Ansichten:
Für einen Überblick über das Protokollinspektionsmodul siehe Über die Protokollinspektion.
Hinweis
Hinweis
Sie benötigen eine Workload-Lizenz, um die Protokollinspektion zu aktivieren.
Um die Protokollinspektion zu verwenden, folgen Sie den Schritten in diesen Verfahren:

Prozedur

  1. Aktivieren Sie das Protokollinspektionsmodul
  2. Empfehlungsscan durchführen
  3. Wenden Sie die empfohlenen Protokollinspektionsregeln an
  4. Testprotokollinspektion
  5. Konfigurieren Sie die Weiterleitung und Speicherung von Protokollinspektionsereignissen

Aktivieren Sie das Protokollinspektionsmodul Übergeordnetes Thema

Protokollinspektion für eine Richtlinie aktivieren.

Prozedur

  1. Navigieren Sie zu Richtlinien.
  2. Doppelklicken Sie auf die Richtlinie.
  3. Wählen Sie ProtokollüberprüfungAllgemein aus.
  4. Wählen Sie Aktiviert für Log Inspection State.
  5. Klicken Sie auf Save.

Empfehlungsscan durchführen Übergeordnetes Thema

Führen Sie einen Empfehlungsdurchlauf auf dem Computer durch, um Empfehlungen zu erhalten, welche Regeln angewendet werden sollen.

Wenden Sie die empfohlenen Protokollinspektionsregeln an Übergeordnetes Thema

Server- und Workload Protection wird mit vielen vordefinierten Regeln geliefert, die eine Vielzahl von Betriebssystemen und Anwendungen abdecken. Wenn Sie einen Empfehlungs-DURCHSUCHEN durchführen, können Sie wählen, ob Server- und Workload ProtectionEmpfehlungen automatisch umsetzen soll oder ob Sie die Regeln manuell auswählen und zuweisen möchten.
Obwohl Server- und Workload Protection mit Protokollinspektionsregeln für viele gängige Betriebssysteme und Anwendungen geliefert wird, haben Sie auch die Möglichkeit, eigene benutzerdefinierte Regeln zu erstellen. Um eine benutzerdefinierte Regel zu erstellen, können Sie entweder die Vorlage für einfache Regeln verwenden oder Ihre neue Regel in XML schreiben. Informationen zum Erstellen einer benutzerdefinierten Regel finden Sie unter Definieren Sie eine Protokollinspektionsregel zur Verwendung in Richtlinien.

Testprotokollinspektion Übergeordnetes Thema

Bevor Sie die Konfiguration der Protokollinspektion abschließen, testen Sie, ob die Regeln korrekt funktionieren:

Prozedur

  1. Stellen Sie sicher, dass die Protokollinspektion aktiviert ist.
  2. Wählen Sie im Computer- oder Richtlinien-Editor ProtokollüberprüfungErweitert aus.
  3. Setzen Sie Store events at the Agent/Appliance for later retrieval by DSM when they equal or exceed the following severity level auf Low (3) und klicken Sie dann auf Speichern.
  4. Klicken Sie auf der Registerkarte Allgemein auf Assign/Unassign.
  5. Suchen Sie nach 1002792 - Default Rules Configuration und aktivieren Sie es. Dies ist erforderlich, damit alle anderen Protokollinspektionsregeln funktionieren.
  6. de Aktivieren Sie die Regeln für die Plattform:
    • Aktivieren Sie unter Windows 1002795 - Microsoft Windows Events, um Ereignisse jedes Mal zu protokollieren, wenn die Windows-Audit-Funktionalität ein Ereignis registriert.
    • Für Linux aktivieren Sie 1002831 - Unix - Syslog, um das Syslog auf Ereignisse zu überprüfen.
  7. Klicken Sie auf OK und dann auf Speichern.
  8. Versuchen Sie, sich mit einem nicht existierenden Konto beim Server anzumelden. Die Protokollinspektion sollte diese Aktion verhindern.
  9. Gehen Sie zu Events & ReportsLog Inspection Events, um den Eintrag des fehlgeschlagenen Anmeldeversuchs zu überprüfen. Ein Eintrag der Erkennung zeigt an, dass die Protokollinspektion korrekt funktioniert.

Konfigurieren Sie die Weiterleitung und Speicherung von Protokollinspektionsereignissen Übergeordnetes Thema

Wenn ein Ereignis eine Log-Inspektionsregel auslöst, protokolliert Server- und Workload Protection das Ereignis. Sie können diese Log-Inspektionsereignisse unter Events & Reports und Policy editor einsehen (siehe Log-Inspektionsereignisse). Abhängig von der Schwere des Ereignisses können Sie das Ereignis an einen Syslog Server senden (siehe Leiten Sie Server- und Workload Protection-Ereignisse an einen externen Syslog- oder SIEM-Server weiter) oder Ereignisse mithilfe der Schweregradbegrenzungsfunktion in der Datenbank speichern.
Um die Schweregradbegrenzung zu konfigurieren:

Prozedur

  1. Gehen Sie zu Richtlinien und doppelklicken Sie auf die Richtlinie.
  2. Wählen Sie ProtokollüberprüfungErweitert aus.
  3. Wählen Sie eine Schwere zwischen Low (0) und Critical (15) für Send Agent/Appliance events to syslog when they equal or exceed the following severity level.
    Diese Einstellung bestimmt, welche durch diese Regeln ausgelösten Ereignisse an den Syslog Server gesendet werden, wenn Syslog aktiviert ist.
  4. Wählen Sie eine Schwere zwischen Low (0) und Critical (15) für Store events at the Agent/Appliance for later retrieval by DSM when they equal or exceed the following severity level.
    Diese Einstellung bestimmt, welche Log-Inspektionsereignisse die Datenbank speichert und auf der Seite Log Inspection Events angezeigt werden.
  5. Klicken Sie auf Save.