GFI 软件/GFI EventsManager
GFI EventsManager 是一个面向结果的事件日志管理解决方案,它集成到任何现有的 IT 基础设施中,自动化和简化了网络范围事件管理中涉及的任务。
本书的目的是提供对重要信息的访问权限,这些信息可以帮助用户充分利用 GFI EventsManager。因此,鼓励维基教科书用户更新此内容和/或通过维基讨论板、GFI 论坛或发送电子邮件至 [email protected] 发送反馈、想法和评论,说明如何进一步改进此文档。
欢迎所有反馈!请牢记上述原则,贡献您的主题。
每天生成的系统事件量巨大,对于需要记录法医目的信息的企业和不断增长的监管合规范围来说,这越来越重要。对业务连续性的日益增长的威胁要求采用一种方法,其中包括对网络的实时监控;您还需要能够分析和报告事件数据,以解决任何事件或安全问题。
GFI EventsManager 帮助您满足法律和法规合规要求,包括 SOX、PCI DSS、连接准则和 HIPAA。这种屡获殊荣的解决方案会自动处理和存档日志,收集您需要了解的有关网络中发生的 najważniejsze 事件的信息。它支持多种事件类型,例如 W3C、Windows 事件、Syslog、SQL Server 审核日志和由防火墙、路由器和传感器等设备以及自定义设备生成的 SNMP 陷阱。
 在事件收集阶段,GFI EventsManager 从特定的事件源收集日志。这是通过使用两种事件收集引擎来实现的:事件检索引擎和事件接收引擎。 事件检索引擎 - 事件检索引擎用于从联网事件源收集 Windows 事件日志和 W3C 日志。在事件收集过程中,此引擎将
事件检索引擎以特定时间间隔收集事件。事件收集间隔可以通过 GFI EventsManager 管理控制台进行配置。 事件接收引擎 - 事件接收引擎充当 Syslog 和 SNMP 陷阱服务器;它监听和收集网络上各种源发送的 Syslog 和 SNMP 陷阱事件/消息。与事件检索引擎不同,事件接收引擎直接从事件源接收消息;因此,它不需要远程登录到事件源以进行事件收集。除此之外,Syslog 和 SNMP 陷阱事件/消息是实时收集的,因此不需要配置收集时间间隔。 默认情况下,事件接收引擎监听端口 514 上的 Syslog 消息,监听端口 162 上的 SNMP 陷阱消息。但是,这两个端口设置可以通过 GFI EventsManager 管理控制台进行自定义。 |
在此阶段,GFI EventsManager 将对收集的事件运行一组事件处理规则。事件处理规则是以下指令:
GFI EventsManager 可以配置为存档事件而不运行事件处理规则。在这种情况下,即使没有对收集的日志应用任何规则,存档仍然由事件处理阶段处理。在处理完规则后,可以将 GFI EventsManager 配置为将收集的事件存储在存储文件夹中。管理员可以配置存储文件夹的路径,并配置要存储的事件。此功能将最大程度地减少数据库增长,并允许管理员仅将重要事件存储在数据库中。 |
有关 GFI EventsManager 的更多信息,请参阅GFI 如何工作?
GFI EventsManager 手册的目的是帮助您安装、使用和配置 GFI EventsManager。它描述了
- 如何安装 GFI EventsManager。
- 如何浏览收集的事件。
- 如何生成报告。
- 如何配置和管理事件源。
- 如何配置和使用事件处理规则。
- 如何管理规则集。
- 如何自定义警报和操作。
- 如何配置用户和组。
- 如何监控 GFI EventsManager 状态。
- 有关常见问题的疑难解答信息。
以下链接使您能够浏览 GFI EventsManager 手册。
第 1 章: 提供对本手册的概述以及 GFI EventsManager 如何工作。
第 2 章: 如何安装 GFI EventsManager,包括系统要求、预安装操作要求以及如何从先前版本升级。
第 3 章: 如何配置 GFI EventsManager 以供首次使用,包括如何配置数据库后端以及如何首次处理事件日志。
第 4 章: 如何使用内置事件浏览器分析存储在 GFI EventsManager 数据库后端中的事件。
第 6 章: 如何自定义要监控的事件源。
第 7 章: 如何使用事件处理规则。
第 8 章: 如何创建、编辑和删除事件处理规则。
第 9 章: 如何设置将在特定事件上触发的警报和操作。
第 10 章: 如何配置警报接收方参数,包括:个人详细信息、正常工作时间以及将发送给每个接收方的警报。
第 11 章: 如何分析 GFI EventsManager 的状态以及查看统计信息和已处理的事件。
第 12 章: 如何集中由其他远程 GFI EventsManager 实例收集的事件以及如何优化数据库后端性能。
第 13 章: 其他选项,例如权限、命令行操作和许可。
第 14 章: 解释了哪些主要信息来源可帮助管理员解决产品问题。
第 15 章: GFI EventsManager 中使用的技术术语。
本节介绍了在使用 GFI EventsManager 时可能遇到的问题的解决方法。可用的主要信息来源是
- 手册 - 大多数问题可以通过阅读 GFI EventsManager 手册解决
- 从 www.gfi.com 下载产品手册
- GFI 知识库文章
- GFI 提供一个知识库,其中包含最常见问题的答案。如果您遇到问题,请先查阅知识库。知识库始终包含最新的技术支持问题和补丁列表。要访问知识库,请访问 http://kbase.gfi.com/。
- 网络论坛
- 用户可以通过网络论坛获得用户之间的技术支持。该论坛可在 http://forums.gfi.com/ 找到。
- 联系 GFI 技术支持
- 如果您仍然无法解决软件问题,请填写在线支持请求表格或致电联系 GFI 技术支持团队。
- 在线:填写以下支持请求表格:http://support.gfi.com/supportrequestform.asp。请仔细按照本页上的说明提交您的支持请求。
- 电话:要获取您所在地区的正确技术支持电话号码,请访问 http://www.gfi.com/company/contact.htm。
- 注意:在您联系我们的技术支持团队之前,请准备好您的客户 ID。您的客户 ID 是您首次在我们的客户区域 https://customers.gfi.com/login.aspx 注册您的许可证密钥时分配给您的在线帐户号码。
- GFI 支持将在 24 小时内或更短时间内回复您的查询,具体取决于您的时区。
- 如果您仍然无法解决软件问题,请填写在线支持请求表格或致电联系 GFI 技术支持团队。
| 遇到的问题 | 解决方案 |
|---|---|
| 错误消息:未连接到数据库或连接已断开。 | 描述
当 GFI EventsManager 无法连接到 SQL 数据库或数据库连接中断时,会遇到此错误。 解决方案 以下链接包含有关如何解决此问题的的信息。 如何调试 无法连接到数据库? http://kbase.gfi.com/showarticle.asp?id=KBID002855 如何配置 SQL Server 2005/2008 以接受 SQL 身份验证? http://kbase.gfi.com/showarticle.asp?id=KBID002804 如何配置 SQL Server 2000 以接受 SQL 身份验证? http://kbase.gfi.com/showarticle.asp?id=KBID002805 在 Microsoft SQL Server 2005 上启用 TCP/IP http://kbase.gfi.com/showarticle.asp?id=KBID002920 如何在 Microsoft SQL Server 中创建新数据库 |
| 错误消息:主文件组已满。 | 描述
当 GFI EventsManager 数据库后端具有最大文件大小限制并且无法存储任何进一步数据时,会遇到此错误。 解决方案 配置数据库后端以允许更大的文件大小。这可以在 Microsoft SQL Server 和 Microsoft SQL Server Express 版本上完成。有关如何更改最大文件大小的更多信息,请参考 http://kbase.gfi.com showarticle.asp?id=KBID003670 |
| 错误消息:无法完成游标操作,因为在声明游标后表架构已更改 | 描述
当管理员在 GFI EventsManager 服务运行时对 GFI EventsManager 数据库执行维护任务时,会遇到此错误。 解决方案
为避免这种情况,请确保在对 GFI EventsManager 数据库执行任何维护任务时,GFI EventsManager 服务已停止。有关更多信息,请参考 http://kbase.gfi.com/showarticle.asp?id=KBID003011 |
| 错误消息 1:连接到机器 MACHINENAME 时出错,错误 0x35,消息:找不到网络路径。 错误消息 2:连接到机器 MACHINENAME 时出错,错误 0x52E,消息:登录失败:未知用户名或密码错误。 错误消息 3:遇到严重错误:在建立与 SQL Server 的连接时发生网络相关或实例特定的错误。服务器未找到或不可访问。验证实例名称是否正确,以及 SQL Server 是否配置为允许远程连接。(提供程序:命名管道提供程序,错误:40 - 无法打开与 SQL Server 的连接) 错误消息 4:连接到机器 MACHINENAME 时出现意外错误;远程 W3C 日志路径为:PATH\*.* |
描述
当 GFI EventsManager 尝试从网络上无法访问的机器收集事件或凭据无效时,会遇到这些错误。 可能的解决方案 1
可能的解决方案 2 使用个人防火墙时,检查是否已配置所需的防火墙端口以允许流量。有关更多信息,请参考 http://kbase.gfi.com/showarticle.asp?id=KBID002770 使用 Windows 防火墙时,检查是否已启用所有必需的防火墙权限。有关更多信息,请参考 http://kbase.gfi.com/showarticle.asp?id=KBID003688 可能的解决方案 3 确保 GFI EventsManager 安装在支持的环境中。有关可以在何处安装 GFI EventsManager 的更多信息,请参考 http://kbase.gfi.com/showarticle.asp?id=KBID002842 |
| GFI EventsManager 未收集任何事件日志。 | 描述
此问题可能是由各种因素造成的,并且取决于 GFI EventsManager 安装的环境。有关如何解决此问题的清单,请参考 http://kbase.gfi.com/showarticle.asp?id=KBID002819 |
| 错误消息 1:在等待 GFI EventsManager 服务连接时,已达到超时时间(60000 毫秒)。 错误消息 2:错误 1053:服务未及时响应启动或控制请求。 |
描述
默认情况下,GFI EventsManager 可执行文件已进行数字签名。尝试启动服务时,应用程序必须下载证书吊销列表以进行身份验证。如果由于网络连接或安全原因下载失败,服务将因超时而无法启动。 可能的解决方案 1 增加默认服务超时设置,如以下 Microsoft 知识库文章所述 http://support.microsoft.com/kb/941990 可能的解决方案 2 禁用证书吊销列表 (CRL)。
http://ftp.gfisoftware.com/support/setreg.zip
注意:可以通过运行以下命令来还原上述设置:setreg.exe 3 TRUE 有关更多信息,请参考 http://kbase.gfi.com/showarticle.asp?id=KBID003365 |
| 错误消息:维护作业失败! | 描述
GFI EventsManager 使用名为 GZipStream 的 ASP.Net 库来压缩和导出 GFI EventsManager 数据库中的数据。GZipStream 无法压缩大于 4GB 的数据。当尝试导出大于 4GB 的数据时,GFI EventsManager 将返回此错误。 解决方案 为了导出所需的数据,请使用 GFI EventsManager 高级过滤器来减少导出的事件数量。因此最终减少了正在压缩的数据的大小。有关更多信息,请参考 本手册中的配置数据过滤器条件部分。 |
| 错误消息:无法检索事件日志记录:RPC 服务器不可用 | 描述
如果发生以下情况,则可能会出现此错误
调查每个可能的问题并进行必要的更改。然后尝试从目标计算机收集事件。有关更多信息,请参考 http://kbase.gfi.com/showarticle.asp?id=KBID002820 |
| GFI EventsManager 报告错误号 1069。 | 描述
安装时,GFI EventsMananger 会要求提供有效的用户名和密码。在安装向导中提交无效密码时,会遇到此错误。 解决方案
|