Wechseln zu:Navigation, Suche
Wiki

UTM/AlertingCenter v12.2: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/AlertingCenter}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/AlertingCenter_v12.2.lang}} </div> {{TOC2}} {{Select_lang}} {{Header|12.2.3| * {{#var:neu--GeoIP Objects}} * {{#var:neu--Absender-E-Mail anpassbar}} | 11.8.8 }} ---- === {{#var:Einleitung}} === <div class="Einrücken"> <p>{{#var:Einleitung--desc}}</p> <p>{{#var:Das Alerting Center ist als Standard immer aktiv}}</p> </div> ===…“)
 
KKeine Bearbeitungszusammenfassung
 
Zeile 3: Zeile 3:


{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/AlertingCenter_v12.2.lang}}
 
{{var | display
| Alerting Center
| Alerting Center }}
{{var | head
| Funktion, Einrichtung und Konfiguration des Alerting Centers
| Function, setup and configuration of the Alerting Center }}
{{var  | neu--report-design
    | Das Design des [[#Ergebnis | regelmäßigen Berichts]] wurde überarbeitet
    | The design of the [{{#var:host}}Spielwiese/UTM/AlertingCenter#Result regular report] has been revised }}
{{var  | Neue Auslöser für Benachrichtigungen durch
        | Neue Auslöser für Benachrichtigungen durch [[#TIF | Threat Intelligence Filter]]
    | New triggers for notifications through [[#TIF | Threat Intelligence Filter]] }}
{{var  | Einleitung
        | Einleitung
    | Introduction }}
{{var  | Einleitung--desc
        | Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen. Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.
    | The Alerting Center automatically sends e-mails with log events. This sets up monitoring of log events and simplifies monitoring. Error messages can be forwarded to the admin before a malfunction occurs or a malfunction can be detected more quickly. }}
{{var  | Das Alerting Center ist als Standard immer aktiv
        | Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.<br/>Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.<br/>Es gibt
* umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
* regelmäßige Berichte, die in einem festen Zeitraum versendet werden.<br>
Verschiedenen Ereignissen können Priority-Gruppen <!-- gemäß der Kategorisierung von [https://de.wikipedia.org/wiki/Syslog Syslogmeldungen]--> zugeordnet werden
  | The Alerting Center is always active by default as soon as a valid e-mail address has been entered and the mail relay has been configured correctly. <br/>The Alerting Center sends notifications by e-mail to the global e-mail address.<br/>There are
* Immediate reports that are sent immediately when an event occurs, and
* Regular reports that are sent in a fixed period of time.
Priority groups can be assigned to different events }}
{{var  | Voraussetzungen
        | Voraussetzungen
    | Requirements }}
{{var  | Voraussetzungen--desc
        | Damit das Alerting-Center Nachrichten versenden kann, muss das [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] konfiguriert sein.<br/>Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü {{Menu | Anwendungen | Mailrelay}} ein [{{SERVER}}/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{Reiter | Smarthost}}] konfiguriert werden.
    | For the Alerting Center to be able to send messages, the [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] must be configured.<br/>If no own mail server or no fixed public IP address is available, a [{{SERVER}}/UTM/APP/Mailrelay#Allgemeine_Einstellungen_und_Smarthost {{Reiter | Smarthost}}] can be configured in the menu {{Menu | Applications | Mailrelay}}. }}
{{var  | Konfiguration
        | Konfiguration
    | Configuration}}
{{var  | Konfiguration--desc
        | Menüpunkt {{Menu| Alerting Center}}
    | Menu Item {{Menu| Alerting Center}} }}
{{var  | Allgemein
        | Allgemein
    | General }}
{{var  | Allgemein--Bild
        | UTM v12.2.3 Alertingcenter Allgemein.png
    | UTM v12.2.3 Alertingcenter Allgemein-en.png }}
{{var | Allgemein--cap
| Alerting Center - Allgemein
| Alerting Center - General }}
{{var  | Beschriftung
        | Beschriftung:
    | Caption: }}
{{var  | des
        | Beschreibung:
    | Description: }}
{{var  | Status
        | Status:
    | Status: }}
{{var  | Status--desc
        | Sollte grün sein, sonst bitte das [[UTM/APP/Mailrelay | Mailrelay]] prüfen
    | Should be green, otherwise please check the [{{SERVER}}/UTM/APP/Mailrelay Mailrelay] }}
{{var  | Empfänger
        | Empfänger:
    | Recipient: }}
{{var  | Empfänger--desc
        | Hier muss eine gültige Mail-Adresse stehen. <br/>Diese wird im Menü  {{Menu|Netzwerk|Servereinstellungen|Servereinstellungen}} →{{Beschriftung|Globale E-Mail Adresse}} eingestellt.
    | Here must be a valid mail address. <br/>This is displayed in the menu {{Menu|Network|Server Settings|Appliance settings}} →{{b|global email address}}. }}
{{var | Absender
| Absender:
| Sender }}
{{var | Absender--desc
| Die Absenderadresse lässt sich frei konfigurieren.<br>Vorgabe ist spalertd@''firewallname''
| The sender address can be freely configured.<br>The default is spalertd@''firewallname'' }}
{{var  | Umgehender E-Mail Bericht
        | Umgehender E-Mail Bericht
    | Immediate email report }}
{{var  | Aktiviert
        | Aktiviert:
    | Enabled: }}
{{var  | Ja
        | Ja
    | Yes }}
{{var  | Aktiviert--desc
        | Per Default werden Umgehende E-Mail Berichte versendet.
    | Immediate e-mail reports are sent by default. }}
{{var  | Umgehender E-Mail Bericht--Bild
        | UTM v12.2.3 Alertingcenter Umgehender-Bericht.png
    | UTM v12.2.3 Alertingcenter Umgehender-Bericht-en.png }}
{{var | Umgehender E-Mail Bericht--cap
| Alerting Center - Umgehender Bericht
|  }}
{{var  | Benachrichtigungstypen
        | Benachrichtigungstypen:
    | Notification types: }}
{{var  | l0
        | Level 0 - Keine Nachricht
    | Level 0 - No message }}
{{var  | l1
        | Level 1 - Debug
    | Level 1 - Debug }}
{{var  | l2
        | Level 2 - Info
    | Level 2 - Info }}
{{var  | l3
        | Level 3 - Notiz
    | Level 3 - Notice }}
{{var  | l4
        | Level 4 - Warnung
    | Level 4 - Warning }}
{{var  | l5
        | Level 5 - Dringende Warnung
    | Level 5 - Urgent warning }}
{{var  | l6
        | Level 6 - Fehler
    | Level 6 - Error }}
{{var  | l7
        | Level 7 - Kritisch
    | Level 7 - Critical }}
{{var  | l8
        | Level 8 - Alarm
    | Level 8 - Alert }}
{{var  | l9
        | Level 9 - Notfall
        | Level 9 - Emergency }}
{{var  | Benachrichtigungstypen--desc
        | In der Klick-Box können weitere Priority-Gruppen ausgewählt werden.
Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet.
    | Further priority groups can be selected in the click box.
If an event occurs or a threshold value associated with this group is exceeded, an e-mail is immediately sent. }}
{{var  | Maximale Anzahl
        | Maximale Anzahl:
    | Limit: }}
{{var  | Maximale Anzahl--desc
        | Umgehende Berichte innerhalb von
    | Immediate reports within }}
{{var  | Zeitfenster
        | Zeitfenster:
    | Time frame: }}
{{var  | Minuten
        | Minuten
    | Minutes }}
{{var  | Regelmäßiger E-Mail Bericht
        | Regelmäßiger E-Mail Bericht
    | Regular email report }}
{{var  | Aktiviert-Regelmäßig--desc
        | Per Default werden regelmäßige E-Mail Berichte versendet.<br> {{Hinweis-neu|!|g}} Dies geschieht nur, wenn irgendein Ereignis mit einem Log-Level eingetreten ist. Andernfalls wird kein Bericht versendet. Wird trotzdem ein Bericht gewünscht, kann dies über den [[USR/UTMs | Unified Security Report]] dargestellt werden.
    | Regular email reports are sent by default.<br> {{Hinweis-neu|!|g}} This only happens if any event with a log level has occurred. Otherwise, no report will be sent. If a report is desired nevertheless, this can be realized via the [[USR/UTMs | Unified Security Report]]. }}
{{var  | Regelmäßiger E-Mail Bericht--Bild
        | UTM v12.2.3 Alertingcenter Regelmaessiger-Bericht.png
    | UTM v12.2.3 Alertingcenter Regelmaessiger-Bericht-en.png }}
{{var | Regelmäßiger E-Mail Bericht--cap
| Alerting Center - Regelmässiger E-Mail Bericht
|  }}
{{var  | Benachrichtigungstypen-Regelmäßig--desc
        | In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden.<br/>Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt.
    | In the click box further priority groups can be selected or deselected.<br/> Events configured with these syslog groups are listed in a regularly sent mail. }}
{{var  | Datum
        | Datum:
    | Date: }}
{{var  | Mo
        | Mo
    | Mon }}
{{var  | Di
        | Di
    | Tue }}
{{var  | Mi
        | Mi
    | Wed }}
{{var  | Do
        | Do
    | Thu }}
{{var  | Fr
        | Fr
    | Fri }}
{{var  | Sa
        | Sa
    | Sat }}
{{var  | So
        | So
    | Sun }}
{{var  | Datum--desc
        | Mit Klick auf die Wochentage können diese an- oder abgewählt werden.
    | Click on the days of the week to select or deselect them. }}
{{var  | Benachrichtigungen
        | Benachrichtigungen
    | Notifications }}
{{var  | Benachrichtigungen--desc
        | Es gibt zwei verschiedene Gruppen von Benachrichtigungen:
    | There are two different groups of notifications: }}
{{var  | Benachrichtigungen--Bild
        | UTM v12.2.3 AlertingCenter CPU.png
    | UTM v12.2.3 AlertingCenter CPU-en.png }}
{{var | Benachrichtigungen--cap
| Beispiel für Schwellenwert-gesteuerte Benachrichtigung
| Example of threshold-driven notification }}
{{var  | Über Schwellenwert gesteuerte Benachrichtigungen
        | Über Schwellenwert gesteuerte Benachrichtigungen
    | Threshold controlled notifications }}
{{var  | Bei diesen Werten können angegeben werden
        | Bei diesen Werten können angegeben werden:
    | These values can be specified: }}
{{var | Name
| Name:
| Name: }}
{{var | Name--val
| CPU 0 Auslastun Benutzer (CPU_0_User)
| CPU 0 utilization user (CPU_0_User) }}
{{var | Name--desc
| Name der jeweiligen Benachrichtigungsart
| Name of the respective notification type  }}
{{var  | Tolerierte Überschreitung der Schwellenwerte
        | Tolerierte Überschreitung der Schwellenwerte:
    | Toleranced exceedance of threshold values: }}
{{var | Erste Benachrichtigungsstufe
| Erste Benachrichtigungsstufe
| First notification level }}
{{var  | Benachrichtigungstyp
        | Benachrichtigungstyp:
    | Notification type: }}
{{var | Regelmäßig
| Regelmäßig
| Regularly }}
{{var | Benachrichtigungstyp--desc
| Gewünschten Benachrichtigungstypen auswählen
| Select the desired notification type }}
{{var | Schwellenwert
| Schwellenwert:
| Threshold Value: }}
{{var | Schwellenwert--val
| Auslastung oder höher
| Utilization or higher }}
{{var | Schwellenwert--desc
| Wert, ab dem diese Stufe erreicht wird
| Value from which this level is reached }}
{{var | Zweite Benachrichtigungsstufe
| Zweite Benachrichtigungsstufe
| Second notification level }}
{{var | Standardwert
| Standardwert
| Default }}
{{var  | CPU 0 Auslastung Benutzer
        | CPU 0 Auslastung Benutzer
    | CPU 0 utilization user }}
{{var  | 70 % CPU Auslastung oder höher
        | 70 % CPU Auslastung oder höher
    | 70 % CPU utilization or higher }}
{{var  | CPU 0 Auslastung System
        | CPU 0 Auslastung System
    | CPU 0 utilization system }}
{{var  | ggf. weitere CPUs
        | ggf. weitere CPUs
    | if required further CPUs }}
{{var | Festplattentemperatur
| Festplattentemperatur von 60°C oder höher
| Hard disk temperature of 60°C or higher }}
{{var  | Anzahl der Prozesse
        | Anzahl der Prozesse, die gleichzeitig verarbeitet werden sollen
    | Number of processes that are to be processed simultaneously. }}
{{var  | 1.5 Systemauslastung (5 Min.) oder höher
        | 1.5 Systemauslastung (5 Min.) oder höher.
    | 1.5  load average (5 minutes) or higher }}
{{var  | Durchschnittswert der letzten 5 Minuten
        | Durchschnittswert der letzten 5 Minuten.
    | Average value of the last 5 minutes. }}
{{var  | Der Load sollte idealer Weise
        | Der Load sollte idealer Weise je Prozessor nicht mehr als 1 betragen.
    | Ideally, the load per processor should not exceed 1. }}
{{var  | 100 E-Mails oder mehr
        | 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue
    | 100 e-mails or more could not be processed yet and are in the mail queue }}
{{var  | 1000 E-Mails
        | 1000 E-Mails
    | 1000 emails }}
{{var  | Schnittstelle eth0 (INTERFACE_eth0)
        | Schnittstelle eth0 (INTERFACE_eth0)
    | Interface eth0 (INTERFACE_eth0) }}
{{var  | 20000 Bytes
        | 20000 Bytes / Sekunde oder mehr
    | 20000 bytes / second or more }}
{{var  | Alle weiteren vorhanden Schnittstellen und Tunnel
        | Alle weiteren vorhanden Schnittstellen und Tunnel
    | All other existing interfaces and tunnels }}
{{var  | Speicherplatz (DF)
        | Speicherplatz (DF)
    | Disk space (DF) }}
{{var  | 20 % freier Speicherplatz oder weniger
        | 20 % freier Speicherplatz oder weniger
    | 20  % free disk space or less }}
{{var  | Über Ereignisse gesteuerte Benachrichtigungen
        | Über Ereignisse gesteuerte Benachrichtigungen
    | Event-based notifications}}
{{var  | Über Ereignisse gesteuerte Benachrichtigungen--Bild
        | UTM v12.2.3 AlertingCenter DSL.png
    | UTM v12.2.3 AlertingCenter DSL-en.png }}
{{var | Über Ereignisse gesteuerte Benachrichtigungen--cap
| Beispiel für Ereignisgesteuerte Benachrichtigung
| Evident-based notification example }}
{{var  | Über Ereignisse gesteuerte Benachrichtigungen--desc
        | Bei Ereignisgesteuerten Benachrichtigungen wird dem {{b|Benachrichtigungstyp}} direkt eine {{MenuD|Syslog-Priority-Gruppe}} zugeordnet.
    | For event-based notifications, a {{MenuD|Syslog Priority Group}} is directly assigned to the {{b|Notification Type}}. }}
{{var  | Nachricht
        | Nachricht:
    | Message: }}
{{var  | Default Syslog-Gruppe
        | Default Syslog-Gruppe:
    | Default Syslog Group: }}
{{var  | Verbindungsprobleme zum Active Directory oder LDAP Server
        | Verbindungsprobleme zum Active Directory oder LDAP Server.
    | Connection problems to Active Directory or LDAP server. }}
{{var  | Neuer Wert ab v11.8.5
        | Neuer Wert ab v11.8.5
    | New value as of v11.8.5 }}
{{var  | Cluster Switch--desc
        | Cluster: Wechsel zwischen MASTER und BACKUP.
    | Cluster: Switching between MASTER and BACKUP. }}
{{var  | Verletzung der DBUS Richtlinien festgestellt
        | Verletzung der DBUS Richtlinien festgestellt.
    | DBUS security violation detected. }}
{{var  | Einwahlproblem über DSL oder VDSL
        | Einwahlproblem über DSL oder VDSL
    | Dial-up problem over DSL or VDSL. }}
{{var  | Account Fehlermeldung des DynDNS-Clients
        | Account Fehlermeldung des DynDNS-Clients
    | Account error message of the DynDNS client. }}
{{var  | Host Fehlermeldung des DynDNS-Clients
        | Host Fehlermeldung des DynDNS-Clients
    | Host error message of the DynDNS client. }}
{{var  | Server Fehlermeldung des DynDNS-Clients
        | Server Fehlermeldung des DynDNS-Clients
    | Server error message of the DynDNS client. }}
{{var  | Fallback-Schnittstelle aktiviert/deaktiviert
        | Fallback-Schnittstelle aktiviert/deaktiviert.
    | Fallback interface activated/deactivated. }}
{{var  | HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden
        | HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden.
    | HTTP-Proxy: No more worker processes. }}
{{var | Mehr lesen
| Mehr lesen
| Reas more }}
{{var  | 97b
        | Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr.
    |For load balancing, the HTTP proxy squid outsources its services to worker processes. When all worker processes are terminated, the HTTP proxy no longer runs. }}
{{var  | Meldungen über gesperrte IP-Adressen
        | Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung
    | Blocked IP address messages due to incorrect logon }}
{{var  | Meldungen über Lizenzfehler
        | Meldungen über Lizenzfehler
    | License error messages }}
{{var  | Meldungen über Lizenzinformationen
        | Meldungen über Lizenzinformationen
    | License information messages.}}
{{var  | Mailscanner hat einen Virus erkannt
        | Mailscanner hat einen Virus erkannt
    | Mail scanner has detected a virus }}
{{var  | Mailconnector Authentication--desc
        | Authentifizierungsproblem des Mailconnectors zum E-Mail Provider
    | Mailconnector authentication problem to the e-mail provider }}
{{var  | Mailconnector Fetch--desc
        | Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab.
    | Mailconnector rejects an e-mail due to message size }}
{{var  | Mandatory Access Control (MAC)--desc
        | Verletzung der Sicherheitsrichtlinien erkannt (MAC) <small>(bis 11.8.3 unter ''tomoyo'') </small>
    | Security breach detected (MAC) <small>(until 11.8.3 labeled as ''tomoyo'')</small> }}
{{var  | Unsauberes Herunterfahren festgestellt
        | Unsauberes Herunterfahren festgestellt
    | Unclean shutdown detected }}
{{var  | Spamfilter kann sich nicht mit Cloud verbinden
        | Spamfilter kann sich nicht mit Cloud verbinden
    | Spam Filter can not connect to cloud }}
{{var  | Squid (HTTP-Proxy) hat einen Virus erkannt
        | Squid (HTTP-Proxy) hat einen Virus erkannt.
    | Squid (HTTP-Proxy) has detected a virus }}
{{var  | SSL_VPN--desc
        | Fehler bei Authentifizierung mit SSL VPN Cert&Auth.
    | Authentication failed with SSL VPN Cert&Auth }}
{{var  | 121
        | Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert.
    | Forwarding to an IP address prevented by Threat Intelligence Filter}}
{{var  | 123
        | Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert
    | Calling an IP address prevented by Threat Intelligence Filter }}
{{var  | 125
        | Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert
    | External access from an IP address prevented by Threat Intelligence Filter }}
{{var  | 109
        | Die Einstellungen werden mit {{Button |Speichern}} abgeschlossen.
    | The settings are concluded with {{Button |Save}}. }}
{{var  | Ergebnis
        | Ergebnis
    | Result}}
{{var  | Ergebnis--desc
        | Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.<br>Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»'''Alerting-Center''' (''firewall-name''): ''Berichtsart''. Dabei bedeutet:
* Report → Regelmäßiger Bericht
* Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes
    | Notifications are now sent to the specified mail address at the configured times and system states.<br>The subject of the messages is structured as follows: Subject:'''Alerting-Center''' ('''''firewall-name'''''): '''''Report type'''''. Where this means:
* Report → Regular report
* Error / Critical / Alert / Emergency → Syslog severity level of an immediate report }}
{{var  | report-design
    | Im Bericht werden die Meldungen zunächst nach Syslog-Level und anschließend nach Datum/Uhrzeit sortiert
    | In the report the messages are first sorted by syslog level and then by date/time }}
{{var  | 112
        | UTM_v11.8.5_AlertingCenter_Alertingreport1.png
    | UTM_v11.8.5_AlertingCenter_Alertingreport1-en.png}}
{{var  | 113
        | Beispiel für '''Umgehenden''' E-Mail Bericht
    | Example for '''Immediate''' email report}}
{{var  | 114
        | UTM_v11.8.8_Alertingcenter_Report.png
    | UTM_v11.8.8_Alertingcenter_Report-en.png }}
{{var  | 115
        | Beispiel für '''regelmäßigen''' E-Mail Bericht
    | Example for '''regular''' email report}}
{{var  | Deaktivierung
        | Deaktivierung
    | Deactivation}}
{{var  | 117
        | Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:
    | If the Alerting Center function is not desired, the service can be deactivated: }}
{{var  | 118
        | Menü {{Menu | Anwendungen | Anwendungsstatus}}  Eintrag {{Beschriftung|Alerting Center (spalertd)}} Schaltfläche: {{Button|■ Stoppen}}
    | Menu {{Menu | Applications | Application Status}} Entry {{b|Alerting Center (spalertd)}} Button: {{Button|■ Stop}} }}
{{var  | 119
        | Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.
    | This setting is saved and is kept even after a restart. }}
{{var | Akzeptierte Dauer der Überschreitung
| Akzeptierte Dauer der Überschreitung
| Accepted duration of the overrun }}
{{var | ausblenden
| ausblenden
| hide }}
{{var | neu--Absender-E-Mail anpassbar
| Die [[#Allgemein |E-Mail-Adresse für den Absender]] ist jetzt frei konfigurierbar
| The [[#General | email address for the sender]] is now freely configurable }}
{{var | GeoIP Objects--desc
| Meldungen des GeoIP-Dienstes
| Notifications from the GeoIP service }}
{{var | neu--GeoIP Objects
| Meldungen des [[#GeoIP|GeoIP Dienstes]] erzeugen eine Benachrichtigung
| Messages of the [[#GeoIP|GeoIP service]] generate a notification }}
 


