Scarica PDF - CA Technologies
Contents
1. ii 130 Importazione dei file dell interfaccia utente di CA User Activity Reporting Module 131 Capitolo 4 Configurazione di utenti e accessi di base 133 Informazioni sugli utenti e gli accessi di base ii 133 Configurazione dell archivio Utente 134 Accettare l Archivio utente predefinito 134 Riferimento a una directory LDAP Li 135 Riferimento a CA SiteMinder come archivio utente 136 Configurazione dei criteri delle password ui 138 Conservazione di criteri di accesso predefiniti i 139 Greazione del primo amministratore ceclene lai ian 140 Creazione di un NUOVO ACCOUNT utente i 141 Assegnazione di un ruolo a un utente globale i 142 Capitolo 5 Configurazione dei servizi 145 Fonti e configurazioni degli eventi ii 145 Modificare le configurazioni globali 146 Utilizzo di impostazioni e filtri globali i 149 Selezione dell utilizzo di query federate ii 150 Configurazione dell intervallo di aggiornamento globale i 150 Sommario 7 Configurazione dell archivio registro eventi ii 151 Informazioni sul servizio archivio registro eventi i 152 Informazioni sui file di archivio 1 ia 152 Informazioni sull archiviazione aut2. Deploy O F Template End User License Agreement Accept the end user license agreements Source OYF Template Details End User License Agreeme Name and Location Deployment Configuration Host Cluster Properties Ready to Complete 362 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 12 Accettare i termini del contratto quindi fare clic su Avanti Verra visualizzata la pagina relativa al nome e alla posizione In questa pagina sara possibile indicare un nome per identificare il server CA User Activity Reporting Module e specificare il centro dati in cui si desidera eseguire il provisioning del server CA User Activity Reporting Module 13 Immettere il nome del server CA User Activity Reporting Module nel campo Nome selezionare il centro dati da Inventory Location Posizione inventario quindi fare clic su Avanti Nota per impostazione predefinita il nome specificato nel modello OVF viene visualizzato nel campo Nome Deploy O F Template 2 DI x Name and Location Specify a name and location for the deployed template Source Name OVF Template Details Example C4 Enterprise Log Manager End User License Agreement Name and Location The name can contain up to 80 characters and it must be unique within the inventory folder Deployment Configuration Host Cluster Racal sce Pool Inventory Location elmqa vserver ca
3. Regole Gruppi di nodi Registro attivazione CE miava J Disattiva Veriica criteri 7 x F z 3 7 E z FE Questa una visualizzazione a livello di cartelle della corrente selezione in Criteri personali Utilizzare questa visualizzazione per attivare e disattivare le regole e per controllare che non vi siano errori nei criteri E Contenuto di AC eTrust Access Control Policy E Suspicious Events amp Security System amp eTrust Access Control Stop amp eTrust Access Control Start Kill eTrust Access Control Failed Kill Process Failed E Account Management 2 fareclic su Controlla criteri per controllare le regole modificate con le nuove azioni per assicurarsi che siano compilate correttamente Eseguire tutte le modifiche necessarie alle regole e assicurarsi che siano compilate correttamente prima di attivarle 3 Fare clic su Attiva per distribuire i criteri controllati che contengono le nuove azioni della regola aggiunte 4 Ripetere questa procedura per ogni regola e criterio con eventi raccolti da inviare a CA User Activity Reporting Module 272 Guida all implementazione Configurazione di un iRecorder CA Access Control per l invio di eventi a CA User Activity Reporting Module Configurazione di un iRecorder CA Access Control per l invio di eventi a CA User Activity Reporting Module possibile configurare un iRecorder CA Access Control autonomo per fare i
4. due dischi di installazione contengono tutti i componenti del sistema operativo e del prodotto rispettivamente per l ambiente CA User Activity Reporting Module possibile decidere di utilizzare nel proprio ambiente altri componenti come registratori SAPI o iRecorder Si tratta di download separati disponibili sul sito Web di supporto di CA Technologies Utilizzare i dischi di installazione appena creati per eseguire le installazioni Installazione si un server CA User Activity Reporting Module Per l installazione effettuare le seguenti operazioni Completamento del foglio di calcolo del server CA User Activity Reporting Module Installazione del server di gestione CA User Activity Reporting Module Nota se si utilizza l archiviazione SAN evitare di installare su un unit SAN 72 Guida all implementazione Installazione si un server CA User Activity Reporting Module Installazione di uno o pi server di raccolta CA User Activity Reporting Module m Facoltativo Consente di installare uno o pi server di rapporto Nota se non viene installato un server dedicato ai rapporti possibile utilizzare il server di gestione per il ruolo del server di rapporto Facoltativo Installazione di un server di punto di ripristino Verifica dell installazione m Visualizzazione degli eventi di automonitoraggio Importante Configurare i dischi di archiviazione in un array RAID prima di iniziare l installazione di CA User Ac
5. Appendice E CA User Activity Reporting Module e virtualizzazione 319 Creazione di server CA User Activity Reporting Module mediante computer virtuali Per modificare le impostazioni 1 fare clic con il pulsante destro sulla macchina virtuale in VMware Infrastructure Client e selezionare Modifica impostazioni Verra visualizzata la finestra di dialogo Proprieta macchina virtuale 2 Evidenziare le propriet dell Unit CD DVD 1 3 Fare clic sul pulsante di opzione Periferica host e selezionare l unit DVD ROM dall elenco a discesa 4 Selezionare l opzione Stato periferica Connetti all accensione 5 Fareclic su Aggiungi per avviare l Aggiunta hardware guidato e aggiungere un secondo disco rigido 6 Evidenziare il disco rigido nell elenco delle periferiche e fare clic su Avanti Verr visualizzata la finestra di dialogo Selezionare un disco 7 Selezionare l opzione Crea nuovo disco virtuale e fare clic su Avanti 8 Specificare le dimensioni del nuovo disco e selezionare l opzione Specificare un datastore per impostarne la posizione CA User Activity Reporting Module rileva questa periferica aggiuntiva durante l installazione e l assegna all archiviazione dei dati Si consiglia di massimizzare la quantit di archiviazione da rendere disponibile per CA User Activity Reporting Module Nota l impostazione Dimensione blocco in VMware ESX Server 1 MB ci limita lo spazio massimo su disco che possibile creare a 256
6. eventi e query 7 Archivio di registro Archivio di registro iRecorder Server Windows Server UNIX Flusso di eventi configurazione e comando traffico Le righe continue in questo diagramma mostrano il flusso degli eventi dalle origini evento al server di raccolta o a un host agente e poi al server di raccolta possibile raccogliere direttamente eventi syslog utilizzando l agente predefinito sul server di raccolta CA User Activity Reporting Module anche possibile configurare uno o pi connettori su un host agente separato per eseguire la raccolta da diverse fonti syslog non mostrate in questo diagramma 70 Guida all implementazione Creazione dei DVD di installazione La raccolta degli eventi di Windows utilizza Windows Management Instrumentation WMI per monitorare i server Windows per questi eventi Cio richiede la configurazione di un connettore WMI o di un agente installato su un host Windows come punto di raccolta di un evento Per alcuni altri tipi di evento si pu decidere di utilizzare un CA Technologies iRecorder autonomo su un server host possibile configurare e gestire gli agenti e i connettori di queste origini evento da qualsiasi server CA User Activity Reporting Module nella rete Le linee tratteggiate nel diagramma rappresentano il traffico di configurazione e di controllo tra il server di gestione e gli agenti e ognuno degli altri server CA User Activity Reporting Module Nell ambiente ra
7. necessario specificare tali parametri come argomenti della riga di comando Informazioni necessarie Valore Commenti Impostazioni specifiche dell host 348 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME acceptAllEulas deploymentOption Valore Nome host del server CA Enterprise Log Manager Ad esempio CA ELM1 nuova password principale Indirizzo IPv4 corrispondente Indirizzo IP corrispondente Indirizzo IP corrispondente Indirizzi IPv4 corrispondenti il nome del dominio Accetta medium media o large estesa Commenti Specificare il nome host del server utilizzando solo i caratteri supportati per gli host Gli standard industriali consigliano l utilizzo dei caratteri A Z senza distinzione di maiuscole 0 9 ed i trattini dove il primo carattere corrisponde ad una lettera e l ultimo ad un carattere alfanumerico Non utilizzare il trattino basso all interno del nome host n aggiungere un nome di dominio all host Nota la lunghezza del nome host non pu superare i 15 caratteri Creare e confermare una nuova password per il server Inserire un indirizzo IP valido per il server Inserire una subnet mask valida da utilizzare con il server Inserire una subnet mask ed un gate predefinito
8. Se si disattivano le opzioni delle query federate selezionate i rapporti visualizzati non conterranno dati degli eventi dai server configurati come figli di questo server Ulteriori informazioni Configurazione di una federazione CA User Activity Reporting Module a pagina 228 Configurazione di un server CA User Activity Reporting Module come server figlio a pagina 228 Configurazione dell intervallo di aggiornamento globale possibile definire l intervallo con cui i servizi CA User Activity Reporting Module controllano se la configurazione ha subito modifiche Il valore predefinito dopo l installazione di cinque minuti e viene espresso in secondi L impostazione di questo valore a intervalli molto lunghi pu provocare il ritardo nell applicazione delle modifiche alla configurazione 150 Guida all implementazione Configurazione dell archivio registro eventi Per configurare l intervallo di aggiornamento 1 Accedere al server CA User Activity Reporting Module e fare clic sulla scheda Amministrazione 2 Fare clic sulla scheda Servizi e selezionare il nodo del servizio Configurazione globale 3 Immettere un nuovo valore per l intervallo di aggiornamento Il valore predefinito e consigliato 300 secondi Configurazione dell archivio registro eventi L archivio registro eventi il database proprietario di base che contiene i registri eventi raccolti Le opzioni di configurazione impostate per il servizio archiv
9. m Nessun server dell ambiente CA User Activity Reporting Module dispone dell accesso a Internet Alcuni server della rete dispongono dell accesso a Internet mentre altri server non dispongono neppure della connessione a un server con accesso a Internet L unica differenza tra sottoscrizione in linea e non in linea consiste nella modalit di distribuzione dei file di aggiornamento al proxy di sottoscrizione Nella sottoscrizione in linea il proxy contatta il server di sottoscrizione CA Technologies attraverso Internet Nella sottoscrizione non in linea gli aggiornamenti vengono scaricati dal sito FTP di CA Technologies e copiati manualmente sul server CA User Activity Reporting Module configurato come proxy non in linea Il diagramma riportato di seguito descrive il processo di sottoscrizione non in linea In questo esempio l ambiente CA User Activity Reporting Module di tipo non in linea Capitolo 2 Pianificazione dell ambiente 55 Pianificazione aggiornamento sottoscrizioni NON IN Server di LINEA gestione Sito FTP CA Enterprise Log Utente connesso al server remoto servizio FTP o una Client di connessione sottoscrizione sottoscrizione non in linea CA Enterprise Internet CA Enterprise Log Manager Log Manager 56 Guida all implementazione Pianificazione aggiornamento sottoscrizioni 1 L amministratore di sistema scarica gli aggiornamenti da un sito FTP di CA Technologies su un sistema con accesso a I
10. possibile configurare un elenco proxy per gli aggiornamenti dei client a livello globale per l intero ambiente CA User Activity Reporting Module oppure a livello locale per ciascun client di sottoscrizione Se si dispone di pi proxy di sottoscrizione possibile configurare elenchi proxy per gli aggiornamenti dei contenuti Questi server ricevono gli aggiornamenti dei contenuti ad esempio query rapporti e regole di correlazione e li distribuiscono al server di gestione dove vengono archiviati ed utilizzati da CA User Activity Reporting Module possibile configurare un elenco proxy per gli aggiornamenti dei contenuti solo a livello globale Gli elenchi proxy consentono di verificare che gli aggiornamenti di sottoscrizione vengano recuperati e distribuiti nei tempi previsti Anche nel caso di ambienti CA User Activity Reporting Module di piccole dimensioni si consiglia di configurare almeno un proxy di backup per il client e gli aggiornamenti dei contenuti nel caso in cui il proxy primario non fosse disponibile Per configurare un elenco proxy 1 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Servizi 2 Fare clic su Servizio di sottoscrizione Viene visualizzata la Configurazione di servizio globale per il Servizio di sottoscrizione 194 Guida all implementazione Configurazione della sottoscrizione 3 Eseguire una delle seguenti operazioni a Per specificare un elenco proxy globale per l intero ambiente
11. 8 Fare clic su OK o Applica Utilizzo di regole di correlazione predefinite CA User Activity Reporting Module fornisce un ampio numero di regole di correlazione predefinite da utilizzare nel proprio ambiente organizzate per tipo o per requisiti normativi Ad esempio nella cartella Regole di correlazione dell interfaccia Libreria presente una cartella denominata PCI contenente le regole per vari requisiti PCI inoltre presente una cartella denominata Identit che contiene le regole generiche per l autenticazione e l autorizzazione Esistono tre tipi principali di regole che possibile includere tutte o singolarmente in ciascuna categoria Questo argomento fornisce un esempio di scelta e applicazione di una regola di ogni tipo Esempio selezione e applicazione di una regola semplice Le regole di correlazione semplici consentono di rilevare la presenza di uno stato o un occorrenza Ad esempio possibile applicare una regola che avvisi per le eventuali attivit di creazione account al di fuori del normale orario di ufficio Prima di applicare una regola necessario verificare di aver creato le destinazioni di notifica desiderate per il proprio ambiente 178 Guida all implementazione Configurazione del servizio di correlazione Per selezionare e applicare la regola Creazione account al di fuori delle ore lavorative 1 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Libreria ed espandere la cartell
12. Creazione di server CA User Activity Reporting Module mediante computer virtuali Nota per ottenere le prestazioni migliori si consiglia di installare CA User Activity Reporting Module su server virtuali per gestire solamente le attivit di raccolta Non clonare una macchina virtuale contenente un server CA User Activity Reporting Module di gestione Prima di avviare questo scenario verificare la presenza di un ambiente o installare un server CA User Activity Reporting Module per l esecuzione delle funzioni di gestione su un server dedicato o virtuale inoltre necessario disporre della versione corretta del software VMware per supportare la funzione di clonazione Il processo seguito per la creazione e la clonazione di un server CA User Activity Reporting Module virtuale per la raccolta comprende le seguenti procedure 1 Creazione di una nuova macchina virtuale 2 Aggiunta di unit disco virtuali 3 Installazione di un server CA User Activity Reporting Module sulla macchina virtuale 4 Clonare la macchina virtuale contenente il nuovo server CA User Activity Reporting Module secondo le istruzioni fornite dal fornitore Nota creare solamente un immagine clonata intera Non utilizzare clonazioni collegate con CA User Activity Reporting Module 5 Importare la macchina clonata virtuale su un server fisico di destinazione 6 Aggiornare la macchina virtuale clonata prima di collegarla alla rete 7 Configurare il server CA Us
13. Nota per ulteriori informazioni sull impostazione delle risorse consultare il sito www vmware com www vmware com Appendice E CA User Activity Reporting Module e virtualizzazione 389 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning Il server CA User Activity Reporting Module deve essere attivato per poter dare inizio all esecuzione Per attivare un server CA User Activity Reporting Module 1 Selezionare il nuovo server CA User Activity Reporting Module nel riquadro sinistro della finestra dell applicazione VMware 2 Fare clic sull opzione di avvio in Basic Tasks Attivit di base della scheda Getting Started Introduzione del riquadro destro Il server CA User Activity Reporting Module verr attivato Nota verificare che un server primario CA User Activity Reporting Module sia in esecuzione prima di attivare un server secondario CA User Activity Reporting Module Verifica dell installazione di un server virtuale CA User Activity Reporting Module Quando si attiva il server CA User Activity Reporting Module di cui stato eseguito il provisioning nella scheda della console della finestra del client VMware vSphere viene visualizzato un URL di accesso a CA User Activity Reporting Module Utilizzare l URL e le credenziali di accesso predefinito riportate di seguito per accedere a CA User Activit
14. Sintomo Durante l installazione il server CA EEM non ha importato correttamente i file di gestione dell agente comune Non possibile gestire gli agenti nell interfaccia utente CA User Activity Reporting Module senza questi file Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importazione manuale dei file di gestione dell agente Importazione dei file di gestione degli agenti comuni 1 Accedere a un prompt dei comandi sul server CA User Activity Reporting Module Accedere con le credenziali dell account caelmadmin Commutare gli utenti sull utente di root tramite il seguente comando su 128 Guida all implementazione Risoluzione di problemi dell installazione 4 Navigare fino alla directory opt CA LogManager EEM content 5 Immettere il comando ImportCALMAgentContent sh Lo script di shell importa i file di gestione dell agente comune Importazione dei file di configurazione CA User Activity Reporting Module Sintomo Durante l installazione il server CA EEM non ha importato correttamente i file di configurazione possibile avviare CA User Activity Reporting Module ma nelle aree di configurazione dei servizi non saranno presenti alcune impostazioni e valori senza i quali non sar possibile configurare gli host individuali a livello centralizzato Lo script di shell menzionato nella procedura che segu
15. eseguire qualsiasi operazione controllata da CA EEM Un OID identificatore oggetto un identificatore numerico univoco di un oggetto dati accoppiato ad un valore in un messaggio di trap SNMP Ogni OID utilizzato in un trap SNMP inviato da CA User Activity Reporting Module viene mappato su un campo CEG testuale nella MIB Ogni OID mappato a un campo CEG ha questa sintassi 1 3 6 1 4 1 791 9845 x x x dove 791 il numero aziendale di CA Technologies e 9845 l identificatore del prodotto CA User Activity Reporting Module Un origine evento l host da cui un connettore raccoglie eventi non elaborati Un origine evento pu contenere pi archivi di registro a ognuno dei quali un connettore separato ha avuto accesso Distribuire un nuovo connettore comporta di solito la configurazione dell origine evento in modo che l agente possa accedervi e leggere eventi non elaborati da uno solo dei relativi archivi di registro Gli eventi non elaborati del sistema operativo di diversi database e di varie applicazioni di protezione vengono memorizzati separatamente nell origine evento perfezionamento eventi plugin evento iTech Il perfezionamento eventi il processo in cui una stringa di un evento non elaborato viene analizzata nei campi evento che la costituiscono per poi mapparla nei campi CEG Gli utenti possono eseguire delle query per visualizzare i dati risultanti dell evento perfezionato Il perfezionamento eventi segue la raccolta e pre
16. integrazione istanza applicazione L installatore la persona che installa l applicazione software e gli agenti Durante il proesso di installazione verranno creati i nomi utente caelmadmin ed EiamAdmin e si assegner a caelmadmin la password specificata per EiamAdmin Le credenziali di caelmadmin sono necessarie per il primo accesso al sistema operativo mentre quelle di ElamAdmin servono ad accedere per la prima volta al software CA User Activity Reporting Module e per installare gli agenti L integrazione consente di trasformare gli eventi non classificati in eventi perfezionati in modo da poterli visualizzare nelle query e nei rapporti possibile implementare l integrazione con un gruppo di elementi che consentano ad un dato agente e ad un connettore di raccogliere eventi da uno o pi tipi di origini e di inviarli a CA User Activity Reporting Module Il gruppo di elementi comprende il sensore di registro e i file XMP e DM progettati per la lettura da un prodotto specifico Alcuni esempi di integrazioni predefinite comprendono quelle che consentono di elaborare gli eventi syslog e WMI possibile creare integrazioni personalizzate per abilitare l elaborazione degli eventi non classificati Una istanza applicazione uno spazio comune nel repository di CA EEM in cui si memorizzano tutti i criteri gli utenti i gruppi i contenuti e le configurazioni di autorizzazione Di solito tutti i server CA User Activity Reporting Module d
17. superare i 15 caratteri Creare e confermare una nuova password per il server Inserire un indirizzo IP valido per il server Inserire una subnet mask valida da utilizzare con il server Inserire una subnet mask ed un gate predefinito da utilizzare con il server Immettere uno o pi indirizzi IP di server DNS utilizzati nella rete elenco separato da virgole senza spazi tra le voci Se i server DNS utilizzano indirizzi IPv6 immettere questi indirizzi in quel formato Inserire il nome di dominio completo del server ad esempio mycompany com Nota per abilitare la risoluzione del nome host nell indirizzo IP necessario registrare il nome del dominio sul server DNS di rete Accettare il contratto di licenza di CA per procedere con il provisioning del server CA User Activity Reporting Module Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie deploymentOption TIMEZONE NTPLOCATION Valore medium media o large estesa fuso orario desiderato Nome host o indirizzo IP corrispondenti Impostazioni specifiche dell applicazione LOCAL_REMOTE_EEM REMOTE_EEM_LOCATION Locale per il primo server installato server di gestione Remoto per ogni server aggiuntivo Nome host o indirizzo IP Commenti Se si seleziona Media VMware indica quattro CPU con 8 GB di RAM ciascuna Se si seleziona Estesa VMware indica otto CPU con 8 GB d
18. CA User Activity Reporting Module Se lo spazio disponibile su disco su un server inferiore a 5 GB il servizio di sottoscrizione emette un evento di monitoraggio automatico e sospende il processo di download Ulteriori informazioni Architettura di sottoscrizione a pagina 52 Architettura di sottoscrizione non in linea a pagina 55 Informazioni sui moduli da scaricare a pagina 195 Architettura di sottoscrizione L ambiente CA User Activity Reporting Module in uso pu corrispondere a un sistema a server unico o includere due o pi server Definire l architettura di sottoscrizione in base al numero e ai ruoli dei server CA User Activity Reporting Module presenti nell ambiente Le architetture di sottoscrizione possibili includono Ambiente a server unico Ambiente a pi server con un proxy di sottoscrizione Ambiente a pi server con pi proxy di sottoscrizione Nota durante la definizione dell architettura di sottoscrizione stabilire se sono necessari uno o pi proxy non in linea Per ulteriori dettagli consultare il paragrafo Architettura di sottoscrizione non in linea nella sezione Ulteriori informazioni 52 Guida all implementazione Pianificazione aggiornamento sottoscrizioni Il primo server CA User Activity Reporting Module installato viene configurato come proxy di sottoscrizione predefinito ed esegue il download e l installazione degli aggiornamenti di sottoscrizione nel caso in cui nessun altro proxy sia c
19. Informazioni sul backup del server CA EEM a pagina 304 Backup dell istanza dell applicazione CA EEM a pagina 305 Ripristino di un server CA EEM per l utilizzo con CA User Activity Reporting Module a pagina 306 Backup di un server CA User Activity Reporting Module a pagina 307 Ripristino di un server CA User Activity Reporting Module da file di backup a pagina 307 Ripristinare un server CA User Activity Reporting Module dopo l aggiornamento della sottoscrizione a pagina 309 Sostituzione di un server CA User Activity Reporting Module a pagina 309 Pianificazione di un ripristino di emergenza La pianificazione di un ripristino di emergenza costituisce una parte necessaria di ogni buon piano di amministrazione di una rete La pianificazione del ripristino di emergenza CA User Activity Reporting Module relativamente semplice e diretta essenziale per un ripristino di emergenza efficace per CA User Activity Reporting Module effettuare backup regolari necessario eseguire backup delle seguenti informazioni m Istanza dell applicazione CA User Activity Reporting Module sul server di gestione m Cartella opt CA LogManager data di ogni server CA User Activity Reporting Module m File dei certificati nella cartella opt CA SharedComponents iTechnology di ogni server CA User Activity Reporting Module Appendice D Ripristino di emergenza 303 Informazioni sul backup del server CA EEM Se essenziale mantenere livelli
20. Name and Location Deployment Configuratior El Host Cluster Resource Pool Properties Ready to Complete 340 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Se si seleziona Media VMware indica quattro CPU con 8 GB di RAM ciascuna Se si seleziona Estesa VMware indica otto CPU con 8 GB di RAM ciascuna Nota si consiglia di utilizzare una configurazione di distribuzione media per effettuare il provisioning di un server di raccolta e una configurazione di distribuzione estesa per effettuare il provisioning di un server di gestione o di rapporto Si aprira la pagina Host Cluster Questa pagina viene visualizzata solo se non stato selezionato il pool di risorse prima di avviare l importazione del modello OVF La pagina Host Cluster visualizza il centro dati selezionato e i cluster disponibili necessario specificare la posizione del cluster nel centro dati in cui si desidera eseguire il provisioning del server CA User Activity Reporting Module 15 Selezionare un cluster nel centro dati quindi fare clic su Avanti Deploy O F Template l D x Host Cluster On which host or cluster do you want to run the deployed template Source OVF Template Details End User License Agreement Name and Location Deployment Confiquration Host Cluster Properties Ready to Complete E3 ELMQA SP2 vApp Datacenter A poni a 10 10
21. ampia considerare di dedicare un server CA User Activity Reporting Module a questo ruolo Un server punto di ripristino svolge queste funzioni Viene utilizzato per investigare i log dei vecchi eventi Riceve database ripristinati da un server di archiviazione remoto che conserva tutti i database cold possibile utilizzare l utilit restore ca elm sh per spostare i database al punto di ripristino se stata configurata l autenticazione non interattiva dal server di archiviazione al punto di ripristino Esegue la ricatalogazione del catalogo degli archivi per aggiungere i database ripristinati alle registrazioni Conserva le registrazioni ripristinate per periodi di tempo diversi a seconda del metodo di ripristino Il vantaggio di disporre di un punto di ripristino dedicato che possibile escludere questo server dalla federazione per garantire che nessun rapporto federato contenga vecchi dati ripristinati Tutti i rapporti generati sul server punto di ripristino riflettono solo i dati degli eventi dai database ripristinati Dedicare un server ad alcuni ruoli non significa che non possibile svolgere funzioni associate ad altri ruoli Si consideri un ambiente con server di raccolta dedicati e un server di rapporto Se si vuole pianificare un avviso per controllare una condizione di un server di raccolta perch importante in termini di tempo ricevere una notifica il prima possibile si dispone di questa flessibilit 22
22. driveorder sda sdb Modificarla in bootloader location mbr driveorder cciss c0d0 Questa modifica specifica l avvio solo dal disco locale Individuare le seguenti righe da modificare clearpart all initlabel part boot fstype ext3 size 100 part pv 4 size 0 grow Modificare queste righe come di seguito part boot fstype ext3 size 100 ondisk cciss c0d0 part pv 4 size 0 grow ondisk cciss c0d0 Questa modifica alle righe di definizione delle partizioni consente di garantire che le partizioni vengano create per nome sul disco cciss cOdo Utilizzando ondisk vengono sostituite le variabili Sdisk1 e Sdisk2 esistenti In caso fosse necessario rimuovere la clausola IF When per il numero di unit disco mantenendo solo il primo insieme di comandi del disco righe 57 65 Salvare la nuova immagine ISO 7 uscire dal prompt Anaconda per tornare ai prompt di installazione del sistema operativo 8 Continuare l installazione utilizzando le procedure indicate Configurazioni server CA User Activity Reporting Module iniziali L installazione del primo server CA User Activity Reporting Module crea un nome applicazione il cui valore predefinito CAELM L installazione registra questo nome con il server CA EEM incorporato Quando installazioni successive utilizzano lo stesso nome dell istanza dell applicazione il server di gestione CA User Activity Reporting Module gestisce tutte le configurazioni con lo s
23. estendere la possibilit di ricevere risultati delle query dai server federati Una query federata da ognuno di questi server a coppie restituisce eventi da se stessa e dagli altri tre server della federazione Nota per eseguire rapporti consolidati su eventi di automonitoraggio includere il server di gestione nella federazione 58 Guida all implementazione Pianificazione aggiornamento sottoscrizioni In questo scenario si consiglia di configurare il punto di ripristino come proxy di sottoscrizione in linea poich si tratta del server meno attivo Quindi configurare ogni client per puntare a questo proxy in linea in modo che il proxy predefinito possa agire come backup nel caso il proxy in linea dovesse essere occupato o non disponibile Server di sottoscrizione CA Server di Server di Server di Server punto raccolta figlio rapporto padre gestione di ripristino i x N Client di Proxy di Proxy di sottoscrizione sottoscrizione sottoscrizione NON predefinito in linea Client di Client di sottoscrizione sottoscrizione Ulteriori informazioni Configurazione di una federazione CA User Activity Reporting Module a pagina 228 Capitolo 2 Pianificazione dell ambiente 59 Pianificazione agente Pianificazione agente Gli agenti usano connettori per raccogliere gli eventi e trasportarli al server CA User Activity Reporting Module E possibile configurare un connettore sull agente predefinito installa
24. l autenticazione non interattiva e l archiviazione automatica sono state configurate da un server di rapporto in un server di archiviazione remoto Se si ha intenzione di generare diversi rapporti e avvisi complessi su un server con elevata attivit a richiesta considerare di dedicare un server ai rapporti Server di archiviazione remoto Il server di archiviazione remoto diverso o corrispondente al server CA User Activity Reporting Module svolge la seguente funzione Riceve database compressi e archiviati automaticamente dai server di rapporto a intervalli configurati prima che tali database possano essere eliminati in quanto obsoleti oppure per mancanza di spazio su disco L archiviazione automatica evita all utente di spostare manualmente i database Archivia localmente i database cold Inoltre possibile copiare o spostare questi database in una posizione decentralizzata per l archiviazione a lungo termine database cold tipicamente vengono conservati per il numero di anni stabilito dalle agenzie di governative server di archiviazione remoti non fanno mai parte di una federazione CA User Activity Reporting Module Tuttavia essi meritano considerazione durante la pianificazione dell architettura Capitolo 2 Pianificazione dell ambiente 21 Pianificazione server Server punto di ripristino server di rapporto agiscono di solito come server di punto di ripristino per i database di cui disponevano Se la rete
25. la necessit di eseguire un backup manuale e la procedura di spostamento Per eseguire un archiviazione automatica l utente dovr configurare un autenticazione priva di password dal server di origine a quello di destinazione Glossario 397 archiviazione di registro archivio di catalogo archivio registro eventi archivio registro eventi archivio utente L archiviazione di registro il processo che si verifica quando il database hot raggiunge le sue dimensioni massime pur avendo eseguito la compressione di riga e dopo aver cambiato stato da hot a warm Gli amministratori devono eseguire manualmente un backup dei database warm prima che sia raggiunta la soglia di eliminazione oltre a dover eseguire l utility LMArchive per registrare il nome dei backup Archivia query consentir quindi di visionare questa informazione Consultare il catalogo L archivio registro eventi un componente del server CA User Activity Reporting Module in cui gli eventi in arrivo si archiviano nei database Occorre creare manualmente un backup dei database dell archivio registro eventi per poi spostarli su una soluzione remota di archiviazione dei registri prima dell ora stabilita per l eliminazione possibile ripristinare i database archiviati in un archivio registro eventi L archivio registro eventi il risultato del processo di archiviazione in cui l utente esegue il backup di un database warm ed invia una notifica a CA User Activity Rep
26. m Lasciare le unit SAN abilitate Avviare l installazione del sistema operativo Uscire dalla procedura per modificare la sequenza di operazioni definite nel file di kickstart Riprendere il processo di installazione e completarlo come descritto 94 Guida all implementazione Considerazioni sull installazione di sistemi con unit di SAN Installazione con unit SAN disabilitate CA User Activity Reporting Module non attualmente supportato tramite configurazioni hardware fisse fornite da Dell IBM e HP Il seguente esempio presuppone che l hardware sia costituito da HP Blade Servers con una scheda QLogic Fibre Channel per la connessione a una SAN per l archiviazione dei dati HP Blade Servers accompagnato dal disco rigido SATA configurato in RAID 1 con mirroring Se si utilizza il file di avvio kickstart disattivare le unit SAN prima di iniziare l installazione Avviare il processo di installazione con il DVD OS5 e completare l installazione come documentato Nota se l installazione non viene avviata con l unit SAN disabilitata CA User Activity Reporting Module viene installato sulla SAN In questo caso viene visualizzata una schermata con il messaggio codice operativo non valido dopo il riavvio di CA User Activity Reporting Module utilizzare la seguente sequenza di procedure per installare un applicazione CA User Activity Reporting Module su un sistema con unit SAN in cui viene disattivata l unit SAN prima di install
27. v Raccolta registri gt Servizi Gestione utenti e accessi Explorer raccolta registri y CA Adapters gt CA Audit SAPI Collector gt CA Audit SAPI Router gt 9 iTechnology Event Plugin gt 9 Explorer agente gt 9 Libreria di perfezionamento eventi gt 9 Profili b Query di catalogo archiviazioni 3 Espandere il nodo del plug in eventi iTechnology 4 Selezionare il server CA User Activity Reporting Module corrente per visualizzare le impostazioni locali 5 Assicurarsi che il file di mapping di AccessControl sia il primo dell elenco dei file di mapping selezionati per garantire il funzionamento pi efficiente possibile 6 Verificare che il valore Livello registro sia impostato su NOTSET per raccogliere tutti i livelli degli eventi 7 Fare clic su Salva 274 Guida all implementazione Configurazione di un iRecorder CA Access Control per l invio di eventi a CA User Activity Reporting Module Download e installazione di un iRecorder di CA Access Control possibile raccogliere eventi di CA Access Control per l invio a un server CA User Activity Reporting Module anche se CA Audit non installato Quando si raccolgono eventi in questo modo si sta utilizzando un iRecorder in modalita autonoma E possibile ottenere un iRecorder dal sito web del supporto di CA Technologies Nota gli iRecorder sono supportati solo con CA Access Control r8 e versioni successive Per scaricare e installare un iRecorder
28. 4 Navigare fino alla directory opt CA LogManager EEM content 5 Immettere il comando ImportCALMCEG sh Lo script di shell importa i file della grammatica evento comune Importazione dei file della regola di correlazione Sintomo Durante l installazione il server CA EEM non ha eseguito correttamente l importazione dei file della regola di correlazione Le regole di correlazione consentono di identificare i modelli di eventi che richiedono un analisi possibile importare i gruppi oppure la regola di correlazione Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importare i file di correlazione manualmente Capitolo 3 Installazione di CA User Activity Reporting Module 127 Risoluzione di problemi dell installazione Per importare i file della regola di correlazione 1 Accedere a un prompt dei comandi sul server CA User Activity Reporting Module Accedere con le credenziali dell account caelmadmin Commutare gli utenti sull utente di root tramite il seguente comando su Accedere alla directory opt CA LogManager EEM content Eseguire uno dei seguenti comandi ImportCALMCorrelationGroups sh Lo script della shell importa i gruppi della regola di correlazione ImportCALMCorrelationRules sh Lo script della shell importa i file della regola di correlazione Importazione dei file di gestione degli agenti comuni
29. A 12 0 5006 0 12 0 5003 0 12 0 5003 0 12 0 5003 0 ma gt z 7 Fare clic su Salva Modifica di criteri CA Audit esistenti per inviare eventi a CA User Activity Reporting Module Utilizzare questa procedura per abilitare un client CA Audit per inviare eventi ad entrambi i database di raccolta di CA User Activity Reporting Module e di CA Audit Aggiungendo una nuova destinazione alle azioni Route o Collector in una regola esistente possibile inviare eventi raccolti ad entrambi i sistemi In alternativa inoltre possibile modificare criteri o regole specifiche per inviare eventi solo al server CA User Activity Reporting Module Appendice B Considerazioni per gli utenti CA Access Control 267 Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module CA User Activity Reporting Module raccoglie eventi da client CA Audit utilizzando i listener CA Audit SAPI Router e CA Audit SAPI Collector CA User Activity Reporting Module pu inoltre raccogliere gli eventi usando il plug in iTech direttamente se gli iRecorder sono configurati per l invio diretto al server CA User Activity Reporting Module Gli eventi raccolti vengono archiviati nell archivio di registro eventi CA User Activity Reporting Module solo dopo aver inviato il criterio ai client e una volta che questo diventato attivo Importante necessario configurare i listener CA User Activity Reporting Module per la ricez
30. Activity Reporting Module in grado di eseguire la raccolta della maggior parte degli eventi generati Nota per ulteriori informazioni su VMware HA consultare il sito www vmware com www vmware com Prima di abilitare la disponibilita elevata di CA User Activity Reporting Module verificare che le attivita seguenti siano state eseguite nell ambiente virtuale in uso 1 Installazione di minimo due server ESX 4 0 2 Installazione di VMware vCenter 4 0 per la gestione dei server ESX 3 Configurazione di un file system di rete NFS come archivio dati VMware HA 4 Creazione di un server CA User Activity Reporting Module utilizzando un computer virtuale o una periferica virtuale sui server ESX 4 0 5 Montaggio del server CA User Activity Reporting Module sulla partizione NFS Appendice E CA User Activity Reporting Module e virtualizzazione 393 Disponibilita elevata di CA User Activity Reporting Module Abilitazione della disponibilita elevata di CA User Activity Reporting Module Per abilitare la disponibilita elevata di CA User Activity Reporting Module eseguire la procedura riportata di seguito Procedere come descritto di seguito 1 Fare clic su Start Programmi VMware vSphere Client sul computer su cui installato il client VMware vSphere Viene visualizzata la finestra di dialogo del client VMware vSphere Nel campo relativo all indirizzo IP nome host immettere l indirizzo IP o il nome host del server VMwa
31. Activity Reporting Module a pagina 125 Importazione dei file di mapping dei dati CA User Activity Reporting Module a pagina 126 Importazione dei file della grammatica evento comune CEG a pagina 127 Importazione dei file di gestione degli agenti comuni a pagina 128 Installazione di CA User Activity Reporting Module Utilizzare questa procedura per installare un server CA User Activity Reporting Module Per installare il software CA User Activity Reporting Module 1 Avviare il server con il DVD di installazione del sistema operativo L installazione del sistema operativo si avvia automaticamente 2 Rispondere ai prompt usando le informazioni raccolte nel foglio di calcolo del server CA User Activity Reporting Module Rifiutando il Contratto di licenza si interrompe l installazione e il server viene arrestato 3 Rispondere al prompt al riavvio rimuovendo prima il supporto e poi selezionando Riavvia 4 Inserire il disco dell applicazione CA User Activity Reporting Module quando richiesto e premere Invio 5 Rispondere ai prompt usando le informazioni raccolte nel foglio di lavoro Il processo di installazione prosegue Quando viene visualizzato il messaggio Installazione di CA User Activity Reporting Module riuscita l installazione completa Nota quando si installa un secondo o successivo server CA User Activity Reporting Module possibile notare un messaggio di errore nel registro di installazione che indica c
32. Activity Reporting Module e uno scenario di utilizzo consultare la Guida di panoramica Per informazioni sull utilizzo e sulla manutenzione del prodotto consultare la Guida all amministrazione Per assistenza sull utilizzo di una pagina di CA User Activity Reporting Module consultare la Guida in linea Capitolo 1 Introduzione 15 Capitolo 2 Pianificazione dell ambiente Questa sezione contiene i seguenti argomenti Pianificazione server a pagina 18 Pianificazione della raccolta registri a pagina 26 Pianificazione di una federazione a pagina 31 Pianificazione degli utenti e degli accessi a pagina 39 Pianificazione aggiornamento sottoscrizioni a pagina 46 Pianificazione agente a pagina 60 Capitolo 2 Pianificazione dell ambiente 17 Pianificazione server Pianificazione server Il primo passaggio della pianificazione dell ambiente consiste nel determinare quanti server CA User Activity Reporting Module sono necessari e quale ruolo verr svolto da ogni server ruoli includono Gestione Archivia contenuti e configurazioni definiti dall utente Inoltre esegue l autenticazione degli utenti e autorizza l accesso alle funzioni Raccolta Riceve i log eventi dagli agenti ottimizza gli eventi Associazione Riceve i log eventi dagli agenti o dai server di raccolta filtra gli eventi e crea incidenti in base alle regole di correlazione applicate Rapporti Elabora le query dei degli eventi raccolti sia query che
33. CA User Activity Reporting Module fare clic sulla scheda Amministrazione oppure a Per specificare un elenco proxy locale per un client di sottoscrizione specifico fare clic sul nome del server selezionare la scheda Amministrazione e passare alla configurazione locale 4 Aggiungere i server proxy desiderati all elenco proxy Importante In un ambiente di sottoscrizione misto con proxy di sottoscrizione in linea e non in linea non includere i proxy non in linea nell elenco dei proxy per i client di sottoscrizione in linea In caso contrario il client di sottoscrizione in linea ricever automaticamente tutti gli aggiornamenti installati manualmente sul server proxy non in linea anzich i moduli selezionati 5 Fare clic su Salva Ulteriori informazioni Configurazione della sottoscrizione a pagina 190 Informazioni sui moduli da scaricare Tipo modulo Contenuto Gli aggiornamenti vengono inclusi nei moduli scaricati tramite il server di sottoscrizione CA Technologies Per accedere ai moduli disponibili utilizzare l URL del feed RSS fornito da CA Technologies oppure in caso di sottoscrizione non in linea utilizzare il sito FTP di CA Technologies CA Technologies determina il contenuto di ciascun modulo La seguente tabella descrive ogni modulo la relativa funzione e la frequenza con cui CA rende disponibili gli aggiornamenti Descrizione Frequenza Aggiorna Elenco query Elenco rapporti e Regole di Ogni mese cor
34. CA User Activity Reporting Module opt CA SharedComponents iTechnology S99igateway stop Spostarsi alla directory in cui l agente di CA User Activity Reporting Module in esecuzione interrompere l agente e verificare che i servizi non siano in esecuzione cd opt CA ELMAgent bin caelmagent s ps ef grep opt CA Passare alla directory directory Montare il nuovo file system su data1 copiare i contenuti della directory data nella directory data1 e verificare che le due directory siano uguali mount t ext3 dev VolGroup01 LogVol00 datal cp pR data datal diff qr data datal Smontare il punto di montaggio dei dati esistente e quindi smontare il punto di montaggio di data1 umount data umount datal Eliminare la directory data e rinominare la directory data1 in data rm rf data mv datal data Capitolo 3 Installazione di CA User Activity Reporting Module 99 Considerazioni sull installazione di sistemi con unit di SAN nome della periferica nessuno nessuno LABEL boot tmpfs devpts sysfs l indirizzo nessuno 8 Modificare la riga in etc fstab che fa riferimento alla directory data e puntarla al nuovo volume logico Quindi modificare dev VolGroup00 LogVol02 in dev VolGroup01 LogVolO0 dati modificati vengono indicati in grassetto nel seguente rendering di un file fstab campione punto di montaggio fs type Opzioni dump freq pass num dev VolGroup00 LogVol00 ext
35. CAELMCert cer e CAELM_ AgentCert cer Tutti i servizi CA User Activity Reporting Module utilizzano CAELMCert cer per la comunicazione con il server di gestione Tutti gli agenti utilizzano CAELM_AgentCert cer per la comunicazione con i server di raccolta Un client di sottoscrizione un server CA User Activity Reporting Module in grado di ottenere aggiornamenti di contenuto da un altro server CA User Activity Reporting Module denominato server proxy di sottoscrizione client di sottoscrizione sondano regolarmente i server proxy di sottoscrizione configurati e prelevano i nuovi aggiornamenti quando sono disponibili Dopo aver prelevato gli aggiornamenti il client installa i componenti scaricati Compatibile con FIPS 140 2 Compatibile con FIPS 140 2 designa un prodotto che pu utilizzare facoltativamente librerie di crittografia conformi a FIPS ed algoritmi per crittografare e decrittografare dati sensibili CA User Activity Reporting Module una prodotto di raccolta di log compatibili con FIPS infatti possibile scegliere l esecuzione in modalit FIPS o Non FIPS componenti di visualizzazione configurazione globale configurazione salvata Conforme a FIPS 140 2 I componenti di visualizzazione sono opzioni utili per visualizzare i dati di rapporto fra cui una tabella un diagramma a linee a barre a colonne e a torta oppure un visualizzatore eventi La configurazione globale una serie di impostazioni che si applica a
36. Esempio di federazione gerarchica Nella mappa della federazione mostrata nel diagramma che segue la rete utilizza il server CA User Activity Reporting Module di gestione come server di rapporto e diversi server di raccolta in una configurazione simile ad un grafico organizzativo Il server di gestione dei rapporti agisce come server CA User Activity Reporting Module genitore e fornisce autenticazione utenti autorizzazioni e funzioni di gestione principali oltre a funzioni di rapporto della gestione delle query rapporti e avvisi server di raccolta in questo esempio sono i figli del server di gestione dei rapporti 1 possibile predisporre livelli aggiuntivi nella gerarchia Tuttavia non pu essere presente pi di un server di gestione livelli aggiuntivi saranno composti da server di rapporto genitori dei server di raccolta Come esempio di questo tipo di federazione il server di gestione raccolta 1 pu essere posizionato negli uffici della sede con server di raccolta posizionati in uffici regionali o delle filiali rappresentati dal server di raccolta 1 e 2 Ogni ramo pu ricevere le informazioni dei rapporti sui propri dati ma non i dati dell altro ramo Ad esempio dal server di raccolta 1 possibile avere query e rapporti solo sui dati nel server di raccolta 1 Dal server di gestione raccolta 1 tuttavia possibile avere query e rapporti sui dati nel server di gestione raccolta 1 nel server di raccolta 1 e nel server di racco
37. Fare clic su Aggiungi per avviare l Aggiunta hardware guidato e aggiungere un secondo disco rigido Evidenziare il disco rigido nell elenco delle periferiche e fare clic su Avanti Verr visualizzata la finestra di dialogo Selezionare un disco Selezionare l opzione Crea nuovo disco virtuale e fare clic su Avanti Specificare le dimensioni del nuovo disco e selezionare l opzione Specificare un datastore per impostarne la posizione CA User Activity Reporting Module rileva questa periferica aggiuntiva durante l installazione e l assegna all archiviazione dei dati Si consiglia di massimizzare la quantit di archiviazione da rendere disponibile per CA User Activity Reporting Module Nota l impostazione Dimensione blocco in VMware ESX Server 1 MB ci limita lo spazio massimo su disco che possibile creare a 256 GB Se necessario pi spazio fino a 512 GB aumentare l impostazione Dimensione blocco a 2 MB utilizzando questo comando Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Per rendere effettive le nuove impostazioni necessario riavviare ESX Server Ulteriori informazioni su questo e altri comandi sono disponibili nella documentazione di VMware ESX Server fare clic su Avanti per visualizzare la finestra di dialogo Specificare opzioni avanzate Accettare i valori predefiniti per le Opzioni avanzate e fare clic su Avanti Comparira la finestra di dialogo Pronto per il completamento 10 Fare clic su Fine pe
38. Fare clic sulla sottoscheda Servizi 3 Selezionare la voce Archivio registro eventi Le opzioni predefinite forniscono una buona configurazione iniziale per una rete di medie dimensioni con velocit moderata Informazioni aggiuntive su ogni campo sono disponibili nella Guida in linea Nota le tabelle Figlio della federazione e Archiviazione automatica appaiono solo quando vengono visualizzate le opzioni locali di un singolo server CA User Activity Reporting Module 176 Guida all implementazione Configurazione del servizio di correlazione Configurazione del servizio di correlazione Il servizio di correlazione consente di controllare come e quando vengono applicate le regole di correlazione nel proprio ambiente Durante la configurazione del servizio di correlazione si consiglia di A prescindere dall effettiva intenzione di distribuire un server dedicato di correlazione I nomi e le posizioni dei server di raccolta che forniscono gli eventi per la correlazione tipi e i nomi specifici delle regole di correlazione che si desidera applicare nel proprio ambiente Le destinazioni di notifica create per il proprio ambiente Applicazione di regole di correlazione e notifiche di incidente Perch le regole di correlazione abbiano effetto nel proprio ambiente necessario applicarle Quando si applicano le regole di correlazione inoltre possibile associare destinazioni di notifica ad ogni regola Per applicare regole di
39. GB Se necessario pi spazio fino a 512 GB aumentare l impostazione Dimensione blocco a 2 MB utilizzando questo comando Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Per rendere effettive le nuove impostazioni necessario riavviare ESX Server Ulteriori informazioni su questo e altri comandi sono disponibili nella documentazione di VMware ESX Server fare clic su Avanti per visualizzare la finestra di dialogo Specificare opzioni avanzate 9 Accettare valori predefiniti per le Opzioni avanzate e fare clic su Avanti Comparir la finestra di dialogo Pronto per il completamento 10 Fare clic su Fine per archiviare le modifiche a questa macchina virtuale Questa azione restituisce la finestra di dialogo di VMware Infrastructure Client 320 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante computer virtuali Installare CA User Activity Reporting Module sulla macchina virtuale Utilizzare questa procedura per installare CA User Activity Reporting Module su una macchina virtuale creata in precedenza E possibile configurare un server CA User Activity Reporting Module virtuale o dedicato dopo l installazione affinch svolga uno di diversi ruoli funzionali come gestione raccolta o rapporti Se si installa un server di gestione CA User Activity Reporting Module non utilizzarlo per ricevere i registri eventi o per eseguire query e rapporti Installare server virtuali CA User Activit
40. Guida all implementazione Pianificazione server Esempio Architetture di rete L architettura piu semplice CA User Activity Reporting Module un sistema a server singolo in cui un server CA User Activity Reporting Module svolge tutti i ruoli server di gestione raccolta e reporting CA User Activity Reporting Module si occupa della gestione della configurazione dei contenuti raccolta integrazione degli eventi e correlazione oltre a query e rapporti Nota un server remoto diverso da CA User Activity Reporting Module archivia i database dei log eventi archiviati Questa configurazione adatta per l elaborazione di un basso volume di eventi e pochi rapporti pianificati come nel sistema di prova CA Enterprise Log Manager Server di gestione raccolta Server di rapporto archiviazione remoto Capitolo 2 Pianificazione dell ambiente 23 Pianificazione server La successiva architettura pi semplice un sistema a pi server in cui il primo CA User Activity Reporting Module installato svolge la maggior parte dei ruoli server di gestione e reporting CA User Activity Reporting Module si occupa della gestione della configurazione dei contenuti oltre a query rapporti e correlazione degli eventi m server di raccolta CA User Activity Reporting Module gestisce la raccolta e l integrazione log Nota un server remoto diverso da CA User Activity Reporting Module impostato per archiviare i database dei lo
41. Importazione dei file di mapping dei dati Importazione dei file di parsing dei messaggi m Importazione dei file della grammatica evento comune CEG m Importazione dei file di gestione degli agenti comuni 122 Guida all implementazione Risoluzione di problemi dell installazione Risoluzione di errori di configurazione dell interfaccia di rete Dopo l installazione se non possibile accedere all interfaccia utente CA User Activity Reporting Module potrebbe verificarsi un errore di configurazione dell interfaccia di rete Esistono due opzioni per risolvere l errore Rimuovere il cavo di rete fisico e inserirlo in una porta diversa Riconfigurare gli adapter dell interfaccia di rete logica da una riga di comando Per riconfigurare le porte dell adattatore di rete da una riga di comando 1 Accedereal dispositivo software come utente caelmadmin ed effettuare l accesso a un prompt dei comandi 2 Passare all account dell utente principale utilizzando il seguente comando su 3 Immettere la password dell utente principale per confermare l accesso al sistema 4 Immettere il seguente comando system config network Interfaccia utente per configurare le visualizzazioni degli adattatori di rete 5 Impostare le configurazioni delle porte come desiderato e uscire 6 Riavviare i servizi di rete per applicare le modifiche con il seguente comando service network restart Verifica dell installazione del pacchetto RPM
42. Module Eseguire il server CAELM in s o no La risposta al prompt determina se modalit FIPS il server CA User Activity Reporting Module verr avviato in modalit FIPS Nota se si aggiunge un server a una distribuzione CA User Activity Reporting Module esistente anche il server di gestione CA User Activity Reporting Module o il server remoto CA EEM dovranno essere in modalit FIPS Se la modalit FIPS non viene abilitata il nuovo server non potr essere registrato e sar necessario reinstallarlo Nota l installazione consente di verificare e modificare i dettagli relativi al server CA EEM prima che venga stabilita la connessione Se il programma di installazione non in grado di connettersi al server di gestione specificato e si decide di continuare l installazione possibile registrare il server CA User Activity Reporting Module manualmente con la funzionalit CA EEM incorporata Se ci accade necessario importare manualmente anche i file di gestione del contenuto CEG e dell agente Fare riferimento alla sezione sulla risoluzione dei problemi legati all installazione per ulteriori informazioni e istruzioni 78 Guida all implementazione Installazione si un server CA User Activity Reporting Module Ulteriori informazioni Registrare il server CA User Activity Reporting Module con il server CA EEM a pagina 124 Acquisizione di certificati dal server CA EEM a pagina 125 Importazione dei rapporti CA User
43. Module REM ovftool dm thin acceptAllEulas name example managementserver deploymentOption medium prop ROOT_PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example management server prop DEFAULT GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Server di raccolta CA User Activity Reporting Module REM 1 ovftool dm thin acceptAllEulas name example collectionserverl deploymentOption medium prop ROOT_PASSWORD example passwordl prop LOCAL REMOTE EEM Remote prop REMOTE EEM LOCATION example managementserver prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 10 10 prop SUBNET MASK 10 0 10 10 prop HOSTNAME example collection serverl prop DEFAULT_GATEWAY 198 168 10 30 prop DNS SERVERS 198 168 20 20 198 168 20 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Server di raccolta CA User Activit
44. Module e virtualizzazione 311 Creazione di server CA User Activity Reporting Module mediante computer virtuali Due server CA User Activity Reporting Module in esecuzione come guest in VMware ESX Server v3 5 raggiungono una capacit paragonabile a quella di un unico server CA User Activity Reporting Module dedicato Utilizzare la seguente tabella per agevolare la pianificazione della rete virtuale Ruolo server CA User Numero di processori Velocit della CPU Memoria totale in GB Activity Reporting Module minimo in GHz requisito minimo per CPU Gestione 8 3 8 Rapporti 8 3 8 Raccolta 4 3 8 Nota il numero massimo di eventi per secondo 1K In configurazioni di distribuzione medie 1K mentre in configurazioni di distribuzione estese 5 KB Creazione di server CA User Activity Reporting Module mediante computer virtuali possibile creare server CA User Activity Reporting Module virtuali per il proprio ambiente di raccolta log eventi utilizzando i seguenti scenari Aggiunta di server virtuali a un ambiente CA User Activity Reporting Module esistente creazione di un ambiente misto Creazione di un ambiente di raccolta log virtuale Duplicazione e distribuzione di server CA User Activity Reporting Module virtuali per una rapida scalabilit Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Ulteriori informazioni Aggiunta di server virtuali all ambiente a pagina 333 Crea
45. Module gestisce l invio di eventi e le informazioni sullo stato tra il connettore e l agente caelmwatchdog Nessuno Il processo di controllo di CA User Activity Reporting Module che esegue il monitoraggio di altri processi per garantire la continuit delle operazioni Capitolo 3 Installazione di CA User Activity Reporting Module 107 Configurazioni server CA User Activity Reporting Module iniziali Process Name Porta predefinita caelm agentmanager caelm alerting caelm correlation caelm eemsessionsponsor caelm incidentservice caelm logdepot 17001 caelm queryservice caelm reporter 108 Guida all implementazione Descrizione Questo processo di CA User Activity Reporting Module gestisce le attivit di gestione dell agente quali lo stato e la sottoscrizione Questo processo di CA User Activity Reporting Module gestisce i messaggi di avviso inviati mediante posta elettronica IT PAM e trap SNMP Questo processo di CA User Activity Reporting Module gestisce le regole di correlazione mediante la comunicazione con il servizio di correlazione in caso di attivazione delle regole di correlazione Il processo principale di CA EEM che gestisce tutte le comunicazioni verso CA EEM per gli sponsor locali in esecuzione in safetynet sul server CA User Activity Reporting Module Questo processo pu essere eseguito in safetynet Questo processo di CA User Activity Reporting Module gestisce la generazione degli incid
46. ODBC necessario un account amministratore di Windows Per installare il client ODBC 1 Individuare la directory del client ODBC nella directory CA ELM ODBC del DVD o dell immagine di installazione Fare doppio clic sull applicazione setup exe Rispondere al contratto di licenza e fare clic su Avanti Verra visualizzata la pagina Scegli percorso di destinazione Inserire un percorso di destinazione o accettare il percorso predefinito e fare clic su Avanti Verra visualizzata la finestra di dialogo Seleziona cartella programmi Selezionare una cartella programmi o accettare la selezione predefinita e fare clic su Avanti Verr visualizzata la finestra Avvia copia dei file Capitolo 3 Installazione di CA User Activity Reporting Module 113 Installazione del client ODBC 6 Fare clic su Avanti per iniziare la copia dei file La finestra di dialogo Stato dell installazione mostra lo stato di avanzamento dell installazione Una volta copiati i file verr visualizzato il riquadro InstallShield di completamento della procedura 7 Fare clic su Fine per completare l installazione Creazione di un origine dati ODBC su sistemi Windows Utilizzare questa procedura per creare l origine dati ODBC necessaria sui sistemi Windows possibile creare l origine dati come DSN utente o DSN di sistema Creazione dell origine dati 1 Accedereal Pannello di controllo di Windows e aprire gli Strumenti di amministrazione 2 Fare do
47. Selezionare Agenti o connettori Comparir il riquadro della ricerca degli agenti o connettori Capitolo 6 Configurazione della raccolta eventi 221 Visualizzazione e controllo dello stato di agenti o connettori 5i Facoltativo Selezionare i criteri di ricerca degli aggiornamenti degli agenti o dei connettori Se non vengono immessi termini di ricerca compariranno tutti gli aggiornamenti disponibili Per restringere la propria ricerca possibile selezionare uno o pi criteri fra i seguenti Gruppo agenti restituisce solo gli agenti ed i connettori assegnati al gruppo selezionato a Piattaforma restituisce solo gli agenti ed i connettori in esecuzione sul sistema operativo selezionato Modello nome agente restituisce solo gli agenti e i connettori contenenti il modello specificato a Solo connettori Integrazione restituisce solo i connettori utilizzando l integrazione selezionata Fare clic su Mostra stato Verr visualizzato un grafico dei dettagli che visualizza lo stato degli agenti o dei connettori corrispondenti alla ricerca dell utente Ad esempio Totale 10 In esecuzione 8 In sospeso 1 Terminati 1 Non risponde 0 Facoltativo Fare clic sulla visualizzazione dello stato per visualizzare i dettagli nel riquadro Stato in fondo al grafico Nota possibile fare clic sul pulsante Su richiesta di un agente o un connettore per aggiornare la visualizzazione dello stato Facoltativo Se si stanno v
48. Specifica il metodo di trasporto che deve essere utilizzato tra l utilit di importazione e CA User Activity Reporting Module Il metodo di trasporto predefinito sapi chunk nnnn Consente di specificare il numero di rapporti di eventi da selezionare dalla tabella SEOSDATA in ogni passaggio Il valore predefinito 5000 eventi righe Questo parametro facoltativo preview Esegue l output dei risultati delle selezioni dei record eventi in STDOUT ma non importa realmente i dati Questo parametro facoltativo port Consente di specificare il numero di porta da utilizzare se stata impostata l opzione di trasporto per SAPI ed stato configurato il router SAPI di CA User Activity Reporting Module per l utilizzo di un valore di porta fisso senza utilizzare il portmapper verbose Specifica che l utilit invia messaggi di elaborazione dettagliati a STDOUT Questo parametro facoltativo delay Specifica il numero di secondi di pausa tra l elaborazione di ogni evento Questo parametro facoltativo report Consente di visualizzare un rapporto di intervallo di tempo ENTRYID e i conteggi di log nella tabella SEOSDATA Questo parametro facoltativo Appendice A Considerazioni per gli utenti CA Audit 257 Importazione di dati da una tabella SEOSDATA retry Consente di specificare il numero di secondi durante i quali vengono effettuati nuovi tentativi ogni volta che si verifica un errore durante l i
49. Stringa di connessione o URL connessione Nome di classe La stringa di connessione JDBC URL presenta il seguente formato jdbc ca elm CA ELM host_name 0DBC JDBCport ServerDataSource Default Il nome della classe del driver JDBC com ca jdbc openaccess OpenAccessDriver Considerazioni sull URL JDBC jdbc ca Quando si utilizza il client JDBC per accedere ai dati evento archiviati in CA User Activity Reporting Module sono necessari sia il classpath che l URL JDBC Il Classpath JDBC indica il percorso dei file JAR del driver L URL JDBC definisce i parametri utilizzati dalle classi dei file JAR durante il caricamento Segue un completo URL JDBC campione elm 127 0 0 1 17002 encrypted 1 ServerDataSource Default CustomProperties querytimeout 600 que ryfederated true queryfetchrows 1000 offsetmins 0 suppressNoncriticalErrors false Di seguito sono descritti i componenti dell URL jdbc ca elm Definisce la stringa protocol subprotocol che indica il driver JDBC fornito con CA User Activity Reporting Module P Address Port Indica l indirizzo IP che rappresenta il server CA User Activity Reporting Module contenente i dati ai quali si desidera accedere Il numero di porta la porta da utilizzare per le comunicazioni e deve corrispondere all impostazione configurata nel riquadro Servizio ODBC di CA User Activity Reporting Module Se le porte non trovano corrispondenza si verificher un errore nel tentativo di connessio
50. Visualizzare gli eventi raccolti 220 Guida all implementazione Visualizzazione e controllo dello stato di agenti o connettori Visualizzazione e controllo dello stato di agenti o connettori possibile monitorare lo stato degli agenti o dei connettori nell ambiente riavviare agenti e avviare terminare e riavviare i connettori secondo le esigenze possibile visualizzare agenti o connettori da livelli diversi della gerarchia della cartella Explorer agente Ogni livello restringer di conseguenza la visualizzazione disponibile Dalla cartella Explorer agente possibile visualizzare tutti gli agenti o i connettori assegnati al server CA User Activity Reporting Module corrente Dalla cartella di uno specifico gruppo di agenti possibile visualizzare gli eventi ed i connettori assegnati a tale gruppo agenti Da un singolo agente possibile visualizzare solo l agente in questione ed i connettori ad esso assegnati La modalit FIPS FIPS o non FIPS per un agente pu essere impostata da tutti e tre i livelli Per visualizzare lo stato degli agenti o dei connettori 1 Fare clic sulla scheda Amministrazione e quindi sulla sottoscheda Raccolta registri Verr visualizzato l elenco cartella di Raccolta registri 2 Selezionare la cartella Explorer agente Nel riquadro dei dettagli vengono visualizzati i pulsanti di gestione agente 3 Fare clic su Stato e comando Viene visualizzato il riquadro dello stato 4
51. a CA User Activity Reporting Module possibile integrare CA User Activity Reporting Module con l implementazione CA Audit esistente nei seguenti modi Riconfigurare un iRecorder che non si trova sullo stesso host del client CA Audit per inviare eventi a CA User Activity Reporting Module m Modificare un criterio CA Audit esistente per inviare eventi sia a CA Audit che a CA User Activity Reporting Module Configurazione di iRecorder per inviare eventi a CA User Activity Reporting Module CA User Activity Reporting Module riceve eventi da iRecorder attraverso il listener del plug in eventi iTech necessario configurare il listener prima di modificare la configurazione di iRecorder Se non viene eseguita questa operazione i dati degli eventi potrebbero andare perduti Dopo avere configurato il Listener utilizzare questa procedura per configurare iRecorder per l invio di eventi al server CA User Activity Reporting Module Gli iRecorder installati sullo stesso computer del client CA Audit inviano eventi direttamente al client Per queste macchine necessario utilizzare gli adapter del raccoglitore o del router SAPI Importante Un iRecorder autonomo pu inviare i propri eventi solo ad un unica destinazione Se si riconfigura un iRecorder utilizzando la procedura che segue gli eventi vengono archiviati so o nell archivio registro eventi CA User Activity Reporting Module Se si devono conservare eventi sia nell archivio registro eventi
52. alcuni degli eventi da un origine che genera grandi quantit di informazioni si pu sempre scegliere di eliminare gli eventi indesiderati a livello di agente o di gruppo di agenti per risparmiare tempo per l elaborazione sul server CA User Activity Reporting Module 68 Guida all implementazione Capitolo 3 Installazione di CA User Activity Reporting Module Questa sezione contiene i seguenti argomenti Nozioni fondamentali sull ambiente CA User Activity Reporting Module a pagina 69 Creazione dei DVD di installazione a pagina 71 Installazione si un server CA User Activity Reporting Module a pagina 72 Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS a pagina 85 Aggiunta di nuovi server CA User Activity Reporting Module in una federazione in modalita FIPS esistente a pagina 92 Considerazioni sull installazione di sistemi con unit di SAN a pagina 94 Configurazioni server CA User Activity Reporting Module iniziali a pagina 102 Installazione del client ODBC a pagina 111 Installazione del client JDBC a pagina 117 Risoluzione di problemi dell installazione a pagina 121 Nozioni fondamentali sull ambiente CA User Activity Reporting Module CA User Activity Reporting Module realizzato per essere operativo poco tempo dopo l inizio dell installazione ed essere subito in grado di raccogliere informazioni sui registri e generare rapporti necessario insta
53. auditir 10 6 2009 6 55 52 PM 10 6 2009 6 55 51 PM a Operazioni riuscite Q Operazioni riuscite Microsoft Windows security auditir Microsoft Windows security auditir w Eventi 4776 Microsoft Windows security auditing Per abilitare la raccolta diretta degli eventi dalle origini evento di Windows 1 2 4 Y Default Agent Group rob my elm 2 e Linux_localsyslog_Connector e Syslog_Connector Selezionare la scheda Amministrazione e la sottoscheda Raccolta registri Espandere Gestione agenti da Gestione raccolta log ed espandere il gruppo agenti contenente l agente predefinito di CA User Activity Reporting Module Selezionare un agente predefinito ovvero un agente con il nome del server CA User Activity Reporting Module possibile eseguire la distribuzione di connettori diversi sull agente predefinito Fare clic su Crea nuovo connettore 22 se ab Visualizza stato di e Ager Crea nuovo connettore Dettagli stato agente S Selezionare gli agenti con stato In esecuzione da riavviare Viene aperta la creazione guidata nuovo connettore con il passaggio Dettagli connettore selezionato Capitolo 6 Configurazione della raccolta eventi 217 Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor 5 Selezionare un integrazione che utilizza il sensore log WinRM dall elenco a discesa Integrazione Ad esempio selezionare WinRM Creazione connettore G Immettere i dettagli
54. ca com su per verificare se sono disponibili versioni e service pack nuovi per Gestione log Capitolo 5 Configurazione dei servizi 197 Configurazione della sottoscrizione Per selezionare i moduli da scaricare 1 2 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Servizi Fare clic su Servizio di sottoscrizione Viene visualizzata la Configurazione di servizio globale per il Servizio di sottoscrizione Eseguire una delle seguenti operazioni a Per selezionare i moduli da scaricare a livello globale per l intero ambiente CA User Activity Reporting Module fare clic sulla scheda Amministrazione oppure a Per selezionare i moduli da scaricare a livello locale per un server specifico fare clic sul nome del server selezionare la scheda Amministrazione e passare alla configurazione locale in Moduli selezionati per il download Verificare che l indirizzo RSS visualizzato nel campo URL del feed RSS sia corretto oppure per configurare un indirizzo RSS personalizzato per un server specifico passare alla configurazione locale e immettere l URL del feed RSS Fare clic su Sfoglia Viene visualizzata la finestra di dialogo Moduli disponibili per il download Selezionare i moduli da scaricare Nota per ricevere i nuovi aggiornamenti da CA non appena disponibili selezionare i moduli con aggiornamento mensile e periodico e impostare la pianificazione di sottoscrizione per l aggiornamento automatico con cadenza
55. certificati digitali Importazione dei rapporti CA User Activity Reporting Module Sintomo Durante l installazione il server CA EEM non ha importato correttamente il contenuto del rapporto dal server CA EEM necessario importare il contenuto del rapporto per visualizzare i dati degli eventi dopo che vengono archiviati nell archivio del registro eventi Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importazione manuale del contenuto dei rapporti Capitolo 3 Installazione di CA User Activity Reporting Module 125 Risoluzione di problemi dell installazione Per importare il contenuto dei rapporti 1 Accedere ad un prompt dei comandi su un server CA User Activity Reporting Module Accedere con le credenziali dell account caelmadmin Passare all account dell utente principale con il seguente comando su Navigare fino alla directory opt CA LogManager EEM content Immettere il comando ImportCALMContent sh Lo script di shell scarica il contenuto dei rapporti dal server CA EEM Importazione dei file di mapping dei dati CA User Activity Reporting Module Sintomo Durante l installazione il server CA EEM non ha importato correttamente i file del mapping dei dati DM necessario disporre dei file DM per mappare i dati degli eventi in ingresso nell archivio del registro eventi Lo script di shell menzionato nel
56. che nel database di CA Audit Collector modificare l azione di una regola su un criterio esistente o creare un nuovo criterio per un client CA Audit 246 Guida all implementazione Invio di eventi CA Audit a CA User Activity Reporting Module Per configurare iRecorder per l invio di eventi a CA User Activity Reporting Module 1 Accederealserver che ospita iRecorder come utente con privilegi di amministrazione 2 Navigare fino alla directory del sistema operativo a UNIX o Linux opt CA SharedComponents iTechnology a Windows Program Files CA SharedComponents iTechnology 3 Terminare il daemon o servizio iGateway con il seguente comando m UNIX o Linux S99igateway stop a Windows net stop igateway 4 Modificare il file iControl conf 5 Specificare il seguente valore RouteEvent lt RouteEvent gt true lt RouteEvent gt Questa voce indica ad iGateway di inviare i suoi eventi inclusi tutti gli eventi iRecorder all host indicato nella coppia della scheda RouteHost 6 Specificare il seguente valore RouteHost lt RouteHost gt nomehost_CA_ELM lt RouteHost gt Questa voce indica ad iGateway di inviare i suoi propri eventi al server CA User Activity Reporting Module usando il suo nome DNS 7 Terminare il daemon o servizio iGateway con il seguente comando a UNIX o Linux S99igateway start Windows net start igateway Questa azione obbliga iRecorder a utilizzare nuove impostazioni e avvia il flusso di eventi da iRecorder al s
57. com fa ELMQA Agents Datacenter Properties Ready to Complete ELMQA Persistent Lab LC ELMQA Persistent Lab MC fa ELMQA SP2 vApp Datacenter Help lt Back next gt Cancel 4 Appendice E CA User Activity Reporting Module e virtualizzazione 363 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina di configurazione della distribuzione La pagina della configurazione di distribuzione consente di specificare la modalita di configurazione del serverCA User Activity Reporting Module di cui si desidera effettuare il provisioning 14 Dal menu a discesa Configurazione selezionare Medium Media o Large Estesa quindi fare clic su Avanti Deploy O F Template Deployment Configuration Select a deployment configuration Source OVE Template Details End User License Agreement Name and Location Deployment Configuratior El Host Cluster Resource Pool Properties Ready to Complete 364 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Se si seleziona Media VMware indica quattro CPU con 8 GB di RAM ciascuna Se si seleziona Estesa VMware indica otto CPU con 8 GB di RAM ciascuna Nota si consiglia di utilizzare una configurazione di distribuzione media per effettuare il provisioning di un server di raccolta e una configurazione di d
58. comandi sul server CA Audit Data Tools Passare alla seguente directory Solaris opt CA SharedComponents iTechnology Windows Program Files CA SharedComponents iTechnology Inserire il seguente comando Per Solaris LMSeosImport sh dsn eAudit_DSN user sa password sa target lt nome o IP_host_Log Manager gt minid 1000 maxid 4000 preview Per Windows LMSeosImport exe dsn eAudit DSN user sa password sa target lt nome o IP_host_Log Manager gt minid 1000 maxid 4000 preview Importazione di eventi da un database Windows Collector possibile utilizzare questa procedura per importare dati degli eventi da un database Collector che risiede su un server Windows Data Tools Per importare eventi da una tabella SEOSDATA in un server Windows 1 2 Individuare il nome del server su cui si trova la tabella SEOSDATA Assicurarsi di disporre di credenziali di accesso al server con almeno accesso in lettura alla tabella SEOSDATA Accedere a un prompt dei comandi sul server CA Audit Data Tools Andare alla directory Program Files CA Shared Components iTechnology Avviare l utilit di importazione utilizzando la sintassi del comando LMSeosImport exe dsn lt nomedsn gt user lt UID gt password lt password gt target lt nomehostdestinazione gt lt flag opzionali gt Importazione di eventi da un database Solaris Collector possibile utilizzare questa procedura per importare dati degli
