Ereignisaktionenliste

ELM-Schemadefinition › Normalisierung und Kategorisierung von Ereignissen › Ereignisaktionen › Ereignisaktionenliste

Ereignisaktionenliste

Die CEG gliedert sich in sechs Abschnitte. Jeder dieser sechs Abschnitte ist wie folgt weiter unterteilt. Zur erfolgreichen Zuordnung müssen aus jedem der angegebenen Unterabschnitte einige Informationen gemäß der obigen Bezeichnung zur Verfügung gestellt werden. Alle fett formatierten Felder sind erforderlich, damit die einzelnen Abschnitte das Ergebnis GENEHMIGT erhalten, sofern der jeweilige Abschnitt als primär eingestuft ist. Felder im Fett-/Kursiv-Format sind alternative Felder. Es ist nur eines der alternativen Felder erforderlich, um für einen Abschnitt das Ergebnis GENEHMIGT zu erhalten, sofern der jeweilige Abschnitt als primär eingestuft ist.

Informationen	Feldinformationen
Quelle – Benutzerinformationen	source_domainname, source_username, source_uid
Quelle – Host-Informationen	source_hostname, source_address, source_mac_address, source_hostdomainname, source_port
Quelle – Objektinformationen	source_objectname, source_objectid, source_objectattr, source_objectclass, source_objectvalue
Quelle – Prozessinformationen	source_processname
Quelle – Gruppeninformationen	source_groupname, source_gid
Ziel – Benutzerinformationen	dest_domainname, dest_username, dest_uid
Ziel – Host-Informationen	dest_hostname, dest_address, dest_mac_address, dest_hostdomainname, dest_port
Ziel – Objektinformationen	dest_objectname, dest_objectid, dest_objectattr, dest_objectclass, dest_objectvalue
Ziel – Prozessinformationen	dest_processname
Ziel – Gruppeninformationen	dest_groupname, dest_gid
Agent – Informationen	agent_name, agent_version, agent_id, agent_group, agent_connector_name
Agent – Host-Informationen	agent_hostname, agent_address, agent_hostdomainname
Ereignisquelle – Host-Informationen	event_source_hostname, event_source_address, event_source_hostdomainname
Ereignisquelle – Informationen	event_source_processname
Ereignis – Informationen	event_protocol, event_logname, event_euuid, event_count, event_summarized, event_duration, event_time_gmt, event_timezone, event_sequence, event_action, event_id, event_category, event_class, ideal_model, event_severity
Ergebnis – Informationen	event_result, result_string, result_signature, result_code, result_version, result_priority, result_scope, result_severity

Die beiden letzten Abschnitte der CEG sind für alle Aktionen erforderlich.

Bei jeder Aktion werden die CEG-Informationen nach folgenden Eigenschaften unterschieden: primär, sekundär oder tertiär. Primäre Informationen sind zu den meisten Ereignisquellen vorhanden und erforderlich, damit das Ereignis als zugeordnet gilt. Sekundäre Informationen sind zu einigen Ereignisquellen vorhanden und erwünscht, damit das Ereignis als zugeordnet gilt. Tertiäre Informationen schließlich sind möglicherweise zu einigen Ereignisquellen vorhanden. Falls vorhanden, sollte das Ereignis zugeordnet werden.

Bei der Kontoerstellungsaktion, zum Beispiel, stellt sich folgende Frage: Wer hat welches Konto auf welchem Host erstellt, und auf welchem Host wurden diese Ereignisinformationen angegeben? Die Antwort auf diese Frage könnte wie folgt lauten: Der Administrator erstellte BenutzerA auf HostA, und das Ereignis wurde auf HostA angegeben. Diese Informationen enthalten Werte für "Quelle – Benutzerinformationen", "Ziel – Host-Informationen" und "Ziel – Benutzerinformationen". Darüber hinaus sollte jede CEG-Ereignisinformation Angaben darüber enthalten, welcher Agent das Ereignis aufgezeichnet hat und auf welchem Host es angegeben wurde. Nachfolgend sind diese Informationen als Tabelle dargestellt:

Informationen	Ebene
Quelle – Benutzerinformationen	primär
Quelle – Host-Informationen	sekundär
Quelle – Objektinformationen	tertiär
Quelle – Prozessinformationen	tertiär
Quelle – Gruppeninformationen	tertiär
Ziel – Benutzerinformationen	primär
Ziel – Host-Informationen	primär
Ziel – Objektinformationen	sekundär
Ziel – Prozessinformationen	tertiär
Ziel – Gruppeninformationen	tertiär
Agent – Informationen	primär
Agent – Host-Informationen	primär
Ereignisquelle – Host-Informationen	primär
Ereignisquelle – Informationen	tertiär
Ereignis – Informationen	primär
Ergebnis – Informationen	primär

Zu jeder Aktion in dieser Tabelle gibt es entsprechend formulierte Informationen. Bei Informationen in Ereignissen sind folgende Hinweise zu beachten:

Ereignisse des Typs 1:

Der Host, auf dem die Informationen angegeben wurden, entspricht dem Host, auf dem das Konto erstellt wurde.
Möglicherweise gibt es Informationen zu "Quelle – Host-Informationen". Wenn das der Fall ist, sind diese Informationen mit dem Host identisch, auf dem die Aktion erfolgte.
Bei diesen Ereignissen sollte nur ein Set mit Host-Informationen vorkommen.

Ereignisse des Typs 2:

In diesen Ereignissen sollten zwei Sets mit Host-Informationen vorkommen.
Das erste Set mit Host-Informationen bezieht sich auf den Abschnitt "Quelle – Host-Informationen". Diese Host-Informationen sollten sich von dem Host, auf dem die Aktion erfolgte, unterscheiden.
Möglicherweise gibt es Informationen zu dem Host, auf dem der SIM-Agent installiert ist. Diese Informationen sollten aber mit dem Host identisch sein, auf dem die Aktion erfolgte und dem Host, auf dem die Ereignisinformationen angegeben wurden.

Ereignisse des Typs 3:

In diesen Ereignissen gibt es drei Sets mit Host-Informationen.
Das erste Set mit Informationen enthält "Quelle – Host-Informationen".
Das zweite Set mit Informationen enthält "Ziel – Host-Informationen" in Bezug auf den Host, auf dem die Aktion erfolgte.
Das dritte Set mit Informationen enthält "Ereignisquelle – Host-Informationen" in Bezug auf den Host, auf dem das Ereignis angegeben wurde und der SIM-Agent installiert ist.

Ereignisse des Typs 4:

In diesen Ereignissen gibt es vier Sets mit Host-Informationen.
Das erste Set mit Informationen enthält "Quelle – Host-Informationen".
Das zweite Set mit Informationen enthält "Ziel – Host-Informationen" in Bezug auf den Host, auf dem die Aktion erfolgte.
Das dritte Set mit Informationen enthält "Ereignisquelle – Host-Informationen" in Bezug auf den Host, auf dem das Ereignis angegeben wurde.
Das vierte Set mit Informationen enthält "Agent – Host-Informationen" in Bezug auf den Host, auf dem der SIM-Agent installiert ist.

Senden Sie CA Technologies eine E-Mail zu diesem Thema.