AdministrationshandbuchAbfragen und BerichteEingabeaufforderungen › Arbeiten mit der Port-Eingabeaufforderung

Vorheriges Thema: Verbindung mit der Protokollnamen-Eingabeaufforderung

Nächstes Thema: Verwenden der Benutzer-Eingabeaufforderung

Arbeiten mit der Port-Eingabeaufforderung

Bei der Port-Eingabeaufforderung erfolgt eine Abfrage nach Ereignissen, bei denen der von Ihnen angegebene Port in den ausgewählten CEG-Feldern des verfeinerten Ereignisses angezeigt wird. Werden Rohereignisdaten verfeinert, können Ereignisdetails mehrere unterschiedliche CEG-Port-Nummern aufweisen. Betrachten Sie folgendes Szenario:

  1. Der Ereignisinitiator auf dem Quellhost verwendet den ausgehenden Kommunikationsanschluss "source_port" zur Initialisierung der Ereignisaktion auf einem Ziel des Zielhosts durch den eingehenden Kommunikationsanschluss "dest_port".

    Hinweis: Source_port und dest_port sind identisch bei lokalen Ereignissen. Ansonsten sind sie Host-spezifisch.

  2. Dieses Ereignis wird in einem Repository an der Ereignisquelle erfasst.
  3. Ein CA Enterprise Log Manager-Agent erstellt eine Kopie des auf der Ereignisquelle aufgezeichneten Ereignisses.
  4. Der Agent überträgt die Kopie des Ereignisses über den ausgehenden Port "receiver_port" an einen CA Enterprise Log Manager-Erfassungsserver.

    Hinweis: Der Agent verwendet standardmäßig den Port 17001, um eine sichere Übertragung an den CA Enterprise Log Manager-Erfassungsserver zu gewährleisten.

So verwenden Sie die Port-Eingabeaufforderung:

  1. Wählen Sie "Abfragen und Berichte" aus.

    In der Abfrageliste werden der Ordner "Eingabeaufforderungen" und mindestens ein Ordner für weitere Abfragen angezeigt.

  2. Erweitern Sie die Eingabeaufforderung, und wählen Sie "Port".

    Die Port-Eingabeaufforderung wird angezeigt.

  3. Geben Sie die Portnummer ein, auf der diese Abfrage beruhen soll.
  4. Wählen Sie die Felder aus, nach denen Daten abgefragt werden, die mit der von Ihnen eingegebenen Portnummer übereinstimmen.
    source_port

    Ist der Kommunikationsport zum Initiieren der Aktion.

    dest_port

    Ist der Kommunikationsport auf dem Zielhost, der das Ziel der Aktion ist.

    receiver_port

    Ist der Port, über den der Agent mit dem CA Enterprise Log Manager-Erfassungsserver kommuniziert.

  5. Klicken Sie auf "Los".

    Es werden Ergebnisse für die Eingabeaufforderungsabfrage des Ports angezeigt.

  6. Interpretieren Sie die Abfrageergebnisse mit Hilfe der folgenden Beschreibungen:
    CA-Schweregrad

    Gibt den Schweregrad des Ereignisses an. Zu den Werten in aufsteigender Reihenfolge nach Schweregrad zählen: "Informationen", "Warnung", "Geringfügige Auswirkung", "Schwerwiegende Auswirkung", "Kritisch" und "Schwerwiegend".

    Datum

    Gibt den Zeitpunkt an, zu dem das Ereignis aufgetreten ist.

    Quell-IP

    Gibt die IP-Adresse des Hosts an, von dem die Ereignisaktion initiiert wurde.

    Ergebnis

    Gibt einen Code für das Ereignisergebnis der entsprechenden Aktion an. Hierbei stehen "S" für "Erfolgreich" (Success), "F" für "Fehler" (Failure), "A" für "Accepted" (Akzeptiert), "D" für "Dropped" (Verworfen), "R" für "Rejected" (Zurückgewiesen) und "U" für "Unknown" (Unbekannt).

    Quellport

    Gibt den Port für ausgehende Daten an, über den die Aktion initiiert wird.

    Zielport

    Gibt den Port für eingehende Daten auf dem Zielhost an.

    Empfängerhost

    Gibt den Port für ausgehende Daten auf dem Agenten an, über den Ereignisprotokolle an den CA Enterprise Log Manager-Server gesendet werden.

    Kategorie

    Gibt die Kategorie der oberen Ebene der entsprechenden Ereignisaktion an. "Systemzugriff" ist beispielsweise die Kategorie für die Aktion "Authentifizierung".

    Aktion

    Gibt die Ereignisaktion an.

    Protokollname

    Gibt den vom Connector, der das Ereignis erfasst hat, verwendeten Protokollnamen an.