Wechseln zu:Navigation, Suche
Wiki

Alerting Center

Aus Securepoint Wiki


Einrichtung und Funktion des AlertingCenters
Neue Funktion in 11.8

Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.


Einleitung

Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt

  • umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
  • regelmäßige Berichte, die in einem festen Zeitraum versendet werden.

Verschiedenen Ereignissen können Priority-Gruppen gemäß der Kategorisierung von Syslogmeldungen zugeordnet werden

Voraussetzungen

Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü → Anwendungen →Mailrelay ein Smarthost konfiguriert werden.


Konfiguration

Menüpunkt → Alerting Center 

Allgemein

UTM 11-8 AlertingCenter Allgemein.png
  • Status
sollte grün sein, sonst bitte das Mailrelay prüfen.
  • E-Mail-Adresse:
hier muss eine gültige Mail-Adresse stehen.
Diese wird im Menü → Netzwerk →ServereinstellungenGlobale E-Mail Adresse eingestellt.
  • Umgehender
    E-Mail Bericht für:
Hier können verschieden Benachrichtigungs- bzw. Syslog-Priority-Gruppen angegeben werden.
Mit einem Klick in das weiße Feld können weitere Priority-Gruppen ausgewählt werden.
Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Priority-Gruppe verknüpft wurde wird umgehend eine E-Mail versendet.
  • Regelmäßiger
    E-Mail Bericht für:
Hier können verschieden Benachrichtigungs- bzw. Syslog-Priority-Gruppen angegeben werden.
Mit einem Klick in das weiße Feld können weitere Priority-Gruppen ausgewählt werden.
Diese Werte werden in einer regelmäßig versendeten Mail aufgeführt.
  • Regelmäßiger
    E-Mail Bericht:
Hier werden Wochentage und Uhrzeit für regelmäßige Berichte ausgewählt.




Es gibt zwei verschiedene Gruppen von Benachrichtigungs-Werten:

Beispiel für Schwellenwert-gesteuerte Benachrichtigung

Über Schwellenwert gesteuerte Benachrichtigungen:

Bei diesen Werten können angegeben werden:

Tolerierte Überschreitung der Schwellenwerte: Zeitangabein Minuten

Für die erste und zweite Benachrichtigungsstufe jeweils

  • Benachrichtigungstyp:
    Syslog-Priority-Gruppe , die dieser Stufe zugeordnet wird.
  • Schwellenwert:
    Wert, ab dem diese Stufe erreicht wird




Name Tolerierte Überschreitung der Schwellenwerte
Standardwert		 Schwellenwert 1
Standardwert		 Schwellenwert 2
Standardwert
  • CPU 0 Auslastung Benutzer
    (CPU_0_USER)
 60 Minuten 70 % CPU Auslastung oder höher 90 %
  • CPU 0 Auslastung System
    (CPU_0_SYSTEM)
 60 Minuten 70 % CPU Auslastung oder höher 90 %
  • ggf. weitere CPUs
 ... ...
  • LOAD
    Anzahl der Prozesse, die gleichzeitig verarbeitet werden sollen
 60 Minuten 1.5 Systemauslastung (5 Min.) oder höher.Durchschnittswert der letzten 5 Minuten.
Der Load sollte idealer Weise je Prozessor nicht mehr als 1 betragen. 		4
  • Mailrelay (MAILQUEUE)
 240 Minuten 100 E-Mails oder mehr konnten noch nicht abgearbetet werden und befinden sich in der Mailqueue 1000 E-Mails
  • Schnittstelle eth0 (INTERFACE_eth0)
 0 Minuten 20000 Bytes / Sekunde oder mehr 20000 Bytes
  • alle weiteren vorhanden Schnittstellen und Tunnel
 ... ...
  • Speicherplatz (DF)
 0 Minuten 20 % freier Speicherplatz oder weniger 10 %


Über Ereignisse gesteuerte Benachrichtigungen.

Beispiel für Ereignis-gesteuerte Benachrichtigung

Bei Ereignis-gesteuerten Benachrichtigungen wird direkt dem
Benachrichtigungstyp eine Syslog-Priority-Gruppe zugeordnet.

Name Nachricht
  • DSL_VDSL
 Einwahlproblem über DSL oder VDSL
  • DynDNS-Client Account
 Account Fehlermeldung des DynDNS-Clients
  • DynDNS-Client Agent
 Agent Fehlermeldung des DynDNS-Clients
  • DynDNS-Client Host
 Host Fehlermeldung des DynDNS-Clients
  • DynDNS-Client Server
 Server Fehlermeldung des DynDNS-Clients
  • Externe Authentifizierung (AD_LDAP)
 Verbindungsprobleme zum Active Directory oder LDAP Server
  • Fallback-Schnittstelle
 Wechsel einer Schnittstelle von der Standardleitung zum Fallback festgestellt
  • HTTP-Proxy (Squid Virenscanner)
 Squid hat einen Virus gefunden
  • IPS Sperrungen
 Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung
  • Lizenzfehler
 Meldungen über Lizenzfehler
  • Lizenzinformationen
 Meldungen über Lizenzinformationen
  • Mailconnectors
 Authentifizierungs-Problem des Mailconnectors zum E-Mail Provider
  • Mailscanner
 Mailscanner hat einen Virus erkannt
  • Shutdown Detection
 Unsauberes Herunterfahren festgestellt
  • Spamfilter-Cloud
 Spamfilter kann sich nicht mit Cloud verbinden
  • SSL_VPN
 SSL VPN Cert&Auth
  • Tomoyo
 Tomoyo Regelverletzungen festgestellt

Die Einstellungen werden mit Speichern abgeschlossen.

Ergebnis

Es werden jetzt Benachrichtigungen an die angegebe Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Sytemzuständen gesendet.

Beispiel für Umgehenden E-Mail Bericht
Beispiel für regelmäßigen E-Mail Bericht



Deaktivierung

Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:
Menü → Anwendungen →Anwendungsstatus Eintrag Alerting Center (spalertd) Button ■ Stoppen

Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AlertingCenter_v11.8.8&oldid=28524