Regeln – MP für SCOM 10

 

Letzte Änderung des Themas: 2008-02-07

Anhand von Regeln werden die Forefront Security-Produkte, Modulaktualisierungen, Scanaufträge und die Dienste von Forefront Security überwacht. Dabei werden von diesen Prozessen generierte Ereignisse überprüft, um zu bestimmen, ob Warnungen generiert werden müssen. Zudem werden durch Regeln Statistikdaten zu Scanaufträgen abgerufen. In FFSMP stehen verschiedene Arten von Regeln zur Verfügung.

Alle Regeln sind in der Verwaltungskonsole im Bereich „Dokumenterstellung“ im Knoten „Management Pack-Objekte“ gespeichert. Durch sie werden Ereignisse überwacht, die einen bestimmten Servertyp betreffen. Es bestehen verschiedene Arten von Regeln für Forefront Security für Exchange Server. Die Regeln können in der Operatorkonsole angezeigt und im Bereich „Dokumenterstellung“ geändert werden.

Beachten Sie, dass auf „W“ endende Regeln Warnmeldungen betreffen und auf „E“ endende Regeln Fehler.

  • Installation von Forefront Security für Exchange Server – Alle Server.Regeln, durch die Cluster, Module, Lizenzen, Rollbacks, Zustand und Aktualisierungen überwacht werden.

  • Installation von Forefront Security für Exchange Server – Edge-Transport. Regeln für Scanaufträge und Leistungsindikatorereignisse, durch die Daten über Scanraten, Erkennungsstatistiken und Dienste für mit Agents verwaltete Systeme gesammelt werden, bei denen es sich um Edge-Transport-Server handelt.

  • Installation von Forefront Security für Exchange Server – Hub-Transport: Postfach und Öffentlicher Ordner. Regeln für Scanaufträge und Leistungsindikatorereignisse, mit denen Daten zu Scanraten und Erkennungsstatistiken für alle durch Agents verwalteten Systeme gesammelt werden, bei denen es sich um Postfachserver und Server mit öffentlichen Ordnern handelt. Zudem sind zusätzliche Regeln für die Überwachung von Diensten sowie Transport-, Echtzeit- und manuellen Scanaufträgen auf Hub-Transport-/Postfachservern enthalten.

  • Installation von Forefront Security für Exchange Server – Hub-Transport . Regeln, mit denen Statistiken über mit Agents verwaltete Hub-Transport-Server gesammelt werden. Es werden dabei auch Scantätigkeiten und ‑dienste überwacht.

  • Installation von Forefront Security für Exchange Server – Postfach und Öffentlicher Ordner. Regeln, mit denen die Statistiken über mit Agents verwaltete Server mit den Rollen „Postfach“ oder „Öffentlicher Ordner“ gesammelt werden. Es werden dabei auch Echtzeit- und manuelle Scantätigkeiten und ‑dienste überwacht.

Es bestehen folgende Arten von Regeln.

Sammlungsereignisregeln. Anhand dieser Regeln werden Ereignisse auf mit Agents verwalteten Systemen überprüft, und es wird bestimmt, ob eine Warnung vorbereitet werden muss. Dabei kann es sich um Ereignisse handeln, die von überwachten Windows-Komponenten in Windows-Ereignisprotokolle geschrieben wurden, oder um Ereignisse, die Operations Manager 2007 selbst generiert hat. Die Ereignisse und ggf. generierte Warnungen werden in der Operations Manager 2007-Datenbank gespeichert. Weitere Informationen finden Sie unter Ereignisregeln.

Warnungsgenerierungsregeln. Anhand dieser Regeln werden generierte Warnungen überprüft, und es wird bestimmt, ob eine Benachrichtigung vorbereitet werden muss. Weitere Informationen finden Sie unter Warnungsregeln.

Leistungsbasierte Sammlungsregeln. Anhand dieser Regeln werden Leistungsdaten von mit Agents verwalteten Systemen abgerufen. Operations Manager 2007 speichert Leistungsdaten in der Operations Manager 2007-Datenbank. Weitere Informationen finden Sie unter Leistungsregeln.

Anhand von Ereignisregeln werden Ereignisse überprüft, die auf verwalteten Servern aufgetreten sind. Die Agents rufen die Ereignisse ab und speichern sie in der Datenbank. Die Ereignisse werden dann anhand der Ereignisregeln überprüft, und es werden protokollierte Informationen zu Fehlern und wichtigen Ereignissen auf den Agentsystemen angezeigt.

Ereignisregeln können nach der Datenquelle klassifiziert werden: Providerbasierte Ereignisregeln, Sammlungsereignisregeln und Warnungsereignisregeln.

Bei providerbasierten Ereignisregeln werden vier Providertypen als Datenquellen verwendet:

  • Windows-Ereignisprotokoll

  • Windows-Systemereignisprotokoll

  • Forefront Security-Datei „ProgramLog.txt“

  • Terminiertes Ereignis

Außer beim Providertyp „Terminiertes Ereignis“ werden die Ereignisregeln auf Grundlage bestimmter Kriterien konfiguriert, u. a. Ereignisquelle, Ereignis-ID und Beschreibung.

