|
|
|
CA Enterprise Log Manager kann Ereignisse direkt von Syslog-Quellen empfangen. Die Syslog-Erfassung unterscheidet sich von anderen Erfassungsmethoden, da mehrere unterschiedliche Ereignisquellen gleichzeitig Ereignisse an CA Enterprise Log Manager senden können. Netzwerk-Router und VPN-Concentrators sind zwei mögliche Ereignisquellen. Beide können über Syslog Ereignisse direkt an CA Enterprise Log Manager senden, das Protokollformat und die Protokollstruktur sind allerdings unterschiedlich. Ein Syslog-Agent kann beide Arten von Ereignissen gleichzeitig über den bereitgestellten Syslog-Listener empfangen.
Allgemein kann die Ereigniserfassung in zwei Kategorien unterteilt werden:
Mehrere Syslog-Ereignisquellen können Ereignisse über einen einzelnen Connector senden, da der Listener den gesamten Datenverkehr auf dem angegebenen Port empfängt. CA Enterprise Log Manager kann auf jedem Port nach Syslog-Ereignissen suchen. (Falls Sie einen Agenten unter einem Nicht-Root-Benutzer ausführen, dürfen eventuell keine Ports unterhalb von Port 1024 verwendet werden.) Die Standardports empfangen möglicherweise einen Ereignisstrom, der viele unterschiedliche Arten von Syslog-Ereignissen enthält. Hierzu können UNIX, Linux, Snort, Solaris, CiscoPIX, Check Point Firewall 1 und andere gehören. CA Enterprise Log Manager verarbeitet Syslog-Ereignisse mit Hilfe von Listenern, bei denen es sich um eine besondere Art von Integrationskomponente handelt. Sie erstellen Syslog-Connectors anhand von Listenern und Integrationen:
Da ein einzelner Syslog-Connector Ereignisse von vielen Ereignisquellen empfangen kann, sollten Sie überlegen, ob Syslog-Ereignisse basierend auf dem Typ oder der Quelle weitergeleitet werden sollen. Wie Sie den Empfang von Syslog-Ereignissen gestalten, ist abhängig von der Größe und Komplexität Ihrer Umgebung:
Falls ein einzelner Connector Ereignisse von verschiedenen Syslog-Quellen verarbeiten muss und das Ereignisvolumen sehr groß ist, muss der Connector alle zutreffenden Integrationen (XMP-Dateien) durchsuchen, bis eine Übereinstimmung für ein Ereignis gefunden wird. Dies kann aufgrund des größeren Verarbeitungsaufwands zu einer langsameren Leistung führen. Falls das Ereignisvolumen allerdings nicht allzu groß ist, ist ein einzelner Connector auf dem Standardagenten möglicherweise ausreichend, um alle erforderlichen Ereignisse zur Speicherung zu erfassen.
Falls Sie eine Reihe einzelner Connectors konfigurieren, die Ereignisse eines einzelnen Syslog-Typs verarbeiten, können Sie die Verarbeitungslast auf mehrere Connectors verteilen. Zu viele Connectors auf einem einzelnen Agenten können allerdings auch die Leistung verschlechtern, da jeder Connector eine separate Instanz ist, die einzeln verarbeitet werden muss.
Falls in Ihrer Umgebung bestimmte Arten von Syslog-Ereignissen gehäuft auftreten, können Sie für diese Syslog-Typen jeweils einen eigenen Connector einrichten. Anschließend können Sie einen oder mehrere weitere Connectors konfigurieren, die mehrere Syslog-Ereignistypen mit einem geringeren Ereignisvolumen erfassen. Auf diese Weise können Sie die Last der Syslog-Ereigniserfassung auf eine kleinere Anzahl von Connectors verteilen und so die Leistung verbessern.
Sie sollten nicht unbedingt eigene Syslog-Listener erstellen müssen, dies ist jedoch ggf. möglich. Sie können verschiedene Syslog-Listener mit unterschiedlichen Standardwerten für Ports, vertrauenswürdige Hosts usw. erstellen. Hierdurch lässt sich eventuell die Erstellung von Connectors vereinfachen, falls Sie beispielsweise viele Connectors für jede Art von Syslog-Ereignis erstellen müssen.
| Copyright © 2011 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |