ImplementierungshandbuchAspekte für CA Access Control-BenutzerÄndern von CA Audit-Richtlinien zum Senden von Ereignissen an CA User Activity Reporting Module › Ändern einer bestehenden CA Audit-Richtlinie zum Senden von Ereignissen an CA User Activity Reporting Module

Vorheriges Thema: Konfigurieren des SAPI-Collector-Adapters für den Empfang von CA Access Control-Ereignissen

Nächstes Thema: Überprüfen und Aktivieren der geänderten Richtlinie

Ändern einer bestehenden CA Audit-Richtlinie zum Senden von Ereignissen an CA User Activity Reporting Module

Gehen Sie wie unten beschrieben vor, um einen CA Audit-Client so einzurichten, dass Ereignisse an CA User Activity Reporting Module und an die CA Audit-Collector-Datenbank gesendet werden. Indem Sie der Route- bzw. Collector-Aktion einer bestehenden Regel ein neues Ziel hinzufügen, können Sie erfasste Ereignisse an beide Systeme senden. Alternativ können Sie bestimmte Richtlinien bzw. Regeln auch so ändern, dass Ereignisse nur an den CA User Activity Reporting Module-Server gesendet werden.

CA User Activity Reporting Module erfasst Ereignisse von CA Audit-Clients mit Hilfe des CA Audit-SAPI-Router- und des CA Audit-SAPI-Collector-Listeners. (CA User Activity Reporting Module kann Ereignisse auch direkt über das iTech-Plugin erfassen, falls Sie iRecorder für den direkten Versand zum CA User Activity Reporting Module-Server konfiguriert haben.) Erfasste Ereignisse werden nur im CA User Activity Reporting Module-Ereignisprotokollspeicher gespeichert, nachdem Sie die Richtlinie an die Clients weitergegeben haben und diese aktiv wird.

Wichtig: Richten Sie die CA User Activity Reporting Module-Listener für den Empfang von Ereignissen ein, bevor Sie die Richtlinie ändern und aktivieren. Falls Sie diese Konfiguration nicht zuerst vornehmen, können falsch zugeordnete Ereignisse auftreten, wenn Ereignisse vor dem Zeitpunkt eintreffen, an dem die Richtlinie in Kraft tritt und die Listener die Ereignisse richtig zuordnen können.

So ändern Sie die Aktion einer bestehenden Richtlinienregel zum Senden von Ereignissen an CA User Activity Reporting Module:

  1. Melden Sie sich beim Richtlinien-Manager-Server an, und greifen Sie links im Fenster auf die Registerkarte "Meine Richtlinien" zu.
  2. Erweitern Sie den Richtlinienordner, bis die gewünschte Richtlinie angezeigt wird.

    Das Fenster des Richtlinien-Managers von CA Audit mit der Registerkarte "Meine Richtlinien" und ausgewählter Richtlinie für verdächtige Ereignisse.

  3. Klicken Sie auf die Richtlinie, damit die grundlegenden Informationen im Detailabschnitt rechts im Fenster angezeigt werden.

    Im Detailfenster ist zu sehen, dass die Richtlinie für verdächtige Ereignisse ausgewählt ist. Oben im Fenster befindet sich die Schaltfläche zum Erstellen einer neuen Regel.

  4. Klicken Sie im Bereich "Details" auf "Bearbeiten", um die Richtlinienregeln hinzuzufügen.

    Der Regelassistent wird gestartet:

    In dieser Abbildung ist die erste Seite des Assistenten zum Bearbeiten von Regeln zu sehen.

  5. Klicken Sie auf "Aktionen bearbeiten" neben dem Pfeil für Schritt 3.

    Die Seite mit den Regelaktionen wird angezeigt:

    In dieser Abbildung ist die Seite zum Bearbeiten von Aktionen im Assistenten zum Bearbeiten von Regeln mit einer Liste der Aktionen in einem separaten Fenster auf der linken Seite zu sehen.

  6. Klicken Sie im Fenster "Aktionen durchsuchen" auf die Aktion "Collector", um die Aktionsliste auf der rechten Seite anzuzeigen.

    In dieser Abbildung ist die Liste mit Aktionen zu sehen, die angezeigt wird, wenn Sie die Collector-Aktion in der Liste auswählen.

    Sie können auch die Route-Aktion verwenden. Die Collector-Aktion bietet jedoch den Vorteil, dass zusätzlich ein alternativer Hostname für eine einfache Failover-Verarbeitung angegeben werden kann.

  7. Klicken Sie auf "Neu", um eine neue Regel hinzuzufügen.
  8. Geben Sie die IP-Adresse bzw. den Hostnamen des CA User Activity Reporting Module-Quellservers für Protokolldateien ein.

    In dieser Abbildung ist der vollständige Datensatz für die Collector-Aktion zu sehen, kurz nachdem Sie auf die Hinzufügen-Schaltfläche geklickt haben.

    Bei CA User Activity Reporting Module-Implementierungen mit zwei oder mehr Servern können Sie im Feld für den alternativen Hostnamen einen anderen CA User Activity Reporting Module-Hostnamen bzw. eine andere IP-Adresse eingeben. Dadurch wird die CA Audit-Funktion des automatischen Failovers genutzt. Falls der erste CA User Activity Reporting Module-Server nicht verfügbar ist, sendet CA Audit automatisch Ereignisse an den im Feld "Alternativer Hostname" benannten Server.

  9. Geben Sie im Feld "Alternativer Hostname" den Namen des CA User Activity Reporting Module-Verwaltungsservers ein, und erstellen Sie eine Beschreibung für die neue Regelaktion.
  10. Deaktivieren Sie das Kontrollkästchen "Diese Aktion auf Remote-Server durchführen", falls es aktiviert ist.
  11. Klicken Sie auf "Hinzufügen", um die neue Regelaktion zu speichern, und klicken Sie dann im Assistentenfenster auf "Fertig stellen".

    Hinweis: Als Nächstes überprüfen und aktivieren Sie die Richtlinie, melden Sie sich daher nicht vom CA Audit-Richtlinien-Manager ab.

Weitere Informationen

Ändern einer bestehenden r8 SP2-Richtlinie zum Senden von Ereignissen an CA User Activity Reporting Module