Sammlungsereignisregeln werden i. d. R. für unkritische Informationsereignisse verwendet, die ggf. für Operatoren von Interesse sind, z. B. Starten und Anhalten von Diensten, Aktivieren und Deaktivieren von Scantasks sowie Modulaktualisierungen. Es werden lediglich Ereigniseinträge in den Ereignisansichten der Operations Manager 2007-Operatorkonsole generiert, und die Ereignisparameter werden in der Operations Manager 2007-Datenbank gespeichert.

Die Erstellung eines Warnungsdatensatzes an sich (siehe „Warnungsregeln“) führt zur Generierung eines Ereigniseintrags in den Ereignisansichten der Operations Manager 2007-Operatorkonsole.

Anhand von Warnungsregeln werden die durch Warnungsereignisregeln generierten Warnungen dahingehend überprüft, ob eine Benachrichtigung vorbereitet werden muss. Sie sind so konfiguriert, dass eine Benachrichtigung ausgelöst wird, wenn eine Warnung mit dem Schweregrad „Kritischer Fehler“ generiert wird.

Wenn durch eine Warnungsereignisregel eine Warnung generiert wird, werden bestimmte Eigenschaften übergeben:

  • Warnungsschweregrad: Mögliche Werte sind „Kritischer Fehler“, „Fehler“, „Warnung“ oder „Information“. Der Wert hängt vom erkannten Schweregrad des Ereignisses ab, das die Generierung der Warnung verursacht hat. Bei „Kritischer Fehler“ besteht die Gefahr eines Dienstausfalls.

  • Benutzerdef. Feld 1: Bei allen Ereignisregeln, die eine Warnung generieren, wird in dieses Feld Microsoft Forefront Security Server eingefügt.

  • Benutzerdef. Feld 2: Bei Ereignisregeln der Regelgruppe Forefront Security für Exchange Server wird in dieses Feld Microsoft Forefront Security für Exchange Server eingefügt. Bei Ereignisregeln der „allgemeinen“ Regelgruppe „Überwachung von Modulaktualisierungen“ bleibt dieses Feld leer.

  • Benutzerdef. Feld 3: In diesem Feld wird die Regelgruppe angegeben, zu der die Ereignisregel gehört, die den Warnungsdatensatz erstellt hat. Wenn z. B. durch eine Ereignisregel der Regelgruppe „Überwachung von Modulaktualisierungen“ eine Warnung generiert, wird in dieses Feld der Wert „EngineUpdateFailure“ eingefügt.

Die Werte in den benutzerdefinierten Feldern werden bei der Erstellung von Warnungsansichten der Operations Manager 2007-Operatorkonsole als Kriterien verwendet. Eine detaillierte Erläuterung hierzu finden Sie unter Ansichten - MP für SCOM 10.

Die Benachrichtigungsmethoden sowie die Mitgliedschaft in Benachrichtigungsgruppen müssen von den Managern der Operations Manager 2007-Umgebung konfiguriert und implementiert werden.

Anhand von Leistungsregeln werden Statistikdaten zu allen Scanaufträgen abgerufen. Diese sind in folgende Kategorien unterteilt:

  • Gesamtzahl der gescannten Anhänge

  • Gesamtzahl der gelöschten Anhänge

  • Gesamtzahl der entfernten Anhänge

  • Gesamtzahl der gefundenen Anhänge

  • Gesamtzahl der gefundenen Nachrichten

  • Gesamtzahl der geleerten Nachrichten

  • Gesamtzahl der gescannten Nachrichten

  • Gesamtzahl der in der Betreffzeile markierten Nachrichten.

  • Scanrate (Anzahl der pro Sekunde gescannten Anhänge)

Diese Leistungsregeln sind an folgenden Orten zu finden: Hub-Transport-Installation (Transportstatistiken), Edge-Transport-Installation (Transportstatistiken), Installation von Hub-Transport: Postfach/Öffentlicher Ordner (Transport-, Echtzeit und manuelle Statistiken) und Installation von Postfach/Öffentlicher Ordner (Echtzeit- und manuelle Statistiken).

Für Leistungsregeln in Operations Manager 2007 sind Provider von Windows-Leistungsindikatoren erforderlich, die Stichprobendaten bereitstellen. Operations Manager 2007 ist auf eine Abtastrate von 1800 Sekunden (30 Minuten) konfiguriert. Ausgenommen sind die Provider, mit denen Scanraten und Prozessorzeiten für Scanaufträge bestimmt werden. Diese sind auf eine Abtastrate von 300 Sekunden (5 Minuten) konfiguriert.

Zu allen in Microsoft Forefront Server Security Management Pack für Operations Manager 2007 enthaltenden Regeln ist ein Wissensdatenbankeintrag mit einer Zusammenfassung oder Beschreibung des betreffenden Ereignisses verfügbar. In diesem Eintrag werden Bedeutung, mögliche Ursachen und mögliche Lösungen des Ereignisses erläutert.

Wissensdatenbankeinträge können in der Operations Manager 2007-Operatorkonsole angezeigt werden.

So zeigen Sie einen Wissensdatenbankeintrag an
  1. Wählen Sie im Bereich Dokumenterstellung im Abschnitt Regeln eine Regel aus.

  2. Klicken Sie mit der rechten Maustaste auf die Regel. Ein Kontextmenü wird angezeigt.

  3. Wählen Sie im Kontextmenü die Option Eigenschaften aus.

  4. Klicken Sie auf die Registerkarte Produktwissensquelle.

 
Anzeigen: