Guia do administrador

Transcrição

1 Manual do produto GFI Guia do administrador

2 As informações e o conteúdo deste documento são apenas informativos e fornecidos "no estado em que se encontram" sem nenhuma garantia de qualquer tipo, expressa ou implícita, incluindo, sem limitação, as garantias de comercialização, adequação a uma finalidade específica e não violação. A GFI Software não se responsabiliza por danos de qualquer natureza, incluindo danos indiretos, resultantes do uso deste documento. As informações foram obtidas de fontes disponíveis ao público. Apesar do razoável esforço para garantir a precisão dos dados fornecidos, a GFI não alega, promete ou garante que as informações sejam íntegras, precisas, recentes ou adequadas, e não se responsabiliza por falhas na impressão, informações desatualizadas ou outros erros. A GFI não oferece garantia expressa ou implícita e não assume obrigação ou responsabilidade legal pela precisão ou integridade das informações contidas neste documento. Se você acredita que este documento contenha erros efetivos, entre em contato conosco. Analisaremos a questão assim que possível. Todos os nomes de produtos e empresas aqui mencionados podem ser marcas de seus respectivos proprietários. Os direitos autorais sobre o GFI EventsManager pertencem à GFI SOFTWARE Ltd GFI Software Ltd. Todos os direitos reservados. Versão do documento: Última atualização (dia/mês/ano): 3/18/2014

3 Índice 1 Introdução Sobre GFI EventsManager Como funciona GFI EventsManager Estágio 1: Coleta de eventos Estágio 2: Processamento de eventos Convenções usadas neste manual 25 2 Instalação do GFI EventsManager Cenários de implantação GFI EventsManager dentro de uma rede local (LAN) GFI EventsManager em uma Zona desmilitarizada (DMZ) GFI EventsManager em uma Rede de Longa Distância (WAN) Requisitos de sistema Requisitos de hardware Sistemas operacionais suportados (32 e 64 bits) Outros componentes de software Requisitos de armazenagem Portas e protocolos de firewall Permissões de firewall Configurações da origem do evento Exceções de antivírus Considerações de identificação do computador Coletar logs de eventos em computadores que executam Microsoft Vista ou posterior Atualizar GFI EventsManager Atualizar de uma versão anterior Instalar uma nova instância de GFI EventsManager Procedimento de instalação Testar a instalação Processar eventos - Computador local Processar eventos - Domínio local Processar eventos - Máquinas selecionadas 60 3 Obter resultados Alcançar Segurança da Rede Monitoramento eficiente da integridade do sistema Obter conformidade com PCI DSS 67 4 Gerenciar fontes de eventos Adicionar fontes de eventos manualmente Adicionar origens de eventos automaticamente Criar um novo grupo de origem do evento Configurar propriedades da origem do evento Configurar as propriedades gerais da origem do evento Configurar credenciais de logon de origem do evento 75

4 4.4.3 Configurar tipo de licença de origem do evento Configurar horário operacional da origem do evento Configurar monitoramento de origem do evento Configurar parâmetros de processamento de eventos Origem do Banco de Dados Microsoft SQL Server Origens Fontes do servidor Oracle 91 5 Coletar logs de eventos Coletar logs de eventos Windows Coletar logs de texto Coletar Syslogs Configurar porta de comunicação do servidor Syslog Coletar Mensagens de interceptação SNMP Configurar o servidor de Interceptação SNMP Coletar logs personalizados Coletar logs de eventosgfi LanGuard Como habilitar registro em log de eventos GFI LanGuard? Coletar eventos GFI EndPointSecurity Navegar Eventos armazenados Navegar no navegador de eventos Usar navegador de eventos Exportar eventos para CSV Criar relatórios nas exibições Excluir eventos Procurar eventos armazenados Identificar regras usando a ferramenta de localização de regra Gerenciar exibições de navegador de eventos Criar Exibições raiz e Exibições Editar uma exibição Excluir uma exibição Personalizar layout do navegador de eventos Personalizar a posição da descrição Opções de evento codificação de cores Navegar eventos em banco de dados diferentes Monitoramento de atividade Exibir status geral Exibir atividade de trabalho Exibir estatísticas Relatórios Navegar na guia Relatórios Relatórios disponíveis Gerenciar relatórios Criar uma pasta raiz 147

5 8.3.2 Criar uma pasta Criar um relatório raiz Criar relatórios personalizados Gerar relatórios Gerar um relatório Gerar relatórios de resumo diário Gerar relatórios de configurações Gerar relatórios de regras Gerar relatórios de histórico operacional Gerar relatórios de visão geral da atividade Analisar relatórios Definir cabeçalhos de colunas Relatórios de eventos de banco de dados diferentes Personalizar relatórios HTML Regras de processamento de eventos Regras de processamento de eventos Classificação de evento Gerenciar pastas de conjunto de regras Regras definidas disponíveis Adicionar uma pasta de conjunto de regras Renomear e deletar uma pasta de conjunto de regras Criar novas regras de processamento de eventos Criar novas regras a partir de eventos existentes Parâmetros de filtragem avançada de evento Windows parâmetros de filtragem de eventos Parâmetros de filtragem de syslog Priorizar regras de processamento de eventos Monitoramento ativo Sobre Verificar monitoramento ativo Criar e configurar uma pasta raiz Adicionar subpasta a uma pasta raiz Criar e configurar verificações de monitoramento ativo Aplicar verificações de monitoramento ativo Excluir verificações de pastas e de monitoramento Ações de alertas e padrão Configurar ações de classificação padrão Configurar Opções de Alerta Alertas de Alertas de rede Alertas de SMS Alertas SNMP Configurações gerais Grupos de usuários Configurar a conta do administrador 222

6 12.2 Gerenciar contas de usuário Criar uma nova conta de usuário Alterar as propriedades da conta de usuário Excluir uma conta de usuário Gerenciar grupos de usuários Criar um novo grupo Alterar as propriedades do grupo Excluir um grupo Console de opções de segurança e de auditoria Ativar o sistema de logon Recuperação de senha Manter anonimato Auditar atividade do console Credenciais de descoberta automática Manutenção do banco de dados Gerenciar back-end do banco de dados Criar um novo banco de dados Proteger banco de dados Hash do registro de banco de dados Alternar entre banco de dados de armazenamento de arquivos Configurar opções de rotação de banco de dados Configurar operações do banco de dados Criar tarefas de manutenção Importar do arquivo Exportar para arquivo Exportar para SQL Copiar dados Executar exclusões Importar do banco de dados SQL Server Importar de arquivos de legado Armazenamento de arquivo de arquivo Importar de legado Editar trabalhos de manutenção Exibir trabalhos de manutenção agendada Editar as propriedades do trabalho de manutenção Alterar a prioridade dos trabalhos Excluir um trabalho de manutenção Configurar Console de gerenciamento Opções de desempenho Atualizações do produto Fazer download direto das atualizações Download de atualizações de um local alternativo (offline) Licenciamento de produtos Atualizar chave de licença Obter chave de licença para 30 dias de avaliação gratuita 303

7 Exibir detalhes da licença Adquirir uma chave de licença Informações sobre a versão do produto Verificar sua versão GFI EventsManager Verificar se há versões mais recentes Importar e exportar configurações Exportar configurações para um arquivo Importar configurações de um arquivo Importar configurações de uma outra instância Criar restrições de consulta Usar o diálogo Editar restrição de consulta Ferramentas da linha de comando Usar ESMCmdConfig.exe /op:registerservice /op:enable /op:disable /op:setlicense /op:configurealerting /op:setadmin /op:createprogramgroupshortcuts /op:removeprogramgroupshortcuts /op:getcomputers Usar EsmDlibM.exe /importfromsql /importfromdlib /copydata /importfromlegacyfile /exporttofile /importfromfile /commitdeletedrecords /exoporttosql Usar DLibAdm.exe /decryptdatabase /encryptdatabase /displayalldlib /copymovedlib Usar EsmReport.exe Gerar relatórios de configuração Gerar relatórios de status Gerar relatórios de eventos Usar ImportSettings.exe Usar ExportSettings.exe Diversos Ativar manualmente permissões de origem do evento Ativar permissões em Microsoft Windows XP. 335

8 Ativar as permissões do Microsoft Windows Vista Ativar permissões em Microsoft Windows Ativar permissão servidor Microsoft Windows Ativar permissões no servidor Microsoft Windows 2008 (incluindo R2) Ativar automaticamente permissões de origem do evento Ativar permissões usando GPO no servidorwindows 2003 via GPO Ativar permissões no servidor Windows 2008 via GPO Desativar Controle de conta de usuário (UAC) Solução de problemas Documentação GFI SkyNet Solicitar suporte técnico fórum da Web Assistente de solução de problemas Glossário Índice 360

9 Lista de figuras Screenshot 1: GFI EventsManager integra qualquer infraestrutura de TI. 21 Screenshot 2: Os estágios operacionais de GFI EventsManager 23 Screenshot 3: Exportar dados de sites remotos para a instância do GFI EventsManager 31 Screenshot 4: Atualizar verificação pré-requisito 37 Screenshot 5: Servidor de banco de dados DLib 38 Screenshot 6: Servidor de banco de dados DLib EULA 38 Screenshot 7: Pasta de instalação DLib 39 Screenshot 8: Inicie a instalação do Servidor de banco de dados DLib 39 Screenshot 9: Excluir antigas versões do arquivo 40 Screenshot 10: Tela inicial do assistente de instalação GFI EventsManager 40 Screenshot 11: GFI EventsManager EULA 41 Screenshot 12: Detalhes do registro GFI EventsManager 41 Screenshot 13: Remover credenciais de logon do monitoramento de log de evento 42 Screenshot 14: Pasta de instalação GFI EventsManager 43 Screenshot 15: Instalação de GFI EventsManager concluída 43 Screenshot 16: Verificação de atualizações automáticas 44 Screenshot 17: Configurar o back-end do banco de dados 44 Screenshot 18: Atualizar verificação pré-requisito 46 Screenshot 19: Servidor de banco de dados DLib 47 Screenshot 20: Servidor de banco de dados DLib EULA 47 Screenshot 21: Pasta de instalação DLib 48 Screenshot 22: Inicie a instalação do Servidor de banco de dados DLib 48 Screenshot 23: Tela inicial do assistente de instalaçãogfi EventsManager 49 Screenshot 24: GFI EventsManager EULA 50 Screenshot 25: Detalhes do registro GFI EventsManager 50 Screenshot 26: Remover credenciais de logon do monitoramento de log de evento 51 Screenshot 27: Pasta de instalação GFI EventsManager 52 Screenshot 28: Instalação de GFI EventsManager concluída 52 Screenshot 29: Verificação de atualizações automáticas 53 Screenshot 30: Configurar o back-end do banco de dados 53 Screenshot 31: Executar GFI EventsManager pela primeira vez 54 Screenshot 32: Processar eventos - Computador local 55 Screenshot 33: Ações do console principal 56 Screenshot 34: Processar eventos - Domínio local 57 Screenshot 35: Assistente de descoberta automática 58 Screenshot 36: Selecionar os tipos de origem de evento para detectar na sua rede 58 Screenshot 37: Progresso de pesquisar rede 59 Screenshot 38: Processar eventos - Máquinas selecionadas 60

10 Screenshot 39: Adicionar novo assistente de origem do evento 61 Screenshot 40: Adicionar novo assistente de origem do evento 68 Screenshot 41: Propriedades de sincronização - Guia geral 70 Screenshot 42: Excluir computadores da sincronização automática 71 Screenshot 43: Propriedades de sincronização - guia Agendamento 72 Screenshot 44: Adicionar novo grupo de origens de eventos 73 Screenshot 45: Diálogo de propriedades de origens de eventos 75 Screenshot 46: Configurar credenciais de logon alternativas 76 Screenshot 47: Configurar tipo de licença de origem do evento 78 Screenshot 48: Especificar o horário operacional 79 Screenshot 49: Propriedades da origem do evento - Guia de monitoramento 80 Screenshot 50: Guias de configuração do processamento de eventos 82 Screenshot 51: Grupos de servidores de banco de dados 83 Screenshot 52: Configurar as configurações de logon na guia Credenciais de Logon 84 Screenshot 53: Configurar horário de trabalho normal na guia Horário operacional 85 Screenshot 54: Configurar o servidor SQL a partir da guia de auditoria do servidor SQL 86 Screenshot 55: Adicionar novo servidor Microsoft SQL 88 Screenshot 56: Propriedades do Banco de dados SQL Microsoft : Guia Geral 89 Screenshot 57: Propriedades do Banco de dados SQL Microsoft : Guia de configurações de conexão 90 Screenshot 58: Propriedades do Banco de dados SQL Microsoft : Guia de configurações 91 Screenshot 59: Grupos de servidores de banco de dados 92 Screenshot 60: Grupo de banco de dados Oracle - Guia geral 93 Screenshot 61: Grupo de banco de dados Oracle - Guia credenciais de logon 94 Screenshot 62: Grupo de banco de dados Oracle - Guia horário operacional 95 Screenshot 63: Grupo de banco de dados Oracle - Guia de auditoria Oracle 96 Screenshot 64: Adicionar novo servidor Oracle 97 Screenshot 65: Propriedades do servidor Oracle - Guia geral 98 Screenshot 66: Propriedades do servidor Oracle Guia configurações de conexão 99 Screenshot 67: Propriedades do servidor Oracle - Guia Auditoria por objetos 100 Screenshot 68: Propriedades do servidor Oracle - Guia Auditoria por declaração 101 Screenshot 69: Propriedades do grupo de computadores: Configurar os parâmetros de Logs de eventoswindows 103 Screenshot 70: Selecionar logs de eventos para coletar 104 Screenshot 71: Configurar os parâmetros de processamento do log de eventos Windows 105 Screenshot 72: Opções de Logs de Texto 106 Screenshot 73: Adicionar pastas contendo logs de texto 107 Screenshot 74: Mensagens syslog deve ser direcionadas para o computador que está executandogfi EventsManager 109 Screenshot 75: Coletar Syslogs - Opções Syslogs 110 Screenshot 76: Configurar portas de comunicação do servidor Syslog 111

11 Screenshot 77: Opções do servidor Syslog 112 Screenshot 78: Mensagens de Interceptação SNMP devem ser direcionadas ao computador executando GFI EventsManager 113 Screenshot 79: Coletar Interceptações SNMP 114 Screenshot 80: Configurar Interceptação SNMP 115 Screenshot 81: Opções de Interceptação SNMP 116 Screenshot 82: Instalação de log de evento personalizado 117 Screenshot 83: Caixa de diálogo de logs de eventos personalizados 118 Screenshot 84: Ativar registro em log GFI LanGuard no registro 120 Screenshot 85: Adicionar logs de aplicativos Windows 121 Screenshot 86: Adicionar regras GFI LanGuard 122 Screenshot 87: Navegador de eventos 125 Screenshot 88: Ferramenta exportar evento 127 Screenshot 89: Relatório com o botão exibir 127 Screenshot 90: Ferramenta localizadora de eventos 129 Screenshot 91: Criador de exibição personalizada 130 Screenshot 92: Editar restrição de exibição 131 Screenshot 93: Personalizar a guia de exibição 131 Screenshot 94: Exemplo: Novas Exibições raiz e Exibições 132 Screenshot 95: Personalizar a descrição do navegador 133 Screenshot 96: Configuração de codificação por cores 133 Screenshot 97: Filtro de cor avançado 134 Screenshot 98: Alternar diálogo do banco de dados 135 Screenshot 99: GFI EventsManagerStatus: Exibição geral 137 Screenshot 100: Status GFI EventsManager: Exibir atividade de trabalho 141 Screenshot 101: Status GFI EventsManager: Exibir estatísticas 142 Screenshot 102: Navegar no UI Relatórios 145 Screenshot 103: Diálogo Criar pasta de relatório 148 Screenshot 104: Criar um relatório raiz 149 Screenshot 105: Configurar novas opções de layout de relatório raiz 150 Screenshot 106: Inserir um gráfico em um novo relatório raiz 151 Screenshot 107: Especificar agendamento para a geração do relatório. 152 Screenshot 108: Criar novas Opções de relatório 153 Screenshot 109: Configuração de limite de registro 154 Screenshot 110: Criar um relatório raiz 155 Screenshot 111: Configurar novas opções de layout de relatório raiz 156 Screenshot 112: Inserir um gráfico em um novo relatório raiz 157 Screenshot 113: Especificar agendamento para a geração do relatório. 158 Screenshot 114: Criar novas Opções de relatório 159 Screenshot 115: Configuração de limite de registro 160

12 Screenshot 116: Gerar um relatório 161 Screenshot 117: Exemplo de relatório 162 Screenshot 118: Configurações de de resumo diário 163 Screenshot 119: de resumo diário 164 Screenshot 120: Gerar relatórios de configuração 165 Screenshot 121: Exemplo de relatório de configurações 166 Screenshot 122: Gerar relatórios de configuração 167 Screenshot 123: Relatório de histórico operacional 168 Screenshot 124: O diálogo de histórico operacional 168 Screenshot 125: Exemplo de relatório de histórico operacional 169 Screenshot 126: Exibição geral da atividade: Botão de exportação 169 Screenshot 127: Diálogo de visão geral da atividade 170 Screenshot 128: Exemplo de relatório de visão geral de atividade 170 Screenshot 129: Analisar relatórios 171 Screenshot 130: Definir as condições da coluna personalizada 172 Screenshot 131: Alternar diálogo do banco de dados 173 Screenshot 132: Editar modelos de relatório HTML 174 Screenshot 133: Como funcionam as Regras de processamento de eventos 177 Screenshot 134: Pasta de conjunto de regras e Conjuntos de regras 178 Screenshot 135: Criar uma nova regra 181 Screenshot 136: Selecionar o log ao qual aplicar a regra 182 Screenshot 137: Configurar as condições da regra 183 Screenshot 138: Selecionar a ocorrência e a importância do evento 184 Screenshot 139: Selecionar a ação acionada. 185 Screenshot 140: Criar uma regra a partir de um evento existente 187 Screenshot 141: Nova regra do evento - Configurações gerais 188 Screenshot 142: Nova regra de evento - Selecione logs a coletar 189 Screenshot 143: Nova regra de evento - Adicionar condições 190 Screenshot 144: Como funciona a verificação de monitoramento ativo 194 Screenshot 145: Estrutura da pasta raiz e da subpasta 195 Screenshot 146: Propriedades da pasta - Guia Geral 196 Screenshot 147: Propriedades da pasta - Guia Computador de destino 196 Screenshot 148: Propriedades da pasta - Guia Agendar 197 Screenshot 149: Propriedades da pasta - Guia de eventos de ação 198 Screenshot 150: Propriedades da pasta - Guia Geral 199 Screenshot 151: Propriedades da pasta - Guia Computador de destino 200 Screenshot 152: Propriedades da pasta - Guia Agendar 201 Screenshot 153: Propriedades da pasta - Guia de eventos de ação 202 Screenshot 154: Criar uma nova verificação de monitoramento ativo 204 Screenshot 155: Selecionar o tipo de verificação 205

13 Screenshot 156: Configurar propriedades gerais de verificação 205 Screenshot 157: Configurar parâmetros da verificação de monitoramento 206 Screenshot 158: Selecionar as origens afetadas 207 Screenshot 159: Definir o intervalo de tempo da verificação 208 Screenshot 160: Configurar as ações do log de eventos 209 Screenshot 161: Guia de computadores alvo 210 Screenshot 162: Excluir verificações de pastas e de monitoramento 212 Screenshot 163: Configurar ações de classificação predefinidas 213 Screenshot 164: Caixa de diálogo ações de classificação padrão 214 Screenshot 165: Configurar Opções de Alerta 216 Screenshot 166: Configurar opções de 217 Screenshot 167: Configurar opções da rede 218 Screenshot 168: Configurar alertas de rede: Formatar mensagem 218 Screenshot 169: Configurar opções de SMS 219 Screenshot 170: Configurar alertas SNMP 220 Screenshot 171: Configurar a conta EventsManagerAdministrator 223 Screenshot 172: Propriedade EventsManagerAdministrator 224 Screenshot 173: Configurar horário de trabalho normal do usuário 225 Screenshot 174: Configurar alertas fora do horário de trabalho 226 Screenshot 175: Selecionar o grupo ao qual a conta do usuário pertence 227 Screenshot 176: Configurar os privilégios da conta do usuário 228 Screenshot 177: Filtragem de conta de usuário 229 Screenshot 178: Criar um novo usuário 230 Screenshot 179: Criar um novo usuário - Propriedades gerais 230 Screenshot 180: Criar um novo usuário - Horário de trabalho 231 Screenshot 181: Criar um novo usuário - Opções de alerta 232 Screenshot 182: Criar um novo usuário - Selecionar os grupos de notificações 233 Screenshot 183: Criar um novo usuário - Privilégios 234 Screenshot 184: Opções de filtragem de usuário 235 Screenshot 185: Criar um novo grupo de usuários 236 Screenshot 186: Criar um novo grupo de usuários - Propriedades gerais 237 Screenshot 187: Criar um novo grupo de usuários - Propriedades gerais 238 Screenshot 188: Editar opções de segurança do console 240 Screenshot 189: Ativar o sistema de logon EventsManager 241 Screenshot 190: Pedido de credenciais de logon 242 Screenshot 191: Ativar o console de anonimato 243 Screenshot 192: Opções de anonimato 244 Screenshot 193: Ativar a auditoria da atividade do usuário do console 245 Screenshot 194: Diálogo de opções de auditoria 246 Screenshot 195: Configurar credenciais de descoberta automática 247

14 Screenshot 196: Especificar credenciais de descoberta automática 248 Screenshot 197: Diálogo do sistema de armazenamento de arquivos 250 Screenshot 198: Editar configurações de armazenamento de arquivo 251 Screenshot 199: Ativar criptografia 252 Screenshot 200: Ativar/desativar o hash do registro 253 Screenshot 201: Diálogo hash de registro 254 Screenshot 202: Guia Opções 255 Screenshot 203: Alternar entre os bancos de dados a partir do painel 256 Screenshot 204: Configurar opções de rotação de banco de dados 257 Screenshot 205: Diálogo opções de operações de banco de dados 259 Screenshot 206: Criar trabalhos de Importação/Exportação 261 Screenshot 207: Importar do arquivo 261 Screenshot 208: Importar do arquivo - Especifique o caminho do arquivo de importação 262 Screenshot 209: Descriptografar os arquivos de importação seguros 262 Screenshot 210: Adicionar condições de filtro 263 Screenshot 211: Opções executar trabalhos 264 Screenshot 212: Criar trabalhos de Importação/Exportação 265 Screenshot 213: Exportar para arquivo 265 Screenshot 214: 266 Screenshot 215: Descriptografar/Criptografar dados 266 Screenshot 216: Filtrar dados exportados 267 Screenshot 217: Opções executar trabalhos 268 Screenshot 218: Criar trabalhos de Importação/Exportação 269 Screenshot 219: Exportar para SQL 270 Screenshot 220: Especificar detalhes do SQL Server 270 Screenshot 221: Selecionar colunas para exportar 271 Screenshot 222: Filtrar dados exportados 272 Screenshot 223: Opções executar trabalhos 273 Screenshot 224: Criar trabalhos de Importação/Exportação 274 Screenshot 225: Selecionar tarefa Copiar dados 274 Screenshot 226: Especificar a origem e o destino dos bancos de dados. 275 Screenshot 227: Descriptografar a origem e criptografar o destino dos bancos de dados 275 Screenshot 228: Filtrar dados exportados 276 Screenshot 229: Criar trabalhos de Importação/Exportação 277 Screenshot 230: Criar trabalhos executar exclusão 278 Screenshot 231: Selecionar banco de dados para excluir registros 278 Screenshot 232: Criar trabalhos de Importação/Exportação 279 Screenshot 233: Selecione Importar no banco de dados do SQL Server 280 Screenshot 234: Especificar o endereço e informações de logon do SQL Server 280 Screenshot 235: Descriptografar dados anônimos 281

15 Screenshot 236: Adicionar condições de filtragem de dados indesejados 282 Screenshot 237: Especificar quando o trabalho de manutenção é executado 283 Screenshot 238: Criar trabalhos de Importação/Exportação 284 Screenshot 239: Importar de arquivos de legado 284 Screenshot 240: Especificar a localização do arquivo de importação 285 Screenshot 241: Descriptografar as informações no arquivo de importação 285 Screenshot 242: Remover anonimato 286 Screenshot 243: Filtrar eventos indesejados com as condições de filtro 286 Screenshot 244: Especificar quando o trabalho de manutenção é executado 287 Screenshot 245: Criar trabalhos de Importação/Exportação 288 Screenshot 246: Dados de armazenamento de Importar arquivos de legado 288 Screenshot 247: Especificar quando o trabalho de manutenção é executado 289 Screenshot 248: Atividade do trabalho de manutenção 290 Screenshot 249: Exibir os trabalhos de manutenção agendada 290 Screenshot 250: Diálogo propriedades do trabalho de manutenção 291 Screenshot 251: Prioridades de manutenção de trabalho 292 Screenshot 252: GFI EventsManager Opções de desempenho 293 Screenshot 253: Caixa de diálogo Opções de Desempenho 294 Screenshot 254: Configurar opções de atualização automática 295 Screenshot 255: Definir configurações de proxy para o download de atualizações de produto 296 Screenshot 256: Atualizações GFI EventsManager 298 Screenshot 257: GFI EventsManager repositório de atualizações 299 Screenshot 258: Abrir CMD no modo de administrador 300 Screenshot 259: Altere o caminho para diretório de instalação GFI EventsManager 301 Screenshot 260: Iniciar manualmente uma sessão de atualização 301 Screenshot 261: Status de atualização 302 Screenshot 262: Atualizar diálogo da chave de licença 302 Screenshot 263: Comprar agora! Botão 303 Screenshot 264: Tela de informação sobre a versão 304 Screenshot 265: Exportar configurações para um arquivo 305 Screenshot 266: Especifique o destino da exportação 306 Screenshot 267: Selecionar exportar configurações 306 Screenshot 268: Importar configurações de um arquivo 307 Screenshot 269: Especificar o local do arquivo de configuração 308 Screenshot 270: Selecionar as configurações para importar 308 Screenshot 271: Importar configurações de uma outra instância de GFI EventsManager 309 Screenshot 272: Especificar o local da instância 310 Screenshot 273: Selecionar a configurações para importar de uma outra instância de GFI EventsManager 310 Screenshot 274: Usuários, regras de processamento de eventos e consultas de relatório. 312 Screenshot 275: Definir restrições: Editar uma restrição de consulta 313

16 Screenshot 276: Definir restrições: Personalizar a condição 314 Screenshot 277: Regras de firewall no Microsoft Windows XP 336 Screenshot 278: Janela de política de segurança local 337 Screenshot 279: Propriedades do acesso ao objeto de auditoria 338 Screenshot 280: Programas permitidos no Microsoft Windows Vista ou posterior 339 Screenshot 281: Janela de política de segurança local 340 Screenshot 282: Propriedades da auditoria do acesso ao objeto 341 Screenshot 283: Ativar regras de firewall no servidor Microsoft Windows Screenshot 284: Regras de firewall no servidor Microsoft Windows Screenshot 285: Console de política de domínio no servidor Microsoft Windows Screenshot 286: Gerenciamento de Políticas de Grupo no servidor Microsoft Windows 2008 R2 345 Screenshot 287: Editor de Gerenciamento de Política de Grupo 346 Screenshot 288: Regras predefinidas 347 Screenshot 289: Desativar UAC 348 Screenshot 290: Selecionar modo de coleta de informações 350 Screenshot 291: Verificações automáticas de solução de problemas 351 Screenshot 292: Assistente de solução de problemas reparando automaticamente os problemas detectados 351 Screenshot 293: Se o problema persistir, pesquise nos arquivos da nossa base de conhecimento 352 Screenshot 294: Verificação manual dos problemas 352 Screenshot 295: Especificar detalhes do contato 353 Screenshot 296: Digite a descrição do problema e outras informações 353 Screenshot 297: Coleta de informações da máquina 354 Screenshot 298: Finalizar o processo de solução de problemas 354

17 Lista de tabelas Table 1: GFI EventsManager 24 Table 2: Termos e convenções usados neste manual 25 Table 3: Dispositivos suportados por GFI EventsManager 28 Table 4: Benefícios de instalação GFI EventsManager em DMZ 30 Table 5: Requisitos de hardware 32 Table 6: Requisitos de espaço de armazenagem 33 Table 7: Portas e protocolos de firewall 33 Table 8: Permissões de firewall 34 Table 9: Configurações da origem do evento 34 Table 10: AtualizarGFI EventsManager 36 Table 11: Componentes instalados usando EventsManager.exe 45 Table 12: Opções do console de Início rápido 54 Table 13: Opções do console de Início rápido 56 Table 14: Adicionar novas fontes de evento manualmente 61 Table 15: Adicionar novas fontes de evento manualmente 69 Table 16: Propriedades de sincronização - Guia geral 70 Table 17: Grupo de origens de eventos 73 Table 18: Propriedades da origem do evento - opções gerais 75 Table 19: Tipos de licenças 77 Table 20: Opções de monitoramento de origem do evento 80 Table 21: Grupo de banco de dados SQL Microsoft : Guia Geral 83 Table 22: Grupo de banco de dados SQL Microsoft : Credenciais de logon 84 Table 23: Grupo de banco de dados SQL -Microsoft SQL Server Auditoria 86 Table 24: Microsoft Grupo de banco de dados SQL - Configurações 87 Table 25: Banco de dados SQL domicrosoft - Opções da guia geral 89 Table 26: Banco de dadosmicrosoft SQL - Guia de configurações de conexão 90 Table 27: Banco de dados SQL do Microsoft - Opções da guia de configurações 91 Table 28: Auditorias suportadas pelo Oracle Server 91 Table 29: Estágios de configuração do servidor Oracle 92 Table 30: Grupo de banco de dados Oracle - Guia geral 93 Table 31: Grupo de banco de dados Oracle - Auditoria Oracle 96 Table 32: Propriedades do servidor Oracle - Guia geral 98 Table 33: Propriedades do servidor Oracle - Guia de configurações de conexão 99 Table 34: Propriedades do servidor Oracle - Guia Auditoria por objetos 100 Table 35: Propriedades do servidor Oracle -Guia Auditoria por declaração 101 Table 36: Logs de evento coletados porwindows GFI EventsManager 102 Table 37: Informações coletadas por GFI LanGuard 118 Table 38: GFI EndPointSecurity dispositivos suportados 123

18 Table 39: Navegar no Navegador de Eventos 126 Table 40: Navegador de eventos: Criar novo relatório 128 Table 41: Navegador de eventos: Criar nova exibição 130 Table 42: Posições do painel de descrição 133 Table 43: Status do monitor: Seções de Visão Geral 137 Table 44: Status do monitor: Exibir atividade de trabalho 141 Table 45: Status do monitor: Exibir estatísticas 142 Table 46: Navegar na guia Relatórios 145 Table 47: Relatórios disponíveis 146 Table 48: Criar uma pasta de relatórios: Opções de agendamento 148 Table 49: Intervalo das opções padrão 153 Table 50: Configurações de registro de relatório 154 Table 51: Intervalo das opções padrão 159 Table 52: Configurações de registro de relatório 160 Table 53: Descrição do de resumo diário 164 Table 54: Informações do cabeçalho do relatório de configurações 164 Table 55: Informação do cabeçalho do relatório de regras 166 Table 56: Descrição do relatório do Histórico operacional 167 Table 57: Opções de exportação de histórico operacional 168 Table 58: Cabeçalhos do relatório de visão geral da atividade 169 Table 59: Opções exportar histórico operacional 170 Table 60: Analisar relatórios: Ferramentas 171 Table 61: Adicionar opções e definição de coluna 172 Table 62: Modelos HTML padrão 174 Table 63: Modelo HTML: Seções editáveis 175 Table 64: Marcadores de posição do modelo de relatório HTML 175 Table 65: Pastas de conjunto de regras disponíveis comuns 179 Table 66: Configurar as regras de processamento de novos eventos: Ações 185 Table 67: Ações da regra de processamento de eventos disponíveis 190 Table 68: parâmetros de filtragem de eventowindows : Campo de ID do evento 191 Table 69: parâmetros de filtragem de eventos Windows : Campos de origem, Categoria e Usuário 191 Table 70: Parâmetros de filtragem syslog: Campos de Mensagem e Processo 191 Table 71: Verificações de monitoramento - Eventos de ação 198 Table 72: Verificações de monitoramento - Eventos de ação 203 Table 73: Verificações de monitoramento - Eventos de ação 209 Table 74: Ações de classificação padrão 214 Table 75: Diálogo Opções de Alertas - Alertas de 217 Table 76: Caixa de diálogo opções de alerta: SMS 219 Table 77: Opções de alertas: Interceptação SNMP 220 Table 78: Opções de alertas: Configurações gerais 221

19 Table 79: Opções de filtragem de usuário 235 Table 80: Opções de rotação de banco de dados 258 Table 81: Configurar operações de banco de dados 259 Table 82: Tipos de tarefas de manutenção 260 Table 83: Criar trabalhos de manutenção - Opções de agendamento 264 Table 84: Filtrar dados exportados 267 Table 85: Criar trabalhos de manutenção - Opções de agendamento 268 Table 86: Operações de banco de dados: Exportar estrutura do nome do arquivo 268 Table 87: Exportar para SQL - Opções de Servidor 271 Table 88: Filtrar dados exportados 272 Table 89: Criar trabalhos de manutenção - Opções de agendamento 273 Table 90: Filtrar dados exportados 276 Table 91: Criar trabalhos de manutenção - Opções de agendamento 276 Table 92: Criar trabalhos de manutenção - Opções de agendamento 279 Table 93: Exportar para SQL - Opções de Servidor 281 Table 94: Opções de atualização automática 295 Table 95: Usa as restrições de consulta 311 Table 96: Iniciar diálogo Editar Restrições de Consulta 312 Table 97: Definir as restrições: Operadores de Campo 313 Table 98: Definir as restrições: Ferramentas de condições de consulta 314 Table 99: /op:registerservice Parameters 317 Table 100: /op:disable Parameter 317 Table 101: /op:setlicense Parameters 317 Table 102: /op:configurealerting Parameters 318 Table 103: /op:setadmin Parameter 318 Table 104: /op:getcomputers Parameter 319 Table 105: /importfromsql Parameters 320 Table 106: /importfromdlib Parameters 320 Table 107: /copydata Parameters 321 Table 108: /importfromlegacyfile Parameters 323 Table 109: /exporttofile 323 Table 110: /importfromfile Parameters 325 Table 111: /commitdeletedrecords Parameters 326 Table 112: /exporttosql Parameters 326 Table 113: /decryptdatabase Parameters 328 Table 114: /encryptdatabase Parameters 328 Table 115: /displayalldlib Parameters 329 Table 116: /copymovedlib 329 Table 117: Parâmetros do relatório de configurações 330 Table 118: Parâmetros do relatório de status 331

20 Table 119: Parâmetros de relatórios de eventos 332 Table 120: CMD: Parâmetros do ImportSettings.exe 333 Table 121: CMD: Parâmetros do ExportSettings.exe 333

21 1 Introdução O enorme volume de logs de eventos gerados é de crescente importância para as empresas que precisam registrar as informações para fins forenses e de conformidade. Isto é essencial para a execução de monitoramento, análise e relatórios de logs de eventos em toda a rede em tempo real para abordar todas as questões de incidentes e segurança e combater as ameaças à continuidade da empresa. GFI EventsManager auxilia nesta tarefa monumental com o monitoramento automático e centralizado e com o gerenciamento dos logs de eventos - dando suporte à uma ampla gama de tipos de eventos gerados por aplicativos e dispositivos dos principais fornecedores, bem como dos fornecedores de aplicativos personalizados. Este capítulo fornece informações sobre como a gestão de eventos é atingida usando GFI EventsManager. Tópicos deste capítulo: 1.1 Sobre GFI EventsManager Como funciona GFI EventsManager Convenções usadas neste manual Sobre GFI EventsManager Screenshot 1: GFI EventsManager integra qualquer infraestrutura de TI. GFI EventsManager é uma solução de gestão orientada para os resultados do log de eventos que integram toda infraestrutura de TI existente, automatizando e simplificando as tarefas envolvidas na gestão de eventos em toda a rede. Através das funções suportadas por GFI EventsManager, você pode: GFI EventsManager 1 Introdução 21

22 Monitorar automaticamente os computadores e dispositivos de rede através da ampla gama de GFI EventsManager de suporte de log de eventos, tais como log de texto, log de evento, Syslogs, Mensagens de interceptações SNMP, Eventos de monitoramento ativo e até mesmo logs de eventos personalizados Windows. Monitorar computadores e serviços executados na sua rede através de recursos de monitoramento ativo, tais como verificação contínua da disponibilidade do site HTTP/HTTPS/FTP, consultas de funções de servidor, consultas de firewall e mais Otimizar a segurança e o desempenho durante o rastreamento de questões operacionais com a auditoria dos seus sistemas/dispositivos críticos, como roteadores, firewall, sensores, servidores e mecanismos de bancos de dados Criar e manter uma segurança de rede e de sistema que detecta ataques de intrusão Obter a conformidade com diversas leis e agir de acordo com as leis SOX, Código de Conexão com a PCI DSS, HIPAA, proteção de dados e outras Detectar proativamente os eventos que acarretam desastres, como uma falha do hardware. Quando esses eventos são processados, GFI EventsManager fornece um aviso antecipado que permite controlar e tomar ações corretivas Reduzir os riscos de perdas de negócios com o tempo de inatividade e má-configuração dos sistemas Navegar facilmente por eventos a partir de qualquer número de bases de dados através Navegador de eventos, que ajuda a realizar investigações forenses com intervenção humana mínima Processar e arquivar automaticamente os logs de eventos, coletando e destacando as informações que você estar ciente dos eventos mais importantes que ocorrem na sua rede para nunca ser surpreendido Gerar relatórios de nível técnico de TI e de nível de gestão a partir da extensa lista de relatórios e também criar novos a partir de relatórios existentes ou eventos coletados Proteger sua empresa com o rastreamento dos eventos de segurança da sua rede. Encontrar quem é responsável pelas violações de segurança e ameaças à rede Para obter uma lista completa dos recursos, consulte: GFI EventsManager 1 Introdução 22

23 1.2 Como funciona GFI EventsManager Screenshot 2: Os estágios operacionais de GFI EventsManager A funcionalidade operacional do GFI EventsManager está dividida nos seguintes estágios: Estágio 1: Coleta de eventos Estágio 2: Processamento de eventos GFI EventsManager 1 Introdução 23

24 1.2.1 Estágio 1: Coleta de eventos Durante o estágio Coleta de eventos, o GFI EventsManager coleta logs de origens de eventos específicos. Isso é conseguido através de dois mecanismos de coleta de eventos: O Event Retrieval Engine e o Event Receiving Engine. Table 1: GFI EventsManager Mecanismo The Event Retrieval Engine O ouvinte SQL Server The Oracle Retrieval Engine Mecanismo de recebimento de log Descrição Usado para coletar logs de eventos e logs de texto Windows das origens de eventos em rede. Durante o processo de coleta de eventos, este mecanismo irá: 1. Conectar-se à origem do(s) evento(s) 2. Coletar eventos da(s) origem(ns) 3. Enviar eventos coletados para o Servidor GFI EventsManager 4. Logoff da(s) origem(ns) do evento. O Mecanismo de recuperação de evento coleta eventos em intervalos de tempo específicos. O intervalo de coleta de eventos é configurável a partir do console de gerenciamentogfi EventsManager O ouvinte recebe mensagens de rastreamento do Microsoft SQL Server digitalizado em tempo real. Na recepção, GFI EventsManager processa a mensagem imediatamente. O Oracle Retrieval Engine se conecta periodicamente ao servidor Oracle e coleta inspeções de uma tabela de auditoria específica. Semelhante ao Microsoft Windows o Event Retrieval Engine,GFI EventsManager processa eventos gerados pelo servidor da Oracle. O Mecanismo de recebimento de evento age como um servidor Syslog e de Interceptação SNMP ouve e coleta logs de eventos/mensagens Syslog e de Interceptação SNMP enviadas através de várias origens na rede. Ao contrário do Mecanismo de recuperação de evento, o Mecanismo de recebimento de eventos recebe as mensagens diretamente da origem do evento, portanto não é necessário fazer o logon remotamente nas origens de eventos para coletar eventos. Além disto, os eventos/mensagens Syslog e de Interceptação SNMP são coletados em tempo real, portanto os intervalos de tempo de coleta não precisam ser configurados. Por padrão, o Mecanismo de recebimento de eventos ouve as mensagens Syslog na porta 514 e as mensagens de interceptação SNMP na porta 162. Ambas as configurações da porta são personalizáveis no console de gerenciamento GFI EventsManager Estágio 2: Processamento de eventos Durante este estágio, GFI EventsManager executa um conjunto de regras de processamento de eventos comparadas com os eventos coletados. Regras de processamento de eventos são as instruções que: Analisam os logs coletados e classificam os eventos processados como Crítico, Alto, Médio, Baixo ou Ruído (eventos indesejados ou repetidos) Filtram eventos que correspondam às condições específicas Acionam alertas de , SMS e de rede dos eventos principais Acionam as ações de correção, tais como a execução de scripts de arquivos executáveis de eventos principais Opcionalmente, arquivam eventos coletados no back-end do banco de dados. GFI EventsManager pode ser configurado para arquivar eventos sem executar as regras de processamento de eventos. Em tais casos, mesmo que as regras não sejam aplicadas comparadas com os logs coletados, o arquivamento é ainda tratado do estágio do processamento de eventos. Para obter mais informações, consulte Regras de processamento de eventos. GFI EventsManager 1 Introdução 24

25 Importante Alguns dos principais módulos em GFI EventsManager devem ser executados sob privilégios administrativos. Para obter mais informações sobre esses módulos, consulte o seguinte artigo: Convenções usadas neste manual A tabela abaixo descreve os termos comuns e convenções deste manual: Table 2: Termos e convenções usados neste manual Termo Descrição Informações adicionais e referências essenciais para a operação do GFI EventsManager. Notificações e precauções importantes quanto aos problemas que costumam ser encontrados. > Instruções de navegação passo a passo para acessar uma função específica. Texto em negrito Texto em itálico Código Itens para selecionar, como nós, opções do menu ou botões de comando. Parâmetros e valores que devem ser substituídos pelo valor aplicável, como caminhos e nomes de arquivos personalizados. Indica valores de texto que deve ser inseridos, como comandos e endereços. GFI EventsManager 1 Introdução 25

26 2 Instalação do GFI EventsManager Este capítulo descreve os possíveis cenários de implantação suportados por GFI EventsManager. É essencial revisar os requisitos do sistema e as configurações do computador antes de instalar o produto para garantir a comunicação entre GFI EventsManager e os dispositivos/computadores de rede que devem ser monitorados. Tópicos deste capítulo: 2.1 Cenários de implantação Requisitos de sistema Atualizar GFI EventsManager Instalar uma nova instância de GFI EventsManager Testar a instalação Cenários de implantação GFI EventsManager pode ser instalado em qualquer computador que atenda aos requisitos mínimos do sistema, independentemente da localização na sua rede. Se você deseja obter os logs de eventos dos sistemas operacionais Microsoft Windows Vista ou posterior, GFI EventsManager deve ser instalado em uma máquina com o Microsoft Windows Vista, 7, 2008 Server ou Server Use GFI EventsManager para gerenciar os logs de eventos gerados por: No mesmo computador onde está instalado. Todos os servidores, estações de trabalho e dispositivos de rede que são acessíveis a partir do computador no qual está instalado. GFI EventsManager 2 Instalação do GFI EventsManager 26

27 Figure 1: GFI EventsManager cenários de implantação Esta seção contém informações sobre a implantação GFI EventsManager em: Local Area Network (LAN) - Monitoramento de atividade na rede de produção principal, servidores e estações de trabalho Zone Demilitarized (DMZ) - Monitoramento de eventos gerados pelo serviço público, como servidores de , servidores de Web e servidores DNS. Wide Area Network (WAN) - Monitoramento de eventos gerados por computadores e dispositivos de rede espalhados em diferentes regiões geográficas. GFI EventsManager 2 Instalação do GFI EventsManager 27

28 2.1.1 GFI EventsManager dentro de uma rede local (LAN) GFI EventsManager pode ser implantado em redes baseadas emwindows, bem como nos ambientes mistos onde os sistemas Linux e Unix estão sendo usados também. Figure 2: Implementação do GFI EventsManager na LAN Quando instalado em uma rede local (LAN) GFI EventsManager pode gerenciar os eventos Windows, logs de texto, mensagens Syslog, Interceptações SNMP e mensagens de auditoria SQL Server geradas por qualquer hardware ou software que esteja conectado à LAN, incluindo: Table 3: Dispositivos suportados por GFI EventsManager Dispositivo Estações de trabalho e notebooks Servidores Dispositivos de rede Software Serviços especializados PABXs, Keyless Access Systems, sistemas de detecção de intrusão e mais Exemplo Computadores e sistemas de usuário final. Servidores de Web, servidores de , servidores de DNS e mais. Roteadores, interruptores e qualquer outro dispositivo que gere logs de desempenho. Incluindo GFI EndPointSecurity, GFI LanGuard e outros aplicativos que geram logs. Microsoft Internet Information Server - IIS. GFI EventsManager permite que você monitore qualquer dispositivo que esteja conectado à rede. GFI EventsManager 2 Instalação do GFI EventsManager 28

29 2.1.2 GFI EventsManager em uma Zona desmilitarizada (DMZ) GFI EventsManager monitora os eventos gerados por máquinas em DMZ, de instalações dentro da LAN ou por outras instalações diretamente no DMZ. Como um roteador ou firewall normalmente protege essa zona de tráfego de rede com os recursos de filtragem, você deve certificar-se de que: As portas de comunicação usadas pelo GFI EventsManager não estão bloqueadas pelo firewall. Para obter mais informações sobre as portas de comunicação usadas pelo GFI EventsManager, consulte: GFI EventsManager tem privilégios administrativos sobre os computadores executados no DMZ. Importante A GFI recomenda a instalação de GFI EventsManager diretamente no DMZ ao invés de permitir que as portas de firewall e permissões permitam a comunicação entre computadores de LAN e DMZ, servidores e dispositivos de rede. Figure 3: O DMZ fica entre a rede interna e a Internet DMZ é a rede neutra que fica entre a rede corporativa interna e mundo externo (Internet). A implementação de GFI EventsManager num DMZ ajuda você a automatizar o gerenciamento dos eventos gerados pelos sistemas de hardware e software DMZ, tais como: GFI EventsManager 2 Instalação do GFI EventsManager 29

30 Table 4: Benefícios de instalação GFI EventsManager em DMZ Automação DMZ Automate management of Web and Mail server events Descrição Redes DMZ são normalmente usadas para executar hardware e software em computadores específicos com funções de Internet como servidores de HTTP, FTP e servidores de . Por isso, você pode implantar GFI EventsManager para gerenciar automaticamente os eventos gerados por: Servidores de Web, incluindo logs de web W3C gerados pelos servidores de web Apache nas plataformas de web LAMP Servidores de web baseados emwindows, incluindo logs de web W3C gerados pelos Internet Information Servers (IIS) Microsoft Servidores de baseados em Linux/Unix e Windows, incluindo mensagens de serviços de auditoria Syslog geradas pelo Sun Solaris v. 9 ou posterior Automatizar o gerenciamento de eventos do servidor DNS Automatizar o gerenciamento de eventos do servidor DNS Automate management of network appliance events Em um servidor DNS público, é bem possível que um servidor DNS esteja sendo executado em DMZ. Por isso é possível usargfi EventsManager para coletar e processar automaticamente o servidor DNS, incluindo os eventos armazenados nos logs de Servidor DNS Windows. Em um servidor DNS público, é bem possível que um servidor DNS esteja sendo executado em DMZ. Por isso é possível usargfi EventsManager para coletar e processar automaticamente o servidor DNS, incluindo os eventos armazenados nos logs de Servidor DNS Windows. Os roteadores e firewalls são dois dispositivos de rede que costumam ser encontrados em DMZ. Roteadores e firewalls especializados (exemplo: Roteadores Série Cisco IOS) não apenas ajudam a proteger sua rede interna, mas fornecem recursos especializados, como a Conversão de Endereços de porta (Port Address Translation - PAT), que podem aumentar o desempenho dos seus sistemas operacionais. Com a implementação de GFI EventsManager no seu DMZ, é possível obter os eventos gerados por tais dispositivos de rede. Por exemplo, é possível configurar GFI EventsManager para agir como um servidor Syslog e coletar em tempo real as mensagens Syslog geradas pelos roteadores Cisco IOS. GFI EventsManager 2 Instalação do GFI EventsManager 30

31 2.1.3 GFI EventsManager em uma Rede de Longa Distância (WAN) GFI EventsManager pode ser instalado em ambientes que possuem vários locais em diferentes localizações geográficas. Screenshot 3: Exportar dados de sites remotos para a instância do GFI EventsManager Isso é obtido ao instalar uma instância do GFI EventsManager em cada local. Periodicamente (de acordo com um agendamento), é possível exportar os eventos de sites remotos e importá-los para o banco de dados central para a consolidação completa de logs de eventos. Os eventos no site remoto podem ser exibidos com o Navegador de eventos. Relatórios com informações relevantes para sites remotos também podem ser gerados por meio do banco de dados central. Usar a opção Switch Database para exibir ou comunicar informações armazenadas nos bancos de dados. Obs. Para obter mais informações, consulte Switching File Storage Databases. Obs. Para obter mais informações, consulte Database Maintenance. GFI EventsManager 2 Instalação do GFI EventsManager 31

32 2.2 Requisitos de sistema Para instalar o GFI EventsManager, o computador anfitrião deve atender aos requisitos do sistema especificados abaixo. Se você planeja gerenciar um grande número de origens de eventos em uma rede de alto tráfego, considere usar um computador com maior alcance do sistema. Consulte as seções a seguir para obter informações sobre: Requisitos de hardware Sistemas operacionais suportados (32 e 64 bits) Outros componentes de software Requisitos de armazenagem Portas e protocolos de firewall Permissões de firewall Configurações da origem do evento Exceções de antivírus Considerações da identificação do computador Coletar logs de eventos em computadores que executam Microsoft Vista ou posterior Requisitos de hardware A tabela abaixo apresenta os requisitos de hardware degfi EventsManager: Table 5: Requisitos de hardware Componentes de hardware Processador RAM Disco rígido Especificação 2.5 GHz dual core ou superior 3 GB. 10 GB de espaço livre. Obs. O tamanho do disco rígido depende do ambiente, o tamanho especificado nos requisitos é o mínimo necessário para eventos de instalação e arquivamento Sistemas operacionais suportados (32 e 64 bits) GFI EventsManager pode ser instalado em um computador executando um dos seguintes sistemas operacionais: Windows Server Foundation, Essentials, Standard ou Datacenter Windows Server Standard ou Enterprise Windows Server 2008 R2 - Standard ou Enterprise Windows Server 2003 SP2 - Standard ou Enterprise Windows 8 - Standard, Professional ou Enterprise Windows 7 - Enterprise, Professional ou Ultimate Windows Vista SP1 - Enterprise, Business ou Ultimate GFI EventsManager 2 Instalação do GFI EventsManager 32

33 Windows XP Professional SP3 Windows SBS 2008 Windows SBS Obs. GFI EventsManager não pode ser instalado no servidor Core Instalations Outros componentes de software Os componentes de software adicionais abaixo devem estar instalados para garantir a funcionalidade completa de GFI EventsManager: Microsoft.NET framework 4.0 Microsoft Data Access Components (MDAC) 2.8 ou posterior Um servidor de (quando o alerta de é exigido). Obs. Microsoft Data Access Components (MDAC) 2.8 pode ser baixado de Requisitos de armazenagem Os requisitos de armazenagem abaixo são baseados no tamanho médio de um log de evento, sendo 535 bytes por evento. As seguintes especificações indicam o tamanho do disco rígido exigido, que atende às solicitações de sua infraestrutura: Table 6: Requisitos de espaço de armazenagem Espaço em disco rígido Eventos armazenados por 1 GB de espaço de armazenagem Número de eventos Eventos armazenados em 500 GB de espaço de armazenagem Portas e protocolos de firewall A tabela a seguir contém portas e protocolos que devem ser permitidos pelo firewall do anfitrião GFI EventsManager: Table 7: Portas e protocolos de firewall Porta Protocolos Descrição 135 UDP e TCP Máquinas de destino utilizam esta porta para publicar informações sobre portas dinâmicas disponíveis. O GFI EventsManager usa esta informação para se comunicar com as máquinas de destino. 139 e 445 UDP e TCP Usado por GFI EventsManager para recuperar as descrições de log de eventos de máquinas de destino. 162 UDP e TCP Usado por GFI EventsManager para receber interceptações SNMP. Certifique-se de que esta porta esteja aberta na máquina onde GFI EventsManager está instalado. 514 UDP e TCP Usado por GGFI EventsManager para receber mensagens SYSLOG UDP e TCP Digite o número da porta usada por GFI EventsManager para se comunicar com o back-end do banco de dados SQL Server. Certifique-se de que a porta está ativada em Microsoft SQL Server e na máquina onde GFI EventsManagerestá instalado. GFI EventsManager 2 Instalação do GFI EventsManager 33

34 Porta Protocolos Descrição 1521 UDP e TCP Usado para coletar logs de auditoria Oracle Server. A porta 1521 é a porta padrão para esta conexão. Se a porta for alterada manualmente na configuração do Listener Oracle, ajuste as configurações de firewall adequadamente UDP e TCP Usado por GFI EventsManager para coletar dados de origens de eventos com Microsoft Windows Vista ou Microsoft Windows Permissões de firewall A tabela a seguir contém as permissões que devem ser permitidas pelo firewall do anfitrião GFI EventsManager: Table 8: Permissões de firewall Políticas de permissões e de auditoria de firewall Gerenciar log de eventos remotos Compartilhamento de arquivo e impressora Network discovery Política de auditoria: Acesso ao objeto Audit policy: Process tracking Política de auditoria: Gerenciamento da conta de auditoria Audit policy: Audit system events Windows Server 2008 Windows Server 2003 Windows XP Windows 7 Windows Vista Ativar Não aplicável Não aplicável Ativar Ativar Ativar Ativar Ativar Ativar Ativar Ativar Não aplicável Não aplicável Ativar Ativar Ativar Não aplicável Não aplicável Ativar Ativar Ativar Não aplicável Não aplicável Ativar Ativar Ativar Ativar Ativar Ativar Ativar Ativar Ativar Ativar Ativar Ativar Obs. Para obter mais informações, consulte Adicionar permissões de origens de eventos manualmente ou Ativar permissões de origens de eventos automaticamente Configurações da origem do evento A tabela a seguir contém as configurações que devem ser configuradas nas suas origens de eventos. Origens de eventos são os computadores que você deseja monitorar com GFI EventsManager: Table 9: Configurações da origem do evento Tipo de log Processar log de evento Windows Processamento log de texto Processamento de Syslog Interceptações SNMP Descrição Ativar registro remoto. A pasta de origem deve estar acessível através de compartilhamento de Windows. Configurar fontes/remetentes para enviar mensagens para o computador/ip onde GFI EventsManager está instalado. GFI EventsManager 2 Instalação do GFI EventsManager 34

35 Tipo de log Verificar máquinas com Windows Vista ou posterior Auditoria do sistema Descrição Instalar GFI EventsManagerem um computador executando Windows Vista ou posterior. Ativar auditoria de origens de eventos. Para obter mais informações, consulte Ativar manualmente permissões de origem do evento eativar automaticamente permissões de origem do evento Exceções de antivírus Se um aplicativo antivírus instalado no computador onde GFI EventsManager está sendo executado, confira se: Não há tráfego bloqueado nas portas em uso porgfi EventsManager esmui.exe e esmproc.exe têm acesso permitido pelos firewalls As pastas GFI EventsManager foram excluídas da verificação antivírus em tempo real Considerações de identificação do computador GFI EventsManager identifica os computadores através do nome ou IP. Se forem usados nomes de computador NetBIOS compatíveis, verifique se o seu serviço de DNS está configurado corretamente para solução de nomes. Resolução de nomes não confiáveis diminuiu o desempenho geral do sistema. Se desativar TCP/IP NETBIOS, você ainda pode usar GFI EventsManager, no entanto, é preciso especificar o nome do computador por IP Coletar logs de eventos em computadores que executam Microsoft Vista ou posterior GFI EventsManager não pode ser instalado no Microsoft Windows Windows XP para monitorar eventos do Microsoft Windows Vista ou posterior. Microsoft Windows O Microsoft Windows Vista e 7 introduziram profundas alterações estruturais no registro em log de eventos e gerenciamento de log de eventos. As alterações mais importantes são: Um novo formato XML dos logs de eventos. Isso fornece uma abordagem mais estruturada para relatar todas as ocorrências do sistema. Categorização de eventos em quatro grupos diferentes: Administrativa, Operacional, Analítica e Depuração Um novo formato de arquivo (evtx) que substitui o antigo formato dos arquivos evt. Devido a essas alterações, para coletar e processar logs de eventos em Microsoft Windows Vista ou posterior, GFI EventsManager deve estar instalado em um sistema executando: Windows Vista Windows 7 Windows Server Obs. Eventos Windows XP podem ser coletados quando GFI EventsManager estiver instalado em máquinas com Windows Vista ou posterior. GFI EventsManager 2 Instalação do GFI EventsManager 35

36 Obs. Quando GFI EventsManager estiver usando uma conta não domínio para coletar eventos das máquinas Windows Vista ou posteriores, as máquinas de destino devem ter o Controle da Conta do Usuário (UAC) desativado. Para obter mais informações, consulte Desabilitar o controle de conta de usuário (UAC). 2.3 Atualizar GFI EventsManager Atualizar versões mais antigas que GFI EventsManager 2011 não é suportado. Algumas configurações podem ser perdidas devido às mudanças tecnológicas subjacentes. GFI EventsManager pode ser atualizado através de um dos seguintes métodos: Table 10: AtualizarGFI EventsManager Método Automaticamente Manualmente Descrição Iniciar a nova configuração e concluir o assistente para atualizar e manter dados. Para obter mais informações, consulte Atualizar de uma versão anterior. Exportar configurações e eventos de uma versão anterior de GFI EventsManager e importá-las para uma nova com as ferramentas de Operações do banco de dados e ferramentas Importar/Exportar. Para obter mais informações, consulte Criar trabalhos de manutenção e Configurações importar e exportar Atualizar de uma versão anterior Obs. Antes de iniciar a atualização, desative qualquer software de antivírus executado no sistema. Para atualizar para uma versão mais recente: 1. Clique duas vezes em EventsManager.exe. GFI EventsManager 2 Instalação do GFI EventsManager 36

37 Screenshot 4: Atualizar verificação pré-requisito 2. O instalador exibe uma lista de componentes de sistema que devem estar instalados antes da instalação do produto. Clique em Install para iniciar a instalação dos componentes ausentes do sistema (se necessário). GFI EventsManager 2 Instalação do GFI EventsManager 37

38 Screenshot 5: Servidor de banco de dados DLib 3. O assistente de instalação do servidor de banco de dados DLib é aberto automaticamente após a instalação dos componentes do sistema. Clique em Next na tela inicial do assistente. Screenshot 6: Servidor de banco de dados DLib EULA 4. Leia atentamente o contrato de licença. Selecione I accept the terms in the License Agreement e clique em Next. GFI EventsManager 2 Instalação do GFI EventsManager 38

39 Screenshot 7: Pasta de instalação DLib 5. Clique em Next para instalar o servidor de banco de dados na pasta padrão ou clique em Change... para selecionar uma pasta alternativa para a instalação. Screenshot 8: Inicie a instalação do Servidor de banco de dados DLib 6. Clique em Install para iniciar a instalação do Servidor de banco de dados DLib. Clique em Finish quando solicitado. GFI EventsManager 2 Instalação do GFI EventsManager 39

40 Obs. Depois que o servidor de banco de dados é instalado, o instalador automaticamente abre o assistente do console de gerenciamento do GFI EventsManager. 7. Clique em Yes para desinstalar a versão anterior de GFI EventsManager e continue a instalar a nova. Clique em No para parar a instalação. Obs. Executar duas instâncias do console de gerenciamento no mesmo computador não é suportado. Screenshot 9: Excluir antigas versões do arquivo 8. Clique em Yes para confirmar a exclusão dos arquivos da versão anterior de GFI EventsManager ou clique em No para parar a instalação. Screenshot 10: Tela inicial do assistente de instalação GFI EventsManager 9. Clique em Next na tela inicial do assistente de instalaçãogfi EventsManager. GFI EventsManager 2 Instalação do GFI EventsManager 40

41 Screenshot 11: GFI EventsManager EULA 10. Leia atentamente o contrato de licença. Selecione I accept the terms in the License Agreement e clique em Next. Screenshot 12: Detalhes do registro GFI EventsManager 11. Digite seu nome de usuário e a chave da licença nos campos User Name e Licence Key. Para registrar-se para uma chave de licença de avaliação gratuita de 30 dias, clique em Register. Clique em Next (Avançar). GFI EventsManager 2 Instalação do GFI EventsManager 41

42 Screenshot 13: Remover credenciais de logon do monitoramento de log de evento 12. Digite as credenciais de logon que GFI EventsManager utiliza para conectar-se a computadores remotos. Obs. É recomendável usar um administrador de domínio ou uma conta com direitos administrativos em todos os computadores remotos gerenciados por GFI EventsManager. GFI EventsManager 2 Instalação do GFI EventsManager 42

43 Screenshot 14: Pasta de instalação GFI EventsManager 13. Clique em Next para instalar o Console de Gerenciamento na pasta padrão ou clique em Change... para selecionar uma pasta alternativa onde está instalado. Screenshot 15: Instalação de GFI EventsManager concluída 14. Clique em Install para iniciar a instalação. 15. Quando a instalação for concluída, clique em Finish. GFI EventsManager 2 Instalação do GFI EventsManager 43

44 Screenshot 16: Verificação de atualizações automáticas 16. Quando GFI EventsManager detecta uma conexão com a Internet, ele automaticamente tenta baixar atualizações de produtos dos servidores de atualizações GFI. Clique em Details para expandir a seção Informações do diálogo Atualização automática e ver as atualizações sendo baixadas. Screenshot 17: Configurar o back-end do banco de dados Obs. Após a atualização do produto, o diálogo Switch Database Server abre. Este diálogo é usado para vincular o Console de gerenciamento ao servidor do banco de dados. É possível alternar os servidores do banco de dados no Console de gerenciamento. Para obter mais informações, consulte Alternar entre banco de dados de armazenamento de arquivos. 17. Especifique o computador onde o Servidor de Banco de Dados D-Lib está instalado. Se o banco de dados desejado estiver ligado: O localhost - digite localhost ( padrão) Um computador remoto - digite computer name ou IP address. Clique em OK. Obs. Após concluir a instalação, o Console de gerenciamento abre automaticamente. Para iniciar manualmente, clique em Start > All Programs > GFI EventsManager > Management Console. GFI EventsManager 2 Instalação do GFI EventsManager 44

45 Obs. Os dados de configuração da GFI EventsManager 2012 não são excluídos. Os dados são copiados no diretório de instalação (%install folder%\data_old). Os dados desta pasta são usados para manter as configurações anteriores. Obs. Teste a instalação para conferir se todos os componentes foram instalados com êxito. Para obter mais informações, consulte Testar a instalação. 2.4 Instalar uma nova instância de GFI EventsManager Os componentes listados na tabela a seguir podem ser instalados com EventsManager.exe: Table 11: Componentes instalados usando EventsManager.exe Componente System components Descrição Os seguintes componentes do sistema são exigidos por GFI EventsManager para funcionalidade completa: Visual C redistribuível Microsoft.NET Framework 2.0 Microsoft.NET Framework 4.0 Microsoft SQL Server Compact 3.5 SP2 MSXML6 Microsoft SQL Server Cliente nativo DLib Database Server GFI EventsManager Microsoft SQL Server Gerenciar de coleta de objetos O Servidor de banco de dados DLib é o componente onde GFI EventsManager armazena os logs de processamento. O servidor de banco de dados pode ser instalado no mesmo computador que está executando o GFI EventsManager, bem como em um computador remoto ou em uma unidade de rede. O produto real a partir de onde você pode gerenciar e monitorar os eventos gerados por computadores e dispositivos em sua rede Procedimento de instalação Para instalar GFI EventsManager: 1. Clique duas vezes em EventsManager.exe. GFI EventsManager 2 Instalação do GFI EventsManager 45

46 Screenshot 18: Atualizar verificação pré-requisito 2. O instalador exibe uma lista de componentes de sistema que devem estar instalados antes da instalação do produto. Clique em Install para iniciar a instalação dos componentes ausentes do sistema (se necessário). GFI EventsManager 2 Instalação do GFI EventsManager 46

47 Screenshot 19: Servidor de banco de dados DLib 3. O assistente de instalação do servidor de banco de dados DLib é aberto automaticamente após a instalação dos componentes do sistema. Clique em Next na tela inicial do assistente. Screenshot 20: Servidor de banco de dados DLib EULA 4. Leia atentamente o contrato de licença. Selecione I accept the terms in the License Agreement e clique em Next. GFI EventsManager 2 Instalação do GFI EventsManager 47

48 Screenshot 21: Pasta de instalação DLib 5. Clique em Next para instalar o servidor de banco de dados na pasta padrão ou clique em Change... para selecionar uma pasta alternativa para a instalação. Screenshot 22: Inicie a instalação do Servidor de banco de dados DLib 6. Clique em Install para iniciar a instalação do Servidor de banco de dados DLib. Clique em Finish quando solicitado. GFI EventsManager 2 Instalação do GFI EventsManager 48

49 Obs. Depois que o servidor de banco de dados é instalado, o instalador automaticamente abre o assistente do console de gerenciamento do GFI EventsManager. Screenshot 23: Tela inicial do assistente de instalaçãogfi EventsManager 7. Clique em Next na tela inicial do assistente. GFI EventsManager 2 Instalação do GFI EventsManager 49

50 Screenshot 24: GFI EventsManager EULA 8. Leia atentamente o contrato de licença. Selecione I accept the terms in the License Agreement e clique em Next. Screenshot 25: Detalhes do registro GFI EventsManager 9. Digite seu nome de usuário e a chave de licença nos campos User Name e License Key. Para registrar-se para uma chave de licença de avaliação gratuita de 30 dias, clique em Register. Clique em Next (Avançar). GFI EventsManager 2 Instalação do GFI EventsManager 50

51 Screenshot 26: Remover credenciais de logon do monitoramento de log de evento 10. Digite as credenciais de logon que GFI EventsManager utiliza para conectar-se aos computadores remotos. Obs. É recomendável usar um administrador de domínio ou uma conta com direitos administrativos em todos os computadores remotos gerenciados por GFI EventsManager. GFI EventsManager 2 Instalação do GFI EventsManager 51

52 Screenshot 27: Pasta de instalação GFI EventsManager 11. Clique em Next para instalar o Console de Gerenciamento na pasta padrão ou em Change... para selecionar uma pasta alternativa para a instalação. Screenshot 28: Instalação de GFI EventsManager concluída 12. Clique em Install para iniciar a instalação. 13. Quando a instalação for concluída, clique em Finish. GFI EventsManager 2 Instalação do GFI EventsManager 52

53 Screenshot 29: Verificação de atualizações automáticas 14. Ao detectar uma conexão com a Internet, ogfi EventsManager automaticamente tenta baixar atualizações de produtos dos servidores de atualizações GFI. Clique em Details para expandir a seção Informações do diálogo Atualização automática e ver as atualizações sendo baixadas. Screenshot 30: Configurar o back-end do banco de dados Obs. Após a atualização do produto, o diálogo Switch Database Server abre. Este diálogo é usado para conectar o console de gerenciamento a um servidor de banco de dados. É possível alternar os servidores do banco de dados no Console de gerenciamento. Para obter mais informações, consulte Alternar entre banco de dados de armazenamento de arquivos. 15. Especifique o computador onde o Servidor de banco de dados D-Lib está instalado. Se o banco de dados desejado estiver ligado: Um computador remoto - digite o computer name ou IP address O localhost - digite localhost (padrão). Clique em OK. Obs. Após concluir a instalação, o Console de gerenciamento abre automaticamente. Para iniciar manualmente, clique em Start > All Programs > GFI EventsManager > Management Console. GFI EventsManager 2 Instalação do GFI EventsManager 53

54 Obs. Teste a instalação para conferir se todos os componentes foram instalados com êxito. Para obter mais informações, consulte Testar a instalação. 2.5 Testar a instalação Depois que todos os componentes necessários são instalados, o Console de Gerenciamento abre automaticamente. Por padrão, ele está configurado para iniciar o Quick Launch Console na inicialização. Screenshot 31: Executar GFI EventsManager pela primeira vez Selecionar uma opção do menu Console de início rápido para processar eventos ou personalizar as configurações padrão: Table 12: Opções do console de Início rápido Opção Processar eventos - Computador local Descrição Iniciar o processamento de logs gerados por GFI EventsManager. Obs. Para obter mais informações, consulte Processar eventos - Domínio local. Processar eventos - Domínio local Iniciar processamento de logs gerados por computadores e dispositivos de rede dentro do mesmo domínio do anfitrião GFI EventsManager. Obs. Para obter mais informações, consulte Processar eventos - Domínio local. GFI EventsManager 2 Instalação do GFI EventsManager 54

55 Opção Processar eventos - Máquinas selecionadas Personalizar... Descrição Iniciar o processamento dos logs gerados por computadores específicos. Obs. Para obter mais informações, consulte Processar eventos - Máquinas selecionadas. Personalizar configurações padrão como: Tipos de origens e log de eventos Regras de processamento de eventos Operações de banco de dados Destinatários do alerta Opções de alertas Monitoramento ativo Processar eventos - Computador local Esta opção permite adicionar automaticamente o localhost como uma origem de eventos e logs de processamento gerados por ele. Para processar eventos no computador local: Screenshot 32: Processar eventos - Computador local 1. Clique em Process events - Local computer. GFI EventsManager 2 Instalação do GFI EventsManager 55

56 Screenshot 33: Ações do console principal 2. Depois de os logs localhost iniciaram o processamento, é possível: Table 13: Opções do console de Início rápido Ícone Descrição Browse events Acessar os eventos e ferramentas forenses integrados que ajudam a localizar, analisar e filtrar os eventos principais. Para obter mais informações, consulte Browsing Stored Events. Generate reports Acessar os recursos de relatório incluindo geração instantânea/agendada de relatórios e distribuição automatizada de relatórios. Para obter mais informações, consulte Relatórios. View dashboard Acessar o painel de status GFI EventsManager. Isso permite que você veja a representação gráfica das informações coletadas dos eventos mais importantes processados pelo GFI EventsManager. Para obter mais informações, consulte Monitoramento de atividade. Customize Personalizar configurações GFI EventsManager, como o processamento de Syslog, Interceptação SNMP, verificações do sistema, notificações de eventos principais, e mais. Para obter mais informações, consulte: Gerenciar origens de eventos Configurar regras de processamento de eventos Configurar opções de manutenção do banco de dados Configurar alertas e ações padrão Configurar monitoramento ativo GFI EventsManager 2 Instalação do GFI EventsManager 56

57 Obs. Para confirmar que os logs sejam processados corretamente, vá para a guia Status > Job Activity e verifique se existem logs de atividades na seção Operational History Processar eventos - Domínio local Esta opção permite adicionar um ou mais computadores que estão no mesmo domínio ou grupo de trabalho de GFI EventsManager. O assistente Automatic Network Discovery permite que você selecione o tipo de origens de eventos que você deseja adicionar e, em seguida, lista as origens que são detectadas. Para processar evento a partir de computadores no mesmo domínio/grupo de trabalho: Screenshot 34: Processar eventos - Domínio local 1. Clique em Process events - Local domain. Isso abre o assistente Automatic Network Discovery. Obs. O assistente também pode ser iniciado na guia Configuration > Event Sources. No painel esquerdo, clique com o botão direito em All event sources e selecione Scan local domain. GFI EventsManager 2 Instalação do GFI EventsManager 57

58 Screenshot 35: Assistente de descoberta automática 2. Clique em Next na tela inicial do assistente. Screenshot 36: Selecionar os tipos de origem de evento para detectar na sua rede 3. Selecione os tipos de origens de eventos que o assistente tentará detectar na sua rede. Clique em Next (Avançar). GFI EventsManager 2 Instalação do GFI EventsManager 58

59 Screenshot 37: Progresso de pesquisar rede Obs. Se GFI EventsManager detectar computadores que não podem fazer logon com as credenciais fornecidas, é possível especificar as credenciais de logon alternados para cada computador selecionado. 4. Selecione um computador da lista e digite o nome de usuário e senha. Clique em OK para fechar o diálogo Alternative Credentials. Obs. Repetir está etapa até que todas as origens necessárias sejam adicionadas. 5. Clique em Next e em Finish. Obs. Para adicionar automaticamente novos computadores que estão associados ao mesmo domínio/grupo de trabalho de GFI EventsManager, é preciso configurar a Sincronização. Para obter mais informações, consulte Adding event sources automatically. GFI EventsManager 2 Instalação do GFI EventsManager 59

60 2.5.3 Processar eventos - Máquinas selecionadas Esta opção permite adicionar manualmente computadores específicos assim: Digitar nomes e IPs de computador Selecionar os computadores de domínios e grupos de trabalho acessíveis. Importar computadores a partir de um arquivo de texto contendo um único nome de computador por linha. Para processar eventos de computadores selecionados: Screenshot 38: Processar eventos - Máquinas selecionadas 1. Clique em Process events - Selected machines. 2. Isso abre o diálogo Add New Event Source. GFI EventsManager 2 Instalação do GFI EventsManager 60

61 Screenshot 39: Adicionar novo assistente de origem do evento 3. A tabela a seguir descreve as opções disponíveis: Table 14: Adicionar novas fontes de evento manualmente Opção Adicionar Descrição Digite o nome ou o endereço IP do computador no campo Add the following computers. Clique em Add para adicionar um computador específico à lista Computers. Obs. Repita esta etapa para adicionar todas as origens de dados de eventos ao grupo selecionado. Obs. Com o Syslog e as interceptações SNMP usando endereços IP para determinar a origem de um evento, recomenda-se utilizar o endereço IP de origem, em vez do nome do computador ao adicionar Syslog e origens de Interceptações SNMP. Remover Selecionar... Importar... Selecione um ou mais computadores da lista Computer e clique Remove para excluí-los da lista. Clique em Select... para abrir o diálogo Select Computers...: 1. No menu suspenso Domain, selecione o domínio a ser verificado quanto às origens disponíveis e clique em Search. 2. Na lista de resultados da pesquisa, selecione os computadores que deseja adicionar. 3. Clique em OK para fechar o diálogo Select Computers... e retorne ao diálogo Add New Event Sources... Clique em Import... para importar computadores de um arquivo de texto. Certifique-se de que o arquivo de texto contém apenas o nome de um computador ou endereço IP por linha. 4. Clique em Finish para finalizar as configurações. GFI EventsManager tenta imediatamente analisar as origens dos eventos adicionados com as credenciais de logon padrão. Para obter mais informações, consulte Definir as credenciais de logon de origem do evento. GFI EventsManager 2 Instalação do GFI EventsManager 61

62 Obs. Se a sincronização não for ativada, é possível usar o Network Discovery Wizard para pesquisar e adicionar automaticamente origens de eventos. Para iniciar Network Discovery Wizard, clique com o botão direito em All event sources na árvore de origens de eventos e selecione Scan local domain. Para mais informações consulte Adicionar origem do evento automaticamente. Obs. Para confirmar que os logs sejam processados corretamente, vá para a guia Status > Job Activity e verifique se existem logs de atividades na seção Operational History. GFI EventsManager 2 Instalação do GFI EventsManager 62

63 3 Obter resultados Este capítulo fornece informações sobre como usar o GFI EventsManager para obter resultados. As informações fornecidas ajudam você na condução de investigações forenses e no monitoramento do sistema. Isto também permite que você obtenha os resultados positivos de conformidade legal, garantindo a segurança da rede em todos os momentos. Tópicos deste capítulo: 3.1 Alcançar Segurança da Rede Monitoramento eficiente da integridade do sistema Obter conformidade com PCI DSS Alcançar Segurança da Rede Muitas empresas supõem erroneamente que o acesso não autorizado é apenas uma ameaça externa. A maioria das ameaças de segurança corporativa na verdade deriva de fontes internas, contra qual um firewall não oferece nenhuma proteção. Uma eficiente estratégia de segurança inclui o monitoramento em tempo real de eventos essenciais de segurança e a análise periódica dos logs de segurança dos sistemas para que você possa detectar e responder rapidamente aos ataques. A segurança da rede é definida como um conjunto de regras e políticas adotado por um administrador de rede para monitorar e impedir o abuso e o acesso não autorizado de uma rede. Para uma estratégia de rede segura e eficaz, siga as etapas descritas abaixo: 1. Adicione o Console de Gerenciamento de Usuários e Grupos GFI EventsManager pode ser gerenciado por vários usuários. É possível vincular a atividade do console a diferentes usuários com a criação de um usuário para cada pessoa que está acessando o console e alterando as configurações. Criar usuários que possam auditar uma atividade individual. Para obter mais informações, consulte Gerenciar contas de usuários. Criar grupos de usuários para que vários usuários possam ser gerenciados de uma só vez. Para obter mais informações, consulte Gerenciar grupos de usuários. 2. Configure as opções de segurança do console. GFI EventsManager permite configurar as opções de segurança do console, para a garantia do sigilo das informações. Ativar o sistema de logon GFI EventsManager para que os usuários possam ser rastreados individualmente. Para obter mais informações, consulte Ativar o sistema de logon. Configurar opções de anonimato para que os usuários não autorizados sejam impedidos de acessar informações confidenciais dentro do console de gerenciamento. Para obter mais informações, consulte Anonimato. Ativar a auditoria do usuário para que um log de atividade possa ser criado para cada usuário que alterar as configurações do sistema. Para obter mais informações, consulte Auditar atividade do console. GFI EventsManager 3 Obter resultados 63

64 3. Configure os alertas e as ações padrão GFI EventsManager permite o controle da atividade de rede em tempo real, acionando alertas, para executar scripts e outras operações quando determinados logs de eventos são coletados. Configurar os destinatários de alertas e configurações de notificação para mensagens SNMP SMS, e de rede. Para obter mais informações, consulte Configurar Opções de alertas. Configurar operações que são executadas em detecção de atributos específicos de um log de eventos. Para obter mais informações, consulte Configurar ações de classificação padrão. 4. Adicionar origens de eventos Se ainda não executado, adicione a origem do evento que deseja proteger. Adicionar manualmente a origem do evento, especificando os endereços IP e/ou os nomes de computadores. Para obter mais informações, consulte Adicionar origens de eventos manualmente. Adicionar origens de eventos automaticamente, assim que elas estiverem integradas ao domínio ou à rede. Para obter mais informações, consulte Adicionar origens de eventos automaticamente. 5. Ative as permissões de auditoria de origem do evento Para auditar origens de eventos, as opções de Auditoria devem estar ativadas no sistema operacional de origem. Ativar manualmente as opções de auditoria de computadores individuais. Para obter mais informações, consulte Ativar permissões de origem do evento manualmente. Ativar automaticamente as opções de auditoria para grandes grupos de computadores. Para obter mais informações, consulte Ativar permissões de origem do evento automaticamente. 6. Colete log de eventos Iniciar coleta de log de eventos gerados pelas fontes adicionadas na etapa anterior. Logs de eventos podem ser coletados assim que a fonte é adicionada, no entanto, você ainda pode personalizar as configurações de origem do evento para obter informações específicas. Configurar as propriedades de origem do evento, como credenciais de logon, tipo de licença e outros. Para obter mais informações, consulte Configurar as propriedades de origem do evento. Configurar as origens de eventos para coletar e processar Logs de eventos Windows, Mensagens de Interceptação SNMP, Logs de texto e outros. Para obter mais informações, consulte Coletar logs de eventos. 7. Analise os logs de eventos coletados e monitore atividades Depois de coletar os logs de eventos necessários, é possível analisá-los no Navegador de evento. O Navegador de evento permite que você crie regras personalizadas nos logs coletados. Isso permite disparar alertas ou ações quando os eventos do mesmo tipo são coletados. Criar regras baseadas em eventos coletados. A regra de processamento de eventos verifica um log de evento e executa ações com base nas configurações definidas na Etapa 3. Para obter mais informações, consulte Criar novas regras de eventos existentes. Monitorar atividades de gerenciamento de eventos a partir de amplas exibições do painel. Para obter mais informações, consulte Monitorar atividade. GFI EventsManager 3 Obter resultados 64

65 3.2 Monitoramento eficiente da integridade do sistema. GFI EventsManager executa verificações em todo o sistema no seus servidores e estações de trabalho. Utiliza o Monitoramento Ativo para ajudar você detectar e corrigir proativamente erros do sistema e defeitos de hardware, evitando problemas com a rede. O sistema pode monitorar servidores críticos, inclusive Microsoft ISA Server, Exchange Server, SQL Server e IIS. Eles podem até mesmo ser configurados para aprofundar sistemas e monitorar as filas de , portais SMTP, disponibilidade MAPI, bloqueio de disco rígido e muito mais. O monitoramento da eficiência das regras e políticas aplicadas nos seus sistemas ajuda a determinar quão bem os planos e ações estão funcionando na prática. 1. Add event sources Depois de instalado, o GFI EventsManager adiciona automaticamente o localhost à lista de origens do evento. Adicione outras fontes, manual ou automaticamente, de acordo com as suas preferências. Adicione computadores manualmente, especificando os nomes e endereços IP dos computadores. Para obter mais informações, consulte Adding event sources manually. Computadores também podem ser adicionados automaticamente assim que são descobertos pelo GFI EventsManager. Para mais informações consulte Adicionar origem do evento automaticamente. 2. Configure event sources Configurar as propriedades de origem do evento, para permitir o monitoramento ativo e o processamento de eventos. Consulte as seções a seguir para obter informações sobre: Configurar as propriedades de origem do evento Configurar o monitoramento de origem do evento Coletar logs de eventos. 3. Configure alertas e ações predefinidas Um dos recursos principais do GFI EventsManager é a capacidade de enviar notificações e executar ações predefinidas quando determinados logs de eventos são coletados. Planejar como as notificações são enviadas e configurar o servidor de , portais SMS ou configurações de rede adequadamente. Adicionar destinatários no GFI EventsManager para os quais notificações são enviadas. Após concluído, configurar as ações predefinidas a serem executadas quando eventos específicos são processados. Consulte a seção a seguir para obter mais informações sobre: Configurar a conta do administrador Gerenciar as contas de usuário Configurar Opções de Alerta Configurar ações de classificação predefinidas. GFI EventsManager 3 Obter resultados 65

66 4. Configure o monitoramento ativo Verificações de monitoramento ativo são parâmetros condicionais, comparados com as origens de eventos de acordo com um agendamento. Com as condições de parâmetros sendo cumpridas ou não, as verificações de monitoramento geram logs de eventos. Os logs de eventos gerados podem ser combinados com as regras de processamento de eventos para analisar o problema que gerou o log, enviar notificações, executar scripts e ações corretivas. GFI EventsManager contém algum monitoramento ativo genérico, que pode ser usado imediatamente. Você também pode criar novas definições e configurar as definições granulares para a aquisição de informações precisas e significativas. Consulte as seções a seguir para obter informações sobre: Monitoramento ativo Criar e configurar a pasta raiz Criar e configurar o Monitoramento ativo Aplicar o monitoramento ativo Analisar a atividade de Monitoramento ativo 5. Configure as regras de processamento de eventos Regras de processamento de eventos são verificações condicionais comparadas com os logs de eventos coletados. De acordo com as informações encontradas no log de eventos (como Log Type, Timestamp e Classification) GFI EventsManager determina a ação a ser executada. Criar novas regras a partir dos logs de eventos gerados pelas verificações de monitoramento ativo para desencadear operações automáticas corretivas quando um erro de sistema é detectado. Opcionalmente, configurar origens de eventos para comparar as regras de integridade do sistema dos logs de eventos coletados. Consulte as seções a seguir para obter informações sobre: Regras de processamento de eventos Sobre regras de processamento de eventos Gerenciar pastas de conjunto de regras Criar novas regras a partir de eventos existentes. Configurar as condições da regra Configurar a origem de eventos para processar os logs com as regras de Integridade do sistema. 6. Gere relatórios GFI EventsManager permite gerar relatórios para técnicos de TI, bem como breves relatórios executivos para gestão de pessoal. Relatórios ajudam a visualizar informações de rede por meio de gráficos e tabelas, bem como informações estatísticas fornecidas nos relatórios. GFI EndPointSecurity vem com diversos relatórios predefinidos e também permite a criação de novos relatórios ou modificação dos já existentes. Relatórios disponíveis Gerar relatórios Gerenciar relatórios Criar relatórios personalizados Configurar as condições de filtragem do relatório. GFI EventsManager 3 Obter resultados 66

67 3.3 Obter conformidade com PCI DSS O Padrão de Segurança de Dados (Data Security Standard - DSS) da Indústria de Cartão de Pagamento (Payment Card Industry - PCI) é um padrão criado para definir uma lista de requisitos para a gestão da segurança, políticas, arquitetura de rede e outras medidas que ajudam a proteger a conta do cliente e as informações detalhadas do cartão de crédito. A plena conformidade com o PCI DSS requer o gerenciamento do log de eventos e a elaboração de relatório abrangente, GFI EventsManager é, portanto, uma solução essencial para auxiliar seu programa de conformidade PCI. Para saber mais sobre como estar compatível com o PCI DSS, use os seguintes links: Informes de Conformidade PCI DSS e dos produtos de software da GFI Consulte os informes GFI de Conformidade PCI DSS: Como GFI EventsManagerpode auxiliar na conformidade com o PCI DSS Monitorar regularmente as atividades de gerenciamento de eventos. Para obter mais informações, consulte Monitorar atividade. Aplicar regras de processamento de eventos de acordo com a lista de requisitos do PCI DSS. Para obter mais informações, consulte Regras de processamento de eventos. Gerar regularmente relatórios para monitorar eventos. Para obter mais informações, consulte Relatórios. GFI EventsManager 3 Obter resultados 67

68 4 Gerenciar fontes de eventos Este capítulo disponibiliza informações sobre adição e gerenciamento de suas origens de eventos. Origens de eventos são computadores dispositivos conectados em rede que são acessados e processados pelo GFI EventsManager. As sub-guias Origens de Eventos permitem organizar suas fontes de eventos em grupos específicos. É possível criar novos grupos ou usar os padrões para configurar e organizar origens de eventos distintos. Tópicos deste capítulo: 4.1 Adicionar fontes de eventos manualmente Adicionar origens de eventos automaticamente Criar um novo grupo de origem do evento Configurar propriedades da origem do evento Origem do Banco de Dados Adicionar fontes de eventos manualmente Para adicionar novas origens de eventos a um grupo de computadores: 1. Clique na guia Configuration > Event Sources e em Group Type, selecione Event Sources Groups. 2. Clique com o botão direito em um grupo de computadores de sua preferência e selecione Add new event source... Screenshot 40: Adicionar novo assistente de origem do evento 3. A tabela a seguir descreve as opções disponíveis: GFI EventsManager 4 Gerenciar fontes de eventos 68

69 Table 15: Adicionar novas fontes de evento manualmente Opção Adicionar Descrição Digite o nome ou o endereço IP do computador no campo Add the following computers. Clique em Add para adicionar um computador específico à lista Computers. Obs. Repita esta etapa para adicionar todas as origens de dados de eventos ao grupo selecionado. Obs. Com o Syslog e as interceptações SNMP usando endereços IP para determinar a origem de um evento, recomenda-se utilizar o endereço IP de origem, em vez do nome do computador ao adicionar Syslog e origens de Interceptações SNMP. Remover Selecionar... Importar... Selecione um ou mais computadores da lista Computer e clique Remove para excluí-los da lista. Clique em Select... para abrir o diálogo Select Computers...: 1. No menu suspenso Domain, selecione o domínio a ser verificado quanto às origens disponíveis e clique em Search. 2. Na lista de resultados da pesquisa, selecione os computadores que deseja adicionar. 3. Clique em OK para fechar o diálogo Select Computers... e retorne ao diálogo Add New Event Sources... Clique em Import... para importar computadores de um arquivo de texto. Certifique-se de que o arquivo de texto contém apenas o nome de um computador ou endereço IP por linha. 4. Clique em Finish para finalizar as configurações. GFI EventsManager tenta imediatamente analisar as origens dos eventos adicionados com as credenciais de logon padrão. Para obter mais informações, consulte Definir as credenciais de logon de origem do evento. Obs. Se a sincronização não for ativada, é possível usar o Network Discovery Wizard para pesquisar e adicionar automaticamente origens de eventos. Para iniciar Network Discovery Wizard, clique com o botão direito em All event sources na árvore de origens de eventos e selecione Scan local domain. Para mais informações consulte Adicionar origem do evento automaticamente. 4.2 Adicionar origens de eventos automaticamente GFI EventsManager permite sincronizar automaticamente domínios com grupos de origens de eventos Quando a sincronização for configurada, cada domínio é adicionado automaticamente ao novo membro da lista de origem do evento GFI EventsManager'. Para permitir sincronização automática: 1. Clique na guia Configuration > Event Sources e em Group Type, selecione Event Sources Groups. 2. Clique com o botão direito em All event sources e selecione Edit synchronization options. GFI EventsManager 4 Gerenciar fontes de eventos 69

70 Screenshot 41: Propriedades de sincronização - Guia geral 3. Selecione a guia General e configure as opções descritas abaixo: Table 16: Propriedades de sincronização - Guia geral Opção Domínio Grupo Tipo de origem Descrição Selecionar o nome de domínio na lista ou digitar um nome de domínio válido. Selecione o nome do grupo GFI EventsManager de onde adicionar as origens de dados descobertas. Selecionar o tipo de evento que GFI EventsManager verifica no domínio especificado. 4. Para incluir a sincronização clique em Add. 5. Repita as etapas 3 a 4 para cada domínio que você deseja sincronizar. GFI EventsManager 4 Gerenciar fontes de eventos 70

71 Screenshot 42: Excluir computadores da sincronização automática 6. (Opcional) Selecione a guia Exclusions para definir uma lista de computadores que serão excluídos da sincronização. Clique em Add e digite o nome de um computador para excluir. Obs. Origem de eventos que já fazem parte de um grupo de origem de eventos é automaticamente excluída da sincronização. 7. Selecione a guia Schedule para determinar quando a sincronização deve ser executada. GFI EventsManager 4 Gerenciar fontes de eventos 71

72 Screenshot 43: Propriedades de sincronização - guia Agendamento 8. Digite um intervalo válido em horas ou dias. 9. (Opcional) Selecione Send an to the para enviar um de notificação quando as origens de eventos são alteradas após a sincronização. 10. (Opcional) Clique em Sinchronize now para sincronizar origens de eventos imediatamente. 11. Clique em Apply e em OK. Obs. Adicionar fontes de eventos manualmente a um grupo sincronizado não é permitido emgfi EventsManager. 4.3 Criar um novo grupo de origem do evento O agrupamento de origens de evento em Grupos de Origens de Eventos aumenta a velocidade da configuração das origens de eventos. Depois de um grupo de origens de eventos estar configurado, cada membro do grupo específico herda as mesmas configurações. Para criar um novo grupo de origens de eventos: 1. Clique na guia Configuration > Event Sources e em Group Type, selecione Event Sources Groups. 2. Clique com o botão direito em All events source e selecione Create group Selecione o tipo de licença. Escolha Complete ou Active Monitoring license Para obter mais informações, consulte Configurar o tipo de licença de origem do evento. GFI EventsManager 4 Gerenciar fontes de eventos 72

73 Screenshot 44: Adicionar novo grupo de origens de eventos 4. Digite um nome exclusivo e uma descrição opcional. Selecione as guias descritas abaixo e configure as opções disponíveis: Table 17: Grupo de origens de eventos Nome da guia Geral Credenciais de logon Licensing type Horário operacional Monitoramento Log de eventos Windows Text Logs Syslog Descrição Ativar o conjunto de eventos e programar o processo de verificação. Para obter mais informações, consulte Configurar as propriedades gerais das origens de eventos. Configurar o nome de usuário e a senha utilizada para fazer o logon nas máquinas de destino e coletar informações. Para obter mais informações, consulte Configurar as credenciais de logon de origem do evento. Selecionar o tipo de licença para usar. Selecione Active Monitoring ou Complete. Para obter mais informações, consulte Configurar o tipo de licença de origem do evento. Configurar o horário operacional em que os computadores normalmente são usados. Para obter mais informações, consulte Configurar o horário operacional de origem do evento. Ativar GFI EventsManager ativa o monitoramento ativo nos computadores de destino e configurar as auditorias a serem realizadas. Verificações de monitoramento permitem que os administradores identifiquem os problemas no sistema em fases muito precoces para evitar que o sistema se torne lento. Para obter mais informações, consulte Configurar o monitoramento de origem do evento. Especificar os logs para coletar e definir as configurações de arquivamento dos logs de evento Windows. Para obter mais informações, consulte Coletar eventoswindows. Especificar os logs para coletar e configurar as configurações W3C/HTTP/CSV. Esta guia só está disponível durante a criação de um grupo servidor. Para obter mais informações, consulte Coletar logs de texto. Especificar os logs para coletar e definir as configurações de arquivamento de Syslogs. Esta guia só está disponível durante a criação de um grupo servidor. Para obter mais informações, consulte Coletar Syslogs. GFI EventsManager 4 Gerenciar fontes de eventos 73

74 Nome da guia SNMP Traps Descrição Especificar os logs para coletar e definir as configurações de arquivamento de Interceptações SNMP. Esta guia só está disponível durante a criação de um grupo servidor. Para obter mais informações, consulte Coletar mensagens de interceptações SNMP. 5. Clique em Apply e em OK. 4.4 Configurar propriedades da origem do evento GFI EventsManager permite personalizar os parâmetros de origens de eventos para atender às exigências operacionais da sua infraestrutura. Você pode configurar os parâmetros das origens únicas de evento ou em um grupo de origens de eventos. Qualquer membro de um grupo configurado herda automaticamente a mesma configuração. Esta seção contém informações sobre: Configurar as propriedades gerais da origem do evento Configurar as credenciais de logon da origem do evento Configurar o tipo de licença da origem do evento Configurar o horário operacional da origem do evento Configurar o monitoramento da origem do evento Configurar os parâmetros de processamento de eventos Configurar as propriedades gerais da origem do evento Use a guia General no diálogo de propriedades para: Alterar o nome de um grupo de computadores Ativar/desativar a coleta e processamento de logs de computadores em um grupo Configurar a frequência da coleta e do processamento do log. Para configurar as propriedades de origem do evento: 1. Na guia Configuration > origens de eventos > Group Type, selecione Event Sources Groups. 2. Para definir as configurações de: Computer group - clique com o botão direito em um grupo de computadores para configurar e selecione Properties Single event source - clique com o botão direito na origem a ser configurada e selecione Properties. GFI EventsManager 4 Gerenciar fontes de eventos 74

75 Screenshot 45: Diálogo de propriedades de origens de eventos 3. Na guia General, configure as opções descritas abaixo: Table 18: Propriedades da origem do evento - opções gerais Opção Nome do grupo Descrição Ativar a coleta de logs desse grupo de computadores Por exemplo, tempo real a cada 5 segundos Descrição Digitar um nome exclusivo para um grupo de computadores. (Opcional) Digitar uma descrição. Marcar/desmarcar essa opção para ativar/desativar a coleta de logs de eventos do grupo. Selecionar esta opção para verificar os novos logs de eventos a cada 5 segundos. Obs. Isso não é recomendado se os membros desse grupo geram altos volumes de logs de eventos, pois pode comprometer o desempenho da rede. Uma vez a cada Especificar uma programação para quando GFI EventsManager deve verificar se há novos logs de eventos. 4. Clique em Apply e em OK Configurar credenciais de logon de origem do evento Use as Logon Credentials no diálogo de propriedades para: Exibir as configurações das credenciais de logon Editar as configurações das credenciais de logon. Durante o processamento de eventos, GFI EventsManager deve conectar-se remotamente aos computadores de destino. Isso é necessário para coletar dados de log que estão armazenado nos GFI EventsManager 4 Gerenciar fontes de eventos 75

76 computadores de destino e enviar os dados dos eventos para os mecanismos de processamento de evento. Para coletar e processar logs,gfi EventsManager deve ter privilégios administrativos nos computadores de destino. Por padrão, GFI EventsManager faz o logon nos computadores de destino utilizando as credenciais da conta sob a qual ele está executando no momento, no entanto, certos ambientes de rede são configurados para usar diferentes credenciais para fazer logon em estações de trabalho e servidores com privilégios administrativos. Por exemplo, por motivos de segurança, você pode criar uma conta de administrador que tenha privilégios administrativos através de estações de trabalho somente e outra conta que tenha privilégios administrativos apenas em servidores. Para configurar as propriedades de origem do evento: 1. Na guia Configuration > origens de eventos > Group Type, selecione Event Sources Groups. 2. Para definir as configurações de: Computer group - clique com o botão direito em um grupo de computadores para configurar e selecione Properties Single event source - clique com o botão direito na origem a ser configurada e selecione Properties. Screenshot 46: Configurar credenciais de logon alternativas 3. Clique na guia Logon Credentials. 4. Marque/desmarque Logon using credentials below para usar/parar de usar outras credenciais de logon. Digitar um nome de usuário e senha. GFI EventsManager 4 Gerenciar fontes de eventos 76

77 Obs. Credenciais de logon alternativas permitem usar diferentes nomes de usuários e senhas para fazer logon em computadores remotos. Você pode definir as credenciais alternativas para um grupo de origens de eventos ou para cada origem de evento. Membros de um grupo de origem do evento podem ser configurados para herdar as credenciais do grupo principal. 5. Marque/desmarque SSH authentication para usar/parar de usar a autenticação SSH. Obs. SSH usa criptografia de chave pública para autenticar o computador remoto e permitir que ele autentique o usuário, se necessário. Este é um protocolo de segurança para computadores com base em Linux e Unix. 6. Clique em Browse... para selecionar o arquivo Private Key. 7. Digite key passphrase e digite-a novamente para confirmar. 8. Clique em Apply e em OK Configurar tipo de licença de origem do evento A guia Licensing type é usada para configurar o modo de licenciamento de uma origem de evento ou grupo de eventos. Isso determina os tipos de logs que precisam ser coletados a partir da origem/grupo configurado. A tabela a seguir descreve os tipos de licenças disponíveis: Table 19: Tipos de licenças Tipo de licença Active Monitoring license Descrição Esta licença permite coletar e processar: Logs de eventos Microsoft Windows Logs de texto, tais como W3C, CSV, XML, DHCP, logs SAP, Logs SKIDATA e logs personalizados de estações de trabalho Windows e não-windows Logs de eventos de monitoramento ativo Complete license Se o servidor Windows é detectado em uma origem usando esta licença, o log de eventos é desativado. Ativa a funcionalidade e o suporte completo com servidores, estações de trabalho e dispositivos em rede baseado em Windows e não-windows. Usar esta licença para coletar e processar: Logs de eventos Microsoft Windows Logs de texto, tais como W3C, CSV, XML, DHCP, logs SAP, Logs SKIDATA e logs personalizados de estações de trabalho Windows e não-windows Logs de eventos de monitoramento ativo Mensagens de interceptações SNMP Syslogs Logs personalizados Auditorias SQL Server Auditorias do servidor Oracle. GFI EventsManager 4 Gerenciar fontes de eventos 77

78 Para configurar as propriedades de origem do evento: 1. Na guia Configuration > origens de eventos > Group Type, selecione Event Sources Groups. 2. Para definir as configurações de: Computer group - clique com o botão direito em um grupo de computadores para configurar e selecione Properties Single event source - clique com o botão direito na origem a ser configurada e selecione Properties. Screenshot 47: Configurar tipo de licença de origem do evento 3. Clique na guia Licensing type e selecione a licença que você deseja usar para a origem ou grupo de eventos ou grupo que esteja sendo configurado. 4. Clique em Apply e em OK Configurar horário operacional da origem do evento GFI EventsManager inclui uma opção de horário operacional que permite especificar o horário de trabalho normal dos grupos de origem do evento. Isso é necessário para que GFI EventsManager possa controlar os eventos ocorridos durante e fora do horário de trabalho. Usar as informações de horário operacional para análise forense, para identificar o acesso de usuários não autorizados, transações ilícitas realizadas fora do horário normal de trabalho e outras potenciais falhas de segurança que possam estar ocorrendo na sua rede. O horário operacional é configurável em um grupo de computadores. Isto é conseguido através da marcação do horário de trabalho normal em uma escala de horário operacional gráfica que é dividida em segmentos de uma hora. GFI EventsManager 4 Gerenciar fontes de eventos 78

79 Para configurar as propriedades de origem do evento: 1. Na guia Configuration > origens de eventos > Group Type, selecione Event Sources Groups. 2. Para definir as configurações de: Computer group - clique com o botão direito em um grupo de computadores para configurar e selecione Properties Single event source - clique com o botão direito na origem a ser configurada e selecione Properties. Screenshot 48: Especificar o horário operacional 3. Na guia Operational Time, marque os intervalos de tempo do horário de trabalho normal. Obs. Células marcadas em azul indicam o horário do expediente normal. 4. Clique em Apply e em OK Configurar monitoramento de origem do evento GFI EventsManager é capaz de coletar informações adicionais sobre suas origens de eventos por meio de Monitoramento Ativo. Estas verificações geram eventos específicos que, por sua vez, desencadeiam notificações em tempo real ou executam uma ação. Por exemplo, ao monitorar as verificações de CPU usage, GFI EventsManager consulta a origem do evento e detecta se o computador de destino está executando nos níveis de uso específicos da CPU. GFI EventsManager 4 Gerenciar fontes de eventos 79

80 Obs. Para obter mais informações, consulte Monitoramento ativo. Para configurar as propriedades de origem do evento: 1. Na guia Configuration > origens de eventos > Group Type, selecione Event Sources Groups. 2. Para definir as configurações de: Computer group - clique com o botão direito em um grupo de computadores para configurar e selecione Properties Single event source - clique com o botão direito na origem a ser configurada e selecione Properties. Screenshot 49: Propriedades da origem do evento - Guia de monitoramento 3. Na guia Monitoring, configure as opções descritas abaixo: Table 20: Opções de monitoramento de origem do evento Opção Herdar coleta e processamento de log de eventos do grupo principal Descrição Esta opção está disponível com o ativar do monitoramento em uma única origem de evento. Se você ativou o monitoramento no grupo que contém a origem do evento, deixe esta opção selecionada para obter as mesmas configurações. GFI EventsManager 4 Gerenciar fontes de eventos 80

81 Opção Ativar monitoramento GFI EventsManager Executar as seguintes verificações Arquivar todos os logs sem nenhum processamento adicional Processar os logs com as regras selecionadas abaixo antes de colocar em arquivo morto Descrição 4. Clique em Apply e em OK. Marque/desmarque essa opção para ativar/desativar o processamento do monitoramento ativo. Expandir a lista de verificações e selecionar os que você deseja aplicar à sua origem/grupo de eventos. Para obter informações sobre a criação de verificações de monitoramento, consulte Criar uma nova verificação de monitoramento. Selecionar esta opção para armazenar eventos sem aplicar nenhuma verificação complementar (a partir de regras de processamento de eventos). Expandir a lista de regras que são aplicadas aos logs coletados. O GFI EventsManager permite criar regras personalizadas e configurá-las para acionar quando uma das verificações de monitoramento ativo geram um evento. Em seguida, durante a configuração da Regra de processamento de evento selecionada, as ações são executadas e/ou os alertas são gerados. Após ativar uma verificação de monitoramento, procura o evento gerado e cria uma regra baseada nesse evento. Para obter mais informações, consulte Criar novas regras a partir de eventos existentes Configurar parâmetros de processamento de eventos Parâmetros de processamento de eventos são ativados somente nas origens/grupos de eventos licenciados como servidores. Origens de eventos do servidor possuem mais configurações do que estações de trabalho normais para coletar logs de eventos, logs de texto, Syslogs e Interceptações SNMP Windows. Para configurar as propriedades de origem do evento: 1. Na guia Configuration > origens de eventos > Group Type, selecione Event Sources Groups. 2. Para definir as configurações de: Computer group - clique com o botão direito em um grupo de computadores para configurar e selecione Properties Single event source - clique com o botão direito na origem a ser configurada e selecione Properties. GFI EventsManager 4 Gerenciar fontes de eventos 81

82 Screenshot 50: Guias de configuração do processamento de eventos 3. Utilize as guias Windows Event Log, Text Logs, Syslog e SNMP Traps para configurar os parâmetros de processamento de eventos necessários. 4. Clique em Apply e em OK. Obs. Para obter mais informações, consulte: Coletar Logs de eventowindows Coletar logs de texto Coletar Syslogs Coletar interceptações SNMP. 4.5 Origem do Banco de Dados GFI EventsManager monitora e processa eventos do servidor de banco de dados. As origens de eventos do banco de dados exigem configurações específicas para coletar e processar eventos gerados pelas atividades do banco de dados.gfi EventsManager é capaz de auditar e monitorar a atividade dos seguintes servidores de banco de dados: Microsoft SQL Server Oracle Server GFI EventsManager 4 Gerenciar fontes de eventos 82

83 4.5.1 Microsoft SQL Server Origens Esta seção contém informações sobre: Criar novo grupo Microsoft SQL Server. Adicionar nova origem de eventomicrosoft SQL Server. Criar novo grupo Microsoft SQL Server Para criar um grupo Microsoft SQL Server : 1. Clique na guia Configuration > Event Sources. 2. Em GroupType, selecione Database Servers Groups. Screenshot 51: Grupos de servidores de banco de dados 3. Em Groups, clique com o botão direito em Microsoft SQL Server e selecione Create group Selecione Microsoft SQL Server como tipo de servidor e na da guia General configure as opção descritas abaixo: Table 21: Grupo de banco de dados SQL Microsoft : Guia Geral Opção Nome do grupo Descrição Coleta os logs dos servidores de banco de dados neste grupo Descrição Digite o nome de um grupo para identificar o grupo Microsoft SQL Server. (Opcional) Digitar uma descrição. Ativar opção para coletar eventos do banco de dados de todos os servidores deste grupo. GFI EventsManager 4 Gerenciar fontes de eventos 83

84 Screenshot 52: Configurar as configurações de logon na guia Credenciais de Logon 4. Selecione a guia Logon Credentials e configure as opções descritas abaixo: Table 22: Grupo de banco de dados SQL Microsoft : Credenciais de logon Opção Usar Autenticação Windows Usar autenticação SQL Server. Descrição Conectar ao banco de dados Microsoft SQL usando a autenticação Windows. Conectar ao Banco de dados Microsoft SQL usando uma conta de usuário de Banco de dados SQL Microsoft. Digitar um nome de usuário e senha. GFI EventsManager 4 Gerenciar fontes de eventos 84

85 Screenshot 53: Configurar horário de trabalho normal na guia Horário operacional 5. Selecione Operational Time e configure o horário operacional quando o banco de dados é usado normalmente. Intervalos de tempo marcados são considerados o horário de trabalho normal. GFI EventsManager 4 Gerenciar fontes de eventos 85

86 Screenshot 54: Configurar o servidor SQL a partir da guia de auditoria do servidor SQL 6. Selecione a guia SQL Server Audit e configure as opções descritas abaixo: Table 23: Grupo de banco de dados SQL -Microsoft SQL Server Auditoria Opção Colocar em arquivo morto todos os logs sem mais processamento Processar os logs com as regras selecionadas abaixo antes de colocar em arquivo morto Descrição Colocar em arquivo morto eventos no back-end do banco de dados GFI EventsManager sem aplicar as regras de processamento. Especificar as regras a serem executadas antes de colocar em arquivo morto os eventos no back-end do banco de dados GFI EventsManager. GFI EventsManager 4 Gerenciar fontes de eventos 86

87 7. Clique na guia Settings e configure as opções descritas abaixo: Table 24: Microsoft Grupo de banco de dados SQL - Configurações Opção Verificar todos os eventos de todos os bancos de dados Verificar somente os eventos de segurança de todos os bancos de dados Descrição Todos os eventos Microsoft SQL Server são coletados e processados pelo GFI EventsManager. Somente os eventos de segurança são coletados e processados pelo GFI EventsManager. 8. Clique em Aplicar e em OK. Adicionar uma nova origem de eventos Microsoft SQL Server Para adicionar uma nova origem Microsoft SQL Server : 1. Clique com o botão direito em um grupo de banco de dados e selecione Add new SQL Server... GFI EventsManager 4 Gerenciar fontes de eventos 87

88 Screenshot 55: Adicionar novo servidor Microsoft SQL 2. Digite o nome do servidor ou IP e clique em Add. Obs. Use Select e Import para pesquisar a rede ou importar uma lista de servidores SQL Server SQL de um arquivo de texto, respectivamente. 3. Clique em Finish para fechar o diálogo Adicionar novo servidor SQL. 4. Em Groups, selecione SQL Servers e, no painel direito, clique duas vezes na nova Instância de banco de dados Microsoft SQL. GFI EventsManager 4 Gerenciar fontes de eventos 88

89 Screenshot 56: Propriedades do Banco de dados SQL Microsoft : Guia Geral 5. Na guia General, configure as opções descritas abaixo: Table 25: Banco de dados SQL domicrosoft - Opções da guia geral Opção Herdar Servidor SQL após o processamento da coleta de um grupo principal Colocar em arquivo morto eventos no banco de dados Processar usando este conjunto de regras Descrição Herda as configurações do grupo principal Colocar em arquivo morto eventos no back-end do banco de dados GFI EventsManager sem aplicar as regras de processamento. Especificar as regras a serem executadas antes de colocar em arquivo morto os eventos no back-end do banco de dados GFI EventsManager. GFI EventsManager 4 Gerenciar fontes de eventos 89

90 Screenshot 57: Propriedades do Banco de dados SQL Microsoft : Guia de configurações de conexão 6. Selecione Connection Settings e configure as opções descritas abaixo: Table 26: Banco de dadosmicrosoft SQL - Guia de configurações de conexão Opção Herdar credenciais de logon do grupo principal Usar Autenticação Windows Usar as credenciais do servidor SQL Descrição Selecionar esta opção para herdar configurações de logon do grupo principal. Conectar ao banco de dados Microsoft SQL usando autenticação Windows. Conectar ao Banco de dados Microsoft SQL usando uma conta de usuário de Banco de dados SQL Microsoft. Digitar um nome de usuário e senha. GFI EventsManager 4 Gerenciar fontes de eventos 90

91 Screenshot 58: Propriedades do Banco de dados SQL Microsoft : Guia de configurações 7. Clique na guia Settings e configure as opções descritas abaixo: Table 27: Banco de dados SQL do Microsoft - Opções da guia de configurações Opção Herdar as configurações do grupo principal Verificar todos os eventos de todos os bancos de dados Verificar somente os eventos de segurança de todos os bancos de dados Verificar todos os eventos relacionados somente com os seguintes bancos de dados. Descrição Herda as configurações do grupo principal. Verificar todos os bancos de dados e coletar todos os eventos do Microsoft SQL Server. Verificar todos os bancos de dados e coletar apenas eventos de segurança de Microsoft SQL Server. Coletar todos os eventos dos banco de dados selecionados. Usar Adicionar, Editar e Remover para gerenciar as fontes do banco de dados. 8. Clique em Apply e em OK Fontes do servidor Oracle GFI EventsManager permite coletar e processar os eventos gerados pelos sistemas de gerenciamento de banco de dados Oracle Relational. As seguintes auditorias são coletadas e processadas por GFI EventsManager: Table 28: Auditorias suportadas pelo Oracle Server Auditoria Auditoria de sessão Declaração de auditoria Auditoria de objetos Descrição Auditoria do acesso do usuário às sessões e ao banco de dados. Declarações de auditoria de SQL processada. Consultas de auditoria e declarações relacionadas a objetos específicos. As seguintes versões do banco de dados Oracle são suportadas: GFI EventsManager 4 Gerenciar fontes de eventos 91

92 Banco de dados Oracle 9i Banco de dados Oracle 10g Banco de dados Oracle 11g Esta seção contém informações sobre: Configurações preconfiguradas das origens de evento dos servidores Oracle Criar um novo grupo de servidores Oracle Adicionar uma nova origem de eventos no servidor Oracle Configurações de preconfiguração das origens de evento dos servidores Oracle Antes de adicionar origens de eventos ao servidor Oracle, siga as etapas abaixo para cada instância do servidor Oracle que deseja monitorar: Table 29: Estágios de configuração do servidor Oracle Etapa de preconfiguração Etapa 1 Etapa 2 Descrição Verificar as credenciais de logon usadas para conectar, configurar auditorias e conferir se a tabela de auditoria tem as permissões necessárias. Ativar a auditoria no servidor Oracle alterando os parâmetros de inicialização. Para ativar a auditoria: 1. Parâmetros de inicialização dos servidores Oracle são armazenados em: <Oracle Home Directory>\admin\<Oracle SID>\pfile\init.ora. 2. Localize e abra o arquivo de parâmetros usando um editor de texto. 3. Localize o parâmetro AUDIT_TRAIL e altere o valor padrão para db ou db_extended ( db,extended ou versões recentes do Oracle). 4. Salve e reinicie o servidor Oracle. Adicionar um novo grupo no servidor Oracle Para adicionar um novo grupo de banco de dados Oracle: 1. Clique na guia Configuration > Event Sources. 2. Em GroupType, selecione Database Servers Groups. Screenshot 59: Grupos de servidores de banco de dados 3. Em Groups clique com o botão direito em Oracle Servers e selecione Create group... GFI EventsManager 4 Gerenciar fontes de eventos 92

93 Screenshot 60: Grupo de banco de dados Oracle - Guia geral 4. Na guia General, configure as opções descritas abaixo: Table 30: Grupo de banco de dados Oracle - Guia geral Opção Nome do grupo Descrição Coleta os logs dos servidores de banco de dados neste grupo Verificação de Agendar Manutenção Descrição Digite um nome de grupo para identificar o grupo de banco de dados Oracle. Como opção, digite uma descrição. Coleta eventos das origens de evento do grupo Oracle. Com a opção ativada, configure a opções verificar Agendar e Manutenção. Especificar a frequência de coleta de eventos com um agendamento predefinido. Eventos de auditoria Oracle são armazenados em uma tabela de auditoria específica no servidor Oracle. Para evitar o crescimento excessivo da tabela de auditoria, configure as opções nesta seção para excluir os logs e entradas antigas de auditoria em horário predefinido. GFI EventsManager 4 Gerenciar fontes de eventos 93

94 Screenshot 61: Grupo de banco de dados Oracle - Guia credenciais de logon 5. Selecione a guia Logon Credentials, digite um nome de usuário e senha válidos para se conectar ao servidor Oracle. GFI EventsManager 4 Gerenciar fontes de eventos 94

95 Screenshot 62: Grupo de banco de dados Oracle - Guia horário operacional 6. Selecione a guia Operational Time e configure o horário de trabalho normal para os servidores de banco de dados Oracle neste grupo. GFI EventsManager 4 Gerenciar fontes de eventos 95

96 Screenshot 63: Grupo de banco de dados Oracle - Guia de auditoria Oracle 7. Selecione Oracle Audit e configure as opções descritas abaixo: Table 31: Grupo de banco de dados Oracle - Auditoria Oracle Opção Colocar em arquivo morto todos os logs sem mais processamento Processar os logs com as regras selecionadas abaixo antes de colocar em arquivo morto Descrição Colocar em arquivo morto eventos no back-end do banco de dados GFI EventsManager sem aplicar as regras de processamento. Especificar as regras a serem executadas antes de colocar em arquivo morto os eventos no back-end do banco de dados GFI EventsManager. 8. Clique em Apply e em OK. Adicionar uma nova origem de evento ao servidor Oracle Para adicionar um novo banco de dados Oracle a um grupo de banco de dados: 1. Clique com o botão direito em um grupo de servidores Oracle e selecione Add new Oracle Server... GFI EventsManager 4 Gerenciar fontes de eventos 96

97 Screenshot 64: Adicionar novo servidor Oracle 2. Digite o nome do servidor ou IP e clique em Add. 3. Clique em Finish para fechar o diálogo Adicionar novo servidor SQL. Obs. Use Select e Import para procurar a rede de SQL Server ou importar uma lista de SQL Server de um arquivo de texto respectivamente. GFI EventsManager 4 Gerenciar fontes de eventos 97

98 Screenshot 65: Propriedades do servidor Oracle - Guia geral 4. No painel direito, clique duas vezes na origem do evento do servidor Oracle e configure as opções descritas abaixo: Table 32: Propriedades do servidor Oracle - Guia geral Opção Herdar servidor Oracle após o processamento da coleta do grupo principal Colocar em arquivo morto eventos no banco de dados Processar usando este conjunto de regras Descrição Selecionar para herdar todas as configurações do grupo principal. Colocar em arquivo morto eventos no back-end do banco de dados GFI EventsManager sem aplicar as regras de processamento. Especificar as regras a serem executadas antes de colocar em arquivo morto os eventos no back-end do banco de dados GFI EventsManager. GFI EventsManager 4 Gerenciar fontes de eventos 98

99 Screenshot 66: Propriedades do servidor Oracle Guia configurações de conexão 5. Selecione Connections Settings e configure as opções descritas abaixo: Table 33: Propriedades do servidor Oracle - Guia de configurações de conexão Opção Herdar credenciais de logon do grupo principal Porta SID Nome do serviço Teste Descrição Selecionar para herdar configurações de logon do grupo principal. Digitar a porta usada para se conectar ao banco de dados Oracle. A SID é um nome exclusivo para identificar uma instância do banco de dados Oracle Digite a SID do banco de dados para a auditoria. O nome do serviço é o pseudônimo usado para identificar o banco de dados Oracle. Digitar o nome do serviço do banco de dados de auditoria. Testar a conexão com o servidor do banco de dados Oracle. GFI EventsManager 4 Gerenciar fontes de eventos 99

100 Screenshot 67: Propriedades do servidor Oracle - Guia Auditoria por objetos 6. Selecione Audit by Objects e configure as opções descritas abaixo: Table 34: Propriedades do servidor Oracle - Guia Auditoria por objetos Opção Objeto Operações Opções Descrição Clique em Browse para abrir uma lista de objetos Oracle. Selecione o objeto a examinar e clique em OK. OBSERVAÇÃO: Entre outras coisas, objetos Oracle podem ser procedimentos, funções exibições e tabelas. Operações são ações que modificam ou consultam um objeto. Clique em Browse para abrir uma lista de operações disponíveis. Selecione as operações para auditoria e clique em OK. Selecione as opções de auditoria: By Access - Cria um log de auditoria por execução de operação de objeto. By Session - Cria um log de auditoria por operação e por objeto de esquema. Uma sessão é o tempo entre uma conexão e uma desconexão para/de banco de dados. Success - Selecione para processar apenas as auditorias bem-sucedidas. Failure - Selecione para processar apenas as auditorias falhas. Oracle criará um log de auditoria se não conseguir efetuar uma auditoria completa. Auditoria Parar auditoria Objetos de esquema atualmente atualizados Both - Selecione para processar todas os logs de auditoria. Escolha esta opção para instruir o servidor Oracle para iniciar a auditoria das atividades do servidor correspondente aos parâmetros selecionados (como usuários, declarações, etc.) Escolha esta opção para instruir o servidor Oracle a parar a auditoria das atividades do servidor correspondente aos parâmetros selecionado (como usuários, declarações, etc.) A lista que exibe todos os esquemas de auditoria da Oracle atualmente editados. GFI EventsManager 4 Gerenciar fontes de eventos 100

101 Screenshot 68: Propriedades do servidor Oracle - Guia Auditoria por declaração 7. Selecione Audit by Statement e configure as opções descritas abaixo: Table 35: Propriedades do servidor Oracle -Guia Auditoria por declaração Opção Declarações Usuário Opções Descrição Clique em Browse para abrir uma lista de declarações Oracle. Marque os termos Oracle para a auditoria e clique em OK. OBSERVAÇÃO: Entre outras coisas, as declarações Oracle podem ALTER, CREATE e SELECT. Oracle permite a auditoria de declarações de um usuário específico. Clique no botão browse para abrir uma lista de usuários disponíveis. Selecione o usuário e clique em OK. Selecione as opções de auditoria: By Access - Cria um log de auditoria por cada execução de declaração. By Session - Cria um log de auditoria por usuário e por objeto de esquema. Uma sessão é o tempo entre uma conexão e uma desconexão para/de banco de dados. Success - Processa apenas auditorias bem-sucedidas. Failure - Seleciona a opção para processar apenas auditorias falhas. Oracle criará um log de auditoria se não conseguir efetuar uma auditoria completa. Auditoria Parar auditoria Declarações atuais de auditoria Both - Seleciona a opção para processar todos os logs de auditoria. Escolha esta opção para instruir o servidor Oracle para iniciar a auditoria nas atividades de servidor correspondentes aos parâmetros selecionados (como usuários, declarações, etc.) Escolha esta opção para instruir o servidor Oracle a parar a auditoria das atividades do servidor correspondente aos parâmetros selecionado (como usuários, declarações, etc.) Uma lista que mostra todas as declarações atuais da Oracle. 8. Clique em Apply e em OK. GFI EventsManager 4 Gerenciar fontes de eventos 101

102 5 Coletar logs de eventos Este capítulo fornece informações sobre como configurar as origens de eventos para aplicar regras de processamento dos eventos coletados. Atribuir regras existentes ou personalizadas de processamento de eventos para processar com precisão somente os eventos desejados. Tópicos deste capítulo: 5.1 Coletar logs de eventos Windows Coletar logs de texto Coletar Syslogs Coletar Mensagens de interceptação SNMP Coletar logs personalizados Coletar logs de eventosgfi LanGuard Coletar eventos GFI EndPointSecurity Coletar logs de eventos Windows EventosWindows são organizados em categorias de logs específicos; como padrão, os computadores executados em Windows NT ou superior, registram eventos de erros, avisos e informações em três logs, a saber Security, Application e System logs. Os computadores com funções mais especializadas na rede, tais como controladores de Domínio e servidores DNS possuem categorias de logs de eventos adicionais. No mínimo, os Sistemas OperacionaisWindows registram eventos nos seguintes logs: Table 36: Logs de evento coletados porwindows GFI EventsManager Tipo de log Log de eventos de segurança Log de eventos do aplicativo Log de eventos do sistema Log do serviço de diretório Log do serviço de replicação de arquivos Log do servidor DNS Log dos Serviços e Aplicativos Descrição Esse log contém eventos relacionados à segurança através do qual é possível auditar brechas de segurança bem-sucedidas ou tentativas. Eventos típicos encontrados no log de Eventos de Segurança incluem tentativas de logon válidas e inválidas. Esse log contém eventos registrados por aplicativos/programas de software, tais como erros de arquivo. Esse log contém eventos registrados pelos componentes do sistema operacional, tais como falhas de carregamento dos drivers do dispositivo. Esse log contém os eventos gerados pelo Active Directory, incluindo tentativas bem sucedidas ou fracassadas de atualizar o banco de dados Active Directory. Esse log contém os eventos registrados pelo serviço de Replicação de arquivowindows. Isto inclui falhas e eventos de replicação que ocorrem enquanto os controladores de domínio estão sendo atualizados com informações do Sysvol. Esse log contém eventos associados ao processo de solução de nomes DNS para endereços IP. Esses logs contêm eventos associados aowindows VISTA e os serviços relativos/ funcionalidades relativas que oferece. GFI EventsManager 5 Coletar logs de eventos 102

103 Screenshot 69: Propriedades do grupo de computadores: Configurar os parâmetros de Logs de eventoswindows Para configurar os parâmetros da coleta e processamento do Log de eventos Windows : 1. Na guia Configuration > Event Sources, clique com o botão direito na origem ou grupo de eventos e selecione Properties. GFI EventsManager 5 Coletar logs de eventos 103

104 Screenshot 70: Selecionar logs de eventos para coletar 2. Clique na guia Windows Event Log > Add... para selecionar os logs que deseja coletar. Expanda Windows Logs e/ou Applications and Services Logs e selecione na lista de logs disponíveis. 3. (Opcional) Clique em Add custom log... e digite um nome exclusivo para o log de eventos não listado. GFI EventsManager 5 Coletar logs de eventos 104

105 Screenshot 71: Configurar os parâmetros de processamento do log de eventos Windows 4. Selecione Clear collected events after completion para limpar os eventos coletados das respectivas origens de evento. 5. Selecione Archive events in database para arquivar os eventos coletados sem aplicar regras de processamento. 6. Selecione Process using these rule sets e selecione os conjuntos de regras para comparar com os eventos coletados. 7. Selecione Add generic fields para adicionar campos estendido para o banco de dados. Os campos estendidos contêm descrições dos dados dos eventos e são adicionados pelo nome comum (exemplo: "Field01", Nome personalizado do campo ). 8. Clique em Apply e em OK. Importante A exclusão dos logs de eventos não arquivados pode resultar em penalidades de conformidade legal. 5.2 Coletar logs de texto Logs de texto são diferentes dos outros formatos suportados por GFI EventsManager. Logs W3C são arquivos planos baseados em textos contendo vários detalhes do evento delimitados por caracteres especiais. GFI EventsManager 5 Coletar logs de eventos 105

106 O formato de log W3C é mais comumente usado por sistemas de hardware (exemplo: servidores e equipamentos), com funções específicas de Internet. O Microsoft O serviço Internet Information Server (IIS) e servidores web Apache, por exemplo, podem coletar eventos relacionados à web como logs de web, na forma de arquivos de texto formatados W3C. Em GFI EventsManager, o processo de configuração dos parâmetros do log W3C é idêntico ao executado para processamento de evento Windows, com uma exceção. Ao contrário dos Logs de eventos Windows, não existe um padrão que determina a localização da pasta específica ou centralizada onde os arquivos de log W3C são armazenados no disco. Portanto, para coletar os logs W3C, é preciso especificar o caminho completo para os arquivos de log baseados em texto. Screenshot 72: Opções de Logs de Texto Coletar logs de texto: 1. Na guia Configuration > Event Sources, clique com o botão direito na origem ou grupo de eventos e selecione Properties. GFI EventsManager 5 Coletar logs de eventos 106

107 Screenshot 73: Adicionar pastas contendo logs de texto 2. Clique na guia Text Logs > Add... para adicionar caminhos para a pasta que contenha Logs de texto. 3. Na caixa de diálogo Select text logs folder..., digite no caminho para a pasta que contenha os arquivos de logs de texto e clique em OK. 4. Selecione Clear collected events after completion para limpar os eventos coletados das respectivas origens de evento. 5. Selecione Process subdirectories para analisar recursivamente o caminho especificado que contenha os logs de texto. 6. No menu suspenso Parsing schema, selecione o esquema com o qual os Logs de texto são interpretados. Selecionar em: W3C CSV DHCP XML Logs SAP Logs ESM Dados SKI de pagamentos de estacionamento de carro. GFI EventsManager 5 Coletar logs de eventos 107

108 7. Selecione Archive events in database para arquivar os eventos coletados sem aplicar regras de processamento. 8. Selecione Process using these rule sets e selecione os conjuntos de regras para comparar com os eventos coletados. 9. Clique em Aplicar e em OK. Importante A exclusão dos logs de eventos não arquivados pode resultar em penalidades de conformidade legal. 5.3 Coletar Syslogs O Syslog é um serviço de registro em log de dados que é mais comumente usado pelos sistemas baseados em Linux e UNIX. O conceito do Syslogs é que o registro em log de eventos e as informações são totalmente manipulados por um servidor dedicado, chamado de servidor syslog. Ao contrário dos sistemas Windows e de log de texto, os dispositivos ativados pelo Syslog enviam eventos na forma de mensagens de dados (tecnicamente conhecidas como Mensagens syslog ) para um servidor Syslog que interpreta e administra as mensagens e salva os dados em um arquivo de log. Para processar mensagens SyslogGFI EventsManager vem com um Servidor Syslog embutido. Este servidor Syslog recolhe automaticamente, em tempo real, todas as mensagens/eventos Syslog enviados por fontes Syslog e os transfere para o mecanismo de processamento de evento. Direto da caixa, o GFI EventsManager dá suporte a eventos gerados por diversos fabricantes de dispositivos de rede dos principais provedores, incluindo Cisco e Juniper. Obs. Para mais informações sobre os dispositivos suportados visite o seguinte artigo KBASE: Obs. Um buffer integrado permite que o servidor Syslog colete, coloque em fila e encaminhe até 30 mensagens de cada vez. Logs armazenados em buffer como padrão são transferidos para o mecanismo de processamento de evento assim que o buffer é preenchido ou a cada minuto, o que acontecer primeiro. GFI EventsManager 5 Coletar logs de eventos 108

109 Screenshot 74: Mensagens syslog deve ser direcionadas para o computador que está executandogfi EventsManager Importante Antes de iniciar a coleta de Syslogs, cada origem de evento Syslog (estações de trabalho, servidores e/ou dispositivos de rede) deve ser configurada para enviar as suas mensagens de Syslog para o nome ou IP do computador ogfi EventsManager onde está instalado. Para coletar Syslogs: 1. Na guia Configuration > Event Sources, clique com o botão direito na origem ou grupo de eventos e selecione Properties. GFI EventsManager 5 Coletar logs de eventos 109

110 Screenshot 75: Coletar Syslogs - Opções Syslogs 2. Clique na guia Syslog e selecione Accept Syslog messages to EventsManager para ativar a coleta de Syslogs da origem do evento/grupo de origens do evento. 3. No menu suspenso Syslog parsing schema, selecione o método que o Servidor Syslog GFI EventsManager interpreta as Mensagens Syslog nos dispositivo de rede. Selecionar em: Mensagem Syslog Simples Mensagem padrão do Linux Juniper Network Firewall Cisco ASA. 4. Clique em Advanced para usar a página de código Windows personalizada. Especifique o código e clique em OK. Obs. A página de código Windows é usada para codificar caracteres internacionais de cadeias ASCII. Syslog não é compatível com Unicode, GFI EventsManager usa uma página de código para decodificar os eventos. Essa opção só é aplicável se GFI EventsManager estiver instalado em uma máquina com um idioma diferente das máquinas monitoradas. Para obter mais informações, consulte: 5. Selecione Archive events in database para arquivar os eventos coletados sem aplicar regras de processamento. GFI EventsManager 5 Coletar logs de eventos 110

111 6. Selecione Process using these rule sets e selecione os conjuntos de regras para comparar com os eventos coletados. 7. Clique em Apply e em OK. Obs. O servidor Syslog GFI EventsManager é configurado por padrão para escutar as mensagens Syslog na porta 514. Para obter mais informações, consulte Configurar porta do servidor de comunicação Syslog. Importante A exclusão dos logs de eventos não arquivados pode resultar em penalidades de conformidade legal Configurar porta de comunicação do servidor Syslog Screenshot 76: Configurar portas de comunicação do servidor Syslog Para alterar as configurações padrão das portas Syslog: 1. Clique na guia Configuration > Options. 2. Clique com o botão direito em Syslog Server Options e selecione Edit Syslog options GFI EventsManager 5 Coletar logs de eventos 111

112 Screenshot 77: Opções do servidor Syslog 4. Selecione Enable in-built Syslog server on TCP port: e especifique a porta TCP na qual GFI EventsManager receberá/ouvirá as mensagens Syslog. 5. Selecione Enable in-built Syslog server on UDP port: e especifique a porta UDP na qual GFI EventsManager receberá/ouvirá as mensagens Syslog. 6. Clique em Apply e em OK. Obs. Ao configurar as definições da porta do servidor Syslog, certifique-se de que a porta configurada não esteja sendo usada por outros aplicativos instalados. Isso pode afetar a entrega de mensagens Syslog para GFI EventsManager. 5.4 Coletar Mensagens de interceptação SNMP O SNMP é um serviço de registro em log de dados que permite que os dispositivos em rede registrem eventos e informações através de mensagens de dados (tecnicamente conhecido como Interceptação SNMP). A tecnologia de mensagens SNMP é similar em conceito aos Syslogs - onde ao contrário dos ambientes e dispositivos de logs de texto Windows que geram mensagens SNMP, não registra os dados dos eventos gravados nos logs locais. Ao invés disso, envia as informações de eventos na forma de mensagens de dados para Servidor de Interceptação SNMP que gerencia e salva os dados da mensagem SNMP em um arquivo de log local (centralizado). GFI EventsManager 5 Coletar logs de eventos 112

113 Screenshot 78: Mensagens de Interceptação SNMP devem ser direcionadas ao computador executando GFI EventsManager Obs. GFI EventsManager nativamente suporta uma extensa lista de dispositivos SNMP e Bases de Informações Gerenciais (MIB) Para obter uma lista completa dos dispositivos suportados, consulte o seguinte artigo KBASE: snmp_support GFI EventsManager inclui um Servidor de Interceptação SNMP com o qual as Interceptações SNMP são manipuladas. Um buffer integrado permite que o Servidor de Interceptação SNMP para coletar, fazer fila e encaminhar até 30 Interceptações SNMP de cada vez. Logs armazenados em buffer como padrão são transferidos para o mecanismo de processamento de evento assim que o buffer é preenchido ou a cada minuto, o que acontecer primeiro. Importante Antes de iniciar a coleta de mensagens de Interceptações SNMP, cada origem de eventos SNMP (estações de trabalho, servidores e/ou dispositivos de rede) deve ser configurada para enviar suas mensagens de Interceptação SNMP para o nome ou IP do computador onde GFI EventsManager está instalado. Para coletar Interceptações SNMP: 1. Na guia Configuration > Event Sources, clique com o botão direito na origem ou grupo de eventos e selecione Properties. GFI EventsManager 5 Coletar logs de eventos 113

114 Screenshot 79: Coletar Interceptações SNMP 2. Clique na guia SNMP Traps e selecione Accept SNMP Traps messages from this event source para ativar a coleta de Interceptações SNMP. 3. Selecione Decrypt incoming SNMP Traps 3 messages e especifique a chave de segurança na caixa de texto Host key. 4. Selecione Archive events in database para arquivar os eventos coletados sem aplicar regras de processamento. 5. Selecione Process using these rule sets e selecione os conjuntos de regras para comparar com os eventos coletados. 6. Clique em Apply e em OK. Obs. O Servidor de Interceptação SNMP GFI EventsManager por padrão está configurado para ouvir as mensagens de Interceptação SNMP na porta 162. Para mais informações, consulte Configurar servidor de Interceptações SNMP. GFI EventsManager 5 Coletar logs de eventos 114

115 Obs. O Servidor de Interceptação SNMP integrado dá suporte as Interceptações SNMP versão 3 com criptografia. Para mensagens SNMP criptografadas a chave anfitriã de criptografia deve ser fornecida no campo de mensagens descriptografadas recebidas das Interceptações SNMP 3. Importante A exclusão dos logs de eventos não arquivados pode resultar em penalidades de conformidade legal Configurar o servidor de Interceptação SNMP Screenshot 80: Configurar Interceptação SNMP Para alterar as configurações padrão do servidor de Interceptação SNMP: 1. Clique na guia Configuration > Options. 2. Clique com o botão direito em SNMP Traps Options e selecione Edit SNMP Traps options GFI EventsManager 5 Coletar logs de eventos 115

116 Screenshot 81: Opções de Interceptação SNMP 3. Ative o servidor TCP/UDP SNMP necessário. Especifique a porta TCP/UDP na qual GFI EventsManager escutará as mensagens SNMP. 4. Clique Advanced para adicionar, editar ou remover identificadores de objeto de Interceptações SNMP (OIDs). 5. Clique na guia Specific Trap Type para adicionar, editar ou remover tipos de interceptação. 6. Clique em Apply e em OK. Obs. Ao configurar as definições da porta do servidor de Interceptação SNMP, certifique-se de que o TCP ou UDP configurado não estejam sendo usados por outros aplicativos instalados. Isso pode afetar a entrega de mensagens de Interceptação SNMP a GFI EventsManager. 5.5 Coletar logs personalizados GFI EventsManager está configurado para coletar e processar logs de eventos padrão. No entanto, GFI EventsManager também pode ser configurado para gerenciar eventos registrados no aplicativo de terceiros como logs de antivírus, logs de firewall e outros softwares de segurança. Para configurar eventos personalizados: 1. Clique na guia Configuration > Options. GFI EventsManager 5 Coletar logs de eventos 116

117 Screenshot 82: Instalação de log de evento personalizado 2. Em Configurations, clique com o botão direito em Custom Event Logs e selecione Edit custom logs GFI EventsManager 5 Coletar logs de eventos 117

118 Screenshot 83: Caixa de diálogo de logs de eventos personalizados 3. Clique no botão Add e especifique o nome do seu log de evento personalizado. 4. Clique em OK. 5. (Opcional) Clique em Edit para renomear o evento personalizado selecionado, ou clique em Remove para excluir o evento personalizado selecionado. 6. Clique em Apply e em OK. 5.6 Coletar logs de eventosgfi LanGuard GFI EventsManager permite o monitoramento dos eventos gerados por GFI LanGuard. GFI LanGuard é um verificador de vulnerabilidades da rede que audita os pontos fracos da rede que podem ser explorados pelos usuários para fins maliciosos. Durante as auditorias da rede, GFI LanGuard cria eventos no Application Log da máquina onde está instalado. Em cada máquina analisada por GFI LanGuard, uma entrada Log de aplicativo com Event ID: 0 e Source definido como GFI LanGuard são geradas. Estes eventos denotam informações sobre as vulnerabilidades da rede extraídas dos computadores verificados, incluindo: Table 37: Informações coletadas por GFI LanGuard Informações coletadas Nível de ameaça Patches e pacotes de serviço faltando Portas abertas Descrição Coletar informação sobre o nível global de ameaça da rede. Esta classificação é gerada através de um extenso algoritmo após GFI LanGuard fazer auditoria da rede. Descobrir quais máquinas não estão atualizadas e que atualizações precisam ser instaladas para reforçar o nível de segurança. Descobrir todas as portas TCP e/ou UDP abertas indesejadas. GFI EventsManager 5 Coletar logs de eventos 118

119 Informações coletadas Antivírus operacional e status da definição de malware Aplicativos detectados nos destinos verificados Descrição GFI LanGuard verifica se as definições do banco de dados de vírus estão atualizadas. Caso não seja, você receberá um alerta e GFI LanGuard tentará atualizá-lo. GFI LanGuard enumera cada aplicativo instalado no destino da verificação. É possível criar um estoque de aplicativos desejados e/ou indesejados e configurar GFI LanGuard para desinstalar automaticamente os aplicativos classificados como indesejados. Obs. Para obter mais informações sobre GFI LanGuard, consulte Obs. GFI EventsManager processa eventos gerados por GFI LanGuard versão 9.5 ou posterior Como habilitar registro em log de eventos GFI LanGuard? Há dois passos fundamentais para ativar a integração de log de eventos entregfi LanGuard e GFI EventsManager: Etapa 1: Ativar registro em log Etapa 2: Configurar GFI EventsManager para coletar os logs do aplicativo Etapa 1: Ativar registro em loggfi LanGuard Para ativar GFI LanGuard para produzir logs de eventos após a conclusão das auditorias de sistema: 1. Adicione a máquina onde GFI LanGuard está instalado como uma origem de evento. 2. Clique em Start > Run e digite regedit. Pressione Enter. GFI EventsManager 5 Coletar logs de eventos 119

120 Screenshot 84: Ativar registro em log GFI LanGuard no registro 3. Vá para a seguinte chave do registro e edite o valor para ativar o registro em log de eventos: Windows plataformas x86: HKEY_LOCAL_MACHINE\SOFTWARE\GFI\LNSS[n]\Config Definir o valor do REG_DWORD EventLog para 1 Windows plataformas x64: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\GFI\LNSS[n]\Config Definir o valor do REG_DWORD EventLog para 1 Importante [n] é o principal número da versão de GFI LanGuard. Exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\GFI\LNSS9\Config\EventLog = 1(dword) Obs. Para impedir GFI LanGuard de gerar entradas de Log de aplicativos, remover os valores do Registro descritos acima ou alterar o valor do registro para 0. Etapa 2: Configurar o GFI EventsManager para coletar o log de aplicativos GFI LanGuard gera janelas de logs de eventos na categoria de logs de aplicativos. Certifique-se de que a coleta de logs de aplicativos está ativada na origem do evento GFI LanGuard. Para ativar o processamento de eventos GFI LanGuard: 1. Abra o Console de gerenciamento GFI EventsManager. 2. Clique na guia Configuration > Event Sources. GFI EventsManager 5 Coletar logs de eventos 120

121 3. Clique com o botão direito na origem do evento GFI LanGuard e selecione Properties. Screenshot 85: Adicionar logs de aplicativos Windows 4. Na guia Windows Event Log, clique em Add e selecione Windows Logs. Clique em OK. GFI EventsManager 5 Coletar logs de eventos 121

122 Screenshot 86: Adicionar regras GFI LanGuard 5. Selecione Process using these rule sets. Expanda o nó Windows Events > GFI Rules e selecione GFI LanGuard rules. 6. Clique em OK. Obs. GFI EventsManager foi construído com as regras de processamento de eventos GFI LanGuard que são ativados por padrão. Para monitorar eventos gerados por GFI LanGuard, selecione a guia Status > General e localize a seção Critical and High Importance Events. Obs. Para configurar as regras de processamento de eventos GFI LanGuard, clique na guia Configuration > Event Processing Rules. No painel esquerdo, selecione GFI Rules > GFI LanGuardrules. Para obter mais informações, consulte Regras de processamento de eventos. Teste e solução de problemas Para verificar se os eventos GFI LanGuard estão sendo gerados: 1. Abra GFI LanGuard e execute uma verificação de auditoria do localhost. GFI EventsManager 5 Coletar logs de eventos 122

123 2. Quando a análise estiver concluída, abra Event Viewer em Start > Run e digite eventvwr. Pressione Enter. 3. Vá para o Visualizador de Eventos (local) Aplicativo de logs Windows. 4. Uma vez que os eventos armazenados são carregados, procure uma entrada com: Origem: GFI LanGuard ID do evento: 0. Caso o log de eventos não seja criado, normalmente a análise degfi LanGuard já foi iniciada assim que a chave do registro da saída dos logs de eventos tenha sido modificada. Executar novamente a análise. Por outro lado, garante que o valor do registro tenha sido criado no local certo como o local para plataformas x86 é diferente do das plataformas x Coletar eventos GFI EndPointSecurity. GFI EndPointSecurity permite manter a integridade dos dados, impedindo o acesso não autorizado e a transferência de conteúdo de e para os seguintes dispositivos ou portas de conexão: Table 38: GFI EndPointSecurity dispositivos suportados Dispositivo Portas USB Portas Firewire Dispositivos sem fio Unidades de disquete Unidade óptica Unidade óptica de magneto Armazenamento removível Outras unidades, como Zip drives e drives de fita Exemplo Leitores de cartões Flash/Memória e pen drives. Câmeras digitais e leitores de cartões Firewire. Dongles Infravermelho e Bluetooth USB internos e externos, unidades de disquete. CD, DVD, discos Blu-ray. Unidades USB internas e externas. Unidades de disco rígido USB. Unidades USB/Serial/Paralela internas ou externas. Obs. Para obter mais informações sobre GFI EndPointSecurity, consulte Ativar registro em log GFI EndPointSecurity Por padrão, GFI EndPointSecurity gera logs com informações sobre: O serviço GFI EndPointSecurity Dispositivos conectados e desconectados à sua rede Acesso permitido ou negado por GFI EndPointSecurity aos usuários. Para configurar opções de registro em log em GFI EndPointSecurity: 1. Na máquina executando a máquina GFI EndPointSecurity, inicie GFI EndPointSecurityConsole de gerenciamento. 2. Clique na guia Configuration > Protection Policies. 3. No painel da esquerda, selecione a política de proteção e clique em Set Logging Options. 4. Personalize as definições disponíveis no diálogo Opções de logon. GFI EventsManager 5 Coletar logs de eventos 123

124 Obs. Para mais informações sobre como configurar as opções de registro em log GFI EndPointSecurity, consulte a documentação GFI EndPointSecurity disponível em Monitoramento de eventos GFI EndPointSecurity GFI EventsManager possui regras integradas de processamento de eventos GFI EndPointSecurity ativados por padrão. Para monitorar eventos gerados por GFI EndPointSecurity, selecione a guia Status > General e localize a seção Critical and High Importance Events. Para configurar as regras de processamento de eventos GFI EndPointSecurity, clique na guia Configuration > Event Processing Rules. Para obter mais informações, consulte Regras de processamento de eventos. GFI EventsManager 5 Coletar logs de eventos 124

125 6 Navegar Eventos armazenados Este capítulo disponibiliza informações sobre o uso de Navegador de evento. O Navegador de eventos não está equipado com ferramentas de análise de eventos e investigação forense. Ele também permite navegar facilmente em diversos bancos de dados de eventos, bem como exportar eventos para bancos de dados criptografados para conformidade legal. Tópicos deste capítulo: 6.1 Navegar no navegador de eventos Usar navegador de eventos Gerenciar exibições de navegador de eventos Personalizar layout do navegador de eventos Navegar eventos em banco de dados diferentes Navegar no navegador de eventos Screenshot 87: Navegador de eventos O navegador de eventos está dividido nas seguintes seções: GFI EventsManager 6 Navegar Eventos armazenados 125

126 Table 39: Navegar no Navegador de Eventos Seção Exibições Descrição A seção Views inclui um amplo intervalo de exibições pré-definidas. Use esta seção para exibir logs específicos como Windows Logs de eventos e logs de texto, SQL Server auditorias e muito mais. Tarefas comuns Common Tasks permitem personalizar a aparência do navegador de eventos e mudar o banco de dados para exibir logs de eventos exportados e/ou arquivados. Ações Eventos Use a seção Actions para executar funções comuns relacionadas à análise de log de eventos. Isso permite a criação ou edição de exibições personalizadas, exportação de eventos para posterior análise e muito mais. A seção Events é usada para navegar os eventos categorizados sob a exibição selecionada (na seção 1). Controles de navegação Relatórios Use os controles de navegação para navegar os eventos coletados. A opção Report from view permite gerar relatórios gráficos e estatísticos com base na exibição selecionada (na seção 1). Painel de descrição do evento Events Description Pane fornece detalhes do evento selecionado (na seção 4). Use esta seção para analisar os detalhes do evento e saber quando o evento foi gerado, qual foi a causa e por quem ele foi gerado. O cabeçalho de codificação de cores permite identificar rapidamente a gravidade do evento. A seção de descrição permite alternar entre as duas exibições. General - contém informações sobre o evento, no formato de legado que foi padrão nos logs de eventos anteriores ao Microsoft Windows Vista. Fields contém uma lista de informações de evento categorizadas por campos. O link fornecido na descrição do evento oferece acesso a: Uma descrição mais detalhada do evento Informações e links que explicam o que causa esse tipo de evento Dicas e sugestões sobre como resolver possíveis problemas existentes. 6.2 Usar navegador de eventos Análise de evento é uma tarefa exigente; GFI EventsManager está equipado com ferramentas especializadas que simplificam o processo. Use o Navegador de Eventos na análise forense de eventos. Todos os eventos acessíveis através do Navegador de Eventos são organizados por tipo de log na seção Views. A seção seguinte descreve como usar o Navegador de Eventos para gerenciar os seus eventos: Exportar eventos para CSV Criar relatórios nas exibições do navegador de eventos Excluir eventos Buscar eventos armazenados Identificar regras usando a ferramenta de localização Exportar eventos para CSV GFI EventsManager permite exportar os dados de eventos para arquivos CSV diretamente do Navegador de Eventos. Isto é extremamente conveniente, especialmente quando o processamento de dados de eventos é necessário. Isso inclui: GFI EventsManager 6 Navegar Eventos armazenados 126

127 Distribuição de dados de eventos essenciais por A execução de scripts automatizados que converte os dados CSV exportado em dados HTML para carregamento na web/intranet da empresa Gerar relatórios gráficos de gerenciamento e dados estatísticos usando ferramentas nativas como Microsoft Excel Gerar relatórios personalizados usando os aplicativos de terceiros Interface dos dados do evento com os aplicativos e scripts internos. Para exportar eventos para CSV: 1. Em Events Browser > Views, clique com o botão direito em uma exibição e selecione Export events. Screenshot 88: Ferramenta exportar evento 2. Especifique ou navegue até o local onde eventos exportados são salvos. Clique em OK Criar relatórios nas exibições GFI EventsManager permite criar seus próprios relatórios personalizados (com gráficos e estatísticas) baseados num determinado modo de exibição do Navegador de Eventos. Obs. GFI EventsManager envia um conjunto de relatórios predefinidos. Recomendamos que você verifique os relatórios disponíveis antes de criar novos relatórios para evitar duplicidade de relatórios. Para gerar um relatório em uma exibição: 1. Em Events Browser > Views, selecione uma exibição. Screenshot 89: Relatório com o botão exibir 2. No canto superior direito do navegador de eventos, clique em Report from view. 3. Na caixa de diálogo Create Report, configure as opções das guias descritas abaixo: GFI EventsManager 6 Navegar Eventos armazenados 127

128 Table 40: Navegador de eventos: Criar novo relatório Guia Geral Layout Gráfico Descrição Especificar o nome do novo relatório e adicionar as condições. Selecionar as colunas que você deseja que estejam visíveis no relatório. Também é possível personalizar a ordem de aparência. Selecionar Use graphical charts para gerar um relatório com as informações em um gráfico. Os tipos de gráficos disponíveis são: Gráfico de pizza Gráfico de barras Agendar Gráfico em linha. Selecionar Use schedule para ativar o agendamento do relatório. Configurar a data de geração e frequência do novo relatório. Obs. Para obter mais informações, consulte Criar relatórios personalizados Excluir eventos Quando coletar e processar logs de eventos de um grande número de origens de eventos, uma série de logs indesejados é coletada. Para ajudar a remover tais logs de eventos, GFI EventsManager inclui uma opção excluir. Quando os eventos são excluídos, eles: São removidos do navegador de eventos Não são mais incluídos no trabalho de exportação/importação Não são mais incluídos nos relatórios. Após a exclusão de um evento, todos os outros com mesmo tipo, categoria e conteúdo de exibição também são excluídos Importante Antes de excluir os logs de eventos, certifique-se de que você está cumprindo os regulamentos de conformidade legal. Excluir logs de eventos pode acarretar em penalidades legais. Para excluir eventos: 1. Na guia Events Browser > Views, selecione uma exibição. 2. Selecione um evento que você deseja excluir. Em Actions, clique em Mark events as deleted. 3. Clique em Yes para confirmar a exclusão ou clique em No para cancelar. Exibir eventos excluídos. Logs de eventos excluídos são armazenados em um banco de dados separado e podem ser exibidos no navegador de eventos. Para visualizar logs de eventos excluídos: 1. Clique na guia Events Browser. GFI EventsManager 6 Navegar Eventos armazenados 128

129 2. No painel superior direito, clique em View deleted events. O Navegador de Eventos muda automaticamente o banco de dados. Obs. Para remover completamente os logs de eventos degfi EventsManager, execute uma tarefa de Commit Deletion no banco de dados selecionado. Para obter mais informações, consulte Executar exclusões Procurar eventos armazenados Use a ferramenta de localização de evento para pesquisar e localizar eventos específicos usando filtros personalizáveis simples. Para procurar um evento particular: 1. Clique em Events Browser > Actions > Find events. Screenshot 90: Ferramenta localizadora de eventos 2. Configure os parâmetros de pesquisa de eventos com as opções fornecidas na parte superior do painel direito. Para acionar uma pesquisa que diferencia maiúsculas de minúsculas, clique em Options e selecione Match whole word. 3. Clique em Find para iniciar a busca Identificar regras usando a ferramenta de localização de regra GFI EventsManager permite identificar a regra de processamento de eventos que acionou o log do evento selecionado. Identificar a(s) regra(s) usada(s) por um determinado evento: 1. Em Events Browser, clique com o botão direito em um log de evento. 2. Clique em Find Rule. Isto o leva para a guia Configuration > Event Processing Rules. Para obter mais informações, consulte Regras de processamento de eventos. 6.3 Gerenciar exibições de navegador de eventos Os logs de eventos são automaticamente categorizados em pastas diferentes, de acordo com o tipo de log de evento e a origem onde foi gerado. Em GFI EventsManager, essas pastas são conhecidas como Exibições. GFI EventsManager oferece uma lista abrangente de exibições para iniciar a categorização dos logs de eventos após a instalação. Novos modos de exibição podem ser criados e os já existentes podem ser modificados. As seções a seguir fornecem informações sobre como gerenciar as exibições do Navegador de evento: Criar Exibições raiz e Exibições Editar uma exibição GFI EventsManager 6 Navegar Eventos armazenados 129

130 Excluir uma exibição Criar Exibições raiz e Exibições No Navegador de eventos, GFI EventsManager viabiliza a criação de dois tipos diferentes de exibições descritas abaixo: Table 41: Navegador de eventos: Criar nova exibição Exibição Criar exibição raiz... Criar exibição... Descrição Permite a criação de exibições de alto nível que podem conter um número de sub-exibição. Isso cria um novo conjunto de exibições sob os que acompanham o produto (Exemplo: exibição All Events). Criar exibições dentro das exibições raiz. Exibições personalizadas podem ser adicionados às exibições raiz e exibições padrão. Para criar uma exibição raiz/exibição: 1. Em Events Browser > Actions, clique em Create root view /Create view Obs. As duas iniciam o mesmo diálogo Create view e são configuradas da mesma forma. A diferença é o posicionamento da nova exibição personalizada. Screenshot 91: Criador de exibição personalizada 2. Digite um nome e uma descrição para a nova exibição. 3. Clique em Add para adicionar condições de filtragem na exibição. Se não forem especificadas as condições, a exibição mostra informações de cada evento gerado. GFI EventsManager 6 Navegar Eventos armazenados 130

131 Screenshot 92: Editar restrição de exibição 4. Selecione um campo na lista de campos disponíveis e especifique Field operator e Field value. Repita este passo até que todas as condições exigidas sejam especificadas. Clique em OK. Para mais informações, consulte Definir Restrições. Screenshot 93: Personalizar a guia de exibição 4. Clique na guia Customize view para selecionar as colunas exibidas na nova exibição personalizada. Também é possível organizar sua ordem de aparência, utilizando os botões de setas Up e Down. GFI EventsManager 6 Navegar Eventos armazenados 131

132 5. (Opcional) Clique em Apply to subviews para aplicar as colunas selecionadas a todas as subvisualizações da exibição raiz. 6. Clique em Apply e em OK. Screenshot 94: Exemplo: Novas Exibições raiz e Exibições Editar uma exibição 1. Em Events Browser > Views, selecione a exibição a ser editada. 2. Em Actions clique em Edit view 3. Na caixa de diálogo Propriedades de Exibição, adicione, edite ou exclua as condições de acordo com as suas necessidades Excluir uma exibição 1. Em Events Browser > Views, selecione a exibição a ser excluída. 2. Em Actions, clique em Delete view. Alternativamente, clique com botão direito sobre a exibição que deseja excluir e selecione Delete view. 6.4 Personalizar layout do navegador de eventos GFI EventsManager permite que você personalize o navegador de eventos de acordo com as suas preferências. Você pode reposicionar o painel de descrição, bem como modificar as opções de codificação de cor do log de evento, usados para facilitar a identificação dos eventos importantes. As seções a seguir fornecem informações sobre como personalizar o Navegador de Eventos: Personalizar a posição da descrição Opções de evento codificação de cores Personalizar a posição da descrição Para alterar a posição do painel de descrição do evento: 1. Em Events Browser > Common Tasks, clique em Customize browser layout > Description. GFI EventsManager 6 Navegar Eventos armazenados 132

133 Screenshot 95: Personalizar a descrição do navegador 2. Selecione uma das opções descritas abaixo: Table 42: Posições do painel de descrição Opção Descrição à direita Descrição na parte inferior Sem descrição Descrição Coloca o painel de descrição à direita da lista de eventos. Coloca o painel de descrição na parte inferior da lista de eventos. Remove o painel de descrição Opções de evento codificação de cores Usar a ferramenta codificação de cores de eventos-chave matiz de uma cor particular. Dessa forma, os eventos serão facilmente localizados durante a navegação. Screenshot 96: Configuração de codificação por cores Para atribuir um código de cores para um determinado evento: 1. Em Events Browser > Common Tasks selecione Customize browser layout > Colors. 2. Especifique os parâmetros de filtragem de eventos, incluindo a cor a ser aplicada nos acontecimentos peneirados. 3. Clique em Apply Color. Obs. Use a opção Clear color para limpar todas as configurações de cor. Para atribuir diferentes códigos de cores para vários eventos: 1. Em Events Browser > Common Tasks selecione Customize view > Colors > Advanced GFI EventsManager 6 Navegar Eventos armazenados 133

134 Screenshot 97: Filtro de cor avançado 2. Clique no botão Add. Especifique o nome do filtro e configurar os parâmetros do filtro de eventos. 3. Clique em OK. 4. Repita até que todas as condições do filtro de eventos tenham sido configuradas. Clique em OK. 6.5 Navegar eventos em banco de dados diferentes GFI EventsManager permite alternar entre diferentes bancos de dados. Use esse recurso para navegar em eventos que foram exportados ou arquivados para posterior análise ou armazenados em diferentes bancos de dados. Para alternar os bancos de dados: 1. Clique em Events Browser > Common Tasks > Switch database. GFI EventsManager 6 Navegar Eventos armazenados 134

135 Screenshot 98: Alternar diálogo do banco de dados 2. Selecione o banco de dados da lista de bancos de dados e clique OK. Obs. Clique em Add para especificar um caminho e um nome único para criar um novo banco de dados. Clique em Edit para editar a informação específica. GFI EventsManager 6 Navegar Eventos armazenados 135

136 7 Monitoramento de atividade Este capítulo fornece informações sobre como monitorar os processos de coleta de eventos. A guia Status é um painel que mostra o status do GFI EventsManager, bem como informações estatísticas relacionadas aos eventos coletados, processados e arquivados. O monitor de status consiste em três exibições diferentes do painel: Exibição General, exibição Job Activity e exibição Statistics. Tópicos deste capítulo: 7.1 Exibir status geral Exibir atividade de trabalho Exibir estatísticas Exibir status geral Exibição geral do status é usada para: Exibir o status do mecanismo de processamento de eventos GFI EventsManager Acesse informações estatísticas tais como o número de eventos de logon, eventos críticos e o status do serviço de eventos. Para acessar a visão General, vá para a guia Status >General. GFI EventsManager 7 Monitoramento de atividade 136

137 Screenshot 99: GFI EventsManagerStatus: Exibição geral A visão geral é composta das seções descritas a seguir: Table 43: Status do monitor: Seções de Visão Geral Seção Descrição Use esta seção para selecionar o tipo de gráfico dos eventos acima. A seção Top Important Log Events fornece informações estatísticas sobre: Os 10 mais bem-sucedidos eventos de logon fora do horário de trabalho. Os 10 mais importantes eventos de logon durante o horário de trabalho. As 10 principais falhas de logon de eventos. Eventos nesta seção são filtrados por: Machine: Selecione um computador ou digite um nome de computador na lista suspensa Period: O período de tempo que os eventos ocorreram (última hora, últimas 24 horas, nos últimos 7 dias ou uma data específica). GFI EventsManager 7 Monitoramento de atividade 137

138 Seção Descrição A seção Critical and High Importance Events fornece informações gráficas e estatísticas sobre eventos críticos coletados de todas as fontes de dados. Este gráfico mostra as regras de processamento de eventos que coletaram e processaram os eventos em um determinado período. Na lista suspensa, selecione o tipo de informação a ser exibida. Selecionar em: Grouping: Determina como os eventos são agrupados; como Eventos, Computadores, Grupos de computadores, Eventos/Computadores ou Grupos de Eventos/Computadores Event type: Selecione o tipo de dados a serem exibidos (Windows, Logs de texto, Syslog, SNMP, Logs de monitoramento ativo, e auditoria Oracle SQL) Alert type: Especificar a gravidade de alerta, como Todos os alertas, Crítico ou Alto Period: Especifique o período quando os eventos que ocorreram (última hora, últimas 24 horas, nos últimos 7 dias ou uma data específica). OBSERVAÇÃO Esta seção também exibe o resultado da vulnerabilidade monitorada pelo GFI LanGuard. OBSERVAÇÃO Para obter informações detalhadas sobre os diferentes tipos de eventos mostrados na exibição de segurança, baixe o Microsoft Security Monitoring and Attack Detection Planning Guide from O Top Service Status Events exibe os 10 principais serviços que causaram o evento selecionado. Um serviço pode gerar eventos quando: Encerrado com erro Falha ao carregar Falha ao iniciar Tempo limite Interrompido Iniciado. O gráfico mostra a frequência desses eventos classificada por tipo de serviço e/ou através de computador gerador do evento. Selecione uma máquina ou serviço a partir da lista suspensa ou digite os critérios exigidos para personalizar os resultados gráficos. Obs. Para coletar informações de serviço, as origens dos eventos devem ter uma Política de auditoria de eventos do sistema ativada. Para obter mais informações, consulte Ativar manualmente permissões de origem do evento (página 335). GFI EventsManager 7 Monitoramento de atividade 138

139 Seção Descrição A seção Top Network Activity Event exibe detalhes das 10 principais atividades da rede (entrada e saída). Atividade de rede consiste em todos os tipos de tráfego que são gerados por vários protocolos, incluindo SMTP, HTTP, FTP e o tráfego de MSN. As atividades de rede disponíveis podem ser filtradas por: Aplicativos Endereços de origem Endereços de destino Computadores Portas Usuários. Selecione os parâmetros na lista suspensa e digite os valores para filtrar o tipo de gráfico exibido. Obs. A atividade de rede que consta na tabela só se aplica a computadores que executem Microsoft Windows Vista ou posterior. Obs. Para coletar atividades da rede, as origens dos eventos devem ter ativada a auditoria de Objeto e rastreamento de Processos. Para obter mais informações, consulte Enabling event source permissions manually. A seção Monitoring Statistics exibe informações de status sobre o Monitoramento Ativo que você está executando nas origens de eventos. As informações exibidas nesta seção são atualizadas a cada 20 segundos e você fornece o(s): Nome da verificação Contagem de Bem-sucedidas/Mal-sucedidas Número de eventos gerados Data e hora da verificação Tipo de verificação. Selecione uma linha e clique em View Events para exibir os logs relativos que foram gerados quando a verificação foi falha/bem-sucedida. Clique no ícone Arrange Window para ajustar automaticamente todos os gráficos no console de gerenciamento. O GFI EventsManager Service Status é usado para exibir: O status operacional do mecanismo de processamento de serviço/evento GFI EventsManager O status operacional do servidor Syslog O status operacional do servidor de Interceptações SNMP O status operacional do servidor de banco de dados usado pelo GFI EventsManager. Obs. Clique no nome de um serviço para editar as configurações do serviço. Obs. Clique em Database server is running para mudar de banco de dados. Para obter mais informações, consulte Alternar entre banco de dados de armazenamento de arquivos. GFI EventsManager 7 Monitoramento de atividade 139

140 Seção Descrição O Events Count By Database Fill-Up exibe: As barras horizontais representam o número de eventos armazenados no back-end do banco de dados, classificados por tipo de logs de eventos A data e a hora do último backup A data e hora do próximo backup agendado. A barra de cor verde é alterada para vermelho quando o banco de dados está preenchido com eventos. Obs. Clique duas vezes no gráfico para abrir o gráfico em uma nova janela. Quando um gráfico 3D é selecionado, a nova janela permite fazer a rotação, ampliar ou redimensionar o gráfico. Utilize o botão Export to image para exportar o gráfico. 7.2 Exibir atividade de trabalho Esta exibição mostra sua atual coleção de eventos e atividade de processamento. Isso inclui trabalhos de coleta de eventos ativos, bem como histórico de mensagens do servidor em um mecanismo por base de máquina. Para acessar a exibição Job Activity, vá para a guia Status > Job Activity. GFI EventsManager 7 Monitoramento de atividade 140

141 Screenshot 100: Status GFI EventsManager: Exibir atividade de trabalho As informações fornecidas nesta exibição estão divididas nas seguintes seções: Table 44: Status do monitor: Exibir atividade de trabalho Seção Descrição A seção Active Jobs fornece uma lista de todos os trabalhos de coleta de eventos no decurso de cada origem/máquina de eventos. As informações fornecidas incluem o progresso do trabalho, bem como a origem do log a partir do qual estão sendo coletados os eventos. A seção Operational History mostra uma trilha de auditoria das operações de coleta de eventos executadas por GFI EventsManager. As informações fornecidas incluem erros e mensagens de informações geradas durante o processo de coleta de eventos, bem como o nome do arquivo de log que estava sendo processado na origem do evento. OBSERVAÇÃO Logs de histórico operacional podem ser exportados usando o botão Exportar dados. Para obter mais informações, consulte Gerar relatórios. A seção Queued Jobs fornece uma lista de todos os trabalhos de coleta de eventos pendentes em um mecanismo por base de máquina. A informação fornecida inclui a origem do evento a partir do qual os eventos serão coletados, bem como o tempo de espera e o tipo de log de coleta. A seção Server Message History exibe uma lista de todas as mensagens do servidor (Interceptação SNMP e Syslog), que foram recebidos pelogfi EventsManager. As informações fornecidas incluem o número total de mensagens enviadas por cada origem de evento, contagem de mensagens e a data/hora em que a última mensagem foi recebida. GFI EventsManager 7 Monitoramento de atividade 141

142 Seção Descrição Clique em Export data para gerar relatórios de Histórico Operacional. 7.3 Exibir estatísticas A exibição Statitstics é usada para exibir as tendências e estatísticas da atividade de eventos diários de um determinado computador ou toda a rede. Para acessar a exibição Statistics, vá para a guia Status Statistics. Screenshot 101: Status GFI EventsManager: Exibir estatísticas As informações fornecidas nesta exibição estão divididas nas seguintes seções: Table 45: Status do monitor: Exibir estatísticas Seção Descrição Utilize este menu suspenso para selecionar a informações a ser exibidas. Selecione All sources ou selecione origens específicas para exibir suas informações adequadamente. Today s Events Counts representam graficamente a tendência de coleta diária de eventos em um mecanismo por meio da base de máquina, bem como em uma base de rede. Um esquema de cores é usado para diferençar entrewindows, os eventos de Logs de texto, Logs de monitoramento ativo, syslog e Interceptação SNMP. Events Count By Log Type representa o número de Windows, Logs de texto, syslog e eventos de Interceptação SNMP coletados por GFI EventsManager em uma determinada máquina ou rede. GFI EventsManager 7 Monitoramento de atividade 142

143 Seção Descrição A seção Activity Overview fornece informações sobre: O número total de eventos Windows, Logs de texto, Logs de monitoramento ativo, Syslog e Interceptações SNMP processados em uma máquina por base de máquina. A data/hora da última coleta de eventos realizada em cada máquina. Clique em Export data para gerar relatórios da Exibição geral da atividade. GFI EventsManager 7 Monitoramento de atividade 143

144 8 Relatórios Este capítulo disponibiliza informações sobre o mecanismo de relatórios completos do GFI EventsManager. Ele vem com diversos relatórios técnicos e de nível executivo mostrando informações gráficas e estatísticas de software e hardware gerenciados pelo GFI EventsManager. Tópicos deste capítulo: 8.1 Navegar na guia Relatórios Relatórios disponíveis Gerenciar relatórios Criar um relatório raiz Criar relatórios personalizados Gerar relatórios Analisar relatórios Definir cabeçalhos de colunas Personalizar relatórios HTML 173 GFI EventsManager 8 Relatórios 144

145 8.1 Navegar na guia Relatórios Screenshot 102: Navegar no UI Relatórios A guia Relatórios consiste nas seções abaixo: Table 46: Navegar na guia Relatórios Seção Descrição A seção Reports contém todos os relatórios predefinidos enviados com o produto. Use esta seção para organizar e gerar vários relatórios do tipo técnico ao executivo. Encontre rapidamente relatórios com as opções de filtros disponíveis. Com as opções Filter Reports é possível pesquisar relatórios que contenham gráficos e tenham sido gerados com um agendamento. A seção Common Tasks permite iniciar rapidamente as operações normais como criar exibições de pasta e de relatórios para organizar relatórios e gerar relatórios. Em Actions, crie, edite ou exclua os relatórios desejados. Use a seção Generated Reports para exibir o histórico de um relatório selecionado (na Seção 1). Isso permite gerar novamente e exportar o relatório em HTML e/ou PDF. A seção Preview Report oferece a visualização de um determinado relatório gerado. Use os botões de controle para Imprimir, Abrir, Exportar ou Excluir relatórios diretamente nesta seção. GFI EventsManager 8 Relatórios 145

146 8.2 Relatórios disponíveis A lista extensa de relatórios GFI EventsManager contém relatórios para diversas necessidades criados para facilitar os relatórios tanto quanto possível. As seguintes categorias de relatórios estão incluídas em GFI EventsManager por padrão. GFI EventsManager permite que você use os relatórios existentes como modelos para criar seus próprios. Cada categoria na tabela abaixo contém uma série de relatórios que estão prontos para ser usados ou personalizados para atender às suas necessidades: Table 47: Relatórios disponíveis Categoria Account Usage Gerenciamento de contas Alterações de política Acesso ao Objeto Gerenciamento de aplicativo Servidor de Impressão Sistema de log de evento Windows Tendência de eventos Todas as críticas Diversos, personalizáveis Conformidade PCI DSS/ Código de exigências de conexão/conformidade SOX/ Conformidade com a Conformidade HIPAA /Conformidade GLBA Requisitos Gerais de Segurança Relatórios LOGbinder SP Descrição Usar os relatórios dessa categoria para identificar problemas de logon do usuário. Os detalhes do evento mostrados nesses relatórios incluem logons de usuários bem sucedidos/ mal sucedidos e contas de usuários bloqueadas. Usar os relatórios nesta categoria para gerar uma visão geral gráfica de eventos importantes que ocorreram em toda a sua rede. Os detalhes do evento mostrados nesses relatórios incluem mudanças nas contas de usuário e computador, bem como mudanças nas políticas de grupo de segurança. Usar os relatórios nesta categoria para identificar as mudanças políticas afetadas na sua rede. Usar os relatórios dessa categoria para identificar os problemas de acesso aos objetos. Os detalhes do evento mostrados nesses relatórios incluem o acesso aos objetos bemsucedidos/mal-sucedidos bem como os objetos que tenham sido excluídos. Usar os relatórios nessa categoria para identificar os aplicativos defeituosas e instalação de aplicativos e problemas de remoção. Os detalhes do evento exibidos nestes relatórios incluem aplicativos que foram instalados ou removidos, bem como os aplicativos que estão congelando e suspensos. Usar os relatórios dessa categoria para exibir detalhes relacionados aos eventos de impressão. As informações dos relatórios incluem os documentos que tenham sido impresso, os usuários que ativaram o evento de impressão e a data/hora quando a operação de impressão ocorreu. Usar os relatórios dessa categoria para identificar falhas de auditoria e problemas de log de eventos importantes Windows. Detalhes fornecidos nesses relatórios incluem a inicialização e a interrupção dos serviços de log de eventos, operações de logs claras, bem como erros gerados durante o registro em log de eventos. Usar os relatórios nesta categoria para exibir informações estatísticas relacionadas à geração do evento. Gráficos fornecidas enumeram os 10 computadores e usuários com mais eventos. Outros relatórios fornecem contas de eventos com base em toda a rede, bem como em uma base computador-a-computador. Relatórios nesta categoria podem ser gerados para cada tempo principal por hora, dia, semana ou mês. Usar os relatórios desta categoria para exibir informações relacionadas eventos Windows de auditoria Syslog, Eventos personalizados e Interceptações SNMP críticas e SQL Server. Os gráficos fornecidos enumeram os 10 eventos mais críticos. Use os relatórios desta categoria para gerar relatórios que ofereçam ampla personalização. Eles podem ser usados para gerar relatórios baseados em qualquer log de eventos Windows, usando os modos filtragem e agrupamento que não sejam cobertos pelos outros relatórios padrão. Use os relatórios sobre essas categorias para gerar relatórios de conformidade legal. Usar os relatórios nesta categoria para gerar relatórios exigidos por alguns GCSx Código de conexão de memos de conexão. Usar os relatórios desta categoria para gerar relatórios relacionados aos eventos de auditoria Microsoft SharePoint. GFI EventsManager 8 Relatórios 146

147 8.3 Gerenciar relatórios Os relatórios são organizadas em uma estrutura de árvore, para fácil localização e geração do relatório necessário. O GFI EventsManager inclui várias opções que permitem que você, facilmente, mantenha a estrutura de relatórios como o aumento do número de relatórios por tempo. Esta seção contém informações sobre: Criar uma pasta raiz Criar uma pasta Criar um relatório raiz Criar relatórios personalizados Definir cabeçalhos de colunas Criar uma pasta raiz Pastas raiz são pastas de nível superior que podem conter uma ou mais subpastas ou relatórios. Para criar uma pasta raiz: 1. Na guia Reporting > Common Tasks, clique em Create Root Folder. GFI EventsManager 8 Relatórios 147

148 Screenshot 103: Diálogo Criar pasta de relatório 2. Na guia General, especifique um nome e uma descrição (opcional) para a nova pasta. 3. Clique na guia Schedule e selecione Use schedule para configurar uma agendamento para os relatórios incluídos nessa nova pasta. Configurar as opções descritas abaixo: Table 48: Criar uma pasta de relatórios: Opções de agendamento Opção Herdar do Principal Usar o agendamento Hora da geração Padrão recorrente Enviar relatório por para Descrição Selecionar quando a nova pasta faz parte de uma pasta raiz que já tenha o agendamento configurado. Selecione Use Schedule para ativar o agendamento dos relatórios contidos na nova pasta. Especificar a hora quando os relatórios são gerados. Especificar a frequência da geração de relatórios. Clique em Daily, Weekly ou Monthly e configure os parâmetros correspondentes. Selecionar essa opção para ativar as notificações de . Clique em Configurar para selecionar os usuários no diálogo Selecionar usuários e grupos. OBSERVAÇÃO Configure as opções de alerta antes de usar este recurso. GFI EventsManager 8 Relatórios 148

149 4. Clique em Apply e em OK Criar uma pasta GFI EventsManager permite criar o número necessário de pastas recorrentes. Para criar uma pasta: 1. Na guia Reporting > Reports, clique com o botão direito em uma raiz ou subpasta e selecione Create Folders. 2. Na guia General, especifique o nome e a descrição (opcional) para o novo grupo. 3. Clique na guia Schedule e configure as configurações de agendamento. 4. Clique em Apply e em OK. 8.4 Criar um relatório raiz Relatórios raiz se comportam da mesma forma que as pastas raiz. Estes são criados no nível superior e podem conter um número de sub-relatórios. Por exemplo, é possível criar um relatório raiz gerado mensalmente e que contenha informações sobre logons bem sucedidos, logons com falha e bloqueios de contas. Os sub-relatórios contêm apenas informações sobre partes específicas do relatório raiz, tais como falha de logons geradas diariamente. Para criar um relatório raiz: 1. Na guia Reporting > Common Tasks, clique em Create Root Report. Screenshot 104: Criar um relatório raiz GFI EventsManager 8 Relatórios 149

150 2. Na guia General, especifique um nome e descrição (opcional) para o novo relatório raiz. 3. Clique em Add para selecionar um campo que definirá as condições da consulta. No campo selecionado, especifique o Field Operator e o Field Value. Clique em OK. Obs. Repetir este etapa até que todos os campos estejam selecionados. Para obter mais informações, consulte Criar restrições de consulta. Screenshot 105: Configurar novas opções de layout de relatório raiz 4. Clique na guia Layout e adicione cabeçalhos nas colunas que devem estar visíveis no relatório. Se existir um modelo de um relatório salvo, clique em Open location para navegar e carregar o seu modelo. Para obter mais informações, consulte Definir cabeçalhos de colunas. GFI EventsManager 8 Relatórios 150

151 Screenshot 106: Inserir um gráfico em um novo relatório raiz 5. (Opcional) Clique na guia Chart e selecione Use graphical charts para incluir gráficos no seu relatório. 6. No menu suspenso Place chart at, especifique a localização para o gráfico. Selecionar em: Início do relatório Fim do relatório. 7. Em Properties > X axis e Y axis, configure as propriedades dos eixos X e Y. Por exemplo, selecione os dados representados no gráfico. 8. Selecione Top 10 to exibir somente os 10 registros principais. GFI EventsManager 8 Relatórios 151

152 Screenshot 107: Especificar agendamento para a geração do relatório. 9. (Opcional) Clique na guia Schedule e configure as configurações da agenda. 10. Selecione Send report by to e clique em Configure para selecionar os destinatários deste relatório. GFI EventsManager 8 Relatórios 152

153 Screenshot 108: Criar novas Opções de relatório 11.Clique na guia Options e especifique o caminho para onde o relatório é gerado na área Target path. 12. No menu suspenso Range pattern, selecione as opções descritas na tabela abaixo: Table 49: Intervalo das opções padrão Padrão Todas Relativo Descrição Selecione All Time para gerar o relatório de acordo com as informações de todos os logs afins. Gerar o relatório de acordo com os eventos de: Hoje Ontem Últimos 7 dias Este mês Dia Mês Intervalo de datas Último mês. Especificar um dia para basear o seu relatório. Especificar um mês e ano para basear o seu relatório. Especifique datas From e To para basear as informações do relatório de eventos coletados dentro de um determinado período de tempo. GFI EventsManager 8 Relatórios 153

154 Screenshot 109: Configuração de limite de registro 13. Clique na guia Other para configurar os limites de registro do relatório. Opções são descritas na tabela abaixo: Table 50: Configurações de registro de relatório Opção Dividir relatório com mais de {X} registros Número máximo de registros por página Limitar registros a Descrição Selecionar a caixa de seleção para ativar limite de registro por relatório. O GFI EventsManager cria automaticamente um novo relatório para cada número de registros que você especificar. Por exemplo, se você digitar e o relatório contém registros, GFI EventsManager gera três relatórios. Especificar o número de arquivos que são exibidos em uma única página. Especificar o número máximo de registros incluídos no relatório. Registros que ultrapassem o limite são ignorados. 14. Clique em Apply e em OK. 8.5 Criar relatórios personalizados Criar relatórios personalizados requer planejamento durante a configuração das condições. As condições são definidas para determinar o que deve ser filtrado e apresentado no relatório. A falha na configuração das condições geram ruído indesejado e informações imprecisas. Para criar um novo relatório personalizado: GFI EventsManager 8 Relatórios 154

155 1. Na guia Reporting > Reports, clique com o botão direito em uma pasta raiz/pasta/relatório raiz e selecione Create Report. Screenshot 110: Criar um relatório raiz 2. Na guia General, especifique um nome e descrição (opcional) para o novo relatório raiz. 3. Clique em Add para selecionar um campo que definirá as condições da consulta. No campo selecionado, especifique o Field Operator e o Field Value. Clique em OK. Obs. Repetir este etapa até que todos os campos estejam selecionados. Para obter mais informações, consulte Criar restrições de consulta. GFI EventsManager 8 Relatórios 155

156 Screenshot 111: Configurar novas opções de layout de relatório raiz 4. Clique na guia Layout e adicione cabeçalhos nas colunas que devem estar visíveis no relatório. Se existir um modelo de um relatório salvo, clique em Open location para navegar e carregar o seu modelo. Para obter mais informações, consulte Definir cabeçalhos de colunas. GFI EventsManager 8 Relatórios 156

157 Screenshot 112: Inserir um gráfico em um novo relatório raiz 5. (Opcional) Clique na guia Chart e selecione Use graphical charts para incluir gráficos no seu relatório. 6. No menu suspenso Place chart at, especifique a localização para o gráfico. Selecionar em: Início do relatório Fim do relatório. 7. Em Properties > X axis e Y axis, configure as propriedades dos eixos X e Y. Por exemplo, selecione os dados representados no gráfico. 8. Selecione Top 10 to exibir somente os 10 registros principais. GFI EventsManager 8 Relatórios 157

158 Screenshot 113: Especificar agendamento para a geração do relatório. 9. (Opcional) Clique na guia Schedule e configure as configurações da agenda. 10. Selecione Send report by to e clique em Configure para selecionar os destinatários deste relatório. GFI EventsManager 8 Relatórios 158

159 Screenshot 114: Criar novas Opções de relatório 11.Clique na guia Options e especifique o caminho para onde o relatório é gerado na área Target path. 12. No menu suspenso Range pattern, selecione as opções descritas na tabela abaixo: Table 51: Intervalo das opções padrão Padrão Todas Relativo Descrição Selecione All Time para gerar o relatório de acordo com as informações de todos os logs afins. Gerar o relatório de acordo com os eventos de: Hoje Ontem Últimos 7 dias Este mês Dia Mês Intervalo de datas Último mês. Especificar um dia para basear o seu relatório. Especificar um mês e ano para basear o seu relatório. Especifique datas From e To para basear as informações do relatório de eventos coletados dentro de um determinado período de tempo. GFI EventsManager 8 Relatórios 159

160 Screenshot 115: Configuração de limite de registro 13. Clique na guia Other para configurar os limites de registro do relatório. Opções são descritas na tabela abaixo: Table 52: Configurações de registro de relatório Opção Dividir relatório com mais de {X} registros Número máximo de registros por página Limitar registros a Descrição Selecionar a caixa de seleção para ativar limite de registro por relatório. O GFI EventsManager cria automaticamente um novo relatório para cada número de registros que você especificar. Por exemplo, se você digitar e o relatório contém registros, GFI EventsManager gera três relatórios. Especificar o número de arquivos que são exibidos em uma única página. Especificar o número máximo de registros incluídos no relatório. Registros que ultrapassem o limite são ignorados. 14. Clique em Apply e em OK. GFI EventsManager 8 Relatórios 160

161 8.6 Gerar relatórios GFI EventsManager permite gerar diversos relatórios que contenham informações sobre configurações, atividade da rede e atividade dos produtos GFI EventsManager. Esta seção contém informações sobre: Gerar um relatório Gerar relatório resumido diário Gerar relatórios de configurações Gerar relatórios de regras Gerar relatórios de histórico operacional Gerar relatórios de visão geral de atividade Gerar um relatório Para gerar um relatório: 1. Na guia Reporting > Reports, clique com o botão direito em um relatório e selecione Generate Report. Screenshot 116: Gerar um relatório 2. Aguarde o relatório sendo gerado e visualize os resultados na seção Preview Report. GFI EventsManager 8 Relatórios 161

162 Obs. Os relatórios podem ser gerados com a seleção do relatório na lista e clicando em Generate Report no topo da página de relatórios. Screenshot 117: Exemplo de relatório Gerar relatórios de resumo diário GFI EventsManager pode ser configurado para enviar um relatório resumido por diariamente. O relatório contém um resumo das informações dos eventos mais importantes coletados e processados nas últimas 24 horas. Configurar um usuário para receber s de resumo diário: 1. Na guia Configuration > Options. Expanda Users and Groups e selecione Properties. 2. Clique com o botão direito em um usuário no painel direito e selecione Properties. 3. Na guia General, certifique-se de que um endereço de válido foi configurado. 4. Na guia Alerts, selecione Send daily report via . GFI EventsManager 8 Relatórios 162

163 Screenshot 118: Configurações de de resumo diário 5. Configure o momento em que o resumo é enviado diariamente por Clique em Apply e em OK. GFI EventsManager 8 Relatórios 163

164 Screenshot 119: de resumo diário Table 53: Descrição do de resumo diário Seção Descrição A data inicial e final do relatório. O relatório mostra os eventos mais importantes coletados pelo GFI EventsManager entre a data inicial e final. O número de eventos críticos e altos coletados nas últimas 24 horas. Esse gráfico oferece informações estatísticas sobre eventos críticos coletados de todas as origens de eventos nas últimas 24 horas Gerar relatórios de configurações GFI EventsManager permite gerar relatórios sobre as configurações de grupos de origem do evento. As informações fornecidas estão descritos abaixo: Table 54: Informações do cabeçalho do relatório de configurações Título Nome do grupo Nome do computador Verificar intervalos Descrição O nome do grupo do relatório. Uma lista de todas as origens de eventos do grupo selecionado. Intervalo de verificação de todas as origens de eventos do grupo selecionado; mostrado em Days: Hours: Minutes: Seconds. GFI EventsManager 8 Relatórios 164

165 Título Pasta de regras Descrição Fornece uma lista de categorias de regras aplicadas ao grupo selecionado, como: Redução de ruídos Segurança Integridade do sistema Conjuntos de regras Requisitos do PCI DSS. Uma lista granular de regras aplicadas ao grupo selecionado. Para gerar relatórios de configuração: 1. Clique na guia Configuration > Event Sources. Screenshot 120: Gerar relatórios de configuração 2. Clique com o botão direito em um grupo de origem do evento e clique em Report on settings. GFI EventsManager 8 Relatórios 165

166 Screenshot 121: Exemplo de relatório de configurações Gerar relatórios de regras Relatórios de regras fornecem uma visão detalhada das regras aplicadas nas origens de eventos. As informações fornecidas nos relatórios de regras são descritas abaixo: Table 55: Informação do cabeçalho do relatório de regras Título Nome da regra Importância Descrição Nome da regra aplicada. O nível de importância de classificação do log de evento coletado, como: Crítica Alta Média Baixa Arquivo de log monitorado Evento ruído. Fornece o nome da categoria do log de evento coletado, como: Segurança Integridade do Sistema Aplicativo Condições Sistema. A(s) condição(ões) de processamento(s) da regra selecionada. Isso inclui: IDs do evento Origem Categoria Usuário Tipo Avançado. GFI EventsManager 8 Relatórios 166

167 Título Ações Descrição Descreve as ações executadas quando o evento é processado, incluindo: Configurações de arquivamento Configurações de Configurações de limite. Para gerar um relatório de regras: 1. Clique na guia Configuration > Event Sources. Screenshot 122: Gerar relatórios de configuração 2. Clique com o botão direito em uma origem do evento e selecione Report on rules Gerar relatórios de histórico operacional Histórico operacional degfi EventsManager' podem ser exportados para análise posterior e fins de arquivamento. Mensagens de histórico operacional fornece aos administradores as informações descritas abaixo: Table 56: Descrição do relatório do Histórico operacional Data/hora Máquina A data e a hora em que a mensagem foi gerada. Origem do evento que gerou a mensagem. GFI EventsManager 8 Relatórios 167

168 Origem Fonte da operação que causa a geração da mensagem. As opções incluem: EvtCollector mensagem gerada durante a coleta de logs de evento SNMP TrapsServer mensagem gerada durante a coleta de mensagens de Interceptações SNMP ID de trabalho Arquivo/nome do log Mensagem EnterpriseMaintenance mensagem gerada durante os trabalhos de manutenção do banco de dados. Uma ID interna associadas ao trabalho. Tipo de logs coletados. As opções incluem: Aplicativo Segurança Logs gerados por outros aplicativos como GFI LanGuard e GFI EndPointSecurity. A mensagem que foi gerada durante a execução do trabalho. Para gerar relatórios de Histórico Operacional: 1. Clique na guia Status > Job Activity. Screenshot 123: Relatório de histórico operacional 2. Clique em Export data. Screenshot 124: O diálogo de histórico operacional 3. Especifique as opções descritas abaixo e clique em Export. Table 57: Opções de exportação de histórico operacional Opção Formato Mensagens atuais Erros em uma data específica Salvar o arquivo Descrição Selecionar o formato de saída do relatório. Os formatos disponíveis são HTML e CVS. Exportar todas as mensagens exibidas no guia Atividade de trabalho. Especificar uma data de exportação e todas as mensagens geradas nessa data. Marcar a caixa de seleção para especificar o local de saída. Se não estiver selecionado, os relatórios são salvos no local padrão, dentro do diretório GFI EventsManager. GFI EventsManager 8 Relatórios 168

169 Screenshot 125: Exemplo de relatório de histórico operacional Gerar relatórios de visão geral da atividade GFI EventsManager permite exportar os dados da Exibição geral da atividade. Relatórios gerais de atividades fornecem as informações descritas a seguir: Table 58: Cabeçalhos do relatório de visão geral da atividade Título Data/hora Máquina Origem Descrição A data e a hora em que a mensagem foi gerada. Origem do evento que gerou a mensagem. Fonte da operação que causa a geração da mensagem. As opções incluem: EvtCollector mensagem gerada durante a coleta de logs de evento SNMP Traps Server mensagem gerada durante a coleta SNMP Traps Messages ID de trabalho Arquivo/nome do log EnterpriseMaintenance mensagem gerada durante os trabalhos de manutenção do banco de dados. Uma ID interna associadas ao trabalho. Tipo de logs coletados. As opções incluem: Aplicativo Segurança Mensagem Relatórios gerados por outros aplicativos como GFI LanGuard e GFI EndPointSecurity A mensagem que foi gerada durante a execução do trabalho. Para exportar Exibição geral da atividade: 1. Clique em Status > Statistics. Screenshot 126: Exibição geral da atividade: Botão de exportação 2. Clique em Export data. GFI EventsManager 8 Relatórios 169

170 Screenshot 127: Diálogo de visão geral da atividade 3. Configure as opções descritas e clique em Export. Table 59: Opções exportar histórico operacional Opção Formato Todas A partir de uma data específica Apenas computadores com erros/não verificados Incluir mensagens de erro Salvar em arquivo Descrição O formato de saída do relatório. Os formatos disponíveis são HTML e CVS. Exportar todas as mensagens exibidas na Exibição geral da atividade. Especificar uma data para exportar todas as mensagens geradas nessa data. Exportar somente dados de computadores com problemas de verificação. Selecionar esta opção para incluir a mensagem de erro gerada. Exibir a exportação padrão local. Screenshot 128: Exemplo de relatório de visão geral de atividade GFI EventsManager 8 Relatórios 170

171 8.7 Analisar relatórios Screenshot 129: Analisar relatórios O sistema de relatórios do GFI EventsManager vem com ferramentas de análise e relatórios de exportação. Quando um relatório é gerado, selecione-o na lista de relatórios gerados e use os controles comuns que ajudam você na execução de comandos de análise de relatório comuns. As ferramentas disponíveis são descritas abaixo: Table 60: Analisar relatórios: Ferramentas Opção Imprimir Abrir Abrir o local do arquivo Exportar para PDF Excluir Descrição Use a opção Print para exibir uma visualização da impressão, configurar as opções de impressão e imprimir o relatório selecionado. Utilize o botão Open para abrir o relatório selecionado em um navegador. GFI EventsManager use o navegador padrão para exibir relatórios em HTML. Open File Location permite acesso à pasta que contém o relatório para fins de backup ou arquivamento. Use Export to PDF para exportar o relatório selecionado para Portable Document Format. Clique em Delete para remover um relatório gerado da lista. GFI EventsManager 8 Relatórios 171

172 8.8 Definir cabeçalhos de colunas GFI EventsManager permite criar colunas personalizada no diálogo Add Custom Columns. Este diálogo permite especificar as condições, criar uma nova e adicionar as mesmas ao(s) seu(s) relatório (s). Também baseado nas condições, esto diálogo permite relatórios personalizados existentes e novos. Para adicionar as colunas personalizadas: 1. Na guia Reporting > Actions, clique em Create Report. 2. Clique na guia Layout > Add Existing Column para adicionar as colunas predefinidas. 3. Clique em Add Custom Column para abrir o diálogo Add Custom Column. Screenshot 130: Definir as condições da coluna personalizada 4. Na caixa de diálogo Add Custom Column, clique em Add. 5. Na caixa de diálogo Add Definition..., configure as opções descritas abaixo: Table 61: Adicionar opções e definição de coluna Opção Nome do campo Descrição Especificar um nome para o novo campo. GFI EventsManager 8 Relatórios 172

173 Opção Preço fixo Coluna especial Editar as restrições Descrição Selecione o Fixed Value se o valor do campo novo for corrigido. Especifique um valor como nome do campo. Por exemplo, para verificar se os eventos sempre ocorrem após as 17h00, especifique o valor de 17 como fixo em vez de definir um horário e atribuir um valor de 17. Colunas especiais são colunas predefinidas que podem ser utilizadas na sua condição. Esta seção permite adicionar, editar ou excluir as restrições do campo. 6. Clique em Apply e em OK Relatórios de eventos de banco de dados diferentes Para fins de relatório GFI EventsManager permite alternar entre diferentes bancos de dados. Use esse recurso para informar sobre eventos que foram arquivados/exportados para análise posterior ou armazenados em banco de dados diferentes. Para alternar banco de dados: 1. Na guia Reports > Common Tasks, clique em Switch database. Screenshot 131: Alternar diálogo do banco de dados 2. Selecione o banco de dados a partir da lista de bancos de dados e clique em OK. Clique em Add para especificar um novo nome de banco de dados e o caminho relevante. Clique em Edit para editar a informação específica. 8.9 Personalizar relatórios HTML Modelos de relatórios HTML são personalizáveis, permitindo ainda mais ajustes no GFI EventsManager para atender às suas necessidades diárias. Para editar os modelos disponíveis, é necessário conhecimento de CSS e HTML. GFI EventsManager 8 Relatórios 173

174 Importante Antes de editar o modelo de relatório padrão, salve uma cópia do original, de modo que você possa facilmente voltar ao padrão para solucionar problemas. Para editar o layout de relatórios em HTML: 1. Vá para o diretório de instalação GFI EventsManager: %Program Files\GFI\EventsManager2012\Data\Templates\DefaultReportLayout Screenshot 132: Editar modelos de relatório HTML 2. Na pasta DefaultReportLayout, edite os modelos descritos abaixo: Table 62: Modelos HTML padrão Modelo template_ group_new.html template_new.html Descrição Este modelo é usado para gerar relatórios que contenham dados sobre grupos de fontes. É possível agrupar por usuários, fontes de dados de eventos e muito mais. Use este modelo para gerar relatórios estatísticos e gráficos que não organizam os dados dentro dos grupos. GFI EventsManager 8 Relatórios 174

175 3. Em um editor de HTML, edite os seguintes elementos de modelos: Table 63: Modelo HTML: Seções editáveis Seção Logotipo do relatório Rótulos e texto Marcadores de posição Descrição Substituir o logotipo GFI EventsManager por um logotipo existente de sua escolha. Adicionar ou remover completamente mais logotipos de relatórios. Renomear e reposicionar rótulos de acordo com suas necessidades. Embora você possa mover os marcadores de posição do relatório, com a renomeação o mecanismo de relatórios GFI EventsManagernão devolvem os dados respectivos. Os marcadores de posição disponíveis são: Table 64: Marcadores de posição do modelo de relatório HTML Marcadores de posição Descrição {title} Título do relatório. {subtitle} Subtítulo do relatório. {description} Descrição do relatório. {creator} Usuário que gerou o relatório. {currentdate} Data quando o relatório é gerado. {sortby} Classificação de campo. {daterange} Dados dos relatórios são coletados durante o período de tempo especificado. {fullfilter} Lista de conjunto de restrições de relatórios. {startgroupheaderblock} Início da seção de cabeçalho do bloco de repetição. {headerlabel} Nome do cabeçalho do grupo. {headervalue} Valor do cabeçalho do grupo. {endgroupheaderblock} Fim da seção de cabeçalho do bloco de repetição. {startrepeatblock} Início da seção Corpo do bloco de repetição. {tableheadercells} A seção do cabeçalho da tabela de dados. {tablerows} A seção Corpo da tabela de dados. {tabletotal} Para gráficos. Contém a soma ou valor de contagem do campo calculado. {charttop} Coloca o gráfico no início do relatório. {chartbottom} Coloca o gráfico no final do relatório. {endrepeateblock} Fim da seção Corpo do bloco de repetição. 4. Salve o modelo de HTML e gere um relatório com o novo layout. Para obter mais informações, consulte Gerar relatórios (página 161). Obs. Com as mesmas convenções HTML/CSS dos modelos HTML, você também pode criar seu próprio modelo personalizado. Copie o modelo, renomeie e reutilize os mesmos marcadores de posição. GFI EventsManager 8 Relatórios 175

176 9 Regras de processamento de eventos Durante o processamento de eventos, GFI EventsManager executa um conjunto configuráveis de regras comparado os logs coletados, a fim de classificar os eventos e disparar alertas/ações conforme apropriado. Por padrão, GFI EventsManager vem com um conjunto preconfigurado de regras de processamento de eventos que permitem controlar a rede através do log do computador - com esforço de configuração insignificante. Você também pode personalizar essas regras predefinidas ou criar regras adequadas às necessidades da sua organização. Tópicos deste capítulo: 9.1 Regras de processamento de eventos Gerenciar pastas de conjunto de regras Criar novas regras de processamento de eventos Criar novas regras a partir de eventos existentes Parâmetros de filtragem avançada de evento Priorizar regras de processamento de eventos Regras de processamento de eventos Regras de processamento de eventos são verificações executadas nos logs de eventos coletados. De acordo com as condições configuradas em uma regra, as regras de processamento de eventos ajudam a: Classify processed events - atribui uma classificação de gravidade aos logs coletados. Isso permite iniciar ações ou notificações quando um log com certa gravidade é processado. Por padrão, os eventos são classificados por meio de cinco classificações principais, porém, outras classificações podem ser adicionadas Filter out noise (repeated events) or unwanted events - remove os logs duplicados ou logs não importantes e arquiva em arquivo morto somente os dados de eventos importantes. Isso reduz o aumento do banco de dados e economiza espaço de armazenamento Trigger , SMS e Network alerts on key events - envia notificações para os destinatários configurados mediante a detecção de certos eventos. É possível configurar uma regra de processamento de eventos para enviar notificações aos destinatários quando as condições da regra são cumpridas Attempt remedial actions - executa arquivos executáveis, comandos e scripts mediante a detecção de eventos específicos. Isso permite executar automaticamente ações corretivas para reduzir ou eliminar completamente um problema detectado Filter events that match specific criteria - remove logs de eventos que não são importantes para você. Por exemplo, é possível executar uma regra que filtra eventos de baixa gravidade ou duplicados Archive filtered events - o arquivo morto de eventos é baseado na gravidade do evento e nas configurações das regras de processamento de eventos. Por exemplo, é possível configurar GFI GFI EventsManager 9 Regras de processamento de eventos 176

177 EventsManager para colocar em arquivo morto somente eventos críticos ou classificados com maior gravidade e descartar todo o resto. O gráfico abaixo ilustra o fluxograma das etapas de processamento de eventos realizados por GFI EventsManager Screenshot 133: Como funcionam as Regras de processamento de eventos Classificação de evento Classificação de eventos é baseada na configuração das regras que são executadas comparadas os logs coletados. Eventos que não atenderem a nenhuma condição de classificação de eventos são GFI EventsManager 9 Regras de processamento de eventos 177

178 marcados como não classificado. Eventos não classificados também podem ser usados para acionar alerta e ações disponíveis para eventos classificados. GFI EventsManager classifica os eventos nos níveis de importância padrão como Crítico, Alto, Médio, Baixo e Ruídos (entradas de logs indesejados ou repetidos). 9.2 Gerenciar pastas de conjunto de regras Em GFI EventsManager, as regras de processamento de eventos são organizadas em conjunto de regras e cada regra definida pode conter uma ou mais regras especializadas que podem ser executadas comparadas com os logs coletados. Screenshot 134: Pasta de conjunto de regras e Conjuntos de regras Conjuntos de regras também são organizados em pastas de conjunto de regras. Dessa forma, você pode agrupar conjunto de regras de acordo com as funções e executar ações de acordo com as respectivas regras. Por padrão, GFI EventsManager vem com pastas preconfiguradas, conjunto de regras e normas de processamento de eventos que podem ser ainda mais personalizados em atendimento às suas necessidades de processamento de eventos. O tópico contém informações sobre: Regras definidas disponíveis Adicionar uma pasta de conjunto de regras Renomear e excluir pastas de conjunto de regras Regras definidas disponíveis A tabela a seguir fornece as pastas de conjunto de regras disponíveis ao instalar GFI EventsManager. Cada pasta de conjunto de regras contém vários conjunto de regras e/ou regras de processamento de eventos: GFI EventsManager 9 Regras de processamento de eventos 178

179 Table 65: Pastas de conjunto de regras disponíveis comuns Pasta de conjunto de regras Eventos Windows Descrição Contém regras adaptadas para servidores e estações de trabalho Windows ; Incluindo: Regras de redução de ruído Requisitos de regras PCI DSS Regras de segurança Regras do estado do sistema Regras de aplicativos de segurança Regras do servidor de infraestrutura Regras do servidor de banco de dados Regras do servidor Web Regras do servidor de impressão Regras do GFI Regras do terminal de serviços Regras de servidor de Regras de replicação de arquivo Regras do serviço de diretório Regras personalizadas Regras de relatórios Logs de texto Regras de auditoria do SharePoint. Contém regras específicas para o processamento de protocolos de transferência de web. As opções incluem: Regras de HTTP Regras de FTP Mensagens Syslog Regras de SMTP. Contém regras específicas para o processamento de sistemas UNIX e LINUX. As opções incluem: Regras de anfitriões Linux\Unix Regras de redes Juniper Regras Cisco PIX e ISA Regras de gravidade Interceptações SNMP Regras IBM iseries. Contém regras específicas para mensagens de Interceptação SNMP. As opções incluem: Cisco IOS versão 12.1 (11) regras MIBs Cisco IOS versão 12.1 (14) regras MIBs Cisco IOS versão 12.2 (20) regras MIBs Cisco IOS versão 12.2 (25) regras MIBs Regras da Allied Telesis AT-AR-700 Family. GFI EventsManager 9 Regras de processamento de eventos 179

180 Pasta de conjunto de regras Auditorias SQL Server Descrição Contém regras específicas para monitoramento de auditoria de SQL Server. As opções incluem: Regras de redução de ruído Regras de alteração de banco de dados Regras de alterações de servidor Regras de logon/logoff Regras SQL Server Auditorias Oracle Regras de acesso do banco de dados. Contém regras adaptadas ao monitoramento de Auditoria de servidor Oracle. Entre outras coisas, incluem: Regras de redução de ruído Regras de alteração de banco de dados Regras de alterações de servidor Regras de logon/logoff Verificações de monitoramento Alterações de regras de segurança. Contém regras que permitem monitorar as mensagens de monitoramento ativo. Essas regras são referentes ao conjunto padrão de verificações de monitoramento. Verificações de monitoramento geram logs de eventos. Esses logs de eventos podem ser processados por regras de processamento de eventos para desencadear uma ação ou notificação quando uma falha é detectada Adicionar uma pasta de conjunto de regras Para criar uma nova pasta de conjunto de regras: 1. Clique na guia Configuration e selecione Event Processing Rules. 2. Em Common Tasks, selecione Create folder. 3. Especifique um nome exclusivo para a nova pasta de conjunto de regras. Obs. Para criar subpastas de conjunto de regras, clique com o botão direito na pasta principal e selecione Create new folder Renomear e deletar uma pasta de conjunto de regras Para renomear ou excluir as pastas de conjunto de regras já existentes, clique com o botão direito na pasta alvo de conjunto de regras e selecione Rename ou Delete adequadamente. Importante Eliminar uma pasta de conjunto de regras causa a exclusão de todas as regras e conjunto de regras contidas na pasta excluída. GFI EventsManager 9 Regras de processamento de eventos 180

181 9.3 Criar novas regras de processamento de eventos Para criar uma nova regra de processamento de eventos: 1. Clique na guia Configuration > Events Processing Rules. Screenshot 135: Criar uma nova regra 2. Clique com o botão direito no conjunto de regras onde a nova regra será criada e clique em Create new rule Especifique o nome e a descrição (opcional) da nova regra. Clique em Next (Avançar). GFI EventsManager 9 Regras de processamento de eventos 181

182 Screenshot 136: Selecionar o log ao qual aplicar a regra 4. Selecione os logs de eventos aplicáveis à regra. 5. (Opcional) Clique em Add custom log... para inserir um log de eventos preconfigurado. Clique em Next. Para obter mais informações, consulte Coletar eventos personalizados. Obs. Para SQL Audit, Oracle Audit, Syslogs, Logs de texto e mensagens de Interceptação SNMP, especifique o caminho completo da pasta do objeto do log, por exemplo: C:\W3C\logs. GFI EventsManager 9 Regras de processamento de eventos 182

183 Screenshot 137: Configurar as condições da regra 6. Clique em Add para selecionar um campo que definirá as condições da consulta. No campo selecionado, especifique o Field Operator e o Field Value. Clique em OK. Obs. Repetir este etapa até que todos os campos estejam selecionados. Para obter mais informações, consulte Criar restrições de consulta. Obs. Para filtrar os eventos que se referem a um usuário administrador (eventos com o identificador de segurança SID que identifica uma sessão de administrador logon), certifique-se de que, se a origem do evento é um membro do domínio, o controlador de domínio também deve ser adicionado como uma origem de evento. Para obter mais informações, consulte Criar um novo grupo de origem do evento. GFI EventsManager 9 Regras de processamento de eventos 183

184 Screenshot 138: Selecionar a ocorrência e a importância do evento 7. Especifique a hora que a regra é aplicável. Exemplo: a qualquer momento, durante o horário de trabalho ou fora do horário de trabalho. Horário de trabalho e fora do horário de trabalho baseiamse nos parâmetros de tempos operacionais configurados para suas origens de eventos. Para obter mais informações, consulte Configurar a hora operacional da origem do evento. 8. Selecione a classificação (crítica, alta, média, baixa ou ruído) a ser atribuída aos eventos que atendem às condições dessa regra. Clique em Next (Avançar). GFI EventsManager 9 Regras de processamento de eventos 184

185 Screenshot 139: Selecionar a ação acionada. 9. Especifique quais ações deverão ser acionadas por esta regra e clique em Next. Ações disponíveis são: Table 66: Configurar as regras de processamento de novos eventos: Ações Ação Ignorar o evento Usar ações de classificação padrão Descrição Selecionar esta opção para que GFI EventsManager ignore o acontecimento e não inicie nenhuma ação ou notificação. Selecionar esta opção para usar a preconfigurada Default Classification Actions. GFI EventsManager 9 Regras de processamento de eventos 185

186 Ação Usar o seguinte perfil de ações Descrição O perfil Arquivar todas é adicionado por padrão. Para criar um novo perfil: 1. No menu suspenso, selecione <Novo perfil de ação...>. Isso inicia o diálogo New Actions Profile Especifique o nome do novo perfil na caixa de texto Action Profile Name. 3. Selecione as ações que você deseja que o perfil execute. As seguintes ações estão disponíveis: Arquivar o evento Enviar alertas de para Enviar mensagem da rede para Enviar mensagem SMS para Executar arquivo Enviar mensagem SNMP Analisar o computador Executar verificações no computador. Obs. Se Executar verificações estiver selecionado no computador, certifique-se de que monitoramento de processamento de verificações esteja ativado no computador. Para obter mais informações, consulte Configurar o monitoramento da origem do evento. 4. Para cada ação selecionada, clique em Configure para configurar os parâmetros. 10. Clique em Apply e em OK. Obs. Atribuir a nova(s) regra(s) às origens de eventos. Para obter informações sobre como coletar logs de eventos e processá-los usando as regras de processamento de eventos especificada, consulte Coletar logs de eventos. 9.4 Criar novas regras a partir de eventos existentes GFI EventsManager permite criar novas regras com base nas informações de eventos existentes. Para criar uma nova regra a partir de um evento existente: 1. No Events Browser, localize o log de eventos que deseja basear a regra. GFI EventsManager 9 Regras de processamento de eventos 186

187 Screenshot 140: Criar uma regra a partir de um evento existente 2. Clique com o botão direito no evento e selecione Create rule from event. GFI EventsManager 9 Regras de processamento de eventos 187

188 Screenshot 141: Nova regra do evento - Configurações gerais 3. Especifique um nome exclusivo e uma descrição opcional para a nova regra. 4. No menu suspenso The rule applies if the event happens, selecione a hora em que a regra é aplicável. Selecionar em: A qualquer hora do dia Durante o horário operacional normal Fora do horário operacional normal. Obs. Para obter mais informações, consulte Configurar a hora operacional da origem do evento. 5. No painel Classify the event as selecione o nível de classificação que você deseja atribuir ao evento quando ele é gerado. GFI EventsManager 9 Regras de processamento de eventos 188

189 Screenshot 142: Nova regra de evento - Selecione logs a coletar 6. Na guia Event Logs, selecione o log que deseja coletar. Para adicionar log personalizado, clique em Add custom log..., especifique o nome do log personalizado e clique em OK. Obs. Para obter mais informações, consulte Coletar logs personalizados. GFI EventsManager 9 Regras de processamento de eventos 189

190 Screenshot 143: Nova regra de evento - Adicionar condições 7. Clique na guia Conditions.Clique em Add para selecionar um campo que definirá as condições da consulta. No campo selecionado, especifique o Field Operator e o Field Value. Clique em OK. Obs. Repetir este etapa até que todos os campos estejam selecionados. Para obter mais informações, consulte Criar restrições de consulta. 8. Clique na guia Actions e selecione a ação a ser executada quando a regra for acionada. As opções disponíveis são descritas abaixo: Table 67: Ações da regra de processamento de eventos disponíveis Opção Ignorar o evento Usar ações de classificação padrão Usar o seguinte perfil de ações Descrição Ignora o evento até que uma nova instância do evento seja gerada. Use as ações definidas em Classificação de Ação Padrão. Para obter mais informações, consulte Configurar ações de classificação padrão. No menu suspenso, selecione um perfil ou <Novo perfil de ação> e clique em Edit para configurar o seu perfil de ação. 9. Clique na guia Threshold e configure o valor limite do evento. Por exemplo, o número de vezes que um evento deve ser detectado antes de disparar alertas e ações corretivas. Isso ajuda a reduzir falsos positivos provocados pelo ruído (eventos repetidos) nos logs de eventos. 10. Clique em Apply e em OK. GFI EventsManager 9 Regras de processamento de eventos 190

191 9.5 Parâmetros de filtragem avançada de evento GFI EventsManager permite que os administradores de sistemas configurem os parâmetros de filtragem de evento avançado. Essas opções estarão disponíveis somente para os logs de eventos e Syslogs Windows. Consulte as seções a seguir para obter informações sobre: Windows parâmetros de filtragem de eventos Parâmetros de filtragem de syslog Windows parâmetros de filtragem de eventos O campo Events IDs: permite que os administradores de sistemas configurem os parâmetros descritos na tabela a seguir: Table 68: parâmetros de filtragem de eventowindows : Campo de ID do evento Parâmetro Eventos únicos Descrição Lista de eventos Intervalo de eventos Combinação de eventos A Source Category e User fields permitem que os administradores de sistemas configurem os parâmetros descritos na tabela a seguir: Table 69: parâmetros de filtragem de eventos Windows : Campos de origem, Categoria e Usuário Parâmetro Nome de origem única Descrição Lista de origens Caracteres curinga (% and *) Parâmetros de filtragem de syslog Os campos Message e Process permitem que os administradores de sistemas configurem os parâmetros descritos na tabela a seguir: Table 70: Parâmetros de filtragem syslog: Campos de Mensagem e Processo Parâmetros Uma mensagem Descrição Lista de mensagens Caracteres curinga (% and *) GFI EventsManager 9 Regras de processamento de eventos 191

192 9.6 Priorizar regras de processamento de eventos Regras de processamento de eventos são executadas por ordem de prioridade. Para alterar a ordem de execução: 1. Na guia Configuration Events Processing Rules > Rule Folders, expanda uma pasta de conjunto de regras. 2. No painel direito, clique com o botão direito em uma regra e selecione Increase priority ou Decrease priority conforme apropriado. Como alternativa, selecione uma regra e pressione Ctrl+Up para aumentar, ou Ctrl+Down para diminuir a prioridade. GFI EventsManager 9 Regras de processamento de eventos 192

193 10 Monitoramento ativo Logs de eventos são úteis para controlar diferentes aspectos operacionais dos dispositivos, computadores e servidores mas, em muitos casos, os usuários precisam fazer mais do que registrar para inspecionar esta atividade em detalhes. Para reduzir o problema, GFI EventsManager usa a Verificações de monitoramento ativo. Verificações de monitoramento ajudam você a detectar automaticamente falhas ou irregularidades para que identificar e corrigir proativamente problemas inesperados. GFI EventsManager vem com um conjunto de verificações predefinidas, voltado especificamente para os sistemas operacionais Windows, sistemas operacionais Linux/Unix, dispositivos de SNMP e protocolos e serviços de rede/internet. Este capítulo apresenta informações sobre gerenciamento, criação e uso da verificação de monitoramento ativo. Tópicos deste capítulo: 10.1 Sobre Verificar monitoramento ativo Criar e configurar uma pasta raiz Adicionar subpasta a uma pasta raiz Criar e configurar verificações de monitoramento ativo Aplicar verificações de monitoramento ativo Excluir verificações de pastas e de monitoramento Sobre Verificar monitoramento ativo Uma verificação de monitoramento é uma regra preconfigurada, vinculada a um componente do sistema ou atividade de operação, como o uso da CPU ou solicitações de Ping, que são usadas para verificar a disponibilidade do sistema. O monitoramento ativo verifica continuamente as fontes de evento digitalizadas para determinar se as condições de parâmetros configuradas estão sendo atendidas. Se uma verificação de monitoramento falha ou tem êxito, é gerado um log de evento a partir do computador digitalizado. O GFI EventsManager atribui uma classificação de gravidade ao log de eventos gerados. Uma regra de processamento de evento pode ser criada a partir do log de eventos criado. Regras de processamento de eventos podem disparar automaticamente alertas, executar verificações adicionais e executar scripts/aplicações para corrigir o problema que gerou o log. GFI EventsManager 10 Monitoramento ativo 193

194 Screenshot 144: Como funciona a verificação de monitoramento ativo Exemplo Você configura uma verificação de monitoramento para gerar um log de evento quando um espaço livre do disco rígido do computador atinge o limite preconfigurado. Para isso: GFI EventsManager 10 Monitoramento ativo 194

195 1. Quando o limite é alcançado e a verificação de monitoramento gera um evento, localize isto no Navegador de evento e crie uma regra de processamento de evento baseada nisto. Para obter mais informações, consulte Criar novas regras a partir de eventos existentes. 2. Configure as condições da nova regra de processamento de eventos para ignorar eventos não relacionados. Para obter mais informações, consulte: Criar novas regras de processamento de eventos 3. Configure a nova regra para disparar um alerta ou uma ação para solucionar o problema. Para obter mais informações, consulte Configurar ações de classificação padrão. Screenshot 145: Estrutura da pasta raiz e da subpasta Verificações são organizadas em pastas raiz e subpastas. Objetos herdam as configurações da pasta principal. Isso permite que você configure simultaneamente um número de verificações de monitoração Criar e configurar uma pasta raiz Uma pasta raiz é a pasta principal que pode conter um conjunto de subpastas e monitoramento ativo. Cada objeto filho de uma pasta raiz herda as mesmas configurações. Isso permite a configuração rápida de várias verificações de monitoramento e subpastas. Para criar uma nova pasta raiz: 1. Na guia Configuration > Active Monitoring > Common Tasks, clique em Create root folder. Isto abre o diálogo Folder properties. GFI EventsManager 10 Monitoramento ativo 195

196 Screenshot 146: Propriedades da pasta - Guia Geral 2. Especifique um nome exclusivo e uma descrição opcional nos campos Name e Description. Screenshot 147: Propriedades da pasta - Guia Computador de destino GFI EventsManager 10 Monitoramento ativo 196

197 3. Clique na guia Target computers e selecione as origens do evento. Monitoramento ativo adicionado à nova pasta é aplicado às origens do evento selecionado. Screenshot 148: Propriedades da pasta - Guia Agendar 4. Na guia Schedule estabeleça o intervalo de tempo para GFI EventsManager executar as verificações de monitoramento nas origens do evento selecionado. O padrão do intervalo para monitorar a verificação é de 5 segundos. GFI EventsManager 10 Monitoramento ativo 197

198 Screenshot 149: Propriedades da pasta - Guia de eventos de ação Obs. Mesmo diante de falha ou êxito do Monitoramento ativo, o computador que executa a verificação gera um log de evento. Esse log de evento pode ser processado com regras de processamento de eventos que podem acionar alertas ou executar scripts/aplicativos de operações de recuperação. Para obter mais informações, consulte Criar novas regras a partir de eventos existentes. 5. Na guia Action events, configure quando os logs de eventos devem ser gerados e como GFI EventsManager deve classificar os eventos gerados. As opções disponíveis são descritas na tabela a seguir: Table 71: Verificações de monitoramento - Eventos de ação Opção Generate an audit event from this machine/device when the check Descrição GFI EventsManager permite gerar logs de eventos após a origem do evento ser verificada quanto a irregularidades. No menu suspenso, selecione: Fails - gera um log de evento quando as condições da verificação falham Succeeds - gera um log de evento quando as condições da verificação têm êxito Contínuo Fails or Succeeds - gera um log de evento sempre que uma verificação é executada nas origens de eventos específicos. Gera um log de evento sempre quando as condições da verificação falham/- têm êxito/ambas. GFI EventsManager 10 Monitoramento ativo 198

199 Opção Somente uma vez A cada {X} minutos A cada {X} mensagens Quando a verificação muda de estado, é gerado um evento de auditoria nesta máquina/dispositivo Gravidade da falha Gravidade do êxito Descrição Gera um log de evento na primeira vez em que as condições da verificação falham/têm êxito/ambas. Gera um log de evento no espaço de minutos determinado. Gera um log de eventos no espaço de mensagens determinado. Por exemplo, se você digitar 10, apenas um log de eventos é gerado a cada 10 vezes para verificar falha/êxito/ambos. Gera um log de evento quando as alterações mudam o estado de Falha para Êxito ou vice-versa. Selecione a classificação de gravidade que GFI EventsManager atribui ao log de evento de uma verificação de falha do sistema. Selecione a classificação de gravidade que GFI EventsManager atribui ao log de eventos de uma de verificação de sucesso do sistema. 6. Clique em OK Adicionar subpasta a uma pasta raiz Subpastas são usadas para subdividir um grupo de verificações de monitoração que compartilham algumas propriedades comuns, mas podem ser (por exemplo) voltadas para os diferentes tipos de origem do evento. Para adicionar uma nova subpasta: 1. Em Configuration > Active Monitoring > Monitoring checks, clique com o botão direito em uma pasta raiz/subpasta e selecione Create new folder. Screenshot 150: Propriedades da pasta - Guia Geral 2. Na guia General, digite um nome para a nova pasta e uma descrição opcional. GFI EventsManager 10 Monitoramento ativo 199

200 Screenshot 151: Propriedades da pasta - Guia Computador de destino Obs. Selecione Inherit from parent para usar as mesmas configurações da pasta principal. 3. Clique na guia Target computers e selecione origens de eventos. Monitoramentos ativos adicionados a essa nova pasta são aplicados às origens dos eventos selecionados GFI EventsManager 10 Monitoramento ativo 200

201 Screenshot 152: Propriedades da pasta - Guia Agendar Obs. Selecione Inherit from parent para usar as mesmas configurações da pasta principal. 4. Na guia Schedule, defina o intervalo para GFI EventsManager executar as verificações de monitoramento das origens do evento selecionado. O padrão do intervalo para monitorar a verificação é de 5 segundos. GFI EventsManager 10 Monitoramento ativo 201

202 Screenshot 153: Propriedades da pasta - Guia de eventos de ação Obs. Mesmo diante de falha ou êxito do Monitoramento ativo, o computador que executa a verificação gera um log de evento. Esse log de evento pode ser processado com regras de processamento de eventos que podem acionar alertas ou executar scripts/aplicativos de operações de recuperação. Para obter mais informações, consulte Criar novas regras a partir de eventos existentes. Obs. Selecione Inherit from parent para usar as mesmas configurações da pasta principal. 5. Na guia Action events, configure quando os logs de eventos devem ser gerados e como GFI EventsManager deve classificar os eventos gerados. As opções disponíveis são descritas na tabela a seguir: GFI EventsManager 10 Monitoramento ativo 202

203 Table 72: Verificações de monitoramento - Eventos de ação Opção Generate an audit event from this machine/device when the check Descrição GFI EventsManager permite gerar logs de eventos após a origem do evento ser verificada quanto a irregularidades. No menu suspenso, selecione: Fails - gera um log de evento quando as condições da verificação falham Succeeds - gera um log de evento quando as condições da verificação têm êxito Contínuo Somente uma vez A cada {X} minutos A cada {X} mensagens Quando a verificação muda de estado, é gerado um evento de auditoria nesta máquina/dispositivo Gravidade da falha Gravidade do êxito Fails or Succeeds - gera um log de evento sempre que uma verificação é executada nas origens de eventos específicos. Gera um log de evento sempre quando as condições da verificação falham/- têm êxito/ambas. Gera um log de evento na primeira vez em que as condições da verificação falham/têm êxito/ambas. Gera um log de evento no espaço de minutos determinado. Gera um log de eventos no espaço de mensagens determinado. Por exemplo, se você digitar 10, apenas um log de eventos é gerado a cada 10 vezes para verificar falha/êxito/ambos. Gera um log de evento quando as alterações mudam o estado de Falha para Êxito ou vice-versa. Selecione a classificação de gravidade que GFI EventsManager atribui ao log de evento de uma verificação de falha do sistema. Selecione a classificação de gravidade que GFI EventsManager atribui ao log de eventos de uma de verificação de sucesso do sistema. 6. Clique em OK. GFI EventsManager 10 Monitoramento ativo 203

204 10.4 Criar e configurar verificações de monitoramento ativo Para criar uma nova verificação de monitoramento ativo: Screenshot 154: Criar uma nova verificação de monitoramento ativo 1. Clique em Configuration > Active Monitoring. 2. Clique com o botão direito na pasta raiz/subpasta onde você deseja que a nova verificação de monitoramento seja salva e selecione Create new check. GFI EventsManager 10 Monitoramento ativo 204

205 Screenshot 155: Selecionar o tipo de verificação 3. Selecione o tipo de verificação e clique em Next. Screenshot 156: Configurar propriedades gerais de verificação 4. Especifique um nome exclusivo e uma descrição opcional nos campos Name e Description. 5. Na caixa de texto Consider this monitoring check as fail after {X} errors especifique o número de erros que podem ocorrer antes que as novas verificações sejam classificadas como Failed. GFI EventsManager 10 Monitoramento ativo 205

206 6. Marque/desmarque Enable/disable this check, para ativar/desativar a nova verificação de monitoramento. Clique em Next (Avançar). Screenshot 157: Configurar parâmetros da verificação de monitoramento 7. Configure os parâmetros que precisam ser verificados e clique em Next. Obs. Esta etapa é diferente em cada tipo de verificação diferente selecionada na etapa 3. GFI EventsManager 10 Monitoramento ativo 206

207 Screenshot 158: Selecionar as origens afetadas Obs. Selecione Inherit from parent para usar as mesmas configurações da pasta principal. 8. Na lista de origem do evento, selecione o computador a ser monitorado com esta nova verificação. Clique em Next (Avançar). GFI EventsManager 10 Monitoramento ativo 207

208 Screenshot 159: Definir o intervalo de tempo da verificação Obs. Selecione Inherit from parent para usar as mesmas configurações da pasta principal. 9. Configure o agendamento do intervalo para a nova verificação. Por padrão, a verificação verifica a origem selecionada uma vez a cada 5 segundos. GFI EventsManager 10 Monitoramento ativo 208

209 Screenshot 160: Configurar as ações do log de eventos Obs. Selecione Inherit from parent para usar as mesmas configurações da pasta principal. 10. A verificação de monitoramento gera um log de evento independentemente de falha ou êxito. Em Action events, quando os logs de eventos são gerados e como GFI EventsManager classifica os logs gerados. As opções disponíveis são descritas na tabela a seguir: Table 73: Verificações de monitoramento - Eventos de ação Opção Generate an audit event from this machine/device when the check Descrição GFI EventsManager permite gerar logs de eventos após a origem do evento ser verificada quanto a irregularidades. No menu suspenso, selecione: Fails - gera um log de evento quando as condições da verificação falham Succeeds - gera um log de evento quando as condições da verificação têm êxito Contínuo Somente uma vez A cada {X} minutos A cada {X} mensagens Fails or Succeeds - gera um log de evento sempre que uma verificação é executada nas origens de eventos específicos. Gera um log de evento sempre quando as condições da verificação falham/- têm êxito/ambas. Gera um log de evento na primeira vez em que as condições da verificação falham/têm êxito/ambas. Gera um log de evento no espaço de minutos determinado. Gera um log de eventos no espaço de mensagens determinado. Por exemplo, se você digitar 10, apenas um log de eventos é gerado a cada 10 vezes para verificar falha/êxito/ambos. GFI EventsManager 10 Monitoramento ativo 209

210 Opção Quando a verificação muda de estado, é gerado um evento de auditoria nesta máquina/dispositivo Gravidade da falha Gravidade do êxito Descrição Gera um log de evento quando as alterações mudam o estado de Falha para Êxito ou vice-versa. Selecione a classificação de gravidade que GFI EventsManager atribui ao log de evento de uma verificação de falha do sistema. Selecione a classificação de gravidade que GFI EventsManager atribui ao log de eventos de uma de verificação de sucesso do sistema. 11. Clique em Finish Aplicar verificações de monitoramento ativo Monitoramento ativo pode ser aplicado nas origens de eventos individuais ou grupos de origens de eventos. Origem do evento pode ser selecionada em cada verificação ou na pasta raiz. Configurar as definições na pasta permite que as verificações herdem as mesmas configurações de origem do evento. Para atribuir uma verificação de monitoramento preconfigurada: 1. Acesse Configuration > Active Monitoring. 2. Clique com o botão direito na verificação/pasta de monitoramento a ser atribuída à origem do evento e selecione Properties. Screenshot 161: Guia de computadores alvo 3. Na guia Target computers, selecione a origem do evento ou grupo de origens de eventos. 4. Clique em OK. GFI EventsManager 10 Monitoramento ativo 210

211 Obs. Selecione Inherit from parent para usar as mesmas configurações da pasta principal. GFI EventsManager 10 Monitoramento ativo 211

212 10.6 Excluir verificações de pastas e de monitoramento Para excluir uma pasta/verificação de monitoramento: 1. Acesse Configuration > Active Monitoring. Screenshot 162: Excluir verificações de pastas e de monitoramento 2. Na seção Monitoring checks, clique com o botão direito na pasta/monitoramento marcado para ser excluído e selecione Delete. Importante Excluir uma pasta raiz (pasta principal), exclui também todo o conteúdo. Certifique-se de excluir apenas os itens indesejados. GFI EventsManager 10 Monitoramento ativo 212

213 11 Ações de alertas e padrão Este capítulo fornece informações sobre os métodos de alerta disponíveis e como configurar cada um de acordo com suas necessidades. Durante o processamento do evento, GFI EventsManager executa automaticamente ações e dispara alertas sempre que eventos específicos são encontrados. Tópicos deste capítulo: 11.1 Configurar ações de classificação padrão Configurar Opções de Alerta Configurar ações de classificação padrão Com os parâmetros de configuração previstos nas ações de classificação padrão, é possível disparar alertas e ações baseadas apenas na classificação do evento. Exemplo: parâmetros de classificação padrão podem ser configurados para disparar alertas de s para todos os eventos classificados (crítico, alto, médio e baixo), mas arquivar apenas eventos críticos. Screenshot 163: Configurar ações de classificação predefinidas Para configurar as ações de classificação predefinidas: 1. Na guia Configuration > Options, clique com o botão direito no nó Default Classification Actions e Edit defaults GFI EventsManager 11 Ações de alertas e padrão 213

214 Screenshot 164: Caixa de diálogo ações de classificação padrão 2. No menu suspenso, selecione a classificação de evento a ser configurado. 3. Na lista Action, selecione a ação a ser disparada e clique em Configure. As ações disponíveis são: Table 74: Ações de classificação padrão Ação Arquivar o evento Enviar alertas de para Descrição Arquivos de eventos sem processamento adicional. Clique em Configure e selecione os destinatários. OBSERVAÇÃO Certifique-se de que os usuários tenham um endereço de válido configurado. Para obter mais informações, consulte Gerenciar contas de usuários. Enviar mensagens de rede para: Enviar mensagem SMS para Clique em Configure e selecione os destinatários. OBSERVAÇÃO Certifique-se de que os usuários tenham um nome de computador/ip configurado válido. Para obter mais informações, consulte Gerenciar contas de usuários. Clique em Configure e selecione os destinatários. OBSERVAÇÃO Certifique-se de que os usuários tenham um número de celular válido configurado. Para obter mais informações, consulte Gerenciar contas de usuários. GFI EventsManager 11 Ações de alertas e padrão 214

215 Ação Executar arquivo Descrição Clique em Configure e selecione o arquivo para executar e especifique os parâmetros de linha de comando para passar para o arquivo. Arquivos suportados incluem: Scripts VB - *.VBS Arquivos em lotes - *.BAT Enviar mensagem SNMP Analisar o computador Executar verificações do computador Arquivos executáveis - *.EXE Clique em Configure e selecione os destinatários. GFI EventsManager repete a auditoria do computador. Clique em Configure, selecione as verificações de monitoramento desejadas quando a ação é desencadeada. Obs. Monitoramento ativo é aplicado às origines de eventos correspondentes, selecionados na guia computadores alvo. Para obter mais informações, consulte Criar e configurar as verificações de monitoramento ativo Obs. 4. Clique em Apply e em OK. Certifique-se de que o processamento da verificação de monitoramento esteja habilitado ou a verificação será descartada. Para obter mais informações, consulte Configurar o monitoramento da origem do evento. Obs. Executar ações padrão em eventos classificados como Low pode causar grande tráfego na rede quando alertas de , SMS, rede ou SNMP estão ativados. Isso também pode ser problemático quando o arquivamento estiver ativado em eventos de pouca importância Configurar Opções de Alerta Opções de alerta permitem configurar quando os alertas devem ser disparados quando um determinado evento é encontrado. Por exemplo, é possível configurar GFI EventsManager para enviar um alerta de e de SMS para um ou mais destinatários quando um evento Critical é processado. Esta seção contém informações sobre: Configurar alertas de Configurar alertas de rede Configurar alertas de SMS Configurar alertas de Interceptação SNMP Configurar configurações gerais Para configurar as opções de alertas: GFI EventsManager 11 Ações de alertas e padrão 215

216 Screenshot 165: Configurar Opções de Alerta 1. Clique na guia Configuration > Options, clique com o botão direito em Alerting Options e selecione Edit alerting options... Obs. Selecione Editar destinatários de alertas para configurar os detalhes de contato dos destinatários de alerta e para gerenciar contas de usuário. Para obter mais informações, consulte Gerenciar contas de usuários. 2. Configure o método de alerta de sua escolha. As seções a seguir descrevem como configurar: GFI EventsManager 11 Ações de alertas e padrão 216

217 Alertas de Screenshot 166: Configurar opções de Para configurar alertas de 1. Na caixa de diálogo Opções de alerta, clique na guia Configure as opções descritas abaixo: Table 75: Diálogo Opções de Alertas - Alertas de Opção Adicionar/Remover/Editar Botões de setas para cima/para baixo Enviar alertar de como texto Unicode Formatar mensagem de Descrição Clique em Add para especificar os detalhes do servidor de , incluindo o nome /IP do servidor, credenciais de logon e endereço de do destinatário. Use o botão Remove ou Edit para remover um determinado servidor ou editar seus detalhes. Use os botões de seta para alterar a posição do servidor de selecionado. O GFI EventsManager tenta enviar alertas de através do primeiro servidor de . Se não bem sucedido, verifica recursivamente os seguintes servidores de . Selecionar esta opção para enviar s como texto Unicode e não com formatação HTML ou RTF. No menu suspenso Formatar mensagem de também é possível selecionar o tipo de log (Windows, Logs de texto, Syslog) e personalizar o conteúdo do Clique em Apply e em OK. GFI EventsManager 11 Ações de alertas e padrão 217

218 Alertas de rede Screenshot 167: Configurar opções da rede Para configurar alertas de rede: 1. Na caixa de diálogo Opções de alerta, clique na guia Network. 2. No menu suspenso Format network message..., selecione o tipo de log e personalize o formato da mensagem. Screenshot 168: Configurar alertas de rede: Formatar mensagem 3. Clique em Insert tag para selecionar em uma lista as guias para incluir na mensagem. 4. Clique em Save e OK GFI EventsManager 11 Ações de alertas e padrão 218

219 Alertas de SMS Screenshot 169: Configurar opções de SMS Para configurar alertas de SMS: 1. Na caixa de diálogo opções de alerta, clique na guia SMS. 2. Configure as opções descritas abaixo: Table 76: Caixa de diálogo opções de alerta: SMS Opção Selecionar SMS Descrição Selecionar o serviço SMS usado para enviar alertas de SMS. Serviços disponíveis incluem: Servidor integrado GSM SMS Modelo de provedor de serviço FaxMaker SMS Serviços Clickatell 2SMS Configurar propriedades do sistema SMS selecionado Modelo de provedor de serviços de SMS genérico. Configurar as propriedades para o tipo de serviço SMS selecionado. Dentre outras, as propriedades de configuração incluem: Número do centro de serviço Porta COM Taxa de Transmissão Servidor SMTP Porta SMTP. Formatar mensagem de SMS Clique em Edit para configurar as propriedades selecionadas. No menu suspenso Format Message, selecione o tipo de log (Windows, Logs de texto, Syslog) e personalize o conteúdo do . GFI EventsManager 11 Ações de alertas e padrão 219

220 3. Clique em Apply e em OK Alertas SNMP Para configurar alertas SNMP: Screenshot 170: Configurar alertas SNMP 1. Na caixa de diálogo Alerting Options, clique na guia SNMP. 2. Configure as opções descritas abaixo: Table 77: Opções de alertas: Interceptação SNMP Opção Especificar o endereço IP do qual as notificações serão enviadas de SNMP Especificar a(s) porta(s) a serem usadas para enviar alertas SNMP Formatar mensagem SNMP Descrição Inserir o endereço IP do destinatário. Especificar a porta de comunicação de TCP/UDP. Por padrão, a porta atribuída é a 162. No menu suspenso Formatar mensagem de também é possível selecionar o tipo de log (Windows, Logs de texto, Syslog) e personalizar o conteúdo do Clique em Apply e em OK Configurações gerais Para configurar as configurações de alertas gerais: 1. Na caixa de diálogo Alerting Options, clique na guia General. 2. Configure as opções descritas abaixo e clique OK: GFI EventsManager 11 Ações de alertas e padrão 220

221 Table 78: Opções de alertas: Configurações gerais Opção Enviar alertas de de erros de banco de dados Descrição Alertas de são enviados de acordo com os erros de banco de dados, tais como falha de backup, corrupção de dados, tamanho excedente ao máximo especificado e outros erros de operação de banco de dados. GFI EventsManager 11 Ações de alertas e padrão 221

222 12 Grupos de usuários Este capítulo fornece informações relacionadas à criação e ao gerenciamento de grupos e usuários. No nó Usuários e Grupos, os usuários e grupos podem ser criados e alertas, horário de trabalho e outras propriedades específicas podem ser atribuídas à cada usuário e grupo, enquanto direitos de acesso a diferentes consoles podem ser atribuídos para cada usuário no Segurança do console e Opções de auditoria. Tópicos deste capítulo: 12.1 Configurar a conta do administrador Gerenciar contas de usuário Gerenciar grupos de usuários Configurar a conta do administrador GFI EventsManager cria automaticamente uma conta EventsManagerAdministrator. No entanto, você ainda pode configurar as propriedades de ações, tais como notificações de endereços e segurança de conta. Obs. GFI EventsManager requer um endereço de do administrador para distribuir os alertas automáticos quando determinados eventos são descobertos. Para configurar a conta do administrador GFI EventsManager: 1. Na guia Configuration > Options, expanda Users and Groups > Users. GFI EventsManager 12 Grupos de usuários 222

223 Screenshot 171: Configurar a conta EventsManagerAdministrator 2. No painel direito, clique com o botão direito em EventsManagerAdministrator e clique em Properties. GFI EventsManager 12 Grupos de usuários 223

224 Screenshot 172: Propriedade EventsManagerAdministrator 3. Na guia General, especifique: Um nome de usuário do administrador da conta GFI EventsManager (Opcional) Uma descrição da conta Um endereço de válido para distribuição de alerta de Um número de celular válido para distribuição de alerta de SMS Nomes/IP de computador válidos para distribuição de alertas de rede. GFI EventsManager 12 Grupos de usuários 224

225 Screenshot 173: Configurar horário de trabalho normal do usuário 4. Clique na guia Working Hours e especifique o horário de trabalho normal do administrador. Intervalos de tempo marcados são considerados horário de trabalho. GFI EventsManager 12 Grupos de usuários 225

226 Screenshot 174: Configurar alertas fora do horário de trabalho 5. Clique na guia Alerts e selecione os alertas enviados dentro e fora do horário de trabalho. Como opção, selecione Send daily report via at e especifique a hora para enviar um com a atividade diária. GFI EventsManager 12 Grupos de usuários 226

227 Screenshot 175: Selecionar o grupo ao qual a conta do usuário pertence 6. Clique na guia Member Of e selecione os grupos de notificação ao qual o usuário pertence. Por padrão, o administrador é um membro do grupo de notificações EventsManagerAdministrators. GFI EventsManager 12 Grupos de usuários 227

228 Screenshot 176: Configurar os privilégios da conta do usuário 7. Clique na guia Privileges para editar os privilégios de usuário. Por padrão, a conta EventsManagerAdministrator possui privilégios completos de acesso e não pode ser modificada. GFI EventsManager 12 Grupos de usuários 228

229 Screenshot 177: Filtragem de conta de usuário 8. Clique na guia Filter para editar o que o administrador pode ver no console de gerenciamento. Por padrão, essa guia está desativada na conta EventManagerAdministartor. 9. Clique em Apply e em OK Gerenciar contas de usuário GFI EventsManager permite criar uma lista personalizada de usuários que você possa organizar em grupos para acelerar as tarefas administrativas. Esta seção contém informações sobre: Criar nova conta de usuário Alterar as propriedades da conta de usuário Excluir uma conta de usuário Criar uma nova conta de usuário Para criar um novo usuário: 1. Na guia Configuration > Options, expanda o nó Users and Groups. GFI EventsManager 12 Grupos de usuários 229

230 Screenshot 178: Criar um novo usuário 2. Clique com o botão direito no sub-nó Users e selecione Create user... Screenshot 179: Criar um novo usuário - Propriedades gerais GFI EventsManager 12 Grupos de usuários 230

231 3. Na guia General, especifique: O nome de usuário para a conta do usuário (Opcional) Uma descrição da conta Um endereço de válido para distribuição de alerta de Um número de celular válido para distribuição de alerta de SMS Nomes/IP de computador válidos para distribuição de alertas de rede. Screenshot 180: Criar um novo usuário - Horário de trabalho 4. Clique na guia Working Hours e especifique o horário de trabalho normal do novo usuário. Intervalos de tempo marcados são considerados horário de trabalho. GFI EventsManager 12 Grupos de usuários 231

232 Screenshot 181: Criar um novo usuário - Opções de alerta 5. Clique na guia Alerts e selecione os alertas enviados dentro e fora do horário de trabalho. Como opção, selecione Send daily report via at e especifique a hora para enviar um com a atividade diária. Para obter mais informações, consulte Ações de alertas e padrão (página 213). GFI EventsManager 12 Grupos de usuários 232

233 Screenshot 182: Criar um novo usuário - Selecionar os grupos de notificações 6. Clique na guia Member Of e clique em Add. Selecione os grupos de notificação ao qual o usuário pertence e clique em OK. GFI EventsManager 12 Grupos de usuários 233

234 Screenshot 183: Criar um novo usuário - Privilégios 7. Clique na guia Privileges para definir os privilégios do usuário. Por padrão, a nova conta de usuário possui apenas privilégios de leitura. GFI EventsManager 12 Grupos de usuários 234

235 Screenshot 184: Opções de filtragem de usuário 8. Clique na guia Filter para configurar quais usuários têm permissão para exibir o console de gerenciamento. A tabela a seguir descreve as opções disponíveis: Table 79: Opções de filtragem de usuário Opção Origens do evento Privilégios totais Descrição GFI EventsManager fornece um conjunto de condições preconfiguradas para filtragem de origens de eventos. Selecione as origens do evento que você deseja que esteja visível para este usuário. Clique em Advanced... para abrir o diálogo Advanced Filtering. Este diálogo permite criar suas próprias condições para filtragem granular, permitindo a filtragem de eventos que contenham atributos específicos. Para adicionar uma condição: 1. Na caixa de diálogo Advanced Filtering, clique em Add e selecione um campo da lista. Exemplo: Formatos de Data, Importância, Log. 2. No campo selecionado, selecione um operador no menu suspenso Field operator. Exemplo: Igual a, Menor que, Maior que. 3. Especifique um valor para o operador na caixa de texto Field value. 4. Clique em OK. 5. Repita as etapas 1 a 4 para adicionar mais de um nome no campo. Obs. Para obter mais informações, consulte Definir restrições de consultas. 9. Clique em Apply e em OK Alterar as propriedades da conta de usuário Para editar propriedades do usuário: 1. Na guia Configuration > Options, expanda o nó Users and Groups. 2. No sub-nó Users, clique com o botão direito e selecione Properties. GFI EventsManager 12 Grupos de usuários 235

236 3. Faça as alterações necessárias nas guias disponíveis e clique em OK Excluir uma conta de usuário. Para excluir um usuário: 1. Na guia Configuration > Options, expanda o nó Users and Groups e selecione Users. 2. No painel direito, clique com o botão direito em um usuário e selecione Delete Gerenciar grupos de usuários GFI EventsManager permite atribuir usuários a um grupo. Quando as propriedades do grupo são configuradas, cada membro do grupo herda as mesmas configurações. Esta seção contém informações sobre: Criar um novo grupo Alterar propriedades do grupo Excluir um grupo Criar um novo grupo Para criar um novo grupo de usuários: 1. Na guia Configuration > Options, expanda o nó Users and Groups. Screenshot 185: Criar um novo grupo de usuários 2. Clique com o botão direito no sub-nó Groups e selecione Create group... GFI EventsManager 12 Grupos de usuários 236

237 Screenshot 186: Criar um novo grupo de usuários - Propriedades gerais 3. Especifique o nome e uma descrição opcional para o novo grupo. 4. Clique em Add para adicionar usuários ao grupo. GFI EventsManager 12 Grupos de usuários 237

238 Screenshot 187: Criar um novo grupo de usuários - Propriedades gerais 5. Na guia Privileges, selecione se o grupo tem permissões Full ou Read Only. 6. Clique em Apply e em OK Alterar as propriedades do grupo Para editar as configurações de um grupo de usuários: 1. Na guia Configuration > Options, expanda o nó Users and Groups. 2. No painel direito, clique com o botão direito no grupo a ser configurado e selecione Properties. 3. Execute as alterações necessárias nas guias disponíveis e clique em OK Excluir um grupo Para excluir um grupo de usuários: 1. Na guia Configuration > Options, expanda o nó Users and Groups. 2. Clique com o botão direito no grupo a ser excluído e selecione Delete. GFI EventsManager 12 Grupos de usuários 238

239 13 Console de opções de segurança e de auditoria O console de opções de segurança e de auditoria permitem proteger GFI EventsManager de acesso não autorizado ou mal-intencionado. As opções de auditoria oferecidas permitem monitorar corretamente a atividade dogfi EventsManager. Tópicos deste capítulo: 13.1 Ativar o sistema de logon Manter anonimato Auditar atividade do console Credenciais de descoberta automática Ativar o sistema de logon Quando o sistema de logon está ativado, todos os usuários são solicitados a especificar as suas credenciais toda vez que o console de gerenciamentogfi EventsManager é aberto. Obs. Antes de fazer o logon no sistema, você deve definir as configurações do servidor de . Para obter mais informações, consulte Configurar Opções de alertas. Para ativar o sistema de logon: 1. Na guia Configuration > Options expanda Console Security and Audit Options. GFI EventsManager 13 Console de opções de segurança e de auditoria 239

240 Screenshot 188: Editar opções de segurança do console 2. Expanda o nó Console Security and Audit Options, clique com o botão direito no nó Security Options e selecione Edit security options. GFI EventsManager 13 Console de opções de segurança e de auditoria 240

241 Screenshot 189: Ativar o sistema de logon EventsManager 3. Selecione Enable EventsManager logon system para ativar o logon. 4. Clique em Apply e em OK. Obs. Para configurar ou editar senhas de usuário, vá para a guia Configuration > Users and Groups >Users, clique com o botão direito na conta de usuário e selecione Change Password. Importante Quando o sistema de logon está ativado, os usuários devem fazer o logon no console especificando o nome de usuário e senha e devem ter um endereço de configurado válido para recuperar senhas perdidas. Para obter mais informações, consulte Gerenciar contas de usuário Recuperação de senha Quando o sistema de logon GFI EventsManager está ativado, todos os usuários devem inserir um nome de usuário e senha válidos para acessar o console de gerenciamento. GFI EventsManager 13 Console de opções de segurança e de auditoria 241

242 Screenshot 190: Pedido de credenciais de logon Caso uma senha seja esquecida ou perdida: 1. Digite seu nome de usuário. 2. Clique no link Forgot your password? GFI EventsManager enviará um contendo sua senha de logon para o endereço de fornecido durante a configuração da conta de usuário Manter anonimato Em alguns países, as leis de privacidade consideram ilegal não criptografar informações pessoais recuperadas por aplicativos de monitoramento para proteção de privacidade. O GFI EventsManager permite criptografar dados pessoais ao exportar e/ou exibir os logs de eventos. Ativar a opção de anonimato para criptografar os dados pessoais. O painel Navegador de eventos e Painel podem reconhecer essas informações e não exibi-las. Em vez disso, eles exibem <criptografado> ou mensagens Anonymized data. Para configurar o anonimato: GFI EventsManager 13 Console de opções de segurança e de auditoria 242

243 Screenshot 191: Ativar o console de anonimato 1. Na guia Configuration > Options, expanda o nó Console Security and Audit Options, clique com o botão direito em Anonymization e clique em Edit anonymization options GFI EventsManager 13 Console de opções de segurança e de auditoria 243

244 Screenshot 192: Opções de anonimato 2. Selecione Enable Anonymization e digite a senha criptografada. 3. (Opcional) Selecione Use a secondary protection key para usar duas senhas de criptografia de log de evento. Logs de eventos só podem ser descriptografados com duas senhas de descriptografia. 4. Clique em Apply e em OK. Obs. Quando a opção de anonimato estiver ativada, os dados pessoais ficam ocultos em: Quaisquer visualizações de Status (Geral, Atividade de trabalho e Estatísticas) Navegador de eventos Relatórios Logs de eventos exportados/arquivados (é possível remover a opção de anonimato ao importar os logs exportados). GFI EventsManager 13 Console de opções de segurança e de auditoria 244

245 13.3 Auditar atividade do console GFI EventsManager pode salvar atividade do console nos logs externos. Para configurar a auditoria da atividade do console: Screenshot 193: Ativar a auditoria da atividade do usuário do console 1. Na guia Configuration > Options, expanda o nó Console Security and Audit Options. 2. Clique com o botão direito em Audit Options e selecione Edit audit options. GFI EventsManager 13 Console de opções de segurança e de auditoria 245

246 Screenshot 194: Diálogo de opções de auditoria 3. Selecione a opção Audit all the actions done by users e especifique o local onde os arquivos de saída serão salvos. 4. Clique em Apply e em OK Credenciais de descoberta automática Credenciais de descoberta automática são usadas por GFI EventsManager para fazer logon nas máquinas de destino e coletar informações ao realizar uma busca automática de origens de eventos. Para configurar as credenciais de descoberta automática: GFI EventsManager 13 Console de opções de segurança e de auditoria 246

247 Screenshot 195: Configurar credenciais de descoberta automática 1. Na guia Configuration > Options, expanda o nó Console Security and Audit Options. 2. Clique com o botão direito em Auto-discovery credentials e selecione Edit auto-discovery credentials. GFI EventsManager 13 Console de opções de segurança e de auditoria 247

248 Screenshot 196: Especificar credenciais de descoberta automática 3. Digite um nome de usuário e senha válidos. 4. Clique em Apply e em OK. GFI EventsManager 13 Console de opções de segurança e de auditoria 248

249 14 Manutenção do banco de dados Este capítulo fornece informações sobre o sistema que GFI EventsManager usa para armazenar eventos processados. Este sistema permite grande escalabilidade com sua rápida leitura/gravação, mesmo durante o processamento de grandes volumes de dados. Para ajudar a manter seu back-end do banco de dados, GFI EventsManager oferece opções de trabalho de manutenção. Trabalhos de manutenção de banco de dados oferecem funcionalidade avançada para administradores, permitindo: Centralizar eventos coletados por outras instâncias remotasgfi EventsManager para um banco de dados back-end. Otimizar o desempenho do GFI EventsManager controlando ativamente o crescimento do banco de dados de back-end e, consequentemente, mantendo-o em boa forma Importar e exportar dados de/para versões mais antigas do GFI EventsManager sem dados inconsistentes. Importar e exportar eventos de/para uma pasta de armazenamento, reduzindo o carregamento de dados do banco de dados. Tópicos deste capítulo: 14.1 Gerenciar back-end do banco de dados Criar tarefas de manutenção Editar trabalhos de manutenção Gerenciar back-end do banco de dados Esta seção descreve como gerenciar facilmente o banco de dados de back-end através do Console de gerenciamento GFI EventsManager. Esta seção contém informações sobre: Criar um novo banco de dados Proteger seu banco de dados Ativar o hash de registro do banco de dados Alternar bancos de dados Configurar as opções de rotação de banco de dados Criar um novo banco de dados GFI EventsManager permite que você tenha vários bancos de dados para armazenar logs de eventos de processamento. Através das guias Navegador de Eventos, Relatórios e outros locais, você pode facilmente mudar de um banco de dados para outro, permitindo visualizar eventos e gerar relatórios em vários bancos de dados. Bancos de dados tornam-se mais seguros quando criptografados com uma senha. Para criar um novo banco de dados: 1. Na guia Configuration > Options > Configurations, clique em File Storage e selecione Configure file storage... GFI EventsManager 14 Manutenção do banco de dados 249

250 Screenshot 197: Diálogo do sistema de armazenamento de arquivos 2. Clique em New e digite o novo nome do banco de dados. Clique em OK ara fechar o diálogo Criar novo banco de dados. 3. Clique em Browse para selecionar um local diferente do armazenamento de banco de dados padrão. 4. (Opcional) Selecione Encrypt data using the following password e especifique a senha de criptografia usada para proteger as informações do novo banco de dados. Obs. Indica que as senhas especificadas não correspondem. 5. Clique em Apply e em OK Proteger banco de dados GFI EventsManager permite proteger o banco de dados com uma chave de criptografia. Criptografar o banco de dados evita que pessoas não autorizadas acessem e visualizem os logs de eventos. Importante Criptografar banco de dados faz com que o Status Monitor e Events Browser interrompam a exibição de informações confidenciais. GFI EventsManager 14 Manutenção do banco de dados 250

251 Para criptografar o banco de dados back-end: Screenshot 198: Editar configurações de armazenamento de arquivo 1. Clique na guia Configuration > Options, clique com o botão direito em File Storage e selecione Configure file storage... GFI EventsManager 14 Manutenção do banco de dados 251

252 Screenshot 199: Ativar criptografia 2. Na guia General, selecione Encrypt data using the following password para ativar a criptografia. 3. Especifique a senha e a confirmação da senha. Obs. Indica que as senhas especificadas não correspondem. 4. Clique em Apply e em OK. Obs. O banco de dados em tempo real (o banco de dados sendo usado no momento) não pode ser criptografado neste diálogo. Apenas os bancos de dados novos ou offline podem ser criptografados aqui. Para criptografar o banco de dados em tempo real, use a ferramenta CMD fornecida: esmdlibm.exe. Para obter mais informações, consulte Using Esmdlibm.exe Hash do registro de banco de dados Para proteger ainda mais os seus dados, GFI EventsManager fornece recursos de hash de registro. Hash de novos registros é um método usado para garantir que os dados dos bancos de dados não sejam modificados. Quando o hash do registro é ativado, um hash é criado para todos os logs coletados na hora da coleta. O hash é construído com base nos dados contidos no próprio log do GFI EventsManager 14 Manutenção do banco de dados 252

253 evento, criando assim o log do evento que é coletado para garantir que seja a versão original. Quando os dados de um registro hash são modificados (mesmo um caractere de uma palavra), os valores de fragmentação são modificados, indicando que alguém pode estar adulterando os registros armazenados. Importante O hash falha quando a opção de anonimato está ativada. Para configurar o hash: Screenshot 200: Ativar/desativar o hash do registro 1. Na guia Configuration > Options > Configurations, clique em File Storage > Configure hashing... GFI EventsManager 14 Manutenção do banco de dados 253

254 Screenshot 201: Diálogo hash de registro 2. Marque/desmarque Enable record hashing para ativar/desativar os recursos de hash. 3. Clique em Check records hashes para executar a verificação de hash no banco de dados selecionado. Selecione um banco de dados na lista e clique em OK para iniciar a verificação. 4. Clique em Apply e em OK Alternar entre banco de dados de armazenamento de arquivos GFI EventsManager permite o uso de vários bancos de dados armazenados em locais diferentes no mesmo computador ou em um computador remoto dentro da sua LAN. Para alternar entre bancos de dados: 1. Clique na guia Configuration > Options. GFI EventsManager 14 Manutenção do banco de dados 254

255 Screenshot 202: Guia Opções 2. No painel esquerdo, clique com o botão direito em File Storage e selecione Configure file storage... GFI EventsManager 14 Manutenção do banco de dados 255

256 3. Na caixa de diálogo Configurar armazenamento de arquivos, clique em Switch server. Isso abre o diálogo Alternar servidor de banco de dados. 4. Na caixa de texto Server hostname, digite Computer name ou IP address da máquina do banco de dados. Clique em OK. 5. Clique em Apply e em OK. Alternar banco dados a partir do painel A visão geral do painel permite alternar para um banco de dados diferente, sem ter que acessar a guia Configuração. Isto é útil quando os logs de eventos são comparados ou o status da gestão de eventos dentro do seu ambiente é avaliado. Para mudar para um banco de dados diferente do painel: 1. Clique em Status > General. Screenshot 203: Alternar entre os bancos de dados a partir do painel 2. Na seção GFI EventsManagerService Status, clique em Database server is running. 3. Na caixa de diálogo Configurar armazenamento de arquivo, clique em Switch server e digite o Name ou endereço IP do servidor do banco de dados. Clique em OK. GFI EventsManager 14 Manutenção do banco de dados 256

257 4. Clique em Apply e em OK Configurar opções de rotação de banco de dados Ao processar eventos com um grande número de origens de eventos, é importante configurar as opções de rotação de banco de dados. Essas opções instruem o GFI EventsManager para alternar automaticamente para um novo banco de dados quando uma certa condição é atendida. Isso ajuda a manter um conjunto de bancos de dados de tamanho fixo que permitemgfi EventsManager melhorar o desempenho Quando um banco de dados aumenta em tamanho, as consultas levam mais tempo para serem concluídas, portanto, o desempenho do GFI EventsManager é afetado negativamente. Por exemplo, se as origens dos eventos normalmente geram uma grande quantidade de pequenos logs de eventos, ative a rotação de banco de dados para quando um número máximo de registros for atingido. Por outro lado, se o tamanho dos logs de eventos gerados pelas origens dos eventos for grande, configure a rotação do banco de dados para quando o banco de dados atingir o limite de tamanho. Para configurar opções de rotação de banco de dados: 1. Clique na guia Configuration > Options. 2. Em Configuration, clique em File storage > Configure file storage... Screenshot 204: Configurar opções de rotação de banco de dados 3. Clique em Enable database rotation. 4. Configure as opções descritas abaixo: GFI EventsManager 14 Manutenção do banco de dados 257

258 Table 80: Opções de rotação de banco de dados Opção Alternar quando o banco de dados atingir {X} Registros Descrição Especificar o número de registros que o banco de dados deve conter antes de mudar para um novo. Obs. Valor mínimo = registros. Alternar quando o banco de dados atingir {X} GB Alternar para um novo banco de dados quando o atual atingir o tamanho especificado em Giga Bytes (GB) Obs. Valor mínimo = 1 GB. Alternar quando o banco de dados atingir {X} semanas. Alterar o banco de dados no primeiro dia de cada {X} mês(es). Número de banco de dados para criar Excluir banco de dados conforme necessário Todos os dias (cada intervalo de 24 horas a contar da hora do início do serviço) Somente após a execução da manutenção do banco de dados Alternar o banco de dados quando o atual atinge o número especificado de semanas. Obs. Valor mínimo = 1 semana. Selecionar esta opção para alternar os bancos de dados no 1º dia de cada número de meses especificados. Por exemplo, alternar o banco de dados no dia 1º de cada mês, no dia 1º de cada dois meses ou no dia 1º de cada seis meses. Especificar o número máximo de bancos de dados que GFI EventsManager pode criar. Deixe o valor em 0 para que um número ilimitado de bancos de dados possa ser criado. Selecionar esta opção para quando o número máximo de bancos de dados for atingido, GFI EventsManager exclui automaticamente o banco de dados mais antigo para liberar espaço para os novos. Selecionar esta opção para criar e usar um novo banco de dados a cada 24 horas. As 24 horas são calculadas a partir da hora que o serviçogfi EventsManager é iniciado. Criar e usar um novo banco de dados depois que banco de dados existente realizar a manutenção. 5. Clique em Apply e em OK Configurar operações do banco de dados Para configurar operações do banco de dados: 1. Clique na guia Configuration > Options. 2. Em Configurations, clique com o botão direito em Database Operations e selecione Properties. GFI EventsManager 14 Manutenção do banco de dados 258

259 Screenshot 205: Diálogo opções de operações de banco de dados 3. Configure as opções nas guias descritas abaixo: Table 81: Configurar operações de banco de dados Guia Geral Agendar Descrição Especificar o identificador único com o qual essa instância do GFI EventsManager será identificada na rede. Este identificador é utilizado como parte do arquivo de exportação durante as operações Exportar para arquivo. Na guia Agendar, especifique: Horas do dia nas quais as tarefas de manutenção podem ser executadas O intervalo em horas/dias em que as tarefas de manutenção serão executadas A data/hora agendada quando os trabalhos de manutenção começarão a ser executados. 4. Clique em Apply e em OK. Obs. As opções de programação também podem ser modificadas na guia Configuration > Options > Actions e clique em Edit schedule options Criar tarefas de manutenção Com o GFI EventsManager você pode programar tarefas de manutenção para serem executadas em um determinado dia, em um horário específico ou em intervalos específicos. Operações de manutenção do banco de dados podem exigir alta utilização de recursos. Isso pode prejudicar o servidor e o desempenho do GFI EventsManager. Agendar tarefas de manutenção para serem GFI EventsManager 14 Manutenção do banco de dados 259

260 executadas após o horário comercial para aumentar a disponibilidade dos recursos do sistema e evitar possíveis interrupções no fluxo de trabalho. GFI EventsManager oferece suporte a dois tipos de tarefas de manutenção, conforme descrito abaixo: Table 82: Tipos de tarefas de manutenção Tipo da tarefa Tarefa Importar\Exportar Tarefa Importar legado Descrição Importar/exportar dados de/para outras instâncias do GFI EventsManager. Exportar e importar os dados em outras instâncias como parte do processo de centralização de dados. Importar dados de versões anteriores do produto. Importar dados de banco de dados, arquivos de legado e armazenamento de arquivos de legado domicrosoft SQL Server. Os trabalhos de importação suportados por este tipo de trabalho são todos baseados nos tipos de back-end de banco de dados de versões anteriores do GFI EventsManager. Leia as seguintes seções para obter informações sobre como criar os seguintes trabalhos de manutenção: Importar do arquivo Exportar para arquivo Exportar para SQL Copiar dados Executar exclusões Importar de banco de dados SQL Server Importar de arquivos de legado Importar de armazenagem de arquivo de legado Importar do arquivo Importar do arquivo de trabalho permite importar dados que foram exportados anteriormente para um arquivo de configuração. Para criar uma Importação do arquivo de trabalho: 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. GFI EventsManager 14 Manutenção do banco de dados 260

261 Screenshot 206: Criar trabalhos de Importação/Exportação 4. Selecione Import/Export Job e clique em Next. Screenshot 207: Importar do arquivo 5. Selecione Import from file e clique em Next. GFI EventsManager 14 Manutenção do banco de dados 261

262 Screenshot 208: Importar do arquivo - Especifique o caminho do arquivo de importação 6. Especifique o caminho para o arquivo de configuração que contém os dados que deseja importar. Como alternativa, clique em Browse para procurar o local. Clique em Next (Avançar). Screenshot 209: Descriptografar os arquivos de importação seguros GFI EventsManager 14 Manutenção do banco de dados 262

263 7. (Opcional) Se você estiver importando um arquivo criptografado, selecione Decrypt the files using the following password e especifique a senha usada para criptografar o arquivo. Clique em Next (Avançar). Screenshot 210: Adicionar condições de filtro 8. Adicione parâmetros de filtragem avançada para importar apenas os dados específicos. Deixe em branco para importar todos os logs de eventos do arquivo. Obs. Para obter mais informações, consulte Criar restrições de consulta. GFI EventsManager 14 Manutenção do banco de dados 263

264 Screenshot 211: Opções executar trabalhos 9. Selecione quando o trabalho deve ser executado e clique em Finish: Table 83: Criar trabalhos de manutenção - Opções de agendamento Opções Agendar trabalho Executar o trabalho agora Descrição O trabalho é salvo e executado de acordo com o agendamento das operações do banco de dados. O trabalho é executado imediatamente. Trabalhos não programados só são executados uma vez e não podem ser reutilizados Exportar para arquivo Exportar para arquivo permite exportar as configurações selecionadas para um arquivo de configuração que pode ser importado por outra instância ou versão degfi EventsManager. Para criar um trabalho exportar para arquivo: 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. GFI EventsManager 14 Manutenção do banco de dados 264

265 Screenshot 212: Criar trabalhos de Importação/Exportação 4. Selecione Import/Export Job e clique em Next. Screenshot 213: Exportar para arquivo 5. Selecione Export to file e clique em Next. GFI EventsManager 14 Manutenção do banco de dados 265

266 Screenshot 214: 6. Digite o caminho para a pasta na qual os arquivos exportados serão salvos. Como alternativa, clique em Browse para procurar o local. Clique em Next (Avançar). Screenshot 215: Descriptografar/Criptografar dados 7. Se o banco de dados de origem (esmstg) está criptografado, selecione Decrypt data using the following password e digite a chave de descriptografia em Password. GFI EventsManager 14 Manutenção do banco de dados 266

267 8. Para criptografar dados exportados, selecione Encrypt exported data using the following password e digite uma chave de criptografia nos campos Password e Confirm password. Clique em Next (Avançar). Screenshot 216: Filtrar dados exportados 9. Configure as seguintes opções de filtro e clique em Next: Table 84: Filtrar dados exportados Opção Export all events Eventos mais antigos Eventos nos últimos Marcar eventos como excluído Avançado... Descrição Exportar todos os eventos do banco de dados. Exportar somente eventos mais antigos que o número de dias/semanas/meses especificado. Exportar somente eventos ocorridos nos últimos números de dias/semanas/meses especificados. Ocultar eventos do banco de dados de origem após exportados. Para remover completamente estes logs de eventos do banco de dados, execute uma tarefa Executar exclusões. Para obter mais informações, consulte Executar exclusões Clique em Advanced... para abrir o diálogo Filtragem avançada. Isto permite a configuração de parâmetros granulares de filtragem somente para exportar eventos específicos. Para obter mais informações, consulte: Criar restrições de consulta GFI EventsManager 14 Manutenção do banco de dados 267

268 Screenshot 217: Opções executar trabalhos 10. Selecione quando executar o trabalho e clique em Finish: Table 85: Criar trabalhos de manutenção - Opções de agendamento Opções Agendar trabalho Executar o trabalho agora Descrição O trabalho é salvo e executado de acordo com o agendamento das operações do banco de dados. O trabalho é executado imediatamente. Trabalhos não programados só são executados uma vez e não podem ser reutilizados. Exportar nome de arquivo A convenção usada por GFI EventsManager para nomear o arquivo de exportação é exibida e descrita abaixo: [ESM ID]_[Job ID]_[Date From]_[Date To].EXP Table 86: Operações de banco de dados: Exportar estrutura do nome do arquivo Nome da seção ESM ID ID de trabalho Data de Data para.exp Descrição Refere-se a um identificador exclusivo para cada instância GFI EventsManager em execução na organização. Refere-se a um identificador exclusivo de cada trabalho de manutenção criado. Refere-se à data do evento exportado mais cedo. Refere-se à data do evento exportado mais recentemente. Esta é a extensão de arquivo dada a todos os arquivos exportados Exportar para SQL Exportar para o SQL permite exportar itens diretamente para uma instância do servidor SQL acessíveis pelo anfitrião GFI EventsManager. Para criar um trabalho exportar para SQL: GFI EventsManager 14 Manutenção do banco de dados 268

269 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. Screenshot 218: Criar trabalhos de Importação/Exportação 4. Selecione Import/Export Job e clique em Next. GFI EventsManager 14 Manutenção do banco de dados 269

270 Screenshot 219: Exportar para SQL 5. Selecione Export to SQL e clique em Next. Screenshot 220: Especificar detalhes do SQL Server 6. Configure as seguintes opções do servidor e clique em Next: GFI EventsManager 14 Manutenção do banco de dados 270

271 Table 87: Exportar para SQL - Opções de Servidor Opção Descrição Servidor Digite o nome da máquina onde o SQL Server está sendo executado. Banco de dados Digite o nome do banco de dados de destino. Obs. Se o banco de dados especificado não existe, GFI EventsManager cria um para você. Tabela Digite o nome da tabela de destino. Obs. Se a tabela especificada não existe, GFI EventsManager cria uma para você. Usar Autenticação Windows Usar a Autenticação do SQL Server Conexão de teste Usar as mesmas credenciais de logon usadas para fazer o logon em Windows. O SQL Server deve dar suporte para este tipo de modo de autenticação para conectar e copiar as informações no servidor. Usar as credenciais de logon configuradas em SQL Server. Digite o nome de usuário no campo User e a senha no campo Password. Clique em Test Connection para tentar se conectar ao SQL Server usando as configurações especificadas. Obs. GFI EventsManager testa a conexão automaticamente após você clicar em Next. Screenshot 221: Selecionar colunas para exportar 7. Selecione as colunas que deseja exportar e clique em Next. Obs. Para exportar todas as colunas, selecione Export all columns. GFI EventsManager 14 Manutenção do banco de dados 271

272 Screenshot 222: Filtrar dados exportados 8. Configure as seguintes opções de filtragem e clique em Next: Table 88: Filtrar dados exportados Opção Export all events Eventos mais antigos Eventos nos últimos Marcar eventos como excluído Avançado... Descrição Exportar todos os eventos do banco de dados. Exportar somente eventos mais antigos que o número de dias/semanas/meses especificado. Exportar somente eventos ocorridos nos últimos números de dias/semanas/meses especificados. Ocultar eventos do banco de dados de origem após exportados. Para remover completamente estes logs de eventos do banco de dados, execute uma tarefa Executar exclusões. Para obter mais informações, consulte Executar exclusões Clique em Avançado... para iniciar o diálogo Filtragem avançada. Isto permite a configuração de parâmetros granulares de filtragem somente para exportar eventos específicos. Para obter mais informações, consulte: Criar restrições de consulta GFI EventsManager 14 Manutenção do banco de dados 272

273 Screenshot 223: Opções executar trabalhos 9. Selecione quando o trabalho deve ser executado e clique em Finish: Table 89: Criar trabalhos de manutenção - Opções de agendamento Opções Agendar trabalho Executar o trabalho agora Descrição O trabalho é salvo e executado de acordo com o agendamento das operações do banco de dados. O trabalho é executado imediatamente. Trabalhos não programados só são executados uma vez e não podem ser reutilizados Copiar dados Para criar tarefas Copiar dados: 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. GFI EventsManager 14 Manutenção do banco de dados 273

274 Screenshot 224: Criar trabalhos de Importação/Exportação 4. Selecione Import/Export Job e clique em Next. Screenshot 225: Selecionar tarefa Copiar dados 5. Selecione Copy data e clique em Next. GFI EventsManager 14 Manutenção do banco de dados 274

275 Screenshot 226: Especificar a origem e o destino dos bancos de dados. 6. Selecione a origem e o destino dos bancos de dados. Clique em Next (Avançar). Screenshot 227: Descriptografar a origem e criptografar o destino dos bancos de dados 7. Se o banco de dados de origem é criptografado, selecione Decrypt data using the following password e especifique a senha usada para criptografar o banco de dados. GFI EventsManager 14 Manutenção do banco de dados 275

276 8. Para criptografar dados na origem, selecione Encrypt exported data using the following password. Especifique a senha de criptografia e clique em Next. Screenshot 228: Filtrar dados exportados 9. Configure as seguintes opções de filtro e clique em Next: Table 90: Filtrar dados exportados Opção Export all events Eventos mais antigos Eventos nos últimos Marcar eventos como excluído Avançado... Descrição Exportar todos os eventos do banco de dados. Exportar somente eventos mais antigos que o número de dias/semanas/meses especificado. Exportar somente eventos ocorridos nos últimos números de dias/semanas/meses especificados. Ocultar eventos do banco de dados de origem após exportados. Para remover completamente estes logs de eventos do banco de dados, execute uma tarefa Executar exclusões. Para obter mais informações, consulte Executar exclusões Clique em Avançado... para iniciar o diálogo Filtragem avançada. Isto permite a configuração de parâmetros granulares de filtragem somente para exportar eventos específicos. Para obter mais informações, consulte: Criar restrições de consulta 10. Selecione quando executar o trabalho e clique em Finish: Table 91: Criar trabalhos de manutenção - Opções de agendamento Opções Agendar trabalho Executar o trabalho agora Descrição O trabalho é salvo e executado de acordo com o agendamento das operações do banco de dados. O trabalho é executado imediatamente. Trabalhos não programados só são executados uma vez e não podem ser reutilizados Executar exclusões Para criar trabalhos Executar exclusões: GFI EventsManager 14 Manutenção do banco de dados 276

277 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. Screenshot 229: Criar trabalhos de Importação/Exportação 4. Selecione Import/Export Job e clique em Next. GFI EventsManager 14 Manutenção do banco de dados 277

278 Screenshot 230: Criar trabalhos executar exclusão 5. Selecione Commit deletions e clique em Next. Screenshot 231: Selecionar banco de dados para excluir registros 6. Selecione o banco de dados para excluir registros. Clique em Next (Avançar). 7. Selecione quando o trabalho é executado e clique em Finish: GFI EventsManager 14 Manutenção do banco de dados 278

279 Table 92: Criar trabalhos de manutenção - Opções de agendamento Opções Agendar trabalho Executar o trabalho agora Descrição O trabalho é salvo e executado de acordo com o agendamento das operações do banco de dados. O trabalho é executado imediatamente. Trabalhos não programados só são executados uma vez e não podem ser reutilizados Importar do banco de dados SQL Server 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. Screenshot 232: Criar trabalhos de Importação/Exportação 4. Selecione Legacy Import Job e clique em Next. GFI EventsManager 14 Manutenção do banco de dados 279

280 Screenshot 233: Selecione Importar no banco de dados do SQL Server 5. Selecione Import from databasesql Server e clique em Next. Screenshot 234: Especificar o endereço e informações de logon do SQL Server 6. Configure as seguintes opções do servidor e clique em Next: GFI EventsManager 14 Manutenção do banco de dados 280

281 Table 93: Exportar para SQL - Opções de Servidor Opção Servidor Banco de dados Usar Autenticação Windows Usar a Autenticação do SQL Server Descrição Digite o nome da máquina onde o SQL Server está sendo executado. Digite o nome do banco de dados de origem. Usar as mesmas credenciais de logon usadas para fazer o logon em Windows. O SQL Server deve dar suporte a este tipo de modo de autenticação para conectar e copiar as informações do servidor. Usar as credenciais de logon configuradas em SQL Server. Digite o nome de usuário no campo User e a senha no campo Password. Screenshot 235: Descriptografar dados anônimos 7. (Opcional) Se o banco de dados SQL Server é anônimo, selecione Enable decryption e especifique a senha usada para manter o banco de dados anônimo. 8. (Opcional) Se o banco de dados do SQL Server é anônimo com duas senhas, selecione Use secondary decryption key e especifique a senha de segurança para manter o banco de dados anônimo. Clique em Next (Avançar). GFI EventsManager 14 Manutenção do banco de dados 281

282 Screenshot 236: Adicionar condições de filtragem de dados indesejados 9. Adicione parâmetros de filtragem avançada para importar dados específicos somente. Deixe em branco para importar todos os logs de eventos. Obs. Para obter mais informações, consulte Criar restrições de consulta. GFI EventsManager 14 Manutenção do banco de dados 282

283 Screenshot 237: Especificar quando o trabalho de manutenção é executado Selecione Run the job now e clique em Finish Importar de arquivos de legado Para criar Importar de trabalhos de arquivos de legado: 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. GFI EventsManager 14 Manutenção do banco de dados 283

284 Screenshot 238: Criar trabalhos de Importação/Exportação 4. Selecione Legacy Import Job e clique em Next. Screenshot 239: Importar de arquivos de legado 5. Selecione Import from legacy files e clique em Next. GFI EventsManager 14 Manutenção do banco de dados 284

285 Screenshot 240: Especificar a localização do arquivo de importação 6. Especifique o caminho para o arquivo de configuração que contém os dados que deseja importar. Como alternativa, clique em Browse para procurar o local. Clique em Next (Avançar). Screenshot 241: Descriptografar as informações no arquivo de importação 7. (Opcional) Se o arquivo foi criptografado, selecione Decrypt the files using the following password e especifique a senha usada para criptografar o arquivo. Clique em Next (Avançar). GFI EventsManager 14 Manutenção do banco de dados 285

286 Screenshot 242: Remover anonimato 8. (Opcional) Se o arquivo é anônimo selecione Enable decryption e especifique a senha usada para manter os dados anônimos. 9. (Opcional) Se o arquivo foi anônimo com duas senhas, selecione Use secondary decryption key e especifique a segunda chave usada para manter os dados do arquivo anônimos. Clique em Next (Avançar). Screenshot 243: Filtrar eventos indesejados com as condições de filtro GFI EventsManager 14 Manutenção do banco de dados 286

287 10. Adicione parâmetros de filtragem avançados para importar apenas os dados específicos. Deixe em branco para importar todos os logs de eventos. Obs. Para obter mais informações, consulte Criar restrições de consulta. Screenshot 244: Especificar quando o trabalho de manutenção é executado Selecione Run the job now e clique em Finish Armazenamento de arquivo de arquivo Importar de legado Para criar Importar de trabalhos de arquivos de legado: 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, clique com o botão direito no nó Database Operations e selecione Create new job 3. Clique em Next na tela de boas-vindas do assistente. GFI EventsManager 14 Manutenção do banco de dados 287

288 Screenshot 245: Criar trabalhos de Importação/Exportação 4. Selecione Legacy Import Job e clique em Next. Screenshot 246: Dados de armazenamento de Importar arquivos de legado 5. Selecione Import from legacy file storage e clique em Next. 6. Especifique o caminho para onde o arquivo de importação está localizado. Como alternativa, clique em Browse e procure o local. GFI EventsManager 14 Manutenção do banco de dados 288

289 7. (Opcional) Se os dados são anônimos, selecione Enable decryption e especifique a senha usada para criptografar os dados. 8. (Opcional) Se os dados são criptografados com duas senhas, selecione Use secondary decryption e digite a senha secundária. Clique em Next (Avançar). 9. (Opcional) Especifique as condições de filtragem de dados não desejados. Deixe este espaço em branco para exportar todos os dados do banco de dados. Para obter mais informações, consulte Definir Restrições. Clique em Next (Avançar). Screenshot 247: Especificar quando o trabalho de manutenção é executado Selecione Run the job now e clique em Finish Editar trabalhos de manutenção Esta seção contém informações sobre: Exibir trabalhos de manutenção agendada Editar as propriedades do trabalho de manutenção Alterar a prioridade dos trabalhos de manutenção Excluir um trabalho de manutenção Exibir trabalhos de manutenção agendada Para exibir o progresso dos trabalhos de manutenção agendada: GFI EventsManager 14 Manutenção do banco de dados 289

290 Screenshot 248: Atividade do trabalho de manutenção Clique nas guias Status > Job Activity. O status de todos os trabalhos de manutenção são exibidos na seção Queued Jobs. Para exibir os trabalhos de manutenção criados: Screenshot 249: Exibir os trabalhos de manutenção agendada 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, selecione o nó Database Operations. Trabalhos de manutenção agendados estão exibidos no painel direito Editar as propriedades do trabalho de manutenção Para editar as propriedades dos trabalhos de manutenção: 1. Na guia Configuration > Options > Configurations, clique em Database Operations. 2. No painel direito, clique com o botão direito em um trabalho de manutenção e selecione Properties. GFI EventsManager 14 Manutenção do banco de dados 290

291 Screenshot 250: Diálogo propriedades do trabalho de manutenção 3. Na caixa de diálogo Propriedades, você pode modificar as configurações definidas ao criar o trabalho, tais como: Senhas de criptografia/descriptografia Nomes e endereços do banco de dados Caminhos de origem/destino Detalhes gerais do trabalho. 4. Clique em Apply e em OK. Obs. Para obter mais informações, consulte Criar trabalhos de manutenção. GFI EventsManager 14 Manutenção do banco de dados 291

292 Alterar a prioridade dos trabalhos Screenshot 251: Prioridades de manutenção de trabalho Por padrão, os trabalhos de manutenção são executados de acordo com a sequência com que os trabalhos são criados (First-in-First-out). Portanto, a prioridade dos trabalhos de manutenção é determinada pelo sequência dos trabalhos que são executados. Para aumentar ou diminuir a prioridade de um trabalho de manutenção: 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, selecione o nó Database Operations. 3. No painel direito, clique com o botão direito no trabalho de manutenção e selecione Increase Priority ou Decrease Priority conforme apropriado Excluir um trabalho de manutenção Para excluir trabalhos de manutenção: 1. Clique na guia Configuration e selecione Options. 2. Em Configurations, selecione o nó Database Operations. 3. No painel direito, clique com o botão direito no trabalho de manutenção para excluir e selecione Delete. Obs. Antes de excluir os trabalhos de manutenção, verifique se todos os dados foram copiados. GFI EventsManager 14 Manutenção do banco de dados 292

293 15 Configurar Console de gerenciamento Este capítulo fornece informações sobre como configurar as definições gerais de GFI EventsManager, tais como licenciamento de produtos, opções de desempenho e atualizações de produtos. Tópicos deste capítulo: 15.1 Opções de desempenho Atualizações do produto Licenciamento de produtos Informações sobre a versão do produto Importar e exportar configurações Criar restrições de consulta Opções de desempenho GFI EventsManager fornece opções que permitem definir o nível de desempenho do serviço GFI EventsManager. Para configurar o nível de desempenho: Screenshot 252: GFI EventsManager Opções de desempenho 1. Na guia Configuration > Options > Configurations, clique com o botão direito em Performance Options e selecione Edit Performance Options. GFI EventsManager 15 Configurar Console de gerenciamento 293

294 Screenshot 253: Caixa de diálogo Opções de Desempenho 2. Selecione/Remova a seleção Enable EventsManager service performance para ativar/desativar as opções de desempenho de serviço. 3. Mova o controle deslizante da esquerda (baixo) para a direita (alto) até encontrar o nível de desempenho necessário. 4. Clique em Apply e em OK. Obs. O nível de desempenho low processa cerca de 50 events per second per event source, e o nívelhigh processa 1,000-2,000 events per second per event source Atualizações do produto Periodicamente, a GFI atualiza seus produtos para melhorar ou adicionar funcionalidades ao GFI EventsManager. Atualizações do produto são importantes para download e instalação porque, além de corrigir os problemas das tecnologias subjacentes, aumentam a compatibilidade com diferentes tecnologias e dispositivos. Quando o host GFI EventsManager está conectado à Internet, atualizações de produtos podem ser baixadas diretamente do Console de Gerenciamento. Onde o acesso à Internet é limitado ou inexistente, atualizações de produtos podem ser baixadas a partir de um local alternativo e, em seguida, colocadas manualmente no repositório de atualizações. Consulte as seções a seguir para obter informações sobre: GFI EventsManager 15 Configurar Console de gerenciamento 294

295 Fazer download direto das atualizações Fazer download das atualizações de um local alternativo (offline) Fazer download direto das atualizações GFI EventsManager permite aos usuários configurar como verificar, baixar e instalar automaticamente as atualizações dos produtos. Para configurar opções de Atualização automática: 1. Na guia Configuration > Options > Configurations, clique com o botão direito em Auto Update Options e selecione Edit updater options... Screenshot 254: Configurar opções de atualização automática 2. Configure as opções descritas abaixo: Table 94: Opções de atualização automática Opções Verificar atualizações automaticamente Atualizar agora Instalar atualizações automaticamente Avise-me somente quando houver atualizações disponíveis Exibir mensagens no aplicativo Descrição Se selecionada, GFI EventsManager verificará as atualizações automaticamente diária ou semanalmente. Se Check for updates automatically não estiver selecionado, utilize essa opção para verificar e instalar manualmente as atualizações que estão faltando. Instala atualizações baixadas automaticamente. Atualizações disponíveis são mostradas na seção Missing Updates mas não são instaladas. Exibir uma mensagem na parte inferior da página do aplicativo. Clique na mensagem exibida para acionar as atualizações. GFI EventsManager 15 Configurar Console de gerenciamento 295

296 Opções Enviar alertas do Usuário administrador GFI EventsManager Descrição Envia um alerta de para a conta do Administrador GFI EventsManager configurada. Para obter mais informações, consulte Configurar a conta do administrador. 3. Se as atualizações do produto deve ser feita por um servidor proxy, clique na guia Prox Server. Screenshot 255: Definir configurações de proxy para o download de atualizações de produto 4. Selecione Use a proxy server, digite o endereço do servidor proxy e porta de escuta nos campos Address e Port. 5. (Opcional) Se o servidor proxy precisar de autenticação, selecione Enable Authentication e digite as credenciais de logon do proxy. 6. Clique em Apply e em OK Download de atualizações de um local alternativo (offline) Para fazer download de atualizações de produtos, GFI EventsManager conecta ao servidor de atualizações GFI. Se o anfitrião GFI EventsManager está em um ambiente seguro e não conectado à Internet, as atualizações podem ser baixadas, a partir de um local alternativo. Em um computador com acesso à Internet, faça o download do pacote de atualização e transfira para o anfitrião GFI EventsManager. Use CMD para executar manualmente uma sessão de atualização, utilizando a ferramenta atualizadora fornecida no diretório de instalação. Você vai precisar de um nome de usuário e senha para entrar no servidor atualizações GFI. Para obter as credenciais de logon, contate um de nossos representantes de suporte. Para obter mais informações, consulte Requesting Technical Support. GFI EventsManager 15 Configurar Console de gerenciamento 296

297 Obs. Este procedimento pressupõe que o produto está instalado no local padrão: C:\Program Files (x86)\gfi\eventsmanager2012. Para fazer download de atualizações de um local alternativo: 1. Em um computador com acesso à Internet, acesse 2. Digite seu nome de usuário e senha. Isso abre os diretórios de atualizações GFI EventsManager no servidor de atualização. GFI EventsManager 15 Configurar Console de gerenciamento 297

298 Screenshot 256: Atualizações GFI EventsManager 3. Clique em ESMUpdateInfo.xml.gz e salve em uma pasta de sua escolha. Obs. Transfira o pacote de atualização baixado a partir de um computador com acesso à Internet para o anfitrião GFI EventsManager. GFI EventsManager 15 Configurar Console de gerenciamento 298

299 Screenshot 257: GFI EventsManager repositório de atualizações 4. Na máquina GFI EventsManager, copie o pacote de atualizações para o seguinte repositório: C:\Program Files\GFI\EventsManager2012\Data\AutoUpdate. GFI EventsManager 15 Configurar Console de gerenciamento 299

300 Screenshot 258: Abrir CMD no modo de administrador 5. Abra o CMD em modo de privilégios elevados, e digite: 64-bit systems - CD C:\Program Files (x86)\gfi\eventsmanager bit systems - CD C:\Program Files\GFI\EventsManager2012 Pressione Enter. GFI EventsManager 15 Configurar Console de gerenciamento 300

301 Screenshot 259: Altere o caminho para diretório de instalação GFI EventsManager Obs. O caminho muda de acordo com o diretório especificado. Screenshot 260: Iniciar manualmente uma sessão de atualização 6. Digite: updater.exe /InstallNow Pressione Enter. GFI EventsManager 15 Configurar Console de gerenciamento 301

302 Para garantir que todas as atualizações sejam instaladas, execute updater.exe /InstallNow até receber uma mensagem indicando que 0 atualizações ausentes foram encontradas. Screenshot 261: Status de atualização 15.3 Licenciamento de produtos GFI EventsManager é licenciado por origem de evento ou computador. Todos os dispositivos que geram um log são considerados uma origem de evento. Consulte as seções abaixo para obter mais informações sobre opções de licenciamentogfi EventsManager. As seções a seguir contêm informações sobre: Atualizar a chave da licença Obter chave de licença para 30 dias de avaliação gratuita Exibir detalhes da licença Adquirir uma chave de licença Atualizar chave de licença Para atualizar sua chave de licença atual: 1. Na guia General > General, clique com o botão direito em Licensing e selecione Update Key... Screenshot 262: Atualizar diálogo da chave de licença GFI EventsManager 15 Configurar Console de gerenciamento 302

303 3. Especifique sua chave de licença e clique em OK Obter chave de licença para 30 dias de avaliação gratuita GFI EventsManager permite o registro da versão do produto e obter uma versão de teste gratuita de 30 dias. Uma vez que o período de avaliação expira, todo o monitoramento do log de eventos e de gestão de serviços é desativado e é exigida uma chave de licença completa. Para registrar e receber uma chave de licença para 30 dias de avaliação gratuita: 1. Na guia General > General, clique em Licensing. 2. Clique no link fornecido. Você será levado para o site do GFI onde poderá inserir os detalhes e receber a chave da licença por . O endereço de fornecido no formulário de inscrição é onde será enviada a sua chave de avaliação gratuita de 30 dias. Se você tem um sistema de filtragem de spam, verifique se o não está bloqueado como spam Exibir detalhes da licença Os detalhes da licença fornecem outros detalhes da distribuição da licença. Para exibir detalhes do licenciamento: 1. Na guia General > General, clique em Licensing. 2. No painel direito, clique em Show details para expandir os detalhes da seção. Isto exibe o número de origens de eventos configurados e o respectivo tipo de licença (como Estação de trabalho ou Servidor) Adquirir uma chave de licença Para adquirir uma chave de licença: 1. Na guia General > General, clique em Licensing. Screenshot 263: Comprar agora! Botão 2. No painel direito, clique em Buy Now!. Você será levado para o site do GFI onde poderá obter mais informações sobre o licenciamento e comprar uma chave válida. Obs. Para obter mais informações, consulte: Informações de licenciamento - Informação de Preços Informações sobre a versão do produto A GFI recomenda que você mantenha atualizado o GFI EventsManager e use a versão mais recente do produto para suporte completo de recursos e compatibilidade com o dispositivo. Essa informação também pode ser útil para solucionar erros de funcionalidade com um representante do suporte técnico. Consulte as seções a seguir para obter informações sobre: Verificar sua versão GFI EventsManager Para verificar os detalhes das informações da versão: 1. Na guia General > General, clique em Version Information. GFI EventsManager 15 Configurar Console de gerenciamento 303

304 Screenshot 264: Tela de informação sobre a versão 2. Exiba detalhes das informações da versão no painel direito. 3. (Opcional) Clique em Click here to obtain the version number of the latest release para obter mais informações sobre a versão a partir dos servidores GFI Verificar se há versões mais recentes Para verificar se há versões mais recente dogfi EventsManager: 1. Na guia General > General, clique com o botão direito em Version Informaton e selecione Check for newer builds (Opcional) No painel direito, marque/desmarque Automatically check for a newer version at startup para verificar automaticamente se há novas versões. Por padrão, essa opção está ativada Importar e exportar configurações A ferramenta de importação e exportação fornecida permite mover facilmente as configurações de uma instância degfi EventsManager para outra. Isso também pode ser feito como parte de um plano de recuperação de desastres, para evitar ter que reconfigurar GFI EventsManager no caso de um desastre. As seguintes configurações podem ser importadas/exportadas usando GFI EventsManager: Origens do evento Regras de processamento de eventos Filtros do navegador de eventos Opções (incluindo Ações de classificação padrão, Opções de alertas, Operações de banco de dados e mais). Esta seção contém informações sobre: GFI EventsManager 15 Configurar Console de gerenciamento 304

305 Exportar configurações para um arquivo Importar configurações de um arquivo Importar configurações de uma outra instância Exportar configurações para um arquivo Para exportar configurações GFI EventsManager: 1. Clique em File > Import and Export Configurations... Screenshot 265: Exportar configurações para um arquivo 2. Selecione Export the desired configurations to a file e clique em Next. GFI EventsManager 15 Configurar Console de gerenciamento 305

306 Screenshot 266: Especifique o destino da exportação 3. Especifique o local onde o arquivo exportado será salvo ou clique em Browse... para procurar o local. Clique em Next (Avançar). Screenshot 267: Selecionar exportar configurações 4. Selecione as configurações que você deseja exportar e clique em Next. GFI EventsManager 15 Configurar Console de gerenciamento 306

307 5. Aguarde para exportar a configuração GFI EventsManager e clique em OK Importar configurações de um arquivo Para importar configurações de um arquivo: 1. Clique em File > Import and Export Configurations... Screenshot 268: Importar configurações de um arquivo 2. Selecione Import the desired configurations from a file e clique em Next. GFI EventsManager 15 Configurar Console de gerenciamento 307

308 Screenshot 269: Especificar o local do arquivo de configuração 3. Especifique o caminho onde o arquivo de importação será armazenado ou clique em Browse... para procurar o arquivo. Clique em Next (Avançar). Screenshot 270: Selecionar as configurações para importar ] 4. Selecione as configurações que você deseja importar e clique em Next. GFI EventsManager 15 Configurar Console de gerenciamento 308

309 5. Aguarde para importar as configurações GFI EventsManager e clique em OK. Obs. Quando GFI EventsManager detecta outra configuração, pergunta se você deseja substituir ou mesclar as duas configurações Importar configurações de uma outra instância Para importar configurações de outra instância degfi EventsManager 1. Clique em File > Import and Export Configurations... Screenshot 271: Importar configurações de uma outra instância de GFI EventsManager 2. Selecione Import the configurations from another instance e clique em Next. GFI EventsManager 15 Configurar Console de gerenciamento 309

310 Screenshot 272: Especificar o local da instância 3. Especifique o caminho da pasta de instalação da instância que você deseja importar configurações. Como alternativa, clique em Browse... para procurar o arquivo. Clique em Next (Avançar). Screenshot 273: Selecionar a configurações para importar de uma outra instância de GFI EventsManager 4. Selecione as configurações que você deseja importar e clique em Next. GFI EventsManager 15 Configurar Console de gerenciamento 310

311 5. Aguarde as configurações para importar e clique em OK. Obs. Quando GFI EventsManager detecta outra configuração, pergunta se você deseja substituir ou mesclar as duas configurações Criar restrições de consulta GFI EventsManager permite criar consultas personalizadas usando o diálogo Edit Query Restriction. As consultas são instruções quegfi EventsManager envia para o backend do servidor do banco de dados ao armazenar e recuperar dados. Elas também são usadas para configurar regras para desencadear ações e alertas quando certos valores de atributos são detectados. Os seguintes cenários usam o diálogo Editar Restrição de Consulta na configuração granular: Table 95: Usa as restrições de consulta Uso Configuring reports Configuring user accounts Configuring events processing rules Descrição Construa consultas para filtrar informações do relatório e gerar relatórios referentes a atributos específicos Prevenir usuários do Console de gerenciamento GFI EventsManager de exibir informações não autorizadas sobre outros usuários, logs de eventos ou atividades da rede. Analisa os logs de eventos coletados que correspondam aos valores configurados nas consultas de processamento de eventos. Isso permite a inspeção da atividade da rede com detalhe granular, que ajuda a resolver problemas de rede de forma proativa antes de evoluir para problemas graves. GFI EventsManager 15 Configurar Console de gerenciamento 311

312 Screenshot 274: Usuários, regras de processamento de eventos e consultas de relatório Usar o diálogo Editar restrição de consulta Para editar restrições de consulta com filtragem e configuração granular: 1. A tabela a seguir descreve como iniciar o diálogo Editar Restrição de Consulta de usuários, relatórios e regras de processamento: Table 96: Iniciar diálogo Editar Restrições de Consulta Configurar... Usuários Relatórios Procedimento Para iniciar o diálogo de restrições de consulta: 1. Clique na guia Configuration > Options > Users and Groups > Users. 2. No painel direito, clique com o botão direito para editar e selecione Properties. 3. Na caixa de diálogo User Propriedades, clique na guia FilterAdvanced Na caixa de diálogo Advanced Filtering, clique em Add. Para iniciar o diálogo de restrições de consulta: 1. Clique na guia Reporting. 2. Na lista Reports, clique com o botão direito para editar o relatório e selecione Properties. 3. Na guia General, clique em Add. GFI EventsManager 15 Configurar Console de gerenciamento 312

313 Configurar... Regras de processamento de eventos Procedimento Para iniciar o diálogo de restrições de consulta: 1. Clique na guia Configuration > Events Processing Rules. 2. Na lista Rule Folders, clique com o botão direito para editar a regra de processamento de eventos e selecione Properties. 3. A partir do processamento do diálogo das propriedades de regras, clique na guia Conditions > Add. Screenshot 275: Definir restrições: Editar uma restrição de consulta 2. A partir da lista de campos disponíveis, selecione um campo. Opcionalmente, digite o nome na caixa de texto Field Name para pesquisar o campo obrigatório. 3. Especifique um Field Operator para o campo selecionado. As operadoras disponíveis incluem: Table 97: Definir as restrições: Operadores de Campo Operador de campo Igual a Inferior a Superior a Ocorrido (relacionado aos campos de data/- hora) Como Contém Valor na lista Descrição Quando o campo do evento é igual ao valor configurado. Quando o campo do evento tem um valor inferior ao valor configurado. Quando o campo do evento tem um valor superior ao valor configurado. Quando a data do campo do evento ocorre antes da data atribuída. Quando o campo do evento tem texto semelhante ao texto atribuído. Quando o campo do evento contém o texto atribuído. Quando o campo do evento é igual a um dos valores de uma lista. 4. Especifique um Field Value para o campo e operador selecionado. Alguns campos têm valores predefinidos, outros exigem que você especifique um valor. 5. Clique em OK. GFI EventsManager 15 Configurar Console de gerenciamento 313

314 Obs. Repita as etapas 1-4 para adicionar todos os campos que deseja incluir na consulta. Obs. É possível copiar as restrições de relatório dos relatórios existentes. Na guia Reporting > Reports, clique com o botão direito em um relatório e selecione Copy Report Restrictions. Screenshot 276: Definir restrições: Personalizar a condição 6. Após definir todas as restrições, use as opções descritas abaixo para personalizar as condições de consulta: Table 98: Definir as restrições: Ferramentas de condições de consulta Opções E OU Descrição Selecione a condição para configurar e selecione E. A condição selecionada E as condição(ões) seguinte(s) devem ser atendidas para que a consulta seja válida. Selecione a condição para configurar e selecione OU. A condição selecionada OU a condição(ões) seguinte(s) devem ser atendidas para que a consulta seja válida. GFI EventsManager 15 Configurar Console de gerenciamento 314

315 Opções E NÃO OU NÃO Descrição Selecione a condição para configurar e selecione E NÃO. Isto significa que a condição selecionada deve corresponder com os parâmetros de restrição, mas as seguintes condições não. Selecione a condição para configurar e selecione OU NÃO. Isto significa que a condição selecionada deve corresponder com os parâmetros de restrição OU as seguintes condições não. + ( Clique em + ( para abrir um parêntese na condição selecionada. Condições entre parênteses são processadas primeiro. + ) Clique em + ) para fechar um parêntese na condição selecionada. Condições entre parênteses são processadas primeiro. - ( Clique em - ( para remover o primeiro parêntese da condição selecionada. - ) Clique em - ) para remover o segundo parêntese da condição selecionada. Adicionar Editar Excluir Limpar Seta para cima Seta para baixo Clique em Adicionar para iniciar o diálogo de restrições e adicionar mais campos para a condição. Clique em Editar para acessar o diálogo de restrições e personalizar a condição selecionada. Clique em Excluir para excluir uma condição. O botão Limpar exclui todas as condições da consulta. Use a seta para cima para mover a condição selecionada para cima na lista. Use a seta para baixo para mover a condição selecionada para baixo na lista. 7. Clique em Apply e em OK. GFI EventsManager 15 Configurar Console de gerenciamento 315

