Die Globalen Optionen sind Einstellungen, die für alle Computer gelten, unabhängig von ihrer Gruppenzugehörigkeit. Die globalen Optionen sind in die Einstellungen "Allgemein" und "Heartbeat" unterteilt, klicken Sie auf die jeweilige Registerkarte, um sie aufzurufen.
Boot-Zeit-Verhalten
|
EventSentry überwacht das Ereignisprotokoll, wenn es ausgeführt wird. Wenn der Dienst nicht läuft (z. B. wenn das System neu gestartet wird), kann er die Ereignisprotokolle nicht überwachen. Ereignisprotokolleinträge, die erstellt werden, während der Dienst angehalten wird, werden nicht verarbeitet.
Um dieses Problem zu vermeiden, können Sie EventSentry so konfigurieren, dass es nach Ereignissen sucht, die nach dem letzten Beenden des Dienstes erstellt wurden, indem Sie diese Funktion auf "die meisten" setzen. Jedes Mal, wenn der Dienst gestartet wird, scannt er das Ereignisprotokoll vom letzten Kontrollpunkt aus. Diese Funktion ist auch nützlich, um festzustellen, ob ein Server neu gestartet wurde.
Hoch: EventSentry scannt das Ereignisprotokoll erneut und verarbeitet Ereignisse, die aufgetreten sind, während der Dienst angehalten wurde.
Standard: EventSentry überwacht das Ereignisprotokoll unmittelbar nach dem Start des Dienstes, verarbeitet jedoch keine Ereignisse, die während der Unterbrechung des Dienstes aufgetreten sind.
Minimum: EventSentry ignoriert Ereignisse, die in den ersten X Sekunden nach dem Hochfahren des Betriebssystems aufgetreten sind. Wenn EventSentry Ihnen z.B. viele Ereignisse per E-Mail schickt, wenn ein Server neu gestartet wird, dann können Sie diese Funktion so konfigurieren, dass Ereignisse für eine bestimmte Anzahl von Sekunden unterdrückt werden. Klicken Sie auf die Schaltfläche "Einstellungen", um das Dialogfeld "Boot-Verzögerungseinstellungen" aufzurufen, in dem Sie das Intervall und die Aktionstypen konfigurieren können, für die diese Funktion gilt. |
Hinweis: Bei SMTP-E-Mails, die von einem Boot-Scan gesendet werden, wird "[RESCAN]" an den Betreff angehängt.
|
Diese Option steuert, wie Hosts sich in den Web Reports identifizieren.
NetBIOS Standardmäßig erscheinen die Computernamen mit ihren NetBIOS-Namen (z.B. SERVER1) in Warnmeldungen und im Web-Reporting.
FQDN Hosts erscheinen mit ihrem jeweiligen FQDN-Namen (z.B. server1.yourdomain.local) statt nur mit dem Hostnamen. Bitte beachten Sie, dass Sie den Agenten neu starten müssen, damit diese Änderung wirksam wird.
Alias Erzwingt, dass Hosts mit dem in der Verwaltungskonsole definierten Namen anstelle ihres tatsächlichen Hostnamens angezeigt werden. Diese Einstellung erfordert, dass mindestens eine aktive IP-Adresse mit der IP-Adresse übereinstimmt, die für den Hostnamen in einer EventSentry-Gruppe konfiguriert ist. Diese Einstellung ist nützlich für Umgebungen, in denen Hosts mit identischen Namen, aber aus verschiedenen Subnetzen mit derselben EventSentry-Datenbank verbunden sind. Wenn sie konfiguriert ist, wird auch die Variable $HOSTNAMEALIAS unterstützt.
|
Temp-Datei
|
Bestimmte Aktionstypen, einschließlich E-Mail, Datenbank und Syslog, haben die Fähigkeit, Ereignisse zwischenzuspeichern, wenn der konfigurierte Server vorübergehend nicht verfügbar ist. Mit dieser Einstellung können Sie den maximalen Festplattenspeicherplatz konfigurieren, den EventSentry im temporären Systemverzeichnis (%TEMP%) für die Zwischenspeicherung von Ereignissen verwendet.
Diese Einstellung gilt auch für den Speicher, der für die summarischen Aktionen verwendet wird. |
Maximale Benachrichtigungsintervalle
|
Viele Funktionen, einschließlich Umgebungsüberwachung, Festplattenspeicher- und Dienstüberwachung, schreiben Warnmeldungen in das Ereignisprotokoll, wenn ein bestimmtes Problem (z.B. zu wenig Festplattenspeicher, hohe Umgebungstemperatur usw.) erkannt wird. Um zu vermeiden, dass das Ereignisprotokoll mit demselben Ereignis, das sich auf dasselbe Problem bezieht, überflutet wird, können Sie hier ein maximales Benachrichtigungsintervall festlegen.
Wenn Sie z.B. ein maximales Benachrichtigungsintervall von 24 Stunden festlegen, wird eine Warnung wegen zu wenig Speicherplatz auf Laufwerk C nur einmal alle 24 Stunden protokolliert, bis das Problem mit zu wenig Speicherplatz behoben ist. |
Alert Clear Severity
|
Standardmäßig werden bei der Überwachung von Leistung und Speicherplatz Ereignisse mit demselben Schweregrad protokolliert (wie im Objekt konfiguriert), unabhängig davon, ob ein Problem erkannt oder behoben wurde. Dies ist so, damit die Standard-Ereignisprotokollfilterregeln sowohl Warnungen als auch deren Resolution identisch verarbeiten.
