Please enable JavaScript to view this site.

info_20

Dieses Kapitel trifft nur auf formatierte Protokolldateien zu.

 

Da formatierte Protokolldateien einem vordefinierten Muster folgen, müssen Sie das Layout der abgegrenzten Protokolldatei in EventSentry spiegeln, so dass EventSentry weiß, wie die Protokolldatei analysiert und aufgeteilt werden muss, wenn es Informationen in der Datenbank konsolidiert. Sobald eine Protokolldatei-Definition erstellt wurde, kann sie auf eine oder mehrere Protokolldateien angewendet werden (siehe nächster Abschnitt).

 

Die Überwachung formatierter Protokolldateien hat den Vorteil, dass Sie Suchvorgänge durchführen und Berichte auf der Grundlage der verfügbaren Felder in der Protokolldatei erstellen können. Wenn Sie z.B. eine IIS-Protokolldatei überwachen, können Sie die am häufigsten protokollierten IP-Adressen in einem Bericht anzeigen.

 

Um eine neue Dateidefinition zu erstellen oder eine vorhandene zu bearbeiten, klicken Sie mit der rechten Maustaste auf den Container Log File Packages und wählen Sie Files and Files Types. Der Bereich Protokolldatei-Definitionen zeigt Ihnen alle derzeit konfigurierten Dateidefinitionen an und ermöglicht es Ihnen, neue Definitionen hinzuzufügen.

 

clip0139

 

Um eine neue Definition hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen, wodurch das Dialogfeld Protokolldateidefinition angezeigt wird. Sie können auch eine vorhandene Definition bearbeiten, indem Sie auf eine Definition aus der Liste doppelklicken. Das Dialogfeld ist in zwei Hauptabschnitte unterteilt - "Allgemein" und "Zuordnungen" - die beide erforderlich sind.

 

Allgemein

Option

Beschreibung / Erläuterung

Beispiel

Name

Name der Definition

Firewall-Protokoll

Zeilentrennzeichen

Konfiguriert das Zeilenende (\r\n) von den Protokolldateien, in den meisten Fällen sollte hier Windows ausgewählt werden. Wenn Protokolldateien von einem Linux/Server importiert werden, oder das Zeilenende Unix (\n) enspricht, dann sollte hier Unix ausgewählt werden.

Windows

Trennzeichen

Das Zeichen, durch das Felder in der Protokolldatei getrennt werden

;

Kommentare beginnen mit

Zeilen, die mit dem angegebenen Zeichen beginnen, werden ignoriert

#

Folgende Zeichen ignorieren

Alle hier angegebenen Zeichen werden aus der aktuellen Zeile entfernt, bevor sie analysiert wird.

()[]

Leere Felder überspringen

Leere Felder ignorieren, hat den gleichen Effekt wie das Setzen einzelner Felder auf "Ignorieren". Die Verwendung dieser Option kann bei Protokolldateien, die viele leere Felder enthalten, einfacher zu konfigurieren sein als die Verwendung von "Ignorieren".

 

Restlichen Text zusammenführen

Standardmäßig ordnet EventSentry nur Felder zu, die zugeordnet sind. Wenn die Protokolldatei mehr Felder enthält, werden diese ignoriert. Wenn Sie diese Option aktivieren, werden alle verbleibenden Felder am Ende der Zeile zusammengeführt und an das letzte zugeordnete Feld angehängt. Dies ist normalerweise nur für Protokolldateien sinnvoll, die eine variable Anzahl von Feldern enthalten, die selten benutzt werden, aber dennoch konsolidiert werden sollten.

 

Zeitstempel sind UTC

Zeigt an, dass der Zeitstempel in UTC protokolliert wird (im Gegensatz zur lokalen Zeit)

2019-02-25 18:00:01

US-Datumsformat bevorzugen

Aufgrund der unterschiedlichen Datumsformate, die weltweit verwendet werden (MM/DD vs. DD/MM), ist es dem Agenten nicht immer möglich, das Datumsformat automatisch zu erkennen. Wenn das Datumsformat in einer Protokolldatei im US-Datumsformat (Monat vor dem Tag) vorliegt, wird empfohlen, dieses Kästchen anzukreuzen

 

 

Zuordnungen

Der Abschnitt Zuordnungen ermöglicht es EventSentry mitzuteilen, wie die Struktur der Protokolldatei aussieht, so dass EventSentry die Datei korrekt analzsieren und die einzelnen Felder ihren jeweiligen Datentypen zuordnen kann. Lassen Sie sich nicht von der Anzahl der Felder im Dialogfeld einschüchtern, dieses Kapitel erklärt, wie man eine neue Zuordnung von Grund auf erstellt.

 

Verwendung von Vorlagen

Wenn eine Dateidefinition bereits im Abschnitt "Laden aus Vorlage" aufgeführt ist, wird dringend empfohlen, die Definition aus der Pulldown-Liste auszuwählen und auf Laden zu klicken, um die Zuordnungen vorzufüllen. Sobald die Zuordnungen angezeigt werden, vergleichen Sie sie mit der Protokolldatei, die Sie überwachen wollen und stellen Sie sicher, dass die Zuordnungen aus der Temporärdatei mit dem Inhalt der Datei übereinstimmen. Einige Anwendungen enthalten ein Standardprotokollformat, das angepasst werden kann. Es ist daher wichtig, dass Sie die Zuordnungen anpassen, wenn das Standardformat geändert wurde.

 

Der beste Weg eine Protokolldatei abzubilden, ist das Öffnen der Protokolldatei in einem Tabellenkalkulationsprogramm wie Microsoft Excel oder OpenOffice Calc. Auf diese Weise können Sie die Datei in Felder konvertieren und jede Zeile, die in die einzelnen Felder aufgeteilt ist, leicht erkennen. Wenn Sie kein Tabellenkalkulationsprogramm zur Verfügung haben, können Sie die Protokolldatei einfach in einem Texteditor wie Notepad öffnen.

 

Wenn Sie ein klares Bild von den verfügbaren Feldern in der Protokolldatei haben, können Sie von links beginnend entscheiden, wie Sie die einzelnen Felder abbilden wollen. Für jedes der in der Protokolldatei verfügbaren Felder müssen die folgenden Schritte durchgeführt werden:

 

1. Geben Sie eine Beschreibung des Feldes an

2. Zuordnung des Feldtyps zu einem der verfügbaren Datenbank-Datentypen

 

1. Feld Beschreibung

Die Angabe einer Feldbeschreibung hilft bei der Analyse der Protokolldatei über die EventSentry-WebReports. Anstatt die Standardbeschreibung "Feld XX" beizubehalten, geben Sie einen passenden Feldnamen ein, z.B. "Quell-IP" oder "Übertragene Bytes". Diese Informationen werden dann in der Suchausgabe und in den Berichten angezeigt. Sie finden diese Informationen entweder im Header der Protokolldatei oder in der Anwendung welche die Protokolldatei erzeugt.

 

2. Mapping auf einen Datenbank-Datentyp

Nachdem Sie die Feldbeschreibung eingegeben haben, können Sie den Feldinhalt auf einen Datentyp abbilden. Welche Datenbanktypen für die Verwendung zur Verfügung stehen, entnehmen Sie bitte der folgenden Tabelle. Beachten Sie, dass für jeden Typ nur eine begrenzte Anzahl von Feldern zur Verfügung steht. Wenn Sie z. B. einmal den Datentyp "Integer [#1]" für ein Feld verwendet haben, können Sie ihn nicht mehr verwenden und müssen "Integer [#2]" verwenden, wenn Sie das nächste Mal ein Feld dem Typ Integer zuordnen wollen.

 

Please see the table below to see which types are available for use:

 

 

Maximum Length

Maximum Usage Count

Best Use

Ignore

n/a

unlimited

Feld ignorieren

Integer

0 - 2147483647

18

Zahlen

Text (32 chars max)

32 characters

4

Für kurzen Text, der in den meisten Zeilen der Protokolldatei eindeutig ist (keine oder wenig Wiederholungen)

Text (512 chars max)

512 characters

4

Für längeren Text, der in den meisten Zeilen der Protokolldatei eindeutig ist (keine oder wenig Wiederholungen)

Text (1024 chars max)

1024 characters

2

Für langen Text, der in den meisten Zeilen der Protokolldatei eindeutig ist (keine oder wenig Wiederholungen)

Lookup Text

1024 characters

8

Für langen Text welcher oft wiederholt wird

Date / Time

n/a

2

Für Text der entweder ein Datum oder eine Uhrzeit darstellt (siehe unten für weitere Informationen)

 

Text oder Lookup Text?

Während der Unterschied zwischen den Feldtypen "Ignorieren" und "Ganzzahl" relativ einfach zu verstehen, ist es weniger offensichtlich, ob Sie den Datentyp "Text ..." oder "Lookuptext" für ein Textfeld verwenden sollten.

 

Verwenden Sie diese Regel: Wenn der Text des Feldes weiterhin durch die Protokolldatei(en) hindurch angezeigt wird, z.B. eine IP-Adresse in einer Firewall-Protokolldatei, dann sollten Sie den Datentyp "Lookup-Text" verwenden. Text dieses Typs wird nur einmal in einer zentralen Nachschlagetabelle gespeichert, wodurch Speicherplatz in der Datenbank gespart wird und Sie die Ausgabe in den Berichten nach dem Feld gruppieren können. Wenn es sich bei dem Feld beispielsweise um die IP-Adresse interner Hosts aus einer Firewall-Protokolldatei handelt, können Sie einen Bericht anzeigen lassen, der zeigt, wie viele Zeilen vom Computer durch die Firewall protokolliert wurden!

 

Wenn dagegen der Text des Feldes für fast jede Zeile eindeutig ist (z.B. eine Checksumme, Anmelde-ID), dann ordnen Sie den Text am besten einer regulären Textart zu. Es würde keinen Sinn machen, eine Lookuptabelle mit Werten zu füllen, die sich millionenfach ändern.

 

Datum/Uhrzeit

Anstatt Zeitstempel als String-Werte zu speichern, können gängige Datums-/Zeitformate geparst und in einen Zeitstempelwert konvertiert werden, wenn einer der folgenden Punkte für das ausgewählte Feld (Spalte) in der Protokolldatei zutrifft:

 

Der Zeitstempel enthält das Datum und die Uhrzeit

Der Zeitstempel enthält nur das Datum, aber das Feld unmittelbar nach dem Datum enthält die Uhrzeit (siehe Bildschirmfoto unten)

 

Wenn die Spalte einer Protokolldatei, die als Datum/Uhrzeit markiert ist, nur ein Datum (ohne die Uhrzeit) enthält, holt EventSentry die Uhrzeit aus der nächsten Spalte, indem es die beiden Spalten zusammenführt. Wenn also eine Protokolldatei Datum und Uhrzeit in getrennten Spalten protokolliert, ist nur eine einzige Datum/Uhrzeit-Definition erforderlich.

 

warning_24

Das Parsen nur eines Datums (z.B. 12/1/2019) oder nur einer Uhrzeit (z.B. 15:03:44) wird nicht unterstützt; unvollständige Datumsangaben erfordern einen Feldtyp im Textstil (Text oder Nachschlagetext).

 

Die Bildschirmkopie unten zeigt eine Protokolldatei, in der Datum und Zeit in zwei Spalten aufgeteilt sind, die entsprechende Definition der Protokolldatei ist unten dargestellt:

 

clip0355

 

clip0356