GFI 軟體/GFI EventsManager
GFI EventsManager 是一個面向結果的事件日誌管理解決方案,它整合到任何現有的 IT 基礎設施中,自動化和簡化了網路範圍事件管理中涉及的任務。
本書的目的是提供對重要資訊的訪問許可權,這些資訊可以幫助使用者充分利用 GFI EventsManager。因此,鼓勵華夏公益教科書使用者更新此內容和/或透過維基討論板、GFI 論壇或傳送電子郵件至 documentation@gfi.com 傳送反饋、想法和評論,說明如何進一步改進此文件。
歡迎所有反饋!請牢記上述原則,貢獻您的主題。
每天生成的系統事件量巨大,對於需要記錄法醫目的資訊的企業和不斷增長的監管合規範圍來說,這越來越重要。對業務連續性的日益增長的威脅要求採用一種方法,其中包括對網路的即時監控;您還需要能夠分析和報告事件資料,以解決任何事件或安全問題。
GFI EventsManager 幫助您滿足法律和法規合規要求,包括 SOX、PCI DSS、連線準則和 HIPAA。這種屢獲殊榮的解決方案會自動處理和存檔日誌,收集您需要了解的有關網路中發生的 najważniejsze 事件的資訊。它支援多種事件型別,例如 W3C、Windows 事件、Syslog、SQL Server 稽核日誌和由防火牆、路由器和感測器等裝置以及自定義裝置生成的 SNMP 陷阱。
 在事件收集階段,GFI EventsManager 從特定的事件源收集日誌。這是透過使用兩種事件收集引擎來實現的:事件檢索引擎和事件接收引擎。 事件檢索引擎 - 事件檢索引擎用於從聯網事件源收集 Windows 事件日誌和 W3C 日誌。在事件收集過程中,此引擎將
事件檢索引擎以特定時間間隔收集事件。事件收集間隔可以透過 GFI EventsManager 管理控制檯進行配置。 事件接收引擎 - 事件接收引擎充當 Syslog 和 SNMP 陷阱伺服器;它監聽和收集網路上各種源傳送的 Syslog 和 SNMP 陷阱事件/訊息。與事件檢索引擎不同,事件接收引擎直接從事件源接收訊息;因此,它不需要遠端登入到事件源以進行事件收集。除此之外,Syslog 和 SNMP 陷阱事件/訊息是即時收集的,因此不需要配置收集時間間隔。 預設情況下,事件接收引擎監聽埠 514 上的 Syslog 訊息,監聽埠 162 上的 SNMP 陷阱訊息。但是,這兩個埠設定可以透過 GFI EventsManager 管理控制檯進行自定義。 |
在此階段,GFI EventsManager 將對收集的事件執行一組事件處理規則。事件處理規則是以下指令:
GFI EventsManager 可以配置為存檔事件而不執行事件處理規則。在這種情況下,即使沒有對收集的日誌應用任何規則,存檔仍然由事件處理階段處理。在處理完規則後,可以將 GFI EventsManager 配置為將收集的事件儲存在儲存資料夾中。管理員可以配置儲存資料夾的路徑,並配置要儲存的事件。此功能將最大程度地減少資料庫增長,並允許管理員僅將重要事件儲存在資料庫中。 |
有關 GFI EventsManager 的更多資訊,請參閱GFI 如何工作?
GFI EventsManager 手冊的目的是幫助您安裝、使用和配置 GFI EventsManager。它描述了
- 如何安裝 GFI EventsManager。
- 如何瀏覽收集的事件。
- 如何生成報告。
- 如何配置和管理事件源。
- 如何配置和使用事件處理規則。
- 如何管理規則集。
- 如何自定義警報和操作。
- 如何配置使用者和組。
- 如何監控 GFI EventsManager 狀態。
- 有關常見問題的疑難解答資訊。
以下連結使您能夠瀏覽 GFI EventsManager 手冊。
第 1 章: 提供對本手冊的概述以及 GFI EventsManager 如何工作。
第 2 章: 如何安裝 GFI EventsManager,包括系統要求、預安裝操作要求以及如何從先前版本升級。
第 3 章: 如何配置 GFI EventsManager 以供首次使用,包括如何配置資料庫後端以及如何首次處理事件日誌。
第 4 章: 如何使用內建事件瀏覽器分析儲存在 GFI EventsManager 資料庫後端中的事件。
第 6 章: 如何自定義要監控的事件源。
第 7 章: 如何使用事件處理規則。
第 8 章: 如何建立、編輯和刪除事件處理規則。
第 9 章: 如何設定將在特定事件上觸發的警報和操作。
第 10 章: 如何配置警報接收方引數,包括:個人詳細資訊、正常工作時間以及將傳送給每個接收方的警報。
第 11 章: 如何分析 GFI EventsManager 的狀態以及檢視統計資訊和已處理的事件。
第 12 章: 如何集中由其他遠端 GFI EventsManager 例項收集的事件以及如何最佳化資料庫後端效能。
第 13 章: 其他選項,例如許可權、命令列操作和許可。
第 14 章: 解釋了哪些主要資訊來源可幫助管理員解決產品問題。
第 15 章: GFI EventsManager 中使用的技術術語。
本節介紹了在使用 GFI EventsManager 時可能遇到的問題的解決方法。可用的主要資訊來源是
- 手冊 - 大多數問題可以透過閱讀 GFI EventsManager 手冊解決
- 從 www.gfi.com 下載產品手冊
- GFI 知識庫文章
- GFI 提供一個知識庫,其中包含最常見問題的答案。如果您遇到問題,請先查閱知識庫。知識庫始終包含最新的技術支援問題和補丁列表。要訪問知識庫,請訪問 http://kbase.gfi.com/。
- 網路論壇
- 使用者可以透過網路論壇獲得使用者之間的技術支援。該論壇可在 http://forums.gfi.com/ 找到。
- 聯絡 GFI 技術支援
- 如果您仍然無法解決軟體問題,請填寫線上支援請求表格或致電聯絡 GFI 技術支援團隊。
- 線上:填寫以下支援請求表格:http://support.gfi.com/supportrequestform.asp。請仔細按照本頁上的說明提交您的支援請求。
- 電話:要獲取您所在地區的正確技術支援電話號碼,請訪問 http://www.gfi.com/company/contact.htm。
- 注意:在您聯絡我們的技術支援團隊之前,請準備好您的客戶 ID。您的客戶 ID 是您首次在我們的客戶區域 https://customers.gfi.com/login.aspx 註冊您的許可證金鑰時分配給您的線上帳戶號碼。
- GFI 支援將在 24 小時內或更短時間內回覆您的查詢,具體取決於您的時區。
- 如果您仍然無法解決軟體問題,請填寫線上支援請求表格或致電聯絡 GFI 技術支援團隊。
| 遇到的問題 | 解決方案 |
|---|---|
| 錯誤訊息:未連線到資料庫或連線已斷開。 | 描述
當 GFI EventsManager 無法連線到 SQL 資料庫或資料庫連線中斷時,會遇到此錯誤。 解決方案 以下連結包含有關如何解決此問題的的資訊。 如何除錯 無法連線到資料庫? http://kbase.gfi.com/showarticle.asp?id=KBID002855 如何配置 SQL Server 2005/2008 以接受 SQL 身份驗證? http://kbase.gfi.com/showarticle.asp?id=KBID002804 如何配置 SQL Server 2000 以接受 SQL 身份驗證? http://kbase.gfi.com/showarticle.asp?id=KBID002805 在 Microsoft SQL Server 2005 上啟用 TCP/IP http://kbase.gfi.com/showarticle.asp?id=KBID002920 如何在 Microsoft SQL Server 中建立新資料庫 |
| 錯誤訊息:主檔案組已滿。 | 描述
當 GFI EventsManager 資料庫後端具有最大檔案大小限制並且無法儲存任何進一步資料時,會遇到此錯誤。 解決方案 配置資料庫後端以允許更大的檔案大小。這可以在 Microsoft SQL Server 和 Microsoft SQL Server Express 版本上完成。有關如何更改最大檔案大小的更多資訊,請參考 http://kbase.gfi.com showarticle.asp?id=KBID003670 |
| 錯誤訊息:無法完成遊標操作,因為在宣告遊標後表架構已更改 | 描述
當管理員在 GFI EventsManager 服務執行時對 GFI EventsManager 資料庫執行維護任務時,會遇到此錯誤。 解決方案
為避免這種情況,請確保在對 GFI EventsManager 資料庫執行任何維護任務時,GFI EventsManager 服務已停止。有關更多資訊,請參考 http://kbase.gfi.com/showarticle.asp?id=KBID003011 |
| 錯誤訊息 1:連線到機器 MACHINENAME 時出錯,錯誤 0x35,訊息:找不到網路路徑。 錯誤訊息 2:連線到機器 MACHINENAME 時出錯,錯誤 0x52E,訊息:登入失敗:未知使用者名稱或密碼錯誤。 錯誤訊息 3:遇到嚴重錯誤:在建立與 SQL Server 的連線時發生網路相關或例項特定的錯誤。伺服器未找到或不可訪問。驗證例項名稱是否正確,以及 SQL Server 是否配置為允許遠端連線。(提供程式:命名管道提供程式,錯誤:40 - 無法開啟與 SQL Server 的連線) 錯誤訊息 4:連線到機器 MACHINENAME 時出現意外錯誤;遠端 W3C 日誌路徑為:PATH\*.* |
描述
當 GFI EventsManager 嘗試從網路上無法訪問的機器收集事件或憑據無效時,會遇到這些錯誤。 可能的解決方案 1
可能的解決方案 2 使用個人防火牆時,檢查是否已配置所需的防火牆埠以允許流量。有關更多資訊,請參考 http://kbase.gfi.com/showarticle.asp?id=KBID002770 使用 Windows 防火牆時,檢查是否已啟用所有必需的防火牆許可權。有關更多資訊,請參考 http://kbase.gfi.com/showarticle.asp?id=KBID003688 可能的解決方案 3 確保 GFI EventsManager 安裝在支援的環境中。有關可以在何處安裝 GFI EventsManager 的更多資訊,請參考 http://kbase.gfi.com/showarticle.asp?id=KBID002842 |
| GFI EventsManager 未收集任何事件日誌。 | 描述
此問題可能是由各種因素造成的,並且取決於 GFI EventsManager 安裝的環境。有關如何解決此問題的清單,請參考 http://kbase.gfi.com/showarticle.asp?id=KBID002819 |
| 錯誤訊息 1:在等待 GFI EventsManager 服務連線時,已達到超時時間(60000 毫秒)。 錯誤訊息 2:錯誤 1053:服務未及時響應啟動或控制請求。 |
描述
預設情況下,GFI EventsManager 可執行檔案已進行數字簽名。嘗試啟動服務時,應用程式必須下載證書吊銷列表以進行身份驗證。如果由於網路連線或安全原因下載失敗,服務將因超時而無法啟動。 可能的解決方案 1 增加預設服務超時設定,如以下 Microsoft 知識庫文章所述 http://support.microsoft.com/kb/941990 可能的解決方案 2 停用證書吊銷列表 (CRL)。
http://ftp.gfisoftware.com/support/setreg.zip
注意:可以透過執行以下命令來還原上述設定:setreg.exe 3 TRUE 有關更多資訊,請參考 http://kbase.gfi.com/showarticle.asp?id=KBID003365 |
| 錯誤訊息:維護作業失敗! | 描述
GFI EventsManager 使用名為 GZipStream 的 ASP.Net 庫來壓縮和匯出 GFI EventsManager 資料庫中的資料。GZipStream 無法壓縮大於 4GB 的資料。當嘗試匯出大於 4GB 的資料時,GFI EventsManager 將返回此錯誤。 解決方案 為了匯出所需的資料,請使用 GFI EventsManager 高階過濾器來減少匯出的事件數量。因此最終減少了正在壓縮的資料的大小。有關更多資訊,請參考 本手冊中的配置資料過濾器條件部分。 |
| 錯誤訊息:無法檢索事件日誌記錄:RPC 伺服器不可用 | 描述
如果發生以下情況,則可能會出現此錯誤
調查每個可能的問題並進行必要的更改。然後嘗試從目標計算機收集事件。有關更多資訊,請參考 http://kbase.gfi.com/showarticle.asp?id=KBID002820 |
| GFI EventsManager 報告錯誤號 1069。 | 描述
安裝時,GFI EventsMananger 會要求提供有效的使用者名稱和密碼。在安裝嚮導中提交無效密碼時,會遇到此錯誤。 解決方案
|