2 Instalação do GFI EventsManager

Transcrição

Manual do produto GFI
Guia do administrador
As informações e o conteúdo deste documento são apenas informativos e fornecidos "no estado em
que se encontram" sem nenhuma garantia de qualquer tipo, expressa ou implícita, incluindo, sem
limitação, as garantias de comercialização, adequação a uma finalidade específica e não violação.
A GFI Software não se responsabiliza por danos de qualquer natureza, incluindo danos indiretos,
resultantes do uso deste documento. As informações foram obtidas de fontes disponíveis ao
público. Apesar do razoável esforço para garantir a precisão dos dados fornecidos, a GFI não alega,
promete ou garante que as informações sejam íntegras, precisas, recentes ou adequadas, e não se
responsabiliza por falhas na impressão, informações desatualizadas ou outros erros. A GFI não
oferece garantia expressa ou implícita e não assume obrigação ou responsabilidade legal pela
precisão ou integridade das informações contidas neste documento.
Se você acredita que este documento contenha erros efetivos, entre em contato conosco.
Analisaremos a questão assim que possível.
Todos os nomes de produtos e empresas aqui mencionados podem ser marcas de seus respectivos
proprietários.
Os direitos autorais sobre o GFI EventsManager pertencem à GFI SOFTWARE Ltd. -1999-2013 - GFI
Software Ltd. Todos os direitos reservados.
Versão do documento: 13.0.0
Última atualização (dia/mês/ano): 3/18/2014
Índice
1 Introdução
1.1 Sobre GFI EventsManager
1.2 Como funciona GFI EventsManager
1.2.1 Estágio 1: Coleta de eventos
1.2.2 Estágio 2: Processamento de eventos
1.3 Convenções usadas neste manual
21
21
23
24
24
25
26
2.1 Cenários de implantação
26
2.1.1 GFI EventsManager dentro de uma rede local (LAN)
28
2.1.2 GFI EventsManager em uma Zona desmilitarizada (DMZ)
29
2.1.3 GFI EventsManager em uma Rede de Longa Distância (WAN)
31
2.2 Requisitos de sistema
32
2.2.1 Requisitos de hardware
32
2.2.2 Sistemas operacionais suportados (32 e 64 bits)
32
2.2.3 Outros componentes de software
33
2.2.4 Requisitos de armazenagem
33
2.2.5 Portas e protocolos de firewall
33
2.2.6 Permissões de firewall
34
2.2.7 Configurações da origem do evento
34
2.2.8 Exceções de antivírus
35
2.2.9 Considerações de identificação do computador
35
2.2.10 Coletar logs de eventos em computadores que executam Microsoft® Vista ou posterior
35
2.3 Atualizar GFI EventsManager
36
2.3.1 Atualizar de uma versão anterior
36
2.4 Instalar uma nova instância de GFI EventsManager
45
2.4.1 Procedimento de instalação
45
2.5 Testar a instalação
54
2.5.1 Processar eventos - Computador local
55
2.5.2 Processar eventos - Domínio local
57
2.5.3 Processar eventos - Máquinas selecionadas
60
3 Obter resultados
3.1 Alcançar Segurança da Rede
3.2 Monitoramento eficiente da integridade do sistema.
3.3 Obter conformidade com PCI DSS
4 Gerenciar fontes de eventos
4.1 Adicionar fontes de eventos manualmente
4.2 Adicionar origens de eventos automaticamente
4.3 Criar um novo grupo de origem do evento
4.4 Configurar propriedades da origem do evento
4.4.1 Configurar as propriedades gerais da origem do evento
4.4.2 Configurar credenciais de logon de origem do evento
63
63
65
67
68
68
69
72
74
74
75
4.4.3 Configurar tipo de licença de origem do evento
4.4.4 Configurar horário operacional da origem do evento
4.4.5 Configurar monitoramento de origem do evento
4.4.6 Configurar parâmetros de processamento de eventos
4.5 Origem do Banco de Dados
4.5.1 Microsoft® SQL Server® Origens
4.5.2 Fontes do servidor Oracle
5 Coletar logs de eventos
5.1 Coletar logs de eventos Windows®
5.2 Coletar logs de texto
5.3 Coletar Syslogs
5.3.1 Configurar porta de comunicação do servidor Syslog
5.4 Coletar Mensagens de interceptação SNMP
5.4.1 Configurar o servidor de Interceptação SNMP
5.5 Coletar logs personalizados
5.6 Coletar logs de eventosGFI LanGuard
5.6.1 Como habilitar registro em log de eventos GFI LanGuard?
5.7 Coletar eventos GFI EndPointSecurity.
6 Navegar Eventos armazenados
6.1 Navegar no navegador de eventos
6.2 Usar navegador de eventos
6.2.1 Exportar eventos para CSV
6.2.2 Criar relatórios nas exibições
6.2.3 Excluir eventos
6.2.4 Procurar eventos armazenados
6.2.5 Identificar regras usando a ferramenta de localização de regra
6.3 Gerenciar exibições de navegador de eventos
6.3.1 Criar Exibições raiz e Exibições
6.3.2 Editar uma exibição
6.3.3 Excluir uma exibição
6.4 Personalizar layout do navegador de eventos
6.4.1 Personalizar a posição da descrição
6.4.2 Opções de evento codificação de cores
6.5 Navegar eventos em banco de dados diferentes
7 Monitoramento de atividade
7.1 Exibir status geral
7.2 Exibir atividade de trabalho
7.3 Exibir estatísticas
8 Relatórios
8.1 Navegar na guia Relatórios
8.2 Relatórios disponíveis
8.3 Gerenciar relatórios
8.3.1 Criar uma pasta raiz
77
78
79
81
82
83
91
102
102
105
108
111
112
115
116
118
119
123
125
125
126
126
127
128
129
129
129
130
132
132
132
132
133
134
136
136
140
142
144
145
146
147
147
8.3.2 Criar uma pasta
8.4 Criar um relatório raiz
8.5 Criar relatórios personalizados
8.6 Gerar relatórios
8.6.1 Gerar um relatório
8.6.2 Gerar relatórios de resumo diário
8.6.3 Gerar relatórios de configurações
8.6.4 Gerar relatórios de regras
8.6.5 Gerar relatórios de histórico operacional
8.6.6 Gerar relatórios de visão geral da atividade
8.7 Analisar relatórios
8.8 Definir cabeçalhos de colunas
8.8.1 Relatórios de eventos de banco de dados diferentes
8.9 Personalizar relatórios HTML
9 Regras de processamento de eventos
9.1 Regras de processamento de eventos
9.1.1 Classificação de evento
9.2 Gerenciar pastas de conjunto de regras
9.2.1 Regras definidas disponíveis
9.2.2 Adicionar uma pasta de conjunto de regras
9.2.3 Renomear e deletar uma pasta de conjunto de regras
9.3 Criar novas regras de processamento de eventos
9.4 Criar novas regras a partir de eventos existentes
9.5 Parâmetros de filtragem avançada de evento
9.5.1 Windows® parâmetros de filtragem de eventos
9.5.2 Parâmetros de filtragem de syslog
9.6 Priorizar regras de processamento de eventos
10 Monitoramento ativo
10.1 Sobre Verificar monitoramento ativo
10.2 Criar e configurar uma pasta raiz
10.3 Adicionar subpasta a uma pasta raiz
10.4 Criar e configurar verificações de monitoramento ativo
10.5 Aplicar verificações de monitoramento ativo
10.6 Excluir verificações de pastas e de monitoramento
11 Ações de alertas e padrão
11.1 Configurar ações de classificação padrão
11.2 Configurar Opções de Alerta
11.2.1 Alertas de email
11.2.2 Alertas de rede
11.2.3 Alertas de SMS
11.2.4 Alertas SNMP
11.2.5 Configurações gerais
12 Grupos de usuários
12.1 Configurar a conta do administrador
149
149
154
161
161
162
164
166
167
169
171
172
173
173
176
176
177
178
178
180
180
181
186
191
191
191
192
193
193
195
199
204
210
212
213
213
215
217
218
219
220
220
222
222
12.2 Gerenciar contas de usuário
12.2.1 Criar uma nova conta de usuário
12.2.2 Alterar as propriedades da conta de usuário
12.2.3 Excluir uma conta de usuário.
12.3 Gerenciar grupos de usuários
12.3.1 Criar um novo grupo
12.3.2 Alterar as propriedades do grupo
12.3.3 Excluir um grupo
229
229
235
236
236
236
238
238
13 Console de opções de segurança e de auditoria
239
13.1 Ativar o sistema de logon
13.1.1 Recuperação de senha
13.2 Manter anonimato
13.3 Auditar atividade do console
13.4 Credenciais de descoberta automática
239
241
242
245
246
14 Manutenção do banco de dados
14.1 Gerenciar back-end do banco de dados
14.1.1 Criar um novo banco de dados
14.1.2 Proteger banco de dados
14.1.3 Hash do registro de banco de dados
14.1.4 Alternar entre banco de dados de armazenamento de arquivos
14.1.5 Configurar opções de rotação de banco de dados
14.1.6 Configurar operações do banco de dados
14.2 Criar tarefas de manutenção
14.2.1 Importar do arquivo
14.2.2 Exportar para arquivo
14.2.3 Exportar para SQL
14.2.4 Copiar dados
14.2.5 Executar exclusões
14.2.6 Importar do banco de dados SQL Server®
14.2.7 Importar de arquivos de legado
14.2.8 Armazenamento de arquivo de arquivo Importar de legado
14.3 Editar trabalhos de manutenção
14.3.1 Exibir trabalhos de manutenção agendada
14.3.2 Editar as propriedades do trabalho de manutenção
14.3.3 Alterar a prioridade dos trabalhos
14.3.4 Excluir um trabalho de manutenção
15 Configurar Console de gerenciamento
15.1 Opções de desempenho
15.2 Atualizações do produto
15.2.1 Fazer download direto das atualizações
15.2.2 Download de atualizações de um local alternativo (offline)
15.3 Licenciamento de produtos
15.3.1 Atualizar chave de licença
15.3.2 Obter chave de licença para 30 dias de avaliação gratuita
249
249
249
250
252
254
257
258
259
260
264
268
273
276
279
283
287
289
289
290
292
292
293
293
294
295
296
302
302
303
15.3.3 Exibir detalhes da licença
15.3.4 Adquirir uma chave de licença
15.4 Informações sobre a versão do produto
15.4.1 Verificar sua versão GFI EventsManager
15.4.2 Verificar se há versões mais recentes
15.5 Importar e exportar configurações
15.5.1 Exportar configurações para um arquivo
15.5.2 Importar configurações de um arquivo
15.5.3 Importar configurações de uma outra instância
15.6 Criar restrições de consulta
15.6.1 Usar o diálogo Editar restrição de consulta
16 Ferramentas da linha de comando
16.1 Usar ESMCmdConfig.exe
16.1.1 /op:registerService
16.1.2 /op:enable
16.1.3 /op:disable
16.1.4 /op:SetLicense
16.1.5 /op:configureAlerting
16.1.6 /op:setAdminEmail
16.1.7 /op:createProgramGroupShortcuts
16.1.8 /op:removeProgramGroupShortcuts
16.1.9 /op:getComputers
16.2 Usar EsmDlibM.exe
16.2.1 /importFromSQL
16.2.2 /importFromDlib
16.2.3 /copyData
16.2.4 /importFromLegacyFile
16.2.5 /exportToFile
16.2.6 /importFromFile
16.2.7 /commitDeletedRecords
16.2.8 /exoportToSQL
16.3 Usar DLibAdm.exe
16.3.1 /decryptDatabase
16.3.2 /encryptDatabase
16.3.3 /displayAllDLib
16.3.4 /copyMoveDLib
16.4 Usar EsmReport.exe
16.4.1 Gerar relatórios de configuração
16.4.2 Gerar relatórios de status
16.4.3 Gerar relatórios de eventos
16.4.4 Usar ImportSettings.exe
16.4.5 Usar ExportSettings.exe
17 Diversos
17.1 Ativar manualmente permissões de origem do evento
17.1.1 Ativar permissões em Microsoft® Windows® XP.
303
303
303
303
304
304
305
307
309
311
312
316
316
317
317
317
317
318
318
318
319
319
319
320
320
321
323
323
325
326
326
327
328
328
328
329
329
330
330
331
332
333
335
335
335
17.1.2 Ativar as permissões do Microsoft® Windows® Vista.
17.1.3 Ativar permissões em Microsoft® Windows® 7.
17.1.4 Ativar permissão servidor Microsoft® Windows® 2003
17.1.5 Ativar permissões no servidor Microsoft® Windows® 2008 (incluindo R2)
17.2 Ativar automaticamente permissões de origem do evento
17.2.1 Ativar permissões usando GPO no servidorWindows® 2003 via GPO
17.2.2 Ativar permissões no servidor Windows® 2008 via GPO
17.3 Desativar Controle de conta de usuário (UAC)
18 Solução de problemas
18.1 Documentação
18.2 GFI SkyNet
18.3 Solicitar suporte técnico
18.4 fórum da Web
18.5 Assistente de solução de problemas
336
339
341
342
343
343
344
348
349
349
349
349
349
349
19 Glossário
356
20 Índice
360
Lista de figuras
Screenshot 1: GFI EventsManager integra qualquer infraestrutura de TI.
21
Screenshot 2: Os estágios operacionais de GFI EventsManager
23
Screenshot 3: Exportar dados de sites remotos para a instância do GFI EventsManager
31
Screenshot 4: Atualizar verificação pré-requisito
37
Screenshot 5: Servidor de banco de dados DLib
38
Screenshot 6: Servidor de banco de dados DLib EULA
38
Screenshot 7: Pasta de instalação DLib
39
Screenshot 8: Inicie a instalação do Servidor de banco de dados DLib
39
Screenshot 9: Excluir antigas versões do arquivo
40
Screenshot 10: Tela inicial do assistente de instalação GFI EventsManager
40
Screenshot 11: GFI EventsManager EULA
41
Screenshot 12: Detalhes do registro GFI EventsManager
41
Screenshot 13: Remover credenciais de logon do monitoramento de log de evento
42
Screenshot 14: Pasta de instalação GFI EventsManager
43
Screenshot 15: Instalação de GFI EventsManager concluída
43
Screenshot 16: Verificação de atualizações automáticas
44
Screenshot 17: Configurar o back-end do banco de dados
44
46
47
47
48
48
Screenshot 23: Tela inicial do assistente de instalaçãoGFI EventsManager
49
50
50
51
52
52
53
53
Screenshot 31: Executar GFI EventsManager pela primeira vez
54
Screenshot 32: Processar eventos - Computador local
55
Screenshot 33: Ações do console principal
56
Screenshot 34: Processar eventos - Domínio local
57
Screenshot 35: Assistente de descoberta automática
58
Screenshot 36: Selecionar os tipos de origem de evento para detectar na sua rede
58
Screenshot 37: Progresso de pesquisar rede
59
Screenshot 38: Processar eventos - Máquinas selecionadas
60
Screenshot 39: Adicionar novo assistente de origem do evento
61
68
Screenshot 41: Propriedades de sincronização - Guia geral
70
Screenshot 42: Excluir computadores da sincronização automática
71
Screenshot 43: Propriedades de sincronização - guia Agendamento
72
Screenshot 44: Adicionar novo grupo de origens de eventos
73
Screenshot 45: Diálogo de propriedades de origens de eventos
75
Screenshot 46: Configurar credenciais de logon alternativas
76
Screenshot 47: Configurar tipo de licença de origem do evento
78
Screenshot 48: Especificar o horário operacional
79
Screenshot 49: Propriedades da origem do evento - Guia de monitoramento
80
Screenshot 50: Guias de configuração do processamento de eventos
82
Screenshot 51: Grupos de servidores de banco de dados
83
Screenshot 52: Configurar as configurações de logon na guia Credenciais de Logon
84
Screenshot 53: Configurar horário de trabalho normal na guia Horário operacional
85
Screenshot 54: Configurar o servidor SQL a partir da guia de auditoria do servidor SQL
86
Screenshot 55: Adicionar novo servidor Microsoft® SQL
88
Screenshot 56: Propriedades do Banco de dados SQL Microsoft®: Guia Geral
89
Screenshot 57: Propriedades do Banco de dados SQL Microsoft®: Guia de configurações de conexão
90
Screenshot 58: Propriedades do Banco de dados SQL Microsoft®: Guia de configurações
91
92
Screenshot 60: Grupo de banco de dados Oracle - Guia geral
93
Screenshot 61: Grupo de banco de dados Oracle - Guia credenciais de logon
94
Screenshot 62: Grupo de banco de dados Oracle - Guia horário operacional
95
Screenshot 63: Grupo de banco de dados Oracle - Guia de auditoria Oracle
96
Screenshot 64: Adicionar novo servidor Oracle
97
Screenshot 65: Propriedades do servidor Oracle - Guia geral
98
Screenshot 66: Propriedades do servidor Oracle – Guia configurações de conexão
99
Screenshot 67: Propriedades do servidor Oracle - Guia Auditoria por objetos
100
Screenshot 68: Propriedades do servidor Oracle - Guia Auditoria por declaração
101
Screenshot 69: Propriedades do grupo de computadores: Configurar os parâmetros de Logs de
eventosWindows®
103
Screenshot 70: Selecionar logs de eventos para coletar
104
Screenshot 71: Configurar os parâmetros de processamento do log de eventos Windows
105
Screenshot 72: Opções de Logs de Texto
106
Screenshot 73: Adicionar pastas contendo logs de texto
107
Screenshot 74: Mensagens syslog deve ser direcionadas para o computador que está executandoGFI
EventsManager
109
Screenshot 75: Coletar Syslogs - Opções Syslogs
110
Screenshot 76: Configurar portas de comunicação do servidor Syslog
111
Screenshot 77: Opções do servidor Syslog
112
Screenshot 78: Mensagens de Interceptação SNMP devem ser direcionadas ao computador executando GFI
EventsManager
113
Screenshot 79: Coletar Interceptações SNMP
114
Screenshot 80: Configurar Interceptação SNMP
115
Screenshot 81: Opções de Interceptação SNMP
116
Screenshot 82: Instalação de log de evento personalizado
117
Screenshot 83: Caixa de diálogo de logs de eventos personalizados
118
Screenshot 84: Ativar registro em log GFI LanGuard no registro
120
Screenshot 85: Adicionar logs de aplicativos Windows®
121
Screenshot 86: Adicionar regras GFI LanGuard
122
Screenshot 87: Navegador de eventos
125
Screenshot 88: Ferramenta exportar evento
127
Screenshot 89: Relatório com o botão exibir
127
Screenshot 90: Ferramenta localizadora de eventos
129
Screenshot 91: Criador de exibição personalizada
130
Screenshot 92: Editar restrição de exibição
131
Screenshot 93: Personalizar a guia de exibição
131
Screenshot 94: Exemplo: Novas Exibições raiz e Exibições
132
Screenshot 95: Personalizar a descrição do navegador
133
Screenshot 96: Configuração de codificação por cores
133
Screenshot 97: Filtro de cor avançado
134
Screenshot 98: Alternar diálogo do banco de dados
135
Screenshot 99: GFI EventsManagerStatus: Exibição geral
137
Screenshot 100: Status GFI EventsManager: Exibir atividade de trabalho
141
Screenshot 101: Status GFI EventsManager: Exibir estatísticas
142
Screenshot 102: Navegar no UI Relatórios
145
Screenshot 103: Diálogo Criar pasta de relatório
148
Screenshot 104: Criar um relatório raiz
149
Screenshot 105: Configurar novas opções de layout de relatório raiz
150
Screenshot 106: Inserir um gráfico em um novo relatório raiz
151
Screenshot 107: Especificar agendamento para a geração do relatório.
152
Screenshot 108: Criar novas Opções de relatório
153
Screenshot 109: Configuração de limite de registro
154
155
156
157
158
159
160
Screenshot 116: Gerar um relatório
161
Screenshot 117: Exemplo de relatório
162
Screenshot 118: Configurações de email de resumo diário
163
Screenshot 119: Email de resumo diário
164
Screenshot 120: Gerar relatórios de configuração
165
Screenshot 121: Exemplo de relatório de configurações
166
167
Screenshot 123: Relatório de histórico operacional
168
Screenshot 124: O diálogo de histórico operacional
168
Screenshot 125: Exemplo de relatório de histórico operacional
169
Screenshot 126: Exibição geral da atividade: Botão de exportação
169
Screenshot 127: Diálogo de visão geral da atividade
170
Screenshot 128: Exemplo de relatório de visão geral de atividade
170
Screenshot 129: Analisar relatórios
171
Screenshot 130: Definir as condições da coluna personalizada
172
173
Screenshot 132: Editar modelos de relatório HTML
174
Screenshot 133: Como funcionam as Regras de processamento de eventos
177
Screenshot 134: Pasta de conjunto de regras e Conjuntos de regras
178
Screenshot 135: Criar uma nova regra
181
Screenshot 136: Selecionar o log ao qual aplicar a regra
182
Screenshot 137: Configurar as condições da regra
183
Screenshot 138: Selecionar a ocorrência e a importância do evento
184
Screenshot 139: Selecionar a ação acionada.
185
Screenshot 140: Criar uma regra a partir de um evento existente
187
Screenshot 141: Nova regra do evento - Configurações gerais
188
Screenshot 142: Nova regra de evento - Selecione logs a coletar
189
Screenshot 143: Nova regra de evento - Adicionar condições
190
Screenshot 144: Como funciona a verificação de monitoramento ativo
194
Screenshot 145: Estrutura da pasta raiz e da subpasta
195
Screenshot 146: Propriedades da pasta - Guia Geral
196
Screenshot 147: Propriedades da pasta - Guia Computador de destino
196
Screenshot 148: Propriedades da pasta - Guia Agendar
197
Screenshot 149: Propriedades da pasta - Guia de eventos de ação
198
199
200
201
202
Screenshot 154: Criar uma nova verificação de monitoramento ativo
204
Screenshot 155: Selecionar o tipo de verificação
205
Screenshot 156: Configurar propriedades gerais de verificação
205
Screenshot 157: Configurar parâmetros da verificação de monitoramento
206
Screenshot 158: Selecionar as origens afetadas
207
Screenshot 159: Definir o intervalo de tempo da verificação
208
Screenshot 160: Configurar as ações do log de eventos
209
Screenshot 161: Guia de computadores alvo
210
Screenshot 162: Excluir verificações de pastas e de monitoramento
212
Screenshot 163: Configurar ações de classificação predefinidas
213
Screenshot 164: Caixa de diálogo ações de classificação padrão
214
Screenshot 165: Configurar Opções de Alerta
216
Screenshot 166: Configurar opções de email
217
Screenshot 167: Configurar opções da rede
218
Screenshot 168: Configurar alertas de rede: Formatar mensagem
218
Screenshot 169: Configurar opções de SMS
219
Screenshot 170: Configurar alertas SNMP
220
Screenshot 171: Configurar a conta EventsManagerAdministrator
223
Screenshot 172: Propriedade EventsManagerAdministrator
224
Screenshot 173: Configurar horário de trabalho normal do usuário
225
Screenshot 174: Configurar alertas fora do horário de trabalho
226
Screenshot 175: Selecionar o grupo ao qual a conta do usuário pertence
227
Screenshot 176: Configurar os privilégios da conta do usuário
228
Screenshot 177: Filtragem de conta de usuário
229
Screenshot 178: Criar um novo usuário
230
Screenshot 179: Criar um novo usuário - Propriedades gerais
230
Screenshot 180: Criar um novo usuário - Horário de trabalho
231
Screenshot 181: Criar um novo usuário - Opções de alerta
232
Screenshot 182: Criar um novo usuário - Selecionar os grupos de notificações
233
Screenshot 183: Criar um novo usuário - Privilégios
234
Screenshot 184: Opções de filtragem de usuário
235
Screenshot 185: Criar um novo grupo de usuários
236
Screenshot 186: Criar um novo grupo de usuários - Propriedades gerais
237
238
Screenshot 188: Editar opções de segurança do console
240
Screenshot 189: Ativar o sistema de logon EventsManager
241
Screenshot 190: Pedido de credenciais de logon
242
Screenshot 191: Ativar o console de anonimato
243
Screenshot 192: Opções de anonimato
244
Screenshot 193: Ativar a auditoria da atividade do usuário do console
245
Screenshot 194: Diálogo de opções de auditoria
246
Screenshot 195: Configurar credenciais de descoberta automática
247
Screenshot 196: Especificar credenciais de descoberta automática
248
Screenshot 197: Diálogo do sistema de armazenamento de arquivos
250
Screenshot 198: Editar configurações de armazenamento de arquivo
251
Screenshot 199: Ativar criptografia
252
Screenshot 200: Ativar/desativar o hash do registro
253
Screenshot 201: Diálogo hash de registro
254
Screenshot 202: Guia Opções
255
Screenshot 203: Alternar entre os bancos de dados a partir do painel
256
Screenshot 204: Configurar opções de rotação de banco de dados
257
Screenshot 205: Diálogo opções de operações de banco de dados
259
Screenshot 206: Criar trabalhos de Importação/Exportação
261
Screenshot 207: Importar do arquivo
261
Screenshot 208: Importar do arquivo - Especifique o caminho do arquivo de importação
262
Screenshot 209: Descriptografar os arquivos de importação seguros
262
Screenshot 210: Adicionar condições de filtro
263
Screenshot 211: Opções executar trabalhos
264
265
Screenshot 213: Exportar para arquivo
265
Screenshot 214:
266
Screenshot 215: Descriptografar/Criptografar dados
266
Screenshot 216: Filtrar dados exportados
267
268
269
Screenshot 219: Exportar para SQL
270
Screenshot 220: Especificar detalhes do SQL Server
270
Screenshot 221: Selecionar colunas para exportar
271
272
273
274
Screenshot 225: Selecionar tarefa Copiar dados
274
Screenshot 226: Especificar a origem e o destino dos bancos de dados.
275
Screenshot 227: Descriptografar a origem e criptografar o destino dos bancos de dados
275
276
277
Screenshot 230: Criar trabalhos executar exclusão
278
Screenshot 231: Selecionar banco de dados para excluir registros
278
279
Screenshot 233: Selecione Importar no banco de dados do SQL Server
280
Screenshot 234: Especificar o endereço e informações de logon do SQL Server
280
Screenshot 235: Descriptografar dados anônimos
281
Screenshot 236: Adicionar condições de filtragem de dados indesejados
282
Screenshot 237: Especificar quando o trabalho de manutenção é executado
283
284
Screenshot 239: Importar de arquivos de legado
284
Screenshot 240: Especificar a localização do arquivo de importação
285
Screenshot 241: Descriptografar as informações no arquivo de importação
285
Screenshot 242: Remover anonimato
286
Screenshot 243: Filtrar eventos indesejados com as condições de filtro
286
287
288
Screenshot 246: Dados de armazenamento de Importar arquivos de legado
288
289
Screenshot 248: Atividade do trabalho de manutenção
290
Screenshot 249: Exibir os trabalhos de manutenção agendada
290
Screenshot 250: Diálogo propriedades do trabalho de manutenção
291
Screenshot 251: Prioridades de manutenção de trabalho
292
Screenshot 252: GFI EventsManager Opções de desempenho
293
Screenshot 253: Caixa de diálogo Opções de Desempenho
294
Screenshot 254: Configurar opções de atualização automática
295
Screenshot 255: Definir configurações de proxy para o download de atualizações de produto
296
Screenshot 256: Atualizações GFI EventsManager
298
Screenshot 257: GFI EventsManager repositório de atualizações
299
Screenshot 258: Abrir CMD no modo de administrador
300
Screenshot 259: Altere o caminho para diretório de instalação GFI EventsManager
301
Screenshot 260: Iniciar manualmente uma sessão de atualização
301
Screenshot 261: Status de atualização
302
Screenshot 262: Atualizar diálogo da chave de licença
302
Screenshot 263: Comprar agora! Botão
303
Screenshot 264: Tela de informação sobre a versão
304
Screenshot 265: Exportar configurações para um arquivo
305
Screenshot 266: Especifique o destino da exportação
306
Screenshot 267: Selecionar exportar configurações
306
Screenshot 268: Importar configurações de um arquivo
307
Screenshot 269: Especificar o local do arquivo de configuração
308
Screenshot 270: Selecionar as configurações para importar
308
Screenshot 271: Importar configurações de uma outra instância de GFI EventsManager
309
Screenshot 272: Especificar o local da instância
310
Screenshot 273: Selecionar a configurações para importar de uma outra instância de GFI EventsManager 310
Screenshot 274: Usuários, regras de processamento de eventos e consultas de relatório.
312
Screenshot 275: Definir restrições: Editar uma restrição de consulta
313
Screenshot 276: Definir restrições: Personalizar a condição
314
Screenshot 277: Regras de firewall no Microsoft® Windows® XP
336
Screenshot 278: Janela de política de segurança local
337
Screenshot 279: Propriedades do acesso ao objeto de auditoria
338
Screenshot 280: Programas permitidos no Microsoft® Windows® Vista ou posterior
339
340
Screenshot 282: Propriedades da auditoria do acesso ao objeto
341
Screenshot 283: Ativar regras de firewall no servidor Microsoft® Windows® 2003
342
Screenshot 284: Regras de firewall no servidor Microsoft® Windows® 2008
343
Screenshot 285: Console de política de domínio no servidor Microsoft® Windows® 2003
344
Screenshot 286: Gerenciamento de Políticas de Grupo no servidor Microsoft® Windows® 2008 R2
345
Screenshot 287: Editor de Gerenciamento de Política de Grupo
346
Screenshot 288: Regras predefinidas
347
Screenshot 289: Desativar UAC
348
Screenshot 290: Selecionar modo de coleta de informações
350
Screenshot 291: Verificações automáticas de solução de problemas
351
Screenshot 292: Assistente de solução de problemas reparando automaticamente os problemas detectados 351
Screenshot 293: Se o problema persistir, pesquise nos arquivos da nossa base de conhecimento
352
Screenshot 294: Verificação manual dos problemas
352
Screenshot 295: Especificar detalhes do contato
353
Screenshot 296: Digite a descrição do problema e outras informações
353
Screenshot 297: Coleta de informações da máquina
354
Screenshot 298: Finalizar o processo de solução de problemas
354
Lista de tabelas
Table 1: GFI EventsManager
24
Table 2: Termos e convenções usados neste manual
25
Table 3: Dispositivos suportados por GFI EventsManager
28
Table 4: Benefícios de instalação GFI EventsManager em DMZ
30
Table 5: Requisitos de hardware
32
Table 6: Requisitos de espaço de armazenagem
33
Table 7: Portas e protocolos de firewall
33
Table 8: Permissões de firewall
34
Table 9: Configurações da origem do evento
34
Table 10: AtualizarGFI EventsManager
36
Table 11: Componentes instalados usando EventsManager.exe
45
Table 12: Opções do console de Início rápido
54
56
Table 14: Adicionar novas fontes de evento manualmente
61
69
Table 16: Propriedades de sincronização - Guia geral
70
Table 17: Grupo de origens de eventos
73
Table 18: Propriedades da origem do evento - opções gerais
75
Table 19: Tipos de licenças
77
Table 20: Opções de monitoramento de origem do evento
80
Table 21: Grupo de banco de dados SQL Microsoft®: Guia Geral
83
Table 22: Grupo de banco de dados SQL Microsoft®: Credenciais de logon
84
Table 23: Grupo de banco de dados SQL -Microsoft® SQL Server® Auditoria
86
Table 24: Microsoft® Grupo de banco de dados SQL - Configurações
87
Table 25: Banco de dados SQL doMicrosoft® - Opções da guia geral
89
Table 26: Banco de dadosMicrosoft® SQL - Guia de configurações de conexão
90
Table 27: Banco de dados SQL do Microsoft® - Opções da guia de configurações
91
Table 28: Auditorias suportadas pelo Oracle Server
91
Table 29: Estágios de configuração do servidor Oracle
92
Table 30: Grupo de banco de dados Oracle - Guia geral
93
Table 31: Grupo de banco de dados Oracle - Auditoria Oracle
96
Table 32: Propriedades do servidor Oracle - Guia geral
98
Table 33: Propriedades do servidor Oracle - Guia de configurações de conexão
99
Table 34: Propriedades do servidor Oracle - Guia Auditoria por objetos
100
Table 35: Propriedades do servidor Oracle -Guia Auditoria por declaração
101
Table 36: Logs de evento coletados porWindows® GFI EventsManager
102
Table 37: Informações coletadas por GFI LanGuard
118
Table 38: GFI EndPointSecurity dispositivos suportados
123
Table 39: Navegar no Navegador de Eventos
126
Table 40: Navegador de eventos: Criar novo relatório
128
Table 41: Navegador de eventos: Criar nova exibição
130
Table 42: Posições do painel de descrição
133
Table 43: Status do monitor: Seções de Visão Geral
137
Table 44: Status do monitor: Exibir atividade de trabalho
141
Table 45: Status do monitor: Exibir estatísticas
142
Table 46: Navegar na guia Relatórios
145
Table 47: Relatórios disponíveis
146
Table 48: Criar uma pasta de relatórios: Opções de agendamento
148
Table 49: Intervalo das opções padrão
153
Table 50: Configurações de registro de relatório
154
159
160
Table 53: Descrição do email de resumo diário
164
Table 54: Informações do cabeçalho do relatório de configurações
164
Table 55: Informação do cabeçalho do relatório de regras
166
Table 56: Descrição do relatório do Histórico operacional
167
Table 57: Opções de exportação de histórico operacional
168
Table 58: Cabeçalhos do relatório de visão geral da atividade
169
Table 59: Opções exportar histórico operacional
170
Table 60: Analisar relatórios: Ferramentas
171
Table 61: Adicionar opções e definição de coluna
172
Table 62: Modelos HTML padrão
174
Table 63: Modelo HTML: Seções editáveis
175
Table 64: Marcadores de posição do modelo de relatório HTML
175
Table 65: Pastas de conjunto de regras disponíveis comuns
179
Table 66: Configurar as regras de processamento de novos eventos: Ações
185
Table 67: Ações da regra de processamento de eventos disponíveis
190
Table 68: parâmetros de filtragem de eventoWindows®: Campo de ID do evento
191
Table 69: parâmetros de filtragem de eventos Windows®: Campos de origem, Categoria e Usuário
191
Table 70: Parâmetros de filtragem syslog: Campos de Mensagem e Processo
191
Table 71: Verificações de monitoramento - Eventos de ação
198
203
209
Table 74: Ações de classificação padrão
214
Table 75: Diálogo Opções de Alertas - Alertas de email
217
Table 76: Caixa de diálogo opções de alerta: SMS
219
Table 77: Opções de alertas: Interceptação SNMP
220
Table 78: Opções de alertas: Configurações gerais
221
Table 79: Opções de filtragem de usuário
235
Table 80: Opções de rotação de banco de dados
258
Table 81: Configurar operações de banco de dados
259
Table 82: Tipos de tarefas de manutenção
260
Table 83: Criar trabalhos de manutenção - Opções de agendamento
264
Table 84: Filtrar dados exportados
267
268
Table 86: Operações de banco de dados: Exportar estrutura do nome do arquivo
268
Table 87: Exportar para SQL - Opções de Servidor
271
272
273
276
276
279
281
Table 94: Opções de atualização automática
295
Table 95: Usa as restrições de consulta
311
Table 96: Iniciar diálogo Editar Restrições de Consulta
312
Table 97: Definir as restrições: Operadores de Campo
313
Table 98: Definir as restrições: Ferramentas de condições de consulta
314
Table 99: /op:registerService Parameters
317
Table 100: /op:disable Parameter
317
Table 101: /op:SetLicense Parameters
317
Table 102: /op:configureAlerting Parameters
318
Table 103: /op:setAdminEmail Parameter
318
Table 104: /op:getComputers Parameter
319
Table 105: /importFromSQL Parameters
320
Table 106: /importFromDlib Parameters
320
Table 107: /copyData Parameters
321
Table 108: /importFromLegacyFile Parameters
323
Table 109: /exportToFile
323
Table 110: /importFromFile Parameters
325
Table 111: /commitDeletedRecords Parameters
326
Table 112: /exportToSQL Parameters
326
Table 113: /decryptDatabase Parameters
328
Table 114: /encryptDatabase Parameters
328
Table 115: /displayAllDLib Parameters
329
Table 116: /copyMoveDLib
329
Table 117: Parâmetros do relatório de configurações
330
Table 118: Parâmetros do relatório de status
331
Table 119: Parâmetros de relatórios de eventos
332
Table 120: CMD: Parâmetros do ImportSettings.exe
333
Table 121: CMD: Parâmetros do ExportSettings.exe
333
1 Introdução
O enorme volume de logs de eventos gerados é de crescente importância para as empresas que
precisam registrar as informações para fins forenses e de conformidade. Isto é essencial para a
execução de monitoramento, análise e relatórios de logs de eventos em toda a rede em tempo real
para abordar todas as questões de incidentes e segurança e combater as ameaças à continuidade da
empresa.
GFI EventsManager auxilia nesta tarefa monumental com o monitoramento automático e centralizado
e com o gerenciamento dos logs de eventos - dando suporte à uma ampla gama de tipos de eventos
gerados por aplicativos e dispositivos dos principais fornecedores, bem como dos fornecedores de
aplicativos personalizados.
Este capítulo fornece informações sobre como a gestão de eventos é atingida usando GFI
EventsManager.
Tópicos deste capítulo:
21
23
25
Screenshot 1: GFI EventsManager integra qualquer infraestrutura de TI.
GFI EventsManager é uma solução de gestão orientada para os resultados do log de eventos que
integram toda infraestrutura de TI existente, automatizando e simplificando as tarefas envolvidas na
gestão de eventos em toda a rede.
Através das funções suportadas por GFI EventsManager, você pode:
GFI EventsManager
1 Introdução | 21
Monitorar automaticamente os computadores e dispositivos de rede através da ampla gama de
GFI EventsManager de suporte de log de eventos, tais como log de texto, log de evento, Syslogs,
Mensagens de interceptações SNMP, Eventos de monitoramento ativo e até mesmo logs de eventos personalizados Windows®.
Monitorar computadores e serviços executados na sua rede através de recursos de monitoramento ativo, tais como verificação contínua da disponibilidade do site HTTP/HTTPS/FTP, consultas de funções de servidor, consultas de firewall e mais
Otimizar a segurança e o desempenho durante o rastreamento de questões operacionais com a
auditoria dos seus sistemas/dispositivos críticos, como roteadores, firewall, sensores, servidores
e mecanismos de bancos de dados
Criar e manter uma segurança de rede e de sistema que detecta ataques de intrusão
Obter a conformidade com diversas leis e agir de acordo com as leis SOX, Código de Conexão com
a PCI DSS, HIPAA, proteção de dados e outras
Detectar proativamente os eventos que acarretam desastres, como uma falha do hardware.
Quando esses eventos são processados, GFI EventsManager fornece um aviso antecipado que permite controlar e tomar ações corretivas
Reduzir os riscos de perdas de negócios com o tempo de inatividade e má-configuração dos
sistemas
Navegar facilmente por eventos a partir de qualquer número de bases de dados através Navegador de eventos, que ajuda a realizar investigações forenses com intervenção humana mínima
Processar e arquivar automaticamente os logs de eventos, coletando e destacando as informações que você estar ciente dos eventos mais importantes que ocorrem na sua rede para nunca
ser surpreendido
Gerar relatórios de nível técnico de TI e de nível de gestão a partir da extensa lista de relatórios
e também criar novos a partir de relatórios existentes ou eventos coletados
Proteger sua empresa com o rastreamento dos eventos de segurança da sua rede. Encontrar
quem é responsável pelas violações de segurança e ameaças à rede
Para obter uma lista completa dos recursos, consulte:
http://www.gfi.com/eventsmanager#features
GFI EventsManager
1 Introdução | 22
Screenshot 2: Os estágios operacionais de GFI EventsManager
A funcionalidade operacional do GFI EventsManager está dividida nos seguintes estágios:
Estágio 1: Coleta de eventos
Estágio 2: Processamento de eventos
GFI EventsManager
1 Introdução | 23
1.2.1 Estágio 1: Coleta de eventos
Durante o estágio Coleta de eventos, o GFI EventsManager coleta logs de origens de eventos
específicos. Isso é conseguido através de dois mecanismos de coleta de eventos: O Event Retrieval
Engine e o Event Receiving Engine.
Table 1: GFI EventsManager
Mecanismo
Descrição
The Event
Retrieval
Engine
Usado para coletar logs de eventos e logs de texto Windows® das origens de eventos em rede. Durante o
processo de coleta de eventos, este mecanismo irá:
1. Conectar-se à origem do(s) evento(s)
2. Coletar eventos da(s) origem(ns)
3. Enviar eventos coletados para o Servidor GFI EventsManager
4. Logoff da(s) origem(ns) do evento.
O Mecanismo de recuperação de evento coleta eventos em intervalos de tempo específicos. O intervalo
de coleta de eventos é configurável a partir do console de gerenciamentoGFI EventsManager
O ouvinte
SQL Server®
O ouvinte recebe mensagens de rastreamento do Microsoft® SQL Server® digitalizado em tempo real. Na
recepção, GFI EventsManager processa a mensagem imediatamente.
The Oracle
Retrieval
Engine
O Oracle Retrieval Engine se conecta periodicamente ao servidor Oracle e coleta inspeções de uma
tabela de auditoria específica. Semelhante ao Microsoft® Windows®o Event Retrieval Engine,GFI
EventsManager processa eventos gerados pelo servidor da Oracle.
Mecanismo
de
recebimento
de log
O Mecanismo de recebimento de evento age como um servidor Syslog e de Interceptação SNMP ouve e
coleta logs de eventos/mensagens Syslog e de Interceptação SNMP enviadas através de várias origens na
rede. Ao contrário do Mecanismo de recuperação de evento, o Mecanismo de recebimento de eventos
recebe as mensagens diretamente da origem do evento, portanto não é necessário fazer o logon
remotamente nas origens de eventos para coletar eventos. Além disto, os eventos/mensagens Syslog e
de Interceptação SNMP são coletados em tempo real, portanto os intervalos de tempo de coleta não
precisam ser configurados.
Por padrão, o Mecanismo de recebimento de eventos ouve as mensagens Syslog na porta 514 e as
mensagens de interceptação SNMP na porta 162. Ambas as configurações da porta são personalizáveis no
console de gerenciamento GFI EventsManager.
1.2.2 Estágio 2: Processamento de eventos
Durante este estágio, GFI EventsManager executa um conjunto de regras de processamento de
eventos comparadas com os eventos coletados. Regras de processamento de eventos são as
instruções que:
Analisam os logs coletados e classificam os eventos processados como Crítico, Alto, Médio, Baixo
ou Ruído (eventos indesejados ou repetidos)
Filtram eventos que correspondam às condições específicas
Acionam alertas de email, SMS e de rede dos eventos principais
Acionam as ações de correção, tais como a execução de scripts de arquivos executáveis de eventos principais
Opcionalmente, arquivam eventos coletados no back-end do banco de dados.
GFI EventsManager pode ser configurado para arquivar eventos sem executar as regras de
processamento de eventos. Em tais casos, mesmo que as regras não sejam aplicadas comparadas com
os logs coletados, o arquivamento é ainda tratado do estágio do processamento de eventos. Para
obter mais informações, consulte Regras de processamento de eventos.
GFI EventsManager
1 Introdução | 24
Importante
Alguns dos principais módulos em GFI EventsManager devem ser executados sob
privilégios administrativos. Para obter mais informações sobre esses módulos, consulte o
seguinte artigo: http://go.gfi.com/?pageid=esm_process_rights
A tabela abaixo descreve os termos comuns e convenções deste manual:
Table 2: Termos e convenções usados neste manual
Termo
Descrição
Informações adicionais e referências essenciais para a operação do GFI EventsManager.
Notificações e precauções importantes quanto aos problemas que costumam ser encontrados.
>
Instruções de navegação passo a passo para acessar uma função específica.
Texto em
negrito
Itens para selecionar, como nós, opções do menu ou botões de comando.
Texto em itálico
Parâmetros e valores que devem ser substituídos pelo valor aplicável, como caminhos e nomes de
arquivos personalizados.
Código
Indica valores de texto que deve ser inseridos, como comandos e endereços.
GFI EventsManager
1 Introdução | 25
Este capítulo descreve os possíveis cenários de implantação suportados por GFI EventsManager. É
essencial revisar os requisitos do sistema e as configurações do computador antes de instalar o
produto para garantir a comunicação entre GFI EventsManager e os dispositivos/computadores de
rede que devem ser monitorados.
26
32
36
45
54
GFI EventsManager pode ser instalado em qualquer computador que atenda aos requisitos mínimos do
sistema, independentemente da localização na sua rede. Se você deseja obter os logs de eventos dos
sistemas operacionais Microsoft®Windows® Vista ou posterior, GFI EventsManager deve ser instalado
em uma máquina com o Microsoft®Windows® Vista, 7, 2008 Server ou Server 2012.
Use GFI EventsManager para gerenciar os logs de eventos gerados por:
No mesmo computador onde está instalado.
Todos os servidores, estações de trabalho e dispositivos de rede que são acessíveis a partir do
computador no qual está instalado.
GFI EventsManager
2 Instalação do GFI EventsManager | 26
Figure 1: GFI EventsManager cenários de implantação
Esta seção contém informações sobre a implantação GFI EventsManager em:
Local Area Network (LAN) - Monitoramento de atividade na rede de produção principal, servidores
e estações de trabalho
Zone Demilitarized (DMZ) - Monitoramento de eventos gerados pelo serviço público, como servidores de email, servidores de Web e servidores DNS.
Wide Area Network (WAN) - Monitoramento de eventos gerados por computadores e dispositivos
de rede espalhados em diferentes regiões geográficas.
GFI EventsManager
2.1.1 GFI EventsManager dentro de uma rede local (LAN)
GFI EventsManager pode ser implantado em redes baseadas emWindows®, bem como nos ambientes
mistos onde os sistemas Linux e Unix estão sendo usados
também.
Figure 2: Implementação do GFI EventsManager na LAN
Quando instalado em uma rede local (LAN) GFI EventsManager pode gerenciar os eventos Windows®,
logs de texto, mensagens Syslog, Interceptações SNMP e mensagens de auditoria SQL Server® geradas
por qualquer hardware ou software que esteja conectado à LAN, incluindo:
Table 3: Dispositivos suportados por GFI EventsManager
Dispositivo
Exemplo
Estações de trabalho e notebooks
Computadores e sistemas de usuário final.
Servidores
Servidores de Web, servidores de email, servidores de DNS e
mais.
Dispositivos de rede
Roteadores, interruptores e qualquer outro dispositivo que gere
logs de desempenho.
Software
Incluindo GFI EndPointSecurity, GFI LanGuard e outros aplicativos
que geram logs.
Serviços especializados
Microsoft® Internet Information Server - IIS.
PABXs, Keyless Access Systems, sistemas de
detecção de intrusão e mais
GFI EventsManager permite que você monitore qualquer
dispositivo que esteja conectado à rede.
GFI EventsManager
2.1.2 GFI EventsManager em uma Zona desmilitarizada (DMZ)
GFI EventsManager monitora os eventos gerados por máquinas em DMZ, de instalações dentro da LAN
ou por outras instalações diretamente no DMZ. Como um roteador ou firewall normalmente protege
essa zona de tráfego de rede com os recursos de filtragem, você deve certificar-se de que:
As portas de comunicação usadas pelo GFI EventsManager não estão bloqueadas pelo firewall.
Para obter mais informações sobre as portas de comunicação usadas pelo GFI EventsManager, consulte: http://go.gfi.com/?pageid=esm_ports.
GFI EventsManager tem privilégios administrativos sobre os computadores executados no DMZ.
Importante
A GFI recomenda a instalação de GFI EventsManager diretamente no DMZ ao invés de
permitir que as portas de firewall e permissões permitam a comunicação entre
computadores de LAN e DMZ, servidores e dispositivos de rede.
Figure 3: O DMZ fica entre a rede interna e a Internet
DMZ é a rede neutra que fica entre a rede corporativa “interna” e “mundo externo” (Internet). A
implementação de GFI EventsManager num DMZ ajuda você a automatizar o gerenciamento dos
eventos gerados pelos sistemas de hardware e software DMZ, tais como:
GFI EventsManager
Table 4: Benefícios de instalação GFI EventsManager em DMZ
Automação
DMZ
Descrição
Automate
management
of Web and
Mail server
events
Redes DMZ são normalmente usadas para executar hardware e software em computadores específicos
com funções de Internet como servidores de HTTP, FTP e servidores de email.
Por isso, você pode implantar GFI EventsManager para gerenciar automaticamente os eventos gerados
por:
Servidores de Web, incluindo logs de web W3C gerados pelos servidores de web Apache nas plataformas de web LAMP
Servidores de web baseados emWindows®, incluindo logs de web W3C gerados pelos Internet
Information Servers (IIS) Microsoft®
Servidores de email baseados em Linux/Unix e Windows®, incluindo mensagens de serviços de
auditoria Syslog geradas pelo Sun Solaris v. 9 ou posterior
Automatizar o gerenciamento de eventos do servidor DNS
Em um servidor DNS público, é bem possível que um servidor DNS esteja sendo executado em
DMZ. Por isso é possível usarGFI EventsManager para coletar e processar automaticamente o servidor DNS, incluindo os eventos armazenados nos logs de Servidor DNS Windows®.
Automatizar o
gerenciamento
de eventos do
servidor DNS
Em um servidor DNS público, é bem possível que um servidor DNS esteja sendo executado em DMZ. Por
isso é possível usarGFI EventsManager para coletar e processar automaticamente o servidor DNS, incluindo os eventos armazenados nos logs de Servidor DNS Windows®.
Automate
management
of network
appliance
events
Os roteadores e firewalls são dois dispositivos de rede que costumam ser encontrados em DMZ.
Roteadores e firewalls especializados (exemplo: Roteadores Série Cisco IOS) não apenas ajudam a
proteger sua rede interna, mas fornecem recursos especializados, como a Conversão de Endereços de
porta (Port Address Translation - PAT), que podem aumentar o desempenho dos seus sistemas
operacionais.
Com a implementação de GFI EventsManager no seu DMZ, é possível obter os eventos gerados por tais
dispositivos de rede. Por exemplo, é possível configurar GFI EventsManager para agir como um servidor
Syslog e coletar em tempo real as mensagens Syslog geradas pelos roteadores Cisco IOS.
GFI EventsManager
2.1.3 GFI EventsManager em uma Rede de Longa Distância (WAN)
GFI EventsManager pode ser instalado em ambientes que possuem vários locais em diferentes
localizações geográficas.
Screenshot 3: Exportar dados de sites remotos para a instância do GFI EventsManager
Isso é obtido ao instalar uma instância do GFI EventsManager em cada local. Periodicamente (de
acordo com um agendamento), é possível exportar os eventos de sites remotos e importá-los para o
banco de dados central para a consolidação completa de logs de eventos.
Os eventos no site remoto podem ser exibidos com o Navegador de eventos. Relatórios com
informações relevantes para sites remotos também podem ser gerados por meio do banco de dados
central. Usar a opção Switch Database para exibir ou comunicar informações armazenadas nos
bancos de dados.
Obs.
Para obter mais informações, consulte Switching File Storage Databases.
Obs.
Para obter mais informações, consulte Database Maintenance.
GFI EventsManager
Para instalar o GFI EventsManager, o computador anfitrião deve atender aos requisitos do sistema
especificados abaixo. Se você planeja gerenciar um grande número de origens de eventos em uma
rede de alto tráfego, considere usar um computador com maior alcance do sistema. Consulte as
seções a seguir para obter informações sobre:
Requisitos de hardware
Sistemas operacionais suportados (32 e 64 bits)
Outros componentes de software
Requisitos de armazenagem
Portas e protocolos de firewall
Permissões de firewall
Configurações da origem do evento
Exceções de antivírus
Considerações da identificação do computador
Coletar logs de eventos em computadores que executam Microsoft® Vista ou posterior
2.2.1 Requisitos de hardware
A tabela abaixo apresenta os requisitos de hardware deGFI EventsManager:
Table 5: Requisitos de hardware
Componentes de hardware
Especificação
Processador
2.5 GHz dual core ou superior
RAM
3 GB.
Disco rígido
10 GB de espaço livre.
Obs.
O tamanho do disco rígido depende do ambiente, o tamanho especificado nos requisitos
é o mínimo necessário para eventos de instalação e arquivamento.
2.2.2 Sistemas operacionais suportados (32 e 64 bits)
GFI EventsManager pode ser instalado em um computador executando um dos seguintes sistemas
operacionais:
Windows® Server 2012 - Foundation, Essentials, Standard ou Datacenter
Windows® Server 2008 - Standard ou Enterprise
Windows® Server 2008 R2 - Standard ou Enterprise
Windows® Server 2003 SP2 - Standard ou Enterprise
Windows® 8 - Standard, Professional ou Enterprise
Windows® 7 - Enterprise, Professional ou Ultimate
Windows® Vista SP1 - Enterprise, Business ou Ultimate
GFI EventsManager
Windows®XP Professional SP3
Windows® SBS 2008
Windows® SBS 2003.
Obs.
GFI EventsManager não pode ser instalado no servidor Core Instalations.
2.2.3 Outros componentes de software
Os componentes de software adicionais abaixo devem estar instalados para garantir a funcionalidade
completa de GFI EventsManager:
Microsoft® .NET framework 4.0
Microsoft® Data Access Components (MDAC) 2.8 ou posterior
Um servidor de email (quando o alerta de email é exigido).
Obs.
Microsoft® Data Access Components (MDAC) 2.8 pode ser baixado de
http://go.gfi.com/?pageid=esm_mdac
2.2.4 Requisitos de armazenagem
Os requisitos de armazenagem abaixo são baseados no tamanho médio de um log de evento, sendo
535 bytes por evento. As seguintes especificações indicam o tamanho do disco rígido exigido, que
atende às solicitações de sua infraestrutura:
Table 6: Requisitos de espaço de armazenagem
Espaço em disco rígido
Número de eventos
Eventos armazenados por 1 GB de espaço de armazenagem
2.006.994
Eventos armazenados em 500 GB de espaço de armazenagem
1.003.497.032
2.2.5 Portas e protocolos de firewall
A tabela a seguir contém portas e protocolos que devem ser permitidos pelo firewall do anfitrião GFI
EventsManager:
Table 7: Portas e protocolos de firewall
Porta
Protocolos
Descrição
135
UDP e TCP
Máquinas de destino utilizam esta porta para publicar informações sobre portas dinâmicas
disponíveis. O GFI EventsManager usa esta informação para se comunicar com as máquinas de
destino.
139 e
445
UDP e TCP
Usado por GFI EventsManager para recuperar as descrições de log de eventos de máquinas de
destino.
162
UDP e TCP
Usado por GFI EventsManager para receber interceptações SNMP. Certifique-se de que esta porta
esteja aberta na máquina onde GFI EventsManager está instalado.
514
UDP e TCP
Usado por GGFI EventsManager para receber mensagens SYSLOG.
1433
UDP e TCP
Digite o número da porta usada por GFI EventsManager para se comunicar com o back-end do
banco de dados SQL Server®. Certifique-se de que a porta está ativada em Microsoft® SQL Server®
e na máquina onde GFI EventsManagerestá instalado.
GFI EventsManager
Porta
Protocolos
Descrição
1521
UDP e TCP
Usado para coletar logs de auditoria Oracle Server. A porta 1521 é a porta padrão para esta
conexão. Se a porta for alterada manualmente na configuração do Listener Oracle, ajuste as
configurações de firewall adequadamente.
49153
UDP e TCP
Usado por GFI EventsManager para coletar dados de origens de eventos com Microsoft®
Windows®Vista ou Microsoft® Windows® 7.
2.2.6 Permissões de firewall
A tabela a seguir contém as permissões que devem ser permitidas pelo firewall do anfitrião GFI
EventsManager:
Table 8: Permissões de firewall
Políticas de
permissões e de
auditoria de
firewall
Windows® Server 2008
Windows® Server 2003
Windows® XP
Windows® 7
Windows® Vista
Gerenciar log de
eventos remotos
Ativar
Não aplicável
Não aplicável
Ativar
Ativar
Compartilhamento
de arquivo e
impressora
Ativar
Ativar
Ativar
Ativar
Ativar
Network
discovery
Ativar
Não aplicável
Não aplicável
Ativar
Ativar
Política de
auditoria: Acesso
ao objeto
Ativar
Não aplicável
Não aplicável
Ativar
Ativar
Audit policy:
Process tracking
Ativar
Não aplicável
Não aplicável
Ativar
Ativar
Política de
auditoria:
Gerenciamento da
conta de auditoria
Ativar
Ativar
Ativar
Ativar
Ativar
Audit policy:
Audit system
events
Ativar
Ativar
Ativar
Ativar
Ativar
Obs.
Para obter mais informações, consulte Adicionar permissões de origens de eventos
manualmente ou Ativar permissões de origens de eventos automaticamente.
2.2.7 Configurações da origem do evento
A tabela a seguir contém as configurações que devem ser configuradas nas suas origens de eventos.
Origens de eventos são os computadores que você deseja monitorar com GFI EventsManager:
Table 9: Configurações da origem do evento
Tipo de log
Descrição
Processar log de evento
Windows®
Ativar registro remoto.
Processamento log de
texto
A pasta de origem deve estar acessível através de compartilhamento de Windows®.
Processamento de Syslog Interceptações SNMP
Configurar fontes/remetentes para enviar mensagens para o computador/IP onde GFI
EventsManager está instalado.
GFI EventsManager
Tipo de log
Descrição
Verificar máquinas com
Windows® Vista ou posterior
Instalar GFI EventsManagerem um computador executando Windows® Vista ou posterior.
Auditoria do sistema
Ativar auditoria de origens de eventos. Para obter mais informações, consulte Ativar
manualmente permissões de origem do evento eAtivar automaticamente permissões de
origem do evento.
2.2.8 Exceções de antivírus
Se um aplicativo antivírus instalado no computador onde GFI EventsManager está sendo executado,
confira se:
Não há tráfego bloqueado nas portas em uso porGFI EventsManager
esmui.exe e esmproc.exe têm acesso permitido pelos firewalls
As pastas GFI EventsManager foram excluídas da verificação antivírus em tempo real.
2.2.9 Considerações de identificação do computador
GFI EventsManager identifica os computadores através do nome ou IP. Se forem usados nomes de
computador NetBIOS compatíveis, verifique se o seu serviço de DNS está configurado corretamente
para solução de nomes. Resolução de nomes não confiáveis diminuiu o desempenho geral do sistema.
Se desativar TCP/IP NETBIOS, você ainda pode usar GFI EventsManager, no entanto, é preciso
especificar o nome do computador por IP.
2.2.10 Coletar logs de eventos em computadores que executam Microsoft® Vista ou posterior
GFI EventsManager não pode ser instalado no Microsoft® Windows® Windows XP para monitorar
eventos do Microsoft® Windows® Vista ou posterior. Microsoft® Windows® O Microsoft® Windows®
Vista e 7 introduziram profundas alterações estruturais no registro em log de eventos e
gerenciamento de log de eventos. As alterações mais importantes são:
Um novo formato XML dos logs de eventos. Isso fornece uma abordagem mais estruturada para
relatar todas as ocorrências do sistema.
Categorização de eventos em quatro grupos diferentes: Administrativa, Operacional, Analítica e
Depuração
Um novo formato de arquivo (evtx) que substitui o antigo formato dos arquivos evt.
Devido a essas alterações, para coletar e processar logs de eventos em Microsoft® Windows® Vista ou
posterior, GFI EventsManager deve estar instalado em um sistema executando:
Windows® Vista
Windows® 7
Windows® Server 2008.
Obs.
Eventos Windows® XP podem ser coletados quando GFI EventsManager estiver instalado
em máquinas com Windows® Vista ou posterior.
GFI EventsManager
Obs.
Quando GFI EventsManager estiver usando uma conta não domínio para coletar eventos
das máquinas Windows® Vista ou posteriores, as máquinas de destino devem ter o
Controle da Conta do Usuário (UAC) desativado. Para obter mais informações, consulte
Desabilitar o controle de conta de usuário (UAC).
Atualizar versões mais antigas que GFI EventsManager 2011 não é suportado. Algumas configurações
podem ser perdidas devido às mudanças tecnológicas subjacentes. GFI EventsManager pode ser
atualizado através de um dos seguintes métodos:
Table 10: AtualizarGFI EventsManager
Método
Descrição
Automaticamente
Iniciar a nova configuração e concluir o assistente para atualizar e manter dados. Para obter mais
informações, consulte Atualizar de uma versão anterior.
Manualmente
Exportar configurações e eventos de uma versão anterior de GFI EventsManager e importá-las para
uma nova com as ferramentas de Operações do banco de dados e ferramentas Importar/Exportar.
Para obter mais informações, consulte Criar trabalhos de manutenção e Configurações importar e
exportar.
2.3.1 Atualizar de uma versão anterior
Obs.
Antes de iniciar a atualização, desative qualquer software de antivírus executado no
sistema.
Para atualizar para uma versão mais recente:
1. Clique duas vezes em EventsManager.exe.
GFI EventsManager
2. O instalador exibe uma lista de componentes de sistema que devem estar instalados antes da
instalação do produto. Clique em Install para iniciar a instalação dos componentes ausentes do
sistema (se necessário).
GFI EventsManager
3. O assistente de instalação do servidor de banco de dados DLib é aberto automaticamente após a
instalação dos componentes do sistema. Clique em Next na tela inicial do assistente.
4. Leia atentamente o contrato de licença. Selecione I accept the terms in the License Agreement e
clique em Next.
GFI EventsManager
5. Clique em Next para instalar o servidor de banco de dados na pasta padrão ou clique em Change...
para selecionar uma pasta alternativa para a instalação.
6. Clique em Install para iniciar a instalação do Servidor de banco de dados DLib. Clique em Finish
quando solicitado.
GFI EventsManager
Obs.
Depois que o servidor de banco de dados é instalado, o instalador automaticamente
abre o assistente do console de gerenciamento do GFI EventsManager.
7. Clique em Yes para desinstalar a versão anterior de GFI EventsManager e continue a instalar a
nova. Clique em No para parar a instalação.
Obs.
Executar duas instâncias do console de gerenciamento no mesmo computador não é
suportado.
Screenshot 9: Excluir antigas versões do arquivo
8. Clique em Yes para confirmar a exclusão dos arquivos da versão anterior de GFI EventsManager ou
clique em No para parar a instalação.
Screenshot 10: Tela inicial do assistente de instalação GFI EventsManager
9. Clique em Next na tela inicial do assistente de instalaçãoGFI EventsManager.
GFI EventsManager
10. Leia atentamente o contrato de licença. Selecione I accept the terms in the License Agreement
e clique em Next.
11. Digite seu nome de usuário e a chave da licença nos campos User Name e Licence Key. Para
registrar-se para uma chave de licença de avaliação gratuita de 30 dias, clique em Register. Clique
em Next (Avançar).
GFI EventsManager
12. Digite as credenciais de logon que GFI EventsManager utiliza para conectar-se a computadores
remotos.
Obs.
É recomendável usar um administrador de domínio ou uma conta com direitos
administrativos em todos os computadores remotos gerenciados por GFI EventsManager.
GFI EventsManager
13. Clique em Next para instalar o Console de Gerenciamento na pasta padrão ou clique em
Change... para selecionar uma pasta alternativa onde está instalado.
14. Clique em Install para iniciar a instalação.
15. Quando a instalação for concluída, clique em Finish.
GFI EventsManager
16. Quando GFI EventsManager detecta uma conexão com a Internet, ele automaticamente tenta
baixar atualizações de produtos dos servidores de atualizações GFI. Clique em Details para expandir a
seção Informações do diálogo Atualização automática e ver as atualizações sendo baixadas.
Obs.
Após a atualização do produto, o diálogo Switch Database Server abre. Este diálogo é
usado para vincular o Console de gerenciamento ao servidor do banco de dados. É
possível alternar os servidores do banco de dados no Console de gerenciamento. Para
obter mais informações, consulte Alternar entre banco de dados de armazenamento de
arquivos.
17. Especifique o computador onde o Servidor de Banco de Dados D-Lib está instalado. Se o banco de
dados desejado estiver ligado:
O localhost - digite localhost ( padrão)
Um computador remoto - digite computer name ou IP address.
Clique em OK.
Obs.
Após concluir a instalação, o Console de gerenciamento abre automaticamente. Para
iniciar manualmente, clique em Start > All Programs > GFI EventsManager >
Management Console.
GFI EventsManager
Obs.
Os dados de configuração da GFI EventsManager 2012 não são excluídos. Os dados são
copiados no diretório de instalação (%install folder%\Data_Old). Os dados desta pasta
são usados para manter as configurações anteriores.
Obs.
Teste a instalação para conferir se todos os componentes foram instalados com êxito.
Para obter mais informações, consulte Testar a instalação.
Os componentes listados na tabela a seguir podem ser instalados com EventsManager.exe:
Table 11: Componentes instalados usando EventsManager.exe
Componente
Descrição
System components
Os seguintes componentes do sistema são exigidos por GFI EventsManager para funcionalidade
completa:
Visual C++ 2010 redistribuível
Microsoft® .NET Framework 2.0
Microsoft® .NET Framework 4.0
Microsoft® SQL Server® Compact 3.5 SP2
MSXML6
Microsoft® SQL Server® Cliente nativo
Microsoft® SQL Server® Gerenciar de coleta de objetos
DLib Database
Server
O Servidor de banco de dados DLib é o componente onde GFI EventsManager armazena os logs de
processamento. O servidor de banco de dados pode ser instalado no mesmo computador que está
executando o GFI EventsManager, bem como em um computador remoto ou em uma unidade de rede.
GFI EventsManager
O produto real a partir de onde você pode gerenciar e monitorar os eventos gerados por computadores
e dispositivos em sua rede.
2.4.1 Procedimento de instalação
Para instalar GFI EventsManager:
1. Clique duas vezes em EventsManager.exe.
GFI EventsManager
2. O instalador exibe uma lista de componentes de sistema que devem estar instalados antes da
instalação do produto. Clique em Install para iniciar a instalação dos componentes ausentes do
sistema (se necessário).
GFI EventsManager
3. O assistente de instalação do servidor de banco de dados DLib é aberto automaticamente após a
instalação dos componentes do sistema. Clique em Next na tela inicial do assistente.
clique em Next.
GFI EventsManager
5. Clique em Next para instalar o servidor de banco de dados na pasta padrão ou clique em Change...
para selecionar uma pasta alternativa para a instalação.
6. Clique em Install para iniciar a instalação do Servidor de banco de dados DLib. Clique em Finish
quando solicitado.
GFI EventsManager
Obs.
Depois que o servidor de banco de dados é instalado, o instalador automaticamente
abre o assistente do console de gerenciamento do GFI EventsManager.
Screenshot 23: Tela inicial do assistente de instalaçãoGFI EventsManager
7. Clique em Next na tela inicial do assistente.
GFI EventsManager
clique em Next.
9. Digite seu nome de usuário e a chave de licença nos campos User Name e License Key. Para
registrar-se para uma chave de licença de avaliação gratuita de 30 dias, clique em Register. Clique
em Next (Avançar).
GFI EventsManager
10. Digite as credenciais de logon que GFI EventsManager utiliza para conectar-se aos computadores
remotos.
Obs.
É recomendável usar um administrador de domínio ou uma conta com direitos
administrativos em todos os computadores remotos gerenciados por GFI EventsManager.
GFI EventsManager
11. Clique em Next para instalar o Console de Gerenciamento na pasta padrão ou em Change... para
selecionar uma pasta alternativa para a instalação.
12. Clique em Install para iniciar a instalação.
13. Quando a instalação for concluída, clique em Finish.
GFI EventsManager
14. Ao detectar uma conexão com a Internet, oGFI EventsManager automaticamente tenta baixar
atualizações de produtos dos servidores de atualizações GFI. Clique em Details para expandir a seção
Informações do diálogo Atualização automática e ver as atualizações sendo baixadas.
Obs.
Após a atualização do produto, o diálogo Switch Database Server abre. Este diálogo é
usado para conectar o console de gerenciamento a um servidor de banco de dados. É
possível alternar os servidores do banco de dados no Console de gerenciamento. Para
obter mais informações, consulte Alternar entre banco de dados de armazenamento de
arquivos.
15. Especifique o computador onde o Servidor de banco de dados D-Lib está instalado. Se o banco de
dados desejado estiver ligado:
Um computador remoto - digite o computer name ou IP address
O localhost - digite localhost (padrão).
Clique em OK.
Obs.
Após concluir a instalação, o Console de gerenciamento abre automaticamente. Para
iniciar manualmente, clique em Start > All Programs > GFI EventsManager >
Management Console.
GFI EventsManager
Obs.
Teste a instalação para conferir se todos os componentes foram instalados com êxito.
Para obter mais informações, consulte Testar a instalação.
Depois que todos os componentes necessários são instalados, o Console de Gerenciamento abre
automaticamente. Por padrão, ele está configurado para iniciar o Quick Launch Console na
inicialização.
Screenshot 31: Executar GFI EventsManager pela primeira vez
Selecionar uma opção do menu Console de início rápido para processar eventos ou personalizar as
configurações padrão:
Opção
Descrição
Processar eventos - Computador local
Iniciar o processamento de logs gerados por GFI EventsManager.
Obs.
Para obter mais informações, consulte Processar eventos - Domínio local.
Processar eventos - Domínio local
Iniciar processamento de logs gerados por computadores e dispositivos de rede dentro do
mesmo domínio do anfitrião GFI EventsManager.
Obs.
Para obter mais informações, consulte Processar eventos - Domínio local.
GFI EventsManager
Opção
Descrição
Processar eventos - Máquinas selecionadas
Iniciar o processamento dos logs gerados por computadores específicos.
Obs.
Para obter mais informações, consulte Processar eventos - Máquinas selecionadas.
Personalizar...
Personalizar configurações padrão como:
Tipos de origens e log de eventos
Regras de processamento de eventos
Operações de banco de dados
Destinatários do alerta
Opções de alertas
Monitoramento ativo.
2.5.1 Processar eventos - Computador local
Esta opção permite adicionar automaticamente o localhost como uma origem de eventos e logs de
processamento gerados por ele.
Para processar eventos no computador local:
Screenshot 32: Processar eventos - Computador local
1. Clique em Process events - Local computer.
GFI EventsManager
Screenshot 33: Ações do console principal
2. Depois de os logs localhost iniciaram o processamento, é possível:
Ícone
Descrição
Browse events
Acessar os eventos e ferramentas forenses integrados que ajudam a localizar, analisar e filtrar os eventos
principais. Para obter mais informações, consulte Browsing Stored Events.
Generate reports
Acessar os recursos de relatório incluindo geração instantânea/agendada de relatórios e distribuição
automatizada de relatórios. Para obter mais informações, consulte Relatórios.
View dashboard
Acessar o painel de status GFI EventsManager. Isso permite que você veja a representação gráfica das
informações coletadas dos eventos mais importantes processados pelo GFI EventsManager. Para obter mais
informações, consulte Monitoramento de atividade.
Customize
Personalizar configurações GFI EventsManager, como o processamento de Syslog, Interceptação SNMP,
verificações do sistema, notificações de eventos principais, e mais. Para obter mais informações, consulte:
Gerenciar origens de eventos
Configurar regras de processamento de eventos
Configurar opções de manutenção do banco de dados
Configurar alertas e ações padrão
Configurar monitoramento ativo
GFI EventsManager
Obs.
Para confirmar que os logs sejam processados corretamente, vá para a guia Status >
Job Activity e verifique se existem logs de atividades na seção Operational History.
2.5.2 Processar eventos - Domínio local
Esta opção permite adicionar um ou mais computadores que estão no mesmo domínio ou grupo de
trabalho de GFI EventsManager. O assistente Automatic Network Discovery permite que você
selecione o tipo de origens de eventos que você deseja adicionar e, em seguida, lista as origens que
são detectadas.
Para processar evento a partir de computadores no mesmo domínio/grupo de trabalho:
Screenshot 34: Processar eventos - Domínio local
1. Clique em Process events - Local domain. Isso abre o assistente Automatic Network Discovery.
Obs.
O assistente também pode ser iniciado na guia Configuration > Event Sources. No
painel esquerdo, clique com o botão direito em All event sources e selecione Scan local
domain.
GFI EventsManager
Screenshot 35: Assistente de descoberta automática
2. Clique em Next na tela inicial do assistente.
Screenshot 36: Selecionar os tipos de origem de evento para detectar na sua rede
3. Selecione os tipos de origens de eventos que o assistente tentará detectar na sua rede. Clique em
Next (Avançar).
GFI EventsManager
Screenshot 37: Progresso de pesquisar rede
Obs.
Se GFI EventsManager detectar computadores que não podem fazer logon com as
credenciais fornecidas, é possível especificar as credenciais de logon alternados para
cada computador selecionado.
4. Selecione um computador da lista e digite o nome de usuário e senha. Clique em OK para fechar o
diálogo Alternative Credentials .
Obs.
Repetir está etapa até que todas as origens necessárias sejam adicionadas.
5. Clique em Next e em Finish.
Obs.
Para adicionar automaticamente novos computadores que estão associados ao mesmo
domínio/grupo de trabalho de GFI EventsManager, é preciso configurar a Sincronização.
Para obter mais informações, consulte Adding event sources automatically.
GFI EventsManager
2.5.3 Processar eventos - Máquinas selecionadas
Esta opção permite adicionar manualmente computadores específicos assim:
Digitar nomes e IPs de computador
Selecionar os computadores de domínios e grupos de trabalho acessíveis.
Importar computadores a partir de um arquivo de texto contendo um único nome de computador
por linha.
Para processar eventos de computadores selecionados:
Screenshot 38: Processar eventos - Máquinas selecionadas
1. Clique em Process events - Selected machines.
2. Isso abre o diálogo Add New Event Source .
GFI EventsManager
3. A tabela a seguir descreve as opções disponíveis:
Opção
Descrição
Adicionar
Digite o nome ou o endereço IP do computador no campo Add the following computers. Clique em Add
para adicionar um computador específico à lista Computers.
Obs.
Repita esta etapa para adicionar todas as origens de dados de eventos ao grupo selecionado.
Obs.
Com o Syslog e as interceptações SNMP usando endereços IP para determinar a origem de um
evento, recomenda-se utilizar o endereço IP de origem, em vez do nome do computador ao
adicionar Syslog e origens de Interceptações SNMP.
Remover
Selecione um ou mais computadores da lista Computer e clique Remove para excluí-los da lista.
Selecionar...
Clique em Select... para abrir o diálogo Select Computers...:
1. No menu suspenso Domain, selecione o domínio a ser verificado quanto às origens disponíveis e clique
em Search.
2. Na lista de resultados da pesquisa, selecione os computadores que deseja adicionar.
3. Clique em OK para fechar o diálogo Select Computers... e retorne ao diálogo Add New Event
Sources...
Importar...
Clique em Import... para importar computadores de um arquivo de texto. Certifique-se de que o arquivo
de texto contém apenas o nome de um computador ou endereço IP por linha.
4. Clique em Finish para finalizar as configurações. GFI EventsManager tenta imediatamente analisar
as origens dos eventos adicionados com as credenciais de logon padrão. Para obter mais informações,
consulte Definir as credenciais de logon de origem do evento.
GFI EventsManager
Obs.
Se a sincronização não for ativada, é possível usar o Network Discovery Wizard para
pesquisar e adicionar automaticamente origens de eventos. Para iniciar Network
Discovery Wizard, clique com o botão direito em All event sources na árvore de origens
de eventos e selecione Scan local domain. Para mais informações consulte Adicionar
origem do evento automaticamente.
Obs.
Para confirmar que os logs sejam processados corretamente, vá para a guia Status >
Job Activity e verifique se existem logs de atividades na seção Operational History.
GFI EventsManager
3 Obter resultados
Este capítulo fornece informações sobre como usar o GFI EventsManager para obter resultados. As
informações fornecidas ajudam você na condução de investigações forenses e no monitoramento do
sistema. Isto também permite que você obtenha os resultados positivos de conformidade legal,
garantindo a segurança da rede em todos os momentos.
63
65
67
Muitas empresas supõem erroneamente que o acesso não autorizado é apenas uma ameaça externa.
A maioria das ameaças de segurança corporativa na verdade deriva de fontes internas, contra qual
um firewall não oferece nenhuma proteção. Uma eficiente estratégia de segurança inclui o
monitoramento em tempo real de eventos essenciais de segurança e a análise periódica dos logs de
segurança dos sistemas para que você possa detectar e responder rapidamente aos ataques.
A segurança da rede é definida como um conjunto de regras e políticas adotado por um administrador
de rede para monitorar e impedir o abuso e o acesso não autorizado de uma rede. Para uma
estratégia de rede segura e eficaz, siga as etapas descritas abaixo:
1. Adicione o Console de Gerenciamento de Usuários e Grupos
GFI EventsManager pode ser gerenciado por vários usuários. É possível vincular a atividade do
console a diferentes usuários com a criação de um usuário para cada pessoa que está acessando o
console e alterando as configurações.
Criar usuários que possam auditar uma atividade individual. Para obter mais informações, consulte Gerenciar contas de usuários.
Criar grupos de usuários para que vários usuários possam ser gerenciados de uma só vez. Para
obter mais informações, consulte Gerenciar grupos de usuários.
2. Configure as opções de segurança do console.
GFI EventsManager permite configurar as opções de segurança do console, para a garantia do sigilo
das informações.
Ativar o sistema de logon GFI EventsManager para que os usuários possam ser rastreados individualmente. Para obter mais informações, consulte Ativar o sistema de logon.
Configurar opções de anonimato para que os usuários não autorizados sejam impedidos de
acessar informações confidenciais dentro do console de gerenciamento. Para obter mais informações, consulte Anonimato.
Ativar a auditoria do usuário para que um log de atividade possa ser criado para cada usuário
que alterar as configurações do sistema. Para obter mais informações, consulte Auditar atividade do console.
GFI EventsManager
3 Obter resultados | 63
3. Configure os alertas e as ações padrão
GFI EventsManager permite o controle da atividade de rede em tempo real, acionando alertas,
para executar scripts e outras operações quando determinados logs de eventos são coletados.
Configurar os destinatários de alertas e configurações de notificação para mensagens SNMP
SMS, Email e de rede. Para obter mais informações, consulte Configurar Opções de alertas.
Configurar operações que são executadas em detecção de atributos específicos de um log de
eventos. Para obter mais informações, consulte Configurar ações de classificação padrão.
4. Adicionar origens de eventos
Se ainda não executado, adicione a origem do evento que deseja proteger.
Adicionar manualmente a origem do evento, especificando os endereços IP e/ou os nomes de
computadores. Para obter mais informações, consulte Adicionar origens de eventos manualmente.
Adicionar origens de eventos automaticamente, assim que elas estiverem integradas ao domínio ou à rede. Para obter mais informações, consulte Adicionar origens de eventos automaticamente.
5. Ative as permissões de auditoria de origem do evento
Para auditar origens de eventos, as opções de Auditoria devem estar ativadas no sistema
operacional de origem.
Ativar manualmente as opções de auditoria de computadores individuais. Para obter mais
informações, consulte Ativar permissões de origem do evento manualmente.
Ativar automaticamente as opções de auditoria para grandes grupos de computadores. Para
obter mais informações, consulte Ativar permissões de origem do evento automaticamente.
6. Colete log de eventos
Iniciar coleta de log de eventos gerados pelas fontes adicionadas na etapa anterior. Logs de
eventos podem ser coletados assim que a fonte é adicionada, no entanto, você ainda pode
personalizar as configurações de origem do evento para obter informações específicas.
Configurar as propriedades de origem do evento, como credenciais de logon, tipo de licença e
outros. Para obter mais informações, consulte Configurar as propriedades de origem do
evento.
Configurar as origens de eventos para coletar e processar Logs de eventos Windows, Mensagens de Interceptação SNMP, Logs de texto e outros. Para obter mais informações, consulte
Coletar logs de eventos.
7. Analise os logs de eventos coletados e monitore atividades
Depois de coletar os logs de eventos necessários, é possível analisá-los no Navegador de evento. O
Navegador de evento permite que você crie regras personalizadas nos logs coletados. Isso permite
disparar alertas ou ações quando os eventos do mesmo tipo são coletados.
Criar regras baseadas em eventos coletados. A regra de processamento de eventos verifica um
log de evento e executa ações com base nas configurações definidas na Etapa 3. Para obter
mais informações, consulte Criar novas regras de eventos existentes.
Monitorar atividades de gerenciamento de eventos a partir de amplas exibições do painel.
Para obter mais informações, consulte Monitorar atividade.
GFI EventsManager
GFI EventsManager executa verificações em todo o sistema no seus servidores e estações de trabalho.
Utiliza o Monitoramento Ativo para ajudar você detectar e corrigir proativamente erros do sistema e
defeitos de hardware, evitando problemas com a rede.
O sistema pode monitorar servidores críticos, inclusive Microsoft®ISA Server®, Exchange Server®, SQL
Server® e IIS®. Eles podem até mesmo ser configurados para aprofundar sistemas e monitorar as filas
de email, portais SMTP, disponibilidade MAPI, bloqueio de disco rígido e muito mais.
O monitoramento da eficiência das regras e políticas aplicadas nos seus sistemas ajuda a determinar
quão bem os planos e ações estão funcionando na prática.
1. Add event sources
Depois de instalado, o GFI EventsManager adiciona automaticamente o localhost à lista de
origens do evento. Adicione outras fontes, manual ou automaticamente, de acordo com as
suas preferências.
Adicione computadores manualmente, especificando os nomes e endereços IP dos computadores. Para obter mais informações, consulte Adding event sources manually.
Computadores também podem ser adicionados automaticamente assim que são descobertos pelo GFI EventsManager. Para mais informações consulte Adicionar origem do
evento automaticamente.
2. Configure event sources
Configurar as propriedades de origem do evento, para permitir o monitoramento ativo e o
processamento de eventos. Consulte as seções a seguir para obter informações sobre:
Configurar as propriedades de origem do evento
Configurar o monitoramento de origem do evento
Coletar logs de eventos.
3. Configure alertas e ações predefinidas
Um dos recursos principais do GFI EventsManager é a capacidade de enviar notificações e
executar ações predefinidas quando determinados logs de eventos são coletados.
Planejar como as notificações são enviadas e configurar o servidor de email, portais SMS ou
configurações de rede adequadamente. Adicionar destinatários no GFI EventsManager para os
quais notificações são enviadas.
Após concluído, configurar as ações predefinidas a serem executadas quando eventos
específicos são processados. Consulte a seção a seguir para obter mais informações sobre:
Configurar a conta do administrador
Gerenciar as contas de usuário
Configurar Opções de Alerta
Configurar ações de classificação predefinidas.
GFI EventsManager
4. Configure o monitoramento ativo
Verificações de monitoramento ativo são parâmetros condicionais, comparados com as origens
de eventos de acordo com um agendamento. Com as condições de parâmetros sendo
cumpridas ou não, as verificações de monitoramento geram logs de eventos.
Os logs de eventos gerados podem ser combinados com as regras de processamento de eventos
para analisar o problema que gerou o log, enviar notificações, executar scripts e ações
corretivas.
GFI EventsManager contém algum monitoramento ativo genérico, que pode ser usado
imediatamente. Você também pode criar novas definições e configurar as definições
granulares para a aquisição de informações precisas e significativas. Consulte as seções a
seguir para obter informações sobre:
Monitoramento ativo
Criar e configurar a pasta raiz
Criar e configurar o Monitoramento ativo
Aplicar o monitoramento ativo
Analisar a atividade de Monitoramento ativo
5. Configure as regras de processamento de eventos
Regras de processamento de eventos são verificações condicionais comparadas com os logs de
eventos coletados. De acordo com as informações encontradas no log de eventos (como Log
Type, Timestamp e Classification) GFI EventsManager determina a ação a ser executada.
Criar novas regras a partir dos logs de eventos gerados pelas verificações de monitoramento
ativo para desencadear operações automáticas corretivas quando um erro de sistema é
detectado.
Opcionalmente, configurar origens de eventos para comparar as regras de integridade do
sistema dos logs de eventos coletados. Consulte as seções a seguir para obter informações
sobre:
Sobre regras de processamento de eventos
Gerenciar pastas de conjunto de regras
Criar novas regras a partir de eventos existentes.
Configurar as condições da regra
Configurar a origem de eventos para processar os logs com as regras de Integridade do sistema.
6. Gere relatórios
GFI EventsManager permite gerar relatórios para técnicos de TI, bem como breves relatórios
executivos para gestão de pessoal. Relatórios ajudam a visualizar informações de rede por
meio de gráficos e tabelas, bem como informações estatísticas fornecidas nos relatórios.
GFI EndPointSecurity vem com diversos relatórios predefinidos e também permite a criação de
novos relatórios ou modificação dos já existentes.
Relatórios disponíveis
Gerar relatórios
Gerenciar relatórios
Criar relatórios personalizados
Configurar as condições de filtragem do relatório.
GFI EventsManager
O Padrão de Segurança de Dados (Data Security Standard - DSS) da Indústria de Cartão de Pagamento
(Payment Card Industry - PCI) é um padrão criado para definir uma lista de requisitos para a gestão
da segurança, políticas, arquitetura de rede e outras medidas que ajudam a proteger a conta do
cliente e as informações detalhadas do cartão de crédito.
A plena conformidade com o PCI DSS requer o gerenciamento do log de eventos e a elaboração de
relatório abrangente, GFI EventsManager é, portanto, uma solução essencial para auxiliar seu
programa de conformidade PCI. Para saber mais sobre como estar compatível com o PCI DSS, use os
seguintes links:
Informes de Conformidade PCI DSS e dos produtos de software da GFI
Consulte os informes GFI de Conformidade PCI DSS:
http://go.gfi.com/?pageid=EM_PCIDSS
Como GFI EventsManagerpode auxiliar na conformidade com o PCI DSS
Monitorar regularmente as atividades de gerenciamento de eventos. Para obter mais informações, consulte Monitorar atividade.
Aplicar regras de processamento de eventos de acordo com a lista de requisitos do PCI
DSS. Para obter mais informações, consulte Regras de processamento de eventos.
Gerar regularmente relatórios para monitorar eventos. Para obter mais informações, consulte Relatórios.
GFI EventsManager
4 Gerenciar fontes de eventos
Este capítulo disponibiliza informações sobre adição e gerenciamento de suas origens de eventos.
Origens de eventos são computadores dispositivos conectados em rede que são acessados e
processados pelo GFI EventsManager. As sub-guias Origens de Eventos permitem organizar suas fontes
de eventos em grupos específicos. É possível criar novos grupos ou usar os padrões para configurar e
organizar origens de eventos distintos.
68
69
72
74
82
Para adicionar novas origens de eventos a um grupo de computadores:
1. Clique na guia Configuration > Event Sources e em Group Type, selecione Event Sources Groups.
2. Clique com o botão direito em um grupo de computadores de sua preferência e selecione Add new
event source...
3. A tabela a seguir descreve as opções disponíveis:
GFI EventsManager
4 Gerenciar fontes de eventos | 68
Opção
Descrição
Adicionar
Digite o nome ou o endereço IP do computador no campo Add the following computers. Clique em Add
para adicionar um computador específico à lista Computers.
Obs.
Repita esta etapa para adicionar todas as origens de dados de eventos ao grupo selecionado.
Obs.
Com o Syslog e as interceptações SNMP usando endereços IP para determinar a origem de um
evento, recomenda-se utilizar o endereço IP de origem, em vez do nome do computador ao
adicionar Syslog e origens de Interceptações SNMP.
Remover
Selecione um ou mais computadores da lista Computer e clique Remove para excluí-los da lista.
Selecionar...
Clique em Select... para abrir o diálogo Select Computers...:
1. No menu suspenso Domain, selecione o domínio a ser verificado quanto às origens disponíveis e clique
em Search.
2. Na lista de resultados da pesquisa, selecione os computadores que deseja adicionar.
3. Clique em OK para fechar o diálogo Select Computers... e retorne ao diálogo Add New Event
Sources...
Importar...
Clique em Import... para importar computadores de um arquivo de texto. Certifique-se de que o arquivo
de texto contém apenas o nome de um computador ou endereço IP por linha.
4. Clique em Finish para finalizar as configurações. GFI EventsManager tenta imediatamente analisar
as origens dos eventos adicionados com as credenciais de logon padrão. Para obter mais informações,
consulte Definir as credenciais de logon de origem do evento.
Obs.
Se a sincronização não for ativada, é possível usar o Network Discovery Wizard para
pesquisar e adicionar automaticamente origens de eventos. Para iniciar Network
Discovery Wizard, clique com o botão direito em All event sources na árvore de origens
de eventos e selecione Scan local domain. Para mais informações consulte Adicionar
origem do evento automaticamente.
GFI EventsManager permite sincronizar automaticamente domínios com grupos de origens de eventos
Quando a sincronização for configurada, cada domínio é adicionado automaticamente ao novo
membro da lista de origem do evento GFI EventsManager'.
Para permitir sincronização automática:
2. Clique com o botão direito em All event sources e selecione Edit synchronization options.
GFI EventsManager
Screenshot 41: Propriedades de sincronização - Guia geral
3. Selecione a guia General e configure as opções descritas abaixo:
Table 16: Propriedades de sincronização - Guia geral
Opção
Descrição
Domínio
Selecionar o nome de domínio na lista ou digitar um nome de domínio válido.
Grupo
Selecione o nome do grupo GFI EventsManager de onde adicionar as origens de dados descobertas.
Tipo de origem
Selecionar o tipo de evento que GFI EventsManager verifica no domínio especificado.
4. Para incluir a sincronização clique em Add.
5. Repita as etapas 3 a 4 para cada domínio que você deseja sincronizar.
GFI EventsManager
Screenshot 42: Excluir computadores da sincronização automática
6. (Opcional) Selecione a guia Exclusions para definir uma lista de computadores que serão excluídos
da sincronização. Clique em Add e digite o nome de um computador para excluir.
Obs.
Origem de eventos que já fazem parte de um grupo de origem de eventos é
automaticamente excluída da sincronização.
7. Selecione a guia Schedule para determinar quando a sincronização deve ser executada.
GFI EventsManager
Screenshot 43: Propriedades de sincronização - guia Agendamento
8. Digite um intervalo válido em horas ou dias.
9. (Opcional) Selecione Send an email to the… para enviar um email de notificação quando as origens
de eventos são alteradas após a sincronização.
10. (Opcional) Clique em Sinchronize now para sincronizar origens de eventos imediatamente.
11. Clique em Apply e em OK.
Obs.
Adicionar fontes de eventos manualmente a um grupo sincronizado não é permitido
emGFI EventsManager.
O agrupamento de origens de evento em Grupos de Origens de Eventos aumenta a velocidade da
configuração das origens de eventos. Depois de um grupo de origens de eventos estar configurado,
cada membro do grupo específico herda as mesmas configurações.
Para criar um novo grupo de origens de eventos:
2. Clique com o botão direito em All events source e selecione Create group...
3. Selecione o tipo de licença. Escolha Complete ou Active Monitoring license Para obter mais
informações, consulte Configurar o tipo de licença de origem do evento.
GFI EventsManager
Screenshot 44: Adicionar novo grupo de origens de eventos
4. Digite um nome exclusivo e uma descrição opcional. Selecione as guias descritas abaixo e configure
as opções disponíveis:
Table 17: Grupo de origens de eventos
Nome da guia
Descrição
Geral
Ativar o conjunto de eventos e programar o processo de verificação. Para obter mais informações,
consulte Configurar as propriedades gerais das origens de eventos.
Credenciais de
logon
Configurar o nome de usuário e a senha utilizada para fazer o logon nas máquinas de destino e coletar
informações. Para obter mais informações, consulte Configurar as credenciais de logon de origem do
evento.
Licensing type
Selecionar o tipo de licença para usar. Selecione Active Monitoring ou Complete. Para obter mais
informações, consulte Configurar o tipo de licença de origem do evento.
Horário
operacional
Configurar o horário operacional em que os computadores normalmente são usados. Para obter mais
informações, consulte Configurar o horário operacional de origem do evento.
Monitoramento
Ativar GFI EventsManager ativa o monitoramento ativo nos computadores de destino e configurar as
auditorias a serem realizadas. Verificações de monitoramento permitem que os administradores
identifiquem os problemas no sistema em fases muito precoces para evitar que o sistema se torne
lento. Para obter mais informações, consulte Configurar o monitoramento de origem do evento.
Log de eventos
Windows
Especificar os logs para coletar e definir as configurações de arquivamento dos logs de evento
Windows®. Para obter mais informações, consulte Coletar eventosWindows®.
Text Logs
Especificar os logs para coletar e configurar as configurações W3C/HTTP/CSV. Esta guia só está
disponível durante a criação de um grupo servidor. Para obter mais informações, consulte Coletar logs
de texto.
Syslog
Especificar os logs para coletar e definir as configurações de arquivamento de Syslogs. Esta guia só está
disponível durante a criação de um grupo servidor. Para obter mais informações, consulte Coletar
Syslogs.
GFI EventsManager
Nome da guia
Descrição
SNMP Traps
Especificar os logs para coletar e definir as configurações de arquivamento de Interceptações SNMP.
Esta guia só está disponível durante a criação de um grupo servidor. Para obter mais informações,
consulte Coletar mensagens de interceptações SNMP.
GFI EventsManager permite personalizar os parâmetros de origens de eventos para atender às
exigências operacionais da sua infraestrutura. Você pode configurar os parâmetros das origens únicas
de evento ou em um grupo de origens de eventos. Qualquer membro de um grupo configurado herda
automaticamente a mesma configuração.
Esta seção contém informações sobre:
Configurar as propriedades gerais da origem do evento
Configurar as credenciais de logon da origem do evento
Configurar o tipo de licença da origem do evento
Configurar o horário operacional da origem do evento
Configurar o monitoramento da origem do evento
Configurar os parâmetros de processamento de eventos
4.4.1 Configurar as propriedades gerais da origem do evento
Use a guia General no diálogo de propriedades para:
Alterar o nome de um grupo de computadores
Ativar/desativar a coleta e processamento de logs de computadores em um grupo
Configurar a frequência da coleta e do processamento do log.
Para configurar as propriedades de origem do evento:
1. Na guia Configuration > origens de eventos > Group Type, selecione Event Sources Groups.
2. Para definir as configurações de:
Computer group - clique com o botão direito em um grupo de computadores para configurar e
selecione Properties
Single event source - clique com o botão direito na origem a ser configurada e selecione Properties.
GFI EventsManager
Screenshot 45: Diálogo de propriedades de origens de eventos
3. Na guia General, configure as opções descritas abaixo:
Table 18: Propriedades da origem do evento - opções gerais
Opção
Descrição
Nome do grupo
Digitar um nome exclusivo para um grupo de computadores.
Descrição
(Opcional) Digitar uma descrição.
Ativar a coleta de logs desse
grupo de computadores
Marcar/desmarcar essa opção para ativar/desativar a coleta de logs de eventos do
grupo.
Por exemplo, tempo real a
cada 5 segundos
Selecionar esta opção para verificar os novos logs de eventos a cada 5 segundos.
Obs.
Isso não é recomendado se os membros desse grupo geram altos volumes de logs
de eventos, pois pode comprometer o desempenho da rede.
Uma vez a cada
Especificar uma programação para quando GFI EventsManager deve verificar se há
novos logs de eventos.
4.4.2 Configurar credenciais de logon de origem do evento
Use as Logon Credentials no diálogo de propriedades para:
Exibir as configurações das credenciais de logon
Editar as configurações das credenciais de logon.
Durante o processamento de eventos, GFI EventsManager deve conectar-se remotamente aos
computadores de destino. Isso é necessário para coletar dados de log que estão armazenado nos
GFI EventsManager
computadores de destino e enviar os dados dos eventos para os mecanismos de processamento de
evento.
Para coletar e processar logs,GFI EventsManager deve ter privilégios administrativos nos
computadores de destino. Por padrão, GFI EventsManager faz o logon nos computadores de destino
utilizando as credenciais da conta sob a qual ele está executando no momento, no entanto, certos
ambientes de rede são configurados para usar diferentes credenciais para fazer logon em estações de
trabalho e servidores com privilégios administrativos.
Por exemplo, por motivos de segurança, você pode criar uma conta de administrador que tenha
privilégios administrativos através de estações de trabalho somente e outra conta que tenha
privilégios administrativos apenas em servidores.
Screenshot 46: Configurar credenciais de logon alternativas
3. Clique na guia Logon Credentials.
4. Marque/desmarque Logon using credentials below para usar/parar de usar outras credenciais de
logon. Digitar um nome de usuário e senha.
GFI EventsManager
Obs.
Credenciais de logon alternativas permitem usar diferentes nomes de usuários e senhas
para fazer logon em computadores remotos. Você pode definir as credenciais
alternativas para um grupo de origens de eventos ou para cada origem de evento.
Membros de um grupo de origem do evento podem ser configurados para herdar as
credenciais do grupo principal.
5. Marque/desmarque SSH authentication para usar/parar de usar a autenticação SSH.
Obs.
SSH usa criptografia de chave pública para autenticar o computador remoto e permitir
que ele autentique o usuário, se necessário. Este é um protocolo de segurança para
computadores com base em Linux e Unix.
6. Clique em Browse... para selecionar o arquivo Private Key.
7. Digite key passphrase e digite-a novamente para confirmar.
4.4.3 Configurar tipo de licença de origem do evento
A guia Licensing type é usada para configurar o modo de licenciamento de uma origem de evento ou
grupo de eventos. Isso determina os tipos de logs que precisam ser coletados a partir da
origem/grupo configurado. A tabela a seguir descreve os tipos de licenças disponíveis:
Table 19: Tipos de licenças
Tipo de
licença
Descrição
Active Monitoring
license
Esta licença permite coletar e processar:
Logs de eventos Microsoft® Windows®
Logs de texto, tais como W3C, CSV, XML, DHCP, logs SAP, Logs SKIDATA e logs personalizados de
estações de trabalho Windows® e não-Windows®
Logs de eventos de monitoramento ativo
Se o servidor Windows® é detectado em uma origem usando esta licença, o log de eventos é desativado.
Complete
license
Ativa a funcionalidade e o suporte completo com servidores, estações de trabalho e dispositivos em rede
baseado em Windows® e não-Windows®. Usar esta licença para coletar e processar:
Logs de eventos Microsoft® Windows®
Logs de texto, tais como W3C, CSV, XML, DHCP, logs SAP, Logs SKIDATA e logs personalizados de
estações de trabalho Windows® e não-Windows®
Logs de eventos de monitoramento ativo
Mensagens de interceptações SNMP
Syslogs
Logs personalizados
Auditorias SQL Server®
Auditorias do servidor Oracle.
GFI EventsManager
Screenshot 47: Configurar tipo de licença de origem do evento
3. Clique na guia Licensing type e selecione a licença que você deseja usar para a origem ou grupo de
eventos ou grupo que esteja sendo configurado.
4.4.4 Configurar horário operacional da origem do evento
GFI EventsManager inclui uma opção de horário operacional que permite especificar o horário de
trabalho normal dos grupos de origem do evento. Isso é necessário para que GFI EventsManager possa
controlar os eventos ocorridos durante e fora do horário de trabalho.
Usar as informações de horário operacional para análise forense, para identificar o acesso de
usuários não autorizados, transações ilícitas realizadas fora do horário normal de trabalho e outras
potenciais falhas de segurança que possam estar ocorrendo na sua rede.
O horário operacional é configurável em um grupo de computadores. Isto é conseguido através da
marcação do horário de trabalho normal em uma escala de horário operacional gráfica que é dividida
em segmentos de uma hora.
GFI EventsManager
Screenshot 48: Especificar o horário operacional
3. Na guia Operational Time, marque os intervalos de tempo do horário de trabalho normal.
Obs.
Células marcadas em azul indicam o horário do expediente normal.
4.4.5 Configurar monitoramento de origem do evento
GFI EventsManager é capaz de coletar informações adicionais sobre suas origens de eventos por meio
de Monitoramento Ativo. Estas verificações geram eventos específicos que, por sua vez,
desencadeiam notificações em tempo real ou executam uma ação.
Por exemplo, ao monitorar as verificações de CPU usage, GFI EventsManager consulta a origem do
evento e detecta se o computador de destino está executando nos níveis de uso específicos da CPU.
GFI EventsManager
Obs.
Para obter mais informações, consulte Monitoramento ativo.
Screenshot 49: Propriedades da origem do evento - Guia de monitoramento
3. Na guia Monitoring, configure as opções descritas abaixo:
Table 20: Opções de monitoramento de origem do evento
Opção
Descrição
Herdar coleta
e processamento de
log de eventos
do grupo principal
Esta opção está disponível com o ativar do monitoramento em uma única origem de evento. Se você ativou o monitoramento no grupo que contém a origem do evento, deixe esta opção selecionada para
obter as mesmas configurações.
GFI EventsManager
Opção
Descrição
Ativar monitoramento GFI
EventsManager
Marque/desmarque essa opção para ativar/desativar o processamento do monitoramento ativo.
Executar as
seguintes verificações
Expandir a lista de verificações e selecionar os que você deseja aplicar à sua origem/grupo de eventos. Para obter informações sobre a criação de verificações de monitoramento, consulte Criar uma
nova verificação de monitoramento.
Arquivar todos Selecionar esta opção para armazenar eventos sem aplicar nenhuma verificação complementar (a paros logs sem
tir de regras de processamento de eventos).
nenhum processamento adicional
Processar os
logs com as
regras selecionadas
abaixo antes
de colocar em
arquivo morto
Expandir a lista de regras que são aplicadas aos logs coletados. O GFI EventsManager permite criar
regras personalizadas e configurá-las para acionar quando uma das verificações de monitoramento
ativo geram um evento. Em seguida, durante a configuração da Regra de processamento de evento
selecionada, as ações são executadas e/ou os alertas são gerados. Após ativar uma verificação de
monitoramento, procura o evento gerado e cria uma regra baseada nesse evento. Para obter mais
informações, consulte Criar novas regras a partir de eventos existentes.
4.4.6 Configurar parâmetros de processamento de eventos
Parâmetros de processamento de eventos são ativados somente nas origens/grupos de eventos
licenciados como servidores. Origens de eventos do servidor possuem mais configurações do que
estações de trabalho normais para coletar logs de eventos, logs de texto, Syslogs e Interceptações
SNMP Windows®.
GFI EventsManager
Screenshot 50: Guias de configuração do processamento de eventos
3. Utilize as guias Windows Event Log, Text Logs, Syslog e SNMP Traps para configurar os parâmetros
de processamento de eventos necessários.
Obs.
Para obter mais informações, consulte:
Coletar Logs de eventoWindows®
Coletar logs de texto
Coletar Syslogs
Coletar interceptações SNMP.
GFI EventsManager monitora e processa eventos do servidor de banco de dados. As origens de eventos
do banco de dados exigem configurações específicas para coletar e processar eventos gerados pelas
atividades do banco de dados.GFI EventsManager é capaz de auditar e monitorar a atividade dos
seguintes servidores de banco de dados:
Microsoft® SQL Server®
Oracle Server
GFI EventsManager
4.5.1 Microsoft® SQL Server® Origens
Criar novo grupo Microsoft® SQL Server®.
Adicionar nova origem de eventoMicrosoft® SQL Server®.
Criar novo grupo Microsoft®SQL Server ®
Para criar um grupo Microsoft®SQL Server®:
1. Clique na guia Configuration > Event Sources.
2. Em GroupType, selecione Database Servers Groups.
3. Em Groups, clique com o botão direito em Microsoft® SQL Server® e selecione Create group...
4. Selecione Microsoft® SQL Server® como tipo de servidor e na da guia General configure as opção
descritas abaixo:
Table 21: Grupo de banco de dados SQL Microsoft®: Guia Geral
Opção
Descrição
Nome do grupo
Digite o nome de um grupo para identificar o grupo Microsoft® SQL
Server®.
Descrição
(Opcional) Digitar uma descrição.
Coleta os logs dos servidores de banco de
dados neste grupo
Ativar opção para coletar eventos do banco de dados de todos os servidores deste grupo.
GFI EventsManager
Screenshot 52: Configurar as configurações de logon na guia Credenciais de Logon
4. Selecione a guia Logon Credentials e configure as opções descritas abaixo:
Table 22: Grupo de banco de dados SQL Microsoft®: Credenciais de logon
Opção
Descrição
Usar Autenticação Windows
Conectar ao banco de dados Microsoft® SQL usando a autenticação Windows.
Usar autenticação SQL Server®.
Conectar ao Banco de dados Microsoft® SQL usando uma conta de usuário de Banco de dados SQL
Microsoft®. Digitar um nome de usuário e senha.
GFI EventsManager
Screenshot 53: Configurar horário de trabalho normal na guia Horário operacional
5. Selecione Operational Time e configure o horário operacional quando o banco de dados é usado
normalmente. Intervalos de tempo marcados são considerados o horário de trabalho normal.
GFI EventsManager
Screenshot 54: Configurar o servidor SQL a partir da guia de auditoria do servidor SQL
6. Selecione a guia SQL Server® Audit e configure as opções descritas abaixo:
Table 23: Grupo de banco de dados SQL -Microsoft® SQL Server® Auditoria
Opção
Descrição
Colocar em arquivo morto todos os logs sem
mais processamento
Colocar em arquivo morto eventos no back-end do banco de dados GFI
EventsManager sem aplicar as regras de processamento.
Processar os logs com as regras selecionadas
abaixo antes de colocar em arquivo morto
Especificar as regras a serem executadas antes de colocar em arquivo
morto os eventos no back-end do banco de dados GFI EventsManager.
GFI EventsManager
7. Clique na guia Settings e configure as opções descritas abaixo:
Table 24: Microsoft® Grupo de banco de dados SQL - Configurações
Opção
Descrição
Verificar todos os eventos de todos os bancos de
dados
Todos os eventos Microsoft® SQL Server® são coletados e
processados pelo GFI EventsManager.
Verificar somente os eventos de segurança de
todos os bancos de dados
Somente os eventos de segurança são coletados e processados
pelo GFI EventsManager.
8. Clique em Aplicar e em OK.
Adicionar uma nova origem de eventos Microsoft® SQL Server ®
Para adicionar uma nova origem Microsoft® SQL Server®:
1. Clique com o botão direito em um grupo de banco de dados e selecione Add new SQL Server®...
GFI EventsManager
Screenshot 55: Adicionar novo servidor Microsoft® SQL
2. Digite o nome do servidor ou IP e clique em Add.
Obs.
Use Select e Import para pesquisar a rede ou importar uma lista de servidores SQL
Server® SQL de um arquivo de texto, respectivamente.
3. Clique em Finish para fechar o diálogo Adicionar novo servidor SQL.
4. Em Groups, selecione SQL Servers e, no painel direito, clique duas vezes na nova Instância de
banco de dados Microsoft® SQL.
GFI EventsManager
Screenshot 56: Propriedades do Banco de dados SQL Microsoft®: Guia Geral
Table 25: Banco de dados SQL doMicrosoft® - Opções da guia geral
Opção
Descrição
Herdar Servidor SQL após o processamento da coleta de um grupo principal
Herda as configurações do grupo principal
Colocar em arquivo morto eventos no
banco de dados
Processar usando este conjunto de
regras
GFI EventsManager
Screenshot 57: Propriedades do Banco de dados SQL Microsoft®: Guia de configurações de conexão
6. Selecione Connection Settings e configure as opções descritas abaixo:
Table 26: Banco de dadosMicrosoft® SQL - Guia de configurações de conexão
Opção
Descrição
Herdar credenciais de logon
do grupo principal
Selecionar esta opção para herdar configurações de logon do grupo principal.
Conectar ao banco de dados Microsoft® SQL usando autenticação Windows.
Usar as credenciais do servidor SQL
Conectar ao Banco de dados Microsoft® SQL usando uma conta de usuário de Banco de
dados SQL Microsoft®. Digitar um nome de usuário e senha.
GFI EventsManager
Screenshot 58: Propriedades do Banco de dados SQL Microsoft®: Guia de configurações
7. Clique na guia Settings e configure as opções descritas abaixo:
Table 27: Banco de dados SQL do Microsoft® - Opções da guia de configurações
Opção
Descrição
Herdar as configurações do grupo principal
Herda as configurações do grupo principal.
Verificar todos os eventos de todos os bancos de dados
Verificar todos os bancos de dados e coletar todos os eventos do
Microsoft® SQL Server®.
Verificar somente os eventos de segurança
de todos os bancos de dados
Verificar todos os bancos de dados e coletar apenas eventos de
segurança de Microsoft® SQL Server®.
Verificar todos os eventos relacionados
somente com os seguintes bancos de dados.
Coletar todos os eventos dos banco de dados selecionados. Usar
Adicionar, Editar e Remover para gerenciar as fontes do banco de dados.
4.5.2 Fontes do servidor Oracle
GFI EventsManager permite coletar e processar os eventos gerados pelos sistemas de gerenciamento
de banco de dados Oracle Relational. As seguintes auditorias são coletadas e processadas por GFI
EventsManager:
Table 28: Auditorias suportadas pelo Oracle Server
Auditoria
Descrição
Auditoria de sessão
Auditoria do acesso do usuário às sessões e ao banco de dados.
Declaração de auditoria
Declarações de auditoria de SQL processada.
Auditoria de objetos
Consultas de auditoria e declarações relacionadas a objetos específicos.
As seguintes versões do banco de dados Oracle são suportadas:
GFI EventsManager
Banco de dados Oracle 9i
Banco de dados Oracle 10g
Banco de dados Oracle 11g
Configurações preconfiguradas das origens de evento dos servidores Oracle
Criar um novo grupo de servidores Oracle
Adicionar uma nova origem de eventos no servidor Oracle
Configurações de preconfiguração das origens de evento dos servidores Oracle
Antes de adicionar origens de eventos ao servidor Oracle, siga as etapas abaixo para cada instância
do servidor Oracle que deseja monitorar:
Table 29: Estágios de configuração do servidor Oracle
Etapa de preconfiguração
Descrição
Etapa 1
Verificar as credenciais de logon usadas para conectar, configurar auditorias e conferir se a tabela
de auditoria tem as permissões necessárias.
Etapa 2
Ativar a auditoria no servidor Oracle alterando os parâmetros de inicialização. Para ativar a
auditoria:
1. Parâmetros de inicialização dos servidores Oracle são armazenados em:
<Oracle Home Directory>\admin\<Oracle SID>\pfile\init.ora.
2. Localize e abra o arquivo de parâmetros usando um editor de texto.
3. Localize o parâmetro AUDIT_TRAIL e altere o valor padrão para “db“ ou “db_extended“
(“db,extended” ou versões recentes do Oracle).
4. Salve e reinicie o servidor Oracle.
Adicionar um novo grupo no servidor Oracle
Para adicionar um novo grupo de banco de dados Oracle:
2. Em GroupType, selecione Database Servers Groups.
3. Em Groups clique com o botão direito em Oracle Servers e selecione Create group...
GFI EventsManager
Screenshot 60: Grupo de banco de dados Oracle - Guia geral
Table 30: Grupo de banco de dados Oracle - Guia geral
Opção
Descrição
Nome do grupo
Digite um nome de grupo para identificar o grupo de banco de dados Oracle.
Descrição
Como opção, digite uma descrição.
Coleta os logs dos
servidores de banco
de dados neste
grupo
Coleta eventos das origens de evento do grupo Oracle. Com a opção ativada, configure a opções
verificar Agendar e Manutenção.
Verificação de Agendar
Especificar a frequência de coleta de eventos com um agendamento predefinido.
Manutenção
Eventos de auditoria Oracle são armazenados em uma tabela de auditoria específica no servidor
Oracle. Para evitar o crescimento excessivo da tabela de auditoria, configure as opções nesta
seção para excluir os logs e entradas antigas de auditoria em horário predefinido.
GFI EventsManager
Screenshot 61: Grupo de banco de dados Oracle - Guia credenciais de logon
5. Selecione a guia Logon Credentials, digite um nome de usuário e senha válidos para se conectar ao
servidor Oracle.
GFI EventsManager
Screenshot 62: Grupo de banco de dados Oracle - Guia horário operacional
6. Selecione a guia Operational Time e configure o horário de trabalho normal para os servidores de
banco de dados Oracle neste grupo.
GFI EventsManager
Screenshot 63: Grupo de banco de dados Oracle - Guia de auditoria Oracle
7. Selecione Oracle Audit e configure as opções descritas abaixo:
Table 31: Grupo de banco de dados Oracle - Auditoria Oracle
Opção
Descrição
Colocar em arquivo morto todos os logs sem
mais processamento
Processar os logs com as regras selecionadas
abaixo antes de colocar em arquivo morto
Adicionar uma nova origem de evento ao servidor Oracle
Para adicionar um novo banco de dados Oracle a um grupo de banco de dados:
1. Clique com o botão direito em um grupo de servidores Oracle e selecione Add new Oracle Server...
GFI EventsManager
Screenshot 64: Adicionar novo servidor Oracle
2. Digite o nome do servidor ou IP e clique em Add.
3. Clique em Finish para fechar o diálogo Adicionar novo servidor SQL.
Obs.
Use Select e Import para procurar a rede de SQL Server® ou importar uma lista de SQL
Server® de um arquivo de texto respectivamente.
GFI EventsManager
Screenshot 65: Propriedades do servidor Oracle - Guia geral
4. No painel direito, clique duas vezes na origem do evento do servidor Oracle e configure as opções
descritas abaixo:
Table 32: Propriedades do servidor Oracle - Guia geral
Opção
Descrição
Herdar servidor Oracle após o processamento da coleta do grupo principal
Selecionar para herdar todas as configurações do grupo principal.
Colocar em arquivo morto eventos no
banco de dados
Processar usando este conjunto de
regras
Especificar as regras a serem executadas antes de colocar em arquivo morto
os eventos no back-end do banco de dados GFI EventsManager.
GFI EventsManager
Screenshot 66: Propriedades do servidor Oracle – Guia configurações de conexão
5. Selecione Connections Settings e configure as opções descritas abaixo:
Table 33: Propriedades do servidor Oracle - Guia de configurações de conexão
Opção
Descrição
Herdar credenciais de logon
do grupo principal
Selecionar para herdar configurações de logon do grupo principal.
Porta
Digitar a porta usada para se conectar ao banco de dados Oracle.
SID
A SID é um nome exclusivo para identificar uma instância do banco de dados Oracle
Digite a SID do banco de dados para a auditoria.
Nome do serviço
O nome do serviço é o pseudônimo usado para identificar o banco de dados Oracle.
Digitar o nome do serviço do banco de dados de auditoria.
Teste
Testar a conexão com o servidor do banco de dados Oracle.
GFI EventsManager
Screenshot 67: Propriedades do servidor Oracle - Guia Auditoria por objetos
6. Selecione Audit by Objects e configure as opções descritas abaixo:
Table 34: Propriedades do servidor Oracle - Guia Auditoria por objetos
Opção
Descrição
Objeto
Clique em Browse para abrir uma lista de objetos Oracle. Selecione o objeto a examinar e
clique em OK.
OBSERVAÇÃO: Entre outras coisas, objetos Oracle podem ser procedimentos, funções exibições
e tabelas.
Operações
Operações são ações que modificam ou consultam um objeto. Clique em Browse para abrir uma
lista de operações disponíveis. Selecione as operações para auditoria e clique em OK.
Opções
Selecione as opções de auditoria:
By Access - Cria um log de auditoria por execução de operação de objeto.
By Session - Cria um log de auditoria por operação e por objeto de esquema. Uma sessão
é o tempo entre uma conexão e uma desconexão para/de banco de dados.
Success - Selecione para processar apenas as auditorias bem-sucedidas.
Failure - Selecione para processar apenas as auditorias falhas. Oracle criará um log de
auditoria se não conseguir efetuar uma auditoria completa.
Both - Selecione para processar todas os logs de auditoria.
Auditoria
Escolha esta opção para instruir o servidor Oracle para iniciar a auditoria das atividades do
servidor correspondente aos parâmetros selecionados (como usuários, declarações, etc.)
Parar auditoria
Escolha esta opção para instruir o servidor Oracle a parar a auditoria das atividades do servidor
correspondente aos parâmetros selecionado (como usuários, declarações, etc.)
Objetos de esquema
atualmente atualizados
A lista que exibe todos os esquemas de auditoria da Oracle atualmente editados.
GFI EventsManager
Screenshot 68: Propriedades do servidor Oracle - Guia Auditoria por declaração
7. Selecione Audit by Statement e configure as opções descritas abaixo:
Table 35: Propriedades do servidor Oracle -Guia Auditoria por declaração
Opção
Descrição
Declarações
Clique em Browse para abrir uma lista de declarações Oracle. Marque os termos Oracle para a
auditoria e clique em OK.
OBSERVAÇÃO: Entre outras coisas, as declarações Oracle podem ALTER, CREATE e SELECT.
Usuário
Oracle permite a auditoria de declarações de um usuário específico. Clique no botão browse para abrir
uma lista de usuários disponíveis. Selecione o usuário e clique em OK.
Opções
Selecione as opções de auditoria:
By Access - Cria um log de auditoria por cada execução de declaração.
By Session - Cria um log de auditoria por usuário e por objeto de esquema. Uma sessão é o tempo
entre uma conexão e uma desconexão para/de banco de dados.
Success - Processa apenas auditorias bem-sucedidas.
Failure - Seleciona a opção para processar apenas auditorias falhas. Oracle criará um log de auditoria se não conseguir efetuar uma auditoria completa.
Both - Seleciona a opção para processar todos os logs de auditoria.
Auditoria
Escolha esta opção para instruir o servidor Oracle para iniciar a auditoria nas atividades de servidor
correspondentes aos parâmetros selecionados (como usuários, declarações, etc.)
Parar auditoria
Escolha esta opção para instruir o servidor Oracle a parar a auditoria das atividades do servidor
correspondente aos parâmetros selecionado (como usuários, declarações, etc.)
Declarações
atuais de auditoria
Uma lista que mostra todas as declarações atuais da Oracle.
GFI EventsManager
5 Coletar logs de eventos
Este capítulo fornece informações sobre como configurar as origens de eventos para aplicar regras de
processamento dos eventos coletados. Atribuir regras existentes ou personalizadas de processamento
de eventos para processar com precisão somente os eventos desejados.
102
105
5.3 Coletar Syslogs
108
112
116
118
123
EventosWindows® são organizados em categorias de logs específicos; como padrão, os computadores
executados em Windows® NT ou superior, registram eventos de erros, avisos e informações em três
logs, a saber Security, Application e System logs.
Os computadores com funções mais especializadas na rede, tais como controladores de Domínio e
servidores DNS possuem categorias de logs de eventos adicionais.
No mínimo, os Sistemas OperacionaisWindows® registram eventos nos seguintes logs:
Table 36: Logs de evento coletados porWindows® GFI EventsManager
Tipo de log
Descrição
Log de eventos
de segurança
Esse log contém eventos relacionados à segurança através do qual é possível auditar brechas de segurança bem-sucedidas ou tentativas. Eventos típicos encontrados no log de Eventos de Segurança
incluem tentativas de logon válidas e inválidas.
Log de eventos
do aplicativo
Esse log contém eventos registrados por aplicativos/programas de software, tais como erros de
arquivo.
Log de eventos
do sistema
Esse log contém eventos registrados pelos componentes do sistema operacional, tais como falhas de
carregamento dos drivers do dispositivo.
Log do serviço
de diretório
Esse log contém os eventos gerados pelo Active Directory, incluindo tentativas bem sucedidas ou fracassadas de atualizar o banco de dados Active Directory.
Log do serviço
de replicação
de arquivos
Esse log contém os eventos registrados pelo serviço de Replicação de arquivoWindows®. Isto inclui
falhas e eventos de replicação que ocorrem enquanto os controladores de domínio estão sendo atualizados com informações do Sysvol.
Log do servidor
DNS
Esse log contém eventos associados ao processo de solução de nomes DNS para endereços IP.
Log dos Serviços e Aplicativos
Esses logs contêm eventos associados aoWindows®VISTA e os serviços relativos/ funcionalidades relativas que oferece.
GFI EventsManager
5 Coletar logs de eventos | 102
Screenshot 69: Propriedades do grupo de computadores: Configurar os parâmetros de Logs de eventosWindows®
Para configurar os parâmetros da coleta e processamento do Log de eventos Windows®:
1. Na guia Configuration > Event Sources, clique com o botão direito na origem ou grupo de eventos
e selecione Properties.
GFI EventsManager
Screenshot 70: Selecionar logs de eventos para coletar
2. Clique na guia Windows Event Log > Add... para selecionar os logs que deseja coletar. Expanda
Windows Logs e/ou Applications and Services Logs e selecione na lista de logs disponíveis.
3. (Opcional) Clique em Add custom log... e digite um nome exclusivo para o log de eventos não
listado.
GFI EventsManager
Screenshot 71: Configurar os parâmetros de processamento do log de eventos Windows
4. Selecione Clear collected events after completion para limpar os eventos coletados das
respectivas origens de evento.
5. Selecione Archive events in database para arquivar os eventos coletados sem aplicar regras de
processamento.
6. Selecione Process using these rule sets e selecione os conjuntos de regras para comparar com os
eventos coletados.
7. Selecione Add generic fields para adicionar campos estendido para o banco de dados. Os campos
estendidos contêm descrições dos dados dos eventos e são adicionados pelo nome comum (exemplo:
"Field01", “Nome personalizado do campo”).
Importante
A exclusão dos logs de eventos não arquivados pode resultar em penalidades de
conformidade legal.
Logs de texto são diferentes dos outros formatos suportados por GFI EventsManager. Logs W3C são
arquivos planos baseados em textos contendo vários detalhes do evento delimitados por caracteres
especiais.
GFI EventsManager
O formato de log W3C é mais comumente usado por sistemas de hardware (exemplo: servidores e
equipamentos), com funções específicas de Internet. O Microsoft® O serviço Internet Information
Server (IIS) e servidores web Apache, por exemplo, podem coletar eventos relacionados à web como
logs de web, na forma de arquivos de texto formatados W3C.
Em GFI EventsManager, o processo de configuração dos parâmetros do log W3C é idêntico ao
executado para processamento de evento Windows®, com uma exceção. Ao contrário dos Logs de
eventos Windows®, não existe um padrão que determina a localização da pasta específica ou
centralizada onde os arquivos de log W3C são armazenados no disco. Portanto, para coletar os logs
W3C, é preciso especificar o caminho completo para os arquivos de log baseados em texto.
Screenshot 72: Opções de Logs de Texto
Coletar logs de texto:
GFI EventsManager
Screenshot 73: Adicionar pastas contendo logs de texto
2. Clique na guia Text Logs > Add... para adicionar caminhos para a pasta que contenha Logs de
texto.
3. Na caixa de diálogo Select text logs folder..., digite no caminho para a pasta que contenha os
arquivos de logs de texto e clique em OK.
4. Selecione Clear collected events after completion para limpar os eventos coletados das
respectivas origens de evento.
5. Selecione Process subdirectories para analisar recursivamente o caminho especificado que
contenha os logs de texto.
6. No menu suspenso Parsing schema, selecione o esquema com o qual os Logs de texto são
interpretados. Selecionar em:
W3C
CSV
DHCP
XML
Logs SAP
Logs ESM
Dados SKI de pagamentos de estacionamento de carro.
GFI EventsManager
processamento.
eventos coletados.
9. Clique em Aplicar e em OK.
Importante
conformidade legal.
5.3 Coletar Syslogs
O Syslog é um serviço de registro em log de dados que é mais comumente usado pelos sistemas
baseados em Linux e UNIX. O conceito do Syslogs é que o registro em log de eventos e as informações
são totalmente manipulados por um servidor dedicado, chamado de “servidor syslog”.
Ao contrário dos sistemas Windows® e de log de texto, os dispositivos ativados pelo Syslog enviam
eventos na forma de mensagens de dados (tecnicamente conhecidas como “Mensagens syslog”) para
um servidor Syslog que interpreta e administra as mensagens e salva os dados em um arquivo de log.
Para processar mensagens SyslogGFI EventsManager vem com um Servidor Syslog embutido. Este
servidor Syslog recolhe automaticamente, em tempo real, todas as mensagens/eventos Syslog
enviados por fontes Syslog e os transfere para o mecanismo de processamento de evento. Direto da
caixa, o GFI EventsManager dá suporte a eventos gerados por diversos fabricantes de dispositivos de
rede dos principais provedores, incluindo Cisco e Juniper.
Obs.
Para mais informações sobre os dispositivos suportados visite o seguinte artigo
KBASE:http://go.gfi.com/?pageid=esm_syslog_snmp_support
Obs.
Um buffer integrado permite que o servidor Syslog colete, coloque em fila e encaminhe
até 30 mensagens de cada vez. Logs armazenados em buffer como padrão são
transferidos para o mecanismo de processamento de evento assim que o buffer é
preenchido ou a cada minuto, o que acontecer primeiro.
GFI EventsManager
Screenshot 74: Mensagens syslog deve ser direcionadas para o computador que está executandoGFI EventsManager
Importante
Antes de iniciar a coleta de Syslogs, cada origem de evento Syslog (estações de trabalho,
servidores e/ou dispositivos de rede) deve ser configurada para enviar as suas
mensagens de Syslog para o nome ou IP do computador oGFI EventsManager onde está
instalado.
Para coletar Syslogs:
GFI EventsManager
Screenshot 75: Coletar Syslogs - Opções Syslogs
2. Clique na guia Syslog e selecione Accept Syslog messages to EventsManager para ativar a coleta
de Syslogs da origem do evento/grupo de origens do evento.
3. No menu suspenso Syslog parsing schema, selecione o método que o Servidor Syslog GFI
EventsManager interpreta as Mensagens Syslog nos dispositivo de rede. Selecionar em:
Mensagem Syslog Simples
Mensagem padrão do Linux
Juniper Network Firewall
Cisco ASA.
4. Clique em Advanced… para usar a página de código Windows personalizada. Especifique o código e
clique em OK.
Obs.
A página de código Windows® é usada para codificar caracteres internacionais de
cadeias ASCII. Syslog não é compatível com Unicode, GFI EventsManager usa uma página
de código para decodificar os eventos. Essa opção só é aplicável se GFI EventsManager
estiver instalado em uma máquina com um idioma diferente das máquinas monitoradas.
Para obter mais informações, consulte: http://go.gfi.com/?pageid=esm_code_page
processamento.
GFI EventsManager
eventos coletados.
Obs.
O servidor Syslog GFI EventsManager é configurado por padrão para escutar as
mensagens Syslog na porta 514. Para obter mais informações, consulte Configurar porta
do servidor de comunicação Syslog.
Importante
conformidade legal.
5.3.1 Configurar porta de comunicação do servidor Syslog
Screenshot 76: Configurar portas de comunicação do servidor Syslog
Para alterar as configurações padrão das portas Syslog:
1. Clique na guia Configuration > Options.
2. Clique com o botão direito em Syslog Server Options e selecione Edit Syslog options…
GFI EventsManager
Screenshot 77: Opções do servidor Syslog
4. Selecione Enable in-built Syslog server on TCP port: e especifique a porta TCP na qual GFI
EventsManager receberá/ouvirá as mensagens Syslog.
5. Selecione Enable in-built Syslog server on UDP port: e especifique a porta UDP na qual GFI
EventsManager receberá/ouvirá as mensagens Syslog.
Obs.
Ao configurar as definições da porta do servidor Syslog, certifique-se de que a porta
configurada não esteja sendo usada por outros aplicativos instalados. Isso pode afetar a
entrega de mensagens Syslog para GFI EventsManager.
O SNMP é um serviço de registro em log de dados que permite que os dispositivos em rede registrem
eventos e informações através de mensagens de dados (tecnicamente conhecido como Interceptação
SNMP). A tecnologia de mensagens SNMP é similar em conceito aos Syslogs - onde ao contrário dos
ambientes e dispositivos de logs de texto Windows® que geram mensagens SNMP, não registra os
dados dos eventos gravados nos logs locais. Ao invés disso, envia as informações de eventos na forma
de mensagens de dados para Servidor de Interceptação SNMP que gerencia e salva os dados da
mensagem SNMP em um arquivo de log local (centralizado).
GFI EventsManager
Screenshot 78: Mensagens de Interceptação SNMP devem ser direcionadas ao computador executando GFI EventsManager
Obs.
GFI EventsManager nativamente suporta uma extensa lista de dispositivos SNMP e Bases
de Informações Gerenciais (MIB) Para obter uma lista completa dos dispositivos
suportados, consulte o seguinte artigo KBASE: http://go.gfi.com/?pageid=esm_syslog_
snmp_support
GFI EventsManager inclui um Servidor de Interceptação SNMP com o qual as Interceptações SNMP são
manipuladas. Um buffer integrado permite que o Servidor de Interceptação SNMP para coletar, fazer
fila e encaminhar até 30 Interceptações SNMP de cada vez. Logs armazenados em buffer como padrão
são transferidos para o mecanismo de processamento de evento assim que o buffer é preenchido ou a
cada minuto, o que acontecer primeiro.
Importante
Antes de iniciar a coleta de mensagens de Interceptações SNMP, cada origem de eventos
SNMP (estações de trabalho, servidores e/ou dispositivos de rede) deve ser configurada
para enviar suas mensagens de Interceptação SNMP para o nome ou IP do computador
onde GFI EventsManager está instalado.
Para coletar Interceptações SNMP:
GFI EventsManager
Screenshot 79: Coletar Interceptações SNMP
2. Clique na guia SNMP Traps e selecione Accept SNMP Traps messages from this event source para
ativar a coleta de Interceptações SNMP.
3. Selecione Decrypt incoming SNMP Traps 3 messages e especifique a chave de segurança na caixa
de texto Host key.
processamento.
eventos coletados.
Obs.
O Servidor de Interceptação SNMP GFI EventsManager por padrão está configurado para
ouvir as mensagens de Interceptação SNMP na porta 162. Para mais informações,
consulte Configurar servidor de Interceptações SNMP.
GFI EventsManager
Obs.
O Servidor de Interceptação SNMP integrado dá suporte as Interceptações SNMP versão 3
com criptografia. Para mensagens SNMP criptografadas a chave anfitriã de criptografia
deve ser fornecida no campo de mensagens descriptografadas recebidas das
Interceptações SNMP 3.
Importante
conformidade legal.
5.4.1 Configurar o servidor de Interceptação SNMP
Screenshot 80: Configurar Interceptação SNMP
Para alterar as configurações padrão do servidor de Interceptação SNMP:
2. Clique com o botão direito em SNMP Traps Options e selecione Edit SNMP Traps options…
GFI EventsManager
Screenshot 81: Opções de Interceptação SNMP
3. Ative o servidor TCP/UDP SNMP necessário. Especifique a porta TCP/UDP na qual GFI
EventsManager escutará as mensagens SNMP.
4. Clique Advanced para adicionar, editar ou remover identificadores de objeto de Interceptações
SNMP (OIDs).
5. Clique na guia Specific Trap Type para adicionar, editar ou remover tipos de interceptação.
Obs.
Ao configurar as definições da porta do servidor de Interceptação SNMP, certifique-se de
que o TCP ou UDP configurado não estejam sendo usados por outros aplicativos
instalados. Isso pode afetar a entrega de mensagens de Interceptação SNMP a GFI
EventsManager.
GFI EventsManager está configurado para coletar e processar logs de eventos padrão. No entanto, GFI
EventsManager também pode ser configurado para gerenciar eventos registrados no aplicativo de
terceiros como logs de antivírus, logs de firewall e outros softwares de segurança.
Para configurar eventos personalizados:
GFI EventsManager
Screenshot 82: Instalação de log de evento personalizado
2. Em Configurations, clique com o botão direito em Custom Event Logs e selecione Edit custom
logs…
GFI EventsManager
Screenshot 83: Caixa de diálogo de logs de eventos personalizados
3. Clique no botão Add… e especifique o nome do seu log de evento personalizado.
4. Clique em OK.
5. (Opcional) Clique em Edit para renomear o evento personalizado selecionado, ou clique em
Remove para excluir o evento personalizado selecionado.
GFI EventsManager permite o monitoramento dos eventos gerados por GFI LanGuard. GFI LanGuard é
um verificador de vulnerabilidades da rede que audita os pontos fracos da rede que podem ser
explorados pelos usuários para fins maliciosos. Durante as auditorias da rede, GFI LanGuard cria
eventos no “Application Log” da máquina onde está instalado.
Em cada máquina analisada por GFI LanGuard, uma entrada “Log de aplicativo” com “Event ID: 0” e
“Source” definido como GFI LanGuard são geradas. Estes eventos denotam informações sobre as
vulnerabilidades da rede extraídas dos computadores verificados, incluindo:
Table 37: Informações coletadas por GFI LanGuard
Informações coletadas
Descrição
Nível de ameaça
Coletar informação sobre o nível global de ameaça da rede. Esta classificação é gerada através de
um extenso algoritmo após GFI LanGuard fazer auditoria da rede.
Patches e pacotes
de serviço faltando
Descobrir quais máquinas não estão atualizadas e que atualizações precisam ser instaladas para
reforçar o nível de segurança.
Portas abertas
Descobrir todas as portas TCP e/ou UDP abertas indesejadas.
GFI EventsManager
Informações coletadas
Descrição
Antivírus operacional e status da
definição de
malware
GFI LanGuard verifica se as definições do banco de dados de vírus estão atualizadas. Caso não
seja, você receberá um alerta e GFI LanGuard tentará atualizá-lo.
Aplicativos detectados nos destinos
verificados
GFI LanGuard enumera cada aplicativo instalado no destino da verificação. É possível criar um
estoque de aplicativos desejados e/ou indesejados e configurar GFI LanGuard para desinstalar
automaticamente os aplicativos classificados como indesejados.
Obs.
Para obter mais informações sobre GFI LanGuard, consulte
http://www.gfi.com/network-security-vulnerability-scanner.
Obs.
GFI EventsManager processa eventos gerados por GFI LanGuard versão 9.5 ou posterior.
5.6.1 Como habilitar registro em log de eventos GFI LanGuard?
Há dois passos fundamentais para ativar a integração de log de eventos entreGFI LanGuard e GFI
EventsManager:
Etapa 1: Ativar registro em log
Etapa 2: Configurar GFI EventsManager para coletar os logs do aplicativo
Etapa 1: Ativar registro em logGFI LanGuard
Para ativar GFI LanGuard para produzir logs de eventos após a conclusão das auditorias de sistema:
1. Adicione a máquina onde GFI LanGuard está instalado como uma origem de evento.
2. Clique em Start > Run e digite regedit. Pressione Enter.
GFI EventsManager
Screenshot 84: Ativar registro em log GFI LanGuard no registro
3. Vá para a seguinte chave do registro e edite o valor para ativar o registro em log de
eventos:
Windows® plataformas x86:
HKEY_LOCAL_MACHINE\SOFTWARE\GFI\LNSS[n]\Config
Definir o valor do REG_DWORD EventLog para 1
Windows® plataformas x64:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\GFI\LNSS[n]\Config
Definir o valor do REG_DWORD EventLog para 1
Importante
[n] é o principal número da versão de GFI LanGuard.
Exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\GFI\LNSS9\Config\EventLog = 1(dword)
Obs.
Para impedir GFI LanGuard de gerar entradas de “Log de aplicativos”, remover os
valores do Registro descritos acima ou alterar o valor do registro para 0.
Etapa 2: Configurar o GFI EventsManager para coletar o log de aplicativos
GFI LanGuard gera janelas de logs de eventos na categoria de “logs de aplicativos”. Certifique-se de
que a coleta de logs de aplicativos está ativada na origem do evento GFI LanGuard.
Para ativar o processamento de eventos GFI LanGuard:
1. Abra o Console de gerenciamento GFI EventsManager.
GFI EventsManager
3. Clique com o botão direito na origem do evento GFI LanGuard e selecione Properties.
Screenshot 85: Adicionar logs de aplicativos Windows®
4. Na guia Windows®Event Log, clique em Add e selecione Windows® Logs. Clique em OK.
GFI EventsManager
Screenshot 86: Adicionar regras GFI LanGuard
5. Selecione Process using these rule sets. Expanda o nó Windows Events > GFI Rules e selecione GFI
LanGuard rules.
6. Clique em OK.
Obs.
GFI EventsManager foi construído com as regras de processamento de eventos GFI
LanGuard que são ativados por padrão. Para monitorar eventos gerados por GFI
LanGuard, selecione a guia Status > General e localize a seção Critical and High
Importance Events.
Obs.
Para configurar as regras de processamento de eventos GFI LanGuard, clique na guia
Configuration > Event Processing Rules. No painel esquerdo, selecione GFI Rules > GFI
LanGuardrules. Para obter mais informações, consulte Regras de processamento de
eventos.
Teste e solução de problemas
Para verificar se os eventos GFI LanGuard estão sendo gerados:
1. Abra GFI LanGuard e execute uma verificação de auditoria do localhost.
GFI EventsManager
2. Quando a análise estiver concluída, abra Event Viewer em Start > Run e digite eventvwr.
Pressione Enter.
3. Vá para o Visualizador de Eventos (local) Aplicativo de logs Windows.
4. Uma vez que os eventos armazenados são carregados, procure uma entrada com:
Origem: GFI LanGuard
ID do evento: 0.
Caso o log de eventos não seja criado, normalmente a análise deGFI LanGuard já foi iniciada assim
que a chave do registro da saída dos logs de eventos tenha sido modificada. Executar novamente a
análise. Por outro lado, garante que o valor do registro tenha sido criado no local certo como o local
para plataformas x86 é diferente do das plataformas x64.
GFI EndPointSecurity permite manter a integridade dos dados, impedindo o acesso não autorizado e a
transferência de conteúdo de e para os seguintes dispositivos ou portas de conexão:
Table 38: GFI EndPointSecurity dispositivos suportados
Dispositivo
Exemplo
Portas USB
Leitores de cartões Flash/Memória e pen drives.
Portas Firewire
Câmeras digitais e leitores de cartões Firewire.
Dispositivos sem fio
Dongles Infravermelho e Bluetooth
Unidades de disquete
USB internos e externos, unidades de disquete.
Unidade óptica
CD, DVD, discos Blu-ray.
Unidade óptica de magneto
Unidades USB internas e externas.
Armazenamento removível
Unidades de disco rígido USB.
Outras unidades, como Zip drives e drives de fita
Unidades USB/Serial/Paralela internas ou externas.
Obs.
Para obter mais informações sobre GFI EndPointSecurity, consulte
http://www.gfi.com/endpointsecurity.
Ativar registro em log GFI EndPointSecurity
Por padrão, GFI EndPointSecurity gera logs com informações sobre:
O serviço GFI EndPointSecurity
Dispositivos conectados e desconectados à sua rede
Acesso permitido ou negado por GFI EndPointSecurity aos usuários.
Para configurar opções de registro em log em GFI EndPointSecurity:
1. Na máquina executando a máquina GFI EndPointSecurity, inicie GFI EndPointSecurityConsole de
gerenciamento.
2. Clique na guia Configuration > Protection Policies.
3. No painel da esquerda, selecione a política de proteção e clique em Set Logging Options.
4. Personalize as definições disponíveis no diálogo Opções de logon.
GFI EventsManager
Obs.
Para mais informações sobre como configurar as opções de registro em log GFI
EndPointSecurity, consulte a documentação GFI EndPointSecurity disponível em
http://www.gfi.com/products/gfi-endpointsecurity/manual.
Monitoramento de eventos GFI EndPointSecurity
GFI EventsManager possui regras integradas de processamento de eventos GFI EndPointSecurity
ativados por padrão. Para monitorar eventos gerados por GFI EndPointSecurity, selecione a guia
Status > General e localize a seção Critical and High Importance Events.
Para configurar as regras de processamento de eventos GFI EndPointSecurity, clique na guia
Configuration > Event Processing Rules. Para obter mais informações, consulte Regras de
processamento de eventos.
GFI EventsManager
6 Navegar Eventos armazenados
Este capítulo disponibiliza informações sobre o uso de Navegador de evento. O Navegador de eventos
não está equipado com ferramentas de análise de eventos e investigação forense. Ele também
permite navegar facilmente em diversos bancos de dados de eventos, bem como exportar eventos
para bancos de dados criptografados para conformidade legal.
125
126
129
132
134
Screenshot 87: Navegador de eventos
O navegador de eventos está dividido nas seguintes seções:
GFI EventsManager
6 Navegar Eventos armazenados | 125
Table 39: Navegar no Navegador de Eventos
Seção
Descrição
Exibições
A seção Views inclui um amplo intervalo de exibições pré-definidas. Use esta seção para exibir logs
específicos como Windows®Logs de eventos e logs de texto, SQL Server® auditorias e muito mais.
Tarefas
comuns
Common Tasks permitem personalizar a aparência do navegador de eventos e mudar o banco de
dados para exibir logs de eventos exportados e/ou arquivados.
Ações
Use a seção Actions para executar funções comuns relacionadas à análise de log de eventos. Isso
permite a criação ou edição de exibições personalizadas, exportação de eventos para posterior
análise e muito mais.
Eventos
A seção Events é usada para navegar os eventos categorizados sob a exibição selecionada (na seção
1).
Controles
de navegação
Use os controles de navegação para navegar os eventos coletados.
Relatórios
A opção Report from view permite gerar relatórios gráficos e estatísticos com base na exibição
selecionada (na seção 1).
Painel de
descrição
do evento
Events Description Pane fornece detalhes do evento selecionado (na seção 4). Use esta seção
para analisar os detalhes do evento e saber quando o evento foi gerado, qual foi a causa e por
quem ele foi gerado. O cabeçalho de codificação de cores permite identificar rapidamente a
gravidade do evento.
A seção de descrição permite alternar entre as duas exibições.
General - contém informações sobre o evento, no formato de legado que foi padrão nos logs
de eventos anteriores ao Microsoft® Windows® Vista.
Fields – contém uma lista de informações de evento categorizadas por campos.
O link fornecido na descrição do evento oferece acesso a:
Uma descrição mais detalhada do evento
Informações e links que explicam o que causa esse tipo de evento
Dicas e sugestões sobre como resolver possíveis problemas existentes.
Análise de evento é uma tarefa exigente; GFI EventsManager está equipado com ferramentas
especializadas que simplificam o processo. Use o Navegador de Eventos na análise forense de eventos.
Todos os eventos acessíveis através do Navegador de Eventos são organizados por tipo de log na seção
Views . A seção seguinte descreve como usar o Navegador de Eventos para gerenciar os seus eventos:
Exportar eventos para CSV
Criar relatórios nas exibições do navegador de eventos
Excluir eventos
Buscar eventos armazenados
Identificar regras usando a ferramenta de localização
6.2.1 Exportar eventos para CSV
GFI EventsManager permite exportar os dados de eventos para arquivos CSV diretamente do
Navegador de Eventos. Isto é extremamente conveniente, especialmente quando o processamento de
dados de eventos é necessário. Isso inclui:
GFI EventsManager
Distribuição de dados de eventos essenciais por email
A execução de scripts automatizados que converte os dados CSV exportado em dados HTML para
carregamento na web/intranet da empresa
Gerar relatórios gráficos de gerenciamento e dados estatísticos usando ferramentas nativas como
Microsoft®Excel®
Gerar relatórios personalizados usando os aplicativos de terceiros
Interface dos dados do evento com os aplicativos e scripts internos.
Para exportar eventos para CSV:
1. Em Events Browser > Views, clique com o botão direito em uma exibição e selecione Export
events.
Screenshot 88: Ferramenta exportar evento
2. Especifique ou navegue até o local onde eventos exportados são salvos. Clique em OK.
6.2.2 Criar relatórios nas exibições
GFI EventsManager permite criar seus próprios relatórios personalizados (com gráficos e estatísticas)
baseados num determinado modo de exibição do Navegador de Eventos.
Obs.
GFI EventsManager envia um conjunto de relatórios predefinidos. Recomendamos que
você verifique os relatórios disponíveis antes de criar novos relatórios para evitar
duplicidade de relatórios.
Para gerar um relatório em uma exibição:
1. Em Events Browser > Views, selecione uma exibição.
Screenshot 89: Relatório com o botão exibir
2. No canto superior direito do navegador de eventos, clique em Report from view.
3. Na caixa de diálogo Create Report, configure as opções das guias descritas abaixo:
GFI EventsManager
Table 40: Navegador de eventos: Criar novo relatório
Guia
Descrição
Geral
Especificar o nome do novo relatório e adicionar as condições.
Layout
Selecionar as colunas que você deseja que estejam visíveis no relatório. Também é possível personalizar a
ordem de aparência.
Gráfico
Selecionar Use graphical charts para gerar um relatório com as informações em um gráfico. Os tipos de
gráficos disponíveis são:
Gráfico de pizza
Gráfico de barras
Gráfico em linha.
Agendar
Selecionar Use schedule para ativar o agendamento do relatório. Configurar a data de geração e frequência
do novo relatório.
Obs.
Para obter mais informações, consulte Criar relatórios personalizados.
6.2.3 Excluir eventos
Quando coletar e processar logs de eventos de um grande número de origens de eventos, uma série
de logs indesejados é coletada. Para ajudar a remover tais logs de eventos, GFI EventsManager inclui
uma opção excluir. Quando os eventos são excluídos, eles:
São removidos do navegador de eventos
Não são mais incluídos no trabalho de exportação/importação
Não são mais incluídos nos relatórios.
Após a exclusão de um evento, todos os outros com mesmo tipo, categoria e conteúdo de exibição
também são excluídos
Importante
Antes de excluir os logs de eventos, certifique-se de que você está cumprindo os
regulamentos de conformidade legal. Excluir logs de eventos pode acarretar em
penalidades legais.
Para excluir eventos:
1. Na guia Events Browser > Views, selecione uma exibição.
2. Selecione um evento que você deseja excluir. Em Actions, clique em Mark events as deleted.
3. Clique em Yes para confirmar a exclusão ou clique em No para cancelar.
Exibir eventos excluídos.
Logs de eventos excluídos são armazenados em um banco de dados separado e podem ser exibidos no
navegador de eventos.
Para visualizar logs de eventos excluídos:
1. Clique na guia Events Browser.
GFI EventsManager
2. No painel superior direito, clique em View deleted events. O Navegador de Eventos muda
automaticamente o banco de dados.
Obs.
Para remover completamente os logs de eventos deGFI EventsManager, execute uma
tarefa de Commit Deletion no banco de dados selecionado. Para obter mais
informações, consulte Executar exclusões
6.2.4 Procurar eventos armazenados
Use a ferramenta de localização de evento para pesquisar e localizar eventos específicos usando
filtros personalizáveis simples. Para procurar um evento particular:
1. Clique em Events Browser > Actions > Find events.
Screenshot 90: Ferramenta localizadora de eventos
2. Configure os parâmetros de pesquisa de eventos com as opções fornecidas na parte superior do
painel direito. Para acionar uma pesquisa que diferencia maiúsculas de minúsculas, clique em Options
e selecione Match whole word.
3. Clique em Find para iniciar a busca.
6.2.5 Identificar regras usando a ferramenta de localização de regra
GFI EventsManager permite identificar a regra de processamento de eventos que acionou o log do
evento selecionado.
Identificar a(s) regra(s) usada(s) por um determinado evento:
1. Em Events Browser, clique com o botão direito em um log de evento.
2. Clique em Find Rule. Isto o leva para a guia Configuration > Event Processing Rules. Para obter
mais informações, consulte Regras de processamento de eventos.
Os logs de eventos são automaticamente categorizados em pastas diferentes, de acordo com o tipo
de log de evento e a origem onde foi gerado. Em GFI EventsManager, essas pastas são conhecidas
como Exibições.
GFI EventsManager oferece uma lista abrangente de exibições para iniciar a categorização dos logs de
eventos após a instalação. Novos modos de exibição podem ser criados e os já existentes podem ser
modificados. As seções a seguir fornecem informações sobre como gerenciar as exibições do
Navegador de evento:
Criar Exibições raiz e Exibições
Editar uma exibição
GFI EventsManager
Excluir uma exibição
6.3.1 Criar Exibições raiz e Exibições
No Navegador de eventos, GFI EventsManager viabiliza a criação de dois tipos diferentes de exibições
descritas abaixo:
Table 41: Navegador de eventos: Criar nova exibição
Exibição
Descrição
Criar exibição
raiz...
Permite a criação de exibições de alto nível que podem conter um número de sub-exibição. Isso cria um
novo conjunto de exibições sob os que acompanham o produto (Exemplo: exibição All Events).
Criar exibição...
Criar exibições dentro das exibições raiz. Exibições personalizadas podem ser adicionados às exibições raiz
e exibições padrão.
Para criar uma exibição raiz/Exibição:
1. Em Events Browser > Actions, clique em Create root view…/Create view…
Obs.
As duas iniciam o mesmo diálogo Create view e são configuradas da mesma forma. A
diferença é o posicionamento da nova exibição personalizada.
Screenshot 91: Criador de exibição personalizada
2. Digite um nome e uma descrição para a nova exibição.
3. Clique em Add para adicionar condições de filtragem na exibição. Se não forem especificadas as
condições, a exibição mostra informações de cada evento gerado.
GFI EventsManager
Screenshot 92: Editar restrição de exibição
4. Selecione um campo na lista de campos disponíveis e especifique Field operator e Field value.
Repita este passo até que todas as condições exigidas sejam especificadas. Clique em OK. Para mais
informações, consulte Definir Restrições.
Screenshot 93: Personalizar a guia de exibição
4. Clique na guia Customize view para selecionar as colunas exibidas na nova exibição personalizada.
Também é possível organizar sua ordem de aparência, utilizando os botões de setas Up e Down.
GFI EventsManager
5. (Opcional) Clique em Apply to subviews para aplicar as colunas selecionadas a todas as
subvisualizações da exibição raiz.
Screenshot 94: Exemplo: Novas Exibições raiz e Exibições
6.3.2 Editar uma exibição
1. Em Events Browser > Views, selecione a exibição a ser editada.
2. Em Actions clique em Edit view…
3. Na caixa de diálogo Propriedades de Exibição, adicione, edite ou exclua as condições de acordo
com as suas necessidades.
6.3.3 Excluir uma exibição
1. Em Events Browser > Views, selecione a exibição a ser excluída.
2. Em Actions, clique em Delete view. Alternativamente, clique com botão direito sobre a exibição
que deseja excluir e selecione Delete view.
GFI EventsManager permite que você personalize o navegador de eventos de acordo com as suas
preferências. Você pode reposicionar o painel de descrição, bem como modificar as opções de
codificação de cor do log de evento, usados para facilitar a identificação dos eventos importantes. As
seções a seguir fornecem informações sobre como personalizar o Navegador de Eventos:
Personalizar a posição da descrição
Opções de evento codificação de cores
6.4.1 Personalizar a posição da descrição
Para alterar a posição do painel de descrição do evento:
1. Em Events Browser > Common Tasks, clique em Customize browser layout > Description.
GFI EventsManager
Screenshot 95: Personalizar a descrição do navegador
2. Selecione uma das opções descritas abaixo:
Table 42: Posições do painel de descrição
Opção
Descrição
Descrição à direita
Coloca o painel de descrição à direita da lista de eventos.
Descrição na parte inferior
Coloca o painel de descrição na parte inferior da lista de eventos.
Sem descrição
Remove o painel de descrição.
6.4.2 Opções de evento codificação de cores
Usar a ferramenta codificação de cores de eventos-chave matiz de uma cor particular. Dessa forma,
os eventos serão facilmente localizados durante a navegação.
Screenshot 96: Configuração de codificação por cores
Para atribuir um código de cores para um determinado evento:
1. Em Events Browser > Common Tasks selecione Customize browser layout > Colors.
2. Especifique os parâmetros de filtragem de eventos, incluindo a cor a ser aplicada nos
acontecimentos peneirados.
3. Clique em Apply Color.
Obs.
Use a opção Clear color para limpar todas as configurações de cor.
Para atribuir diferentes códigos de cores para vários eventos:
1. Em Events Browser > Common Tasks selecione Customize view > Colors > Advanced…
GFI EventsManager
Screenshot 97: Filtro de cor avançado
2. Clique no botão Add. Especifique o nome do filtro e configurar os parâmetros do filtro de eventos.
3. Clique em OK.
4. Repita até que todas as condições do filtro de eventos tenham sido configuradas. Clique em OK.
GFI EventsManager permite alternar entre diferentes bancos de dados. Use esse recurso para navegar
em eventos que foram exportados ou arquivados para posterior análise ou armazenados em
diferentes bancos de dados.
Para alternar os bancos de dados:
1. Clique em Events Browser > Common Tasks > Switch database.
GFI EventsManager
2. Selecione o banco de dados da lista de bancos de dados e clique OK.
Obs.
Clique em Add… para especificar um caminho e um nome único para criar um novo
banco de dados. Clique em Edit… para editar a informação específica.
GFI EventsManager
7 Monitoramento de atividade
Este capítulo fornece informações sobre como monitorar os processos de coleta de eventos. A guia
Status é um painel que mostra o status do GFI EventsManager, bem como informações estatísticas
relacionadas aos eventos coletados, processados
e arquivados. O monitor de status consiste em três
exibições diferentes do painel: Exibição General, exibição Job Activity e exibição Statistics.
136
140
142
Exibição geral do status é usada para:
Exibir o status do mecanismo de processamento de eventos GFI EventsManager
Acesse informações estatísticas tais como o número de eventos de logon, eventos críticos e o status do serviço de eventos.
Para acessar a visão General, vá para a guia Status >General.
GFI EventsManager
7 Monitoramento de atividade | 136
Screenshot 99: GFI EventsManagerStatus: Exibição geral
A visão geral é composta das seções descritas a seguir:
Table 43: Status do monitor: Seções de Visão Geral
Seção
Descrição
Use esta seção para selecionar o tipo de gráfico dos eventos acima.
A seção Top Important Log Events fornece informações estatísticas sobre:
Os 10 mais bem-sucedidos eventos de logon fora do horário de trabalho.
Os 10 mais importantes eventos de logon durante o horário de trabalho.
As 10 principais falhas de logon de eventos.
Eventos nesta seção são filtrados por:
Machine: Selecione um computador ou digite um nome de computador na lista suspensa
Period: O período de tempo que os eventos ocorreram (última hora, últimas 24 horas, nos últimos 7 dias ou
uma data específica).
GFI EventsManager
Seção
Descrição
A seção Critical and High Importance Events fornece informações gráficas e estatísticas sobre eventos críticos
coletados de todas as fontes de dados. Este gráfico mostra as regras de processamento de eventos que
coletaram e processaram os eventos em um determinado período.
Na lista suspensa, selecione o tipo de informação a ser exibida. Selecionar em:
Grouping: Determina como os eventos são agrupados; como Eventos, Computadores, Grupos de computadores, Eventos/Computadores ou Grupos de Eventos/Computadores
Event type: Selecione o tipo de dados a serem exibidos (Windows®, Logs de texto, Syslog, SNMP, Logs de
monitoramento ativo, e auditoria Oracle SQL)
Alert type: Especificar a gravidade de alerta, como Todos os alertas, Crítico ou Alto
Period: Especifique o período quando os eventos que ocorreram (última hora, últimas 24 horas, nos últimos
7 dias ou uma data específica).
OBSERVAÇÃO
Esta seção também exibe o resultado da vulnerabilidade monitorada pelo GFI LanGuard.
OBSERVAÇÃO
Para obter informações detalhadas sobre os diferentes tipos de eventos mostrados na exibição de
segurança, baixe o Microsoft® Security Monitoring and Attack Detection Planning Guide from
http://go.gfi.com/?pageid=esm_smad_plan.
O Top Service Status Events exibe os 10 principais serviços que causaram o evento selecionado. Um serviço
pode gerar eventos quando:
Encerrado com erro
Falha ao carregar
Falha ao iniciar
Tempo limite
Interrompido
Iniciado.
O gráfico mostra a frequência desses eventos classificada por tipo de serviço e/ou através de computador
gerador do evento. Selecione uma máquina ou serviço a partir da lista suspensa ou digite os critérios exigidos
para personalizar os resultados gráficos.
Obs.
Para coletar informações de serviço, as origens dos eventos devem ter uma Política de auditoria de eventos
do sistema ativada. Para obter mais informações, consulte Ativar manualmente permissões de origem do
evento (página 335).
GFI EventsManager
Seção
Descrição
A seção Top Network Activity Event exibe detalhes das 10 principais atividades da rede (entrada e saída).
Atividade de rede consiste em todos os tipos de tráfego que são gerados por vários protocolos, incluindo SMTP,
HTTP, FTP e o tráfego de MSN. As atividades de rede disponíveis podem ser filtradas por:
Aplicativos
Endereços de origem
Endereços de destino
Computadores
Portas
Usuários.
Selecione os parâmetros na lista suspensa e digite os valores para filtrar o tipo de gráfico exibido.
Obs.
A atividade de rede que consta na tabela só se aplica a computadores que executem Microsoft® Windows®
Vista ou posterior.
Obs.
Para coletar atividades da rede, as origens dos eventos devem ter ativada a auditoria de Objeto e
rastreamento de Processos. Para obter mais informações, consulte Enabling event source permissions
manually.
A seção Monitoring Statistics exibe informações de status sobre o Monitoramento Ativo que você está
executando nas origens de eventos. As informações exibidas nesta seção são atualizadas a cada 20 segundos e
você fornece o(s):
Nome da verificação
Contagem de Bem-sucedidas/Mal-sucedidas
Número de eventos gerados
Data e hora da verificação
Tipo de verificação.
Selecione uma linha e clique em View Events para exibir os logs relativos que foram gerados quando a
verificação foi falha/bem-sucedida.
Clique no ícone Arrange Window para ajustar automaticamente todos os gráficos no console de gerenciamento.
O GFI EventsManager Service Status é usado para exibir:
O status operacional do mecanismo de processamento de serviço/evento GFI EventsManager
O status operacional do servidor Syslog
O status operacional do servidor de Interceptações SNMP
O status operacional do servidor de banco de dados usado pelo GFI EventsManager.
Obs.
Clique no nome de um serviço para editar as configurações do serviço.
Obs.
Clique em Database server is running para mudar de banco de dados. Para obter mais informações,
consulte Alternar entre banco de dados de armazenamento de arquivos.
GFI EventsManager
Seção
Descrição
O Events Count By Database Fill-Up exibe:
As barras horizontais representam o número de eventos armazenados no back-end do banco de dados, classificados por tipo de logs de eventos
A data e a hora do último backup
A data e hora do próximo backup agendado.
A barra de cor verde é alterada para vermelho quando o banco de dados está preenchido com eventos.
Obs.
Clique duas vezes no gráfico para abrir o gráfico em uma nova janela. Quando um
gráfico 3D é selecionado, a nova janela permite fazer a rotação, ampliar ou
redimensionar o gráfico. Utilize o botão Export to image para exportar o gráfico.
Esta exibição mostra sua atual coleção de eventos e atividade de processamento. Isso inclui trabalhos
de coleta de eventos ativos, bem como histórico de mensagens do servidor em um mecanismo por
base de máquina.
Para acessar a exibição Job Activity, vá para a guia Status > Job Activity.
GFI EventsManager
Screenshot 100: Status GFI EventsManager: Exibir atividade de trabalho
As informações fornecidas nesta exibição estão divididas nas seguintes seções:
Table 44: Status do monitor: Exibir atividade de trabalho
Seção
Descrição
A seção Active Jobs fornece uma lista de todos os trabalhos de coleta de eventos no decurso de cada origem/máquina de eventos. As informações fornecidas incluem o progresso do trabalho, bem como a origem do log
a partir do qual estão sendo coletados os eventos.
A seção Operational History mostra uma trilha de auditoria das operações de coleta de eventos executadas por
GFI EventsManager. As informações fornecidas incluem erros e mensagens de informações geradas durante o
processo de coleta de eventos, bem como o nome do arquivo de log que estava sendo processado na origem do
evento.
OBSERVAÇÃO
Logs de histórico operacional podem ser exportados usando o botão Exportar dados. Para obter mais
informações, consulte Gerar relatórios.
A seção Queued Jobs fornece uma lista de todos os trabalhos de coleta de eventos pendentes em um mecanismo por base de máquina. A informação fornecida inclui a origem do evento a partir do qual os eventos serão
coletados, bem como o tempo de espera e o tipo de log de coleta.
A seção Server Message History exibe uma lista de todas as mensagens do servidor (Interceptação SNMP e Syslog), que foram recebidos peloGFI EventsManager. As informações fornecidas incluem o número total de mensagens enviadas por cada origem de evento, contagem de mensagens e a data/hora em que a última mensagem
foi recebida.
GFI EventsManager
Seção
Descrição
Clique em Export data para gerar relatórios de Histórico Operacional.
A exibição Statitstics é usada para exibir as tendências e estatísticas da atividade de eventos diários
de um determinado computador ou toda a rede.
Para acessar a exibição Statistics, vá para a guia Status Statistics.
Screenshot 101: Status GFI EventsManager: Exibir estatísticas
As informações fornecidas nesta exibição estão divididas nas seguintes seções:
Table 45: Status do monitor: Exibir estatísticas
Seção
Descrição
Utilize este menu suspenso para selecionar a informações a ser exibidas. Selecione All sources ou selecione
origens específicas para exibir suas informações adequadamente.
Today’s Events Counts representam graficamente a tendência de coleta diária de eventos em um mecanismo
por meio da base de máquina, bem como em uma base de rede. Um esquema de cores é usado para diferençar
entreWindows®, os eventos de Logs de texto, Logs de monitoramento ativo, syslog e Interceptação SNMP.
Events Count By Log Type representa o número de Windows®, Logs de texto, syslog e eventos de
Interceptação SNMP coletados por GFI EventsManager em uma determinada máquina ou rede.
GFI EventsManager
Seção
Descrição
A seção Activity Overview fornece informações sobre:
O número total de eventos Windows®, Logs de texto, Logs de monitoramento ativo, Syslog e Interceptações SNMP processados em uma máquina por base de máquina.
A data/hora da última coleta de eventos realizada em cada máquina.
Clique em Export data para gerar relatórios da Exibição geral da atividade.
GFI EventsManager
8 Relatórios
Este capítulo disponibiliza informações sobre o mecanismo de relatórios completos do GFI
EventsManager. Ele vem com diversos relatórios técnicos e de nível executivo mostrando informações
gráficas e estatísticas de software e hardware gerenciados pelo GFI EventsManager.
145
146
147
149
154
161
171
172
173
GFI EventsManager
8 Relatórios | 144
Screenshot 102: Navegar no UI Relatórios
A guia Relatórios consiste nas seções abaixo:
Table 46: Navegar na guia Relatórios
Seção
Descrição
A seção Reports contém todos os relatórios predefinidos enviados com o produto. Use esta seção para organizar
e gerar vários relatórios do tipo técnico ao executivo.
Encontre rapidamente relatórios com as opções de filtros disponíveis. Com as opções Filter Reports é possível
pesquisar relatórios que contenham gráficos e tenham sido gerados com um agendamento.
A seção Common Tasks permite iniciar rapidamente as operações normais como criar exibições de pasta e de
relatórios para organizar relatórios e gerar relatórios.
Em Actions, crie, edite ou exclua os relatórios desejados.
Use a seção Generated Reports para exibir o histórico de um relatório selecionado (na Seção 1). Isso permite
gerar novamente e exportar o relatório em HTML e/ou PDF.
A seção Preview Report oferece a visualização de um determinado relatório gerado. Use os botões de controle
para Imprimir, Abrir, Exportar ou Excluir relatórios diretamente nesta seção.
GFI EventsManager
8 Relatórios | 145
A lista extensa de relatórios GFI EventsManager contém relatórios para diversas necessidades criados
para facilitar os relatórios tanto quanto possível. As seguintes categorias de relatórios estão incluídas
em GFI EventsManager por padrão. GFI EventsManager permite que você use os relatórios existentes
como modelos para criar seus próprios. Cada categoria na tabela abaixo contém uma série de
relatórios que estão prontos para ser usados
ou personalizados para atender às suas necessidades:
Table 47: Relatórios disponíveis
Categoria
Descrição
Account Usage
Usar os relatórios dessa categoria para identificar problemas de logon do usuário. Os
detalhes do evento mostrados nesses relatórios incluem logons de usuários bem
sucedidos/ mal sucedidos e contas de usuários bloqueadas.
Gerenciamento de contas
Usar os relatórios nesta categoria para gerar uma visão geral gráfica de eventos
importantes que ocorreram em toda a sua rede. Os detalhes do evento mostrados
nesses relatórios incluem mudanças nas contas de usuário e computador, bem como
mudanças nas políticas de grupo de segurança.
Alterações de política
Usar os relatórios nesta categoria para identificar as mudanças políticas afetadas na sua
rede.
Acesso ao Objeto
Usar os relatórios dessa categoria para identificar os problemas de acesso aos objetos. Os
detalhes do evento mostrados nesses relatórios incluem o acesso aos objetos bemsucedidos/mal-sucedidos bem como os objetos que tenham sido excluídos.
Gerenciamento de aplicativo
Usar os relatórios nessa categoria para identificar os aplicativos defeituosas e instalação
de aplicativos e problemas de remoção. Os detalhes do evento exibidos nestes
relatórios incluem aplicativos que foram instalados ou removidos, bem como os
aplicativos que estão congelando e suspensos.
Servidor de Impressão
Usar os relatórios dessa categoria para exibir detalhes relacionados aos eventos de
impressão. As informações dos relatórios incluem os documentos que tenham sido
impresso, os usuários que ativaram o evento de impressão e a data/hora quando a
operação de impressão ocorreu.
Sistema de log de evento
Windows
Usar os relatórios dessa categoria para identificar falhas de auditoria e problemas de log
de eventos importantes Windows®. Detalhes fornecidos nesses relatórios incluem a
inicialização e a interrupção dos serviços de log de eventos, operações de logs claras,
bem como erros gerados durante o registro em log de eventos.
Tendência de eventos
Usar os relatórios nesta categoria para exibir informações estatísticas relacionadas à
geração do evento. Gráficos fornecidas enumeram os 10 computadores e usuários com
mais eventos. Outros relatórios fornecem contas de eventos com base em toda a rede,
bem como em uma base computador-a-computador. Relatórios nesta categoria podem
ser gerados para cada tempo principal – por hora, dia, semana ou mês.
Todas as críticas
Usar os relatórios desta categoria para exibir informações relacionadas eventos
Windows®de auditoria Syslog, Eventos personalizados e Interceptações SNMP críticas e
SQL Server®. Os gráficos fornecidos enumeram os 10 eventos mais críticos.
Diversos, personalizáveis
Use os relatórios desta categoria para gerar relatórios que ofereçam ampla
personalização. Eles podem ser usados para gerar relatórios baseados em qualquer log
de eventos Windows®, usando os modos filtragem e agrupamento que não sejam
cobertos pelos outros relatórios padrão.
Conformidade PCI DSS/
Código de exigências de
conexão/Conformidade SOX/
Conformidade com a Conformidade HIPAA /Conformidade GLBA
Use os relatórios sobre essas categorias para gerar relatórios de conformidade legal.
Requisitos Gerais de Segurança
Usar os relatórios nesta categoria para gerar relatórios exigidos por alguns GCSx Código
de conexão de memos de conexão.
Relatórios LOGbinder SP
Usar os relatórios desta categoria para gerar relatórios relacionados aos eventos de
auditoria Microsoft® SharePoint®.
GFI EventsManager
8 Relatórios | 146
Os relatórios são organizadas em uma estrutura de árvore, para fácil localização e geração do
relatório necessário. O GFI EventsManager inclui várias opções que permitem que você, facilmente,
mantenha a estrutura de relatórios como o aumento do número de relatórios por tempo.
Criar uma pasta raiz
Criar uma pasta
Criar um relatório raiz
Criar relatórios personalizados
Definir cabeçalhos de colunas
8.3.1 Criar uma pasta raiz
Pastas raiz são pastas de nível superior que podem conter uma ou mais subpastas ou relatórios.
Para criar uma pasta raiz:
1. Na guia Reporting > Common Tasks, clique em Create Root Folder.
GFI EventsManager
8 Relatórios | 147
Screenshot 103: Diálogo Criar pasta de relatório
2. Na guia General, especifique um nome e uma descrição (opcional) para a nova pasta.
3. Clique na guia Schedule e selecione Use schedule para configurar uma agendamento para os
relatórios incluídos nessa nova pasta. Configurar as opções descritas abaixo:
Table 48: Criar uma pasta de relatórios: Opções de agendamento
Opção
Descrição
Herdar do Principal
Selecionar quando a nova pasta faz parte de uma pasta raiz que já tenha o agendamento
configurado.
Usar o agendamento
Selecione Use Schedule para ativar o agendamento dos relatórios contidos na nova pasta.
Hora da geração
Especificar a hora quando os relatórios são gerados.
Padrão recorrente
Especificar a frequência da geração de relatórios. Clique em Daily, Weekly ou Monthly e
configure os parâmetros correspondentes.
Enviar relatório por
email para
Selecionar essa opção para ativar as notificações de email. Clique em Configurar para selecionar
os usuários no diálogo Selecionar usuários e grupos.
OBSERVAÇÃO
Configure as opções de alerta antes de usar este recurso.
GFI EventsManager
8 Relatórios | 148
8.3.2 Criar uma pasta
GFI EventsManager permite criar o número necessário de pastas recorrentes.
Para criar uma pasta:
1. Na guia Reporting > Reports, clique com o botão direito em uma raiz ou subpasta e selecione
Create Folders.
2. Na guia General, especifique o nome e a descrição (opcional) para o novo grupo.
3. Clique na guia Schedule e configure as configurações de agendamento.
Relatórios raiz se comportam da mesma forma que as pastas raiz. Estes são criados no nível superior
e podem conter um número de sub-relatórios. Por exemplo, é possível criar um relatório raiz gerado
mensalmente e que contenha informações sobre logons bem sucedidos, logons com falha e bloqueios
de contas. Os sub-relatórios contêm apenas informações sobre partes específicas do relatório raiz,
tais como falha de logons geradas diariamente.
Para criar um relatório raiz:
1. Na guia Reporting > Common Tasks, clique em Create Root Report.
GFI EventsManager
8 Relatórios | 149
2. Na guia General, especifique um nome e descrição (opcional) para o novo relatório raiz.
3. Clique em Add para selecionar um campo que definirá as condições da consulta. No campo
selecionado, especifique o Field Operator e o Field Value. Clique em OK.
Obs.
Repetir este etapa até que todos os campos estejam selecionados. Para obter mais
informações, consulte Criar restrições de consulta.
4. Clique na guia Layout e adicione cabeçalhos nas colunas que devem estar visíveis no relatório. Se
existir um modelo de um relatório salvo, clique em Open location para navegar e carregar o seu
modelo. Para obter mais informações, consulte Definir cabeçalhos de colunas.
GFI EventsManager
8 Relatórios | 150
5. (Opcional) Clique na guia Chart e selecione Use graphical charts para incluir gráficos no seu
relatório.
6. No menu suspenso Place chart at, especifique a localização para o gráfico. Selecionar em:
Início do relatório
Fim do relatório.
7. Em Properties > X axis e Y axis, configure as propriedades dos eixos X e Y. Por exemplo, selecione
os dados representados no gráfico.
8. Selecione Top 10 to exibir somente os 10 registros principais.
GFI EventsManager
8 Relatórios | 151
9. (Opcional) Clique na guia Schedule e configure as configurações da agenda.
10. Selecione Send report by email to e clique em Configure para selecionar os destinatários deste
relatório.
GFI EventsManager
8 Relatórios | 152
11.Clique na guia Options e especifique o caminho para onde o relatório é gerado na área Target
path.
12. No menu suspenso Range pattern, selecione as opções descritas na tabela abaixo:
Padrão
Descrição
Todas
Selecione All Time para gerar o relatório de acordo com as informações de todos os logs afins.
Relativo
Gerar o relatório de acordo com os eventos de:
Hoje
Ontem
Últimos 7 dias
Este mês
Último mês.
Dia
Especificar um dia para basear o seu relatório.
Mês
Especificar um mês e ano para basear o seu relatório.
Intervalo de
datas
Especifique datas From e To para basear as informações do relatório de eventos coletados dentro de um
determinado período de tempo.
GFI EventsManager
8 Relatórios | 153
13. Clique na guia Other para configurar os limites de registro do relatório. Opções são descritas na
tabela abaixo:
Opção
Descrição
Dividir relatório
com mais de {X}
registros
Selecionar a caixa de seleção para ativar limite de registro por relatório. O GFI EventsManager
cria automaticamente um novo relatório para cada número de registros que você especificar.
Por exemplo, se você digitar 50.000 e o relatório contém 150.000 registros, GFI EventsManager
gera três relatórios.
Número máximo de
registros por página
Especificar o número de arquivos que são exibidos em uma única página.
Limitar registros a
Especificar o número máximo de registros incluídos no relatório. Registros que ultrapassem o
limite são ignorados.
Criar relatórios personalizados requer planejamento durante a configuração das condições. As
condições são definidas para determinar o que deve ser filtrado e apresentado no relatório. A falha
na configuração das condições geram ruído indesejado e informações imprecisas.
Para criar um novo relatório personalizado:
GFI EventsManager
8 Relatórios | 154
1. Na guia Reporting > Reports, clique com o botão direito em uma pasta raiz/pasta/relatório raiz e
selecione Create Report.
2. Na guia General, especifique um nome e descrição (opcional) para o novo relatório raiz.
Obs.
GFI EventsManager
8 Relatórios | 155
4. Clique na guia Layout e adicione cabeçalhos nas colunas que devem estar visíveis no relatório. Se
existir um modelo de um relatório salvo, clique em Open location para navegar e carregar o seu
modelo. Para obter mais informações, consulte Definir cabeçalhos de colunas.
GFI EventsManager
8 Relatórios | 156
5. (Opcional) Clique na guia Chart e selecione Use graphical charts para incluir gráficos no seu
relatório.
6. No menu suspenso Place chart at, especifique a localização para o gráfico. Selecionar em:
Início do relatório
Fim do relatório.
7. Em Properties > X axis e Y axis, configure as propriedades dos eixos X e Y. Por exemplo, selecione
os dados representados no gráfico.
8. Selecione Top 10 to exibir somente os 10 registros principais.
GFI EventsManager
8 Relatórios | 157
9. (Opcional) Clique na guia Schedule e configure as configurações da agenda.
10. Selecione Send report by email to e clique em Configure para selecionar os destinatários deste
relatório.
GFI EventsManager
8 Relatórios | 158
11.Clique na guia Options e especifique o caminho para onde o relatório é gerado na área Target
path.
12. No menu suspenso Range pattern, selecione as opções descritas na tabela abaixo:
Padrão
Descrição
Todas
Selecione All Time para gerar o relatório de acordo com as informações de todos os logs afins.
Relativo
Gerar o relatório de acordo com os eventos de:
Hoje
Ontem
Últimos 7 dias
Este mês
Último mês.
Dia
Especificar um dia para basear o seu relatório.
Mês
Especificar um mês e ano para basear o seu relatório.
Intervalo de
datas
Especifique datas From e To para basear as informações do relatório de eventos coletados dentro de um
determinado período de tempo.
GFI EventsManager
8 Relatórios | 159
13. Clique na guia Other para configurar os limites de registro do relatório. Opções são descritas na
tabela abaixo:
Opção
Descrição
Dividir relatório
com mais de {X}
registros
Selecionar a caixa de seleção para ativar limite de registro por relatório. O GFI EventsManager
cria automaticamente um novo relatório para cada número de registros que você especificar.
Por exemplo, se você digitar 50.000 e o relatório contém 150.000 registros, GFI EventsManager
gera três relatórios.
Número máximo de
registros por página
Especificar o número de arquivos que são exibidos em uma única página.
Limitar registros a
Especificar o número máximo de registros incluídos no relatório. Registros que ultrapassem o
limite são ignorados.
GFI EventsManager
8 Relatórios | 160
GFI EventsManager permite gerar diversos relatórios que contenham informações sobre
configurações, atividade da rede e atividade dos produtos GFI EventsManager.
Gerar um relatório
Gerar relatório resumido diário
Gerar relatórios de configurações
Gerar relatórios de regras
Gerar relatórios de histórico operacional
Gerar relatórios de visão geral de atividade
8.6.1 Gerar um relatório
Para gerar um relatório:
1. Na guia Reporting > Reports, clique com o botão direito em um relatório e selecione Generate
Report.
Screenshot 116: Gerar um relatório
2. Aguarde o relatório sendo gerado e visualize os resultados na seção Preview Report.
GFI EventsManager
8 Relatórios | 161
Obs.
Os relatórios podem ser gerados com a seleção do relatório na lista e clicando em
Generate Report no topo da página de relatórios.
Screenshot 117: Exemplo de relatório
8.6.2 Gerar relatórios de resumo diário
GFI EventsManager pode ser configurado para enviar um relatório resumido por email diariamente. O
relatório contém um resumo das informações dos eventos mais importantes coletados e processados
nas últimas 24 horas. Configurar um usuário para receber emails de resumo diário:
1. Na guia Configuration > Options. Expanda Users and Groups e selecione Properties.
2. Clique com o botão direito em um usuário no painel direito e selecione Properties.
3. Na guia General, certifique-se de que um endereço de email válido foi configurado.
4. Na guia Alerts, selecione Send daily report via email.
GFI EventsManager
8 Relatórios | 162
Screenshot 118: Configurações de email de resumo diário
5. Configure o momento em que o resumo é enviado diariamente por email.
GFI EventsManager
8 Relatórios | 163
Screenshot 119: Email de resumo diário
Table 53: Descrição do email de resumo diário
Seção
Descrição
A data inicial e final do relatório. O relatório mostra os eventos mais importantes coletados pelo GFI EventsManager entre a data inicial e final.
O número de eventos críticos e altos coletados nas últimas 24 horas.
Esse gráfico oferece informações estatísticas sobre eventos críticos coletados de todas as origens de eventos nas
últimas 24 horas.
8.6.3 Gerar relatórios de configurações
GFI EventsManager permite gerar relatórios sobre as configurações de grupos de origem do evento. As
informações fornecidas estão descritos abaixo:
Table 54: Informações do cabeçalho do relatório de configurações
Título
Descrição
Nome do grupo
O nome do grupo do relatório.
Nome do computador
Uma lista de todas as origens de eventos do grupo selecionado.
Verificar intervalos
Intervalo de verificação de todas as origens de eventos do grupo selecionado; mostrado em Days:
Hours: Minutes: Seconds.
GFI EventsManager
8 Relatórios | 164
Título
Descrição
Pasta de regras
Fornece uma lista de categorias de regras aplicadas ao grupo selecionado, como:
Redução de ruídos
Segurança
Integridade do sistema
Requisitos do PCI DSS.
Conjuntos de
regras
Uma lista granular de regras aplicadas ao grupo selecionado.
Para gerar relatórios de configuração:
2. Clique com o botão direito em um grupo de origem do evento e clique em Report on settings.
GFI EventsManager
8 Relatórios | 165
Screenshot 121: Exemplo de relatório de configurações
8.6.4 Gerar relatórios de regras
Relatórios de regras fornecem uma visão detalhada das regras aplicadas nas origens de eventos. As
informações fornecidas nos relatórios de regras são descritas abaixo:
Table 55: Informação do cabeçalho do relatório de regras
Título
Descrição
Nome da regra
Nome da regra aplicada.
Importância
O nível de importância de classificação do log de evento coletado, como:
Crítica
Alta
Média
Baixa
Evento ruído.
Arquivo de log monitorado
Fornece o nome da categoria do log de evento coletado, como:
Segurança
Integridade do Sistema
Aplicativo
Sistema.
Condições
A(s) condição(ões) de processamento(s) da regra selecionada. Isso inclui:
IDs do evento
Origem
Categoria
Usuário
Tipo
Avançado.
GFI EventsManager
8 Relatórios | 166
Título
Descrição
Ações
Descreve as ações executadas quando o evento é processado, incluindo:
Configurações de arquivamento
Configurações de email
Configurações de limite.
Para gerar um relatório de regras:
2. Clique com o botão direito em uma origem do evento e selecione Report on rules.
8.6.5 Gerar relatórios de histórico operacional
Histórico operacional deGFI EventsManager' podem ser exportados para análise posterior e fins de
arquivamento. Mensagens de histórico operacional fornece aos administradores as informações
descritas abaixo:
Table 56: Descrição do relatório do Histórico operacional
Data/hora
A data e a hora em que a mensagem foi gerada.
Máquina
Origem do evento que gerou a mensagem.
GFI EventsManager
8 Relatórios | 167
Origem
Fonte da operação que causa a geração da mensagem. As opções incluem:
EvtCollector – mensagem gerada durante a coleta de logs de evento
SNMP TrapsServer – mensagem gerada durante a coleta de mensagens de Interceptações
SNMP
EnterpriseMaintenance – mensagem gerada durante os trabalhos de manutenção do banco
de dados.
ID de trabalho
Uma ID interna associadas ao trabalho.
Arquivo/nome do
log
Tipo de logs coletados. As opções incluem:
Aplicativo
Segurança
Logs gerados por outros aplicativos como GFI LanGuard e GFI EndPointSecurity.
Mensagem
A mensagem que foi gerada durante a execução do trabalho.
Para gerar relatórios de Histórico Operacional:
1. Clique na guia Status > Job Activity.
Screenshot 123: Relatório de histórico operacional
2. Clique em Export data.
Screenshot 124: O diálogo de histórico operacional
3. Especifique as opções descritas abaixo e clique em Export.
Table 57: Opções de exportação de histórico operacional
Opção
Descrição
Formato
Selecionar o formato de saída do relatório. Os formatos disponíveis são HTML e CVS.
Mensagens atuais
Exportar todas as mensagens exibidas no guia Atividade de trabalho.
Erros em uma
data específica
Especificar uma data de exportação e todas as mensagens geradas nessa data.
Salvar o arquivo
Marcar a caixa de seleção para especificar o local de saída. Se não estiver selecionado, os relatórios
são salvos no local padrão, dentro do diretório GFI EventsManager.
GFI EventsManager
8 Relatórios | 168
Screenshot 125: Exemplo de relatório de histórico operacional
8.6.6 Gerar relatórios de visão geral da atividade
GFI EventsManager permite exportar os dados da Exibição geral da atividade. Relatórios gerais de
atividades fornecem as informações descritas a seguir:
Table 58: Cabeçalhos do relatório de visão geral da atividade
Título
Descrição
Data/hora
A data e a hora em que a mensagem foi gerada.
Máquina
Origem do evento que gerou a mensagem.
Origem
Fonte da operação que causa a geração da mensagem. As opções incluem:
EvtCollector – mensagem gerada durante a coleta de logs de evento
SNMP Traps Server – mensagem gerada durante a coleta SNMP Traps Messages
EnterpriseMaintenance – mensagem gerada durante os trabalhos de manutenção do banco
de dados.
ID de trabalho
Uma ID interna associadas ao trabalho.
Arquivo/nome do
log
Tipo de logs coletados. As opções incluem:
Aplicativo
Segurança
Relatórios gerados por outros aplicativos como GFI LanGuard e GFI EndPointSecurity
Mensagem
A mensagem que foi gerada durante a execução do trabalho.
Para exportar Exibição geral da atividade:
1. Clique em Status > Statistics.
Screenshot 126: Exibição geral da atividade: Botão de exportação
2. Clique em Export data.
GFI EventsManager
8 Relatórios | 169
Screenshot 127: Diálogo de visão geral da atividade
3. Configure as opções descritas e clique em Export.
Table 59: Opções exportar histórico operacional
Opção
Descrição
Formato
O formato de saída do relatório. Os formatos disponíveis são HTML e CVS.
Todas
Exportar todas as mensagens exibidas na Exibição geral da atividade.
A partir de uma data específica
Especificar uma data para exportar todas as mensagens geradas nessa
data.
Apenas computadores com erros/não verificados
Exportar somente dados de computadores com problemas de
verificação.
Incluir mensagens de erro
Selecionar esta opção para incluir a mensagem de erro gerada.
Salvar em arquivo
Exibir a exportação padrão local.
Screenshot 128: Exemplo de relatório de visão geral de atividade
GFI EventsManager
8 Relatórios | 170
Screenshot 129: Analisar relatórios
O sistema de relatórios do GFI EventsManager vem com ferramentas de análise e relatórios de
exportação. Quando um relatório é gerado, selecione-o na lista de relatórios gerados e use os
controles comuns que ajudam você na execução de comandos de análise de relatório comuns. As
ferramentas disponíveis são descritas abaixo:
Table 60: Analisar relatórios: Ferramentas
Opção
Descrição
Imprimir
Use a opção Print para exibir uma visualização da impressão, configurar as opções de impressão e
imprimir o relatório selecionado.
Abrir
Utilize o botão Open para abrir o relatório selecionado em um navegador. GFI EventsManager use o
navegador padrão para exibir relatórios em HTML.
Abrir o local do
arquivo
Open File Location permite acesso à pasta que contém o relatório para fins de backup ou arquivamento.
Exportar para
PDF
Use Export to PDF para exportar o relatório selecionado para Portable Document Format.
Excluir
Clique em Delete para remover um relatório gerado da lista.
GFI EventsManager
8 Relatórios | 171
GFI EventsManager permite criar colunas personalizada no diálogo Add Custom Columns. Este
diálogo permite especificar as condições, criar uma nova e adicionar as mesmas ao(s) seu(s) relatório
(s). Também baseado nas condições, esto diálogo permite relatórios personalizados existentes e
novos.
Para adicionar as colunas personalizadas:
1. Na guia Reporting > Actions, clique em Create Report.
2. Clique na guia Layout > Add Existing Column para adicionar as colunas predefinidas.
3. Clique em Add Custom Column para abrir o diálogo Add Custom Column.
Screenshot 130: Definir as condições da coluna personalizada
4. Na caixa de diálogo Add Custom Column, clique em Add.
5. Na caixa de diálogo Add Definition..., configure as opções descritas abaixo:
Table 61: Adicionar opções e definição de coluna
Opção
Descrição
Nome do
campo
Especificar um nome para o novo campo.
GFI EventsManager
8 Relatórios | 172
Opção
Descrição
Preço
fixo
Selecione o Fixed Value se o valor do campo novo for corrigido. Especifique um valor como nome do campo.
Por exemplo, para verificar se os eventos sempre ocorrem após as 17h00, especifique o valor de 17 como fixo
em vez de definir um horário e atribuir um valor de 17.
Coluna
especial
Colunas especiais são colunas predefinidas que podem ser utilizadas na sua condição.
Editar as
restrições
Esta seção permite adicionar, editar ou excluir as restrições do campo.
8.8.1 Relatórios de eventos de banco de dados diferentes
Para fins de relatório GFI EventsManager permite alternar entre diferentes bancos de dados. Use esse
recurso para informar sobre eventos que foram arquivados/exportados para análise posterior ou
armazenados em banco de dados diferentes.
Para alternar banco de dados:
1. Na guia Reports > Common Tasks, clique em Switch database.
2. Selecione o banco de dados a partir da lista de bancos de dados e clique em OK. Clique em Add…
para especificar um novo nome de banco de dados e o caminho relevante. Clique em Edit… para
editar a informação específica.
Modelos de relatórios HTML são personalizáveis, permitindo ainda mais ajustes no GFI EventsManager
para atender às suas necessidades diárias. Para editar os modelos disponíveis, é necessário
conhecimento de CSS e HTML.
GFI EventsManager
8 Relatórios | 173
Importante
Antes de editar o modelo de relatório padrão, salve uma cópia do original, de modo que
você possa facilmente voltar ao padrão para solucionar problemas.
Para editar o layout de relatórios em HTML:
1. Vá para o diretório de instalação GFI EventsManager:
%Program Files\GFI\EventsManager2012\Data\Templates\DefaultReportLayout
Screenshot 132: Editar modelos de relatório HTML
2. Na pasta DefaultReportLayout, edite os modelos descritos abaixo:
Table 62: Modelos HTML padrão
Modelo
Descrição
template_
group_new.html
Este modelo é usado para gerar relatórios que contenham dados sobre grupos de fontes. É possível
agrupar por usuários, fontes de dados de eventos e muito mais.
template_new.h- Use este modelo para gerar relatórios estatísticos e gráficos que não organizam os dados dentro dos
tml
grupos.
GFI EventsManager
8 Relatórios | 174
3. Em um editor de HTML, edite os seguintes elementos de modelos:
Table 63: Modelo HTML: Seções editáveis
Seção
Descrição
Logotipo do
relatório
Substituir o logotipo GFI EventsManager por um logotipo existente de sua escolha. Adicionar ou remover
completamente mais logotipos de relatórios.
Rótulos e
texto
Renomear e reposicionar rótulos de acordo com suas necessidades.
Marcadores
de posição
Embora você possa mover os marcadores de posição do relatório, com a renomeação o mecanismo de relatórios GFI EventsManagernão devolvem os dados respectivos.
Os marcadores de posição disponíveis são:
Table 64: Marcadores de posição do modelo de relatório HTML
Marcadores de posição
Descrição
{title}
Título do relatório.
{subtitle}
Subtítulo do relatório.
{description}
Descrição do relatório.
{creator}
Usuário que gerou o relatório.
{currentDate}
Data quando o relatório é gerado.
{sortBy}
Classificação de campo.
{dateRange}
Dados dos relatórios são coletados durante o período de tempo especificado.
{fullFilter}
Lista de conjunto de restrições de relatórios.
{startGroupHeaderBlock}
Início da seção de cabeçalho do bloco de repetição.
{headerLabel}
Nome do cabeçalho do grupo.
{headerValue}
Valor do cabeçalho do grupo.
{endGroupHeaderBlock}
Fim da seção de cabeçalho do bloco de repetição.
{startRepeatBlock}
Início da seção Corpo do bloco de repetição.
{tableHeaderCells}
A seção do cabeçalho da tabela de dados.
{tableRows}
A seção Corpo da tabela de dados.
{tableTotal}
Para gráficos. Contém a soma ou valor de contagem do campo calculado.
{chartTop}
Coloca o gráfico no início do relatório.
{chartBottom}
Coloca o gráfico no final do relatório.
{endRepeateBlock}
Fim da seção Corpo do bloco de repetição.
4. Salve o modelo de HTML e gere um relatório com o novo layout. Para obter mais informações,
consulte Gerar relatórios (página 161).
Obs.
Com as mesmas convenções HTML/CSS dos modelos HTML, você também pode criar seu
próprio modelo personalizado. Copie o modelo, renomeie e reutilize os mesmos
marcadores de posição.
GFI EventsManager
8 Relatórios | 175
9 Regras de processamento de eventos
Durante o processamento de eventos, GFI EventsManager executa um conjunto configuráveis de
regras comparado os logs coletados, a fim de classificar os eventos e disparar alertas/ações conforme
apropriado. Por padrão, GFI EventsManager vem com um conjunto preconfigurado de regras de
processamento de eventos que permitem controlar a rede através do log do computador - com
esforço de configuração insignificante. Você também pode personalizar essas regras predefinidas ou
criar regras adequadas às necessidades da sua organização.
176
178
181
186
191
192
Regras de processamento de eventos são verificações executadas nos logs de eventos coletados. De
acordo com as condições configuradas em uma regra, as regras de processamento de eventos ajudam
a:
Classify processed events - atribui uma classificação de gravidade aos logs coletados. Isso permite iniciar ações ou notificações quando um log com certa gravidade é processado. Por padrão,
os eventos são classificados por meio de cinco classificações principais, porém, outras classificações podem ser adicionadas
Filter out noise (repeated events) or unwanted events - remove os logs duplicados ou logs não
importantes e arquiva em arquivo morto somente os dados de eventos importantes. Isso reduz o
aumento do banco de dados e economiza espaço de armazenamento
Trigger Email, SMS e Network alerts on key events - envia notificações para os destinatários configurados mediante a detecção de certos eventos. É possível configurar uma regra de processamento de eventos para enviar notificações aos destinatários quando as condições da regra
são cumpridas
Attempt remedial actions - executa arquivos executáveis, comandos e scripts mediante a detecção de eventos específicos. Isso permite executar automaticamente ações corretivas para reduzir
ou eliminar completamente um problema detectado
Filter events that match specific criteria - remove logs de eventos que não são importantes
para você. Por exemplo, é possível executar uma regra que filtra eventos de baixa gravidade ou
duplicados
Archive filtered events - o arquivo morto de eventos é baseado na gravidade do evento e nas configurações das regras de processamento de eventos. Por exemplo, é possível configurar GFI
GFI EventsManager
9 Regras de processamento de eventos | 176
EventsManager para colocar em arquivo morto somente eventos críticos ou classificados com
maior gravidade e descartar todo o resto.
O gráfico abaixo ilustra o fluxograma das etapas de processamento de eventos realizados por GFI
EventsManager
Screenshot 133: Como funcionam as Regras de processamento de eventos
9.1.1 Classificação de evento
Classificação de eventos é baseada na configuração das regras que são executadas comparadas os
logs coletados. Eventos que não atenderem a nenhuma condição de classificação de eventos são
GFI EventsManager
marcados como não classificado. Eventos não classificados também podem ser usados para acionar
alerta e ações disponíveis para eventos classificados.
GFI EventsManager classifica os eventos nos níveis de importância padrão como Crítico, Alto, Médio,
Baixo e Ruídos (entradas de logs indesejados ou repetidos).
Em GFI EventsManager, as regras de processamento de eventos são organizadas em conjunto de
regras e cada regra definida pode conter uma ou mais regras especializadas que podem ser
executadas comparadas com os logs coletados.
Screenshot 134: Pasta de conjunto de regras e Conjuntos de regras
Conjuntos de regras também são organizados em pastas de conjunto de regras. Dessa forma, você
pode agrupar conjunto de regras de acordo com as funções e executar ações de acordo com as
respectivas regras. Por padrão, GFI EventsManager vem com pastas preconfiguradas, conjunto de
regras e normas de processamento de eventos que podem ser ainda mais personalizados em
atendimento às suas necessidades de processamento de eventos.
O tópico contém informações sobre:
Regras definidas disponíveis
Adicionar uma pasta de conjunto de regras
Renomear e excluir pastas de conjunto de regras
9.2.1 Regras definidas disponíveis
A tabela a seguir fornece as pastas de conjunto de regras disponíveis ao instalar GFI EventsManager.
Cada pasta de conjunto de regras contém vários conjunto de regras e/ou regras de processamento de
eventos:
GFI EventsManager
Table 65: Pastas de conjunto de regras disponíveis comuns
Pasta de conjunto de regras
Descrição
Eventos Windows
Contém regras adaptadas para servidores e estações de trabalho Windows ®; Incluindo:
Regras de redução de ruído
Requisitos de regras PCI DSS
Regras de segurança
Regras do estado do sistema
Regras de aplicativos de segurança
Regras do servidor de infraestrutura
Regras do servidor de banco de dados
Regras do servidor Web
Regras do servidor de impressão
Regras do GFI
Regras do terminal de serviços
Regras de servidor de email
Regras de replicação de arquivo
Regras do serviço de diretório
Regras personalizadas
Regras de relatórios
Regras de auditoria do SharePoint.
Logs de texto
Contém regras específicas para o processamento de protocolos de transferência de web. As opções
incluem:
Regras de HTTP
Regras de FTP
Regras de SMTP.
Mensagens Syslog
Contém regras específicas para o processamento de sistemas UNIX e LINUX. As opções incluem:
Regras de anfitriões Linux\Unix
Regras de redes Juniper
Regras Cisco PIX e ISA
Regras de gravidade
Regras IBM iSeries.
Interceptações
SNMP
Contém regras específicas para mensagens de Interceptação SNMP. As opções incluem:
Cisco IOS versão 12.1 (11) regras MIBs
Regras da Allied Telesis AT-AR-700 Family.
GFI EventsManager
Descrição
Auditorias SQL
Server®
Contém regras específicas para monitoramento de auditoria de SQL Server®. As opções incluem:
Regras de alteração de banco de dados
Regras de alterações de servidor
Regras de logon/logoff
Regras SQL Server®
Regras de acesso do banco de dados.
Auditorias Oracle
Contém regras adaptadas ao monitoramento de Auditoria de servidor Oracle. Entre outras coisas,
incluem:
Regras de alteração de banco de dados
Regras de alterações de servidor
Regras de logon/logoff
Alterações de regras de segurança.
Verificações de
monitoramento
Contém regras que permitem monitorar as mensagens de monitoramento ativo. Essas regras são referentes ao conjunto padrão de verificações de monitoramento. Verificações de monitoramento geram
logs de eventos. Esses logs de eventos podem ser processados por regras de processamento de eventos para desencadear uma ação ou notificação quando uma falha é detectada.
9.2.2 Adicionar uma pasta de conjunto de regras
Para criar uma nova pasta de conjunto de regras:
1. Clique na guia Configuration e selecione Event Processing Rules.
2. Em Common Tasks, selecione Create folder.
3. Especifique um nome exclusivo para a nova pasta de conjunto de regras.
Obs.
Para criar subpastas de conjunto de regras, clique com o botão direito na pasta
principal e selecione Create new folder...
9.2.3 Renomear e deletar uma pasta de conjunto de regras
Para renomear ou excluir as pastas de conjunto de regras já existentes, clique com o botão direito na
pasta alvo de conjunto de regras e selecione Rename ou Delete adequadamente.
Importante
Eliminar uma pasta de conjunto de regras causa a exclusão de todas as regras e
conjunto de regras contidas na pasta excluída.
GFI EventsManager
Para criar uma nova regra de processamento de eventos:
1. Clique na guia Configuration > Events Processing Rules.
Screenshot 135: Criar uma nova regra
2. Clique com o botão direito no conjunto de regras onde a nova regra será criada e clique em Create
new rule...
3. Especifique o nome e a descrição (opcional) da nova regra. Clique em Next (Avançar).
GFI EventsManager
Screenshot 136: Selecionar o log ao qual aplicar a regra
4. Selecione os logs de eventos aplicáveis à regra.
5. (Opcional) Clique em Add custom log... para inserir um log de eventos preconfigurado. Clique em
Next. Para obter mais informações, consulte Coletar eventos personalizados.
Obs.
Para SQL Audit, Oracle Audit, Syslogs, Logs de texto e mensagens de Interceptação
SNMP, especifique o caminho completo da pasta do objeto do log, por exemplo:
“C:\W3C\logs”.
GFI EventsManager
Screenshot 137: Configurar as condições da regra
Obs.
Obs.
Para filtrar os eventos que se referem a um usuário administrador (eventos com o
identificador de segurança SID que identifica uma sessão de administrador logon),
certifique-se de que, se a origem do evento é um membro do domínio, o controlador de
domínio também deve ser adicionado como uma origem de evento. Para obter mais
informações, consulte Criar um novo grupo de origem do evento.
GFI EventsManager
Screenshot 138: Selecionar a ocorrência e a importância do evento
7. Especifique a hora que a regra é aplicável. Exemplo: a qualquer momento, durante o horário de
trabalho ou fora do horário de trabalho. Horário de trabalho e fora do horário de trabalho baseiamse nos parâmetros de tempos operacionais configurados para suas origens de eventos. Para obter
mais informações, consulte Configurar a hora operacional da origem do evento.
8. Selecione a classificação (crítica, alta, média, baixa ou ruído) a ser atribuída aos eventos que
atendem às condições dessa regra. Clique em Next (Avançar).
GFI EventsManager
Screenshot 139: Selecionar a ação acionada.
9. Especifique quais ações deverão ser acionadas por esta regra e clique em Next. Ações disponíveis
são:
Table 66: Configurar as regras de processamento de novos eventos: Ações
Ação
Descrição
Ignorar o
evento
Selecionar esta opção para que GFI EventsManager ignore o acontecimento e não inicie nenhuma ação ou
notificação.
Usar ações
de classificação
padrão
Selecionar esta opção para usar a preconfigurada Default Classification Actions.
GFI EventsManager
Ação
Descrição
Usar o seguinte perfil
de ações
O perfil Arquivar todas é adicionado por padrão. Para criar um novo perfil:
1. No menu suspenso, selecione <Novo perfil de ação...>. Isso inicia o diálogo New Actions Profile....
2. Especifique o nome do novo perfil na caixa de texto Action Profile Name.
3. Selecione as ações que você deseja que o perfil execute. As seguintes ações estão disponíveis:
Arquivar o evento
Enviar alertas de email para
Enviar mensagem da rede para
Enviar mensagem SMS para
Executar arquivo
Enviar mensagem SNMP
Analisar o computador
Executar verificações no computador.
Obs.
Se Executar verificações estiver selecionado no computador, certifique-se de que monitoramento
de processamento de verificações esteja ativado no computador. Para obter mais informações,
consulte Configurar o monitoramento da origem do evento.
4. Para cada ação selecionada, clique em Configure para configurar os parâmetros.
Obs.
Atribuir a nova(s) regra(s) às origens de eventos. Para obter informações sobre como
coletar logs de eventos e processá-los usando as regras de processamento de eventos
especificada, consulte Coletar logs de eventos.
GFI EventsManager permite criar novas regras com base nas informações de eventos existentes.
Para criar uma nova regra a partir de um evento existente:
1. No Events Browser, localize o log de eventos que deseja basear a regra.
GFI EventsManager
Screenshot 140: Criar uma regra a partir de um evento existente
2. Clique com o botão direito no evento e selecione Create rule from event.
GFI EventsManager
Screenshot 141: Nova regra do evento - Configurações gerais
3. Especifique um nome exclusivo e uma descrição opcional para a nova regra.
4. No menu suspenso The rule applies if the event happens, selecione a hora em que a regra é
aplicável. Selecionar em:
A qualquer hora do dia
Durante o horário operacional normal
Fora do horário operacional normal.
Obs.
Para obter mais informações, consulte Configurar a hora operacional da origem do
evento.
5. No painel Classify the event as selecione o nível de classificação que você deseja atribuir ao
evento quando ele é gerado.
GFI EventsManager
Screenshot 142: Nova regra de evento - Selecione logs a coletar
6. Na guia Event Logs, selecione o log que deseja coletar. Para adicionar log personalizado, clique em
Add custom log..., especifique o nome do log personalizado e clique em OK.
Obs.
Para obter mais informações, consulte Coletar logs personalizados.
GFI EventsManager
Screenshot 143: Nova regra de evento - Adicionar condições
7. Clique na guia Conditions.Clique em Add para selecionar um campo que definirá as condições da
consulta. No campo selecionado, especifique o Field Operator e o Field Value. Clique em OK.
Obs.
8. Clique na guia Actions e selecione a ação a ser executada quando a regra for acionada. As opções
disponíveis são descritas abaixo:
Table 67: Ações da regra de processamento de eventos disponíveis
Opção
Descrição
Ignorar o evento
Ignora o evento até que uma nova instância do evento seja gerada.
Usar ações de classificação padrão
Use as ações definidas em Classificação de Ação Padrão. Para obter mais informações, consulte
Configurar ações de classificação padrão.
Usar o seguinte perfil
de ações
No menu suspenso, selecione um perfil ou <Novo perfil de ação> e clique em Edit para configurar o seu perfil de ação.
9. Clique na guia Threshold e configure o valor limite do evento. Por exemplo, o número de vezes que
um evento deve ser detectado antes de disparar alertas e ações corretivas. Isso ajuda a reduzir falsos
positivos provocados pelo ruído (eventos repetidos) nos logs de eventos.
GFI EventsManager
GFI EventsManager permite que os administradores de sistemas configurem os parâmetros de
filtragem de evento avançado. Essas opções estarão disponíveis somente para os logs de eventos e
Syslogs Windows®. Consulte as seções a seguir para obter informações sobre:
Windows® parâmetros de filtragem de eventos
Parâmetros de filtragem de syslog
9.5.1 Windows® parâmetros de filtragem de eventos
O campo Events IDs: permite que os administradores de sistemas configurem os parâmetros descritos
na tabela a seguir:
Table 68: parâmetros de filtragem de eventoWindows®: Campo de ID do evento
Parâmetro
Descrição
Eventos únicos
Lista de eventos
Intervalo de eventos
Combinação de eventos
A Source Category e User fields permitem que os administradores de sistemas configurem os
parâmetros descritos na tabela a seguir:
Table 69: parâmetros de filtragem de eventos Windows®: Campos de origem, Categoria e Usuário
Parâmetro
Descrição
Nome de origem única
Lista de origens
Caracteres curinga (% and *)
9.5.2 Parâmetros de filtragem de syslog
Os campos Message e Process permitem que os administradores de sistemas configurem os
parâmetros descritos na tabela a seguir:
Table 70: Parâmetros de filtragem syslog: Campos de Mensagem e Processo
Parâmetros
Descrição
Uma mensagem
Lista de mensagens
Caracteres curinga (% and *)
GFI EventsManager
Regras de processamento de eventos são executadas por ordem de prioridade. Para alterar a ordem
de execução:
1. Na guia Configuration Events Processing Rules > Rule Folders, expanda uma pasta de conjunto de
regras.
2. No painel direito, clique com o botão direito em uma regra e selecione Increase priority ou
Decrease priority conforme apropriado. Como alternativa, selecione uma regra e pressione Ctrl+Up
para aumentar, ou Ctrl+Down para diminuir a prioridade.
GFI EventsManager
10 Monitoramento ativo
Logs de eventos são úteis para controlar diferentes aspectos operacionais dos dispositivos,
computadores e servidores mas, em muitos casos, os usuários precisam fazer mais do que registrar
para inspecionar esta atividade em detalhes. Para reduzir o problema, GFI EventsManager usa a
Verificações de monitoramento ativo. Verificações de monitoramento ajudam você a detectar
automaticamente falhas ou irregularidades para que identificar e corrigir proativamente problemas
inesperados.
GFI EventsManager vem com um conjunto de verificações predefinidas, voltado especificamente para
os sistemas operacionais Windows®, sistemas operacionais Linux/Unix, dispositivos de SNMP e
protocolos e serviços de rede/Internet.
Este capítulo apresenta informações sobre gerenciamento, criação e uso da verificação de
monitoramento ativo.
193
195
199
204
210
212
Uma verificação de monitoramento é uma regra preconfigurada, vinculada a um componente do
sistema ou atividade de operação, como o uso da CPU ou solicitações de Ping, que são usadas para
verificar a disponibilidade do sistema. O monitoramento ativo verifica continuamente as fontes de
evento digitalizadas para determinar se as condições de parâmetros configuradas estão sendo
atendidas.
Se uma verificação de monitoramento falha ou tem êxito, é gerado um log de evento a partir do
computador digitalizado. O GFI EventsManager atribui uma classificação de gravidade ao log de
eventos gerados.
Uma regra de processamento de evento pode ser criada a partir do log de eventos criado. Regras de
processamento de eventos podem disparar automaticamente alertas, executar verificações adicionais
e executar scripts/aplicações para corrigir o problema que gerou o log.
GFI EventsManager
10 Monitoramento ativo | 193
Screenshot 144: Como funciona a verificação de monitoramento ativo
Exemplo
Você configura uma verificação de monitoramento para gerar um log de evento quando um espaço
livre do disco rígido do computador atinge o limite preconfigurado. Para isso:
GFI EventsManager
1. Quando o limite é alcançado e a verificação de monitoramento gera um evento, localize isto no
Navegador de evento e crie uma regra de processamento de evento baseada nisto. Para obter mais
informações, consulte Criar novas regras a partir de eventos existentes.
2. Configure as condições da nova regra de processamento de eventos para ignorar eventos não
relacionados. Para obter mais informações, consulte: Criar novas regras de processamento de
eventos
3. Configure a nova regra para disparar um alerta ou uma ação para solucionar o problema. Para
obter mais informações, consulte Configurar ações de classificação padrão.
Screenshot 145: Estrutura da pasta raiz e da subpasta
Verificações são organizadas em pastas raiz e subpastas. Objetos herdam as configurações da pasta
principal. Isso permite que você configure simultaneamente um número de verificações de
monitoração.
Uma pasta raiz é a pasta principal que pode conter um conjunto de subpastas e monitoramento ativo.
Cada objeto filho de uma pasta raiz herda as mesmas configurações. Isso permite a configuração
rápida de várias verificações de monitoramento e subpastas.
Para criar uma nova pasta raiz:
1. Na guia Configuration > Active Monitoring > Common Tasks, clique em Create root folder. Isto
abre o diálogo Folder properties.
GFI EventsManager
2. Especifique um nome exclusivo e uma descrição opcional nos campos Name e Description.
GFI EventsManager
3. Clique na guia Target computers e selecione as origens do evento. Monitoramento ativo
