|
|
|
CA User Activity Reporting Module ist darauf ausgelegt, dass Sie das Produkt innerhalb kürzester Zeit nach Beginn der Installation verwenden, Protokollinformationen erfassen und Berichte erstellen können. Sie müssen die CA User Activity Reporting Module-Software-Appliance auf einem eigens dafür vorgesehenen System installieren.
Wichtig! Damit der CA User Activity Reporting Module-Server eine leistungsstarke Ereignisprotokollerfassung durchführen kann, sollten Sie keine anderen Anwendungen auf dem Hostserver installieren. Weitere Anwendungen können sich negativ auf die Leistung des CA User Activity Reporting Module-Servers auswirken.
Es gibt verschiedene Möglichkeiten, die Umgebung zu konfigurieren. Empfohlen wird die folgende, spezifische Konfiguration, mit der große Ereignismengen in Unternehmensumgebungen verarbeitet werden können.
Installieren Sie für eine einfache Produktionsumgebung auf Unternehmensniveau mindestens zwei CA User Activity Reporting Module-Server in Ihrem bestehenden Netzwerk. Die CA User Activity Reporting Module-Server verwenden die vorhandenen DNS-Server im Netzwerk für die Arbeit mit benannten Ereignisquellen und Agentenhosts. Der eine Server dient vornehmlich der Erfassung von Ereignisprotokollen, der andere der Berichterstellung über die erfassten Ereignisprotokolle. In einer Umgebung mit zwei Servern übernimmt der zuerst installierte Verwaltungsserver die Funktion eines Berichtsservers. Als Verwaltungsserver führt dieser Server die Benutzerauthentifizierung und -autorisierung sowie weitere Verwaltungsfunktionen durch. In der folgenden Abbildung ist eine solche einfache Umgebung mit einigen Ereignisquellen dargestellt:
Die durchgezogenen Linien zeigen den Ereignisfluss von den Ereignisquellen zum (agentenlosen) Quellserver bzw. zu einem Agentenhost und dann zum (agentenlosen) Quellserver für Protokolldateien. Syslog-Ereignisse können direkt mit dem Standardagenten auf dem (agentenlosen) CA User Activity Reporting Module-Quellserver für Protokolldateien erfasst werden. Ferner können Sie einen oder mehrere Connectors auf einem separaten Agentenhost konfigurieren, die Daten von mehreren Syslog-Quellen erfassen (nicht abgebildet).
Bei der Windows-Ereigniserfassung wird Windows Management Instrumentation (WMI) zur Überwachung der Windows-Server auf Ereignisse eingesetzt. Hierfür müssen Sie einen WMI-Connector auf einem Agenten, der auf einem Windows-Host installiert ist, als (agentenbasierten) Quellserver für Protokolldateien konfigurieren. Bei einigen anderen Ereignisarten bietet sich eventuell die Verwendung eines eigenständigen CA-iRecorders auf einem Hostserver an.
Sie können die Agenten und Connectors für diese Ereignisquellen über jeden CA User Activity Reporting Module-Server im Netzwerk konfigurieren und verwalten. Die gestrichelten Linien in der Abbildung stehen für den Konfigurations- und Steuerungsaustausch zwischen dem Verwaltungsserver und den Agenten sowie zwischen den einzelnen anderen CA User Activity Reporting Module-Servern. In einer Umgebung, wie sie in der Abbildung dargestellt ist, werden die Konfigurationen vom Verwaltungsserver aus vorgenommen. Hierdurch können sich die (agentenlosen) Quellserver für Protokolldateien auf die Ereignisverarbeitung konzentrieren.
Die Protokollerfassungsumgebung, in der Sie CA User Activity Reporting Module-Server installieren, weist folgende Merkmale auf:
Je nach Größe Ihres Netzwerks und des Ereignisvolumens können Sie auch mehrere Verwaltungsserver installieren und unter jedem Verwaltungsserver einen Verbund (Föderation) aus (agentenlosen) Quellservern für Protokolldateien anlegen. Ferner können Sie mehrere Server für die Berichterstellung bestimmen, wobei alle Berichtsserver bei dem einen Verwaltungsserver registriert werden. In diesem Szenario findet der Ereignisfluss von den Ereignisquellen über den konfigurierten (agentenlosen) Quellserver für Protokolldateien hin zum konfigurierten Berichtsserver statt.
| Copyright © 2011 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |