ereignisberichts Indem Sie vor dem eigentlichen Import von Daten einen SEOSDATA Ereignisbericht erstellen erhalten Sie die notwendigen Informationen ber die Ereignisse in der Tabelle Im Bericht werden der Ereigniszeitraum die Ereignisanzahl pro Protokolltyp und der Eintrags ID Bereich angezeigt Anhand der Werte im Bericht k nnen Sie die Befehlszeilenoptionen f r die Vorschau oder den eigentlichen Import optimieren Anhang A Aspekte f r CA Audit Benutzer 277 Importieren von Daten aus einer SEOSDATA Tabelle So zeigen Sie einen Bericht m
282. griff auf Berichte und die darin enthaltenen Daten Auditoren k nnen Berichte die Listen mit den Berichtvorlagen den geplanten Berichtauftr gen und mit den generierten Berichten anzeigen Auditoren k nnen Berichte planen und mit Anmerkungen versehen Auditoren haben keinen Zugriff auf die RSS Feeds Rich Site Summary au er die Konfiguration erfordert keine Authentifizierung f r die Anzeige von Aktionsalarmen Aufgezeichnetes Ereignis Ein aufgezeichnetes Ereignis bezeichnet die Informationen des Rohereignisses oder des verfeinerten Ereignisses nachdem diese in die Datenbank eingef gt wurden Rohereignisse werden immer als verfeinerte Ereignisse erfasst au er sie wurden unterdr ckt oder zusammengefasst Diese Informationen werden gespeichert und k nnen durchsucht werden Auto Archivierung Auto Archivierung ist ein konfigurierbarer Prozess der das Verschieben von Archivdatenbanken von einem Server zu einem anderen automatisiert In der ersten Phase der Auto Archivierung sendet der Erfassungsserver neu archivierte Datenbanken in der von Ihnen angegebenen H ufigkeit zum Berichtsserver In der zweiten Phase der Auto Archivierung sendet der Berichtsserver ltere Datenbanken zur langfristigen Speicherung an den Remote Speicher wodurch die Notwendigkeit eines manuellen Sicherungs und Verschiebevorgangs entf llt F r die Auto Archivierung m ssen Sie eine Authentifizierung ohne Kennw rter vom Quell zum Zielserver konfigurieren Autom
283. gsserver nun als vertrauensw rdig gelten Halten Sie die folgenden Informationen bereit Kennwort f r die EEM Zertifikatsdatei itpamcert p12 Sie haben m glicherweise die Standardeinstellung in der Datei ITPAM_eem xml w hrend des Schrittes Bereiten Sie die Implementierung der CA IT PAM Authentifizierung auf freigegebenem CA EEM vor abge ndert Hostname des CA Enterprise Log Manager Verwaltungsservers Dies ist der Server bei dem Sie sich f r den Schritt Registrieren von CA IT PAM mit freigegebenem CA EEM angemeldet haben Das itpamadmin Kennwort das im Rahmen von Festlegen von Kennw rtern f r die vordefinierten CA IT PAM Benutzerkonten festgelegt wurde Das Zertifikatskennwort das zur Kontrolle des Zugriff auf die Schl ssel verwendet wird die Kennw rter verschl sseln Dabei handelt es sich um eine neue nicht bereits vorhandene Einstellung Weitere Informationen zur Installation der CA IT PAM Dom ne finden Sie im CA IT Process Automation Manager Installationshandbuch das der Software beiliegt In der folgenden Vorgehensweise werden Einzelheiten beschrieben wie EEM Sicherheitseinstellungen konfiguriert werden k nnen So installieren Sie die CA IT PAM Dom ne 1 Wenn der IT PAM Installationsassistent nicht im Anschluss an die Installation von Drittanbieter Komponenten gestartet wird starten Sie CA_ITPAM_Domain_windows exe manuell Folgen Sie den Anweisungen in der CA IT PAM Dokumentation bis Sie zum
284. h wird ein Konfigurationsdialogfeld angezeigt 3 W hlen Sie Custom configuration aus und klicken Sie auf Next Es wird ein Dialogfeld f r den Namen und Speicherort angezeigt 4 Geben Sie einen Namen f r den CA Enterprise Log Manager Server ein der auf diesem virtuellen Rechner installiert werden soll und klicken Sie auf Next 5 Legen Sie die Speichereinstellungen f r den virtuellen Rechner fest und klicken Sie auf Next Vergewissern Sie sich dass die Speichereinstellungen f r Ihren CA Enterprise Log Manager Server ausreichend sind Empfohlen wird eine Mindestgr e von 500 GB Hinweis In einem anderen Verfahren werden weitere virtuelle Festplattenlaufwerke f r die Speicherung von erfassten Ereignisprotokollen eingerichtet 6 W hlen Sie Red Hat Enterprise Linux 5 32 bit als Guest Operating System aus und klicken Sie auf Next 336 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern 7 W hlen Sie in der Dropdown Liste Number of virtual processors den Eintrag 4 als Anzahl der virtuellen Prozessoren aus Ihr physischer Hostserver muss in der Lage sein vier physische CPUs ausschlie lich f r diese CA Enterprise Log Manager Instanz bereitzustellen Klicken Sie auf Next 8 Konfigurieren Sie die Speichergr e f r den virtuellen Rechner und klicken Sie auf Next Die minimal akzeptable Speichergr e f r CA Enterprise Log Manager betr
285. haben So legen Sie die der Paravirtualisierungs und Ressourceneinstellundgen fest 1 Klicken Sie mit der rechten Maustaste auf die virtuelle CA Enterprise Log Manager Appliance im linken Bereich und klicken Sie auf Edit Settings Das Fenster mit den Eigenschaften des virtuellen Rechners lt CA Enterprise Log Manager Virtual Appliance name gt wird angezeigt 2 Klicken Sie in diesem Fenster auf die Registerkarte Option 3 W hlen Sie im linken Fensterbereich die Einstellung Paravirtualization aus und aktivieren Sie im rechten Bereich die Option Support VMI Paravirtualization Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Yirtual Machine Version 7 settings Summary YMI is a paravirtualization standard supported by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with YMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no i performance benefit from this support TP Allocation Policy Fixed IPy4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s Ad d Configured compatability For YMotion and some other migrations to vance Ange other hosts which offer YMI support YMware Tools Shut Down Power Management Standby Advanced v General Normal CP
286. he CPUs ausschlie lich f r diese CA Enterprise Log Manager Instanz bereitzustellen Klicken Sie auf Next 8 Konfigurieren Sie die Speichergr e f r den virtuellen Rechner und klicken Sie auf Next Die minimal akzeptable Speichergr e f r CA Enterprise Log Manager betr gt 8 GB bzw 8192 MB 9 Konfigurieren Sie die Netzwerkschnittstellenverbindung NIC CA Enterprise Log Manager erfordert mindestens eine Netzwerkverbindung W hlen Sie in der Liste der verf gbaren NICs NIC x aus und legen Sie als Adapterwert Flexible fest Hinweis Sie m ssen nicht f r jeden auf diesem physischen Server gehosteten CA Enterprise Log Manager Server eine eigene NIC einrichten Sie m ssen jedoch f r jede NIC eine statische IP Adresse zuweisen 10 W hlen Sie die Option Connect at Power On aus und klicken Sie auf Next Das Dialogfeld I O Adapter Types wird angezeigt 11 W hlen Sie LSI Logic f r den I O Adapter aus und klicken Sie auf Next Das Dialogfeld Select a Disk wird angezeigt 12 W hlen Sie die Option Create a new virtual disk aus und klicken Sie auf Next Ein Dialogfeld f r die Festplattenkapazit t und den Speicherort wird angezeigt 332 Implementierungshandbuch 13 14 15 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Legen Sie die Optionen Disk Capacity und Location fest und klicken Sie auf Next Ein Dialogfeld mit erweiterten Optionen wird angez
287. hensweise wird vorausgesetzt dass der Remote Speicherserver kein CA Enterprise Log Manager Server ist und dass Sie neue Benutzer eine Gruppe und eine Verzeichnisstruktur die der Struktur eines CA Enterprise Log Manager Servers entspricht erstellen m ssen Diese Prozedur m ssen Sie abschlie en bevor Sie den Schl ssel vom Berichtsserver aus versenden da Sie das erstellte caelmadmin Konto dazu verwenden mit dem Berichtsserver zu kommunizieren So erstellen Sie eine Dateistruktur und legen Eigentumsrechte f r Dateien auf dem Remote Speicherserver fest 1 2 3 Melden Sie sich beim Remote Speicherserver RSS ber ssh als root an Erstellen Sie den neuen Benutzer caelmadmin Erstellen Sie die Gruppe caelmservice und erstellen Sie dann den neuen Benutzer caelmservice Erstellen Sie das Verzeichnis das als Remote Speicherort dient wobei der Standard opt CA LogManager lautet Hinweis Wenn Sie ein anderes Verzeichnis verwenden m chten stellen Sie sicher dass Sie das Verzeichnis angeben wenn Sie den Remote Speicherort f r die automatische Archivierung konfigurieren ndern Sie das Stammverzeichnis f r caelmservice auf opt CA LogManager oder das Verzeichnis des Remote Speicherorts F r das folgende Beispiel wird das Standardverzeichnis verwendet usermod d opt CA LogManager caelmservice Legen Sie die Dateiberechtigungen f r caelmservice fest F r das folgende Beispiel wird das Verzeichnis des Remo
288. hentifizierung zwischen zwei Servern werden RSA Schl sselpaare ein privater Schl ssel und ein ffentlicher Schl ssel verwendet Sie kopieren den ersten ffentlichen Schl ssel den Sie generieren als authorized_keys zum Zielserver Wenn Sie mehrere Instanzen von nicht interaktiver Authentifizierung f r den gleichen Zielberichtsserver konfigurieren kopieren Sie die zus tzlichen ffentlichen Schl ssel in die eindeutigen Dateinamen um somit zu vermeiden dass der urspr ngliche authorized_keys berschrieben wird Verbinden Sie diese Dateinamen mit authorized_keys Zum Beispiel w rden Sie authorized_keys_ELM C2 und authorized_keys_ELM C3 zu Datei authorized_keys aus ELM C1 anh ngen Kapitel 5 Konfigurieren von Services 167 Konfigurieren des Ereignisprotokollspeichers Beispiel Konfigurieren von nicht interaktiver Authentifizierung f r Hub and Spoke Die Existenz von nicht interaktiver Authentifizierung zwischen zwei Servern gilt als Voraussetzung f r die automatische Archivierung von der Quelle zum Zielserver Beim Konfigurieren der nicht interaktiven Authentifizierung ist es blich dass mehrere Quellserver die f r die Erfassung festgelegt wurden einen gemeinsamen Zielserver zur Berichterstellung Verwaltung haben Dieses Beispiel geht von einer mittelgro en CA Enterprise Log Manager F deration aus mit einem Server zur Berichterstellung Verwaltung Hub vier Sammelservern Spoke und einem Remote Speicherserver
289. herstellungspunkts ist dass Sie alte Daten von aktuellen Berichten ausschlie en k nnen indem Sie diesen Server nicht in die F deration den Verbund aufnehmen In diesem Beispiel stellen die beiden als Quellserver f r Protokolldateien und Berichtsserver ausgewiesenen Server eine Konfiguration mit extrem hohen Verarbeitungsanforderungen dar Diese Server befinden sich in einem hierarchischen Verbund in dem der Quellserver dem Berichtsserver untergeordnet ist Die beiden Server die sowohl als Quellserver als auch als Berichtsserver fungieren stellen eine Konfiguration mit normalen Ereignisvolumen und geplanten Berichten dar Diese Server befinden sich untereinander und mit dem ausgewiesenen Berichtsserver in einem Netzverbund das hei t dass diese drei Server gleichrangig sind Das Ziel eines Serververbunds F deration ist dass Sie umfassendere Abfrageergebnisse von den f derierten Servern erhalten k nnen Eine f derierte Abfrage auf einem der Server im Netzverbund erbringt Ereignisse von diesem Server und den brigen Servern im Verbund Hinweis Falls Sie konsolidierte Berichte ber selbst berwachende Ereignisse erstellen m chten nehmen Sie den Verwaltungsserver in die F deration auf Kapitel 2 Planen der Umgebung 63 Planen von automatischen Software Updates In diesem Szenario ist es empfehlenswert den Wiederherstellungspunkt als Online Update Proxy einzurichten da es sich hierbei um den Server mit der geringsten Auslas
290. hes Software Update a Ressourcenzugriff nach Aktion ia Ressourcenzugriff nach Aktion bersicht Ressourcenzugriff nach unternehmenskritischen Hosts und gt Ressourcenzugriff nach unternehmenskritischen Hosts und EREI Ressourcenzugriff nach unternehmenskritischen Hosts und gt Ressourcenzugriff nach unternehmenskritischen Hosts De Ressourcenzugriff nach unternehmenskritischen Hosts b Si Ki gt Ressourcenzugriff nach unternehmenskritischen Hosts Tre 4 W hlen Sie eine Abfrage aus um die Ereignisdaten anzuzeigen So greifen Sie auf CA Access Control Berichte zu 1 Melden Sie sich beim CA Enterprise Log Manager Server unter einem Benutzer mit der Berechtigung zum Anzeigen von Abfragen und Berichten an 2 Rufen Sie auf der Registerkarte Abfragen und Berichte die untergeordnete Registerkarte Berichte auf sofern sie noch nicht angezeigt wird Berichtskennungsfilter E sa eke Suchen QI cA Access Control 60 GIJEU Directive Data Protection 5 ISoIEC 27001 2 5 GIJPIPA 5 rci 5 304 Implementierungshandbuch Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank 3 Klicken Sie auf die Berichtskennung CA Access Control um die verf gbaren Berichte in einer Liste auf der linken Seite anzuzeigen Berichtsliste Optionen Suchen vw Automatisches Software Update B Ressourcenzugriffssitzungen nach Ressourcenname 3 Ressourcen
291. hl einen h heren Wert als den in der Tabelle angegebenen verwenden Falls Sie den Verwaltungsserver als Berichtsserver verwenden sollten Sie bedenken dass der Verwaltungsserver eigene Ereignisinformationen in Form von selbst berwachenden Ereignissen erzeugt Hinweis Sie m ssen jedes Serverpaar das an der automatischen Archivierung beteiligt ist f r die nicht interaktive Authentifizierung einrichten damit die Konfiguration f r die automatische Archivierung ordnungsgem funktioniert Die folgende Tabelle ist ein Beispiel in dem gewisse Grundeinstellungen veranschaulicht werden Der CA Enterprise Log Manager Quellserver f r Protokolldateien hei t CollSrvr 1 Der CA Enterprise Log Manager Berichtsserver hei t RptSrvr 1 Das Beispiel beinhaltet zudem den Remote Speicherserver RemoteStore 1 f r die Speicherung von Offline Datenbankdateien die sich im Verzeichnis CA ELM_cold_storage befinden Ereignisprotokollspeicher Quellserver Berichtsserver Werte Feld Maximale Zeilenzahl Werte 2 000 000 Standard Gilt nicht f r die automatische Archivierung Maximale Anzahl an Archivtagen 1 gilt nicht f r die autom 30 gilt f r die autom Archivierung Archivierung und wenn die autom Archivierung nicht konfiguriert ist Festplattenspeicher f r Archiv 10 10 Kapitel 5 Konfigurieren von Services 185 Konfigurieren des Ereignisprotokollspeichers Ereignisprotokollspeicher Feld Exportrichtlinie Sicher
292. hlen Sie in der Spalte Settings die Option Memory aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus 5 Example CA Enterprise Log Manager Yirtual Machine Properties 7 Klicken Sie auf OK 8 Hinweis Weitere Informationen zur Paravirtualisierung finden Sie auf www vmware com Anhang E CA Enterprise Log Manager und Virtualisierung 397 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Schalten Sie den bereitgestellten CA Enterprise Log Manader Server ein Sie m ssen den CA Enterprise Log Manager Server einschalten damit er in Betrieb genommen werden kann So schalten Sie einen CA Enterprise Log Manager Server ein 1 W hlen Sie den neuen CA Enterprise Log Manager Server im linken Bereich des VMware Anwendungsfensters aus 2 Klicken Sie auf der Registerkarte Getting Started unter Basic Tasks auf Power On Der CA Enterprise Log Manager Server ist eingeschaltet Hinweis Stellen Sie sicher dass Sie der prim re CA Enterprise Log Manager Server in Betrieb ist bevor Sie einen sekund ren CA Enterprise Log Manager Server einschalten berpr fen des Installation eines virtuellen CA Enterprise Log Manager Servers Wenn Sie den bereitgestellten CA Enterprise Log Manager Server einschalten wird in der Registerkarte Console des VMware vSphere Client Fensters eine URL f r den Zugriff auf CA Enterprise Log Manager
293. hner installiert werden soll und klicken Sie auf Next Legen Sie die Speichereinstellungen f r den virtuellen Rechner fest und klicken Sie auf Next Vergewissern Sie sich dass die Speichereinstellungen f r Ihren CA Enterprise Log Manager Server ausreichend sind Empfohlen wird eine Mindestgr e von 500 GB Hinweis In einem anderen Verfahren werden weitere virtuelle Festplattenlaufwerke f r die Speicherung von erfassten Ereignisprotokollen eingerichtet W hlen Sie Red Hat Enterprise Linux 5 32 bit als Guest Operating System aus und klicken Sie auf Next W hlen Sie in der Dropdown Liste Number of virtual processors den Eintrag 4 als Anzahl der virtuellen Prozessoren aus Ihr physischer Hostserver muss in der Lage sein vier physische CPUs ausschlie lich f r diese CA Enterprise Log Manager Instanz bereitzustellen Klicken Sie auf Next Konfigurieren Sie die Speichergr e f r den virtuellen Rechner und klicken Sie auf Next Die minimal akzeptable Speichergr e f r CA Enterprise Log Manager betr gt 8 GB bzw 8192 MB Anhang E CA Enterprise Log Manager und Virtualisierung 341 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern 9 Konfigurieren Sie die Netzwerkschnittstellenverbindung NIC CA Enterprise Log Manager erfordert mindestens eine Netzwerkverbindung W hlen Sie in der Liste der verf gbaren NICs NIC x aus und legen Sie als Adapterwert Flexible fest
294. ht aus folgenden Schritten 1 Vergewissern Sie sich dass ein Web Anwendungsserver mit Funktionen f r die Verbindungspoolkonfiguration installiert ist und ausgef hrt wird Erwerben Sie den Lizenzschl ssel f r den JDBC Client Treiber Installieren Sie den JDBC Client Konfigurieren Sie die Verbindung zur Datenbank mit den Verwaltungsfunktionen des Verbindungspools Ihres Web Anwendungsservers Testen Sie die Datenbankverbindung Kapitel 3 Installieren von CA Enterprise Log Manager 127 Installieren des JDBC Clients Voraussetzungen f r den JDBC Client Ein JDBC Zugriff auf den Ereignisprotokollspeicher ist nur ab CA Enterprise Log Manager Release r12 1 verf gbar Sie k nnen den JDBC Client auf Windows und UNIX Systemen installieren Die Benutzer dieser Funktion m ssen einer CA Enterprise Log Manager Benutzergruppe angeh ren die in der Standard Datenzugriffsrichtlinie in den CALM Zugriffsrichtlinien ber das Datenzugriffs Privileg verf gt Weitere Informationen zu Zugriffsrichtlinien finden Sie im CA Enterprise Log Manager r12 1 Administrationshandbuch F r einen JDBC Client gelten folgende Voraussetzungen m Sie m ssen ber Administratorrechte verf gen um den JDBC Client auf einem Windows Server zu installieren berpr fen Sie ob im Fenster der ODBC Serverkonfiguration das Kontrollk stchen Dienste aktivieren ausgew hlt aktiviert ist m Sie m ssen ber die Rechte zum Erstellen von Dateien in
295. i der CA Enterprise Log Manager Anwendung an und wechseln Sie den Benutzer auf root su to root 2 Optional Erstellen Sie eine Verzeichnisliste von dev mapper um den Konfigurationsstatus anzuzeigen bevor der Multipfad und logische Volumes eingerichtet werden Die Ergebnisse hneln den folgenden Angaben drwxr xr x 2 root root 120 Jun 18 12 09 drwxr xr x 11 root root 3540 Jun 18 16 09 CrW 1 root root 10 63 Jun 18 12 09 control brw rw 1 root disk 253 Jun 18 16 09 VolGroup00 LogVol00 brw rw 1 root disk 253 2 Jun 18 12 09 VolGroup00 LogVol01 brw rw 1 root disk 253 1 Jun 18 16 09 VolGroup00 LogVolO2 Kapitel 3 Installieren von CA Enterprise Log Manager 105 Installationshinweise f r ein System mit SAN Laufwerken 3 ffnen Sie die Datei etc multipath conf zur Bearbeitung und fahren Sie folgenderma en fort a F gen Sie den folgenden Abschnitt unter device f r jede vom SAN Administrator bereitgestellte LUN hinzu device vendor NETAPP product LUN path_grouping_policy multibus features 1 queue _if no path path_checker readsector path_selector round robin 0 failback immediate no_path_retry queue b Entfernen Sie die Kommentarmarkierung des Abschnitts blacklist f r alle Ger te Dieser Abschnitt aktiviert Multipfade auf Standardger ten blacklist devnode ram raw loop fd md dm sr scd st O 9 devnode hd a z devnode cciss c 0 9 d 0 9
296. ichte auf 2 W hlen Sie die System Abfragekennung aus und ffnen Sie die Abfrage Alle Ereignisse des Systems Details Sofern der Connector richtig konfiguriert wurde und von der Ereignisquelle aktiv Ereignisse gesendet werden werden die Ereignisse f r den Standardagenten aufgelistet Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLogSensor Sie k nnen die direkte Erfassung von Ereignissen aktivieren die von spezifischen Datenbanken und CA Produkten mithilfe von ODBCLogSensor generiert wurden Dazu m ssen Sie einen Connector auf dem Standardagenten erstellen basierend auf einer Integration die ODBCLogSensor verwendet Viele Integrationen verwenden diesen Sensor zum Beispiel CA_Federation_Manager CAldentityManager Oracle10g Oracle9i und MS_SQL_Server_2005 Die folgende Liste zeigt einige Produkte an die Ereignisse generieren die direkt vom Standardagenten auf einem CA Enterprise Log Manager Server erfasst werden k nnen F r jedes Produkt wird ein einziger Connector verwendet jeder Connector verwendet ODBCLogSensor CA Federation Manager CA SiteMinder CA Identity Manager Oracle 9i und 10g m Microsoft SQL Server 2005 Die vollst ndige Liste finden Sie unter Produktintegrationsmatrix auf Support Online 224 Implementierungshandbuch Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLodgSensor Dieses Beispiel zeigt wie die direkte Erfassung von Ereignissen einer Microsoft SQL Serve
297. ie die eine gleichartige Beziehung zwischen Servern einrichtet In seiner einfachsten Form ist dies der Fall wenn Server 2 ein untergeordneter Server von Server 1 ist und umgekehrt Ein vernetztes Paar von Servern hat eine Beziehung die in beide Richtungen geht Eine vernetzte F deration kann so definiert werden dass viele Server alle untereinander gleichrangig sind Eine f derierte Abfrage gibt die Ergebnisse vom ausgew hlten Server und all seinen gleichrangigen Servern zur ck Verwaltung von Berechtigungen Die Verwaltung von Berechtigungen ist ein Mittel zur Steuerung der Aktionen die Benutzer durchf hren d rfen sobald sie sich authentifiziert und an der CA Enterprise Log Manager Oberfl che angemeldet haben Dies geschieht ber Zugriffsrichtlinien die mit den Rollen die den Benutzern zugewiesen wurden verkn pft werden Rollen oder Anwendungsbenutzergruppen und Zugriffsrichtlinien k nnen vordefiniert oder benutzerdefiniert sein Die Verwaltung von Berechtigungen wird ber den internen CA Enterprise Log Manager Benutzerspeicher gehandhabt Visualisierungskomponenten Visualisierungskomponenten sind verf gbare Optionen mit denen Berichtsdaten einschlie lich Tabelle Diagramm Zeilendiagramm Balkendiagramm Spaltendiagramm Kreisdiagramm oder ein Ereignis angezeigt werden k nnen Glossary 445 Wiederherstellungspunkt Server XMP Dateianalyse Zertifikate Zugriffsfilter Zugriffsrichtlinie Ein Wiederherstell
298. ie H ufigkeit Sekunden an mit der die Serverkomponenten Konfigurationsaktualisierungen anwenden Minimum 30 Maximum 86400 Sitzungszeitlimit Gibt die maximale L nge einer inaktiven Sitzung an Ist die Option zur automatischen Aktualisierung aktiviert laufen die Sitzungen nie ab Minimum 10 Maximum 600 Automatische Aktualisierung zulassen Berechtigt den Benutzer zum automatischen Aktualisieren von Berichten und Abfragen Mit dieser Einstellung k nnen Administratoren die automatische Aktualisierung global deaktivieren H ufigkeit der automatischen Aktualisierung Gibt an in welchen min tlichen Abst nden die Berichtsansicht aktualisiert wird Diese Einstellung ist von der Auswahl der Option Automatische Aktualisierung zulassen abh ngig Minimum 1 Maximum 60 Automatische Aktualisierung aktivieren Legt die automatische Aktualisierung in allen Sitzungen fest Standardm ig ist die Funktion nicht aktiviert Zum Anzeigen von Aktionsalarmen ist eine Authentifizierung erforderlich Verhindert die Anzeige von Aktionsalarm RSS Feeds f r Auditoren oder Produkte anderer Hersteller Diese Einstellung ist standardm ig aktiviert Standardbericht Legt den Standardbericht fest Start des Standardberichts aktivieren Zeigt den Standardbericht an wenn Sie auf die Unterregisterkarte Berichte klicken Diese Einstellung ist standardm ig aktiviert Kapitel 5 Konfigurieren von Services 157 Bearbeiten globaler Konf
299. ie den Berichtsserver in der Liste Services aus Service Liste Service anzeigen nach Service Host F Se Globale Konfiguration VO Ereignisprotokoll Speicher 8 NY Collection ELM NY Reporting ELM b Q Berichtsserver P P Modul f r automatische Software Updates Kapitel 5 Konfigurieren von Services 181 Konfigurieren des Ereignisprotokollspeichers 5 Legen Sie fest dass die automatische Speicherung einmal t glich erfolgen soll wobei das Ziel der Speicherung der Remote Server ist Geben Sie die Berechtigungsnachweise eines CA Enterprise Log Manager Benutzers mit Administratorrolle ein Optional k nnen Sie eine CALM Zugriffsrichtlinie mit dem Recht zur Bearbeitung der Datenbankressource erstellen und einen Benutzer als Identit t zuweisen Geben Sie hier die Berechtigungsnachweise dieses Benutzers mit wenigen Berechtigungen ein Auto Archive v Aktiviert Sicherungstyp Incremental v H ufigkeit Daily v Startzeit 24 Stunden Format 1 S EEM Benutzer Administrator1 EEM Kennwort Remote Server NY Storage Svr Remote Benutzer caelmserwice Remote Standort opt CA LogManager L Remote ELM Server Die Zahlen in der folgenden Grafik zeigen zwei Konfigurationen der automatischen Archivierung eine vom Erfassungs zum Berichtsserver und eine vom Berichts zu einem Remote Server im Netzwerk NY Erfassungs ELM NY Berichts ELM NY Speicherserver Quellserver agentenbasiert 182 Implementieru
300. ie k nnen einen Alarm erstellen der Sie per E Mail oder RSS Feed auf diesen Umstand aufmerksam macht Wenn eine Datenbank von einem Remote Speicherserver wieder auf dem urspr nglichen Berichtsserver hergestellt wird wird sie drei Tage 72 Stunden lang beibehalten Weitere Informationen zu diesen Feldern und ihren Werten finden Sie in der Online Hilfe Kapitel 5 Konfigurieren von Services 187 Konfigurieren des Ereignisprotokollspeichers Festlegen von Optionen f r den Ereignisprotokollspeicher Im Konfigurationsdialogfeld f r den Ereignisprotokollspeicher k nnen Sie globale Optionen f r alle CA Enterprise Log Manager Server festlegen Sie k nnen auch auf den Pfeil neben dem Eintrag klicken um den Knoten f r den Ereignisprotokollspeicher zu erweitern Hierdurch werden die einzelnen CA Enterprise Log Manager Server im Netzwerk angezeigt Klicken Sie ggf auf diese Servernamen um lokale Konfigurationsoptionen festzulegen die nur f r den jeweiligen Server gelten Benutzer mit Administratorrolle k nnen jeden CA Enterprise Log Manager Server von jedem anderen CA Enterprise Log Manager Server aus konfigurieren So legen Sie Optionen f r den Ereignisprotokollspeicher fest 1 Melden Sie sich beim CA Enterprise Log Manager Server an und w hlen Sie die Registerkarte Verwaltung aus Die untergeordnete Registerkarte Protokollerfassung wird standardm ig angezeigt Klicken Sie auf die untergeordnete Registerkarte
301. ie kombinierte ffentliche Schl sseldatei an dem richtigen Speicherort auf dem Berichtsserver und legen die Eigent merschaft f r die Datei fest 1 Melden Sie sich mittels ssh als caelmadmin Benutzer auf dem CA Enterprise Log Manager Berichtsserver an Wechseln Sie die Benutzer zu root Wechseln Sie zum Verzeichnis des CA Enterprise Log Manager Ordners cd opt CA LogManager Erstellen Sie dem Ordner ssh mkdir ssh bertragen Sie die Eigent merschaft f r den neuen Ordner mit folgendem Befehl auf den caelmservice Benutzer und die caelmservice Gruppe chown caelmservice caelmservice ssh Wechseln Sie zum Verzeichnis tmp F gen Sie der Datei authorized_keys die den ffentlichen Schl ssel von EML C1 enth lt die Inhalte der ffentlichen Schl ssel der Sammelserver ELM C2 ELM C3 und ELM CA hinzu cat authorized keys ELM C2 gt gt authorized_keys cat authorized keys ELM C3 gt gt authorized_keys cat authorized keys ELM C4 gt gt authorized_keys 172 Implementierungshandbuch 10 11 Konfigurieren des Ereignisprotokollspeichers Wechseln Sie zum Verzeichnis opt CA LogManager ssh Kopieren Sie die Datei authorized_keys vom Ordner tmp in den aktuellen Ordner ssh cp tmp authorized keys bertragen Sie die Eigent merschaft f r die Datei authorized_keys auf das caelmservice Konto chown caelmservice caelmservice authorized keys ndern Sie die Berechtigungen f r di
302. ie starke Kennw rter erzwingen und so die Verwendung schwacher Kennw rter verhindern Die mit CA Enterprise Log Manager bereitgestellten standardm igen Kennwortrichtlinien sind nur eine einfache Form des Kennwortschutzes So k nnen Benutzer bei der Standardrichtlinie beispielsweise ihren Benutzernamen als Kennwort verwenden und Kennw rter freigeben Kennw rter k nnen zudem eine unbegrenzte Zeit lang verwendet werden und werden bei Anmeldefehlversuchen nicht gesperrt Die Standardoptionen weisen absichtlich einen sehr niedrigen Grad des Kennwortschutzes auf damit Sie Ihre eigenen Kennwortrichtlinien festlegen k nnen Wichtig Sie sollten die Standardkennwortrichtlinien an die in Ihrem Unternehmen blichen Kennwortrestriktionen anpassen Es wird dringend davon abgeraten CA Enterprise Log Manager mit den Standardkennwortrichtlinien in einer Produktionsumgebung auszuf hren Sie k nnen im Rahmen Ihrer individuellen Kennwortrichtlinie diese Aktivit ten unterbinden die Verwendung von Kennwortmerkmalen wie L nge Art der verwendeten Zeichen zeitliche Begrenzung und Wiederverwendung erzwingen und eine Sperrrichtlinie festlegen die auf einer definierten Anzahl von Anmeldefehlversuchen basiert Weitere Informationen Konfigurieren von Kennwortrichtlinien siehe Seite 148 Benutzername als Kennwort Damit Kennw rter als stark d h sicher gelten sollten sie im Rahmen der bew hrten Vorgehensweisen f r die Sicherheit den Benutzer
303. iegt den in FAR Abs tze 12 212 52 227 14 und 52 227 19 c 1 bis 2 und DFARS Absatz 252 227 7014 b 3 festgelegten Einschr nkungen soweit anwendbar oder deren Nachfolgebestimmungen Copyright 2011 CA Alle Rechte vorbehalten Alle Marken Produktnamen Dienstleistungsmarken oder Logos auf die hier verwiesen wird sind Eigentum der entsprechenden Rechtsinhaber CA Produktreferenzen Dieses Dokument bezieht sich auf die folgenden Produkte von CA Technologies CA Access Control CA Audit CA ACF2 CA Directory CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CA IT Process Automation Manager CA IT PAM CA NSM CA Security Command Center CA SCC CA Service Desk CA SiteMinder CA Spectrum CA Top Secret Technischer Support Kontaktinformationen Wenn Sie technische Unterst tzung f r dieses Produkt ben tigen wenden Sie sich an den Technischen Support unter http www ca com worldwide Dort finden Sie eine Liste mit Standorten und Telefonnummern sowie Informationen zu den B rozeiten nderungen in der Dokumentation Seit der letzten Version dieser Dokumentation wurden folgende Aktualisierungen vorgenommen m Integration von CA Enterprise Log Manager mit CA Access Control nderungen am Kapitel Aspekte f r CA Access Control Benutzer um den Hinweis auf das Connector Handbuch f r CA Access Control zu ndern m Sicherung von CA Enterprise Log Manager mittels
304. ieren des iTech Ereignis Plugins f r CA Access Control Ereignisse 292 Herunterladen und Installieren eines CA Access Control iRecorders 22222222cssssee 293 Konfigurieren eines eigenst ndigen CA Access Control iRecorders 22222222222222 22 293 Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank 295 Voraussetzungen f r den Import von CA Access Control Ereignissen 222222 2222 296 Erstellen eines SEOSDATA Ereignisberichts f r CA Access Control Ereignisse 297 Vorschau eines CA Access Control Ereignisimports 22222eeeeeeeeeeeeeeseeneeeneennnn 299 Importieren von CA Access Control Ereignissen 2222222ssseeesseessessnsnnnnnnnnn nn 302 Anzeigen von Abfragen und Berichten zum Einsehen von CA Access Control Ereignissen 303 Sichern von CA Enterprise Log Manager mithilfe von CA Access Control 22 22 2 306 Voraussetz ngen zuuu 24su0 Asse iinieliniiaeiiaieieds 308 Anhang C Hinweise zu CA IT PAM 309 Szenario Verwendung von CA EEM auf CA Enterprise Log Manager zur Authentifizierung von CA IT PAM 22 82 erkenne as E A SA 310 Implementierungsprozess der CA ITPAM Authentifizierung 22222eeseeeeeeeeeeeeennnn 310 Bereiten Sie die Implementierung der CA IT PAM Authentifizierung auf freigegebenem CA EEM VOL a ee ee 312 Kopieren einer XML Datei auf den CA Enterprise Log Manager Verwaltungsserver 2222
305. ierung von Incidents Gibt an wie oft eine einzelne Korrelationsregel Incidents erstellen kann wodurch Sie die Zahl der unerw nschten mehrfachen Incidents reduzieren k nnen Zum Zweck der Beschr nkung bei der Generierung von Incidents werden unterschiedliche Versionen einer Regel als separate Regeln betrachtet Wenn Sie in Ihrer Umgebung also mehrere Versionen einer Regel angewandt haben werden diese separat beschr nkt Grenzwerte umfassen Aktiviert Zeigt an ob Beschr nkung bei der Generierung von Incidents angewendet werden Anzahl Legt einen Schwellenwert f r die Anzahl von Incidents fest die von einer einzelnen Regel generiert werden Dieser Wert funktioniert mit dem Zeitwert wenn dieser Wert gr er als O ist Nachdem diese Zahlen erreicht worden sind wendet der Incident Service das Limit Blockierte Zeit an Wenn Sie also die Anzahl auf 3 festlegen und die Zeit auf 10 wird das Limit angewendet nachdem eine einzelne Regel in 10 Sekunden mehr als 3 Incidents generiert hat Zeit Legt einen Schwellenwert in Sekunden f r die Anzahl von Incidents fest die von einer einzelnen Regel generiert werden Dieser Wert funktioniert mit dem Wert Anzahl falls dieser Wert gr er als O ist Nachdem diese Zahlen erreicht worden sind wendet der Incident Service das Limit Blockierte Zeit an Wenn Sie also die Anzahl auf 3 festlegen und die Zeit auf 10 wird das Limit angewendet nachdem eine einzelne Regel in 10 Sekunden mehr
306. igt Bereitstellungspunkt Typdes Optionen Speicherfre Dateisyst a ems Durchlaufnr dev VolGroup00 LogVoIl00 ext3 Standard 11 dev VolGroup01 LogVol00 data ext3 Standard 21 boot ext3 Standard 21 dev shm tmpfs Standard 00 dev pts devpts gid 5 mode 620 00 sys sysfs Standard 00 proc proc Standard 00 dev VolGroup00 LogVoIl01 swap Standard 00 9 Laden Sie das neue Datenverzeichnis und stellen Sie sicher dass alle Partitionen in etc fstab geladen wurden mount a mount Neustarten des CA Enterprise Log Manager Servers Nachdem Sie ein logisches Volume erstellt haben starten Sie CA Enterprise Log Manager neu damit Sie das logische Volume verwenden k nnen Um den ordnungsgem en Ablauf zu berpr fen durchsuchen Sie CA Enterprise Log Manager und zeigen Sie Ereignisse an die von der Abfrage Alle Ereignisse des Systems Details zur ckgegeben wurden So starten Sie CA Enterprise Log Manager Server neu 1 Starten Sie die iGateway Prozesse des CA Enterprise Log Manager Servers opt CA SharedComponents iTechnology S99igateway start Starten Sie den ELMAgent Dienst opt CA ELMAgent bin caelmagent b Starten Sie den CA Enterprise Log Manager Server neu Kapitel 3 Installieren von CA Enterprise Log Manager 109 Installationshinweise f r ein System mit SAN Laufwerken Installieren mit aktivierten SAN Laufwerken Das Thema Beispiel Festlegen des SAN Speichers f r CA Enterprise Log Manager enth lt die E
307. igurationen 4 Folgende Einstellungen f r Berichts und Abfragekennung k nnen ge ndert werden Berichtskennungen ausblenden Verhindert dass die angegebenen Kennungen in einer Kennungsliste angezeigt werden Durch das Ausblenden von Kennungen wird die Anzeige der verf gbaren Berichte vereinfacht Abfragekennungen ausblenden Dient zum Ausblenden ausgew hlter Kennungen Ausgeblendete Kennungen werden nicht in der Hauptabfrageliste oder der Abfrageliste f r die Aktionsalarmplanung angezeigt Beim Ausblenden von Abfragekennungen wird die Anzeige der verf gbaren Abfragen angepasst Folgende Dashboard Einstellungen k nnen ge ndert werden Start des Standard Dashboards aktivieren Zeigt das Standard Dashboard an wenn Sie auf die Registerkarten Abfragen und Berichte klicken Diese Einstellung ist standardm ig aktiviert Standard Dashboard Folgende Profileinstellungen k nnen ge ndert werden Standardprofil aktivieren Dient zum Festlegen des Standardprofils Standardprofil Legt das Standardprofil fest Profile ausblenden Dient zum Ausblenden ausgew hlter Profile Wenn die Oberfl che aktualisiert wird oder das Aktualisierungsintervall abl uft werden keine ausgeblendeten Profile angezeigt Beim Ausblenden von Profilen wird die Anzeige der verf gbaren Profile angepasst Hinweis Klicken Sie auf Zur cksetzen um die zuletzt gespeicherten Werte wiederherzustellen Sie k nnen eine einzelne nderung oder mehrer
308. in iTechnology Ereignis Plugin 263 Ports Firewall f r Syslogs 120 Netzwerkadapter 133 PROCESS Steuerung 87 Benutzerkonto f r Steuerung 112 Protokollerfassung Planen 29 Richtlinien 34 Protokollsensoren Wissenswertes 71 5 SAN Laufwerke CA Enterprise Log Manager mit aktiviertem SAN installieren 110 CA Enterprise Log Manager mit deaktiviertem SAN installieren 104 Selbst berwachende Ereignisse Anzeigen 91 Server Rollen F derationsberichte 38 Speicherplatz Planen 32 Standardagent einen Connector mit dem OBDC Protokollsensor konfigurieren 224 einen Connector mit dem WinRM Protokollsensor konfigurieren 231 Syslog Erfassungsdefinition 65 U Unterdr ckungsregeln Effekte 73 V Verwalten von automatischen Software Updates Beispielkonfiguration 62 Index 451
309. inden Sie in der Online Hilfe und im Administrationshandbuch Bestimmen der Gr e Ihres CA Enterprise Log Manager Netzwerks Wenn Sie die Anzahl der ben tigten Agenten planen k nnen Sie ein einfaches Schema zur Gr enberechnung heranziehen wie das folgende Ermitteln Sie zun chst die Anzahl der ben tigten Connectors Es muss nicht auf jeder Ereignisquelle ein Agent installiert werden Sie m ssen allerdings f r jede Nicht Syslog Ereignisquelle auf der Ereignisse erfasst werden sollen einen Connector einrichten Sie k nnen WMI Ereignisse aus mehreren Ereignisquellen auf einem einzelnen Connector sammeln indem Sie f r jede Ereignisquelle einen Protokollsensor hinzuf gen Vergewissern Sie sich dass Sie aggregierte Ereignismengen ber cksichtigen wenn Sie einen Connector auf diese Art und Weise konfigurieren Syslog Connectors k nnen auf verschiedene Art und Weise konfiguriert werden So besteht zum Beispiel die M glichkeit einen einzelnen Syslog Connector einzurichten der alle Syslog Ereignisse unabh ngig vom Typ empf ngt Es hat sich bew hrt als Grundlage f r Ihre Syslog Connectors Ereignismengen der einzelnen Syslog Ereignisquellen heranzuziehen Sie k nnen Agenten auf einer einzelnen Ereignisquelle installieren Wir empfehlen diese Vorgehensweise wenn die Anzahl der Ereignisse dieser Quelle hoch ist Unterscheiden Sie bei der Planung zwischen Agenten auf einer Ereignisquelle und Agenten auf einem Host die als Collec
310. ine Richtung geht Eine hierarchische F deration kann mehrere Ebenen von ber und untergeordneten Beziehungen haben und ein einzelner bergeordneter Server kann mehrere untergeordnete Server haben Eine f derierte Abfrage gibt die Ergebnisse vom ausgew hlten Server und all seinen untergeordneten Servern zur ck Hilfsprogramm LMArchive Das Hilfsprogramm LMArchive ist das Befehlszeilenhilfsprogramm mit dem die Sicherung und Wiederherstellung von Archivdatenbanken zum Ereignisprotokollspeicher auf einem CA Enterprise Log Manager Server verfolgt wird Mit LMArchive k nnen Sie die Liste der warmen Datenbankdateien abfragen die f r die Archivierung bereit sind Nach der Sicherung der aufgelisteten Datenbank und nach deren Verschieben in den langfristigen kalten Speicher k nnen Sie mit LMArchive einen Datensatz im CA Enterprise Log Manager erstellen dass diese Datenbank gesichert wurde Nach der Wiederherstellung einer kalten Datenbank in ihrem urspr nglichen CA Enterprise Log Manager k nnen Sie mit LMArchive CA Enterprise Log Manager benachrichtigen der dann die Datenbankdateien wiederum verf gbar macht so dass sie abgefragt werden k nnen 430 Implementierungshandbuch Hilfsprogramm LMSEOSImport Das Hilfsprogramm LMSEOSImport ist ein Befehlszeilenhilfsprogramm mit dem SEOSDATA oder vorhandene Ereignisse als Teil der Migration von Audit Reporter Viewer oder Audit Collector in CA Enterprise Log Manager importiert werde
311. inien bzw Regeln auch so ndern dass Ereignisse nur an den CA Enterprise Log Manager Server gesendet werden Weitere Informationen zum Arbeiten mit Richtlinien finden Sie im Implementierungshandbuch f r CA Audit r8 SP2 Dort finden Sie eine genaue Beschreibung der unten aufgef hrten Schritte 268 Implementierungshandbuch Senden von CA Audit Ereignissen an CA Enterprise Log Manager CA Enterprise Log Manager erfasst Ereignisse von CA Audit Clients mit Hilfe des CA Audit SAPI Router und des CA Audit SAPI Collector Listeners Erfasste Ereignisse werden im CA Enterprise Log Manager Ereignisprotokollspeicher erst gespeichert nachdem die Richtlinie auf die Clients bertragen und aktiviert wurde Wichtig Sie m ssen die CA Enterprise Log Manager Listener f r den Empfang von Ereignissen einrichten bevor Sie die Richtlinie ndern und aktivieren Falls Sie diese Konfiguration nicht zuerst vornehmen k nnen falsch zugeordnete Ereignisse auftreten wenn Ereignisse vor dem Zeitpunkt zu dem die Richtlinie in Kraft tritt und die Listener die Ereignisse richtig zuordnen k nnen eintreffen So ndern Sie die Aktion einer bestehenden r8 SP2 Richtlinienregel zum Senden von Ereignissen an CA Enterprise Log Manager 1 Melden Sie sich beim Richtlinien Manager Server als Benutzer mit der Maker Rolle an 2 Greifen Sie auf die zu bearbeitende Regel zu indem Sie den entsprechenden Ordner im Richtlinienfenster erweitern und die gew nschte Richt
