AdministrationshandbuchAbfragen und BerichteEingabeaufforderungen › Arbeiten mit der IP-Eingabeaufforderung

Vorheriges Thema: Arbeiten mit der Host-Eingabeaufforderung

Nächstes Thema: Verbindung mit der Protokollnamen-Eingabeaufforderung

Arbeiten mit der IP-Eingabeaufforderung

Bei der IP-Eingabeaufforderung erfolgt eine Abfrage nach Ereignissen, bei denen die von Ihnen angegebene IP-Adresse in den ausgewählten CEG-Feldern des verfeinerten Ereignisses angezeigt wird. Werden Rohereignisdaten verfeinert, können Ereignisdetails mehrere unterschiedliche CEG-IP-Adressen aufweisen. Betrachten Sie folgendes Szenario:

  1. Der Ereignisinitiator auf "source_address" versucht, eine "event_action"-Aktion auf einem Ziel durchzuführen, das sich auf "dest_address" befindet.

    Hinweis: "Source_address" und "dest_address" können sich unterscheiden oder identisch sein.

  2. Dieses Ereignis wird in einem Repository auf "event_source_address" aufgezeichnet.

    Hinweis: "Event_source_address" kann sich entweder von "source_address" oder "dest_address" unterscheiden oder mit einer oder beiden identisch sein.

  3. Ein auf "agent_address" installierter CA Enterprise Log Manager-Agent erstellt eine Kopie des auf "event_source_address" aufgezeichneten Ereignisses.

    Hinweis: "Agent_address" ist in einer agentbasierten Protokollerfassung identisch mit "event_source_address". Dies trifft jedoch nicht auf die direkte Protokollerfassung ohne Agent zu.

  4. Der Agent auf "agent_address" überträgt die Kopie des Ereignisses in "event_logname" an einen CA Enterprise Log Manager-Erfassungsserver.

So verwenden Sie die IP-Eingabeaufforderung:

  1. Wählen Sie "Abfragen und Berichte" aus.

    In der Abfrageliste werden der Ordner "Eingabeaufforderungen" und mindestens ein Ordner für weitere Abfragen angezeigt.

  2. Erweitern Sie die Eingabeaufforderung, und wählen Sie "Host".

    Die IP-Eingabeaufforderung wird angezeigt.

  3. Geben Sie die IP-Adresse ein, auf der diese Abfrage beruhen soll.
  4. Wählen Sie eines oder mehrere der folgenden Felder aus, um Daten abzufragen, die mit der von Ihnen eingegebenen IP-Adresse übereinstimmen.
    source_address

    Steht für die IP-Adresse des Hosts, auf dem die Aktion initiiert wurde.

    dest_address

    Steht für die IP-Adresse eines Hosts, der als Ziel für die Aktion dient.

    event_source_address

    Steht für die IP-Adresse eines Hosts, der das Rohereignis aufzeichnet, wenn es auftritt.

    Beispielsweise können Sie einen auf WinRM basierenden Connector bereitstellen, um Ereignisse von der Ereignisanzeige auf einem Windows Server 2008-Host zu erfassen. Zum Auswählen von Ereignissen, die von einem bestimmten Windows Server 2008-Host abgerufen wurden, geben Sie die IP-Adresse des Servers ein und wählen dieses Feld aus.

    receiver_hostaddress

    Ist identisch mit "agent_address".

    agent_address

    Steht für die IP-Adresse eines Hosts, auf dem ein CA Enterprise Log Manager-Agent bereitgestellt wird.

  5. Klicken Sie auf "Los".

    Es werden die Ergebnisse der IP-Eingabeaufforderungsabfrage angezeigt.

  6. Interpretieren Sie die Abfrageergebnisse mit Hilfe der folgenden Beschreibungen:
    CA-Schweregrad

    Gibt den Schweregrad des Ereignisses an. Zu den Werten in aufsteigender Reihenfolge nach Schweregrad zählen: "Informationen", "Warnung", "Geringfügige Auswirkung", "Schwerwiegende Auswirkung", "Kritisch" und "Schwerwiegend".

    Datum

    Gibt den Zeitpunkt an, zu dem das Ereignis aufgetreten ist.

    Ergebnis

    Gibt einen Code für das Ergebnis der entsprechenden Aktion an, wobei die angegebenen Buchstaben jeweils die folgende Bedeutung haben: S für Success (Erfolg), F für Failure (Fehler), A für Accepted (Akzeptiert), D für Dropped (Verworfen), R für Rejected (Zurückgewiesen) und U für Unknown (Unbekannt).

    Zielport

    Gibt den Kommunikationsanschluss auf dem Zielhost an, dem Ziel für die Ereignisaktion.

    Quell-IP

    Gibt die IP-Adresse an, von der aus die Ereignisaktion initiiert wurde.

    Ziel-IP

    Gibt die IP-Adresse des Hosts an, der als Ziel für die Ereignisaktion diente.

    Ereignisquellen-IP

    Gibt die IP-Adresse des Hosts mit dem Repository an, in dem das Ereignis ursprünglich aufgezeichnet wurde.

    Agenten-IP

    Gibt den Namen des Hosts mit dem CA Enterprise Log Manager-Agenten an, der für die Erfassung von Ereignissen von der Ereignisquelle verantwortlich ist.

    Empfänger-IP

    Ist identisch mit der Agenten-IP.

    Kategorie

    Gibt die Kategorie der oberen Ebene der entsprechenden Ereignisaktion an. "Systemzugriff" ist beispielsweise die Kategorie für die Aktion "Authentifizierung".

    Aktion

    Gibt die Ereignisaktion an.

    Protokollname

    Gibt den Protokollnamen an, welcher von dem Connector verwendet wird, der das Ereignis erfasst hat.