So konfigurieren Sie GFI EventsManager™, um von LOGbinder SP verarbeitete SharePoint Audit Events zu erfassen

Hier wird beschrieben, wie Sie GFI EventsManager so konfigurieren, damit Microsoft SharePoint Events erfasst werden, die bereits von LOGbinder SP zur leichteren Verständlichkeit und Weiterverarbeitung aufbereitet worden sind.

Der hierfür erforderliche und in diesem Dokument beschriebene Patch erweitert GFI EventsManager um folgende Funktionen:

• Ein benutzerdefiniertes Protokoll, um LOGbinder SP Audit Events zu verarbeiteten
• Zusätzliche Verarbeitungsregeln für Microsoft SharePoint Events
• Zusätzliche Abfragen zur Anzeige von SharePoint-Ereignissen im Events Browser

Grundvoraussetzungen

Für die folgende Anleitung wird vorausgesetzt, dass eine funktionierende Installation von Microsoft SharePoint Server vorhanden ist oder die SharePoint Services bereits funktionsfähig sind.

Des Weiteren muss LOGbinder SP auf dem SharePoint-Server installiert und konfiguriert sein. Weitere Informationen zu LOGbinder SP erhalten Sie unter folgenden Links:

• LOGbinder SP herunterladen: http://www.logbinder.com/form.aspx?action=download
• Systemvoraussetzungen: http://www.logbinder.com/products/logbindersp/resources/requirements.aspx
• Technischer Support: support@logbinder.com, Telefon: +1 866-749-2048 (USA)

Nachdem LOGbinder SP auf dem SharePoint-Server installiert ist, werden Ereignisse abhängig von den Konfigurationseinstellungen entweder im Sicherheitsereignisprotokoll oder in einem eigenen Protokoll mit dem Namen "LOGbinder SP" eingetragen. Das ausgewählte Protokoll muss bei der Konfigurierung von GFI EventsManager angegeben werden.

Für GFI EventsManager sind Version 2011 (ab Build 20110207) und das GFI EventsManager ReportPack 2011 (ab Build 20110208) erforderlich.

HINWEIS: Als "SharePoint Events" werden in diesem Dokument Ereignisse bezeichnet, die von LOGbinder SP verarbeitet und im normalen LOGbinder-SP-Format in einem Windows-Ereignisprotokoll gespeichert worden sind.

Installation

Der Patch, mit dem GFI EventsManager LOGbinder-SP-Daten erfassen kann, besteht aus zwei Teilen:

• 20110322_EventsManagerAlertsAndFiltersForLogBinder_PATCH.zip: Beinhaltet die Dateien für die Hauptapplikation
• 20110317_EventsManagerReportsForLogBinder_PATCH.zip: Beinhaltet die Dateien für das ReportPack

Laden Sie beide Dateien herunter, und entpacken Sie diese auf den jeweiligen Servern, bevor Sie mit der Installation fortfahren.

Installation des Patches für GFI EventsManager

Um den Patch für GFI EventsManager zu installieren, gehen Sie wie folgt vor:

1. Schließen Sie die Managementkonsole von GFI EventsManager, und beenden Sie den GFI-EventsManager-Dienst.

2. Erstellen Sie eine Sicherungskopie der folgenden Dateien, die sich im Installationsverzeichnis von GFI EventsManager befinden:
a. EvtLogic.dll
b. Plwineventsbrowser.dll

3. Ersetzen Sie die Originaldateien durch die entpackten Patch-Dateien.

4. Öffnen Sie die Hauptbenutzeroberfläche von GFI EventsManager und importieren Sie alle Einstellungen der Patch-Datei "configurationsForLogBinder.esmbkp", indem Sie auf "File" > "Import and Export Configurations" > "Import the desired configurations from a file" klicken.

5. Starten Sie den GFI-EventsManager-Dienst.

Installation des Patches für das GFI EventsManager ReportPack

Um den Patch für das GFI EventsManager ReportPack zu installieren, gehen Sie wie folgt vor:

1. Schließen Sie das GFI ReportCenter und beenden Sie den GFI-ReportCenter-Dienst.

2. Erstellen Sie eine Sicherungskopie des gesamten Installationsverzeichnisses des GFI EventsManager ReportPack.

3. Kopieren Sie alle Dateien des Patches in die entsprechenden Unterverzeichnisse des ReportPack-Installationsverzeichnisses und ersetzen Sie dabei die Originaldateien.

4. Starten Sie den GFI-ReportCenter-Dienst.

Konfiguration

Hinzufügen neuer SharePoint-Server als Ereignisquelle
Klicken Sie mit der rechten Maustaste in den Bereich der Gruppe "SharePoint servers", und wählen Sie "Add new event source" aus, um einen neuen SharePoint-Server als Ereignisquelle hinzuzufügen. SharePoint Events dieser Quelle werden umgehend erfasst.

Die Eigenschaften der Gruppe können an individuelle Anforderungen angepasst werden.

Zusätzliche Regeln zur Ereignisverarbeitung
Um die Standardregeln zur Verarbeitung und Bewertung von SharePoint Events aufzurufen, klicken Sie auf "Configuration" > "Event Processing Rules" > "Windows Event Logs" > "SharePoint Audit". Zurzeit stehen drei Regelsätze zur Bewertung unterschiedlicher Ereignistypen bereit. Eine weitere Regel "Archive SharePoint Audit Events" sorgt für die Erfassung und Archivierung von SharePoint Events, die von keiner anderen Regel mit niedriger Priorität berücksichtigt worden sind. Sie stellt sicher, dass Daten, die während der ersten Konfiguration anfallen, nicht verloren gehen. Nach der Konfiguration weiterer Verarbeitungsregeln zur Erfassung sämtlicher gewünschter SharePoint Events kann die Regel "Archive SharePoint Audit Events" deaktiviert werden.

Neue, individuell konfigurierte Regeln zur Verarbeitung von SharePoint Events, die von keiner der Standardregeln abgedeckt sind, lassen sich auf verschiedene Weise erstellen. So gehen Sie am einfachsten vor:

1. Öffnen Sie GFI EventsManager, und klicken Sie auf den Reiter "Events Browser".

2. Stellen Sie sicher, dass der Windows Events Browser aktiv ist, und wählen Sie "Other Events" , "LOGbndSP" aus. Es werden alle SharePoint Events angezeigt, die aktuell in der Datenbank verzeichnet sind.

3. Wählen Sie ein Ereignis aus, das von der allgemeinen Regel "Archive SharePoint Audit Events" erfasst wurde und für das eine neue Verarbeitungsregel erstellt werden soll.

4. Klicken Sie mit der rechten Maustaste auf das Ereignis, und wählen Sie "New rule from selected event" aus.

5. Übernehmen Sie die Standardbedingungen für das neu erstellte Ereignis, und klicken Sie auf "OK".

6. Die neue Regel wird im Verzeichnis "Custom Rules" erstellt und kann von dort aus per Drag-and-Drop in jeden Regelsatz des Verzeichnisses "SharePoint Audit" verschoben werden.

Zusätzliche Event-Browser-Abfragen
Informieren Sie sich anhand von Kapitel 4.2 des Benutzerhandbuchs zu GFI EventsManager, wie zusätzliche Events-Manager-Abfragen erstellt werden können (http://support.gfi.com/manuals/en/esm2011/esm2011manual.1.21.html).

Mögliche technische Probleme und Support

Sollten im Zusammenhang mit den in diesem Dokument beschriebenen Komponenten technische Schwierigkeiten auftreten, überprüfen Sie bitte zunächst, bei welcher Komponente ein Problem eingetreten ist (LOGbinder SP, Microsoft SharePoint oder GFI EventsManager), damit Sie Ihre Anfrage an den jeweils zuständigen Support richten können.

1. Mögliches Problem: Es werden keine Standardprotokolle für SharePoint (*.log) erstellt oder die Überwachungseinstellungen von SharePoint erzielen nicht das gewünschte Ergebnis.

• Dieses Problem ist auf Microsoft SharePoint zurückzuführen. Wenden Sie sich bitte an Support-Mitarbeiter oder Hilfe-Foren von Microsoft.

2. Mögliches Problem: LOGbinder SP verarbeitet keine Ereignisse oder erstellt keine Ereignisse in den Windows-Ereignisprotokollen.

• Dieses Problem ist LOGbinder-spezifisch. Wenden Sie sich bitte an das englischsprachige Support-Team von LOGbinder, entweder per E-Mail an (support@logbinder.com) oder telefonisch unter +1 866-749-2048 (USA).

3. Auf dem Share-Point-Server werden Ereignisse erstellt, die GFI EventsManager jedoch nicht erfasst oder nicht gemäß den konfigurierten Verarbeitungsregeln verarbeitet.

• Dieses Problem ist auf GFI EventsManager zurückzuführen. Wenden Sie sich bitte an den GFI-Support unter http://support.gfi.com.