EventSentry kann Ereignisprotokollaufzeichnungen über ODBC an jeden unterstützten Datenbankserver senden. "Connection Strings" sind der empfohlene Weg, um die Aktion auf eine Datenbank zu verweisen.
|
Unter Schritte zur Ereignisprotokollkonsolidierung finden Sie Informationen darüber, wie Sie Ereignisprotokollsätze konsolidieren.
Verwenden Sie das Datenbank-Import-Dienstprogramm, um archivierte Ereignisprotokollsicherungen (.evt/.evtx) oder Protokolldateien in eine Datenbank zu importieren. |
Connection Strings
Anwendungen können entweder Connection Strings oder einen System-DSN (Datenquellenname) verwenden, um eine Verbindung zu einer Datenbank herzustellen. Ersteres ist einfacher zu implementieren, da Sie nicht auf jedem Host eine DSN erstellen (und warten) müssen.
Um einen Connection String zu erstellen, verweisen Sie entweder auf Ihre:
• Dokumentation von Datenbankanbietern
• Eine Online-Ressource (z.B. http://www.connectionstrings.com)
• Verwenden Sie den integrierten Connection String Helper, indem Sie auf Create klicken
Der Connection String Helper richtet automatisch einen Connection String für unterstützte Datenbanken ein, Sie müssen nur die erforderlichen Parameter angeben. Wenn zusätzliche Informationen benötigt werden oder die Verbindung nicht funktioniert, bearbeiten Sie bitte die generierte Zeichenfolge im ODBC-Haupt-Dialogfeld manuell.
Durch Aktivieren dieses Kontrollkästchens wird verhindert, dass die Details der Verbindung (z.Bsp. Passwort) an die Remote-Agenten übertragen werden. Dieses Kontrollkästchen sollte nur aktiviert werden, wenn ein Collector konfiguriert ist, da die Remote-Agenten sonst keine Verbindung zur Datenbank herstellen können.
Wenn auf einem oder mehreren Remote-Hosts ein anderer EventSentry-Dienst als der Überwachungs-Agent (z. B. Heartbeat-Agent, Netzwerkdienst) ausgeführt wird, müssen die Hosts, auf denen diese Dienste ausgeführt werden, als "Trusted Host" (vertrauenswürdiger Host) konfiguriert werden. "Trusted Hosts" erhalten die vollständigen Connection String-Details, auch wenn erhöhte Sicherheit aktiviert ist. Um einen Host als vertrauenswürdig zu konfigurieren, klicken Sie mit der rechten Maustaste auf das Host-Element in der Computergruppe, klicken Sie auf "Bearbeiten" und aktivieren Sie das Kontrollkästchen "Trusted Host".
|
Nachdem Sie eine Verbindung zu Ihrem Datenbankserver eingerichtet haben, klicken Sie auf die Schaltfläche Initialize or Update Database, um die Datenbank und das Schema zu erstellen. |
DSN-Name
Als Alternative zu Verbindungszeichenketten können Sie auch System-DSN-Namen verwenden, um eine Verbindung zu einer Datenbank herzustellen. Geben Sie den Namen eines System-DSN ein. Weitere Informationen zu DSN-Namen finden Sie unter Best Practices. Der hier angegebene DSN-Name muss auf jedem Host, der diese Aktion verwendet, vorhanden sein (siehe auch: Fehlerbehebung).
Sie können nicht sowohl einen DSN als auch einen Connection String angeben.
Benutzername/Passwort
Wenn Ihre Datenquelle ein Login erfordert, geben Sie Benutzername und Passwort an. Für weitere Informationen über Benutzername und Passwörter lesen Sie bitte auch Best Practices.
Verwalten von ODBC
Wenn Sie auf diese Schaltfläche klicken, wird der Datenquellen-Administrator aufgerufen, eine integrierte Anwendung, die mit Windows geliefert wird und Ihnen die Konfiguration von System- und Benutzer-DSNs ermöglicht. Beachten Sie, dass diese Schaltfläche nur aktiv ist, wenn Sie mit dem lokalen Rechner verbunden sind.
Datenbank initialisieren oder aktualisieren
Startet den Konfigurations-Assistenten, der entweder eine neue Datenbank erstellt oder eine bestehende Datenbank auf das neueste Schema (gemäß schema.xml) aktualisiert. Das Starten des Konfigurations-Assistenten ist nur erforderlich, wenn eine neue EventSentry-Aktion erstellt wird oder wenn der Konfigurations-Assistent bei einem Upgrade eine weitere Datenbank nicht aktualisiert hat.
Allgemeine Optionen
Binäre Daten ignorieren
Einige Ereignisse, normalerweise entweder aus dem Anwendungs- oder Systemereignisprotokoll, sind mit Binärdaten verknüpft. Wenn Sie nicht daran interessiert sind, Binärdaten in der Datenbank zu konsolidieren, können Sie dieses Kontrollkästchen aktivieren.
Erweiterte Fehlerprotokollierung
Standardmäßig protokolliert der EventSentry-Agent nur verbindungsbezogene Datenbankprobleme im Ereignisprotokoll. Wenn Sie die erweiterte Fehlerprotokollierung aktivieren, werden die meisten Datenbankfehler periodisch im Ereignisprotokoll protokolliert.
Trimmen von Windows-Sicherheitsereignissen
Viele Windows-Sicherheitsereignisse enthalten nach den Ereignisdetails nicht unbedingt notwendige Beschreibungen. Diese Beschreibungen sind für alle Ereignisse der gleichen Ereignis-ID identisch und können beträchtlichen Platz in einer Datenbank beanspruchen. Wenn Sie diese Option aktivieren, werden diese Beschreibungen automatisch aus dem Ereignis entfernt, bevor sie in der Datenbank protokolliert werden. Die Ereignisbeschreibungen bleiben für alle anderen Benachrichtigungsarten, z.B. E-Mail, bestehen. Der untenstehende Screenshot zeigt, welche Art von Informationen aufgrund des Windows-Sicherheitsereignisses 4688, das protokolliert wird, wenn ein neuer Prozess gestartet wird, aus dem Ereignis entfernt wird:
Immer binäre Daten anhängen - NUR FÜR REGISTRIERENDE UND ERWEITERTE BENUTZER
In einigen Fällen, insbesondere bei der Verarbeitung großer Mengen an großen, eindeutigen und sich nicht wiederholenden Binärdaten, können die EventSentry-Agenten eine erhebliche Belastung für den Datenbankserver darstellen, wenn die Größe der ESEventlogData-Tabelle zu groß wird. Alle Binärdaten werden in dieser Nachschlagetabelle gespeichert, und der Agent versucht, vorhandene Zeilen in dieser Tabelle wiederzuverwenden, wenn er auf doppelte Binärdaten stößt, was im Allgemeinen der Fall ist.
Wenn Sie große Mengen an eindeutigen Binärdaten erwarten, können Sie dieses Problem vermeiden, indem Sie verhindern, dass der EventSentry-Agent Binäreinträge wiederverwendet und stattdessen Binärdaten an die Tabelle ESEventlogData anhängt. Dadurch wird dem Datenbankserver weniger Arbeit aufgebürdet, da die Tabelle ESEventlogData nicht mehr so oft abgefragt werden muss (sie muss nach wie vor für jeden Binäreintrag einmal abgefragt werden).
Um diese Option zu aktivieren:
• Deaktivieren Sie das Kontrollkästchen "Ignoriere Binärdaten", wenn es markiert ist
• Schließen Sie die Verwaltungskonsole
• Starten Sie regedit.exe und navigieren Sie zu der Registrierung der Aktion, für die Sie diese aktivieren möchten:
HKEY_LOCAL_MACHINE\Software\WOW6432Node\netikus.net\EventSentry\Targets\MYDATABASE
wobei MYDATABASE der Name Ihrer Datenbankaktion ist. Fügen Sie dort einen neuen DWORD-Wert mit dem Namen ODBC_AlwaysAppendBinaryData hinzu und setzen Sie den Wert auf 1.
|
Klicken Sie hier, um einen Eintrag der Häufig gestellten Fragen zu dieser Aktion anzuzeigen. |