312. inzelnen Connector senden da der Listener den gesamten Datenverkehr auf dem angegebenen Port empf ngt CA Enterprise Log Manager kann auf jedem Port nach Syslog Ereignissen suchen Falls Sie einen Agenten unter einem Nicht Root Benutzer ausf hren d rfen eventuell keine Ports unterhalb von Port 1024 verwendet werden Die Standardports empfangen m glicherweise einen Ereignisstrom der viele unterschiedliche Arten von Syslog Ereignissen enth lt Hierzu k nnen UNIX Linux Snort Solaris CiscoPIX Check Point Firewall 1 und andere geh ren CA Enterprise Log Manager verarbeitet Syslog Ereignisse mit Hilfe von Listenern bei denen es sich um eine besondere Art von Integrationskomponente handelt Sie erstellen Syslog Connectors anhand von Listenern und Integrationen Der Listener stellt die Verbindungsinformationen wie etwa Ports oder vertrauensw rdige Hosts bereit Die Integration definiert die Nachrichtenanalysedateien XMP und die Datenzuordnungsdateien DM Da ein einzelner Syslog Connector Ereignisse von vielen Ereignisquellen empfangen kann sollten Sie berlegen ob Syslog Ereignisse basierend auf dem Typ oder der Quelle weitergeleitet werden sollen Wie Sie den Empfang von Syslog Ereignissen gestalten ist abh ngig von der Gr e und Komplexit t Ihrer Umgebung Viele Syslog Arten 1 Connector Falls ein einzelner Connector Ereignisse von verschiedenen Syslog Quellen verarbeiten muss und das Ereignisvolumen sehr gro is
313. ionales DBMS Paket erforderlich Der agentenlose CA Enterprise Log Manager Quellserver f r Protokolldateien kann Ereignisse direkt ber den Standardagenten bzw ber Agenten auf anderen Ereignisquellen empfangen Agenten k nnen sich auch auf einem Host befinden der als Collector f r andere Ereignisquellen im Netzwerk oder f r einen VPN Concentrator oder Router Host fungiert Die durchgezogenen Linien in diesem Diagramm zeigen den Ereignisfluss von den Ereignisquellen ber die Agenten hin zum Quellserver f r Protokolldateien und weiter zur Berichtsfunktion des Verwaltungs Berichtsservers Die gestrichelten Linien zeigen den Konfigurations und Steuerungsverlauf zwischen den CA Enterprise Log Manager Servern sowie den Verlauf von der Verwaltungsrolle des Verwaltungs Berichtsservers hin zu den Agenten Sie k nnen ber jeden CA Enterprise Log Manager Server im Netzwerk jeden Agenten im Netzwerk steuern sofern die CA Enterprise Log Manager Server w hrend der Installation mit demselben Anwendungsinstanznamen beim Verwaltungsserver registriert wurden 256 Implementierungshandbuch Unterschiede in der Architektur Agenten erfassen Ereignisse mit Hilfe von Connectors nicht abgebildet Ein einzelner Agent kann mehrere Connectors verwalten so dass verschiedene Arten von Ereignissen gleichzeitig erfasst werden k nnen Dies bedeutet dass ein einzelner auf einer bestimmten Ereignisquelle bereitgestellter Agent verschiedene Arten von Dat
314. irtuellen Servern gelten folgende Punkte Installieren Sie in einer ausschlie lich virtuellen Umgebung mindestens einen CA Enterprise Log Manager Server als Verwaltungsserver Dieser Verwaltungsserver verwaltet Konfigurationen Software Updates und Kommunikationen mit Agenten Auf dem Verwaltungsserver werden keine Ereignisprotokolle empfangen und keine Abfragen oder Berichte ausgef hrt m Installieren Sie in einer gemischten Umgebung den CA Enterprise Log Manager Verwaltungsserver auf zertifizierter Hardware Jeder virtuelle Rechnerhost verf gt ber die bei VMware ESX Server 3 5 zul ssige maximale Anzahl von vier dedizierten Prozessoren Besondere Aspekte Ein dedizierter CA Enterprise Log Manager Server funktioniert optimal mit mindestens acht Prozessoren VMware ESX Server erlaubt bis zu vier Prozessoren f r einen einzelnen virtuellen Rechner Um eine Leistung zu erzielen die der eines dedizierten Servers mit acht Prozessoren entspricht installieren Sie CA Enterprise Log Manager auf zwei oder mehr virtuellen Rechnern und bilden dann einen Verbund F deration damit konsolidierte Berichte erstellt werden k nnen Anhang E CA Enterprise Log Manager und Virtualisierung 329 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Manager Servers Verwaltungsserver Berichtsserver Zwei CA Enterprise Log Manager Server die als Gastrechner unter VMware ESX Server v3 5 ausgef hrt werden entsprech
315. is des CA Audit Data Tools Servers lt Laufwerk gt Programme CA SharedComponents iTechnology Sie k nnen das Hilfsprogramm verwenden sobald es in das vorgesehene Verzeichnis kopiert wurde Eine eigene Installation ist nicht erforderlich Wissenswertes ber die LMSeosImport Befehlszeile Das Hilfsprogramm LMSeosImport verwendet eine Reihe von Befehlszeilenargumenten mit denen Sie steuern k nnen welche Ereignisse migriert werden Jedes Ereignis in der SEOSDATA Tabelle steht in einer Zeile und weist eine eindeutige Eintrags ID auf mit der es identifiziert wird Sie k nnen mit dem Importhilfsprogramm einen Bericht abrufen der diverse n tzliche Informationen enth lt Der Bericht enth lt die Anzahl der Ereignisse in der SEOSDATA Tabelle als Anzahl von Eintrags IDs die Ereignisanzahl pro Protokolltyp sowie die Zeitr ume f r die Ereignisse Das Hilfsprogramm bietet zudem die M glichkeit der Wiederholung falls beim Import eines Ereignisses ein Fehler auftritt Ferner k nnen Sie in einer Vorschau berpr fen welche Importergebnisse eine bestimmte Befehlsstruktur erbringt Bei der Vorschau werden keine Daten importiert Hierdurch k nnen Sie die Befehlszeilenoptionen vor der eigentlichen Migration optimieren Dar ber hinaus kann das Migrationshilfsprogramm auch mehrmals mit unterschiedlichen Parametern ausgef hrt werden falls Sie verschiedene Arten von Daten importieren m chten So k nnen Sie Daten beispielsweise in mehreren
316. ise Log Manager 121 Installieren Sie den lt ODBC gt Client Einzelheiten zu den einzelnen Plattformen die f r die Nutzung mit den ODBC und JDBC Funktionen unterst tzt werden finden in der CA Enterprise Log Manager Support Zertifizierungsmatrix unter http www ca com Support Konfigurieren des ODBC Server Services Mit diesem Verfahren k nnen Sie den ODBC und JDBC Zugriff auf den CA Enterprise Log Manager Ereignisprotokollspeicher konfigurieren So konfigurieren Sie den ODBC und JDBC Zugriff 1 Melden Sie sich als Administrator beim CA Enterprise Log Manager Server an 2 Klicken Sie auf der Registerkarte Verwaltung auf die Unterregisterkarte Services 3 Klicken Sie auf den ODBC Server Dienst um die globalen Einstellungen zu ffnen oder erweitern Sie den Knoten und w hlen Sie einen bestimmten CA Enterprise Log Manager Server aus 4 Stellen Sie einen Portwert f r das Feld Dienstport ein falls Sie nicht den Standardwert als Port verwenden m chten 5 Legen Sie fest ob SSL aktiviert werden soll um den Datentransport zwischen ODBC Client und CA Enterprise Log Manager Server zu verschl sseln Hinweis Die Einstellungen Dienstport und SSL aktiviert m ssen sowohl auf Server als auch auf ODBC Clientseite bereinstimmen Der Standardwert f r den Port ist 17002 und die SSL Verschl sselung ist aktiviert Falls diese Einstellungen nicht mit den Einstellungen am ODBC Client bereinstimmen kann die Ver
317. ise Log Manager Software Appliance m Sie m chten Daten auf der Ereignisquelle filtern um den Datenverkehr im Netzwerk bzw die Menge der gespeicherten Daten zu reduzieren m Sie m ssen aus rechtlichen Gr nden die Auslieferung der Daten an den Ereignisprotokollspeicher gew hrleisten m Sie m ssen die Protokoll bertragung im Netzwerk mit Datenverschl sselung sicherstellen Agenten fungieren als Prozessmanager f r Connectors die Daten von spezifischen Anwendungen Betriebssystemen oder Datenbanken erfassen Agenten leiten Befehle f r die Connector Verwaltung wie Start Beenden und Neu starten von der Agenten Explorer Schnittstelle in CA Enterprise Log Manager weiter ber die Agenten werden zudem Konfigurations nderungen und Aktualisierungen der Bin rdateien an die Connectors weitergegeben Sie k nnen Agenten auf einzelnen Ereignisquellen installieren oder auf Remote Hostservern wenn Ereignisse von mehreren Ereignisquellen erfasst werden sollen Die CA Enterprise Log Manager Serverinstallation installiert automatisch Ihren eigenen Agenten Sie k nnen diesen Standardagenten f r die direkte Syslog Ereigniserfassung verwenden Ferner haben Sie die M glichkeit ber jeden CA Enterprise Log Manager Server im Netzwerk den Status der einzelnen Agenten im Agenten Explorer anzuzeigen Agenten verf gen ber einen Watchdog berwachungsservice der Agenten neu startet falls diese unerwartet angehalten wurden und der nach Akt
318. ise Log Manager verf gt ber einen integrierten Agent Au erdem k nnen Sie einen Agenten auf einem Remote Sammelpunkt installieren und Ereignisse auf Hosts erfassen auf denen keine Agenten installiert werden k nnen Sie k nnen einen Agenten auch auf dem Host installieren auf dem die Ereignisquellen ausgef hrt werden und so die M glichkeit nutzen f r einen CA Enterprise Log Manager Unterdr ckungsregeln anzuwenden und bertragungen zu verschl sseln Glossary 413 Agenten Explorer Agentengruppe Agenten Management Aktionsabfrage Aktionsalarm Alarmserver Analystenrolle Der Agenten Explorer bezeichnet den Speicher f r die Einstellungen der Agentenkonfiguration Agenten k nnen in einem Erfassungspunkt oder in Endpunkten installiert werden an denen Ereignisquellen vorhanden sind Eine Agentengruppe ist eine Kennung die Benutzer auf ausgew hlte Agenten anwenden k nnen mit denen Benutzer eine Agentenkonfiguration gleichzeitig auf mehrere Agenten anwenden und Berichte auf der Basis der Gruppen abrufen k nnen Ein bestimmter Agent kann jeweils nur zu einer Gruppe geh ren Agentengruppen basieren auf benutzerdefinierten Kriterien wie der geografischen Region oder der Wichtigkeit Agenten Management ist der Software Prozess der alle Agenten steuert die mit allen f derierten CA Enterprise Log Managers verkn pft sind Dabei werden die Agenten mit denen kommuniziert wird authentifiziert Eine Aktionsabfrage ist
319. iste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties HT Sharing Any 7 Klicken Sie auf OK 8 Hinweis Weitere Informationen zur Paravirtualisierung finden Sie auf www vmware com Anhang E CA Enterprise Log Manager und Virtualisierung 387 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Schalten Sie den bereitgestellten CA Enterprise Log Manader Server ein Sie m ssen den CA Enterprise Log Manager Server einschalten damit er in Betrieb genommen werden kann So schalten Sie einen CA Enterprise Log Manager Server ein 1 W hlen Sie den neuen CA Enterprise Log Manager Server im linken Bereich des VMware Anwendungsfensters aus 2 Klicken Sie auf der Registerkarte Getting Started unter Basic Tasks auf Power On Der CA Enterprise Log Manager Server ist eingeschaltet Hinweis Stellen Sie sicher dass Sie der prim re CA Enterprise Log Manager Server in Betrieb ist bevor Sie einen sekund ren CA Enterprise Log Manager Server einschalten Automatische Installation eines CA Enterprise Log Manager Servers Um die virtuelle Appliance automatisch zu installieren m ssen Sie die folgenden Tasks ausf hren 1 Rufen Sie das OVF Tool auf 2 Legen Sie die Paravirtualisierungs und Ressourceneinstellungen fest 3 Schalten Sie den bereitgestellten CA Enterprise Log Manager Server ein In der folgenden Tabelle sind die Parameter a
320. ister sh Das Shell Skript registriert die CA Enterprise Log Manager Anwendung beim CA EEM Server Beziehen von Zertifikaten vom CA EEM Server Symptom W hrend der Installation wurden die digitalen Zertifikate nicht ordnungsgem vom CA EEM Server bezogen Digitale Zertifikate werden zum Starten und Ausf hren der CA Enterprise Log Manager Anwendung ben tigt Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Beziehen Sie die Zertifikate manuell vom CA EEM Server So beziehen Sie digitale Zertifikate 1 2 3 Rufen Sie auf dem CA Enterprise Log Manager Server eine Befehlszeile auf Melden Sie sich mit den Anmeldedaten des caelmadmin Kontos an Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM F hren Sie folgenden Befehl aus EEMAcaCert sh Das Shell Skript f hrt die zum Beziehen der erforderlichen digitalen Zertifikate notwendige Verarbeitung durch Kapitel 3 Installieren von CA Enterprise Log Manager 135 Fehlerbehebung bei der Installation Importieren von CA Enterprise Log Manager Berichten Symptom W hrend der Installation wurden Berichtsinhalte nicht richtig vom CA EEM Server importiert Sie m ssen die Berichtsinhalte importieren damit Ereignisdaten angezeigt werden nachdem sie im Ereignisprotokollspeicher gespeiche
321. it aktuellen SEOSDATA Ereignisinformationen auf Windows an 1 Rufen Sie eine Befehlszeile auf dem CA Audit Data Tools Server auf 2 Navigieren Sie zu dem Verzeichnis Programme CA SharedComponents iTechnology 3 Geben Sie die folgende Befehlszeile ein LMSeosImport dsn eAudit DSN user sa password sa target lt Log Manager Hostname gt report Der erstellte Bericht sieht in etwa wie folgt aus SEOSProcessor InitOdbc successfully attached to source eAudit_DSN Minimum TIME Maximum TIME 2007 08 27 2007 10 06 com ca iTechnology iSponsor 3052 EiamSdk 1013 NT Application 776 NT System 900 Minimum ENTRYID 1 Maximum ENTRYID 5741 Report Completed Vorschau der Importergebnisse Sie k nnen einen Testimport mit Ausgabe an STDOUT durchf hren um eine Vorschau der Importergebnisse anzuzeigen ohne die Daten tats chlich zu importieren oder zu migrieren Auf diese Weise k nnen Sie die f r eine einmalige Migration oder einen regelm ig geplanten Batch Import eingegebenen Befehlszeilenparameter berpr fen 278 Implementierungshandbuch Importieren von Daten aus einer SEOSDATA Tabelle So f hren Sie einen Testimport zur Vorschau der Importergebnisse durch 1 2 Rufen Sie eine Befehlszeile auf dem CA Audit Data Tools Server auf Navigieren Sie zum entsprechenden Verzeichnis Solaris opt CA SharedComponents iTechnology Windows Programme CA SharedComponents iTechnology Geben Sie die f
322. it er in Betrieb genommen werden kann So schalten Sie einen CA Enterprise Log Manager Server ein 1 W hlen Sie den neuen CA Enterprise Log Manager Server im linken Bereich des VMware Anwendungsfensters aus 2 Klicken Sie auf der Registerkarte Getting Started unter Basic Tasks auf Power On Der CA Enterprise Log Manager Server ist eingeschaltet Hinweis Stellen Sie sicher dass Sie der prim re CA Enterprise Log Manager Server in Betrieb ist bevor Sie einen sekund ren CA Enterprise Log Manager Server einschalten Automatische Installation eines CA Enterprise Log Manager Servers Um die virtuelle Appliance automatisch zu installieren m ssen Sie die folgenden Tasks ausf hren 1 Rufen Sie das OVF Tool auf 2 Legen Sie die Paravirtualisierungs und Ressourceneinstellungen fest 3 Schalten Sie den bereitgestellten CA Enterprise Log Manager Server ein In der folgenden Tabelle sind die Parameter aufgelistet die f r die Bereitstellung von CA Enterprise Log Manager mithilfe des OVF Tools verwendet werden Sie m ssen diese Parameter als Befehlszeilenargumente in der Befehlszeile angeben Erforderliche Informationen Wert Kommentare Hostspezifische Einstellungen 364 Implementierungshandbuch Erforderliche Informationen HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME Wert Der Hostname f r diesen CA Enterprise Log Manager Server Beispiel CA ELM1
323. itel 1 Einf hrung Dieses Kapitel enth lt folgende Themen ber dieses Handbuch siehe Seite 16 Kapitel 1 Einf hrung 15 ber dieses Handbuch ber dieses Handbuch Abschnitt Planen der Umgebung In diesem CA Enterprise Log Manager Implementierungshandbuch finden Sie Anleitungen zur Planung Installation und Konfiguration von CA Enterprise Log Manager so dass Sie Ereignisprotokolle von Ereignisquellen in Ihrem Netzwerk empfangen k nnen Das Handbuch ist so aufgebaut dass bei den einzelnen Aufgaben zun chst der Ablauf und die Ziele beschrieben werden Auf die Abl ufe folgen in der Regel relevante Konzepte und dann Verfahren zum Erreichen der Ziele Das CA Enterprise Log Manager Implementierungshandbuch richtet sich an Systemadministratoren die f r die Installation Konfiguration und Wartung einer L sung zur Protokollerfassung f r die Erstellung von Benutzern und die Festlegung bzw Zuweisung von Benutzerrollen sowie f r Zugriff auf und Wartung von Sicherungsdaten verantwortlich sind Ferner enth lt dieses Handbuch Informationen zu den folgenden Aufgaben m Konfigurieren eines Connectors oder Adapters zum Erfassen von Ereignisdaten m Konfigurieren von Services zur Steuerung von Berichterstellung Datenaufbewahrung Sicherung und Archivierung m Konfigurieren einer F deration Verbunds von CA Enterprise Log Manager Servern m Konfigurieren von automatischen Software Updates zum Abrufen von Inhalts Ko
324. iten Sie haben den CA Access Control Audit Anmeldedaemon aktiviert Hinweis Informationen zu den Installationsvorg ngen unter Linux finden Sie in der CA Access Control Dokumentation 308 Implementierungshandbuch Anhang C Hinweise zu CA IT PAM Dieses Kapitel enth lt folgende Themen Szenario Verwendung von CA EEM auf CA Enterprise Log Manager zur Authentifizierung von CA IT PAM siehe Seite 310 Implementierungsprozess der CA IT PAM Authentifizierung siehe Seite 310 Bereiten Sie die Implementierung der CA IT PAM Authentifizierung auf freigegebenem CA EEM vor siehe Seite 312 Kopieren einer XML Datei auf den CA Enterprise Log Manager Verwaltungsserver siehe Seite 313 Registrieren von CA IT PAM mit freigegebenem CA EEM siehe Seite 313 Kopieren des Zertifikats auf den CA IT PAM Server siehe Seite 315 Festlegen von Kennw rtern f r die vordefinierten CA IT PAM Benutzerkonten siehe Seite 315 Installieren der f r CA IT PAM erforderlichen Komponenten von Drittanbietern siehe Seite 317 Installieren der CA IT PAM Dom ne siehe Seite 318 Starten des CA ITPAM Server Service siehe Seite 319 Starten der CA IT PAM Serverkonsole und Anmelden an der Konsole siehe Seite 320 Anhang C Hinweise zu CAITPAM 309 Szenario Verwendung von CA EEM auf CA Enterprise Log Manager zur Authentifizierung von CA IT PAM Szenario Verwendung von CA EEM auf CA Enterprise Log Manager zur Authentifizierung von CA IT PAM
325. itt f r Integrationen k nnen Sie vordefinierte Integrationen anzeigen und neue Integrationen f r Ihre eigenen Ger te Anwendungen Dateien oder Datenbanken erstellen Weitere Informationen finden Sie im CA Enterprise Log Manager Administrationshandbuch und in der Online Hilfe Kapitel 8 Arbeiten mit der Ereignisverfeinerungs Bibliothek 247 Unterst tzen neuer Ereignisquellen mit der Ereignisverfeinerungs Bibliothek Unterst tzen neuer Ereignisquellen mit der Ereignisverfeinerungs Bibliothek Falls Ger te Anwendungen Datenbanken oder Ereignisquellen unterst tzt werden sollen die derzeit noch nicht unterst tzt werden m ssen Sie die erforderlichen Komponenten mit Hilfe des Assistenten f r Analysedateien des Assistenten f r Zuordnungsdateien und des Assistenten f r Integrationen erstellen Der Vorgang umfasst die folgenden allgemeinen Schritte 1 Erstellen von Analysedateien zum Erfassen von Ereignisdaten als Namen Wert Paare 2 Erstellen von Zuordnungsdateien zum Zuordnen der Namen Wert Paare in der ELM Schemadefinition 3 Erstellen neuer Integrationen und Listener zum Erfassen von Daten aus der Ereignisquelle Integrationen Analyse und Zuordnungsdateien sowie Unterdr ckungs und Zusammenfassungsregeln werden ausf hrlich im CA Enterprise Log Manager Administrationshandbuch und in der Online Hilfe besprochen Zuordnungs und Analysedateien W hrend des Betriebs liest CA Enterprise Log Manager die eintreffenden E
326. jedoch auch m glich dass ein Server verschiedene oder sogar alle Rollen bernimmt Wenn Sie berlegen welche Rollen Sie den einzelnen installierten Servern zuweisen m chten bedenken Sie welche Verarbeitungslast jede Rolle in Bezug auf andere relevante Faktoren in der Umgebung mit sich bringt m Verwaltungsserver Die Rolle des Verwaltungsservers wird standardm ig vom ersten installierten CA Enterprise Log Manager Server bernommen Der Verwaltungsserver f hrt folgende Hauptfunktionen aus Er fungiert als allgemeines Repository f r alle Server die auf diesem Server registriert werden Insbesondere werden auf diesem Server Anwendungsbenutzer Anwendungsgruppen Rollen Richtlinien Kalender und Anwendungsobjekte gespeichert Falls Sie den Benutzerspeicher als internen Speicher konfigurieren werden zudem globale Benutzer globale Gruppen und Kennwortrichtlinien hier gespeichert Falls der konfigurierte Benutzerspeicher auf einen externen Benutzerspeicher verweist werden die Informationen zum globalen Benutzerkonto und zur globalen Gruppe aus dem referenzierten Benutzerspeicher geladen Er verarbeitet Benutzerrechte anhand einer schnellen mit dem Speicher verkn pften Datei Er authentifiziert Benutzer anhand der Benutzer und Gruppenkonfiguration Er autorisiert Benutzer f r den Zugriff auf verschiedene Abschnitte der Benutzeroberfl che anhand von Richtlinien und Kalendern Er empf ngt alle ber automatische Software Upda
327. ken nicht manuell verschieben Er dient als lokaler Speicher f r Offline Datenbanken Sie k nnen diese Datenbanken wahlweise auch f r die langfristige Speicherung an einen externen Speicherort verschieben bzw kopieren Offline Datenbanken werden in der Regel gem den beh rdlich vorgeschriebenen Fristen aufbewahrt Remote Speicherserver geh ren nie zu einer CA Enterprise Log Manager F deration Sie sollten allerdings in die Planung Ihrer Architektur einbezogen werden 24 Implementierungshandbuch Serverplanung m Wiederherstellungspunktserver Berichtsserver fungieren in der Regel als Wiederherstellungspunktserver f r die Datenbanken die fr her auf ihnen gespeichert waren Falls Sie ber ein gro es Netzwerk verf gen sollten Sie einen eigenen CA Enterprise Log Manager Server f r diese Rolle einrichten Ein Wiederherstellungspunktserver f hrt folgende Funktionen aus Er dient f r die berpr fung der Protokolle alter Ereignisse Er empf ngt wiederhergestellte Datenbanken von einem Remote Speicherserver auf dem alle Offline Datenbanken gespeichert sind Sie k nnen das Hilfsprogramm restore ca elm sh dazu verwenden Datenbanken zum Wiederherstellungspunkt zu verschieben wenn Sie zuerst die nicht interaktive Authentifizierung vom Speicherserver zum Wiederherstellungspunkt konfigurieren Er katalogisiert den Archivkatalog neu und f gt die wiederhergestellten Datenbanken zu seinen Datens tzen hinzu
328. kolle empfangen und keine Abfragen und Berichte ausgef hrt werden Installieren Sie eigene virtuelle CA Enterprise Log Manager Server als Berichts und Quellserver um eine optimale Leistung zu erzielen Lesen Sie die normalen Installationsanleitungen bevor Sie CA Enterprise Log Manager in einer virtuellen Umgebung installieren Auf dem Arbeitsblatt f r die Installation k nnen Sie sich die erforderlichen Informationen notieren So installieren Sie CA Enterprise Log Manager auf einem virtuellen Rechner 1 Legen Sie den Datentr ger f r die Installation des CA Enterprise Log Manager Betriebssystems in das physische DVD ROM Laufwerk ein oder navigieren Sie zu dem Verzeichnis in das Sie das Installations Image kopiert haben 2 W hlen Sie Ihren virtuellen Rechner in der Inventarliste der virtuellen Rechner aus klicken Sie mit der rechten Maustaste auf den Eintrag und w hlen Sie Power On aus 3 Fahren Sie mit der normalen CA Enterprise Log Manager Installation fort 4 Konfigurieren Sie den installierten CA Enterprise Log Manager Server f r die gew nschte funktionelle Rolle Verwenden Sie dabei die Informationen im Abschnitt zur Installation eines CA Enterprise Log Manager Servers Weitere Informationen Installation von CA Enterprise Log Manager siehe Seite 86 344 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Klonen eines virtuellen CA Enterprise Log Manader S
329. ktualisierung durchzuf hren wenn Sie neue Dateien bertragen Damit stellen Sie sicher dass die Aktualisierungen verf gbar sind wenn sie von Clients f r automatische Software Updates im Offline Modus abgefragt werden Weitere Informationen Konfiguration automatischer Software Updates siehe Seite 204 Infos zu herunterzuladende Module siehe Seite 211 Kapitel 5 Konfigurieren von Services 217 Konfiguration automatischer Software Updates Festlegen eines Ablaufplans f r automatische Software Updates Sie legen einen Ablaufplan f r automatische Software Updates fest um zu bestimmen wann und wie h ufig der Service f r automatische Software Updates Aktualisierungen ausf hrt Sie k nnen einen Ablaufplan f r automatische Software Updates global f r Ihre ganze CA Enterprise Log Manager Umgebung festlegen oder einen benutzerdefinierten Ablaufplan f r individuelle Proxys und Clients programmieren So konfigurieren Sie einen Ablaufplan f r automatische Software Updates 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services 2 Klicken Sie auf Service automatischer Software Updates Die globale Service Konfiguration f r den Service automatischer Software Updates wird angezeigt 3 F hren Sie einen der folgenden Schritte aus a Um einen globale Ablaufplan f r Ihre ganze CA Enterprise Log Manager Umgebung festzulegen klicken Sie auf die Registerkarte Verwaltung oder m U
330. l pro Tag so l sst sich vermeiden jeden Tag eine l ngere Zeit f r umfangreiche Datentransfers aufwenden zu m ssen W hlen Sie einen Zeitplan aus auf der Basis Ihrer Auslastung sowie der Entscheidung ob es besser ist die Verarbeitung auf einmal oder ber den Tag verteilt vorzunehmen Wenn Datenbanken mit Hilfe der automatischen Archivierung von einem Erfassungsserver auf seinen Berichtsserver kopiert werden dann werden diese Datenbanken auf dem Erfassungsserver gel scht 178 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Wenn Sie einen lokalen Server mit viel Speicherplatz identifiziert haben k nnen Sie eine automatische Archivierung vom Berichtsserver auf einen solchen Remote Speicherserver konfigurieren Wenn Datenbanken mit Hilfe der automatischen Archivierung von einem Berichtsserver auf einen Remote Speicherserver kopiert werden bleiben diese Datenbanken auf dem Berichtsserver bestehen bis der Zeitraum den Sie als Maximale Anzahl an Archivtagen festgelegt haben verstrichen ist Dann werden sie gel scht Der Vorteil dieser Phase des automatischen Archivierens besteht darin archivierte Datenbanken vor Verlust zu sch tzen falls sie nicht manuell an einen Ablageort f r die langfristige Speicherung verschoben werden bevor das automatische L schen erfolgt Hinweis Bevor Sie einen Remote Server f r den Empfang automatisch archivierter Datenbanken konfigurieren m ssen Sie auf diesem Zielserver ein
331. laris_sparc 4 Kopieren Sie das Hilfsprogramm LMSeosImport in das iTechnology Verzeichnis des CA Audit Data Tools Servers opt CA SharedComponents iTechnology Sie k nnen das Hilfsprogramm verwenden sobald es in das vorgesehene Verzeichnis kopiert wurde und die erforderlichen Umgebungsvariablen festgelegt wurden Eine eigene Installation ist nicht erforderlich Kopieren des Importhilfsprogramms auf einen Windows Data Tools Server Bevor Sie Daten aus der SEOSDATA Tabelle importieren k nnen m ssen Sie das Hilfsprogramm LMSeosImport von der CA Enterprise Log Manager Anwendunsgsinstallations DVD ROM auf Ihren Windows Data Tools Server kopieren Hinweis F r das Hilfsprogramm LMSeosImport m ssen die Dynamic Link Libraries etsapi und etbase vorhanden sein Diese Dateien geh ren zum Umfang der Basisinstallation des Data Tools Servers Vergewissern Sie sich vor der Verwendung des Hilfsprogramms LMSeosImport dass die PATH Systemanweisung das Verzeichnis Programme CA eTrust Audit bin enth lt So kopieren Sie das Hilfsprogramm 1 Rufen Sie auf dem Windows Data Tools Server eine Eingabeaufforderung auf 2 Legen Sie die CA Enterprise Log Manager Anwendunssinstallations DVD ROM ein 3 Navigieren Sie zu dem Verzeichnis CA ELM Windows Anhang A Aspekte f r CA Audit Benutzer 273 Importieren von Daten aus einer SEOSDATA Tabelle 4 Kopieren Sie das Hilfsprogramm LMSeosImport exe in das iTechnology Verzeichn
332. lationsserver ermittelt haben sollten Sie diesen Server ausw hlen Klicken Sie im Bereich Regelkonfiguration auf Anwenden und w hlen Sie die neue Version der Regel 5 fehlgeschlagene Anmeldeversuche durch Administratorkonten zu der Sie das Benachrichtigungsziel zuweisen m chten aus Klicken Sie auf OK um das Dialogfeld zu schlie en und die Regel zu aktivieren Beispiel Ausw hlen und Anwenden einer Regel des Status bergands Die Korrelationsregeln des Status bergangs ermitteln eine Reihe an Status oder Vorkommnissen Sie k nnen beispielsweise eine Regel anwenden die Sie vor fehlgeschlagenen Anmeldungen gefolgt von einer erfolgreichen Anmeldung die durch das gleiche Benutzerkonto erfolgt ist warnt Bevor Sie eine Regel anwenden sollten sie sicherstellen dass Sie die gew nschten Benachrichtigungsziele f r Ihre Umgebung erstellt haben Kapitel 5 Konfigurieren von Services 193 Konfigurieren des Korrelationsservices 10 Klicken Sie auf Registerkarte Administration und anschlie end auf die Unterregisterkarte Bibliothek und blenden Sie den Ordner Korrelationsregeln ein Blenden Sie den Ordner Identit t und anschlie end den Ordner Authentifizierung ein und w hlen Sie die Regel Erfolgreiche Anmeldung nach fehlgeschlagenen Anmeldungen aus Die Regeldetails werden im rechten Fensterbereich angezeigt berpr fen Sie die Regeldetails um sicherzustellen dass die Regel f r Ihre Umgebung geeig
333. lbst berwachenden Ereignisse andere lokale Ereignisse anzeigen und Berichte zu Aktionen auf dem lokalen CA Enterprise Log Manager Server erstellen Im Folgenden finden Sie eine bersicht ber die in der CA Enterprise Log Manager Umgebung verwendeten Ports Komponente Beschreibung CA Enterprise Log TCP UDP Port der f r die DNS Kommunikation verf gbar sein Manager Server muss um Hostnamen f r IP Adressen von Servern aufzul sen zum Beispiel dem CA Enterprise Log Manager Server dem Remote CA EEM Server wenn konfiguriert und dem NTP Server wenn Sie NTP Zeitsynchronisation zum Zeitpunkt der Installation ausgew hlt haben DNS Kommunikation wird nicht ben tigt wenn Sie Hostnamen zu IP Adressen in der lokalen Datei etc hosts zuweisen 114 Implementierungshandbuch Port 80 111 443 514 1468 2123 5250 6789 Komponente CA Enterprise Log Manager Server Portmapper SAPI CA Enterprise Log Manager Server Syslog Syslog DXadmin CA Enterprise Log Manager Server Agent Erste CA Enterprise Log Manader Serverkonfigurationen Beschreibung TCP Kommunikation mit der Benutzerschnittstelle des CA Enterprise Log Manager Servers ber HTTPS automatische Umleitung an Port 5250 Audit Client Kommunikation mit dem Portmapper Prozess zum Empfang dynamischer Portzuweisungen TCP Kommunikation mit der Benutzerschnittstelle des CA Enterprise Log Manager Servers ber HTTPS automatische Umleitung
334. le Protokollierungen anwenden Bestimmt ob mit der Einstellung Protokollebene alle Protokolleinstellungen aus der Eigenschaftendatei des Protokolls berschrieben werden Diese Einstellung gilt nur dann wenn die Einstellung Protokollebene niedriger ist d h einen h heren Detailgrad hat als die Standardeinstellung Hinweise zum Berichtsserver Der Berichtsserver regelt die Verwaltung automatisch verteilter Berichte und ihre Darstellung im PDF Format Au erdem verwaltet er die Erfassung von Aktionsalarmen und Berichten Folgende Aufgaben k nnen im Bereich f r die Konfiguration des Berichtsservers erledigt werden m Festlegen von Firmenname und Logo der Schriftarten und anderer PDF Berichtseinstellungen im Bereich Berichtskonfigurationen m Bestimmen der H chstzahl der aufzubewahrenden Aktionsalarme sowie der Aufbewahrungsdauer im Bereich Alarmaufbewahrung Maximale Aktionsalarme Gibt an wie viele Aktionsalarme zu Pr fzwecken auf dem Berichtsserver gespeichert werden sollen Minimum 50 Maximum 1000 Kapitel 5 Konfigurieren von Services 203 Konfiguration automatischer Software Updates Aufbewahrungszeitraum f r Aktionsalarme Gibt den maximalen Zeitraum in Tagen an ber den Aktionsalarme aufbewahrt werden Minimum 1 Maximum 30 Festlegen der Aufbewahrungsrichtlinie f r den Wiederholungstyp der einzelnen geplanten Berichte im Bereich Berichtsaufbewahrung Bestimmen ob oder wie oft das Hilfspro
335. lect Remote if this CA Enterprise Log Manager server must use a remote CA EEM server Properties Local E B Host Name or IP Address of the Remote CA EEM Server Specify the IP address or the hast name of the remote CA EEM server Enter none to install a CA EEM server on this host none C Password for CA EEM Server Enter the password for the EEM server Eiam dmin user Examplesismadminpassword D FIPS Mode Do you want to run CA Enterprise Log Manager in FIPS mode Choose Yes for FIPS mode or No for non FIPS mode GE a A Anhang E CA Enterprise Log Manager und Virtualisierung 383 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Die Seite Ready to Complete wird ge ffnet Auf dieser Seite werden die Details die Sie auf den vorhergehenden Seiten angegeben haben zusammengefasst angezeigt 17 berpr fen Sie die eingegebenen Details und klicken Sie auf Finish Deploy OYF Template lolx Ready to Complete Are these the options you want to use Source OVF Template Details End User License Agreement Name and Location Deployment Configuration Host Cluster Deployment settings OYF file Download Size Size on disk When you click Finish the deployment task will be started C Program Files CA ELM CA Enterprise Log Manager ovf 1964 MB 337920 MB Example CA Enterprise Log Manager Properties Folder ELMOA SP2 vApp
336. liances Schalten Sie den bereitgestellten CA Enterprise Log Manader Server ein Sie m ssen den CA Enterprise Log Manager Server einschalten damit er in Betrieb genommen werden kann So schalten Sie einen CA Enterprise Log Manager Server ein 1 W hlen Sie den neuen CA Enterprise Log Manager Server im linken Bereich des VMware Anwendungsfensters aus 2 Klicken Sie auf der Registerkarte Getting Started unter Basic Tasks auf Power On Der CA Enterprise Log Manager Server ist eingeschaltet Hinweis Stellen Sie sicher dass Sie der prim re CA Enterprise Log Manager Server in Betrieb ist bevor Sie einen sekund ren CA Enterprise Log Manager Server einschalten berpr fen des Installation eines virtuellen CA Enterprise Log Manager Servers Wenn Sie den bereitgestellten CA Enterprise Log Manager Server einschalten wird in der Registerkarte Console des VMware vSphere Client Fensters eine URL f r den Zugriff auf CA Enterprise Log Manager angezeigt Verwenden Sie diese URL und die folgenden Standardanmeldeinformationen um auf CA Enterprise Log Manager zuzugreifen Standardbenutzername EiamAdmin Standardkennwort Das Kennwort das Sie w hrend der CA Enterprise Log Manager Serverinstallation eingegeben haben Weitere Informationen Hinzuf gen virtueller Server zu Ihrer Umgebung siehe Seite 351 Erstellen einer ausschlie lich virtuellen Umgebung siehe Seite 374 Schnelle Bereitstellung der virtuellen Server siehe S
337. linie ausw hlen Die Richtlinie wird mit den zugeh rigen Regeln im Detailfenster angezeigt 3 Klicken Sie auf die Regel die bearbeitet werden soll Die Regel wird mit den zugeh rigen Aktionen im Detailfenster angezeigt 4 Klicken Sie auf Bearbeiten Der Assistent zum Bearbeiten von Regeln wird ge ffnet 5 ndern Sie die Regel im Assistenten so dass Ereignisse an den CA Enterprise Log Manager Server gesendet werden entweder zus tzlich zu den oder anstelle der derzeitigen Ziele Klicken Sie abschlie end auf Fertig stellen 6 berpr fen Sie die Regel und bernehmen Sie sie als Maker Benutzer so dass sie von einem Benutzer mit Checker Rolle genehmigt werden kann 7 Melden Sie sich ab und melden Sie sich erneut beim Richtlinien Manager Server als Benutzer mit Checker Rolle an falls in Ihrem Unternehmen die Pflichtentrennung verwendet wird Anhang A Aspekte f r CA Audit Benutzer 269 Grund f r den Import von Ereignissen 8 berpr fen und genehmigen Sie den Richtlinienordner mit der ge nderten Richtlinie und Regel Nachdem die Richtlinie genehmigt wurde wird durch die Einstellungen des Richtlinien Manager Verteilungsservers vorgegeben wann die neue Richtlinie an die Audit Knoten verteilt wird Sie k nnen den Aktivierungsstatus der Richtlinie im Aktivierungsprotokoll einsehen 9 Wiederholen Sie diesen Vorgang f r alle Regeln und Richtlinien mit erfassten Ereignissen die an CA Enterprise Log Manager gese
338. llen diesem Server untergeordneten Servern zur ck Kapitel 7 Erstellen von F derationen 239 Hierarchischer Verbund Wenn Sie von einem untergeordneten Server aus eine Abfrage an die F deration senden sind die Ergebnisse davon abh ngig wie die F deration konfiguriert wurde In einer hierarchischen F deration geben alle Server die als untergeordnete Server zu einem Server konfiguriert wurden Ergebnisse an diesen Server zur ck In einem Netzverbund geben alle untereinander verbundenen Server Daten an den abfragenden Server zur ck Hierarchischer Verbund Hierarchische Verbunde Verbunde werden auch als F derationen bezeichnet verwenden eine von oben nach unten verlaufende Pyramidenstruktur um die Arbeitslast der Ereigniserfassung ber ein weites Gebiet zu verteilen Die Struktur hnelt einem Organisationsdiagramm Die Anzahl der erstellten Ebenen ist nicht vorgegeben und wird von Ihnen entsprechend Ihrer Gesch ftsanforderungen gew hlt In einem hierarchischen Verbund k nnen Sie mit jedem CA Enterprise Log Manager Server eine Verbindung herstellen um Berichte zu den Ereignisdaten dieses Servers und den Daten der untergeordneten Server anzuzeigen Der Umfang der Daten auf die Sie zugreifen k nnen wird durch Ihren Ausgangspunkt in der Hierarchie bestimmt Falls Sie auf einen Server in der Mitte der Hierarchie zugreifen k nnen Sie nur die Daten dieses Servers und der ihm untergeordneten Server anzeigen Je h her Sie sich im
339. m igen Sicherungen Sie m ssen folgende Daten sichern m die CA Enterprise Log Manager Anwendungsinstanz auf dem Verwaltungsserver den Ordner opt CA LogManager data auf jedem CA Enterprise Log Manager Server die Zertifikatsdateien im Ordner opt CA SharedComponents iTechnology auf jedem CA Enterprise Log Manager Server Anhang D Disaster Recovery 321 Wissenswertes ber das Sichern des CA EEM Servers Falls ein hoher Durchsatz f r Ihre Implementierung wichtig ist k nnen Sie einen Reserveserver unterhalten der dieselben Hardwaremerkmale aufweist wie der Server auf dem Sie die anderen CA Enterprise Log Manager Server installieren Falls ein CA Enterprise Log Manager Server ausf llt k nnen Sie einen anderen mit genau demselben Namen installieren Wenn der neue Server gestartet wird erh lt er die notwendigen Konfigurationsdateien vom Verwaltungsserver Falls eine solche Leistungsvorgabe f r Ihre Implementierung nicht von Bedeutung ist k nnen Sie einen CA Enterprise Log Manager Server auf jedem leeren Server installieren der als Host f r das grundlegende Betriebssystem geeignet ist und die Mindestanforderungen an Speicherplatz und Festplattenkapazit t erf llt Weitere Informationen zu Hardware und Softwareanforderungen finden Sie in den CA Enterprise Log Manager Versionshinweisen Der interne auf dem Verwaltungsserver installierte CA EEM Server verf gt ebenfalls ber seine eigenen Failover Konfigurationsproz
340. m Bereitstellung einer von Connectors erfassten Failover Sammlung von Ereignissen f r den agentenlosen Quellserver Die Daten werden ber ein automatisiertes Sicherungsskript vom Berichtsserver auf einen Remote Server komprimierte Offline Speicherung verschoben Falls Sie Daten aus dem Offline Speicher wiederherstellen geschieht dies in der Regel auf dem Berichtsserver Falls der Speicherplatz auf dem Berichtsserver begrenzt ist k nnen die Daten auch auf dem agentenlosen Quellserver f r Protokolldateien wiederhergestellt werden Da auf dem Quellserver keine gro en Datenmengen gespeichert werden und dieser sich in einem Verbund befindet erhalten Sie dieselben Berichtsergebnisse Ferner kann der Berichtsserver als Failover Empf nger f r Ereignisse fungieren die von einem Connector auf einem Remote Agent erfasst wurden falls der Quellserver aus irgendeinem Grund keine Ereignisse mehr empf ngt Sie k nnen den Failover auf Agentenebene konfigurieren Bei der Failover Verarbeitung werden Ereignisse an einen oder mehrere alternative CA Enterprise Log Manager Server gesendet Die Failover Ereigniserfassung ist nicht verf gbar f r Ereignisse die ber SAPI und iTech Listener aus alten Ereignisquellen erfasst wurden Weitere Informationen CA Enterprise Log Manager und Virtualisierung siehe Seite 329 Kapitel 2 Planen der Umgebung 31 Planen der Ereigniserfassung Planen des Speicherplatzes Vergewissern Sie sich bei der Planu
341. m Server verwendet werden soll Geben Sie eine g ltige Teilnetzmaske und ein Standard Gateway f r die Verwendung mit diesem Server ein Geben Sie eine oder mehrere DNS Server IP Adressen f r die Verwendung in Ihrem Netzwerk ein In der Liste sind die Eintr ge durch Komma ohne Leerzeichen zwischen den Eintr gen getrennt Falls Ihre DNS Server IPv6 Adressen verwenden geben Sie diese Adressen im entsprechenden Format ein Geben Sie den qualifizierten Namen der Dom ne ein in der dieser Server betrieben wird z B meineFirma com Hinweis Der Dom nenname muss beim DNS Server DNS Domain Name Server in Ihrem Netzwerk registriert sein damit der Hostname in eine IP Adresse aufgel st werden kann Anhang E CA Enterprise Log Manager und Virtualisierung 389 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen acceptAllEulas deploymentOption TIMEZONE NTPLOCATION Wert Accept medium oder large Ihre gew nschte Zeitzone Relevanter Hostname bzw IP Adresse Anwendunssspezifische Einstellungen LOCAL_REMOTE_EEM 390 Implementierungshandbuch Local beim ersten installierten Server Verwaltungsserve r Remote bei jedem weiteren Server Kommentare Akzeptieren Sie die CA Lizenzvereinbarung um mit der Bereitstellung eines CA Enterprise Log Manager Servers fortzufahren Wenn Sie Medium ausw hlen stellt VMware vier
342. m einen lokalen Ablaufplan f r einen bestimmten Server anzugeben klicken Sie auf den Servernamen anschlie end auf die Registerkarte Verwaltung und wechseln Sie zur lokalen Konfiguration 4 Legen Sie den Ablaufplan f r automatische Software Updates fest W hlen Sie Ihre Zeitzone und eine Startzeit f r die Aktualisierungen an und geben Sie die gew nschte Aktualisierungsh ufigkeit an Weitere Informationen Konfiguration automatischer Software Updates siehe Seite 204 218 Implementierungshandbuch Kapitel 6 Konfigurieren der Ereigniserfassung Dieses Kapitel enth lt folgende Themen Installieren von Agenten siehe Seite 219 Verwenden des Agenten Explorers siehe Seite 220 Konfigurieren des Standardagenten siehe Seite 221 Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLogSensor siehe Seite 224 Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLogSensor siehe Seite 231 Anzeigen und Steuern des Agenten bzw Connector Status siehe Seite 237 Installieren von Agenten CA Enterprise Log Manager Agenten bei denen es gesonderte Installationen f r bestimmte Plattformen gibt stellen die Transportschicht dar ber die Ereignisse von Ereignisquellen in den Ereignisprotokollspeicher des CA Enterprise Log Manager Servers geleitet werden Agenten verwenden Connectors um Ereignisprotokolle aus verschiedenen Ereignisquellen zu erfassen In der folgenden Abbildung ist die Interaktion zwischen Ag
343. mail Beschreibung CA Enterprise Log Manager action i SCC Status Monitor External Program ie I Diese Aktion auf Remote Server durchf hren c eacevents txt Server wird von AK Gruppe definiert Route Server ist N screen Wlsecurity Monitor rRsniera Bei CA Enterprise Log Manager Implementierungen mit zwei oder mehr Servern k nnen Sie im Feld f r den alternativen Hostnamen einen anderen CA Enterprise Log Manager Hostnamen bzw eine andere IP Adresse eingeben Dadurch wird die CA Audit Funktion des automatischen Failovers genutzt Falls der erste CA Enterprise Log Manager Server nicht verf gbar ist sendet CA Audit automatisch Ereignisse an den im Feld Alternativer Hostname benannten Server Geben Sie im Feld Alternativer Hostname den Namen des CA Enterprise Log Manager Verwaltungsservers ein und erstellen Sie eine Beschreibung f r die neue Regelaktion Deaktivieren Sie das Kontrollk stchen Diese Aktion auf Remote Server durchf hren falls es aktiviert ist Klicken Sie auf Hinzuf gen um die neue Regelaktion zu speichern und klicken Sie dann im Assistentenfenster auf Fertig stellen Hinweis Als N chstes berpr fen und aktivieren Sie die Richtlinie melden Sie sich daher nicht vom CA Audit Richtlinien Manager ab Weitere Informationen ndern einer bestehenden r8 SP2 Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager siehe Seite 268 Anhang B Aspekte f r CA Access Control B
344. mationen generiert k nnen Sie trotzdem unerw nschte Ereignisse auf der Agenten oder Agentengruppenebene unterdr cken um Verarbeitungszeit auf dem CA Enterprise Log Manager Server einzusparen 74 Implementierungshandbuch Kapitel 3 Installieren von CA Enterprise Log Manager Dieses Kapitel enth lt folgende Themen Wissenswertes ber die CA Enterprise Log Manager Umgebung siehe Seite 75 Erstellen der Installations DVDs siehe Seite 78 Installieren eines CA Enterprise Log Manager Servers siehe Seite 79 Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung siehe Seite 92 Hinzuf gen eines neuen CA Enterprise Log Manager Servers zu einer bereits vorhandenen F deration in der FIPS Modus aktiviert ist siehe Seite 101 Installationshinweise f r ein System mit SAN Laufwerken siehe Seite 103 Erste CA Enterprise Log Manager Serverkonfigurationen siehe Seite 111 Installieren Sie den lt ODBC gt Client siehe Seite 121 Installieren des JDBC Clients siehe Seite 127 Fehlerbehebung bei der Installation siehe Seite 131 Wissenswertes ber die CA Enterprise Log Manager Umgebung CA Enterprise Log Manager ist darauf ausgelegt dass Sie das Produkt innerhalb k rzester Zeit nach Beginn der Installation verwenden Protokollinformationen erfassen und Berichte erstellen k nnen Sie m ssen die CA Enterprise Log Manager Software Appliance auf einem eigens daf r vorges
345. matische Software Updates mit sechs Servern Wenn Sie die Konfiguration der automatischen Software Updates in Angriff nehmen berlegen Sie welche anderen Rollen die Server erf llen bevor sie deren Rolle im Rahmen der Software Updates festlegen Standardm ig fungiert der Verwaltungsserver d h der erste installierte Server als Standard Proxy f r automatische Software Updates CA Software Update Proxy Alle anderen Server sind Software Update Clients des CA Software Update Proxys Diese Konfiguration ist zwar akzeptabel empfehlenswerter ist allerdings die Konfiguration eines Online Update Proxys In diesem Fall fungiert der Standard Proxy Server als Failover Proxy bzw redundanter Proxy Weisen Sie die Rolle des Online Proxys vorzugsweise dem Server mit der geringsten Auslastung zu 62 Implementierungshandbuch Planen von automatischen Software Updates Beispiel Sechs Server bei denen der Online Update Proxy der am wenigsten ausdelastete Server ist Das folgende Szenario besteht aus sechs CA Enterprise Log Manager Servern Der Verwaltungsserver dient der Authentifizierung und Autorisierung von Benutzern bei der Anmeldung und der Speicherung von Anwendungsinhalten Vier f derierte Server bernehmen die Ereignisverarbeitung und Berichterstellung Der sechste Server ist ein eigens daf r eingerichteter Wiederherstellungspunkt f r die berpr fung von Ereignissen aus wiederhergestellten Datenbanken Der Vorteil eines eigenen Wieder
346. mehrmals durchf hren um die Befehlszeilenoptionen zu optimieren 5 Importieren Sie mit den optimierten Befehlszeilenoptionen Ereignisse aus einer Collector Datenbank Kopieren des Hilfsprogramms f r den Ereignisimport auf einen Solaris Data Tools Server Bevor Sie Daten aus der SEOSDATA Tabelle importieren k nnen m ssen Sie das Hilfsprogramm LMSeosImport von der CA Enterprise Log Manager Anwendunsgsinstallations DVD ROM auf Ihren Solaris Data Tools Server kopieren Hinweis F r das Hilfsprogramm LMSeosImport m ssen die Bibliotheken etsapi und etbase vorhanden sein Diese Dateien geh ren zum Umfang der Basisinstallation des Data Tools Servers Vergewissern Sie sich vor der Verwendung des Hilfsprogramms LMSeosImport dass die PATH Systemanweisung das CA Audit Installationsverzeichnis enth lt Das Standardverzeichnis ist opt CA eTrustAudit bin 272 Implementierungshandbuch Importieren von Daten aus einer SEOSDATA Tabelle Legen Sie die folgenden Umgebungsvariablen mit dem Befehl env fest bevor Sie das Hilfsprogramm ausf hren ODBC_HOME lt CA Audit Data Tools Installationsverzeichnis gt odbc a ODBCINI lt CA Audit Data Tools Installationsverzeichnis gt odbc odbc ini So kopieren Sie das Hilfsprogramm 1 Rufen Sie auf dem Solaris Data Tools Server eine Eingabeaufforderung auf 2 Legen Sie die CA Enterprise Log Manager Anwendunsgsinstallations DVD ROM ein 3 Navigieren Sie zu dem Verzeichnis CA ELM So
347. mentierungshandbuch Konfigurieren des Ereignisprotokollspeichers F r das Konfigurieren der automatischen Archivierung von einem Erfassungsserver auf einen Berichtsserver und dann von einem Berichtsserver auf einen Remote Speicherserver k nnen Sie das folgende Beispiel als Anleitung verwenden 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unter Registerkarte Protokollerfassung 2 Erweitern Sie den Ordner Ereignisprotokollspeicher und w hlen Sie einen Erfassungsserver aus Service Liste Service anzeigen nach 9 Service Host IS Globale Konfiguration y Q Ereignisprotokoll Speicher NY Collection ELM Nv Reporting ELM gt Modul f r automatische Software Updates b Systemstatus 3 Legen Sie fest dass die automatische Speicherung jede Stunde einmal erfolgen soll mit dem Berichtsserver als Ziel Geben Sie die Berechtigungsnachweise eines CA Enterprise Log Manager Benutzers mit Administratorrolle an Wenn Sie benutzerdefinierte Richtlinien verwenden muss dies ein Benutzer mit Bearbeitungsrechten f r die Datenbankressource sein da diese die Berechtigung einschlie en die archivierte Datenbank zu l schen Auto Archive V Aktiviert Sicherungstyp Incremental v H ufigkeit _ Hourly v Startzeit 24 Stunden Format 0 EEM Benutzer Administratori EEM Kennwort tbtt Remote Server NY Reporting ELM Remote Benutzer caelmservice Remote Standort opt CA LogManager V Remote ELM Server 4 W hlen S
348. ministratorrechten bzw mit dem Namen und Kennwort des EiamAdmin Benutzers bei einem CA Enterprise Log Manager Server an 2 Klicken Sie auf die Registerkarte Verwaltung Falls Sie sich als EiamAdmin Benutzer anmelden wird diese Registerkarte automatisch angezeigt 3 W hlen Sie die untergeordnete Registerkarte Benutzer und Zugriffsverwaltung aus und klicken Sie im linken Teilfenster auf Benutzerspeicher Die EEM Server Konfiguration f r globale Benutzer globale Gruppen wird angezeigt 4 Vergewissern Sie sich dass die Option f r die Speicherung im internen Datenspeicher aktiviert ist 5 Klicken Sie auf Speichern und anschlie end auf Schlie en Hinweis Wenn Sie den Standardbenutzerspeicher verwenden k nnen Sie neue Benutzer erstellen tempor re Kennw rter festlegen und Kennwortrichtlinien definieren Weitere Informationen Planen des Benutzerspeichers siehe Seite 43 Verweisen auf ein LDAP Verzeichnis Konfigurieren Sie den Benutzerspeicher als Verweis auf ein LDAP Verzeichnis falls die globalen Benutzerdaten in Microsoft Active Directory Sun One oder Novell Directory gespeichert sind Hinweis Anwendungsdaten werden im Standard Repository gespeichert Durch den Verweis auf einen externen Benutzerspeicher wird dieser Benutzerspeicher nicht aktualisiert Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration 145 Konfigurieren des Benutzerspeichers So verweisen Sie auf ein LDAP Verz
349. mmunizieren Wenn Sie den Nicht FIPS Modus aktivieren ist der CA Enterprise Log Manager Server komplett abw rtskompatibel mit lteren Agenten aber der Betrieb im FIPS Modus ist nicht verf gbar Wir empfehlen dass Sie nur Agenten mit der Version r12 1 SP1 installieren nachdem Sie f r Ihre CA Enterprise Log Manager Server ein Upgrade auf r12 1 SP1 durchgef hrt haben Mit einem CA Enterprise Log Manager Server verkn pfte Agenten erkennen nderungen des Servermodus automatisch und starten sich im entsprechenden Modus neu Das Hinzuf gen eines neuen CA Enterprise Log Manager Servers zu einer vorhandenen F deration in der FIPS Modus aktiviert ist ben tigt eine spezielle Handhabung Weitere Informationen zum Hinzuf gen eines neuen CA Enterprise Log Manager Servers zu einer bereits vorhanden F deration finden Sie im Implementierungshandbuch 96 Implementierungshandbuch Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Durchf hren von Upgrades f r CA EEM Remote Server Wenn Sie einen eigenst ndigen CA EEM Server bei Ihrer CA Enterprise Log Manager Installation verwenden f hren Sie zuerst f r diesen Server ein Upgrade auf FIPS Unterst tzung durch bevor Sie andere CA Enterprise Log Manager Server oder Agenten aktualisieren Weitere Informationen und Anweisungen finden Sie in den Anleitungen im CA EEM Handbuch Erste Schritte Deaktivieren des ODBC und JDBC Zugri
350. mooo ana ma cra 4 Anhang E CA Enterprise Log Manager und Virtualisierung 359 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Die Seite Ready to Complete wird ge ffnet Auf dieser Seite werden die Details die Sie auf den vorhergehenden Seiten angegeben haben zusammengefasst angezeigt 17 berpr fen Sie die eingegebenen Details und klicken Sie auf Finish Deploy OYF Template lolx Ready to Complete Are these the options you want to use Source OVF Template Details End User License Agreement Name and Location Deployment Configuration Host Cluster Deployment settings OYF file Download Size Size on disk When you click Finish the deployment task will be started C Program Files CA ELM CA Enterprise Log Manager ovf 1964 MB 337920 MB Example CA Enterprise Log Manager Properties Folder ELMOA SP2 vApp Datacenter Ready to Complete Deployment Configuration medium Host Cluster 10 10 0 10 Datastore Storage 172 60 10 20 Network Mapping YM Network to YM Network IP Allocation Fixed IPv4 Property LOCAL_REMOTE_EEM Local Property REMOTE_EEM_LOCATION none Property EEM_PASSWORD exampleeiamadminpassword Property FIPS_MODE No Property HOSTNAME examplecaelm Property ROOT_PASSWORD examplerootpassword Property IP_ADDRESS 172 160 0 0 Property SUBNET_MASK 10 0 0 0 Property DEFAULT_GATEWAY 198 168 0 0 P
351. mpfehlungen die SAN Laufwerke LUNs zu deaktivieren bevor das Betriebssystem auf der CA Enterprise Log Manager Anwendung installiert wird Alternativ dazu k nnen Sie die SAN Laufwerke auch aktiviert lassen und die Kickstart Datei ca elm ks cfg mit einem ISO Editionstool ndern nachdem Sie die Betriebssysteminstallation gestartet haben Diese nderung stellt sicher dass die Installation und der Start auf der lokalen Festplatte und nicht auf SAN durchgef hrt wird So starten Sie von der lokalen Festplatte nicht SAN 1 2 Starten Sie den Server mit der Installations DVD f r das Betriebssystem Machen Sie Angaben in der ersten Eingabeaufforderung nach dem Tastaturtyp Dr cken Sie auf Alt F2 um die Eingabeaufforderung f r Anaconda Kickstart anzuzeigen Geben Sie Folgendes ein list hardrives Die Liste der verf gbaren Laufwerke wird angezeigt und kann dem hier aufgef hrten Beispiel hnlich sein cciss c0dO 68GB RAID 1 cciss is HP Smart Array Sda 500GB SAN sda h is the SAN Multipathed Sdb 500GB SAN Sdc 500GB SAN Sdd 500GB SAN Sde 500GB SAN Sdf 500GB SAN Sdg 500GB SAN Sdh 500GB SAN Identifizieren Sie die lokale Festplatte In diesem Fall cciss c0d0 110 Implementierungshandbuch Erste CA Enterprise Log Manader Serverkonfigurationen 6 F hren Sie die folgenden Schritte aus a ffnen Sie die Kickstart Datei ca elm ks cfg f r das CA Enterprise Log Manag
352. mplementierungshandbuch CA Enterprise Log Manager bietet folgende Funktionen nicht Gleichzeitiger Zugriff auf dieselben Protokollquellen durch CA Enterprise Log Manager Agenten und CA Audit Clients mit iRecordern Migrieren von CA Audit Daten in Tabellen Collectors Berichtsvorlagen oder benutzerdefinierten Berichten Alarmrichtlinien Erfassungs Filterrichtlinien oder rollenbasierten Zugriffssteuerungsrichtlinien Unterschiede in der Architektur Architektur von CA Audit Die folgende Abbildung zeigt eine einfache CA Audit Implementierung Data Tools D Mainframe Sicherheits ber gt wachunc Richtlinien g inien_ N Richtlinien Manager Audit Clients Bei einigen Unternehmensbereitstellungen von CA Audit werden Ereignisdaten vom Collector Service in einer auf dem Data Tools Server ausgef hrten relationalen Datenbank gespeichert Diese Datenbank wird von einem Datenbankadministrator berwacht und gewartet Der Datenbankadministrator arbeitet mit einem Systemadministrator zusammen um sicherzustellen dass mit Hilfe der richtigen Richtlinien die gew nschten Ereignisse erfasst und nicht ben tigte Ereignisse von der Erfassung ausgeschlossen werden Die durchgezogenen Linien in diesem Diagramm zeigen Ereignisse die von CA Audit Clients sowie von Recorder und iRecorder Hosts an den Data Tools Server und in einigen F llen an eine optionale Konsole zur Sicherheits berwachung gesendet werden Die gestrichelte
353. mportergebnisse siehe Seite 278 Anhang B Aspekte f r CA Access Control Benutzer 301 Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Importieren von CA Access Control Ereignissen Nachdem Sie den Ereignisbericht und eine Importvorschau erstellt haben k nnen Sie die CA Access Control Ereignisse aus der SEOSDATA Tabelle importieren So importieren Sie CA Access Control Ereignisse Verwenden Sie den Befehl aus der Vorschau ohne die Option preview um die CA Access Control Ereignisse des angegebenen Zeitraums abzurufen LMSeosImport exe dsn My Audit DSN user sa password sa target My CA ELM Server log eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 Das Hilfsprogramm zeigt Ergebnisse hnlich der folgenden an Import started on Fri Jan 2 15 41 23 2009 No transport specified defaulting to SAPI Preparing ODBC connections Successfully attached to source My Audit _DSN No starting ENTRYID specified using minimum ENTRYID of 1 Import running please wait eTrust AC 2241 Last EntryId processed 5167810102 Successfully detached from source My_Audit_DSN Exiting Import 302 Implementierungshandbuch Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Weitere Informationen Wissenswertes ber die LMSeosimport Befehlszeile siehe Seite 274 Importieren von Ereignissen aus einer Windows Collector Datenbank siehe S
354. n Dieses Hilfsprogramm wird nur von Microsoft Windows und Sun Solaris Sparc unterst tzt Hilfsprogramm scp Die Sicherheitskopie scp Kopierprogramm f r Remote Dateien ist ein UNIX Hilfsprogramm das Dateien zwischen UNIX Computern in einem Netzwerk transferiert Dieses Hilfsprogramm wird w hrend der CA Enterprise Log Manager Installation f r Sie zur Verf gung gestellt damit Sie Dateien f r automatische Software Updates vom Online Proxy zum Offline Proxy f r Software Updates transferieren k nnen HTTP Proxy Server Ein HTTP Proxy Server ist ein Proxy Server der wie eine Firewall agiert und daf r sorgt dass Internet Traffic das Unternehmen nur ber den Proxy betritt und wieder verl sst Wenn bei ausgehendem Verkehr eine ID und ein Kennwort angegeben werden kann der Proxy Server umgangen werden Beim Verwalten automatischer Software Updates kann die Verwendung eines lokalen HTTP Proxy Servers konfiguriert werden Idealmodell ideal_model Das dealmodell stellt die Technologie dar die das Ereignis ausdr ckt Dies ist das erste CEG Feld in einer Hierarchie von Feldern die f r die Ereignisklassifikation und normalisierung verwendet werden Beispiele eines Idealmodells sind z B Antivirus DBMS Firewall Betriebssystem und Webserver Die Firewall Produkte Check Point Cisco PIX und Netscreen Juniper k nnten mit dem Wert Firewall im Feld ideal_model normalisiert werden Identit t Eine dentit t in CA Enterprise Log Ma
355. n der zumindest Lesezugriff auf die SEOSDATA Tabelle hat Dieser Parameter ist erforderlich password Gibt das Kennwort f r das im Parameter user festgelegte Benutzerkonto an Dieser Parameter ist erforderlich target Gibt den Hostnamen oder die IP Adresse des CA Enterprise Log Manager Servers an der die migrierten Ereignisse aus der SEOSDATA Tabelle empfangen soll Dieser Parameter ist erforderlich minid nnnn Gibt die erste ENTRYID f r die Auswahl von Ereignissen in der SEOSDATA Tabelle an Dieser Parameter ist optional maxid nnnn Gibt die letzte ENTRYID f r die Auswahl von Ereignissen in der SEOSDATA Tabelle an Dieser Parameter ist optional mintm JJJJ MM TT Gibt die Anfangszeit im Format JJJJ MM TT f r die Auswahl von Ereignissen in der SEOSDATA Tabelle an Dieser Parameter ist optional maxtm JJJJ MM TT Gibt die Endezeit im Format JJJJ MM TT f r die Auswahl von Ereignissen in der SEOSDATA Tabelle an Dieser Parameter ist optional Anhang A Aspekte f r CA Audit Benutzer 275 Importieren von Daten aus einer SEOSDATA Tabelle log Protokollname Legt fest dass das Hilfsprogramm nur Ereignisdatens tze mit dem angegebenen Protokollnamen ausw hlen soll Dieser Parameter ist optional Falls der Protokollname Leerzeichen enth lt muss er in Anf hrungszeichen eingeschlossen werden transport lt sapi itech gt Legt fest welche Transportmethode zwischen dem Hilfsprogramm f r den Imp
356. n tigen es f r die Installation der brigen CA Enterprise Log Manager Server und Agenten Hinweis Das hier eingegebene Kennwort dient auch als anf ngliches Kennwort f r das caelmadmin Standardkonto mit dem Sie direkt ber SSH auf den CA Enterprise Log Manager Server zugreifen Sie k nnen nach der Installation ggf weitere Administratorkonten erstellen um auf die CA EEM Funktionen zuzugreifen Gibt an ob die virtuelle Appliance im FIPS Modus oder Nicht FIPS Modus ausgef hrt werden soll Wenn Sie einen lokalen EEM Server CA verwenden k nnen Sie einen beliebigen Modus ausw hlen Wenn Sie einen Remote CA EEM Server verwenden m ssen Sie denselben Modus ausw hlen den der Remote CA EEM Server verwendet Anhang E CA Enterprise Log Manager und Virtualisierung 367 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Weitere Informationen Hinzuf gen virtueller Server zu Ihrer Umgebung siehe Seite 351 Erstellen einer ausschlie lich virtuellen Umgebung siehe Seite 374 Schnelle Bereitstellung der virtuellen Server siehe Seite 399 368 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Aufrufen des OVF Tools ber eine Befehlszeile Hinweis Bevor Sie die automatische Installation durchf hren m ssen das Sie OVF Tool 1 0 0 0 installieren Weitere Informationen zum OVF Tool finden Sie im OVF Tool Benutzerhandbuch von VMware
357. n 6 Richtlinien Manager Ereignisse Mainframe Windows Server Data Tools 7 Audit Clients Sicherheits benwachung CA Enterprise Log Manager verwendet einen integrierten Agenten Explorer einen eingebetteten Ereignisprotokollspeicher und eine einzelne Benutzeroberfl che f r eine zentrale und einfache Protokollerfassung Dank der CA Enterprise Log Manager Agententechnologie gekoppelt mit der ELM Schemadefinition k nnen Ereignisse schneller an den Speicher geleitet und eine gr ere Anzahl von Ereignisquellen verarbeitet werden ber einen einzelnen Agenten lassen sich mehrere Connectors f r Ereignisquellen steuern wodurch die Agentenverwaltung erleichtert wird und die Vorteile der vordefinierten Integrationen f r g ngige bzw beliebte Ereignisprotokollquellen genutzt werden k nnen 258 Implementierungshandbuch Konfigurieren von CA Technologies Adaptern Bei dieser Implementierung empf ngt der agentenlose CA Enterprise Log Manager Quellserver f r Protokolldateien die Syslog iTechnology basierten und SAPI Recorder Ereignisse direkt Der Quellserver f r Protokolldateien empf ngt Ereignisse aus Windows Ereignisquellen ber einen eigenen Windows basierten CA Enterprise Log Manager Agenten Sie k nnen im Netzwerk mehrere Agenten bereitstellen die jeweils viele unterschiedliche Ereignisdaten ber ihre Connectors erfassen Hierdurch k nnen der an die SEOSDATA Datenbank geleitete Ereignisstrom reduziert und die in C
358. n Assistenten ffnen So ffnen Sie den Assistenten zur Verwaltung der Benachrichtigundsziele 1 Klicken Sie auf die Registerkarte Verwaltung auf die Unterregisterkarte Bibliothek und auf den Ordner Benachrichtigungsziele 2 Klicken Sie auf Neue Benachrichtigung Der Assistent zur Verwaltung der Benachrichtigungen wird ge ffnet Kapitel 5 Konfigurieren von Services 197 Konfigurieren des Korrelationsservices Weitere Informationen E Mail Ziele festlegen siehe Seite 198 Festlegen eines Prozessziels siehe Seite 199 Festlegen von SNMP Zielen siehe Seite 200 E Mail Ziele festlegen Sie k nnen E Mail Ziele f r Benachrichtigungen festlegen um die zust ndigen Mitarbeiter ber Incidents bez glich ihrer Jobrolle oder Verantwortung zu informieren So legen Sie E Mail Ziele fest 1 2 ffnen Sie den Assistenten zur Verwaltung der Benachrichtigungsziele Legen Sie die Identifizierungsdetails fest und fahren Sie mit dem Schritt Benachrichtigungen vor Klicken Sie auf die Registerkarte E Mail und w hlen Sie E Mail Benachrichtigung aktivieren aus Geben Sie mindestens eine Empf nger E Mail Adresse ein Sie k nnen mehrere durch Kommas voneinander getrennte Adressen eingeben Optional Geben Sie E Mail Adresse von ein F gen Sie beliebige andere Ziele hinzu oder klicken Sie auf Speichern und schlie en 198 Implementierungshandbuch Konfigurieren des Korrelationsservices Festleg
359. n CA Enterprise Log Manager Server so einrichten dass er eine der verschiedenen funktionellen Rollen wie etwa Verwaltungs Quell oder Berichtsserver bernimmt Falls Sie einen CA Enterprise Log Manager Verwaltungsserver installieren sollten auf diesem Server keine Ereignisprotokolle empfangen und keine Abfragen und Berichte ausgef hrt werden Installieren Sie eigene virtuelle CA Enterprise Log Manager Server als Berichts und Quellserver um eine optimale Leistung zu erzielen Lesen Sie die normalen Installationsanleitungen bevor Sie CA Enterprise Log Manager in einer virtuellen Umgebung installieren Auf dem Arbeitsblatt f r die Installation k nnen Sie sich die erforderlichen Informationen notieren So installieren Sie CA Enterprise Log Manager auf einem virtuellen Rechner 1 Legen Sie den Datentr ger f r die Installation des CA Enterprise Log Manager Betriebssystems in das physische DVD ROM Laufwerk ein oder navigieren Sie zu dem Verzeichnis in das Sie das Installations Image kopiert haben 2 W hlen Sie Ihren virtuellen Rechner in der Inventarliste der virtuellen Rechner aus klicken Sie mit der rechten Maustaste auf den Eintrag und w hlen Sie Power On aus 3 Fahren Sie mit der normalen CA Enterprise Log Manager Installation fort 4 Konfigurieren Sie den installierten CA Enterprise Log Manager Server f r die gew nschte funktionelle Rolle Verwenden Sie dabei die Informationen im Abschnitt zur Installation eines CA E
360. n Klassen in den JARs beim Laden verwendet werden Das folgende Beispiel zeigt eine vollst ndige JDBC URL jdbc ca elm 127 0 0 1 17002 encrypted 1 ServerDataSource Default CustomProperties querytimeout 600 que ryfederated true queryfetchrows 1000 offsetmins 0 suppressNoncriticalErrors false Die einzelnen URL Komponenten sind im Folgenden erl utert jdbc ca elm Definiert die Protokoll Unterprotokoll Zeichenfolge f r den mit CA Enterprise Log Manager bereitgestellten JDBC Treiber P Address Port Gibt die IP Adresse des CA Enterprise Log Manager Servers an auf dessen Daten zugegriffen werden soll Die Portnummer bezieht sich auf den Port der f r die Kommunikation verwendet werden soll und muss mit der Einstellung f r die Konfiguration des ODBC Dienstes in CA Enterprise Log Manager bereinstimmen Wenn die Portnummern nicht identisch sind schl gt der Verbindungsversuch fehl 130 Implementierungshandbuch Fehlerbehebung bei der Installation encrypted 0 1 Gibt an ob f r die Kommunikation zwischen dem ODBC Client und dem CA Enterprise Log Manager Server SSL Verschl sselung verwendet wird Der Standardwert ist O nicht verschl sselt Diese Einstellung muss nicht in der URL angegeben werden Mit der Einstellung encrypted 1 wird die Verschl sselung aktiviert Die Verschl sselung der Verbindung muss explizit festgelegt werden Au erdem muss diese Einstellung mit der Konfiguration im Dialogfeld f r den O
361. n des CA ITPAM Server Service Starten Sie den CA ITPAM Server Service damit Sie und andere Personen den CA IT PAM Server starten k nnen So starten Sie den CA ITPAM Server Service 1 Melden Sie sich bei dem Windows Server an auf dem Sie die CA IT PAM Dom ne installiert haben W hlen Sie im Men Start nacheinander Programme ITPAM Dom ne und Server Service starten Hinweis Falls diese Men option nicht angezeigt wird w hlen Sie Verwaltung und Komponentendienste Klicken Sie auf Dienste CA IT PAM Server und dann auf Dienst starten Anhang C Hinweise zu CAITPAM 319 Starten der CA IT PAM Serverkonsole und Anmelden an der Konsole Starten der CA IT PAM Serverkonsole und Anmelden an der Konsole ber einen Browser k nnen Sie den CA IT PAM Server auf jedem System starten auf dem Java JRE 1 6 oder die JDK 1 6 API installiert und integriert ist So starten Sie die CA IT PAM Verwaltungskonsole 1 Geben Sie in der Adresszeile eines Browsers die folgende URL ein http lt itpam_ server _hostname gt 8080 itpam Der Anmeldebildschirm von CA IT Process Automation Manager wird angezeigt 2 Geben Sie in das Feld Benutzeranmeldung den Benutzer itpamadmin 3 Geben Sie in das Feld Kennwort das Kennwort ein das Sie diesem Benutzer zugewiesen haben 4 Klicken Sie auf Anmelden Ihre Anmeldeinformationen werden von CA EEM in der CA Enterprise Log Manager Anwendung authentifiziert und CA IT Proc
362. n f r automatische Software Updates fest Sie k nnen global oder lokal f r individuelle Server planen 204 Implementierungshandbuch Konfiguration automatischer Software Updates Weitere Informationen Konfigurieren von Online Proxy Server f r automatische Software Updates siehe Seite 205 Konfigurieren von Offline Proxy Server f r automatische Software Updates siehe Seite 207 Konfigurieren von Clients f r automatische Software Updates siehe Seite 208 Konfigurieren von Proxy Listen siehe Seite 210 Ausw hlen von Modulen f r automatische Software Updates im Online Modus siehe Seite 213 Herunterladen und Ausw hlen von Modulen f r automatische Software Updates im Offline Modus siehe Seite 215 Festlegen eines Ablaufplans f r automatische Software Updates siehe Seite 218 Konfigurieren von Online Proxy Server f r automatische Software Updates Ein Online Proxy f r automatische Software Updates setzt sich mit dem CA Technologies Server f r automatische Software Updates in Verbindung um die letzten CA Enterprise Log Manager Aktualisierungen herunterzuladen und verteilt sie an die entsprechenden Clients f r automatische Software Updates Der Standard Proxy f r automatische Software Updates im Online Modus l dt Aktualisierungen auf Clients f r automatische Software Updates herunter wenn kein anderer Proxy konfiguriert wurde oder verf gbar ist Der erste installierte CA Enterprise Log Manager Server wird automa
363. n iGateway Daemon oder Service 1 Melden Sie sich als caelmadmin Benutzer beim CA Enterprise Log Manager Server an 2 Schalten Sie Benutzer mit folgendem Befehl auf das root Konto um Su 3 Starten Sie den iGateway Prozess mit dem folgenden Befehl IGW LOC S9Y9igateway start S99igateway ist das Startskript f r den iGateway Prozess Eigent mer des Skripts ist das root Konto Der gestartete iGateway Prozess wird unter dem caelmservice Benutzerkonto ausgef hrt 88 Implementierungshandbuch Installieren eines CA Enterprise Log Manager Servers Beenden des iGateway Daemon oder Service Beim iGateway Daemon bzw Service handelt es sich um den Prozess der alle Aufrufe an die Benutzerschnittstelle von CA EEM und CA Enterprise Log Manager verarbeitet Der Prozess muss ausgef hrt werden damit Sie auf diese beiden Anwendungen zugreifen k nnen Gehen Sie wie unten beschrieben vor um den iGateway Prozess zu beenden Sie m ssen den Prozess beispielsweise stoppen wenn Sie ihn neu starten m chten oder einen CA Enterprise Log Manager Server aus dem Netzwerk entfernen So beenden Sie den iGateway Daemon oder Service 1 Melden Sie sich als caelmadmin Benutzer beim CA Enterprise Log Manager Server an 2 Schalten Sie Benutzer mit folgendem Befehl auf das root Konto um su 3 Beenden Sie den iGateway Prozess mit dem folgenden Befehl IGW LOC S9YY9igateway stop S99igateway ist das Skript zum Stoppen des iGatewa
364. n umfassen sowohl Windows als auch Linux Klicken Sie im WinRM Dialogfeld Integrationsdetails anzeigen auf den Link Hilfe Das Connector Handbuch f r Microsoft Windows Server 2008 WinRM wird angezeigt 232 Implementierungshandbuch Beispiel Aktivieren direkter Erfassung mithilfe von WinRMLinuxLogSensor So konfigurieren Sie die Ereignisquelle und berpr fen die Protokollierung 1 3 Melden Sie sich beim Zielhost mit einem Windows Server 2008 Betriebssystem an Folgen Sie den Anweisungen im CA Connector Handbuch f r Microsoft Windows Server 2008 um sicherzustellen dass Ereignisse in der Windows Ereignisanzeige angezeigt werden und dass die Windows Remoteverwaltung auf dem Zielserver aktiviert ist Hinweis Ein Bestandteil dieses Prozesses ist die Erstellung des Benutzernamens und des Kennworts Sie m ssen diese Daten eingeben um den Connector zu konfigurieren Diese Anmeldeinformationen aktivieren die Authentifizierung die zur Herstellung der Verbindung zwischen der Ereignisquelle und CA Enterprise Log Manager erforderlich ist berpr fen Sie die Protokollierung a ffnen Sie eventvwr im Dialogfeld Ausf hren Die Ereignisanzeige wird ge ffnet b Erweitern Sie Windows Protokolle und klicken Sie auf Sicherheit Wenn Sie eine der folgenden hnlichen Ansicht erhalten wird die Protokollierung durchgef hrt Sicherheit 3 054 Ereignis se Stichwort Datum und Zeit TEE A Erfolgs berw 10 12
365. n von kalten Daten bestimmen m ssen Sie eine Neukatalogisierung der Datenbank immer dann erzwingen nachdem diese auf dem festgelegten Wiederherstellungspunkt wiederhergestellt wurde Eine Neukatalogisierung wird ggf automatisch durchgef hrt wenn iGateway erneut gestartet wird Die Neukatalogisierung einer einzelnen Datenbank kann mehrere Stunden in Anspruch nehmen Nicht interaktive ssh Authentifizierung Nicht FIPS Modus NIST Nicht interaktive Authentifizierung aktiviert Dateien dazu sich von einem Server zum anderen zu verschieben ohne dass die Eingabe einer Passphrase zur Authentifizierung erforderlich ist Legen Sie bevor Sie automatische Archivierung konfigurieren oder das restore ca elm sh Skript verwenden die nicht interaktive Authentifizierung vom Quellserver zum Zielserver fest Nicht FIPS Modus ist die Standardeinstellung die es CA Enterprise Log Manager Servern und Agenten erm glicht eine Kombination aus verschiedenen Verschl sselungsverfahren zu verwenden von denen einige nicht FIPS konform sind Die alternative Einstellung dazu ist der FIPS Modus Das National Institute of Standards and Technology NIST ist die Bundesagentur die Empfehlungen in ihrer Special Publication 800 92 Guide to Computer Security Log Management Leitfaden f r die Computersicherheitsprotokoll Verwaltung gibt die als Basis f r CA Enterprise Log Manager verwendet wurde ODBC und JDBC Zugriff Durch den ODBC und JDBC Zugriff auf CA
366. nager ist eine Benutzergruppe die Zugriff auf die CAELM Anwendungsinstanz und ihre Ressourcen hat Eine Identit t f r ein CA Produkt kann ein globaler Benutzer ein Anwendungsbenutzer eine globale Gruppe eine Anwendungsgruppe oder eine dynamische Gruppe sein Inhaltsaktualisierungen Inhaltsaktualisierungen sind der nicht bin re Anteil der automatischen Software Updates die auf dem CA Enterprise Log Manager Management Server gespeichert werden Inhaltsaktualisierungen umfassen Inhalte wie XMP Dateien Datenzuordnungsdateien Konfigurationsaktualisierungen f r CA Enterprise Log Manager Module und Aktualisierungen ffentlicher Schl ssel Glossary 431 Installierender Integration Integrationselemente iTech Ereignis Plugin Kalender Der Installierende ist derjenige der die Soft Appliance und die Agenten installiert W hrend des Installationsprozesses werden die Benutzernamen caelmadmin und EiamAdmin erstellt und das f r EiamAdmin angegebene Kennwort wird caelmadmin zugewiesen Diese caelmadmin Anmeldeinformationen werden f r den ersten Zugriff auf das Betriebssystem ben tigt die EiamAdmin Anmeldeinformationen werden f r den ersten Zugriff auf die CA Enterprise Log Manager Software und f r die Installation der Agenten ben tigt Integration ist das Mittel mit dem nicht klassifizierte Ereignisse in verfeinerte Ereignisse verarbeitet werden so dass sie in Abfragen und Berichten angezeigt werden Die Integra
367. namen weder enthalten noch ihm hneln Die Verwendung des Benutzernamens ist jedoch in der Standardkennwortrichtlinie erlaubt Dies ist zwar beim Festlegen tempor rer Kennw rter f r neue Benutzer hilfreich die Einstellung sollte jedoch in Ihrer Kennwortrichtlinie deaktiviert werden Wenn Sie diese Option deaktivieren k nnen Benutzer diese Art von schwachen Kennw rtern nicht verwenden Kapitel 2 Planen der Umgebung 49 Benutzer und Zugriffsplanung Kennwortalter und Wiederverwendung von Kennw rtern Beachten Sie die folgenden Punkte wenn Sie Richtlinien f r das Alter und die Wiederverwendung von Kennw rtern festlegen Mit der Richtlinie f r die Wiederverwendung von Kennw rtern k nnen Sie sicherstellen dass Kennw rter nicht zu oft wiederholt werden Durch diese Richtlinie wird eine Kennwort bersicht angelegt Die Einstellung 0 bedeutet dass keine Kennwort bersicht verwendet wird Eine Einstellung ber 0 legt fest wie viele Kennw rter gespeichert und zum Vergleich bei einer Kennwort nderung herangezogen werden Eine Richtlinie f r starke Kennw rter sollte daf r sorgen dass Benutzer ein Kennwort mindestens ein Jahr lang nicht erneut verwenden k nnen Das empfohlene H chstalter f r ein Kennwort ist abh ngig von seiner L nge und Komplexit t Eine allgemeine Regel ist dass ein akzeptables Kennwort nicht mittels roher Gewalt innerhalb seines zul ssigen H chstalters entschl sselt werden kann Eine gute Faust
368. nclude Unmapped Attributes Nicht zugeordnete Attribute einbeziehen Cache Global Users Globale Benutzer im Cache speichern Cache Update Time Aktualisierungszeit f r Cache 46 Implementierungshandbuch Anmerkungen Geben Sie die g ltigen Benutzeranmeldeinformationen f r alle g ltigen Benutzer in der Benutzerregistrierung an deren Datensatz durchsucht werden kann Geben Sie den vollst ndigen definierten Namen DN des Benutzers ein Sie k nnen sich unter jeder Benutzer ID anmelden die eine Verwaltungsrolle aufweist Der User DN und das zugeh rige Kennwort werden f r die Verkn pfung mit dem externen Verzeichnishost verwendet Legt fest ob der Benutzerspeicher das TLS Framework als Schutz gegen Klartext bertragungen d h unverschl sselte bertragungen verwendet Wenn diese Einstellung aktiviert ist wird beim Herstellen der LDAP Verbindung zum externen Verzeichnis TLS verwendet Legt fest ob Felder einbezogen werden sollen die nicht ber das LDAP Verzeichnis synchronisiert werden Externe nicht zugeordnete Attribute k nnen f r Suchanfragen und als Filter verwendet werden Legt fest ob globale Benutzer f r einen schnellen Zugriff im Cache gespeichert werden Die Verwendung dieser Option beschleunigt die Suche auf Kosten der Skalierbarkeit In einer kleinen Testumgebung wird die Auswahl dieser Einstellung empfohlen Falls Sie die Cache Speicherung globaler Benutzer verwenden legen Sie in Min
369. nderweitigen Anfertigen einer Kopie der Dokumentation beschr nkt sich auf den Zeitraum der vollen Wirksamkeit der Produktlizenz Sollte die Lizenz aus irgendeinem Grund enden best tigt der Lizenznehmer gegen ber CA schriftlich dass alle Kopien oder Teilkopien der Dokumentation an CA zur ckgegeben oder vernichtet worden sind SOWEIT NACH ANWENDBAREM RECHT ERLAUBT STELLT CA DIESE DOKUMENTATION IM VORLIEGENDEN ZUSTAND OHNE JEGLICHE GEW HRLEISTUNG ZUR VERF GUNG DAZU GEH REN INSBESONDERE STILLSCHWEIGENDE GEW HRLEISTUNGEN DER MARKTTAUGLICHKEIT DER EIGNUNG F R EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN IN KEINEM FALL HAFTET CA GEGEN BER IHNEN ODER DRITTEN GEGEN BER F R VERLUSTE ODER UNMITTELBARE ODER MITTELBARE SCH DEN DIE AUS DER NUTZUNG DIESER DOKUMENTATION ENTSTEHEN DAZU GEH REN INSBESONDERE ENTGANGENE GEWINNE VERLORENGEGANGENE INVESTITIONEN BETRIEBSUNTERBRECHUNG VERLUST VON GOODWILL ODER DATENVERLUST SELBST WENN CA BER DIE M GLICHKEIT DIESES VERLUSTES ODER SCHADENS INFORMIERT WURDE Die Verwendung aller in der Dokumentation aufgef hrten Software Produkte unterliegt den entsprechenden Lizenzvereinbarungen und diese werden durch die Bedingungen dieser rechtlichen Hinweise in keiner Weise ver ndert Diese Dokumentation wurde von CA hergestellt Zur Verf gung gestellt mit Restricted Rights eingeschr nkten Rechten geliefert Die Verwendung Duplizierung oder Ver ffentlichung durch die US Regierung unterl
370. ndet werden sollen Grund f r den Import von Ereignissen Falls Sie ber einen CA Audit Data Tools Server mit Collector Datenbank verf gen gibt es eine SEOSDATA Tabelle mit Ereignisdaten Um das CA Audit und das CA Enterprise Log Manager System nebeneinander auszuf hren und Berichte zu bereits erfassten Daten anzuzeigen k nnen Sie Daten aus der SEOSDATA Tabelle importieren Sie k nnen mit dem SEOSDATA Importhilfsprogramm Ereignisdaten aus der Collector Datenbank in einen CA Enterprise Log Manager Ereignisprotokollspeicher importieren Im Allgemeinen werden Ereignisdaten sofort nach der Bereitstellung eines CA Enterprise Log Manager Servers importiert Falls Sie die beiden Systeme integrieren k nnen Sie die Daten je nach Verwendung und Netzwerkkonfiguration auch mehrmals importieren Hinweis Durch den Import von Daten aus der SEOSDATA Tabelle werden die dort gespeicherten Daten nicht gel scht oder ge ndert Beim Import werden die Daten kopiert analysiert und im CA Enterprise Log Manager Ereignisprotokollspeicher zugeordnet Wissenswertes ber das SEOSDATA Importhilfsprogramm Das Importhilfsprogramm LMSeosImport verwendet eine Befehlszeilenschnittstelle und kann auf den Betriebssystemen Windows und Solaris ausgef hrt werden Das Hilfsprogramm f hrt folgende Aktionen durch Herstellen einer Verbindung mit der SEOSDATA Tabelle und Abrufen von Ereignissen in der festgelegten Form Analysieren der ausgew hlten SEOSDAT
371. ndungsinformationen wie die Anwendungsbenutzergruppe und den Namen f r die Benutzerrolle hinzuf gen berpr fen Sie den angezeigten Status um sicherzustellen dass die Bindung an das externe Verzeichnis ordnungsgem erfolgt ist und Daten geladen werden Falls beim Status eine Warnung angezeigt wird klicken Sie auf die Option zum Aktualisieren des Status Falls beim Status ein Fehler angezeigt wird korrigieren Sie die Konfiguration klicken auf Speichern und wiederholen diesen Schritt Klicken Sie auf Schlie en 146 Implementierungshandbuch Konfigurieren des Benutzerspeichers Weitere Informationen Planen des Benutzerspeichers siehe Seite 43 Arbeitsblatt f r ein externes LDAP Verzeichnis siehe Seite 45 Verweisen auf CA SiteMinder als Benutzerspeicher Falls Ihre Benutzerkonten bereits f r CA SiteMinder definiert sind verweisen Sie bei der Konfiguration des Benutzerspeichers auf dieses externe Verzeichnis So verweisen Sie auf CA SiteMinder als Benutzerspeicher 1 Melden Sie sich als Benutzer mit Administratorrechten bzw als EiamAdmin Benutzer bei einem CA Enterprise Log Manager Server an Klicken Sie auf die Registerkarte Verwaltung Falls Sie sich als EiamAdmin Benutzer anmelden wird diese Registerkarte automatisch angezeigt W hlen Sie die untergeordnete Registerkarte Benutzer und Zugriffsverwaltung aus und klicken Sie im linken Teilfenster auf Benutzerspeicher Die CA EEM Server
372. ne der folgenden Weisen m bernehmen Sie die Standardoption d h die Speicherung im internen Datenspeicher Hinweis Als Standardoption wird ggf die CA Verwaltungsdatenbank angezeigt falls Sie w hrend der Installation einen Zeiger auf einen eigenst ndigen CA EEM Server eingerichtet haben m W hlen Sie die Option Von externem Verzeichnis referenziert aus Dabei kann es sich um ein LDAP Verzeichnis wie Microsoft Active Directory Sun One oder Novell CA Directory handeln m W hlen Sie die Option Von CA SiteMinder referenziert aus Falls Sie den Benutzerspeicher als externes Verzeichnis einrichten k nnen Sie keine neuen Benutzer erstellen Sie k nnen dann nur vordefinierte und benutzerdefinierte Anwendungsgruppen bzw Rollen zu den schreibgesch tzten globalen Benutzerdatens tzen hinzuf gen Sie m ssen neue Benutzer im externen Benutzerspeicher und dann die CA Enterprise Log Manager Berechtigungen zu den globalen Benutzerdatens tzen hinzuf gen bernehmen des Standardbenutzerspeichers Falls Sie den Standardbenutzerspeicher also den internen Datenspeicher bernehmen m ssen Sie den Benutzerspeicher nicht konfigurieren Verwenden Sie diese Option falls kein externer zu referenzierender Benutzerspeicher vorhanden ist 144 Implementierungshandbuch Konfigurieren des Benutzerspeichers So berpr fen Sie dass das Standard Repository als Benutzerspeicher konfiguriert ist 1 Melden Sie sich als Benutzer mit Ad
373. nen des Korrelationsservice verarbeitet wenn eine Korrelationsregel ausgel st wird caelm logdepot 17001 Der CA Enterprise Log Manager Ereignisprotokollspeicherprozess der die Ereignisspeicherung Erstellung von Archivdateien und andere Funktionen bernimmt Dieser Prozess kann unter safetynet ausgef hrt werden Kapitel 3 Installieren von CA Enterprise Log Manager 117 Erste CA Enterprise Log Manager Serverkonfigurationen Prozessname Standardport caelm queryservice caelm reporter caelm ruletest caelm sapicollector caelm sapirouter caelm systemstatus dxadmind dxserver iIGateway 5250 Meldungsbroker oaserver 17002 118 Implementierungshandbuch Beschreibung Dieser CA Enterprise Log Manager Prozess verarbeitet die Konfiguration und Verwaltung von Abfragen Dieser CA Enterprise Log Manager Prozess verarbeitet die Konfiguration und Verwaltung von geplanten Berichten Berichtexports und Aktionsalarmen Dieser CA Enterprise Log Manager Prozess verwaltet die Ausf hrung von Ad hoc Regeltests Dies ist der SAPI Collector Serviceprozess Dieser Prozess kann unter safetynet ausgef hrt werden Dies ist der SAPI Router Serviceprozess Dieser Prozess kann unter safetynet ausgef hrt werden Dieser Prozess erfasst den Systemstatus zur Anzeige auf der CA Enterprise Log Manager Benutzeroberfl che Dieser Prozess kann unter safetynet ausgef hrt werden CA Directory Prozess wird
374. nen mit Ausnahme des Kontrollk stchens f r das berschreiben der maximalen Suchgr e Hinweis Falls Sie ein externes Verzeichnis verwenden lassen Sie die Optionen f r globale Benutzer globale Gruppen und globale Ordner deaktiviert Anhang D Disaster Recovery 323 Wiederherstellen eines CA EEM Servers f r die Verwendung mit CA Enterprise Log Manager 7 Klicken Sie auf die Schaltfl che Exportieren um eine XML Exportdatei f r die Anwendunsgsinstanz zu erstellen Im Dialogfeld f r den Dateidownload werden der Dateiname lt Anwendungsinstanzname gt xml gz beispielsweise CAELM xml gz und die Schaltfl che Speichern angezeigt Klicken Sie auf die Schaltfl che Speichern und w hlen Sie einen Speicherort f r die Sicherung auf einem zugeordneten Remote Server aus Alternativ k nnen Sie die Datei auch auf dem lokalen Rechner speichern und dann an den gew nschten Speicherort auf einem anderen Server kopieren bzw verschieben Wiederherstellen eines CA EEM Servers f r die Verwendung mit CA Enterprise Log Manager Sie k nnen eine CA Enterprise Log Manager Anwendungsinstanz auf einem Verwaltungsserver wiederherstellen Zum Wiederherstellen der CA EEM Funktionen des Verwaltungsservers m ssen Sie das Hilfsprogramm safex ausf hren mit dem die gesicherte Anwendungsinstanz importiert wird So stellen Sie die CA EEM Funktionen eines Verwaltungsservers mit Hilfe einer Sicherungskopie wieder her 1 Installier
375. ner globalen Gruppe angezeigt Klicken Sie auf Anwendungsbenutzerdetails hinzuf gen Das CAELM Fenster mit Benutzerdetails wird erweitert W hlen Sie unter Verf gbare Benutzergruppen die gew nschte Gruppe aus und klicken Sie auf den Pfeil nach rechts Die ausgew hlte Gruppe wird im Feld Ausgew hlte Benutzergruppen angezeigt Klicken Sie auf Speichern Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration 153 Erstellen des ersten Administrators 8 berpr fen Sie die hinzugef gte Gruppe a Klicken Sie im Fenster Benutzer suchen auf Anwendungsbenutzerdetails und klicken Sie auf Los b berpr fen Sie ob der Name des neuen Anwendungsbenutzers in den angezeigten Ergebnissen angezeigt wird 9 Klicken Sie auf Schlie en 154 Implementierungshandbuch Kapitel 5 Konfigurieren von Services Dieses Kapitel enth lt folgende Themen Ereignisquellen und Konfigurationen siehe Seite 155 Bearbeiten globaler Konfigurationen siehe Seite 156 Arbeiten mit globalen Filtern und Einstellungen siehe Seite 159 Konfigurieren des Ereignisprotokollspeichers siehe Seite 161 Konfigurieren des Korrelationsservices siehe Seite 189 Hinweise zum Incident Service siehe Seite 201 Hinweise zum ODBC Server siehe Seite 202 Hinweise zum Berichtsserver siehe Seite 203 Konfiguration automatischer Software Updates siehe Seite 204 Ereignisquellen und Konfigurationen Die meisten Netzwerke ar
376. nerungs Bibliothek gt J Profile 284 Implementierungshandbuch ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager 3 W hlen Sie den SAPI Collector Service aus Globale Service Konfiguration CA Audit SAPI Collector Yerwaltung Selbst berwachende Ereignisse Speichern Zur cksetzen Standardwerte verwende Globale Service Konfiguration CA Audit SAPI Collector E Details dieser Konfiguration anzeigen oder bearbeiten Erforderlich V Listener aktivieren SAPI Port o 9 V Register erschl sselungscode C Ereignisreihenfolge Ereignisbeschr nkung 10000 5 Thread Anzahl pro Warteschlange a B Chiffre Aes256 El Aes128 4 Aktivieren Sie das Kontrollk stchen Listener aktivieren und legen Sie als Wert f r Sapi Port einen Wert fest der mit dem von CA Audit verwendeten Wert bereinstimmt Der Standard CA Enterprise Log Manager Wert 0 ordnet Ports mit dem Portmap Dienst zu Falls Sie in CA Audit einen Port definiert haben verwenden Sie die Einstellung an dieser Stelle 5 bernehmen Sie die Standardwerte f r die brigen Felder und bl ttern Sie zur Liste der Zuordnungsdateien Wenn Sie das Kontrollk stchen Registrieren aktivieren geben Sie einen Wert f r den SAPI Port an 6 F gen Sie die AccessControl Zuordnungsdatei hinzu sofern noch nicht geschehen und entfernen Sie alle anderen Zuordnungsdateien aus
377. net ist In diesem Fall zeigt der Detailbereich die zwei Status an die die Regel verfolgt Der erste Status ist f nf oder mehr fehlgeschlagene Anmeldungen durch das gleiche Benutzerkonto oder die gleiche Identit t Das zweite Status ist eine erfolgreiche Anmeldung durch den gleichen Benutzer oder die gleiche Identit t Optional Klicken Sie oben im Fenster auf Bearbeiten um die bei Bedarf die Statuseinstellungen zu ndern Der Assistent f r die Regelverwaltung wird ge ffnet und die zwei Status aus denen die Regel besteht werden angezeigt Doppelklicken Sie auf den Status den Sie ndern m chten Der Assistent f r die Statusdefinition erscheint und die Details des Status werden angezeigt Nehmen Sie im ausgew hlten Status die gew nschten nderungen vor und klicken Sie auf Speichern und schlie en um zum Assistenten f r die Regelverwaltung zur ckzukehren Der erste Status berpr ft beispielsweise 5 fehlgeschlagene Anmeldungen in 10 Minuten Sie k nnen den fehlgeschlagenen Schwellenwert der Anmeldung die Zeit oder beide Werte ndern F gen Sie bei Bedarf Benachrichtigungsdetails in den Assistenten f r Regelverwaltung hinzu Benachrichtigungsdetails stellen den Meldungsinhalt bereit der wie in Benachrichtigungsziele angegeben geliefert wird Sobald Sie die Regel fertiggestellt haben klicken Sie im Assistenten auf Speichern und schlie en Wenn Sie eine vordefinierte Korrelationsregel bearbeiten und sp
378. neten CA Enterprise Log Manager Server heranziehen k nnen Die bersicht sollte auch die DNS Namen und IP Adressen enthalten sofern bekannt Die DNS Namen der CA Enterprise Log Manager Server werden bei der Konfiguration der Beziehungen zwischen den Servern verwendet Kapitel 2 Planen der Umgebung 37 Planen von F derationen Beispiel F derations bersicht f r ein gro es Unternehmen Wenn Sie eine F derations bersicht erstellen m ssen Sie berlegen welche Arten von Berichten mit welchen Gruppen von konsolidierten Daten erstellt werden sollen Nehmen Sie beispielsweise ein Szenario in dem konsolidierte Daten mit drei Arten von Servergruppierungen erstellt werden sollen m Alle Server Wenn Sie in Systemberichte ber selbst berwachende Ereignisse alle Server einbeziehen k nnen Sie den Zustand Ihres gesamten CA Enterprise Log Manager Servernetzwerks auf einmal analysieren m Alle Berichtsserver Falls Sie zusammenfassende Berichte oder Trendberichte w nschen mit denen Sie die Daten untersuchen k nnen die von allen Agenten an alle Quellserver gesendet wurden ohne dass die Quellserver dabei Abfragen zu neuen aktuellen Ereignissen verarbeiten m ssen m ssen Sie f derierte Berichte erstellen in die nur Berichtsserver einbezogen werden Eine Gruppe von Quellservern mit zugeh rigem Berichtsserver Falls Sie Berichte w nschen deren Daten sich auf einen Standort mit einem Berichtsserver beschr nken die allerdi
379. neues root Kennwort Die relevante IPv4 Adresse Die relevante IP Adresse Die relevante IP Adresse Relevante IPv4 Adressen der Name Ihrer Dom ne Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Kommentare Verwenden Sie f r die Angabe des Hostnamens f r diesen Server nur f r Hostnamen zul ssige Zeichen Empfohlen werden die Buchstaben A Z unabh ngig von Gro oder Kleinschreibung die Zahlen 0 9 und der Bindestrich wobei das erste Zeichen ein Buchstabe und das letzte Zeichen ein alphanumerisches Zeichen ist Verwenden Sie in Hostnamen keine Unterstriche und h ngen Sie keine Dom nennamen an Hinweis Der Hostname darf h chstens 15 Zeichen enthalten Erstellen und best tigen Sie ein neues root Kennwort f r diesen Server Geben Sie eine g ltige IP Adresse f r diesen Server ein Geben Sie eine g ltige Teilnetzmaske an die mit diesem Server verwendet werden soll Geben Sie eine g ltige Teilnetzmaske und ein Standard Gateway f r die Verwendung mit diesem Server ein Geben Sie eine oder mehrere DNS Server IP Adressen f r die Verwendung in Ihrem Netzwerk ein In der Liste sind die Eintr ge durch Komma ohne Leerzeichen zwischen den Eintr gen getrennt Falls Ihre DNS Server IPv6 Adressen verwenden geben Sie diese Adressen im entsprechenden Format ein Geben Sie den qualifizierten Namen der Dom ne ein in der dieser Server betrieben wird z
380. nfigurations und Betriebssystemaktualisierungen bersicht ber den Inhalt des Handbuchs Description Beschreibt die Planung von Bereichen wie Protokollerfassung Agenten F deration Verbund Benutzer und Zugriffsverwaltung automatische Software Updates und Disaster Recovery Installieren von CA Enterprise Log Stellt Arbeitsbl tter mit erforderlichen Informationen und Manager detaillierte Anleitungen f r die Installation von CA Enterprise Log Manager sowie die berpr fung der Installation bereit Grundlagen zur Benutzer und Bietet Anleitungen zur Bestimmung eines Benutzerspeichers Zugriffskonfiguration und zum Erstellen eines anf nglichen administrativen Benutzers f r die Konfiguration der anderen Benutzer und Zugriffsinformationen 16 Implementierungshandbuch ber dieses Handbuch Abschnitt Konfigurieren von Services Konfigurieren der Ereigniserfassung Description Bietet Anleitungen zum Konfigurieren von Services wie globale und lokale Filter Ereignisprotokollspeicher Berichtsserver und Optionen f r automatische Software Updates Bietet Konzepte und Anleitungen f r die Verwendung oder Erstellen von F derationen Konfiguration der Komponenten f r die Ereignisverfeinerungs Bibliothek etwa der Zuordnungs und Analysedateien und der CA Technologies Adapter Beschreibt unterschiedliche Arten von F derationen Verbunden und bietet Anleitungen zum Erstellen von Verbundbeziehungen zwischen CA
381. ng Ihrer Umgebung dass ausreichend Speicherplatz f r gro e Ereignismengen verf gbar ist Bei agentenlosen Quellservern f r Protokolldateien bedeutet dies dass auf jedem Quellserver ausreichend Speicherplatz zur Aufnahme von Spitzenlasten und von normalen Ereignisvolumen bereitsteht Beim Berichtsserver wird der Speicherplatzbedarf anhand der Ereignismenge und der erforderlichen Online Verweildauer berechnet Online Datenbanken werden nicht komprimiert Standby Datenbanken werden komprimiert Neben den nicht komprimierten Online Datenbanken sind auch die komprimierten Standby Datenbanken online geschaltet Sie k nnen die Daten in diesen Datenbanken durchsuchen und entsprechende Berichte erstellen In der Regel stehen zu einem bestimmten Zeitpunkt immer die Daten der letzten 30 bis 90 Tage f r die unmittelbare Suche und Berichterstellung bereit ltere Datens tze werden auf einem Remote Server gespeichert Sie k nnen diese Daten ggf f r die Suche und Berichterstellung wiederherstellen Agentenlose Quellserver f r Protokolldateien unterst tzen sowohl Online als auch Standby Datenbanken Da die Verweildauer bei agentenlosen Quellservern mit 1 bis 23 Stunden sehr kurz ist spielt die langfristige Datenspeicherung hier keine Rolle Auf dem Verwaltungsserver ist eine Online Datenbank zum Einf gen selbst berwachender Ereignismeldungen vorhanden Berichtsserver unterst tzen kleinere Online Datenbanken und eine gro e Anzahl von St
382. ngs auch Ereignisse beinhalten die noch nicht von den Quellservern an diesen Server gesendet wurden m ssen Sie f derierte Berichte f r diese Untergruppe von Servern ausf hren Im Folgenden finden Sie ein Beispiel f r eine F derations bersicht mit der Sie diese Berichtsziele erreichen k nnen Serverrolle F derationstyp Managementserver 2 bergeordnet D Erfassungsserver untergeordnet 4 FE Berichtsserver hierarchisch im Dreieck 38 Implementierungshandbuch Planen von F derationen Zum Implementieren dieser F derations bersicht sind folgende Schritte erforderlich Erstellen eines hierarchischen Verbunds F deration vom Verwaltungsserver zu einem agentenlosen Quellserver f r Protokolldateien mit einer Beziehung zu jedem Berichtsserver wobei der Verwaltungsserver der bergeordnete Server ist und alle Quellserver untergeordnete Server sind Erstellen eines vollst ndigen Netzverbunds zwischen den Quellservern f r jeden Berichtsserver Erstellen eines hierarchischen Verbunds von den einzelnen Quellservern zum jeweiligen Berichtsserver wobei der Quellserver der bergeordnete und der Berichtsserver der untergeordnete Server ist Erstellen eines vollst ndigen Netzverbunds zwischen den Berichtsservern Damit ein bestimmtes Berichtsziel erreicht werden kann muss der Bericht unbedingt auf einem Server ausgef hrt werden der in der F derations bersicht eine bestimmte Position einnimmt Beispiele
383. ngshandbuch Konfigurieren des Ereignisprotokollspeichers Mit solch einer Konfiguration l uft die automatische Archivierung folgenderma en ab 1 Der NY Erfassungs ELM der CA Enterprise Log Manager Erfassungsserver erfasst und verfeinert Daten und f gt sie in die hei e Datenbank ein Wenn die hei e Datenbank die konfigurierte Anzahl an Datens tzen erreicht hat wird sie zu einer warmen Datenbank komprimiert Da sich die automatische Archivierung dem Plan entsprechend st ndlich wiederholt kopiert das System einmal pro Stunde die warmen Datenbanken und verschiebt sie zum NY Berichts ELM dem CA Enterprise Log Manager Berichtsserver Die warmen Datenbanken werden von NY Erfassungs ELM gel scht wenn sie verschoben werden Der NY Berichts ELM bewahrt die Datenbanken auf so dass sie abgefragt werden k nnen bis sie das durch Maximale Anzahl an Archivtagen konfigurierte Alter erreicht haben und gel scht werden Da sich die automatische Archivierung dem Plan entsprechend t glich wiederholt kopiert das System einmal pro Stunde die warmen Datenbanken und verschiebt sie als kalte Datenbanken zum NY Speicherserver Die kalten Datenbanken k nnen f r einen l ngeren Zeitraum auf dem Speicherserver verbleiben Sie verschieben die auf dem NY Netzwerk Speicherserver gespeicherten kalten Datenbanken dann zu einem externen langfristigen Speicherort wo sie f r die geforderte Anzahl Jahre aufbewahrt werden k nnen Der Grund f r die Ar
384. nicht verf gbar sein wenn ein Client CA Enterprise Log Manager Aktualisierungen anfordert setzt sich der Client mit jedem Proxy auf der Proxy Liste der Reihe nach in Verbindung bis das Herunterladen der Aktualisierungen gelingt Sie k nnen eine globale Proxy Liste f r Client Aktualisierungen sowie Inhaltsaktualisierungen f r Ihre ganze CA Enterprise Log Manager Umgebung konfigurieren Sie k nnen auch eine benutzerdefinierte Proxy Liste f r Client Aktualisierungen f r jeden CA Enterprise Log Manager Server erstellen GA Enterprise Log Manager Software Update Proxy online Software Update Clients in einer anderen Region werden mit einer anderen Software Update Proxy Liste konfiguriert Software Update Clients in einer Region werden Proxy Liste konfiguriert Weitere Informationen Planen automatischer Software Updates siehe Seite 55 Architektur f r automatische Software Updates im Offline Modus siehe Seite 60 Kapitel 2 Planen der Umgebung 59 Planen von automatischen Software Updates Architektur f r automatische Software Updates im Offline Modus Wenn aufgrund von Sicherheitsrichtlinien oder anderen berlegungen der Internetzugriff beschr nkt wird k nnen Sie Ihre CA Enterprise Log Manager Umgebung via automatische Software Updates im Offline Modus aktualisieren Bei automatischen Software Updates im Offline Modus k nnen Sie einige oder alle Ihrer Server vom Internet isolieren dabei jed
385. nisse an den CA Enterprise Log Manager Server zu senden der seinen DNS Namen verwendet Speichern und schlie en Sie die Datei Starten Sie den iGateway Daemon bzw Service mit folgendem Befehl a UNIX oder Linux S99igateway start a Windows net start igateway Mit dieser Aktion werden die neuen Einstellungen im iRecorder aktiviert Ereignisse flie en jetzt vom iRecorder zum CA Enterprise Log Manager Server Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Gehen Sie wie folgt vor um CA Access Control Ereignisse aus einer bestehenden SEOSDATA Tabelle zu importieren 1 Kopieren Sie das Hilfsprogramm LMSeosImport auf den CA Audit Data Tools Server Erstellen Sie einen Ereignisbericht um herauszufinden ob die Datenbank CA Access Control Ereignisse enth lt Zeigen Sie eine Vorschau des Imports mit CA Access Control spezifischen Parametern an Importieren Sie die CA Access Control Ereignisse F hren Sie CA Enterprise Log Manager Abfragen f r die importieren Ereignisse aus und erstellen Sie Berichte Anhang B Aspekte f r CA Access Control Benutzer 295 Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Voraussetzungen f r den Import von CA Access Control Ereignissen F hren Sie folgende Schritte durch bevor Sie das Hilfsprogramm LMSeosImport verwenden m Besorgen Sie sich ein Datenbankbenutzerkonto das mindestens ber Lesezugriff
386. nologies Glossary 421 CEG Felder CEG Felder sind Label mit denen die Darstellung von Rohereignisfeldern aus unterschiedlichen Ereignisquellen standardisiert wird W hrend der Verfeinerung von Ereignissen wandelt CA Enterprise Log Manager Rohereignismeldungen in Namen Wertepaare um und ordnet die Namen der Rohereignisse Standard CEG Feldern zu Bei dieser Verfeinerung entstehen Namen Wertepaare die aus CEG Feldern und Werten aus dem Rohereignis bestehen So werden unterschiedliche Labels aus Rohelementen f r dasselbe Datenobjekt oder Netzwerkelement bei der Verfeinerung von Rohereignissen in denselben CEG Feldnamen umgewandelt CEG Felder werden in der MIB der SNMP Traps bestimmten OIDs zugeordnet Client f r automatische Software Updates Ein Client f r automatische Software Updates ist ein CA Enterprise Log Manager Server der Inhaltsaktualisierungen von einem anderen CA Enterprise Log Manager Server erh lt der als Proxy Server f r automatische Software Updates bezeichnet wird Clients f r automatische Software Updates fragen den konfigurierten Proxy Server in regelm igen Abst nden ab und rufen neue Aktualisierungen bei Verf gbarkeit ab Nach dem Abrufen der Aktualisierungen installiert der Client die heruntergeladenen Komponenten Computersicherheitsprotokoll Verwaltung Connector Die Computersicherheitsprotokoll Verwaltung wird durch NIST als der Prozess zum Generieren bertragen Speichern Analysieren und Entso
387. ns Successfully attached to source My Audit _DSN Minimum TIME Maximum TIME 2008 05 27 2009 01 02 Unix 12804 ACF2 1483 eTrust AC 143762 com ca iTechnology iSponsor 66456 NT Application 5270 CISCO PIX Firewall 5329 MS IIS 6765 Netscape 530 RACF 14 Apache 401 N A 28222 SNMP recorder 456 Check Point FW 1 1057 EiamSdk 2790 MS ISA 609 ORACLE 2742 eTrust PCM 247 NT System 680 eTrust Audit 513 NT Security 14714 CISCO Device 41436 SNORT 1089 298 Implementierungshandbuch Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Minimum ENTRYID 1 Maximum ENTRYID 10000010243 Report Completed Successfully detached from source My_Audit_DSN Exiting Import berpr fen Sie den Bericht um sicherzustellen dass CA Access Control Ereignisse vorhanden sind Die fett gedruckte Zeile in diesem Bericht zeigt dass diese SEOSDATA Tabelle CA Access Control Ereignisse enth lt anasnasass Event Count Per Log Unix 12804 ACF2 1483 eTrust AC 143762 com ca iTechnology iSponsor 66456 NT Application 5270 Vorschau eines CA Access Control Ereignisimports Sie k nnen mit der Importvorschau die Importparameter optimieren Das folgende Beispiel zeigt zwei Vorschauergebnisse f r den Import von Ereignissen in einem bestimmten Zeitraum Im Beispiel wird Folgendes vorausgesetzt Der CA Audit Data Tools Server befind
388. nstallieren von CA Enterprise Log Manager auf dem virtuellen Rechner Gehen Sie wie unten beschrieben vor um CA Enterprise Log Manager auf einem zuvor erstellten virtuellen Rechner zu installieren Sie k nnen im Anschluss an die Installation einen virtuellen bzw dedizierten CA Enterprise Log Manager Server so einrichten dass er eine der verschiedenen funktionellen Rollen wie etwa Verwaltungs Quell oder Berichtsserver bernimmt Falls Sie einen CA Enterprise Log Manager Verwaltungsserver installieren sollten auf diesem Server keine Ereignisprotokolle empfangen und keine Abfragen und Berichte ausgef hrt werden Installieren Sie eigene virtuelle CA Enterprise Log Manager Server als Berichts und Quellserver um eine optimale Leistung zu erzielen Lesen Sie die normalen Installationsanleitungen bevor Sie CA Enterprise Log Manager in einer virtuellen Umgebung installieren Auf dem Arbeitsblatt f r die Installation k nnen Sie sich die erforderlichen Informationen notieren 334 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern So installieren Sie CA Enterprise Log Manager auf einem virtuellen Rechner 1 Legen Sie den Datentr ger f r die Installation des CA Enterprise Log Manager Betriebssystems in das physische DVD ROM Laufwerk ein oder navigieren Sie zu dem Verzeichnis in das Sie das Installations Image kopiert haben 2 W hlen Sie Ihren virtuellen Rechner in der Inven
389. nstalliert haben Der Hostname muss auf dem DNS Server registriert sein Wenn Sie eine lokalen CA EEM Server verwenden m chten ist der Standardwert keine Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen Wert Kennwort f r den CA EEM Server Kennwort des EiamAdmin Kontos FIPS Ja oder Nein Kommentare Notieren Sie sich das Kennwort f r das Standardadministratorkonto EiamAdmin Der CA Enterprise Log Manager Server ben tigt diese Kontoanmeldeinformationen f r die erste Anmeldung Falls Sie den Verwaltungsserver installieren erstellen und best tigen Sie hier ein neues EiamAdmin Kennwort Notieren Sie sich dieses Kennwort Sie ben tigen es f r die Installation der brigen CA Enterprise Log Manager Server und Agenten Hinweis Das hier eingegebene Kennwort dient auch als anf ngliches Kennwort f r das caelmadmin Standardkonto mit dem Sie direkt ber SSH auf den CA Enterprise Log Manager Server zugreifen Sie k nnen nach der Installation ggf weitere Administratorkonten erstellen um auf die CA EEM Funktionen zuzugreifen Gibt an ob die virtuelle Appliance im FIPS Modus oder Nicht FIPS Modus ausgef hrt werden soll Wenn Sie einen lokalen EEM Server CA verwenden k nnen Sie einen beliebigen Modus ausw hlen Wenn Sie einen Remote CA EEM Server verwenden m ssen Sie denselben Modus ausw hlen den der Remote CA EEM Server verwendet
390. nten 2 Erstellen einer oder mehrerer Agentengruppen optional 3 Erstellen und Konfigurieren eines Connectors und Erstellen und Anwenden von Unterdr ckungs und Zusammenfassungsregeln 4 Anzeigen des Agenten bzw Connector Status Weitere Informationen zum Erstellen von und Arbeiten mit Agentengruppen und Connectors sowie zum Anwenden von Unterdr ckungsregeln f r Agenten finden Sie im CA Enterprise Log Manager Administrationshandbuch Weitere Informationen Wissenswertes ber Agenten siehe Seite 68 Wissenswertes ber Agentengruppen siehe Seite 69 Wissenswertes ber Protokollsensoren siehe Seite 71 Auswirkungen von Unterdr ckungsregeln siehe Seite 73 Konfigurieren des Standardagenten Die CA Enterprise Log Manager Installation erstellt auf dem CA Enterprise Log Manager Server einen Standardagenten mit zwei betriebsbereiten Connectors einem syslog_Connector und einem Linux_local Connector Der Syslog Connector erfasst die an den CA Enterprise Log Manager Server gesendeten Syslog Ereignisse Mit dem Linux_local Connector werden root Ereignisse vom physischen CA Enterprise Log Manager Server oder von einer Syslog Datei erfasst Konfigurieren Sie in einer einfachen Umgebung mit zwei Servern einen oder mehrere Syslog Connectors auf dem agentenlosen Quellserver f r Protokolldateien f r den Empfang von Ereignissen Die Verwendung des Standardagenten umfasst folgende Schritte 1 Optional berpr fen Sie die Syslo
391. nten enth lt 3 W hlen Sie einen Standardagenten aus d h einen Agenten mit dem Namen eines CA Enterprise Log Manager Servers Der Standardagent kann ber andere bereitgestellte Connectors verf gen 4 Klicken Sie auf Neuen Connector erstellen Protokollerfassungs Explorer e a D 2 ET 5 vw Agenten Explorer Y Default Agent Group Anzeigen des Status von en einer zors my elm 2 v D Details zum Agentenstatus e Syslog_Connector 0 Linux_localsyslog_Connector w hlen Sie ausgef hrte Agenten zum Neustart aus Der Assistent zum Erstellen von neuen Connectors wird ge ffnet Der Schritt der Connector Details ist ausgew hlt 226 Implementierungshandbuch Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLodSensor 5 W hlen Sie aus der Drop down Liste Integration die Integration MS_SQL_Server_2005 aus Diese Auswahl f llt das Feld Connectorname mit MS_SQL_Server_2005_Connector auf 6 Optional Ersetzen Sie den Standardnamen mit einem Namen der den Connector f r Sie leichter identifizierbar macht W hlen Sie eventuell einen eindeutigen Namen aus wenn Sie mehrere SQL Server Datenbanken mit dem gleichen Agenten berwachen Connector Erstellung S Geben Sie die erforderlichen Informationen ein Typ Integrationen _ Listener Integration MS_SQL_Server_2005 v Connectorname MS_SQL_Server_2005_Connector Plattformversion v L_ berpr fung der Plat
392. nterprise Log Manager Servers Weitere Informationen Installation von CA Enterprise Log Manager siehe Seite 86 Schneller Einsatz der virtuellen CA Enterprise Log Manader Server Sie k nnen einen virtuellen CA Enterprise Log Manager Server klonen um ein installierbares Image f r die schnelle Skalierbarkeit Ihrer Protokollerfassungsumgebung zu erstellen Anhang E CA Enterprise Log Manager und Virtualisierung 339 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Hinweis Um eine optimale Leistung zu erzielen empfehlen wir CA Enterprise Log Manager auf virtuellen Servern ausschlie lich f r die Erfassung zu installieren Klonen Sie keine virtuellen Rechner die einen CA Enterprise Log Manager Verwaltungsserver enthalten berpr fen Sie ob eine Umgebung vorhanden ist bevor Sie mit diesem Szenario beginnen oder installieren Sie einen CA Enterprise Log Manager Server um Verwaltungsfunktionen entweder auf einem dedizierten oder einem virtuellen Server durchzuf hren F r die Klonfunktion ben tigen Sie auch die richtige Version der VMware Software Zum Erstellen und Klonen eines virtuellen CA Enterprise Log Manager Servers f r die Erfassung sind folgende Schritte notwendig 1 Erstellen Sie einen neuen virtuellen Rechner 2 F gen Sie virtuelle Festplattenlaufwerke hinzu 3 Installieren Sie einen CA Enterprise Log Manager Server auf dem virtuellen Rechner 4 Klonen Sie den virtuellen Re
393. ntoberechtigungen f r Agenten Agenten k nnen unter Benutzerkonten mit wenigen Berechtigungen ausgef hrt werden Erstellen Sie vor der Installation des Agenten ein Gruppen und ein Servicebenutzerkonto auf dem Zielhost Sie legen den Benutzernamen w hrend der Agenteninstallation fest und das Installationsprogramm weist die entsprechenden Berechtigungen zu Auf Linux Systemen ist der Agentenbenutzer Eigent mer aller Agentenbin rdateien mit Ausnahme der Bin rdateien f r den berwachungsdienst Watchdog Service dessen Eigent mer der root Benutzer ist Wissenswertes ber Integrationen Bei den mitgelieferten vorgefertigten Integrationen handelt es sich im Wesentlichen um eine Vorlagenbibliothek Diese Vorlagen enthalten den spezifischen f r die Erfassung von Ereignissen einer bestimmten Protokollquelle erforderlichen Code Eine Integration wird zu einem Connector wenn sie aus der Bibliothek entnommen konfiguriert und auf eine Ereignisquelle angewendet wird Integrationen enthalten folgende Arten von Informationen m Datenzugriffsdatei mit Informationen f r eine bestimmte Ereignisquelle Kapitel 2 Planen der Umgebung 69 Agentenplanung Nachrichtenanalysedatei zum Erstellen von Namen Wert Paaren anhand der erfassten Ereignisprotokolle m Datenzuordnungsdatei zum Zuordnen der Namen Wert Paare zur ELM Schemadefinition die das Datenbankschema f r den Ereignisprotokollspeicher des CA Enterprise Log Manager Servers bildet
394. ntr ger von Soft Appliance auf vom Endbenutzer zur Verf gung gestellter Hardware installiert Der Standardagent ist der integrierte Agent der mit dem CA Enterprise Log Manager Server installiert wird Er kann f r die direkte Erfassung von Syslog Ereignissen sowie von Ereignissen von verschiedenen Nicht Syslog Ereignisquellen wie CA Access Control r12 SP1 Microsoft Active Directory Zertifikatdiensten und Oracle9i Datenbanken konfiguriert werden Unterdr ckung ist der Prozess in dem Ereignisse auf der Basis von CEG Filtern verworfen werden Die Unterdr ckung wird durch eine SUP Datei gesteuert Unterdr ckungsregeln sind Regeln die Sie konfigurieren um zu verhindern dass bestimmte verfeinerte Ereignisse in Ihren Berichten angezeigt werden Sie k nnen permanente Unterdr ckungsregeln erstellen um nicht sicherheitsrelevante Routineereignisse zu unterdr cken Sie k nnen aber auch tempor re Regeln erstellen um die Protokollierung geplanter Ereignisse wie die Erstellung vieler neuer Benutzer zu unterdr cken URL f r CA Embedded Entitlements Manager Die URL f r CA Embedded Entitlements Manager CA EEM lautet https lt ip_address gt 5250 spin eiam Um sich anzumelden w hlen Sie CAELM als die Anwendung und geben das Kennwort ein das mit dem Benutzernamen EiamAdmin verkn pft ist URL f r CA Enterprise Log Manager Varbind Die URL f r CA Enterprise Log Manager lautet https lt ip_address gt 5250 spin calm
395. ntyp verkn pft ist der Analyseregeln anwendet Analyseregeln zerlegen die relevanten Daten in einem erfassten Rohereignis in Namenswertepaare die dann zur weiteren Verarbeitung an die Datenzuordnungsdatei weitergeleitet werden Dieser Dateityp wird in allen Integrationen sowie in Connectors verwendet die auf Integrationen basieren Im Falle von CA Adaptern k nnen XMP Dateien auch auf dem CA Enterprise Log Manager Server angewendet werden Nachrichtenanalyse Token ELM Natives Ereignis Ein Nachrichtenanalyse Token ist eine wiederverwendbare Vorlage f r die Erstellung einer regul ren Ausdruckssyntax die bei der CA Enterprise Log Manager Nachrichtenanalyse verwendet wird Ein Token verf gt ber einen Namen einen Typ und eine entsprechende Zeichenfolge f r den regul ren Ausdruck Ein natives Ereignis ist der Zustand oder die Aktion die ein Rohereignis ausl st Native Ereignisse werden empfangen entsprechend analysiert zugeordnet und dann als Rohereignisse oder verfeinerte Ereignisse bertragen Eine fehlgeschlagene Authentifizierung ist ein natives Ereignis Glossary 435 Neukatalogisierung Eine Neukatalogisierung ist eine erzwungene Neuerstellung des Katalogs Die Neukatalogisierung ist nur erforderlich wenn Daten im Ereignisprotokollspeicher eines anderen Servers wiederhergestellt werden als auf dem Server auf dem sie generiert wurden Wenn Sie einen CA Enterprise Log Manager als Wiederherstellungspunkt f r Untersuchunge
396. nwort das Sie f r das EiamAdmin Konto angelegt haben ndern Sie das Kennwort f r das caelmadmin Konto m glichst sofort nach der Installation W hrend der Installation wird ferner das Standardservice Benutzerkonto caelmservice erstellt mit dem Sie sich nicht beim System anmelden k nnen Sie k nnen ggf Benutzer auf dieses Konto umschalten um Prozesse zu starten und zu stoppen Der iGateway Prozess und der eingebettete CA EEM Server sofern auf dem CA Enterprise Log Manager Server installiert werden unter diesem Benutzerkonto ausgef hrt wodurch eine zus tzliche Sicherheitsebene bereitgestellt wird Der iGateway Prozess wird nicht unter einem root Benutzerkonto ausgef hrt Die Portweiterleitung wird automatisch aktiviert so dass HTTPS Anforderungen auf Port 80 und Port 443 neben Port 5250 auf die CA Enterprise Log Manager Benutzeroberfl che zugreifen k nnen 112 Implementierungshandbuch Erste CA Enterprise Log Manader Serverkonfigurationen Standardverzeichnisstruktur Die Softwarebin rdateien werden bei der CA Enterprise Log Manager Installation im Verzeichnispfad opt CA abgelegt Falls das System ber ein zweites Festplattenlaufwerk verf gt wird dieses als data konfiguriert Der Installationsvorgang erstellt einen symbolischen Link von dem Verzeichnis opt CA LogManager data zu dem Verzeichnis data Im Folgenden finden Sie eine bersicht ber die standardm ige Installationsverzeichnisstruktur
397. o Complete 378 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Die Seite End User License Agreement wird angezeigt Diese Seite zeigt die Lizenzvereinbarung f r Produkte von Drittanbietern an Um CA Enterprise Log Manager zu installieren m ssen Sie diese Lizenzvereinbarung akzeptieren 11 Lesen Sie den Text der Lizenzvereinbarung Deploy OYF Template End User License Agreement Accept the end user license agreements Source OVF Template Details End User License Agreeme Name and Location Deployment Configuration Host Cluster Properties Ready to Complete Anhang E CA Enterprise Log Manager und Virtualisierung 379 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 12 Klicken Sie auf Accept und anschlie end auf Next Die Seite Name and Location wird angezeigt Auf dieser Seite k nnen Sie einen Namen hinzuf gen um den CA Enterprise Log Manager Server zu identifizieren und das Datacenter angeben in dem Sie den CA Enterprise Log Manager Server bereitstellen m chten 13 Geben Sie den CA Enterprise Log Manager Servernamen in das Namensfeld ein w hlen Sie in Inventory Location das Datacenter aus und klicken Sie auf Next Hinweis Standardm ig wird im Namensfeld der in der OVF Vorlage angegebene Name angezeigt Deploy OYF Template lolx Name and Location Specify a nam
398. och Ihre CA Enterprise Log Manager Umgebung auf dem aktuellsten Stand halten Folgende Umst nde erfordern die Konfiguration von automatischen Software Updates im Offline Modus m Kein Server in Ihrer CA Enterprise Log Manager Umgebung hat Zugriff auf das Internet m Einige Server in Ihrem Netzwerk haben Internetzugriff andere Server k nnen nicht einmal eine Verbindung zu einem Server mit Internetzugriff herstellen Der einzige Unterschied zwischen automatischen Software Updates im Offline oder Online Modus ist die Liefermethode der aktualisierten Dateien auf den Proxy f r automatische Software Updates Bei automatischen Software Updates im Online Modus stellt der Proxy ber das Internet eine Verbindung mit dem CA Technologies Server f r automatische Software Updates her Bei automatischen Software Updates im Offline Modus laden Sie Aktualisierungen von einer CA Technologies FTP Seite herunter kopieren sie dann manuell auf einen als Offline Proxy konfigurierten CA Enterprise Log Manager Server Das folgende Diagramm veranschaulicht den Prozess automatischer Software Updates im Offline Modus In diesem Beispiel ist die ganze CA Enterprise Log Manager Umgebung offline OFFLINE CA Enterprise Log Manager FTP Seite 6 erwaltungsserver Benutzer auf Remote Server mit FTP Dienst oder Internetverbindung CA Enterprise CA Enterprise Log Manager Log Manager Offline Software Update Proxy f r Clients automatische Software Upd
399. oder je nach Bedarf in Verbindung Clients laden die Aktualisierungen herunter und installieren sie selbst Hinweis Proxys f r automatische Software Updates installieren heruntergeladene Aktualisierungen bevor sie sie f r Clients verf gbar machen 54 Implementierungshandbuch Planen von automatischen Software Updates Planen automatischer Software Updates Mit der Planung der Architektur f r automatische Software Updates in Ihrer CA Enterprise Log Manager Umgebung stellen Sie sicher dass alle Server die von Ihnen ausgew hlten Aktualisierungen zeitnah und ber sichere Kan le erhalten Zur Planung automatischer Software Updates f r Ihre CA Enterprise Log Manager Umgebung folgen Sie diesen Schritten Weitere Details finden Sie in den jeweiligen Vorg ngen 1 Der erste Schritt ist das Festlegen einer Proxy Client Struktur f r Ihre CA Enterprise Log Manager Server Entscheiden Sie welche Server Sie als Proxys und welche Sie als Clients verwenden m chten Beachten Sie dabei die Rolle der einzelnen Server und allgemeine Aspekte des Netzwerkdatenverkehrs Ber cksichtigen Sie eventuelle Beschr nkungen des Internetzugriffs in Ihrer Umgebung und entscheiden Sie ob ein oder mehrere Offline Proxys ben tigen werden Ber cksichtigen Sie Aspekte der Internetsicherheit und des Datenverkehrs Entscheiden Sie ob Sie einen lokalen HTTP Proxy in Ihre Architektur f r automatische Software Updates aufnehmen m chten Online Proxys f r
400. oder unter www vmware com Sie m ssen die Konfigurationsparameter als Befehlszeilenargumente weitergeben um das OVF Tool abzurufen Hinweis Es wird nachdr cklich empfohlen f r die Bereitstellung eines Erfassungsservers eine mittlere und f r die Bereitstellung eines Berichtsservers eine gro e Bereitstellungskonfiguration zu verwenden Wir empfehlen auch eine umfassende Bereitstellungsmethode wie in der V Mware Dokumentation beschrieben zu verwenden So rufen Sie das OVF Tool ber eine Befehlszeile auf 1 ffnen Sie auf dem Computer auf dem VMware vSphere Client installiert ist die Eingabeaufforderung 2 F hren Sie folgenden Befehl aus um das OVF Tool aufzurufen ovftool dm thick acceptAllEulas name value deploymentOption value prop ROOT _PASSWORD value prop LOCAL REMOTE EEM value prop REMOTE_EEM LOCATION value prop EEM PASSWORD value prop FIPS MODE value prop IP ADDRESS value prop SUBNET MASK value prop HOSTNAME value prop DEFAULT GATEWAY value prop DNS SERVERS value prop DOMAIN NAME value prop TIMEZONE value prop NTPLOCATION value lt OVF_Name ovf gt vi username password hostname_of VMware vSphere Client Datacenter host host name Die Meldung Opening VI target wird angezeigt Der Bereitstellungsstatus des CA Enterprise Log Manager Servers wird angezeigt Wenn die Installation erfolgreich ist wird der CA Enterprise Log Manager Server im linken Fensterbereich unter dem Dat
401. og Manager Yirtual Machine Properties Hardware Options Resources Yirtual Machine Version 7 settings Summary YMI is a paravirtualization standard supported by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with YMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no i performance benefit from this support TP Allocation Policy Fixed IPy4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s Ad d Configured compatability For YMotion and some other migrations to vance Ange other hosts which offer YMI support YMware Tools Shut Down Power Management Standby Advanced v General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIY None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel Anhang E CA Enterprise Log Manager und Virtualisierung 407 Erstellen von CA Enterprise Log Managder Servern mithilfe von virtuellen Appliances 4 Klicken Sie in diesem Fenster auf die Registerkarte Resources 5 W hlen Sie in der Spalte Settings die Option CPU aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual
402. og Manager Servern mithilfe von virtuellen Appliances Die Seite Deployment Configuration wird ge ffnet Auf der Seite Deployment Configuration k nnen Sie den Konfigurationsmodus des CA Enterprise Log Manager Servers den Sie bereitstellen m chten angeben 14 W hlen Sie im Dropdown Men Configuration Medium oder Large aus Deploy OYF Template Deployment Configuration Select a deployment configuration Source OVF Template Details End User License Agreement Name and Location Deployment Configuratior E Host Cluster Resource Pool Properties Ready to Complete Anhang E CA Enterprise Log Manager und Virtualisierung 357 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Wenn Sie Medium ausw hlen stellt VMware vier CPUs mit je 8 GB RAM bereit Wenn Sie Large ausw hlen stellt VMware acht CPUs mit je 8 GB RAM bereit Hinweis Es wird nachdr cklich empfohlen f r die Bereitstellung eines Erfassungsservers eine mittlere und f r die Bereitstellung eines Verwaltungs oder Berichtsservers eine gro e Bereitstellungskonfiguration zu verwenden Die Seite Host Cluster wird ge ffnet Diese Seite wird nur angezeigt wenn Sie den Ressourcenpool nicht ausgew hlt haben bevor Sie mit dem Import des OVF Vorlage begonnen haben Auf der Seite Host Cluster werden das von Ihnen ausgew hlte Datacenter angezeigt und dessen verf gbare Cluster angezeigt Sie m
403. olgende Befehlszeile ein Solaris LMSeosImport sh dsn eAudit DSN user sa password sa target lt Log Manager Hostname oder IP Adresse gt minid 1000 maxid 4000 preview Windows LMSeosImport exe dsn eAudit _DSN user sa password sa target lt Log Manager Hostname oder IP Adresse gt minid 1000 maxid 4000 preview Importieren von Ereignissen aus einer Windows Collector Datenbank Sie k nnen anhand der unten beschriebenen Vorgehensweise Ereignisdaten aus einer Collector Datenbank die sich auf einem Windows Data Tools Server befindet importieren So importieren Sie Ereignisse aus einer SEOSDATA Tabelle auf einem Windows Server 1 Suchen Sie den Namen des Servers auf dem sich die SEOSDATA Tabelle befindet Vergewissern Sie sich dass Sie sich mit den Anmeldedaten eines Benutzers bei diesem Server anmelden die Ihnen zumindest Lesezugriff auf die SEOSDATA Tabelle geben Rufen Sie eine Befehlszeile auf dem CA Audit Data Tools Server auf Navigieren Sie zu dem Verzeichnis Programme CA SharedComponents iTechnology Starten Sie das Importhilfsprogramm mit der folgenden Befehlssyntax LMSeosImport exe dsn lt DSN Name gt user lt Benutzer ID gt password lt Kennwort gt target lt Zielhostname gt lt optionale Flags gt Anhang A Aspekte f r CA Audit Benutzer 279 Importieren von Daten aus einer SEOSDATA Tabelle Importieren von Ereignissen aus einer Solaris Collector Datenbank Sie k nnen anhand
404. omatischer Software Updates siehe Seite 57 Architektur f r automatische Software Updates im Offline Modus siehe Seite 60 Infos zu herunterzuladende Module siehe Seite 211 56 Implementierungshandbuch Planen von automatischen Software Updates Architektur automatischer Software Updates Ihre CA Enterprise Log Manager Umgebung kann ein Einzelserversystem sein oder es kann zwei oder mehrere Server umfassen Entwerfen Sie die Architektur f r automatische Software Updates im Hinblick auf die Anzahl und die Rollen der CA Enterprise Log Manager Server in Ihrer Umgebung Folgende Architekturvarianten stehen zur Verf gung m Einzelserverumgebung m Umgebung mit mehreren Servern und einem Proxy f r automatische Software Updates m Umgebung mit mehreren Servern und mehreren Proxys f r automatische Software Updates Hinweis Wenn Sie eine Architektur f r automatische Software Updates w hlen berlegen Sie ob Sie einen oder mehrere Offline Proxys ben tigen Weitere Details finden Sie unter Architektur f r automatische Software Updates im Offline Modus im Abschnitt Weitere Informationen Der erste CA Enterprise Log Manager Server den Sie installieren wird bei der Installation als Standard Proxy f r automatische Software Updates konfiguriert der automatische Software Updates herunterl dt und installiert wenn kein anderer Proxy konfiguriert wurde oder verf gbar ist Nachfolgende CA Enterprise Log Manager Server werden stan
405. on aus dem erforderlichen Ereignisvolumen und der gesch ftlichen Notwendigkeit Protokolldaten zu unterteilen und gesonderte Berichte zu erstellen CA Enterprise Log Manager unterst tzt hierarchische Verbunde und Netzverbunde sowie Konfigurationen bei denen beide Verbundarten ineinander bergehen Alle CA Enterprise Log Manager Server die in einen Verbund F deration aufgenommen werden sollen m ssen denselben Anwendungsinstanznamen in CA EEM verwenden Jede CA Enterprise Log Manager Serverinstallation wird automatisch unter Verwendung eines Anwendungsinstanznamens beim CA EEM Server registriert Sie k nnen jederzeit eine F deration anlegen nachdem Sie den ersten CA Enterprise Log Manager Server und mindestens einen weiteren Server installiert haben Die besten Ergebnisse erzielen Sie jedoch wenn Sie Ihre F deration vor der Installation planen Mit Hilfe einer detaillierten F derations bersicht k nnen Sie die Konfigurationsschritte schnell und pr zise durchf hren Auf Netzwerk Ebene bedeuten mehrere CA Enterprise Log Manager Server dass gr ere Ereignismengen verarbeitet werden k nnen Aus Sicht der Berichterstellung k nnen Sie mit einer F deration steuern wer auf Ereignisdaten zugreifen darf und wie viele Daten diese Personen einsehen k nnen In einer einfachen Umgebung mit zwei Servern bernimmt der Verwaltungsserver die Funktion eines Berichtsservers Der interne CA EEM Server auf dem CA Enterprise Log Manager Verwalt
406. on Zertifikaten vom CA EEM Server siehe Seite 135 Importieren von CA Enterprise Log Manager Berichten siehe Seite 136 Importieren von CA Enterprise Log Manager Datenzuordnungsdateien siehe Seite 136 Importieren der Dateien f r die ELM Schemadefinition siehe Seite 137 Importieren von Dateien f r die allgemeine Agentenverwaltung siehe Seite 138 Installation von CA Enterprise Log Manager Gehen Sie wie unten beschrieben vor um einen CA Enterprise Log Manager Server zu installieren So installieren Sie die CA Enterprise Log Manager Software 1 Booten Sie den Server mit der Installations DVD f r das Betriebssystem Die Installation des Betriebssystems wird automatisch gestartet 2 Verwenden Sie bei den Eingabeaufforderungen die Informationen aus dem Arbeitsblatt f r den CA Enterprise Log Manager Server Falls Sie der Lizenzvereinbarung nicht zustimmen wird die Installation beendet und der Server heruntergefahren 3 Wenn Sie zum Neustart des Computers aufgefordert werden entfernen Sie zun chst den Datentr ger und klicken dann auf die Option zum Neustarten 4 Legen Sie den CA Enterprise Log Manager Anwendungsdatentr ger ein wenn Sie dazu aufgefordert werden und dr cken Sie die EINGABETASTE 86 Implementierungshandbuch Installieren eines CA Enterprise Log Manager Servers 5 Verwenden Sie bei den Eingabeaufforderungen die Informationen aus dem Arbeitsblatt Die Installation wird fortgesetzt Am Ende der
407. on der virtuellen Appliance siehe Seite 348 384 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Festlegen der Paravirtualisierungs und Ressourceneinstellungen Nachdem Sie die OVF Vorlage importiert haben m ssen Sie die Paravirtualisierungs und Ressourceneinstellungen manuell festlegen um die Leistung des bereitgestellten CA Enterprise Log Manager Servers zu verbessern Hinweis Vergewissern Sie sich dass Sie das CD DVD Laufwerk auf Client Ger t festgelegt haben So legen Sie die der Paravirtualisierungs und Ressourceneinstellungen fest 1 Klicken Sie mit der rechten Maustaste auf die virtuelle CA Enterprise Log Manager Appliance im linken Bereich und klicken Sie auf Edit Settings Das Fenster mit den Eigenschaften des virtuellen Rechners lt CA Enterprise Log Manager Virtual Appliance name gt wird angezeigt 2 Klicken Sie in diesem Fenster auf die Registerkarte Option 3 W hlen Sie im linken Fensterbereich die Einstellung Paravirtualization aus und aktivieren Sie im rechten Bereich die Option Support VMI Paravirtualization Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Yirtual Machine Version 7 settings Summary YMI is a paravirtualization standard supported by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantl
408. onen stehen dann zur Anzeige ber die Archivabfrage zur Verf gung Ein Protokolldatensatz ist ein einzelner Audit Datensatz 438 Implementierungshandbuch Protokolleintrag Protokollsensor Ein Protokolleintrag ist ein Eintrag in einem Protokoll der Informationen zu einem bestimmten Ereignis enth lt das in einem System oder Netzwerk aufgetreten ist Ein Protokollsensor ist eine Integrationskomponente die Daten aus einem bestimmten Typ lesen soll wie z B aus Datenbank Syslog Datei oder SNMP Protokollsensoren werden wiederverwendet Normalerweise erstellen die Benutzer keine benutzerdefinierten Protokollsensoren Proxy f r automatische Software Updates offline Ein Offline Proxy f r automatische Software Updates ist ein CA Enterprise Log Manager Server der automatische Software Updates ber eine manuelle Verzeichniskopie unter Verwendung von scp von einem Online Proxy f r automatische Software Updates erh lt Offline Proxys f r automatische Software Updates k nnen so konfiguriert werden dass Sie bin re Updates zu Clients herunterladen die diese anfordern und dass sie die aktuellste Version der Inhaltsaktualisierungen an den Management Server weiterleiten wenn dieser sie noch nicht erhalten hat Offline Proxys f r automatische Software Updates ben tigen keinen Internetzugang Proxy f r automatische Software Updates online Ein Online Proxy f r automatische Software Updates ist ein CA Enterprise Log Manag
409. onen finden Sie in der VMware ESX Dokumentation Anhang E CA Enterprise Log Manager und Virtualisierung 345 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Aktualisieren eines geklonten CA Enterprise Log Manader Servers vor der Bereitstellung Gehen Sie wie unten beschrieben vor um einen geklonten virtuellen CA Enterprise Log Manager Server zu aktualisieren Ein geklonter virtueller CA Enterprise Log Manager Server beh lt den Hostnamen den Sie ihm w hrend der Installation gegeben haben Der Hostname f r jeden aktiven CA Enterprise Log Manager Server muss jedoch innerhalb Ihrer Implementierung der Protokollerfassung eindeutig sein ndern Sie also den Hostnamen und die IP Adresse des Servers mit dem Skript Rename_ELM sh bevor Sie einen geklonten virtuellen Server aktivieren Das Aktualisierungsskript f hrt folgende Ma nahmen durch m Automatischer Stopp und Neustart des Standardagenten Automatischer Stopp und Neustart des iGateway Dienstes m Sie werden aufgefordert den Hostnamen die IP Adresse und die DNS IP Adresse zu ndern Automatische Aktualisierung der Konfigurationsdateien mit verschl sselten Kennw rtern f r die verschiedenen Zertifikate So aktualisieren Sie einen geklonten virtuellen CA Enterprise Log Manager Server 1 Melden Sie sich beim physischen Zielserver als Root Benutzer an 2 Greifen Sie auf das ISO Image oder die DVD der Anwendung zu und navigieren Sie zum
410. ormationen ein die Sie im Arbeitsblatt gesammelt haben und klicken Sie auf Next Deploy OVF Template LERI Properties Customize the software solstion for this deployment ep A Host Settings z End User License Agreement Name and Location A Host Name Deployment Configuration Enter name of this host machine Host Cluster vor apes Properties B Root Password MOr SS OPNI Enter root password of this machine Frasmpierootpassword C IP Address Enter IP address of this machine 2 00 n0 D Subnet Mask Enter the subnet mask 0 0 0 0 E Default Gateway Enter the IP address of the defaut gateway 18 18 0 0 F DNS Servers Enter a list of the IP addresses for your DNS servers Use a comma to separate the IP add esses of the DNS servers 1198 168 10 20 198 168 10 25 6 Domain Name Enter the domain name of this machine rampie com H Time Zone Choose the time zone fAfricajAbidjan 1 NTP Server Location Enter the NTP Server Location if you want to configure System Time through NTP 198 168 10 30 le el Deploy OYF Template o x Properties Customize the software solution For this deployment Source OVF Template Details End User License Agreement Name and Location B CA Enterprise Log Manager Settings Deployment Configuration Host Cluster A Location of CA EEM Server Resource Pool Select Local if the CA EEM server is to be installed on this host Se
411. ort und CA Enterprise Log Manager verwendet werden soll Standardm ig wird die Transportmethode sapi verwendet chunk nnnn Legt fest wie viele Ereignisdatens tze pro Durchlauf in der SEOSDATA Tabelle ausgew hlt werden sollen Der Standardwert ist 5000 Ereignisse Zeilen Dieser Parameter ist optional preview Gibt die Ergebnisse der Ereignisdatensatzauswahl in STDOUT aus ohne dass die Daten tats chlich importiert werden Dieser Parameter ist optional port Gibt die zu verwendende Portnummer an wenn Sie als Transportoption SAPI festlegen und der CA Enterprise Log Manager SAPI Router so eingerichtet wurde dass ein fester Portwert unter Umgehung des Portmappers verwendet wird verbose Legt fest dass vom Hilfsprogramm ausf hrliche Verarbeitungsmeldungen an STDOUT gesendet werden sollen Dieser Parameter ist optional delay Legt in Sekunden fest welche Pause zwischen der Verarbeitung der einzelnen Ereignisse eingelegt werden soll Dieser Parameter ist optional report Zeigt einen Bericht zum Zeitraum dem ENTRYID Bereich und der Protokollanzahl in der SEOSDATA Tabelle an Dieser Parameter ist optional 276 Implementierungshandbuch Importieren von Daten aus einer SEOSDATA Tabelle retry Legt den Gesamtzeitraum in Sekunden fest in dem Wiederholungsversuche durchgef hrt werden wenn beim Importieren eines Ereignisses ein Fehler auftritt Die Verarbeitung wird fortgesetzt sobald dieses Ereignis erfol
412. pdate W hlen Sie den Syslog Listener aus Die Details zum Standardlistener werden im Fenster auf der rechten Seite angezeigt Sie k nnen Informationen wie etwa die Versionen Listen der Unterdr ckungs und Zusammenfassungsregeln die abgeh rten Standardports eine Liste der vertrauensw rdigen Hosts und die Zeitzone des Listeners berpr fen 222 Implementierungshandbuch Konfigurieren des Standardagenten Erstellen eines Syslog Connectors f r den Standardagenten Erstellen Sie einen Syslog Connector f r den Empfang von Syslog Ereignissen ber den Standardagenten auf dem CA Enterprise Log Manager Server So erstellen Sie einen Syslog Connector f r den Standardagenten 1 10 Melden Sie sich bei CA Enterprise Log Manager an und rufen Sie die Registerkarte Verwaltung auf Erweitern Sie den Agenten Explorer und eine Agentengruppe Der Standardagent wird automatisch in der Standardagentengruppe installiert Sie k nnen diesen Agenten in eine andere Gruppe verschieben W hlen Sie den Agentennamen aus Der Standardagent tr gt den Namen den Sie dem CA Enterprise Log Manager Server w hrend der Installation zugewiesen haben Klicken Sie auf Neuen Connector erstellen um den Connector Assistenten zu ffnen Klicken Sie auf das Optionsfeld Listener und geben Sie einen Namen f r diesen Connector an Wenden Sie Unterdr ckungsregeln und Zusammenfassungsregeln wie auf der zweiten und dritten Seite des Assi
413. pf ngt Ereignisprotokolle von Agenten oder den Erfassungsservern filtert Ereignisse und erstellt Incidents entsprechend den angewendeten Korrelationsregeln Berichterstellung Auf diesem Server werden Abfragen zu erfassten Ereignissen spontane Abfragen und Berichte sowie geplante Alarme und Berichte verarbeitet Wiederherstellungspunkt Dieser Server empf ngt wiederhergestellte Ereignisprotokolldatenbanken zur berpr fung alter Ereignisse Der erste installierte Server ist der Verwaltungsserver Dieser Server kann auch andere Rollen bernehmen Pro CA Enterprise Log Manager Netzwerk kann nur ein Verwaltungsserver vorhanden sein Jedes CA Enterprise Log Manager Netzwerk muss ber einen Verwaltungsserver verf gen Architekturvarianten System mit einem Server in dem der Verwaltungsserver auch alle anderen Rollen bernimmt System mit zwei Servern in dem der Verwaltungsserver alle Rollen mit Ausnahme der des Quellservers bernimmt Die Erfassung wird auf einem eigens daf r eingerichteten Server durchgef hrt System mit mehreren Servern in dem jedem Server eine bestimmte Rolle zugewiesen ist Genaue Informationen zu Serverrollen und Architekturen finden Sie im Folgenden 20 Implementierungshandbuch Serverrollen Serverplanung Ein CA Enterprise Log Manager System kann einen oder mehrere Server aufweisen Indem Sie verschiedenen Servern unterschiedliche Rollen zuweisen k nnen Sie die Leistung optimieren Es ist
414. plate Details End User License Agreeme Name and Location Deployment Configuration Host Cluster Properties Ready to Complete Anhang E CA Enterprise Log Manager und Virtualisierung 355 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 12 Klicken Sie auf Accept und anschlie end auf Next Die Seite Name and Location wird angezeigt Auf dieser Seite k nnen Sie einen Namen hinzuf gen um den CA Enterprise Log Manager Server zu identifizieren und das Datacenter angeben in dem Sie den CA Enterprise Log Manager Server bereitstellen m chten 13 Geben Sie den CA Enterprise Log Manager Servernamen in das Namensfeld ein w hlen Sie in Inventory Location das Datacenter aus und klicken Sie auf Next Hinweis Standardm ig wird im Namensfeld der in der OVF Vorlage angegebene Name angezeigt Deploy OYF Template lolx Name and Location Specify a name and location for the deployed template Source Name OVF Template Details Example CA Enterprise Log Manager End User License Agreement Name and Location The name can contain up to 80 characters and it must be unique within the inventory folder Deployment Configuration Inventory Location elmga vserver ca com 4 ELMQA Agents Datacenter F3 ELMQA Persistent Lab LC E3 ELMQA Persistent Lab MC Help lt Back Lr Cancel 4 356 Implementierungshandbuch Erstellen von CA Enterprise L
415. primiert die hei e Datenbank und archiviert oder kopiert sie automatisch auf den entsprechenden Berichtsserver Der Erfassungsserver komprimiert die hei e Datenbank sobald diese die konfigurierte Gr e erreicht hat und archiviert sie automatisch entsprechend dem konfigurierten Plan Ein Filter ist ein Mittel mit dem Sie eine Abfrage f r den Ereignisprotokollspeicher eingrenzen k nnen FIPS 140 2 ist der Federal Information Processing Standard FIPS Dieser Bundesstandard gibt die Sicherheitsanforderungen f r kryptographische Module an die innerhalb eines Sicherheitssystems zum Schutz von sensiblen nicht klassifizierten Daten verwendet werden Der Standard gibt vier Qualit tsstufen der Sicherheit vor die darauf abzielen einen gro en Bereich potenzieller Anwendungen und Umgebungen abzudecken FIPS Modus ist die Einstellung die erfordert dass CA Enterprise Log Manager Server und Agenten FIPS zertifizierte kryptographische Module aus RSA zur Verschl sselung verwenden Die alternative Einstellung dazu ist der Nicht FIPS Modus 428 Implementierungshandbuch F derationsserver Funktionszuordnungen F derationsserver sind CA Enterprise Log Manager Server die in einem Netzwerk miteinander verbunden sind um die erfassten Protokolldaten zu verteilen aber um die erfassten Daten f r die Berichterstellung zu aggregieren F derationsserver k nnen hierarchisch oder ber eine vernetzte Topologie verbunden werden Berichte von
416. r Dieser Protokollsensor liest CA Access Control Ereignisse wenn CA Access Control Ereignisse mithilfe von selogrd weiterleitet FileLogSensor Dieser Protokollsensor liest Ereignisse aus einer Datei LocalSyslog Dieser Protokollsensor sammelt Ereignisse aus den lokalen Syslog Dateien aller UNIX Server ODBCLogSensor Dieser Protokollsensor verwendet ODBC um eine Verbindung mit einer Datenbankereignisquelle herzustellen und Ereignisse daraus abzurufen OPSECLogSensor Dieser Protokollsensor liest Ereignisse aus einer Check Point OPSEC Ereignisquelle SDEELogSensor Dieser Protokollsensor liest Ereignisse aus Cisco Ger ten Syslog Dieser Protokollsensor sucht nach Syslog Ereignissen Kapitel 2 Planen der Umgebung 71 Agentenplanung TIBCOLogSensor Dieser Protokollsensor liest Ereignisse aus einer TIBCO EMS Warteschlange EMS Event Message Service in CA Access Control Implementierungen W3CLogSensor Dieser Protokollsensor liest Ereignisse aus einer W3C Protokolldatei WinRMLinuxLogSensor Dieser Protokollsensor aktiviert den Standardagenten Linux auf dem CA Enterprise Log Manager Server zum Erfassen von Windows Ereignissen WMiILogSensor Dieser Protokollsensor erfasst mittels Windows Management Instrumentation WMI Ereignisse aus Windows Ereignisquellen Weitere Protokollsensoren werden unter Umst nden ber Software Updates bereitgestellt Weitere Informationen zum Konfigurieren von Protokollsensoren f
417. r Datenbank aktiviert werden kann Der auf dem Standardagenten bereitgestellte Connector basiert auf der Integration mit MS_SQL_Server_2005 In diesem Beispiel befindet sich die SQL Server Datenbank auf einem ODBC Server Der auf dem CA Enterprise Log Manager Agenten bereitgestellte Connector erfasst Ereignisse aus der Tabelle MSSQL_TRACE Bestandteil des Aktivierungsprozesses f r die Erfassung von Ereignissen von einer Microsoft SQL Server Datenbank ist die Umleitung der ausgew hlten Ereignisse in diese Ablaufverfolgungstabelle Genauere Anleitungen dazu finden Sie unter CA Connector Handbuch f r Microsoft SQL Server So konfigurieren Sie die Microsoft SQL Server Ereignisquelle 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Bibliothek 2 Erweitern Sie Ereignisverfeinerungs Bibliothek anschlie end Integrationen Automatisches Software Update und w hlen Sie MS_SQL_Server_2005 aus Das Dialogfeld Integrationsdetails anzeigen zeigt den Sensorennamen ODBCLogSensor an Unterst tzte Plattformen umfassen sowohl Windows als auch Linux 3 Klicken Sie im Dialogfeld Integrationsdetails anzeigen auf den Link Hilfe Das Connector Handbuch f r Microsoft SQL Server wird angezeigt 4 Informationen zu den Richtlinien finden Sie in den Abschnitten Voraussetzungen und Microsoft SQL Server Konfiguration Kapitel 6 Konfigurieren der Ereigniserfassung 225 Beispiel Aktivieren direkter Erfass
418. r mit folgendem Befehl auf das root Konto um su root 4 berpr fen Sie mit den folgenden Befehlen ob das Paket ca elm lt Version gt i386 rpm installiert ist rpm q ca elm rpm q ca elmagent Das Betriebssystem gibt den vollst ndigen Namen des Pakets zur ck sofern es installiert wurde Registrieren des CA Enterprise Log Manader Servers beim CA EEM Server Symptom W hrend der Installation wurde die CA Enterprise Log Manager Anwendung nicht ordnungsgem beim CA EEM Server registriert Die CA Enterprise Log Manager Anwendung ben tigt den CA EEM Server f r die Verwaltung von Benutzerkonten und Servicekonfigurationen Falls die CA Enterprise Log Manager Anwendung nicht registriert wird funktioniert die Software nicht ordnungsgem Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Registrieren Sie die CA Enterprise Log Manager Anwendung manuell beim CA EEM Server So registrieren Sie die CA Enterprise Log Manader Anwendund 1 Rufen Sie auf dem CA Enterprise Log Manager Server eine Befehlszeile auf 2 Melden Sie sich mit den Anmeldedaten des caelmadmin Kontos an 134 Implementierungshandbuch Fehlerbehebung bei der Installation Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM F hren Sie folgenden Befehl aus EEMReg
419. r streng hierarchischen F deration ist dass Sie von jedem Punkt im Netz aus auf Daten zugreifen und Ergebnisse unabh ngig von einer Hierarchie von allen CA Enterprise Log Manager Servern im Netz abrufen k nnen Sie k nnen Netzverbunde und hierarchische Verbunde miteinander kombinieren und so jede Konfiguration erstellen die Ihren Anforderungen entspricht Beispielsweise kann ein Netzverbund innerhalb eines einzelnen Zweigs im Netzwerk bei globalen Bereitstellungen sehr sinnvoll sein Dann k nnen Sie eine globale bersicht der Daten auf den bergeordneten Berichtsservern abrufen und gleichzeitig regionale Cluster Zweige unterhalten die nur auf ihre eigenen Daten zugreifen k nnen Kapitel 7 Erstellen von F derationen 243 Konfigurieren einer CA Enterprise Log Manager F deration Konfigurieren einer CA Enterprise Log Manager F deration Jeder CA Enterprise Log Manager Server der einer F deration auch Verbund genannt hinzugef gt wird muss auf denselben Anwendungsinstanznamen auf dem Verwaltungsserver verweisen Auf diese Weise k nnen auf dem Verwaltungsserver alle Konfigurationen zusammen als globale Konfigurationen gespeichert und verwaltet werden Sie k nnen die F deration jederzeit konfigurieren Es empfiehlt sich jedoch sie einzurichten bevor Sie Berichte planen falls konsolidierte Berichte gew nscht werden Die Konfiguration einer F deration umfasst folgende Aufgaben 1 Erstellen einer F derations bersicht
420. r und legen die Eigent merschaft f r die Datei fest 1 2 3 4 Melden Sie sich am Remote Speicherserver als caelmadmin an Wechseln Sie die Benutzer zu root Wechseln Sie zum Verzeichnis opt CA LogManager ssh Kopieren Sie die Datei authorized_keys vom Verzeichnis tmp in das aktuelle Verzeichnis ssh cp tmp authorized_keys ndern Sie die Eigent merschaft f r die Datei authorized_keys mit folgendem Befehl chown caelmservice caelmservice authorized_keys ndern Sie die Berechtigungen f r die Datei authorized_keys chmod 755 authorized _keys Jetzt ist die nicht interaktive Authentifizierung zwischen einem CA Enterprise Log Manager Berichtsserver und dem f r die Speicherung verwendeten Remote Host eingerichtet 176 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Validieren von nicht interaktiver Authentifizierung zwischen Berichtsserver und Speicherserver Best tigen Sie dass nicht interaktive Authentifizierung zwischen dem Berichtsserver und dem Remote Speicherserver festgelegt wurde Im Beispielszenario wird der Remote Speicherserver RSS genannt So validieren Sie nicht interaktive Authentifizierung zwischen dem CA Enterprise Log Manader Berichtsserver und dem Speicherserver 1 Melden Sie sich am Berichtsserver als root an 2 Schalten Sie Benutzer auf das caelmservice um su caelmservice 3 Geben Sie folgenden Befehl ein ssh caelmservice RSS Somit k nnen
421. r zu Ihrer Umgebung siehe Seite 351 Erstellen einer ausschlie lich virtuellen Umgebung siehe Seite 374 Schnelle Bereitstellung der virtuellen Server siehe Seite 399 392 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Aufrufen des OVF Tools ber eine Befehlszeile Hinweis Bevor Sie die automatische Installation durchf hren m ssen das Sie OVF Tool 1 0 0 0 installieren Weitere Informationen zum OVF Tool finden Sie im OVF Tool Benutzerhandbuch von VMware oder unter www vmware com Sie m ssen die Konfigurationsparameter als Befehlszeilenargumente weitergeben um das OVF Tool abzurufen Hinweis Es wird nachdr cklich empfohlen f r die Bereitstellung eines Erfassungsservers eine mittlere und f r die Bereitstellung eines Berichtsservers eine gro e Bereitstellungskonfiguration zu verwenden Wir empfehlen auch eine umfassende Bereitstellungsmethode wie in der VMware Dokumentation beschrieben zu verwenden So rufen Sie das OVF Tool ber eine Befehlszeile auf 1 ffnen Sie auf dem Computer auf dem VMware vSphere Client installiert ist die Eingabeaufforderung 2 F hren Sie folgenden Befehl aus um das OVF Tool aufzurufen ovftool dm thick acceptAllEulas name value deploymentOption value prop ROOT_PASSWORD value prop LOCAL REMOTE EEM value prop REMOTE_EEM LOCATION value prop EEM PASSWORD value prop FIPS MODE value prop IP ADDRESS value
422. ran 68 Wissenswertes ber Integrationen aunannann annaran renan rr erarnan arrana 69 Wissenswertes ber Connectors asna nasran anann anann reran arrar r arrana 70 Bestimmen der Gr e Ihres CA Enterprise Log Manager Netzwerks 2222cccccceen 72 Inhalt 7 Kapitel 3 Installieren von CA Enterprise Log Manader 75 Wissenswertes ber die CA Enterprise Log Manager Umgebung 2 neen 75 Erstellen der Installations DVDs 222eeeseseeeeeeeeeeennssneeeeeeneeeeneeeeeeeeeeennen 78 Installieren eines CA Enterprise Log Manager Servers nnanna nnan annaran arnar a rnern 79 Arbeitsblatt f r den CA Enterprise Log Manager Server 22cceeeeeeeeeeeeeeneeeeenennnn 80 Installation von CA Enterprise Log Manager cnueessennneeenennnneeeeeeenneeenn 86 berpr fen der Ausf hrung des iGateway Prozesses 2c2c2caeaeeneneneneneneeeeeeen 87 berpr fen der CA Enterprise Log Manager Serverinstallation cccc2eeeeeeeee 90 Anzeigen von selbst berwachenden Ereignissen 2222222cseeeseesnnneeneeennnneenn 91 Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung u a a EES 92 Voraussetzungen f r ein Upgrade der FIPS Unterst tzung 222cceeeeeeeeeeeeeeennnn 95 Upgrade Richtlinien 22222cssseseeeseessennnnnsnennnennnnnnnnnnnnnnnnn nennen 96 Durchf hren von Upgrades f r CA EEM Remote S
423. rbindung mit dem CA EEM Server hergestellt werden kann wird die Installation von CA Enterprise Log Manager fortgesetzt ohne dass Inhaltsdateien importiert werden Sie k nnen die Inhaltsdateien nach Abschluss der Installation manuell importieren Falls w hrend der Installation Fehler auftreten m ssen Sie ggf eine oder mehrere der folgenden Aktionen durchf hren um die Installation abschlie en zu k nnen Bei jeder dieser Aktionen m ssen Sie sich unter dem Standardkonto caelmadmin beim CA Enterprise Log Manager Server anmelden und dann Benutzer auf das root Konto umschalten m Beheben von Fehlern bei der Netzwerkschnittstellenkonfiguration m berpr fen dass das rpm Paket installiert wurde berpr fen dass der iGateway Daemon ausgef hrt wird m Registrieren der CA Enterprise Log Manager Anwendung beim CA EEM Server m Beziehen digitaler Zertifikate Importieren von CA Enterprise Log Manager Berichten Importieren von Datenzuordnungsdateien Importieren von Nachrichtenanalysedateien Importieren von Dateien f r die ELM Schemadefinition Importieren von Dateien f r die allgemeine Agentenverwaltung 132 Implementierungshandbuch Fehlerbehebung bei der Installation Beheben von Fehlern bei der Netzwerkschnittstellenkonfiguration Falls Sie nach der Installation nicht auf die Benutzeroberfl che des CA Enterprise Log Manager Servers zugreifen k nnen liegt eventuell ein Fehler bei der Netzwerkschnittstellenkonfig
424. rdnerliste Protokollerfassung wird angezeigt 2 W hlen Sie den Ordner Agenten Explorer aus Im Detailfenster werden Schaltfl chen f r die Agentenverwaltung angezeigt Kapitel 3 Installieren von CA Enterprise Log Manager 99 Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung 3 Klicken Sie auf Agentenstatus berwachung und Dashboard 8 Das Agentensuchfenster wird ge ffnet Hier wird der Status aller verf gbaren Agents in einem Diagramm aufgef hrt Beispiel Summe 10 Wird ausgef hrt 8 Ausstehend 1 Beendet 1 Antwortet nicht 4 Optional W hlen Sie ein Suchkriterium f r Agenten aus um die Liste der angezeigten Agenten einzugrenzen Sie k nnen unter den folgenden Kriterien w hlen Agentengruppe Gibt nur die Agenten zur ck die der ausgew hlten Gruppe zugewiesen sind Plattform Gibt nur die Agenten zur ck die auf der ausgew hlten Plattform ausgef hrt werden Status Gibt nur Agenten mit dem ausgew hlten Status zur ck z B Wird ausgef hrt Agentennamensmuster Gibt nur die Agenten zur ck die das angegebene Namensmuster enthalten 5 Klicken Sie auf Status anzeigen Eine Liste der Agenten die den Suchkriterien entsprechen wird eingeblendet Sie enth lt unter anderem folgende Informationen Name und Version des lokalen Connectors Aktueller CA Enterprise Log Manager Server FIPS Modus des Agenten FIPS oder Nicht FIPS Le
425. re Client installiert ist auf Start Programme VMware vSphere Client Der VMware vSphere Client Dialog wird ge ffnet Geben Sie im Feld f r IP Adresse und Namen die IP Adresse oder den Hostnamen des VMware vCenter Servers den Sie verbinden m chten ein Geben Sie in den Feldern f r Benutzername und Kennwort die Anmeldeinformationen ein Klicken Sie auf Logon Das Anwendungsfenster wird ge ffnet W hlen Sie unter einem Datacenter im linken Fensterbereich den Speicherort aus an dem Sie einen CA Enterprise Log Manager Server bereitstellen m chten Klicken Sie auf File und anschlie end auf Deploy OVF Template Das Fenster Deploy OVF Template wird angezeigt Standardm ig wird das Fenster Deploy OVF Template auf der Seite Source angezeigt Sie m ssen den Speicherort der OVF Vorlage auf dieser Seite angeben Hinweis Die im Fenster Deploy OVF Template angezeigten Seiten variieren je nach der Version und den Einstellungen von VMware vSphere Client die Sie verwenden Weitere Informationen zum Bereitstellen einer OVF Vorlage finden Sie auf www vmware com W hlen Sie die Option Deploy from file und klicken Sie anschlie end auf Browse um den Speicherort der OVF Vorlage auszuw hlen Gehen Sie im Dialog Open zum Speicherort der OVF Vorlage w hlen Sie die OVF Vorlage aus und klicken Sie auf Open Der Pfad zum Speicherort der OVF Vorlage wird im Feld Deploy from file angezeigt Anhang E
426. regel f r das H chstalter sind 30 bis 60 Tage Indem Sie ein Mindestalter festlegen k nnen Sie verhindern dass Benutzer ihr Kennwort innerhalb einer Sitzung viele Male ndern um Einschr nkungen bei der Wiederverwendung von Kennw rtern zu umgehen Empfohlen werden hier im Allgemeinen drei Tage Falls Sie ein Kennwortalter festlegen sollten Benutzer darauf aufmerksam gemacht werden wenn das Kennwort neu festgelegt werden muss So kann etwa nach Ablauf der halben Zeit oder auch kurz vor Ablauf der Zeit eine Warnmeldung angezeigt werden Benutzerkonten sollten nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen gesperrt werden Hierdurch l sst sich verhindern dass Hacker ein Kennwort durch Ausprobieren entschl sseln Standardm ig werden Konten nach drei bis f nf Fehlversuchen gesperrt L nge und Format von Kennw rtern Beachten Sie die folgenden Punkte wenn Sie berlegen ob L ngenbeschr nkungen erzwungen werden sollen Aufgrund der Art und Weise wie Kennw rter verschl sselt werden sind die sichersten Kennw rter zwischen sieben und vierzehn Zeichen lang Achten Sie darauf dass Kennwortbeschr nkungen die durch ein altes Betriebssystem im Netzwerk vorgegeben werden nicht berschritten werden 50 Implementierungshandbuch Planen von automatischen Software Updates Beachten Sie die folgenden Punkte wenn Sie berlegen ob Richtlinien erzwungen werden sollen gem denen eine maximale Anzahl
427. reignisse direkt an den Client Verwenden Sie bei diesen Rechnern vorzugsweise den SAPI Collector oder Router Adapter Wichtig Ein eigenst ndiger iRecorder kann Ereignisse nur an ein Ziel senden Falls Sie einen iRecorder wie unten beschrieben neu konfigurieren werden die Ereignisse nur im CA Enterprise Log Manager Ereignisprotokollspeicher gespeichert Falls die Ereignisse sowohl im Ereignisprotokollspeicher als auch in der Datenbank des CA Audit Collectors aufbewahrt werden m ssen f gen Sie eine entsprechende Regelaktion zu einer bestehenden Richtlinie hinzu oder erstellen eine neue Richtlinie f r einen CA Audit Client So konfigurieren Sie den iRecorder zum Senden von Ereignissen an CA Enterprise Log Manager 1 Melden Sie sich beim Hostserver des iRecorders als Benutzer mit Administratorrechten an 2 Navigieren Sie zu folgendem Verzeichnis auf Ihrem Betriebssystem a UNIX oder Linux opt CA SharedComponents iTechnology a Windows Programme CA SharedComponents iTechnology 3 Stoppen Sie den iGateway Daemon bzw Service mit folgendem Befehl a UNIX oder Linux S99igateway stop m Windows net stop igateway 4 Bearbeiten Sie die Datei iControl conf 5 Geben Sie den folgenden Wert f r RouteEvent an lt RouteEvent gt true lt RouteEvent gt Mit diesem Eintrag wird iGateway angewiesen alle Ereignisse einschlie lich aller iRecorder Ereignisse an den im Tag Paar RouteHost angegebenen Host zu senden Anhang A Aspekte
428. reignisse und unterteilt sie in einem Analyse genannten Vorgang in Abschnitte Es gibt eigene Nachrichtenanalysedateien f r unterschiedliche Ger te Betriebssysteme Anwendungen und Datenbanken Nachdem die eintreffenden Ereignisse in Namen Wert Paaren analysiert wurden durchlaufen diese Daten ein Zuordnungsmodul mit dem die Ereignisdaten in den Feldern der Datenbank abgelegt werden Das Zuordnungsmodul verwendet Datenzuordnungsdateien die hnlich den Nachrichtenanalysedateien f r spezifische Ereignisquellen erstellt wurden Beim Datenbankschema handelt es sich um die ELM Schemadefinition eine der zentralen Funktionen von CA Enterprise Log Manager Mittels Analyse und Zuordnung werden Daten normalisiert und unabh ngig vom Ereignistyp oder Meldungsformat in einer allgemeinen Datenbank gespeichert 248 Implementierungshandbuch Zuordnungs und Analysedateien Der Integrationsassistent und einige CA Technologies Adaptermodule erfordern die Konfiguration der Zuordnungs und Analysedateien die die Art von Ereignisdaten die von einem Connector oder Adapter berwacht werden am besten beschreiben In den Konfigurationsfenstern mit diesen Steuerelementen sollte die Reihenfolge der Nachrichtenanalysedateien die relative Anzahl der eingehenden Ereignisse dieses Typs widerspiegeln Die Reihenfolge der Datenzuordnungsdateien sollte die Menge der von einer bestimmten Quelle eingehenden Ereignisse widerspiegeln Wenn das Syslog Listener Modul ein
429. reignisse von CA Audit Clients mit Hilfe des CA Audit SAPI Router und des CA Audit SAPI Collector Listeners Erfasste Ereignisse werden im CA Enterprise Log Manager Ereignisprotokollspeicher erst gespeichert nachdem die Richtlinie auf die Clients bertragen und aktiviert wurde Wichtig Sie m ssen die CA Enterprise Log Manager Listener f r den Empfang von Ereignissen einrichten bevor Sie die Richtlinie ndern und aktivieren Falls Sie diese Konfiguration nicht zuerst vornehmen k nnen falsch zugeordnete Ereignisse auftreten wenn Ereignisse vor dem Zeitpunkt zu dem die Richtlinie in Kraft tritt und die Listener die Ereignisse richtig zuordnen k nnen eintreffen 266 Implementierungshandbuch Senden von CA Audit Ereignissen an CA Enterprise Log Manager So ndern Sie die Aktion einer bestehenden Richtlinienregel zum Senden von Ereignissen an CA Enterprise Log Manager 1 Melden Sie sich beim Richtlinien Manager Server an und greifen Sie links im Fenster auf die Registerkarte Meine Richtlinien zu 2 Erweitern Sie den Richtlinienordner bis die gew nschte Richtlinie angezeigt wird 3 Klicken Sie auf die Richtlinie damit die grundlegenden Informationen im Detailabschnitt rechts im Fenster angezeigt werden 4 Klicken Sie im Detailabschnitt auf Bearbeiten um die Richtlinienregeln hinzuzuf gen Der Regelassistent wird gestartet 5 Klicken Sie auf Aktionen bearbeiten neben dem Pfeil f r Schritt 3 im Assistenten Die As
430. rgen von Computersicherheitsprotokoll Daten definiert Ein Connector ist eine Integration f r eine bestimmte Ereignisquelle die in einem bestimmten Agenten konfiguriert wurde Ein Agent kann mehrere Connectors hnlicher oder verschiedener Typen in den Speicher laden Der Connector erm glicht die Erfassung von Rohereignissen von einer Ereignisquelle und die regelbasierte bertragung konvertierter Ereignisse in einen Ereignisprotokollspeicher wo sie in die hei e Datenbank eingef gt werden Standardisierte Integrationen liefern eine optimierte Erfassung einer breiten Palette von Ereignisquellen einschlie lich Betriebssystemen Datenbanken Webservern Firewalls und diversen Arten von Sicherheitsanwendungen Sie k nnen einen Connector f r eine selbstentwickelte Ereignisquelle von Anfang an selbst definieren oder Sie verwenden eine Integration als Vorlage 422 Implementierungshandbuch Datenbankstatus hei Der Datenbankstatus hei bezeichnet den Status der Datenbank im Ereignisprotokollspeicher wenn neue Ereignisse eingef gt werden Wenn die hei e Datenbank eine konfigurierbare Gr e auf dem Erfassungsserver erreicht wird sie komprimiert katalogisiert und in den warmen Speicher auf dem Berichtsserver verschoben Au erdem speichern alle Server neue selbst berwachende Ereignisse in einer hei en Datenbank Datenbankstatus kalt Der Datenbankstatus kalt wird einer warmen Datenbank zugewiesen wenn ein Administrator das Hil
431. rkungen Notieren Sie sich die Art des verwendeten Verzeichnisses CA Enterprise Log Manager unterst tzt verschiedene Verzeichnisse wie Microsoft Active Directory und Sun ONE Directory Eine vollst ndige Liste der unterst tzten Verzeichnisse finden Sie auf der Benutzeroberfl che Notieren Sie sich den Hostnamen des Servers f r den externen Benutzerspeicher bzw das externe Verzeichnis Notieren Sie sich die Nummer des Ports der vom Server des externen Benutzerspeichers bzw Verzeichnisses berwacht wird Port 389 ist der Standardport f r LDAP Lightweight Directory Access Protocol Falls Ihr Registrierungsserver nicht Port 389 verwendet notieren Sie sich die richtige Portnummer Notieren Sie sich den definierten LDAP Namen DN auch als Distinguished Name bezeichnet der als Basis verwendet wird Der DN ist eine eindeutige Kennung f r einen Eintrag in einer LDAP Verzeichnisstruktur Im Basis DN d rfen keine Leerzeichen enthalten sein Nur die unter diesem DN erkannten globalen Benutzer und Gruppen werden zugeordnet und k nnen einer CA Enterprise Log Manager Anwendungsgruppe oder Rolle zugewiesen werden Geben Sie das Kennwort f r den in der Zeile User DN Benutzer DN aufgef hrten Benutzer ein und best tigen Sie das Kennwort Kapitel 2 Planen der Umgebung 45 Benutzer und Zugriffsplanung Erforderliche Informationen Wert User DN Benutzer DN Use Transport Layer Security TLS TLS verwenden I
432. rleihen m Besorgen Sie sich die zum Zugriff auf die Benutzeroberfl che von Audit Administrator erforderliche IP Adresse bzw den erforderlichen Hostnamen Die URL zum Zugriff auf die Webanwendung des Richtlinien Manager Servers der R8 SP2 Serie hat folgendes Format https lt IP Adresse _des CA Audit_RMs gt 5250 spin auditadmin Konfigurieren Sie den CA Enterprise Log Manager SAPI Collector Service bzw SAPI Router Service je nachdem wie Sie die Regelaktion erstellen m chten Falls Sie eine Collector Aktion erstellen m chten konfigurieren Sie den SAPI Collector Falls Sie eine Route Aktion einrichten m chten konfigurieren Sie den SAPI Router Hinweis Im Beispiel dieses Abschnitts wird die Collector Aktion verwendet m ndern Sie eine bestehende CA Access Control Richtlinie so dass Ereignisse an CA Enterprise Log Manager gesendet werden berpr fen und aktivieren Sie die ge nderte Richtlinie so dass Sie an die berwachungsknoten verteilt werden kann Wiederholen Sie diese Schritte um ggf neue Regelaktionen zu weiteren Richtlinienregeln hinzuzuf gen Weitere Informationen Wissenswertes ber den SAPI Router und Collector siehe Seite 260 Anhang B Aspekte f r CA Access Control Benutzer 283 ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager Konfigurieren des SAPI Collector Adapters f r den Empfang von CA Access Control Ereignissen Gehen Sie wie unten beschrie
433. rliche Informationen acceptAllEulas deploymentOption TIMEZONE NTPLOCATION Wert Accept medium oder large Ihre gew nschte Zeitzone Relevanter Hostname bzw IP Adresse Anwendunssspezifische Einstellungen LOCAL_REMOTE_EEM Local beim ersten installierten Server Verwaltungsserve r Remote bei jedem weiteren Server Kommentare Akzeptieren Sie die CA Lizenzvereinbarung um mit der Bereitstellung eines CA Enterprise Log Manager Servers fortzufahren Wenn Sie Medium ausw hlen stellt VMware vier CPUs mit je 8 GB RAM bereit Wenn Sie Large ausw hlen stellt VMware acht CPUs mit je 8GB RAM bereit W hlen Sie die Zeitzone aus in der sich der Server befindet Geben Sie den Hostnamen bzw die g ltige IP Adresse des NTP Servers ein von dem der CA Enterprise Log Manager Server die Informationen zu Datum und Uhrzeit beziehen soll Geben Sie an ob Sie einen lokalen oder einen standortfernen CA EEM Server verwenden m chten W hlen Sie bei einem CA Enterprise Log Manager Verwaltungsserver die Option Local Sie werden im Zuge der Installation aufgefordert ein Kennwort f r das EiamAdmin Standardbenutzerkonto anzulegen W hlen Sie bei jedem weiteren Server die Option Remote Sie werden im Zuge der Installation nach dem Namen des Verwaltungsservers gefragt Unabh ngig davon ob Sie die Option local oder remote gew hlt haben m ssen Sie bei der erstmaligen Anmeldung b
434. roperty DNS_SERVERS 198 168 10 20 198 168 10 25 Property DOMAIN_NAME example com Property TIMEZONE Africa bidjan Property NTPLOCATION 198 168 10 30 gt Help lt Back Cancel Die Meldung Opening VI target wird angezeigt Der Bereitstellungsstatus der virtuellen Appliance wird angezeigt Wenn die Installation erfolgreich ist wird die virtuelle Appliance im linken Fensterbereich unter dem Datenspeicher aufgelistet den Sie ausgew hlt haben 18 Optional Wenn Sie an den eingegebenen Details nderungen vornehmen m chten gehen Sie folgenderma en vor a Klicken Sie im Fenster Deploy OVF Template so oft auf Back bis Sie zur entsprechenden Seite gelangen b Nehmen Sie die erforderlichen nderungen vor c Klicken Sie im Fenster Deploy OVF Template so oft auf Next bis Sie zur Seite Ready to Complete gelangen Weitere Informationen Arbeitsblatt f r die Installation der virtuellen Appliance siehe Seite 348 360 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Festlegen der Paravirtualisierungs und Ressourceneinstellungen Nachdem Sie die OVF Vorlage importiert haben m ssen Sie die Paravirtualisierungs und Ressourceneinstellungen manuell festlegen um die Leistung des bereitgestellten CA Enterprise Log Manager Servers zu verbessern Hinweis Vergewissern Sie sich dass Sie das CD DVD Laufwerk auf Client Ger t festgelegt
435. rozess auf dem neuen Server Navigieren Sie hierf r zu dem Ordner opt CA SharedComponents iTechnology und f hren Sie den folgenden Befehl aus S99igateway stop 2 Navigieren Sie zu dem Verzeichnis opt CA SharedComponents iTechnology 3 Geben Sie folgenden Befehl ein sh restore sh lt Sicherungsdatum gt lt Sicherungsversion gt Beispiel sh restore sh 22 Sep 2010 12 0 45 10 4 Navigieren Sie zu dem Verzeichnis opt CA SharedComponents iTechnology 5 Starten Sie den iGateway Prozess Geben Sie hierf r folgenden Befehl ein S99igateway start Ersetzen eines CA Enterprise Log Manager Servers Gehen Sie wie unten beschrieben vor um einen agentenlosen CA Enterprise Log Manager Quellserver f r Protokolldateien nach einem gro en Ausfall oder Notfall zu ersetzen Mit dieser Vorgehensweise k nnen Sie einer Notfallsituation begegnen indem Sie einen neuen CA Enterprise Log Manager Server erstellen der die Ereigniserfassung anstelle des ausgefallenen Servers bernimmt Anhang D Disaster Recovery 327 Ersetzen eines CA Enterprise Log Manager Servers Hinweis Bei dieser Vorgehensweise werden Ereignisdaten im Ereignisprotokollspeicher des ausgefallenen Servers nicht wiederhergestellt Verwenden Sie die regul ren Methoden zur Datenwiederherstellung um Ereignisdaten aus dem Ereignisprotokollspeicher des fehlerhaften Servers abzurufen So ersetzen Sie einen funktionsunt chtigen CA Enterprise Log Manager Se
436. rprise Log Manager Installationen M chten Sie den CAELM Server im Ja oder Nein FIPS Modus ausf hren Ihre Antwort auf diese Frage entscheidet dar ber ob der CA Enterprise Log Manager Server im FIPS Modus gestartet wird Hinweis Wenn Sie einen Server zu einer vorhandenen CA Enterprise Log Manager Bereitstellung hinzuf gen m chten muss der CA Enterprise Log Manager Verwaltungsserver bzw der CA EEM Remote Server ebenfalls im FIPS Modus ausgef hrt werden Anderenfalls wird der neue Server nicht registriert und Sie m ssen ihn von Neuem installieren Kapitel 3 Installieren von CA Enterprise Log Manager 85 Installieren eines CA Enterprise Log Manager Servers Hinweis Sie erhalten im Zuge der Installation Gelegenheit die CA EEM Serverdaten zu berpr fen und zu ndern bevor ein Verbindungsversuch unternommen wird Falls das Installationsprogramm keine Verbindung mit dem angegebenen Verwaltungsserver herstellen kann und Sie die Installation fortsetzen k nnen Sie den CA Enterprise Log Manager Server manuell ber die eingebetteten CA EEM Funktionen registrieren In diesem Fall m ssen Sie auch die Inhalts ELM Schemadefinitions und Agentenverwaltungsdateien manuell importieren Weitere Informationen und Anleitungen finden Sie im Abschnitt zur Fehlerbehebung w hrend der Installation Weitere Informationen Registrieren des CA Enterprise Log Manager Servers beim CA EEM Server siehe Seite 134 Beziehen v
437. rprise Log Manager Server mit verschiedenen Anwendunsgsinstanzen installieren es k nnen allerdings nur Server mit derselben Anwendunssinstanz in einem Verbund F deration zusammengeschlossen werden Server die denselben CA EEM Server aber unterschiedliche Anwendungsinstanzen verwenden weisen nur denselben Benutzerspeicher sowie dieselben Kennwortrichtlinien und globalen Gruppen auf Im CA EEM Handbuch Erste Schritte finden Sie weitere Informationen zu Sicherung und Wiederherstellung Sichern einer CA EEM Anwendungsinstanz Sie k nnen eine CA Enterprise Log Manager Anwendunsgsinstanz ber den internen CA EEM Server auf dem Verwaltungsserver sichern So sichern Sie eine Anwendungsinstanz 1 Greifen Sie mit der folgenden URL auf den CA EEM Server zu https lt Servername gt 5250 spin eiam 2 Erweitern Sie die Anwendungsliste auf der Anmeldeseite und w hlen Sie den Anwendungsinstanznamen aus den Sie bei der Installation der CA Enterprise Log Manager Server verwendet haben Der standardm ige Anwendungsinstanzname f r CA Enterprise Log Manager lautet CAELM 3 Melden Sie sich als EiamAdmin Benutzer oder als ein Benutzer mit der CA EEM Administratorrolle an 4 Rufen Sie die Registerkarte f r die Konfiguration auf und w hlen Sie die untergeordnete Registerkarte f r den EEM Server aus 5 W hlen Sie im Navigationsfenster auf der linken Seite das Element f r den Anwendungsexport aus 6 Aktivieren Sie alle Optio
438. rprise Log Manager Zielserver scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C2 Damit wird die Datei authorized_keys_ELM C2 auf dem Berichtsserver mit dem Inhalt des ffentlichen Schl ssels erstellt Geben Sie Ja ein gefolgt von dem caelmadmin Kennwort des ELM RPT Geben Sie Beenden ein Wiederholen Sie die Schritte 1 11 dieser Vorgehensweise f r den Sammelserver ELM C3 F r Schritt 9 geben Sie Folgendes an scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C3 Wiederholen Sie die Schritte 1 11 dieser Vorgehensweise f r den Sammelserver ELM CA F r Schritt 9 geben Sie Folgendes an scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C4 Kapitel 5 Konfigurieren von Services 171 Konfigurieren des Ereignisprotokollspeichers Erstellen einer einzelnen ffentlichen Schl sseldatei auf dem Berichtsserver und Festlegen der Eigentumsrechte an der Datei In unserem Szenario haben wir bisher Schl sselpaare auf allen Sammelservern generiert und den Teil des ffentlichen Schl ssels in Form der folgenden Dateien auf den Berichtsserver kopiert authorized_keys authorized_keys_ELM C2 authorized_keys_ELM C3 authorized_keys_ELM CA In Schritt 3 wird beschrieben wie diese Dateien verkn pft werden wie die entstandene ffentliche RSA Schl sseldatei in das richtige Verzeichnis verschoben und Verzeichnis sowie Eigentumsrechte an der Datei auf caelmservice festgelegt werden So erstellen Sie d
439. rrelationsservice 2 W hlen Sie den CA Enterprise Log Manager Server aus an den Sie Eignisse zur Korrelation weiterleiten wollen Wenn Sie einen dedizierten Korrelationsserver haben w hlen Sie diesen Servernamen aus Im rechten Fenster erscheinen die Details des Korrelationsserver 3 Verwenden Sie die Wechselsteuerung der Erfassungsserver um die gew nschten Server auszuw hlen Stellen Sie sicher dass sich alle Server die Ereignisse f r Korrelation erfassen in der Spalte mit Namen Ausgew hlt befinden Kapitel 5 Konfigurieren von Services 195 Konfigurieren des Korrelationsservices So k nnen Sie Incidents Benachrichtigungen entwerfen und anwenden Sie k nnen Benachrichtigungen f r Ihre Korrelationsregeln einrichten Benachrichtigungen erm glichen es Ihnen Schl sselinformationen auf entdeckten Incidents an angegebene Mitarbeiter zu bergeben oder CA IT PAM Service Desk Tickets automatisch zu erstellen Nehmen Sie folgenden Prozess vor um Benachrichtigungen in Ihrer Umgebung einzurichten 1 Planen und erstellen Sie Benachrichtigungsziele 2 W hlen Sie die vordefinierten Korrelationsregeln aus oder erstellen Sie benutzerdefinierte Regeln die Sie in Ihrer Umgebung verwenden m chten 3 F gen Sie den Regeln Benachrichtigungsdetails hinzu f r die Sie Benachrichtigungen festlegen m chten 4 Wenden Sie Korrelationsregeln auf den CA Enterprise Log Manager Server an und weisen Sie Benachrichtigungsziele zu
440. rstellen Sie einen virtuellen Rechner 1 Rufen Sie den VMware Infrastructure Client auf 2 Klicken Sie im linken Fenster auf den ESX Host und w hlen Sie New Virtual Machine aus um den Assistenten f r neue virtuelle Rechner aufzurufen Hierdurch wird ein Konfigurationsdialogfeld angezeigt 3 W hlen Sie Custom configuration aus und klicken Sie auf Next Es wird ein Dialogfeld f r den Namen und Speicherort angezeigt Anhang E CA Enterprise Log Manager und Virtualisierung 331 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern 4 Geben Sie einen Namen f r den CA Enterprise Log Manager Server ein der auf diesem virtuellen Rechner installiert werden soll und klicken Sie auf Next 5 Legen Sie die Speichereinstellungen f r den virtuellen Rechner fest und klicken Sie auf Next Vergewissern Sie sich dass die Speichereinstellungen f r Ihren CA Enterprise Log Manager Server ausreichend sind Empfohlen wird eine Mindestgr e von 500 GB Hinweis In einem anderen Verfahren werden weitere virtuelle Festplattenlaufwerke f r die Speicherung von erfassten Ereignisprotokollen eingerichtet 6 W hlen Sie Red Hat Enterprise Linux 5 32 bit als Guest Operating System aus und klicken Sie auf Next 7 W hlen Sie in der Dropdown Liste Number of virtual processors den Eintrag 4 als Anzahl der virtuellen Prozessoren aus Ihr physischer Hostserver muss in der Lage sein vier physisc
441. rt haben Erfasste Ereignisse werden nur im CA Enterprise Log Manager Ereignisprotokollspeicher gespeichert nachdem Sie die Richtlinie an die Clients weitergegeben haben und diese aktiv wird Wichtig Richten Sie die CA Enterprise Log Manager Listener f r den Empfang von Ereignissen ein bevor Sie die Richtlinie ndern und aktivieren Falls Sie diese Konfiguration nicht zuerst vornehmen k nnen falsch zugeordnete Ereignisse auftreten wenn Ereignisse vor dem Zeitpunkt eintreffen an dem die Richtlinie in Kraft tritt und die Listener die Ereignisse richtig zuordnen k nnen So ndern Sie die Aktion einer bestehenden Richtlinienregel zum Senden von Ereignissen an CA Enterprise Log Manager 1 Melden Sie sich beim Richtlinien Manager Server an und greifen Sie links im Fenster auf die Registerkarte Meine Richtlinien zu 286 Implementierungshandbuch ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager 2 Erweitern Sie den Richtlinienordner bis die gew nschte Richtlinie angezeigt wird Meine Richtlinien Richtlinienbibliothek Vorlagenbibliothek E ac E eTrust Access Control Policy Suspicious Events Security System Account Management Access Violations Logon and Logoff 6 Policy Change 6 Network Access Collection Events 3 Klicken Sie auf die Richtlinie damit die grundlegenden Informationen im Detailabschnitt rechts im Fenster angezeigt werden De
442. rt wurden Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Berichtsinhalte manuell So importieren Sie Berichtsinhalte 1 Rufen Sie auf dem CA Enterprise Log Manager Server eine Befehlszeile auf 2 Melden Sie sich mit den Anmeldedaten des caelmadmin Kontos an 3 Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su 4 Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content 5 F hren Sie folgenden Befehl aus ImportCALMContent sh Das Shell Skript l dt die Berichtsinhalte vom CA EEM Server herunter Importieren von CA Enterprise Log Manader Datenzuordnungsdateien Symptom W hrend der Installation wurden die Datenzuordnungsdateien nicht richtig vom CA EEM Server importiert Die Datenzuordnungsdateien werden f r die Zuordnung der eintreffenden Ereignisdaten im Ereignisprotokollspeicher ben tigt Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Datenzuordnungsdateien manuell 136 Implementierungshandbuch Fehlerbehebung bei der Installation So importieren Sie Datenzuordnungsdateien 1 Rufen Sie auf dem CA Enterprise Log Manager Server eine Befehlszeile auf 2 Melden Sie sich mit den Anmeldedaten des caelmadmin Kontos an 3 Schalten Sie Benutzer mit
443. rtual disk aus und klicken Sie auf Next Anhang E CA Enterprise Log Manager und Virtualisierung 333 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern 8 Legen Sie die Gr e der neuen Festplatte fest und w hlen Sie die Option Specify a datastore um den Standort festzulegen CA Enterprise Log Manager erkennt das zus tzliche Laufwerk w hrend der Installation und weist es dem Datenspeicher zu Es wird empfohlen CA Enterprise Log Manager m glichst viel Speicherplatz zur Verf gung zu stellen Hinweis Die Standardeinstellung f r Block Size in VMware ESX Server ist 1 MB wodurch der maximal erstellbare Speicherplatz auf 256 GB begrenzt wird Falls Sie mehr Platz bis zu 512 GB ben tigen erh hen Sie die Einstellung Block Size mit folgendem Befehl auf 2 MB Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Starten Sie den ESX Server neu damit die neue Einstellung wirksam wird Weitere Informationen zu diesem und anderen Befehlen finden Sie in der Dokumentation zu VMware ESX Server Klicken Sie auf Next um das Dialogfeld Specify Advanced Options aufzurufen 9 bernehmen Sie im Dialogfeld Advanced Options die Standardwerte und klicken Sie auf Next Das Dialogfeld Ready to Complete wird angezeigt 10 Klicken Sie auf Finish um die nderungen an diesem virtuellen Rechner zu speichern Hierdurch kehren Sie zum Dialogfeld VMware Infrastructure Client zur ck I
444. rtueller Server zu Ihrer Umgebung Falls Sie bereits ber eine CA Enterprise Log Manager Implementierung verf gen k nnen Sie virtuelle CA Enterprise Log Manager Quellserver f r Protokolldateien hinzuf gen um ein gesteigertes Ereignisvolumen im Netzwerk zu verarbeiten In diesem Szenario wird vorausgesetzt dass bereits ein CA Enterprise Log Manager Verwaltungsserver und mindestens ein CA Enterprise Log Manager Server f r Erfassung und Berichterstellung installiert wurden Hinweis Um eine optimale Leistung zu erzielen installieren Sie CA Enterprise Log Manager auf virtuellen Servern ausschlie lich f r die Erfassung und Berichterstellung Zum Hinzuf gen von virtuellen Quellservern in der Umgebung sind folgende Schritte notwendig 1 Erstellen Sie einen neuen virtuellen Rechner 2 F gen Sie virtuelle Festplattenlaufwerke hinzu 3 Installieren Sie CA Enterprise Log Manager auf dem virtuellen Rechner 4 Konfigurieren Sie den CA Enterprise Log Manager Server wie im Abschnitt zur Installation beschrieben Nachdem Sie den virtuellen Quellserver installiert haben k nnen Sie ihn f r Abfragen und Berichte zur F deration hinzuf gen Erstellen eines neuen virtuellen Rechners Gehen Sie wie unten beschrieben vor um mit dem VMware Infrastructure Client einen neuen virtuellen Rechner zu erstellen Verwenden Sie f r jeden virtuellen CA Enterprise Log Manager Server vier Prozessoren um eine akzeptable Leistung zu erzielen So e
445. rungshandbuch Konfigurieren des Korrelationsservices Verwenden von vordefinierten Korrelationsregeln CA Enterprise Log Manager stellt eine gro e Anzahl an vordefinierten Korrelationsregeln f r die Verwendung in Ihrer Umgebung bereit die nach Typen oder Vorschriften angeordnet sind Zum Beispiel finden Sie im Korrelationsregelordner der Bibliotheken Schnittstelle einen Ordner mit dem Namen PCI der Regeln f r verschiedene PCI Anforderungen enth lt Sie finden auch einen Ordner mit dem Namen Identit t der universelle Regeln bez glich der Autorisierung und Authentifizierung enth lt Es gibt drei Haupttypen von Regeln von denen entweder eine oder alle in jede Kategorie eingeschlossen werden kann Dieses Thema gibt ein Beispiel wie jeder Regeltyp ausgew hlt und angewendet wird Beispiel Ausw hlen und Anwenden einer einfachen Regel Einfache Korrelationsregeln erkennen dass ein Status oder ein Vorkommnis vorhanden ist Sie k nnen beispielsweise eine Regel anwenden die Sie vor Kontoerstellungsaktionen au erhalb der normalen Gesch ftszeiten warnt Bevor Sie eine Regel anwenden sollten sie sicherstellen dass Sie die gew nschten Benachrichtigungsziele f r Ihre Umgebung erstellt haben So k nnen Sie die Regel Kontoerstellung au erhalb der normalen Gesch ftszeiten ausw hlen und anwenden 1 Klicken Sie auf Registerkarte Administration und anschlie end auf die Unterregisterkarte Bibliothek und blenden Sie den Ordn
446. rver 1 Installieren Sie die CA Enterprise Log Manager Software Appliance auf einem anderen Server und verwenden Sie dabei den Hostnamen des ausgefallenen Servers Wenn Sie w hrend der Installation nach dem Namen der CA EEM Anwendungsinstanz gefragt werden m ssen Sie die Anwendungsinstanz des alten Servers verwenden Durch die erfolgreiche Registrierung kann der CA EEM Server die Konfiguration synchronisieren Starten Sie den neuen CA Enterprise Log Manager Server und melden Sie sich unter dem standardm igen administrativen Benutzer EiamAdmin an Wenn der neue CA Enterprise Log Manager Server gestartet wird stellt er automatisch eine Verbindung mit dem CA EEM Server her der dann die Konfigurationsdateien herunterl dt Nachdem die Konfigurationsdateien heruntergeladen wurden nimmt der neue CA Enterprise Log Manager Server die Protokollerfassung auf 328 Implementierungshandbuch Anhang E CA Enterprise Log Manager und Virtualisierung Dieses Kapitel enth lt folgende Themen Voraussetzungen f r die Bereitstellung siehe Seite 329 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern siehe Seite 330 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances siehe Seite 347 Voraussetzungen f r die Bereitstellung F r die Verwendung von CA Enterprise Log Manager in einer virtuellen Umgebung bzw einer gemischten Umgebung mit Appliance Servern und v
447. rver im Netzwerk spielt So bearbeiten Sie die Einstellungen 1 Klicken Sie im VMware Infrastructure Client mit der rechten Maustaste auf den virtuellen Rechner und w hlen Sie Edit Settings aus Das Dialogfeld Virtual Machine Properties wird angezeigt 2 Markieren Sie die Eigenschaft CD DVD Drive 1 3 Klicken Sie auf die Optionsschaltfl che Host Device und w hlen Sie in der Dropdown Liste Ihr DVD ROM Laufwerk aus 342 Implementierungshandbuch 10 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern W hlen Sie unter Device Status die Option Connect at power on aus Klicken Sie auf Add um den Add Hardware Wizard zu starten und f gen Sie eine zweite Festplatte hinzu Markieren Sie in der Ger teliste den Eintrag Hard Disk und klicken Sie auf Next Das Dialogfeld Select a Disk wird angezeigt W hlen Sie die Option Create a new virtual disk aus und klicken Sie auf Next Legen Sie die Gr e der neuen Festplatte fest und w hlen Sie die Option Specify a datastore um den Standort festzulegen CA Enterprise Log Manager erkennt das zus tzliche Laufwerk w hrend der Installation und weist es dem Datenspeicher zu Es wird empfohlen CA Enterprise Log Manager m glichst viel Speicherplatz zur Verf gung zu stellen Hinweis Die Standardeinstellung f r Block Size in VMware ESX Server ist 1 MB wodurch der maximal erstellbare Speicherplatz auf 256 GB begrenzt
448. rvern einholen die sich mit diesem CA Enterprise Log Manager Server in einem Verbund befinden d h als untergeordnete Server dieses Servers fungieren Sie k nnen die f derierten Abfragen auch f r eine bestimmte Abfrage deaktivieren falls nur die Daten des aktuellen CA Enterprise Log Manager Servers angezeigt werden sollen So aktivieren Sie f derierte Abfragen 1 Melden Sie sich beim CA Enterprise Log Manager Server an 2 Klicken Sie auf die Schaltfl che Globale Filter anzeigen bearbeiten Die Schaltfl che befindet sich rechts neben dem Namen des aktuellen CA Enterprise Log Manager Servers direkt ber den Hauptregisterkarten 3 Klicken Sie auf die Registerkarte Einstellungen 4 Legen Sie fest ob f derierte Abfragen verwendet werden sollen Falls Sie die Option f r f derierte Abfragen deaktivieren enthalten die angezeigten Berichte keine Ereignisdaten der Server die als untergeordnete Server dieses Servers konfiguriert wurden Weitere Informationen Konfigurieren einer CA Enterprise Log Manager F deration siehe Seite 244 Konfigurieren eines CA Enterprise Log Manager Servers als untergeordneter Server siehe Seite 244 Konfigurieren des globalen Aktualisierungsintervalls Sie k nnen das Intervall festlegen mit dem die CA Enterprise Log Manager Services nach Konfigurations nderungen suchen sollen Der bei der Installation festgelegte Standardwert betr gt f nf Minuten und wird in Sekunden angegeben F
449. rvice automatischer Software Updates nicht konfiguriert um automatische Aktualisierungen auszuf hren Um den Service automatischer Software Updates zu verwenden m ssen Sie Einstellungen konfigurieren wie Module ausw hlen und einen Aktualisierungsablaufplan festlegen 52 Implementierungshandbuch Planen von automatischen Software Updates Funktionsweise automatischer Software Updates Automatische Software Updates beinhalten folgende Komponenten CA Technologies Server f r automatische Software Updates HTTP Proxy Server optional m Einen oder mehrere CA Enterprise Log Manager Proxy Server f r automatische Software Updates CA Enterprise Log Manager Verwaltungsserver Einen oder mehrere CA Enterprise Log Manager Clients f r automatische Software Updates Sie k nnen automatische Software Updates konfigurieren um Aktualisierungen automatisch und einem Ablaufplan entsprechend durchzuf hren Sie k nnen automatische Software Updates auch je nach Bedarf On Demand durchf hren indem Sie den Aktualisierungsprozess je nach Bedarf manuell starten Das folgende Diagramm veranschaulicht den Prozess des Services automatischer Software Updates ausf hrlich CA Server f r automatische Software Updates Der CA Enterprise Log Manager Verwaltungsserver CA Enterprise Lokaler Log Manager HTTP Software Proxy CA Enterprise Log Update Clients Server Manager Online Update Proxy Server Kapitel 2 Planen der Umgeb
450. s und blenden Sie den Knoten Korrelationsservice ein W hlen Sie den Server aus auf dem Sie die Regel anwenden m chten Wenn Sie einen Korrelationsserver ermittelt haben sollten Sie diesen Server ausw hlen Klicken Sie im Bereich Regelkonfiguration auf Anwenden und w hlen Sie die neue Version der Regel Erstellen eines neuen Kontos au erhalb der normalen Gesch ftszeiten zu der Sie das Benachrichtigungsziel zuweisen m chten aus Klicken Sie auf OK um das Dialogfeld zu schlie en und die Regel zu aktivieren Beispiel Ausw hlen und Anwenden einer Z hlregel Z hlkorrelationsregeln ermitteln eine Reihe von identischen Status oder Vorkommnissen Sie k nnen beispielsweise eine Regel anwenden die Sie vor f nf oder mehreren fehlgeschlagenen Anmeldungen die durch ein Administratorkonto erfolgt sind warnt Bevor Sie eine Regel anwenden sollten sie sicherstellen dass Sie die gew nschten Benachrichtigungsziele f r Ihre Umgebung erstellt haben So k nnen Sie die Regel 5 fehlgeschlagene Anmeldeversuche durch Administratorkonten ausw hlen und anwenden 1 Klicken Sie auf Registerkarte Administration und anschlie end auf die Unterregisterkarte Bibliothek und blenden Sie den Ordner Korrelationsregeln ein Blenden Sie den Ordner Bedrohungsverwaltung und anschlie end den Ordner Verd chtige Aktivit ten am Konto und bei der Anmeldung ein und w hlen Sie die Regel 5 fehlgeschlagene Anmeldeversuche d
451. s CA Enterprise Log Manager Servers zu berpr fen Es gibt verschiedene Arten von selbst berwachenden Ereignissen Gehen Sie wie unten beschrieben vor um zus tzliche Ereignisdaten f r Ereignisse anzuzeigen die vom CA Enterprise Log Manager Server selbst erzeugt wurden So zeigen Sie selbst berwachende Ereignisse an 1 2 3 Melden Sie sich beim CA Enterprise Log Manager Server an Klicken Sie auf die Registerkarte Berichte Klicken Sie auf die System Kennung und w hlen Sie den Bericht Selbst berwachende Ereignisse des Systems Details aus Der Bericht ber die selbst berwachenden Ereignisse wird geladen berpr fen Sie ob der Bericht die selbst berwachenden Ereignisse f r Ihre Anmeldung und andere vorl ufige Konfigurationsaktivit ten enth lt Kapitel 3 Installieren von CA Enterprise Log Manager 91 Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Durchf hren eines Upgrades vorhandener CA Enterprise Log Manager Server und Agenten f r FIPS Unterst tzung Sie k nnen FIPS Unterst tzung f r vorhandene CA Enterprise Log Manager Server und Agenten ber den Service f r automatische Software Updates erreichen F r diesen Upgrade Vorgang wird Folgendes angenommen CA Enterprise Log Manager r12 1 wurde installiert oder ein Upgrade von r12 0 SP3 durchgef hrt m Sie m chten den FIPS Modus f r Ihre CA Enterprise Log Manager F deration
452. s DVD oder des Installations Images nach folgenden zwei jar Dateien LMjc jar LMss1l14 jar Kopieren Sie die jar Dateien in das gew nschte Verzeichnis des Zielservers und notieren Sie sich den Pfad F hren Sie folgenden oder einen hnlichen Befehl manuell im Installationsverzeichnis aus nachdem Sie den JDBC Client f r JDBC auf UNIX installiert haben chmod R ugo x file location Der Wert f r file_location ist das Verzeichnis in dem Sie den JDBC Client installiert haben Mit diesem Schritt k nnen Sie Shell Skripts ausf hren die im installierten Client enthalten sind Kapitel 3 Installieren von CA Enterprise Log Manager 129 Installieren des JDBC Clients JDBC Verbindungsparameter Viele Anwendungen ben tigen f r die Verwendung des JDBC Client Treibers bestimmte Verbindungsparameter Zu den g ngigen Parametern geh ren m Verbindungszeichenfolge oder Verbindungs URL m Klassenname Die JDBC Verbindungszeichenfolge URL hat folgendes Format jdbc ca elm CA ELM host_name ODBC JDBCport ServerDataSource Default Der JDBC Treiber hat folgenden Klassennamen com ca jdbc openaccess OpenAccessDriver Hinweise zur JDBC URL Wenn Sie mit dem JDBC Client auf Ereignisdaten zugreifen die in CA Enterprise Log Manager gespeichert sind ben tigen Sie sowohl den JDBC Klassenpfad als auch eine JDBC URL Der JDBC Klassenpfad gibt den Speicherort der JAR Treiberdatei an Die JDBC URL definiert die Parameter die von de
453. s Sie zurzeit CA Access Control Ereignisse an CA Audit senden verwenden Sie folgende Methoden um Ereignisse an CA Enterprise Log Manager zu bertragen m ndern Sie eine bestehende CA Audit Richtlinie so dass Ereignisse sowohl an CA Audit als auch an CA Enterprise Log Manager gesendet werden sofern Sie zum Erfassen von Ereignissen einen CA Audit iRecorder verwenden Sie k nnen die Richtlinie bei Bedarf auch so ndern dass Ereignisse nur an den CA Enterprise Log Manager Server gesendet werden m Konfigurieren Sie die Datei control conf f r einen iRecorder um die Ereignisse direkt an CA Enterprise Log Manager zu senden Die nachfolgenden Richtlinien verwenden die r8 SP2 Serie f r die Benutzerschnittstelle des Richtlinien Managers Die allgemeine Vorgehensweise ist bei fr heren CA Audit Versionen identisch obwohl die Benutzerschnittstelle unterschiedlich ist 282 Implementierungshandbuch ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager Die nderung einer bestehenden CA Audit Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager umfasst die folgenden Schritte Stellen Sie sicher dass folgende Punkte erf llt sind a Vergewissern Sie sich dass Ihre Anmeldedaten f r den CA Audit Richtlinien Manager Ihnen die Berechtigung zum Erstellen berpr fen und Aktivieren von Richtlinien ve
454. s auf wenn Sie eine Ausf hrung im FIPS Modus beabsichtigen um den Zugriff durch ODBC und JDBC zu verhindern Somit wird nicht konformer Zugriff auf Ereignisdaten verhindert Wenn Sie beabsichtigen f r im FIPS Modus ausgef hrte Vorg nge den ODBC und JDBC Dienst zu deaktivieren vergewissern Sie sich dass Sie diesen Wert f r jeden Server eines Verbunds festlegen Listener Port des Servers Legt die von ODBC oder JDBC Diensten verwendete Portnummer fest Der Standardwert ist 17002 Der CA Enterprise Log Manager Server verweigert Verbindungsversuche wenn in der Windows Data Source oder JDBC URL Zeichenfolge ein anderer Wert angegeben wird 202 Implementierungshandbuch Hinweise zum Berichtsserver Verschl sselt SSL Gibt an ob die Kommunikation zwischen dem ODBC Client und dem CA Enterprise Log Manager Server verschl sselt werden soll Der CA Enterprise Log Manager Server verweigert Verbindungsversuche wenn der entsprechende Wert in der Windows Data Source oder der JDBC URL nicht mit dieser Einstellung bereinstimmt Sitzungszeitlimit Minuten Gibt die Anzahl der Minuten an die eine im Leerlauf befindliche Sitzung ge ffnet bleibt bevor sie automatisch geschlossen wird Protokollebene Bestimmt Typ und Ebene der Informationen die in der Protokolldatei aufgezeichnet werden Die Optionen in der Dropdown Liste sind nach Detailgenauigkeit angeordnet wobei die erste Option den niedrigsten Detailgrad bietet Auf al
455. s der Liste aus und scrollen Sie zu Authentifizierung im rechten Bereich b W hlen Sie Kennwort zur cksetzen aus c Geben Sie im Feld Neues Kennwort das Kennwort f r dieses Konto ein und best tigen Sie das Kennwort d Klicken Sie auf Speichern 316 Implementierungshandbuch Installieren der f r CA IT PAM erforderlichen Komponenten von Drittanbietern 6 Setzen Sie das Kennwort f r itpamuser zur ck a W hlen Sie itpamuser aus der Liste aus und scrollen Sie zu Authentifizierung im rechten Bereich b W hlen Sie Kennwort zur cksetzen aus c Geben Sie im Feld Neues Kennwort das Kennwort f r dieses Konto ein und best tigen Sie das Kennwort d Klicken Sie auf Speichern 7 Klicken Sie auf Abmelden Installieren der f r CA IT PAM erforderlichen Komponenten von Drittanbietern Vor der Installation der Komponenten von Drittanbietern muss JDK 1 6 oder h her auf Ihrem System installiert sein F hren Sie auf dem Windows Server auf dem CA IT PAM installiert werden soll die Datei Third_Party_Installer_windows exe aus Details finden Sie im CA IT Process Automation Manager Installationshandbuch Anhang C Hinweise zu CAITPAM 317 Installieren der CA IT PAM Dom ne Installieren der CA IT PAM Dom ne Durch das Ausf hren des CA IT PAM Assistenten mit den hier angegebenen Spezifikationen wird das Zertifikat verkn pft so dass CA IT PAM und CA EEM auf dem CA Enterprise Log Manager Verwaltun
456. sam Verschiedene CA Produkte verf gen ber verschiedene Standardanwendunsgsinstanzen Eine Anwendungsressource ist eine der CA Enterprise Log Manager spezifischen Ressourcen in denen CALM Zugriffsrichtlinien bestimmten Identit ten die Durchf hrung bestimmter anwendungsspezifischer Aktionen wie der Erstellung Planung und Bearbeitung gew hren oder verweigern Beispiele hierf r sind Berichte Alarme und Integration Sieh auch globale Ressource Glossary 415 AppObjects Archivabfrage AppObjects oder Anwendungsobjekte sind produktspezifische Ressourcen die in CA EEM unter der Anwendungsinstanz eines bestimmten Produkts gespeichert sind F r die CAELM Anwendungsinstanz umfassen diese Ressourcen Berichts und Abfrageinhalte geplante Berichts und Alarmjobs Agenteninhalte und konfigurationen Service Adapter und Integrationskonfigurationen Datenzuordnungs und Nachrichtenanalysedateien sowie Unterdr ckungs und Zusammenfassungsregeln Eine Archivabfrage ist eine Abfrage des Katalogs anhand dessen die kalten Datenbanken identifiziert werden die wiederhergestellt und f r die Abfrage verf gbar gemacht werden m ssen Eine Archivabfrage unterscheidet sich darin von einer normalen Abfrage dass sie sich auf kalte Datenbanken bezieht w hrend sich normale Abfragen auf hei e warme und verf gbar gemachte Datenbanken beziehen Administratoren k nnen eine Archivabfrage ber die Registerkarte Verwaltung die Unterregisterkarte
457. sammenfassungsregel kann beispielsweise so konfiguriert werden dass sie bis zu 1000 doppelte Ereignisse die dieselben Quell und Ziel IP Adressen und Ports haben durch ein Zusammenfassungsereignis ersetzt Diese Regeln vereinfachen die Ereignisanalyse und verringen das Protokollaufkommen Glossary 447 Index A Agenten Anzeigen des Status 237 Benutzerkontoberechtigungen 69 Installieren 219 Planen 65 Standardagent 221 Wissenswertes 68 Wissenswertes ber Agentengruppen 69 Arbeitsbl tter CA SiteMinder 47 Externes LDAP Verzeichnis 45 Archivieren Beispiel 178 Wissenswertes ber Archivdateien 162 Beispiele Automatische Archivierung ber drei Server hinweg 178 direkte Erfassung von Datenbankprotokollen 224 231 Software Update Konfiguration mit sechs Servern 62 Benutzer und Zugriffsverwaltung Konfigurieren des Benutzerspeichers 144 Benutzerkonten Hinzuf gen einer Anwendungsbenutzergruppe 153 Benutzerrollen Zuweisen 153 Benutzerspeicher Arbeitsblatt f r CA SiteMinder 47 Arbeitsblatt f r externes LDAP Verzeichnis 45 Konfigurieren als CA MDB 144 Planen 43 Verweis auf CA SiteMinder 147 Verweis auf LDAP Verzeichnis 145 C CA Audit ndern einer bestehenden r8 SP1 CR2 Richtlinie 266 ndern einer bestehenden r8 SP2 Richtlinie 268 Aspekte f r Benutzer 251 Grund f r den Import von Ereignissen 270 Konfigurieren von CA Adaptern 259 Senden von
458. schrieben sind jedoch nicht in der CA IT PAM Dokumentation enthalten Implementierungsprozess der CA IT PAM Authentifizierung Der Implementierungsprozess der CA IT PAM Authentifizierung bei dem CA EEM auf dem CA Enterprise Log Manager Verwaltungsserver verwendet wird besteht aus folgenden Schritten 1 Bereiten Sie die Implementierung der CA IT PAM Authentifizierung vor a Laden Sie das CA IT PAM Installationspaket auf den Windows Server auf dem CA IT PAM installiert werden soll b Optional ndern Sie das Standardkennwort f r das Zertifikat itpamcert p12 310 Implementierungshandbuch Implementierungsprozess der CA IT PAM Authentifizierung Kopieren Sie die Datei ITPAM_eem xml vom Host auf dem Sie CA IT PAM installieren m chten auf die CA Enterprise Log Manager Anwendung die CA EEM enth lt Protokollieren Sie ITPAM als eine Anwendunsgsinstanz auf CA EEM das CA Enterprise Log Manager verwendet Durch die Ausf hrung des Befehls safex wird das Zertifikat itpamcert p12 generiert und die ITPAM Anwendungsinstanz mit zwei Benutzerkonten itpamadmin und itpamuser wird erstellt Hinweis Geben Sie safex ein um Hilfe zur Verwendung des Befehls safex zu erhalten Kopieren Sie die Datei itpamcert p12 von der CA Enterprise Log Manager Anwendung auf den Windows Host auf dem die CA IT PAM Dom ne installiert werden soll Wechseln Sie zur ITPAM Anwendung und setzen Sie die Kennw rter f r itpamadmin un
459. se auf zertifizierter Hardware installierten Appliance Server Appliance Server verf gen ber mindestens acht Prozessoren Anhang E CA Enterprise Log Manager und Virtualisierung 335 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Zum Erstellen einer virtuellen Umgebung sind folgende Schritte notwendig 1 Erstellen Sie f r jeden CA Enterprise Log Manager Server der installiert werden soll einen neuen virtuellen Rechner 2 F gen Sie virtuelle Festplattenlaufwerke hinzu 3 Installieren Sie auf einem der virtuellen Rechnerhosts einen virtuellen CA Enterprise Log Manager Server f r Verwaltungsfunktionen 4 Installieren Sie mindestens zwei CA Enterprise Log Manager Server f r Erfassung und Berichterstellung 5 Konfigurieren Sie die CA Enterprise Log Manager Server wie im Abschnitt zur Installation eines CA Enterprise Log Manager Servers beschrieben Erstellen eines neuen virtuellen Rechners Gehen Sie wie unten beschrieben vor um mit dem VMware Infrastructure Client einen neuen virtuellen Rechner zu erstellen Verwenden Sie f r jeden virtuellen CA Enterprise Log Manager Server vier Prozessoren um eine akzeptable Leistung zu erzielen So erstellen Sie einen virtuellen Rechner 1 Rufen Sie den VMware Infrastructure Client auf 2 Klicken Sie im linken Fenster auf den ESX Host und w hlen Sie New Virtual Machine aus um den Assistenten f r neue virtuelle Rechner aufzurufen Hierdurc
460. sistentenseite mit den Regelaktionen wird angezeigt 6 Klicken Sie im Fenster Aktionen durchsuchen auf der linken Seite auf die Aktion Collector Hierdurch wird auf der rechten Seite die Liste der Aktionen eingeblendet Sie k nnen auch mit der Route Aktion eine Regel erstellen ber die Ereignisse an einen CA Enterprise Log Manager Server gesendet werden 7 Klicken Sie auf Neu um eine neue Regel hinzuzuf gen 8 Geben Sie die IP Adresse bzw den Hostnamen des CA Enterprise Log Manager Quellservers f r Protokolldateien ein Bei CA Enterprise Log Manager Implementierungen mit zwei oder mehr Servern k nnen Sie im Feld f r den alternativen Hostnamen einen anderen CA Enterprise Log Manager Hostnamen bzw eine andere IP Adresse eingeben um die CA Audit Funktion des automatischen Failovers zu nutzen Falls der erste CA Enterprise Log Manager Server nicht verf gbar ist sendet CA Audit automatisch Ereignisse an den im Feld Alternativer Hostname benannten Server 9 Geben Sie im Feld Alternativer Hostname den Namen des CA Enterprise Log Manager Verwaltungsservers ein und erstellen Sie eine Beschreibung f r die neue Regelaktion 10 Deaktivieren Sie das Kontrollk stchen Diese Aktion auf Remote Server durchf hren falls es aktiviert ist 11 Klicken Sie auf Hinzuf gen um die neue Regelaktion zu speichern und klicken Sie dann im Assistentenfenster auf Fertig stellen 12 W hlen Sie unten rechts die Registerkarte
461. sse verwenden Dienstport Gibt den TCP Dienstport an der vom CA Enterprise Log Manager Server hinsichtlich von ODBC Clientverbindungen abgeh rt wird Der Standardwert ist 17002 Der Wert den Sie hier festlegen muss mit der Einstellung f r den ODBC Server Dienst bereinstimmen oder die Verbindung schl gt fehl Service Datenquelle Lassen Sie dieses Feld leer da der Verbindungsversuch andernfalls fehlschl gt Verschl sselt SSL Gibt an ob die Kommunikation zwischen dem Client und dem CA Enterprise Log Manager Server verschl sselt werden soll Standardm ig ist die SSL Verschl sselung aktiviert Der Wert den Sie hier festlegen muss mit der Einstellung f r den ODBC Server Dienst bereinstimmen oder die Verbindung schl gt fehl 124 Implementierungshandbuch Installieren Sie den lt ODBC gt Client Benutzerdefinierte Eigenschaften Definiert die Verbindungseigenschaften die f r den Ereignisprotokollspeicher verwendet werden sollen Die einzelnen Eigenschaften werden durch ein Semikolon ohne Leerzeichen getrennt Folgende Standardwerte werden empfohlen querytimeout Gibt den Wert f r das Zeitlimit in Sekunden an nach dem die Abfrage geschlossen wird wenn keine Daten zur ckgegeben werden F r diese Eigenschaft wird folgende Syntax verwendet querytimeout 300 queryfederated Gibt an ob eine f derierte Abfrage durchgef hrt werden soll Wenn Sie f r diesen Wert false festlegen wird nur f r CA
462. stellen Sie ein Skript f r das Aufrufen des OVF Tools 2 ffnen Sie auf dem Computer auf dem VMware vSphere Client installiert ist die Eingabeaufforderung 3 Navigieren Sie zu dem Verzeichnis in dem Sie Ihr Skript gespeichert haben 4 F hren Sie das Skript aus Die Meldung Opening VI target wird angezeigt Der Bereitstellungsstatus der einzelnen CA Enterprise Log Manager Server wird angezeigt Wenn die Installation erfolgreich ist wird ein CA Enterprise Log Manager Server im linken Fensterbereich unter dem Datenspeicher aufgelistet den Sie ausgew hlt haben Beispiel 1 Batch Skript f r das Erstellen eines prim ren und eines sekund ren CA Enterprise Log Manader Servers REM CA Enterprise Log Manager Prim rserver ovftool dm thin acceptAllEulas name example primaryserver deploymentOption medium prop ROOT_PASSWORD example password prop LOCAL_ REMOTE _EEM Local prop REMOTE_EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS _MODE Yes prop IP ADDRESS 172 162 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example primary_server prop DEFAULT_GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 REM CA Enterprise Log Manager Sekund rserver 404
463. stenten ben tigt an W hlen Sie in der Liste Verf gbar eine oder mehrere Ziel Syslog Integrationen f r diesen Connector aus und verschieben Sie sie in die Liste Ausgew hlt Legen Sie Werte f r den UDP und TCP Port fest falls Sie nicht die Standardports verwenden und stellen Sie eine Liste der vertrauensw rdigen Hosts bereit sofern diese in Ihrer Implementierung verwendet werden Hinweis Wenn ein CA Enterprise Log Manager Agent nicht als Root ausgef hrt wird kann der Agent keinen Port unter 1024 ffnen Der Standard Syslog Connector verwendet deshalb UDP Port 40514 Die Installation wendet eine Firewall Regel zum CA Enterprise Log Manager Server an um den Datenverkehr von Port 514 ber 40514 umzuleiten W hlen Sie eine Zeitzone aus Klicken Sie auf Speichern und schlie en um den Connector fertig zu stellen Der Connector erfasst nun auf den angegebenen Ports die Syslog Ereignisse die den gew hlten Integrationen entsprechen Kapitel 6 Konfigurieren der Ereigniserfassung 223 Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLogSensor berpr fen des Empfangs von Syslog Ereignissen durch CA Enterprise Log Manager Sie k nnen mit den folgenden Schritten berpr fen ob der Connector auf dem Standardagenten Syslog Ereignisse erfasst So berpr fen Sie den Eingang von Syslog Ereignissen 1 Melden Sie sich bei CA Enterprise Log Manager an und rufen Sie die Registerkarte Abfragen und Ber
464. ster certfile itpamcert p12 password itpamcertpass gt d Speichern Sie die Datei 312 Implementierungshandbuch Kopieren einer XML Datei auf den CA Enterprise Log Manager Verwaltungsserver Kopieren einer XML Datei auf den CA Enterprise Log Manager Verwaltungsserver Der Befehl safex generiert CA IT PAM Sicherheitsobjekte aus der Datei ITPAM_eem xml Sie m ssen diese Datei in die CA Enterprise Log Manager Anwendung kopieren von wo aus w hrend der Safex Verarbeitung auf sie zugegriffen werden kann So kopieren Sie die Datei ITPAM_eem xml in die CA Enterprise Log Manager Anwendung Kopieren Sie die Datei ITPAM_eem xml die auf dem CA IT PAM Installationsdatentr ger zu finden ist in die CA Enterprise Log Manager Anwendung die CA EEM enth lt Wenn Sie die ISO Datei auf den Windows Server extrahiert haben verwenden Sie Winscp um ITPAM_eem xml in das Verzeichnis tmp der Anwendung zu kopieren Quelldatei auf dem CA IT PAM Installationsdatentr ger ITPAM_eem xml m Zielpfad auf CA Enterprise Log Manager opt CA SharedComponents iTechnology Registrieren von CA IT PAM mit freigegebenem CA EEM Sie k nnen CA IT PAM mit dem im CA Enterprise Log Manager Verwaltungsserver eingebetteten CA EEM registrieren Die Registrierung mit CA EEM f gt CA IT PAM Sicherheitsobjekte hinzu W hrend der Registrierung zu CA EEM hinzugef gte CA IT PAM Sicherheitsobjekte sind unter anderem Anwendunssinstanz ITPAM a
465. t dass zwei Kopien jeder Datenbank vorhanden sein m ssen wobei eine davon als Sicherung Sie k nnen dies mit oder ohne automatische Archivierung auf einem Remote Speicherserver erreichen Die Sicherungsstrategie mit automatischer Archivierung sieht die urspr nglichen Datenbanken auf dem Remote Speicherserver und die Sicherungen an einem externen Speicherort vor Die Sicherungsstrategie ohne automatische Archivierung sieht die urspr nglichen Datenbanken auf dem CA Enterprise Log Manager Server und die Sicherungen auf einem Remote Speicherserver vor Ob Sie die urspr nglichen Datenbanken auf dem CA Enterprise Log Manager Server speichern k nnen wo sie anf nglich archiviert wurden h ngt vom verf gbaren Platz f r langfristige Speicherungen sowie den Speicherrichtlinien ab Wenn diesen Kriterien entsprochen wird h ngt die Entscheidung von pers nlicher Pr ferenz ab Kapitel 5 Konfigurieren von Services 165 Konfigurieren des Ereignisprotokollspeichers Nicht interaktive Maximale Anzahl Authentifizierung an Archivtagen f r vom Berichtsserver Nicht interaktive Eee Authentifizierung konfigurieren vom Sammelserver zum Berichtsserver konfigurieren list inc gesichert werden sollen Datenbanken sichern und Datenbanken Sicherungen auf sichern und Remote Sicherungen an Speicherserver extemen verschieben Speicherort verschieben Sicherung im Archivkatalog ber die LMArchive Option notify arch aufzeichnen
466. t muss der Connector alle zutreffenden Integrationen XMP Dateien durchsuchen bis eine bereinstimmung f r ein Ereignis gefunden wird Dies kann aufgrund des gr eren Verarbeitungsaufwands zu einer langsameren Leistung f hren Falls das Ereignisvolumen allerdings nicht allzu gro ist ist ein einzelner Connector auf dem Standardagenten m glicherweise ausreichend um alle erforderlichen Ereignisse zur Speicherung zu erfassen 66 Implementierungshandbuch Agentenplanung 1 Syslog Art 1 Connector Falls Sie eine Reihe einzelner Connectors konfigurieren die Ereignisse eines einzelnen Syslog Typs verarbeiten k nnen Sie die Verarbeitungslast auf mehrere Connectors verteilen Zu viele Connectors auf einem einzelnen Agenten k nnen allerdings auch die Leistung verschlechtern da jeder Connector eine separate Instanz ist die einzeln verarbeitet werden muss Einige Syslog Arten 1 Connector Falls in Ihrer Umgebung bestimmte Arten von Syslog Ereignissen geh uft auftreten k nnen Sie f r diese Syslog Typen jeweils einen eigenen Connector einrichten Anschlie end k nnen Sie einen oder mehrere weitere Connectors konfigurieren die mehrere Syslog Ereignistypen mit einem geringeren Ereignisvolumen erfassen Auf diese Weise k nnen Sie die Last der Syslog Ereigniserfassung auf eine kleinere Anzahl von Connectors verteilen und so die Leistung verbessern Sie sollten nicht unbedingt eigene Syslog Listener erstellen m ssen dies ist jedoch
467. t DispatchEP gt iDispatch lt DispatchEP gt lt ISType gt DSP lt ISType gt lt Gated gt false lt Gated gt lt PreLoad gt true lt PreLoad gt lt RouteEvent gt false lt RouteEvent gt lt RouteEventHost gt localhost lt RouteEventHost gt lt EventsToCache gt 100 lt EventsToCache gt lt EventUseHttps gt true lt EventUseHttps gt lt EventUsePersistentConnections gt true lt EventUsePersistentConnections gt lt EventUsePipeline gt false lt EventUsePipeline gt lt StoreEventHost max 10000 gt localhost lt StoreEventHost gt lt RetrieveEventHost interval 60 gt localhost lt RetrieveEventHost gt lt UID gt ef1f44ef r8sp1cr3596a1052 abcd28 2 lt UID gt lt PublicKey gt Wert_des_ ffentlichen _Schl ssels lt PublicKey gt lt PrivateKey gt Wert_des_privaten_Schl ssels lt PrivateKey gt lt EventsToQueue gt 10 lt EventsToQueue gt lt iSponsor gt Geben Sie den folgenden Wert f r RouteEvent an lt RouteEvent gt true lt RouteEvent gt Mit diesem Eintrag wird iGateway angewiesen alle Ereignisse einschlie lich aller iRecorder Ereignisse an den im Tag Paar RouteEventHost angegebenen Host zu senden 294 Implementierungshandbuch Importieren von CA Access Control Ereignissen aus einer CA Audit Collector Datenbank Geben Sie den folgenden Wert f r RouteEventHost an lt RouteEventHost gt Hostname_Ihrer_CA_Enterprise_Log Manager _Anwendung lt RouteEven tHost gt Mit diesem Eintrag wird iGateway angewiesen Ereig
468. tails Name Suspicious Events Typ Rule Beschreibung Suspicious Events a Fal Anhang B Aspekte f r CA Access Control Benutzer 287 ndern von CA Audit Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager 4 Klicken Sie im Bereich Details auf Bearbeiten um die Richtlinienregeln hinzuzuf gen Der Regelassistent wird gestartet Regel bearbeiten Information Zur ck Weiter Fertig stellen Abbrechen Hilfe N Informationen B Skript 3 Aktionen haushalt bearbeiten UV bearbeiten Bearbeiten Sie den Namen und die Beschreibung der Regel Bearbeiten Sie den Namen und die Beschreibung me der Regel Suspicious Events Regelbeschreibung Suspicious Events F z 5 Klicken Sie auf Aktionen bearbeiten neben dem Pfeil f r Schritt 3 Die Seite mit den Regelaktionen wird angezeigt Regel bearbeiten Aktionen Zur ck Weiter Fertig stellen Abbrechen Hilfe D Informationen B gt Skript N Aktionen bearbeiten bearbeiten bearbeiten Durchsuchen Sie die Liste der Aktionen und erstellen Sie Aktionen die zur Regel hinzugef gt werden sollen O collector B E mail AA eSCC Status Monitor External Program I S Route i screen W security Monitor r8spicr3 B somp unicenter 6 Klicken Sie im Fenster Aktionen durchsuchen auf die Aktion Collector um die Aktionsliste auf der rechten Seite anzuzeigen Regel bearbeiten Aktionen Zur ck Weiter
469. tallieren mit deaktivierten SAN Laufwerken CA Enterprise Log Manager unterst tzt gegenw rtig die Verwendung von gefixten Hardwarekonfigurationen von Dell IBM und HP Im folgenden Beispiel wird angenommen dass die Hardware aus HP Blade Servern besteht die eine QLogic Fiber Channel Karte zur Verbindung mit einem Storage Area Network SAN f r die Datenspeicherung verwenden Die HP Blade Servern verf gen ber SATA Laufwerke und sind als RAID 1 gespiegelt konfiguriert Wenn Sie die Kickstart Startdatei im Originalzustand verwenden stellen Sie sicher dass die SAN Laufwerke deaktiviert sind bevor die Installation beginnt Starten Sie den Installationsprozess mit der OS5 DVD und schlie en Sie die Installation wie angegeben ab Hinweis Wenn Sie die Installation mit aktivierten SAN Laufwerken starten wird CA Enterprise Log Manager auf dem SAN installiert In diesem Fall erscheint ein rotes Fenster mit der Meldung Ung ltiger Opcode nachdem CA Enterprise Log Manager erneut gestartet wurde Verwenden Sie den folgenden Ablauf um eine CA Enterprise Log Manager Anwendung auf einem System mit SAN Laufwerken zu installieren wobei Sie die SAN Laufwerke deaktivieren bevor Sie das Betriebssystem installieren Deaktivieren Sie die SAN Laufwerke Installieren Sie das Betriebssystem auf der Anwendung Installieren Sie den CA Enterprise Log Manager Server Richten Sie eine Multipfadkonfiguration f r SAN Speicher ein Erstellen Sie logisch
470. tallierende ein Kennwort f r dieses Superuser Konto wenn nicht bereits ein Remote CA EEM Server vorhanden ist In diesem Fall muss der Installierende das vorhandene Kennwort eingeben Nach der Installation der Soft Appliance ffnet der Installierende einen Browser von einer Workstation aus gibt die URL f r CA Enterprise Log Manager ein und meldet sich als EiamAdmin mit dem zugeh rigen Kennwort an Dieser erste Benutzer richtet den Benutzerspeicher ein erstellt Kennwortrichtlinien sowie das erste Benutzerkonto mit Administratorrolle Optional kann der Benutzer EiamAdmin jede Operation durchf hren die von CA EEM gesteuert wird Benutzerrolle Eine Benutzerrolle kann eine vordefinierte oder eine benutzerdefinierte Anwendungsgruppe sein Benutzerdefinierte Benutzerrollen werden ben tigt wenn die vordefinierten Anwendungsgruppen Administrator Analyst und Auditor nicht ausreichend differenziert sind um Arbeitszuweisungen zu reflektieren F r benutzerdefinierte Benutzerrollen sind benutzerdefinierte Zugriffsrichtlinien erforderlich Zudem muss vordefinierten Richtlinien die neue Rolle hinzugef gt werden 418 Implementierungshandbuch Benutzerspeicher Beobachtetes Ereignis Bericht Berichtsbibliothek Berichtsserver Berichtsserver Ein Benutzerspeicher ist das Repository f r globale Benutzerinformationen und Kennwortrichtlinien Der CA Enterprise Log Manager Benutzerspeicher ist standardm ig das lokale Repository das je
471. tarliste der virtuellen Rechner aus klicken Sie mit der rechten Maustaste auf den Eintrag und w hlen Sie Power On aus 3 Fahren Sie mit der normalen CA Enterprise Log Manager Installation fort 4 Konfigurieren Sie den installierten CA Enterprise Log Manager Server f r die gew nschte funktionelle Rolle Verwenden Sie dabei die Informationen im Abschnitt zur Installation eines CA Enterprise Log Manager Servers Weitere Informationen Installation von CA Enterprise Log Manager siehe Seite 86 Erstellen einer ausschlie lich virtuellen Umgebung Falls zuvor noch keine CA Enterprise Log Manager Umgebung implementiert wurde k nnen Sie eine ausschlie lich virtuelle Umgebung f r die Protokollerfassung erstellen In diesem Szenario wird vorausgesetzt dass eine ausreichende Anzahl von physischen Servern mit jeweils einer Gruppe von mindestens vier Prozessoren verf gbar ist um alle gew nschten CA Enterprise Log Manager Server zu installieren Installieren Sie einen CA Enterprise Log Manager Server als Verwaltungsserver W hrend der Konfiguration sollten auf diesem Server keine Ereignisprotokolle eingehen und keine Berichte erstellt werden Indem Sie Ihre Umgebung auf diese Weise konfigurieren erzielen Sie den f r die Produktion auf Unternehmensniveau erforderlichen Durchsatz bei der Ereignisprotokollerfassung Im Allgemeinen installieren Sie zwei CA Enterprise Log Manager Server mit jeweils vier Prozessoren f r jeden normalerwei
472. te Richtlinie mit den neuen hinzugef gten Regelaktionen zu verteilen 4 Wiederholen Sie diesen Vorgang f r alle Regeln und Richtlinien mit erfassten Ereignissen die an CA Enterprise Log Manager gesendet werden sollen 290 Implementierungshandbuch Konfigurieren eines CA Access Control iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager Konfigurieren eines CA Access Control iRecorders zum Senden von Ereignissen an CA Enterprise Log Manager Sie k nnen einen eigenst ndigen CA Access Control iRecorder so konfigurieren dass die erfassten Ereignisse direkt zur Speicherung und Berichterstellung an den CA Enterprise Log Manager Server gesendet werden Der Vorgang umfasst folgende Schritte 1 Konfigurieren Sie den Listener f r das iTech Ereignis Plugin so dass er Daten von einem CA Access Control iRecorder empf ngt 2 Laden Sie einen CA Access Control iRecorder herunter und installieren Sie ihn 3 Konfigurieren Sie den iRecorder so dass die erfassten Ereignisse direkt an CA Enterprise Log Manager gesendet werden 4 berpr fen Sie ob CA Enterprise Log Manager Ereignisse empf ngt Hinweis iRecorder k nnen Ereignisse nur an ein Ziel senden Wenn Sie die Konfiguration wie hier beschrieben vornehmen ist der benannte CA Enterprise Log Manager Server das einzige Ziel Anhang B Aspekte f r CA Access Control Benutzer 291 Konfigurieren eines CA Access Control iRecorders zum Senden von Ereignissen an CA Ent
473. te Speicherorts verwendet chown R caelmservice caelmservice opt CA LogManager Wechseln Sie zum Verzeichnis opt CA LogManager oder zum Verzeichnis des Remote Speicherorts Erstellen Sie dem Ordner ssh bertragen Sie die Eigent merschaft f r den Ordner ssh mit folgendem Befehl auf den caelmservice Benutzer und die caelmservice Gruppe chown caelmservice caelmservice ssh 10 Melden Sie sich vom Remote Speicherservers ab 174 Implementierungshandbuch Konfigurieren des Ereignisprotokollspeichers Konfigurieren der Schl ssel f r das Paar Berichtsserver Remote Speicherserver Nachdem Sie die nicht interaktive Authentifizierung von allen Sammelservern zum Berichtsserver konfiguriert und validiert haben konfigurieren und validieren Sie die nicht interaktive Authentifizierung vom Berichtsserver zum Remote Speicherserver In unserem Beispielszenario ist der erste Schritt der Konfiguration die Erstellung eines neuen RSA Schl sselpaars auf dem Berichtsserver ELM RPT Anschlie end wird der ffentliche Schl ssel als authorized_keys in das Verzeichnis tmp des Remote Speicherservers RSS kopiert So generieren Sie ein RSA Schl sselpaar auf dem Berichtsserver und kopieren es auf den Remote Speicherserver 1 2 3 Melden Sie sich am Berichtsserver als caelmadmin an Wechseln Sie die Benutzer zu root Schalten Sie Benutzer auf das caelmservice Konto um su caelmservice Erzeugen Sie mit dem
474. tehen f r den Konfigurations und Steuerungsaustausch zwischen dem Verwaltungsserver und den Agenten sowie zwischen den einzelnen anderen CA Enterprise Log Manager Servern In einer Umgebung wie sie in der Abbildung dargestellt ist werden die Konfigurationen vom Verwaltungsserver aus vorgenommen Hierdurch k nnen sich die agentenlosen Quellserver f r Protokolldateien auf die Ereignisverarbeitung konzentrieren Die Protokollerfassungsumgebung in der Sie CA Enterprise Log Manager Server installieren weist folgende Merkmale auf Der CA Enterprise Log Manager Verwaltungsserver handhabt die Benutzerauthentifizierung und autorisierung und verwaltet die Konfigurationen f r alle CA Enterprise Log Manager Server Agenten und Connectors im Netzwerk mit Hilfe des lokalen CA EEM Servers Je nach Gr e Ihres Netzwerks und des Ereignisvolumens k nnen Sie auch mehrere Verwaltungsserver installieren und unter jedem Verwaltungsserver einen Verbund F deration aus agentenlosen Quellservern f r Protokolldateien anlegen Ferner k nnen Sie mehrere Server f r die Berichterstellung bestimmen wobei alle Berichtsserver bei dem einen Verwaltungsserver registriert werden In diesem Szenario findet der Ereignisfluss von den Ereignisquellen ber den konfigurierten agentenlosen Quellserver f r Protokolldateien hin zum konfigurierten Berichtsserver statt m Die eingehenden Ereignisse werden auf einem oder mehreren agentenlosen CA Enterprise Lo
475. tellt werden sollen Nehmen Sie beispielsweise ein Szenario in dem konsolidierte Daten mit zwei Arten von Servergruppierungen erstellt werden sollen Nur der Verwaltungs Berichtsserver F r die meisten Berichte in denen Sie k rzlich archivierte warme Ereignisse untersuchen m chten ohne dass die Quellserver dabei Abfragen zu neuen aktuellen Ereignissen verarbeiten m ssen Hinweis Ereignisse werden in der Regel st ndlich von Quellservern Spokes zum Berichtsserver Hub archiviert m Alle Server F r Systemberichte ber selbst berwachende Ereignisse in denen Sie den Zustand Ihrer gesamten CA Enterprise Log Manager Server auf einmal analysieren F r Warnungen bei denen es wichtig ist neue Ereignisse bei allen Quellservern abzufragen 40 Implementierungshandbuch Planen von F derationen Im Folgenden finden Sie ein Beispiel f r eine F derations bersicht mit der Sie diese Berichtsziele erreichen k nnen LEGENDE Serverrolle Art der F deration gt ED rfassungsserver berneordnst Untergeordnet EEE Verwaltungs und Berichtsserver hiararchisch dana Zum Implementieren dieser F derations bersicht sind folgende Schritte erforderlich m Erstellen eines vollst ndigen Netzverbunds zwischen den Quellservern Jeder Quellserver ist jedem anderen Quellserver sowohl ber als auch untergeordnet m Erstellen eines hierarchischen Verbunds von den einzelnen Quellservern zum Verwaltungs Berichtsser
476. tellten CA Enterprise Log Manager Servers zu verbessern Hinweis Vergewissern Sie sich dass Sie das CD DVD Laufwerk auf Client Ger t festgelegt haben So legen Sie die der Paravirtualisierungs und Ressourceneinstellungen fest 1 Klicken Sie mit der rechten Maustaste auf die virtuelle CA Enterprise Log Manager Appliance im linken Bereich und klicken Sie auf Edit Settings Das Fenster mit den Eigenschaften des virtuellen Rechners lt CA Enterprise Log Manager Virtual Appliance name gt wird angezeigt 2 Klicken Sie in diesem Fenster auf die Registerkarte Option 3 W hlen Sie im linken Fensterbereich die Einstellung Paravirtualization aus und aktivieren Sie im rechten Bereich die Option Support VMI Paravirtualization Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Yirtual Machine Version 7 settings Summary YMI is a paravirtualization standard supported by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with YMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no i performance benefit from this support TP Allocation Policy Fixed IPy4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s Ad d Configured compatability For YMotion and some o
477. ten eingesehen werden kann Zugriffsfilter werden automatisch in Pflichtrichtlinien konvertiert Eine Zugriffsrichtlinie ist eine Regel die einer Identit t Benutzer oder Benutzergruppe Zugriffsrechte auf eine Anwendungsressource gew hrt oder verweigert CA Enterprise Log Manager bestimmt anhand der bereinstimmung von Identit ten Ressourcen Ressourcenklassen und der Auswertung der Filter welche Richtlinien f r einen bestimmten Benutzer gelten 446 Implementierungshandbuch Zugriffssteuerungsliste f r Identit ten Mit der Zugriffssteuerungsliste f r Identit ten k nnen Sie verschiedene Aktionen angeben die ausgew hlten Identit ten in ausgew hlten Ressourcen gew hrt werden sollen Beispielsweise k nnen Sie mit der Zugriffssteuerungsliste f r Identit ten angeben dass eine Identit t Berichte erstellen und eine andere Berichte planen und anmerken kann Eine Zugriffssteuerungsliste f r Identit ten unterscheidet sich darin von einer Zugriffssteuerungsliste dass sie sich auf Identit ten und nicht auf Ressourcen richtet Zuordnungsanalyse Eine Zuordnungsanalyse ist ein Schritt im Assistenten zur Dateizuordnung bei dem Sie eine Datenzuordnungsdatei testen und ndern k nnen Beispielereignisse werden mit der Datenzuordnungsdatei verglichen und die Ergebnisse werden mit CEG gepr ft Zusammenfassungsregeln Zusammenfassungsregeln fassen bestimmte g ngige native Ereignistypen zu einem verfeinerten Ereignis zusammen Eine Zu
478. tenbank in einem neuen Ereignisprotokollspeicher eine Neukatalogisierung durchgef hrt wird Warme Datenbanken werden komprimiert und im Ereignisprotokollspeicher beibehalten bis ihr Alter in Tagen den konfigurierten Wert f r Maximale Anzahl an Archivtagen berschreitet Ereignisprotokolle k nnen in Datenbanken mit dem Status hei warm und verf gbar gemacht abgefragt werden Glossary 423 Datenbankstatuswerte Datenzugriff Datenzuordnung Es gibt folgende Datenbankstatuswerte hei f r eine nicht komprimierte Datenbank mit neuen Ereignissen warm f r eine Datenbank mit komprimierten Ereignissen kalt f r eine gesicherte Datenbank und verf gbar gemacht f r eine Datenbank die im Ereignisprotokollspeicher wiederhergestellt wurde auf dem sie gesichert wurde Sie k nnen hei e warme und verf gbar gemachte Datenbanken abfragen Eine Archivabfrage zeigt die Informationen von kalten Datenbanken an Datenzugriff ist eine Art der Berechtigung die allen CA Enterprise Log Managers ber die Standarddatenzugriffsrichtlinie in der CALM Ressourcenklasse gew hrt wird Alle Benutzer haben Zugriff auf alle Daten au er wenn diese durch Datenzugriffsfilter eingeschr nkt sind Datenzuordnung ist der Prozess der Zuordnung der Schl sselwertpaare in CEG Die Datenzuordnung wird durch eine DM Datei gesteuert Datenzuordnung von Dateien Delegierungsrichtlinie Unter der Datenzuordnung von Dateien versteht man XML Datei
479. tenprozess zu stoppen Normalerweise werden Start und Stopp Befehle im Agenten Explorer auf einem CA Enterprise Log Manager Server ausgegeben Sie k nnen diesen Befehl beispielsweise verwenden um den Neustart eines Agentenprozesses und seiner Connectors vorzubereiten So stoppen Sie den CA ELM Agent Daemon bzw Service 1 Melden Sie sich als root Benutzer oder Windows Administrator an 2 ffnen Sie eine Eingabeaufforderung und geben Sie den folgenden Befehl ein Linux UNIX Solaris opt CA ELMAgent bin S99elmagent stop Windows net stop ca elmagent berpr fen der CA Enterprise Log Manager Serverinstallation Sie haben die M glichkeit die CA Enterprise Log Manager Serverinstallation mit einem Webbrowser zu berpr fen Eine erste berpr fung der Installation k nnen Sie vornehmen indem Sie sich beim CA Enterprise Log Manager Server anmelden Hinweis Wenn Sie sich zum ersten Mal bei der CA Enterprise Log Manager Anwendung anmelden m ssen Sie die Anmeldeinformationen f r den EiamAdmin Benutzer verwenden unter dem Sie den CA Enterprise Log Manager Server installiert haben Nachdem Sie sich mit diesem Benutzerkonto angemeldet haben haben Sie nur Zugang zu bestimmten Funktionen f r die Benutzer und Zugriffsverwaltung Sie m ssen dann den Benutzerspeicher konfigurieren und ein neues CA Enterprise Log Manager Benutzerkonto erstellen damit Sie Zugang zu den brigen CA Enterprise Log Manager Funktionen erhalten
480. terprise Log Manager 113 Erste CA Enterprise Log Manager Serverkonfigurationen Um auf root Ebene auf den CA Enterprise Log Manager Server zuzugreifen melden Sie sich mit diesem Konto beim Server an und schalten Benutzer dann auf das root Konto um damit diese Zugriff auf Verwaltungstools erhalten Falls Sie sich als root Benutzer anmelden m chten m ssen Sie also das Kennwort f r den caelmadmin und den root Benutzer kennen Mit CA Enterprise Log Manager wird keine weitere Sicherheitssoftware installiert Um eine optimale Leistung zu erzielen sollten auf dem CA Enterprise Log Manager Server keine weiteren Anwendungen installiert werden Standardportzuweisungen Port 53 Der CA Enterprise Log Manager Server ist standardm ig so konfiguriert dass er unter Verwendung des HTTPS Protokolls Port 5250 sowie Port 80 und Port 443 abh rt Da CA Enterprise Log Manager Prozesse und Daemons nicht unter dem root Konto ausgef hrt werden k nnen sie keine Ports unterhalb von Port 1024 ffnen Daher wird bei der Installation automatisch eine Umleitung ber iptables erstellt mit der die an den Ports 80 und 443 eingehenden Benutzerschnittstellenanforderungen an Port 5250 umgeleitet werden Der Syslog Daemon des lokalen Betriebssystems des CA Enterprise Log Manager Servers wird nicht konfiguriert da CA Enterprise Log Manager den Systemstatus mit seinen eigenen selbst berwachenden Ereignissen verfolgt Sie k nnen mit Hilfe der se
481. tes heruntergeladenen Inhalts und Konfigurationsaktualisierungen Ein CA Enterprise Log Manager Servernetzwerk kann nur einen aktiven Verwaltungsserver aufweisen es kann jedoch ein inaktiver Failover Verwaltungsserver vorhanden sein Falls Sie mehrere CA Enterprise Log Manager Netzwerke erstellen muss jedes ber seinen eigenen aktiven Verwaltungsserver verf gen Kapitel 2 Planen der Umgebung 21 Serverplanung m Erfassungsserver In einem System mit einem Server fungiert der Verwaltungsserver auch als Erfassungsserver In einem System mit zwei oder mehreren Servern sollte ein eigener Erfassungsserver vorhanden sein Ein Erfassungsserver f hrt folgende Funktionen aus Er unterst tzt die Konfiguration von Connectors Er empf ngt die von den Connectors auf den Agenten eingehenden Ereignisprotokolle Er akzeptiert eingehende aufbereitete Ereignisprotokolle die analysiert werden und die Zuordnung in das CEG Format das eine einheitliche Vorstellung von Ereignisdaten aus unterschiedlichen Ereignisquellen erm glicht Er f gt Ereignisprotokolle in die Online Datenbank ein und komprimiert die Online Datenbank in eine Standby Datenbank wenn die festgelegte Gr e erreicht ist Er erm glicht automatische Archivierung die die Verschiebung warmer Datenbankinformationen zum entsprechenden Berichtsserver im konfigurierten Ablaufplan erm glicht Wichtig Wenn Sie getrennte Server f r die Erfassung und die Berichterstellung
482. tformversion umaehen 7 Optional Klicken Sie auf den Schritt Unterdr ckungsregeln anwenden und w hlen Sie die Regeln aus die mit den unterst tzten Ereignissen verbunden sind W hlen Sie zum Beispiel MSSQL_2005_Authorization 12 0 44 12 aus 8 Klicken Sie auf den Schritt Connector Konfiguration und klicken Sie auf den Link Hilfe Die Anweisungen umfassen Konfigurationsvoraussetzungen f r CA Enterprise Log Manager Sensoren sowohl f r Windows als auch f r Linux Kapitel 6 Konfigurieren der Ereigniserfassung 227 Beispiel Aktivieren direkter Erfassung mithilfe von ODBCLogSensor 9 berpr fen Sie die Schritte f r Linux die Plattform des Standardagenten und konfigurieren Sie wie angegeben die Verbindungszeichenfolge und and a ere Felder Geben Sie die Verbindungszeichenfolge wie unter Sensorkonfiguration angegeben ein Linux dort entspricht die Adresse dem Hostnamen oder der IP Adresse der Ereignisquelle und die Datenbank entspricht der SQL Server Datenbank unter welcher MSSQLSERVER_TRACE erstellt wurde DSN SQLServer Wire Protocol Address IP Adresse Port Database Datenbankname Geben Sie den Namen des Benutzers ein der lediglich ber Lesezugriff auf die Ereigniserfassung verf gt Damit dieser Benutzer ber Lesezugriff verf gt m ssen ihm die Rollen db_datareader und public zugewiesen werden Geben Sie das Kennwort f r den angegebenen Benutzernamen ein Geben Sie die Zeitzone
483. ther migrations to vance Ange other hosts which offer YMI support YMware Tools Shut Down Power Management Standby Advanced v General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIY None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel Anhang E CA Enterprise Log Manager und Virtualisierung 371 Erstellen von CA Enterprise Log Managder Servern mithilfe von virtuellen Appliances 4 Klicken Sie in diesem Fenster auf die Registerkarte Resources 5 W hlen Sie in der Spalte Settings die Option CPU aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties HT Sharing Any 372 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 6 W hlen Sie in der Spalte Settings die Option Memory aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties HT Sharing Any 7 Klicken Sie auf OK 8 Hinweis Weitere Informationen zur Paravirtualisierung finden Sie auf www vmware com Anhang E CA Enterprise Log Manager und Virtualisierung 373 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen App
484. tion wird mit einem Satz von Elementen implementiert die es einem bestimmten Agenten und Connector erm glichen Ereignisse von einem oder mehreren Typen von Ereignisquellen zu erfassen und zu CA Enterprise Log Manager zu senden Der Satz von Elementen umfasst den Protokollsensor und die XMP und DM Dateien die aus einem bestimmten Produkt lesen sollen Beispiele f r vordefinierte Integrationen sind die f r die Verarbeitung von Syslog und WMI Ereignissen Sie k nnen benutzerdefinierte Integrationen erstellen um die Verarbeitung nicht klassifizierter Ereignisse zu erm glichen Integrationselemente umfassen einen Sensor eine Konfigurationshilfe eine Datenzugriffsdatei eine oder mehrere XMP Nachrichtenanalysedateien und eine oder mehrere Datenzuordnungsdateien Das iTech Ereignis Plugin ist ein CA Adapter den ein Administrator mit ausgew hlten Zuordnungsdateien konfigurieren kann Er erh lt Ereignisse von Remote iRecorders CA EEM iTechnology selbst oder von einem Produkt das Ereignisse ber iTechnology sendet Ein Kalender ist ein Mittel mit dem Sie die G ltigkeitsdauer einer Zugriffsrichtlinie begrenzen k nnen Eine Richtlinie erm glicht bestimmten Identit ten die Durchf hrung bestimmter Aktionen in einer angegebenen Ressource w hrend eines definierten Zeitraums 432 Implementierungshandbuch Katalog Kennung Der Katalog ist die Datenbank auf jedem CA Enterprise Log Manager die den Status der archivierten Datenbanken
485. tisch als Standard Proxy f r automatische Software Updates eingerichtet Allerdings k nnen Sie auch einen Online Proxy als Standard Proxy angeben Sie k nnen den Standard Proxy f r automatische Software Updates nur auf globaler Ebene konfigurieren So konfigurieren Sie Online Proxys f r automatische Software Updates 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Services 2 Klicken Sie auf Service automatischer Software Updates Die Seite Globale Service Konfiguration Service automatischer Software Updates wird angezeigt Hinweis Um einen Standard Proxy f r automatische Software Updates zu konfigurieren der nicht bei der Installation konfiguriert wurde klicken Sie auf Verwaltung und geben Sie den Servernamen in das Feld Standard Proxy f r automatische Software Updates ein Kapitel 5 Konfigurieren von Services 205 Konfiguration automatischer Software Updates 3 Erweitern Sie Service automatischer Software Updates in der Service Liste und w hlen Sie den zu konfigurierenden Server aus Die Konfiguration des Services automatischer Software Updates wird f r den ausgew hlten CA Enterprise Log Manager Server angezeigt 4 Klicken Sie auf die Registerkarte Verwaltung 5 Aktivieren Sie das Kontrollk stchen Proxy f r automatische Software Updates und w hlen Sie Online Proxy f r automatische Software Updates aus 6 Best tigen Sie dass die RSS Feed URL f r au
486. tomatische Software Updates richtig ist Wenn Sie m chten dass dieser Proxy nicht den RSS Feed verwendet der in den globalen Einstellung festgelegt wurde wechseln Sie zur lokalen Konfiguration und geben Sie die richtige RSS URL ein 7 Falls dieser Server ber einen HTTP Proxy Server Verbindung mit dem CA Technologies Server f r automatische Software Updates herstellen soll der nicht dem vererbten Server entspricht wechseln Sie zur lokalen Konfiguration und konfigurieren Sie den gew nschten HTTP Proxy Server 8 Klicken Sie auf Speichern Weitere Informationen Konfiguration automatischer Software Updates siehe Seite 204 206 Implementierungshandbuch Konfiguration automatischer Software Updates Konfigurieren von Offline Proxy Server f r automatische Software Updates Ein Offline Proxy f r automatische Software Updates gibt CA Enterprise Log Manager Aktualisierungen an seine Clients weiter ohne dabei eine Verbindung zum Internet herzustellen Diese Konfiguration erm glicht es Ihnen einige oder alle Ihrer CA Enterprise Log Manager Server ohne Internetzugriff zu betreiben Bevor Sie ein automatisches Software Update im Offline Modus ausf hren kopieren Sie manuell Offline Aktualisierungsdateien von einer CA Technologies FTP Seite auf die Offline Proxys indem Sie physische Datentr ger oder scp das in CA Enterprise Log Manager enthalten ist verwenden Kopieren Sie die Aktualisierungsdateien in den folgenden Pfad opt
487. tors f r verschiedene Arten von Ereignissen fungieren 72 Implementierungshandbuch Agentenplanung Auswirkungen von Unterdr ckundsregeln Bei der Planung sollten Sie die Auswirkung von Unterdr ckungsregeln ber cksichtigen die verhindert dass Ereignisse entweder in den Ereignisprotokollspeicher eingef gt oder von einem Connector erfasst werden Unterdr ckungsregeln werden immer an einen Connector angeh ngt Sie k nnen Unterdr ckungsregeln entweder auf Agenten oder Gruppenebene oder auf dem CA Enterprise Log Manager Server selbst anwenden Die Platzierungsorte haben verschiedene Auswirkungen m Unterdr ckungsregeln die auf Agenten oder Gruppenebene angewendet werden verhindern die Erfassung von Ereignissen und reduzieren so den zum CA Enterprise Log Manager Server gesendeten Netzwerkverkehr Unterdr ckungsregeln die auf dem CA Enterprise Log Manager Server angewendet werden verhindern dass Ereignisse in die Datenbank eingef gt werden und reduzieren so die Menge an Informationen die gespeichert wird Wenn Sie Unterdr ckungsregeln auf Ereignisse anwenden nachdem diese auf dem CA Enterprise Log Manager Server eingegangen sind m ssen Sie unter Umst nden Leistungsbeeintr chtigungen ber cksichtigen Dies gilt insbesondere wenn Sie mehrere Unterdr ckungsregeln erstellen oder die Ereignisflussrate hoch ist Es empfiehlt sich beispielsweise einige der Ereignisse von einer Firewall oder von manchen Windows Servern
488. tsprechend dem festgelegten Ablaufplan die von Ihnen gew hlten Module automatisch herunter und installiert sie 2 Manuell Sie verwenden die Funktion Jetzt aktualisieren des Service f r automatische Software Updates um diese Module zu einem von Ihnen gew hlten Zeitpunkt herunterzuladen und zu installieren Da Inhalts Integrations Betriebssystem und Agent Module regelm ig aktualisiert werden sollten Sie Ihren Zeitplan f r Software Updates so festzulegen dass diese Module automatisch mindestens einmal pro Monat heruntergeladen werden Aktualisierungen mithilfe von Log Manager Service Packs und neue Versionen sind weniger h ufig und ben tigen gegebenenfalls zus tzliche berlegungen und Planung bevor Sie sie auf Ihre CA Enterprise Log Manager Umgebung anwenden k nnen Sie sollten diese Art von Aktualisierungen manuell je nach Bedarf herunterladen 212 Implementierungshandbuch Konfiguration automatischer Software Updates Wenn neue Module verf gbar werden werden sie im RSS Feed f r automatische Software Updates angezeigt oder im Fall von automatischen Software Updates im Offline Modus auf der CA Technologies FTP Seite f r automatische Software Updates im Offline Modus Da die Module die zum Herunterladen zur Verf gung stehen je nach Aktualisierungszyklus variieren wird empfohlen die Liste verf gbarer Updates zu pr fen um sicher zu gehen dass Sie alle erforderlichen Module ausgew hlt haben Sie k nnen auch unter
489. tung handelt Konfigurieren Sie dann alle Clients so dass sie auf diesen Online Proxy zeigen damit der Standard Proxy Server CA Software Update Proxy als Backup Server fungieren kann sollte der Online Proxy belegt oder nicht verf gbar sein CA Software Update Server Wiederherstellung Quellserver untergeordnet Berichtsserver bergeordnet Verwaltungsserver spunktserver Is PP Yan CA Software Online Update Update Proxy Proxy Software Update Client Weitere Informationen Konfigurieren einer CA Enterprise Log Manager F deration siehe Seite 244 64 Implementierungshandbuch Agentenplanung Agentenplanung Agenten verwenden Connectors um Ereignisse zu erfassen und auf den CA Enterprise Log Manager Server zu bertragen Sie k nnen einen Connector auf dem mit dem CA Enterprise Log Manager Server installierten Standardagenten konfigurieren oder Sie k nnen einen Agenten auf einem Server bzw einer Ereignisquelle im Netzwerk installieren Die Entscheidung ob externe Agenten verwendet werden basiert auf dem Ereignisvolumen dem Agentenstandort der Notwendigkeit zum Filtern von Daten und anderen Aspekten Die Planung der Agenteninstallation beinhaltet Folgendes m Kenntnisse der Beziehungen zwischen folgenden Komponenten m Integrationen und Listener m Agenten m Connectors m Bestimmen der Netzwerkgr e als Entscheidungspunkt f r die Anzahl der zu installierenden Agenten Installieren Sie die A
490. tz 242 Planen 34 Wissenswertes ber Abfragen und Berichte 239 H Hilfsprogramm 270 271 272 273 274 275 277 279 280 I Importieren SEOSDATA Ereignisse aus CA Audit 272 279 280 Installation auf System mit SAN Laufwerken 103 Benutzerspezifisches Betriebssystem Image 113 CA Enterprise Log Manager 86 CA IT PAM mit freigegebenem CA EEM 309 Erstellen von Installations DVDs 78 Fehlerbehebung 131 Standardverzeichnisstruktur 113 berpr fen des CA Enterprise Log Manager Servers 90 Integration mit CA Audit Grund f r den Import von Ereignissen 270 Importieren von SEOSDATA Ereignissen 272 Konfigurieren von CA Technologies Adaptern 259 Senden von CA Audit Ereignissen an CA Enterprise Log Manager 264 Wissenswertes ber Architekturen 251 Integrationen Wissenswertes 69 iTechnology Ereignis Listener Wissenswertes 263 K Kennwortrichtlinien Konfigurieren 148 Planen 49 Konfigurationen Erste Serverkonfigurationen 111 Konto caelmadmin Definition 112 N Nicht interaktive Authentifizierung Einfachste Verwendung Fallbeispiel 177 f r automatische Archivierung konfigurieren 167 Hub and Spoke Beispiel 168 P Planen Benutzerspeicher 43 Disaster Recovery 321 F deration 34 Gr e bestimmen 72 Integration mit CA Audit 251 450 Implementierungshandbuch Kennwortrichtlinien 49 Verwaltungstasks Speicherplatz 32 Benutzerspeicher 144 Plug
491. tztes aufgezeichnetes Ereignis pro Sekunde das vom Agenten verarbeitet wurde Letzter aufgezeichneter CPU Auslastungswert Letzter aufgezeichneter Speicherauslastungswert Aktuelle Konfigurationsaktualisierung Status der Konfigurationsaktualisierung 100 Implementierungshandbuch Hinzuf gen eines neuen CA Enterprise Log Manager Servers zu einer bereits vorhandenen F deration in der FIPS Modus aktiviert ist Hinzuf gen eines neuen CA Enterprise Log Manager Servers zu einer bereits vorhandenen F deration in der FIPS Modus aktiviert ist Es gelten einige besondere Richtlinien f r das Hinzuf gen von neuen CA Enterprise Log Manager Server in eine Server F deration die bereits im FIPS Modus ausgef hrt wird Neu installierte CA Enterprise Log Manager Server werden standardm ig im Nicht FIPS Modus ausgef hrt es sei denn Sie geben den FIPS Modus ausdr cklich w hrend der Installation an Server im Nicht FIPS Modus k nnen nicht mit Server im FIPS Modus kommunizieren Als Teil der Installation muss ein neuer CA Enterprise Log Manager Server bei dem lokalen auf dem Verwaltungsserver eingebetteten CA EEM Server oder bei einem eigenst ndigen CA EEM Remote Server registriert werden Der Prozess f r das Hinzuf gen eines Servers zu einem vorhandenen Netzwerk basiert auf dem Standort des CA EEM Verwaltungsservers Kapitel 3 Installieren von CA Enterprise Log Manager 101 Hinzuf gen eines neuen CA Enterprise Log Manager Servers z
492. u einer bereits vorhandenen F deration in der FIPS Modus aktiviert ist Nehmen Sie den folgenden Ablauf zur Kenntnis Hinzuf gen eines ELM Servers zu einer F deration im Nur FIPS Modus Nicht FIPS Modus f r CA Enterprise Nicht FIPS Modus f r CA EEM Log Manager Remote Server Verwaltungsserver aktivieren aktivieren Neue CA Enterprise Log Manager Server installieren Upgrade auf r12 1 SP1 f r alle neuen Sekund rserver durchf hren FIPS Modus f r alle neuen Server aktivieren FIPS Modus f r FIPS Modus f r CA EEM Remote Verwaltungsserver Server aktivieren aktivieren 102 Implementierungshandbuch Installationshinweise f r ein System mit SAN Laufwerken Der Prozess f r das Hinzuf gen eines neuen Servers umfasst die folgenden Schritte 1 Aktivieren Sie den Nicht FIPS Modus auf dem CA Enterprise Log Manager Verwaltungsserver Prim rserver oder auf dem CA EEM Remote Server 2 Unter Verwendung des ISO Images oder der DVDs f r CA Enterprise Log Manager 12 1 SP 1 oder h her installieren Sie einen oder mehrere neue CA Enterprise Log Manager Sekund rserver Wichtig Vergewissern Sie sich dass Sie w hrend der Installation den FIPS Modus angeben Anderenfalls wird der neu installierte Server nicht in der Lage sein mit dem Verwaltungsserver oder mit dem CA EEM Remoteserver zu kommunizieren und Sie m ssen den neuen CA Enterprise Log Manager Sever erneut installieren Da der CA Enterprise Log M
493. u testen So testen Sie die Client Verbindung zur Datenbank 1 ffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Verzeichnis in dem Sie den ODBC Client installiert haben 2 Starten Sie das ISQL Hilfsprogramm odbkcisql exe 3 Geben Sie folgenden Befehl ein um die Client Verbindung zur Datenbank zu testen connect User Password DSN name Verwenden Sie den Namen der Datenquelle die Sie f r diese ODBC Verbindung zur Datenbank f r den Wert DSN_name erstellt haben Wenn Ihre Verbindungsparameter richtig sind erhalten Sie eine hnliche Antwortmeldung wie die folgende SQL connecting to database DSN_name Elapsed time 37 ms Hinweis Wenn Ihr Kennwort das Zeichen enth lt kann das ISQL Hilfsprogramm nicht korrekt ausgef hrt werden da es alles nach als DSN Name interpretiert Setzen Sie das Kennwort zwischen Anf hrungsstriche um dieses Problem zu vermeiden Connect User Kennwort DSN name Serverabruf von der Datenbank testen Verwenden Sie diese Testabfrage um festzulegen ob eine ODBC Client Anwendung in der Lage ist die Daten eines CA Enterprise Log Manager Ereignisprotokollspeichers ber die festgelegte Datenverbindung abzurufen Dieser Vorgang verwendet das gleiche ISQL Hilfsprogramm das Sie zum Testen der ODBC Verbindung verwendet haben Hinweis Kopieren und verwenden Sie die SQL Abfragen in den CA Enterprise Log Manager Abfragen und Berichten nicht um Ihre ODBC Verbindung zu testen
494. ualisierungen f r die Agenten und Connector Bin rdateien sucht Agenten senden zudem selbst berwachende Ereignisse an den Ereignisprotokollspeicher mit denen nderungen und Status nachverfolgt werden 68 Implementierungshandbuch Agentenplanung Wissenswertes ber Agdentengruppen Sie k nnen Agentengruppen erstellen Hierbei handelt es sich um logische Gruppierungen von Agenten die die Agentenverwaltung erleichtern Nachdem Sie einen Agenten zu einer Agentengruppe hinzugef gt haben k nnen Sie Konfigurationen ndern und die Connectors in einer Gruppe gleichzeitig starten und stoppen So k nnen Sie beispielsweise Agenten anhand ihres physischen d h geografischen Standorts gruppieren Im Agenten Explorer k nnen Sie Gruppen erstellen und Agenten zwischen Gruppen verschieben Falls Sie keine Agentengruppe definieren befinden sich alle Agenten in einer Standardgruppe die w hrend der Installation von CA Enterprise Log Manager angelegt wird Die Datens tze f r die Agentenkonfigurationen und Agentengruppen werden auf dem Verwaltungsserver gespeichert Jedes Mal wenn Sie einen Agenten installieren wird der neue Agent f r jeden CA Enterprise Log Manager Server der beim Verwaltungsserver unter demselben Anwendungsinstanznamen registriert ist im Agenten Explorer verf gbar gemacht So haben Sie die M glichkeit jeden Agenten von jedem CA Enterprise Log Manager Server im Netzwerk aus zu steuern und zu konfigurieren Benutzerko
495. uell Kapitel 3 Installieren von CA Enterprise Log Manager 139 Fehlerbehebung bei der Installation So importieren Sie die Konfigurationsdateien 1 Greifen Sie auf eine Eingabeaufforderung auf dem CA Enterprise Log Manager Server zu 2 Melden Sie sich mit den Anmeldeinformationen f r das caelmadmin Konto an 3 Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su 4 Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content 5 F hren Sie folgenden Befehl aus ImportCALMConfig sh Das Shell Skript importiert die Konfigurationsdateien Importieren von Unterdr ckunds und Zusammenfassundsdateien Symptom W hrend der Installation wurden die Unterdr ckungs und Zusammenfassungsdateien nicht richtig vom CA EEM Server importiert Ohne diese Dateien k nnen Sie die Standard Unterdr ckungs und Standard Zusammenfassungsregeln nicht in der CA Enterprise Log Manager Benutzeroberfl che verwenden Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Unterdr ckungs und Zusammenfassungsregeln manuell So importieren Sie Unterdr ckunds und Zusammenfassungsdateien 1 Greifen Sie auf eine Eingabeaufforderung auf dem CA Enterprise Log Manager Server zu 2 Melden Sie sich mit den Anmeldeinformationen f r das caelmadmin Konto an 3 Schalten Sie Benutzer mit folgendem
496. ufgelistet die f r die Bereitstellung von CA Enterprise Log Manager mithilfe des OVF Tools verwendet werden Sie m ssen diese Parameter als Befehlszeilenargumente in der Befehlszeile angeben Erforderliche Informationen Wert Kommentare Hostspezifische Einstellungen 388 Implementierungshandbuch Erforderliche Informationen HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME Wert Der Hostname f r diesen CA Enterprise Log Manager Server Beispiel CA ELM1 neues root Kennwort Die relevante IPv4 Adresse Die relevante IP Adresse Die relevante IP Adresse Relevante IPv4 Adressen der Name Ihrer Dom ne Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Kommentare Verwenden Sie f r die Angabe des Hostnamens f r diesen Server nur f r Hostnamen zul ssige Zeichen Empfohlen werden die Buchstaben A Z unabh ngig von Gro oder Kleinschreibung die Zahlen 0 9 und der Bindestrich wobei das erste Zeichen ein Buchstabe und das letzte Zeichen ein alphanumerisches Zeichen ist Verwenden Sie in Hostnamen keine Unterstriche und h ngen Sie keine Dom nennamen an Hinweis Der Hostname darf h chstens 15 Zeichen enthalten Erstellen und best tigen Sie ein neues root Kennwort f r diesen Server Geben Sie eine g ltige IP Adresse f r diesen Server ein Geben Sie eine g ltige Teilnetzmaske an die mit diese
497. ung 53 Planen von automatischen Software Updates 1 Der Proxy Server f r automatische Software Updates setzt sich mit dem CA Technologies Server f r automatische Software Updates in Verbindung Sie k nnen Proxy Server konfigurieren um sich mit dem Server f r automatische Software Updates entweder direkt oder ber Ihren lokalen HTTP Proxy in Verbindung zu setzen Proxys setzen sich auch mit dem CA Technologies Server f r automatische Software Updates automatisch in Verbindung einem festgelegten Ablaufplan entsprechend oder je nach Bedarf wenn Sie eine Aktualisierung manuell starten Der Proxy Server l dt Betriebssysteme und Produktaktualisierungen herunter und installiert sie selbst Wenn Sie automatische Software Updates im Offline Modus verwenden laden Sie die Aktualisierungsdateien manuell auf ein System herunter das nicht in Ihrer CA Enterprise Log Manager Umgebung enthalten ist und kopieren Sie die Dateien auf den Offline Proxy Server Der Proxy f r automatische Software Updates bertr gt die Inhalts und Integrationsaktualisierungen auf den Verwaltungsserver Der Verwaltungsserver ist standardm ig der erste CA Enterprise Log Manager Server den Sie installieren und speichert alle Inhaltsinformationen wie Berichte Integrationen und Korrelationsregeln f r Ihre Umgebung Clients f r automatische Software Updates setzen sich mit dem Proxy f r automatische Software Updates zur Aktualisierung entweder automatisch
498. ung ist ein Typ einer Zugriffsrichtlinie die den Zugriff auf Ressourcen die auf dem Management Server gespeichert sind wie z B Anwendungsobjekte Benutzer Gruppen Ordner und Richtlinien gew hrt oder verweigert Mit der Richtlinie zur Bereichsdefinierung werden die Identit ten festgelegt die auf die angegebenen Ressourcen zugreifen d rfen Rohereignis Ein Rohereignis stellt die Informationen dar die von einem nativen Ereignis ausgel st werden das von einem berwachungsagenten zum Protokollmanager Collector gesendet wird Das Rohereignis wird h ufig als Syslog Zeichenfolge oder als Namenswertpaare formatiert Es ist m glich ein Ereignis in seiner Rohform in CA Enterprise Log Manager anzuzeigen RSS Ereignis Ein RSS Ereignis ist ein Ereignis das von CA Enterprise Log Manager generiert wird um einen Aktionsalarm an Drittanbieterprodukte und benutzer zu leiten Das Ereignis besteht aus einer Zusammenfassung aller Aktionsalarmergebnisse und einem Link zur Ergebnisdatei Die Dauer eines bestimmten RSS Feed Elements ist konfigurierbar RSS Feed URL f r Aktionsalarme Die RSS Feed URL f r Aktionsalarme lautet https elmhostname 5250 spin calm getActionQueryRssFeeds csp Von dieser URL k nnen Sie das maximale Alter sowie die maximale Menge f r Aktionsalarme anzeigen die zu dieser Konfiguration geh ren Glossary 441 RSS Feed URL f r Software Updates SafeObject SAPI Collector SAPI Recorder SAPI Router Schl
499. ung mithilfe von ODBCLogSensor So konfigurieren Sie die Ereignisquelle und berpr fen die Protokollierung 1 Sammeln Sie die folgenden Informationen IP Adresse des ODBC Servers Datenbankname zur Anmeldung am Server erforderlicher Benutzername und Kennwort des Administrators und die Anmeldeinformationen f r Benutzer mit eingeschr nkten Berechtigungen zur SQL Server Authentifizierung Dabei handelt es sich um den Benutzer der nur Lesezugriff auf die Ablaufverfolgungstabelle hat Melden Sie sich beim ODBC Server mit dem Benutzernamen und Kennwort des Administrators an Sichern Sie die Konnektivit t ber TCP IP wie unter Connector Handbuch f r Microsoft SQL Server angegeben Konfigurieren Sie den SQL Server und berpr fen Sie ob alle Ereignisse an die Ablaufverfolgungstabelle gerichtet werden wie im Connector Handbuch f r Microsoft SQL Server angegeben Hinweis Notieren Sie den Namen der Datenbank f r die Sie die Ablaufverfolgungstabelle erstellen Sie m ssen diesen Datenbanknamen in der Verbindungszeichenfolgen angeben Zum Beispiel Master So erstellen Sie Connectors auf einem Standardagenten um Ereignisse abzurufen die von einer SQL Server Datenbank auf einem ODBC Server generiert wurden 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Protokollerfassung 2 Erweitern Sie den Agenten Explorer und anschlie end die Agentengruppe die den CA Enterprise Log Manager Standardage
500. ungsaufgaben 3 Installieren Sie mindestens zwei virtuelle Appliance Server f r Erfassung und Berichterstellung 4 Konfigurieren Sie die virtuellen Appliance Server wie im Abschnitt zur Installation eines CA Enterprise Log Manager Servers beschrieben Wichtig Wenn Sie einen CA Enterprise Log Manager Server mithilfe einer virtuellen Appliance bereitstellen m chten muss der Anwendungsinstanzname des prim ren CA Enterprise Log Manager Servers CAELM sein Laden Sie das Paket mit der virtuellen Appliance herunter Das Verteilungs Image f r die virtuelle CA Enterprise Log Manager Appliance ist ber den Link Download bei Support Online verf gbar Sie m ssen f nf Dateien herunterladen Die Manifestdatei Die ovf Datei Drei virtuelle Laufwerkdateien Anhang E CA Enterprise Log Manager und Virtualisierung 375 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Manuelle Installation eines CA Enterprise Log Manager Servers Wenn Sie die virtuelle Appliance manuell installieren f hren Sie die folgenden Tasks aus 1 Stellen Sie eine OVF Vorlage bereit 2 Legen Sie die Paravirtualisierungs und Ressourceneinstellungen fest 3 Schalten Sie den bereitgestellten CA Enterprise Log Manager Server ein 376 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Bereitstellen einer OVF Vorlage Sie k nnen die Eigenschaften der virtuell
501. ungspunkt Server ist eine Rolle die von einem CA Enterprise Log Manager Server ausgef hrt wird Um kalte Ereignisse zu untersuchen k nnen Sie Datenbanken mit einem Hilfsprogramm vom Remote Speicher zum Wiederherstellungspunkt Server verschieben dann die Datenbanken zum Katalog hinzuf gen und Abfragen durchf hren Das Verschieben kalter Datenbanken zu einem bestimmten Wiederherstellungspunkt Server ist eine alternative Methode dazu sie aus Untersuchungsgr nden zur ck zum urspr nglichen Server zu verschieben XMP Dateianalyse ist der Prozess der vom Nachrichtenanalyse Hilfsprogramm durchgef hrt wird um alle Ereignisse zu suchen die jede vorabgestimmte Zeichenfolge enthalten und um bei einem bereinstimmendem Ereignis das Ereignis mit dem ersten gefundenen Filter der dieselbe vorabgestimmte Zeichenfolge verwendet in Tokens zu analysieren Die vordefinierten Zertifikate die von CA Enterprise Log Manager verwendet werden sind CAELMCert cer und CAELM_AgentCert cer Alle CA Enterprise Log Manager Services verwenden CAELMCert cer um mit dem Verwaltungsserver zu kommunizieren Alle Agenten verwenden CAELM_AgentCert cer um mit ihrem Sammelserver zu kommunizieren Ein Zugriffsfilter kann vom Administrator festgelegt werden um zu steuern welche Ereignisdaten Benutzer oder Gruppen ohne Administratorrechte anzeigen k nnen So kann ein Zugriffsfilter beispielsweise den Datenumfang in Berichten einschr nken der von bestimmten Identit
502. ungsserver auch als Berichtsserver In einem System mit vielen Servern sollten Sie mindestens einen Server eigens als Berichtsserver einrichten Ein Berichtsserver f hrt folgende Funktionen aus Da die nicht interaktive Authentifizierung und automatische Archivierung konfiguriert ist empf ngt er neue Datenbanken mit aufbereiteten Ereignissen der Erfassungsserver Verarbeitet spontane Befehle Abfragen und Berichte Verarbeitet geplante Alarme und Berichte Unterst tzt Assistenten f r die Erstellung individueller Abfragen und Berichte Wenn nicht interaktive Authentifizierung und automatische Archivierung vom Berichtsserver auf einen Remote Speicherserver konfiguriert wird werden alte Datenbanken auf einen Remote Speicherserver verschoben Falls auf einem Server mit vielen spontanen Aktivit ten viele komplexe Berichte und Alarme erzeugt werden sollen sollten Sie einen eigenen Server f r die Berichterstellung einrichten Kapitel 2 Planen der Umgebung 23 Serverplanung m Remote Speicherserver Ein Remote Speicherserver bei dem es sich nicht um einen CA Enterprise Log Manager Server handeln muss f hrt folgende Funktion aus Er empf ngt in festgelegten Intervallen stark komprimierte automatisch archivierte Datenbanken von den Berichtsservern bevor diese aufgrund ihres Alters oder aufgrund mangelnden Speicherplatzes gel scht werden Wenn Sie die automatische Archivierung einrichten m ssen Sie die Datenban
503. ungsserver verwaltet die Konfigurationen f r die F deration zentral und global Sie k nnen die Konfigurationsoptionen von jedem CA Enterprise Log Manager Server im Netzwerk aus ndern Die agentenlosen CA Enterprise Log Manager Quellserver f r Protokolldateien werden als untergeordnete Server des Berichtsservers konfiguriert so dass Abfragen und Berichte die neuesten Daten enthalten Hinweis Falls Sie bereits ber einen CA EEM Server verf gen der mit CA Enterprise Log Manager verwendet werden soll konfigurieren Sie die CA Enterprise Log Manager Server auf dieselbe Weise Die Konfigurationen werden auf dem daf r vorgesehenen CA EEM Remote Server gespeichert Ferner haben Sie die M glichkeit lokale Konfigurationsoptionen festzulegen die die globalen Konfigurationen au er Kraft setzen So k nnen bestimmte CA Enterprise Log Manager Server anders arbeiten als die brigen Server Beispiele hierf r w ren das Senden von E Mail Berichten und Alarmen ber einen eigenen Mailserver oder die Planung von Berichten f r einen spezifischen Zweig des Netzwerks zu individuellen Zeiten Kapitel 2 Planen der Umgebung 35 Planen von F derationen Weitere Informationen Hierarchischer Verbund siehe Seite 240 Netzverbund siehe Seite 242 Abfragen und Berichte in einer f derierten Umgebung siehe Seite 239 Konfigurieren einer CA Enterprise Log Manager F deration siehe Seite 244 Erstellen einer F derations bersicht Das Erst
504. uration vor Sie k nnen den Fehler auf zweierlei Weise beheben Entfernen Sie das physische Netzwerkkabel und schlie en Sie es an einen anderen Port an Konfigurieren Sie die logischen Netzwerkschnittstellenadapter ber eine Befehlszeile neu So konfigurieren Sie die Netzwerkadapterports ber eine Befehlszeile 1 Melden Sie sich als caelmadmin Benutzer bei der Software Appliance an und rufen Sie eine Eingabeaufforderung auf Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um Su Geben Sie das Kennwort f r den root Benutzer ein um den Zugriff auf das System zu best tigen Geben Sie folgenden Befehl ein system config network Die Benutzeroberfl che zur Konfiguration der Netzwerkadapter wird angezeigt Legen Sie die Portkonfigurationen wie gew nscht fest und beenden Sie die Anzeige Starten Sie die Netzwerkdienste mit folgendem Befehl neu damit die nderungen in Kraft treten k nnen service network restart Kapitel 3 Installieren von CA Enterprise Log Manager 133 Fehlerbehebung bei der Installation berpr fen der Installation des RPM Pakets Sie k nnen eine schnelle berpr fung der Installation vornehmen indem Sie berpr fen ob das richtige RPM Paket installiert wurde So berpr fen Sie das RPM Paket 1 Rufen Sie auf dem CA Enterprise Log Manager Server eine Befehlszeile auf 2 Melden Sie sich mit den Anmeldedaten des caelmadmin Kontos an 3 Schalten Sie Benutze
505. urch Administratorkonten aus Die Regeldetails werden im rechten Fensterbereich angezeigt 192 Implementierungshandbuch 10 Konfigurieren des Korrelationsservices berpr fen Sie die Regeldetails um sicherzustellen dass die Regel f r Ihre Umgebung geeignet ist In diesem Fall definieren die Filter ein Administratorkonto als Benutzernamen die zu der Schl sselliste Administratoren geh rt und legt den Ereignisz hler auf 5 Ereignisse in 60 Minuten fest Optional Klicken Sie oben im Fenster auf Bearbeiten um die bei Bedarf die Filtereinstellungen zu ndern Zum Beispiel k nnten Sie in 30 Minuten den Zeitschwellenwert auf 3 Ereignisse ndern Der Assistent f r die Regelverwaltung wird ge ffnet Die Regeldetails sind bereits eingetragen F gen Sie bei Bedarf Benachrichtigungsdetails in den Assistenten f r Regelverwaltung hinzu Benachrichtigungsdetails stellen den Meldungsinhalt bereit der wie in Benachrichtigungsziele angegeben geliefert wird Sobald Sie die Regel fertiggestellt haben klicken Sie im Assistenten auf Speichern und schlie en Wenn Sie eine vordefinierte Korrelationsregel bearbeiten und speichern erstellt CA Enterprise Log Manager automatisch eine neue Version und beh lt die Originalversion bei Klicken Sie auf die Unterregisterkarte Services und blenden Sie den Knoten Korrelationsservice ein W hlen Sie den Server aus auf dem Sie die Regel anwenden m chten Wenn Sie einen Korre
506. urden die Benutzeroberfl chendateien nicht richtig vom CA EEM Server importiert Ohne diese Dateien k nnen Sie die Werte in den Dropdown Feldern des dynamischen Zeitbereichs nicht anzeigen oder verwenden Das in den folgenden Anleitungen erw hnte Shell Skript wird w hrend der Installation automatisch in das benannte Verzeichnis kopiert L sung Importieren Sie die Benutzeroberfl chendateien manuell So importieren Benutzeroberfl chendateien 1 Greifen Sie auf eine Eingabeaufforderung auf dem CA Enterprise Log Manager Server zu 2 Melden Sie sich mit den Anmeldeinformationen f r das caelmadmin Konto an 3 Schalten Sie Benutzer mit folgendem Befehl auf den root Benutzer um su 4 Navigieren Sie zu dem Verzeichnis opt CA LogManager EEM content 5 F hren Sie folgenden Befehl aus ImportCALMFlexFiles sh Das Shell Skript importiert die Benutzeroberfl chendateien 142 Implementierungshandbuch Kapitel 4 Grundlagen zur Benutzer und Zugriffskonfiguration Dieses Kapitel enth lt folgende Themen Grundlagen zu Benutzern und Zugriff siehe Seite 143 Konfigurieren des Benutzerspeichers siehe Seite 144 Konfigurieren von Kennwortrichtlinien siehe Seite 148 Aufbewahren vordefinierter Zugriffsrichtlinien siehe Seite 150 Erstellen des ersten Administrators siehe Seite 151 Grundlagen zu Benutzern und Zugriff Die Konfiguration beginnt mit der Einrichtung des Benutzerspeichers der Erstellung eines od
507. uten fest wie oft die globalen Gruppen und Benutzer im Cache aktualisiert werden sollen damit neue und ge nderte Datens tze aufgenommen werden k nnen Erforderliche Informationen Retrieve Exchange Groups as Global User Groups Exchange Gruppen als globale Benutzergruppen abrufen Arbeitsblatt f r CA SiteMinder Wert Benutzer und Zugriffsplanung Anmerkungen Falls es sich bei dem externen Verzeichnis um Microsoft Active Directory handelt wird mit dieser Option festgelegt dass globale Gruppen anhand der Microsoft Exchange Gruppeninformationen erstellt werden Wenn Sie diese Option aktivieren k nnen Sie Richtlinien gegen Mitglieder von Verteilerlisten erstellen Notieren Sie sich die folgenden Konfigurationsinformationen bevor Sie auf CA SiteMinder als Benutzerspeicher verweisen Erforderliche Informationen Host Admin Name Administratorname Admin Password Administratorkennwort Agent Name Agentenname Agent Secret Agentengeheimnis Cache Global Users Globale Benutzer im Cache speichern Wert Kommentare Gibt den Hostnamen oder die IP Adresse des referenzierten CA SiteMinder Systems an Sie k nnen IPv4 oder IPv6 IP Adressen verwenden Der Benutzername des CA SiteMinder Superusers der System und Dom nenobjekte verwaltet Das Kennwort f r den zugeh rigen Benutzernamen Der Name des dem Richtlinienserver bereitgestellten Agenten Bei diesem Namen wird nicht zwischen
508. ver wobei der Quellserver der bergeordnete und der Verwaltungs Berichtsserver der untergeordnete Server ist Kapitel 2 Planen der Umgebung 41 Planen von F derationen Damit ein bestimmtes Ziel erreicht werden kann muss der Bericht oder die Warnung unbedingt auf einem Server ausgef hrt werden der in der F derations bersicht eine bestimmte Position einnimmt und der Grund f r die F deration muss richtig angegeben sein Beispiele Um einen Systembericht ber selbst berwachende Ereignisse auf jedem CA Enterprise Log Manager Server in Ihrem Netzwerk zu planen f hren Sie den Bericht auf dem Verwaltungs Berichtsserver aus und geben Sie f deriert an Um einen Bericht zu k rzlichen warmen Ereignissen zu planen f hren Sie den Bericht auf dem Verwaltungs Berichtsserver aus und l schen Sie die F derationsanforderung Ein solcher Bericht enth lt k rzlich archivierte Daten die von allen Quellservern erfasst wurden Es wird keine F deration ben tigt F r die Planung von Warnungen die neue aktuelle Ereignisse der einzelnen Quellserver sowie archivierte warme Ereignisse des Verwaltungs Berichtsservers enthalten f hren Sie die Warnung von einem beliebigen Quellserver aus und geben Sie f deriert an Sie k nnen einschr nken was an die Quellserver zur ckgegeben wird indem Sie den innerhalb der letzten Stunde vordefinierten Bereich als Ergebnisbedingung angeben Weitere Informationen Konfigurieren eines CA Ent
509. verwenden m ssen Sie eine nicht interaktive Authentifizierung und eine st ndliche automatische Archivierung vom Erfassungsserver zum Berichtsserver konfigurieren Ziehen Sie das von den Ereignisquellen produzierte Ereignisvolumen in Betracht wenn Sie berlegen ob Server eigens f r die Ereigniserfassung und verfeinerung eingerichtet werden sollen Bedenken Sie zudem wie viele Erfassungsserver Daten automatisch auf einem einzelnen Berichtsserver archivieren 22 Implementierungshandbuch Serverplanung Korrelationsserver In einem System mit einem Server fungiert der Verwaltungsserver auch als Korrelationsserver In einem System mit zwei oder mehreren Servern sollte ein eigener Korrelationsserver vorhanden sein Ein Korrelationsserver f hrt folgende Funktionen aus Er unterst tzt die Konfiguration und Anwendung von Korrelationsregeln und Benachrichtigungen Er empf ngt eingehende Ereignisprotokolle von Erfassungsservern Er filtert eingehende Ereignisse und erstellt Incidents entsprechend den Korrelationsregelbedingungen Speichert Incidents in der Incident Datenbank und ihre einzelnen Ereignisse in der Ereignisdatenbank f r Incidents Wichtig Wenn Sie f r die Korrelation separate Server verwenden m ssen Sie beim Konfigurieren des Korrelationsservices jeden Erfassungsserver ausw hlen dessen Ereignisse Sie korrelieren wollen Berichtsserver In einem System mit einem oder zwei Servern fungiert der Verwalt
510. weise zum ODBE Server z22 32 2234823 rar r E EETA FI EIEEE EII ANIS EREE SIAS 202 Hinweise zum Berichtsserver auanannnnn annaran annarrar arrar r arrar r arrana rrara 203 Konfiguration automatischer Software Updates anna anann anana nr annarra rnern annn 204 Konfigurieren von Online Proxy Server f r automatische Software Updates 205 Konfigurieren von Offline Proxy Server f r automatische Software Updates 207 Konfigurieren von Clients f r automatische Software Updates cceenccceeenn 208 Konfigurieren von Pr xy LiSt n rsrsr sresuru esre a EEEE EEEE EE EREE EEE EEEE SETE EEEE TEN 210 Infos zu herunterzuladende Module 22222ssesseesssesnsnsenensennnnnnnnnnnnn nen 211 Festlegen eines Ablaufplans f r automatische Software Updates 222ccccccccn 218 Kapitel 6 Konfigurieren der Ereigniserfassung 219 Installieren von Agenten onaanann annaran rrna n ararnar arrar r arrar r arrana rraren 219 Verwenden des Agenten ExplorersS 22ucceeeseenneeeeeennneeeeeeeneeeeeeeeeneeeen 220 Konfigurieren des Standardagenten 22eceeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeennen 221 berpr fen von Syslog Integrationen und Listenern 2222nseeeeeeeeeesneeeeeeeeeenn 222 Erstellen eines Syslog Connectors f r den Standardagenten 222ccccceeeesenen 223 berpr fen des Empfangs von Syslog Ereignissen durch CA Enterprise Log Manager
511. wendungsinstanzname des prim ren CA Enterprise Log Manager Servers CAELM sein Laden Sie das Paket mit der virtuellen Appliance herunter Das Verteilungs Image f r die virtuelle CA Enterprise Log Manager Appliance ist ber den Link Download bei Support Online verf gbar Sie m ssen f nf Dateien herunterladen Die Manifestdatei Die ovf Datei Drei virtuelle Laufwerkdateien Manuelle Installation eines CA Enterprise Log Manager Servers Wenn Sie die virtuelle Appliance manuell installieren f hren Sie die folgenden Tasks aus 1 Stellen Sie eine OVF Vorlage bereit 2 Legen Sie die Paravirtualisierungs und Ressourceneinstellungen fest 3 Schalten Sie den bereitgestellten CA Enterprise Log Manager Server ein 352 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Bereitstellen einer OVF Vorlage Sie k nnen die Eigenschaften der virtuellen Appliance in einer OVF Vorlage festlegen VMware verwendet diese Vorlage um einen CA Enterprise Log Manager Server bereitzustellen Verwenden Sie VMware vSphere Client um die OVF Vorlage bereitzustellen Hinweis Die Screenshots zu den folgenden Vorg ngen enthalten Beispieldaten Diese Beispiel Screenshots beziehen sich auf VMware vSphere Client 4 0 0 Wir empfehlen dass Sie die passenden Daten f r Ihre Umgebung angeben So stellen Sie eine OVF Vorlage bereit 1 Klicken Sie auf dem Computer auf dem VMware vSphe
512. werden indem Sie die Beziehungen in der F deration entsprechend konfigurieren Ferner k nnen Sie Abfrageergebnisse von einzelnen Servern abrufen indem Sie die globale Einstellung F derierte Abfragen ausf hren deaktivieren Standardm ig ist die globale Einstellung F derierte Abfragen ausf hren aktiviert Hierdurch werden Abfragen von einem bergeordneten CA Enterprise Log Manager Server an alle untergeordneten CA Enterprise Log Manager Server gesendet Jeder untergeordnete CA Enterprise Log Manager Server sendet eine Abfrage an den aktiven Ereignisprotokollspeicher den Archivkatalog und an alle ihm untergeordneten CA Enterprise Log Manager Server Auf jedem untergeordneten CA Enterprise Log Manager Server wird dann ein einzelner Ergebnissatz erstellt der an den abfragenden bergeordneten CA Enterprise Log Manager Server gesendet wird CA Enterprise Log Manager enth lt einen integrierten Schutz gegen im Kreis verlaufende Abfragen und erm glicht so Netzkonfigurationen Eine typische CA Enterprise Log Manager Implementierung in Unternehmen weist zwischen einem und f nf Servern auf Gro e Implementierungen k nnen aus zehn und mehr Servern bestehen Durch die Art und Weise in der die F deration konfiguriert ist bestimmen Sie wie viele Informationen f r den abfragenden CA Enterprise Log Manager Server sichtbar sind Die einfachste Art von Abfrage geht vom prim ren CA Enterprise Log Manager Server aus und gibt Informationen von a
513. wird Falls Sie mehr Platz bis zu 512 GB ben tigen erh hen Sie die Einstellung Block Size mit folgendem Befehl auf 2 MB Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Starten Sie den ESX Server neu damit die neue Einstellung wirksam wird Weitere Informationen zu diesem und anderen Befehlen finden Sie in der Dokumentation zu VMware ESX Server Klicken Sie auf Next um das Dialogfeld Specify Advanced Options aufzurufen bernehmen Sie im Dialogfeld Advanced Options die Standardwerte und klicken Sie auf Next Das Dialogfeld Ready to Complete wird angezeigt Klicken Sie auf Finish um die nderungen an diesem virtuellen Rechner zu speichern Hierdurch kehren Sie zum Dialogfeld VMware Infrastructure Client zur ck Anhang E CA Enterprise Log Manager und Virtualisierung 343 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtueller Rechnern Installieren von CA Enterprise Log Manager auf dem virtuellen Rechner Gehen Sie wie unten beschrieben vor um CA Enterprise Log Manager auf einem zuvor erstellten virtuellen Rechner zu installieren Sie k nnen im Anschluss an die Installation einen virtuellen bzw dedizierten CA Enterprise Log Manager Server so einrichten dass er eine der verschiedenen funktionellen Rollen wie etwa Verwaltungs Quell oder Berichtsserver bernimmt Falls Sie einen CA Enterprise Log Manager Verwaltungsserver installieren sollten auf diesem Server keine Ereignisproto
514. y Client System um Aktualisierungen bereitzustellen CA Technologies ver ffentlicht Aktualisierungen die in Module verpackt sind auf dem CA Technologies Server f r automatische Software Updates Einen oder mehrere Server in Ihrer Umgebung agieren als Proxys f r automatische Software Updates Diese Proxys setzen sich via Internet mit dem CA Technologies Server f r automatische Software Updates in Verbindung laden Aktualisierungsmodule herunter und installieren sie selbst Alle anderen Server in Ihrer Umgebung sind Clients f r automatische Software Updates die Aktualisierungen von den entsprechenden Proxys herunterladen In einigen Umgebungen ist aufgrund von Sicherheitsrichtlinien oder anderen berlegungen der Internetzugriff beschr nkt In diesen F llen aktualisieren Sie Ihre CA Enterprise Log Manager Umgebung mithilfe von automatischen Software Updates im Offline Modus F r automatische Software Updates im Offline Modus m ssen Sie Aktualisierungen von der CA Technologies FTP Seite f r automatische Software Updates im Offline Modus herunterladen Danach kopieren Sie die Aktualisierungen manuell auf einen CA Enterprise Log Manager Proxy der ber keinen Internetzugriff verf gt und daher Offline Proxy genannt wird Die Aktualisierungen k nnen wie gewohnt durchgef hrt werden indem Clients f r automatische Software Updates Aktualisierungen von diesem Offline Proxy herunterladen und installieren Hinweis Standardm ig wird der Se
515. y Prozesses Eigent mer des Skripts ist das root Konto Der gestartete iGateway Prozess wird unter dem caelmservice Benutzerkonto ausgef hrt Starten des CA Enterprise Log Manager Agent Daemon bzw des CA Enterprise Log Manager Agent Service Mit dem CA Enterprise Log Manager Agent Daemon bzw Service werden Connectors verwaltet die erfasste Ereignisse an einen CA Enterprise Log Manager Server senden Der Prozess muss ausgef hrt werden damit Connectors Ereignisse erfassen k nnen Gehen Sie wie unten beschrieben vor um den CA Enterprise Log Manager Agentenprozess zu starten falls er noch nicht ausgef hrt wird So starten Sie den CA ELM Agent Daemon bzw Service 1 Melden Sie sich als root Benutzer oder Windows Administrator an 2 ffnen Sie eine Eingabeaufforderung und geben Sie den folgenden Befehl ein Linux UNIX Solaris opt CA ELMAgent bin S99elmagent start Windows net start ca elmagent Kapitel 3 Installieren von CA Enterprise Log Manager 89 Installieren eines CA Enterprise Log Manager Servers Stoppen des CA Enterprise Log Manader Agent Daemon oder des CA Enterprise Log Manager Agent Service Mit dem CA Enterprise Log Manager Agent Daemon bzw Service werden Connectors verwaltet die erfasste Ereignisse an einen CA Enterprise Log Manager Server senden Der Prozess muss ausgef hrt werden damit Connectors Ereignisse erfassen k nnen Gehen Sie wie unten beschrieben vor um den CA Enterprise Log Manager Agen
516. y improved performance with YMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no i performance benefit from this support TP Allocation Policy Fixed IPy4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s Ad d Configured compatability For YMotion and some other migrations to vance Ange other hosts which offer YMI support YMware Tools Shut Down Power Management Standby Advanced v General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIY None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel Anhang E CA Enterprise Log Manager und Virtualisierung 385 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 4 Klicken Sie in diesem Fenster auf die Registerkarte Resources 5 W hlen Sie in der Spalte Settings die Option CPU aus und w hlen Sie im Bereich Resource Allocation in der Dropdown Liste Shares High aus Example CA Enterprise Log Manager Yirtual Machine Properties HT Sharing Any 386 Implementierungshandbuch Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances 6 W hlen Sie in der Spalte Settings die Option Memory aus und w hlen Sie im Bereich Resource Allocation in der Dropdown L
517. yslog Listeners statt Falls Sie einen nicht standardm igen Port verwenden m chten m ssen Sie alle Ereignisquellen so neu konfigurieren dass Ereignisse ber diesen Port gesendet werden So leiten Sie einen durch eine Firewall eintreffenden Ereignisstrom um 1 Melden Sie sich als root Benutzer an 2 ffnen Sie eine Eingabeaufforderung 3 Geben Sie einen Befehl ein mit dem die Ports f r Ihre spezifische Firewall umgeleitet werden Im Folgenden finden Sie ein Beispiel f r eine Befehlszeileneingabe f r das netfilter iptables Paketfiltertool unter Red Hat Linux chkconfig level 345 iptables on iptables t nat A PREROUTING p udp dport 514 j REDIRECT to lt Ihr_neuer_Port gt service iptables save 4 Ersetzen Sie die Variable lt hr_neuer_Port gt durch eine verf gbare Portnummer ber 1024 Anleitungen f r den Umgang mit Ports bei anderen Implementierungen erhalten Sie vom Hersteller Ihrer Firewall 120 Implementierungshandbuch Installieren Sie den lt ODBC gt Client Installieren Sie den lt ODBC gt Client Voraussetzungen F r die Installation eines ODBC Clients in Windows Systemen sind folgende Schritte erforderlich 1 berpr fen Sie ob Sie ber die notwendigen Berechtigungen verf gen und erwerben Sie einen Lizenzschl ssel f r den ODBC Client Treiber Voraussetzungen 2 Installieren Sie den lt ODBC gt Client 3 Erstellen Sie mit dem Hilfsprogramm Windows Data Source ODBC
518. zergruppe f r die Rolle zuweisen die der einzelne Benutzer ausf hren soll Wenn Sie auf einen externen Benutzerspeicher verweisen gibt die Suche globale Datens tze zur ck die aus diesem Benutzerspeicher geladen wurden Wenn Ihr konfigurierter Benutzerspeicher der CA Enterprise Log Manager Benutzerspeicher ist gibt die Suche Datens tze zur ck die f r Benutzer in CA Enterprise Log Manager erstellt wurden Nur Administratoren k nnen Benutzerkonten bearbeiten So weisen Sie einem vorhandenen Benutzer eine Rolle oder Anwendungsbenutzergruppe zu 1 Klicken Sie auf die Registerkarte Verwaltung und auf die Unterregisterkarte Benutzer und Zugriffsverwaltung Klicken Sie im linken Fensterbereich auf Benutzer Die Fensterbereiche Benutzer suchen und Benutzer werden eingeblendet W hlen Sie Globale Benutzer aus geben Sie Suchkriterien ein und klicken Sie auf Los Wenn Sie nach geladenen Benutzerkonten suchen wird im Fenster Benutzer der Pfad angezeigt und die Bezeichnung f r den Pfad gibt das externe Verzeichnis an auf das verwiesen wurde Wichtig Geben Sie bei der Suche immer Kriterien ein damit nicht alle Eintr ge in einem externen Benutzerspeicher angezeigt werden W hlen Sie einen globalen Benutzer aus der kein Mitglied einer CA Enterprise Log Manager Anwendungsgruppe ist Auf der Seite Benutzer werden der Ordnername Details zum globalen Benutzer und ggf Angaben zu einer Mitgliedschaft in ei
519. zerspeicher das lokale Repository ist umfassen die Anwendungsbenutzerdetails auch die Anmeldedaten und die Kennwortrichtlinien Eine Anwendungsgruppe ist eine produktspezifische Gruppe die einem globalen Benutzer zugewiesen werden kann Vordefinierte Anwendungsgruppen f r CA Enterprise Log Manager oder Rollen sind Administrator Analyst und Auditor Diese Anwendungsgruppen stehen nur CA Enterprise Log Manager Benutzern zur Verf gung Sie k nnen Benutzern anderer Produkte die auf demselben CA EEM Server registriert wurden nicht zugewiesen werden Benutzerdefinierte Anwendungsgruppen m ssen zur Standardrichtlinie f r den CALM Anwendungszugriff hinzugef gt werden damit die Benutzer auf CA Enterprise Log Manager zugreifen k nnen Eine Anwendungsinstanz ist ein allgemeiner Bereich imCA EEM Repository in dem alle Berechtigungsrichtlinien Benutzer Gruppen Inhalte und Konfigurationen gespeichert werden Normalerweise verwenden alle CA Enterprise Log Manager Server in einem Unternehmen dieselbe Anwendunsgsinstanz standardm ig CAELM Sie k nnen CA Enterprise Log Manager Server mit verschiedenen Anwendunsgsinstanzen installieren aber nur die Server die dieselbe Anwendungsinstanz gemeinsam nutzen k nnen f deriert werden Server die f r die Verwendung desselben CA EEM Servers aber mit verschiedenen Anwendunsgsinstanzen konfiguriert wurden nutzen nur den Benutzerspeicher die Kennwortrichtlinien und die globalen Gruppen gemein
520. zu unterdr cken durch die doppelte Ereignisse f r dieselbe Aktion erstellt werden Wenn Sie auf die Erfassung dieser Ereignisse verzichten kann dies die bertragung der Ereignisprotokolle beschleunigen die Sie speichern m chten Zudem wird weniger Verarbeitungszeit auf dem CA Enterprise Log Manager Server ben tigt In solchen F llen wenden Sie eine oder mehrere geeignete Unterdr ckungsregeln auf Agentenkomponenten an Falls Sie alle Ereignisse eines bestimmten Typs von mehreren Plattformen oder aus Ihrer gesamten Umgebung unterdr cken m chten wenden Sie eine oder mehrere geeignete Unterdr ckungsregeln auf dem CA Enterprise Log Manager Server an Die Auswertung von Ereignissen im Hinblick auf die Unterdr ckung findet statt wenn die Ereignisse auf dem CA Enterprise Log Manager Server eintreffen Bei der Anwendung einer gro en Anzahl von Unterdr ckungsregeln auf dem Server sinkt m glicherweise die Leistung da der Server nicht nur die Ereignisse in den Ereignisprotokollspeicher einf gen sondern zus tzlich die Unterdr ckungsregeln anwenden muss Kapitel 2 Planen der Umgebung 73 Agentenplanung Bei kleineren Implementierungen k nnen Sie die Unterdr ckung auf dem CA Enterprise Log Manager Server ausf hren F r Bereitstellungen mit Zusammenfassung Aggregation k nnen Sie die Unterdr ckung ebenfalls auf dem Server anwenden Wenn Sie nur wenige Ereignisse von einer Ereignisquelle einf gen die in gro em Umfang Ereignisinfor
521. zugriffssitzungen nach Benutzer i Ressourcenzugriffssitzungen nach Host B Ressourcenzugriffssitzungen nach unternehmenskritischen Host b Ressourcenzugriffssitzungen nach Aktion 4 W hlen Sie einen Bericht aus um die Ereignisdaten anzuzeigen Anhang B Aspekte f r CA Access Control Benutzer 305 Sichern von CA Enterprise Log Manager mithilfe von CA Access Control Sichern von CA Enterprise Log Manager mithilfe von CA Access Control Um CA Enterprise Log Manager mithilfe von CA Access Control zu sichern m ssen Sie CA Access Control auf CA Enterprise Log Manager installieren Sie k nnen den Benutzerzugriff steuern und Auditprotokolle sichern die von einem Produkt stammen oder von CA Enterprise Log Manager durch das Erstellen von Regeln in CA Access Control generiert wurden Hinweis Informationen zum Erstellen von Regeln in CA Access Control finden Sie in der CA Access Control Dokumentation Beispiel Erstellen einer Regel die den Benutzerzugriff auf den Ordner data berwacht Nehmen Sie an dass Sie eine Regel in CA Access Control erstellen m chten die den Benutzerzugriff auf den Ordner data in CA Enterprise Log Manager berwacht F hren Sie dazu folgende Schritte aus 1 Navigieren Sie zum Installationspfad von CA Access Control Standardinstallationspfad opt CA Access Control 2 F hren Sie folgenden Befehl aus selang Der CA Access Control Befehlszeilen Interpreter wird angezeigt 3 F hren Sie folgenden B
522. zw die g ltige IP Adresse des NTP Servers ein von dem der CA Enterprise Log Manager Server die Informationen zu Datum und Uhrzeit beziehen soll Anhang E CA Enterprise Log Manager und Virtualisierung 349 Erstellen von CA Enterprise Log Manager Servern mithilfe von virtuellen Appliances Erforderliche Informationen Speicherort des CA EEM Servers Hostname oder IP Adresse des CA Servers 350 Implementierungshandbuch Wert Local beim ersten installierten Server Verwaltungsserve r Remote bei jedem weiteren Server IP Adresse oder Hostname Kommentare Geben Sie an ob Sie einen lokalen oder einen standortfernen CA EEM Server verwenden m chten W hlen Sie bei einem CA Enterprise Log Manager Verwaltungsserver die Option Local Sie werden im Zuge der Installation aufgefordert ein Kennwort f r das EiamAdmin Standardbenutzerkonto anzulegen W hlen Sie bei jedem weiteren Server die Option Remote Sie werden im Zuge der Installation nach dem Namen des Verwaltungsservers gefragt Unabh ngig davon ob Sie die Option local oder remote gew hlt haben m ssen Sie bei der erstmaligen Anmeldung bei jedem CA Enterprise Log Manager Server die EiamAdmin Konto ID und das EiamAdmin Kennwort verwenden Geben Sie diesen Wert ein nur wenn Sie die Serveroption remote ausgew hlt haben Geben Sie die IP Adresse bzw den Hostnamen des CA Enterprise Log Manager Verwaltungsservers ein den Sie zuerst i

Download Pdf Manuals

Related Search

Related Contents

Prise en charge du patient adulte ventilo-assisté (2010)  GA-K8NSC-939 - CONRAD Produktinfo.  geoSTOR - Vaillant  ネットワーク異常発生！！ - PRODUCT SEARCH サービス終了の  Portable Ground Control Station  Mini-souris mémoire 800 avec mémoire Flash 8.5 cm 8.5 cm    Biographie Langagière  Sony SPK-AS2 Marketing Specifications  EFI Color Laser HGE165 high-gloss  

Copyright © All rights reserved. Failed to retrieve file