adicionado à nova pasta é aplicado às origens do evento selecionado.
4. Na guia Schedule estabeleça o intervalo de tempo para GFI EventsManager executar as
verificações de monitoramento nas origens do evento selecionado. O padrão do intervalo para
monitorar a verificação é de 5 segundos.
GFI EventsManager
Obs.
Mesmo diante de falha ou êxito do Monitoramento ativo, o computador que executa a
verificação gera um log de evento. Esse log de evento pode ser processado com regras
de processamento de eventos que podem acionar alertas ou executar scripts/aplicativos
de operações de recuperação. Para obter mais informações, consulte Criar novas regras
a partir de eventos existentes.
5. Na guia Action events, configure quando os logs de eventos devem ser gerados e como GFI
EventsManager deve classificar os eventos gerados.
As opções disponíveis são descritas na tabela a seguir:
Opção
Descrição
Generate an audit event from this
machine/device when the check
GFI EventsManager permite gerar logs de eventos após a origem do evento
ser verificada quanto a irregularidades. No menu suspenso, selecione:
Fails - gera um log de evento quando as condições da verificação
falham
Succeeds - gera um log de evento quando as condições da verificação
têm êxito
Fails or Succeeds - gera um log de evento sempre que uma verificação é executada nas origens de eventos específicos.
Contínuo
GFI EventsManager
Gera um log de evento sempre quando as condições da verificação falham/têm êxito/ambas.
Opção
Descrição
Somente uma vez
Gera um log de evento na primeira vez em que as condições da verificação
falham/têm êxito/ambas.
A cada {X} minutos
Gera um log de evento no espaço de minutos determinado.
A cada {X} mensagens
Gera um log de eventos no espaço de mensagens determinado. Por exemplo, se você digitar 10, apenas um log de eventos é gerado a cada 10 vezes
para verificar falha/êxito/ambos.
Quando a verificação muda de estado, é
gerado um evento de auditoria nesta
máquina/dispositivo
Gera um log de evento quando as alterações mudam o estado de Falha para
Êxito ou vice-versa.
Gravidade da falha
Selecione a classificação de gravidade que GFI EventsManager atribui ao log
de evento de uma verificação de falha do sistema.
Gravidade do êxito
de eventos de uma de verificação de sucesso do sistema.
6. Clique em OK.
Subpastas são usadas para subdividir um grupo de verificações de monitoração que compartilham
algumas propriedades comuns, mas podem ser (por exemplo) voltadas para os diferentes tipos de
origem do evento.
Para adicionar uma nova subpasta:
1. Em Configuration > Active Monitoring > Monitoring checks, clique com o botão direito em uma
pasta raiz/subpasta e selecione Create new folder.
2. Na guia General, digite um nome para a nova pasta e uma descrição opcional.
GFI EventsManager
Obs.
Selecione Inherit from parent para usar as mesmas configurações da pasta principal.
3. Clique na guia Target computers e selecione origens de eventos. Monitoramentos ativos
adicionados a essa nova pasta são aplicados às origens dos eventos selecionados
GFI EventsManager
Obs.
4. Na guia Schedule, defina o intervalo para GFI EventsManager executar as verificações de
monitoramento das origens do evento selecionado. O padrão do intervalo para monitorar a
verificação é de 5 segundos.
GFI EventsManager
Obs.
Mesmo diante de falha ou êxito do Monitoramento ativo, o computador que executa a
verificação gera um log de evento. Esse log de evento pode ser processado com regras
de processamento de eventos que podem acionar alertas ou executar scripts/aplicativos
de operações de recuperação. Para obter mais informações, consulte Criar novas regras
a partir de eventos existentes.
Obs.
5. Na guia Action events, configure quando os logs de eventos devem ser gerados e como GFI
EventsManager deve classificar os eventos gerados.
GFI EventsManager
Opção
Descrição
falham
têm êxito
Contínuo
Somente uma vez
A cada {X} minutos
Gravidade da falha
Gravidade do êxito
6. Clique em OK.
GFI EventsManager
Para criar uma nova verificação de monitoramento ativo:
Screenshot 154: Criar uma nova verificação de monitoramento ativo
1. Clique em Configuration > Active Monitoring.
2. Clique com o botão direito na pasta raiz/subpasta onde você deseja que a nova verificação de
monitoramento seja salva e selecione Create new check.
GFI EventsManager
Screenshot 155: Selecionar o tipo de verificação
3. Selecione o tipo de verificação e clique em Next.
Screenshot 156: Configurar propriedades gerais de verificação
4. Especifique um nome exclusivo e uma descrição opcional nos campos Name e Description.
5. Na caixa de texto Consider this monitoring check as fail after {X} errors especifique o número de
erros que podem ocorrer antes que as novas verificações sejam classificadas como Failed.
GFI EventsManager
6. Marque/desmarque Enable/disable this check, para ativar/desativar a nova verificação de
monitoramento. Clique em Next (Avançar).
Screenshot 157: Configurar parâmetros da verificação de monitoramento
7. Configure os parâmetros que precisam ser verificados e clique em Next.
Obs.
Esta etapa é diferente em cada tipo de verificação diferente selecionada na etapa 3.
GFI EventsManager
Screenshot 158: Selecionar as origens afetadas
Obs.
8. Na lista de origem do evento, selecione o computador a ser monitorado com esta nova verificação.
Clique em Next (Avançar).
GFI EventsManager
Screenshot 159: Definir o intervalo de tempo da verificação
Obs.
9. Configure o agendamento do intervalo para a nova verificação. Por padrão, a verificação verifica a
origem selecionada uma vez a cada 5 segundos.
GFI EventsManager
Screenshot 160: Configurar as ações do log de eventos
Obs.
10. A verificação de monitoramento gera um log de evento independentemente de falha ou êxito. Em
Action events, quando os logs de eventos são gerados e como GFI EventsManager classifica os logs
gerados.
Opção
Descrição
falham
têm êxito
Contínuo
Somente uma vez
A cada {X} minutos
GFI EventsManager
Opção
Descrição
Gravidade da falha
Gravidade do êxito
11. Clique em Finish.
Monitoramento ativo pode ser aplicado nas origens de eventos individuais ou grupos de origens de
eventos. Origem do evento pode ser selecionada em cada verificação ou na pasta raiz. Configurar as
definições na pasta permite que as verificações herdem as mesmas configurações de origem do
evento.
Para atribuir uma verificação de monitoramento preconfigurada:
1. Acesse Configuration > Active Monitoring.
2. Clique com o botão direito na verificação/pasta de monitoramento a ser atribuída à origem do
evento e selecione Properties.
Screenshot 161: Guia de computadores alvo
3. Na guia Target computers, selecione a origem do evento ou grupo de origens de eventos.
4. Clique em OK.
GFI EventsManager
Obs.
GFI EventsManager
Para excluir uma pasta/verificação de monitoramento:
1. Acesse Configuration > Active Monitoring.
Screenshot 162: Excluir verificações de pastas e de monitoramento
2. Na seção Monitoring checks, clique com o botão direito na pasta/monitoramento marcado para
ser excluído e selecione Delete.
Importante
Excluir uma pasta raiz (pasta principal), exclui também todo o conteúdo. Certifique-se
de excluir apenas os itens indesejados.
GFI EventsManager
11 Ações de alertas e padrão
Este capítulo fornece informações sobre os métodos de alerta disponíveis e como configurar cada um
de acordo com suas necessidades. Durante o processamento do evento, GFI EventsManager executa
automaticamente ações e dispara alertas sempre que eventos específicos são encontrados.
213
215
Com os parâmetros de configuração previstos nas ações de classificação padrão, é possível disparar
alertas e ações baseadas apenas na classificação do evento. Exemplo: parâmetros de classificação
padrão podem ser configurados para disparar alertas de emails para todos os eventos classificados
(crítico, alto, médio e baixo), mas arquivar apenas eventos críticos.
Screenshot 163: Configurar ações de classificação predefinidas
Para configurar as ações de classificação predefinidas:
1. Na guia Configuration > Options, clique com o botão direito no nó Default Classification Actions e
Edit defaults…
GFI EventsManager
11 Ações de alertas e padrão | 213
Screenshot 164: Caixa de diálogo ações de classificação padrão
2. No menu suspenso, selecione a classificação de evento a ser configurado.
3. Na lista Action, selecione a ação a ser disparada e clique em Configure. As ações disponíveis são:
Table 74: Ações de classificação padrão
Ação
Descrição
Arquivar o
evento
Arquivos de eventos sem processamento adicional.
Enviar alertas
de email para
Clique em Configure e selecione os destinatários.
OBSERVAÇÃO
Certifique-se de que os usuários tenham um endereço de email válido configurado. Para obter
mais informações, consulte Gerenciar contas de usuários.
Enviar mensagens de rede
para:
Enviar mensagem SMS para
OBSERVAÇÃO
Certifique-se de que os usuários tenham um nome de computador/IP configurado válido. Para
obter mais informações, consulte Gerenciar contas de usuários.
OBSERVAÇÃO
Certifique-se de que os usuários tenham um número de celular válido configurado. Para obter
mais informações, consulte Gerenciar contas de usuários.
GFI EventsManager
Ação
Descrição
Executar
arquivo
Clique em Configure e selecione o arquivo para executar e especifique os parâmetros de linha de
comando para passar para o arquivo. Arquivos suportados incluem:
Scripts VB - *.VBS
Arquivos em lotes - *.BAT
Arquivos executáveis - *.EXE
Enviar mensagem SNMP
Analisar o computador
GFI EventsManager repete a auditoria do computador.
Executar verificações do computador
Clique em Configure, selecione as verificações de monitoramento desejadas quando a ação é
desencadeada.
Obs.
Monitoramento ativo é aplicado às origines de eventos correspondentes, selecionados na guia
computadores alvo. Para obter mais informações, consulte Criar e configurar as verificações de
monitoramento ativo
Obs.
Certifique-se de que o processamento da verificação de monitoramento esteja habilitado ou a
verificação será descartada. Para obter mais informações, consulte Configurar o monitoramento
da origem do evento.
Obs.
Executar ações padrão em eventos classificados como Low pode causar grande tráfego
na rede quando alertas de email, SMS, rede ou SNMP estão ativados. Isso também pode
ser problemático quando o arquivamento estiver ativado em eventos de pouca
importância.
Opções de alerta permitem configurar quando os alertas devem ser disparados quando um
determinado evento é encontrado. Por exemplo, é possível configurar GFI EventsManager para enviar
um alerta de email e de SMS para um ou mais destinatários quando um evento Critical é processado.
Configurar alertas de email
Configurar alertas de rede
Configurar alertas de SMS
Configurar alertas de Interceptação SNMP
Configurar configurações gerais
Para configurar as opções de alertas:
GFI EventsManager
Screenshot 165: Configurar Opções de Alerta
1. Clique na guia Configuration > Options, clique com o botão direito em Alerting Options e selecione
Edit alerting options...
Obs.
Selecione Editar destinatários de alertas para configurar os detalhes de contato dos
destinatários de alerta e para gerenciar contas de usuário. Para obter mais
informações, consulte Gerenciar contas de usuários.
2. Configure o método de alerta de sua escolha. As seções a seguir descrevem como configurar:
GFI EventsManager
11.2.1 Alertas de email
Screenshot 166: Configurar opções de email
Para configurar alertas de email:
1. Na caixa de diálogo Opções de alerta, clique na guia Email.
2. Configure as opções descritas abaixo:
Table 75: Diálogo Opções de Alertas - Alertas de email
Opção
Descrição
Adicionar/Remover/Editar
Clique em Add… para especificar os detalhes do servidor de email, incluindo o nome /IP do
servidor, credenciais de logon e endereço de email do destinatário. Use o botão Remove
ou Edit para remover um determinado servidor ou editar seus detalhes.
Botões de setas para
cima/para baixo
Use os botões de seta para alterar a posição do servidor de email selecionado. O GFI
EventsManager tenta enviar alertas de email através do primeiro servidor de email. Se não
bem sucedido, verifica recursivamente os seguintes servidores de email.
Enviar alertar de email
como texto Unicode
Selecionar esta opção para enviar e-mails como texto Unicode e não com formatação HTML
ou RTF.
Formatar mensagem de
email
No menu suspenso Formatar mensagem de email também é possível selecionar o tipo de
log (Windows®, Logs de texto, Syslog) e personalizar o conteúdo do email.
GFI EventsManager
11.2.2 Alertas de rede
Screenshot 167: Configurar opções da rede
Para configurar alertas de rede:
1. Na caixa de diálogo Opções de alerta, clique na guia Network.
2. No menu suspenso Format network message..., selecione o tipo de log e personalize o formato da
mensagem.
Screenshot 168: Configurar alertas de rede: Formatar mensagem
3. Clique em Insert tag para selecionar em uma lista as guias para incluir na mensagem.
4. Clique em Save e OK
GFI EventsManager
11.2.3 Alertas de SMS
Screenshot 169: Configurar opções de SMS
Para configurar alertas de SMS:
1. Na caixa de diálogo opções de alerta, clique na guia SMS.
Table 76: Caixa de diálogo opções de alerta: SMS
Opção
Descrição
Selecionar SMS
Selecionar o serviço SMS usado para enviar alertas de SMS. Serviços disponíveis
incluem:
Servidor integrado GSM SMS
Modelo de provedor de serviço FaxMaker SMS
Serviços Clickatell Email 2SMS
Modelo de provedor de serviços de SMS genérico.
Configurar propriedades do sistema SMS selecionado
Configurar as propriedades para o tipo de serviço SMS selecionado. Dentre outras, as
propriedades de configuração incluem:
Número do centro de serviço
Porta COM
Taxa de Transmissão
Servidor SMTP
Porta SMTP.
Clique em Edit… para configurar as propriedades selecionadas.
Formatar mensagem de SMS
GFI EventsManager
No menu suspenso Format Email Message, selecione o tipo de log (Windows®, Logs
de texto, Syslog) e personalize o conteúdo do email.
11.2.4 Alertas SNMP
Para configurar alertas SNMP:
Screenshot 170: Configurar alertas SNMP
1. Na caixa de diálogo Alerting Options, clique na guia SNMP.
Table 77: Opções de alertas: Interceptação SNMP
Opção
Descrição
Especificar o endereço IP do qual
as notificações serão enviadas de
SNMP
Inserir o endereço IP do destinatário.
Especificar a(s) porta(s) a serem usa- Especificar a porta de comunicação de TCP/UDP. Por padrão, a porta atribuída é
das para enviar alertas SNMP
a 162.
Formatar mensagem SNMP
No menu suspenso Formatar mensagem de email também é possível selecionar o
tipo de log (Windows®, Logs de texto, Syslog) e personalizar o conteúdo do email.
11.2.5 Configurações gerais
Para configurar as configurações de alertas gerais:
1. Na caixa de diálogo Alerting Options, clique na guia General.
2. Configure as opções descritas abaixo e clique OK:
GFI EventsManager
Table 78: Opções de alertas: Configurações gerais
Opção
Descrição
Enviar alertas de
email de erros de
banco de dados
Alertas de email são enviados de acordo com os erros de banco de dados, tais como falha de
backup, corrupção de dados, tamanho excedente ao máximo especificado e outros erros de
operação de banco de dados.
GFI EventsManager
12 Grupos de usuários
Este capítulo fornece informações relacionadas à criação e ao gerenciamento de grupos e usuários.
No nó Usuários e Grupos, os usuários e grupos podem ser criados e alertas, horário de trabalho e
outras propriedades específicas podem ser atribuídas à cada usuário e grupo, enquanto direitos de
acesso a diferentes consoles podem ser atribuídos para cada usuário no Segurança do console e
Opções de auditoria.
222
229
236
GFI EventsManager cria automaticamente uma conta EventsManagerAdministrator. No entanto, você
ainda pode configurar as propriedades de ações, tais como notificações de endereços e segurança de
conta.
Obs.
GFI EventsManager requer um endereço de email do administrador para distribuir os
alertas automáticos quando determinados eventos são descobertos.
Para configurar a conta do administrador GFI EventsManager:
1. Na guia Configuration > Options, expanda Users and Groups > Users.
GFI EventsManager
12 Grupos de usuários | 222
Screenshot 171: Configurar a conta EventsManagerAdministrator
2. No painel direito, clique com o botão direito em EventsManagerAdministrator e clique em
Properties.
GFI EventsManager
Screenshot 172: Propriedade EventsManagerAdministrator
3. Na guia General, especifique:
Um nome de usuário do administrador da conta GFI EventsManager
(Opcional) Uma descrição da conta
Um endereço de email válido para distribuição de alerta de email
Um número de celular válido para distribuição de alerta de SMS
Nomes/IP de computador válidos para distribuição de alertas de rede.
GFI EventsManager
Screenshot 173: Configurar horário de trabalho normal do usuário
4. Clique na guia Working Hours e especifique o horário de trabalho normal do administrador.
Intervalos de tempo marcados são considerados horário de trabalho.
GFI EventsManager
Screenshot 174: Configurar alertas fora do horário de trabalho
5. Clique na guia Alerts e selecione os alertas enviados dentro e fora do horário de trabalho. Como
opção, selecione Send daily report via email at e especifique a hora para enviar um email com a
atividade diária.
GFI EventsManager
Screenshot 175: Selecionar o grupo ao qual a conta do usuário pertence
6. Clique na guia Member Of e selecione os grupos de notificação ao qual o usuário pertence. Por
padrão, o administrador é um membro do grupo de notificações EventsManagerAdministrators.
GFI EventsManager
Screenshot 176: Configurar os privilégios da conta do usuário
7. Clique na guia Privileges para editar os privilégios de usuário. Por padrão, a conta
EventsManagerAdministrator possui privilégios completos de acesso e não pode ser modificada.
GFI EventsManager
Screenshot 177: Filtragem de conta de usuário
8. Clique na guia Filter para editar o que o administrador pode ver no console de gerenciamento. Por
padrão, essa guia está desativada na conta EventManagerAdministartor.
GFI EventsManager permite criar uma lista personalizada de usuários que você possa organizar em
grupos para acelerar as tarefas administrativas.
Criar nova conta de usuário
Alterar as propriedades da conta de usuário
Excluir uma conta de usuário
12.2.1 Criar uma nova conta de usuário
Para criar um novo usuário:
1. Na guia Configuration > Options, expanda o nó Users and Groups.
GFI EventsManager
Screenshot 178: Criar um novo usuário
2. Clique com o botão direito no sub-nó Users e selecione Create user...
Screenshot 179: Criar um novo usuário - Propriedades gerais
GFI EventsManager
3. Na guia General, especifique:
O nome de usuário para a conta do usuário
(Opcional) Uma descrição da conta
Um endereço de email válido para distribuição de alerta de email
Um número de celular válido para distribuição de alerta de SMS
Nomes/IP de computador válidos para distribuição de alertas de rede.
Screenshot 180: Criar um novo usuário - Horário de trabalho
4. Clique na guia Working Hours e especifique o horário de trabalho normal do novo usuário.
Intervalos de tempo marcados são considerados horário de trabalho.
GFI EventsManager
Screenshot 181: Criar um novo usuário - Opções de alerta
5. Clique na guia Alerts e selecione os alertas enviados dentro e fora do horário de trabalho. Como
opção, selecione Send daily report via email at e especifique a hora para enviar um email com a
atividade diária. Para obter mais informações, consulte Ações de alertas e padrão (página 213).
GFI EventsManager
Screenshot 182: Criar um novo usuário - Selecionar os grupos de notificações
6. Clique na guia Member Of e clique em Add. Selecione os grupos de notificação ao qual o usuário
pertence e clique em OK.
GFI EventsManager
Screenshot 183: Criar um novo usuário - Privilégios
7. Clique na guia Privileges para definir os privilégios do usuário. Por padrão, a nova conta de usuário
possui apenas privilégios de leitura.
GFI EventsManager
Screenshot 184: Opções de filtragem de usuário
8. Clique na guia Filter para configurar quais usuários têm permissão para exibir o console de
gerenciamento. A tabela a seguir descreve as opções disponíveis:
Table 79: Opções de filtragem de usuário
Opção
Descrição
Origens
do evento
GFI EventsManager fornece um conjunto de condições preconfiguradas para filtragem de origens de eventos. Selecione as origens do evento que você deseja que esteja visível para este usuário.
Privilégios
totais
Clique em Advanced... para abrir o diálogo Advanced Filtering. Este diálogo permite criar suas próprias
condições para filtragem granular, permitindo a filtragem de eventos que contenham atributos específicos.
Para adicionar uma condição:
1. Na caixa de diálogo Advanced Filtering, clique em Add e selecione um campo da lista. Exemplo:
Formatos de Data, Importância, Log.
2. No campo selecionado, selecione um operador no menu suspenso Field operator. Exemplo: Igual a,
Menor que, Maior que.
3. Especifique um valor para o operador na caixa de texto Field value.
4. Clique em OK.
5. Repita as etapas 1 a 4 para adicionar mais de um nome no campo.
Obs.
Para obter mais informações, consulte Definir restrições de consultas.
12.2.2 Alterar as propriedades da conta de usuário
Para editar propriedades do usuário:
2. No sub-nó Users, clique com o botão direito e selecione Properties.
GFI EventsManager
3. Faça as alterações necessárias nas guias disponíveis e clique em OK.
12.2.3 Excluir uma conta de usuário.
Para excluir um usuário:
1. Na guia Configuration > Options, expanda o nó Users and Groups e selecione Users.
2. No painel direito, clique com o botão direito em um usuário e selecione Delete.
GFI EventsManager permite atribuir usuários a um grupo. Quando as propriedades do grupo são
configuradas, cada membro do grupo herda as mesmas configurações.
Criar um novo grupo
Alterar propriedades do grupo
Excluir um grupo
12.3.1 Criar um novo grupo
Para criar um novo grupo de usuários:
Screenshot 185: Criar um novo grupo de usuários
2. Clique com o botão direito no sub-nó Groups e selecione Create group...
GFI EventsManager
3. Especifique o nome e uma descrição opcional para o novo grupo.
4. Clique em Add para adicionar usuários ao grupo.
GFI EventsManager
5. Na guia Privileges, selecione se o grupo tem permissões Full ou Read Only.
12.3.2 Alterar as propriedades do grupo
Para editar as configurações de um grupo de usuários:
2. No painel direito, clique com o botão direito no grupo a ser configurado e selecione Properties.
3. Execute as alterações necessárias nas guias disponíveis e clique em OK.
12.3.3 Excluir um grupo
Para excluir um grupo de usuários:
2. Clique com o botão direito no grupo a ser excluído e selecione Delete.
GFI EventsManager
13 Console de opções de segurança e de auditoria
O console de opções de segurança e de auditoria permitem proteger GFI EventsManager de acesso
não autorizado ou mal-intencionado. As opções de auditoria oferecidas permitem monitorar
corretamente a atividade doGFI EventsManager.
239
242
245
246
Quando o sistema de logon está ativado, todos os usuários são solicitados a especificar as suas
credenciais toda vez que o console de gerenciamentoGFI EventsManager é aberto.
Obs.
Antes de fazer o logon no sistema, você deve definir as configurações do servidor de
email. Para obter mais informações, consulte Configurar Opções de alertas.
Para ativar o sistema de logon:
1. Na guia Configuration > Options expanda Console Security and Audit Options.
GFI EventsManager
13 Console de opções de segurança e de auditoria | 239
Screenshot 188: Editar opções de segurança do console
2. Expanda o nó Console Security and Audit Options, clique com o botão direito no nó Security
Options e selecione Edit security options….
GFI EventsManager
Screenshot 189: Ativar o sistema de logon EventsManager
3. Selecione Enable EventsManager logon system para ativar o logon.
Obs.
Para configurar ou editar senhas de usuário, vá para a guia Configuration > Users and
Groups >Users, clique com o botão direito na conta de usuário e selecione Change
Password.
Importante
Quando o sistema de logon está ativado, os usuários devem fazer o logon no console
especificando o nome de usuário e senha e devem ter um endereço de email configurado
válido para recuperar senhas perdidas. Para obter mais informações, consulte Gerenciar
contas de usuário.
13.1.1 Recuperação de senha
Quando o sistema de logon GFI EventsManager está ativado, todos os usuários devem inserir um nome
de usuário e senha válidos para acessar o console de gerenciamento.
GFI EventsManager
Screenshot 190: Pedido de credenciais de logon
Caso uma senha seja esquecida ou perdida:
1. Digite seu nome de usuário.
2. Clique no link Forgot your password? GFI EventsManager enviará um email contendo sua senha de
logon para o endereço de email fornecido durante a configuração da conta de usuário.
Em alguns países, as leis de privacidade consideram ilegal não criptografar informações pessoais
recuperadas por aplicativos de monitoramento para proteção de privacidade. O GFI EventsManager
permite criptografar dados pessoais ao exportar e/ou exibir os logs de eventos.
Ativar a opção de anonimato para criptografar os dados pessoais. O painel Navegador de eventos e
Painel podem reconhecer essas informações e não exibi-las. Em vez disso, eles exibem
<criptografado> ou mensagens Anonymized data.
Para configurar o anonimato:
GFI EventsManager
Screenshot 191: Ativar o console de anonimato
1. Na guia Configuration > Options, expanda o nó Console Security and Audit Options, clique com o
botão direito em Anonymization e clique em Edit anonymization options…
GFI EventsManager
Screenshot 192: Opções de anonimato
2. Selecione Enable Anonymization e digite a senha criptografada.
3. (Opcional) Selecione Use a secondary protection key para usar duas senhas de criptografia de log
de evento. Logs de eventos só podem ser descriptografados com duas senhas de descriptografia.
Obs.
Quando a opção de anonimato estiver ativada, os dados pessoais ficam ocultos em:
Quaisquer visualizações de Status (Geral, Atividade de trabalho e Estatísticas)
Navegador de eventos
Relatórios
Logs de eventos exportados/arquivados (é possível remover a opção de anonimato
ao importar os logs exportados).
GFI EventsManager
GFI EventsManager pode salvar atividade do console nos logs externos. Para configurar a auditoria da
atividade do console:
Screenshot 193: Ativar a auditoria da atividade do usuário do console
1. Na guia Configuration > Options, expanda o nó Console Security and Audit Options.
2. Clique com o botão direito em Audit Options e selecione Edit audit options….
GFI EventsManager
Screenshot 194: Diálogo de opções de auditoria
3. Selecione a opção Audit all the actions done by users e especifique o local onde os arquivos de
saída serão salvos.
Credenciais de descoberta automática são usadas por GFI EventsManager para fazer logon nas
máquinas de destino e coletar informações ao realizar uma busca automática de origens de eventos.
Para configurar as credenciais de descoberta automática:
GFI EventsManager
Screenshot 195: Configurar credenciais de descoberta automática
1. Na guia Configuration > Options, expanda o nó Console Security and Audit Options.
2. Clique com o botão direito em Auto-discovery credentials e selecione Edit auto-discovery
credentials.
GFI EventsManager
Screenshot 196: Especificar credenciais de descoberta automática
3. Digite um nome de usuário e senha válidos.
GFI EventsManager
14 Manutenção do banco de dados
Este capítulo fornece informações sobre o sistema que GFI EventsManager usa para armazenar
eventos processados. Este sistema permite grande escalabilidade com sua rápida leitura/gravação,
mesmo durante o processamento de grandes volumes de dados. Para ajudar a manter seu back-end
do banco de dados, GFI EventsManager oferece opções de trabalho de manutenção.
Trabalhos de manutenção de banco de dados oferecem funcionalidade avançada para
administradores, permitindo:
Centralizar eventos coletados por outras instâncias remotasGFI EventsManager para um banco de
dados back-end.
Otimizar o desempenho do GFI EventsManager controlando ativamente o crescimento do banco
de dados de back-end e, consequentemente, mantendo-o em boa forma
Importar e exportar dados de/para versões mais antigas do GFI EventsManager sem dados inconsistentes.
Importar e exportar eventos de/para uma pasta de armazenamento, reduzindo o carregamento
de dados do banco de dados.
249
259
289
Esta seção descreve como gerenciar facilmente o banco de dados de back-end através do Console de
gerenciamento GFI EventsManager.
Criar um novo banco de dados
Proteger seu banco de dados
Ativar o hash de registro do banco de dados
Alternar bancos de dados
Configurar as opções de rotação de banco de dados
14.1.1 Criar um novo banco de dados
GFI EventsManager permite que você tenha vários bancos de dados para armazenar logs de eventos
de processamento. Através das guias Navegador de Eventos, Relatórios e outros locais, você pode
facilmente mudar de um banco de dados para outro, permitindo visualizar eventos e gerar relatórios
em vários bancos de dados. Bancos de dados tornam-se mais seguros quando criptografados com uma
senha.
Para criar um novo banco de dados:
1. Na guia Configuration > Options > Configurations, clique em File Storage e selecione Configure
file storage....
GFI EventsManager
14 Manutenção do banco de dados | 249
Screenshot 197: Diálogo do sistema de armazenamento de arquivos
2. Clique em New e digite o novo nome do banco de dados. Clique em OK ara fechar o diálogo Criar
novo banco de dados.
3. Clique em Browse para selecionar um local diferente do armazenamento de banco de dados
padrão.
4. (Opcional) Selecione Encrypt data using the following password e especifique a senha de
criptografia usada para proteger as informações do novo banco de dados.
Obs.
Indica que as senhas especificadas não correspondem.
14.1.2 Proteger banco de dados
GFI EventsManager permite proteger o banco de dados com uma chave de criptografia. Criptografar o
banco de dados evita que pessoas não autorizadas acessem e visualizem os logs de eventos.
Importante
Criptografar banco de dados faz com que o Status Monitor e Events Browser
interrompam a exibição de informações confidenciais.
GFI EventsManager
Para criptografar o banco de dados back-end:
Screenshot 198: Editar configurações de armazenamento de arquivo
1. Clique na guia Configuration > Options, clique com o botão direito em File Storage e selecione
Configure file storage....
GFI EventsManager
Screenshot 199: Ativar criptografia
2. Na guia General, selecione Encrypt data using the following password para ativar a criptografia.
3. Especifique a senha e a confirmação da senha.
Obs.
Indica que as senhas especificadas não correspondem.
Obs.
O banco de dados em tempo real (o banco de dados sendo usado no momento) não pode
ser criptografado neste diálogo. Apenas os bancos de dados novos ou offline podem ser
criptografados aqui. Para criptografar o banco de dados em tempo real, use a
ferramenta CMD fornecida: esmdlibm.exe. Para obter mais informações, consulte Using
Esmdlibm.exe.
14.1.3 Hash do registro de banco de dados
Para proteger ainda mais os seus dados, GFI EventsManager fornece recursos de hash de registro.
Hash de novos registros é um método usado para garantir que os dados dos bancos de dados não
sejam modificados. Quando o hash do registro é ativado, um hash é criado para todos os logs
coletados na hora da coleta. O hash é construído com base nos dados contidos no próprio log do
GFI EventsManager
evento, criando assim o log do evento que é coletado para garantir que seja a versão original. Quando
os dados de um registro hash são modificados (mesmo um caractere de uma palavra), os valores de
fragmentação são modificados, indicando que alguém pode estar adulterando os registros
armazenados.
Importante
O hash falha quando a opção de anonimato está ativada.
Para configurar o hash:
Screenshot 200: Ativar/desativar o hash do registro
1. Na guia Configuration > Options > Configurations, clique em File Storage > Configure hashing....
GFI EventsManager
Screenshot 201: Diálogo hash de registro
2. Marque/desmarque Enable record hashing para ativar/desativar os recursos de hash.
3. Clique em Check records hashes para executar a verificação de hash no banco de dados
selecionado. Selecione um banco de dados na lista e clique em OK para iniciar a verificação.
14.1.4 Alternar entre banco de dados de armazenamento de arquivos
GFI EventsManager permite o uso de vários bancos de dados armazenados em locais diferentes no
mesmo computador ou em um computador remoto dentro da sua LAN.
Para alternar entre bancos de dados:
GFI EventsManager
Screenshot 202: Guia Opções
2. No painel esquerdo, clique com o botão direito em File Storage e selecione Configure file storage...
GFI EventsManager
3. Na caixa de diálogo Configurar armazenamento de arquivos, clique em Switch server. Isso abre o
diálogo Alternar servidor de banco de dados.
4. Na caixa de texto Server hostname, digite Computer name ou IP address da máquina do banco de
dados. Clique em OK.
Alternar banco dados a partir do painel
A visão geral do painel permite alternar para um banco de dados diferente, sem ter que acessar a
guia Configuração. Isto é útil quando os logs de eventos são comparados ou o status da gestão de
eventos dentro do seu ambiente é avaliado.
Para mudar para um banco de dados diferente do painel:
1. Clique em Status > General.
Screenshot 203: Alternar entre os bancos de dados a partir do painel
2. Na seção GFI EventsManagerService Status, clique em Database server is running.
3. Na caixa de diálogo Configurar armazenamento de arquivo, clique em Switch server e digite o
Name ou endereço IP do servidor do banco de dados. Clique em OK.
GFI EventsManager
14.1.5 Configurar opções de rotação de banco de dados
Ao processar eventos com um grande número de origens de eventos, é importante configurar as
opções de rotação de banco de dados. Essas opções instruem o GFI EventsManager para alternar
automaticamente para um novo banco de dados quando uma certa condição é atendida. Isso ajuda a
manter um conjunto de bancos de dados de tamanho fixo que permitemGFI EventsManager melhorar
o desempenho
Quando um banco de dados aumenta em tamanho, as consultas levam mais tempo para serem
concluídas, portanto, o desempenho do GFI EventsManager é afetado negativamente.
Por exemplo, se as origens dos eventos normalmente geram uma grande quantidade de pequenos logs
de eventos, ative a rotação de banco de dados para quando um número máximo de registros for
atingido. Por outro lado, se o tamanho dos logs de eventos gerados pelas origens dos eventos for
grande, configure a rotação do banco de dados para quando o banco de dados atingir o limite de
tamanho.
Para configurar opções de rotação de banco de dados:
2. Em Configuration, clique em File storage > Configure file storage...
Screenshot 204: Configurar opções de rotação de banco de dados
3. Clique em Enable database rotation.
GFI EventsManager
Table 80: Opções de rotação de banco de dados
Opção
Descrição
Alternar quando o banco
de dados atingir {X} Registros
Especificar o número de registros que o banco de dados deve conter antes de
mudar para um novo.
Obs.
Valor mínimo = 1.000.000 registros.
de dados atingir {X} GB
Alternar para um novo banco de dados quando o atual atingir o tamanho
especificado em Giga Bytes (GB)
Obs.
Valor mínimo = 1 GB.
de dados atingir {X} semanas.
Alternar o banco de dados quando o atual atinge o número especificado de
semanas.
Obs.
Valor mínimo = 1 semana.
Alterar o banco de dados
no primeiro dia de cada
{X} mês(es).
Selecionar esta opção para alternar os bancos de dados no 1º dia de cada
número de meses especificados. Por exemplo, alternar o banco de dados no dia
1º de cada mês, no dia 1º de cada dois meses ou no dia 1º de cada seis meses.
Número de banco de
dados para criar
Especificar o número máximo de bancos de dados que GFI EventsManager pode
criar. Deixe o valor em 0 para que um número ilimitado de bancos de dados
possa ser criado.
Excluir banco de dados
conforme necessário
Selecionar esta opção para quando o número máximo de bancos de dados for
atingido, GFI EventsManager exclui automaticamente o banco de dados mais
antigo para liberar espaço para os novos.
Todos os dias (cada intervalo de 24 horas a contar
da hora do início do serviço)
Selecionar esta opção para criar e usar um novo banco de dados a cada 24
horas. As 24 horas são calculadas a partir da hora que o serviçoGFI EventsManager é iniciado.
Somente após a execução
da manutenção do banco
de dados
Criar e usar um novo banco de dados depois que banco de dados existente realizar a manutenção.
14.1.6 Configurar operações do banco de dados
Para configurar operações do banco de dados:
2. Em Configurations, clique com o botão direito em Database Operations e selecione Properties.
GFI EventsManager
Screenshot 205: Diálogo opções de operações de banco de dados
3. Configure as opções nas guias descritas abaixo:
Table 81: Configurar operações de banco de dados
Guia
Descrição
Geral
Especificar o identificador único com o qual essa instância do GFI EventsManager será identificada na rede.
Este identificador é utilizado como parte do arquivo de exportação durante as operações Exportar para
arquivo.
Agendar
Na guia Agendar, especifique:
Horas do dia nas quais as tarefas de manutenção podem ser executadas
O intervalo em horas/dias em que as tarefas de manutenção serão executadas
A data/hora agendada quando os trabalhos de manutenção começarão a ser executados.
Obs.
As opções de programação também podem ser modificadas na guia Configuration >
Options > Actions e clique em Edit schedule options....
Com o GFI EventsManager você pode programar tarefas de manutenção para serem executadas em
um determinado dia, em um horário específico ou em intervalos específicos. Operações de
manutenção do banco de dados podem exigir alta utilização de recursos. Isso pode prejudicar o
servidor e o desempenho do GFI EventsManager. Agendar tarefas de manutenção para serem
GFI EventsManager
executadas após o horário comercial para aumentar a disponibilidade dos recursos do sistema e
evitar possíveis interrupções no fluxo de trabalho.
GFI EventsManager oferece suporte a dois tipos de tarefas de manutenção, conforme descrito abaixo:
Table 82: Tipos de tarefas de manutenção
Tipo da tarefa
Descrição
Tarefa Importar\Exportar
Importar/exportar dados de/para outras instâncias do GFI EventsManager. Exportar e importar os
dados em outras instâncias como parte do processo de centralização de dados.
Tarefa Importar
legado
Importar dados de versões anteriores do produto. Importar dados de banco de dados, arquivos de
legado e armazenamento de arquivos de legado doMicrosoft® SQL Server®. Os trabalhos de importação suportados por este tipo de trabalho são todos baseados nos tipos de back-end de banco de
dados de versões anteriores do GFI EventsManager.
Leia as seguintes seções para obter informações sobre como criar os seguintes trabalhos de
manutenção:
Importar do arquivo
Exportar para arquivo
Exportar para SQL
Copiar dados
Executar exclusões
Importar de banco de dados SQL Server®
Importar de arquivos de legado
Importar de armazenagem de arquivo de legado
14.2.1 Importar do arquivo
Importar do arquivo de trabalho permite importar dados que foram exportados anteriormente para
um arquivo de configuração.
Para criar uma Importação do arquivo de trabalho:
1. Clique na guia Configuration e selecione Options.
2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new
job…
3. Clique em Next na tela de boas-vindas do assistente.
GFI EventsManager
4. Selecione Import/Export Job e clique em Next.
Screenshot 207: Importar do arquivo
5. Selecione Import from file e clique em Next.
GFI EventsManager
Screenshot 208: Importar do arquivo - Especifique o caminho do arquivo de importação
6. Especifique o caminho para o arquivo de configuração que contém os dados que deseja importar.
Como alternativa, clique em Browse para procurar o local. Clique em Next (Avançar).
Screenshot 209: Descriptografar os arquivos de importação seguros
GFI EventsManager
7. (Opcional) — Se você estiver importando um arquivo criptografado, selecione Decrypt the files
using the following password e especifique a senha usada para criptografar o arquivo. Clique em
Next (Avançar).
Screenshot 210: Adicionar condições de filtro
8. Adicione parâmetros de filtragem avançada para importar apenas os dados específicos. Deixe em
branco para importar todos os logs de eventos do arquivo.
Obs.
Para obter mais informações, consulte Criar restrições de consulta.
GFI EventsManager
9. Selecione quando o trabalho deve ser executado e clique em Finish:
Opções
Descrição
Agendar trabalho
O trabalho é salvo e executado de acordo com o agendamento das operações do banco de dados.
Executar o trabalho agora
O trabalho é executado imediatamente. Trabalhos não programados só são executados uma vez e
não podem ser reutilizados.
14.2.2 Exportar para arquivo
Exportar para arquivo permite exportar as configurações selecionadas para um arquivo de
configuração que pode ser importado por outra instância ou versão deGFI EventsManager.
Para criar um trabalho exportar para arquivo:
job…
GFI EventsManager
Screenshot 213: Exportar para arquivo
5. Selecione Export to file e clique em Next.
GFI EventsManager
Screenshot 214:
6. Digite o caminho para a pasta na qual os arquivos exportados serão salvos. Como alternativa,
clique em Browse para procurar o local. Clique em Next (Avançar).
Screenshot 215: Descriptografar/Criptografar dados
7. Se o banco de dados de origem (esmstg) está criptografado, selecione Decrypt data using the
following password e digite a chave de descriptografia em Password .
GFI EventsManager
8. Para criptografar dados exportados, selecione Encrypt exported data using the following
password e digite uma chave de criptografia nos campos Password e Confirm password. Clique em
Next (Avançar).
9. Configure as seguintes opções de filtro e clique em Next:
Opção
Descrição
Export all
events
Exportar todos os eventos do banco de dados.
Eventos
mais antigos
Exportar somente eventos mais antigos que o número de dias/semanas/meses especificado.
Eventos nos
últimos
Exportar somente eventos ocorridos nos últimos números de dias/semanas/meses especificados.
Marcar even- Ocultar eventos do banco de dados de origem após exportados. Para remover completamente estes logs
tos como
de eventos do banco de dados, execute uma tarefa Executar exclusões. Para obter mais informações,
excluído
consulte Executar exclusões
Avançado...
Clique em Advanced... para abrir o diálogo Filtragem avançada. Isto permite a configuração de
parâmetros granulares de filtragem somente para exportar eventos específicos. Para obter mais
informações, consulte: Criar restrições de consulta
GFI EventsManager
10. Selecione quando executar o trabalho e clique em Finish:
Opções
Descrição
Agendar trabalho
Exportar nome de arquivo
A convenção usada por GFI EventsManager para nomear o arquivo de exportação é exibida e descrita
abaixo:
[ESM ID]_[Job ID]_[Date From]_[Date To].EXP
Table 86: Operações de banco de dados: Exportar estrutura do nome do arquivo
Nome da
seção
Descrição
ESM ID
Refere-se a um identificador exclusivo para cada instância GFI EventsManager em execução na organização.
ID de trabalho
Refere-se a um identificador exclusivo de cada trabalho de manutenção criado.
Data de
Refere-se à data do evento exportado mais cedo.
Data para
Refere-se à data do evento exportado mais recentemente.
.EXP
Esta é a extensão de arquivo dada a todos os arquivos exportados.
14.2.3 Exportar para SQL
Exportar para o SQL permite exportar itens diretamente para uma instância do servidor SQL
acessíveis pelo anfitrião GFI EventsManager.
Para criar um trabalho exportar para SQL:
GFI EventsManager
job…
GFI EventsManager
Screenshot 219: Exportar para SQL
5. Selecione Export to SQL e clique em Next.
Screenshot 220: Especificar detalhes do SQL Server
6. Configure as seguintes opções do servidor e clique em Next:
GFI EventsManager
Opção
Descrição
Servidor
Digite o nome da máquina onde o SQL Server está sendo executado.
Banco de dados
Digite o nome do banco de dados de destino.
Obs.
Se o banco de dados especificado não existe, GFI EventsManager cria um para você.
Tabela
Digite o nome da tabela de destino.
Obs.
Se a tabela especificada não existe, GFI EventsManager cria uma para você.
Usar as mesmas credenciais de logon usadas para fazer o logon em Windows®. O SQL Server® deve
dar suporte para este tipo de modo de autenticação para conectar e copiar as informações no
servidor.
Usar a Autenticação do SQL
Server
Usar as credenciais de logon configuradas em SQL Server®. Digite o nome de usuário no campo User e
a senha no campo Password.
Conexão de
teste
Clique em Test Connection para tentar se conectar ao SQL Server® usando as configurações
especificadas.
Obs.
GFI EventsManager testa a conexão automaticamente após você clicar em Next.
Screenshot 221: Selecionar colunas para exportar
7. Selecione as colunas que deseja exportar e clique em Next.
Obs.
Para exportar todas as colunas, selecione Export all columns.
GFI EventsManager
8. Configure as seguintes opções de filtragem e clique em Next:
Opção
Descrição
Export all
events
Eventos
mais antigos
Eventos nos
últimos
tos como
excluído
Avançado...
Clique em Avançado... para iniciar o diálogo Filtragem avançada. Isto permite a configuração de
GFI EventsManager
9. Selecione quando o trabalho deve ser executado e clique em Finish:
Opções
Descrição
Agendar trabalho
14.2.4 Copiar dados
Para criar tarefas Copiar dados:
job…
GFI EventsManager
Screenshot 225: Selecionar tarefa Copiar dados
5. Selecione Copy data e clique em Next.
GFI EventsManager
Screenshot 226: Especificar a origem e o destino dos bancos de dados.
6. Selecione a origem e o destino dos bancos de dados. Clique em Next (Avançar).
Screenshot 227: Descriptografar a origem e criptografar o destino dos bancos de dados
7. Se o banco de dados de origem é criptografado, selecione Decrypt data using the following
password e especifique a senha usada para criptografar o banco de dados.
GFI EventsManager
8. Para criptografar dados na origem, selecione Encrypt exported data using the following
password. Especifique a senha de criptografia e clique em Next.
9. Configure as seguintes opções de filtro e clique em Next:
Opção
Descrição
Export all
events
Eventos
mais antigos
Eventos nos
últimos
tos como
excluído
Avançado...
Clique em Avançado... para iniciar o diálogo Filtragem avançada. Isto permite a configuração de
10. Selecione quando executar o trabalho e clique em Finish:
Opções
Descrição
Agendar trabalho
14.2.5 Executar exclusões
Para criar trabalhos Executar exclusões:
GFI EventsManager
job…
GFI EventsManager
Screenshot 230: Criar trabalhos executar exclusão
5. Selecione Commit deletions e clique em Next.
Screenshot 231: Selecionar banco de dados para excluir registros
6. Selecione o banco de dados para excluir registros. Clique em Next (Avançar).
7. Selecione quando o trabalho é executado e clique em Finish:
GFI EventsManager
Opções
Descrição
Agendar trabalho
14.2.6 Importar do banco de dados SQL Server®
job…
4. Selecione Legacy Import Job e clique em Next.
GFI EventsManager
Screenshot 233: Selecione Importar no banco de dados do SQL Server
5. Selecione Import from databaseSQL Server® e clique em Next.
Screenshot 234: Especificar o endereço e informações de logon do SQL Server
6. Configure as seguintes opções do servidor e clique em Next:
GFI EventsManager
Opção
Descrição
Servidor
Digite o nome da máquina onde o SQL Server está sendo executado.
Banco de dados
Digite o nome do banco de dados de origem.
Usar as mesmas credenciais de logon usadas para fazer o logon em Windows®. O SQL Server®deve
dar suporte a este tipo de modo de autenticação para conectar e copiar as informações do servidor.
Usar a Autenticação do SQL
Server
Usar as credenciais de logon configuradas em SQL Server®. Digite o nome de usuário no campo User e
a senha no campo Password.
Screenshot 235: Descriptografar dados anônimos
7. (Opcional) Se o banco de dados SQL Server® é anônimo, selecione Enable decryption e especifique
a senha usada para manter o banco de dados anônimo.
8. (Opcional) — Se o banco de dados do SQL Server é anônimo com duas senhas, selecione Use
secondary decryption key e especifique a senha de segurança para manter o banco de dados
anônimo. Clique em Next (Avançar).
GFI EventsManager
Screenshot 236: Adicionar condições de filtragem de dados indesejados
9. Adicione parâmetros de filtragem avançada para importar dados específicos somente. Deixe em
branco para importar todos os logs de eventos.
Obs.
GFI EventsManager
Selecione Run the job now e clique em Finish.
14.2.7 Importar de arquivos de legado
Para criar Importar de trabalhos de arquivos de legado:
job…
GFI EventsManager
Screenshot 239: Importar de arquivos de legado
5. Selecione Import from legacy files e clique em Next.
GFI EventsManager
Screenshot 240: Especificar a localização do arquivo de importação
6. Especifique o caminho para o arquivo de configuração que contém os dados que deseja importar.
Como alternativa, clique em Browse para procurar o local. Clique em Next (Avançar).
Screenshot 241: Descriptografar as informações no arquivo de importação
7. (Opcional) Se o arquivo foi criptografado, selecione Decrypt the files using the following password
e especifique a senha usada para criptografar o arquivo. Clique em Next (Avançar).
GFI EventsManager
Screenshot 242: Remover anonimato
8. (Opcional) Se o arquivo é anônimo selecione Enable decryption e especifique a senha usada para
manter os dados anônimos.
9. (Opcional) Se o arquivo foi anônimo com duas senhas, selecione Use secondary decryption key e
especifique a segunda chave usada para manter os dados do arquivo anônimos. Clique em Next
(Avançar).
Screenshot 243: Filtrar eventos indesejados com as condições de filtro
GFI EventsManager
10. Adicione parâmetros de filtragem avançados para importar apenas os dados específicos. Deixe em
branco para importar todos os logs de eventos.
Obs.
14.2.8 Armazenamento de arquivo de arquivo Importar de legado
Para criar Importar de trabalhos de arquivos de legado:
job…
GFI EventsManager
Screenshot 246: Dados de armazenamento de Importar arquivos de legado
5. Selecione Import from legacy file storage e clique em Next.
6. Especifique o caminho para onde o arquivo de importação está localizado. Como alternativa, clique
em Browse e procure o local.
GFI EventsManager
7. (Opcional) Se os dados são anônimos, selecione Enable decryption e especifique a senha usada
para criptografar os dados.
8. (Opcional) Se os dados são criptografados com duas senhas, selecione Use secondary decryption e
digite a senha secundária. Clique em Next (Avançar).
9. (Opcional) Especifique as condições de filtragem de dados não desejados. Deixe este espaço em
branco para exportar todos os dados do banco de dados. Para obter mais informações, consulte
Definir Restrições. Clique em Next (Avançar).
Exibir trabalhos de manutenção agendada
Editar as propriedades do trabalho de manutenção
Alterar a prioridade dos trabalhos de manutenção
Excluir um trabalho de manutenção
14.3.1 Exibir trabalhos de manutenção agendada
Para exibir o progresso dos trabalhos de manutenção agendada:
GFI EventsManager
Screenshot 248: Atividade do trabalho de manutenção
Clique nas guias Status > Job Activity. O status de todos os trabalhos de manutenção são exibidos na
seção Queued Jobs.
Para exibir os trabalhos de manutenção criados:
Screenshot 249: Exibir os trabalhos de manutenção agendada
2. Em Configurations, selecione o nó Database Operations. Trabalhos de manutenção agendados
estão exibidos no painel direito.
14.3.2 Editar as propriedades do trabalho de manutenção
Para editar as propriedades dos trabalhos de manutenção:
1. Na guia Configuration > Options > Configurations, clique em Database Operations.
2. No painel direito, clique com o botão direito em um trabalho de manutenção e selecione
Properties.
GFI EventsManager
Screenshot 250: Diálogo propriedades do trabalho de manutenção
3. Na caixa de diálogo Propriedades, você pode modificar as configurações definidas ao criar o
trabalho, tais como:
Senhas de criptografia/descriptografia
Nomes e endereços do banco de dados
Caminhos de origem/destino
Detalhes gerais do trabalho.
Obs.
Para obter mais informações, consulte Criar trabalhos de manutenção.
GFI EventsManager
14.3.3 Alterar a prioridade dos trabalhos
Screenshot 251: Prioridades de manutenção de trabalho
Por padrão, os trabalhos de manutenção são executados de acordo com a sequência com que os
trabalhos são criados (First-in-First-out). Portanto, a prioridade dos trabalhos de manutenção é
determinada pelo sequência dos trabalhos que são executados.
Para aumentar ou diminuir a prioridade de um trabalho de manutenção:
2. Em Configurations, selecione o nó Database Operations.
3. No painel direito, clique com o botão direito no trabalho de manutenção e selecione Increase
Priority ou Decrease Priority conforme apropriado.
14.3.4 Excluir um trabalho de manutenção
Para excluir trabalhos de manutenção:
2. Em Configurations, selecione o nó Database Operations.
3. No painel direito, clique com o botão direito no trabalho de manutenção para excluir e selecione
Delete.
Obs.
Antes de excluir os trabalhos de manutenção, verifique se todos os dados foram
copiados.
GFI EventsManager
15 Configurar Console de gerenciamento
Este capítulo fornece informações sobre como configurar as definições gerais de GFI EventsManager,
tais como licenciamento de produtos, opções de desempenho e atualizações de produtos.
293
294
302
303
304
311
GFI EventsManager fornece opções que permitem definir o nível de desempenho do serviço GFI
EventsManager.
Para configurar o nível de desempenho:
Screenshot 252: GFI EventsManager Opções de desempenho
1. Na guia Configuration > Options > Configurations, clique com o botão direito em Performance
Options e selecione Edit Performance Options.
GFI EventsManager
15 Configurar Console de gerenciamento | 293
Screenshot 253: Caixa de diálogo Opções de Desempenho
2. Selecione/Remova a seleção Enable EventsManager service performance para ativar/desativar as
opções de desempenho de serviço.
3. Mova o controle deslizante da esquerda (baixo) para a direita (alto) até encontrar o nível de
desempenho necessário.
Obs.
O nível de desempenho low processa cerca de 50 events per second per event source,
e o nívelhigh processa 1,000 - 2,000 events per second per event source.
Periodicamente, a GFI atualiza seus produtos para melhorar ou adicionar funcionalidades ao GFI
EventsManager. Atualizações do produto são importantes para download e instalação porque, além
de corrigir os problemas das tecnologias subjacentes, aumentam a compatibilidade com diferentes
tecnologias e dispositivos.
Quando o host GFI EventsManager está conectado à Internet, atualizações de produtos podem ser
baixadas diretamente do Console de Gerenciamento. Onde o acesso à Internet é limitado ou
inexistente, atualizações de produtos podem ser baixadas a partir de um local alternativo e, em
seguida, colocadas manualmente no repositório de atualizações. Consulte as seções a seguir para
obter informações sobre:
GFI EventsManager
Fazer download direto das atualizações
Fazer download das atualizações de um local alternativo (offline)
15.2.1 Fazer download direto das atualizações
GFI EventsManager permite aos usuários configurar como verificar, baixar e instalar
automaticamente as atualizações dos produtos.
Para configurar opções de Atualização automática:
1. Na guia Configuration > Options > Configurations, clique com o botão direito em Auto Update
Options e selecione Edit updater options...
Screenshot 254: Configurar opções de atualização automática
Table 94: Opções de atualização automática
Opções
Descrição
Verificar atualizações automaticamente
Se selecionada, GFI EventsManager verificará as atualizações automaticamente diária
ou semanalmente.
Atualizar agora
Se Check for updates automatically não estiver selecionado, utilize essa opção para
verificar e instalar manualmente as atualizações que estão faltando.
Instalar atualizações automaticamente
Instala atualizações baixadas automaticamente.
Avise-me somente quando
houver atualizações disponíveis
Atualizações disponíveis são mostradas na seção Missing Updates mas não são
instaladas.
Exibir mensagens no aplicativo
Exibir uma mensagem na parte inferior da página do aplicativo. Clique na mensagem
exibida para acionar as atualizações.
GFI EventsManager
Opções
Descrição
Enviar alertas do Usuário admi- Envia um alerta de email para a conta do Administrador GFI EventsManager
nistrador GFI EventsManager
configurada. Para obter mais informações, consulte Configurar a conta do
administrador.
3. Se as atualizações do produto deve ser feita por um servidor proxy, clique na guia Prox Server.
Screenshot 255: Definir configurações de proxy para o download de atualizações de produto
4. Selecione Use a proxy server, digite o endereço do servidor proxy e porta de escuta nos campos
Address e Port.
5. (Opcional) Se o servidor proxy precisar de autenticação, selecione Enable Authentication e digite
as credenciais de logon do proxy.
15.2.2 Download de atualizações de um local alternativo (offline)
Para fazer download de atualizações de produtos, GFI EventsManager conecta ao servidor de
atualizações GFI. Se o anfitrião GFI EventsManager está em um ambiente seguro e não conectado à
Internet, as atualizações podem ser baixadas, a partir de um local alternativo.
Em um computador com acesso à Internet, faça o download do pacote de atualização e transfira para
o anfitrião GFI EventsManager. Use CMD para executar manualmente uma sessão de atualização,
utilizando a ferramenta atualizadora fornecida no diretório de instalação.
Você vai precisar de um nome de usuário e senha para entrar no servidor atualizações GFI. Para
obter as credenciais de logon, contate um de nossos representantes de suporte. Para obter mais
informações, consulte Requesting Technical Support.
GFI EventsManager
Obs.
Este procedimento pressupõe que o produto está instalado no local padrão: C:\Program
Files (x86)\GFI\EventsManager2012.
Para fazer download de atualizações de um local alternativo:
1. Em um computador com acesso à Internet, acesse http://update.gfi.com/esm.
2. Digite seu nome de usuário e senha. Isso abre os diretórios de atualizações GFI EventsManager no
servidor de atualização.
GFI EventsManager
Screenshot 256: Atualizações GFI EventsManager
3. Clique em ESMUpdateInfo.xml.gz e salve em uma pasta de sua escolha.
Obs.
Transfira o pacote de atualização baixado a partir de um computador com acesso à
Internet para o anfitrião GFI EventsManager.
GFI EventsManager
Screenshot 257: GFI EventsManager repositório de atualizações
4. Na máquina GFI EventsManager, copie o pacote de atualizações para o seguinte repositório:
C:\Program Files\GFI\EventsManager2012\Data\AutoUpdate.
GFI EventsManager
Screenshot 258: Abrir CMD no modo de administrador
5. Abra o CMD em modo de privilégios elevados, e digite:
64-bit systems - CD C:\Program Files (x86)\GFI\EventsManager2012
32-bit systems - CD C:\Program Files\GFI\EventsManager2012
Pressione Enter.
GFI EventsManager
Screenshot 259: Altere o caminho para diretório de instalação GFI EventsManager
Obs.
O caminho muda de acordo com o diretório especificado.
Screenshot 260: Iniciar manualmente uma sessão de atualização
6. Digite:
updater.exe /InstallNow
Pressione Enter.
GFI EventsManager
Para garantir que todas as atualizações sejam instaladas, execute updater.exe /InstallNow
até receber uma mensagem indicando que 0 atualizações ausentes foram encontradas.
Screenshot 261: Status de atualização
GFI EventsManager é licenciado por origem de evento ou computador. Todos os dispositivos que
geram um log são considerados uma origem de evento. Consulte as seções abaixo para obter mais
informações sobre opções de licenciamentoGFI EventsManager.
As seções a seguir contêm informações sobre:
Atualizar a chave da licença
Obter chave de licença para 30 dias de avaliação gratuita
Exibir detalhes da licença
Adquirir uma chave de licença
15.3.1 Atualizar chave de licença
Para atualizar sua chave de licença atual:
1. Na guia General > General, clique com o botão direito em Licensing e selecione Update Key...
Screenshot 262: Atualizar diálogo da chave de licença
GFI EventsManager
3. Especifique sua chave de licença e clique em OK.
15.3.2 Obter chave de licença para 30 dias de avaliação gratuita
GFI EventsManager permite o registro da versão do produto e obter uma versão de teste gratuita de
30 dias. Uma vez que o período de avaliação expira, todo o monitoramento do log de eventos e de
gestão de serviços é desativado e é exigida uma chave de licença completa.
Para registrar e receber uma chave de licença para 30 dias de avaliação gratuita:
1. Na guia General > General, clique em Licensing.
2. Clique no link fornecido. Você será levado para o site do GFI onde poderá inserir os detalhes e
receber a chave da licença por email. O endereço de email fornecido no formulário de inscrição é
onde será enviada a sua chave de avaliação gratuita de 30 dias. Se você tem um sistema de filtragem
de spam, verifique se o email não está bloqueado como spam.
15.3.3 Exibir detalhes da licença
Os detalhes da licença fornecem outros detalhes da distribuição da licença. Para exibir detalhes do
licenciamento:
2. No painel direito, clique em Show details para expandir os detalhes da seção. Isto exibe o número
de origens de eventos configurados e o respectivo tipo de licença (como Estação de trabalho ou
Servidor).
15.3.4 Adquirir uma chave de licença
Para adquirir uma chave de licença:
Screenshot 263: Comprar agora! Botão
2. No painel direito, clique em Buy Now!. Você será levado para o site do GFI onde poderá obter mais
informações sobre o licenciamento e comprar uma chave válida.
Obs.
Para obter mais informações, consulte:
Informações de licenciamento - http://www.gfi.com/page/13789/products/gfieventsmanager/pricing/licensing/licensing
Informação de Preços - http://www.gfi.com/products/gfi-eventsmanager/pricing
A GFI recomenda que você mantenha atualizado o GFI EventsManager e use a versão mais recente do
produto para suporte completo de recursos e compatibilidade com o dispositivo. Essa informação
também pode ser útil para solucionar erros de funcionalidade com um representante do suporte
técnico. Consulte as seções a seguir para obter informações sobre:
15.4.1 Verificar sua versão GFI EventsManager
Para verificar os detalhes das informações da versão:
1. Na guia General > General, clique em Version Information.
GFI EventsManager
Screenshot 264: Tela de informação sobre a versão
2. Exiba detalhes das informações da versão no painel direito.
3. (Opcional) Clique em Click here to obtain the version number of the latest release para obter
mais informações sobre a versão a partir dos servidores GFI.
15.4.2 Verificar se há versões mais recentes
Para verificar se há versões mais recente doGFI EventsManager:
1. Na guia General > General, clique com o botão direito em Version Informaton e selecione Check
for newer builds...
2. (Opcional) No painel direito, marque/desmarque Automatically check for a newer version at
startup para verificar automaticamente se há novas versões. Por padrão, essa opção está ativada.
A ferramenta de importação e exportação fornecida permite mover facilmente as configurações de
uma instância deGFI EventsManager para outra. Isso também pode ser feito como parte de um plano
de recuperação de desastres, para evitar ter que reconfigurar GFI EventsManager no caso de um
desastre. As seguintes configurações podem ser importadas/exportadas usando GFI EventsManager:
Origens do evento
Filtros do navegador de eventos
Opções (incluindo Ações de classificação padrão, Opções de alertas, Operações de banco de dados
e mais).
GFI EventsManager
Exportar configurações para um arquivo
Importar configurações de um arquivo
Importar configurações de uma outra instância
15.5.1 Exportar configurações para um arquivo
Para exportar configurações GFI EventsManager:
1. Clique em File > Import and Export Configurations....
Screenshot 265: Exportar configurações para um arquivo
2. Selecione Export the desired configurations to a file e clique em Next.
GFI EventsManager
Screenshot 266: Especifique o destino da exportação
3. Especifique o local onde o arquivo exportado será salvo ou clique em Browse... para procurar o
local. Clique em Next (Avançar).
Screenshot 267: Selecionar exportar configurações
4. Selecione as configurações que você deseja exportar e clique em Next.
GFI EventsManager
5. Aguarde para exportar a configuração GFI EventsManager e clique em OK
15.5.2 Importar configurações de um arquivo
Para importar configurações de um arquivo:
1. Clique em File > Import and Export Configurations....
Screenshot 268: Importar configurações de um arquivo
2. Selecione Import the desired configurations from a file e clique em Next.
GFI EventsManager
Screenshot 269: Especificar o local do arquivo de configuração
3. Especifique o caminho onde o arquivo de importação será armazenado ou clique em Browse... para
procurar o arquivo. Clique em Next (Avançar).
]
Screenshot 270: Selecionar as configurações para importar
4. Selecione as configurações que você deseja importar e clique em Next.
GFI EventsManager
5. Aguarde para importar as configurações GFI EventsManager e clique em OK.
Obs.
Quando GFI EventsManager detecta outra configuração, pergunta se você deseja
substituir ou mesclar as duas configurações.
15.5.3 Importar configurações de uma outra instância
Para importar configurações de outra instância deGFI EventsManager
1. Clique em File > Import and Export Configurations...
Screenshot 271: Importar configurações de uma outra instância de GFI EventsManager
2. Selecione Import the configurations from another instance e clique em Next.
GFI EventsManager
Screenshot 272: Especificar o local da instância
3. Especifique o caminho da pasta de instalação da instância que você deseja importar configurações.
Como alternativa, clique em Browse... para procurar o arquivo. Clique em Next (Avançar).
Screenshot 273: Selecionar a configurações para importar de uma outra instância de GFI EventsManager
4. Selecione as configurações que você deseja importar e clique em Next.
GFI EventsManager
5. Aguarde as configurações para importar e clique em OK.
Obs.
Quando GFI EventsManager detecta outra configuração, pergunta se você deseja
substituir ou mesclar as duas configurações.
GFI EventsManager permite criar consultas personalizadas usando o diálogo Edit Query Restriction.
As consultas são instruções queGFI EventsManager envia para o backend do servidor do banco de
dados ao armazenar e recuperar dados. Elas também são usadas
para configurar regras para
desencadear ações e alertas quando certos valores de atributos são detectados.
Os seguintes cenários usam o diálogo Editar Restrição de Consulta na configuração granular:
Table 95: Usa as restrições de consulta
Uso
Descrição
Configuring
reports
Construa consultas para filtrar informações do relatório e gerar relatórios referentes a atributos específicos
Configuring
user
accounts
Prevenir usuários do Console de gerenciamento GFI EventsManager de exibir informações não autorizadas
sobre outros usuários, logs de eventos ou atividades da rede.
Configuring
events processing
rules
Analisa os logs de eventos coletados que correspondam aos valores configurados nas consultas de processamento de eventos. Isso permite a inspeção da atividade da rede com detalhe granular, que ajuda a
resolver problemas de rede de forma proativa antes de evoluir para problemas graves.
GFI EventsManager
Screenshot 274: Usuários, regras de processamento de eventos e consultas de relatório.
15.6.1 Usar o diálogo Editar restrição de consulta
Para editar restrições de consulta com filtragem e configuração granular:
1. A tabela a seguir descreve como iniciar o diálogo Editar Restrição de Consulta de usuários,
relatórios e regras de processamento:
Table 96: Iniciar diálogo Editar Restrições de Consulta
Configurar...
Procedimento
Usuários
Para iniciar o diálogo de restrições de consulta:
1. Clique na guia Configuration > Options > Users and Groups > Users.
2. No painel direito, clique com o botão direito para editar e selecione Properties.
3. Na caixa de diálogo User Propriedades, clique na guia FilterAdvanced...
4. Na caixa de diálogo Advanced Filtering, clique em Add.
Relatórios
1. Clique na guia Reporting.
2. Na lista Reports, clique com o botão direito para editar o relatório e selecione
Properties.
3. Na guia General, clique em Add.
GFI EventsManager
Configurar...
Procedimento
Regras de processamento
de eventos
1. Clique na guia Configuration > Events Processing Rules.
2. Na lista Rule Folders, clique com o botão direito para editar a regra de processamento
de eventos e selecione Properties.
3. A partir do processamento do diálogo das propriedades de regras, clique na guia
Conditions > Add.
Screenshot 275: Definir restrições: Editar uma restrição de consulta
2. A partir da lista de campos disponíveis, selecione um campo. Opcionalmente, digite o nome na
caixa de texto Field Name para pesquisar o campo obrigatório.
3. Especifique um Field Operator para o campo selecionado. As operadoras disponíveis incluem:
Table 97: Definir as restrições: Operadores de Campo
Operador de campo
Descrição
Igual a
Quando o campo do evento é igual ao valor configurado.
Inferior a
Quando o campo do evento tem um valor inferior ao valor
configurado.
Superior a
Quando o campo do evento tem um valor superior ao valor
configurado.
Ocorrido (relacionado aos campos de data/hora)
Quando a data do campo do evento ocorre antes da data atribuída.
Como
Quando o campo do evento tem texto semelhante ao texto atribuído.
Contém
Quando o campo do evento contém o texto atribuído.
Valor na lista
Quando o campo do evento é igual a um dos valores de uma lista.
4. Especifique um Field Value para o campo e operador selecionado. Alguns campos têm valores
predefinidos, outros exigem que você especifique um valor.
5. Clique em OK.
GFI EventsManager
Obs.
Repita as etapas 1-4 para adicionar todos os campos que deseja incluir na consulta.
Obs.
É possível copiar as restrições de relatório dos relatórios existentes. Na guia Reporting
> Reports, clique com o botão direito em um relatório e selecione Copy Report
Restrictions.
Screenshot 276: Definir restrições: Personalizar a condição
6. Após definir todas as restrições, use as opções descritas abaixo para personalizar as condições de
consulta:
Table 98: Definir as restrições: Ferramentas de condições de consulta
Opções
Descrição
E
Selecione a condição para configurar e selecione E. A condição selecionada E as condição(ões) seguinte(s)
devem ser atendidas para que a consulta seja válida.
OU
Selecione a condição para configurar e selecione OU. A condição selecionada OU a condição(ões) seguinte(s)
devem ser atendidas para que a consulta seja válida.
GFI EventsManager
Opções
Descrição
E NÃO
Selecione a condição para configurar e selecione E NÃO. Isto significa que a condição selecionada deve
corresponder com os parâmetros de restrição, mas as seguintes condições não.
OU NÃO
Selecione a condição para configurar e selecione OU NÃO. Isto significa que a condição selecionada deve
corresponder com os parâmetros de restrição OU as seguintes condições não.
+(
Clique em “+ (” para abrir um parêntese na condição selecionada. Condições entre parênteses são
processadas primeiro.
+)
Clique em “+ )” para fechar um parêntese na condição selecionada. Condições entre parênteses são
processadas primeiro.
-(
Clique em “- (” para remover o primeiro parêntese da condição selecionada.
-)
Clique em “- )” para remover o segundo parêntese da condição selecionada.
Adicionar
Clique em Adicionar para iniciar o diálogo de restrições e adicionar mais campos para a condição.
Editar
Clique em Editar para acessar o diálogo de restrições e personalizar a condição selecionada.
Excluir
Clique em Excluir para excluir uma condição.
Limpar
O botão Limpar exclui todas as condições da consulta.
Seta para
cima
Use a seta para cima para mover a condição selecionada para cima na lista.
Seta para
baixo
Use a seta para baixo para mover a condição selecionada para baixo na lista.
GFI EventsManager
16 Ferramentas da linha de comando
GFI EventsManagerfornece ferramentas de linha de comando através do qual você pode executar
várias funções sem acessar o Console de gerenciamento. As ferramentas CMD estão disponíveis na
pasta de instalaçãoGFI EventsManager.
316
319
327
329
ESMCmdConfig.exe permite definir as configurações gerais de GFI EventsManager; como:
credenciais de logon GFI EventsManager
Chave de licença
Configurações do servidor de email
Conta administrativa
Criar/Remover grupos de atalhos
Obter nomes de computadores.
Para usar ESMCmdConfig.exe:
1. Clique em Start > Run e digite CMD.
2. Pressione Ctrl + Shift + Enter para executar CMD com privilégios elevados.
3. Alterar o diretório no instalar diretório GFI EventsManager. Exemplo:
CD <C:\Program Files\GFI\EventsManager>
4. Digite ESMCmdConfig.exe seguido das funções descritas abaixo:
/op:registerService
/op:enable
/op:disable
/op:SetLicense
/op:configureAlerting
/op:setAdminEmail
/op:createProgramGroupShortcuts
/op:removeProgramGroupShortcuts
/op:getComputers
GFI EventsManager
16 Ferramentas da linha de comando | 316
16.1.1 /op:registerService
Essa função permite registrar os serviços GFI EventsManager, usando uma conta de administrador. Os
parâmetros a seguir são aceitos:
Table 99: /op:registerService Parameters
Parâmetro
Descrição
/username:<nome de usuário>
Especifique o nome de usuário de uma conta de administrador.
Obs.
Parâmetros que contenham espaços devem estar entre aspas (").
/pass:<senha>
Especifique uma senha para a conta especificada no parâmetro /username.
Exemplo
ESMCmdConfig.exe /op:registerService /username:Domain\Administrator
/pass:p@ss
16.1.2 /op:enable
Essa função permite ativar os recursos de gerenciamento e não suporta os parâmetros adicionais.
Exemplo
ESMCmdConfig.exe /op:enable
16.1.3 /op:disable
Essa função permite que você desative os recursos de gerenciamento e avisa o usuário com uma
mensagem personalizada. Os parâmetros a seguir são aceitos:
Table 100: /op:disable Parameter
Parâmetro
Descrição
/message:<mensagem>
Especifique uma mensagem personalizada a ser mostrada para o usuário antes da funcionalidade de
gestão de eventos ser desativada.
Obs.
Exemplo
ESMCmdConfig.exe /op:disable /message:"Events Management Disabled!"
16.1.4 /op:SetLicense
Esta função permite a inserção da chave de licença do produto. Os parâmetros a seguir são aceitos:
Table 101: /op:SetLicense Parameters
Parâmetro
Descrição
/licenseKey:<key>
Especifica a chave de licença do produto.
GFI EventsManager
Exemplo
ESMCmdConfig.exe /op:SetLicense /licenseKey:*********
16.1.5 /op:configureAlerting
Essa função permite ativar e configurar as opções de alerta de email. Os parâmetros a seguir são
aceitos:
Table 102: /op:configureAlerting Parameters
Parâmetro
Descrição
/Server:<servidor>
Especifique o endereço IP do servidor de email ou nome de domínio totalmente qualificado (FQDN).
/SenderEmail:<email>
Especifica o endereço de email do remetente. Notificações parecem ter sido enviadas
para o endereço especificado.
/Port:<porta>
Especifica a porta TCP usada para enviar e-mails.
/RequiresAuthentication:
<true|false>
Especifica se o servidor de email requer autenticação. Valores suportados:
Verdadeiro
Falso
/User:<nome de usuário>
Especifica o nome do endereço de email especificado no parâmetro /SenderEmail.
Obs.
/Pass:<senha>
Especifica uma senha para o nome de usuário especificado no parâmetro /User.
Exemplo
ESMCmdConfig.exe /op:configureAlerting /Server:192.168.11.11
/SenderEmail:[email protected] /Port:25 /RequiresAuthentication:True
/User:jsmith /Pass:p@ss
16.1.6 /op:setAdminEmail
Esta função permite configurar o endereço de email EventsManagerAdministrator. Os parâmetros a
seguir são aceitos:
Table 103: /op:setAdminEmail Parameter
Parâmetro
Descrição
/email:<email>
Especifique o endereço de email EventsManagerAdministrator
Exemplo
ESMCmdConfig.exe /op:setAdminEmail /email:[email protected]
16.1.7 /op:createProgramGroupShortcuts
Essa função permite criar grupos de atalhos e não possui parâmetros adicionais.
GFI EventsManager
Exemplo
ESMCmdConfig.exe /op:createProgramGroupShortcuts
16.1.8 /op:removeProgramGroupShortcuts
Essa função permite remover atalhos de grupos e não possui parâmetros adicionais.
Exemplo
ESMCmdConfig.exe /op:removeProgramGroupShortcuts
16.1.9 /op:getComputers
Essa função permite recuperar um arquivo de texto contendo nomes de origens de eventos
gerenciados por GFI EventsManager. Os parâmetros a seguir são aceitos:
Table 104: /op:getComputers Parameter
Parâmetro
Descrição
/filename:<nome de
arquivo>
Especifica o caminho completo para onde o arquivo de texto é exportado para incluir o nome
do arquivo de texto.
Obs.
Exemplo
ESMCmdConfig.exe /op:getComputers /filename:C:\ComputerNames.txt
EsmDlibM.exe permite executar o armazenamento de arquivos de sistema onde os eventos
processados são armazenados (back-end do banco de dados). Estas operações incluem a importação
ou exportação de dados.
Para usar EsmDlibM.exe:
4. Digite EsmDlibM.exe seguido das funções descritas abaixo:
/importFromSQL
/importFromDlib
/copyData
/importFromLegacyFile
/exportToFile
GFI EventsManager
/importFromFile
/commitDeletedRecords
/exportToSQL
16.2.1 /importFromSQL
Essa função permite importar dados de um banco de dadosSQL Server®. Os dados precisam ser
exportados de uma versão anterior do GFI EventsManager. Os parâmetros a seguir são aceitos:
Table 105: /importFromSQL Parameters
Parâmetro
Descrição
/server:<serverName>
Especifica o endereço IP ou nome da máquina SQL Server®.
/database:<(maindb)|
(backupdb)|databaseName>
Especifica o tipo e o nome do banco de dados de origem de onde importar dados.
/dbauth:<SQL|WIN>
Especifica o modo autenticação configurado na origem SQL Server®. Valores suportados:
SQL: para usar autenticação SQL Server®
Obs.
WIN: para usar autenticaçãoWindows®.
/username:<username>
Especifica um nome de usuário com acesso ao banco de dados para o qual importar os
dados.
Obs.
/password:<password>
Especifica uma senha para o nome de usuário especificado no parâmetro /username.
/anonpass1:<password>
(Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária
para descriptografar os dados importados.
(Opcional) Se o banco de dados de origem é anônimo, usando duas chaves de anonimato,
digite a senha de anonimato secundária para descriptografar os dados importados.
Exemplo
EsmDlibM.exe /importFromSQL /server:192.168.11.11
/database:EventsDatabase /dbauth:SQL /username:sa /password:p@ss
/anonpass1:p@ss
16.2.2 /importFromDlib
Esta função permite importar os dados que foram exportados de um servidor de banco de dados
(DLIB) de uma versão mais antiga doGFI EventsManager. Os parâmetros a seguir são aceitos:
Table 106: /importFromDlib Parameters
Parâmetro
Descrição
/path:<path>
Especifica o caminho para o servidor de banco de dados DLib.
Obs.
/name:<
name>
Especifica o nome do banco de dados DLib que você deseja importar.
Obs.
GFI EventsManager
Parâmetro
Descrição
/anonpass1:<
password>
(Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária para descriptografar os dados importados.
/anonpass2:<
password>
(Opcional) Se o banco de dados de origem é anônimo, usando duas chaves de anonimato, digite a senha
de anonimato secundária para descriptografar os dados importados.
Exemplo
EsmDlibM.exe /importFromDlib /path:C:\DLibServer /name:EventsData
/anonpass1:p@ss
16.2.3 /copyData
Essa função permite copiar de um servidor do banco de dados DLib para outro. Os parâmetros a seguir
são aceitos:
Table 107: /copyData Parameters
Parâmetro
Descrição
/destinationPath:<destinationPath>
Especifica o destino do servidor de banco de dados.
Obs.
/destinationName:<
destinationName>
Especifica o nome do banco de dados de destino.
Obs.
/destinationEncPass:<
password>
(Opcional) Especifica uma senha para criptografar dados no destino.
/sourcePath:<sourcePath>
Especifica o caminho para o servidor do banco de dados.
Obs.
/sourceName:<sourceName>
Especifica o nome do banco de dados de origem.
Obs.
/sourceEncPass:<
password>
(Opcional) Especifica uma chave de criptografia para criptografar os dados de origem.
/anonpass1:<
password>
(Opcional) Especifica a senha primária para manter o anonimato dos dados de origem.
/anonpass2:<
password>
(Opcional) Especifica uma senha secundária para manter o anonimato dos dados de origem
usando duas chaves.
GFI EventsManager
Parâmetro
Descrição
/period:<type><number><unit>
Permite filtrar por data de evento para obter eventos dos últimos dias/semanas/meses ou
dias/semanas/meses mais antigos. Por exemplo, para filtrar eventos que aconteceram nos
últimos 24 dias, o valor do parâmetro é: l24d. E para filtrar eventos com mais de 3 semanas, o
valor do parâmetro é O3W. Os valores suportados incluem:
<type>:
o - mais antigo que
l - último
<number> - especifica o número de dias/semanas/meses
<unit>:
d - dias
w - semanas
m - meses.
/markEventsAsDeleted
(Opcional) Marca eventos copiados como excluídos no banco de dados de origem. Esses eventos
não são mais visíveis no console de gerenciamento, mas ainda permanecem no banco de dados.
Para a completa remoção do banco de dados, execute o trabalho Commit Deletions.
/log_format:<valor>
/machine:<valor> /importance:<value> /occured:<valor>
Esses parâmetros fornecem ao usuário uma forma conveniente para filtrar eventos pelas
colunas correspondentes. Esses filtros são opcionais. Quando utilizados em conjunto, eles
estão vinculados E condicionados aos dados de origem. Exceto na máquina onde o usuário pode
inserir o nome da máquina de destino como exibido no navegador de eventos, os outros
parâmetros possuem valores parâmetros predefinidos com as conotações óbvias listadas
abaixo. Valores suportados:
log_format:
"windows
auditoria sql
auditoria oracle
logs de texto
mensagens syslog
interceptação snmp
monitoramento
importância
Não classificado
Baixa
Média
Alta
Crítica
Ruído
ocorrido
Hoje
Ontem
Últimos 7 dias
Últimos 30 dias
Este mês
Último mês.
GFI EventsManager
Exemplo
EsmDlibM.exe /copyData /destinationPath:Z:\DestServ
/destinationName:DestData /sourcePath:C:\SourServ
/sourceName:SourData /sourceEncPass:p@ss /markEventsAsDeleted
16.2.4 /importFromLegacyFile
Esta função permite imporatr os dados exportados para arquivos de uma versão mais antiga do GFI
EventsManager. Os parâmetros a seguir são aceitos:
Table 108: /importFromLegacyFile Parameters
Parâmetro
Descrição
/path:<path>
Especifica o caminho para o arquivo de importação.
Obs.
Parâmetros que contenham espaços devem estar
entre aspas (").
/logTypes:<application, custom, directory, security, dns,
filereplication, syslog, system, snmp, oracle, sql, text>
(Opcional) Especifica os tipos que você deseja importar.
Excluir parâmetro para importar todos os tipos de logs.
/password:<password>
(Opcional) Especifica uma senha para descriptografar
dados de importação.
(Opcional) Especifica a senha primária para manter o anonimato da importação de dados.
(Opcional) Especifica uma senha secundária para manter
o anonimato da importação de dados usando duas chaves.
Exemplo
EsmDlibM.exe /importFromLegacyFile
/path:C:\ImportData\Configuration.cfg /password:p@ss /anonpass1:p@ss
16.2.5 /exportToFile
Esta função permite exportar dados de um servidor de banco de dados DLib para outro como parte do
processo de centralização de dados Você também pode usar essa função de backup de dados para se
manter seguro. Os parâmetros a seguir são aceitos:
Table 109: /exportToFile
Parâmetro
Descrição
/path:<path>
Especifica o caminho da pasta para onde os dados são exportados.
Obs.
/sourceEncPass:<
password>
(Opcional) Especifique uma senha para criptografar os dados de origem.
/destinationEncPass:<
password>
(Opcional) Especifique uma senha para criptografar dados de destino.
/anonpass1:<
password>
(Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária
para descriptografar os dados exportados.
/anonpass2:<
password>
(Opcional) Se o banco de dados de origem é anônimo usando duas chaves de anonimato, digite
a senha de anonimato secundária para descriptografar os dados exportados.
GFI EventsManager
Parâmetro
Descrição
/period:<type><number><unit>
dias/semanas/meses mais antigos. Por exemplo, para filtrar eventos que aconteceram nos
últimos 24 dias, o valor do parâmetro é: l24d. E para filtrar eventos com mais de 3 semanas, o
valor do parâmetro é O3W. Os valores suportados incluem:
<type>:
o - mais antigo que
l - último
<unit>:
d - dias
w - semanas
m - meses.
/markEventsAsDeleted
(Opcional) Marca eventos copiados como excluídos no banco de dados de origem. Esses eventos
não são mais visíveis no console de gerenciamento, mas ainda permanecem no banco de dados.
Para a completa remoção do banco de dados, execute o trabalho Commit Deletions.
/log_format:<valor>
/machine:<valor> /importance:<value> /occured:<valor>
Esses parâmetros fornecem ao usuário uma forma conveniente para filtrar eventos pelas
colunas correspondentes. Esses filtros são opcionais. Quando utilizados em conjunto, eles
estão vinculados E condicionados aos dados de origem. Exceto na máquina onde o usuário pode
inserir o nome da máquina de destino como exibido no navegador de eventos, os outros
parâmetros possuem valores parâmetros predefinidos com as conotações óbvias listadas
abaixo. Valores suportados:
log_format:
"windows
auditoria sql
auditoria oracle
logs de texto
mensagens syslog
monitoramento
importância
Não classificado
Baixa
Média
Alta
Crítica
Ruído
ocorrido
Hoje
Ontem
Últimos 7 dias
Últimos 30 dias
Este mês
Último mês.
GFI EventsManager
Exemplo
EsmDlibM.exe /exportToFile /path:C:\ExportedDataFolder
/sourceEncPass:p@ss /markEventsAsDeleted /importance:High
16.2.6 /importFromFile
Esta função permite importar dados de um arquivo como parte do processo de centralização de
dados. O arquivo de importação deve ser criado a partir de um trabalho Export to File. Os
Table 110: /importFromFile Parameters
Parâmetro
Descrição
/path:<path>
Especifica o caminho onde o arquivo de importação é salvo.
Obs.
/password:<
password>
(Opcional) Se o arquivo de importação é protegido por senha, digite a senha.
/log_
format:<valor>
/machine:
<valor> /importance:
<value>
/occured:
<valor>
Esses parâmetros fornecem ao usuário uma forma conveniente para filtrar eventos pelas colunas
correspondentes. Esses filtros são opcionais. Quando utilizados em conjunto, eles estão vinculados E
condicionados aos dados de origem. Exceto na máquina onde o usuário pode inserir o nome da máquina
de destino como exibido no navegador de eventos, os outros parâmetros possuem valores parâmetros
predefinidos com as conotações óbvias listadas abaixo. Valores suportados:
log_format:
"windows
auditoria sql
auditoria oracle
logs de texto
mensagens syslog
monitoramento
importância
Não classificado
Baixa
Média
Alta
Crítica
Ruído
ocorrido
Hoje
Ontem
Últimos 7 dias
Últimos 30 dias
Este mês
Último mês.
GFI EventsManager
Exemplo
EsmDlibM.exe /importFromFile /path:C:\ImportFolder\Import.cfg
/password:p@ss /machine:MS11.domain.com /occured:true
16.2.7 /commitDeletedRecords
Esta função permite excluir eventos que são marcados como excluídos do banco de dados. Os
Table 111: /commitDeletedRecords Parameters
Parâmetro
Descrição
/dbPath:<dbPath>
Especifica o caminho para o servidor do banco de dados que contém os eventos marcados como
excluídos.
Obs.
/password:<
password>
(Opcional) Se o banco de dados é protegido por senha, digite a senha.
/anonpass1:<
password>
(Opcional) Se o banco de dados é anônimo, digite a senha para remover o anonimato.
/anonpass2:<
password>
(Opcional) Se o banco de dados é anônimo usando duas chaves de anonimato, digite a chave
secundária.
Exemplo
EsmDlibM.exe /commitDeletedRecords /dbpath:C:\DatabaseServerFolder
/password:p@ss /anonpass1:pa$$
16.2.8 /exoportToSQL
Essa função permite exportar eventos específicos para SQL Server®. Os parâmetros a seguir são
aceitos:
Table 112: /exportToSQL Parameters
Parâmetro
Descrição
/server:<serverName>
Especifica o endereço de IP ou o nome do computador que está sendo executado SQL Server®.
Obs.
/database:<
maindb|backupdb
>
Especifica o nome do banco de dados de destino.
/dbauth:<
SQL|WIN>
Especifica o modo autenticação configurado na origem SQL Server®. Valores suportados:
SQL: para usar autenticação SQL Server®
Obs.
WIN: para usar autenticaçãoWindows®.
/username:<username
Especifica um nome de usuário com acesso ao banco de dados para o qual importar os dados.
Obs.
GFI EventsManager
Parâmetro
Descrição
/password:<
password>
Especifica uma senha para o nome de usuário especificado no parâmetro /username.
/table:<table>
Especifica o nome da tabela de destino.
Obs.
/
period
:<
type
><number><unit>
dias/semanas/meses mais antigos. Por exemplo, para filtrar eventos que aconteceram nos últimos
24 dias, o valor do parâmetro é: l24d. E para filtrar eventos com mais de 3 semanas, o valor do
parâmetro é O3W. Os valores suportados incluem:
<type>:
o - mais antigo que
l - último
<unit>:
d - dias
w - semanas
m - meses.
/sourceEncPass:<
password>
(Opcional) Se os dados de origem são criptografados, digite a senha para descriptografar os dados
exportados.
/anonpass1:<
password
(Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária para descriptografar os dados exportados.
/anonpass2:<
password>
(Opcional) Se o banco de dados de origem é anônimo usando duas chaves de anonimato, digite a
senha de anonimato secundária para descriptografar os dados exportados.
Exemplo
EsmDlibM.exe /exportToSQL /server:192.168.11.11
/database:EventsDatabase /dbauth:SQL /username:sa /password:p@ss
/table:EventsTable /anonpass1:pa$$
DLibAdm.exe é usado para executar operações administrativas nos servidores de banco de dados DLib
instalados na rede.
Usar DLibAdm.exe:
2. Pressione Ctrl + Shift + Enter para executar CMD como administrador.
3. Altere o diretório ativo na pasta de instalação do Servidor de banco de dados DLib. Digite
(exemplo):
CD C:\Program Files\GFI\Database Server 2.0
Pressione Enter.
4. Digite DLibAdm.exe seguido das funções descritas abaixo:
/decryptDatabase
/encryptDatabase
GFI EventsManager
/displayAllDLib
/copyMoveDLib
16.3.1 /decryptDatabase
Essa função permite descriptografar um banco de dados DLib criptografado. Os parâmetros a seguir
são aceitos:
Table 113: /decryptDatabase Parameters
Parâmetro
Descrição
/dbPath:<caminho>
Especifique o caminho para o banco de dados que você deseja descriptografar.
Obs.
/dbName:<nome>
Especifique o nome do banco de dados que você deseja descriptografar.
Obs.
/password:<senha>
Especifica a senha usada para descriptografar o banco de dados.
Exemplo
DLibAdm.exe /decryptDatabase /dbPath:"C:\Program Files\GFI\Database
Server 2.0" /dbName:EventsDatabase /password:p@ss
16.3.2 /encryptDatabase
Essa função permite criptografar um banco de dados especificado. Os parâmetros a seguir são
aceitos:
Table 114: /encryptDatabase Parameters
Parâmetro
Descrição
/dbPath:<caminho>
Especifique o caminho para o banco de dados que você deseja criptografar.
Obs.
/dbName:<nome>
Especifique o nome do banco de dados que você deseja criptografar.
Obs.
/password:<senha>
Especifique a senha usada para criptografar o banco de dados.
Exemplo
DLibAdm.exe /encryptDatabase /dbPath:"C:\Program Files\GFI\Database
Server 2.0" /dbName:EventsDatabase /password:p@ss
16.3.3 /displayAllDLib
Essa função permite a listagem de todos os servidores válidos de banco de dados DLib executados em
uma pasta especificada. Os parâmetros a seguir são aceitos:
GFI EventsManager
Table 115: /displayAllDLib Parameters
Parâmetro
Descrição
/path:<caminho>
Especifique o caminho para a pasta na qual você deseja fazer a análise dos Servidores de Banco de
Dados DLib válidos.
Obs.
Exemplo
DLibAdm.exe /displayAllDLib /path:"C:\Program Files\GFI\Database
Server 2.0"
16.3.4 /copyMoveDLib
Essa função permite copiar ou mover um banco de dados DLib para um local especificado. Os
Table 116: /copyMoveDLib
Parâmetro
Descrição
/sourcePath:<sourcePath>
Especifique o caminho para o banco de dados de origem (banco de dados que você
deseja mover ou copiar).
Obs.
/destinationPath:<destinationPath>
Especifique o caminho para a pasta de destino.
Obs.
/copyMove:<copy|move>
Especifique a ação a ser executada no banco de dados. Valores suportados:
copiar
mover.
/dbName:<dbName>
Especifique o nome do banco de dados que você deseja copiar ou mover.
Obs.
Exemplo
DLibAdm.exe /copyMoveDLib /sourcePath:"C:\Program Files\GFI\Database
Server 2.0" /destinationPath:C:\EventsDatabases /copyMove:move
/dbName:EventsDatabase
EsmReport.exe permite gerar relatórios em produtos como a configuração e relatórios de atividades
de trabalho.
Para usar EsmReport.exe:
GFI EventsManager
4. Digite EsmReport.exe seguido de uma das seguintes funções:
Gerar relatórios de configuração
Gerar relatórios de status
Gerar relatórios de Eventos
16.4.1 Gerar relatórios de configuração
Essa função permite gerar relatórios de configuração sobre um único ou um grupo de origens do
evento. Os parâmetros a seguir são aceitos:
Table 117: Parâmetros do relatório de configurações
Parâmetro
Descrição
/type:<configuration|status|events>
Especifica o tipo de relatório a ser gerado. Valores suportados:
configuração
status
eventos.
Digite /type:configuration para gerar um relatório de configuração.
/target:<caminho>
Especifica o caminho da pasta onde os relatórios gerados são salvos.
Obs.
/format:<html|csv>
Especifica o formato do relatório. Valores suportados:
html
csv.
/source:<nome>
Especifica o nome da origem do evento. Utilize este parâmetro para gerar um
relatório de configuração sobre uma única origem de evento.
Obs.
/group:<nome>
Especifica o nome do grupo de origens do evento Utilize este parâmetro para gerar
um relatório de configuração sobre um grupo de origens de eventos.
Obs.
Exemplo
EsmReport.exe /type:configuration /target:C:\ReportsFolder
/format:html /group:"Domain Controllers"
16.4.2 Gerar relatórios de status
Essa função permite gerar Relatórios de status GFI EventsManager. Os parâmetros a seguir são
aceitos:
GFI EventsManager
Table 118: Parâmetros do relatório de status
Parâmetro
Descrição
configuração
status
eventos.
Digite /type:status para gerar um relatório de status.
/subtype:<messages|stats>
Especifica o tipo de relatório de status que deseja gerar. Valores suportados:
messages - quando as mensagens forem especificadas, os seguintes parâmetros
podem ser usados:
/period:<current|date> - digite current para geral um relatório com as
mensagens geradas no mesmo dia. Ou digite uma data para gerar um relatório de status contendo as mensagens geradas na data especificada.
stats - quando as estatísticas são especificadas como um subtipo, os seguintes
parâmetros podem ser usados:
/format:<html|csv> - especifica o formato do relatório. Os valores são
HTML e CVS
/period: <"all time"|date> - especifica o período de tempo que o relatório
se baseia. Os valores suportados incluem "all time" ou então uma data específica.
/options:<"error messages"|"only with issues"> - especifica o tipo de
estatísticas a gerar. Os valores suportados são "error messages" e "only with
issues"
/target:<caminho> - especifica o caminho da pasta onde os relatórios gerados são salvos.
Obs.
Messages example
EsmReport.exe /type:status /subtype:messages /period:"current date"
Stats example
EsmReport.exe /type:status /subtype:stats /format:html
/period:20130111 /options:"error messages" /target:C:\StatsReports
16.4.3 Gerar relatórios de eventos
Essa função permite gerar Relatórios de eventos. Os parâmetros a seguir são aceitos:
GFI EventsManager
Table 119: Parâmetros de relatórios de eventos
Parâmetro
Descrição
configuração
status
eventos.
Digite /type:events para gerar um relatório de eventos.
/repname:<fullReportName>
Especifica um nome para o relatório gerado.
Obs.
/repid:<reportID>
Especifica uma ID exclusiva para o relatório gerado.
Obs.
/target<caminho>
Especifica o caminho para a pasta onde o relatório será salvo.
Obs.
/format:<html|csv>
Especifica o formato do relatório. Valores suportados:
html
csv.
/datefrom:<startDate>
Especifica a data de início do prazo para os relatórios.
/dateto:<endDate>
Especifica a data final do prazo para os relatórios.
/scheduled
Especifique este parâmetro para gerar o relatório com base nas definições de agendamento configuradas no Console de Gerenciamento.
Exemplo
EsmReport.exe /type:events /repname:"New Events Report" /repid:11
/target:C:\ReportsFolder /format:html /datefrom:20121201
/dateto:20130111
16.4.4 Usar ImportSettings.exe
Importsettings.exe permite importar a configuração de uma pasta de dados ou de um arquivo de
configuração que foi exportado de outra instância GFI EventsManager Use esta ferramenta para fazer
backup das configurações do console de gerenciamento.
Para usar ImportSettings.exe:
4. Digite ImportSettings.exe seguido dos parâmetros descritos abaixo:
GFI EventsManager
Table 120: CMD: Parâmetros do ImportSettings.exe
Parâmetro
Descrição
/operation:<operação>
Especifica a operação a ser executada. Valores suportados:
importFile
/destination:
<pasta>
Especifica a pasta de destino para onde a configuração é importada.
importFolder.
Obs.
/sourceFile:
<nome de
arquivo>
Especifica o nome do arquivo que contém as configurações exportadas. Utilize este parâmetro para
definir o nome do arquivo ao executar uma operação ImportFile.
Obs.
/sourceFolder:
<nome da
pasta>
Especifica o nome da pasta que contém as configurações exportadas. Use esse parâmetro para
definir o nome da pasta ao executar uma operação importFolder.
Obs.
/id:<EsmInstanceID>
Este parâmetro só pode ser usado quando você deseja alterar o ID da instância de GFI EventsManager. Se o valor não for especificado, a mesma ID é preservada. Quando este parâmetro não é
usado, os parâmetros, /operation, /destination, /sourceFile ou /sourceFolder são obrigatórios.
Exemplo
ImportSettings.exe /operation:importFile
/destination:C:\NewDestination /sourceFile:C:\ExportedSettings
OU
ImportSettings.exe /id:newInstanceID
16.4.5 Usar ExportSettings.exe
ExportSettings.exe permite exportar as definições de configuração doGFI EventsManager para um
arquivo de configuração
Para usar ExportSettings.exe:
4. Digite ExportSettings.exe seguido dos parâmetros descritos abaixo:
Table 121: CMD: Parâmetros do ExportSettings.exe
Parâmetro
Descrição
/destination:
<nome de
arquivo>
Especifica um caminho de pasta válido, incluindo o nome do arquivo para onde as configurações são
exportadas. Exceto quando especificado, .esmbkp é anexado como uma extensão ao nome do arquivo.
Obs.
GFI EventsManager
Parâmetro
Descrição
/folder:
<pasta>
Este parâmetro é utilizado para instruir a ferramenta para exportar as configurações de outro local
diferente da pasta de dados padrão. Especifica o caminho da pasta que contém configurações de
dadosGFI EventsManager a serem exportadas.
Obs.
Exemplo
ExportSettings.exe /destination:C:\NewDestination
GFI EventsManager
17 Diversos
Este capítulo fornece informações relacionadas à configuração de componentes de terceiros exigidos
pelas operações de auditoriaGFI EventsManager. Aprenda como configurar e executar ações GFI
EventsManager por meio de ferramentas de linha de comando.
335
343
348
Esta seção descreve como configurar as permissões exigidas por GFI EventsManager para auditar os
sistemas e processar os eventos necessários. Este processo tem de ser feito em cada máquina a ser
verificada.
Ativar permissões em Microsoft® Windows® XP
Ativar permissões em Microsoft® Windows® Vista.
Ativar permissões em Microsoft® Windows® 7
Ativar permissões no servidor Microsoft® Windows® 2003
Ativar permissões no servidor Microsoft® Windows® 2008 (incluindo R2)
Obs.
Em um ambiente de diretório ativo, as permissões podem ser definidas
automaticamente através do Objeto da Política de Grupo (GPO). Para obter mais
informações, consulte Ativar automaticamente permissões de origem do evento.
17.1.1 Ativar permissões em Microsoft® Windows® XP.
Para ativar as permissões de origens de evento Microsoft® Windows®:
1. Clique na guia Start > Control Panel > Windows Firewall > Exceptions.
GFI EventsManager
17 Diversos | 335
Screenshot 277: Regras de firewall no Microsoft® Windows® XP
2. Na lista Programs and Services, ative File and Printer Sharing.
3. Clique em OK.
17.1.2 Ativar as permissões do Microsoft® Windows® Vista.
Para ativar as permissões em máquinas executando Microsoft® Windows® Vista:
Etapa 1: Ativar permissões de Firewall
Etapa 2: Ativar recursos adicionais de auditoria
1. Clique Start > Control Panel > Security e clique em Allow a program through Windows Firewall no
painel esquerdo.
2. Selecione a guia Exceptions na lista Allowed programs and features para ativar as seguintes
regras:
Gerenciamento de log de evento remoto
Compartilhamento de arquivo e impressora
Descoberta de rede.
3. Clique em Aplicar.
GFI EventsManager
17 Diversos | 336
1. Clique em Start > Run e digite secpol.msc. Pressione Enter.
2. No nó Security Settings, expanda Local Policies > Audit Policy.
3. No painel direito, clique duas vezes em Audit object acess.
GFI EventsManager
17 Diversos | 337
Screenshot 279: Propriedades do acesso ao objeto de auditoria
4. O Audit object access Properties, selecione Success e Failure e clique em OK.
5. No painel direito, clique duas vezes em Audit Process tracking.
6. Em Audit process tracking Properties, selecione Success e Failure e clique em OK.
7. No painel direito, clique duas vezes em Audit account management.
9. No painel direito, clique duas vezes em Audit system events.
11. Feche a janela Política de segurança local.
GFI EventsManager
17 Diversos | 338
17.1.3 Ativar permissões em Microsoft® Windows® 7.
Para ativar permissões nas máquinas de execução Microsoft® Windows® 7:
Para ativar manualmente as regras de firewall em Microsoft® Windows® 7:
1. Clique em Start > Control Panel > System and Security e clique em Allow a program through
Windows Firewall sob a categoria Windows Firewall.
Screenshot 280: Programas permitidos no Microsoft® Windows® Vista ou posterior
2. Na lista Allowed programs and features habilite as seguintes regras:
Descoberta de rede.
GFI EventsManager
17 Diversos | 339
3. Selecione Domain, Private e Public para cada regra mencionada acima.
4. Clique em OK.
1. Clique em Start > Run e digite secpol.msc. Pressione Enter.
2. No nó Security Settings, expanda Local Policies > Audit Policy.
3. No painel direito, clique duas vezes em Audit object acess.
4. A partir Audit object access Properties, selecione Success e Failure. Clique em OK.
GFI EventsManager
17 Diversos | 340
Screenshot 282: Propriedades da auditoria do acesso ao objeto
5. No painel direito, clique duas vezes em Audit Process tracking.
6. No Audit process tracking Properties, selecione Success e Failure. Clique em OK.
8. No painel direito, clique duas vezes em Audit account management.
10. No painel direito, clique duas vezes em Audit system events.
12. Feche a janela Política de segurança local.
17.1.4 Ativar permissão servidor Microsoft® Windows® 2003
Para ativar manualmente as regras de firewall no servidor Microsoft® Windows® 2003:
1. Clique em Start > Control Panel > Windows Firewall e selecione a guia Exceptions .
GFI EventsManager
17 Diversos | 341
Screenshot 283: Ativar regras de firewall no servidor Microsoft® Windows® 2003
2. Na lista Programs and Services, ative File and Printer Sharing.
3. Clique em OK.
17.1.5 Ativar permissões no servidor Microsoft® Windows® 2008 (incluindo R2)
1. Clique Start > Control Panel > Security e clique em Allow a program through Windows Firewall
sob a categoria Windows Firewall.
2. Na lista de programas, ative o seguinte:
Network Discovery
Gerenciamento remoto de log de eventos.
GFI EventsManager
17 Diversos | 342
Screenshot 284: Regras de firewall no servidor Microsoft® Windows® 2008
3. Clique em OK.
Obs.
No servidor Windows®2008 R2, certifique-se de selecionar Domain, Private e Public
para cada regra mencionados acima.
Ativar permissões usando servidor Windows® 2003 via GPO
Ativar permissões usando servidor Windows® 2008 via GPO
17.2.1 Ativar permissões usando GPO no servidorWindows® 2003 via GPO
Para abrir as permissões de todos os clientes de domínio usando o controlador de domínio do servidor
Microsoft® Windows® 2003:
GFI EventsManager
17 Diversos | 343
1. Clique em Start > Run, digite MMC. Pressione Enter.
2. Clique em File > Add/Remove Snap-in e clique em Add.
3. Localize e selecione o Group Policy Object Editor e clique em Add.
4. Clique em Browse, selecione Default Domain Policy e clique em OK.
6. Selecione Group Policy Object Editor novamente e clique em Add.
7. Clique em Browse, clique duas vezes na pasta Domain Controllers e selecione Default Domain
Controllers Policy. Clique em OK.
8. Clique em Finish e Close.
9. No Console Root, expanda Default Domain Policy > Administrative Templates > Network >
Network Connections > Windows Firewall > Domain Profile.
Screenshot 285: Console de política de domínio no servidor Microsoft® Windows® 2003
10. Na lista Settings, clique com o botão direito em Windows Firewall: Allow file and printer sharing
exception e selecione Properties.
11. Na guia Settings, selecione Enabled e clique em OK.
12. Repita as etapas 9 a 11 de Default Domain Controllers Policy.
13. Clique em File > Save para salvar o console de gerenciamento. As políticas de grupo entram em
vigor sempre que a máquina é reiniciada.
17.2.2 Ativar permissões no servidor Windows® 2008 via GPO
Ativar as permissões de todos os clientes do domínio:
1. Clique em Start > Administrative Tools > Group Policy Management.
2. Expanda Group Policy Management > Forest > Domains > <Nome de domínio> > Group Policy
Objects.
GFI EventsManager
17 Diversos | 344
Screenshot 286: Gerenciamento de Políticas de Grupo no servidor Microsoft® Windows® 2008 R2
3. Clique com o botão direito em Default Domain Policy e clique em Edit.
4. Expanda Computer Configuration > Policies > Windows Settings > Security Settings > Windows
Firewall with Advanced Security, clique com o botão direito em Inbound Rules e selecione New
Rule…
GFI EventsManager
17 Diversos | 345
Screenshot 287: Editor de Gerenciamento de Política de Grupo
5. No assistente New Inbound Rule, selecione Predefined, e selecione File and Printer Sharing.
GFI EventsManager
17 Diversos | 346
Screenshot 288: Regras predefinidas
6. Clique em Next.
7. Selecione todas as regras e clique Next.
8. Selecione Allow the connection e clique em Finish.
9. Repita as etapas 5 a 8 em cada uma das seguintes regras:
Descoberta de rede.
10. No Group Policy Management Editor, expanda Computer Configuration > Policies > Windows
Settings > Security Settings > Windows Firewall with Advanced Security, clique com o botão direito
Outbound Rules e selecione New Rule...
Repita os passos 5 a 9, no passo 9 ativar apenasNetwork Discovery.
12. Feche Group Policy Management Editor.
GFI EventsManager
17 Diversos | 347
13. Em Group Policy Management, expanda Group Policy Management > Forest > Domains ><Nome
de domínio> > Default Domain Controllers Policy.
14. Repita as etapas 4 a 13.
15. Clique em File > Save para salvar o console de gerenciamento. As políticas de grupo entram em
vigor sempre que a máquina é reiniciada.
Quando GFI EventsManager é configurado para coletar eventos usando uma máquina de destino de
contas locais, o User Account Control (UAC) deve estar desativado. Para desativar UAC nas máquinas
Microsoft® Windows® Vista ou posterior:
1. Clique em Start > Run, digite secpol.msc e pressione Enter.
2. Em Security Settings, expanda Local Policies e clique em Security Options.
3. Clique com o botão direito em User Account Control: Run all administrators in Admin Approval
Mode e selecione Properties.
Screenshot 289: Desativar UAC
4. Na guia Local Security Settings, selecione Enabled e clique em OK.
5. Feche a janela de Política de Segurança Local.
GFI EventsManager
17 Diversos | 348
18 Solução de problemas
Use as informações nas seções a seguir para resolver os problemas encontrados em GFI
EventsManager:
Documentação
GFI SkyNet
Solicitar suporte técnico
fórum da Web
Assistente de solução de problemas
18.1 Documentação
Se o manual não atender às suas expectativas ou se você tiver sugestões para melhorá-lo, envie um
email para [email protected].
18.2 GFI SkyNet
A GFI mantém um repositório de base de dados de conhecimento que contém respostas para os
problemas mais comuns. A GFI SkyNet sempre tem a listagem mais atualizada de perguntas e patches
do suporte técnico. Caso as informações deste guia não resolvam seus problemas, consulte a GFI
SkyNet em http://kb.gfi.com/.
18.3 Solicitar suporte técnico
Se os recursos aqui mencionados não ajudarem você a resolver seus problemas, contate a equipe de
suporte técnico GFI preenchendo o formulário de solicitação de suporte online ou por telefone.
Online: Para enviar a solicitação de suporte, preencha o formulário e siga rigorosamente as instruções desta página: http://support.gfi.com/supportrequestform.asp
Telefone: Para obter o número de telefone correto do suporte técnico da sua região, visite:
http://www.gfi.com/company/contact.htm
Obs.
Ao contatar o suporte técnico, tenha sua ID de cliente em mãos. A ID de cliente é o
número da conta online atribuído a você durante o registro das suas chaves de licença
na área do cliente GFI em: http://customers.gfi.com.
Responderemos à sua pergunta em até 24 horas, dependendo do seu fuso horário.
18.4 fórum da Web
O suporte técnico de usuário para usuário está disponível no fórum da web da GFI. Acesse o fórum da
Web visitando: http://forums.gfi.com
18.5 Assistente de solução de problemas
Para usar a ferramenta solução de problemas:
1. Acesse a pasta instalar de GFI EventsManager.
2. Localize e clique duas vezes em Trouble.exe.
GFI EventsManager
18 Solução de problemas | 349
Screenshot 290: Selecionar modo de coleta de informações
4. Selecione como o assistente de solução de problemas deve coletar informações. Selecionar em:
Automatically detect and fix known issues - Selecione esta opção para permitir que o GFI
EventsManager execute um conjunto de verificações para identificar o que está errado
Gather only application information and logs - Especifique os detalhes do contato, descrição do
problema e informações do sistema para enviá-los para a nossa equipe de suporte. Caso escolha
esta opção, pule para a etapa 9.
GFI EventsManager
Screenshot 291: Verificações automáticas de solução de problemas
5. Espere o assistente de solução de problemas executar as verificações obrigatórias e clique em
Next.
Screenshot 292: Assistente de solução de problemas reparando automaticamente os problemas detectados
6. Espere o assistente de solução de problemas aplicar as correções nos problemas detectados
durante a verificação. Se isso resolver o problema, clique em Yes e Finish. Se o problema persistir,
selecione No e clique em Next.
GFI EventsManager
Screenshot 293: Se o problema persistir, pesquise nos arquivos da nossa base de conhecimento
7. Pesquise nos artigos relacionados com o problema no arquivo da nossa base de conhecimento.
Digite o erro encontrado na caixa de texto Enter search items e clique em Search. Se isso resolver o
problema, clique em Yes e Finish. Se o problema persistir, selecione No e clique em Next.
Screenshot 294: Verificação manual dos problemas
8. Clique em Next (Avançar).
GFI EventsManager
Screenshot 295: Especificar detalhes do contato
9. Digite os detalhes do contato para que a equipe de suporte possa contatá-lo para mais informação
de análise. Clique em Next (Avançar).
Screenshot 296: Digite a descrição do problema e outras informações
10. Especifique o erro recebido e outras informações para ajudar a equipe de suporte a recriar o
problema. Clique em Next (Avançar).
GFI EventsManager
Screenshot 297: Coleta de informações da máquina
11. O assistente de solução de problemas analisa o sistema para obter informação do hardware. É
possível adicionar manualmente mais informações no espaço fornecido ou clicar em Next.
Screenshot 298: Finalizar o processo de solução de problemas
12. Neste estágio, o assistente de solução de problemas cria um pacote com as informações coletadas
nas etapas anteriores. Em seguida, envie este pacote à nossa equipe de suporte para analisar e
solucionar o problema. Selecionar em:
GFI EventsManager
FTP Upload Instructions - Abre um artigo com instruções sobre como carregar o pacote de solução de problemas no nosso servidor FTP
Open Containing Folder - Abre a pasta que contém o pacote de solução de problemas para que
você possa enviá-lo por email
Go to GFI Support - Abre a página de suporte do website da GFI.
GFI EventsManager
19 Glossário
A
Ações
As atividades que serão realizadas como resultado de eventos que correspondem às condições
específicas. Por exemplo, você pode acionar ações quando um evento for classificado como crítico. Ações permitidas pelo GFI EventsManager incluem os alertas, arquivamento de dados e a
execução de scripts.
Alertas
Notificações que informem aos destinatários a ocorrência de um determinado evento. GFI
EventsManager pode gerar alertas de email, alertas de SMS e alertas de rede.
Alertas de email
Notificações de email que informam aos destinatários a ocorrência de um determinado
evento. Para ativar alertas de email, você precisa ter acesso a um servidor de email ativo.
Alertas de rede
Mensagens da rede (conhecidas como mensagens Netsend) que informam aos destinatários
sobre a ocorrência de um determinado evento. Essas mensagens são enviadas através de um
sistema/protocolo de mensagens instantâneas e são mostradas como um pop-up na bandeja
do sistema da área de trabalho do destinatário. Para configurar alertas de rede, você deve
especificar o nome ou o IP dos computadores para onde as mensagens Netsend serão enviadas.
Alertas de SMS
Notificações SMS que informam aos destinatários a ocorrência de um determinado evento. NO
GFI EventsManager, alertas SMS podem ser enviados através de várias fontes, inclusive celulares com modernas capacidades e portas de email para SMS baseadas na Web.
Arquivo morto
Uma coleção de eventos armazenados no servidor do banco de dados SQL, de acordo com o
banco de dados GFI EventsManager.
Auditoria de objetos
Ativar este recurso de auditoria para auditar eventos de usuários que acessam objetos (por
exemplo, arquivos, pastas e impressora). Para obter mais informações, consulte http://technet.microsoft.com/en-us/library/cc976403.aspx
B
Base de informações de gerenciamento
Um MIB é o equivalente a um dicionário de dados ou tabela de codificação. Ele associa objetos
identificadores (OIDs) com uma etiqueta legível e vários outros parâmetros relacionados a um
objeto de rede ativa, como um roteador. Sua principal função é montar e interpretar mensagens SNMP transmitidas a partir de dispositivos de rede SNMP habilitados. As informações
GFI EventsManager
19 Glossário | 356
armazenadas em MIBs são organizadas hierarquicamente e normalmente são acessadas através de um protocolo como SNMP.
C
Classificação de evento
A categorização de eventos como Crítica, Alta, Média, Baixa ou Ruídos.
COM+Network Access
Ativar o firewall para permitir que as máquinas dos clientes acessem aplicativos ou serviços
que residam no servidor. GFI EventsManager permite o acesso a recursos de todos os servidores. Para obter mais informações sobre essa permissão, consulte http://technet.microsoft.com/en-us/library/cc731967.aspx
Ativar a permissão do firewall para autorizar ao GFI EventsManager o acesso às definições de
eventos nas máquinas alvo. Para obter mais informações, consulte http://technet.microsoft.com/en-us/library/cc779133(WS.10) .aspx
Conjunto de regras
Um conjunto de regras de processamento de dados.
D
Descoberta de redes
Ativar essa permissão firewall para autorizar o GFI EventsManager a obter informações sobre
as máquinas conectadas na rede que podem ser digitalizados. Para obter mais informações,
consulte http://technet.microsoft.com/en-us/library/cc181373.aspx
E
Eventos do sistema de auditoria
O evento é gerado quando ocorrem eventos importantes no sistema, tais como o usuário reiniciar ou desligar o computador de destino ou quando ocorre um evento que afeta o log de
segurança. Para obter mais informações, consulte http://technet.microsoft.com/en-us/library/cc782518(WS.10).aspx
Eventos não classificados
Eventos que não atendem nenhuma condição de processamento de eventos configurados nas
regras de processamento de eventos.
G
Gerenciamento da conta de auditoria
Gera eventos quando as operações de gerenciamento de conta são executadas como criar/excluir uma conta ou grupo de usuários, ativar/desativar uma conta de usuário e definir/alterar uma senha de usuário. Para obter mais informações, consulte
http://technet.microsoft.com/en-us/library/cc737542(WS.10).aspx
GFI EventsManager
19 Glossário | 357
Para permitir acesso ao GFI EventsManager e obter os eventos de computadores remotos.
Para obter mais informações, consulte http://technet.microsoft.com/en-us/library/cc766438.aspx
I
Interceptações SNMP
Notificações/alertas geradas e transmitidas pelos componentes da rede ativa (por exemplo:
hubs, roteadores e pontes) ao(s) servidor(es) SNMP quando eventos importantes, como falhas
ou violações de segurança, ocorrerem. Os dados contidos nas Interceptações SNMP podem conter configuração e status tão quanto informações estatísticas, tais como o número de falhas
no dispositivo até o momento.
IPSec
A Segurança do protocolo de Internet é uma estrutura de um conjunto de protocolos de segurança na camada do processamento da rede ou do pacote de comunicação em rede. Abordagens de segurança anteriores inseriram segurança na camada de aplicação do modelo de
comunicação. IPsec é conhecimento por ser especialmente útil na implementação de redes virtuais privadas e no acesso do usuário remoto através de uma conexão de acesso telefônico de
redes privadas. A grande vantagem do IPsec é que as medidas de segurança podem ser tratadas sem a necessidade de mudanças para os computadores de usuários individuais.
L
Logs de eventos
Uma coleção de entradas que descreve eventos ocorridos na rede ou em um sistema de computador. GFI EventsManager suporta diferentes tipos de logs de eventos, incluindo: O log de
eventos e logs W3C, Syslog, Interceptações SNMP e servidor de auditoria de eventos SQL.
Logs de eventos Windows
Um conjunto de entradas que descreve eventos ocorridos em um computador executando o
sistema operacional Windows.
Logs W3C
W3C é um formato de log comum desenvolvido pelo World Wide Web Consortium. Logs W3C
são arquivos planos baseados em textos utilizados principalmente por servidores web, incluindo o Microsoft Internet Information Server (IIS) para registrar eventos relacionados com
web, tais como logs de web.
M
Mensagens syslog
Notificações/alertas geradas com mais frequência e transmitidas em um servidor Syslog pelos
sistemas UNIX e Linux, quando eventos importantes ocorrerem. Mensagens syslog podem ser
geradas por estações de trabalho e servidores, bem como dispositivos de rede ativos e equipamentos, como roteadores Cisco e firewall Cisco PIX para registrar falhas e violações de segurança, entre outras atividades.
GFI EventsManager
19 Glossário | 358
P
A pasta que contém um ou mais conjunto de regras.
R
Rastreamento do processo de auditoria
Gera eventos que rastreiam ações como programas que são abertos, fechados, bem como
outras informações de acesso indireto que contêm importantes informações de segurança.
Para obter mais informações, consulte http://technet.microsoft.com/en-us/library/cc775520(WS.10).aspx
Um conjunto de instruções que são aplicados a um log de eventos.
Ruído
Repetidas entradas de logs que relatam um mesmo evento.
S
Segurança do protocolo de Internet
A estrutura de padrões abertos utilizadas para criptografar e autenticar os pacotes de rede
durante uma sessão de comunicação entre computadores. Com o uso de serviços de criptografia, o IPsec garante a integridade, autenticação e sigilo dos dados.
SNMP Object Identifier (OID)
Um identificador do objeto SNMP é um endereço de uma sequência de números “pontilhados”
(Exemplo: 1.3.6.1.4.1.2682.1). Esse número exclusivo identifica e localiza um dispositivo específico (Exemplo: centro) em toda a rede. O SNMP OIDs são componentes-chave na montagem
de mensagens SNMP. Na verdade, um servidor SNMP não pode interpretar nem montar mensagens que não tenham um OID. Frequentemente, fornecedores individuais criam seus próprios MIBs, que incluem apenas OIDs especificamente associados ao seu dispositivo.
GFI EventsManager
19 Glossário | 359
20 Índice
A
Exportar dados 31, 260, 323
Ações de classificação padrão 214, 304
F
Alertas 56, 64-65, 81, 138, 176, 190, 213, 215, 222, 231,
296
Alertas de email 24, 186, 214-215
Alertas de rede 218
Alertas de SMS 219
Antivírus 32, 36, 116, 119
Armazenamento de arquivo 251, 287
Arquivo morto 81, 86, 96, 176
Atualização automática 44, 53, 295
B
Firewall 22, 29, 32, 63, 110, 335-336, 339, 341-342, 344345
G
GFI EndPointSecurity 28, 66, 123, 168-169
GFI LanGuard 28, 118, 138, 168-169
Grupos 35, 60, 63, 68-69, 72, 78, 81, 138, 164, 174, 210,
222, 227, 233, 236, 316
Grupos de servidores de banco de dados 83, 92
H
Hash 249, 252
Back-end do banco de dados 24, 33, 44, 53, 86, 96, 140,
249, 319
Histórico operacional 141, 161, 167, 170
Backup 140, 171, 221, 332
I
Banco de dados 38, 45, 55-56, 82-83, 91, 102, 119, 126,
128, 134, 139, 168-169, 173, 179, 221, 249-250,
254, 257, 259, 266, 271, 275, 278, 280, 291, 311,
320, 327
Importar 36, 60, 69, 88, 97, 244, 249, 260, 279, 283, 287,
304, 320, 332
C
Instalação 26, 29, 32, 37, 45, 54, 117, 129, 146, 174, 294,
310, 316, 327
L
Classificação 64-65, 118, 166, 175-176, 184, 188, 193,
199, 203, 210, 213
LAN 27-29, 254
Codificação de cores 126, 132
Licença 38, 47, 72, 74, 77, 302, 316, 349
Console de Início rápido 54
Licenciamento 77, 293, 302
Credenciais 42, 51, 61, 64, 69, 73-75, 84, 92, 217, 242,
247, 271, 281, 296, 316
Logon 42, 51, 59, 61, 63, 69, 73, 75, 84, 94, 102, 123,
136, 146, 180, 183, 239, 246, 271, 280, 296
Credenciais de descoberta automática 246
Logs de eventos personalizados 118
CSV 73, 77, 107, 126
Logs de texto 24, 28, 64, 73, 77, 82, 105, 112, 126, 138,
142, 179, 182, 217, 322
D
DLib 39, 45, 320
DMZ 27, 29
DNS 27-28, 30, 35, 102
E
Email 164, 176, 217
M
Manter anonimato 242
MIB 113
Monitoramento de atividade 27, 56, 136
Monitorar 22, 34, 45, 63, 65, 67, 79, 82, 92, 122, 124,
136, 180, 197
EventsManagerAdministrator 222, 318
N
Exibição geral 136-137, 143, 146, 161, 169, 256
Navegador de eventos 22, 31, 125, 128, 130, 244
Exibir atividade de trabalho 140
O
Exibir estatísticas 142
Exportar 31, 36, 126, 140, 145, 168-169, 171, 242, 249,
259-260, 264, 268, 276, 281, 289, 305, 326, 333
Opções de alertas 55, 64, 215, 239
Opções de auditoria 64, 100, 239, 246
Opções de desempenho 293
GFI EventsManager
Índice | 360
Operações do banco de dados 36, 258, 264, 268, 273,
276, 279
Origem do evento 32, 61, 64-65, 68, 72, 74, 76, 78-79,
81, 110, 120, 141, 165, 167, 169, 183, 188, 198,
203, 207, 210, 215, 330, 335, 343
Origens do evento 65, 197, 201, 235, 304, 330
P
Painel 56-57, 64, 88, 98, 122-123, 126, 129, 132, 136,
162, 188, 192, 223, 236, 238, 242, 255, 290, 303304, 312, 336, 340
Pasta raiz 66, 147, 155, 195, 199, 204, 212
portas 32, 118, 123, 139
Protocolos 33, 139, 179
R
Regras de processamento de eventos 24, 55-56, 66-67,
81, 122, 124, 129, 138, 176, 178, 181, 192-193,
198, 202, 304, 312
Relatórios 56, 66-67, 126, 144-146, 149, 166, 169, 173,
244, 249, 312, 330
Resumo diário 162
S
Segurança do console 63, 240
Servidor de banco de dados DLib 38, 45
SNMP 22, 24, 33, 64, 74, 77, 82, 112, 139, 141-142, 168169, 179, 186, 193, 215
Status 57, 62, 122, 124, 136, 140, 142, 168-169, 244,
250, 256, 290, 302, 330
Syslog 24, 30, 34, 56, 61, 69, 73, 82, 139, 143, 146, 179,
219
U
Usuários 63, 77-78, 100, 118, 123, 139, 146, 148, 193,
214, 216, 222, 229, 236, 239, 295, 311
V
Verificações 65, 73, 79, 176, 180, 186, 193, 195, 199,
204, 210, 212, 215, 350
W
WAN 27, 31
GFI EventsManager
Índice | 361
EUA, CANADÁ E AMÉRICA DO SUL E CENTRAL
15300 Weston Parkway, Suite 104 Cary, NC 27513, EUA
Telefone: +1 (888) 243-4329
Fax: +1 (919) 379-3402
[email protected]
REINO UNIDO E REPÚBLICA DA IRLANDA
Magna House, 18-32 London Road, Staines-upon-Thames, Middlesex, TW18 4BP, Reino Unido
Telefone: +44 (0) 870 770 5370
Fax: +44 (0) 870 770 5377
[email protected]
EUROPA, ORIENTE MÉDIO E ÁFRICA
GFI House, San Andrea Street, San Gwann, SGN 1612, Malta
Telefone: +356 2205 2000
Fax: +356 2138 2419
[email protected]
AUSTRÁLIA E NOVA ZELÂNDIA
83 King William Road, Unley 5061, Austrália do Sul
Telefone: +61 8 8273 3000
Fax: +61 8 8273 3099
[email protected]

2 Instalação do GFI EventsManager

Transcrição

Documentos relacionados

Clique no menu “Safari”. - Universidade Federal da Paraíba

Configuração do Proxy no Internet Explorer - Multiweb

2. Procurar por ID

personalize o seu cruzeiro

Lexmark X656de TUTORIAL DE IMPRESSÃO E RETENÇÃO

CONEXÃO DOMÉSTICA – GOOGLE CHROME 1

Manual configurando seu e-mail no Outlook Express 6

CONFIGURAÇÃO DO MOZILLA FIREFOX PARA ABRIR

Configuração do Proxy no Mozilla Firefox 1 - Multiweb

manual para configurar cliente ftp filezilla 1 2 3 4