Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Massenprotokollquellen für die Remote-Ereigniserfassung

Massenprotokollquellen sind für Systeme konzipiert, die über mehrere Protokollquellen mit derselben Protokollkonfiguration verfügen.

  1. Erstellen Sie ein Ziel für Windows-Ereignisse auf jeder JSA-Appliance , die Sie für die Windows-Ereignissammlung verwenden möchten. Siehe Hinzufügen eines Ziels.

    Hinweis:

    Es ist hilfreich, einen Zielnamen anzugeben, der die IP-Adresse enthält, z. B. "Agent1_1.2.3.4". Wenn Sie in Zukunft die Protokollquelle bearbeiten und ein Ziel ändern müssen, können Sie die IP-Adresse für das Ziel ermitteln. Legen Sie außerdem den Drosselungswert auf 5000 EPS fest, was der maximalen EPS-Rate für einen WinCollect-Agent entspricht.

  2. Erstellen Sie Massenprotokollquellen. Weitere Informationen finden Sie unter Hinzufügen von Protokollquellen in großen Mengen für die Remote-Erfassung.

  3. Warten Sie, bis die Konfigurationen an die Remote-Agenten übertragen wurden.

  4. Überprüfen Sie auf der Registerkarte "Aktivität protokollieren ", ob die empfangenen Ereignisse

Hinzufügen von Protokollquellen in großen Mengen für die Remoteerfassung

Sie können mehrere Protokollquellen gleichzeitig in großen Mengen zu JSA hinzufügen. Die Protokollquellen müssen ein gemeinsames Konfigurationsprotokoll verwenden und demselben WinCollect-Agent zugeordnet sein.

Sie können eine Textdatei hochladen, die eine Liste von IP-Adressen oder Hostnamen enthält, eine Abfrage für einen Domänencontroller ausführen, um eine Liste der Hosts abzurufen, oder manuell eine Liste von IP-Adressen oder Hostnamen eingeben, indem Sie sie einzeln eingeben.

Abhängig von der Anzahl der WinCollect-Protokollquellen, die Sie gleichzeitig hinzufügen, kann es einige Zeit dauern, bis der WinCollect-Agent auf alle Windows-Ereignisse zugreift und diese aus der Protokollquellenliste sammelt.

Stellen Sie sicher, dass Sie Ziele erstellt haben, damit WinCollect-Agents Windows-Ereignisse an JSA-Appliances senden können. Stellen Sie sicher, dass Sie für jede JSA Event Collector 16xx- oder 18xx-Appliance ein Ziel erstellt haben.

Planen Sie Ihre Massensammlungsstrategie mit dem WinCollect-Tool für den Ereignisprotokollbericht.

Sie können maximal 500 Protokollquellen für jeden verwalteten WinCollect-Agent verwenden. Außerdem müssen Sie unter 5.000 EPS für die lokale Erfassung und 2.500 EPS für Remoteabfragen auf dem WinCollect-Agent bleiben. Sie können die Ereignisanzeige auf den Windows-Systemen überprüfen, um zu bestimmen, wie viele EPS in jeder Stunde generiert werden. Teilen Sie diesen Wert durch 3600 Sekunden, um die EPS-Rate zu erhalten. Anhand dieser Berechnung können Sie planen, wie viele Agenten Sie installieren müssen. Alternativ können Sie sich Ereignisse über einen Zeitraum von 24 Stunden ansehen, um zu sehen, wie ausgelastet jeder Windows-Server ist. Auf diese Weise können Sie bestimmen, wie Sie Agenten optimieren und minimale und maximale EPS-Raten vermeiden, die Sie nur bei stündlicher Überprüfung sehen.

  1. Klicken Sie im Navigationsmenü der Registerkarte Admin auf Datenquellen, und klicken Sie dann auf das WinCollect-Symbol .

  2. Wählen Sie den WinCollect-Agent aus, dem Sie Protokollquellen zuweisen möchten, und klicken Sie auf Protokollquellen.

  3. Klicken Sie auf Massenaktionen >Massenhinzufügen.

  4. Geben Sie einen Namen für die Massenprotokollquelle an. Um die Suche zu erleichtern, geben Sie den Namen als WinCollect-Agent an, der die Remoteerfassung durchführt.

  5. Wählen Sie im Listenfeld Protokollquellentyp die Option Microsoft Windows-Sicherheitsereignisprotokoll aus.

  6. Wählen Sie im Listenfeld Protokollkonfiguration die Option WinCollect aus.

  7. Verwenden Sie den Optimierungswert, der vom WinCollect-Tool für den Ereignisprotokollbericht angegeben wird, um die Protokollquellen entsprechend zu optimieren.

  8. Aktivieren Sie alle Kontrollkästchen Standardprotokolltypen . Der WinCollect-Agent liest diese Remoteprotokolle und leitet sie an JSA weiter.

    Hinweis:

    Aktivieren Sie das Kontrollkästchen Weitergeleitete Ereignisse nicht. Weitergeleitete Ereignisse sind ein spezieller Anwendungsfall. Wenn Sie diese Option auswählen, werden mehrere Protokollquellen nicht korrekt hinzugefügt.

  9. Aktivieren Sie alle Kontrollkästchen für Ereignistypen .

  10. Aktivieren Sie das Kontrollkästchen Active Directory-Suchvorgänge aktivieren . Diese Option identifiziert Benutzernamen in Windows-Ereignissen, die als Hexadezimalzahl angezeigt werden, und löst sie in lesbare Benutzernamen auf.

  11. Wählen Sie in der Liste WinCollect-Agent den Windows-Host aus, der die Protokollquelle verwaltet.

  12. Wählen Sie in der Liste Internes Zielziel die JSA-Appliance aus, die die Windows-Ereignisse empfängt und verarbeitet.

  13. Fügen Sie die IP-Adressen für die Windows-Betriebssysteme hinzu, die Sie remote nach Ereignissen abfragen möchten.

    Sie können eine Textdatei hochladen, die eine Liste von IP-Adressen oder Hostnamen enthält, eine Abfrage für einen Domänencontroller ausführen, um eine Liste der Hosts abzurufen, oder manuell eine Liste von IP-Adressen oder Hostnamen eingeben, indem Sie sie einzeln eingeben.

    Abhängig von der Anzahl der WinCollect-Protokollquellen, die Sie gleichzeitig hinzufügen, kann es einige Zeit dauern, bis der WinCollect-Agent auf alle Windows-Ereignisse zugreift und diese aus der Protokollquellenliste sammelt.

  14. Klicken Sie auf Speichern und dann auf Weiter.

Warten Sie, bis die Konfigurationen an die Remote-Agenten übertragen wurden. Überprüfen Sie auf der Registerkarte Protokollaktivität , ob Ereignisse empfangen wurden.

Zugehörige Dokumentation