KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 6: | Zeile 6: | ||
</div> {{TOC2}} {{Select_lang}} | </div> {{TOC2}} {{Select_lang}} | ||
{{Header|12.2.3| | {{Header|12.2.3| | ||
* {{#var:neu--GeoIP Objects}} | |||
* {{#var:neu--Absender-E-Mail anpassbar}} | * {{#var:neu--Absender-E-Mail anpassbar}} | ||
|[[UTM/AlertingCenter_v11.8.8 | 11.8.8]] | |[[UTM/AlertingCenter_v11.8.8 | 11.8.8]] | ||
Zeile 214: | Zeile 215: | ||
|- | |- | ||
| Fallback-Interface || {{#var:Fallback-Schnittstelle aktiviert/deaktiviert}} || <small> {{Kasten|{{#var:l7}}|blau}} </small> | | Fallback-Interface || {{#var:Fallback-Schnittstelle aktiviert/deaktiviert}} || <small> {{Kasten|{{#var:l7}}|blau}} </small> | ||
|- | |||
| <span id=GeoIP></span>GeoIP Objects {{Hinweis-neu|{{#var:neu ab}} 12.2.3|12.3|status=neu}} || {{#var:GeoIP Objects--desc}} || <small> {{Kasten|{{#var:l4}}|blau}} </small> | |||
|- | |- | ||
| HTTP-Proxy Workers<br> {{Hinweis-neu|! {{#var:Neuer Wert ab v11.8.5}}|11.8.5}}|| {{#var:HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden}} {{einblenden3|{{#var:Mehr lesen}}...|{{#var:ausblenden}}|true|dezent}}{{#var:97b}} </div> || <small> {{Kasten|{{#var:l6}}|blau}} </small> | | HTTP-Proxy Workers<br> {{Hinweis-neu|! {{#var:Neuer Wert ab v11.8.5}}|11.8.5}}|| {{#var:HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden}} {{einblenden3|{{#var:Mehr lesen}}...|{{#var:ausblenden}}|true|dezent}}{{#var:97b}} </div> || <small> {{Kasten|{{#var:l6}}|blau}} </small> |
Version vom 10. August 2022, 13:09 Uhr
Einleitung
Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen. Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.
Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt
- umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
- regelmäßige Berichte, die in einem festen Zeitraum versendet werden.
Voraussetzungen
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü ein Smarthost konfiguriert werden.
Konfiguration
Allgemein
Beschriftung | Default: | ||
---|---|---|---|
⬤ | |||
Empfänger: | admin@ttt-point.de | Hier muss eine gültige Mail-Adresse stehen. Diese wird im Menü Bereich Servereinstellungen Firewall →Globale E-Mail Adresse eingestellt.
| |
Absender: | spalertd@firewall.ttt-point.local | Die Absenderadresse lässt sich frei konfigurieren. Vorgabe ist spalertd@firewallname Neu ab 12.2.3
| |
Umgehender E-Mail Bericht | |||
Aktiviert: | Ja | Per Default werden Umgehende E-Mail Berichte versendet | |
Benachrichtigungstypen: | Level 5 - Dringende Warnung Level 6 - Fehler Level 7 - Kritisch Level 8 - Alarm Level 9 - Notfall |
In der Klick-Box können weitere Priority-Gruppen ausgewählt werden.
Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet. | |
Maximale Anzahl: | 10 | Umgehende Berichte für die gleiche Fehlermeldung innerhalb eines Zeitfensters | |
Zeitfenster: | 60 | Minuten | |
Regelmäßiger E-Mail Bericht | |||
Aktiviert: | Ja | Per Default werden regelmäßige E-Mail Berichte versendet. Dies geschieht nur, wenn irgendein Ereignis mit einem Log-Level eingetreten ist. Andernfalls wird kein Bericht versendet. Wird trotzdem ein Bericht gewünscht, kann dies über den Unified Security Report dargestellt werden.
