K (Lauritzl verschob die Seite UTM/AlertingCenter nach UTM/AlertingCenter v11.8.8) |
KKeine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
{{Archivhinweis|UTM/AlertingCenter}} | |||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} |
Aktuelle Version vom 5. Juli 2022, 10:08 Uhr
notempty
Funktion, Einrichtung und Konfiguration des Alerting Centers
Letzte Anpassung zur Version: 11.8.8
- Neu:
- Das Design des regelmäßigen Berichts wurde überarbeitet in 11.8.8
- Neue Auslöser für Benachrichtigungen durch Threat Intelligence Filter in 11.8.7
Einleitung
Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.
Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt
- umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
- regelmäßige Berichte, die in einem festen Zeitraum versendet werden.
Verschiedenen Ereignissen können Priority-Gruppen zugeordnet werden
Voraussetzungen
Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü ein Smarthost konfiguriert werden.
Konfiguration
Menüpunkt
Allgemein
Beschriftung | Default | Beschreibung | |
---|---|---|---|
Status | ⬤ | sollte grün sein, sonst bitte das Mailrelay prüfen. | |
E-Mail-Adresse: | admin@ttt-point.de | hier muss eine gültige Mail-Adresse stehen. Diese wird im Menü →Globale E-Mail Adresse eingestellt. | |
Umgehender E-Mail BerichtUmgehender E-Mail Bericht
| |||
Aktiviert: | Ja | Per Default werden Umgehende E-Mail Berichte versendet. | |
Benachrichtigungstypen: | Level 5 - Fehler Level 6 - Kritisch Level 7 - Alarm Level 8 - Notfall |
In der Klick-Box können weitere Priority-Gruppen ausgewählt werden. Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet. | |
Maximale Anzahl: | 10 | Umgehende Berichte innerhalb von | |
Zeitfenster: | 60 | Minuten | |
Regelmäßiger E-Mail Bericht Regelmäßiger E-Mail Bericht
| |||
Aktiviert: | Ja | Per Default werden regelmäßige E-Mail Berichte versendet. Dies geschieht nur, wenn irgendein Ereignis mit einem Log-Level eingetreten ist. Andernfalls wird kein Bericht versendet. Wird trotzdem ein Bericht gewünscht, kann dies über den Unified Security Report dargestellt werden. |
|
Benachrichtigungstypen: | Level 2 - Info Level 3 - Notiz Level 4 - Warnung Level 5 - Fehler Level 6 - Kritisch Level 7 - Alarm Level 8 - Notfall |
In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden. Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt. | |
Datum: | : |
Mit Klick auf die Wochentage können diese an- oder abgewählt werden. |
Benachrichtigungen
Es gibt zwei verschiedene Gruppen von Benachrichtigungen:
Über Schwellenwert gesteuerte Benachrichtigungen
Bei diesen Werten können angegeben werden:
Für die erste und zweite Benachrichtigungsstufe | |
|
, die dieser Stufe zugeordnet wird. |
|
Wert, ab dem diese Stufe erreicht wird |
Name | Tolerierte Überschreitung der Schwellenwerte Standardwert |
Schwellenwert 1 Standardwert Benachrichtigungstyp: Severity-Level |
Schwellenwert 2 Standardwert Benachrichtigungstyp: Severity-Level |
---|---|---|---|
|
60 Minuten | Level 3 - Notiz |
70 % CPU Auslastung oder höherLevel 4 - Warnung | 90 %
|
60 Minuten | Level 3 - Notiz |
70 % CPU Auslastung oder höherLevel 4 - Warnung | 90 %
|
... | ... | |
|
60 Minuten | Durchschnittswert der letzten 5 Minuten.
|
1.5 Systemauslastung (5 Min.) oder höher.Level 5 - Fehler | 4
|
240 Minuten | Level 4 - Warnung |
100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue Level 5 - Fehler | 1000 E-Mails
|
0 Minuten | Level 0 - Keine Nachricht |
20000 Bytes / Sekunde oder mehr Level 0 - Keine Nachricht | 200000 Bytes
|
... | ... | |
|
0 Minuten | Level 4 - Warnung |
20 % freier Speicherplatz oder weniger Level 5 - Fehler | 10 %
Über Ereignisse gesteuerte Benachrichtigungen
Bei Ereignisgesteuerten Benachrichtigungen wird dem
Benachrichtigungstyp direkt eine zugeordnet.
Name | Nachricht | Default Syslog-Gruppe |
---|---|---|
AD/LDAP Neuer Wert ab v11.8.5 |
Verbindungsprobleme zum Active Directory oder LDAP Server. | Level 4 - Warnung |
Cluster Switch Neuer Wert ab v11.8.5 |
Cluster: Wechsel zwischen MASTER und BACKUP. | Level 7 - Alarm |
DBUS Rule Policy Neuer Wert ab v11.8.4 |
Verletzung der DBUS Richtlinien festgestellt. | Level 6 - Kritisch |
DSL_VDSL | Einwahlproblem über DSL oder VDSL | Level 4 - Warnung |
DynDNS-Client Account | Account Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
DynDNS-Client Host | Host Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
DynDNS-Client Server | Server Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
Fallback-Interface | Fallback-Schnittstelle aktiviert/deaktiviert. | Level 6 - Kritisch |
HTTP-Proxy Workers Neuer Wert ab v11.8.5 |
HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr. |
Level 5 - Fehler |
IPS Blocking | Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung | Level 4 - Warnung |
License Error | Meldungen über Lizenzfehler | Level 5 - Fehler |
License Information | Meldungen über Lizenzinformationen | Level 3 - Notiz |
Mail Scanner | Mailscanner hat einen Virus erkannt | Level 5 - Fehler |
Mailconnector Authentication | Authentifizierungsproblem des Mailconnectors zum E-Mail Provider | Level 4 - Warnung |
Mailconnector Fetch | Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. | Level 4 - Warnung |
Mandatory Access Control (MAC) | Verletzung der Sicherheitsrichtlinien erkannt (MAC) (bis 11.8.3 unter tomoyo) . | Level 6 - Kritisch |
Shutdown Detection | Unsauberes Herunterfahren festgestellt | Level 6 - Kritisch |
Spamfilter-Cloud | Spamfilter kann sich nicht mit Cloud verbinden | Level 4 - Warnung |
Squid Virus Scanner | Squid (HTTP-Proxy) hat einen Virus erkannt. | Level 5 - Fehler |
SSL_VPN | Fehler bei Authentifizierung mit SSL VPN Cert&Auth. | Level 4 - Warnung |
Threat Intelligence Filter - FORWARD in 11.8.7 |
Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
Threat Intelligence Filter - OUTPUT in 11.8.7 |
Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
Threat Intelligence Filter - INPUT in 11.8.7 |
Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
Die Einstellungen werden mit
abgeschlossen.Ergebnis
Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:
- Report → Regelmäßiger Bericht
- Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes
in 11.8.8 Im Bericht werden die Meldungen zunächst nach Syslog-Level und anschließend nach Datum/Uhrzeit sortiert
Deaktivierung
Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:
Menü Alerting Center (spalertd) Schaltfläche:
EintragDiese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.