Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 6: Zeile 6:
</div> {{TOC2}} {{Select_lang}}
</div> {{TOC2}} {{Select_lang}}
{{Header|12.2.3|
{{Header|12.2.3|
* {{#var:neu--GeoIP Objects}}
* {{#var:neu--Absender-E-Mail anpassbar}}
* {{#var:neu--Absender-E-Mail anpassbar}}
|[[UTM/AlertingCenter_v11.8.8 | 11.8.8]]
|[[UTM/AlertingCenter_v11.8.8 | 11.8.8]]
Zeile 214: Zeile 215:
|-
|-
| Fallback-Interface || {{#var:Fallback-Schnittstelle aktiviert/deaktiviert}} || <small> {{Kasten|{{#var:l7}}|blau}} </small>
| Fallback-Interface || {{#var:Fallback-Schnittstelle aktiviert/deaktiviert}} || <small> {{Kasten|{{#var:l7}}|blau}} </small>
|-
| <span id=GeoIP></span>GeoIP Objects {{Hinweis-neu|{{#var:neu ab}} 12.2.3|12.3|status=neu}} || {{#var:GeoIP Objects--desc}} || <small> {{Kasten|{{#var:l4}}|blau}} </small>
|-
|-
| HTTP-Proxy Workers<br> {{Hinweis-neu|! {{#var:Neuer Wert ab v11.8.5}}|11.8.5}}|| {{#var:HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden}}  {{einblenden3|{{#var:Mehr lesen}}...|{{#var:ausblenden}}|true|dezent}}{{#var:97b}} </div> || <small> {{Kasten|{{#var:l6}}|blau}} </small>
| HTTP-Proxy Workers<br> {{Hinweis-neu|! {{#var:Neuer Wert ab v11.8.5}}|11.8.5}}|| {{#var:HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden}}  {{einblenden3|{{#var:Mehr lesen}}...|{{#var:ausblenden}}|true|dezent}}{{#var:97b}} </div> || <small> {{Kasten|{{#var:l6}}|blau}} </small>

Version vom 10. August 2022, 13:09 Uhr





























De.png
En.png
Fr.png








Funktion, Einrichtung und Konfiguration des Alerting Centers
Letzte Anpassung zur Version: 12.2.3
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.8.8



Einleitung

Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen. Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.

Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt

  • umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
  • regelmäßige Berichte, die in einem festen Zeitraum versendet werden.
Verschiedenen Ereignissen können Priority-Gruppen zugeordnet werden

Voraussetzungen

Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü Anwendungen Mailrelay ein Smarthost konfiguriert werden.


Konfiguration

Menüpunkt Alerting Center

Allgemein

Beschriftung Default: UTM v12.6 Alertingcenter Allgemein.png
Alerting Center - Allgemein
Empfänger: admin@ttt-point.de Hier muss eine gültige Mail-Adresse stehen.
Diese wird im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen
Firewall
Globale E-Mail Adresse eingestellt.
Absender: spalertd@firewall.ttt-point.local Die Absenderadresse lässt sich frei konfigurieren.
Vorgabe ist spalertd@firewallname
Neu ab 12.2.3

Umgehender E-Mail Bericht

Aktiviert: Ja Per Default werden Umgehende E-Mail Berichte versendet UTM v12.6.2 Alerting Center Umgehender E-Mail Bericht.png
Alerting Center Umgehender E-Mail Bericht
Benachrichtigungstypen: Level 5 - Dringende Warnung
Level 6 - Fehler
Level 7 - Kritisch
Level 8 - Alarm
Level 9 - Notfall
In der Klick-Box können weitere Priority-Gruppen ausgewählt werden.

Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet.

1. Level 1 - Debug 6. Level 6 - Fehler
2. Level 2 - Info 7. Level 7 - Kritisch
3. Level 3 - Notiz 8. Level 8 - Alarm
4. Level 4 - Warnung 9. Level 9 - Notfall
5. Level 5 - Dringende Warnung
  1. Level 1 - Debug
  2. Level 2 - Info
  3. Level 3 - Notiz
  4. Level 4 - Warnung
  5. Level 5 - Dringende Warnung
  6. Level 6 - Fehler
  7. Level 7 - Kritisch
  8. Level 8 - Alarm
  9. Level 9 - Notfall
Maximale Anzahl: 10Link= Umgehende Berichte für die gleiche Fehlermeldung innerhalb eines Zeitfensters
Zeitfenster: 60Link= Minuten

Regelmäßiger E-Mail Bericht

Aktiviert: Ja Per Default werden regelmäßige E-Mail Berichte versendet.
Dies geschieht nur, wenn irgendein Ereignis mit einem Log-Level eingetreten ist. Andernfalls wird kein Bericht versendet. Wird trotzdem ein Bericht gewünscht, kann dies über den Unified Security Report dargestellt werden.
UTM v12.6.2 Alerting Center Regelmässiger E-Mail Bericht.png
Alerting Center - Regelmässiger E-Mail Bericht
Benachrichtigungstypen: Level 2 - Info
Level 3 - Notiz
Level 4 - Warnung
Level 5 - Dringende Warnung
Level 6 - Fehler
Level 7 - Kritisch
Level 8 - Alarm
Level 9 - Notfall
In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden.
Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt.
Datum: Mo Di Mi Do Fr Sa So
08 : 30
Mit Klick auf die Wochentage können diese an- oder abgewählt werden.

