Wechseln zu:Navigation, Suche
Wiki























































































En.png
Fr.png


Funktion, Einrichtung und Konfiguration des Alerting Centers

Bemerkung

  • Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.
  • Neu in 11.8.7 Neue Auslöser für Benachrichtigungen durch Threat Intelligence Filter

Einleitung

Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt

  • umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
  • regelmäßige Berichte, die in einem festen Zeitraum versendet werden.

Verschiedenen Ereignissen können Priority-Gruppen zugeordnet werden

Voraussetzungen

Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü → Anwendungen →Mailrelay ein Smarthost konfiguriert werden.


Konfiguration

Menüpunkt → Alerting Center 

Allgemein

Beschriftung Default Beschreibung
Status sollte grün sein, sonst bitte das Mailrelay prüfen. UTM v11.8.5 Alertingcenter Allgemein.png
E-Mail-Adresse: admin@ttt-point.de hier muss eine gültige Mail-Adresse stehen.
Diese wird im Menü → Netzwerk →ServereinstellungenGlobale E-Mail Adresse eingestellt.

Umgehender E-Mail Bericht

Umgehender E-Mail Bericht
Aktiviert: Ja Per Default werden Umgehende E-Mail Berichte versendet. UTM v11.8.5 Alertingcenter Umgehender-Bericht.png
Benachrichtigungstypen: Level 5 - Fehler
Level 6 - Kritisch
Level 7 - Alarm
Level 8 - Notfall
In der Klick-Box können weitere Priority-Gruppen ausgewählt werden.
Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet.
1. Level 1 - Debug 5. Level 5 - Fehler
2. Level 2 - Info 6. Level 6 - Kritisch
3. Level 3 - Notiz 7. Level 7 - Alarm
4. Level 4 - Warnung 8. Level 8 - Notfall
  1. Level 1 - Debug
  2. Level 2 - Info
  3. Level 3 - Notiz
  4. Level 4 - Warnung
  5. Level 5 - Fehler
  6. Level 6 - Kritisch
  7. Level 7 - Alarm
  8. Level 8 - Notfall
Maximale Anzahl: 10Link= Umgehende Berichte innerhalb von
Zeitfenster: 60Link= Minuten

Regelmäßiger E-Mail Bericht

Regelmäßiger E-Mail Bericht
Aktiviert: Ja Per Default werden Regelmäßige E-Mail Berichte versendet. UTM v11.8.5 Alertingcenter Regelmaessiger-Bericht.png
Benachrichtigungstypen: Level 2 - Info
Level 3 - Notiz
Level 4 - Warnung
Level 5 - Fehler
Level 6 - Kritisch
Level 7 - Alarm
Level 8 - Notfall
In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden.
Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt.
Datum: MoDiMiDoFrSaSo
08  : 30 
Mit Klick auf die Wochentage können diese an- oder abgewählt werden.




Benachrichtigungen

 Benachrichtigungen 

Es gibt zwei verschiedene Gruppen von Benachrichtigungen:

Über Schwellenwert gesteuerte Benachrichtigungen

Über Schwellenwert gesteuerte Benachrichtigungen
Beispiel für Schwellenwert-gesteuerte Benachrichtigung


Bei diesen Werten können angegeben werden:

Für die erste und zweite Benachrichtigungsstufe
  • Benachrichtigungstyp:
Syslog-Priority-Gruppe  , die dieser Stufe zugeordnet wird.
  • Schwellenwert:
Wert, ab dem diese Stufe erreicht wird




Name Tolerierte Überschreitung der Schwellenwerte
Standardwert
Schwellenwert 1
Standardwert
Benachrichtigungstyp: Severity-Level
Schwellenwert 2
Standardwert
Benachrichtigungstyp: Severity-Level
  • CPU 0 Auslastung Benutzer
    (CPU_0_USER)
Tolerierte Überschreitung für
(Default) 
60 Minuten
Schwellenwert 1: 70 % CPU Auslastung oder höher
Level 3 - Notiz
Schwellenwert 2: 90 %
Level 4 - Warnung
  • CPU 0 Auslastung System
    (CPU_0_SYSTEM)
Tolerierte Überschreitung für
(Default) 
60 Minuten
Schwellenwert 1: 70 % CPU Auslastung oder höher
Level 3 - Notiz
Schwellenwert 2: 90 %
Level 4 - Warnung
  • ggf. weitere CPUs
... ...
  • LOAD
    Anzahl der Prozesse, die gleichzeitig verarbeitet werden sollen
Tolerierte Überschreitung für
(Default) 
60 Minuten
Schwellenwert 1: 1.5 Systemauslastung (5 Min.) oder höher.

Durchschnittswert der letzten 5 Minuten.
Der Load sollte idealer Weise je Prozessor nicht mehr als 1 betragen.

Level 4 - Warnung

Schwellenwert 2: 4
Level 5 - Fehler
  • Mailrelay (MAILQUEUE)
Tolerierte Überschreitung für
(Default) 
240 Minuten
Schwellenwert 1: 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue
Level 4 - Warnung
Schwellenwert 2: 1000 E-Mails
Level 5 - Fehler
  • Schnittstelle eth0 (INTERFACE_eth0)
Tolerierte Überschreitung für
(Default) 
0 Minuten
Schwellenwert 1: 20000 Bytes / Sekunde oder mehr
Level 0 - Keine Nachricht
Schwellenwert 2: 200000 Bytes
Level 0 - Keine Nachricht
  • alle weiteren vorhanden Schnittstellen und Tunnel
... ...
  • Speicherplatz (DF)
Tolerierte Überschreitung für
(Default) 
0 Minuten
Schwellenwert 1: 20 % freier Speicherplatz oder weniger
Level 4 - Warnung
Schwellenwert 2: 10 %
Level 5 - Fehler


Über Ereignisse gesteuerte Benachrichtigungen

Beispiel für Ereignisgesteuerte Benachrichtigung

Bei Ereignisgesteuerten Benachrichtigungen wird dem
Benachrichtigungstyp direkt eine Syslog-Priority-Gruppe   zugeordnet.

Name Nachricht Default Syslog-Gruppe
AD/LDAP
Neuer Wert ab v11.8.5
Verbindungsprobleme zum Active Directory oder LDAP Server. Level 4 - Warnung
Cluster Switch
Neuer Wert ab v11.8.5
Cluster: Wechsel zwischen MASTER und BACKUP. Level 7 - Alarm
DBUS Rule Policy
Neuer Wert ab v11.8.4
Verletzung der DBUS Richtlinien festgestellt. Level 6 - Kritisch
DSL_VDSL Einwahlproblem über DSL oder VDSL Level 4 - Warnung
DynDNS-Client Account Account Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Host Host Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Server Server Fehlermeldung des DynDNS-Clients Level 4 - Warnung
Fallback-Interface HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. Level 6 - Kritisch
HTTP-Proxy Workers
Neuer Wert ab v11.8.5
HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden.
Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr.
Level 5 - Fehler
IPS Blocking Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung Level 4 - Warnung
License Error Meldungen über Lizenzfehler Level 5 - Fehler
License Information Meldungen über Lizenzinformationen Level 3 - Notiz
Mail Scanner Mailscanner hat einen Virus erkannt Level 5 - Fehler
Mailconnector Authentication Authentifizierungsproblem des Mailconnectors zum E-Mail Provider Level 4 - Warnung
Mailconnector Fetch Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. Level 4 - Warnung
Mandatory Access Control (MAC) Verletzung der Sicherheitsrichtlinien erkannt (MAC) (bis 11.8.3 unter tomoyo) . Level 6 - Kritisch
Shutdown Detection Unsauberes Herunterfahren festgestellt Level 6 - Kritisch
Spamfilter-Cloud Spamfilter kann sich nicht mit Cloud verbinden Level 4 - Warnung
Squid Virus Scanner Squid (HTTP-Proxy) hat einen Virus erkannt. Level 5 - Fehler
SSL_VPN Fehler bei Authentifizierung mit SSL VPN Cert&Auth. Level 4 - Warnung
Threat Intelligence Filter - FORWARD
Neu in 11.8.7
Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. Level 7 - Alarm
Threat Intelligence Filter - OUTPUT
Neu in 11.8.7
Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert. Level 7 - Alarm
Threat Intelligence Filter - INPUT
Neu in 11.8.7
Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. Level 7 - Alarm


Die Einstellungen werden mit Speichern abgeschlossen.

Ergebnis

Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:

  • Report → Regelmäßiger Bericht
  • Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes


Beispiel für Umgehenden E-Mail Bericht
Beispiel für regelmäßigen E-Mail Bericht












Deaktivierung

Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:

Menü → Anwendungen →Anwendungsstatus Eintrag Alerting Center (spalertd) Schaltfläche: ■ Stoppen

Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.