|
Verarbeitung stoppen Durch Aktivieren dieses Kästchens wird verhindert, dass alle Filter unterhalb dieses Filters im gleichen Paket oder Filter in Paketen unterhalb des aktuellen Pakets verarbeitet werden.
Bestätigung erforderlich Bei der Konsolidierung von Ereignissen in einer Datenbank kann man für ausgewählte Ereignisse eine manuelle Bestätigung verlangen. Dies ist normalerweise bei kritischen Ereignissen nützlich, die überprüft und manuell "gelöscht" oder "bestätigt" werden müssen.
Beispielsweise können Sie einen Filter für Ereignisse erstellen, die sich auf ein fehlgeschlagenes Sicherungsereignis beziehen. Wenn ein Backup fehlschlägt, wird dieses Ereignis in den Web Reports als "ausstehende Bestätigung" angezeigt, so dass ein Administrator dokumentieren muss, welche Maßnahmen zur Lösung des Problems ergriffen wurden. |
|
Wenn bei einem Filter, der mit dem Ereignis übereinstimmt, "Bestätigung erforderlich" eingestellt ist, bleibt das Bestätigungsflag erhalten, auch wenn bei anderen übereinstimmenden Filtern diese Einstellung nicht aktiviert ist. |
E-Mail / Netzwerk-Aktion überschreibt
Standardmäßig werden alle Ereignisse in der vorliegenden Form weitergeleitet, was für einige Benutzer überwältigend sein kann. Die Funktion "Überschreiben" ermöglicht es dem Benutzer, sowohl das Thema/Titel als auch den Inhalt einer E-Mail oder Netzwerknachricht zu definieren. Der Betreff/Titel oder die Nachricht kann entweder ein statischer Text sein oder beliebige Variablen aus dem Ereignis selbst enthalten (z.B. Einfügetexte oder Ereigniseigenschaften). Das obige Bildschirmfoto zeigt zwei Einfügetexten aus einem 4625-Sicherheitsereignis, das verwendet wird.
|
Wenn eine E-Mail mehr als ein Ereignis enthält, wird der E-Mail-Nachrichtentext nicht überschrieben und stattdessen auf den "Standard" zurückgesetzt, wo der Inhalt jedes Ereignisses aufgelistet ist. |
Einfügungetexte überschreiben
Obwohl die meisten Ereignisse Nachrichten-DLLs ("event message files") verwenden, welche die Fähigkeit unterstützen, Filterregeln auf der Grundlage von Einfügetexten zu erstellen, verwenden einige Ereignisse entweder keine Nachrichtenvorlagen oder enthalten lange dynamische Inhalte, bei denen Einfügetexte nicht hilfreich sind.
Wenn EventSentry beispielsweise den Inhalt einer Protokolldatei oder einer eingehenden Syslog-Nachricht protokolliert, wird dieser Inhalt einfach in das entsprechende EventSentry-Ereignis injiziert. Wenn der (Logdatei-)Inhalt einem bekannten Muster folgt, kann EventSentry die Einfügetexte des Ereignisses auf der Grundlage eines Musters regulärer Ausdrücke neu definieren. Die ursprünglichen Einfügetexte gehen verloren weil sie überschrieben werden.
Template |
Actual Event |
Event after insertion string override |
|
Event |
Text matching one or more filter rules has been found in file %1:
%2 |
Text matching one or more filter rules has been found in file C:\INETPUB\LOGS\LOGFILES\W3SVC1\u_ex161022.log: |
Text matching one or more filter rules has been found in file C:\INETPUB\LOGS\LOGFILES\W3SVC1\u_ex161022.log: |
Insertion Strings |
$STR1 = C:\INETPUB\LOGS\LOGFILES\W3SVC1\u_ex161022.log $STR2 = 2016-10-22 07:20:04 12.31.29.171 GET /index.php - 443 - 12.31.29.80 Mozilla/5.0+[en]+(X11,+U;+OpenVAS+8.0.7) 404 0 2 0 |
$STR1 = 2016-10-22 $STR2 = 07:20:04 $STR3 = 12.31.29.171 $STR4 = GET $STR5 = /index.php $STR6 = - $STR7 = 443 $STR8 = - $STR9 = 12.31.29.80 $STR10 = Mozilla/5.0+[en]+(X11,+U;+OpenVAS+8.0.7) $STR11 = 404 $STR12 = 0 $STR13 = 2 $STR14 = 0 |
