Admin (Diskussion | Beiträge) K (Textersetzung - „[https://wiki.securepoint.de“ durch „[{{SERVER}}“) |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{var|display|Alerting Center | {{var|display|Alerting Center | ||
| Zeile 277: | Zeile 278: | ||
{{var|113|Beispiel für '''Umgehenden''' E-Mail Bericht | {{var|113|Beispiel für '''Umgehenden''' E-Mail Bericht | ||
| Example for '''Immediate''' email report}} | | Example for '''Immediate''' email report}} | ||
{{var|114|UTM_v11.8. | {{var|114|UTM_v11.8.8_Alertingcenter_Report.png | ||
| UTM_v11.8. | | UTM_v11.8.8_Alertingcenter_Report-en.png }} | ||
{{var|115|Beispiel für '''regelmäßigen''' E-Mail Bericht | {{var|115|Beispiel für '''regelmäßigen''' E-Mail Bericht | ||
| Example for '''regular''' email report}} | | Example for '''regular''' email report}} | ||
| Zeile 301: | Zeile 302: | ||
{{var|125| Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. | {{var|125| Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. | ||
| External access from an IP address prevented by Threat Intelligence Filter.}} | | External access from an IP address prevented by Threat Intelligence Filter.}} | ||
{{var| neu--report-design | |||
| Das Design des [[#Ergebnis | regelmäßigen Berichts]] wurde überarbeitet | |||
| The design of the [{{#var:host}}Spielwiese/UTM/AlertingCenter#Result regular report] has been revised}} | |||
{{var| report-design | |||
| Im Bericht werden die Meldungen zunächst nach Syslog-Level und anschließend nach Datum/Uhrzeit sortiert | |||
| In the report the messages are first sorted by syslog level and then by date/time}} | |||
</div><templatestyles src="Vorlage:AV-Portal-Benutzer.css" />{{DISPLAYTITLE:{{#var:display|Alerting Center}}}}{{Select_lang}}{{TOC2}} | </div><templatestyles src="Vorlage:AV-Portal-Benutzer.css" />{{DISPLAYTITLE:{{#var:display|Alerting Center}}}}{{Select_lang}}{{TOC2}} | ||
<p>'''{{#var:1|Einrichtung und Funktion des AlertingCenters}}'''</p> | <p>'''{{#var:1|Einrichtung und Funktion des AlertingCenters}}'''</p> | ||
{{ cl | {{#var: | <br> | ||
* {{#var: | |||
<p>{{#var:ver}} '''11.8.8'''</p> | |||
|w= | <br> | ||
<p>{{ cl | {{#var:neu}} | | |||
* {{#var:neu--report-design}} {{Hinweis| in 11.8.8|11.8.8}} | |||
* {{#var:4a| Neue Auslöser für Benachrichtigungen durch [[#TIF | Threat Intelligence Filter]]}} {{Hinweis| in 11.8.7|11.8.7}} | |||
|w=40px}}</p> | |||
---- | ---- | ||
=== {{#var:4b|Einleitung}} === | === {{#var:4b|Einleitung}} === | ||
{{#var:5|Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.<br/> | <p>{{#var:4|Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.}} </p> | ||
<p>{{#var:5|Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.<br/> | |||
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.<br/> | Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.<br/> | ||
Es gibt | Es gibt | ||
* umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und | * umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und | ||
* regelmäßige Berichte, die in einem festen Zeitraum versendet werden. | * regelmäßige Berichte, die in einem festen Zeitraum versendet werden. | ||
Verschiedenen Ereignissen können Priority-Gruppen <!-- gemäß der Kategorisierung von [https://de.wikipedia.org/wiki/Syslog Syslogmeldungen]--> zugeordnet werden}} | Verschiedenen Ereignissen können Priority-Gruppen <!-- gemäß der Kategorisierung von [https://de.wikipedia.org/wiki/Syslog Syslogmeldungen]--> zugeordnet werden}}</p> | ||
=== {{#var:6|Voraussetzungen}} === | === {{#var:6|Voraussetzungen}} === | ||
| Zeile 503: | Zeile 518: | ||
| SSL_VPN || {{#var:108|Fehler bei Authentifizierung mit SSL VPN Cert&Auth.}} || <small>{{Kasten|{{#var:l4|Level 4 - Warnung}}|blau}}</small> | | SSL_VPN || {{#var:108|Fehler bei Authentifizierung mit SSL VPN Cert&Auth.}} || <small>{{Kasten|{{#var:l4|Level 4 - Warnung}}|blau}}</small> | ||
|- | |- | ||
| <span id="TIF"></span>{{#var:120|Threat Intelligence Filter - FORWARD}} <br>{{Hinweis|in 11.8.7|11.8.7 | | <span id="TIF"></span>{{#var:120|Threat Intelligence Filter - FORWARD}} <br>{{Hinweis|in 11.8.7|11.8.7}} || {{#var:121|Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert.}} || <small>{{Kasten|{{#var:l7|Level 7 - Alarm}}|blau}}</small> | ||
|- | |- | ||
| {{#var:122|Threat Intelligence Filter - OUTPUT}} <br>{{Hinweis|in 11.8.7|11.8.7 | | {{#var:122|Threat Intelligence Filter - OUTPUT}} <br>{{Hinweis|in 11.8.7|11.8.7}} || {{#var:123| Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert.}} || <small>{{Kasten|{{#var:l7|Level 7 - Alarm}}|blau}}</small> | ||
|- | |- | ||
| {{#var:124|Threat Intelligence Filter - INPUT}} <br>{{Hinweis|in 11.8.7|11.8.7 | | {{#var:124|Threat Intelligence Filter - INPUT}} <br>{{Hinweis|in 11.8.7|11.8.7}} || {{#var:125| Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert.}} || <small>{{Kasten|{{#var:l7|Level 7 - Alarm}}|blau}}</small> | ||
|} | |} | ||
<br/> | <br/> | ||
| Zeile 514: | Zeile 529: | ||
=== {{#var:110|Ergebnis}} === | === {{#var:110|Ergebnis}} === | ||
<p>{{#var:111|Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.}}</p> | <p>{{#var:111|Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.}}</p> | ||
<p>{{Hinweis| in 11.8.8|11.8.8}}{{#var:report-design}}</p> | |||
{{Gallery2 | {{#var:112|UTM 11-8 AlertingCenter Alertingreport1.png}} | {{#var:113|Beispiel für '''Umgehenden''' E-Mail Bericht}} | {{Gallery2 | {{#var:112|UTM 11-8 AlertingCenter Alertingreport1.png}} | {{#var:113|Beispiel für '''Umgehenden''' E-Mail Bericht}} | ||
|{{#var:114|UTM 11-8 AlertingCenter Alertingreport2.png}} | {{#var:115|Beispiel für '''regelmäßigen''' E-Mail Bericht}}|i=2}} | |{{#var:114|UTM 11-8 AlertingCenter Alertingreport2.png}} | {{#var:115|Beispiel für '''regelmäßigen''' E-Mail Bericht}}|i=2}} | ||
Version vom 25. Februar 2020, 13:32 Uhr
Funktion, Einrichtung und Konfiguration des Alerting Centers
Letzte Anpassung zur Version: 11.8.8
- Neu:
- Das Design des regelmäßigen Berichts wurde überarbeitet in 11.8.8
- Neue Auslöser für Benachrichtigungen durch Threat Intelligence Filter in 11.8.7
Einleitung
Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.
Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt
- umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
- regelmäßige Berichte, die in einem festen Zeitraum versendet werden.
Verschiedenen Ereignissen können Priority-Gruppen zugeordnet werden
Voraussetzungen
Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü ein Smarthost konfiguriert werden.
Konfiguration
Menüpunkt
Allgemein
| Beschriftung | Default | Beschreibung | |
|---|---|---|---|
| Status | ⬤ | sollte grün sein, sonst bitte das Mailrelay prüfen. |  |
| E-Mail-Adresse: | admin@ttt-point.de | hier muss eine gültige Mail-Adresse stehen. Diese wird im Menü →Globale E-Mail Adresse eingestellt. | |
Umgehender E-Mail BerichtUmgehender E-Mail Bericht
| |||
| Aktiviert: | Ja | Per Default werden Umgehende E-Mail Berichte versendet. |  |
| Benachrichtigungstypen: | Level 5 - Fehler Level 6 - Kritisch Level 7 - Alarm Level 8 - Notfall |
In der Klick-Box können weitere Priority-Gruppen ausgewählt werden. Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet. | |
| Maximale Anzahl: | 10 |
Umgehende Berichte innerhalb von | |
| Zeitfenster: | 60 |
Minuten | |
Regelmäßiger E-Mail Bericht Regelmäßiger E-Mail Bericht
| |||
| Aktiviert: | Ja | Per Default werden Regelmäßige E-Mail Berichte versendet. |  |
| Benachrichtigungstypen: | Level 2 - Info Level 3 - Notiz Level 4 - Warnung Level 5 - Fehler Level 6 - Kritisch Level 7 - Alarm Level 8 - Notfall |
In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden. Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt. | |
| Datum: | : |
Mit Klick auf die Wochentage können diese an- oder abgewählt werden. | |
Benachrichtigungen
Benachrichtigungen
Es gibt zwei verschiedene Gruppen von Benachrichtigungen:
Über Schwellenwert gesteuerte Benachrichtigungen
Über Schwellenwert gesteuerte Benachrichtigungen
Bei diesen Werten können angegeben werden:
| Für die erste und zweite Benachrichtigungsstufe | |
|
, die dieser Stufe zugeordnet wird. |
|
Wert, ab dem diese Stufe erreicht wird |
| Name | Tolerierte Überschreitung der Schwellenwerte Standardwert |
Schwellenwert 1 Standardwert Benachrichtigungstyp: Severity-Level |
Schwellenwert 2 Standardwert Benachrichtigungstyp: Severity-Level |
|---|---|---|---|
|
60 Minuten | 70 % CPU Auslastung oder höher Level 3 - Notiz |
90 % Level 4 - Warnung |
|
60 Minuten | 70 % CPU Auslastung oder höher Level 3 - Notiz |
90 % Level 4 - Warnung |
|
... | ... | |
|
60 Minuten | 1.5 Systemauslastung (5 Min.) oder höher. Durchschnittswert der letzten 5 Minuten.
|
4 Level 5 - Fehler |
|
240 Minuten | 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue Level 4 - Warnung |
1000 E-Mails Level 5 - Fehler |
|
0 Minuten | 20000 Bytes / Sekunde oder mehr Level 0 - Keine Nachricht |
200000 Bytes Level 0 - Keine Nachricht |
|
... | ... | |
|
0 Minuten | 20 % freier Speicherplatz oder weniger Level 4 - Warnung |
10 % Level 5 - Fehler |
Über Ereignisse gesteuerte Benachrichtigungen
Bei Ereignisgesteuerten Benachrichtigungen wird dem
Benachrichtigungstyp direkt eine zugeordnet.
| Name | Nachricht | Default Syslog-Gruppe |
|---|---|---|
| AD/LDAP Neuer Wert ab v11.8.5 |
Verbindungsprobleme zum Active Directory oder LDAP Server. | Level 4 - Warnung |
| Cluster Switch Neuer Wert ab v11.8.5 |
Cluster: Wechsel zwischen MASTER und BACKUP. | Level 7 - Alarm |
| DBUS Rule Policy Neuer Wert ab v11.8.4 |
Verletzung der DBUS Richtlinien festgestellt. | Level 6 - Kritisch |
| DSL_VDSL | Einwahlproblem über DSL oder VDSL | Level 4 - Warnung |
| DynDNS-Client Account | Account Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
| DynDNS-Client Host | Host Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
| DynDNS-Client Server | Server Fehlermeldung des DynDNS-Clients | Level 4 - Warnung |
| Fallback-Interface | HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. | Level 6 - Kritisch |
| HTTP-Proxy Workers Neuer Wert ab v11.8.5 |
HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden. Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr. |
Level 5 - Fehler |
| IPS Blocking | Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung | Level 4 - Warnung |
| License Error | Meldungen über Lizenzfehler | Level 5 - Fehler |
| License Information | Meldungen über Lizenzinformationen | Level 3 - Notiz |
| Mail Scanner | Mailscanner hat einen Virus erkannt | Level 5 - Fehler |
| Mailconnector Authentication | Authentifizierungsproblem des Mailconnectors zum E-Mail Provider | Level 4 - Warnung |
| Mailconnector Fetch | Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. | Level 4 - Warnung |
| Mandatory Access Control (MAC) | Verletzung der Sicherheitsrichtlinien erkannt (MAC) (bis 11.8.3 unter tomoyo) . | Level 6 - Kritisch |
| Shutdown Detection | Unsauberes Herunterfahren festgestellt | Level 6 - Kritisch |
| Spamfilter-Cloud | Spamfilter kann sich nicht mit Cloud verbinden | Level 4 - Warnung |
| Squid Virus Scanner | Squid (HTTP-Proxy) hat einen Virus erkannt. | Level 5 - Fehler |
| SSL_VPN | Fehler bei Authentifizierung mit SSL VPN Cert&Auth. | Level 4 - Warnung |
| Threat Intelligence Filter - FORWARD in 11.8.7 |
Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
| Threat Intelligence Filter - OUTPUT in 11.8.7 |
Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
| Threat Intelligence Filter - INPUT in 11.8.7 |
Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert. | Level 7 - Alarm |
Die Einstellungen werden mit abgeschlossen.
Ergebnis
Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:
- Report → Regelmäßiger Bericht
- Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes
in 11.8.8 Im Bericht werden die Meldungen zunächst nach Syslog-Level und anschließend nach Datum/Uhrzeit sortiert
Deaktivierung
Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:
Menü Eintrag Alerting Center (spalertd) Schaltfläche:
Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.