Benachrichtigungen

 Benachrichtigungen 
Es gibt zwei verschiedene Gruppen von Benachrichtigungen:

Über Schwellenwert gesteuerte Benachrichtigungen

Bei diesen Werten können angegeben werden:
CPU 0 Auslastung Benutzer (CPU_0_User) Name der jeweiligen Benachrichtigungsart UTM v12.6 Alertingcenter Schwellenwert gesteuerte Benachrichtigungen bearbeiten.png
Beispiel für Schwellenwert-gesteuerte Benachrichtigung
Tolerierte Überschreitung der Schwellenwerte: 60 Minuten Akzeptierte Dauer der Überschreitung
Erste Benachrichtigungsstufe
Benachrichtigungstyp Level 3 - Notiz (Regelmäßig) Gewünschten Benachrichtigungstypen auswählen
Schwellenwert 70 %CPU
Auslastung oder höher
Wert, ab dem diese Stufe erreicht wird
Zweite Benachrichtigungsstufe
Benachrichtigungstyp Level 4 - Warnung (Regelmäßig) Gewünschten Benachrichtigungstypen auswählen
Schwellenwert 90 %CPU
Auslastung oder höher
Wert, ab dem diese Stufe erreicht wird




Tolerierte Überschreitung der Schwellenwerte:
Schwellenwert 1

Benachrichtigungstyp Severity-Level
Schwellenwert 2

Benachrichtigungstyp Severity-Level
  • CPU 0 Auslastung Benutzer
    (CPU_0_USER)
60 Minuten 70 % CPU Auslastung oder höher
Level 3 - Notiz
90%
Level 4 - Warnung
  • CPU 0 Auslastung System
    (CPU_0_USER)
60 Minuten 70 % CPU Auslastung oder höher
Level 3 - Notiz
90%
Level 4 - Warnung
  • ggf. weitere CPUs
... ... ...
  • LOAD
    Anzahl der Prozesse, die gleichzeitig verarbeitet werden sollen
60 Minuten 1.5 Systemauslastung (5 Min.) oder höher.

Durchschnittswert der letzten 5 Minuten.
Der Load sollte idealer Weise je Prozessor nicht mehr als 1 betragen.

Level 4 - Warnung

4
Level 5 - Dringende Warnung
  • Mailrelay (MAILQUEUE)
240 Minuten 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue
Level 4 - Warnung

Level 6 - Fehler
0 Minuten 20000 Bytes / Sekunde oder mehr
Level 0 - Keine Nachricht
200000 Bytes
Level 0 - Keine Nachricht
  • Alle weiteren vorhanden Schnittstellen und Tunnel
... ... ...
0 Minuten 20 % freier Speicherplatz oder weniger
Level 4 - Warnung
10%
Level 5 - Dringende Warnung



Über Ereignisse gesteuerte Benachrichtigungen

Bei Ereignisgesteuerten Benachrichtigungen wird dem Benachrichtigungstyp direkt eine Syslog-Priority-Gruppe zugeordnet. UTM v12.6 Alertingcenter Ereignisse gesteuerte Benachrichtigungen bearbeiten.png
Beispiel für Ereignisgesteuerte Benachrichtigung


Nachricht: Default Syslog-Gruppe:
AD/LDAP Verbindungsprobleme zum Active Directory oder LDAP Server. Level 4 - Warnung
Cluster Switch
Cluster: Wechsel zwischen MASTER und BACKUP. Level 8 - Alarm
DBUS Rule Policy Verletzung der DBUS Richtlinien festgestellt. Level 7 - Kritisch
DSL_VDSL Einwahlproblem über DSL oder VDSL Level 4 - Warnung
DynDNS-Client Account Account Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Host Host Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Server Server Fehlermeldung des DynDNS-Clients Level 4 - Warnung
Fallback-Interface Fallback-Schnittstelle aktiviert/deaktiviert. Level 7 - Kritisch
GeoIP Objects
Neu ab 12.2.3
Meldungen des GeoIP-Dienstes Level 4 - Warnung
HTTP-Proxy Workers
HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden.
Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr.
Level 6 - Fehler
IPS Blocking Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung Level 4 - Warnung
License Error Meldungen über Lizenzfehler Level 6 - Fehler
License Information Meldungen über Lizenzinformationen Level 3 - Notiz
Mail Scanner Mailscanner hat einen Virus erkannt Level 6 - Fehler
Mailconnector Authentication Authentifizierungsproblem des Mailconnectors zum E-Mail Provider Level 6 - Fehler
Mailconnector Fetch Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. Level 4 - Warnung
Mandatory Access Control (MAC) Verletzung der Sicherheitsrichtlinien erkannt (MAC) Level 7 - Kritisch
Shutdown Detection Unsauberes Herunterfahren festgestellt Level 7 - Kritisch
Spamfilter-Cloud Spamfilter kann sich nicht mit Cloud verbinden Level 4 - Warnung
Squid Virus Scanner Squid (HTTP-Proxy) hat einen Virus erkannt. Level 6 - Fehler
SSL_VPN Fehler bei Authentifizierung mit SSL VPN Cert&Auth. Level 4 - Warnung
Threat Intelligence Filter - FORWARD Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. Level 8 - Alarm
Threat Intelligence Filter - OUTPUT Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert Level 8 - Alarm
Threat Intelligence Filter - INPUT Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert Level 8 - Alarm


Ergebnis

Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:

  • Report → Regelmäßiger Bericht
  • Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes

Im Bericht werden die Meldungen zunächst nach Syslog-Level und anschließend nach Datum/Uhrzeit sortiert
Beispiel für Umgehenden E-Mail Bericht
Beispiel für regelmäßigen E-Mail Bericht