|
|
Benachrichtigungstypen: | Level 2 - Info Level 3 - Notiz Level 4 - Warnung Level 5 - Dringende Warnung Level 6 - Fehler Level 7 - Kritisch Level 8 - Alarm Level 9 - Notfall |
In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden. Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt. | |
Datum: | : |
Mit Klick auf die Wochentage können diese an- oder abgewählt werden. | |
Benachrichtigungen Benachrichtigungen
| |||
Es gibt zwei verschiedene Gruppen von Benachrichtigungen: | |||
Über Schwellenwert gesteuerte Benachrichtigungen | |||
Bei diesen Werten können angegeben werden: | |||
CPU 0 Auslastung Benutzer (CPU_0_User) | Name der jeweiligen Benachrichtigungsart | ||
Tolerierte Überschreitung der Schwellenwerte: | 60 Minuten | Akzeptierte Dauer der Überschreitung | |
Erste Benachrichtigungsstufe
| |||
Benachrichtigungstyp | Level 3 - Notiz (Regelmäßig) | Gewünschten Benachrichtigungstypen auswählen | |
Schwellenwert | 70 %CPU Auslastung oder höher |
Wert, ab dem diese Stufe erreicht wird | |
Zweite Benachrichtigungsstufe
| |||
Benachrichtigungstyp | Level 4 - Warnung (Regelmäßig) | Gewünschten Benachrichtigungstypen auswählen | |
Schwellenwert | 90 %CPU Auslastung oder höher |
Wert, ab dem diese Stufe erreicht wird | |
Tolerierte Überschreitung der Schwellenwerte: |
Schwellenwert 1 Benachrichtigungstyp Severity-Level |
Schwellenwert 2 Benachrichtigungstyp Severity-Level | |
---|---|---|---|
|
60 Minuten | 70 % CPU Auslastung oder höher Level 3 - Notiz |
90% Level 4 - Warnung |
|
60 Minuten | 70 % CPU Auslastung oder höher Level 3 - Notiz |
90% Level 4 - Warnung |
|
... | ... | ... |
|
60 Minuten | 1.5 Systemauslastung (5 Min.) oder höher. Durchschnittswert der letzten 5 Minuten. |
4 Level 5 - Dringende Warnung |
|
240 Minuten | 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue Level 4 - Warnung |
Level 6 - Fehler |
|
0 Minuten | 20000 Bytes / Sekunde oder mehr Level 0 - Keine Nachricht |
200000 Bytes Level 0 - Keine Nachricht |
|
... | ... | ... |
|
0 Minuten | 20 % freier Speicherplatz oder weniger Level 4 - Warnung |
10% Level 5 - Dringende Warnung |
Über Ereignisse gesteuerte Benachrichtigungen
Bei Ereignisgesteuerten Benachrichtigungen wird dem Benachrichtigungstyp direkt eine zugeordnet. | |||
Nachricht: | Default Syslog-Gruppe: | |
---|---|---|
AD/LDAP | Verbindungsprobleme zum Active Directory oder LDAP Server. | Level 4 - Warnung |
Cluster Switch |
Cluster: Wechsel zwischen MASTER und BACKUP. | Level 8 - Alarm |
DBUS Rule Policy | Verletzung der DBUS Richtlinien festgestellt. | Level 7 - Kritisch |
DSL_VDSL | Einwahlproblem über DSL oder VDSL | Level 4 - Warnung |
DynDNS-Client Account | Account Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
DynDNS-Client Host | Host Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
DynDNS-Client Server | Server Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
Fallback-Interface | Fallback-Schnittstelle aktiviert/deaktiviert. | Level 7 - Kritisch |
GeoIP Objects Neu ab 12.2.3 |
Meldungen des GeoIP-Dienstes | Level 4 - Warnung |
HTTP-Proxy Workers |
HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr. |
Level 6 - Fehler |
IPS Blocking | Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung | Level 4 - Warnung |
License Error | Meldungen über Lizenzfehler | Level 6 - Fehler |
License Information | Meldungen über Lizenzinformationen | Level 3 - Notiz |
Mail Scanner | Mailscanner hat einen Virus erkannt | Level 6 - Fehler |
Mailconnector Authentication | Authentifizierungsproblem des Mailconnectors zum E-Mail Provider | Level 6 - Fehler |
Mailconnector Fetch | Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. | Level 4 - Warnung |
Mandatory Access Control (MAC) | Verletzung der Sicherheitsrichtlinien erkannt (MAC) | Level 7 - Kritisch |
Shutdown Detection | Unsauberes Herunterfahren festgestellt | Level 7 - Kritisch |
Spamfilter-Cloud | Spamfilter kann sich nicht mit Cloud verbinden | Level 4 - Warnung |
Squid Virus Scanner | Squid (HTTP-Proxy) hat einen Virus erkannt. | Level 6 - Fehler |
SSL_VPN | Fehler bei Authentifizierung mit SSL VPN Cert&Auth. | Level 4 - Warnung |
Threat Intelligence Filter - FORWARD | Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. | Level 8 - Alarm |
Threat Intelligence Filter - OUTPUT | Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert | Level 8 - Alarm |
Threat Intelligence Filter - INPUT | Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert | Level 8 - Alarm |
Ergebnis
Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:
- Report → Regelmäßiger Bericht
- Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes