|
|
|
Abfrage
Eine Abfrage ist ein Satz von Kriterien, mit denen die Ereignisprotokollspeicher der aktiven CA Enterprise Log Manager-Server und, sofern angegeben, seiner föderierten Server durchsucht werden. Eine Abfrage richtet sich an die heißen, warmen oder verfügbaren gemachten Datenbanken, die in der Where-Klausel der Abfrage angegeben wurden. Beispiel: Wenn die Where-Klausel die Abfrage auf Ereignisse mit source_username="myname" in einem bestimmten Zeitrahmen beschränkt und nur zehn von 1000 Datenbanken Datensätze enthalten, die diesen Kriterien (basierend auf den Informationen in der Katalogdatenbank) entsprechen, wird die Abfrage nur in diesen zehn Datenbanken durchgeführt. Eine Abfrage kann maximal 5000 Datenzeilen zurückgeben. Ein Benutzer mit einer vordefinierten Rolle kann eine Abfrage durchführen. Nur Analysten und Administratoren können eine Abfrage planen, um einen Aktionsalarm zu verteilen, einen Bericht unter Auswahl der enthaltenen Abfragen erstellen oder eine benutzerdefinierte Abfrage mithilfe des Abfragedesign-Assistenten erstellen. Siehe auch Archivabfrage.
Abfragebibliothek
Die Abfragebibliothek ist der Speicher für alle vordefinierten und benutzerdefinierten Abfragen, Abfragekennungen und Prompt-Filter.
Administratorrolle
Die Administratorrolle erteilt Benutzern die Berechtigung, alle gültigen Aktionen in allen Ressourcen von CA Enterprise Log Manager auszuführen. Nur Administratoren dürfen Protokollerfassung und Services konfigurieren oder Benutzer, Zugriffsrichtlinien und Zugriffsfilter verwalten.
Agent
Ein Agent ist ein generischer Service, der mit Connectors konfiguriert wurde, von denen jeder Rohereignisse von einer einzelnen Ereignisquelle erfasst und diese dann zur Verarbeitung an CA Enterprise Log Manager sendet. Jeder CA Enterprise Log Manager verfügt über einen integrierten Agent. Außerdem können Sie einen Agenten auf einem Remote-Sammelpunkt installieren und Ereignisse auf Hosts erfassen, auf denen keine Agenten installiert werden können. Sie können einen Agenten auch auf dem Host installieren, auf dem die Ereignisquellen ausgeführt werden, und so die Möglichkeit nutzen, für einen CA Enterprise Log Manager Unterdrückungsregeln anzuwenden und Übertragungen zu verschlüsseln.
Agenten-Explorer
Der Agenten-Explorer bezeichnet den Speicher für die Einstellungen der Agentenkonfiguration. (Agenten können in einem Erfassungspunkt oder in Endpunkten installiert werden, an denen Ereignisquellen vorhanden sind.)
Agentengruppe
Eine Agentengruppe ist eine Kennung, die Benutzer auf ausgewählte Agenten anwenden können, mit denen Benutzer eine Agentenkonfiguration gleichzeitig auf mehrere Agenten anwenden und Berichte auf der Basis der Gruppen abrufen können. Ein bestimmter Agent kann jeweils nur zu einer Gruppe gehören. Agentengruppen basieren auf benutzerdefinierten Kriterien wie der geografischen Region oder der Wichtigkeit.
Agenten-Management
Agenten-Management ist der Software-Prozess, der alle Agenten steuert, die mit allen föderierten CA Enterprise Log Managers verknüpft sind. Dabei werden die Agenten, mit denen kommuniziert wird, authentifiziert.
Aktionsabfrage
Eine Aktionsabfrage ist eine Abfrage, die einen Aktionsalarm unterstützt. Sie wird in einem wiederkehrenden Plan ausgeführt, um die Bedingungen zu testen, die von dem zugehörigen Aktionsalarm definiert sind.
Aktionsalarm
Ein Aktionsalarm ist ein geplanter Abfragejob, mit dessen Hilfe Richtlinienverletzungen, Nutzungstrends, Anmeldemuster und andere Ereignisaktionen, die ein kurzfristiges Eingreifen erfordern, ermittelt werden können. Wenn Alarmabfragen Ergebnisse zurückgeben, werden diese standardmäßig auf der Seite "Alarme" in CA Enterprise Log Manager angezeigt und außerdem einem RSS-Feed hinzugefügt. Wenn Sie einen Alarm planen, können Sie zusätzliche Ziele angeben, einschließlich E-Mail, einen CA IT PAM-Ereignis-/Alarmausgabeprozess und SNMP-Traps.
Alarmserver
Der Alarmserver ist der Speicher für Aktionsalarme und Aktionsalarmjobs.
Analystenrolle
Die Analystenrolle erteilt Benutzern die Berechtigung, benutzerdefinierte Berichte und Abfragen zu erstellen, Berichte zu bearbeiten und Anmerkungen dazu einzugeben, Kennungen zu erstellen und Berichte und Aktionswarnungen zu planen. Analysten können auch alle Auditor-Aufgaben durchführen.
Anwendungsbenutzer
Ein Anwendungsbenutzer ist ein globaler Benutzer, dem Detaildaten auf Anwendungsebene zugewiesen wurden. Zu den CA Enterprise Log Manager-Anwendungsbenutzerdetails gehören die Benutzergruppe und Einschränkungen der Zugriffsrechte. Wenn der Benutzerspeicher das lokale Repository ist, umfassen die Anwendungsbenutzerdetails auch die Anmeldedaten und die Kennwortrichtlinien.
Anwendungsgruppe
Eine Anwendungsgruppe ist eine produktspezifische Gruppe, die einem globalen Benutzer zugewiesen werden kann. Vordefinierte Anwendungsgruppen für CA Enterprise Log Manager oder Rollen sind "Administrator", "Analyst" und "Auditor". Diese Anwendungsgruppen stehen nur CA Enterprise Log Manager-Benutzern zur Verfügung. Sie können Benutzern anderer Produkte, die auf demselben CA EEM-Server registriert wurden, nicht zugewiesen werden. Benutzerdefinierte Anwendungsgruppen müssen zur Standardrichtlinie für den CALM-Anwendungszugriff hinzugefügt werden, damit die Benutzer auf CA Enterprise Log Manager zugreifen können.
Anwendungsinstanz
Eine Anwendungsinstanz ist ein allgemeiner Bereich imCA EEM-Repository, in dem alle Berechtigungsrichtlinien, Benutzer, Gruppen, Inhalte und Konfigurationen gespeichert werden. Normalerweise verwenden alle CA Enterprise Log Manager-Server in einem Unternehmen dieselbe Anwendungsinstanz (standardmäßig CAELM). Sie können CA Enterprise Log Manager-Server mit verschiedenen Anwendungsinstanzen installieren, aber nur die Server, die dieselbe Anwendungsinstanz gemeinsam nutzen, können föderiert werden. Server, die für die Verwendung desselben CA EEM-Servers, aber mit verschiedenen Anwendungsinstanzen konfiguriert wurden, nutzen nur den Benutzerspeicher, die Kennwortrichtlinien und die globalen Gruppen gemeinsam. Verschiedene CA-Produkte verfügen über verschiedene Standardanwendungsinstanzen.
Anwendungsressource
Eine Anwendungsressource ist eine der CA Enterprise Log Manager-spezifischen Ressourcen, in denen CALM-Zugriffsrichtlinien bestimmten Identitäten die Durchführung bestimmter anwendungsspezifischer Aktionen (wie der Erstellung, Planung und Bearbeitung) gewähren oder verweigern. Beispiele hierfür sind Berichte, Alarme und Integration. Sieh auch globale Ressource.
AppObjects
AppObjects oder Anwendungsobjekte sind produktspezifische Ressourcen, die in CA EEM unter der Anwendungsinstanz eines bestimmten Produkts gespeichert sind. Für die CAELM-Anwendungsinstanz umfassen diese Ressourcen Berichts- und Abfrageinhalte, geplante Berichts- und Alarmjobs, Agenteninhalte und -konfigurationen, Service-, Adapter- und Integrationskonfigurationen, Datenzuordnungs- und Nachrichtenanalysedateien sowie Unterdrückungs- und Zusammenfassungsregeln.
Archivabfrage
Eine Archivabfrage ist eine Abfrage des Katalogs, anhand dessen die kalten Datenbanken identifiziert werden, die wiederhergestellt und für die Abfrage verfügbar gemacht werden müssen. Eine Archivabfrage unterscheidet sich darin von einer normalen Abfrage, dass sie sich auf kalte Datenbanken bezieht, während sich normale Abfragen auf heiße, warme und verfügbar gemachte Datenbanken beziehen. Administratoren können eine Archivabfrage über die Registerkarte "Verwaltung", die Unterregisterkarte "Protokollerfassung" und die Option "Archivkatalogabfrage" starten.
Archivierte Datenbanken
Die archivierten Datenbanken auf einem bestimmten CA Enterprise Log Manager-Server umfassen alle warmen Datenbanken, die für die Abfrage zur Verfügung stehen, jedoch manuell gesichert werden müssen, bevor sie ablaufen, alle kalten Datenbanken, die als gesichert erfasst wurden, und alle Datenbanken, die als von einer Datensicherung wiederhergestellt erfasst wurden.
Archivkatalog
Siehe Katalog.
Assistent für Analysedateien
Der Assistent für Analysedateien ist eine CA Enterprise Log Manager-Funktion, mit der Administratoren XMP-Dateien (eXtensible Message Parsing), die auf dem CA Enterprise Log Manager-Verwaltungsserver gespeichert werden, erstellen, bearbeiten und analysieren können. Die Anpassung der Analyse eingehender Ereignisdaten umfasst auch die Bearbeitung vorabgestimmter Zeichenfolgen und Filter. Neue und bearbeitete Dateien werden im Protokollerfassung-Explorer, in der Ereignisverfeinerungsbibliothek, in den Analysedateien und im Benutzerordner angezeigt.
Audit-Datensätze
Audit-Datensätze enthalten Sicherheitsereignisse, wie Authentifizierungsversuche, Dateizugriffe und Änderungen an Sicherheitsrichtlinien, Benutzerkonten und Benutzerrechten. Administratoren geben an, welche Ereignistypen auditiert und welche protokolliert werden sollten.
Auditorenrolle
Die Auditorenrolle gewährt den Benutzern Zugriff auf Berichte und die darin enthaltenen Daten. Auditoren können Berichte, die Listen mit den Berichtvorlagen, den geplanten Berichtaufträgen und mit den generierten Berichten anzeigen. Auditoren können Berichte planen und mit Anmerkungen versehen. Auditoren haben keinen Zugriff auf die RSS-Feeds (Rich Site Summary), außer die Konfiguration erfordert keine Authentifizierung für die Anzeige von Aktionsalarmen.
Aufgezeichnetes Ereignis
Ein aufgezeichnetes Ereignis bezeichnet die Informationen des Rohereignisses oder des verfeinerten Ereignisses, nachdem diese in die Datenbank eingefügt wurden. Rohereignisse werden immer als verfeinerte Ereignisse erfasst, außer sie wurden unterdrückt oder zusammengefasst. Diese Informationen werden gespeichert und können durchsucht werden.
Auto-Archivierung
Auto-Archivierung ist ein konfigurierbarer Prozess, der das Verschieben von Archivdatenbanken von einem Server zu einem anderen automatisiert. In der ersten Phase der Auto-Archivierung sendet der Erfassungsserver neu archivierte Datenbanken in der von Ihnen angegebenen Häufigkeit zum Berichtsserver. In der zweiten Phase der Auto-Archivierung sendet der Berichtsserver ältere Datenbanken zur langfristigen Speicherung an den Remote-Speicher, wodurch die Notwendigkeit eines manuellen Sicherungs- und Verschiebevorgangs entfällt. Für die Auto-Archivierung müssen Sie eine Authentifizierung ohne Kennwörter vom Quell- zum Zielserver konfigurieren.
Automatische Software-Updates
Automatische Software-Updates betreffen binäre und nicht-binäre Dateien, die vom CA-Server für automatische Software-Updates zur Verfügung gestellt werden. Binärdateien sind Produktmodulaktualisierungen, die normalerweise in CA Enterprise Log Manager installiert sind. Nicht-binäre Dateien oder Inhaltsaktualisierungen werden auf dem Management-Server gespeichert.
Benutzerdefinierte MIB
Eine benutzerdefinierte MIB ist eine MIB, die Sie für einen an ein SNMP-Traps-Ziel wie CA NSM gesendeten Aktionsalarm erstellen. Die im Aktionsalarm festgelegte benutzerdefinierte Trap-ID geht von der Existenz einer zugeordneten benutzerdefinierten MIB aus, die die ausgewählten, als Trap gesendeten CEG-Felder definiert.
Benutzergruppe
Eine Benutzergruppe kann eine Anwendungsgruppe, eine globale oder eine dynamische Gruppe sein. Vordefinierte CA Enterprise Log Manager-Anwendungsgruppen sind Administrator, Analyst und Auditor. CA Enterprise Log Manager-Benutzer können über Mitgliedschaften außerhalb von CA Enterprise Log Manager zu globalen Gruppen gehören. Dynamische Gruppen sind benutzerdefiniert und werden über eine dynamische Gruppenrichtlinie erstellt.
Benutzername "EiamAdmin"
EiamAdmin ist der Standardname für den Superuser, der dem Benutzer zugewiesen wird, der die CA Enterprise Log Manager-Server installiert. Bei der Installation der ersten CA Enterprise Log Manager-Software erstellt der Installierende ein Kennwort für dieses Superuser-Konto, wenn nicht bereits ein Remote-CA EEM-Server vorhanden ist. In diesem Fall muss der Installierende das vorhandene Kennwort eingeben. Nach der Installation der Soft-Appliance öffnet der Installierende einen Browser von einer Workstation aus, gibt die URL für CA Enterprise Log Manager ein und meldet sich als "EiamAdmin" mit dem zugehörigen Kennwort an. Dieser erste Benutzer richtet den Benutzerspeicher ein, erstellt Kennwortrichtlinien sowie das erste Benutzerkonto mit Administratorrolle. Optional kann der Benutzer "EiamAdmin" jede Operation durchführen, die von CA EEM gesteuert wird.
Benutzerrolle
Eine Benutzerrolle kann eine vordefinierte oder eine benutzerdefinierte Anwendungsgruppe sein. Benutzerdefinierte Benutzerrollen werden benötigt, wenn die vordefinierten Anwendungsgruppen (Administrator, Analyst und Auditor) nicht ausreichend differenziert sind, um Arbeitszuweisungen zu reflektieren. Für benutzerdefinierte Benutzerrollen sind benutzerdefinierte Zugriffsrichtlinien erforderlich. Zudem muss vordefinierten Richtlinien die neue Rolle hinzugefügt werden.
Benutzerspeicher
Ein Benutzerspeicher ist das Repository für globale Benutzerinformationen und Kennwortrichtlinien. Der CA Enterprise Log Manager-Benutzerspeicher ist standardmäßig das lokale Repository, das jedoch so konfiguriert werden kann, dass CA SiteMinder oder ein unterstütztes LDAP-Verzeichnis wie Microsoft Active Directory, Sun One oder Novell eDirectory referenziert werden. Unabhängig davon, wie der Benutzerspeicher konfiguriert wird, enthält das lokale Repository auf dem Management-Server anwendungsspezifische Informationen über die Benutzer, wie ihre Benutzerrolle und dazugehörige Zugriffsrichtlinien.
Beobachtetes Ereignis
Ein beobachtetes Ereignis ist ein Ereignis, das eine Quelle, ein Ziel und einen Agenten umfasst, wobei das Ereignis von einem Ereigniserfassungsagenten beobachtet und erfasst wird.
Bericht
Ein Bericht ist eine grafische oder tabellarische Darstellung von Ereignisprotokolldaten, die beim Ausführen von vordefinierten oder benutzerdefinierten Abfragen mit Filtern erstellt wird. Die Daten können aus heißen, warmen und verfügbar gemachten Datenbanken im Ereignisprotokollspeicher des ausgewählten Servers und, sofern angefordert, der zugehörigen föderierten Server stammen.
Berichtsbibliothek
Die Berichtsbibliothek ist der Speicher für alle vordefinierten und benutzerdefinierten Berichte, Berichtskennungen und geplanten Berichtsjobs.
Berichtsserver
Der Berichtsserver ist der Service, der folgenden Konfigurationsinformationen speichert: den beim Mailen von Alarmen zu verwendenden E-Mail-Server, die Anzeige von Berichten, die im PDF-Format gespeichert werden, und die Beibehaltung von Richtlinien für Berichte, die auf dem Berichtsserver gespeichert werden, sowie von Alarmen, die an den RSS-Feed gesendet werden.
Berichtsserver
Ein Berichtsserver ist eine Rolle, die von einem CA Enterprise Log Manager-Server ausgeführt wird. Ein Berichtsserver empfängt automatisch archivierte warme Datenbanken von einem oder mehreren Erfassungsservern. Ein Berichtsserver verwaltet Abfragen, Berichte, geplante Alarme und geplante Berichte.
CA Enterprise Log Manager
CA Enterprise Log Manager ist ein Lösung, mit der Sie Protokolle weit verteilter Ereignisquellen verschiedenster Art sammeln, nach Übereinstimmungen von Abfragen und Berichten suchen und Datensätze von Datenbanken mit komprimierten Protokollen speichern können, die Sie in externe Langzeitspeicher verschoben haben.
CA IT PAM
CA IT PAM ist die Abkürzung für CA IT Process Automation Manager. Dieses CA-Produkt automatisiert von Ihnen definierte Prozesse. CA Enterprise Log Manager verwendet zwei Prozesse: den Prozess zur Erstellung eines Ereignis-/Alarmausgabeprozesses für ein lokales Produkt, wie z. B. CA Service Desk, und den Prozess zur dynamischen Erstellung von Listen, die als Schlüsselwerte importiert werden können. Für die Integration ist CA IT PAM r2.1 erforderlich.
CA Spectrum
CA Spectrum ist ein Neztwerkfehlerverwaltungsprogramm, das in CA Enterprise Log Manager integriert werden kann, um als Ziel für Alarme in Form von SNMP-Traps zu dienen.
CA-Adapter
Die CA-Adapter sind eine Gruppe von Listenern, die Ereignisse von CA Audit-Komponenten erhalten. Diese Komponenten umfassen CA Audit-Clients, iRecorder und SAPI-Recorder sowie Quellen, die Ereignisse nativ über iTechnology senden.
CAELM
CAELM ist der Name der Anwendungsinstanz, die CA EEM für CA Enterprise Log Manager verwendet. Um die CA Enterprise Log Manager-Funktionen in CA Embedded Entitlements Manager aufzurufen, geben Sie die URL "https://<ip_address>:5250/spin/eiam/eiam.csp" ein, dann wählen Sie "CAELM" als Anwendungsnamen und geben das Kennwort des Benutzers "EiamAdmin" ein.
caelmadmin
Der Benutzername und das Kennwort caelmadmin sind Anmeldeinformationen, die für den Zugriff auf das Betriebssystem der Soft-Appliance benötigt werden. Die Benutzerkennung "caelmadmin" wird während der Installation des Betriebssystems erstellt. Während der Installation der Software-Komponente muss der Installierende das Kennwort für das CA EEM-Superuser-Konto, EiamAdmin, eingeben. Dem Konto "caelmadmin" wird dasselbe Konto zugewiesen. Es empfiehlt sich, dass sich der Server-Administrator über "ssh" als "caelmadmin"-Benutzer anmeldet und dieses Kennwort ändert. Auch wenn der Administrator sich nicht über "ssh" als Root anmelden kann, kann er bei Bedarf Benutzer zu "Root" (su root) wechseln lassen.
caelmservice
Der caelmservice bezeichnet eine Service-Konto, das es ermöglicht, dass iGateway und die lokalen CA EEM-Services als Nicht-Root-Benutzer ausgeführt werden können. Das caelmservice-Konto wird für die Installation von Betriebssystemaktualisierungen verwendet, die mit automatischen Software-Updates heruntergeladen werden.
CALM
CALM ist eine vordefinierte Ressourcenklasse, die folgende CA Enterprise Log Manager-Ressourcen umfasst: Alarm, ArchiveQuery, calmTag, Daten, EventGrouping, Integration und Bericht. Folgende Aktionen sind in dieser Ressourcenklasse zulässig: Anmerken (Berichte), Erstellen (Alarm, calmTag, EventGrouping, Integration und Bericht), Datenzugriff (Daten), Ausführen (ArchiveQuery) und Planen (Alarm, Bericht).
CALM-Anwendungszugriffsrichtlinie
Die CALM-Anwendungszugriffsrichtlinie ist ein Zugriffssteuerungslistentyp einer Richtlinie zur Bereichsdefinierung, die festlegt, wer sich in CA Enterprise Log Manager anmelden darf. Anmeldungszugriff wird standardmäßig dem [Gruppen-]Administrator, dem [Gruppen-] Analysen und dem [Gruppen-]Auditor erteilt.
calmTag
calmTag ist ein benanntes Attribut für das Anwendungsobjekt, das bei der Erstellung einer Richtlinie zur Bereichsdefinierung verwendet wird, um Benutzer auf bestimmte Berichte und Abfragen zu beschränken, die zu bestimmten Kennungen gehören. Alle Berichte und Abfrage sind Anwendungsobjekte und haben "calmTag" als Attribut. (Dies ist nicht zu verwechseln mit der Ressource "Kennung".)
CA-Server für automatische Software-Updates
Der CA-Server für automatische Software-Updates ist die Quelle für automatische Aktualisierungen aus CA.
CEG-Felder
CEG-Felder sind Label, mit denen die Darstellung von Rohereignisfeldern aus unterschiedlichen Ereignisquellen standardisiert wird. Während der Verfeinerung von Ereignissen wandelt CA Enterprise Log Manager Rohereignismeldungen in Namen-/Wertepaare um und ordnet die Namen der Rohereignisse Standard-CEG-Feldern zu. Bei dieser Verfeinerung entstehen Namen-/Wertepaare, die aus CEG-Feldern und -Werten aus dem Rohereignis bestehen. So werden unterschiedliche Labels aus Rohelementen für dasselbe Datenobjekt oder Netzwerkelement bei der Verfeinerung von Rohereignissen in denselben CEG-Feldnamen umgewandelt. CEG-Felder werden in der MIB der SNMP-Traps bestimmten OIDs zugeordnet.
Client für automatische Software-Updates
Ein Client für automatische Software-Updates ist ein CA Enterprise Log Manager-Server, der Inhaltsaktualisierungen von einem anderen CA Enterprise Log Manager-Server erhält, der als Proxy-Server für automatische Software-Updates bezeichnet wird. Clients für automatische Software-Updates fragen den konfigurierten Proxy-Server in regelmäßigen Abständen ab und rufen neue Aktualisierungen bei Verfügbarkeit ab. Nach dem Abrufen der Aktualisierungen installiert der Client die heruntergeladenen Komponenten.
Computersicherheitsprotokoll-Verwaltung
Die Computersicherheitsprotokoll-Verwaltung wird durch NIST als "der Prozess zum Generieren, Übertragen, Speichern, Analysieren und Entsorgen von Computersicherheitsprotokoll-Daten" definiert.
Connector
Ein Connector ist eine Integration für eine bestimmte Ereignisquelle, die in einem bestimmten Agenten konfiguriert wurde. Ein Agent kann mehrere Connectors ähnlicher oder verschiedener Typen in den Speicher laden. Der Connector ermöglicht die Erfassung von Rohereignissen von einer Ereignisquelle und die regelbasierte Übertragung konvertierter Ereignisse in einen Ereignisprotokollspeicher, wo sie in die heiße Datenbank eingefügt werden. Standardisierte Integrationen liefern eine optimierte Erfassung einer breiten Palette von Ereignisquellen, einschließlich Betriebssystemen, Datenbanken, Webservern, Firewalls und diversen Arten von Sicherheitsanwendungen. Sie können einen Connector für eine selbstentwickelte Ereignisquelle von Anfang an selbst definieren, oder Sie verwenden eine Integration als Vorlage.
Datenbankstatus "heiß"
Der Datenbankstatus "heiß" bezeichnet den Status der Datenbank im Ereignisprotokollspeicher, wenn neue Ereignisse eingefügt werden. Wenn die heiße Datenbank eine konfigurierbare Größe auf dem Erfassungsserver erreicht, wird sie komprimiert, katalogisiert und in den warmen Speicher auf dem Berichtsserver verschoben. Außerdem speichern alle Server neue selbstüberwachende Ereignisse in einer heißen Datenbank.
Datenbankstatus "kalt"
Der Datenbankstatus "kalt" wird einer warmen Datenbank zugewiesen, wenn ein Administrator das Hilfsprogramm "LMArchive" ausführt, um CA Enterprise Log Manager zu benachrichtigen, dass die Datenbank gesichert wurde. Administratoren müssen warmen Datenbanken sichern und dieses Hilfsprogramm ausführen, bevor die Datenbanken gelöscht werden. Eine warme Datenbank wird automatisch gelöscht, wenn ihr Alter den für "Maximale Anzahl an Archivtagen" konfigurierten Wert erreicht oder wenn der für "Festplattenspeicher für Archiv" konfigurierte Schwellenwert erreicht wird, je nachdem, welcher Wert zuerst erreicht wird. Sie können die Archivdatenbank abfragen, um kalte und warme Datenbanken zu ermitteln.
Datenbankstatus "verfügbar gemacht"
Der Datenbankstatus "verfügbar gemacht" ist der Status, der einer Datenbank zugewiesen wird, die im Archivverzeichnis wiederhergestellt wurde, nachdem der Administrator das Hilfsprogramm "LMArchive" ausgeführt hat, um CA Enterprise Log Manager mitzuteilen, dass die Datenbank wiederhergestellt wurde. Verfügbar gemachte Datenbanken bleiben für die Anzahl der Stunden erhalten, die für die Exportrichtlinie konfiguriert wurde. Ereignisprotokolle können in Datenbanken mit dem Status "heiß", "warm" und "verfügbar gemacht" abgefragt werden.
Datenbankstatus "warm"
Der Datenbankstatus "warm" bezeichnet den Status, in dem eine heiße Datenbank von Ereignisprotokollen verschoben wird, wenn die Größe (Maximale Zeilenanzahl) der heißen Datenbank überschritten wird oder wenn nach der Wiederherstellung einer kalten Datenbank in einem neuen Ereignisprotokollspeicher eine Neukatalogisierung durchgeführt wird. Warme Datenbanken werden komprimiert und im Ereignisprotokollspeicher beibehalten, bis ihr Alter (in Tagen) den konfigurierten Wert für "Maximale Anzahl an Archivtagen" überschreitet. Ereignisprotokolle können in Datenbanken mit dem Status "heiß", "warm" und "verfügbar gemacht" abgefragt werden.
Datenbankstatuswerte
Es gibt folgende Datenbankstatuswerte: "heiß" für eine nicht komprimierte Datenbank mit neuen Ereignissen, "warm" für eine Datenbank mit komprimierten Ereignissen, "kalt" für eine gesicherte Datenbank und "verfügbar gemacht" für eine Datenbank, die im Ereignisprotokollspeicher wiederhergestellt wurde, auf dem sie gesichert wurde. Sie können heiße, warme und verfügbar gemachte Datenbanken abfragen. Eine Archivabfrage zeigt die Informationen von kalten Datenbanken an.
Datenzugriff
Datenzugriff ist eine Art der Berechtigung, die allen CA Enterprise Log Managers über die Standarddatenzugriffsrichtlinie in der CALM-Ressourcenklasse gewährt wird. Alle Benutzer haben Zugriff auf alle Daten, außer wenn diese durch Datenzugriffsfilter eingeschränkt sind.
Datenzuordnung
Datenzuordnung ist der Prozess der Zuordnung der Schlüsselwertpaare in CEG. Die Datenzuordnung wird durch eine DM-Datei gesteuert.
Datenzuordnung von Dateien
Unter der Datenzuordnung von Dateien versteht man XML-Dateien, die die CA-ELM-Schemadefinition (CEG) verwenden, um Ereignisse vom Ursprungsformat in ein CEG-kompatibles Format zu übertragen, das zur Berichterstellung und Analyse im Ereignisprotokollspeicher gespeichert werden kann. Für jeden Protokollnamen wird eine Datenzuordnungsdatei benötigt, bevor die Ereignisdaten gespeichert werden können. Die Benutzer können eine Kopie der Datenzuordnungsdatei ändern und diese auf einen angegebenen Connector anwenden.
Delegierungsrichtlinie
Eine Delegierungsrichtlinie ist eine Zugriffsrichtlinie, mit der ein Benutzer seine Rechte auf einen anderen Benutzer, eine andere Anwendungsgruppe, eine andere globale oder dynamische Gruppe übertragen kann. Delegierungsrichtlinien, die von einem gelöschten oder deaktivierten Benutzer erstellt wurden, müssen explizit gelöscht werden.
Direkte Protokollerfassung
Direkte Protokollerfassung bezeichnet die Protokollerfassungsmethode, bei der es keinen unmittelbaren Agenten zwischen Ereignisquelle und der CA Enterprise Log Manager-Software gibt.
Dynamische Benutzergruppe
Eine dynamische Benutzergruppe setzt sich aus globalen Benutzern zusammen, die ein oder mehrere Attribute gemeinsam haben. Eine dynamische Benutzergruppe wird über eine spezielle Richtlinie für dynamische Benutzergruppen erstellt, wobei der Ressourcenname der Name der dynamischen Benutzergruppe ist und die Mitgliedschaft auf einer Gruppe von Filtern basiert, die anhand von Benutzer- und Gruppenattributen erstellt wird.
EEM-Benutzer
Der EEM-Benutzer, der im Auto-Archivierungsbereich des Ereignisprotokollspeichers konfiguriert wird, gibt den Benutzer an, der eine Archivabfrage durchführen, die Archivdatenbank neu katalogisieren, das Hilfsprogramm "LMArchive" und das Shellskript "restore-ca-elm" zur Wiederherstellung von Archivdatenbanken zur Prüfung ausführen kann. Dem Benutzer muss die vordefinierte Rolle des Administrators oder eine benutzerdefinierte Rolle mit einer benutzerdefinierten Richtlinie zugewiesen werden, die die Aktion "Bearbeiten" in der Datenbankressource zulässt.
Eingabeaufforderung
Eine Eingabeaufforderung ist ein besonderer Typ von Abfrage, durch die Ergebnisse basierend auf dem eingegebenen Wert und den ausgewählten CEG-Feldern angezeigt werden. Es werden nur Zeilen für Ereignisse zurückgegeben, bei denen der eingegebene Wert in mindestens einem der ausgewählten CEG-Felder angezeigt wird.
ELM-Schemadefinition (CEG)
Die ELM-Schemadefinition ist das Schema, das ein Standardformat enthält, in das CA Enterprise Log Manager-Ereignisse mithilfe von Analysen und Zuordnungen konvertiert werden, bevor diese im Ereignisprotokollspeicher gespeichert werden. CEG verwendet allgemeine, normalisierte Felder, um die Sicherheitsereignisse von verschiedenen Plattformen und Produkten zu definieren. Ereignisse, die nicht analysiert oder zugeordnet werden können, werden als Rohereignisse gespeichert.
EPHI-Berichte
Die EPHI-Berichte sind Berichte, die sich auf die HIPAA-Sicherheit beziehen, wobei EPHI für Electronic Protected Health Information (Elektronisch geschützte Gesundheitsinformationen) steht. Mit diesen Berichten können Sie einfach demonstrieren, dass alle einzeln feststellbaren Gesundheitsinformationen der Patienten, die elektronisch erstellt, verwaltet oder übertragen werden, auch geschützt sind.
Ereignis-/Alarmausgabeprozess
Der Ereignis-/Alarmausgabeprozess ist der IT PAM-Prozess von CA, durch den ein Produkt eines anderen Herstellers aufgerufen wird, um auf Alarmdaten zu reagieren, die in CA Enterprise Log Manager konfiguriert werden. Sie können einen CA IT PAM-Prozess beim Planen eines Alarmjobs als Ziel auswählen. Wenn ein Alarm zur Ausführung des CA IT PAM-Prozesses führt, sendet CA Enterprise Log Manager CA IT PAM-Alarmdaten. CA IT PAM leitet diese zusammen mit eigenen Verarbeitungsparametern als Teil des Ereignis-/Alarmausgabeprozesses an das Produkt des anderen Herstellers weiter.
Ereignisaggregation
Unter Ereignisaggregation versteht man den Prozess, in dem ähnliche Protokolleinträge in einen Eintrag konsolidiert werden, der die Anzahl der Vorkommnisse des Ereignisses enthält. Über Zusammenfassungsregeln wird definiert, wie Ereignisse aggregiert werden.
Ereignisaktion (event_action)
Die Ereignisaktion ist das ereignisspezifische Feld auf der vierten Ebene der Ereignisnormalisierung, das von CEG verwendet wird. Es beschreibt allgemeine Aktionen. Beispieltypen für Ereignisaktionen sind Start und Stopp eines Prozesses oder Anwendungsfehler.
Ereigniserfassung
Ereigniserfassung bezeichnet das Lesen der Rohereigniszeichenfolge aus einer Ereignisquelle und das Senden dieser an den konfigurierten CA Enterprise Log Manager. Auf die Ereigniserfassung folgt die Ereignisverfeinerung.
Ereignisfilterung
Ereignisfilterung ist der Prozess, in dem Ereignisse auf der Basis von CEG-Filtern verworfen werden.
Ereigniskategorie (event_category)
Die Ereigniskategorie ist das ereignisspezifische Feld auf der zweiten Ebene der Ereignisnormalisierung, das von CEG verwendet wird. Es dient der weiteren Klassifizierung von Ereignissen mit einen speziellen Idealmodell. Ereigniskategorietypen umfassen die Betriebssicherheit, das Identitäten-Management, das Konfigurations-Management, den Ressourcen- und Systemzugriff.
Ereigniskategorien
Ereigniskategorien sind Kennungen, anhand derer CA Enterprise Log Manager-Ereignisse nach ihrer Funktion klassifiziert, bevor sie in den Ereignisspeicher eingefügt werden.
Ereignisklasse (event_class)
Die Ereignisklasse ist das ereignisspezifische Feld auf der dritten Ebene der Ereignisnormalisierung, das von CEG verwendet wird. Es dient der weiteren Klassifizierung von Ereignissen mit einer speziellen Ereigniskategorie.
Ereignisprotokollspeicher
Der Ereignisprotokollspeicher ist das Ergebnis des Archivierungsprozesses, bei dem der Benutzer eine warme Datenbank sichert, CA Enterprise Log Manager durch Ausführen des Hilfsprogramms "LMArchive" benachrichtigt und die gesicherte Datenbank aus dem Ereignisprotokollspeicher in den langfristigen Speicher verschiebt.
Ereignisprotokollspeicher
Der Ereignisprotokollspeicher ist eine Komponente im CA Enterprise Log Manager-Server, bei der eingehende Ereignisse in Datenbanken gespeichert werden. Die Datenbanken im Ereignisprotokollspeicher müssen vor dem Zeitpunkt, der für den Löschvorgang konfiguriert wurde, manuell gesichert werden und zu einer Remote-Protokollspeicherlösung verschoben werden. Archivierte Datenbanken können in einem Ereignisprotokollspeicher wiederhergestellt werden.
Ereignisquelle
Eine Ereignisquelle ist der Host, von dem ein Connector Rohereignisse erfasst. Eine Ereignisquelle kann mehrere Protokollspeicher enthalten, auf die jeweils durch einen separaten Connector zugegriffen wird. Die Bereitstellung eines neuen Connectors umfasst gewöhnlich die Konfiguration der Ereignisquelle, so dass der Agent darauf zugreifen und Rohereignisse aus einem der zugehörigen Protokollspeicher lesen kann. Rohereignisse für das Betriebssystem, andere Datenbanken und verschiedene Sicherheitsanwendungen werden separat für die Ereignisquelle gespeichert.
Ereignisse
Ereignisse in CA Enterprise Log Manager sind Protokolldatensätze, die von jeder angegebenen Ereignisquelle generiert werden.
Ereignisverfeinerung
Ereignisverfeinerung bezeichnet den Prozess, in dem die Zeichenfolge eines erfassten Rohereignisses in die jeweiligen Ereignisfelder und die zugeordneten CEG-Felder analysiert wird. Benutzer können Abfragen durchführen, um die Ergebnisse der verfeinerten Ereignisdaten anzuzeigen. Die Ereignisverfeinerung findet nach der Ereigniserfassung und vor der Ereignisspeicherung statt.
Ereignisverfeinerungs-Bibliothek
Die Ereignisverfeinerungs-Bibliothek ist der Speicher für vordefinierte und benutzerdefinierte Integrationen, für Zuordnungs- und Analysedateien sowie für Unterdrückungs- und Zusammenfassungsregeln.
Ereignisweiterleitungsregeln
Ereignisweiterleitungsregeln geben an, dass ausgewählte Ereignisse nach der Speicherung im Ereignisprotokoll-Speicher an Produkte anderer Hersteller weitergeleitet werden sollen, beispielsweise an Produkte zur Korrelation von Ereignissen.
Erfassungspunkt
Ein Erfassungspunkt ist ein Server, auf dem ein Agent installiert ist und bei dem sich der Server in unmittelbarer Netzwerknähe zu allen Servern mit Ereignisquellen befindet, die mit den Connectors des Agenten verknüpft sind.
Erfassungsserver
Ein Erfassungsserver ist eine Rolle, die von einem CA Enterprise Log Manager-Server ausgeführt wird. Ein Erfassungsserver verfeinert eingehende Ereignisprotokolle, fügt sie in die heiße Datenbank ein, komprimiert die heiße Datenbank und archiviert oder kopiert sie automatisch auf den entsprechenden Berichtsserver. Der Erfassungsserver komprimiert die heiße Datenbank, sobald diese die konfigurierte Größe erreicht hat, und archiviert sie automatisch entsprechend dem konfigurierten Plan.
Filter
Ein Filter ist ein Mittel, mit dem Sie eine Abfrage für den Ereignisprotokollspeicher eingrenzen können.
FIPS 140-2
FIPS 140-2 ist der Federal Information Processing Standard (FIPS). Dieser Bundesstandard gibt die Sicherheitsanforderungen für kryptographische Module an, die innerhalb eines Sicherheitssystems zum Schutz von sensiblen, nicht klassifizierten Daten verwendet werden. Der Standard gibt vier Qualitätsstufen der Sicherheit vor, die darauf abzielen, einen großen Bereich potenzieller Anwendungen und Umgebungen abzudecken.
FIPS-Modus
FIPS-Modus ist die Einstellung, die erfordert, dass CA Enterprise Log Manager-Server und -Agenten FIPS-zertifizierte kryptographische Module aus RSA zur Verschlüsselung verwenden. Die alternative Einstellung dazu ist der Nicht-FIPS-Modus.
Föderationsserver
Föderationsserver sind CA Enterprise Log Manager-Server, die in einem Netzwerk miteinander verbunden sind, um die erfassten Protokolldaten zu verteilen, aber um die erfassten Daten für die Berichterstellung zu aggregieren. Föderationsserver können hierarchisch oder über eine vernetzte Topologie verbunden werden. Berichte von föderierten Daten umfassen Daten vom Zielserver sowie Daten von Unter- oder Gleichordnungen dieses Servers, sofern vorhanden.
Funktionszuordnungen
Funktionszuordnungen sind ein optionaler Teil der Datenzuordnungsdatei für eine Produktintegration. Mit einer Funktionszuordnung kann ein CEG-Feld gefüllt werden, wenn der benötigte Wert nicht direkt vom Quellereignis abgerufen werden kann. Alle Funktionszuordnungen bestehen aus dem Namen des CEG-Feldes, einem vordefinierten oder Klassenfeldwert und der Funktion, mit der der Wert abgerufen oder berechnet wird.
Gespeicherte Konfiguration
Eine gespeicherte Konfiguration ist eine gespeicherte Konfiguration mit den Werten für die Datenzugriffsattribute einer Integration, die als Vorlage bei der Erstellung einer neuen Integration verwendet werden kann.
Globale Gruppe
Eine globale Gruppe ist eine Gruppe, die von mehreren Anwendungsinstanzen gemeinsam verwendet wird, die im selben CA Enterprise Log Manager-Management-Server registriert sind. Jeder Benutzer kann einer oder mehreren globalen Gruppen zugeordnet werden. Zugriffsrichtlinien können mit globalen Gruppen als Identitäten definiert werden, denen die Durchführung bestimmter Aktionen in ausgewählten Ressourcen gewährt oder verweigert wird.
Globale Konfiguration
Die global Konfiguration bezeichnet eine Reihe von Einstellungen, die alle CA Enterprise Log Manager-Server betreffen, die denselben Management-Server verwenden.
Globale Ressource
Eine globale Ressource für das CA Enterprise Log Manager-Produkt ist eine Ressource, die mit anderen CA-Anwendungen gemeinsam genutzt wird. Sie können Richtlinien zur Bereichsdefinierung mit globalen Ressourcen erstellen. Beispiele hierfür sind Benutzer, Richtlinien und Kalender. Siehe auch Anwendungsressource.
Globaler Benutzer
Bei einem globalen Benutzer handelt es sich um die Benutzerkontoinformationen ohne anwendungsspezifische Details. Die Details und eines globalen Benutzers und die Mitgliedschaften einer globalen Gruppe werden gemeinsam in allen CA-Anwendungen genutzt, die mit dem Standardbenutzerspeicher integriert werden können. Die Details globaler Benutzer können im eingebetteten Repository oder in einem externen Verzeichnis gespeichert werden.
Globaler Filter
Ein globaler Filter ist ein Satz von Kriterien, die Sie angeben können und mit denen die in den Berichten angezeigten Daten begrenzt werden können. Beispielsweise zeigt ein globaler Filter für die letzten 7 Tage nur die Ereignisse an, die in den letzten sieben Tagen generiert wurden.
Hierarchische Föderation
Eine hierarchische Föderation von CA Enterprise Log Manager-Servern ist eine Topologie, die eine hierarchische Beziehung zwischen Servern einrichtet. In seiner einfachsten Form ist dies der Fall, wenn Server 2 ein untergeordneter Server von Server 1 ist, Server 1 jedoch nicht Server 2 untergeordnet ist. Dies bedeutet, dass die Beziehung nur in eine Richtung geht. Eine hierarchische Föderation kann mehrere Ebenen von über- und untergeordneten Beziehungen haben, und ein einzelner übergeordneter Server kann mehrere untergeordnete Server haben. Eine föderierte Abfrage gibt die Ergebnisse vom ausgewählten Server und all seinen untergeordneten Servern zurück.
Hilfsprogramm "LMArchive"
Das Hilfsprogramm "LMArchive" ist das Befehlszeilenhilfsprogramm, mit dem die Sicherung und Wiederherstellung von Archivdatenbanken zum Ereignisprotokollspeicher auf einem CA Enterprise Log Manager-Server verfolgt wird. Mit "LMArchive" können Sie die Liste der warmen Datenbankdateien abfragen, die für die Archivierung bereit sind. Nach der Sicherung der aufgelisteten Datenbank und nach deren Verschieben in den langfristigen (kalten) Speicher können Sie mit "LMArchive" einen Datensatz im CA Enterprise Log Manager erstellen, dass diese Datenbank gesichert wurde. Nach der Wiederherstellung einer kalten Datenbank in ihrem ursprünglichen CA Enterprise Log Manager können Sie mit "LMArchive" CA Enterprise Log Manager benachrichtigen, der dann die Datenbankdateien wiederum verfügbar macht, so dass sie abgefragt werden können.
Hilfsprogramm "LMSEOSImport"
Das Hilfsprogramm LMSEOSImport ist ein Befehlszeilenhilfsprogramm, mit dem SEOSDATA oder vorhandene Ereignisse als Teil der Migration von Audit Reporter, Viewer oder Audit Collector in CA Enterprise Log Manager importiert werden. Dieses Hilfsprogramm wird nur von Microsoft Windows und Sun Solaris Sparc unterstützt.
Hilfsprogramm "scp"
Die Sicherheitskopie scp (Kopierprogramm für Remote-Dateien) ist ein UNIX-Hilfsprogramm, das Dateien zwischen UNIX-Computern in einem Netzwerk transferiert. Dieses Hilfsprogramm wird während der CA Enterprise Log Manager-Installation für Sie zur Verfügung gestellt, damit Sie Dateien für automatische Software-Updates vom Online-Proxy zum Offline-Proxy für Software-Updates transferieren können.
HTTP-Proxy-Server
Ein HTTP-Proxy-Server ist ein Proxy-Server, der wie eine Firewall agiert und dafür sorgt, dass Internet-Traffic das Unternehmen nur über den Proxy betritt und wieder verlässt. Wenn bei ausgehendem Verkehr eine ID und ein Kennwort angegeben werden, kann der Proxy-Server umgangen werden. Beim Verwalten automatischer Software-Updates kann die Verwendung eines lokalen HTTP-Proxy-Servers konfiguriert werden.
Idealmodell (ideal_model)
Das Idealmodell stellt die Technologie dar, die das Ereignis ausdrückt. Dies ist das erste CEG-Feld in einer Hierarchie von Feldern, die für die Ereignisklassifikation und -normalisierung verwendet werden. Beispiele eines Idealmodells sind z. B. Antivirus, DBMS, Firewall, Betriebssystem und Webserver. Die Firewall-Produkte Check Point, Cisco PIX und Netscreen/Juniper könnten mit dem Wert "Firewall" im Feld "ideal_model" normalisiert werden.
Identität
Eine Identität in CA Enterprise Log Manager ist eine Benutzergruppe, die Zugriff auf die CAELM-Anwendungsinstanz und ihre Ressourcen hat. Eine Identität für ein CA-Produkt kann ein globaler Benutzer, ein Anwendungsbenutzer, eine globale Gruppe, eine Anwendungsgruppe oder eine dynamische Gruppe sein.
Inhaltsaktualisierungen
Inhaltsaktualisierungen sind der nicht-binäre Anteil der automatischen Software-Updates, die auf dem CA Enterprise Log Manager-Management-Server gespeichert werden. Inhaltsaktualisierungen umfassen Inhalte, wie XMP-Dateien, Datenzuordnungsdateien, Konfigurationsaktualisierungen für CA Enterprise Log Manager-Module und Aktualisierungen öffentlicher Schlüssel.
Installierender
Der Installierende ist derjenige, der die Soft-Appliance und die Agenten installiert. Während des Installationsprozesses werden die Benutzernamen "caelmadmin" und "EiamAdmin" erstellt, und das für "EiamAdmin" angegebene Kennwort wird "caelmadmin" zugewiesen. Diese "caelmadmin"-Anmeldeinformationen werden für den ersten Zugriff auf das Betriebssystem benötigt, die "EiamAdmin"-Anmeldeinformationen werden für den ersten Zugriff auf die CA Enterprise Log Manager-Software und für die Installation der Agenten benötigt.
Integration
Integration ist das Mittel, mit dem nicht klassifizierte Ereignisse in verfeinerte Ereignisse verarbeitet werden, so dass sie in Abfragen und Berichten angezeigt werden. Die Integration wird mit einem Satz von Elementen implementiert, die es einem bestimmten Agenten und Connector ermöglichen, Ereignisse von einem oder mehreren Typen von Ereignisquellen zu erfassen und zu CA Enterprise Log Manager zu senden. Der Satz von Elementen umfasst den Protokollsensor und die XMP- und DM-Dateien, die aus einem bestimmten Produkt lesen sollen. Beispiele für vordefinierte Integrationen sind die für die Verarbeitung von Syslog- und WMI-Ereignissen. Sie können benutzerdefinierte Integrationen erstellen, um die Verarbeitung nicht klassifizierter Ereignisse zu ermöglichen.
Integrationselemente
Integrationselemente umfassen einen Sensor, eine Konfigurationshilfe, eine Datenzugriffsdatei, eine oder mehrere XMP-Nachrichtenanalysedateien und eine oder mehrere Datenzuordnungsdateien.
iTech-Ereignis-Plugin
Das iTech-Ereignis-Plugin ist ein CA-Adapter, den ein Administrator mit ausgewählten Zuordnungsdateien konfigurieren kann. Er erhält Ereignisse von Remote-iRecorders, CA EEM, iTechnology selbst oder von einem Produkt, das Ereignisse über iTechnology sendet.
Kalender
Ein Kalender ist ein Mittel, mit dem Sie die Gültigkeitsdauer einer Zugriffsrichtlinie begrenzen können. Eine Richtlinie ermöglicht bestimmten Identitäten die Durchführung bestimmter Aktionen in einer angegebenen Ressource während eines definierten Zeitraums.
Katalog
Der Katalog ist die Datenbank auf jedem CA Enterprise Log Manager, die den Status der archivierten Datenbanken beibehält und gleichzeitig als Index höchster Ebene für alle Datenbanken agiert. Die Statusinformationen (warm, kalt oder verfügbar gemacht) werden für alle Datenbanken beibehalten, die sich je auf diesem CA Enterprise Log Manager befunden haben, und für jede Datenbank, die auf diesem CA Enterprise Log Manager als verfügbar gemachte Datenbank wiederhergestellt wurde. Die Indizierungsfähigkeit erstreckt sich auf alle heißen und warmen Datenbanken im Ereignisprotokollspeicher auf diesem CA Enterprise Log Manager.
Kennung
Eine Kennung ist ein Term oder eine Schlüsselphrase, mit der Abfragen oder Berichte identifiziert werden, die zur selben geschäftsrelevanten Gruppierung gehören. Kennungen ermöglichen Suchläufe, die auf geschäftsrelevanten Gruppierungen basieren. Eine Kennung ist außerdem der Ressourcenname, der in einer Richtlinie verwendet wird, die dem Benutzer die Berechtigung zur Erstellung einer Kennung erteilt.
Kompatibel mit FIPS 140-2
Kompatibel mit FIPS 140-2 ist die Bezeichnung für ein Produkt, das optional FIPS-konforme kryptographische Bibliotheken und Algorithmen nutzen kann, um sensible Daten zu verschlüsseln und zu entschlüsseln. CA Enterprise Log Manager ist ein FIPS-kompatibles Protokollerfassungsprodukt, da Sie auswählen können, ob es im FIPS-Modus oder im Nicht-FIPS-Modus ausgeführt werden soll.
Konform mit FIPS 140-2
Konform mit FIPS 140-2 ist die Bezeichnung für ein Produkt, das standardmäßig nur Verschlüsselungsalgorithmen verwendet, die von einem akkreditierten Labor für Cryptographic Module Testing (CMT) zertifiziert sind. CA Enterprise Log Manager kann auf zertifizierte RSA BSAFE Crypto-C ME-und Crypto-J-Bibliotheken basierte kryptographische Module in FIPS-Modus verwenden, tut dies jedoch möglicherweise nicht standardmäßig.
Konto
Ein Konto bezeichnet einen globalen Benutzer, der auch ein CALM-Anwendungsbenutzer ist. Eine einzelne Person kann mehr als ein Konto haben, jedoch muss die benutzerdefinierte Rolle eine andere sein.
Lokaler Filter
Ein lokaler Filter ist ein Satz von Kriterien, die Sie während der Berichtsanzeige angeben können, um die angezeigten Daten für den aktuellen Bericht zu begrenzen.
Lokales Ereignis
Ein lokales Ereignis ist ein Ereignis, das eine einzelne Einheit umfasst, bei der sich Quelle und Ziel des Ereignisses auf demselben Hostrechner befinden. Ein lokales Ereignis entspricht Typ 1 der vier Ereignistypen, die in der ELM-Schemadefinition (CEG) verwendet werden.
Management-Server
Der Management-Server ist eine Rolle, die dem ersten installierten CA Enterprise Log Manager-Server zugewiesen ist. Dieser CA Enterprise Log Manager-Server enthält das Repository, in dem gemeinsam genutzte Inhalte, wie Richtlinien, für all seine CA Enterprise Log Managers gespeichert werden. Dieser Server ist normalerweise der Standard-Proxy für automatische Software-Updates. Auch wenn dies in den meisten produktiven Umgebungen nicht empfehlenswert ist, so kann der Management-Server alle Rollen ausführen.
MIB (Management Information Base)
Die MIB (Management Information Base) für CA Enterprise Log Manager, CA-ELM.MIB, muss für jedes Produkt, das Alarme in Form von SNMP-Traps von CA Enterprise Log Manager erfassen soll, importiert und konfiguriert werden. Die MIB zeigt die Quelle der numerischen OIDs (Objekt-ID) an, die in einer SNMP-Trap-Meldung verwendet werden, zusammen mit einer Beschreibung des Datenobjekts oder Netzwerkelements. In der MIB für SNMP-Traps, die von CA Enterprise Log Manager gesendet werden, bezieht sich die Beschreibung der einzelnen Datenobjekte auf das entsprechende CEG-Feld. Die MIB stellt sicher, dass alle Namen-/Wertepaare aus einer SNMP-Trap am Ziel korrekt interpretiert werden.
Modul für automatische Software-Updates
Das Modul für automatische Software-Updates ist ein Dienst, bei dem automatische Software-Updates über den CA-Software-Update-Server automatisch heruntergeladen und an CA Enterprise Log Manager-Server und an alle Agenten verteilt werden können. Globale Einstellungen gelten für lokale CA Enterprise Log Manager-Server. Lokale Einstellungen geben an, ob der Server ein Offline-Proxy, ein Online-Proxy oder ein Client für automatische Software-Updates ist.
Module (zum Herunterladen)
Ein Modul ist eine logische Gruppierung von Komponentenaktualisierungen, die über ein automatisches Software-Update zum Herunterladen zur Verfügung gestellt wird. Ein Modul kann binäre Aktualisierungen, Inhaltsaktualisierungen oder beides enthalten. Beispielsweise bilden alle Berichte ein Modul und alle Sponsor-Binäraktualisierungen ein anderes. CA definiert, was ein Modul ausmacht.
Nachrichtenanalyse
Die Analyse, auch als Nachrichtenanalyse bezeichnet, umfasst den Prozess der Umwandlung roher Gerätedaten in Schlüsselwertpaare. Die Nachrichtenanalyse wird durch eine XMP-Datei gesteuert. Die Analyse, die der Datenzuordnung vorausgeht, ist ein Schritt des Integrationsprozesses, der das von einer Ereignisquelle erfasste Rohereignis in ein verfeinertes Ereignis umwandelt, das Sie anzeigen können.
Nachrichtenanalyse
Nachrichtenanalyse bezeichnet die Anwendung von Regeln auf die Analyse eines Rohereignisprotokolls, um relevante Informationen (wie Zeitstempel, IP-Adresse und Benutzername) abzurufen. Analyseregeln arbeiten mit der Zeichenübereinstimmung, um einen bestimmten Ereignistext zu suchen und diesen mit den ausgewählten Werten zu verknüpfen.
Nachrichtenanalysebibliothek
Die Nachrichtenanalysebibliothek ist eine Bibliothek, die Ereignisse aus den Listener-Warteschlangen übernimmt und reguläre Ausdrücke verwendet, um Zeichenfolgen in Token-Namenwertpaare zu übersetzen.
Nachrichtenanalysedatei (XMP)
Eine Nachrichtenanalysedatei (XMP) ist eine XML-Datei, die mit einem bestimmten Ereignisquellentyp verknüpft ist, der Analyseregeln anwendet. Analyseregeln zerlegen die relevanten Daten in einem erfassten Rohereignis in Namenswertepaare, die dann zur weiteren Verarbeitung an die Datenzuordnungsdatei weitergeleitet werden. Dieser Dateityp wird in allen Integrationen sowie in Connectors verwendet, die auf Integrationen basieren. Im Falle von CA-Adaptern können XMP-Dateien auch auf dem CA Enterprise Log Manager-Server angewendet werden.
Nachrichtenanalyse-Token (ELM)
Ein Nachrichtenanalyse-Token ist eine wiederverwendbare Vorlage für die Erstellung einer regulären Ausdruckssyntax, die bei der CA Enterprise Log Manager-Nachrichtenanalyse verwendet wird. Ein Token verfügt über einen Namen, einen Typ und eine entsprechende Zeichenfolge für den regulären Ausdruck.
Natives Ereignis
Ein natives Ereignis ist der Zustand oder die Aktion, die ein Rohereignis auslöst. Native Ereignisse werden empfangen, entsprechend analysiert/zugeordnet und dann als Rohereignisse oder verfeinerte Ereignisse übertragen. Eine fehlgeschlagene Authentifizierung ist ein natives Ereignis.
Neukatalogisierung
Eine Neukatalogisierung ist eine erzwungene Neuerstellung des Katalogs. Die Neukatalogisierung ist nur erforderlich, wenn Daten im Ereignisprotokollspeicher eines anderen Servers wiederhergestellt werden als auf dem Server, auf dem sie generiert wurden. Wenn Sie einen CA Enterprise Log Manager als Wiederherstellungspunkt für Untersuchungen von kalten Daten bestimmen, müssen Sie eine Neukatalogisierung der Datenbank immer dann erzwingen, nachdem diese auf dem festgelegten Wiederherstellungspunkt wiederhergestellt wurde. Eine Neukatalogisierung wird ggf. automatisch durchgeführt, wenn iGateway erneut gestartet wird. Die Neukatalogisierung einer einzelnen Datenbank kann mehrere Stunden in Anspruch nehmen.
Nicht interaktive ssh-Authentifizierung
Nicht interaktive Authentifizierung aktiviert Dateien dazu, sich von einem Server zum anderen zu verschieben, ohne dass die Eingabe einer Passphrase zur Authentifizierung erforderlich ist. Legen Sie, bevor Sie automatische Archivierung konfigurieren oder das restore-ca-elm.sh-Skript verwenden, die nicht interaktive Authentifizierung vom Quellserver zum Zielserver fest.
Nicht-FIPS-Modus
Nicht-FIPS-Modus ist die Standardeinstellung, die es CA Enterprise Log Manager-Servern und -Agenten ermöglicht, eine Kombination aus verschiedenen Verschlüsselungsverfahren zu verwenden, von denen einige nicht FIPS-konform sind. Die alternative Einstellung dazu ist der FIPS-Modus.
NIST
Das National Institute of Standards and Technology (NIST) ist die Bundesagentur, die Empfehlungen in ihrer Special Publication 800-92 Guide to Computer Security Log Management (Leitfaden für die Computersicherheitsprotokoll-Verwaltung) gibt, die als Basis für CA Enterprise Log Manager verwendet wurde.
ODBC- und JDBC-Zugriff
Durch den ODBC- und JDBC-Zugriff auf CA Enterprise Log Manager-Ereignisprotokoll-Speicher wird die Verwendung von Ereignisdaten mit einer Vielzahl von Produkten anderer Hersteller unterstützt, darunter die benutzerdefinierte Berichterstellung zu Ereignissen mit Berichterstellungstools anderer Hersteller, die Ereigniskorrelation mit Korrellations-Engines und die Ereignisauswertung durch Produkte für die Erkennung von Sicherheitsverletzungen (Intrusion Detection) und Malware. Auf Systemen mit Windows-Betriebssystemen wird der ODBC-Zugriff verwendet, auf UNIX- und Linux-Systemen hingegen der JDBC-Zugriff.
ODBC-Server
Der ODBC-Server ist der konfigurierte Service, der den für die Kommunikation zwischen dem ODBC- oder JDBC-Client und dem CA Enterprise Log Manager-Server verwendeten Port festlegt und angibt, ob SSL-Verschlüsselung verwendet werden soll.
OID (Objekt-ID)
Eine OID (Objekt-ID) ist eine eindeutige numerische ID für ein Datenobjekt, das mit Werten in einer SNMP-Trap-Meldung verbunden wird. Alle OIDs, die in einer CA Enterprise Log Manager-SNMP-Trap verwendet werden, werden einem CEG-Textfeld in der MIB zugeordnet. Jede OID, die einem CEG-Feld zugeordnet ist, hat folgende Syntax: 1.3.6.1.4.1.791.9845.x.x.x, wobei 791 die Unternehmensnummer für CA und 9845 die Produkt-ID für CA Enterprise Log Manager ist.
Ordner
Ein Ordner ist ein Verzeichnispfad-Speicherort, an dem der CA Enterprise Log Manager-Management-Server die CA Enterprise Log Manager-Objekttypen speichert. Sie sollten Ordner in Richtlinien zur Bereichsdefinierung referenzieren, um Benutzern die Berechtigung zum Zugriff auf einen bestimmten Objekttyp zu erteilen oder zu verweigern.
Pflichtrichtlinie
Eine Pflichtrichtlinie ist eine Richtlinie, die beim Erstellen eines Zugriffsfilters automatisch erstellt wird. Sie sollten nicht versuchen, eine Pflichtrichtlinie direkt zu erstellen, zu bearbeiten oder zu löschen. Erstellen, bearbeiten oder löschen Sie stattdessen den Zugriffsfilter.
pozFolder
Der pozFolder ist ein Attribut des Anwendungsobjekts, wobei der Wert dem übergeordneten Pfad des Anwendungsobjekt entspricht. Attribut und Wert von "pozFolder" werden in Filtern für Zugriffsrichtlinien verwendet, die den Zugriff auf Ressourcen wie Berichte, Abfragen und Konfigurationen einschränken.
Profil
Ein Profil ist ein optionaler, konfigurierbarer Satz von Kennungs- und Datenfiltern, die produktspezifisch, technologiespezifisch oder auf eine ausgewählte Kategorie beschränkt sind. Ein Kennungsfilter für ein Produkt beschränkt beispielsweise die gelisteten Kennungen auf die ausgewählte Produktkennung. Datenfilter für ein Produkt zeigen in den von Ihnen generierten Berichten, den von Ihnen geplanten Alarmen und den von Ihnen angezeigten Abfrageergebnissen nur die Daten für das angegebene Produkt an. Nachdem Sie das gewünschte Profil erstellt haben, können Sie es, sobald Sie angemeldet sind, jederzeit aktivieren. Wenn Sie mehrere Profile erstellen, können Sie in einer Sitzung verschiedene Profile, jeweils eins nach dem anderen auf Ihre Aktivitäten anwenden. Vordefinierte Filter erhalten Sie mit den automatischen Software-Updates.
Protokoll
Ein Protokoll ist ein Audit-Datensatz oder eine erfasste Nachricht eines Ereignisses oder mehrerer Ereignisse. Ein Protokoll kann ein Audit-Protokoll, ein Transaktionsprotokoll, ein Intrusionsprotokoll, ein Verbindungsprotokoll, ein Systemleistungsdatensatz, ein Benutzeraktivitätsprotokoll oder ein Alarm sein.
Protokollanalyse
Protokollanalyse ist eine Untersuchung der Protokolleinträge, um relevante Ereignisse festzustellen. Wenn Protokolle nicht zeitnah analysiert werden, verringert sich ihr Wert beträchtlich.
Protokollanalyse
Protokollanalyse ist der Prozess der Datenextraktion aus einem Protokoll, damit die analysierten Werte in einem Folgestadium der Protokollverwaltung verwendet werden können.
Protokollarchivierung
Protokollarchivierung bezeichnet den Prozess, der auftritt, wenn die heiße Datenbank ihre Maximalgröße erreicht, wenn eine Komprimierung auf Zeilenebene durchgeführt wird und der Status von heiß in warm geändert wird. Administratoren müssen die warme Datenbank sichern, bevor die Schwelle zum Löschen erreicht wird, und sie müssen das Hilfsprogramm "LMArchive" ausführen, um den Namen der Sicherungen zu erfassen. Diese Informationen stehen dann zur Anzeige über die Archivabfrage zur Verfügung.
Protokolldatensatz
Ein Protokolldatensatz ist ein einzelner Audit-Datensatz.
Protokolleintrag
Ein Protokolleintrag ist ein Eintrag in einem Protokoll, der Informationen zu einem bestimmten Ereignis enthält, das in einem System oder Netzwerk aufgetreten ist.
Protokollsensor
Ein Protokollsensor ist eine Integrationskomponente, die Daten aus einem bestimmten Typ lesen soll, wie z. B. aus Datenbank, Syslog, Datei oder SNMP. Protokollsensoren werden wiederverwendet. Normalerweise erstellen die Benutzer keine benutzerdefinierten Protokollsensoren.
Proxy für automatische Software-Updates (offline)
Ein Offline-Proxy für automatische Software-Updates ist ein CA Enterprise Log Manager-Server, der automatische Software-Updates über eine manuelle Verzeichniskopie (unter Verwendung von scp) von einem Online-Proxy für automatische Software-Updates erhält. Offline-Proxys für automatische Software-Updates können so konfiguriert werden, dass Sie binäre Updates zu Clients herunterladen, die diese anfordern, und dass sie die aktuellste Version der Inhaltsaktualisierungen an den Management-Server weiterleiten, wenn dieser sie noch nicht erhalten hat. Offline-Proxys für automatische Software-Updates benötigen keinen Internetzugang.
Proxy für automatische Software-Updates (online)
Ein Online-Proxy für automatische Software-Updates ist ein CA Enterprise Log Manager-Server mit Internetzugang, der automatische Software-Updates nach einem wiederkehrenden Zeitplan von einem CA-Server für automatische Software-Updates erhält. Ein bestimmter Online-Proxy für automatische Software-Updates kann für einen oder mehrere Clients in die Proxy-List aufgenommen werden. Dieser kontaktiert die aufgelisteten Proxys im Ringversuch, um binäre Aktualisierungen anzufordern. Ein bestimmter Online-Proxy leitet, wenn er so konfiguriert wurde, neue Inhalts- und Konfigurationsaktualisierungen an den Management-Server weiter, wenn diese nicht bereits von einem anderen Proxy weitergeleitet wurden. Das Verzeichnis für automatische Software-Updates eines ausgewählten Online-Proxys wird beim Kopieren von Aktualisierungen in Offline-Proxys automatischer Software-Updates als Quelle verwendet.
Proxy für automatische Software-Updates (Standardwert)
Der Standard-Proxy für automatische Software-Updates ist normalerweise der CA Enterprise Log Manager-Server, der als erster installiert wurde und der auch der primäre CA Enterprise Log Manager sein kann. Der Standard-Proxy für automatische Software-Updates ist außerdem ein Online-Proxy für automatische Software-Updates und muss daher über einen Internetzugang verfügen. Wenn keine anderen Online-Proxys für automatische Software-Updates definiert werden, erhält dieser Server die automatischen Software-Updates vom CA-Server für automatische Software-Updates, lädt die Binäraktualisierungen an alle Clients herunter und leitet die Inhaltsaktualisierungen an CA EEM weiter. Wenn andere Proxys definiert sind, erhält dieser Server die automatischen Software-Updates immer noch, aber er wird von Clients nur dann wegen Aktualisierungen kontaktiert, wenn keine Proxy-Liste für automatische Software-Updates konfiguriert wurde bzw. wenn die konfigurierte Liste erschöpft ist.
Proxys für Software-Updates (für Client)
Die Proxys für Software-Updates für den Client bilden die Proxy-Liste für automatische Software-Updates, die der Client in einem Ringversuch kontaktiert, um die CA Enterprise Log Manager-Software- und die Betriebssystem-Software-Updates abzurufen. Wenn ein Proxy beschäftigt ist, wird der nächste in der Liste kontaktiert. Wenn keiner zur Verfügung steht und der Client online ist, wird der Standard-Proxy für Software-Updates verwendet.
Proxys für Software-Updates (für Inhaltsaktualisierungen)
Proxys für Software-Updates (für Inhaltsaktualisierungen) sind die Proxys, die für die Aktualisierung des CA Enterprise Log Manager-Management-Servers mit Inhaltsaktualisierungen ausgewählt wurden, die vom CA-Server für automatische Software-Updates heruntergeladen werden. Ein bewährtes Verfahren ist die Konfiguration mehrerer Proxys aus Gründen der Redundanz.
Prozess mit dynamischen Werten
Ein Prozess mit dynamischen Werten ist ein CA IT PAM-Prozess, den Sie aufrufen, um die Werteliste für einen in Berichten oder Alarmen verwendeten, ausgewählten Schlüssel aufzufüllen oder zu aktualisieren. Sie stellen den Pfad zum Prozess mit dynamischen Werten als Teil der IT PAM-Konfiguration für die Service-Liste des Berichtsservers auf der Registerkarte "Verwaltung" bereit. Im Abschnitt "Werte", der mit den Schlüsselwerten auf derselben Seite der Benutzeroberfläche verknüpft ist, klicken Sie auf "Liste der dynamischen Werte importieren". Das Aufrufen des Prozesses mit dynamischen Werten ist eine von drei Möglichkeiten, wie Sie den Schlüsseln Werte hinzufügen können.
Remote-Ereignis
Ein Remote-Ereignis ist ein Ereignis, das zwei verschiedene Hostrechner umfasst, die Quelle und das Ziel. Ein Remote-Ereignis entspricht Typ 2 der vier Ereignistypen, die in der ELM-Schemadefinition (CEG) verwendet werden.
Remote-Speicher-Server
Ein Remote-Speicher-Server ist eine Rolle, die einem Server zugewiesen wird, der automatisch archivierte Datenbanken von einem oder mehreren Berichtsservern empfängt. In einem Remote-Speicher-Server können kalte Datenbanken für die benötigte Anzahl an Jahren gespeichert werden. Auf dem Remote-Host, der zum Speichern verwendet wird, sind normalerweise kein CA Enterprise Log Manager oder andere Produkte installiert. Konfigurieren Sie für die Auto-Archivierung eine nicht-interaktive Authentifizierung.
Richtlinie zur Bereichsdefinierung
Eine Richtlinie zur Bereichsdefinierung ist ein Typ einer Zugriffsrichtlinie, die den Zugriff auf Ressourcen, die auf dem Management-Server gespeichert sind, (wie z. B. Anwendungsobjekte, Benutzer, Gruppen, Ordner und Richtlinien) gewährt oder verweigert. Mit der Richtlinie zur Bereichsdefinierung werden die Identitäten festgelegt, die auf die angegebenen Ressourcen zugreifen dürfen.
Rohereignis
Ein Rohereignis stellt die Informationen dar, die von einem nativen Ereignis ausgelöst werden, das von einem Überwachungsagenten zum Protokollmanager-Collector gesendet wird. Das Rohereignis wird häufig als Syslog-Zeichenfolge oder als Namenswertpaare formatiert. Es ist möglich, ein Ereignis in seiner Rohform in CA Enterprise Log Manager anzuzeigen.
RSS-Ereignis
Ein RSS-Ereignis ist ein Ereignis, das von CA Enterprise Log Manager generiert wird, um einen Aktionsalarm an Drittanbieterprodukte und -benutzer zu leiten. Das Ereignis besteht aus einer Zusammenfassung aller Aktionsalarmergebnisse und einem Link zur Ergebnisdatei. Die Dauer eines bestimmten RSS-Feed-Elements ist konfigurierbar.
RSS-Feed-URL für Aktionsalarme
Die RSS-Feed-URL für Aktionsalarme lautet: https://{elmhostname}:5250/spin/calm/getActionQueryRssFeeds.csp. Von dieser URL können Sie das maximale Alter sowie die maximale Menge für Aktionsalarme anzeigen, die zu dieser Konfiguration gehören.
RSS-Feed-URL für Software-Updates
Die RSS-Feed-URL für Software-Updates ist ein vorkonfigurierter Link, der von Online-Proxy-Servern für Software-Updates bei der Abfrage von automatischen Software-Updates verwendet wird. Diese URL ist für den CA-Server für automatische Software-Updates bestimmt.
SafeObject
SafeObject ist eine vordefinierte Ressourcenklasse in CA EEM. Es ist die Ressourcenklasse, zu der Anwendungsobjekte, die im Bereich der Anwendung gespeichert sind, gehören. Benutzer, die Richtlinien und Filter für die Erteilung des Zugriffs auf Anwendungsobjekte definieren, beziehen sich auf diese Ressourcenklasse.
SAPI-Collector
Der SAPI-Collector ist ein CA-Adapter, der Ereignisse von CA Audit-Clients erhält. CA Audit-Clients senden mit der Aktion "Collector", die über einen integrierten Failover verfügt. Administratoren konfigurieren den CA Audit-SAPI-Collector beispielsweise mit ausgewähltem Chiffre und Datenzuordnungsdateien.
SAPI-Recorder
Ein SAPI-Recorder bezeichnet die Technologie, die vor iTechnology zum Versenden von Informationen an CA Audit verwendet wurde. SAPI steht für Submit Application Programming Interface (API starten). CA Audit-Recorder für CA ACF2, CA Top Secret, RACF, Oracle, Sybase und DB2 sind Beispiele für SAPI-Recorder.
SAPI-Router
Der SAPI-Router ist ein CA-Adapter, der Ereignisse aus Integrationen erhält, wie z. B. Mainframe, und diese an einen CA Audit-Router.
Schlüsselwerte
Schlüsselwerte sind benutzerdefinierte Werte, die einer benutzerdefinierten Liste (Schlüsselgruppe) zugewiesen werden. Wenn eine Abfrage eine Schlüsselgruppe verwendet, enthalten die Suchergebnisse Übereinstimmungen mit beliebigen Schlüsselwerten in der Schlüsselgruppe. Es gibt mehrere vordefinierte Schlüsselgruppen, einige von diesen enthalten vordefinierte Schlüsselwerte, die in vordefinierten Abfragen und Berichten verwendet werden.
Selbstüberwachendes Ereignis
Ein selbstüberwachendes Ereignis ist ein Ereignis, das von CA Enterprise Log Manager protokolliert wird. Solche Ereignisse werden automatisch durch Aktionen generiert, die von angemeldeten Benutzern und Funktionen durchgeführt wurden, die wiederum von verschiedenen Modulen wie den Services oder Listeners ausgeführt wurden. Der Bericht für SIM-Operationen/selbstüberwachende Ereignisdetails kann angezeigt werden, indem Sie einen Berichtsserver auswählen und die Registerkarte "Selbstüberwachende Ereignisse" öffnen.
Services
Die CA Enterprise Log Manager-Services sind Ereignisprotokollspeicher, Berichtsserver und automatisches Software-Update. Administratoren konfigurieren diese Services auf einer globalen Ebene, bei der standardmäßig alle Einstellungen auf alle CA Enterprise Log Managers angewendet werden. Die meisten globalen Einstellungen für Services können auf der lokalen Ebene, also für jeden angegebenen CA Enterprise Log Manager, überschrieben werden.
SNMP
SNMP ist ein Akronym und steht für "Simple Network Management Protocol", einen offenen Standard zum Senden von Warnmeldungen in Form von SNMP-Traps von einem Agentensystem an mehrere Managementsysteme.
SNMP-Trap-Inhalte
Eine SNMP-Trap besteht aus Namen-/Wertepaaren, wobei jeder Name eine OID (Objekt-ID) und jeder Wert ein zurückgegebener Wert aus dem geplanten Alarm ist. Abfrageergebnisse, die von einem Aktionsalarm zurückgegeben werden, bestehen aus CEG-Feldern und ihren Werten. SNMP-Traps werden ausgefüllt, indem die CEG-Felder der Namen in den Namen-/Wertepaaren durch OIDs ersetzt werden. Die Zuordnung zwischen CEG-Feld und OID wird in der MIB gespeichert. Die SNMP-Trap enthält nur Namen-/Wertepaare für Felder, die Sie beim Konfigurieren des Alarms ausgewählt haben.
SNMP-Trap-Ziele
Beim Planen von Aktionsalarmen können ein oder mehrere SNMP-Trap-Ziele hinzugefügt werden. Für jedes SNMP-Trap-Ziel wird eine IP-Adresse und eine Port konfiguriert. Das Ziel ist typischerweise ein NOC oder ein Verwaltungsserver, z. B. CA Spectrum oder CA NSM. Eine SNMP-Trap wird an die konfigurierten Ziele gesendet, wenn Abfragen für einen geplanten Alarmjob Ergebnisse zurückgeben.
Soft-Appliance
Soft-Appliance ist ein vollständig funktionelles Softwarepaket, das sowohl die Software als auch das zugrunde liegende Betriebssystem und alle abhängigen Pakete enthält. Es wird durch Starten auf dem Installationsdatenträger von Soft-Appliance auf vom Endbenutzer zur Verfügung gestellter Hardware installiert.
Standardagent
Der Standardagent ist der integrierte Agent, der mit dem CA Enterprise Log Manager-Server installiert wird. Er kann für die direkte Erfassung von Syslog-Ereignissen sowie von Ereignissen von verschiedenen Nicht-Syslog-Ereignisquellen wie CA Access Control r12 SP1, Microsoft Active Directory-Zertifikatdiensten und Oracle9i-Datenbanken konfiguriert werden.
Unterdrückung
Unterdrückung ist der Prozess, in dem Ereignisse auf der Basis von CEG-Filtern verworfen werden. Die Unterdrückung wird durch eine SUP-Datei gesteuert.
Unterdrückungsregeln
Unterdrückungsregeln sind Regeln, die Sie konfigurieren, um zu verhindern, dass bestimmte verfeinerte Ereignisse in Ihren Berichten angezeigt werden. Sie können permanente Unterdrückungsregeln erstellen, um nicht sicherheitsrelevante Routineereignisse zu unterdrücken. Sie können aber auch temporäre Regeln erstellen, um die Protokollierung geplanter Ereignisse, wie die Erstellung vieler neuer Benutzer, zu unterdrücken.
URL für CA Embedded Entitlements Manager
Die URL für CA Embedded Entitlements Manager (CA EEM) lautet: https://<ip_address>:5250/spin/eiam. Um sich anzumelden, wählen Sie "CAELM" als die Anwendung und geben das Kennwort ein, das mit dem Benutzernamen "EiamAdmin" verknüpft ist.
URL für CA Enterprise Log Manager
Die URL für CA Enterprise Log Manager lautet: https://<ip_address>:5250/spin/calm. Um sich anzumelden, geben Sie den Benutzernamen, der vom Administrator für dieses Konto definiert wurde, sowie den zugehörige Kennwort ein. Oder Sie geben "EiamAdmin", den Standardnamen des Superusers, und das zugehörige Kennwort ein.
Varbind
Eine Varbind ist eine SNMP-variable Verbindung. Jede Varbind besteht aus einem OID, einem Typ, und einem Wert. Sie fügen Varbinds zu einer benutzerdefinierten MIB hinzu.
Verfeinertes Ereignis
Ein verfeinertes Ereignis sind zugeordnete oder verfeinerte Ereignisdaten, die von einem Rohereignis oder von zusammengefassten Ereignissen stammen. CA Enterprise Log Manager führt die Zuordnung und Analyse aus, damit die gespeicherten Informationen durchsucht werden können.
Verfügbarmachung
Die Verfügbarmachung bezeichnet die Statusänderung einer Datenbank von "kalt" in "verfügbar gemacht". Der Prozess wird von CA Enterprise Log Manager durchgeführt, wenn dieser vom Hilfsprogramm "LMArchive" benachrichtigt wird, dass eine bekannte kalte Datenbank wiederhergestellt wurde. (Wenn die kalte Datenbank nicht auf ihrem ursprünglichen CA Enterprise Log Manager wiederhergestellt wird, das Hilfsprogramm "LMArchive" nicht verwendet wird und eine Verfügbarmachung nicht erforderlich ist, wird die wiederhergestellte Datenbank bei der Neukatalogisierung als warme Datenbank hinzugefügt.)
Vernetzte Föderation
Eine Vernetzte Föderation von CA Enterprise Log Manager-Servern ist eine Topologie, die eine gleichartige Beziehung zwischen Servern einrichtet. In seiner einfachsten Form ist dies der Fall, wenn Server 2 ein untergeordneter Server von Server 1 ist und umgekehrt. Ein vernetztes Paar von Servern hat eine Beziehung, die in beide Richtungen geht. Eine vernetzte Föderation kann so definiert werden, dass viele Server alle untereinander gleichrangig sind. Eine föderierte Abfrage gibt die Ergebnisse vom ausgewählten Server und all seinen gleichrangigen Servern zurück.
Verwaltung von Berechtigungen
Die Verwaltung von Berechtigungen ist ein Mittel zur Steuerung der Aktionen, die Benutzer durchführen dürfen, sobald sie sich authentifiziert und an der CA Enterprise Log Manager-Oberfläche angemeldet haben. Dies geschieht über Zugriffsrichtlinien, die mit den Rollen, die den Benutzern zugewiesen wurden, verknüpft werden. Rollen, oder Anwendungsbenutzergruppen, und Zugriffsrichtlinien können vordefiniert oder benutzerdefiniert sein. Die Verwaltung von Berechtigungen wird über den internen CA Enterprise Log Manager-Benutzerspeicher gehandhabt.
Visualisierungskomponenten
Visualisierungskomponenten sind verfügbare Optionen, mit denen Berichtsdaten einschließlich Tabelle, Diagramm (Zeilendiagramm, Balkendiagramm, Spaltendiagramm, Kreisdiagramm) oder ein Ereignis angezeigt werden können.
Wiederherstellungspunkt-Server
Ein Wiederherstellungspunkt-Server ist eine Rolle, die von einem CA Enterprise Log Manager-Server ausgeführt wird. Um "kalte" Ereignisse zu untersuchen, können Sie Datenbanken mit einem Hilfsprogramm vom Remote-Speicher zum Wiederherstellungspunkt-Server verschieben, dann die Datenbanken zum Katalog hinzufügen und Abfragen durchführen. Das Verschieben kalter Datenbanken zu einem bestimmten Wiederherstellungspunkt-Server ist eine alternative Methode dazu, sie aus Untersuchungsgründen zurück zum ursprünglichen Server zu verschieben.
XMP-Dateianalyse
XMP-Dateianalyse ist der Prozess, der vom Nachrichtenanalyse-Hilfsprogramm durchgeführt wird, um alle Ereignisse zu suchen, die jede vorabgestimmte Zeichenfolge enthalten, und um bei einem übereinstimmendem Ereignis das Ereignis mit dem ersten gefundenen Filter, der dieselbe vorabgestimmte Zeichenfolge verwendet, in Tokens zu analysieren.
Zertifikate
Die vordefinierten Zertifikate, die von CA Enterprise Log Manager verwendet werden, sind CAELMCert.cer und CAELM_AgentCert.cer. Alle CA Enterprise Log Manager-Services verwenden CAELMCert.cer, um mit dem Verwaltungsserver zu kommunizieren. Alle Agenten verwenden CAELM_AgentCert.cer, um mit ihrem Sammelserver zu kommunizieren.
Zugriffsfilter
Ein Zugriffsfilter kann vom Administrator festgelegt werden, um zu steuern, welche Ereignisdaten Benutzer oder Gruppen ohne Administratorrechte anzeigen können. So kann ein Zugriffsfilter beispielsweise den Datenumfang in Berichten einschränken, der von bestimmten Identitäten eingesehen werden kann. Zugriffsfilter werden automatisch in Pflichtrichtlinien konvertiert.
Zugriffsrichtlinie
Eine Zugriffsrichtlinie ist eine Regel, die einer Identität (Benutzer oder Benutzergruppe) Zugriffsrechte auf eine Anwendungsressource gewährt oder verweigert. CA Enterprise Log Manager bestimmt anhand der Übereinstimmung von Identitäten, Ressourcen, Ressourcenklassen und der Auswertung der Filter, welche Richtlinien für einen bestimmten Benutzer gelten.
Zugriffssteuerungsliste für Identitäten
Mit der Zugriffssteuerungsliste für Identitäten können Sie verschiedene Aktionen angeben, die ausgewählten Identitäten in ausgewählten Ressourcen gewährt werden sollen. Beispielsweise können Sie mit der Zugriffssteuerungsliste für Identitäten angeben, dass eine Identität Berichte erstellen und eine andere Berichte planen und anmerken kann. Eine Zugriffssteuerungsliste für Identitäten unterscheidet sich darin von einer Zugriffssteuerungsliste, dass sie sich auf Identitäten und nicht auf Ressourcen richtet.
Zuordnungsanalyse
Eine Zuordnungsanalyse ist ein Schritt im Assistenten zur Dateizuordnung, bei dem Sie eine Datenzuordnungsdatei testen und ändern können. Beispielereignisse werden mit der Datenzuordnungsdatei verglichen, und die Ergebnisse werden mit CEG geprüft.
Zusammenfassungsregeln
Zusammenfassungsregeln fassen bestimmte gängige, native Ereignistypen zu einem verfeinerten Ereignis zusammen. Eine Zusammenfassungsregel kann beispielsweise so konfiguriert werden, dass sie bis zu 1000 doppelte Ereignisse, die dieselben Quell- und Ziel-IP-Adressen und Ports haben, durch ein Zusammenfassungsereignis ersetzt. Diese Regeln vereinfachen die Ereignisanalyse und verringen das Protokollaufkommen.
| Copyright © 2010 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |