Über Server- und Workload Protection-Ereignisprotokollierung

Ansichten:

Agenten protokollieren, wenn eine Schutzmodulregel oder -bedingung ausgelöst wird (ein "Sicherheitsereignis"). Agenten und Server- und Workload Protection protokollieren auch, wenn administrative oder systembezogene Ereignisse auftreten (ein "Systemereignis"), wie z. B. das Anmelden eines Administrators oder das Upgrade der Agentensoftware. Ereignisdaten werden verwendet, um die verschiedenen Berichte und Grafiken in Server- und Workload Protection zu füllen.

Um Ereignisse anzuzeigen, gehen Sie zu Events & Reports in Server- und Workload Protection.

Wo befinden sich die Ereignisprotokolle auf dem Agenten?

Der Speicherort variiert je nach Betriebssystem des Computers. Unter Windows werden die Ereignisprotokolle an diesem Speicherort abgelegt:

C:\Program Data\Trend Micro\Deep Security Agent\Diag

Unter Linux werden Ereignisprotokolle hier gespeichert:

/var/opt/ds_agent/diag

Hinweis

Diese Speicherorte enthalten nur Protokolle auf Standardebene; Diagnoseprotokolle auf Debug-Ebene befinden sich an einem anderen Ort. Aus Leistungsgründen ist die Protokollierung auf Debug-Ebene standardmäßig nicht aktiviert. Sie sollten die Debug-Protokollierung nur aktivieren, wenn Sie ein Problem mit dem Technischen Support von Trend Micro diagnostizieren, und stellen Sie sicher, dass Sie die Debug-Protokollierung deaktivieren, wenn Sie fertig sind. Weitere Informationen finden Sie unter Aktivieren der detaillierten Protokollierung auf dem Deep Security Agent (DSA).

Wann werden Ereignisse an Server- und Workload Protection gesendet?

Die meisten Ereignisse, die auf einem Computer stattfinden, werden während des nächsten Heartbeat-Vorgangs an Server- und Workload Protection gesendet, außer den folgenden, die sofort gesendet werden, wenn die Kommunikationseinstellungen Relais/Agenten erlauben, die Kommunikation zu initiieren:

Intelligenter Suchserver ist offline
Smart Scan Server ist wieder online
Die Integritätsüberprüfung ist abgeschlossen
Integritätsüberwachungs-Basislinie erstellt
Nicht erkannte Elemente in einer Integritätsüberwachungsregel
Elemente einer Integritätsüberwachungsregel werden auf der lokalen Plattform nicht unterstützt
Ungewöhnlicher Neustart erkannt
Warnung: Wenig Speicherplatz
Protokollinspektion offline
Protokollüberprüfung wieder online
Erkundungsscan erkannt (wenn die Einstellung in Computer or Policy editor → Firewall → Reconnaissance aktiviert ist

Wie lange werden Ereignisse gespeichert?

Server- und Workload Protection speichert Sicherheitsereignisse für 4 Wochen und Systemereignisse für 13 Wochen. Kunden, die eine längere Aufbewahrungsfrist für Ereignisse benötigen, sollten in Betracht ziehen, Ereignisse an ein externes SIEM zu exportieren. Für weitere Informationen siehe Leiten Sie Server- und Workload Protection-Ereignisse an einen externen Syslog- oder SIEM-Server weiter.

Ereignisverlauf wird gespeichert für:

Anti-Malware-Ereignisse
Application Control-Ereignisse
Firewall-Ereignisse
Integritätsüberwachungsereignisse
Ereignisse zur Eindringungsprävention
Protokollinspektionsereignisse
Web Reputation-Ereignisse
Systemereignisse
Gerätesteuerungsereignisse

Systemereignisse

Alle Server- und Workload Protection Systemereignisse sind auf der Registerkarte Administration → System Settings → Systemereignisse aufgelistet und können dort konfiguriert werden. Sie können festlegen, ob die einzelnen Ereignisse aufgezeichnet und an ein SIEM-System weitergeleitet werden sollen. Weitere Informationen zu Systemereignissen finden Sie unter SystemereignisseWie.

Sicherheitsereignisse

Jedes Schutzmodul generiert Ereignisse, wenn Regeln ausgelöst werden oder andere Konfigurationsbedingungen erfüllt sind. Ein Teil dieser Sicherheitsereignisgenerierung ist konfigurierbar. Für Informationen zu bestimmten Arten von Sicherheitsereignissen, siehe diese Artikel:

Die zustandsbehaftete Firewall-Konfiguration auf einem Computer kann geändert werden, um die Protokollierung von TCP-, UDP- und ICMP-Ereignissen zu aktivieren oder zu deaktivieren. Um die Eigenschaften einer zustandsbehafteten Firewall-Konfiguration zu bearbeiten, gehen Sie zu Richtlinien → Common Objects → Sonstige → Firewall Stateful Configurations. Die Protokollierungsoptionen befinden sich in den Registerkarten TCP, UDP und ICMP des Fensters Eigenschaften der zustandsbehafteten Firewall-Konfiguration. Für weitere Informationen zu Firewall-Ereignissen siehe Firewall-Ereignisse.

Siehe die Ereignisse, die mit einer Richtlinie oder einem Computer verbunden sind

Der Richtlinien-Editor und der Computer-Editor haben beide Ereignisse-Registerkarten für jedes Schutzmodul. Der Richtlinien-Editor zeigt Ereignisse an, die mit der aktuellen Richtlinie verbunden sind. Der Computer-Editor zeigt ereignisspezifische Informationen für den aktuellen Computer an.

Details zu einem Ereignis anzeigen

Um Details zu einem Ereignis anzuzeigen, doppelklicken Sie darauf.

Die Registerkarte Allgemein zeigt an:

Zeit: Die Zeit gemäß der Systemuhr auf dem Computer, der Server- und Workload Protection hostet.
Level: Der Schweregrad des aufgetretenen Ereignisses. Ereignislevel umfassen Info, Achtung und Fehler.
Event ID: Der eindeutige Bezeichner des Ereignistyps.
Event: Der Name des Ereignisses (verbunden mit der Ereignis-ID.)
Ziel: Das mit dem Ereignis verknüpfte Systemobjekt wird hier identifiziert. Durch Klicken auf die Identifikation des Objekts wird das Eigenschaftenblatt des Objekts angezeigt.
Event Origin: Die Server- und Workload Protection-Komponente, von der das Ereignis stammt.
Action Performed By: Wenn das Ereignis von einem Benutzer initiiert wurde, wird hier der Benutzername angezeigt. Ein Klick auf den Benutzernamen öffnet das User Properties-Fenster.
Manager: Der Hostname des Server- und Workload Protection Computers.
Beschreibung: Falls zutreffend, werden hier die spezifischen Details der Aktion angezeigt, die dieses Ereignis ausgelöst hat.

Die Tags-Registerkarte zeigt Tags an, die diesem Ereignis zugeordnet wurden. Für weitere Informationen zur Ereignis-Tagging, siehe Richtlinien → Common Objects → Sonstige → Tags und Tags anwenden, um Ereignisse zu identifizieren und zu gruppieren.

Filtern Sie die Liste, um nach einem Ereignis zu suchen

Die Zeitraum-Symbolleiste ermöglicht es Ihnen, die Liste so zu filtern, dass nur die Ereignisse angezeigt werden, die innerhalb eines bestimmten Zeitrahmens aufgetreten sind.

Die Computers-Symbolleiste ermöglicht es Ihnen, die Anzeige von Ereignisprotokolleinträgen nach Computergruppen oder Computer-Richtlinien zu organisieren.

Durch Klicken auf Suche → Open Advanced Search wird die Anzeige der erweiterten Suchleiste umgeschaltet.

2016-07-08_000133_DS10=3cd4b1ae-2323-4b3e-8ef0-b7ca27506185.png

Wenn Sie auf die Schaltfläche "Suchleiste hinzufügen" (+) rechts neben der Suchleiste klicken, wird eine zusätzliche Suchleiste angezeigt, sodass Sie mehrere Parameter auf Ihre Suche anwenden können. Wenn Sie bereit sind, drücken Sie die Schaltfläche "Anfrage senden" (rechts von den Symbolleisten mit dem Pfeil nach rechts darauf).

Ereignisse exportieren

Sie können die angezeigten Ereignisse in eine CSV-Datei exportieren. (Die Seiteneinteilung wird ignoriert, alle Seiten werden exportiert.) Sie haben die Möglichkeit, die angezeigte Liste oder die ausgewählten Elemente zu exportieren.

Verbesserung der Protokollierungsleistung

Hier sind einige Vorschläge, um die Leistung der Ereignissammlung zu maximieren:

Reduzieren oder deaktivieren Sie die Protokollsammlung für Computer, die nicht von Interesse sind.
Erwägen Sie, die Protokollierung der Firewall-Regelaktivität zu reduzieren, indem Sie einige Protokollierungsoptionen im Fenster der zustandsbehafteten Firewall-Konfiguration Eigenschaften deaktivieren. Zum Beispiel wird das Deaktivieren der UDP-Protokollierung die Protokolleinträge "Unaufgeforderte UDP" eliminieren.