bmonlog

Verhaltensüberwachungsprotokolle

Die Clients protokollieren unbefugte Programmzugriffe und senden die Protokolle an den Server. Standardmäßig fasst ein Client, der kontinuierlich läuft, die Protokolle zusammen, und sendet sie in bestimmten Zeitabständen (standardmäßig alle 60 Minuten).

Damit die Protokolldateien nicht zu viel Platz auf der Festplatte einnehmen, löschen Sie die Protokolle manuell, oder konfigurieren Sie eine zeitgesteuerte Löschung der Protokolle. Weitere Informationen zur Verwaltung von Protokollen finden Sie unter Protokolle verwalten.

Verhaltensüberwachungsprotokolle anzeigen:

• Protokolle > Netzwerkcomputerprotokolle > Sicherheitsrisiken
  
  Netzwerkcomputer > Client-Verwaltung

1. Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.

2. Klicken Sie auf Protokolle > Verhaltensüberwachungsprotokolle oder Protokolle anzeigen > Verhaltensüberwachungsprotokolle.

3. Geben Sie die Protokollkriterien ein und klicken Sie anschließend auf Protokolle anzeigen.

4. Sehen Sie die Protokolle ein. Die Protokolle enthalten die folgenden Informationen:

• Datum/Uhrzeit, als der unbefugte Prozess erkannt wurde

• Der Computer, auf dem der unbefugte Prozess erkannt wurde

• Die Domäne des Computers

• Verstoß, bei dem es sich um die Ereignisüberwachungsregel handelt, gegen die der Prozess verstoßen hat

• Aktion, die durchgeführt wurde, als der Verstoß erkannt wurde

• Ereignis, bei dem es sich um den Typ des Objekts handelt, auf das das Programm zugegriffen hat

• Die Risikostufe des unbefugten Programms

• Das unbefugte Programm

• Operation, bei der es sich um die Aktion handelt, die vom unbefugten Programm ausgeführt wurde

• Das Ziel, bei dem es sich um den Prozess handelt, auf den zugegriffen wurde

5. Wenn Sie das Protokoll als komma-separierte Datei im CSV-Format speichern möchten, klicken Sie auf In CSV-Datei exportieren. Öffnen Sie die Datei, oder speichern Sie sie in einem bestimmten Verzeichnis.

Zeitgesteuertes Senden des Verhaltensüberwachungsprotokolls konfigurieren:

1. Öffnen Sie den Ordner <Installationsordner des Servers>\PCCSRV.

2. Öffnen Sie die Datei ofcscan.ini mit einem Texteditor, wie z. B. Notepad.

3. Suchen Sie nach der Zeichenfolge "SendBMLogPeriod", und überprüfen Sie anschließend den daneben stehenden Wert. Der Standardwert beträgt 3600 Sekunden, und die Zeichenfolge erscheint als SendBMLogPeriod=3600.

4. Legen Sie den Wert in Sekunden fest. Um z. B. die Protokolldauer auf 2 Stunden zu ändern, ändern Sie den Wert auf 7200.

5. Speichern Sie die Datei.

6. Navigieren Sie zu Netzwerkcomputer > Allgemeine Client-Einstellungen.

7. Klicken Sie auf Speichern, ohne eine Einstellung zu ändern.

8. Starten Sie den Client neu.

Siehe auch:

• Verhaltensüberwachung