Da beides verwirrend sein kann (ein Problem wird gelöst, aber als "Fehler" protokolliert), setzt diese Einstellung das Standardverhalten außer Kraft und protokolliert Ereignisse welche die Resolution eines Fehlers protokollieren mit dem ausgewählten Schweregrad.
Diese Einstellung wirkt sich nur auf die Leistungsüberwachung und die Speicherplatzüberwachung aus. |
UTC-Unterstützung
|
Beginnend mit Version 3.0 kann EventSentry alle Zeitstempel in der UTC-Zeitzone in die Datenbank schreiben. Dies ist hilfreich für Netzwerke, die sich über mehrere Zeitzonen erstrecken, da die Web Reports alle Daten in der lokalen Zeitzone des aktuell angemeldeten Benutzers anzeigen können.
Die UTC-Unterstützung ist für neue Installationen standardmäßig aktiviert und kann auch für Benutzer eingeschaltet werden, die von früheren Installationen upgraden. Einmal aktiviert, kann die UTC-Unterstützung nicht wieder ausgeschaltet werden.
UTC wirkt sich nur auf die Web-Reports aus, die von den Agenten generierten Alerts verwenden z.B. immer noch den Zeitstempel der lokalen Zeitzone, in der sich der Agent befindet.
|
|
Wenn Wartungspläne für eine Gruppe oder einen Host erstellt werden, gelten sie nur für Heartbeat-Alarme, die vom Heartbeat-Agenten generiert werden; etwaige Alerts (z. B. Ereignisprotokoll-Alarm per E-Mail) werden weiterhin von einem Agenten verschickt.
Um alle E-Mail-Benachrichtigungen während eines Wartungsplans zu unterdrücken, aktivieren Sie das Kontrollkästchen "Alle E-Mail-Aktionen"; aktivieren Sie das Kontrollkästchen "Alle Pager-Aktionen", um alle Pager-Benachrichtigungen zu unterdrücken.
Beide Kontrollkästchen sind bei Neuinstallationen standardmäßig aktiviert. |
Sicherheits-Optionen
|
Agenten: speichern Sie in der lokalen Registrierungskonfiguration nur die Gruppe, in der der Agent Mitglied ist. Standardmäßig erhalten alle Remote-Agenten die vollständige übertragene EventSentry-Konfiguration, einschließlich aller darin enthaltenen Gruppen und Hostnamen. Dies ist in Situationen, in denen dieselbe EventSentry-Konfiguration zur Überwachung disparater & isolierter Netzwerke verwendet wird, wie z.B. in MSP-Umgebungen, unter Umständen nicht wünschenswert. Die Aktivierung dieser Option stellt sicher, dass ein Remote-Agent nur die Gruppendaten der Gruppe speichert, der er angehört. |
Geolokalisierung
EventSentry wird mit einer kostenlosen Geolite-Stadtgeolokalisierungsdatenbank geliefert, die IP-Adressen mit ihrer entsprechenden Geolokalisierung ergänzt. EventSentry enthält diese Datenbank, die mit jedem EventSentry Update aktualisiert wird. Die neueste Version der Datenbank kann auch von http://dev.maxmind.com/geoip/geoip2/geolite2/ heruntergeladen werden. Folgen Sie den nachstehenden Schritten, um die Geodatenbank zu aktualisieren:
1. Klicken Sie in der Verwaltungskonsole auf "Dienste".
2. Beenden Sie den Dienst "Network Services".
3. Beenden Sie den Dienst "Collector", wenn er läuft
4. Ersetzen Sie die GeoIP-Datenbankdatei durch die neueste Version (nur im mmdb-Format!)
5. Starten Sie den "Collector"-Dienst erneut, wenn er lief
6. Starten Sie den Dienst "Network Services".
Bedrohungsintelligenz erhalten
Wenn ein API-Schlüssel konfiguriert ist, dann wird eine schwarze Liste von AbuseIPDB heruntergeladen (zusätzlich zu den drei kostenlosen schwarzen Listen) und ein Bedrohungsstatus jeder IP-Adresse wird ebenfalls in Echtzeit von der AbuseIPDB-Website abgerufen. Weitere Einzelheitenfinden Sie unter Preise von AbuseIPDB, ein kostenloser Dienst mit begrenzten Überprüfungen ist verfügbar (1000 Abfragen/Tag, Stand November 2020).
Benutzerdefinierte Schwarze Liste: Um Sperrlisten von Drittanbietern einzubinden, speichern Sie die gesperrten IPs im folgenden Format in der Datei %SYSTEMROOT%\system32\eventsentry\temp\eventsentry_threatintel_custom.tmp. Diese Datei wird, wenn sie vorhanden ist, bei jedem Download der anderen Blacklists importiert:
IP;Confidence Score;Titel
IP: IP-Adresse
Confidence-Score (optional): Zahl 0..100
Titel (optional): Titel oder Beschreibung der Bedrohung
Beispiel:
10.20.30.40;60;Port-Scan
10.20.80.22;90;Web-Angriff,Port-Scan,Spam
Optionale Felder können weggelassen werden: "Confidence Score" ist standardmäßig auf 50 gesetzt, wenn nicht vorhanden, "Titel" ist auf "n/a" gesetzt, wenn nicht vorhanden. Es muss mindestens eine IP-Adresse pro Zeile angegeben werden.
Der Bedrohungsintelligenzstatus kann in Ereignisprotokollfiltern und in den Webberichten verwendet werden, um Berichte auf der Grundlage des Bedrohungsstatus einer IP-Adresse zu filtern.
Heartbeat-Einstellungen
Weitere Informationen zu den allgemeinen Heartbeat-Einstellungen finden Sie unter "Allgemeine Optionen einstellen" im Kapitel Netzwerküberwachung.