316 16 Ferramentas da linha de comando GFI EventsManagerfornece ferramentas de linha de comando através do qual você pode executar várias funções sem acessar o Console de gerenciamento. As ferramentas CMD estão disponíveis na pasta de instalaçãogfi EventsManager. Tópicos deste capítulo: 16.1 Usar ESMCmdConfig.exe Usar EsmDlibM.exe Usar DLibAdm.exe Usar EsmReport.exe Usar ESMCmdConfig.exe ESMCmdConfig.exe permite definir as configurações gerais de GFI EventsManager; como: credenciais de logon GFI EventsManager Chave de licença Configurações do servidor de Conta administrativa Criar/Remover grupos de atalhos Obter nomes de computadores. Para usar ESMCmdConfig.exe: 1. Clique em Start > Run e digite CMD. 2. Pressione Ctrl + Shift + Enter para executar CMD com privilégios elevados. 3. Alterar o diretório no instalar diretório GFI EventsManager. Exemplo: CD <C:\Program Files\GFI\EventsManager> 4. Digite ESMCmdConfig.exe seguido das funções descritas abaixo: /op:registerservice /op:enable /op:disable /op:setlicense /op:configurealerting /op:setadmin /op:createprogramgroupshortcuts /op:removeprogramgroupshortcuts /op:getcomputers GFI EventsManager 16 Ferramentas da linha de comando 316

317 /op:registerservice Essa função permite registrar os serviços GFI EventsManager, usando uma conta de administrador. Os parâmetros a seguir são aceitos: Table 99: /op:registerservice Parameters Parâmetro /username:<nome de usuário> Descrição Especifique o nome de usuário de uma conta de administrador. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /pass:<senha> Especifique uma senha para a conta especificada no parâmetro /username. Exemplo ESMCmdConfig.exe /op:registerservice /username:domain\administrator /pass:p@ss /op:enable Essa função permite ativar os recursos de gerenciamento e não suporta os parâmetros adicionais. Exemplo ESMCmdConfig.exe /op:enable /op:disable Essa função permite que você desative os recursos de gerenciamento e avisa o usuário com uma mensagem personalizada. Os parâmetros a seguir são aceitos: Table 100: /op:disable Parameter Parâmetro /message:<mensagem> Descrição Especifique uma mensagem personalizada a ser mostrada para o usuário antes da funcionalidade de gestão de eventos ser desativada. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Exemplo ESMCmdConfig.exe /op:disable /message:"events Management Disabled!" /op:setlicense Esta função permite a inserção da chave de licença do produto. Os parâmetros a seguir são aceitos: Table 101: /op:setlicense Parameters Parâmetro /licensekey:<key> Descrição Especifica a chave de licença do produto. GFI EventsManager 16 Ferramentas da linha de comando 317

318 Exemplo ESMCmdConfig.exe /op:setlicense /licensekey:********* /op:configurealerting Essa função permite ativar e configurar as opções de alerta de . Os parâmetros a seguir são aceitos: Table 102: /op:configurealerting Parameters Parâmetro /Server:<servidor> /Sender < > /Port:<porta> /RequiresAuthentication: <true false> Descrição Especifique o endereço IP do servidor de ou nome de domínio totalmente qualificado (FQDN). Especifica o endereço de do remetente. Notificações parecem ter sido enviadas para o endereço especificado. Especifica a porta TCP usada para enviar s. Especifica se o servidor de requer autenticação. Valores suportados: Verdadeiro /User:<nome de usuário> Falso Especifica o nome do endereço de especificado no parâmetro /Sender . Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /Pass:<senha> Especifica uma senha para o nome de usuário especificado no parâmetro /User. Exemplo ESMCmdConfig.exe /op:configurealerting /Server: /Sender jsmith@domain.com /Port:25 /RequiresAuthentication:True /User:jsmith /Pass:p@ss /op:setadmin Esta função permite configurar o endereço de EventsManagerAdministrator. Os parâmetros a seguir são aceitos: Table 103: /op:setadmin Parameter Parâmetro / < > Descrição Especifique o endereço de EventsManagerAdministrator Exemplo ESMCmdConfig.exe /op:setadmin / esmadmin@domain.com /op:createprogramgroupshortcuts Essa função permite criar grupos de atalhos e não possui parâmetros adicionais. GFI EventsManager 16 Ferramentas da linha de comando 318

319 Exemplo ESMCmdConfig.exe /op:createprogramgroupshortcuts /op:removeprogramgroupshortcuts Essa função permite remover atalhos de grupos e não possui parâmetros adicionais. Exemplo ESMCmdConfig.exe /op:removeprogramgroupshortcuts /op:getcomputers Essa função permite recuperar um arquivo de texto contendo nomes de origens de eventos gerenciados por GFI EventsManager. Os parâmetros a seguir são aceitos: Table 104: /op:getcomputers Parameter Parâmetro /filename:<nome de arquivo> Descrição Especifica o caminho completo para onde o arquivo de texto é exportado para incluir o nome do arquivo de texto. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Exemplo ESMCmdConfig.exe /op:getcomputers /filename:c:\computernames.txt 16.2 Usar EsmDlibM.exe EsmDlibM.exe permite executar o armazenamento de arquivos de sistema onde os eventos processados são armazenados (back-end do banco de dados). Estas operações incluem a importação ou exportação de dados. Para usar EsmDlibM.exe: 1. Clique em Start > Run e digite CMD. 2. Pressione Ctrl + Shift + Enter para executar CMD com privilégios elevados. 3. Alterar o diretório no instalar diretório GFI EventsManager. Exemplo: CD <C:\Program Files\GFI\EventsManager> 4. Digite EsmDlibM.exe seguido das funções descritas abaixo: /importfromsql /importfromdlib /copydata /importfromlegacyfile /exporttofile GFI EventsManager 16 Ferramentas da linha de comando 319

320 /importfromfile /commitdeletedrecords /exporttosql /importfromsql Essa função permite importar dados de um banco de dadossql Server. Os dados precisam ser exportados de uma versão anterior do GFI EventsManager. Os parâmetros a seguir são aceitos: Table 105: /importfromsql Parameters Parâmetro Descrição /server:<servername> Especifica o endereço IP ou nome da máquina SQL Server. /database:<(maindb) (backupdb) databasename> Especifica o tipo e o nome do banco de dados de origem de onde importar dados. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /dbauth:<sql WIN> /username:<username> Especifica o modo autenticação configurado na origem SQL Server. Valores suportados: SQL: para usar autenticação SQL Server WIN: para usar autenticaçãowindows. Especifica um nome de usuário com acesso ao banco de dados para o qual importar os dados. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /password:<password> /anonpass1:<password> /anonpass2:<password> Especifica uma senha para o nome de usuário especificado no parâmetro /username. (Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária para descriptografar os dados importados. (Opcional) Se o banco de dados de origem é anônimo, usando duas chaves de anonimato, digite a senha de anonimato secundária para descriptografar os dados importados. Exemplo EsmDlibM.exe /importfromsql /server: /database:eventsdatabase /dbauth:sql /username:sa /password:p@ss /anonpass1:p@ss /importfromdlib Esta função permite importar os dados que foram exportados de um servidor de banco de dados (DLIB) de uma versão mais antiga dogfi EventsManager. Os parâmetros a seguir são aceitos: Table 106: /importfromdlib Parameters Parâmetro /path:<path> Descrição Especifica o caminho para o servidor de banco de dados DLib. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /name:< name> Especifica o nome do banco de dados DLib que você deseja importar. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). GFI EventsManager 16 Ferramentas da linha de comando 320

321 Parâmetro /anonpass1:< password> /anonpass2:< password> Descrição (Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária para descriptografar os dados importados. (Opcional) Se o banco de dados de origem é anônimo, usando duas chaves de anonimato, digite a senha de anonimato secundária para descriptografar os dados importados. Exemplo EsmDlibM.exe /importfromdlib /path:c:\dlibserver /name:eventsdata /anonpass1:p@ss /copydata Essa função permite copiar de um servidor do banco de dados DLib para outro. Os parâmetros a seguir são aceitos: Table 107: /copydata Parameters Parâmetro Descrição Especifica o destino do servidor de banco de dados. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /destinationname:< destinationname> /destinationencpass:< password> /destinationpath:<destinationpath> /sourcepath:<sourcepath> /sourcename:<sourcename> /sourceencpass:< password> /anonpass1:< password> /anonpass2:< password> Especifica o nome do banco de dados de destino. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). (Opcional) Especifica uma senha para criptografar dados no destino. Especifica o caminho para o servidor do banco de dados. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Especifica o nome do banco de dados de origem. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). (Opcional) Especifica uma chave de criptografia para criptografar os dados de origem. (Opcional) Especifica a senha primária para manter o anonimato dos dados de origem. (Opcional) Especifica uma senha secundária para manter o anonimato dos dados de origem usando duas chaves. GFI EventsManager 16 Ferramentas da linha de comando 321

322 Parâmetro /period:<type><number><unit> Descrição Permite filtrar por data de evento para obter eventos dos últimos dias/semanas/meses ou dias/semanas/meses mais antigos. Por exemplo, para filtrar eventos que aconteceram nos últimos 24 dias, o valor do parâmetro é: l24d. E para filtrar eventos com mais de 3 semanas, o valor do parâmetro é O3W. Os valores suportados incluem: <type>: o - mais antigo que l - último <number> - especifica o número de dias/semanas/meses <unit>: d - dias w - semanas /markeventsasdeleted /log_format:<valor> /machine:<valor> /importance:<value> /occured:<valor> m - meses. (Opcional) Marca eventos copiados como excluídos no banco de dados de origem. Esses eventos não são mais visíveis no console de gerenciamento, mas ainda permanecem no banco de dados. Para a completa remoção do banco de dados, execute o trabalho Commit Deletions. Esses parâmetros fornecem ao usuário uma forma conveniente para filtrar eventos pelas colunas correspondentes. Esses filtros são opcionais. Quando utilizados em conjunto, eles estão vinculados E condicionados aos dados de origem. Exceto na máquina onde o usuário pode inserir o nome da máquina de destino como exibido no navegador de eventos, os outros parâmetros possuem valores parâmetros predefinidos com as conotações óbvias listadas abaixo. Valores suportados: log_format: "windows auditoria sql auditoria oracle logs de texto mensagens syslog interceptação snmp monitoramento importância Não classificado Baixa Média Alta Crítica Ruído ocorrido Hoje Ontem Últimos 7 dias Últimos 30 dias Este mês Último mês. GFI EventsManager 16 Ferramentas da linha de comando 322

323 Exemplo EsmDlibM.exe /copydata /destinationpath:z:\destserv /destinationname:destdata /sourcepath:c:\sourserv /sourcename:sourdata /markeventsasdeleted /importfromlegacyfile Esta função permite imporatr os dados exportados para arquivos de uma versão mais antiga do GFI EventsManager. Os parâmetros a seguir são aceitos: Table 108: /importfromlegacyfile Parameters Parâmetro /path:<path> Descrição Especifica o caminho para o arquivo de importação. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /logtypes:<application, custom, directory, security, dns, filereplication, syslog, system, snmp, oracle, sql, text> /password:<password> /anonpass1:<password> /anonpass2:<password> (Opcional) Especifica os tipos que você deseja importar. Excluir parâmetro para importar todos os tipos de logs. (Opcional) Especifica uma senha para descriptografar dados de importação. (Opcional) Especifica a senha primária para manter o anonimato da importação de dados. (Opcional) Especifica uma senha secundária para manter o anonimato da importação de dados usando duas chaves. Exemplo EsmDlibM.exe /importfromlegacyfile /path:c:\importdata\configuration.cfg /password:p@ss /anonpass1:p@ss /exporttofile Esta função permite exportar dados de um servidor de banco de dados DLib para outro como parte do processo de centralização de dados Você também pode usar essa função de backup de dados para se manter seguro. Os parâmetros a seguir são aceitos: Table 109: /exporttofile Parâmetro /path:<path> Descrição Especifica o caminho da pasta para onde os dados são exportados. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /sourceencpass:< password> /destinationencpass:< password> /anonpass1:< password> /anonpass2:< password> (Opcional) Especifique uma senha para criptografar os dados de origem. (Opcional) Especifique uma senha para criptografar dados de destino. (Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária para descriptografar os dados exportados. (Opcional) Se o banco de dados de origem é anônimo usando duas chaves de anonimato, digite a senha de anonimato secundária para descriptografar os dados exportados. GFI EventsManager 16 Ferramentas da linha de comando 323

324 Parâmetro /period:<type><number><unit> Descrição Permite filtrar por data de evento para obter eventos dos últimos dias/semanas/meses ou dias/semanas/meses mais antigos. Por exemplo, para filtrar eventos que aconteceram nos últimos 24 dias, o valor do parâmetro é: l24d. E para filtrar eventos com mais de 3 semanas, o valor do parâmetro é O3W. Os valores suportados incluem: <type>: o - mais antigo que l - último <number> - especifica o número de dias/semanas/meses <unit>: d - dias w - semanas /markeventsasdeleted /log_format:<valor> /machine:<valor> /importance:<value> /occured:<valor> m - meses. (Opcional) Marca eventos copiados como excluídos no banco de dados de origem. Esses eventos não são mais visíveis no console de gerenciamento, mas ainda permanecem no banco de dados. Para a completa remoção do banco de dados, execute o trabalho Commit Deletions. Esses parâmetros fornecem ao usuário uma forma conveniente para filtrar eventos pelas colunas correspondentes. Esses filtros são opcionais. Quando utilizados em conjunto, eles estão vinculados E condicionados aos dados de origem. Exceto na máquina onde o usuário pode inserir o nome da máquina de destino como exibido no navegador de eventos, os outros parâmetros possuem valores parâmetros predefinidos com as conotações óbvias listadas abaixo. Valores suportados: log_format: "windows auditoria sql auditoria oracle logs de texto mensagens syslog interceptação snmp monitoramento importância Não classificado Baixa Média Alta Crítica Ruído ocorrido Hoje Ontem Últimos 7 dias Últimos 30 dias Este mês Último mês. GFI EventsManager 16 Ferramentas da linha de comando 324

325 Exemplo EsmDlibM.exe /exporttofile /path:c:\exporteddatafolder /markeventsasdeleted /importance:high /importfromfile Esta função permite importar dados de um arquivo como parte do processo de centralização de dados. O arquivo de importação deve ser criado a partir de um trabalho Export to File. Os parâmetros a seguir são aceitos: Table 110: /importfromfile Parameters Parâmetro /path:<path> Descrição Especifica o caminho onde o arquivo de importação é salvo. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /password:< password> /log_ format:<valor> /machine: <valor> /importance: <value> /occured: <valor> (Opcional) Se o arquivo de importação é protegido por senha, digite a senha. Esses parâmetros fornecem ao usuário uma forma conveniente para filtrar eventos pelas colunas correspondentes. Esses filtros são opcionais. Quando utilizados em conjunto, eles estão vinculados E condicionados aos dados de origem. Exceto na máquina onde o usuário pode inserir o nome da máquina de destino como exibido no navegador de eventos, os outros parâmetros possuem valores parâmetros predefinidos com as conotações óbvias listadas abaixo. Valores suportados: log_format: "windows auditoria sql auditoria oracle logs de texto mensagens syslog interceptação snmp monitoramento importância Não classificado Baixa Média Alta Crítica Ruído ocorrido Hoje Ontem Últimos 7 dias Últimos 30 dias Este mês Último mês. GFI EventsManager 16 Ferramentas da linha de comando 325

326 Exemplo EsmDlibM.exe /importfromfile /path:c:\importfolder\import.cfg /machine:ms11.domain.com /occured:true /commitdeletedrecords Esta função permite excluir eventos que são marcados como excluídos do banco de dados. Os parâmetros a seguir são aceitos: Table 111: /commitdeletedrecords Parameters Parâmetro /dbpath:<dbpath> Descrição Especifica o caminho para o servidor do banco de dados que contém os eventos marcados como excluídos. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /password:< password> /anonpass1:< password> /anonpass2:< password> (Opcional) Se o banco de dados é protegido por senha, digite a senha. (Opcional) Se o banco de dados é anônimo, digite a senha para remover o anonimato. (Opcional) Se o banco de dados é anônimo usando duas chaves de anonimato, digite a chave secundária. Exemplo EsmDlibM.exe /commitdeletedrecords /dbpath:c:\databaseserverfolder /password:p@ss /anonpass1:pa$$ /exoporttosql Essa função permite exportar eventos específicos para SQL Server. Os parâmetros a seguir são aceitos: Table 112: /exporttosql Parameters Parâmetro Descrição Especifica o endereço de IP ou o nome do computador que está sendo executado SQL Server. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /database:< maindb backupdb > /dbauth:< SQL WIN> /server:<servername> /username:<username Especifica o nome do banco de dados de destino. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Especifica o modo autenticação configurado na origem SQL Server. Valores suportados: SQL: para usar autenticação SQL Server WIN: para usar autenticaçãowindows. Especifica um nome de usuário com acesso ao banco de dados para o qual importar os dados. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). GFI EventsManager 16 Ferramentas da linha de comando 326

327 Parâmetro /password:< password> /table:<table> Descrição Especifica uma senha para o nome de usuário especificado no parâmetro /username. Especifica o nome da tabela de destino. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). / period :< type ><number><unit> Permite filtrar por data de evento para obter eventos dos últimos dias/semanas/meses ou dias/semanas/meses mais antigos. Por exemplo, para filtrar eventos que aconteceram nos últimos 24 dias, o valor do parâmetro é: l24d. E para filtrar eventos com mais de 3 semanas, o valor do parâmetro é O3W. Os valores suportados incluem: <type>: o - mais antigo que l - último <number> - especifica o número de dias/semanas/meses <unit>: d - dias w - semanas /sourceencpass:< password> /anonpass1:< password /anonpass2:< password> m - meses. (Opcional) Se os dados de origem são criptografados, digite a senha para descriptografar os dados exportados. (Opcional) Se o banco de dados de origem é anônimo, digite a senha de anonimato primária para descriptografar os dados exportados. (Opcional) Se o banco de dados de origem é anônimo usando duas chaves de anonimato, digite a senha de anonimato secundária para descriptografar os dados exportados. Exemplo EsmDlibM.exe /exporttosql /server: /database:eventsdatabase /dbauth:sql /username:sa /password:p@ss /table:eventstable /anonpass1:pa$$ 16.3 Usar DLibAdm.exe DLibAdm.exe é usado para executar operações administrativas nos servidores de banco de dados DLib instalados na rede. Usar DLibAdm.exe: 1. Clique em Start > Run e digite CMD. 2. Pressione Ctrl + Shift + Enter para executar CMD como administrador. 3. Altere o diretório ativo na pasta de instalação do Servidor de banco de dados DLib. Digite (exemplo): CD C:\Program Files\GFI\Database Server 2.0 Pressione Enter. 4. Digite DLibAdm.exe seguido das funções descritas abaixo: /decryptdatabase /encryptdatabase GFI EventsManager 16 Ferramentas da linha de comando 327

328 /displayalldlib /copymovedlib /decryptdatabase Essa função permite descriptografar um banco de dados DLib criptografado. Os parâmetros a seguir são aceitos: Table 113: /decryptdatabase Parameters Parâmetro /dbpath:<caminho> Descrição Especifique o caminho para o banco de dados que você deseja descriptografar. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /dbname:<nome> Especifique o nome do banco de dados que você deseja descriptografar. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /password:<senha> Especifica a senha usada para descriptografar o banco de dados. Exemplo DLibAdm.exe /decryptdatabase /dbpath:"c:\program Files\GFI\Database Server 2.0" /dbname:eventsdatabase /password:p@ss /encryptdatabase Essa função permite criptografar um banco de dados especificado. Os parâmetros a seguir são aceitos: Table 114: /encryptdatabase Parameters Parâmetro /dbpath:<caminho> Descrição Especifique o caminho para o banco de dados que você deseja criptografar. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /dbname:<nome> Especifique o nome do banco de dados que você deseja criptografar. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /password:<senha> Especifique a senha usada para criptografar o banco de dados. Exemplo DLibAdm.exe /encryptdatabase /dbpath:"c:\program Files\GFI\Database Server 2.0" /dbname:eventsdatabase /password:p@ss /displayalldlib Essa função permite a listagem de todos os servidores válidos de banco de dados DLib executados em uma pasta especificada. Os parâmetros a seguir são aceitos: GFI EventsManager 16 Ferramentas da linha de comando 328

329 Table 115: /displayalldlib Parameters Parâmetro Descrição Especifique o caminho para a pasta na qual você deseja fazer a análise dos Servidores de Banco de Dados DLib válidos. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Exemplo DLibAdm.exe /displayalldlib /path:"c:\program Files\GFI\Database Server 2.0" /copymovedlib Essa função permite copiar ou mover um banco de dados DLib para um local especificado. Os parâmetros a seguir são aceitos: Table 116: /copymovedlib Parâmetro /sourcepath:<sourcepath> Descrição Especifique o caminho para o banco de dados de origem (banco de dados que você deseja mover ou copiar). Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /path:<caminho> /destinationpath:<destinationpath> /copymove:<copy move> /dbname:<dbname> Especifique o caminho para a pasta de destino. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Especifique a ação a ser executada no banco de dados. Valores suportados: copiar mover. Especifique o nome do banco de dados que você deseja copiar ou mover. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Exemplo DLibAdm.exe /copymovedlib /sourcepath:"c:\program Files\GFI\Database Server 2.0" /destinationpath:c:\eventsdatabases /copymove:move /dbname:eventsdatabase 16.4 Usar EsmReport.exe EsmReport.exe permite gerar relatórios em produtos como a configuração e relatórios de atividades de trabalho. Para usar EsmReport.exe: 1. Clique em Start > Run e digite CMD. 2. Pressione Ctrl + Shift + Enter para executar CMD com privilégios elevados. GFI EventsManager 16 Ferramentas da linha de comando 329

330 3. Alterar o diretório no instalar diretório GFI EventsManager. Exemplo: CD <C:\Program Files\GFI\EventsManager> 4. Digite EsmReport.exe seguido de uma das seguintes funções: Gerar relatórios de configuração Gerar relatórios de status Gerar relatórios de Eventos Gerar relatórios de configuração Essa função permite gerar relatórios de configuração sobre um único ou um grupo de origens do evento. Os parâmetros a seguir são aceitos: Table 117: Parâmetros do relatório de configurações Parâmetro /type:<configuration status events> Descrição Especifica o tipo de relatório a ser gerado. Valores suportados: configuração status eventos. /target:<caminho> Digite /type:configuration para gerar um relatório de configuração. Especifica o caminho da pasta onde os relatórios gerados são salvos. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /format:<html csv> /source:<nome> Especifica o formato do relatório. Valores suportados: html csv. Especifica o nome da origem do evento. Utilize este parâmetro para gerar um relatório de configuração sobre uma única origem de evento. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /group:<nome> Especifica o nome do grupo de origens do evento Utilize este parâmetro para gerar um relatório de configuração sobre um grupo de origens de eventos. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Exemplo EsmReport.exe /type:configuration /target:c:\reportsfolder /format:html /group:"domain Controllers" Gerar relatórios de status Essa função permite gerar Relatórios de status GFI EventsManager. Os parâmetros a seguir são aceitos: GFI EventsManager 16 Ferramentas da linha de comando 330

331 Table 118: Parâmetros do relatório de status Parâmetro /type:<configuration status events> Descrição Especifica o tipo de relatório a ser gerado. Valores suportados: configuração status eventos. /subtype:<messages stats> Digite /type:status para gerar um relatório de status. Especifica o tipo de relatório de status que deseja gerar. Valores suportados: messages - quando as mensagens forem especificadas, os seguintes parâmetros podem ser usados: /period:<current date> - digite current para geral um relatório com as mensagens geradas no mesmo dia. Ou digite uma data para gerar um relatório de status contendo as mensagens geradas na data especificada. stats - quando as estatísticas são especificadas como um subtipo, os seguintes parâmetros podem ser usados: Obs. /format:<html csv> - especifica o formato do relatório. Os valores são HTML e CVS /period: <"all time" date> - especifica o período de tempo que o relatório se baseia. Os valores suportados incluem "all time" ou então uma data específica. /options:<"error messages" "only with issues"> - especifica o tipo de estatísticas a gerar. Os valores suportados são "error messages" e "only with issues" /target:<caminho> - especifica o caminho da pasta onde os relatórios gerados são salvos. Parâmetros que contenham espaços devem estar entre aspas ("). Messages example EsmReport.exe /type:status /subtype:messages /period:"current date" Stats example EsmReport.exe /type:status /subtype:stats /format:html /period: /options:"error messages" /target:c:\statsreports Gerar relatórios de eventos Essa função permite gerar Relatórios de eventos. Os parâmetros a seguir são aceitos: GFI EventsManager 16 Ferramentas da linha de comando 331

332 Table 119: Parâmetros de relatórios de eventos Parâmetro /type:<configuration status events> Descrição Especifica o tipo de relatório a ser gerado. Valores suportados: configuração status eventos. /repname:<fullreportname> Digite /type:events para gerar um relatório de eventos. Especifica um nome para o relatório gerado. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /repid:<reportid> Especifica uma ID exclusiva para o relatório gerado. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /target<caminho> Especifica o caminho para a pasta onde o relatório será salvo. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). /format:<html csv> /datefrom:<startdate> /dateto:<enddate> /scheduled Especifica o formato do relatório. Valores suportados: html csv. Especifica a data de início do prazo para os relatórios. Especifica a data final do prazo para os relatórios. Especifique este parâmetro para gerar o relatório com base nas definições de agendamento configuradas no Console de Gerenciamento. Exemplo EsmReport.exe /type:events /repname:"new Events Report" /repid:11 /target:c:\reportsfolder /format:html /datefrom: /dateto: Usar ImportSettings.exe Importsettings.exe permite importar a configuração de uma pasta de dados ou de um arquivo de configuração que foi exportado de outra instância GFI EventsManager Use esta ferramenta para fazer backup das configurações do console de gerenciamento. Para usar ImportSettings.exe: 1. Clique em Start > Run e digite CMD. 2. Pressione Ctrl + Shift + Enter para executar CMD com privilégios elevados. 3. Alterar o diretório no instalar diretório GFI EventsManager. Exemplo: CD <C:\Program Files\GFI\EventsManager> 4. Digite ImportSettings.exe seguido dos parâmetros descritos abaixo: GFI EventsManager 16 Ferramentas da linha de comando 332

333 Table 120: CMD: Parâmetros do ImportSettings.exe Parâmetro Descrição Especifica a operação a ser executada. Valores suportados: importfile /destination: <pasta> /sourcefile: <nome de arquivo> /sourcefolder: <nome da pasta> /operation:<operação> /id:<esminstanceid> importfolder. Especifica a pasta de destino para onde a configuração é importada. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Especifica o nome do arquivo que contém as configurações exportadas. Utilize este parâmetro para definir o nome do arquivo ao executar uma operação ImportFile. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Especifica o nome da pasta que contém as configurações exportadas. Use esse parâmetro para definir o nome da pasta ao executar uma operação importfolder. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Este parâmetro só pode ser usado quando você deseja alterar o ID da instância de GFI EventsManager. Se o valor não for especificado, a mesma ID é preservada. Quando este parâmetro não é usado, os parâmetros, /operation, /destination, /sourcefile ou /sourcefolder são obrigatórios. Exemplo ImportSettings.exe /operation:importfile /destination:c:\newdestination /sourcefile:c:\exportedsettings OU ImportSettings.exe /id:newinstanceid Usar ExportSettings.exe ExportSettings.exe permite exportar as definições de configuração dogfi EventsManager para um arquivo de configuração Para usar ExportSettings.exe: 1. Clique em Start > Run e digite CMD. 2. Pressione Ctrl + Shift + Enter para executar CMD com privilégios elevados. 3. Alterar o diretório no instalar diretório GFI EventsManager. Exemplo: CD <C:\Program Files\GFI\EventsManager> 4. Digite ExportSettings.exe seguido dos parâmetros descritos abaixo: Table 121: CMD: Parâmetros do ExportSettings.exe Parâmetro /destination: <nome de arquivo> Descrição Especifica um caminho de pasta válido, incluindo o nome do arquivo para onde as configurações são exportadas. Exceto quando especificado,.esmbkp é anexado como uma extensão ao nome do arquivo. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). GFI EventsManager 16 Ferramentas da linha de comando 333

334 Parâmetro /folder: <pasta> Descrição Este parâmetro é utilizado para instruir a ferramenta para exportar as configurações de outro local diferente da pasta de dados padrão. Especifica o caminho da pasta que contém configurações de dadosgfi EventsManager a serem exportadas. Obs. Parâmetros que contenham espaços devem estar entre aspas ("). Exemplo ExportSettings.exe /destination:c:\newdestination GFI EventsManager 16 Ferramentas da linha de comando 334

335 17 Diversos Este capítulo fornece informações relacionadas à configuração de componentes de terceiros exigidos pelas operações de auditoriagfi EventsManager. Aprenda como configurar e executar ações GFI EventsManager por meio de ferramentas de linha de comando. Tópicos deste capítulo: 17.1 Ativar manualmente permissões de origem do evento Ativar automaticamente permissões de origem do evento Desativar Controle de conta de usuário (UAC) Ativar manualmente permissões de origem do evento Esta seção descreve como configurar as permissões exigidas por GFI EventsManager para auditar os sistemas e processar os eventos necessários. Este processo tem de ser feito em cada máquina a ser verificada. Esta seção contém informações sobre: Ativar permissões em Microsoft Windows XP Ativar permissões em Microsoft Windows Vista. Ativar permissões em Microsoft Windows 7 Ativar permissões no servidor Microsoft Windows 2003 Ativar permissões no servidor Microsoft Windows 2008 (incluindo R2) Obs. Em um ambiente de diretório ativo, as permissões podem ser definidas automaticamente através do Objeto da Política de Grupo (GPO). Para obter mais informações, consulte Ativar automaticamente permissões de origem do evento Ativar permissões em Microsoft Windows XP. Para ativar as permissões de origens de evento Microsoft Windows : 1. Clique na guia Start > Control Panel > Windows Firewall > Exceptions. GFI EventsManager 17 Diversos 335

336 Screenshot 277: Regras de firewall no Microsoft Windows XP 2. Na lista Programs and Services, ative File and Printer Sharing. 3. Clique em OK Ativar as permissões do Microsoft Windows Vista. Para ativar as permissões em máquinas executando Microsoft Windows Vista: Etapa 1: Ativar permissões de Firewall Etapa 2: Ativar recursos adicionais de auditoria Etapa 1: Ativar permissões de Firewall 1. Clique Start > Control Panel > Security e clique em Allow a program through Windows Firewall no painel esquerdo. 2. Selecione a guia Exceptions na lista Allowed programs and features para ativar as seguintes regras: Gerenciamento de log de evento remoto Compartilhamento de arquivo e impressora Descoberta de rede. 3. Clique em Aplicar. GFI EventsManager 17 Diversos 336

337 Etapa 2: Ativar recursos adicionais de auditoria 1. Clique em Start > Run e digite secpol.msc. Pressione Enter. 2. No nó Security Settings, expanda Local Policies > Audit Policy. Screenshot 278: Janela de política de segurança local 3. No painel direito, clique duas vezes em Audit object acess. GFI EventsManager 17 Diversos 337

338 Screenshot 279: Propriedades do acesso ao objeto de auditoria 4. O Audit object access Properties, selecione Success e Failure e clique em OK. 5. No painel direito, clique duas vezes em Audit Process tracking. 6. Em Audit process tracking Properties, selecione Success e Failure e clique em OK. 7. No painel direito, clique duas vezes em Audit account management. 8. Em Audit process tracking Properties, selecione Success e Failure e clique em OK. 9. No painel direito, clique duas vezes em Audit system events. 10. Em Audit process tracking Properties, selecione Success e Failure e clique em OK. 11. Feche a janela Política de segurança local. GFI EventsManager 17 Diversos 338

339 Ativar permissões em Microsoft Windows 7. Para ativar permissões nas máquinas de execução Microsoft Windows 7: Etapa 1: Ativar permissões de Firewall Etapa 2: Ativar recursos adicionais de auditoria Etapa 1: Ativar permissões de Firewall Para ativar manualmente as regras de firewall em Microsoft Windows 7: 1. Clique em Start > Control Panel > System and Security e clique em Allow a program through Windows Firewall sob a categoria Windows Firewall. Screenshot 280: Programas permitidos no Microsoft Windows Vista ou posterior 2. Na lista Allowed programs and features habilite as seguintes regras: Gerenciamento de log de evento remoto Compartilhamento de arquivo e impressora Descoberta de rede. GFI EventsManager 17 Diversos 339

340 3. Selecione Domain, Private e Public para cada regra mencionada acima. 4. Clique em OK. Etapa 2: Ativar recursos adicionais de auditoria 1. Clique em Start > Run e digite secpol.msc. Pressione Enter. 2. No nó Security Settings, expanda Local Policies > Audit Policy. Screenshot 281: Janela de política de segurança local 3. No painel direito, clique duas vezes em Audit object acess. 4. A partir Audit object access Properties, selecione Success e Failure. Clique em OK. GFI EventsManager 17 Diversos 340

341 Screenshot 282: Propriedades da auditoria do acesso ao objeto 5. No painel direito, clique duas vezes em Audit Process tracking. 6. No Audit process tracking Properties, selecione Success e Failure. Clique em OK. 7. No Audit process tracking Properties, selecione Success e Failure. Clique em OK. 8. No painel direito, clique duas vezes em Audit account management. 9. No Audit process tracking Properties, selecione Success e Failure. Clique em OK. 10. No painel direito, clique duas vezes em Audit system events. 11. No Audit process tracking Properties, selecione Success e Failure. Clique em OK. 12. Feche a janela Política de segurança local Ativar permissão servidor Microsoft Windows 2003 Para ativar manualmente as regras de firewall no servidor Microsoft Windows 2003: 1. Clique em Start > Control Panel > Windows Firewall e selecione a guia Exceptions. GFI EventsManager 17 Diversos 341

342 Screenshot 283: Ativar regras de firewall no servidor Microsoft Windows Na lista Programs and Services, ative File and Printer Sharing. 3. Clique em OK Ativar permissões no servidor Microsoft Windows 2008 (incluindo R2) 1. Clique Start > Control Panel > Security e clique em Allow a program through Windows Firewall sob a categoria Windows Firewall. 2. Na lista de programas, ative o seguinte: Compartilhamento de arquivo e impressora Network Discovery Gerenciamento remoto de log de eventos. GFI EventsManager 17 Diversos 342

343 Screenshot 284: Regras de firewall no servidor Microsoft Windows Clique em OK. Obs. No servidor Windows 2008 R2, certifique-se de selecionar Domain, Private e Public para cada regra mencionados acima Ativar automaticamente permissões de origem do evento Esta seção contém informações sobre: Ativar permissões usando servidor Windows 2003 via GPO Ativar permissões usando servidor Windows 2008 via GPO Ativar permissões usando GPO no servidorwindows 2003 via GPO Para abrir as permissões de todos os clientes de domínio usando o controlador de domínio do servidor Microsoft Windows 2003: GFI EventsManager 17 Diversos 343

344 1. Clique em Start > Run, digite MMC. Pressione Enter. 2. Clique em File > Add/Remove Snap-in e clique em Add. 3. Localize e selecione o Group Policy Object Editor e clique em Add. 4. Clique em Browse, selecione Default Domain Policy e clique em OK. 5. Clique em Finish. 6. Selecione Group Policy Object Editor novamente e clique em Add. 7. Clique em Browse, clique duas vezes na pasta Domain Controllers e selecione Default Domain Controllers Policy. Clique em OK. 8. Clique em Finish e Close. 9. No Console Root, expanda Default Domain Policy > Administrative Templates > Network > Network Connections > Windows Firewall > Domain Profile. Screenshot 285: Console de política de domínio no servidor Microsoft Windows Na lista Settings, clique com o botão direito em Windows Firewall: Allow file and printer sharing exception e selecione Properties. 11. Na guia Settings, selecione Enabled e clique em OK. 12. Repita as etapas 9 a 11 de Default Domain Controllers Policy. 13. Clique em File > Save para salvar o console de gerenciamento. As políticas de grupo entram em vigor sempre que a máquina é reiniciada Ativar permissões no servidor Windows 2008 via GPO Ativar as permissões de todos os clientes do domínio: 1. Clique em Start > Administrative Tools > Group Policy Management. 2. Expanda Group Policy Management > Forest > Domains > <Nome de domínio> > Group Policy Objects. GFI EventsManager 17 Diversos 344

345 Screenshot 286: Gerenciamento de Políticas de Grupo no servidor Microsoft Windows 2008 R2 3. Clique com o botão direito em Default Domain Policy e clique em Edit. 4. Expanda Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security, clique com o botão direito em Inbound Rules e selecione New Rule GFI EventsManager 17 Diversos 345

346 Screenshot 287: Editor de Gerenciamento de Política de Grupo 5. No assistente New Inbound Rule, selecione Predefined, e selecione File and Printer Sharing. GFI EventsManager 17 Diversos 346

347 Screenshot 288: Regras predefinidas 6. Clique em Next. 7. Selecione todas as regras e clique Next. 8. Selecione Allow the connection e clique em Finish. 9. Repita as etapas 5 a 8 em cada uma das seguintes regras: Gerenciamento de log de evento remoto Descoberta de rede. 10. No Group Policy Management Editor, expanda Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security, clique com o botão direito Outbound Rules e selecione New Rule... Repita os passos 5 a 9, no passo 9 ativar apenasnetwork Discovery. 12. Feche Group Policy Management Editor. GFI EventsManager 17 Diversos 347

348 13. Em Group Policy Management, expanda Group Policy Management > Forest > Domains ><Nome de domínio> > Default Domain Controllers Policy. 14. Repita as etapas 4 a Clique em File > Save para salvar o console de gerenciamento. As políticas de grupo entram em vigor sempre que a máquina é reiniciada Desativar Controle de conta de usuário (UAC) Quando GFI EventsManager é configurado para coletar eventos usando uma máquina de destino de contas locais, o User Account Control (UAC) deve estar desativado. Para desativar UAC nas máquinas Microsoft Windows Vista ou posterior: 1. Clique em Start > Run, digite secpol.msc e pressione Enter. 2. Em Security Settings, expanda Local Policies e clique em Security Options. 3. Clique com o botão direito em User Account Control: Run all administrators in Admin Approval Mode e selecione Properties. Screenshot 289: Desativar UAC 4. Na guia Local Security Settings, selecione Enabled e clique em OK. 5. Feche a janela de Política de Segurança Local. GFI EventsManager 17 Diversos 348

349 18 Solução de problemas Use as informações nas seções a seguir para resolver os problemas encontrados em GFI EventsManager: Documentação GFI SkyNet Solicitar suporte técnico fórum da Web Assistente de solução de problemas 18.1 Documentação Se o manual não atender às suas expectativas ou se você tiver sugestões para melhorá-lo, envie um para documentation@gfi.com GFI SkyNet A GFI mantém um repositório de base de dados de conhecimento que contém respostas para os problemas mais comuns. A GFI SkyNet sempre tem a listagem mais atualizada de perguntas e patches do suporte técnico. Caso as informações deste guia não resolvam seus problemas, consulte a GFI SkyNet em Solicitar suporte técnico Se os recursos aqui mencionados não ajudarem você a resolver seus problemas, contate a equipe de suporte técnico GFI preenchendo o formulário de solicitação de suporte online ou por telefone. Online: Para enviar a solicitação de suporte, preencha o formulário e siga rigorosamente as instruções desta página: Telefone: Para obter o número de telefone correto do suporte técnico da sua região, visite: Obs. Ao contatar o suporte técnico, tenha sua ID de cliente em mãos. A ID de cliente é o número da conta online atribuído a você durante o registro das suas chaves de licença na área do cliente GFI em: Responderemos à sua pergunta em até 24 horas, dependendo do seu fuso horário fórum da Web O suporte técnico de usuário para usuário está disponível no fórum da web da GFI. Acesse o fórum da Web visitando: Assistente de solução de problemas Para usar a ferramenta solução de problemas: 1. Acesse a pasta instalar de GFI EventsManager. 2. Localize e clique duas vezes em Trouble.exe. GFI EventsManager 18 Solução de problemas 349

350 3. Clique em Next na tela de boas-vindas do assistente. Screenshot 290: Selecionar modo de coleta de informações 4. Selecione como o assistente de solução de problemas deve coletar informações. Selecionar em: Automatically detect and fix known issues - Selecione esta opção para permitir que o GFI EventsManager execute um conjunto de verificações para identificar o que está errado Gather only application information and logs - Especifique os detalhes do contato, descrição do problema e informações do sistema para enviá-los para a nossa equipe de suporte. Caso escolha esta opção, pule para a etapa 9. GFI EventsManager 18 Solução de problemas 350

351 Screenshot 291: Verificações automáticas de solução de problemas 5. Espere o assistente de solução de problemas executar as verificações obrigatórias e clique em Next. Screenshot 292: Assistente de solução de problemas reparando automaticamente os problemas detectados 6. Espere o assistente de solução de problemas aplicar as correções nos problemas detectados durante a verificação. Se isso resolver o problema, clique em Yes e Finish. Se o problema persistir, selecione No e clique em Next. GFI EventsManager 18 Solução de problemas 351

352 Screenshot 293: Se o problema persistir, pesquise nos arquivos da nossa base de conhecimento 7. Pesquise nos artigos relacionados com o problema no arquivo da nossa base de conhecimento. Digite o erro encontrado na caixa de texto Enter search items e clique em Search. Se isso resolver o problema, clique em Yes e Finish. Se o problema persistir, selecione No e clique em Next. Screenshot 294: Verificação manual dos problemas 8. Clique em Next (Avançar). GFI EventsManager 18 Solução de problemas 352

353 Screenshot 295: Especificar detalhes do contato 9. Digite os detalhes do contato para que a equipe de suporte possa contatá-lo para mais informação de análise. Clique em Next (Avançar). Screenshot 296: Digite a descrição do problema e outras informações 10. Especifique o erro recebido e outras informações para ajudar a equipe de suporte a recriar o problema. Clique em Next (Avançar). GFI EventsManager 18 Solução de problemas 353

354 Screenshot 297: Coleta de informações da máquina 11. O assistente de solução de problemas analisa o sistema para obter informação do hardware. É possível adicionar manualmente mais informações no espaço fornecido ou clicar em Next. Screenshot 298: Finalizar o processo de solução de problemas 12. Neste estágio, o assistente de solução de problemas cria um pacote com as informações coletadas nas etapas anteriores. Em seguida, envie este pacote à nossa equipe de suporte para analisar e solucionar o problema. Selecionar em: GFI EventsManager 18 Solução de problemas 354