Wechseln zu:Navigation, Suche
Wiki

UTM/AlertingCenter v11.8.8: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
KKeine Bearbeitungszusammenfassung
K Textersetzung - „[https://wiki.securepoint.de“ durch „[{{SERVER}}“
Zeile 25: Zeile 25:
{{var|6|Voraussetzungen
{{var|6|Voraussetzungen
|Requirements }}
|Requirements }}
{{var|7|Damit das Alerting-Center Nachrichten versenden kann, muss das [https://wiki.securepoint.de/UTM/APP/Mailrelay Mailrelay] konfiguriert sein.<br/>Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü {{Menu | Anwendungen | Mailrelay}} ein [https://wiki.securepoint.de/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{Reiter | Smarthost}}] konfiguriert werden.
{{var|7|Damit das Alerting-Center Nachrichten versenden kann, muss das [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] konfiguriert sein.<br/>Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü {{Menu | Anwendungen | Mailrelay}} ein [{{SERVER}}/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{Reiter | Smarthost}}] konfiguriert werden.
| For the Alerting Center to be able to send messages, the [https://wiki.securepoint.de/UTM/APP/Mailrelay Mailrelay] must be configured.<br/>If no own mail server or no fixed public IP address is available, a [https://wiki.securepoint.de/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{{Reiter | Smarthost}}] can be configured in the menu {{Menu | Applications | Mailrelay}}.}}
| For the Alerting Center to be able to send messages, the [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] must be configured.<br/>If no own mail server or no fixed public IP address is available, a [{{SERVER}}/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{{Reiter | Smarthost}}] can be configured in the menu {{Menu | Applications | Mailrelay}}.}}
{{var|8|Konfiguration
{{var|8|Konfiguration
| Configuration}}
| Configuration}}
Zeile 41: Zeile 41:
{{var|11|Status
{{var|11|Status
|Status }}
|Status }}
{{var|12|sollte grün sein, sonst bitte das [https://wiki.securepoint.de/UTM/APP/Mailrelay Mailrelay] prüfen.
{{var|12|sollte grün sein, sonst bitte das [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] prüfen.
| should be green, otherwise please check the [https://wiki.securepoint.de/UTM/APP/Mailrelay Mailrelay].}}
| should be green, otherwise please check the [{{SERVER}}/UTM/APP/Mailrelay Mailrelay].}}
{{var|13|UTM_v11.8.5_Alertingcenter_Allgemein.png
{{var|13|UTM_v11.8.5_Alertingcenter_Allgemein.png
|UTM_v11.8.5_Alertingcenter_Allgemein-en.png }}
|UTM_v11.8.5_Alertingcenter_Allgemein-en.png }}
Zeile 319: Zeile 319:


=== {{#var:6|Voraussetzungen}} ===
=== {{#var:6|Voraussetzungen}} ===
{{#var:7|Damit das Alerting-Center Nachrichten versenden kann, muss das [https://wiki.securepoint.de/UTM/APP/Mailrelay Mailrelay] konfiguriert sein.<br/>
{{#var:7|Damit das Alerting-Center Nachrichten versenden kann, muss das [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] konfiguriert sein.<br/>
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü {{Menu | Anwendungen | Mailrelay}} ein [https://wiki.securepoint.de/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{Reiter | Smarthost}}] konfiguriert werden.}}
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü {{Menu | Anwendungen | Mailrelay}} ein [{{SERVER}}/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{Reiter | Smarthost}}] konfiguriert werden.}}




Zeile 332: Zeile 332:
! style="min-width: 104px;" | {{#var:b|Beschriftung}} !! {{#var:d|Default}} !! {{#var:des|Beschreibung}}
! style="min-width: 104px;" | {{#var:b|Beschriftung}} !! {{#var:d|Default}} !! {{#var:des|Beschreibung}}
|-
|-
| {{ b | {{#var:11|Status}} }} || <small><font color=green>⬤</font></small> || class="border-bottom"|{{#var:12|sollte grün sein, sonst bitte das [https://wiki.securepoint.de/UTM/APP/Mailrelay Mailrelay] prüfen.}} || rowspan="2" class="bild" | {{bild|{{#var:13|UTM_v11.8.5_Alertingcenter_Allgemein.png}} | hochkant=1.5 }}
| {{ b | {{#var:11|Status}} }} || <small><font color=green>⬤</font></small> || class="border-bottom"|{{#var:12|sollte grün sein, sonst bitte das [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] prüfen.}} || rowspan="2" class="bild" | {{bild|{{#var:13|UTM_v11.8.5_Alertingcenter_Allgemein.png}} | hochkant=1.5 }}
|-
|-
| {{Beschriftung| {{#var:14|E-Mail-Adresse:}} }} || admin@ttt-point.de || {{#var:15|hier muss eine gültige Mail-Adresse stehen. <br/>Diese wird im Menü  {{Menu | Netzwerk | Servereinstellungen}} →{{Beschriftung|Globale E-Mail Adresse}} eingestellt.}}
| {{Beschriftung| {{#var:14|E-Mail-Adresse:}} }} || admin@ttt-point.de || {{#var:15|hier muss eine gültige Mail-Adresse stehen. <br/>Diese wird im Menü  {{Menu | Netzwerk | Servereinstellungen}} →{{Beschriftung|Globale E-Mail Adresse}} eingestellt.}}

Version vom 17. Januar 2020, 14:59 Uhr




































































































Funktion, Einrichtung und Konfiguration des Alerting Centers

Bemerkung

  • Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.
  • in 11.8.7 Neue Auslöser für Benachrichtigungen durch Threat Intelligence Filter

Einleitung

Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt

  • umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
  • regelmäßige Berichte, die in einem festen Zeitraum versendet werden.

Verschiedenen Ereignissen können Priority-Gruppen zugeordnet werden

Voraussetzungen

Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü → Anwendungen →Mailrelay ein Smarthost konfiguriert werden.


Konfiguration

Menüpunkt → Alerting Center 

Allgemein

Beschriftung Default Beschreibung
Status sollte grün sein, sonst bitte das Mailrelay prüfen.
E-Mail-Adresse: admin@ttt-point.de hier muss eine gültige Mail-Adresse stehen.
Diese wird im Menü → Netzwerk →ServereinstellungenGlobale E-Mail Adresse eingestellt.

Umgehender E-Mail Bericht

Umgehender E-Mail Bericht
Aktiviert: Ja Per Default werden Umgehende E-Mail Berichte versendet.
Benachrichtigungstypen: Level 5 - Fehler
Level 6 - Kritisch
Level 7 - Alarm
Level 8 - Notfall		 In der Klick-Box können weitere Priority-Gruppen ausgewählt werden.
Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet.
1. Level 1 - Debug 5. Level 5 - Fehler
2. Level 2 - Info 6. Level 6 - Kritisch
3. Level 3 - Notiz 7. Level 7 - Alarm
4. Level 4 - Warnung 8. Level 8 - Notfall
  1. Level 1 - Debug
  2. Level 2 - Info
  3. Level 3 - Notiz
  4. Level 4 - Warnung
  5. Level 5 - Fehler
  6. Level 6 - Kritisch
  7. Level 7 - Alarm
  8. Level 8 - Notfall
Maximale Anzahl: 10 Umgehende Berichte innerhalb von
Zeitfenster: 60 Minuten

Regelmäßiger E-Mail Bericht

Regelmäßiger E-Mail Bericht
Aktiviert: Ja Per Default werden Regelmäßige E-Mail Berichte versendet.
Benachrichtigungstypen: Level 2 - Info
Level 3 - Notiz
Level 4 - Warnung
Level 5 - Fehler
Level 6 - Kritisch
Level 7 - Alarm
Level 8 - Notfall 		In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden.
Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt.
Datum: MoDiMiDoFrSaSo
08 : 30		 Mit Klick auf die Wochentage können diese an- oder abgewählt werden.




Benachrichtigungen

 Benachrichtigungen 

Es gibt zwei verschiedene Gruppen von Benachrichtigungen:

Über Schwellenwert gesteuerte Benachrichtigungen

Über Schwellenwert gesteuerte Benachrichtigungen
Beispiel für Schwellenwert-gesteuerte Benachrichtigung


Bei diesen Werten können angegeben werden:

Für die erste und zweite Benachrichtigungsstufe
  • Benachrichtigungstyp:
 Syslog-Priority-Gruppe , die dieser Stufe zugeordnet wird.
  • Schwellenwert:
 Wert, ab dem diese Stufe erreicht wird




Name Tolerierte Überschreitung der Schwellenwerte
Standardwert		 Schwellenwert 1
Standardwert
Benachrichtigungstyp: Severity-Level		 Schwellenwert 2
Standardwert
Benachrichtigungstyp: Severity-Level
  • CPU 0 Auslastung Benutzer
    (CPU_0_USER)
 Tolerierte Überschreitung für
(Default)  60 Minuten 		Schwellenwert 1: 70 % CPU Auslastung oder höher
Level 3 - Notiz 		Schwellenwert 2: 90 %
Level 4 - Warnung
  • CPU 0 Auslastung System
    (CPU_0_SYSTEM)
 Tolerierte Überschreitung für
(Default) 60 Minuten 		Schwellenwert 1: 70 % CPU Auslastung oder höher
Level 3 - Notiz 		Schwellenwert 2: 90 %
Level 4 - Warnung
  • ggf. weitere CPUs
 ... ...
  • LOAD
    Anzahl der Prozesse, die gleichzeitig verarbeitet werden sollen
 Tolerierte Überschreitung für
(Default) 60 Minuten 		Schwellenwert 1: 1.5 Systemauslastung (5 Min.) oder höher.

Durchschnittswert der letzten 5 Minuten.
Der Load sollte idealer Weise je Prozessor nicht mehr als 1 betragen.
Level 4 - Warnung

Schwellenwert 2: 4
Level 5 - Fehler
  • Mailrelay (MAILQUEUE)
 Tolerierte Überschreitung für
(Default) 240 Minuten 		Schwellenwert 1: 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue
Level 4 - Warnung 		Schwellenwert 2: 1000 E-Mails
Level 5 - Fehler
  • Schnittstelle eth0 (INTERFACE_eth0)
 Tolerierte Überschreitung für
(Default) 0 Minuten 		Schwellenwert 1: 20000 Bytes / Sekunde oder mehr
Level 0 - Keine Nachricht 		Schwellenwert 2: 200000 Bytes
Level 0 - Keine Nachricht
  • alle weiteren vorhanden Schnittstellen und Tunnel
 ... ...
  • Speicherplatz (DF)
 Tolerierte Überschreitung für
(Default) 0 Minuten 		Schwellenwert 1: 20 % freier Speicherplatz oder weniger
Level 4 - Warnung 		Schwellenwert 2: 10 %
Level 5 - Fehler


Über Ereignisse gesteuerte Benachrichtigungen

Beispiel für Ereignisgesteuerte Benachrichtigung

Bei Ereignisgesteuerten Benachrichtigungen wird dem
Benachrichtigungstyp direkt eine Syslog-Priority-Gruppe zugeordnet.

Name Nachricht Default Syslog-Gruppe
AD/LDAP
Neuer Wert ab v11.8.5 		Verbindungsprobleme zum Active Directory oder LDAP Server. Level 4 - Warnung
Cluster Switch
Neuer Wert ab v11.8.5 		Cluster: Wechsel zwischen MASTER und BACKUP. Level 7 - Alarm
DBUS Rule Policy
Neuer Wert ab v11.8.4 		Verletzung der DBUS Richtlinien festgestellt. Level 6 - Kritisch
DSL_VDSL Einwahlproblem über DSL oder VDSL Level 4 - Warnung
DynDNS-Client Account Account Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Host Host Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Server Server Fehlermeldung des DynDNS-Clients Level 4 - Warnung
Fallback-Interface HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. Level 6 - Kritisch
HTTP-Proxy Workers
Neuer Wert ab v11.8.5 		HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden.
Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr.
 Level 5 - Fehler
IPS Blocking Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung Level 4 - Warnung
License Error Meldungen über Lizenzfehler Level 5 - Fehler
License Information Meldungen über Lizenzinformationen Level 3 - Notiz
Mail Scanner Mailscanner hat einen Virus erkannt Level 5 - Fehler
Mailconnector Authentication Authentifizierungsproblem des Mailconnectors zum E-Mail Provider Level 4 - Warnung
Mailconnector Fetch Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. Level 4 - Warnung
Mandatory Access Control (MAC) Verletzung der Sicherheitsrichtlinien erkannt (MAC) (bis 11.8.3 unter tomoyo) . Level 6 - Kritisch
Shutdown Detection Unsauberes Herunterfahren festgestellt Level 6 - Kritisch
Spamfilter-Cloud Spamfilter kann sich nicht mit Cloud verbinden Level 4 - Warnung
Squid Virus Scanner Squid (HTTP-Proxy) hat einen Virus erkannt. Level 5 - Fehler
SSL_VPN Fehler bei Authentifizierung mit SSL VPN Cert&Auth. Level 4 - Warnung
Threat Intelligence Filter - FORWARD
in 11.8.7 		Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. Level 7 - Alarm
Threat Intelligence Filter - OUTPUT
in 11.8.7 		Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert. Level 7 - Alarm
Threat Intelligence Filter - INPUT
in 11.8.7 		Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. Level 7 - Alarm


Die Einstellungen werden mit Speichern abgeschlossen.

Ergebnis

Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:

  • Report → Regelmäßiger Bericht
  • Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes


Beispiel für Umgehenden E-Mail Bericht
Beispiel für regelmäßigen E-Mail Bericht












Deaktivierung

Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:

Menü → Anwendungen →Anwendungsstatus Eintrag Alerting Center (spalertd) Schaltfläche: ■ Stoppen

Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AlertingCenter_v11.8.8&oldid=66521