Regeln

 

Letzte Änderung des Themas: 2008-02-12

Anhand von Regeln werden die Forefront Security-Produkte, Modulupdates, Scanaufträge und die Dienste von Forefront Security überwacht. Dabei werden von diesen Prozessen generierte Ereignisse überprüft, um zu bestimmen, ob Warnungen generiert werden müssen. Zudem werden durch Regeln Statistikdaten zu Scanaufträgen abgerufen. In FFSMP stehen verschiedene Arten von Regeln zur Verfügung.

Alle Regeln werden in der Verwaltungskonsole im Ordner Management Packs/Regelgruppen in einer Regelgruppenhierarchie gespeichert.

Microsoft Forefront Server Security

Dies ist die Gruppe auf der obersten Ebene. Sie dient als Container für die untergeordneten Regelgruppen:

  • Microsoft Forefront Security für Exchange Server

    Enthält Untergruppen mit allen Regeltypen, mit denen auf Agentsysteme bezogene Ereignisse überwacht werden.

    • Überwachung von Exchange-Scan-Aufträgen – Alle Server

      Enthält allgemeine Regeln für Scanaufträge und Leistungsindikatorereignisse, mit denen Daten zu Scanraten und Erkennungsstatistiken für alle Agentsysteme gesammelt werden.

    • Überwachung von Exchange-Scan-Aufträgen – Hubtransport, Hubtransport/Postfach, Edgetransport

      Enthält Regeln für Scanaufträge und Leistungsindikatorereignisse, mit denen Daten zu Scanraten und Erkennungsstatistiken für alle Agentsysteme gesammelt werden, bei denen es sich um Hubtransportserver, Hubtransport-/Postfachserver und Edgetransportserver handelt.

    • Überwachung von Exchange-Scan-Aufträgen – Hubtrabsport/Postfach, Postfach, Öffentliche Ordner

      Enthält Regeln für Scanaufträge und Leistungsindikatorereignisse, mit denen Daten zu Scanraten und Erkennungsstatistiken für alle Agentsysteme gesammelt werden, bei denen es sich um Postfachserver und Server mit öffentlichen Ordnern handelt. Zudem enthält diese Gruppe zusätzliche Regeln für die Überwachung von Scanaufträgen auf Hubtransport-/Postfachservern.

    • Dienstüberwachung – Alle Server

      Enthält gemeinsame Regeln für die Überwachung von Diensten für alle Agentsysteme.

    • Dienstüberwachung – Hubtransport/Postfach, Postfach, Öffentliche Ordner

      Enthält eine Reihe an Regeln zur Überwachung von Diensten auf Hubtransport-/Postfach- und Postfachservern sowie Servern mit öffentlichen Ordnern.

    • Dienstüberwachung – Hubtransport, Hubtransport/Postfach, Edgetransport

      Enthält eine Reihe an Regeln zur Überwachung von Diensten auf Hubtransport- und Edgetransportservern. Zudem enthält diese Gruppe zusätzliche Regeln für die Überwachung von Diensten auf Hubtransport-/Postfachservern.

    • Überwachung von Modulaktualisierungen – Alle Server

      Enthält Regeln für die Überwachung von Modulupdates und Wurmlistenaktualisierungen auf Agentsystemen.

Alle Regeln werden in der Verwaltungskonsole im Ordner Management Packs/Regelgruppen in einer Regelgruppenhierarchie gespeichert.

Microsoft Forefront Server Security

Dies ist die Gruppe auf der obersten Ebene. Sie dient als Container für die untergeordneten Regelgruppen:

  • Microsoft Forefront Security für SharePoint

    Enthält Untergruppen mit allen Regeltypen, mit denen auf Agentsysteme bezogene Ereignisse überwacht werden.

    • Überwachung von Modulaktualisierungen

      Enthält Regeln für die Überwachung von Modulupdates auf Agentsystemen.

    • Überwachung von Scan-Aufträgen

      Enthält allgemeine Regeln für Scanaufträge und Leistungsindikatorereignisse, mit denen Daten zu Scanraten und Erkennungsstatistiken für alle Agentsysteme gesammelt werden.

    • Dienstüberwachung

      Enthält Regeln für die Überwachung von Diensten für alle Agentsysteme.

Jede Regelgruppe in MOM 2005 enthält drei verschiedene Regeltypen. Die Regeln können in der Operatorkonsole angezeigt und in der Verwaltungskonsole geändert werden.

  • Ereignisregeln Anhand dieser Regeln werden Ereignisse auf Agentsystemen überprüft, und es wird bestimmt, ob eine Warnung generiert werden muss. Dabei kann es sich um Ereignisse handeln, die von überwachten Windows-Komponenten in Windows-Ereignisprotokolle geschrieben wurden, oder um Ereignisse, die MOM selbst generiert hat. Die Ereignisse und ggf. generierte Warnungen werden in der MOM-Datenbank gespeichert.

  • Warnungsregeln Anhand dieser Regeln werden generierte Warnungen überprüft, und es wird bestimmt, ob eine Benachrichtigung vorbereitet werden muss.

  • Leistungsregeln: Anhand dieser Regeln werden Leistungsdaten von Agentsystemen abgerufen. Leistungsdaten werden in der MOM-Datenbank gespeichert.

Anhand von Ereignisregeln werden Ereignisse überprüft, die auf verwalteten Servern aufgetreten sind. Die MOM-Agents rufen die Ereignisse ab und speichern sie in der MOM-Datenbank. Die Ereignisse werden dann anhand der Ereignisregeln überprüft, und es werden protokollierte Informationen zu Fehlern und wichtigen Ereignissen auf den Agentsystemen angezeigt.

Ereignisregeln können nach der Datenquelle klassifiziert werden: Providerbasierte Ereignisregeln, Sammlungsereignisregeln und Warnungsereignisregeln.

Bei providerbasierten Ereignisregeln werden vier Providertypen als Datenquellen verwendet:

  • Windows-Ereignisprotokoll

  • Windows-Systemereignisprotokoll

  • Datei Forefront Security ProgramLog.txt oder Forefront SP ProgramLog.txt (je nach Agentsystem)

  • Terminiertes Ereignis

Außer beim Provider des Typs Terminiertes Ereignis werden die Ereignisregeln auf Grundlage bestimmter Kriterien konfiguriert, u. a. Ereignisquelle, Ereignis-ID und Beschreibung.

Sammlungsereignisregeln werden üblicherweise für unkritische Informationsereignisse verwendet, die ggf. für Operatoren von Interesse sind, z. B. Starten und Anhalten von Diensten, Aktivieren und Deaktivieren von Scantasks sowie Modulupdates. Es werden lediglich Ereigniseinträge in den Ereignisansichten der MOM-Operatorkonsole generiert, und die Ereignisparameter werden in der MOM-Datenbank gespeichert.

Anhand von Warnungsereignisregeln werden Ereignisse überprüft, und ggf. wird ein Warnungsdatensatz generiert. Dieser Warnungsdatensatz wird in den Warnungsansichten der MOM-Operatorkonsole bereitgestellt und in der MOM-Datenbank gespeichert. Die Erstellung eines Warnungsdatensatzes ist selbst ein Ereignis, das zur Generierung eines Ereigniseintrags in den Ereignisansichten der MOM-Operatorkonsole führt.

Wenn durch eine Warnungsereignisregel eine Warnung generiert wird, werden bestimmte Eigenschaften übergeben:

  • Warnungsschweregrad: Mögliche Werte sind "Kritischer Fehler", "Fehler", "Warnung" oder "Information". Der Wert hängt vom erkannten Schweregrad des Ereignisses ab, das die Generierung der Warnung verursacht hat. Bei "Kritischer Fehler" besteht die Gefahr eines Dienstausfalls.

  • Benutzerdef. Feld 1:Bei allen Ereignisregeln, die eine Warnung generieren, wird in dieses Feld Microsoft Forefront Security Server eingefügt.

  • Benutzerdef. Feld 2:Bei Ereignisregeln der Regelgruppe Forefront Security für Exchange Server wird in dieses Feld der Wert Microsoft Forefront Security für Exchange Server eingefügt. Bei Ereignisregeln der Regelgruppe Forefront Security für SharePoint wird in dieses Feld der Wert Forefront Security für SharePoint eingefügt. Bei Ereignisregeln der "allgemeinen" Regelgruppe Überwachung von Modulupdates bleibt dieses Feld leer.

  • Benutzerdef. Feld 3: In diesem Feld wird die Regelgruppe angegeben, zu der die Ereignisregel, die den Warnungsdatensatz erstellt hat, gehört. Wenn z. B. eine Ereignisregel der Regelgruppe Überwachung von Modulupdates eine Warnung generiert, wird in dieses Feld der Wert EngineUpdateFailure eingefügt.

Die Werte in den benutzerdefinierten Feldern werden bei der Erstellung von Warnungsansichten der MOM-Operatorkonsole als Kriterien verwendet. Eine detaillierte Erläuterung hierzu finden Sie unter Ansichten.

Anhand von Warnungsregeln werden die durch Warnungsereignisregeln generierten Warnungen dahingehend überprüft, ob eine Benachrichtigung vorbereitet werden muss.

In jeder aktiven Regelgruppe in der Hierarchie von Microsoft Forefront Security ist eine einzige Warnungsregel enthalten. Diese ist jeweils so konfiguriert, dass eine Benachrichtigung an die Forefront Security-Verwaltungsgruppe ausgelöst wird, wenn eine Warnung mit dem Schweregrad "Kritischer Fehler" generiert wird.

Die Benachrichtigungsmethoden sowie die Mitgliedschaft in Benachrichtigungsgruppen müssen von den Managern der MOM-Umgebung konfiguriert und implementiert werden.

Anhand von Leistungsregeln werden Statistikdaten zu allen Scanaufträgen abgerufen. Diese sind in folgende Kategorien unterteilt:

  • Gesamtzahl der gescannten Nachrichten, Anlagen oder Dokumente

  • Scanrate (Zahl der pro Sekunde gescannten Nachrichten oder Dokumente)

  • Gesamtzahl geleerter Nachrichten (Forefront Security für Exchange Server)

  • Gesamtzahl geblockter Dokumente (Forefront Security für SharePoint)

  • Gesamtzahl der entdeckten Nachrichten, Anlagen oder Dokumente

  • Gesamtzahl der bereinigten Anlagen oder Dokumente

  • Gesamtzahl gelöschter Anlagen (Forefront Security für Exchange Server)

  • Gesamtzahl der in der Betreffzeile markierten Nachrichten (Forefront Security für Exchange Server)

Folgende Leistungsregeln sind in folgenden Regelgruppen zu finden:

  • Die Regelgruppe Microsoft Forefront Security Server\Forefront Security für Exchange Server\Überwachung von Exchange-Scan-Aufträgen enthält Leistungsregeln für Echtzeitscanaufträge und manuelle Scanaufträge.

  • Die Regelgruppe Microsoft Forefront Security Server enthält eine Leistungsregel für manuelle Scanaufträge.

  • Die Regelgruppe Microsoft Forefront Server Security\Forefront Security für SharePoint\Überwachung von Scan-Aufträgen enthält Leistungsregeln für Echtzeitscanaufträge und manuelle Scanaufträge.

Für Leistungsregeln in MOM sind Windows-Leistungsindikatoren erforderlich, die abgetastete Daten bereitstellen. MOM 2005 ist auf eine Abtastrate von 1800 Sekunden (30 Minuten) konfiguriert. Ausgenommen sind die Provider, mit denen Scanraten und Prozessorzeiten für Scanaufträge bestimmt werden. Diese sind auf eine Abtastrate von 300 Sekunden (5 Minuten) konfiguriert.

HinweisHinweis:
Die Leistungsindikatoren für Scanstatistiken geben Gesamtzahlen an. Die Leistungsindikatorwerte steigen so lange, bis die Gesamtzahlen zurückgesetzt werden. Sie können die Gesamtzahlen folgendermaßen zurücksetzen:
  • Wählen Sie in der Forefront Server Security Administrator-Konsole im Menüeintrag BERICHT die Option Vorfälle aus. Setzen Sie die Leistungsindikatoren für jeden Scanauftrag mithilfe des Steuerelements (X) in der Statistiktabelle zurück.

Zu allen in Microsoft Forefront Server Security Management Pack für MOM 2005 enthaltenden Regeln ist ein Wissensdatenbankeintrag mit einer Zusammenfassung oder Beschreibung des betreffenden Ereignisses verfügbar. In diesem Eintrag wird die Bedeutung des Ereignisses erläutert, und ggf. werden auch mögliche Ursachen und Lösungsmöglichkeiten genannt.

Wissensdatenbankeinträge können über die Verwaltungs- und Operatorkonsole von MOM angezeigt werden.

So zeigen Sie einen Wissensdatenbankeintrag an
  1. Wählen Sie eine Regel aus.

  2. Klicken Sie mit der rechten Maustaste auf die Regel. Ein Kontextmenü wird angezeigt.

  3. Wählen Sie im Kontextmenü die Option Eigenschaften aus.

  4. Klicken Sie auf die Registerkarte Wissensdatenbank.

 
Anzeigen: