Übersichtshandbuch › Hauptfunktionen › Protokollerfassung

Protokollerfassung

Der CA Enterprise Log Manager-Server kann so eingerichtet werden, dass er Protokolle mit einer oder mehreren unterstützten Techniken erfasst. Die Techniken unterscheiden sich durch Typ und Speicherort der Komponente, die die Protokolle abhört und erfasst. Diese Komponenten werden auf Agents konfiguriert.

Die folgende Abbildung zeigt ein Single-Server-System, auf dem der Ort der Agents mit einem dunklen (grünen) Kreis dargestellt wird.

Die Nummern in den Abbildungen beziehen sich auf folgende Schritte:

1. Konfigurieren Sie den Standardagent auf CA Enterprise Log Manager, um Ereignisse direkt von den angegebenen Syslog-Quellen abzurufen.
2. Konfigurieren Sie den Agent, der auf einem Windows-Sammelpunkt installiert wurde, um Ereignisse von angegebenen Windows-Servern zu erfassen und an CA Enterprise Log Manager zu senden.
3. Konfigurieren Sie Agents, die auf Hosts installiert wurden, auf denen Ereignisquellen ausgeführt werden, um den konfigurierten Ereignistyp zu erfassen und eine Unterdrückung durchzuführen.

Hinweis: Datenverkehr vom Agent zum Ziel-CA Enterprise Log Manager-Server wird immer verschlüsselt.

Die einzelnen Protokollerfassungstechniken haben folgende Vorteile:

• Direkte Protokollerfassung

  Bei der direkten Protokollerfassung konfigurieren Sie den Syslog-Listener auf dem Standardagent, so dass dieser Ereignisse von den von Ihnen angegebenen vertrauenswürdigen Quellen empfängt. Sie können andere Connectors auch so konfigurieren, dass sie Ereignisse von allen Ereignisquellen erfassen, die mit der Soft-Appliance-Plattform kompatibel sind.

  Vorteil: Sie müssen keinen Agents installieren, um Protokolle von Ereignisquellen zu erfassen, die sich in unmittelbarer Nähe des CA Enterprise Log Manager-Servers befinden.

• Erfassung ohne Agent

  Bei der Erfassung ohne Agent gibt es keinen lokalen Agent an den Ereignisquellen. Stattdessen wird an einem bestimmten Sammelpunkt ein Agent installiert. Für jede Zielereignisquelle wird auf diesem Agent ein Connector konfiguriert.

  Vorteil: Sie können Protokolle von Ereignisquellen erfassen, die auf Servern ausgeführt werden, auf denen keine Agenten installiert werden können, beispielsweise auf Servern, auf denen die Installation von Agenten aufgrund von betriebsinternen Richtlinien nicht zugelassen ist. Die Übermittlung ist garantiert, wenn beispielsweise die ODBC-Protokollerfassung korrekt konfiguriert wurde.

• Agentbasierte Erfassung

  Bei der agentbasierten Erfassung wird ein Agent überall dort installiert, wo ein oder mehrere Ereignisquellen ausgeführt werden und ein Connector für jede Ereignisquelle konfiguriert wurde.

  Vorteil: Sie können Protokolle von Quellen erfassen, auch wenn die Bandbreite zwischen Quelle und CA Enterprise Log Manager nicht ausreicht, um eine direkte Protokollerfassung zu unterstützen. Sie können mit dem Agenten die Ereignisse filtern und so den Datenverkehr im Netzwerk reduzieren. Die Ereignisübermittlung ist garantiert.

Hinweis: Weitere Informationen zur Konfiguration von Agents finden Sie im Verwaltungshandbuch.

Weitere Informationen

Planen einer direkten Protokollerfassung

Planen einer Protokollerfassung ohne Agent

Planen einer agentbasierten Protokollerfassung