EventsManager

реклама
EventsManager
План

Установка

Сбор информации

Создание правил

Настройка аудита
Установка (1/6)

GFI EventsManager (ESM) может быть установлен на Windows
2000/2003/2008, Windows XP Pro или Vista

Поддерживаются системы 32-bit и 64-bit

Для обработки событий с Windows Vista и 2008, GFI ESM должен
быть установлен на машину с Windows Vista или 2008
Установка (2/6)

ESM не следует устанавливать на загруженные или ключевые
машины

Необходимо учесть количество событий, генерируемое в сети, и
рассчитать примерный трафик при условии передачи событий с
удаленной машины на сервер ESM

При использовании внешнего SQL сервера для хранения событий,
необходимо также учесть трафик от ESM до SQL
Установка (3/6)

Чем больше размеры организации, тем больше событий
генерируется в сети

В случае большого количества источников событий, рекомендуется
устанавливать несколько копий ESM

Не забудьте настроить ESM для уменьшения объема хранимой в
SQL информации

Наиболее эффективна ручная фильтрация списка событий, которые
необходимо хранить

Также можно удалять события, которые старше X дней
Установка (4/6)

Размер системного события windows ~300 байт

Рекомендованный максимальный размер пакета Syslog 1024 байт

Размеры событий W3C зависят от количества включенной
дополнительной информации

Сообщения SNMP как минимум 484 байта и никак не лимитированы

Использование юникода может увеличить объемы БД почти на 70%
Установка (5/6)

ESM использует следующие порты
> 514 TCP / UDP – Syslog
> 162 TCP / UDP – SNMP
> 7787 TCP – windows event logs
> 7788 UDP – windows event logs
> 135 TCP – передача сообщений по сети.
> 1433 TCP – общение с SQL сервером

Порты для сбора логов могут быть изменены
Установка (6/6)

Для отладки проблем установки необходимо просмотреть:
> Файлы журналов в папке %temp%
•
•
ESM8*.log
esm*.csv
> Системные события
Сбор информации

ESM Service загружает коннекторы для каждого типа собираемых
событий

Для Windows Vista/2008 запускается отдельный модуль

Каждый из подгруженных модулей будет собирать события и
сохранять в БД

Для обработки Windows events используется EvtLogic

Все остальные типы событий обрабатываются с помощью
LogicProcessor

Оба модуля ответственны за сохранение результатов в БД,
используя ODBCModule
Создание правил (1/2)

Как только получено событие, GFI ESM запускает проверку по
правилам и триггерам, установленным администратором в
настройках продукта

Правила обработки событий собраны в 'Rule Sets’, представляющие
собой категоризированные готовые варианты правил с описанием

Компьютеры могут генерировать миллионы событий, большинство из
которых может не нести важной информации или быть
повторяющимися

GFI ESM имеет возможность обнаружения и настраиваемой
фильтрации подобного «шума»
Создание правил (2/2)

Если Вы заметили, что какие-то правила не выполняются, вероятно,
событие было воспринято как «шум»

Для проверки необходимо увеличить приоритетность правила выше
уровня определения шума
Настройка аудита (1/2)

На локальной машине
> Откройте настройки Local Security Policy
•
Start > Settings > Control Panel > Administrative Tools > Local
Security Policy
> Перейдите в Local Policies > Audit Policy и откройте нужный
раздел
> Отметьте типы событий, которые Вы хотите включить в аудит

Эти настройки ограничиваются одной машиной
Настройка аудита (2/2)

Настройка аудита в Group Policy
> Выполните ‘Start’ -> ‘Run’ -> ‘mmc’
> Перейдите в ‘File’ -> ‘Add/Remove Snap-in…’
> Нажмите кнопку ‘Add’, выберите ‘Group Policy Object Editor’ и
подтвердите, нажатием ‘Add’.
> Выберите политику для аудита и нажмите ‘Finish’ and then
‘Close’
> В разделе Group Policy Object Editor раскройте ‘Computer
Configuration’.
> Перейдите в ‘Windows Settings’ > ‘Security Settings’ > ‘Local
Policies’ > ‘Audit Policy’

Использование Group Policies является идеальным в условиях
настройки в рамках домена
EventsManager
Вопросы?
Скачать