</div> {{TOC2}} {{Select_lang}}
</div> {{TOC2}} {{Select_lang}}

Aktuelle Version vom 15. Mai 2023, 16:25 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht





































































































De.png
En.png
Fr.png






Funktion, Einrichtung und Konfiguration des Alerting Centers
Letzte Anpassung zur Version: 12.2.3
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.8.8


Einleitung

Das Alerting Center versendet Automatisch E-Mails mit Log-Ereignissen. Damit wird eine Überwachung der Log-Ereignisse eingerichtet und so das Monitoring vereinfacht. Fehlermeldungen können an den Admin weitergeleitet werden, bevor es zu einer Fehlfunktion kommt bzw. eine Fehlfunktion kann schneller bemerkt werden.

Das Alerting Center ist als Standard immer aktiv, sobald eine gültige E-Mail-Adresse hinterlegt und das Mailrelay korrekt konfiguriert wurde.
Das Alerting Center schickt Benachrichtigungen per Mail an die globale E-Mailadresse.
Es gibt

  • umgehende Berichte, die sofort bei Eintreten eines Ereignisses versendet werden und
  • regelmäßige Berichte, die in einem festen Zeitraum versendet werden.
Verschiedenen Ereignissen können Priority-Gruppen zugeordnet werden

Voraussetzungen

Damit das Alerting-Center Nachrichten versenden kann, muss das Mailrelay konfiguriert sein.
Wenn kein eigener Mail-Server oder keine feste öffentliche IP-Adresse zur Verfügung steht kann im Menü → Anwendungen →Mailrelay ein Smarthost konfiguriert werden.


Konfiguration

Menüpunkt → Alerting Center 

Allgemein

Beschriftung: Default: Beschreibung: UTM v12.2.3 Alertingcenter Allgemein.png
Alerting Center - Allgemein
Status: Sollte grün sein, sonst bitte das Mailrelay prüfen
Empfänger: admin@ttt-point.de Hier muss eine gültige Mail-Adresse stehen.
Diese wird im Menü → Netzwerk →ServereinstellungenReiter ServereinstellungenGlobale E-Mail Adresse eingestellt.
Absender: spalertd@firewall.ttt-point.local Die Absenderadresse lässt sich frei konfigurieren.
Vorgabe ist spalertd@firewallname
Neu ab 12.2.3

Umgehender E-Mail Bericht

Aktiviert: Ja Per Default werden Umgehende E-Mail Berichte versendet. UTM v12.2.3 Alertingcenter Umgehender-Bericht.png
Alerting Center - Umgehender Bericht
Benachrichtigungstypen: ×Level 5 - Dringende Warnung
× Level 6 - Fehler
× Level 7 - Kritisch
× Level 8 - Alarm
× Level 9 - Notfall		 In der Klick-Box können weitere Priority-Gruppen ausgewählt werden.

Bei Eintritt eines Ereignisses oder Überschreitung eines Schwellenwertes, das bzw. der der mit dieser Gruppe verknüpft wurde wird umgehend eine E-Mail versendet.

1. ×Level 1 - Debug 6. ×Level 6 - Fehler
2. ×Level 2 - Info 7. ×Level 7 - Kritisch
3. ×Level 3 - Notiz 8. ×Level 8 - Alarm
4. ×Level 4 - Warnung 9. ×Level 9 - Notfall
5. ×Level 5 - Dringende Warnung
  1. × Level 1 - Debug
  2. × Level 2 - Info
  3. × Level 3 - Notiz
  4. × Level 4 - Warnung
  5. × Level 5 - Dringende Warnung
  6. × Level 6 - Fehler
  7. × Level 7 - Kritisch
  8. × Level 8 - Alarm
  9. × Level 9 - Notfall
Maximale Anzahl: 10Link= Umgehende Berichte innerhalb von
Zeitfenster: 60Link= Minuten

Regelmäßiger E-Mail Bericht

Aktiviert: Ja Per Default werden regelmäßige E-Mail Berichte versendet.
 Dies geschieht nur, wenn irgendein Ereignis mit einem Log-Level eingetreten ist. Andernfalls wird kein Bericht versendet. Wird trotzdem ein Bericht gewünscht, kann dies über den Unified Security Report dargestellt werden. 		UTM v12.2.3 Alertingcenter Regelmaessiger-Bericht.png
Alerting Center - Regelmässiger E-Mail Bericht
Benachrichtigungstypen: ×Level 2 - Info
×Level 3 - Notiz
×Level 4 - Warnung
×Level 5 - Dringende Warnung
×Level 6 - Fehler
×Level 7 - Kritisch
×Level 8 - Alarm
×Level 9 - Notfall		 In der Klick-Box können weitere Priority-Gruppen aus- oder abgewählt werden.
Ereignisse, die mit diesen Syslog-Gruppen konfiguriert wurden, werden in einer regelmäßig versendeten Mail aufgeführt.
Datum: Mo Di Mi Do Fr Sa So
08 : 30		 Mit Klick auf die Wochentage können diese an- oder abgewählt werden.

Benachrichtigungen

 Benachrichtigungen 
Es gibt zwei verschiedene Gruppen von Benachrichtigungen:

Über Schwellenwert gesteuerte Benachrichtigungen

Bei diesen Werten können angegeben werden:
Name: CPU 0 Auslastun Benutzer (CPU_0_User) Name der jeweiligen Benachrichtigungsart UTM v12.2.3 AlertingCenter CPU.png
Beispiel für Schwellenwert-gesteuerte Benachrichtigung
Tolerierte Überschreitung der Schwellenwerte: 60 Minuten Akzeptierte Dauer der Überschreitung
Erste Benachrichtigungsstufe
Benachrichtigungstyp: Level 3 - Notiz (Regelmäßig) Gewünschten Benachrichtigungstypen auswählen
Schwellenwert: 70 %CPU
Auslastung oder höher 		Wert, ab dem diese Stufe erreicht wird
Zweite Benachrichtigungsstufe
Benachrichtigungstyp: Level 4 - Warnung (Regelmäßig) Gewünschten Benachrichtigungstypen auswählen
Schwellenwert: 90 %CPU
Auslastung oder höher 		Wert, ab dem diese Stufe erreicht wird




Name: Tolerierte Überschreitung der Schwellenwerte:
Standardwert 		Schwellenwert: 1
Standardwert
Benachrichtigungstyp: Severity-Level 		Schwellenwert: 2
Standardwert
Benachrichtigungstyp: Severity-Level
  • CPU 0 Auslastung Benutzer
    (CPU_0_USER)
 60 Minuten 70 % CPU Auslastung oder höher
Level 3 - Notiz 		90%
Level 4 - Warnung
  • CPU 0 Auslastung System
    (CPU_0_USER)
 60 Minuten 70 % CPU Auslastung oder höher
Level 3 - Notiz 		90%
Level 4 - Warnung
  • ggf. weitere CPUs
 ... ... ...
  • LOAD
    Anzahl der Prozesse, die gleichzeitig verarbeitet werden sollen
60 Minuten 1.5 Systemauslastung (5 Min.) oder höher.

Durchschnittswert der letzten 5 Minuten.
Der Load sollte idealer Weise je Prozessor nicht mehr als 1 betragen.
Level 4 - Warnung

4
Level 5 - Dringende Warnung
  • Mailrelay (MAILQUEUE)
 240 Minuten 100 E-Mails oder mehr konnten noch nicht abgearbeitet werden und befinden sich in der Mailqueue
Level 4 - Warnung 		1000 E-Mails
Level 6 - Fehler
  • Schnittstelle eth0 (INTERFACE_eth0)
 0 Minuten 20000 Bytes / Sekunde oder mehr
Level 0 - Keine Nachricht 		200000 Bytes
Level 0 - Keine Nachricht
  • Alle weiteren vorhanden Schnittstellen und Tunnel
 ... ... ...
  • Speicherplatz (DF)
 0 Minuten 20 % freier Speicherplatz oder weniger
Level 4 - Warnung 		10%
Level 5 - Dringende Warnung



Über Ereignisse gesteuerte Benachrichtigungen

Bei Ereignisgesteuerten Benachrichtigungen wird dem Benachrichtigungstyp direkt eine Syslog-Priority-Gruppe zugeordnet. UTM v12.2.3 AlertingCenter DSL.png
Beispiel für Ereignisgesteuerte Benachrichtigung


Name: Nachricht: Default Syslog-Gruppe:
AD/LDAP Verbindungsprobleme zum Active Directory oder LDAP Server. Level 4 - Warnung
Cluster Switch
 Cluster: Wechsel zwischen MASTER und BACKUP. Level 8 - Alarm
DBUS Rule Policy Verletzung der DBUS Richtlinien festgestellt. Level 7 - Kritisch
DSL_VDSL Einwahlproblem über DSL oder VDSL Level 4 - Warnung
DynDNS-Client Account Account Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Host Host Fehlermeldung des DynDNS-Clients Level 4 - Warnung
DynDNS-Client Server Server Fehlermeldung des DynDNS-Clients Level 4 - Warnung
Fallback-Interface Fallback-Schnittstelle aktiviert/deaktiviert. Level 7 - Kritisch
GeoIP Objects
Neu ab 12.2.3
 Meldungen des GeoIP-Dienstes Level 4 - Warnung
HTTP-Proxy Workers
Neuer Wert ab v11.8.5
 HTTP-Proxy: Keine Worker-Prozesse mehr vorhanden.
Zur Lastverteilung lagert der HTTP-Proxy squid seine Dienste in Workerprozesse aus. Sind alle Workerprozesse beendet, läuft der HTTP-Proxy nicht mehr.
Level 6 - Fehler
IPS Blocking Meldungen über gesperrte IP-Adressen durch fehlerhafte Anmeldung Level 4 - Warnung
License Error Meldungen über Lizenzfehler Level 6 - Fehler
License Information Meldungen über Lizenzinformationen Level 3 - Notiz
Mail Scanner Mailscanner hat einen Virus erkannt Level 6 - Fehler
Mailconnector Authentication Authentifizierungsproblem des Mailconnectors zum E-Mail Provider Level 6 - Fehler
Mailconnector Fetch Mailconnector lehnt eine E-Mail aufgrund der Nachrichtengröße ab. Level 4 - Warnung
Mandatory Access Control (MAC) Verletzung der Sicherheitsrichtlinien erkannt (MAC) (bis 11.8.3 unter tomoyo) Level 7 - Kritisch
Shutdown Detection Unsauberes Herunterfahren festgestellt Level 7 - Kritisch
Spamfilter-Cloud Spamfilter kann sich nicht mit Cloud verbinden Level 4 - Warnung
Squid Virus Scanner Squid (HTTP-Proxy) hat einen Virus erkannt. Level 6 - Fehler
SSL_VPN Fehler bei Authentifizierung mit SSL VPN Cert&Auth. Level 4 - Warnung
Threat Intelligence Filter - FORWARD Weiterleitung zu einer IP-Adresse durch Threat Intelligence Filter verhindert. Level 8 - Alarm
Threat Intelligence Filter - OUTPUT Aufruf einer IP-Adresse durch Threat Intelligence Filter verhindert Level 8 - Alarm
Threat Intelligence Filter - INPUT Zugriff von Außen von einer IP-Adresse aus durch Threat Intelligence Filter verhindert Level 8 - Alarm


Die Einstellungen werden mit Speichern abgeschlossen.

Ergebnis

Es werden jetzt Benachrichtigungen an die angegebene Mail-Adresse zu den konfigurierten Zeiten und bei vorgegebenen Systemzuständen gesendet.
Der Betreff der Nachrichten setzt sich wie folgt zusammen: Betr.:»Alerting-Center (firewall-name): Berichtsart. Dabei bedeutet:

  • Report → Regelmäßiger Bericht
  • Error / Critical / Alert / Emergency → Syslog-Severity-Level eines Umgehenden Berichtes

Im Bericht werden die Meldungen zunächst nach Syslog-Level und anschließend nach Datum/Uhrzeit sortiert
Beispiel für Umgehenden E-Mail Bericht
Beispiel für regelmäßigen E-Mail Bericht













Deaktivierung

Wenn die Funktion des Alerting Centers nicht gewünscht wird kann der Dienst deaktiviert werden:

Menü → Anwendungen →Anwendungsstatus Eintrag Alerting Center (spalertd) Schaltfläche: ■ Stoppen

Diese Einstellung wird gespeichert und bleibt auch nach einem Neustart erhalten.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AlertingCenter_v12.2&oldid=85880