Alerting Center

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


Einrichtung und Funktion des AlertingCenters
Neue Funktion in 11.8 

Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.


Einleitung

Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt

  • umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
  • regelmäßige Berichte, die in einem festen Zeitraum versendet werden.

Verschiedenen Ereignissen können Priority-Gruppen gemäß der Kategorisierung von Syslogmeldungen zugeordnet werden

Voraussetzungen

Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü →Anwendungen→Mailrelay ein Smarthost konfiguriert werden.


Konfiguration

Menüpunkt →Alerting Center

Allgemein

UTM 11-8 AlertingCenter Allgemein.png
  •  Status 
sollte grün sein, sonst bitte das Mailrelay prüfen.
  •  E-Mail-Adresse: 
hier muss eine gültige Mail-Adresse stehen.
Diese wird im Menü →Netzwerk→Servereinstellungen Globale E-Mail Adresse  eingestellt.
  •  Umgehender
    E-Mail Bericht für: 
Hier können verschieden Benachrichtigungs- bzw. Syslog-Priority-Gruppen angegeben werden.
Mit einem Klick in das weiße Feld können weitere Priority-Gruppen ausgewählt werden.
Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Priority-Gruppe verknüpft wurde wird umgehend eine E-Mail versendet.
0. x Notfall 4. x Warnung
1. x Alarm 5. x Notiz
2. x Kritisch 6. x Info
3. x Fehler 7. x Debug
  •  Regelmäßiger
    E-Mail Bericht für: 
Hier können verschieden Benachrichtigungs- bzw. Syslog-Priority-Gruppen angegeben werden.
Mit einem Klick in das weiße Feld können weitere Priority-Gruppen ausgewählt werden.
Diese Werte werden in einer regelmäßig versendeten Mail aufgeführt.
  •  Regelmäßiger
    E-Mail Bericht: 
Hier werden Wochentage und Uhrzeit für regelmäßige Berichte ausgewählt.



Es gibt zwei verschiedene Gruppen von Benachrichtigungs-Werten:
Beispiel für Schwellenwert-gesteuerte Benachrichtigung

Über Schwellenwert gesteuerte Benachrichtigungen:

Bei diesen Werten können angegeben werden:

 Tolerierte Überschreitung der Schwellenwerte:  Zeitangabein Minuten

Für die erste und zweite Benachrichtigungsstufe jeweils

  •  Benachrichtigungstyp: 
     Syslog-Priority-Gruppe , die dieser Stufe zugeordnet wird.
  •  Schwellenwert: 
    Wert, ab dem diese Stufe erreicht wird




Name Tolerierte Überschreitung der Schwellenwerte
Standardwert
Schwellenwert 1
Standardwert
Schwellenwert 2
Standardwert
  • CPU 0 Auslastung Benutzer
    (CPU_0_USER)
60 Minuten 70 % CPU Auslastung oder höher 90 %
  • CPU 0 Auslastung System
    (CPU_0_SYSTEM)
60 Minuten 70 % CPU Auslastung oder höher 90 %
  • ggf. weitere CPUs
... ...
  • LOAD
    Anzahl der Prozesse, die gleichzeitig verarbeitet werden sollen
60 Minuten 1.5 Systemauslastung (5 Min.) oder höher.Durchschnittswert der letzten 5 Minuten.
Der Load sollte idealer Weise je Prozessor nicht mehr als 1 betragen.
4
  • Mailrelay (MAILQUEUE)
240 Minuten 100 E-Mails oder mehr konnten noch nicht abgearbetet werden und befinden sich in der Mailqueue 1000 E-Mails
  • Schnittstelle eth0 (INTERFACE_eth0)
0 Minuten 20000 Bytes / Sekunde oder mehr 20000 Bytes
  • alle weiteren vorhanden Schnittstellen und Tunnel
... ...
  • Speicherplatz (DF)
0 Minuten 20 % freier Speicherplatz oder weniger 10 %


Über Ereignisse gesteuerte Benachrichtigungen.

Beispiel für Ereignis-gesteuerte Benachrichtigung

Bei Ereignis-gesteuerten Benachrichtigungen wird direkt dem
 Benachrichtigungstyp  eine  Syslog-Priority-Gruppe  zugeordnet.

Name Nachricht
  • DSL_VDSL
Einwahlproblem über DSL oder VDSL
  • DynDNS-Client Account
Account Fehlermeldung des DynDNS-Clients
  • DynDNS-Client Agent
Agent Fehlermeldung des DynDNS-Clients
  • DynDNS-Client Host
Host Fehlermeldung des DynDNS-Clients
  • DynDNS-Client Server
Server Fehlermeldung des DynDNS-Clients
  • Externe Authentifizierung (AD_LDAP)
Verbindungsprobleme zum Active Directory oder LDAP Server
  • Fallback-Schnittstelle
Wechsel einer Schnittstelle von der Standardleitung zum Fallback festgestellt
  • HTTP-Proxy (Squid Virenscanner)
Squid hat einen Virus gefunden
  • IPS Sperrungen
Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung
  • Lizenzfehler
Meldungen über Lizenzfehler
  • Lizenzinformationen
Meldungen über Lizenzinformationen
  • Mailconnectors
Authentifizierungs-Problem des Mailconnectors zum E-Mail Provider
  • Mailscanner
Mailscanner hat einen Virus erkannt
  • Shutdown Detection
Unsauberes Herunterfahren festgestellt
  • Spamfilter-Cloud
Spamfilter kann sich nicht mit Cloud verbinden
  • SSL_VPN
SSL VPN Cert&Auth
  • Tomoyo
Tomoyo Regelverletzungen festgestellt

Die Einstellungen werden mit Speichern abgeschlossen.

Ergebnis

Es werden jetzt Benachrichtigungen an die angegebe Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Sytemzuständen gesendet.

Beispiel für Umgehenden E-Mail Bericht
Beispiel für regelmäßigen E-Mail Bericht



Deaktivierung

Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:
Menü →Anwendungen→Anwendungsstatus Eintrag  Alerting Center (spalertd)  Button ■ Stoppen

Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.