ImplementierungshandbuchAspekte für CA Access Control-BenutzerÄndern von CA Audit-Richtlinien zum Senden von Ereignissen an CA Enterprise Log Manager › Ändern einer bestehenden CA Audit-Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager

Vorheriges Thema: Konfigurieren des SAPI-Collector-Adapters für den Empfang von CA Access Control-Ereignissen

Nächstes Thema: Überprüfen und Aktivieren der geänderten Richtlinie

Ändern einer bestehenden CA Audit-Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager

Gehen Sie wie unten beschrieben vor, um einen CA Audit-Client so einzurichten, dass Ereignisse an CA Enterprise Log Manager und an die CA Audit-Collector-Datenbank gesendet werden. Indem Sie der Route- bzw. Collector-Aktion einer bestehenden Regel ein neues Ziel hinzufügen, können Sie erfasste Ereignisse an beide Systeme senden. Alternativ können Sie bestimmte Richtlinien bzw. Regeln auch so ändern, dass Ereignisse nur an den CA Enterprise Log Manager-Server gesendet werden.

CA Enterprise Log Manager erfasst Ereignisse von CA Audit-Clients mit Hilfe des CA Audit-SAPI-Router- und des CA Audit-SAPI-Collector-Listeners. (CA Enterprise Log Manager kann Ereignisse auch direkt über das iTech-Plugin erfassen, falls Sie iRecorder für den direkten Versand zum CA Enterprise Log Manager-Server konfiguriert haben.) Erfasste Ereignisse werden nur im CA Enterprise Log Manager-Ereignisprotokollspeicher gespeichert, nachdem Sie die Richtlinie an die Clients weitergegeben haben und diese aktiv wird.

Wichtig: Richten Sie die CA Enterprise Log Manager-Listener für den Empfang von Ereignissen ein, bevor Sie die Richtlinie ändern und aktivieren. Falls Sie diese Konfiguration nicht zuerst vornehmen, können falsch zugeordnete Ereignisse auftreten, wenn Ereignisse vor dem Zeitpunkt eintreffen, an dem die Richtlinie in Kraft tritt und die Listener die Ereignisse richtig zuordnen können.

So ändern Sie die Aktion einer bestehenden Richtlinienregel zum Senden von Ereignissen an CA Enterprise Log Manager:

  1. Melden Sie sich beim Richtlinien-Manager-Server an, und greifen Sie links im Fenster auf die Registerkarte "Meine Richtlinien" zu.
  2. Erweitern Sie den Richtlinienordner, bis die gewünschte Richtlinie angezeigt wird.

    Das Fenster des Richtlinien-Managers von CA Audit mit der Registerkarte "Meine Richtlinien" und ausgewählter Richtlinie für verdächtige Ereignisse.

  3. Klicken Sie auf die Richtlinie, damit die grundlegenden Informationen im Detailabschnitt rechts im Fenster angezeigt werden.

    Im Detailfenster ist zu sehen, dass die Richtlinie für verdächtige Ereignisse ausgewählt ist. Oben im Fenster befindet sich die Schaltfläche zum Erstellen einer neuen Regel.

  4. Klicken Sie im Bereich "Details" auf "Bearbeiten", um die Richtlinienregeln hinzuzufügen.

    Der Regelassistent wird gestartet:

    In dieser Abbildung ist die erste Seite des Assistenten zum Bearbeiten von Regeln zu sehen.

  5. Klicken Sie auf "Aktionen bearbeiten" neben dem Pfeil für Schritt 3.

    Die Seite mit den Regelaktionen wird angezeigt:

    In dieser Abbildung ist die Seite zum Bearbeiten von Aktionen im Assistenten zum Bearbeiten von Regeln mit einer Liste der Aktionen in einem separaten Fenster auf der linken Seite zu sehen.

  6. Klicken Sie im Fenster "Aktionen durchsuchen" auf die Aktion "Collector", um die Aktionsliste auf der rechten Seite anzuzeigen.

    In dieser Abbildung ist die Liste mit Aktionen zu sehen, die angezeigt wird, wenn Sie die Collector-Aktion in der Liste auswählen.

    Sie können auch die Route-Aktion verwenden. Die Collector-Aktion bietet jedoch den Vorteil, dass zusätzlich ein alternativer Hostname für eine einfache Failover-Verarbeitung angegeben werden kann.

  7. Klicken Sie auf "Neu", um eine neue Regel hinzuzufügen.
  8. Geben Sie die IP-Adresse bzw. den Hostnamen des CA Enterprise Log Manager-Quellservers für Protokolldateien ein.

    In dieser Abbildung ist der vollständige Datensatz für die Collector-Aktion zu sehen, kurz nachdem Sie auf die Hinzufügen-Schaltfläche geklickt haben.

    Bei CA Enterprise Log Manager-Implementierungen mit zwei oder mehr Servern können Sie im Feld für den alternativen Hostnamen einen anderen CA Enterprise Log Manager-Hostnamen bzw. eine andere IP-Adresse eingeben. Dadurch wird die CA Audit-Funktion des automatischen Failovers genutzt. Falls der erste CA Enterprise Log Manager-Server nicht verfügbar ist, sendet CA Audit automatisch Ereignisse an den im Feld "Alternativer Hostname" benannten Server.

  9. Geben Sie im Feld "Alternativer Hostname" den Namen des CA Enterprise Log Manager-Verwaltungsservers ein, und erstellen Sie eine Beschreibung für die neue Regelaktion.
  10. Deaktivieren Sie das Kontrollkästchen "Diese Aktion auf Remote-Server durchführen", falls es aktiviert ist.
  11. Klicken Sie auf "Hinzufügen", um die neue Regelaktion zu speichern, und klicken Sie dann im Assistentenfenster auf "Fertig stellen".

    Hinweis: Als Nächstes überprüfen und aktivieren Sie die Richtlinie, melden Sie sich daher nicht vom CA Audit-Richtlinien-Manager ab.

Weitere Informationen

Ändern einer bestehenden r8 SP2-Richtlinie zum Senden von Ereignissen an CA Enterprise Log Manager