Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 293: | Zeile 293: | ||
{{var|121| Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. | {{var|121| Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. | ||
| Forwarding to an IP address prevented by Threat Intelligence Filter.}} | | Forwarding to an IP address prevented by Threat Intelligence Filter.}} | ||
{{var|122| Threat Intelligence Filter - | {{var|122| Threat Intelligence Filter - OUTPUT | ||
| Threat Intelligence Filter - | | Threat Intelligence Filter - OUTPUT}} | ||
{{var|123| Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert. | {{var|123| Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert. | ||
| Calling an IP address prevented by Threat Intelligence Filter.}} | | Calling an IP address prevented by Threat Intelligence Filter.}} | ||
{{var|124| Threat Intelligence Filter - | {{var|124| Threat Intelligence Filter - INPUT | ||
| Threat Intelligence Filter - | | Threat Intelligence Filter - INPUT}} | ||
{{var|125| Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. | {{var|125| Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. | ||
| External access from an IP address prevented by Threat Intelligence Filter.}} | | External access from an IP address prevented by Threat Intelligence Filter.}} | ||
| Zeile 505: | Zeile 505: | ||
| <span id="TIF"></span>{{#var:120|Threat Intelligence Filter - FORWARD}} <br>{{Hinweis|in 11.8.7|11.8.7|rot}} || {{#var:121|Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert.}} || <small>{{Kasten|{{#var:l7|Level 7 - Alarm}}|blau}}</small> | | <span id="TIF"></span>{{#var:120|Threat Intelligence Filter - FORWARD}} <br>{{Hinweis|in 11.8.7|11.8.7|rot}} || {{#var:121|Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert.}} || <small>{{Kasten|{{#var:l7|Level 7 - Alarm}}|blau}}</small> | ||
|- | |- | ||
| {{#var:122|Threat Intelligence Filter - | | {{#var:122|Threat Intelligence Filter - OUTPUT}} <br>{{Hinweis|in 11.8.7|11.8.7|rot}} || {{#var:123| Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert.}} || <small>{{Kasten|{{#var:l7|Level 7 - Alarm}}|blau}}</small> | ||
|- | |- | ||
| {{#var:124|Threat Intelligence Filter - | | {{#var:124|Threat Intelligence Filter - INPUT}} <br>{{Hinweis|in 11.8.7|11.8.7|rot}} || {{#var:125| Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert.}} || <small>{{Kasten|{{#var:l7|Level 7 - Alarm}}|blau}}</small> | ||
|} | |} | ||
<br/> | <br/> | ||
Version vom 17. Dezember 2019, 08:21 Uhr
Funktion, Einrichtung und Konfiguration des Alerting Centers
- Bemerkung
- Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.
- in 11.8.7 Neue Auslöser für Benachrichtigungen durch Threat Intelligence Filter
Einleitung
Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt
- umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
- regelmäßige Berichte, die in einem festen Zeitraum versendet werden.
Verschiedenen Ereignissen können Priority-Gruppen zugeordnet werden
Voraussetzungen
Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü ein Smarthost konfiguriert werden.
Konfiguration
Menüpunkt
Allgemein
| Beschriftung | Default | Beschreibung | |
|---|---|---|---|
| Status | ⬤ | sollte grün sein, sonst bitte das Mailrelay prüfen. |  |
| E-Mail-Adresse: | admin@ttt-point.de | hier muss eine gültige Mail-Adresse stehen. Diese wird im Menü →Globale E-Mail Adresse eingestellt. | |
Umgehender E-Mail BerichtUmgehender E-Mail Bericht
| |||
| Aktiviert: | Ja | Per Default werden Umgehende E-Mail Berichte versendet. |  |
| Benachrichtigungstypen: | Level 5 - Fehler Level 6 - Kritisch Level 7 - Alarm Level 8 - Notfall |
In der Klick-Box können weitere Priority-Gruppen ausgewählt werden. Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet. | |
| Maximale Anzahl: | 10 | Umgehende Berichte innerhalb von | |
| Zeitfenster: | 60 | Minuten | |
Regelmäßiger E-Mail Bericht Regelmäßiger E-Mail Bericht
| |||
| Aktiviert: | Ja | Per Default werden Regelmäßige E-Mail Berichte versendet. |  |
| Benachrichtigungstypen: | Level 2 - Info Level 3 - Notiz Level 4 - Warnung Level 5 - Fehler Level 6 - Kritisch Level 7 - Alarm Level 8 - Notfall |
In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden. Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt. | |
| Datum: | : |
Mit Klick auf die Wochentage können diese an- oder abgewählt werden. | |
Benachrichtigungen
Benachrichtigungen
Es gibt zwei verschiedene Gruppen von Benachrichtigungen:
Über Schwellenwert gesteuerte Benachrichtigungen
Über Schwellenwert gesteuerte Benachrichtigungen
Bei diesen Werten können angegeben werden:
| Für die erste und zweite Benachrichtigungsstufe | |
|
, die dieser Stufe zugeordnet wird. |
|
Wert, ab dem diese Stufe erreicht wird |
| Name | Tolerierte Überschreitung der Schwellenwerte Standardwert |
Schwellenwert 1 Standardwert Benachrichtigungstyp: Severity-Level |
Schwellenwert 2 Standardwert Benachrichtigungstyp: Severity-Level |
|---|---|---|---|
|
60 Minuten | 70 % CPU Auslastung oder höher Level 3 - Notiz |
90 % Level 4 - Warnung |
|
60 Minuten | 70 % CPU Auslastung oder höher Level 3 - Notiz |
90 % Level 4 - Warnung |
|
... | ... | |
|
60 Minuten | 1.5 Systemauslastung (5 Min.) oder höher. Durchschnittswert der letzten 5 Minuten.
|
4 Level 5 - Fehler |
|
240 Minuten | 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue Level 4 - Warnung |
1000 E-Mails Level 5 - Fehler |
|
0 Minuten | 20000 Bytes / Sekunde oder mehr Level 0 - Keine Nachricht |
200000 Bytes Level 0 - Keine Nachricht |
|
... | ... | |
|
0 Minuten | 20 % freier Speicherplatz oder weniger Level 4 - Warnung |
10 % Level 5 - Fehler |
Über Ereignisse gesteuerte Benachrichtigungen
Bei Ereignisgesteuerten Benachrichtigungen wird dem
Benachrichtigungstyp direkt eine zugeordnet.
| Name | Nachricht | Default Syslog-Gruppe |
|---|---|---|
| AD/LDAP Neuer Wert ab v11.8.5 |
Verbindungsprobleme zum Active Directory oder LDAP Server. | Level 4 - Warnung |
| Cluster Switch Neuer Wert ab v11.8.5 |
Cluster: Wechsel zwischen MASTER und BACKUP. | Level 7 - Alarm |
| DBUS Rule Policy Neuer Wert ab v11.8.4 |
Verletzung der DBUS Richtlinien festgestellt. | Level 6 - Kritisch |
| DSL_VDSL | Einwahlproblem über DSL oder VDSL | Level 4 - Warnung |
| DynDNS-Client Account | Account Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
| DynDNS-Client Host | Host Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
| DynDNS-Client Server | Server Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
| Fallback-Interface | HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. | Level 6 - Kritisch |
| HTTP-Proxy Workers Neuer Wert ab v11.8.5 |
HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr. |
Level 5 - Fehler |
| IPS Blocking | Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung | Level 4 - Warnung |
| License Error | Meldungen über Lizenzfehler | Level 5 - Fehler |
| License Information | Meldungen über Lizenzinformationen | Level 3 - Notiz |
| Mail Scanner | Mailscanner hat einen Virus erkannt | Level 5 - Fehler |
| Mailconnector Authentication | Authentifizierungsproblem des Mailconnectors zum E-Mail Provider | Level 4 - Warnung |
| Mailconnector Fetch | Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. | Level 4 - Warnung |
| Mandatory Access Control (MAC) | Verletzung der Sicherheitsrichtlinien erkannt (MAC) (bis 11.8.3 unter tomoyo) . | Level 6 - Kritisch |
| Shutdown Detection | Unsauberes Herunterfahren festgestellt | Level 6 - Kritisch |
| Spamfilter-Cloud | Spamfilter kann sich nicht mit Cloud verbinden | Level 4 - Warnung |
| Squid Virus Scanner | Squid (HTTP-Proxy) hat einen Virus erkannt. | Level 5 - Fehler |
| SSL_VPN | Fehler bei Authentifizierung mit SSL VPN Cert&Auth. | Level 4 - Warnung |
| Threat Intelligence Filter - FORWARD in 11.8.7 |
Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
| Threat Intelligence Filter - OUTPUT in 11.8.7 |
Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
| Threat Intelligence Filter - INPUT in 11.8.7 |
Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
Die Einstellungen werden mit abgeschlossen.
Ergebnis
Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:
- Report → Regelmäßiger Bericht
- Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes
Deaktivierung
Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:
Menü Eintrag Alerting Center (spalertd) Schaltfläche:
Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.