59. configurazione della federazione Pi la rete larga pi questa mappa sar utile durante le attivit della configurazione attuale possibile utilizzare qualsiasi grafico commerciale o programma di disegno o abbozzare la mappa a mano Maggiori sono i dettagli forniti nella mappa pi sar veloce la configurazione Creazione di una mappa della federazione 1 Avviare la mappa con due server CA User Activity Reporting Module di base di gestione e di raccolta e fornire i dettagli di ognuno 2 Decidere se sono necessari altri server di raccolta e se rappresentano il livello pi alto di una gerarchia o unit della combinazione 32 Guida all implementazione Pianificazione di una federazione Decidere quale tipo di federazione si adatta meglio alle proprie esigenze gerarchico o a coppie Identificare le opportunit di gerarchie rami o interconnessioni in base alle esigenze aziendali relative a rapporti conformit e produzione di eventi Ad esempio se l azienda dispone di uffici in tre continenti possibile decidere di creare tre generazioni gerarchiche inoltre possibile decidere di disporre a coppie le gerarchie ad un livello elevato in modo che dirigenti senior e gestione della sicurezza possano produrre rapporti che coprono l intera rete necessario come minimo federare i server CA User Activity Reporting Module di inserimento e query dell ambiente di base Decidere quanti server CA User Activity Reporting Mod
60. consente agli amministratori di disabilitare globalmente l aggiornamento automatico Frequenza di aggiornamento automatico Specifica in minuti l intervallo di tempo tra gli aggiornamenti della visualizzazione del rapporto Questa impostazione dipende dalla selezione di Consenti aggiornamento automatico Minimo 1 Massimo 60 Abilita aggiornamento automatico Imposta l aggiornamento automatico in tutte le sessioni Per impostazione predefinita l aggiornamento automatico non abilitato Per visualizzare gli avvisi necessario effettuare l autenticazione Impedisce ai revisori o ai prodotti di terze parti di visualizzare i feed RSS di avviso Questa funzione attivata per impostazione predefinita Rapporto predefinito Consente di specificare il rapporto predefinito Abilita avvio del rapporto predefinito Visualizza il rapporto predefinito facendo clic sulla sottoscheda Rapporti Questa funzione attivata per impostazione predefinita Capitolo 5 Configurazione dei servizi 147 Modificare le configurazioni globali 4 Li Modificare una delle seguenti impostazioni relative a rapporti e tag delle query Nascondi tag di rapporto Impedisce la visualizzazione dei tag specificati negli elenchi di tag Nascondendo i tag di rapporto sar pi semplice visualizzare i rapporti disponibili Nascondi tag delle query Consente di nascondere i tag selezionati tag nascosti non verranno visualizzati nell elenco principale
61. copiare l utilit 1 2 Accedere a un prompt dei comandi sul server Solaris Data Tools Inserire il DVD ROM di installazione dell applicazione CA User Activity Reporting Module Andare alla directory CA ELM Solaris_sparc Copiare l utilit LMSeosImport nella directory iTechnology di CA Audit Data Tools opt CA SharedComponents iTechnology L utilit pronta per l utilizzo dopo averla copiata nella directory designata e dopo avere impostato le variabili d ambiente necessarie Non necessario eseguire un installazione separata Copia dell utilit di importazione in un server Windows Data Tools Prima di importare i dati dalla tabella SEOSDATA necessario copiare l utilit LMSeosImport dal DVD ROM di installazione dell applicazione CA User Activity Reporting Module al server degli strumenti dati di Windows Nota l utilit LMSeosImport richiede la presenza delle librerie di collegamento dinamico etsapi e etbase Tali file fanno parte dell installazione di base del server degli strumenti dati Prima di provare ad utilizzare l utilit LMSeosImport assicurarsi che la directory Program Files CA eTrust Audit bin sia inclusa nell istruzione PATH del sistema Per copiare l utilit 1 Accedere a un prompt dei comandi sul server degli strumenti dati di Windows Inserire il DVD ROM di installazione dell applicazione CA User Activity Reporting Module Navigare alla directory CA ELM Windows Copiare l utilit LMSeos
62. correlazione In un sistema di due o pi server considerare l utilizzo di un server di correlazione dedicato Un server di correlazione svolge queste funzioni Supporta la configurazione e l applicazione di regole e notifiche di correlazione Accetta i log evento in arrivo dai server di raccolta Filtra gli eventi in arrivo e crea incidenti in base alle condizioni della regola di correlazione Archivia gli incidenti nel database di incidenti e i relativi eventi componente nel database di eventi incidente 20 Guida all implementazione Pianificazione server Importante Quando si destinano server separati alla correlazione necessario selezionare ogni server di raccolta di cui si desidera correlare gli eventi durante la configurazione del servizio di correlazione Server di rapporto In un sistema a server unico o doppio il server di gestione svolge il ruolo di server di rapporto In un sistema con diversi server considerare di dedicare uno o pi server ai rapporti Un server di rapporto svolge queste funzioni Riceve nuovi database di eventi ottimizzati dai server di raccolta in quanto sono state configurate l autenticazione non interattiva e l archiviazione automatica Elabora prompt query e rapporti a richiesta Elabora avvisi e rapporti pianificati Supporta procedure guidate per la creazione di query e rapporti personalizzati Sposta i vecchi database in un server di archiviazione remoto quando
63. cui aggiornare i dati nel rapporto Nota impostando il filtro globale in modo troppo limitato o specifico si potrebbe impedire la visualizzazione dei dati in alcuni rapporti Ulteriori informazioni sui filtri globali e sul loro utilizzo sono disponibili nella Guida in linea Capitolo 5 Configurazione dei servizi 149 Utilizzo di impostazioni e filtri globali Selezione dell utilizzo di query federate possibile specificare se si desidera eseguire query su dati federati Se si ha intenzione di utilizzare pi di un server CA User Activity Reporting Module in una rete federata possibile selezionare la casella di controllo Usa query federate Questa opzione permette di raccogliere dati degli eventi al fine della creazione di rapporti da tutti i server CA User Activity Reporting Module federati in che agiscono come figli di questo server CA User Activity Reporting Module inoltre possibile scegliere di disattivare le query federate per una query specifica se si desidera osservare i dati solo dal server CA User Activity Reporting Module corrente Per impostare l utilizzo delle query federate 1 Accedere al server CA User Activity Reporting Module 2 Fare clic sul pulsante Mostra Modifica filtri globali Il pulsante si trova alla destra del nome del server CA User Activity Reporting Module corrente e appena sopra alle schede principali 3 Fare clic sulla scheda Impostazioni 4 Specificare se utilizzare le query federate
64. da utilizzare con il server Immettere uno o pi indirizzi IP di server DNS utilizzati nella rete elenco separato da virgole senza spazi tra le voci Se i server DNS utilizzano indirizzi IPv6 immettere questi indirizzi in quel formato Inserire il nome di dominio completo del server ad esempio mycompany com Nota per abilitare la risoluzione del nome host nell indirizzo IP necessario registrare il nome del dominio sul server DNS di rete Accettare il contratto di licenza di CA per procedere con il provisioning del server CA User Activity Reporting Module Se si seleziona Media VMware indica quattro CPU con 8 GB di RAM ciascuna Se si seleziona Estesa VMware indica otto CPU con 8 GB di RAM ciascuna Appendice E CA User Activity Reporting Module e virtualizzazione 349 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie TIMEZONE NTPLOCATION Valore fuso orario desiderato Nome host o indirizzo IP corrispondenti Impostazioni specifiche dell applicazione LOCAL_REMOTE_EEM REMOTE_EEM_LOCATION 350 Guida all implementazione Locale per il primo server installato server di gestione Remoto per ogni server aggiuntivo Nome host o indirizzo IP Commenti Selezionare il fuso orario del server Immettere il nome host o l indirizzo IP valido del server NTP da cui il server CA User Activity Reporting Module riceve le informazioni sul
65. dal server selezionato e da tutti i suoi peer Una federazione gerarchica di server CA User Activity Reporting Module una topologia che definisce una relazione gerarchica fra server Nella sua forma pi semplice il server 2 figlio del server 1 ma il server 1 non figlio del server 2 Cio la relazione a senso unico Una federazione gerarchica pu sfruttare pi livelli di relazioni padre figlio mentre un singolo server padre pu avere diversi server figlio Una query federata produrr risultati dai server selezionati e dai relativi figli file di analisi del messaggio XMP Un file di analisi del messaggio XMP un file XML associato ad un tipo specifico di origine evento che applica le regole di analisi Le regole di analisi suddividono i dati rilevanti in un evento non elaborato in coppie nome valore che si potranno inviare al file di mapping dei dati per eseguire ulteriori elaborazioni Questo tipo di file si utilizza in tutte le integrazioni e nei connettori che si basano su di esse Nel caso degli adapter CA i file XMP si possono applicare anche al server CA User Activity Reporting Module file di mapping dei dati DM filtraggio degli eventi I file di mapping dei dati DM sono file XML che utilizzano la Grammatica evento comune CEG di CA Technologies per trasformare gli eventi da un formato di origine ad uno conforme alla CEG che sia possibile memorizzare nell Archivio registro eventi a scopo di analisi
66. dell utente principale per l utilizzo degli strumenti di amministrazione Ci significa che si dovr conoscere la password sia di caelmadmin che di root per avere accesso al sistema come utente principale Con CA User Activity Reporting Module non viene installato nessun altro software specifico relativo alla sicurezza Per mantenere prestazioni elevate non installare altre applicazioni sul server CA User Activity Reporting Module Assegnazioni delle porte predefinite Porta 53 Il server CA User Activity Reporting Module configurato per impostazione predefinita per l ascolto sulla porta 5250 e sulle porte 80 e 443 utilizzando il protocollo HTTPS Le procedure e i daemon CA User Activity Reporting Module non vengono eseguiti nell account root quindi non possono aprire porte inferiori alla porta 1024 Di conseguenza l installazione crea automaticamente un reindirizzamento attraverso iptables alla porta 5250 per le richieste dell interfaccia utente sulle porte 80 e 443 Il daemon syslog del sistema operativo locale del server CA User Activity Reporting Module non configurato poich CA User Activity Reporting Module utilizza i propri eventi di automonitoraggio per tracciare lo stato del sistema possibile visualizzare altri eventi locali e rapporti sulle azioni intraprese sul server CA User Activity Reporting Module locale utilizzando eventi di automonitoraggio Di seguito si trova un elenco di porte utilizzate dall ambiente
67. di CA Audit come i client CA Audit i recorder iRecorder e SAPI nonch le origini evento che inviano gli eventi con iTechnology Impostare le opzioni di configurazione dell adapter CA Technologies prima di modificare le configurazioni dei criteri di CA Audit o iRecorder Ci assicura che i processi dei listener siano operativi prima dell arrivo degli eventi Ci impedisce la mappatura errata dei dati degli eventi Appendice A Considerazioni per gli utenti CA Audit 241 Configurazione degli adattatori CA Technologies Se si inviano eventi attraverso iRecorder a CA Audit o se si utilizza un client CA Audit con iRecorder si utilizzeranno gli adapter SAPI CA User Activity Reporting Module per ricevere eventi Per inviare eventi a CA User Activity Reporting Module si dovranno modificare i criteri CA Audit per gli eventi CA Access Control possibile aggiungere un azione Collector o Route ad una regola esistente Sesicrea un azione Collector su una regola in un criterio CA Audit esistente configurare l adapter CA Technologies Collector SAPI per ricevere gli eventi Se si crea un azione Route su una regola in un criterio CA Audit esistente configurare l adapter CA Technologies Route SAPI per ricevere gli eventi Fare riferimento alla documentazione di origine SAPI per istruzioni sulla riconfigurazione per inviare eventi direttamente a CA User Activity Reporting Module Se si ha intenzione di installare un iRecorder autonomo o di uti
68. i registri eventi archiviati in un server di rapporti quotidianamente o pi spesso a seconda del volume di eventi La federazione e l utilizzo di query federate tra i due server garantisce la ricezione di rapporti precisi dai registri eventi su entrambi i server Il server di rapporto svolge diverse funzioni m Elabora le query e i rapporti Pianifica e gestisce gli avvisi Sposta ifile archiviati in un server di archiviazione remoto Fornisce la raccolta di failover di eventi raccolti dal connettore per il server di raccolta Uno script di backup automatizzato sposta i dati dal server di rapporto a un server remoto archivio cold Se si decide di ripristinare i dati dall archivio cold generalmente si esegue questa operazione sul server di rapporto Se lo spazio sul server di rapporto limitato possibile anche ripristinare il server di raccolta Poich il server di raccolta non archivia grandi quantit di dati ed federato i risultati del rapporto sono gli stessi Inoltre il server di rapporto pu funzionare come ricevitore di failover per gli eventi raccolti da un connettore su un agente remoto se il server di raccolta smette di ricevere eventi per qualche motivo possibile configurare failover a livello di agente L elaborazione dei failover invia eventi a uno o pi server CA User Activity Reporting Module alternati La raccolta di eventi di failover non disponibile per fonti di eventi preesistenti come raccol
69. in safetynet Processo di CA Directory eseguito su un server su cui installato CA EEM Processo di CA Directory eseguito su un server su cui installato CA EEM Processo principale CA User Activity Reporting Module deve essere in esecuzione per raccogliere e archiviare eventi Processo di CA User Activity Reporting Module che comunica tra l agente e il server CA User Activity Reporting Module per l invio di eventi Processo di CA User Activity Reporting Module eseguito per gestire l elaborazione lato server delle richieste ODBC e JDBC per l accesso all archivio del log eventi Framework del processo CA User Activity Reporting Module eseguito per garantire la continuit delle operazioni Processo di CA Directory eseguito su un server su cui installato CA EEM Capitolo 3 Installazione di CA User Activity Reporting Module 109 Configurazioni server CA User Activity Reporting Module iniziali Protezione avanzata del sistema operativo il dispositivo software CA User Activity Reporting Module contiene una copia semplice e avanzata del sistema operativo Red Hat Linux Le seguenti tecniche di protezione avanzata sono valide nei seguenti casi Accesso a SSH in quanto l utente root disabilitato utilizzare la sequenza di tasti Ctrl Alt Canc per riavviare il server dalla console senza la registrazione disabilitata reindirizzamenti vengono applicati in tabelle ip per le seguenti porte Porte TCP 80 e 443 r
70. integrazione definisce i file di analisi dei messaggi XMP e di mapping dei dati DM Poich un unico connettore syslog pu ricevere eventi da molte fonti di eventi si deve considerare se instradare gli eventi syslog in base al loro tipo o fonte La dimensione e la complessit dell ambiente determina come bilanciare la ricezione degli eventi syslog Molti tipi syslog 1 connettore Se un unico connettore deve elaborare eventi da diverse fonti syslog e il volume di eventi elevato il connettore deve analizzare tutte le integrazioni applicate file XMP fino a quando rileva una corrispondenza per un evento Questo pu provocare un rallentamento delle prestazioni poich la quantit di dati da elaborare molto pi elevata Tuttavia se il volume di eventi non troppo elevato un unico connettore sull agente predefinito potrebbe essere sufficiente per raccogliere tutti gli eventi richiesti per l archiviazione Capitolo 2 Pianificazione dell ambiente 61 Pianificazione agente 1 tipo syslog 1 connettore Se si configura una serie di connettori singoli per elaborare eventi da un unico tipo syslog possibile snellire il carico di elaborazione distribuendolo su diversi connettori Tuttavia anche avere troppi connettori in esecuzione su un unico agente pu ridurre le prestazioni poich ognuno corrisponde a un istanza separata che richiede un elaborazione individuale Alcuni tipi syslog 1 connettore Se l ambiente ha un vo
71. l applicazione virtuale viene visualizzata nel centro dati selezionato nel riquadro sinistro 18 Facoltativo Se si desidera modificare le informazioni immesse eseguire le seguenti operazioni a Nella finestra relativa alla distribuzione del modello OVF fare clic ripetutamente su Indietro fino a raggiungere la pagina da modificare b Apportare le modifiche necessarie c Quindi fare clic ripetutamente su Avanti fino a raggiungere la pagina Ready to Complete Pronto per il completamento 344 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Ulteriori informazioni Foglio di lavoro per l installazione dell applicazione virtuale a pagina 330 Configurazione delle impostazioni di risorsa Dopo aver importato il modello OVF necessario definire manualmente le impostazioni della risorsa per migliorare le prestazioni del server CA User Activity Reporting Module di cui stato eseguito il provisioning Nota assicurarsi di impostare l unit CD DVD per dispositivo client Procedere come descritto di seguito 1 Fare clic con il pulsante destro del mouse sulla nuova applicazione virtuale di CA User Activity Reporting Module nel riquadro sinistro quindi sull opzione di modifica impostazioni Viene visualizzata la finestra lt CA User Activity Reporting Module Virtual Appliance name gt Virtual Machine Properties Propriet del computer virtuale lt CA User Ac
72. l applicazione virtuale deve essere eseguita in modalit FIPS o non FIPS Se si sceglie di utilizzare un server CA EEM locale possibile selezionare qualsiasi modalit Se si sceglie di utilizzare un server CA EEM remoto necessario selezionare la modalit utilizzata dal server remoto CA EEM Aggiunta di server virtuali all ambiente Se si dispone gi di un implementazione di CA User Activity Reporting Module possibile aggiungere server di raccolta CA User Activity Reporting Module per gestire un volume di eventi in aumento nella rete Questo scenario d per scontato che sia gi stato installato un server di gestione CA User Activity Reporting Module e uno o pi server CA User Activity Reporting Module per la raccolta e i rapporti Nota per ottenere le migliori prestazioni installare CA User Activity Reporting Module su server virtuali per gestire solo attivit di raccolta e rapporti Appendice E CA User Activity Reporting Module e virtualizzazione 333 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali La procedura per l aggiunta di server di raccolta virtuali all ambiente include le seguenti procedure 1 Download del pacchetto dell applicazione virtuale CA User Activity Reporting Module 2 Installazione di un server CA User Activity Reporting Module con applicazione virtuale 3 Configurazione del server CA User Activity Reporting Module come descritto nella sezione sull ins
73. l utilizzo come proxy di sottoscrizione dell ambiente oppure possibile selezionare qualsiasi altro server CA User Activity Reporting Module come proxy Il proxy di sottoscrizione esegue il download e l installazione automatica degli aggiornamenti CA User Activity Reporting Module e i client di sottoscrizione contattano il proxy per il download degli aggiornamenti possibile configurare i client per il download degli stessi aggiornamenti scaricati dal proxy o un sottoinsieme di tale gruppo Proxy di sottoscrizione predefinito CA Enterprise Log Manager in linea Tutti i client di sottoscrizione sono serviti dal proxy di sottoscrizione predefinito Capitolo 2 Pianificazione dell ambiente 53 Pianificazione aggiornamento sottoscrizioni In un ambiente di grandi dimensioni con pi server possibile configurare pi server come proxy di sottoscrizione ciascuno dei quali fornisce gli aggiornamenti per un gruppo limitato di client di sottoscrizione In tal modo si ottiene un funzionamento efficace del servizio di sottoscrizione equilibrando il traffico verso i proxy di sottoscrizione Se si dispone di pi proxy inoltre possibile configurare elenchi di proxy di sottoscrizione Gli elenchi proxy consentono di verificare che tutti i server CA User Activity Reporting Module ricevano correttamente gli aggiornamenti nei tempi previsti Se un proxy specificato non disponibile al momento della richiesta di aggiornamenti CA User Act
74. le impostazioni della risorsa 3 Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning La tabella seguente descrive i parametri utilizzati per eseguire la distribuzione di CA User Activity Reporting Module mediante lo strumento OVF necessario specificare tali parametri come argomenti della riga di comando Appendice E CA User Activity Reporting Module e virtualizzazione 381 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie Impostazioni specifiche dell host HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME acceptAllEulas 382 Guida all implementazione Valore Nome host del server CA Enterprise Log Manager Ad esempio CA ELM1 nuova password principale Indirizzo IPv4 corrispondente Indirizzo IP corrispondente Indirizzo IP corrispondente Indirizzi IPv4 corrispondenti il nome del dominio Accetta Commenti Specificare il nome host del server utilizzando solo i caratteri supportati per gli host Gli standard industriali consigliano l utilizzo dei caratteri A Z senza distinzione di maiuscole 0 9 ed i trattini dove il primo carattere corrisponde ad una lettera e l ultimo ad un carattere alfanumerico Non utilizzare il trattino basso all interno del nome host n aggiungere un nome di dominio all host Nota la lunghezza del nome host non pu
75. momento in cui la configurazione relativa al numero massimo di giorni di archiviazione viene superata A quel punto i database vengono eliminati Il vantaggio di questa fase di archiviazione automatica quello di proteggere i database archiviati dalla perdita di dati dovuta al fatto di non essere stati trasferiti a una posizione per l archiviazione a lungo termine prima dell eliminazione automatica Nota prima di configurare un server remoto perch riceva i database archiviati automaticamente occorre impostare una struttura di directory su questo server di destinazione uguale a quella sul server CA User Activity Reporting Module di origine e assegnare le varie propriet e le autorizzazioni per l autenticazione Per ulteriori informazioni consultare Configurazione dell autenticazione non interattiva nella Guida all implementazione Assicurarsi di seguire le istruzioni descritte in Impostazione della propriet di un file chiave su un host remoto Capitolo 5 Configurazione dei servizi 167 Configurazione dell archivio registro eventi In questo scenario di esempio immaginare di essere un amministratore CA User Activity Reporting Module del centro dati di New York che dispone di una rete di server CA User Activity Reporting Module ognuno con un ruolo dedicato pi un server remoto con un elevata capacit di archiviazione Ecco i nomi dei server utilizzati per l archiviazione automatica Server di raccolta ELM NY Server di rap
76. necessaria per la produzione a livello aziendale Generalmente si procede all installazione di due server CA User Activity Reporting Module a quattro processori invece che di ciascuno dei server della classe applicazioni normalmente installato quando si utilizzano hardware certificati I server della classe applicazioni dispongono di un minimo di otto processori Il processo di creazione di un ambiente virtuale mediante applicazione virtuale include le seguenti procedure 1 Download del pacchetto dell applicazione virtuale 2 Installazione di un server virtuale CA User Activity Reporting Module per funzionalit di gestione 3 Installazione di due o pi server applicazioni per la raccolta e le operazioni di rapporto 4 Configurazione dei server applicazioni virtuali come descritto nella sezione relativa all installazione del server CA User Activity Reporting Module Importante Se si desidera eseguire il provisioning di un server CA User Activity Reporting Module mediante applicazione virtuale il nome dell istanza applicazione del server CA User Activity Reporting Module primario deve essere CAELM Appendice E CA User Activity Reporting Module e virtualizzazione 357 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Download del pacchetto dell applicazione virtuale L immagine di distribuzione per l applicazione virtuale CA User Activity Reporting Module disponibile sul sito del Suppor
77. non in linea ii 192 Configurazione di un client di sottoscrizione ii 193 Configurazione degli elenchi proxy 194 Informazioni sui moduli da scaricare seetecesseeeecesseeeecesseeeeceeseeeeceeseaeecseseeaeceeseeeeeseseeaeeeseeaaees 195 Definizione della pianificazione di sottoscrizione i 202 Capitolo 6 Configurazione della raccolta eventi 203 installazione di agentii ratori ea area ae ai iene nina 203 Utilizzodell Explorer ag nte sinare teeseen tesnenie ali ant 204 Configurazione dell agente predefinito iii 205 Revisione delle integrazioni e dei listener SYySlog 206 Creazione di un connettore syslog per l agente predefinit0 ii 207 Verificare che CA User Activity Reporting Module stia ricevendo gli eventi syslog 208 Esempio Abilitazione della raccolta diretta tramite ODBCLOgSensor 208 Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor i 215 Visualizzazione e controllo dello stato di agenti o connettori i 221 8 Guida all implementazione Capitolo 7 Creazione di federazioni 223 Query e rapporti in un ambiente federato ii 223 Federazioni gerarchiche a ai alla aaa aa 224 Esempio di federazione gerarchica iii 225 Federazioni a COppi ia a a aaa 226 Esempi
78. oH Jf na Vv 370 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 5 Selezionare l opzione Memory Memoria nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Virtual Machine Version 7 Settings Summary CPU O MHz Memory 0 MB Shares 163840 Disk Normal Advanced CPU HT Sharing Any Resource Allocation Reservation Oi MB M Unlimited Limit based on parent resource pool or current host 6 Fare clic su OK Nota per ulteriori informazioni sull impostazione delle risorse consultare il sito www vmware com www vmware com Appendice E CA User Activity Reporting Module e virtualizzazione 371 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning Il server CA User Activity Reporting Module deve essere attivato per poter dare inizio all esecuzione Per attivare un server CA User Activity Reporting Module 1 Selezionare il nuovo server CA User Activity Reporting Module nel riquadro sinistro della finestra dell applicazione VMware 2 Fare clic sull opzione di avvio in Basic Tasks Attivi
79. opt CA LogManager install Reporting Module File di dati collegamenti a data in caso di unita opt CA LogManager data diverse File registro opt CA SharedComponents iTechnology In circostanze normali non necessario accedere all utilita ssh sul server CA User Activity Reporting Module eccetto per spostare file di archivi per il backup e l archiviazione a lungo termine e per aggiungere unit disco Immagine personalizzata del sistema operativo Il processo di installazione personalizza il sistema operativo creando un immagine minima e limitando l accesso al minor numero di canali possibile servizi non essenziali non vengono installati Il server CA User Activity Reporting Module in ascolto su un numero ristretto di porte e chiude automaticamente le porte non utilizzate Durante l installazione del sistema operativo si crea una password per l account dell utente principale Al termine dell installazione di CA User Activity Reporting Module l utente principale limitato in modo da non permettere login successivi L installazione di CA User Activity Reporting Module crea un utente predefinito caelmadmin che dispone solo di possibilit di accesso e di nessun altra autorizzazione 104 Guida all implementazione Configurazioni server CA User Activity Reporting Module iniziali Per accesso a livello principale al server CA User Activity Reporting Module possibile accedere al server con questo account e passare all account
80. origine evento da zero oppure utilizzare un integrazione come modello Contenuto dei trap SNMP criterio di accesso Un trap SNMP consiste in una serie di coppie nome valore in cui ogni nome un OID identificatore oggetto ed ogni valore viene restituito da un avviso pianificato risultati di query restituiti da un avviso sono costituiti dai campi CEG e relativi valori Il trap SNMP viene popolato sostituendo un OID per ogni campo CEG utilizzato per il nome della coppia nome valore La mappatura di ogni campo CEG a un OID viene memorizzata nella MIB Il trap SNMP comprende solo le coppie nome valore per i campi selezionati al momento di configurare l avviso Un criterio di accesso una regola che conferisce o nega ad un identit utente o gruppo utente i diritti di accesso ad una risorsa applicazione CA User Activity Reporting Module stabilisce se i criteri siano applicabili ad un utente specifico facendo corrispondere identit risorse e classi di risorse e valutando i filtri Criterio di accesso all applicazione CALM criterio di delega Il Criterio di accesso all applicazione CALM un tipo di elenco di controllo di accesso di un criterio di scoping che definisce chi pu accedere a CA User Activity Reporting Module Per impostazione predefinita l amministratore di gruppo l analista di gruppo ed il revisore di gruppo potranno eseguire l accesso Un criterio di delega un criterio di accesso che consente ad un ute
81. per l esecuzione degli aggiornamenti periodici regolari alla versione r12 5 Se si utilizza la sottoscrizione non in linea per l aggiornamento da una versione precedente alla versione r12 5 consultare l argomento Aggiornamento a CA User Activity Reporting Module delle Note di rilascio Se si sta eseguendo un aggiornamento di routine selezionare il file zip Utilizzare un supporto fisico ad esempio un disco oppure l utilit SCP per copiare manualmente il file zip nel seguente percorso del proxy non in linea opt CA LogManager data subscription offline Accedere a un sistema dell ambiente CA User Activity Reporting Module Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Servizi Espandere Servizio di sottoscrizione e selezionare il server proxy non in linea che si desidera configurare Viene visualizzata la finestra di configurazione del Servizio di sottoscrizione per il server CA User Activity Reporting Module selezionato Nota i client di sottoscrizione non in linea ricevono automaticamente i moduli installati manualmente sul proxy non in linea corrispondente Il contenuto del server proxy controlla gli aggiornamenti ricevuti dal client di sottoscrizione moduli selezionati a livello locale per un client non in linea non vengono considerati Fare clic sulla scheda Amministrazione Nell elenco a discesa File selezionare il file di aggiornamento non in linea zip copiato sul server e fare clic su Sfoglia Vie
82. per ricevere eventi prima di modificare e attivare il criterio Se non si esegue prima questa configurazione possibile che gli eventi vengano mappati in modo errato tra il momento in cui il criterio diventa attivo e quello in cui i listener possono mappare correttamente gli eventi Per modificare l azione della regola di un criterio r8 SP2 esistente per inviare gli eventi a CA User Activity Reporting Module 1 Accederealserver del Gestore dei criteri come utente con ruolo di creatore 2 Accederealla regola da modificare espandendone la cartella nel riquadro Criteri e selezionando il criterio appropriato Il criterio compare nel riquadro Dettagli visualizzando le sue regole 3 Fareclic sulla regola da modificare La regola verr visualizzata con le relative azioni nel riquadro Dettagli 250 Guida all implementazione Quando importare eventi 4 Fare clic su Modifica Viene visualizzata la Modifica guidata della regola 5 Utilizzare la Modifica guidata della regola per modificare la regola in modo che invii eventi al server CA User Activity Reporting Module in aggiunta o al posto delle destinazioni attuali e fare clic su Fine 6 Fareclice applicare il criterio come utente creatore in modo che possa essere approvato da un utente con il ruolo di verificatore 7 Disconnettersi ed effettuare nuovamente l accesso al server del Gestore dei criteri come utente con ruolo di verificatore se l azienda utilizza la funzionalit di se
83. permettono loro di sbloccare le password Questo consente alle password di non scadere mai e non esegue un blocco in base ai tentativi di accesso falliti Le opzioni predefinite sono impostate intenzionalmente ad un livello molto basso di sicurezza password per consentire la creazione dei propri criteri delle password personalizzati 44 Guida all implementazione Pianificazione degli utenti e degli accessi Importante E necessario modificare i criteri delle password predefiniti per soddisfare le restrizioni delle password in uso presso l azienda sconsigliato eseguire CA User Activity Reporting Module in ambienti di produzione con i criteri delle password predefiniti possibile non permette queste attivit applicare criteri agli attributi delle password come lunghezza tipo di carattere et e riutilizzo e stabilire criteri di blocco in base ad un numero configurabile di tentativi di accesso falliti come parte dei criteri delle password personalizzati Ulteriori informazioni Configurazione dei criteri delle password a pagina 138 Nome utente e una password Affinch le password siano sicure le migliori prassi di sicurezza suggeriscano di creare password che non contengano o corrispondano al nome utente Il criterio delle password predefinito abilita questa opzione Mentre questa opzione sembra utile quando si imposta la password temporanea per i nuovi utenti buona prassi cancellare questo criterio di selezione della passwo
84. piattaforma bypass 210 Guida all implementazione 7 Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor Facoltativo Fare clic su Applica regole di soppressione a quindi selezionare le regole associate agli eventi supportati Ad esempio selezionare MSSQL_2005_ Authorization 12 0 44 12 Fare clic su Configurazione connettore e selezionare il collegamento della Guida in linea Le Istruzioni includono i requisiti di configurazione del sensore per CA Enterprise Log Manager per Windows e Linux Capitolo 6 Configurazione della raccolta eventi 211 Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor 9 Consultare i passaggi per Linux la piattaforma dell agente predefinito e configurare la stringa di connessione e gli altri campi come specificato a Immettere la stringa di connessione specificata in Configurazione sensore Linux con il nome host o l indirizzo IP dell origine evento come indirizzo e il database SQL Server di creazione di MSSQLSERVER_TRACE come database DSN SQLServer Wire Protocol Address IPaddress port Database databasename Immettere il nome dell utente con diritti di accesso in sola lettura per la raccolta eventi Per disporre dell accesso in sola lettura l utente deve essere assegnato a db_datareader e a ruoli pubblici Immettere la password per il nome utente specificato Specificare il fuso orario del database come offset GMT Nota sui server Windows tali informa
85. possibile eseguire un controllo rapido dell installazione verificando che il pacchetto rpm appropriato sia installato Per verificare il pacchetto rpm 1 Accedere ad un prompt dei comandi su un server CA User Activity Reporting Module 2 Accedere conle credenziali dell account caelmadmin 3 Passare all account dell utente principale con il seguente comando su root Capitolo 3 Installazione di CA User Activity Reporting Module 123 Risoluzione di problemi dell installazione 4 Verificare che il pacchetto ca elm lt versione gt i386 rpm sia installato con il seguente comando rpm q ca elm rpm q ca elmagent Il sistema operativo restituisce il nome completo del pacchetto se questo installato Registrare il server CA User Activity Reporting Module con il server CA EEM Sintomo Durante l installazione l applicazione CA User Activity Reporting Module non si registrata correttamente con il server CA EEM L applicazione CA User Activity Reporting Module dipende dal server CA EEM per la gestione degli account utente e delle configurazioni dei servizi Se l applicazione CA User Activity Reporting Module non registrata il software non verr eseguito correttamente Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Registrazione manuale dell applicazione CA User Activity Reporting Module con il server CA EEM Per regist
86. possono rimanere sul server di archiviazione remota per un vasto periodo di tempo Capitolo 5 Configurazione dei servizi 171 Configurazione dell archivio registro eventi 3 database cold archiviati sul server di archiviazione NY della rete vengono trasferiti su una soluzione di archiviazione remota a lungo termine dove possono restare per il numero di anni prestabilito Lo scopo dell archiviazione quello di conservare i registri eventi per il ripristino database cold possono essere ripristinati se si presenta l esigenza di analizzare eventi datati che sono stati registrati Il passaggio manuale del trasferimento dei database archiviati dal server di archiviazione on site ad un archivio remoto a lungo termine viene illustrato nel diagramma seguente Server di archiviazione NY Archiviazione remota a lungo termine 4 Si supponga che si verifichi una situazione che renda necessario esaminare i registri sottoposti a backup e trasferiti in una posizione remota Per identificare il nome del database archiviato da ripristinare cercare nel catalogo dell archivio locale sul server di rapporto ELM NY fare clic sulla scheda Amministrazione selezionare Archivia query di catalogo dall Explorer raccolta registri e fare clic su Query 5 Recuperare il database archiviato identificato dall archivio remoto Copiarlo nuovamente nella directory opt CA LogManager data archive sul server di archiviazione NY Quindi modificare la propriet
87. predefinito possibile spostare questo agente in un altro gruppo se lo si desidera Selezione del nome dell agente L agente predefinito ha lo stesso nome fornito al server CA User Activity Reporting Module durante l installazione Fare clic su Crea nuovo connettore per aprire la procedura guidata del connettore Fare clic sull opzione Listener e immettere un nome per questo connettore Applicare le regole di soppressione e di riepilogo in base alle proprie esigenze nella seconda e nella terza pagina della procedura guidata Selezionare una o pi integrazioni syslog di destinazione nell elenco Disponibile da utilizzare con questo connettore e spostarle nell elenco Selezionate Impostare i valori delle porte UDP e TCP se non si stanno utilizzando quelle predefinite e fornire un elenco di host sicuri se l implementazione li utilizza Nota se un agente CA User Activity Reporting Module non viene eseguito come root esso non potr aprire una porta inferiore a 1024 Il connettore syslog predefinito utilizza quindi la porta UDP 40514 L installazione applica una regola di firewall al server CA User Activity Reporting Module per reindirizzare il traffico dalla porta 514 alla porta 40514 Selezionare un fuso orario Fare clic su Salva e Chiudi per terminare il connettore Il connettore inizier la raccolta di eventi syslog che corrispondono alle integrazioni selezionate sulle porte specificate Capitolo 6 Configurazione della
88. processori virtuali dall elenco a discesa Numero di processori virtuali Il server host fisico deve essere in grado di dedicare quattro CPU fisiche esclusivamente a questa istanza di CA User Activity Reporting Module Fare clic su Avanti 8 Configurare le dimensioni della memoria della macchina virtuale e fare clic su Avanti Le dimensioni di memoria minime accettabili per CA User Activity Reporting Module sono 8 GB o 8192 MB 9 La configurazione della connessione dell interfaccia di rete NIC CA User Activity Reporting Module richiede almeno una connessione di rete Selezionare NIC x dall elenco delle NIC disponibili e impostare il valore dell Adapter in Flessibile Nota non necessario configurare un NIC separato per ogni server CA User Activity Reporting Module ospitato su questo server fisico Tuttavia necessario allocare e assegnare un indirizzo IP statico per ognuno 10 Selezionare l opzione Connetti all accensione e fare clic su Avanti Verr visualizzata la finestra di dialogo Tipi di adapter I O 11 Selezionare LSI Logic per l Adapter I O e fare clic su Avanti Verr visualizzata la finestra di dialogo Selezione disco 12 Selezionare l opzione Crea nuovo disco virtuale e fare clic su Avanti Verr visualizzata una finestra di dialogo della capacit e della posizione del disco 314 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante computer virtuali 13 Specificare la ca
89. richiesti Tipo Integrazioni Listener Integrazione wWinRM Nome connettore winRM_Connettore Versione piattaforma RHELS _ Controllo di versione piattaforma bypass Il campo Nome connettore viene compilato con WinRM_Connector 6 Facoltativo Fare clic su Applica regole di soppressione a quindi selezionare le regole associate agli eventi supportati 7 Fare clic su Configurazione connettore e selezionare il collegamento della Guida in linea Le istruzioni includono la configurazione del sensore CA User Activity Reporting Module WinRM 5 0 Configurazione del sensore CA Enterprise Log Manager WinRM 5 1 Parametro fisso 218 Guida all implementazione Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor 8 Perla configurazione del sensore attenersi alle procedure riportate nella guida al connettore Immettere l indirizzo IP piuttosto che il nome host dell host configurato per la Gestione remota Windows Il nome utente e la password corrispondono alle credenziali aggiunte durante la configurazione della Gestione remota Windows Di seguito viene riportato un esempio Configurazione connettore S Immettere i dettagli di configurazione Configurazioni salvate Selezionare configuraz v Configurazione sensore Nome computer 172 24 36 107 Porta eo Nome utente ELMagent Password sso Nome log eventi NT Security Intervallo di polling wo A
90. scelto locale o remoto necessario utilizzare l ID e la password dell account EiamAdmin per il primo accesso al server CA User Activity Reporting Module Specificare questo valore solo se si seleziona l opzione server remota Immettere l indirizzo IP o il nome host del server di gestione CA User Activity Reporting Module installato per primo Il nome host deve essere registrato con il server DNS Se si desidera utilizzare un server CA EEM locale il valore predefinito Nessuno Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie Valore Commenti Password del server CA EEM Password account Registrare la password per l account EiamAdmin amministratore predefinito EiamAdmin L accesso iniziale al server CA User Activity Reporting Module richiede queste credenziali dell account Se si installa il server di gestione creare e confermare qui la nuova password EiamAdmin Annotare questa password in quanto verr utilizzata nuovamente durante le installazioni degli altri server e agenti CA User Activity Reporting Module Nota la password immessa sar anche la password iniziale dell account caelmadmin predefinito utilizzato per accedere direttamente al server CA User Activity Reporting Module attraverso ssh possibile creare ulteriori account di amministratore per accedere alle funzioni CA EEM dopo l installazione se lo si desidera FIPS S o No Specifica se
91. seleziona l opzione server remota Immettere l indirizzo IP o il nome host del server di gestione CA User Activity Reporting Module installato per primo Il nome host deve essere registrato con il server DNS Se si desidera utilizzare un server CA EEM locale il valore predefinito Nessuno Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie Valore EEM_PASSWORD FIPS_MODE Password account EiamAdmin S o No Ulteriori informazioni Commenti Registrare la password per l account amministratore predefinito EiamAdmin L accesso iniziale al server CA User Activity Reporting Module richiede queste credenziali dell account Se si installa il server di gestione creare e confermare qui la nuova password EiamAdmin Annotare questa password in quanto verr utilizzata nuovamente durante le installazioni degli altri server e agenti CA User Activity Reporting Module Nota la password immessa sar anche la password iniziale dell account caelmadmin predefinito utilizzato per accedere direttamente al server CA User Activity Reporting Module attraverso ssh possibile creare ulteriori account di amministratore per accedere alle funzioni CA EEM dopo l installazione se lo si desidera Specifica se l applicazione virtuale deve essere eseguita in modalit FIPS o non FIPS Se si sceglie di utilizzare un server CA EEM locale possibile selezionare qualsiasi m
92. server CA User Activity Reporting Module e i relativi servizi e per la raccolta di informazioni per l assistenza La Guida all amministrazione e la guida in linea contengono ulteriori informazioni su questa area Modificare le configurazioni globali possibile impostare le configurazioni globali per tutti i servizi Se si tenta di salvare valori non inclusi nell intervallo consentito per impostazione predefinita verr utilizzato il valore massimo o minimo a seconda dei casi Molte delle impostazioni sono interdipendenti Per modificare le impostazioni globali 1 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Servizi Viene visualizzato l Elenco servizi 2 Fare clic su Configurazione globale nell Elenco servizi Verr visualizzato il riquadro dei dettagli Configurazione di servizio globale 146 Guida all implementazione Modificare le configurazioni globali 3 Modificare una delle seguenti impostazioni di configurazione Intervallo di aggiornamento Indica la frequenza in secondi con cui i componenti del server applicheranno gli aggiornamenti di configurazione Minimo 30 Massimo 86400 Timeout di sessione Specifica la lunghezza massima di una sessione inattiva Se viene abilitata la funzione di aggiornamento automatico la sessione non scade mai Minimo 10 Massimo 600 Consenti aggiornamento automatico Consente agli utenti di aggiornare automaticamente i report o le query Questa impostazione
93. sezione di archiviazione automatica dell archivio registro eventi indica l utente che pu eseguire una query di archiviazione ricatalogare il database di archivio ed eseguire l utility LMArchive e lo script shell restore ca elm per ripristinare i database d archiviazione in modo da poterli analizzare Si deve assegnare a tale utente il ruolo predefinito di amministratore oppure uno personalizzato associato ad un criterio personalizzato che consenta l azione di modifica sulla risorsa Database Un utente globale l informazione dell account utente che esclude i dettagli specifici dell applicazione dettagli dell utente globale e le appartenenze al gruppo globale sono condivisi in tutte le applicazioni CA Technologies che si integrano con l archivio utente predefinito possibile memorizzare i dettagli dell utente globale nel repository integrato oppure in una directory esterna L utility LMArchive si esegue dalla linea di comando e tiene traccia del procedimento di backup e di ripristino dei database di archivio nell archivio registro eventi di un server CA User Activity Reporting Module Utilizzare LMArchive per eseguire una query utile per ottenere l elenco dei database warm pronti per l archiviazione Dopo aver eseguito il backup del database elencato ed averlo spostato nell archivio a lungo termine cold utilizzare LMArchive per creare un record su CA User Activity Reporting Module che indichi l avvenuta esecuzione del backup di questo d
94. su sistemi Windows Utilizzare questa procedura per installare il client JDBC su un sistema Windows Per installare il driver JDBC 1 Individuare i due file jar seguenti nel DVD o nell immagine di installazione dell applicazione nella directory CA ELM JDBC LMjc jar LMsst14 jar Copiare i file jar nella directory desiderata sul server di destinazione e annotare il percorso Installazione del client JDBC su sistemi UNIX Utilizzare questa procedura per installare il client JDBC su un sistema UNIX Installazione del client JDBC 1 Individuare i due file jar seguenti nella directory CA ELM JDBC del DVD o dell immagine di installazione dell applicazione LMjc jar LMssl14 jar Copiare i file jar nella directory desiderata sul server di destinazione e annotare il percorso Eseguire il seguente comando o uno simile manualmente dalla directory di installazione dopo aver installato il client JDBC per JDBC su UNIX chmod R ugo x file location Il valore di file_location corrisponde alla directory in cui stato installato il client JDBC Questo passaggio consente di eseguire gli script di shell forniti con il client installato Capitolo 3 Installazione di CA User Activity Reporting Module 119 Installazione del client JDBC Parametri della connessione JDBC Varie applicazioni richiedono determinati parametri di connessione per utilizzare il driver del client JDBC parametri abituali comprendono quanto segue
95. un CA EEM autonomo m Selezionare Riferimento da una directory esterna che potrebbe essere una directory LDAP come Microsoft Active Directory Sun One o Novell CA Directory m Selezione Reference da CA SiteMinder possibile configurare l archivio utente come directory esterna non possibile creare nuovi utenti possibile aggiungere gruppi di applicazioni o ruoli predefiniti e definiti dall utente solo alle registrazioni dell utente globale in sola lettura necessario aggiungere nuovi utenti nell archivio utente esterno e pio aggiungere le autorizzazioni CA User Activity Reporting Module alle registrazioni dell utente globale Accettare l Archivio utente predefinito Non necessario configurare l archivio utente se si accetta quello predefinito che il datastore interno Questo vale se non presente un archivio utente esterno a cui fare riferimento Per verificare che il repository predefinito sia configurato come archivio utente 1 Accedere a un server CA User Activity Reporting Module come utente con privilegi di amministrazione o con il nome utente EiamAdmin e con la password associata 2 Fareclic sulla scheda Amministrazione Se si accede come utente EiamAdmin questa scheda verr visualizzata automaticamente 134 Guida all implementazione Configurazione dell archivio utente 3 Selezionare la sottoscheda Gestione utenti e accessi e fare clic sul pulsante Archivio utente nel riquadro a sinistra
96. un client CA Audit In questo caso si configura il mittente remoto come se il server CA User Activity Reporting Module fosse il client CA Audit Il listener SAPI apre la propria porta e ascolta passivamente affinch i nuovi eventi vengano inviati ad esso Ogni istanza del modulo SAPI dispone della propria configurazione che specifica quanto segue Porta sui cui ascoltare m File di mapping dei dati DM da caricare Librerie di crittografia da utilizzare Dopo avere ricevuto questo evento il modulo lo invia alla libreria di mapping e CA User Activity Reporting Module lo inserisce all interno del database Importante la libreria di mapping dei dati pu contenere uno o pi file di mapping con lo stesso nome ma numeri di versione diversi file diversi supportano diversi livelli di rilascio della stessa fonte eventi di eventi come un sistema operativo un database e cos via essenziale selezionare solo un file di mapping specifico per la versione quando si configura il collector o il router SAPI Se due file con lo stesso nome sono presenti nell elenco dei file di mapping selezionati il motore di mapping utilizza solo il primo dell elenco Se non si tratta del file corretto per il flusso di eventi in ingresso il motore di mapping non sar in grado di mappare correttamente l evento Ci a sua volta potrebbe provocare da parte delle query e dei rapporti la visualizzazione di informazioni che non includono gli eventi con mappatur
97. 0 z 342 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Deploy O F Template Properties Customize the software solution For this deployment Source OVE Template Details End User License Agreement Name and Location B CA Enterprise Log Manager Settings Deployment Confiquration E Host Cluster A Location of CA EEM Server Resource Pool Select Local if the CA EEM server is to be installed on this host Select Remote if this CA Provestics Enterprise Log Manager server must use a remote CA EEM server Ready to Complete Local Bal B Host Name or IP Address of the Remote CA EEM Server Specify the IP address or the host name of the remote CA EEM server Enter none to install a CA EEM server on this host none C Password for CA EEM Server Enter the password for the EEM server EiamAdmin user Jexampleeiamadminpassword D FIPS Mode Do you want to run CA Enterprise Log Manager in FIPS mode Choose Yes for FIPS mode or No for non FIPS mode NO Appendice E CA User Activity Reporting Module e virtualizzazione 343 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina Ready to Complete Pronto per il completamento La pagina visualizza un riepilogo delle informazioni immesse nelle pagine precedenti 17 Verificare le informazioni imme
98. 0 20 Compatibility Validation not applicable this time Help lt Back next gt Cancel 4 Appendice E CA User Activity Reporting Module e virtualizzazione 341 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina delle proprieta Questa pagina contiene le impostazioni dell host e di CA User Activity Reporting Module 16 Immettere i valori per ciascun campo utilizzando le informazioni raccolte nel foglio di lavoro di installazione quindi fare clic su Avanti Deploy OVF Template 0 x Pi Customize the software solution for this deployment A Host Settings A Host Name Enter name of this host machine pampes sSsSCsSCSSSSCS B Root Password Enter root password of this machine fexamplerootpassword C IP Address Enter IP address of this machine 2 10 0 0 D Subnet Mask Enter the subnet mask IU 0_ 0 0 E Default Gateway Enter the IP address of the default gateway ase 168 0 0 F DNS Servers Enter a list of the IP addresses for your DNS servers Use a comma to separate the IP addresses of the DNS servers fiss 168 10 20 198 168 10 25 G Domain Name Enter the domain name of this machine example com H Time Zone Choose the time zone Africa Abidjan hd 1 NTP Server Location Enter the NTP Server Location if you want to configure System Time through NTP 196 168 10 3
99. 1 Accedere al seguente sito web di CA Technologies https support ca com irj portal anonymous phpdocs filePath 0 154 cacirecr8 certmatrix html caacirec 2 Selezionare un iRecorder appropriato per la propria versione di CA Access Control 3 Visualizzare e seguire le istruzioni di installazione disponibili dal collegamento Guida di integrazione nella matrice Configurazione di un iRecorder CA Access Control autonomo Utilizzare questa procedura per configurare l iRecorder per l invio di eventi CA Access Control a CA User Activity Reporting Module Importante Un iRecorder autonomo pu inviare i propri eventi solo ad un unica destinazione Se si configura un iRecorder utilizzando la procedura seguente tutti gli iRecorder installati su questo sistema invieranno i loro eventi solo all archivio registro eventi CA User Activity Reporting Module indicato Gli iRecorder installati sullo stesso computer del client CA Audit inviano eventi direttamente al client Per questi server necessario modificare un criterio CA Audit esistente per aggiungere azioni delle regole e in seguito configurare gli adapter del raccoglitore o del router SAPI di CA User Activity Reporting Module Appendice B Considerazioni per gli utenti CA Access Control 275 Configurazione di un iRecorder CA Access Control per l invio di eventi a CA User Activity Reporting Module Per configurare iRecorder per l invio di eventi a CA User Activity Reporting Module 1 Acc
100. 2 Successfully detached from source My Audit DSN Exiting Import Ulteriori informazioni Nozioni fondamentali sulla riga di comando di LMSeosImport a pagina 255 Importazione di eventi da un database Windows Collector a pagina 260 Importazione di eventi da un database Solaris Collector a pagina 260 284 Guida all implementazione Importazione di eventi CA Access Control da un database di raccolta CA Audit Visualizzazione di query e rapporti per la visualizzazione di eventi di CA Access Control CA User Activity Reporting Module fornisce una serie di query e rapporti per l analisi di eventi raccolti da CA Access Control Utilizzare le procedure che seguono per accedere alle query e ai rapporti di CA Access Control Per accedere alle query di CA Access Control 1 Accedereal server CA User Activity Reporting Module come utente con diritti di visualizzazione di query e rapporti 2 Accederealla sottoscheda Query nella scheda Query e rapporti se non gi visualizzata Query e rapporti Rapporti pianificati v Query Rapporti Preferiti Filtro tag query ZAN SE Cerca IE Qaction Alerts 45 GICA Access Control 200 GICA Identity Manager 140 I cA SiteMinder 138 I Configuration Management 43 QI Content Security 6 QI Data Access 113 Appendice B Considerazioni per gli utenti CA Access Control 285 Importazione di eventi CA Access Control da un database di raccolta
101. 2 Evidenziare la macchina virtuale nell elenco dell inventario delle macchine virtuali fare clic con il pulsante destro su di essa e selezionare Accendi 3 Procedere con l installazione normale di CA User Activity Reporting Module 4 Configurare il server CA User Activity Reporting Module installato per il ruolo funzionale richiesto utilizzando le informazioni nella sezione sull installazione di un server CA User Activity Reporting Module Ulteriori informazioni Installazione di CA User Activity Reporting Module a pagina 79 326 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante computer virtuali Clonazione di un server CA User Activity Reporting Module virtuale E possibile utilizzare questa procedura per clonare un server CA User Activity Reporting Module virtuale Questa procedura presume che sia gia stata creata una nuova macchina virtuale che a questa siano state aggiunte le unita disco e che CA User Activity Reporting Module sia stato installato Duplicazione di un server virtuale 1 Accedere a VMware VirtualCenter e individuare la macchina virtuale che contiene CA User Activity Reporting Module Disattivare la macchina virtuale se in funzione Selezionare l opzione Esporta e definire un percorso per la macchina virtuale esportata Il server VMware ESX offre dei metodi alternativi per la clonazione di macchine virtuali Per ulteriori informazioni consultare la documentazio
102. 3 valori predefiniti 11 dev VolGroup01 LogVol00 data ext3 valori predefiniti 12 boot ext3 valori predefiniti 12 dev shm tmpfs valori predefiniti 00 dev pts devpts gid 5 mode 620 00 sys sysfs valori predefiniti 00 proc l indirizzo valori predefiniti 00 dev VolGroup00 LogVol01 swap valori predefiniti 00 9 Montare la nuova directory dei dati e verificare che tutte le partizioni in etc fstab siano montate mount a montaggio Riavvio del server CA User Activity Reporting Module Dopo aver creato un volume logico riavviare CA User Activity Reporting Module in modo che sia possibile utilizzare il volume logico Per verificare l esito dell operazione passare a CA User Activity Reporting Module e visualizzare gli eventi restituiti dalla query Dettagli relativi a tutti gli eventi di sistema Per riavviare il server CA User Activity Reporting Module 1 Avviare i processi iGateway del server CA User Activity Reporting Module opt CA SharedComponents iTechnology S99igateway start Avviare il servizio ELMAgent opt CA ELMAgent bin caelmagent b Riavviare il server CA User Activity Reporting Module 100 Guida all implementazione Considerazioni sull installazione di sistemi con unit di SAN Installazione con unit SAN abilitate L argomento Esempio Impostazione dell archiviazione SAN per CA User Activity Reporting Module include il suggerimento per disattivare le unit SAN LUN prima di installare il sistema operati
103. 5 Configurazione dell archivio utente 5 Completare questi campi come pianificato nel foglio di calcolo della directory esterna Considerare il seguente esempio per il binding a oggetti Active Directory con la seguente stringa di binding Set objUser Get Object LDAP cn Bob cn Users ou Sales dc MyDomain dc com dove cn il nome comune ou l unit organizzativa e dc composto da due componenti di dominio che compongono il nome DNS completo Per il DN utente inserire cn Bob cn Users ou Sales dc MyDomain dc com 6 Fare clic su Salva Salvando questo riferimento le informazioni sull account utente vengono caricate in CA EEM Questo rende possibile l accesso a queste registrazioni utente come utenti globali e l aggiunta di dettagli a livello di applicazione come il gruppo utente dell applicazione il nome del ruolo utente 7 Rivedere lo stato visualizzato per verificare che il bind della directory esterna sia corretto e che i dati vengano caricati Se lo stato visualizza un avviso fare clic su Aggiorna stato Se lo stato visualizza un errore correggere la configurazione fare clic su Salva e ripetere questo passaggio 8 Fare clic su Chiudi Ulteriori informazioni Pianificazione archivio utente a pagina 39 Foglio di calcolo directory LDAP esterna a pagina 41 Riferimento a CA SiteMinder come archivio utente Se gli account utente sono gi definiti in CA SiteMinder fare riferimento a questa directo
104. A User Activity Reporting Module mediante applicazioni virtuali Modalit di utilizzo dell applicazione virtuale possibile utilizzare applicazioni virtuali per la creazione di server CA User Activity Reporting Module virtuali per il proprio ambiente di raccolta log eventi utilizzando i seguenti scenari Aggiunta di server virtuali a un ambiente CA User Activity Reporting Module esistente creazione di un ambiente misto Creazione di un ambiente di raccolta log virtuale Distribuzione di server CA User Activity Reporting Module virtuali per una rapida scalabilit Utilizzare il client VMware vSphere per installare l applicazione virtuale manualmente o in modalit invisibile Il file del descrittore OVF contiene i parametri di configurazione per CA User Activity Reporting Module Immettere un valore per ciascun parametro di configurazione durante l installazione Foglio di lavoro per l installazione dell applicazione virtuale Prima di installare l applicazione virtuale raccogliere le informazioni nella tabella seguente Una volta completato il foglio di lavoro possibile utilizzarlo mentre si lavora nei prompt di installazione possibile stampare e completare una serie di fogli di lavoro separati per ogni server CA User Activity Reporting Module che si ha intenzione di installare Informazioni necessarie Valore Commenti Impostazioni specifiche dell host Nome host Nome host del Specificare il nome host del server util
105. Avanti Nota per impostazione predefinita il nome specificato nel modello OVF viene visualizzato nel campo Nome Deploy O F Template 2 DI x Name and Location Specify a name and location for the deployed template Source Name OVF Template Details Example C4 Enterprise Log Manager End User License Agreement Name and Location The name can contain up to 80 characters and it must be unique within the inventory folder Deployment Configuration Host Cluster Racal sce Pool Inventory Location elmqa vserver ca com fa ELMQA Agents Datacenter Properties Ready to Complete ELMQA Persistent Lab LC ELMQA Persistent Lab MC fa ELMQA SP2 vApp Datacenter Help lt Back next gt Cancel 4 Appendice E CA User Activity Reporting Module e virtualizzazione 339 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina di configurazione della distribuzione La pagina della configurazione di distribuzione consente di specificare la modalita di configurazione del serverCA User Activity Reporting Module di cui si desidera effettuare il provisioning 14 Dal menu a discesa Configurazione selezionare Medium Media o Large Estesa quindi fare clic su Avanti Deploy O F Template Deployment Configuration Select a deployment configuration Source OVE Template Details End User License Agreement
106. CA Audit 3 Fare clic sul tag della query CA Access Control per visualizzare le query disponibili nell elenco a sinistra Elenco query Opzioni Q Cerca Y Sottoscrizione DI gt CA Access Control Creazione account CA Access Control Creazione account i Sic Se CA Access Control Dettagli creazione gt CA Access Control Riepilogo creazione l da CA Access Control Creazione account da CA Access Control Riepilogo creazione CA Access Control Creazione account CA Access Control Tendenza creazion 4 Selezionare una query per visualizzare i dati degli eventi Per accedere ai rapporti di CA Access Control 1 Accedereal server CA User Activity Reporting Module come utente con diritti di visualizzazione di query e rapporti 2 Accederealla sottoscheda Rapporti nella scheda Query e rapporti se non gi visualizzata Query e rapporti Rapporti pianificati gt Query v Rapporti gt Preferiti Filtro tag di rapporto E CARI SES Cerca b action Alerts 2 Lasel II 89 GICA Access Control 60 TI ca Identity Manager 47 GICA SiteMinder 41 cosit 22 QI Configuration Management 7 286 Guida all implementazione Importazione di eventi CA Access Control da un database di raccolta CA Audit 3 Fare clic sul tag del rapporto CA Access Control per visualizzare i rapporti disponibili nell elenco a sinistra Elenco rapporti Opzioni Cerca vy Sotto
107. CA User Activity Reporting Module Componente Descrizione Server CA User Activity La porta TCP UDP che deve essere disponibile per le Reporting Module comunicazioni DNS per risolvere i nomi host negli indirizzi IP dei server come i server CA User Activity Reporting Module il server remoto CA EEM se configurato e il server NTP se stata selezionata la sincronizzazione con l ora NTP al momento dell installazione Le comunicazioni DNS non sono necessarie se i nomi host sono stati mappati negli indirizzi IP nel file etc hosts locale Capitolo 3 Installazione di CA User Activity Reporting Module 105 Configurazioni server CA User Activity Reporting Module iniziali Porta 80 111 443 514 1468 2123 5250 6789 17001 Componente Server CA User Activity Reporting Module Portmapper SAPI Server CA User Activity Reporting Module Syslog Syslog DXadmin Server CA User Activity Reporting Module Agente Agente 106 Guida all implementazione Descrizione Comunicazioni TCP con l interfaccia utente del server CA User Activity Reporting Module attraverso HTTPS ridirezionamento automatico alla porta 5250 Comunicazioni client di controllo con il processo PortMapper per ricevere assegnazioni delle porte dinamiche Comunicazioni TCP con l interfaccia utente del server CA User Activity Reporting Module attraverso HTTPS ridirezionamento automatico alla porta 5250 Porta di ascolto UDP predefinita d
108. CA User Activity Reporting Module Guida all implementazione Versione 12 5 03 technologies La presente documentazione che include il sistema di guida in linea integrato e materiale distribuibile elettronicamente d ora in avanti indicata come Documentazione viene fornita all utente finale a scopo puramente informativo e pu essere modificata o ritirata da CA in qualsiasi momento Questa Documentazione non pu essere copiata trasmessa riprodotta divulgata modificata o duplicata per intero o in parte senza la preventiva autorizzazione scritta di CA Questa Documentazione di propriet di CA e non potr essere divulgata o utilizzata se non per gli scopi previsti in i uno specifico contratto tra l utente e CA in merito all uso del software CA cui la Documentazione attiene o in ii un determinato accordo di confidenzialit tra l utente e CA Fermo restando quanto enunciato sopra se l utente dispone di una licenza per l utilizzo dei software a cui fa riferimento la Documentazione avr diritto ad effettuare copie della suddetta Documentazione in un numero ragionevole per uso personale e dei propri impiegati a condizione che su ogni copia riprodotta siano apposti tutti gli avvisi e le note sul copyright di CA Il diritto a stampare copie della presente Documentazione limitato al periodo di validit della licenza per il prodotto Qualora e per qualunque motivo la licenza dovesse cessare o giungere a scadenza l utente avr la
109. CA User Activity Reporting Module si accede a CA User Activity Reporting Module attraverso un browser si accede con le credenziali EiamAdmin e si configura l archivio utente Il passaggio successivo l assegnazione del gruppo applicazione amministratore all account dell utente che deve eseguire la configurazione Se l archivio utente stato configurato come archivio utente CA User Activity Reporting Module quello predefinito si crea un account utente e si assegna ad esso il ruolo di amministratore Se si fa riferimento a un archivio utente esterno non possibile creare un nuovo utente In questo caso si cerca il record utente della persona che deve svolgere il ruolo di amministratore e si aggiunge il gruppo applicazione amministratore a questo account utente Pianificazione dei criteri delle password Se si accetta l archivio utente predefinito si definiscono nuovi utenti e si impostano nuovi criteri delle password per questi account utente dall interno di CA User Activity Reporting Module L utilizzo di password complesse aiuta a proteggere le risorse di calcolo criteri delle password aiutano nella creazione di password complesse e possono contribuire a impedire l utilizzo di password deboli criteri delle password predefiniti forniti con CA User Activity Reporting Module offrono una forma molto eggera di protezione password Ad esempio i criteri predefiniti aiutano gli utenti a utilizzare il proprio nome utente come password e
110. CLogSensor CA Federation Manager m CA SiteMinder CA Identity Manager Oracle 9i e 10g m Microsoft SQL Server 2005 Per l elenco completo consultare la Matrice di integrazione del prodotto sul sito del Supporto in linea 208 Guida all implementazione Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor Questo esempio mostra la modalit per l attivazione della raccolta diretta degli eventi da un database di Microsoft SQL Server La distribuzione del connettore sull agente predefinito si basa sull integrazione MS_SQL_Server_2005 In questo esempio il database SQL Server risiede in un server ODBC Il connettore distribuito sull agente CA User Activity Reporting Module esegue la raccolta degli eventi dalla tabella MSSQL_TRACE L abilitazione della raccolta eventi da un database Microsoft SQL Server include l indirizzamento degli eventi selezionati verso tale tabella di traccia La Guida al connettore per Microsoft SQL Serverdi CA include istruzioni specifiche per questa operazione Informazioni sulla modalit di configurazione dell origine eventi di Microsoft SQL Server 1 Selezionare la scheda Amministrazione e la sottoscheda Library Libreria 2 Espandere Integrazione Log Integrazioni e quindi Sottoscrizione e selezionare MS_SQL Server_2005 La finestra Visualizza dettagli integrazione mostra il nome del sensore ODBCLogSensor Le piattaforme supportate includono Windows e Linux 3 Fare clic sul collega
111. Comparir la Configurazione del server EEM per utenti globali gruppi globali 4 Verificare che l opzione Archivia in un datastore interno sia selezionata 5 Fare clic su Salva quindi su Chiudi Nota con l archivio utente predefinito possibile creare nuovi utenti impostare password temporanee e impostare i criteri delle password Ulteriori informazioni Pianificazione archivio utente a pagina 39 Riferimento a una directory LDAP Configurare l archivio utente come riferimento a una directory LDAP quando i dettagli dell utente globale sono archiviati in Microsoft Active Directory Sun One o Novell Directory Nota i dettagli dell applicazione vengono archiviati nel repository predefinito riferimento a un archivio utente esterno non aggiorna tale archivio utente Per fare riferimento a una directory LDAP come archivio utente 1 Accederea unserver CA User Activity Reporting Module come utente con privilegi di amministrazione o come utente EiamAdmin 2 Fareclic sulla scheda Amministrazione Se si accede come utente EiamAdmin questa scheda verr visualizzata automaticamente 3 Selezionare la sottoscheda Gestione utenti e accessi e fare clic su Archivio utente nel riquadro a sinistra Comparira la configurazione del server CA EEM per l Archivio utente 4 Selezionare Riferimento da una directory esterna Compariranno i campi per la configurazione LDAP Capitolo 4 Configurazione di utenti e accessi di base 13
112. F ine J Annulla 7 GY Modifica ti DI Modifica script gt Modifica azioni Informazioni regola Guida rapida Modificare il nome e la descrizione della regola Modificare il nome e la descrizione della regola Nome della regola Suspicious Events Descrivi regola Suspicious Events Appendice B Considerazioni per gli utenti CA Access Control 269 Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module 5 Fare clic su Modifica azioni di fianco alla freccia per il passaggio 3 Verr visualizzata la pagina delle azioni della regola Modifica regola Azioni Indietro Avanti Fine Annulla D gt Modifica RA 2 gt Modifica script N Modifica azioni informazioni Sfoglia azioni 2 Sfogliare l elenco delle azioni e creare le azioni da aggiungere alla regola 6 Collector CA ELM Collector C4 ELM Management B E Mail escc Status Monitor External Program eile c eacevents txt E Route K screen E security Monitor r amp spicr3 SB snmp unicenter 6 Fare clic sull azione collector nel riquadro Sfoglia azioni per visualizzare l elenco delle azioni sulla destra Modifica regola Azioni Indietro Avanti Fine Annulla 1 gt Modifica E gt Modifica script A Modifica azioni informazioni Sfoglia azioni 2 Elenco azioni Nuovo Elimina Sfogliare l elenco delle azioni e creare le azioni da aggiungere alla regola pus Usa server Parametr
113. Gli agenti vengono registrati con il server CA User Activity Reporting Module specificato al loro primo avvio Quando avviene la registrazione il nome dell agente compare nell Explorer agente e si pronti per configurare un connettore per iniziare la raccolta dei registri eventi connettori raccolgono i registri eventi e li inviano al server CA User Activity Reporting Module Un agente pu controllare molti connettori 204 Guida all implementazione Configurazione dell agente predefinito L utilizzo dell Explorer agente per installare configurare e controllare i connettori e gli agenti implica i seguenti passaggi di base 1 Scaricare i file binari dell agente 2 Creare uno o pi gruppi di agenti facoltativo 3 Creare e configurare un connettore inclusa la creazione o l applicazione delle regole di soppressione e riepilogo 4 Visualizzare lo stato degli agenti o dei connettori Fare riferimento alla Guida all amministrazione di CA User Activity Reporting Module per ulteriori informazioni sulla creazione e l utilizzo di gruppi di agenti e connettori e su come applicare regole di soppressione agli agenti Ulteriori informazioni Informazioni sugli agenti a pagina 63 Informazioni sui gruppi di agenti a pagina 63 Informazioni sui sensori di registro a pagina 66 Effetti della regola di soppressione a pagina 68 Configurazione dell agente predefinito L installazione CA User Activity Reporting Module crea un agente pre
114. Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Distribuzione rapida di server virtuali Il processo seguito per la distribuzione rapida di un server CA User Activity Reporting Module virtuale per la raccolta include le seguenti procedure 1 Download del pacchetto dell applicazione virtuale CA User Activity Reporting Module 2 Installazione di un server CA User Activity Reporting Module in modalit invisibile all utente 3 Configurazione dei server applicazioni virtuali come descritto nella sezione relativa all installazione del server CA User Activity Reporting Module Importante Se si desidera eseguire il provisioning di un server CA User Activity Reporting Module mediante applicazione virtuale il nome dell istanza applicazione del server CA User Activity Reporting Module primario deve essere CAELM Download del pacchetto dell applicazione virtuale L immagine di distribuzione per l applicazione virtuale CA User Activity Reporting Module disponibile sul sito del Supporto in linea dal collegamento Download file da scaricare sono cinque m Il file manifesto m Il file ovf a Tre file di disco virtuale Installazione invisibile di un server CA User Activity Reporting Module Quando si procede all installazione dell applicazione virtuale in modalit invisibile all utente necessario eseguire le seguenti operazioni 1 Richiamare lo strumento OVF 2 Configurare
115. Import exe nella directory iTechnology del server degli strumenti dati CA Audit lt drive gt Program Files CA SharedComponents iTechnology L utilit pronta per l utilizzo dopo averla copiata nella directory designata Non necessario eseguire un installazione separata 254 Guida all implementazione Importazione di dati da una tabella SEOSDATA Nozioni fondamentali sulla riga di comando di LMSeosImport L utilit LMSeosImport offre una serie di argomenti da riga di comando che permettono di controllare quali eventi vengono trasferiti Ogni evento nella tabella SEOSDATA una riga a s stante e dispone di un entry D per identificarlo possibile utilizzare l utilit di importazione per recuperare un rapporto che elenca molti tipi diversi di informazioni utili Il rapporto elenca il numero di eventi nella tabella SEOSDATA come il numero di entry ID il conteggio degli eventi per tipo di registro e gli intervalli delle date degli eventi L utilit offre un opzione per riprovare in caso si verifichi un errore durante l importazione di un evento anche possibile eseguire un lavoro in anteprima per visualizzare quali sarebbero i risultati dell importazione con una struttura di comando specifica lavori in anteprima non importano realmente i dati ma permettono di affinare le opzioni di riga di comando prima dello spostamento attuale possibile eseguire l utilit di migrazione pi di una volta utilizzando parametri diver
116. Internet mentre il resto degli ambienti CA User Activity Reporting Module riceve gli aggiornamenti tramite la sottoscrizione in linea L architettura di tipo misto presenta un elevato grado di complessit pertanto se ne sconsiglia l uso Prima di implementare questo tipo di architettura si consiglia di esaminare e pianificare la strategia di sottoscrizione globale Importante In un ambiente di sottoscrizione misto non includere i proxy non in linea nell elenco dei proxy per i client di sottoscrizione in linea In caso contrario il client di sottoscrizione in linea ricever automaticamente tutti gli aggiornamenti installati manualmente anzich i moduli selezionati a livello globale per l ambiente CA User Activity Reporting Module oppure a livello locale per il client Capitolo 2 Pianificazione dell ambiente 57 Pianificazione aggiornamento sottoscrizioni Ulteriori informazioni Pianificazione degli aggiornamenti di sottoscrizione a pagina 51 Architettura di sottoscrizione a pagina 52 Esempio configurazione della sottoscrizione con sei server Quando si procede alla configurazione della sottoscrizione considerare gli altri ruoli svolti dai server prima di decidere il loro ruolo di sottoscrizione Per impostazione predefinita il server di gestione il primo server che si installa il proxy di sottoscrizione predefinito Tutti gli altri server sono client di sottoscrizione del proxy di sottoscrizione predefinito Anche se quest
117. LES di ACL Viene creata una regola per il monitoraggio degli accessi utente alla cartella data di CA User Activity Reporting Module 9 Facoltativo Eseguire il comando riportato di seguito per visualizzare le attivit eseguite da un utente sui file di database hot e non elaborati di CA User Activity Reporting Module seaudit a Ulteriori informazioni Prerequisiti a pagina 290 Appendice B Considerazioni per gli utenti CA Access Control 289 Protezione di CA User Activity Reporting Module mediante CA Access Control Prerequisiti Prima di creare le regole su CA Access Control eseguire le operazioni riportate di seguito Verificare che l installazione di CA User Activity Reporting Module sia stata eseguita sul sistema su cui si desidera installare CA Access Control Verificare che il gruppo di controllo della protezione e il gruppo di amministrazione della protezione siano stati creati su CA User Activity Reporting Module per avviare l installazione di CA Access Control su CA User Activity Reporting Module Verificare di aver creato un utente con privilegi di amministratore in CA User Activity Reporting Module e di averlo assegnato ai gruppi di controllo della protezione e di amministrazione della protezione creati Verificare che l installazione di CA Access Control sia stata eseguita utilizzando il gruppo di controllo il gruppo di amministrazione della protezione e le credenziali di amministratore Verificare di aver
118. Module mediante applicazioni virtuali a pagina 329 Creazione di un profilo di raccolta evento a pagina 392 Disponibilita elevata di CA User Activity Reporting Module a pagina 393 Ipotesi di distribuzione Considerazioni Utilizzando CA User Activity Reporting Module in un ambiente virtuale o in un ambiente misto che includa sia server a livello di dispositivo che virtuali si parte dai seguenti presupposti m Inunambiente interamente virtuale installare almeno un server CA User Activity Reporting Module come server di gestione Tale server di gestione gestisce le configurazioni il contenuto della sottoscrizione il contenuto definito dall utente e le comunicazioni con gli agenti Il server di gestione non riceve i registri eventi n gestisce le query e i rapporti n un ambiente misto installare il server CA User Activity Reporting Module di gestione su hardware certificato Ogni host di macchine virtuali deve avere quattro processori dedicati il numero massimo consentito da VMware ESX Server 3 5 Un server CA User Activity Reporting Module dedicato raggiunge prestazioni ottimali con otto o pi processori VMware ESX Server consente di avere fino a quattro processori su un unica macchina virtuale Per ottenere prestazioni simili a un server dedicato a otto processori installare CA User Activity Reporting Module su due o pi macchine virtuali e federarle per i rapporti consolidati Appendice E CA User Activity Reporting
119. Percorso di installazione predefinito opt CA Access Control 2 Eseguire il comando selang Viene visualizzato l interprete della riga di comando di CA Access Control 3 Eseguire il comando nr GFILE CA ELM DBFILES owner nobody warning Viene creato un nuovo gruppo di risorse CA_ELM_DBFILES per DBFiles 4 Eseguire il comando newres FILE data hot owner nobody defaccess none warning audit failure Viene creata una nuova regola di risorse per i file di database hot di CA User Activity Reporting Module 5 Eseguire il comando newres FILE data raw owner nobody defaccess none warning audit failure Viene creata una nuova regola di risorse per i file di database non elaborati di CA User Activity Reporting Module 6 Immettere i comandi editres GFILE CA ELM DBFILES mem data hot 288 Guida all implementazione Protezione di CA User Activity Reporting Module mediante CA Access Control La regola di risorse per i file di database hot di CA User Activity Reporting Module viene aggiunta a CA_ELM_DBFILES 7 Immettere i comandi editres GFILE CA ELM DBFILES mem data raw La regola di risorse per i file di database non elaborati di CA User Activity Reporting Module viene aggiunta a CA_ELM_DBFILES 8 Eseguire il comando authorize GFILE CA ELM DBFILES uid caelmservice access all Viene visualizzato il messaggio Successfully added caelmservice to CA_ELM_DBFILES s ACL caelmservice aggiunto con successo a CA_ELM_DBFI
120. Prima di creare una mappa della federazione stabilire il numero di server da dedicare a ciascun ruolo server Nell esempio seguente un server dedicato alla gestione e ai rapporti e i server restanti sono dedicati alla raccolta Si consiglia questa configurazione per un ambiente di medie dimensioni possibile concepire l architettura dei server di gestione rapporto e dei server di raccolta come hub e spoke in cui il server di gestione rapporto rappresenta l hub Il diagramma della mappa della federazione non rispecchia questa configurazione bens mostra i livelli in modo da poter facilmente distinguere le coppie federate in modo gerarchico da quelle a coppia Quando si crea la mappa di una federazione considerare i tipi di rapporto per cui si desiderano set diversi di dati consolidati Ad esempio considerare lo scenario in cui si desiderano dati consolidati utilizzando tre tipi di raggruppamenti di server Solo il server di gestione rapporto Per la maggior parte dei rapporti in cui si desidera esaminare gli eventi archiviati di recente warm evitando che i server di raccolta elaborino le query per i nuovi eventi hot Nota gli eventi vengono generalmente archiviati dai server di raccolta spoke al server di rapporto hub ogni ora Tutti i server Per i rapporti di sistema sugli eventi di automonitoraggio in cui si desidera valutare lo stato di tutti i server CA User Activity Reporting Module contemporaneamente 36 Guida al
121. Procedere con l installazione normale di CA User Activity Reporting Module 4 Configurare il server CA User Activity Reporting Module installato per il ruolo funzionale richiesto utilizzando le informazioni nella sezione sull installazione di un server CA User Activity Reporting Module Ulteriori informazioni Installazione di CA User Activity Reporting Module a pagina 79 Creazione di un ambiente completamente virtuale Se non gi stato implementato un ambiente CA User Activity Reporting Module possibile creare un ambiente di raccolta dei registri completamente virtuale Questo scenario d per scontato che sia disponibile un numero sufficiente di server ognuno con un gruppo i almeno quattro processori per installare ognuno dei server CA User Activity Reporting Module pianificati Installare un server CA User Activity Reporting Module per il funzionamento come server di gestione Durante la configurazione non inviare registri di eventi a questo server o utilizzare questo server per generare rapporti La configurazione dell ambiente in questo modo mantiene la velocit della raccolta di registri eventi richiesta per una produzione di livello aziendale Solitamente si installano due server CA User Activity Reporting Module a quattro processori al posto di ogni server di classe dispositivo che solitamente si installerebbe quando si usa hardware certificato i server di classe dispositivo dispongono di minimo otto processori Ap
122. Selezionare NIC x dall elenco delle NIC disponibili e impostare il valore dell Adapter in Flessibile Nota non necessario configurare un NIC separato per ogni server CA User Activity Reporting Module ospitato su questo server fisico Tuttavia necessario allocare e assegnare un indirizzo IP statico per ognuno Selezionare l opzione Connetti all accensione e fare clic su Avanti Verr visualizzata la finestra di dialogo Tipi di adapter I O Selezionare LSI Logic per l Adapter I O e fare clic su Avanti Verr visualizzata la finestra di dialogo Selezione disco Selezionare l opzione Crea nuovo disco virtuale e fare clic su Avanti Verr visualizzata una finestra di dialogo della capacit e della posizione del disco Specificare la capacit e la posizione del disco e fare clic su Avanti Verr visualizzata la finestra di dialogo opzioni avanzate possibile archiviare il disco con la macchina virtuale o specificare un altra posizione Si consiglia un minimo di 500 GB Accettare i valori predefiniti per le Opzioni avanzate e fare clic su Avanti Confermare le impostazioni e fare clic su Fine per creare la nuova macchina virtuale Aggiunta di unit disco virtuali Ut ilizzare questa procedura per aggiungere unit disco virtuali per l archiviazione dei registri eventi Utilizzare le stesse impostazioni a prescindere da ruolo che un server CA User Activity Reporting Module specifico svolge all interno della rete
123. Selezionare l opzione Crea nuovo disco virtuale e fare clic su Avanti Verr visualizzata una finestra di dialogo della capacit e della posizione del disco 13 Specificare la capacit e la posizione del disco e fare clic su Avanti Verr visualizzata la finestra di dialogo opzioni avanzate possibile archiviare il disco con la macchina virtuale o specificare un altra posizione Si consiglia un minimo di 500 GB 14 Accettare i valori predefiniti per le Opzioni avanzate e fare clic su Avanti 15 Confermare le impostazioni e fare clic su Fine per creare la nuova macchina virtuale Aggiunta di unit disco virtuali Utilizzare questa procedura per aggiungere unit disco virtuali per l archiviazione dei registri eventi Utilizzare le stesse impostazioni a prescindere dal ruolo che un server CA User Activity Reporting Module specifico svolge all interno della rete Per modificare le impostazioni 1 fare clic con il pulsante destro sulla macchina virtuale in VMware Infrastructure Client e selezionare Modifica impostazioni Verr visualizzata la finestra di dialogo Propriet macchina virtuale 2 Evidenziare le propriet dell Unit CD DVD 1 3 Fare clic sul pulsante di opzione Periferica host e selezionare l unit DVD ROM dall elenco a discesa 324 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante computer virtuali Selezionare l opzione Stato periferica Connetti all accensione
124. Sponsor 66456 NT Application 5270 Anteprima di un rapporto di eventi di CA Access Control possibile visualizzare l anteprima dell importazione per ottimizzare i parametri di importazione Questo esempio dimostra due passaggi di anteprima basati sull esigenza di importare eventi da un periodo di tempo specifico L esempio d per scontati questi due elementi Il server Data Tools CA Audit risiede in un computer Windows Il nome del database per la tabella SEOSDATA My_Audit_DSN Il nome utente del database sa con password sa L anteprima di importazione utilizza solo il nome di accesso come criteri di ricerca e di importazione L output del comando con opzione preview invia risultati campione dell importazione a STDOUT questo esempio utilizza il valore My_CA ELM_ Server per rappresentare un nome del server CA User Activity Reporting Module Appendice B Considerazioni per gli utenti CA Access Control 281 Importazione di eventi CA Access Control da un database di raccolta CA Audit Per visualizzare l anteprima dell importazione 1 Visualizzare in anteprima l importazione dell evento CA Access Control con il seguente comando LMSeosImport exe dsn My Audit DSN user sa password sa target My CA ELM Server log eTrust Access Control preview Il comando preview mostra informazioni come le seguenti Import started on Fri Jan 2 15 35 37 2009 No transport specified defaulting to SAPI Preparing ODBC c
125. User Activity Reporting Module la descrizione testuale di ogni oggetto dati si riferisce al campo CEG associato La MIB garantisce che tutte le coppie nome valore inviate in un trap SNMP siano interpretate in maniera corretta alla destinazione 412 Guida all implementazione MIB personalizzata Modalit FIPS Modalita Non FIPS modulo da scaricare Una MIB personalizzata una MIB creata per un avviso inviato ad una destinazione di TRAP SNMP come ad esempio CA NSM L ID di trap personalizzato specificato nell avviso presuppone l esistenza di una MIB personalizzata associata che definisce i campi CEG selezionati inviati come trap La modalit FIPS un impostazione che richiede al server e agli agenti CA User Activity Reporting Moduledi utilizzare moduli crittografici certificati FIPS di certificazione FIPS moduli di crittografia di RSA per la crittografia L impostazione alternativa in modalit Non FIPS La modalit Non FIPS l impostazione predefinita che consente ai server e agli agenti CA User Activity Reporting Module di utilizzare una combinazione di tecniche di crittografia alcune delle quali non sono compatibili con FIPS L impostazione alternativa in modalit FIPS Un modulo un raggruppamento logico di aggiornamenti componente che possibile scaricare mediante una sottoscrizione Un modulo pu contenere aggiornamenti di file binari di contenuto o di entrambi i tipi Ad esempio tutti rapporti costituiscon
126. User Activity Reporting Module deve essere attivato per poter dare inizio all esecuzione Per attivare un server CA User Activity Reporting Module 1 Selezionare il nuovo server CA User Activity Reporting Module nel riquadro sinistro della finestra dell applicazione VMware 2 Fare clic sull opzione di avvio in Basic Tasks Attivit di base della scheda Getting Started Introduzione del riquadro destro Il server CA User Activity Reporting Module verr attivato Nota verificare che un server primario CA User Activity Reporting Module sia in esecuzione prima di attivare un server secondario CA User Activity Reporting Module Verifica dell installazione di un server virtuale CA User Activity Reporting Module Quando si attiva il server CA User Activity Reporting Module di cui stato eseguito il provisioning nella scheda della console della finestra del client VMware vSphere viene visualizzato un URL di accesso a CA User Activity Reporting Module Utilizzare l URL e le credenziali di accesso predefinito riportate di seguito per accedere a CA User Activity Reporting Module Nome utente predefinito EiamAdmin Password predefinita la password immessa durante la procedura di installazione del server CA User Activity Reporting Module Ulteriori informazioni Aggiunta di server virtuali all ambiente a pagina 333 Creazione di un ambiente completamente virtuale a pagina 356 Distribuzione rapida di server virtuali a pagina 381 380
127. User Activity Reporting Module installato su un sistema RAID che utilizza l archiviazione SAN dischi fisici sulla SAN sono partizionati in spazi di archiviazione logica denominati LUN numeri di unit logica Impostazione di una configurazione con pi percorsi per l archiviazione SAN 1 Accedere all applicazione CA User Activity Reporting Module e spostarsi alla directory principale 2 Facoltativo Visualizzare un elenco delle directory di dev mapper per visualizzare lo stato della configurazione prima di impostare percorsi multipli e volumi logici Verranno visualizzati dei risultati simili ai seguenti drwxr xr x 2 root root 120 Jun 18 12 09 drwxr xr x 11 root root 3540 Jun 18 16 09 Crw 1 root root 10 63 Jun 18 12 09 control brw rw 1 root disk 253 Jun 18 16 09 VolGroup00 LogVol00 brw rw 1 root disk 253 2 Jun 18 12 09 VolGroup00 LogVol01 brw rw 1 root disk 253 1 Jun 18 16 09 VolGroup00 LogVol02 96 Guida all implementazione Considerazioni sull installazione di sistemi con unit di SAN Aprire il file etc multipath conf per la modifica e procedere come indicato di seguito a Aggiungere la seguente sezione sotto device per ogni LUN fornito dall amministratore della SAN device vendor NETAPP product LUN path grouping policy multibus features 1 queue if no path path_checker readsector0 path_selector round robin 0 failback immediate no_path_retry queue b Rimuovere
128. _ADDRESS 172 162 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example primary server prop DEFAULT GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Server secondario CA User Activity Reporting Module REM Appendice E CA User Activity Reporting Module e virtualizzazione 385 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali ovftool dm thin acceptAllEulas name example secondaryserver deploymentOption medium prop ROOT PASSWORD example password1 prop LOCAL REMOTE EEM Remote prop REMOTE EEM LOCATION example_primaryserver prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 10 10 prop SUBNET MASK 10 0 10 10 prop HOSTNAME example_ secondary server prop DEFAULT GATEWAY 198 168 10 30 prop DNS SERVERS 198 168 20 20 198 168 20 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Esempio 2 Script batch per la creazione di un server di gestione e due server di raccolta Server di gestione CA User Activity Reporting
129. a 180 Guida all implementazione Configurazione del servizio di correlazione 10 Fare clic su OK per chiudere la finestra di dialogo e attivare la regola Esempio selezione e applicazione di una regola di transizione di stato Le regole di correlazione di transizione di stato consentono di identificare una serie di stati o occorrenze una dopo l altra Ad esempio possibile applicare una regola che avvisi per una serie di accessi non riusciti seguita da un accesso riuscito da parte dello stesso account utente Prima di applicare una regola necessario verificare di aver creato le destinazioni di notifica desiderate per il proprio ambiente 1 Fareclic sulla scheda Amministrazione quindi sulla sottoscheda Libreria ed espandere la cartella Regole di correlazione 2 Espandere la cartella Identit quindi la cartella Autenticazione e selezionare la regola Accessi non riusciti seguiti da accesso corretto dettagli della regola verranno visualizzati nel riquadro a destra 3 Rivedere i dettagli della regola per verificare che sia appropriata per il proprio ambiente In questo caso nel riquadro Dettagli vengono visualizzati i due stati registrati dalla regola Il primo cinque o pi accessi non riusciti per lo stesso account utente o identit Il secondo un accesso riuscito da parte dello stesso utente o identit 4 Facoltativo Fare clic su Modifica nella parte superiore del riquadro per modificare le impostazioni relativ
130. a event_action il campo specifico di evento di quarto livello nella normalizzazione degli eventi utilizzata dalla CEG Esso descrive azioni comuni Avvio processo Arresto processo ed Errore applicazione sono alcuni esempi di tipi di azioni evento event_category il campo specifico di evento di secondo livello nella normalizzazione degli eventi utilizzata dalla CEG Esso consente un ulteriore classificazione degli eventi con uno specifico ideal_ model Alcuni tipi di categoria evento Sicurezza operativa Gestione identit Gestione configurazione Accesso alla risorsa e Accesso al sistema event_class il campo specifico di evento di terzo livello nella normalizzazione degli eventi utilizzata dalla CEG Esso consente un ulteriore classificazione degli eventi in una specifica event_category Gli eventi in CA User Activity Reporting Module sono i record di registro generati da ogni origine evento specificata evento di automonitoraggio evento di osservazione Un evento di automonitoraggio un evento registrato da CA User Activity Reporting Module Le azioni eseguite dagli utenti entrati nel sistema e le funzioni eseguite da diversi moduli come i servizi e i listener genereranno automaticamente questo tipo di eventi possibile visualizzare il rapporto di Dettagli eventi di automonitoraggio operazioni SIM selezionando un server di rapporto ed aprendo la scheda Eventi di automonitoraggio Un evento di osservazione un even
131. a Regole di correlazione Espandere la cartella PCI quindi la cartella Requisito 8 e selezionare la regola Creazione account al di fuori delle ore lavorative dettagli della regola verranno visualizzati nel riquadro a destra Rivedere i dettagli della regola per verificare che sia appropriata per il proprio ambiente In questo caso i filtri consentono di definire l azione di creazione account e impostare l orario lavorativo normale per ora e giorno della settimana Facoltativo Fare clic su Modifica nella parte superiore del riquadro per modificare le impostazioni del filtro se necessario Ad esempio possibile modificare l orario lavorativo normale in base alle specifiche del proprio ambiente Viene visualizzata la procedura guidata di gestione delle regole popolata con i dettagli della regola Aggiungere i dettagli di notifica desiderati nella procedura guidata dettagli di notifica forniscono il contenuto del messaggio che verr inviato come specificato in Destinazioni di notifica Dopo aver terminato la preparazione della regola fare clic su Salva e chiudi Quando si modifica e si salva una regola di correlazione predefinita CA User Activity Reporting Module crea automaticamente una nuova versione preservando la versione originale Fare clic sulla sottoscheda Servizi e quindi espandere il nodo Servizio di correlazione Selezionare il server a cui si desidera applicare la regola Se si dispone di un server identific
132. a a seconda delle proprie esigenze Fare clic su Salva Il server CA User Activity Reporting Module viene riavviato nella modalit selezionata possibile ripetere l accesso per visualizzare la modalit FIPS dell agente da Gestione agenti Verificare la modalit operativa del server CA User Activity Reporting Module nella finestra di dialogo del servizio Stato del sistema dopo il riavvio del server anche possibile utilizzare eventi di automonitoraggio per verificare il riavvio del server CA User Activity Reporting Module nella modalit desiderata Cercare i seguenti eventi nella scheda Eventi di automonitoraggio nella finestra di dialogo Stato del sistema Modalit FIPS del server abilitata correttamente Modalit FIPS del server disabilitata correttamente Impossibile abilitare la modalit FIPS del server Impossibile disabilitare la modalit FIPS del server La disabilitazione della modalit FIPS per il server primario o di gestione blocca il processo di restituzione dei dati delle query e dei rapporti federati Inoltre non vengono eseguiti i rapporti pianificati Questa condizione persiste finch tutti i server della federazione non vengono eseguiti nuovamente nella stessa modalit Nota la disabilitazione di FIPS sul server remoto o di gestione CA EEM un requisito necessario per aggiungere un nuovo server CA User Activity Reporting Module a una federazione di server in esecuzione in modalit FIPS 90 Guida al
133. a ancora eseguito l installazione del modulo Quando si selezionano i moduli per un proxy di sottoscrizione includere almeno tutti i moduli selezionati per i client del proxy possibile eseguire gli aggiornamenti per l ambiente CA User Activity Reporting Module utilizzando uno o entrambi i metodi riportati di seguito 1 Aggiornamento automatico selezionare i moduli in anticipo e specificare una pianificazione per il download Il servizio di sottoscrizione scarica e installa automaticamente i moduli selezionati in base alla pianificazione specificata 2 Aggiornamento manuale selezionare i moduli quando richiesti utilizzando la funzionalit Aggiorna ora del servizio di sottoscrizione per eseguire il download e l installazione di tali moduli nel momento desiderato 196 Guida all implementazione Configurazione della sottoscrizione Poich i moduli Contenuto Integrazione Sistema operativo e Agente vengono aggiornati regolarmente si consiglia di impostare la pianificazione di sottoscrizione per il download automatico dei moduli almeno con cadenza mensile Gli aggiornamenti alla versione e al service pack di Gestione log sono meno frequenti e possono richiedere un ulteriore considerazione e pianificazione prima di essere applicati all ambiente CA User Activity Reporting Module Si consiglia di scaricare questi tipi di aggiornamenti manualmente se necessario Quando un nuovo modulo disponibile viene visualizzato nel feed RSS di so
134. a applicazione Un ruolo utente pu essere un gruppo applicazione predefinito o un gruppo applicazione definito dall utente Sono necessari ruoli utente personalizzati quando i gruppi applicazione predefiniti amministratore analista e revisore non sono sufficientemente dettagliati per riflettere le assegnazioni del lavoro ruoli utente personalizzati richiedono criteri di accesso personalizzati e la modifica dei criteri predefiniti per includere il nuovo ruolo SafeObject una classe di risorsa predefinita di CA EEM la classe di risorsa memorizzata sotto l ambito di Applicazione ed a cui appartiene AppObjects Gli utenti che definiscono criteri e filtri per consentire l accesso ad AppObjects fanno riferimento a questa classe di risorse SAPI collector un adapter CA che consente di ricevere eventi dai client di CA Audit client di CA Audit inviano tramite l azione Raccoglitore che fornisce un failover integrato Gli amministratori configurano CA Audit SAPI Collector con ad esempio le crittografie ed i file di mapping dei dati selezionati Il SAPI recorder era la tecnologia utilizzata per inviare informazioni a CA Technologies Audit prima di iTechnology SAPI significa Submit API Inviare interfaccia di programmazione di applicazione Submit Application Programming Interface recorder di CA Technologies Audit per CA ACF2 CA Top Secret RACF Oracle Sybase e DB2 sono esempi di SAPI recorder Il SAPI router un adapter CA
135. a conservati La procedura di importazione copia i dati li analizza ed esegue la loro mappatura nell archivio registro eventi CA User Activity Reporting Module Appendice A Considerazioni per gli utenti CA Audit 251 Quanco importare eventi Informazioni sull utilita di importazione SEOSDATA L utilit di importazione LMSeosImport utilizza un interfaccia da riga di comando e supporta entrambi i sistemi operativi Windows e Solaris L utilit esegue le seguenti azioni Si connette alla tabella SEOSDATA per estrarre gli eventi nel modo specificato m Analizza gli eventi SEOSDATA selezionati in coppie nome valore Invia gli eventi a CA User Activity Reporting Module attraverso lo sponsor eventi SAPI o lo sponsor eventi iTech per l inserimento nell archivio registro eventi Gli eventi vengono mappati nella grammatica evento comune CEG che costituisce la base delle tabelle database dell archivio registro eventi possibile quindi utilizzare le query predefinite e i rapporti per raccogliere informazioni dagli eventi archiviati Importazione da una tabella SEOSDATA live L esecuzione dell utilit LMSeosImport con una tabella SEOSDATA live sconsigliata ma a volte inevitabile Se si deve eseguire l utilit con un database live essa importer solo una determinata sezione dei dati Ci avviene poich gli eventi che vengono aggiunti al database dopo l avvio dell utilit LMSeosImport non vengono importati durante la sessione
136. a errata o in alcuni casi che on includono nessun evento Appendice A Considerazioni per gli utenti CA Audit 243 Configurazione degli adattatori CA Technologies Configurazione del servizio SAPI Collector Utilizzare questa procedura per configurare il servizio SAPI Collector possibile modificare i criteri CA Audit che utilizzano azioni di Collector per inviare eventi a un server CA User Activity Reporting Module oltre a o al posto di inviare eventi al database CA Audit Collector Configurare questo servizio prima di modificare i criteri di audit per assicurarsi che non venga perso alcun evento Per configurare il servizio SAPI Collector 1 Accedere al server CA User Activity Reporting Module e selezionare la scheda Amministrazione La sottoscheda Raccolta registri verr visualizzata per impostazione predefinita 2 Espandere la voce CA Technologies Adapters 3 Selezionare il servizio SAPI Collector 4 Fare riferimento alla Guida in linea per le descrizioni di ogni campo 5 Al termine fare clic su Salva Configurazione del servizio SAPI Router Utilizzare questa procedura per configurare un servizio SAPI Router possibile modificare i criteri CA Audit che utilizzano azioni Route per inviare eventi al server CA User Activity Reporting Module oltre a o al posto di eventi di routing verso altre destinazioni possibile anche reindirizzare eventi del recorder SAPI affinch raggiungano direttamente il listener del rou
137. a i formati del registro e le strutture sono diversi Un agente syslog pu ricevere entrambi i tipi di eventi allo stesso tempo utilizzando il listener syslog fornito In linea di massima la raccolta di eventi rientra in due categorie CA User Activity Reporting Module in ascolto per gli eventi syslog su porte configurabili m CA User Activity Reporting Module esegue il monitoraggio di altre fonti di eventi per i loro eventi ad esempio utilizzando WMI per raccogliere eventi di Windows 60 Guida all implementazione Pianificazione agente Pi di una fonte di eventi syslog pu trasmettere eventi attraversi un unico connettore poich il listener riceve tutto il traffico su una porta specifica CA User Activity Reporting Module pu essere in ascolto per eventi syslog su ogni porta se si sta eseguendo un agente come utente non principale possono essere presenti limitazioni sull utilizzo delle porte inferiori alla porta 1024 Le porte standard possono ricevere un flusso di eventi composto da molti tipi diversi di eventi syslog Essi possono includere UNIX Linux Snort Solaris CiscoPIX Check Point Firewall 1 e altri CA User Activity Reporting Module gestisce gli eventi syslog utilizzando listener che costituiscono un tipo specializzato di componente di integrazione Si realizzano connettori syslog in base ai listener e alle integrazioni Il listener fornisce informazioni sulla connessione come porte oppure host sicuri m L
138. a procedura Selezionare Red Hat Enterprise Linux 5 32 bit come sistema operativo guest e fare clic su Avanti Selezionare 4 come numero di processori virtuali dall elenco a discesa Numero di processori virtuali Il server host fisico deve essere in grado di dedicare quattro CPU fisiche esclusivamente a questa istanza di CA User Activity Reporting Module Fare clic su Avanti Configurare le dimensioni della memoria della macchina virtuale e fare clic su Avanti Le dimensioni di memoria minime accettabili per CA User Activity Reporting Module sono 8 GB o 8192 MB Appendice E CA User Activity Reporting Module e virtualizzazione 323 Creazione di server CA User Activity Reporting Module mediante computer virtuali 9 La configurazione della connessione dell interfaccia di rete NIC CA User Activity Reporting Module richiede almeno una connessione di rete Selezionare NIC x dall elenco delle NIC disponibili e impostare il valore dell Adapter in Flessibile Nota non necessario configurare un NIC separato per ogni server CA User Activity Reporting Module ospitato su questo server fisico Tuttavia necessario allocare e assegnare un indirizzo IP statico per ognuno 10 Selezionare l opzione Connetti all accensione e fare clic su Avanti Verr visualizzata la finestra di dialogo Tipi di adapter I O 11 Selezionare LSI Logic per l Adapter I O e fare clic su Avanti Verr visualizzata la finestra di dialogo Selezione disco 12
139. aggiornano automaticamente i file di catalogo appropriati al termine dell attivit possibile eseguire la copia in server remoti o in altri server CA User Activity Reporting Module Se l host remoto in cui si inviano i file un server CA User Activity Reporting Module gli script aggiornano automaticamente i file del catalogo anche nel server di ricezione Gli script eliminano anche i file di archivio dalla macchina locale per evitare la duplicazione nei rapporti federati Ci garantisce che i dati siano disponibili per le query e i rapporti L archiviazione all esterno del sistema viene chiamata archivio cold possibile ripristinati i file spostati all archivio cold per query e rapporti Lo script di monitoraggio esegue automaticamente lo script di backup utilizzando le impostazioni specificate nella porzione dell archiviazione automatica della configurazione del servizio dell archivio registro eventi Ulteriori informazioni Esempio archiviazione automatica fra tre server a pagina 167 Spostamento del database e diagramma di flusso delle strategie di backup possibile eseguire contemporaneamente la raccolta di eventi e la creazione di rapporti su ogni server CA User Activity Reporting Module oppure possibile dedicare server diversi alla raccolta e ai rapporti Se dei server sono stati dedicati alla raccolta ogni ora richiesto uno spostamento automatico dal server di raccolta al server di rapporto in caso contrario non
140. alizza un avviso fare clic su Aggiorna stato Se lo stato visualizza un errore correggere la configurazione fare clic su Salva e ripetere questo passaggio 7 Fare clic su Chiudi Ulteriori informazioni Pianificazione archivio utente a pagina 39 Foglio di lavoro per CA SiteMinder a pagina 43 Capitolo 4 Configurazione di utenti e accessi di base 137 Configurazione dei criteri delle password Configurazione dei criteri delle password E possibile impostare criteri delle password per garantire che le password che gli utenti creano per s soddisfino gli standard impostati e che vengano modificate con la frequenza richiesta Impostare i criteri delle password dopo la configurazione dell archivio utente interno Solo l utente EiamAdmin o un utente a cui stato assegnato il ruolo di amministratore pu impostare o modificare i criteri delle password Nota i criteri delle password CA User Activity Reporting Module non sono validi per gli account utente creati in un archivio utente esterno Per configurare criteri delle password 1 Accederea unserver CA User Activity Reporting Module come utente con privilegi di amministrazione o come utente EiamAdmin 2 Fareclic sulla scheda Amministrazione Se si accede come utente EiamAdmin questa scheda verr visualizzata automaticamente 3 Selezionare la sottoscheda Gestione utenti e accessi e fare clic sul pulsante Criteri password nel riquadro a sinistra Comparir il riquadro Cr
141. alizzata la Guida al connettore per Windows Server 2008 WinRM Per configurare l origine evento e verificare la registrazione 1 Accedereall host di destinazione con sistema operativo Windows Server 2008 2 Attenersi alle istruzioni della Guida al connettore per Microsoft SQL Server di CA per verificare che gli eventi vengano visualizzati nel Visualizzatore eventi di Windows e per garantire che la Gestione remota Windows sia stata abilitata nel server di destinazione Nota questo processo richiede la creazione di un nome utente e di una password da immettere durante la configurazione del connettore Tali credenziali concedono l autenticazione richiesta per stabilire la connettivit tra l origine evento e CA User Activity Reporting Module 3 Verificare la registrazione a Aprire eventvwr dalla finestra di dialogo Esegui Viene visualizzato il Visualizzatore eventi b Espandere Registri di Windows e fare clic su Protezione 216 Guida all implementazione Gestione raccolta log vy Gestione agenti Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor Viene visualizzata la seguente schermata indicante che la registrazione in corso Protezione 39 056 Eventi Parole Chiavi Operazioni riuscite A Operazioni riuscite Operazioni riuscite 10 6 2009 6 55 56 PM 10 6 2009 6 55 56 PM 10 6 2009 6 55 52 PM Microsoft Windows security auditi Microsoft Windows security auditir Microsoft Windows security
142. almeno mensile Gli aggiornamenti di service pack e versione sono meno frequenti e possono richiedere ulteriori considerazioni e pianificazione prima dell applicazione all ambiente CA User Activity Reporting Module Si consiglia di scaricare questi tipi di aggiornamenti manualmente se necessario Nota i client non sono in grado di scaricare i moduli se i relativi non li hanno scaricati a loro volta Verificare che i moduli selezionati per il proxy di sottoscrizione includano almeno tutti i moduli selezionati nell elenco di download del client proxy 198 Guida all implementazione Configurazione della sottoscrizione 7 Fare clic su OK La finestra di dialogo Moduli disponibili per il download viene chiusa e i moduli selezionati vengono visualizzati nell elenco Moduli selezionati per il download 8 Fare clic su Salva Ulteriori informazioni Configurazione della sottoscrizione a pagina 190 Informazioni sui moduli da scaricare a pagina 195 Download e selezione dei moduli per la sottoscrizione non in linea file di aggiornamento della sottoscrizione non in linea sono disponibili sul sito FTP di sottoscrizione non in linea di CA Technologies sotto forma di file zip Non appena disponibili i nuovi moduli verranno visualizzati sul sito FTP Controllare regolarmente l elenco dei moduli disponibili per verificare di aver eseguito il download degli aggiornamenti pi recenti Inoltre possibile consultare il sito del supporto tec
143. alori nei campi del menu a discesa degli intervalli di tempo dinamici Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importare i file dell interfaccia utente manualmente Per importare i file dell interfaccia utente 1 Accedere a un prompt dei comandi sul server CA User Activity Reporting Module Accedere con le credenziali dell account caelmadmin Commutare gli utenti sull utente di root tramite il seguente comando su Navigare fino alla directory opt CA LogManager EEM content Immettere il comando ImportCALMFlexFiles sh Lo script di shell importa i file dell interfaccia utente Capitolo 3 Installazione di CA User Activity Reporting Module 131 Capitolo 4 Configurazione di utenti e accessi di base Questa sezione contiene i seguenti argomenti Informazioni sugli utenti e gli accessi di base a pagina 133 Configurazione dell archivio utente a pagina 134 Configurazione dei criteri delle password a pagina 138 Conservazione di criteri di accesso predefiniti a pagina 139 Creazione del primo amministratore a pagina 140 Informazioni sugli utenti e gli accessi di base La configurazione inizia con la configurazione dell archivio utente creando uno o pi utenti con il ruolo di amministratore predefinito e i criteri di configurazione della password Di solito questa configurazione viene eseguita dal progra
144. ame_ELM sh Lo script di aggiornamento esegue azioni che comprendono Arresto automatico e riavvio dell agente predefinito Arresto automatico e riavvio del servizio iGateway Richiesta di modifica di nome host indirizzo IP e indirizzo IP DNS m Aggiornamento automatico dei file di configurazione con password crittografate per i diversi certificati Per aggiornare un server CA User Activity Reporting Module virtuale clonato 1 Accedereal server fisico di destinazione come root 2 Aprire l immagine ISO o il DVD dell applicazione e accedere alla directory CA Linux_x86 Lo script disponibile anche nel file system di un server CA User Activity Reporting Module installato Lo script risiede nella directory opt CA LogManager 3 Copiare lo script Rename_ELM sh nel server di destinazione 4 Modificare le informazioni per il server CA User Activity Reporting Module virtuale con il comando seguente Rename_ELM sh 5 Rispondereai prompt 6 Avviare la macchina virtuale che contiene il server virtuale aggiornato 328 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali CA User Activity Reporting Module pu essere distribuito come applicazione virtuale in formato Open Virtualization Format OVF Il provisioning di applicazioni virtuali richiede meno tempo dell installazione o clo
145. amente di eseguire l aggiornamento durante la pianificazione successiva Durante il processo vengono visualizzati dei messaggi riguardanti lo stato dell aggiornamento nel log Eventi con monitoraggio automatico Per configurare un client di sottoscrizione 1 Fareclic sulla scheda Amministrazione quindi sulla sottoscheda Servizi 2 Espandere il servizio di sottoscrizione e selezionare il server da configurare Viene visualizzata la configurazione del Servizio di sottoscrizione per il server CA User Activity Reporting Module selezionato Capitolo 5 Configurazione dei servizi 193 Configurazione della sottoscrizione 3 Identificare il server selezionato come client deselezionando la caselle di controllo del proxy di sottoscrizione 4 Dal momento che i client di sottoscrizione contattano i proxy di sottoscrizione attraverso la rete interna non necessario configurare le impostazioni del proxy HTTP locale per un singolo server client 5 Fare clic su Salva Ulteriori informazioni Configurazione della sottoscrizione a pagina 190 Configurazione degli elenchi proxy Nel caso in cui vengano configurati pi proxy di sottoscrizione per l ambiente in uso possibile configurare gli elenchi proxy per gli aggiornamenti del client Se un proxy specificato non disponibile al momento della richiesta di aggiornamento del client il client contatta ciascun proxy incluso nell elenco fino al completamento del download degli aggiornamenti
146. ano presenti nella colonna Selezionati 182 Guida all implementazione Configurazione del servizio di correlazione Come progettare e applicare le notifiche di incidente E possibile configurare notifiche per le regole di correlazione Le notifiche consentono di trasmettere informazioni chiave sugli incidenti rilevati al personale specificato oppure di creare automaticamente ticket per il service desk CA IT PAM Per progettare e configurare le notifiche nel proprio ambiente attenersi alla seguente procedura 1 Pianificare e creare le destinazioni di notifica 2 Selezionare le regole di correlazione predefinite oppure creare regole personalizzate da utilizzare nel proprio ambiente 3 Aggiungere dettagli di notifica alle regole per le quali si desidera impostare le notifiche 4 Applicare le regole di correlazione ai server CA User Activity Reporting Module e assegnare le destinazioni di notifica Ulteriori informazioni Come creare una notifica di destinazione a pagina 184 Applicazione di regole di correlazione e notifiche di incidente a pagina 177 Capitolo 5 Configurazione dei servizi 183 Configurazione del servizio di correlazione Come creare una notifica di destinazione E possibile creare oggetti destinazione di notifica da utilizzare nelle regole di correlazione Le destinazioni consentono di applicare impostazioni di recapito comuni a diverse regole possibile assegnare una destinazione a pi regole in
147. anti Deploy OVF Template Loix Pi Customize the software solution for this deployment A Host Settings A Host Name Enter name of this host machine pampes sSsSCsSCSSSSCS B Root Password Enter root password of this machine fexamplerootpassword C IP Address Enter IP address of this machine 2 10 0 0 D Subnet Mask Enter the subnet mask IU 0_ 0 0 E Default Gateway Enter the IP address of the default gateway ase 168 0 0 F DNS Servers Enter a list of the IP addresses for your DNS servers Use a comma to separate the IP addresses of the DNS servers fiss 168 10 20 198 168 10 25 G Domain Name Enter the domain name of this machine example com H Time Zone Choose the time zone Africa Abidjan hd 1 NTP Server Location Enter the NTP Server Location if you want to configure System Time through NTP 196 168 10 30 z 366 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Deploy O F Template Properties Customize the software solution For this deployment Source OVE Template Details End User License Agreement Name and Location B CA Enterprise Log Manager Settings Deployment Confiquration E Host Cluster A Location of CA EEM Server Resource Pool Select Local if the CA EEM server is to be installed on this host Select Remote if this CA Provestics Enterprise Log Manager s
148. applicabile Se non si dispone di ruoli server dedicati interpretare i riferimenti del diagramma di flusso da server di rapporto a archiviazione remota come da CA User Activity Reporting Module non dedicato a archiviazione remota 154 Guida all implementazione Configurazione dell archivio registro eventi Una strategia di backup implica la presenza di due copie di ogni database in cui uno viene considerato il backup possibile raggiungere questo obiettivo con o senza l archiviazione automatica in un server di archiviazione remoto La strategia di backup archiviazione automatica viene riflessa nei database originali sul server di archiviazione remoto e i backup in una posizione esterna La strategia di backup senza archiviazione automatica viene riflessa nei database originali sul server CA User Activity Reporting Module e i backup in un server di archiviazione remoto Qualora sia possibile archiviare il database sul server CA User Activity Reporting Module in cui sono stati inizialmente archiviati dipende dallo spazio disponibile per l archiviazione a lungo termine e dai criteri di archiviazione Se questi criteri vengono soddisfatti la decisione viene lasciata alle preferenze personali Attivazione dell archiviazione automatica giornaliera alla raccolta Configurare Configurare l autenticazione non interattiva dal server di raccolta al server di rapporto Configurare l archiviazione automatica dal
149. are eventi al database CA Audit Collector Configurare il servizio prima di modificare i criteri di CA Audit accertandosi che non vadano persi degli eventi Il servizio router SAPI pu essere configurato in modo simile Se si utilizzano entrambi i servizi Router e Collector assicurarsi che le porte elencate siano diverse o che siano controllate dal servizio PortMapper Appendice B Considerazioni per gli utenti CA Access Control 265 Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module Per configurare il servizio SAPI Collector 1 Accedere al server CA User Activity Reporting Module come utente Amministratore e selezionare la scheda Amministrazione La sottoscheda Raccolta registri verr visualizzata per impostazione predefinita 2 Espandere la voce CA Technologies Adapters Query e rapporti Rapporti pianificati Gestione avvisi Amministrazione v Raccolta registri Servizi Gestione utenti e accessi Explorer raccolta registri v CA Adapters gt CA Audit SAPI Collector gt CA Audit SAPI Router gt J iTechnology Event Plugin gt 5 Explorer agente gt Libreria di perfezionamento eventi gt Profili gt 0 Query di catalogo archiviazioni 3 Selezionare il servizio SAPI Collector Configurazione di servizio globale CA Audit SAPI Collector Amministrazione Eventi di automonitoraggio Salva Reimposta Usa impostazioni predefinit Con
150. are gli avvisi sulle azioni soggetti alla configurazione di et e quantit massime URL del feed RSS per la sottoscrizione L URL del feed RSS per la sottoscrizione un collegamento preconfigurato utilizzato dai server proxy di sottoscrizione in linea per recuperare gli aggiornamenti di sottoscrizione Questo URL vale per il server di sottoscrizione CA Technologies URL di CA Embedded Entitlements Manager L URL di CA Embedded Entitlements Manager CA EEM https lt ip_address gt 5250 spin eiam Per accedere selezionare CAELM come applicazione ed inserire la password associata al nome utente EiamAdmin 424 Guida all implementazione URL di CA Enterprise Log Manager utente applicazione Utente EEM utente globale utility LMArchive L URL di CA User Activity Reporting Module https lt ip_address gt 5250 spin calm Per accedere inserire il nome utente del proprio account definito dall amministratore e la password associata Oppure inserire il nome predefinito del super utente EiamAdmin e la password associata Un utente applicazione un utente globale a cui si assegnano dettagli a livello di applicazione dettagli utente dell applicazione CA User Activity Reporting Module comprendono il gruppo utente e qualsiasi restrizione di accesso Se l archivio utente il repository locale i dettagli utente dell applicazione conterranno anche le credenziali di accesso e criteri di password L Utente EEM configurato nella
151. are il sistema operativo Disattivare le unit SAN Installare il sistema operativo sull applicazione Installare il server CA User Activity Reporting Module Impostare una configurazione con pi percorsi per l archiviazione SAN Creare un volume logico Preparare il volume logico per CA User Activity Reporting Module Riavviare CA User Activity Reporting Module oN DY AA SO N PF Verificare l esito dell installazione Capitolo 3 Installazione di CA User Activity Reporting Module 95 Considerazioni sull installazione di sistemi con unit di SAN Durante l installazione del sistema operativo con le unit SAN disabilitate verranno utilizzati i seguenti file lvm conf File di configurazione per Linux Logical Volume Manager LVM2 multipath conf etc multipath conf File di configurazione per pi percorsi Linux fstab etc fstab File di tabella del file system che esegue il mapping di dispositivi in directory di un sistema Linux Disattivazione delle unit SAN Utilizzare le procedure consigliate dal fornitore dell unit SAN per disattivare le unit SAN nel nuovo hardware su cui si desidera installare l applicazione Disattivare le unit SAN prima di installare il sistema operativo dell applicazione o l applicazione CA User Activity Reporting Module Impostazione di una configurazione con pi percorsi per l archiviazione SAN L impostazione di una configurazione con pi percorsi richiesta per un sistema CA
152. are tale server Fare clic su Applica nell area Configurazione regola quindi selezionare la nuova versione della regola Accessi non riusciti seguiti da accesso corretto con la destinazione di notifica desiderata associata alla regola Fare clic su OK per chiudere la finestra di dialogo e attivare la regola Ulteriori informazioni Applicazione di regole di correlazione e notifiche di incidente a pagina 177 Impostazione dei server di raccolta E possibile impostare i server di raccolta ai quali inoltrare gli eventi per la correlazione in ambienti multiserver L impostazione dei server di raccolta consente di gestire ed eseguire le regole di correlazione in un unico server che pu essere un server di correlazione dedicato oppure un server con ruoli condivisi Sar quindi possibile visualizzare incidenti da tutti i server di raccolta selezionati Per impostare i server di raccolta 1 Fare clic su Amministrazione quindi sulla sottoscheda Servizi quindi espandere il nodo Servizio di correlazione Selezionare il server CA User Activity Reporting Module server al quale inoltrare gli eventi per la correlazione Se si dispone di un server di correlazione dedicato selezionare il nome del server Nel riquadro destro verranno visualizzati i dettagli relativi al server di correlazione Utilizzare il controllo pilota Server di raccolta per selezionare i server Verificare che tutti i server che raccolgono eventi per la correlazione si
153. atabase Dopo l avvenuto ripristino di un database cold nel suo CA User Activity Reporting Module originale utilizzare LMArchive per inviare una notifica a CA User Activity Reporting Module che a sua volta trasformer i file del database in stato defrosted in modo da poter ricevere delle query Glossario 425 utility LMSEOSImport utility scp valori principali varbind voce di registro L utility LMSEOSImport un utility da riga di comando e consente di importare SEOSDATA o eventi esistenti in CA User Activity Reporting Module durante la migrazione da Audit Reporter da Viewer o da Audit Collector Solo Microsoft Windows e Sun Solaris Sparc supportano questa utility L utility scp copia sicura un programma di copia di file remoti un utility UNIX che consente di trasferire file fra i diversi computer UNIX in una rete possibile utilizzare questa utility subito dopo l installazione di CA User Activity Reporting Module per trasferire i file di aggiornamento di sottoscrizione dal proxy di sottoscrizione in linea a quello non in linea I valori principali sono valori definiti dell utente ed assegnati a un elenco anch esso definito dall utente gruppo principale Quando una query utilizza un gruppo principale i risultati della ricerca contengono le corrispondenze a qualsiasi valore principale presente nel gruppo principale Esistono diversi gruppi principali predefiniti utilizzati nelle query e nei rapporti predefiniti Alcu
154. ateway lo script di avvio del procsso igateway ed di propriet dell utente principale Quando viene avviato il processo igateway viene eseguito con l account utente caelmservice Capitolo 3 Installazione di CA User Activity Reporting Module 81 Installazione si un server CA User Activity Reporting Module Terminare il daemon o il servizio iGateway Il daemon o servizio iGateway il processo che gestisce tutte le chiamate all interfaccia utente sia per CA EEM che CA User Activity Reporting Module Il processo deve essere in esecuzione per poter accedere ad entrambe le applicazioni Utilizzare questa procedura per terminare il processo iGateway Si potrebbe effettuare questa operazione in preparazione del riavvio del processo o rimuovendo un server CA User Activity Reporting Module dalla rete Per terminare il daemon o il servizio iGateway 1 Accedere come utente caelmadmin per il server CA User Activity Reporting Module 2 Passare all account dell utente principale con il seguente comando su 3 Terminare il processo igateway con il seguente comando IGW LOC S99igateway stop S99igateway lo script di avvio del processo igateway ed di propriet dell utente principale Quando viene avviato il processo igateway viene eseguito con l account utente caelmservice Avviare il daemon o il servizio dell agente CA User Activity Reporting Module Il daemon o il servizio dell agente CA User Activity Reporting Module il proc
155. ato come server di correlazione selezionare tale server Fare clic su Applica nell area Configurazione regola quindi selezionare la nuova versione della regola Creazione account al di fuori delle ore lavorative con la destinazione di notifica desiderata associata alla regola 10 Fare clic su OK per chiudere la finestra di dialogo e attivare la regola Esempio selezione e applicazione di una regola di conteggio Capitolo 5 Configurazione dei servizi 179 Configurazione del servizio di correlazione Le regole di correlazione di conteggio consentono di identificare una serie di stati o occorrenze identiche Ad esempio possibile applicare una regola che avvisa di cinque o pi accessi non riusciti da parte di un account di amministratore Prima di applicare una regola necessario verificare di aver creato le destinazioni di notifica desiderate per il proprio ambiente Per selezionare e applicare la regola 5 tentativi di accesso non riuscito per Account amministratore 1 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Libreria ed espandere la cartella Regole di correlazione Espandere la cartella Gestione minacce quindi la cartella Attivita account e accesso sospette e selezionare la regola 5 tentativi di accesso non riuscito per Account amministratore dettagli della regola verranno visualizzati nel riquadro a destra Rivedere i dettagli della regola per verificare che sia appropriata per il proprio ambi
156. base alle proprie esigenze L assegnazione delle destinazioni pu essere eseguita durante l applicazione della regola di correlazione oppure dopo la creazione di un incidente Per utilizzare un oggetto destinazione di notifica attenersi alla seguente procedura 1 Aprire la procedura guidata di gestione delle destinazioni di notifica e impostare un nome destinazione e una descrizione 2 Impostare i parametri per i tipi di destinazione desiderati a Messaggi di posta elettronica b Processi CA IT PAM c trap SNMP Un oggetto notifica di destinazione pu disporre di pi tipi di notifica Ulteriori informazioni Apertura della procedura guidata di gestione delle destinazioni di notifica a pagina 184 Impostazione delle destinazioni di posta elettronica a pagina 185 Impostazione di una destinazione di processo a pagina 185 Impostazione di destinazioni SNMP a pagina 186 Apertura della procedura guidata di gestione delle destinazioni di notifica Per creare una destinazione di notifica necessario aprire la procedura guidata Per aprire la procedura guidata di gestione delle destinazioni di notifica 1 Fare clic sulla scheda Amministrazione sulla sottoscheda Libreria quindi sulla cartella Destinazioni notifica 2 Fare clic su Nuova notifica Verr visualizzata la procedura guidata Gestisci notifica 184 Guida all implementazione Configurazione del servizio di correlazione Ulteriori informazioni Impostazi
157. bile eseguire il backup dell istanza dell applicazione CA User Activity Reporting Module dal server CA EEM interno sul server di gestione Per eseguire il backup dell istanza dell applicazione 1 Accedere al server CA EEM con il seguente URL https lt nomeserver gt 5250 spin eiam 2 Espandere l elenco Applicazioni nella pagina di accesso e selezionare il nome dell istanza dell applicazione utilizzata durante l installazione dei server CA User Activity Reporting Module Il nome istanza dell applicazione predefinito per CA User Activity Reporting Module CAELM 3 Accedere come utente EiamAdmin o utente con ruolo di amministratore CA EEM 4 Accedere alla scheda Configura e selezionare la sottoscheda Server EEM 5 Selezionare la voce Esporta applicazione nel riquadro di navigazione a sinistra 6 Selezionare tutte le opzioni eccetto la casella di controllo Ignora dimensioni massime di ricerca Nota se si sta utilizzando una directory esterna non selezionare le opzioni Utenti globali Gruppi globali e cartelle globali Appendice D Ripristino di emergenza 305 Ripristino di un server CA EEM per l utilizzo con CA User Activity Reporting Module Fare clic su Esporta per creare un file di esportazione XML per l istanza dell applicazione La finestra di dialogo Download file visualizza il nome del file lt NomelstanzaAppl gt xml gz ad esempio CAELM xml gz e il pulsante Salva Fare clic su Salva e selezionare la posizione
158. board di agente i 91 Aggiunta di nuovi server CA User Activity Reporting Module in una federazione in modalit FIPS esistent e sca ai lE a ee 92 Considerazioni sull installazione di sistemi con unit di SAN i 94 Installazione con unit SAN disabilitate i 95 Installazione con unit SAN abilitate iii 101 Configurazioni server CA User Activity Reporting Module iniziali ii 102 Account utente predefinit0 103 Struttura directory predefinita i 104 Immagine personalizzata del sistema operatiVo i 104 Assegnazioni delle porte predefinite 105 Elenco del processi correlati scel anaianlanla aac La aED 107 Protezione avanzata del sistema operativo ssrin inneres rusudan ienis R raS 110 Reindirizzamento delle porte del firewall per gli eventi syslog i 110 Installazione del client ODBC ui 111 Prerequisiti oiran all a a a Dog a aa aa Ra E a E aS 111 Configurazione del servizio server ODBC ii 112 Installazione del client ODBC su sistemi WINdOWS ceccccesssnseceeseececeeeneeecesseeeecesseeaeceseeaaeeseseaaees 113 Creazione di un origine dati ODBC su sistemi WINGOWS ccccsssececesssececseseeecesaeeecseaaeeeeseaaeeeeesaas 114 Verifica della connessione del client ODBC al database 116 Verifica del recupero d
159. ca restituisce record globali caricati da quell archivio utente Se l archivio utente configurato quello di CA User Activity Reporting Module la ricerca restituisce i record creati per gli utenti in CA User Activity Reporting Module La modifica degli account utenti consentita soltanto agli amministratori Per assegnare un ruolo o un gruppo utenti dell applicazione a un utente esistente 1 Fare clic sulla scheda Amministrazione e sulla sottoscheda Gestione utenti e accessi Fare clic su Utenti nel riquadro sinistro Vengono visualizzati i riquadri Ricerca utenti e Utenti Selezionare Utenti globali inserire un criterio di ricerca e fare clic su Vai a Se si stanno cercando account utente caricati il riquadro Utenti mostra il percorso e le etichette percorso rispecchiano la directory esterna di riferimento Importante Immettere sempre i criteri di ricerca in modo che non vengano visualizzate tutte le voci in un archivio utente esterno Selezionare un utente globale senza appartenenza ad alcun gruppo applicazione CA User Activity Reporting Module Viene visualizzata la pagina utente con il nome della cartella i dettagli sull utente globale e laddove applicabile l appartenenza al gruppo globale Fare clic su Aggiungi dettagli utente applicazione Il riquadro dettagli utente CAELM si espande Selezionare il gruppo desiderato da Gruppi utente disponibili e fare clic sulla freccia a destra Il gruppo selezionato vie
160. care un rapporto relativo a eventi recenti warm eseguire il rapporto dal server d gestione rapporto e annullare la richiesta per la condizione di federazione Un rapporto di questo tipo comprende i dati archiviati di recente raccolti da tutti i server di raccolta La federazione non necessaria Per pianificare un avviso che comprenda i nuovi eventi hot da ciascun server di raccolta e gli eventi archiviati warm sul server di gestione rapporto eseguire l avviso da qualsiasi server di raccolta e specificare la condizione di federazione possibile limitare i risultati restituiti dai server di raccolta specificando come condizioni dei risultati l intervallo predefinito ovvero l ultima ora trascorsa Ulteriori informazioni Configurazione di un server CA User Activity Reporting Module come server figlio a pagina 228 Esempio archiviazione automatica fra tre server a pagina 167 38 Guida all implementazione Pianificazione degli utenti e degli accessi Pianificazione degli utenti e degli accessi Dopo avere installato il primo server CA User Activity Reporting Module e avere effettuato l accesso ad esso come utente EiamAdmin possibile configurare l archivio utente un utente come amministratore e impostare i criteri delle password La pianificazione degli utenti e degli accessi limitata a quanto segue m Determinare se accettare l archivio utente predefinito su questo server CA User Activity Reporting Module o configura
161. cede l archiviazione degli eventi Il plugin evento iTech un adapter CA che un amministratore pu configurare con i file di mapping selezionati Riceve eventi dagli iRecorder remoti da CA EEM dallo stesso iTechnology o da qualsiasi prodotto che consenta di inviare eventi usando iTechnology 414 Guida all implementazione pozFolder pozFolder un attributo di AppObject il cui valore il percorso padre di AppObject L attributo ed il valore di pozFolder vengono utilizzati nei filtri dei criteri di accesso che limitano l accesso a risorse come rapporti query e configurazioni Procedura guidata file di analisi La Procedura guidata file di analisi una funzione di CA User Activity Reporting Module che gli amministratori possono utilizzare per creare modificare ed analizzare i file XMP eXtensible Message Parsing memorizzati nel server di gestione di CA User Activity Reporting Module Per personalizzare l analisi dei dati evento in arrivo necessario modificare le stringhe ed i filtri di corrispondenza preliminare file nuovi e quelli modificati vengono visualizzati in Explorer raccolta registri in Libreria di perfezionamento eventi in File di analisi e nella cartella Utente processo di output evento avviso Il processo di output evento avviso il processo CA IT PAM che richiama un prodotto di terze parti per rispondere ai dati di avviso configurati in CA User Activity Reporting Module Quando si pianifica un processo di avvis
162. cessfully detached from source My Audit DSN Exiting Import Questa anteprima di importazione mostra che i l intervallo di date produce un sottoinsieme pi piccolo di eventi da importare Ora possibile eseguire l importazione reale Ulteriori informazioni Nozioni fondamentali sulla riga di comando di LMSeosImport a pagina 255 Anteprima dei risultati dell importazione a pagina 259 Appendice B Considerazioni per gli utenti CA Access Control 283 Importazione di eventi CA Access Control da un database di raccolta CA Audit Importazione di eventi CA Access Control Dopo avere eseguito l importazione di eventi e un anteprima dell importazione si pronti per importare gli eventi CA Access Control dalla tabella SEOSDATA Per importare eventi CA Access Control Utilizzare il comando dall anteprima senza l opzione preview per ripristinare gli eventi CA Access Control dall intervallo di date indicato LMSeosImport exe dsn My Audit DSN user sa password sa target My CA ELM Server log eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 L utilit visualizza i risultati come il seguente Import started on Fri Jan 2 15 41 23 2009 No transport specified defaulting to SAPI Preparing ODBC connections Successfully attached to source My Audit_DSN No starting ENTRYID specified using minimum ENTRYID of 1 Import running please wait eTrust AC 2241 Last EntryId processed 516781010
163. cesso a tutti gli altri server CA User Activity Reporting Module nello stesso ramo Ci in contrasto diretto con un server CA User Activity Reporting Module in una federazione gerarchica che pu produrre rapporti solo sui server al di sotto di esso nella gerarchia In una formazione ad anello o a stella ogni server CA User Activity Reporting Module configurato per essere figlio di tutti gli altri server Quando si richiede il rapporto dei dati da qualsiasi server CA User Activity Reporting Module si visualizzano i dati di tutti i server CA User Activity Reporting Module all interno della rete La federazione a coppie assegna due o pi server CA User Activity Reporting Module come primari e utilizza i server in una federazione a prescindere dalla loro posizione all interno della rete Anche i server configurati come figlio sono configurati per visualizzare i figli nello stesso ramo o in altri rami come federati ad essi Ad esempio se si dispone di due server CA User Activity Reporting Module A e B possibile creare una federazione a coppie rendendo B figlio di A e A figlio di B Questa la configurazione prevista quando si utilizzano due o pi server di gestione 226 Guida all implementazione Federazioni a coppie Esempio di federazione a coppie Esaminare la seguente illustrazione di una federazione a coppie completa Raccolta 1 Raccolta 3 Gestione rapporto 1 Raccolta 2 Raccolta 4 Nella federazione a coppie m
164. che trasforma gli eventi non elaborati raccolti da un origine evento in un evento perfezionato che si pu visualizzare L analisi dei file XMP il procedimento eseguita dall utility di Analisi del messaggio per individuare tutti gli eventi contenenti ogni stringa di corrispondenza preliminare Si divider quindi ogni evento corrispondente in token in modo da poterlo analizzare utilizzando il primo filtro individuato che utilizzi la medesima stringa di corrispondenza preliminare L analisi del mapping un passaggio nella procedura guidata File di mapping che consente di verificare ed eseguire delle modifiche ad un file di mapping dei dati Gli eventi campione vergono verificati tramite il file di mapping dei dati ed i risultati si convalidano con la CEG 396 Guida all implementazione analisi di messaggio analisi di registro analisi di registro applicazione software AppObject L analisi di messaggio il processo di applicazione delle regole all analisi di un registro di eventi non elaborati in modo da ottenere informazioni specifiche come il timestamp l indirizzo IP ed il nome utente Le regole di analisi utilizzano la corrispondenza dei caratteri per individuare un preciso testo di evento e collegarlo ai valori selezionati L analisi di registro il procedimento di estrazione dei dati da un registro in modo che i valori analizzati possano essere utilizzati in una fase successiva della gestione di registro L analisi
165. chiviati nel server di gestione Ogni volta che si installa un agente il server di gestione rende disponibile il nuovo agente nell Explorer agente per ogni server CA User Activity Reporting Module che ha registrato con lo stesso nome di istanza dell applicazione Ci permette di configurare e controllare qualsiasi agente da ogni server CA User Activity Reporting Module all interno della rete Privilegi dell account utente dell agente Gli agenti possono essere eseguiti con account utente a basso privilegio necessario creare un gruppo e un account utente di servizio nell host di destinazione prima di installare un agente Si dovr specificare il nome utente durante l installazione dell agente e il programma di installazione imposter correttamente le autorizzazioni Su sistemi Linux l utente dell agente possiede tutti i file binari dell agente eccetto i file binari del controllo di propriet dell utente principale Informazioni sulle integrazioni Il set di integrazioni pronte all uso consiste essenzialmente in una libreria di modelli Questi modelli forniscono il codice specifico per la raccolta di eventi da un tipo particolare di fonte di registri Un integrazione diventa un connettore quando viene presa dalla libreria configurata e applicata alla fonte dell evento Le integrazioni contengono i seguenti tipi di informazioni m File di accesso ai dati con informazioni per un tipo particolare di fonte degli eventi File di analisi d
166. ciascun agente eliminare la voce dell agente in Gestione agenti reinstallare l agente e riconfigurare i connettori 62 Guida all implementazione Pianificazione agente Informazioni sugli agenti Gli agenti vengono eseguiti come servizio o daemon dopo l installazione e sono componenti opzionali del prodotto utilizzati in una o pi delle seguenti situazioni Un piccolo sito remoto richiede la raccolta di dati degli eventi ma non richiede un dispositivo software CA User Activity Reporting Module completo necessario filtrare i dati alla fonte dell evento per ridurre il traffico di rete o la quantit di dati archiviati necessario garantire la consegna degli eventi all archivio registro eventi per la conformit necessaria una trasmissione dei registri sicura all interno della rete con crittografia dei dati Gli agenti operano come gestori dei processi per i connettori che raccolgono dati degli eventi da applicazioni specifiche sistemi operativi o database Gli agenti forniscono comandi di gestione dei connettori come avvio interruzione e riavvio dall interfaccia dell Explorer agente in CA User Activity Reporting Module Gli agenti applicano anche modifiche alla configurazione dei connettori e aggiornamenti dei file binari possibile installare agenti su singole fonti di eventi oppure possibile installare agenti su server di host remoti per raccogliere gli eventi da pi di una fonte di eventi L installaz
167. configurare ciascun server come proxy o client di sottoscrizione Se necessario specificare uno o pi proxy come proxy non in linea Specificare ciascun server come proxy o client a livello locale 2 Configurare gli elenchi proxy per entrambi gli aggiornamenti client e dei contenuti possibile specificare un elenco proxy per gli aggiornamenti dei client a livello globale per l intero ambiente oppure impostare gli elenchi proxy locali per ciascun server Per gli aggiornamenti dei contenuti possibile specificare solo un elenco di proxy a livello globale 3 Selezionare i moduli che si desidera scaricare possibile selezionare i moduli a livello globale o locale per ciascun server 4 Impostare la pianificazione di sottoscrizione possibile eseguire la pianificazione a livello globale o locale per ciascun server Ulteriori informazioni Configurazione di un proxy di sottoscrizione in linea a pagina 191 Configurazione di un proxy di sottoscrizione non in linea a pagina 192 Configurazione di un client di sottoscrizione a pagina 193 Configurazione degli elenchi proxy a pagina 194 Selezione dei moduli per la sottoscrizione in linea a pagina 197 Download e selezione dei moduli per la sottoscrizione non in linea a pagina 199 Definizione della pianificazione di sottoscrizione a pagina 201 190 Guida all implementazione Configurazione della sottoscrizione Configurazione di un proxy di sottoscrizione in linea Il
168. correlazione e impostare destinazioni di notifica 1 Fare clic su Amministrazione quindi sulla sottoscheda Servizi quindi espandere il nodo Servizio di correlazione Selezionare il server CA User Activity Reporting Module al quale si desidera applicare le regole di correlazione Nel riquadro destro verranno visualizzati i dettagli relativi al server di correlazione Fare clic su Aggiungi Verra visualizzata una finestra di dialogo per la selezione di una regola e una versione Selezionare la casella di controllo accanto alla categoria o alla regola da applicare E possibile selezionare intere cartelle di categoria singole regole o qualsiasi combinazione Capitolo 5 Configurazione dei servizi 177 Configurazione del servizio di correlazione 5 Selezionare la versione della regola desiderata per ogni regola selezionata per l applicazione 6 Facoltativo Selezionare una destinazione di notifica per ogni regola selezionata per l applicazione Se non si seleziona una destinazione la regola non disporr di notifica automatica possibile impostare manualmente una notifica per gli incidenti generati da qualsiasi regola 7 Selezionare i server di raccolta ai quali inviare gli eventi per la correlazione dall elenco dei server disponibile necessario selezionare tutti i server ai quali si desidera inviare gli eventi per la correlazione Se non viene selezionato alcun server nessun evento verr inviato per la correlazione
169. creato il file di configurazione di controllo registrazione CA Access Control e di aver modificato il parametrohost loghost del file per il reindirizzamento degli eventi generati verso localhost Verificare che il daemon di accesso al controllo di CA Access Control sia stato abilitato Nota per informazioni sulle procedure di installazione su sistemi Linux consultare la documentazione CA Access Control 290 Guida all implementazione Appendice C Considerazioni su CA IT PAM Questa sezione contiene i seguenti argomenti Scenario utilizzo di CA EEM in CA User Activity Reporting Module per l autenticazione CA IT PAM a pagina 292 Processo di implementazione di CA IT PAM a pagina 292 Preparazione dell implementazione dell autenticazione di CA IT PAM su un CA EEM condiviso a pagina 294 Copiare un file XML nella Gestione di CA User Activity Reporting Module a pagina 295 Registrazione di CA IT PAM con CA EEM condiviso a pagina 295 Copia del certificato sul server di CA IT PAM a pagina 297 Impostazione di password per gli account utente predefiniti di CA IT PAM a pagina 297 Installare i componenti di terze parti richiesti da CA IT PAM a pagina 299 Installazione del dominio CA IT PAM a pagina 299 Avviare il servizio server CA ITPAM a pagina 301 Avviare ed accedere alla console del server CA IT PAM a pagina 301 Appendice C Considerazioni su CA IT PAM 291 Scenario utilizzo di CA EEM in CA User Activity Re
170. d_keys sul server di rapporto con il contenuto della chiave pubblica Configurazione delle chiavi per una coppia aggiuntiva raccolta rapporto Il secondo passaggio della configurazione dell autenticazione non interattiva per un architettura hub e spoke consiste nella generazione di una coppia di chiavi RSA su ciascuno dei server di raccolta e nella copia di tale coppia nella directory tmp del server di rapporto comune come authorized_keys_n dove n fa riferimento in modo univoco al server di raccolta di origine Per generare una coppia di chiavi RSA in server di raccolta aggiuntivi e copiare la chiave pubblica in un server di rapporto comune 1 Accedere al secondo server di raccolta ELM C2 mediante ssh come caelmadmin Commutare gli utenti su root Far passare gli utenti all account caelmservice su caelmservice Generare la coppia di chiavi RSA utilizzando il seguente comando ssh keygen t rsa Premere Invio per accettare il valore predefinito per ognuno dei seguenti prompt m Specificare il file in cui salvare la chiave opt CA LogManager ssh id_rsa m Immettere la passphrase oppure lasciare il campo vuoto m Immettere nuovamente la stessa passphrase Modificare la directory in opt CA LogManager Modificare i permessi della directory ssh con il seguente comando chmod 755 ssh Accedere a ssh in cui salvata la chiave id_rsa pub Capitolo 5 Configurazione dei servizi 159 Configurazione dell archivio
171. da file di backup dopo avere installato il dispositivo software CA User Activity Reporting Module sul nuovo server Per ripristinare un server CA User Activity Reporting Module da backup 1 Terminare il processo iGateway sul nuovo server Per effettuare quest operazione navigare fino alla cartella opt CA SharedComponents iTechnology ed eseguire il seguente comando S99igateway stop Copiare i file backupData tgz e backupCerts tgz nella directory opt CA LogManager sul nuovo server Espandere il contenuto del file backupData tgz con il seguente comando tar xzvf backupData tgz Questo comando sovrascrive il contenuto della cartella dei dati con il contenuto del file di backup Navigare fino alla directory opt CA SharedComponents iTechnology Espandere il contenuto del file backupCerts tgz con il seguente comando tar xzvf backupCerts tgz Questo comando sovrascrive i file dei certificati p12 nella cartella corrente con i file dei certificati dal file di backup Avviare il servizio igateway Per effettuare questa operazione eseguire il seguente comando S99igateway start 308 Guida all implementazione Ripristinare un server CA User Activity Reporting Module dopo l aggiornamento della sottoscrizione Ripristinare un server CA User Activity Reporting Module dopo I e e e l aggiornamento della sottoscrizione possibile ripristinare un server CA User Activity Reporting Module dopo un aggiornamento della sottoscri
172. definito sul server CA User Activity Reporting Module dotato di due connettori pronti all uso un connettore syslog_Connector e un connettore Linux_local Il connettore syslog disponibile per la raccolta di eventi syslog inviati al server CA User Activity Reporting Module Il connettore Linux_local connector disponibile per la raccolta di eventi a livello di sistema operativo dal server fisico CA User Activity Reporting Module o da un file syslog Nell ambiente di base a due server necessario configurare uno o pi connettori syslog sul server di raccolta per ricevere gli eventi La procedura per utilizzare l agente predefinito include i seguenti passaggi 1 Facoltativo Revisione delle integrazioni e dei listener syslog 2 Creazione di un connettore syslog 3 Verifica che il server CA User Activity Reporting Module stia ricevendo gli eventi syslog Capitolo 6 Configurazione della raccolta eventi 205 Configurazione dell agente predefinito Revisione delle integrazioni e dei listener syslog possibile rivedere le integrazioni e i listener syslog predefiniti prima di creare un connettore listener essenzialmente sono un modello dei connettori syslog che utilizzano integrazioni syslog specifiche fornite come contenuto pronto all uso con il server CA User Activity Reporting Module Per analizzare le integrazioni syslog 1 Accedere a CA User Activity Reporting Module e alla scheda Amministrazione Fare clic sulla so
173. della directory di archiviazione in utente caelmservice 172 Guida all implementazione Configurazione dell archivio registro eventi 6 Ripristinare come segue il database sul server di rapporto di origine o su un punto di ripristino dedicato all analisi dei registri provenienti da database ripristinati m Se sista eseguendo il ripristino sul server di rapporto ELM NY avviare lo script restore ca elm sh dal server di rapporto ELM NY specificando come host remoto Server di archiviazione NY m Sesistaeseguendoil ripristino sul punto di ripristino ELM NY avviare lo script restore ca elm sh dal punto di ripristino ELM NY specificando come host remoto Server di archiviazione NY Server di rapporto ELM NY Server di archiviazione NY Punto di ripristino ELM NY Archiviazione remota a lungo termine Nota ora possibile eseguire query e rapporti sui dati ripristinati Ulteriori informazioni Informazioni sull archiviazione automatica a pagina 153 Informazioni sui file di archivio a pagina 152 Impostazioni archivio registro eventi nell ambiente di base a pagina 173 Esempio mappa federazione di una grande impresa a pagina 34 Impostazioni archivio registro eventi nell ambiente di base In un ambiente in cui server CA User Activity Reporting Module distinti eseguono i ruoli di server di raccolta e di rapporto necessario configurare i depositi eventi di log singolarmente come configurazioni locali Se si sceglie di utilizzar
174. delle query o nell elenco delle query di pianificazione degli avvisi Nascondendo i tag di query sar possibile personalizzare la visualizzazione delle query disponibili Modificare una delle seguenti impostazioni dashboard Abilita avvio dashboard predefinito Visualizza il dashboard predefinito facendo clic sulla scheda Query e rapporti Questa funzione attivata per impostazione predefinita Dashboard predefinito Modificare una delle seguenti impostazioni di profilo Attivazione profilo predefinito Consente di impostare il profilo predefinito Profilo predefinito Indica il profilo predefinito Nascondi profili Consente di nascondere i profili selezionati profili nascosti non verranno visualizzati quando si aggiorna l interfaccia o quando scade l intervallo di aggiornamento Nascondendo i profili sar possibile personalizzare la visualizzazione dei profili disponibili Nota fare clic su Reimposta per ripristinare i valori dell ultimo salvataggio Sar possibile ripristinare una o pi modifiche finch non le si salva Una volta salvate le modifiche sar necessario reimpostarle singolarmente Fare clic su Salva 148 Guida all implementazione Utilizzo di impostazioni e filtri globali Utilizzo di impostazioni e filtri globali possibile definire filtri e impostazioni globali come parte della configurazione del proprio server CA User Activity Reporting Module Le impostazioni globali vengono salvate solo per la se
175. dere le seguenti azioni m Creare una federazione gerarchica dal server di gestione a un server di raccolta relativo a ogni server di rapporto in cui il server di gestione il server padre e ogni server di raccolta il server figlio Creare una federazione completamente a coppie tra i server di raccolta per ciascun server di rapporto m Creare una federazione gerarchica da ciascun server di raccolta al relativo server di rapporto in cui il server di raccolta il server padre e il server di rapporto il server figlio Creare una federazione completamente a coppie tra i server di rapporto Capitolo 2 Pianificazione dell ambiente 35 Pianificazione di una federazione Per soddisfare un determinato obiettivo di rapporti importante eseguire il rapporto da un server rappresentato da una posizione particolare sulla mappa della federazione Ecco alcuni esempi Per generare un rapporto di sistema su eventi di automonitoraggio che si verificano su ogni CA User Activity Reporting Module nella rete eseguire il rapporto dal server di gestione Per generare rapporti di riepilogo e delle tendenze da tutti i server di rapporto della rete eseguire il rapporto da qualsiasi server di rapporto m Per generare un rapporto sui dati che risiedono in un server di rapporto e nei relativi server di raccolta eseguire il rapporto da uno di questi server di raccolta Esempio mappa della federazione per un impresa di medie dimensioni
176. desidera installare il dominio di CA IT PAM Individuare l applicazione ITPAM e reimpostare le password per itpamadmin e itpamuser Accedere al server Windows e installare i componenti di terze parti utilizzando le procedure descritte nella Guida all installazione di CA IT Process Automation Manager Installare il dominio CA IT PAM utilizzando le istruzioni presentate in questa appendice e nelle istruzioni di installazione di CA IT PAM Avviare il servizio server CA ITPAM Avviare ed accedere alla console CA IT PAM Appendice C Considerazioni su CA IT PAM 293 Preparazione dell implementazione dell autenticazione di CA IT PAM su un CA EEM condiviso Preparazione dell implementazione dell autenticazione di CA IT PAM su un CA EEM condiviso In seguito al caricamento del pacchetto di installazione sul server Windows in cui si desidera installare il dominio CA IT PAM possibile impostare una password per il certificato itpamcert cer Per preparare l implementazione dell autenticazione di CA IT PAM sul server di gestione di CA User Activity Reporting Module 1 Estrarre l immagine ISO di CA IT PAM per l host Windows Server 2003 in cui si desidera installare CA IT PAM Nota possibile trovare l immagine ISO di CA IT PAM sul CD 2 dell origine dell installazione di CA IT PAM 2 Facoltativo Modificare la password predefinita per il certificato IT PAM a Andare alla cartella lt percorso di installazione gt eem b Aprire il fi
177. di Gestione criteri delle serie r8 SP2 ha il seguente formato https lt indirizzo IP di CA Audit PM gt 5250 spin auditadmin 264 Guida all implementazione Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module m Configurare il servizio collector SAPI o router SAPI CA User Activity Reporting Module a seconda di come si intende creare l azione della nuova regola Se si ha intenzione di creare un azione Collector configurare il collector SAPI Se si ha intenzione di configurare un azione Route configurare il router SAPI Nota l esempio in questa sezione utilizza l azione Collector Localizzare e modificare un criterio esistente CA Access Control per inviare gli eventi a CA User Activity Reporting Module Selezionare e attivare il criterio modificato per distribuirlo ai nodi di audit Ripetere questa procedura per aggiungere azioni della nuova regola ad altre regole del criterio a seconda delle esigenze Ulteriori informazioni Informazioni su SAPI Router e Collector a pagina 242 Configurazione di SAPI Collector Adapter per la ricezione di eventi di CA Access Control utilizzare questa procedura per configurare SAPI Collector Adapter per ricevere eventi di CA Access Control da un implementazione di CA Audit possibile modificare i criteri CA Audit che utilizzano azioni di Collector per inviare eventi a un server CA User Activity Reporting Module oltre a o al posto di invi
178. di Windows o dell URL JDBC Crittografato SSL Indica se utilizzare la crittografia per le comunicazioni fra il client ODBC ed il server CA User Activity Reporting Module Il server CA User Activity Reporting Module rifiuta i tentativi di connessione quando il valore in origine dati di Windows o nell URL JDBC non corrisponde a questa impostazione 188 Guida all implementazione Considerazioni sul server di rapporto Timeout di sessione minuti Specifica il numero di minuti in cui una sessione inattiva restera aperta prima che si chiuda automaticamente Livello di log Definisce il tipo e il livello di dettaglio presenti nel file in registrazione L elenco a discesa disposto in ordine di dettaglio la prima voce corrisponde alla meno dettagliata Applica a tutti i registratori Controlla se l impostazione del livello di log sovrascrive tutte le impostazioni di log dal file delle propriet del log Questa impostazione si applica soltanto quando l impostazione del livello di log inferiore ovvero pi dettagliata rispetto a quella predefinita Considerazioni sul server di rapporto Il server di rapporto controlla l amministrazione dei rapporti distribuiti automaticamente il relativo aspetto in formato PDF e la conservazione di rapporti e avvisi Dall area di configurazione del server possibile eseguire le seguenti attivit m Nell area Configurazioni rapporto controllare il nome ed il logo della societ i caratter
179. di backup su un server remoto mappato Oppure salvare il file localmente e copiarlo o spostarlo nella posizione di backup su un altro server Ripristino di un server CA EEM per l utilizzo con CA User Activity Reporting Module possibile ripristinare un istanza dell applicazione CA User Activity Reporting Module in un server di gestione Il ripristino della funzionalit CA EEM del server di gestione implica l esecuzione dell utilit safex che importa l istanza dell applicazione di cui stato eseguito il backup Per ripristinare la funzionalit CA EEM del server di gestione da un backup 1 Installare il dispositivo software CA User Activity Reporting Module su un server con hardware nuovo Accedere a un prompt dei comandi e navigare fino alla directory opt CA LogManager EEM Copiare il file del backup lt Nomeistanzaapp gt xml gz in questa directory dal server di backup esterno Eseguire il seguente comando per recuperare il file di esportazione XML gunzip lt Nomeistanzaapp gt xml gz Eseguire il seguente comando per ripristinare il file di esportazione sul nuovo server di gestione safex h eemserverhostname u EiamAdmin p password f AppinstanceName xml Se si sta utilizzando la modalita FIPS verificare che l opzione fips sia inclusa Navigare fino alla directory opt CA ELMAgent bin Sostituire il file predefinito AgentCert cer con il file del backup CAELM_AgentCert cer per garantire un avvio corretto dell a
180. di ciascun server e il traffico di rete Considerare le eventuali limitazioni di accesso a Internet presenti nell ambiente e stabilire se sono necessari uno o pi proxy non in linea Considerare gli eventuali problemi associati alla protezione e al traffico e stabilire se includere un proxy HTTP locale nell architettura di sottoscrizione proxy di sottoscrizione in linea possono contattare il server di sottoscrizione CA Technologies direttamente oppure utilizzare il server proxy HTTP locale Stabilire se si desidera scaricare tutti gli aggiornamenti automaticamente in base alla pianificazione di sottoscrizione impostata oppure se si preferisce definire alcuni tipi di aggiornamento per il download manuale Ad esempio i criteri di protezione interni potrebbero richiedere il test di alcuni aggiornamenti prima di poterli applicare all ambiente Capitolo 2 Pianificazione dell ambiente 51 Pianificazione aggiornamento sottoscrizioni 5 Considerare la frequenza di aggiornamento dell ambiente CA User Activity Reporting Module desiderata Gli aggiornamenti sono resi disponibili regolarmente la frequenza dipende dal tipo di aggiornamento Per ulteriori informazioni sui tipi di aggiornamento consultare il paragrafo Informazioni sui moduli da scaricare nella sezione Ulteriori informazioni Nota Prima di eseguire gli aggiornamenti di sottoscrizione verificare che lo spazio disponibile su disco sia sufficiente per il download su ciascun server
181. di creare pi profili di raccolta adatti al proprio ambiente Per poter creare modificare o gestire profili di raccolta necessario disporre del ruolo di amministratore Per ulteriori informazioni sulle impostazioni dei connettori e dei listener consultare la Guida in linea o la Guida al connettore relative al tipo di evento che si desidera raccogliere Le seguenti fasi consentono la creazione di un profilo di raccolta eventi 1 Impostazione delle informazioni relative al profilo di raccolta 2 Applicazione delle regole di soppressione 3 Applicazione di regole di riepilogo 4 Configurazione del profilo di raccolta 392 Guida all implementazione Disponibilita elevata di CA User Activity Reporting Module Disponibilita elevata di CA User Activity Reporting Module Prerequisiti E possibile abilitare la disponibilita elevata di CA User Activity Reporting Module nell ambiente virtuale in uso mediante la funzionalita High Availability di VMware VMware HA CA User Activity Reporting Module supporta tutte le funzionalita di VMware HA salvo tolleranza di errore La disponibilita elevata di CA User Activity Reporting Module offre i seguenti vantaggi m In caso di errore fisico di un server ESX l installazione e la configurazione del server ESX non vengono compromesse in quanto il server ESX con errori viene riavviato automaticamente su altri server ESX del cluster dell ambiente virtuale m La perdita di dati minima e CA User
182. di importazione Ad esempio se non si specificano i parametri minid e maxid nella riga di comando quando l utilit viene avviata invia una query al database richiedendo l entry ID massimo e minimo esistente L utilit basa quindi le sue query e importa le attivit su tali valori Gli eventi inseriti nel database dopo l avvio dell utilit hanno entry ID all esterno dell intervallo e quindi non vengono importati AI termine di una sessione di importazione l utilit visualizza l ultimo entry ID elaborato Potrebbe essere necessario eseguire pi di una sessione di importazione per ottenere tutti gli eventi o si pu scegliere di attendere per un periodo inferiore di attivit di rete e degli eventi prima di eseguire l utilit di importazione possibile eseguire sessioni di importazione aggiuntive se necessario utilizzando l entry ID finale dell ultima sessione come valore minid della nuova sessione 252 Guida all implementazione Importazione di dati da una tabella SEOSDATA Importazione di dati da una tabella SEOSDATA Utilizzare questo processo per importare dati da un database di raccolta tabella SEOSDATA per garantire i migliori risultati 1 Copiare l utilit LMSeosImport nella cartella iTechnology su un server CA Audit Data Tools Nota l utilit LMSeosImport richiede le librerie di supporto etsapi e etbase fornite con il client CA Audit Nozioni fondamentali della riga di comando e delle opzioni di LMSeosImpor
183. di questa funzione devono appartenere a un gruppo di utenti CA User Activity Reporting Module con il privilegio dataaccess nel criterio predefinito di accesso ai dati nel criteri di accesso di CALM Consultare la Guida all amministrazione di CA User Activity Reporting Module r12 1 per ulteriori informazioni sui criteri di accesso Per un client JDBC trovano applicazione i seguenti prerequisiti necessario disporre dei privilegi di amministratore per installare il client JDBC su un server Windows Verificare che nella finestra di configurazione del server ODBC sia selezionata attivata la casella di controllo Attiva servizio necessario disporre dei diritti per la creazione di file nella directory in cui si desidera installare il client su sistemi UNIX e Linux Perle applicazioni eseguite in J2SE v 1 4 2 x impostare le connessioni al database a livello di codice come definito in una applicazione specifica Per le applicazioni eseguite in J2EE 1 4 2 x e versioni successive utilizzare un server di applicazioni Web come Oracle WebLogic o Red Hat JBoss per configurare la gestione del pool di connessione Consultare la matrice di certificazione del supporto di CA User Activity Reporting Module all indirizzo http www ca com Support per informazioni sulle piattaforme specifiche supportate per l uso con la funzione ODBC e JDBC 118 Guida all implementazione Installazione del client JDBC Installazione del client JDBC
184. di raccolta un server di rapporto e un server di archiviazione remoto necessario configurare l autenticazione non interattiva due volte Dal server di raccolta al server di rapporto Dal server di rapporto al server di archiviazione remota Se si dispone di sei server con quattro server di raccolta un server di rapporto e un server di archiviazione remoto necessario configurare l autenticazione non interattiva cinque volte Dal server di raccolta 1 al server di rapporto Dal server di raccolta 2 al server di rapporto Dal server di raccolta 3 al server di rapporto Dal server di raccolta 4 al server di rapporto Dalserver di rapporto al server di archiviazione remota La configurazione dell autenticazione ssh non interattiva tra due server utilizza le coppie di chiavi RSA una chiave privata e una chiave pubblica Copiare prima la chiave pubblica generata nel server di destinazione come authorized_keys Quando vengono configurate pi istanze di autenticazione non interattiva per lo stesso server di rapporto di destinazione copiare le chiavi pubbliche aggiuntive per i nomi file univoci per evitare di sovrascrivere il file originale authorized_keys Questi nomi file vengono concatenati a authorized_keys Ad esempio se viene aggiunto authorized_keys_ELM C2 e authorized_keys_ELM C3 al file authorized_keys da ELM C1 156 Guida all implementazione Configurazione dell archivio registro eventi Esempio Configurazion
185. di raccolta locale syslog come soluzione per i potenziali problemi con una consegna garantita Quando si stabilisce se utilizzare la raccolta diretta attraverso l agente predefinito la raccolta basata su agente dove questo installato sull host con la fonte degli eventi o la raccolta senza agente in cui questo installato su un punto di raccolta distante dalle fonti degli eventi considerare questi fattori m Piattaforme supportate 30 Guida all implementazione Pianificazione di una federazione Ad esempio WMI funziona solo su Windows per il sensore di registro Supporto di driver per alcuni sensori di registro Ad esempio necessario un driver ODBC affinch ODBC funzioni Possibilit di eseguire l accesso alla fonte degli eventi da remoto Ad esempio per i registri basati su file necessaria un unit condivisa affinch essi funzionino da remoto Pianificazione di una federazione Per CA User Activity Reporting Module una federazione una rete di server che conserva invia rapporti e archivia dati sugli eventi Una federazione permette di controllare come i dati sono raggruppati ed esaminati in una rete possibile configurare come i server si relazionano l uno con l altro e quindi come le query vengono inviate da un server all altro Inoltre possibile attivare e disattivare le query federate per query specifiche a seconda della necessit La decisione di utilizzare una federazione basata sulla combinazi
186. di registro lo studio delle voci di registro utile per identificare gli eventi d interesse Se i registri non vengono analizzati in maniera tempestiva il loro valore si riduce significativamente Un applicazione software un pacchetto software completamente funzionante contenente il software il sistema operativo sottostante ed i relativi pacchetti L avvio del supporto di installazione consente di installare l applicazione sull hardware fornito dall utente finale Gli AppObject o oggetti applicazione sono risorse specifiche di prodotto memorizzate in CA EEM sotto l istanza applicazione di un dato prodotto Per l istanza applicazione di CAELM tali risorse comprendono i contenuti di rapporto e di query le attivit pianificate per i rapporti e gli avvisi i contenuti e le configurazioni degli agenti le configurazioni di servizi adapter ed integrazioni i file di mapping dei dati e di analisi del messaggio e le regole di soppressione e di riepilogo archiviazione automatica L archiviazione automatica un procedimento configurabile che consente di automatizzare lo spostamento dei database di archivio da un server all altro Nella prima fase dell archiviazione automatica il server di raccolta invia al server di rapporto i database appena archiviati ad intervalli specificati dall utente Nella seconda fase il server di rapporto invia i database invecchiati al server di archiviazione remota per archiviarli a lungo termine eliminando cos
187. di server DNS Data e ora di sistema Aggiornare l ora attraverso NTP Nome o indirizzo del server NTP EULA Sun Java JDK EULA CA Installazione si un server CA User Activity Reporting Module Valore indirizzi IPv4 o IPv6 corrispondenti data e ora locali S consigliato o No Nome host o indirizzo IP corrispondenti S S Commenti Immettere uno o pi indirizzi IP di server DNS utilizzati nella rete elenco separato da virgole senza spazi tra le voci Se i server DNS utilizzano indirizzi IPv6 immettere questi indirizzi in quel formato Se necessario inserire una nuova data e una nuova ora di sistema Indicare se si vuole configurare il server CA User Activity Reporting Module per aggiornarne la data e l ora da un server Network Time Protocol NTP Nota la sincronizzazione dell ora garantisce che gli avvisi contengano dati completi Immettere il nome host o l indirizzo IP valido del server NTP da cui questo server CA User Activity Reporting Module riceve informazioni sulla data e l ora Leggere il contratto di licenza facendo scorrere la pagina fino a visualizzare la domanda Accettare i termini della licenza sopracitati s o no Leggere il contratto di licenza facendo scorrere la pagina fino a visualizzare la domanda Accettare i termini della licenza sopracitati s o no Capitolo 3 Installazione di CA User Activity Reporting Module 75 Installazione si un server CA Use
188. di velocit elevati per l implementazione si pu scegliere di avere un server di riserva con le stesse caratteristiche hardware di quello su cui si installano gli altri server CA User Activity Reporting Module Se un server CA User Activity Reporting Module disabilitato possibile installarne un altro utilizzando lo stesso identico nome Quando viene avviato il nuovo server esso riceve i file di configurazione necessari dal server di gestione Se questo livello di prestazioni non essenziale per l implementazione possibile installare un server CA User Activity Reporting Module su qualsiasi server vuoto in grado di ospitare il sistema operativo di base e di soddisfare i requisiti minimi di memoria e disco rigido Ulteriori informazioni sui requisiti hardware e software sono disponibili nelle Note di rilascio CA User Activity Reporting Module Anche il server interno CA EEM installato nel server di gestione dispone dei suoi processi di configurazione failover per garantire la continuit delle operazioni esaminate in dettaglio nella Guida introduttiva CA EEM Informazioni sul backup del server CA EEM La configurazione di ogni server agente e connettore CA User Activity Reporting Module oltre che di query rapporti avvisi e altro ancora viene conservata separatamente nel repository CA EEM del server CA User Activity Reporting Module di gestione L elemento fondamentale del ripristino corretto di un server l esecuzione di back
189. e Client Installare CA User Activity Reporting Module sulla macchina virtuale Utilizzare questa procedura per installare CA User Activity Reporting Module su una macchina virtuale creata in precedenza possibile configurare un server CA User Activity Reporting Module virtuale o dedicato dopo l installazione affinch svolga uno di diversi ruoli funzionali come gestione raccolta o rapporti Se si installa un server di gestione CA User Activity Reporting Module non utilizzarlo per ricevere i registri eventi o per eseguire query e rapporti Installare server virtuali CA User Activity Reporting Module separati che operino come server di rapporto e di raccolta per ottenere le prestazioni migliori Rivedere le istruzioni dell installazione normale prima di installare CA User Activity Reporting Module in un ambiente virtuale Il foglio di calcolo dell installazione aiuta a raccogliere le informazioni necessarie 316 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante computer virtuali Per installare CA User Activity Reporting Module in una macchina virtuale 1 Caricare il disco di installazione del SO CA User Activity Reporting Module nell unit DVD ROM fisica o localizzare la directory in cui stata copiata l immagine di installazione 2 Evidenziare la macchina virtuale nell elenco dell inventario delle macchine virtuali fare clic con il pulsante destro su di essa e selezionare Accendi 3
190. e CA User Activity Reporting Module in modo da ricevere registri evento da origini evento della propria rete La guida organizzata in modo che ogni attivit inizi con una descrizione del processo e dei relativi obiettivi Di solito i processi vengono seguiti da argomenti importanti e quindi da una o pi procedure utili per completare l obiettivo La Guida di implementazione di CA User Activity Reporting Module indirizzata agli amministratori di sistema che hanno la responsabilit di installare configurare e gestire la manutenzione di una soluzione di raccolta di registro di creare utenti e di assegnare o definire i relativi ruoli e accessi oltre che di occuparsi della manutenzione dei dati di backup Questa guida utile anche al personale a cui occorrono informazioni sulle procedure necessarie per eseguire le seguenti operazioni m Configurare un connettore o un adattatore per raccogliere dati di evento m Configurare servizi per controllare i rapporti la conservazione dei dati il backup e l archiviazione m Configurare una federazione di server CA User Activity Reporting Module Configurare una sottoscrizione per ottenere aggiornamenti di contenuto configurazione e del sistema operativo Ecco un riassunto dei contenuti Descrizione Pianificazione dell ambiente Descrive le attivit di pianificazione per aree come la raccolta dei registri gli agenti la federazione la gestione degli utenti e degli accessi aggiornament
191. e allo stato se necessario Verr visualizzata la procedura guidata di gestione delle regole che mostra i due stati che costituiscono la regola 5 Fare doppio clic su qualsiasi stato che si desidera modificare Verr visualizzata la procedura guidata Definizione dello stato con i dettagli relativi allo stato 6 Apportare le modifiche desiderate allo stato selezionato quindi fare clic su Salva e chiudi per tornare alla procedura guidata di gestione delle regole Ad esempio il primo stato verifica la presenza di 5 accessi non riusciti in 10 minuti possibile modificare la soglia relativa al numero di accessi non riusciti il tempo o entrambi 7 Aggiungere i dettagli di notifica desiderati nella procedura guidata dettagli di notifica forniscono il contenuto del messaggio che verr inviato come specificato in Destinazioni di notifica 8 Dopo aver terminato la preparazione della regola fare clic su Salva e chiudi Quando si modifica e si salva una regola di correlazione predefinita CA User Activity Reporting Module crea automaticamente una nuova versione preservando la versione originale Capitolo 5 Configurazione dei servizi 181 Configurazione del servizio di correlazione 10 11 12 Fare clic sulla sottoscheda Servizi e quindi espandere il nodo Servizio di correlazione Selezionare il server a cui si desidera applicare la regola Se si dispone di un server identificato come server di correlazione selezion
192. e dell autenticazione non interattiva per hub e spoke L esistenza di autenticazione non interattiva tra due server un prerequisito per l archiviazione automatica dal sistema di origine al server di destinazione Uno scenario comune per la configurazione dell autenticazione non interattiva uno scenario in cui pi server di origine dedicati alla raccolta dispongono di un server di destinazione comune dedicato alla rapporto gestione Questo esempio presuppone una federazione CA User Activity Reporting Module di medie dimensioni con un server di rapporto gestione hub quattro server di raccolta spoke e un server di archiviazione remoto nomi per i server in ciascun ruolo server sono i seguenti Server di rapporto gestione CA User Activity Reporting Module ELM RPT Server di raccolta CA User Activity Reporting Module ELM C1 ELM C2 ELM C3 ELM C4 Server di archiviazione remoto RSS Le procedure per l abilitazione dell autenticazione non interattiva per la federazione CA User Activity Reporting Module sono le seguenti 1 Dal primo server di raccolta generare una coppia di chiavi RSA come caelmservice e copiare la chiave pubblica come authorized_keys nella directory tmp sul server di rapporto di destinazione 2 Da ciascun eventuale server di raccolta aggiuntivo generare una coppia di chiavi RSA e copiare la chiave pubblica come authorized_keys_n dove n identifica in modo univoco l origine 3 Dalla directory tmp il s
193. e di creazione di rapporti Ogni nome di registro deve disporre di un file DM prima di poter memorizzare i dati evento Gli utenti possono modificare la copia di un file DM ed applicarla ad un determinato connettore II filtraggio degli eventi il processo di rimozione degli eventi basato sui filtri di CEG Glossario 407 filtro filtro di accesso filtro globale filtro locale FIPS 140 2 gestione agente Un filtro consente di porre dei limitiad una query di archivio registro eventi Un filtro di accesso un filtro che l amministratore pu impostare per controllare quali dati evento possano essere visualizzati dagli utenti e dai gruppi non amministrativi Ad esempio un filtro di accesso pu ridurre i dati che alcune identit specifiche possono visualizzare in un rapporto filtri di accesso vengono convertiti automaticamente in criteri di obbligo Un filtro globale un gruppo di criteri che possono essere specificati in modo da limitare ci che viene mostrato in tutti i rapporti Ad esempio un filtro globale degli ultimi 7 giorni riporter gli eventi generati negli ultimi sette giorni Un filtro locale un gruppo di criteri che visualizzando un rapporto possibile definire per limitare i dati mostrati dal rapporto corrente FIPS 140 2 lo standard federale per l elaborazione di informazioni FIPS Federal Information Processing Standard Tale standard specifica i requisiti per la sicurezza dei moduli critto
194. e e l host remoto utilizzato per l archiviazione Convalida dell autenticazione non interattiva tra i server di rapporto e i server di archiviazione Confermare che l autenticazione non interattiva sia impostata tra il server di rapporto e il server di archiviazione remoto Per lo scenario di esempio il server di archiviazione remota denominato RSS Per convalidare l autenticazione non interattiva tra il server di rapporto CA User Activity Reporting Module e il server di archiviazione 1 2 Accedere al server di rapporto come root Passare gli utenti a caelmservice su caelmservice Inserire il comando riportato di seguito ssh caelmservice RSS L utente avr accesso al server di archiviazione remoto senza immettere una passphrase Capitolo 5 Configurazione dei servizi 165 Configurazione dell archivio registro eventi Esempio Configurazione dell autenticazione non interattiva tra tre server Lo scenario pi semplice per la configurazione dell autenticazione non interattiva un prerequisito per l archiviazione automatica uno scenario con due server CA User Activity Reporting Module un server di raccolta e un server di rapporto gestione e un sistema di archiviazione remoto su un server UNIX o Linux in questo esempio si presuppone che i tre server riservati all archiviazione automatica siano denominati m Server di raccolta ELM NY Server di rapporto ELM NY Server di archiviazione NY Le procedure per abil
195. e il server di rapporto per la gestione del traffico di failover possibile impostare un valore del campo Numero massimo di righe superiore rispetto al valore visualizzato nella tabella Se si utilizza un server di gestione come server di rapporto possibile che il server di gestione generi informazioni evento sotto forma di eventi di automonitoraggio Capitolo 5 Configurazione dei servizi 173 Configurazione dell archivio registro eventi Nota necessario configurare ogni coppia di server che partecipa all archiviazione automatica per l autenticazione non interattiva per il funzionamento corretto della configurazione di archiviazione automatica La seguente tabella di esempio vengono illustrate alcune impostazioni di base Il server CA User Activity Reporting Module di raccolta nominato CollSrvr 1 Il server CA User Activity Reporting Module dei rapporti nominato RptSrvr 1 Ad esempio esiste un server di archiviazione remoto chiamato RemoteStore 1 per archiviare i file dei database cold e i file cold posizionati nella directory CA ELM_cold_storage Archivio registro eventi campo Numero massimo di righe Giorni di archiviazione massimi Spazio su disco di archiviazione Criterio di esportazione Porta servizio sicuro Opzioni archiviazione automatica Abilitato Tipo backup Frequenza Ora di inizio Utente EEM Password EEM Server remoto Utente remoto Posizione remota Server CA ELM remoto 174 Guida all i
196. e indica quattro CPU con 8 GB di RAM ciascuna Se si seleziona Estesa VMware indica otto CPU con 8 GB di RAM ciascuna Appendice E CA User Activity Reporting Module e virtualizzazione 373 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie TIMEZONE NTPLOCATION Valore fuso orario desiderato Nome host o indirizzo IP corrispondenti Impostazioni specifiche dell applicazione LOCAL_REMOTE_EEM REMOTE_EEM_LOCATION 374 Guida all implementazione Locale per il primo server installato server di gestione Remoto per ogni server aggiuntivo Nome host o indirizzo IP Commenti Selezionare il fuso orario del server Immettere il nome host o l indirizzo IP valido del server NTP da cui il server CA User Activity Reporting Module riceve le informazioni sulla data e l ora Indicare se si desidera utilizzare un server CA EEM locale o remoto Per un server di gestione CA User Activity Reporting Module scegliere il server remoto L installazione richiede di creare una password per l account utente EiamAdmin predefinito Per ogni server aggiuntivo scegliere Remoto L installazione richiede il nome del server di gestione Indipendentemente dal tipo di server scelto locale o remoto necessario utilizzare l ID e la password dell account EiamAdmin per il primo accesso al server CA User Activity Reporting Module Specificare questo valore solo se si
197. e mantiene le impostazioni globali valide per tutti i server Capitolo 2 Pianificazione dell ambiente 25 Pianificazione della raccolta registri Rete CA Enterprise Log Manager Server di gestione e i Server del fn punto di z ripristino f Server di archiviazione remota Server di generazione rapporti f Server di correlazione Server di ee Server di Server di raccolta r Server dij raccolta Pianificazione della raccolta registri La pianificazione della raccolta dei registri per la rete si basa sul numero di eventi al secondo eps da elaborare per l archiviazione e sulla durata del tempo di memorizzazione dei dati online in questo senso online significa in uno stato che possibile trovare immediatamente Di solito possibile memorizzare i dati online per 30 90 giorni Ogni rete dispone del proprio volume di eventi come funzione del numero di periferiche tipi di periferiche e livello di adattamento delle periferiche e delle applicazioni di rete come i firewall alle richieste di informazioni sugli eventi aziendali Ad esempio alcuni firewall possono generare enormi volumi di eventi non necessari in base a come vengono configurati 26 Guida all implementazione Pianificazione della raccolta registri Si consiglia di pianificare la raccolta degli eventi in modo che il volume totale di eventi sia distribuito sui server CA User Activity Rep
198. e predefinito Linux sul server CA User Activity Reporting Module di raccogliere gli eventi Windows WMIILogSensor Questo sensore di registro raccoglie gli eventi da origini eventi Windows utilizzando Windows Management Instrumentation WMI Altri sensori di registro possono essere resi disponibili attraverso aggiornamenti della sottoscrizione Ulteriori informazioni sulla configurazione dei sensori di registro sono disponibili nella guida online e nella Guida di amministrazione Dimensionamento della rete CA User Activity Reporting Module Quando si pianifica il numero degli agenti necessari possibile utilizzare un semplice schema di ridimensionamento come il seguente Primo determinare il numero di connettori necessari Non necessario installare un agente su ogni fonte di evento Sar tuttavia necessario configurare un connettore per ogni origine evento diversa da syslog da cui si pianifica di raccogliere eventi possibile raccogliere gli eventi WMI da pi origini eventi su un solo connettore aggiungendo un sensore di registro per ogni origine eventi Tenere conto dei volumi degli eventi aggregati quando si configura un connettore in questo modo possibile configurare i connettori syslog in diversi modi Ad esempio possibile configurare un singolo connettore syslog per ricevere tutti gli eventi syslog a prescindere dal tipo Tuttavia una buona prassi basare i connettori syslog sui volumi di eventi da specifiche origi
199. e risiedono nell archivio registro eventi del server guasto Utilizzare tecniche di ripristino regolare dei dati per ripristinare dati degli eventi dall archivio registro eventi del server guasto Per eseguire il ripristino da un server CA User Activity Reporting Module disabilitato 1 Installare il dispositivo software CA User Activity Reporting Module su un server diverso utilizzando lo stesso nome host assegnato al server guasto Quando l installazione richiede il nome dell istanza dell applicazione CA EEM assicurarsi di utilizzare lo stesso nome di istanza dell applicazione utilizzato per il vecchio server Questa registrazione corretta permette al server CA EEM di sincronizzare la configurazione 2 Avviare il nuovo server CA User Activity Reporting Module e accedere come utente amministratore predefinito EiamAdmin Quando il nuovo server CA User Activity Reporting Module si avvia si connette automaticamente al server CA EEM che a sua volta scaricher i file di configurazione Dopo avere ricevuto i file di configurazione il nuovo server CA User Activity Reporting Module riprende la raccolta dei log 310 Guida all implementazione Appendice E CA User Activity Reporting Module e virtualizzazione Questa sezione contiene i seguenti argomenti Ipotesi di distribuzione a pagina 311 Creazione di server CA User Activity Reporting Module mediante computer virtuali a pagina 312 Creazione di server CA User Activity Reporting
200. e seguendo la pianificazione configurata Glossario 421 server di rapporto server di rapporto Il server di rapporto il servizio che archivia informazioni di configurazione come il server da utilizzare nell inviare gli avvisi via posta elettronica l aspetto visivo dei rapporti salvati in formato PDF la memorizzazione dei criteri per i rapporti salvati nel server di rapporto e gli avvisi inviati al feed RSS Un server di rapporto un ruolo ricoperto da un server CA User Activity Reporting Module Un server di rapporto riceve database warm archiviati automaticamente da uno o pi server di raccolta Un server di rapporto pu gestire query rapporti avvisi e rapporti pianificati server di sottoscrizione CA Server ODBC server proxy HTTP servizi SNMP Il server di sottoscrizione CA Technologies l origine degli aggiornamenti di sottoscrizione da CA Technologies Il server ODBC il servizio configurato che imposta la porta utilizzata per le comunicazioni tra il client ODBC o JDBC e il server CA User Activity Reporting Module e specifica se utilizzare la crittografia SSL Un server proxy HTTP un server proxy in grado di agire come firewall impedendo al traffico Internet di entrare o uscire dall azienda se non attraverso il proxy Il traffico in uscita pu specificare un ID e una password che consentano di bypassare il server proxy possibile configurare l utilizzo di un server proxy HTTP locale nella gestione de
201. e viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importazione manuale dei file di configurazione Per importare i file di configurazione 1 Accederea un prompt dei comandi sul server CA User Activity Reporting Module 2 Accedere con le credenziali dell account caelmadmin 3 Commutare gli utenti sull utente di root tramite il seguente comando su 4 Navigare fino alla directory opt CA LogManager EEM content 5 Immettere il comando ImportCALMConfig sh Lo script di shell importa i file di configurazione Capitolo 3 Installazione di CA User Activity Reporting Module 129 Risoluzione di problemi dell installazione Importazione dei file di soppressione e riepilogo Sintomo Durante l installazione il server CA EEM non ha importato correttamente i file di soppressione e riepilogo Senza questi file non possibile utilizzare le regole di soppressione e riepilogo in dotazione nell interfaccia utente di CA User Activity Reporting Module Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importare i file di soppressione e riepilogo manualmente Per importare i file di soppressione e riepilogo 1 Accederea un prompt dei comandi sul server CA User Activity Reporting Module 2 Accedere con le credenziali dell account caelmadmin 3 Commutare gli utenti sull utente di root tra
202. eKey gt Valore Chiave Privata lt PrivateKey gt lt EventsToQueue gt 10 lt EventsToQueue gt lt iSponsor gt Specificare il seguente valore RouteEvent lt RouteEvent gt t rue lt RouteEvent gt Questa voce indica ad iGateway di inviare i suoi eventi inclusi tutti gli eventi iRecorder all host indicato nella coppia della scheda RouteEventHost 276 Guida all implementazione Importazione di eventi CA Access Control da un database di raccolta CA Audit 6 Specificare il seguente valore RouteEventHost lt RouteEventHost gt Nomehost_CA Enterprise Log Manager lt RouteEventHost gt Questa voce indica ad iGateway di inviare i suoi propri eventi al server CA User Activity Reporting Module usando il suo nome DNS Salvare e chiudere il file Terminare il daemon o servizio iGateway con il seguente comando a UNIX o Linux S99igateway start Windows net start igateway Questa azione obbliga iRecorder a utilizzare nuove impostazioni e avvia il flusso di eventi da iRecorder al server CA User Activity Reporting Module Importazione di eventi CA Access Control da un database di raccolta CA Audit La procedura per l impostazione di eventi CA Access Control da una tabella SEOSDATA include quanto segue 1 2 Copia dell utilit LMSeosImport nel server CA Audit Data Tools Creazione di un rapporto di evento per stabilire se gli eventi CA Access Control sono presenti all interno del database Esecuzione di un anteprima dell imp
203. edefinito EiamAdmin L accesso iniziale al server CA User Activity Reporting Module richiede queste credenziali dell account Se si installa il server di gestione creare e confermare qui la nuova password EiamAdmin Annotare questa password in quanto verr utilizzata nuovamente durante le installazioni degli altri server e agenti CA User Activity Reporting Module Nota la password immessa sar anche la password iniziale dell account caelmadmin predefinito utilizzato per accedere direttamente al server CA User Activity Reporting Module attraverso ssh possibile creare ulteriori account di amministratore per accedere alle funzioni CA EEM dopo l installazione se lo si desidera Specifica se l applicazione virtuale deve essere eseguita in modalit FIPS o non FIPS Se si sceglie di utilizzare un server CA EEM locale possibile selezionare qualsiasi modalit Se si sceglie di utilizzare un server CA EEM remoto necessario selezionare la modalit utilizzata dal server remoto CA EEM Aggiunta di server virtuali all ambiente a pagina 333 Creazione di un ambiente completamente virtuale a pagina 356 Distribuzione rapida di server virtuali a pagina 381 384 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Richiamare lo strumento OVF tramite script Nota necessario installare lo strumento OVF 4 0 0 prima di eseguire l installazione invisibile all u
204. edere al server che ospita iRecorder come utente con privilegi di amministrazione o principale Navigare fino alla directory del sistema operativo a UNIX o Linux opt CA SharedComponents iTechnology a Windows Program Files CA SharedComponents iTechnology Terminare il daemon o servizio iGateway con il seguente comando a UNIX o Linux S99igateway stop a Windows net stop igateway Modificare il file iControl conf A seguire un file iControl campione con le sezioni necessarie per modificare in grassetto lt xml version 1 0 encoding UTF 8 standalone no gt lt iSponsor gt lt Name gt iControl lt Name gt lt ImageName gt iControl lt ImageName gt lt Version gt 4 5 0 2 lt Version gt lt DispatchEP gt iDispatch lt DispatchEP gt lt ISType gt DSP lt ISType gt lt Gated gt false lt Gated gt lt PreLoad gt true lt PreLoad gt lt RouteEvent gt false lt RouteEvent gt lt RouteEventHost gt localhost lt RouteEventHost gt lt EventsToCache gt 100 lt EventsToCache gt lt EventUseHttps gt t rue lt EventUseHttps gt lt EventUsePersistentConnections gt t rue lt EventUsePersistentConnections gt lt EventUsePipeline gt false lt EventUsePipeline gt lt StoreEventHost max 10000 gt localhost lt StoreEventHost gt lt RetrieveEventHost interval 60 gt localhost lt RetrieveEventHost gt lt UID gt ef1f44ef r8sp1cr3596a1052 abcd28 2 lt UID gt lt PublicKey gt Valore Chiave Pubblica lt PublicKey gt lt Privat
205. ei messaggi che creano coppie nome valore dai registri eventi raccolti File di mapping dei dati che mappano le coppie nome valore analizzate nella grammatica evento comune che forma lo schema del database per l archivio registro eventi del server CA User Activity Reporting Module 64 Guida all implementazione Pianificazione agente CA User Activity Reporting Module fornisce una serie di integrazioni per fonti di eventi note e comuni inclusi prodotti CA Technologies firewall noti database sistemi operativi applicazioni e altro ancora E possibile ricevere le integrazioni aggiuntive nei seguenti modi Aggiornamenti delle sottoscrizioni che includono nuove integrazioni o nuove versioni di quelle esistenti Creazione di integrazioni personalizzate utilizzando la procedura guidata fornita Si utilizzano le integrazioni per specificare il tipo di raccolta eventi che si vuole eseguire quando si configurano i connettori Informazioni sui connettori I connettori ascoltano gli eventi e periodicamente inviano eventi dello stato all agente per il trasporto al server CA User Activity Reporting Module Un connettore corrisponde a un processo che utilizza un sensore log e un integrazione per creare una configurazione per la raccolta degli eventi provenienti da un origine eventi determinata Diversamente da syslog un connettore utilizza un integrazione come modello della propria configurazione connettori syslog si basano sui listener Gl
206. eindirizzate a 5250 Porta UDP 514 reindirizzata a 40514 pacchetto GRUB protetto da password L installazione aggiunge i seguenti utenti con privilegi minimi caelmadmin un account del sistema operativo con diritti di accesso alla console del server CA User Activity Reporting Module caelmservice account del servizio con cui iGateway e i processi dell agente vengono eseguiti non possibile accedere direttamente con questo account Reindirizzamento delle porte del firewall per gli eventi syslog possibile reindirizzare il traffico delle porte standard su altre porte se si sta utilizzando un firewall tra un agente e il server CA User Activity Reporting Module Le migliori prassi di sicurezza dettano i privilegi utente minimi per eseguire i processi delle applicazioni e i daemon daemon UNIX e Linux in esecuzione negli account non principali non possono aprire porte inferiori alla 1024 La porta syslog UDP syslog la 514 Ci pu rappresentare un problema per periferiche come router e switch che non possono utilizzare porte non standard Per risolvere questo problema possibile configurare il firewall per l ascolto del traffico in ingresso sulla porta 514 e l invio al server CA User Activity Reporting Module su una porta diversa Il reindirizzamento avviene sullo stesso host del listener syslog Selezionando di utilizzare una porta non standard implica che si dovr riconfigurare ogni fonte di evento affinch i
207. el server dal database ii 117 Installazione del chent DBE a rei iii 117 6 Guida all implementazione Prerequisiti del client JDBC TT ie ear 118 Installazione del client JDBC su sistemi WiNdoWS i 119 Installazione del client JDBC su sistemi UNIX 119 Parametri della connessione JDBC 120 Considerazioni sull URLIDBE iuiieiina iaia 120 Risoluzione di problemi dell installazione i 121 Risoluzione di errori di configurazione dell interfaccia di rete ii 123 Verifica dell installazione del pacchetto RPM iii 123 Registrare il server CA User Activity Reporting Module con il server CA EEM 124 Acquisizione di certificati dal server CA EEM 125 Importazione dei rapporti CA User Activity Reporting Module 125 Importazione dei file di mapping dei dati CA User Activity Reporting Module 126 Importazione dei file della grammatica evento comune CEG i 127 Importazione dei file della regola di correlazione i 127 Importazione dei file di gestione degli agenti COMUNI 128 Importazione dei file di configurazione CA User Activity Reporting Module 129 Importazione dei file di soppressione e riepilogo 130 Importazione dei file del token di analisi
208. elementi limitano l accesso di rete a Internet In tal caso l aggiornamento dell ambiente CA User Activity Reporting Module viene eseguito mediante la sottoscrizione non in linea Le sottoscrizioni non in linea richiedono il download degli aggiornamenti dal sito FTP di sottoscrizione non in linea di CA Technologies Gli aggiornamenti vengono quindi copiati manualmente sul proxy CA User Activity Reporting Module che non dispone dell accesso a Internet denominato proxy non in linea Gli aggiornamenti vengono eseguiti secondo la modalit standard secondo la quale i client di sottoscrizione scaricano ed installano gli aggiornamenti dal proxy non in linea corrispondente Nota per impostazione predefinita il servizio di sottoscrizione non configurato per l esecuzione di aggiornamenti automatici Per utilizzare il servizio di sottoscrizione necessario configurare le impostazioni ad esempio scegliere i moduli e impostare una pianificazione di aggiornamento 48 Guida all implementazione Pianificazione aggiornamento sottoscrizioni Funzionamento della sottoscrizione La sottoscrizione include i seguenti elementi Server di sottoscrizione CA Technologies Server proxy HTTP facoltativo Uno o piu server proxy di sottoscrizione CA User Activity Reporting Module Server di gestione CA User Activity Reporting Module Uno o pi client di sottoscrizione CA User Activity Reporting Module possibile configurare gli aggiornamenti di sottoscrizi
209. end come l archiviazione SAN Per creare un volume logico 1 Creare il primo volume fisico pvcreate dev mapper mpath0 Creare il secondo volume fisico pvcreate dev mapper mpath1 Mostrare tutti i volumi fisici sul sistema pvdisplay Creare il gruppo volume VolGroup01 il gruppo volume VolGroup00 esiste gi vgcreate VolGroup01 dev mapper mpath0 dev mapper mpath1 Nota questo comando crea un volume e rende i due volumi fisici parte del gruppo Creare un volume logico nel volume gruppo lvcreate n LogVol00 l 384030 VolGroup01 Creare un file system mkfs t ext3 dev VolGroup01 LogVol00 98 Guida all implementazione Considerazioni sull installazione di sistemi con unit di SAN Preparazione di un volume logico per CA User Activity Reporting Module Dopo aver creato un volume logico compilarlo con la struttura di directory prevista e assegnare la propriet e le associazioni gruppo richieste da CA User Activity Reporting Module Utilizzare vi per modificare il file fstab per puntare a un volume logico creato e quindi montare la nuova directory dei dati Per preparare il volume logico per CA User Activity Reporting Module 1 Creare una directory temporanea data1 modificare la propriet della directory datal a caelmservice e modificare il gruppo associato a questa directory in caelmservice mkdir datal chown caelmservice datal chgrp caelmservice datal Interrompere i processi iGateway del server
210. ente In questo caso i filtri consentono di definire un account amministratore come nome utente appartenente all elenco con chiave Administrators e di impostare la soglia di conteggio su 5 eventi in 60 minuti Facoltativo Fare clic su Modifica nella parte superiore del riquadro per modificare le impostazioni del filtro se necessario Ad esempio possibile modificare la soglia temporale in 3 eventi in 30 minuti Viene visualizzata la procedura guidata di gestione delle regole popolata con i dettagli della regola Aggiungere i dettagli di notifica desiderati nella procedura guidata dettagli di notifica forniscono il contenuto del messaggio che verr inviato come specificato in Destinazioni di notifica Dopo aver terminato la preparazione della regola fare clic su Salva e chiudi Quando si modifica e si salva una regola di correlazione predefinita CA User Activity Reporting Module crea automaticamente una nuova versione preservando la versione originale Fare clic sulla sottoscheda Servizi e quindi espandere il nodo Servizio di correlazione Selezionare il server a cui si desidera applicare la regola Se si dispone di un server identificato come server di correlazione selezionare tale server Fare clic su Applica nell area Configurazione regola quindi selezionare la nuova versione della regola 5 tentativi di accesso non riuscito per Account amministratore con la destinazione di notifica che si desidera associare alla regol
211. enti il processo di lettura delle stringhe degli eventi non elaborati da un origine evento per poi inviarli al CA User Activity Reporting Module configurato Il perfezionamento eventi avverr dopo la raccolta di eventi La raccolta registri diretta la tecnica di raccolta dei registri in cui non esiste alcun agente intermedio fra l origine evento ed il software CA User Activity Reporting Module Rapporti relativi ad EPHI rapporto record di controllo rapporti relativi a EPHI sono rapporti incentrati sulla protezione HIPAA in cui EPHI significa Informazioni sanitarie elettroniche protette Electronic Protected Health Information Tali rapporti consentono di dimostrare la protezione della creazione della manutenzione e della trasmissione elettronica di tutte le informazioni sanitarie singolarmente identificabili e correlate ai pazienti Un rapporto una visualizzazione grafica o tabulare dei dati del registro eventi generata eseguendo query predefinite o personalizzate con filtri dati provengono da database hot warm o defrosted dell archivio registro eventi del server selezionato e se richiesto dei server federati I record di controllo contengono eventi di protezione come i tentativi di autenticazione gli accessi ai file e le modifiche ai criteri di protezione agli account utente o ai privilegi Gli amministratori possono specificare quale tipo di evento controllare e quale inserire nei registri 418 Guida all impleme
212. enti l archivio delle integrazioni e dei file di mapping e di analisi predefiniti o definiti dall utente oltre delle regole di soppressione e di riepilogo La libreria di rapporto memorizza tutti i rapporti i tag di rapporto i rapporti generati e i processi di rapporto pianificati sia predefiniti che definiti dall utente La libreria query memorizza tutte le query i tag query e i filtri prompt sia predefiniti che definiti dall utente Il mapping dei dati il processo di mapping delle coppie chiave valore in CEG II mapping dei dati si esegue usando un file di mapping dei dati I mapping di funzione sono una parte facoltativa di un file di mapping dei dati per un integrazione di prodotto Il mapping di funzione si utilizza per popolare un campo CEG quando non possibile prelevare direttamente il valore richiesto dall evento di origine Tutti i mapping di funzione consistono in un nome di campo CEG in un valore di campo predefinito o di classe e nella funzione per ottenere o per calcolare il valore Ogni prodotto che deve ricevere avvisi da CA User Activity Reporting Module in formato di trap SNMP deve importare e compilare la MIB base di informazioni di gestione di CA User Activity Reporting Module ovvero CA ELM MIB La MIB visualizza l origine di ogni identificatore numerico di oggetto OID utilizzato in un messaggio di trap SNMP con una descrizione di tale oggetto dati o elemento di rete Nella MIB dei trap SNMP inviati da CA
213. enti e la configurazione della registrazione mediante la gestione delle informazioni provenienti dal servizio di correlazione in caso di attivazione di una regola di correlazione Il processo di archiviazione del log eventi CA User Activity Reporting Module che gestisce l archiviazione di eventi la creazione di file di archiviazione e altre funzioni Questo processo pu essere eseguito in safetynet Questo processo di CA User Activity Reporting Module viene utilizzato per la configurazione e la gestione delle query Questo processo di CA User Activity Reporting Module viene utilizzato per la configurazione e la gestione dei rapporti pianificati delle esportazioni dei rapporti e degli avvisi Configurazioni server CA User Activity Reporting Module iniziali Process Name Porta predefinita caelm ruletest caelm sapicollector caelm sapirouter caelm systemstatus dxadmind dxserver igateway 5250 broker messaggi oaserver 17002 safetynet ssid Descrizione Questo processo di CA User Activity Reporting Module gestisce i test della regola eseguiti ad hoc Il processo del servizio Collector SAPI Questo processo pu essere eseguito in safetynet Il processo del servizio router SAPI Questo processo pu essere eseguito in safetynet Questo processo raccoglie lo stato del sistema per la visualizzazione nell interfaccia utente CA User Activity Reporting Module Questo processo pu essere eseguito
214. enti non elaborati le diverse etichette utilizzate in essi per lo stesso oggetto dati o elemento di rete vengono convertiti allo stesso nome di campo CEG campi CEG verranno mappati agli OID nella MIB utilizzata per i trap SNMP Una cartella la posizione di un percorso di directory utilizzati dal server di gestione CA User Activity Reporting Module per memorizzare i tipi oggetto di CA User Activity Reporting Module Nei criteri di scoping possibile far riferimento alle cartelle per consentire o negare agli utenti di accedere ad un tipo di oggetto specifico Il catalogo il database in cui ogni CA User Activity Reporting Module conserva lo stato dei database archiviati agendo anche come un indice di alto livello su tutti i database Le informazioni di stato warm cold o defrosted verranno mantenute per tutti i database presenti in questo CA User Activity Reporting Module e per qualsiasi altro database ripristinato in questo CA User Activity Reporting Module come defrosted Le funzionalit di indicizzazione si estendono a tutti i database hot e warm nell archivio registro eventi di questo CA User Activity Reporting Module Le categorie di evento sono i tag utilizzati da CA User Activity Reporting Module per classificare gli eventi in base alla loro funzione prima di inserirli nell archivio eventi Glossario 401 certificati client di sottoscrizione certificati predefiniti utilizzati da CA User Activity Reporting Module sono
215. entiti spazi Solo gli utenti e i gruppi globali rilevati al di sotto di questo DN vengono mappati e ad essi pu essere assegnato un gruppo o ruolo di applicazione CA User Activity Reporting Module Immettere e confermare la password per l utente elencato nella riga DN utente Capitolo 2 Pianificazione dell ambiente 41 Pianificazione degli utenti e degli accessi Informazioni necessarie Valore DN utente Utilizza Transport Layer Security TLS Includi attributi non mappati Utenti globali cache Orario di aggiornamento cache Recupera gruppi di scambio come gruppi utenti globali 42 Guida all implementazione Commenti Immettere credenziali utente valide per ogni utente valido all interno del registro utente nel cui registro utente possibile eseguire ricerche Immettere il nome distintivo DN completo dell utente possibile effettuare l accesso con qualsiasi ID utente con ruolo di amministrazione Il DN utente e la password associata costituiscono le credenziali utilizzate per il collegamento all host della directory esterna Specifica se l archivio utente deve utilizzare il framework TSL per proteggere le trasmissioni di testo in chiaro Quando selezionato TLS viene utilizzato nella creazione della connessione LDAP alla directory esterna Specifica se includere campi non sincronizzati dalla directory LDAP Gli attributi esterni non mappati possono essere utilizzati per la ricerca e come filtri Specif
216. ento Ulteriori informazioni Foglio di lavoro per l installazione dell applicazione virtuale a pagina 330 Configurazione delle impostazioni di risorsa Dopo aver importato il modello OVF necessario definire manualmente le impostazioni della risorsa per migliorare le prestazioni del server CA User Activity Reporting Module di cui stato eseguito il provisioning Nota assicurarsi di impostare l unit CD DVD per dispositivo client Procedere come descritto di seguito 1 Fare clic con il pulsante destro del mouse sulla nuova applicazione virtuale di CA User Activity Reporting Module nel riquadro sinistro quindi sull opzione di modifica impostazioni Viene visualizzata la finestra lt CA User Activity Reporting Module Virtual Appliance name gt Virtual Machine Properties Propriet del computer virtuale lt CA User Activity Reporting Module Virtual Appliance name gt 2 Fare clic sulla scheda Opzioni 3 Fare clic sulla scheda Risorse 4 Selezionare l opzione CPU nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Appendice E CA User Activity Reporting Module e virtualizzazione 369 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Example CA Enterprise Log Manager Yirtual Machine Properties 0 MHz o MB fiche PA TE i Normal ai Advanced CPU HT Sharing Any y
217. eporting Module per l autenticazione CA IT PAM comprende due passaggi manuali necessario copiare un file dal server Windows all applicazione e un altro file dall applicazione al server Windows Queste operazioni vengono illustrate in questa appendice Non vengono presentate nella documentazione di CA IT PAM 292 Guida all implementazione Processo di implementazione di CA IT PAM Processo di implementazione di CA IT PAM Il processo di implementazione dell autenticazione di CA IT PAM tramite CA EEM sul server di gestione CA User Activity Reporting Module indicato di seguito 1 Preparare l implementazione dell autenticazione di CA IT PAM a Caricare il pacchetto di installazione di CA IT PAM sul server Windows su cui si desidera installare CA IT PAM b Facoltativo Modificare la password predefinita per il certificato itpamcert p12 Copiare il file ITPAM_eem xml dall host in cui si desidera installare CA IT PAM all applicazione CA User Activity Reporting Module che include CA EEM Registrare ITPAM come istanza dell applicazione sullo stesso CA EEM utilizzato da CA User Activity Reporting Module L esecuzione del comando safex genera il certificato itpamcert p12 e l istanza dell applicazione ITPAM con due account utente itpamadmin e itpamuser Nota per informazioni sull utilizzo del comando safex digitare safex Copiare il file dal itpamcert p12 dall applicazione CA User Activity Reporting Module nell host in cui si
218. equenza di esecuzione degli aggiornamenti automatici del servizio di sottoscrizione E possibile impostare la pianificazione di sottoscrizione a livello globale per la totalit dell ambiente CA User Activity Reporting Module oppure definire una pianificazione personalizzata per proxy e client di sottoscrizione specifici Per configurare la pianificazione di sottoscrizione 1 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Servizi 2 Fareclic su Servizio di sottoscrizione Viene visualizzata la Configurazione di servizio globale per il Servizio di sottoscrizione 3 Eseguire una delle seguenti operazioni a Per specificare una pianificazione di sottoscrizione globale per la totalit dell ambiente CA User Activity Reporting Module fare clic sulla scheda Amministrazione oppure m Per specificare una pianificazione di sottoscrizione per un server specifico fare clic sul nome del server selezionare la scheda Amministrazione e passare alla configurazione locale 4 Impostare la pianificazione di sottoscrizione Selezionare il fuso orario e l ora di inizio per gli aggiornamenti quindi specificare la frequenza di aggiornamento desiderata Ulteriori informazioni Configurazione della sottoscrizione a pagina 190 202 Guida all implementazione Capitolo 6 Configurazione della raccolta eventi Questa sezione contiene i seguenti argomenti Installazione di agenti a pagina 203 Utilizzo dell Explorer age
219. er Activity Reporting Module come descritto nella Guida all implementazione 322 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante computer virtuali Creazione di una nuova macchina virtuale Utilizzare questa procedura per creare una nuova macchina virtuale utilizzando VMware Infrastructure Client Utilizzare quattro processori affinch ogni server virtuale CA User Activity Reporting Module possa raggiungere prestazioni accettabili Per creare una macchina virtuale 1 2 Accedere a VMware Infrastructure Client Fare clic con il pulsante destro sull host ESX nel riquadro a sinistra e selezionare Nuova macchina virtuale per richiamare la procedura guidata della nuova macchina virtuale Questa azione visualizza una finestra di dialogo per la configurazione Selezionare una configurazione personalizzata e fare clic su Avanti Verr visualizzata una finestra di dialogo del nome e della posizione Immettere un nome per il server CA User Activity Reporting Module che verr installato su questa macchina virtuale e fare clic su Avanti Specificare le impostazioni di archiviazione per la macchina virtuale e fare clic su Avanti Verificare che le impostazioni di archiviazione siamo abbastanza grandi per il server CA User Activity Reporting Module Si consiglia un minimo di 500 GB Nota si configureranno unito disco virtuale aggiuntive per l archiviazione dei registri eventi raccolti in un altr
220. er di archiviazione remota Configurazione delle chiavi per la coppia di archiviazione rapporto remoto Dopo aver configurato e convalidato l autenticazione non interattiva da ciascun server di raccolta al server di rapporto necessario configurare e convalidare l autenticazione non interattiva dal server di rapporto al server di archiviazione remoto Per lo scenario di esempio la configurazione inizia con la generazione di una nuova coppia di chiavi RSA sul server di rapporto ELM RPT e la copia della chiave pubblica come authorized_keys nella directory tmp del server di archiviazione remoto RSS Per generare una coppia di chiavi RSA sul server di rapporto e copiarla sul server di archiviazione remoto 1 Accedereal server di rapporto come caelmadmin 2 Commutare gli utenti su root Capitolo 5 Configurazione dei servizi 163 Configurazione dell archivio registro eventi 3 Commutare gli utenti sull account caelmservice su caelmservice 4 Generare la coppia di chiavi RSA utilizzando il seguente comando ssh keygen t rsa 5 Premere Invio per accettare il valore predefinito per ognuno dei seguenti prompt m Specificare il file in cui salvare la chiave opt CA LogManager ssh id_rsa m Immettere la passphrase oppure lasciare il campo vuoto m Immettere nuovamente la stessa passphrase 6 Passare alla directory opt CA LogManager 7 Modificare i permessi della directory ssh con il seguente comando chmod 755 s
221. er viene avviato solo in modalit non FIPS L abilitazione della modalit FIPS richiede un utente con diritti di amministratore per potere impostare la modalit manualmente Importante Non passare alla modalit FIPS su qualsiasi server secondario CA User Activity Reporting Module durante l elaborazione della sottoscrizione Ci potrebbe causare l interruzione del processo di sottoscrizione server CA User Activity Reporting Module della versione r12 1 SP1 sono in grado di comunicare con gli agenti della versione r12 1 ma il supporto FIPS a livello di agente non disponibile prima di eseguire l aggiornamento alla versione r12 1 SP1 Quando viene attivata la modalit FIPS solo gli agenti abilitati per FIPS nella versione r12 1 SP1 e versioni successive possono comunicare con i server CA User Activity Reporting Module Quando viene attivata la modalit non FIPS il server CA User Activity Reporting Module completamente compatibile con gli agenti di versioni precedenti ma la modalit FIPS non disponibile consigliabile installare solo agenti della versione r12 1 SP1 dopo l aggiornamento dei server CA User Activity Reporting Module alla versione r12 1 SP1 Gli agenti associati a un server CA User Activity Reporting Module rilevano automaticamente le modifiche alla modalit del server vengono riavviati automaticamente nella modalit corrispondente L aggiunta di un nuovo server CA User Activity Reporting Module in una
222. ercorso opt CA LogManager data subscription offline client di sottoscrizione dei server proxy non in linea ricevono tutti gli aggiornamenti installati manualmente sul proxy non in linea indipendentemente da eventuali moduli selezionati per il client a livello locale Pertanto negli ambienti di sottoscrizione misti con proxy di sottoscrizione in linea e non in linea si raccomanda di non includere i proxy non in linea nell elenco dei proxy per i client di sottoscrizione in linea In caso contrario il client di sottoscrizione in linea ricever automaticamente tutti gli aggiornamenti installati manualmente sul server proxy non in linea anzich i moduli selezionati per il client Per configurare un proxy di sottoscrizione non in linea 1 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Servizi 2 Espandere il servizio di sottoscrizione e selezionare il server da configurare Viene visualizzata la configurazione del Servizio di sottoscrizione per il server CA User Activity Reporting Module selezionato 3 Fare clic sulla scheda Amministrazione 4 Selezionare la casella di controllo Proxy di sottoscrizione e selezionare Proxy di sottoscrizione non in linea 192 Guida all implementazione Configurazione della sottoscrizione 5 Selezionare il file zip contenente i file di sottoscrizione non in linea che si desidera installare dall elenco a discesa File Nota per eseguire questa procedura il pacchetto di sottoscri
223. ere simultaneamente alle stesse fonti di registri Trasferire dati CA Audit contenuti in raccoglitori a tabella modello di rapporti o rapporti personalizzati criteri di avviso criteri di raccolta filtraggio o criteri di controllo degli accessi basati sui ruoli Comprendere le differenze delle architetture Architettura di CA Audit La seguente illustrazione mostra un implementazione semplificata di CA Audit Host iRecorder Strumenti dati GD Mainframe Monitor di N protezione Criteri _ La 3 ei Gestione criteri Client di controllo In alcune distribuzioni aziendali di CA Audit i dati degli eventi sono archiviati dal servizio di raccolta in un database relazionale in esecuzione nel server Data Tools Un amministratore del database controlla ed esegue la manutenzione di questo database e lavora con un amministratore di sistema per garantire che i criteri corretti siano applicati per raccogliere gli eventi desiderati e per escludere eventi non necessari Le righe continue in questo diagramma mostrano gli eventi che passano da client e recorder CA Audit e host di iRecorder al server Data Tools o in alcuni casi ad una console di monitoraggio di sicurezza opzionale Una linea tratteggiata rappresenta il flusso di controllo tra il server del Gestore dei criteri e i client che utilizzano i criteri Il server Data Tools fornisce utilit di base di rapporti e di visualizzazione oltre all archiviazione eventi Que
224. erver CA User Activity Reporting Module figlio Ogni server CA User Activity Reporting Module figlio crea un unico set di risultati da inviare al server CA User Activity Reporting Module genitore che invia la richiesta La protezione da query circolari incorporata in CA User Activity Reporting Module per abilitare le configurazioni a coppie L implementazione di CA User Activity Reporting Module tipica per un azienda ha da uno a cinque server L implementazione di una grande azienda pu avere dieci o pi server Il modo in cui si configura la federazione controlla quante informazioni sono visibili nel server CA User Activity Reporting Module che produce la query Il tipo pi semplice di query deriva dal server CA User Activity Reporting Module principale e restituisce le informazioni di tutti i server figlio configurati al di sotto di esso Capitolo 7 Creazione di federazioni 223 Federazioni gerarchiche Quando si interroga la federazione da un server figlio i risultati visualizzati dipendono dalla configurazione della federazione In una federazione gerarchica tutti i server configurati come figlio sotto al di sotto di un server restituiscono ad esso i risultati della query In una federazione a coppie tutti i server interconnessi restituiscono i dati al server che produce la query Federazioni gerarchiche Le federazioni gerarchiche utilizzano una struttura a piramide rovesciata per distribuire i carichi della raccolta di eventi su
225. erver CA User Activity Reporting Module Ulteriori informazioni Informazioni su SAPI Router e Collector a pagina 242 Configurazione del servizio SAPI Collector a pagina 244 Configurazione del servizio SAPI Router a pagina 244 Appendice A Considerazioni per gli utenti CA Audit 247 Invio di eventi CA Audit a CA User Activity Reporting Module Modifica di criteri CA Audit esistenti per inviare eventi a CA User Activity Reporting Module Utilizzare questa procedura per abilitare un client CA Audit per inviare eventi ad entrambi i database di raccolta di CA User Activity Reporting Module e di CA Audit Aggiungendo una nuova destinazione alle azioni Route o Collector in una regola esistente possibile inviare eventi raccolti ad entrambi i sistemi In alternativa inoltre possibile modificare criteri o regole specifiche per inviare eventi solo al server CA User Activity Reporting Module CA User Activity Reporting Module raccoglie eventi da client CA Audit utilizzando i listener CA Audit SAPI Router e CA Audit SAPI Collector Gli eventi raccolti vengono archiviati nell archivio registro eventi CA User Activity Reporting Module solo dopo avere inviato il criterio ai client ed esso diventa attivo Importante necessario configurare i listener CA User Activity Reporting Module per ricevere eventi prima di modificare e attivare il criterio Se non si esegue prima questa configurazione possibile che gli eventi vengano mappati i
226. erver di rapporto concate il contenuto dei file della chiave pubblica per authorized_keys originale Creare una directory ssh e modificare la propriet della directory a caelmservice spostare authorized_keys alla directory ssh e impostare la propriet del file della chiave e delle autorizzazioni necessarie 4 Verificare che l autenticazione non interattiva esista tra i server di raccolta e il server di rapporto 5 Dalserver di archiviazione remoto creare una struttura di directory per la directory ssh dove l impostazione predefinita opt CA LogManager Creare una directory ssh sul sistema di destinazione e modificare la propriet a caelmservice 6 Dal server di rapporto generare una coppia di chiavi RSA come caelmservice e copiare la chiave pubblica come authorized_keys nella directory tmp sul server di archiviazione remoto di destinazione Capitolo 5 Configurazione dei servizi 157 Configurazione dell archivio registro eventi 7 Dal server di archiviazione remoto spostare authorized_keys dalla directory tmp alla directory ssh e impostare la propriet del file della chiave a caelmservice con le autorizzazioni necessarie Verificare che l autenticazione non interattiva esista tra il server di rapporto e il server di archiviazione remoto Configurazione delle chiavi per la prima coppia raccolta rapporto la configurazione dell autenticazione non interattiva per un architettura hub e spoke inizia con la generaz
227. erver must use a remote CA EEM server Ready to Complete Local Bal B Host Name or IP Address of the Remote CA EEM Server Specify the IP address or the host name of the remote CA EEM server Enter none to install a CA EEM server on this host none C Password for CA EEM Server Enter the password for the EEM server EiamAdmin user Jexampleeiamadminpassword D FIPS Mode Do you want to run CA Enterprise Log Manager in FIPS mode Choose Yes for FIPS mode or No for non FIPS mode NO Appendice E CA User Activity Reporting Module e virtualizzazione 367 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina Ready to Complete Pronto per il completamento La pagina visualizza un riepilogo delle informazioni immesse nelle pagine precedenti 17 Verificare le informazioni immesse quindi fare clic su Fine Deploy OYF Template Dj x Ready to Complete Are these the options you want to use source When you click Finish the deployment task will be started OVF Template Details End User License Agreement AI Name and Location OVF file C Program Files CA ELM CA Enterprise Log Manager ovf Deployment Configuration Download Size 1964 MB Size on disk 337920 MB Host Cluster Name Example CA Enterprise Log Manager Properties Folder ELMQA SP2 vApp Datacenter Ready to Complete Deployment Configuration medi
228. esso che gestisce i connettori che inviano gli eventi raccolti a un server CA User Activity Reporting Module Il processo deve essere in esecuzione affinch i connettori possano raccogliere gli eventi Utilizzare questa procedura per avviare il processo dell agente CA User Activity Reporting Module se non in esecuzione Per avviare il daemon o il servizio dell agente CA ELM 1 Accedere come utente principale o amministratore Windows 2 Accederea un prompt dei comandi quindi immettere il seguente comando Linux UNIX Solaris opt CA ELMAgent bin S99elmagent start Windows net start ca elmagent 82 Guida all implementazione Installazione si un server CA User Activity Reporting Module Terminare il daemon o il servizio dell agente CA User Activity Reporting Module Il daemon o il servizio dell agente CA User Activity Reporting Module il processo che gestisce i connettori che inviano gli eventi raccolti a un server CA User Activity Reporting Module Il processo deve essere in esecuzione affinch i connettori possano raccogliere gli eventi Utilizzare questa procedura per terminare il processo CA User Activity Reporting Module Normalmente i comandi di avvio e interruzione sono eseguiti dall interno dell Explorer agente su ogni server CA User Activity Reporting Module possibile utilizzare questo comando in preparazione del riavvio di un processo dell agente e di tutti i suoi connettori Per terminare il daemon o il servizio de
229. estione conserva contenuti e configurazione di tutti i server CA User Activity Reporting Module ed esegue l autorizzazione e l autenticazione degli utenti In un implementazione di base costituita da due server il server di gestione assume anche il ruolo di server di rapporto Un server di rapporto riceve eventi trattati da uno o pi server di raccolta Il server di rapporto gestisce query e rapporti su richiesta oltre ad avvisi e rapporti pianificati Il server di raccolta tratta gli eventi raccolti Ogni server CA User Activity Reporting Module dispone del proprio database dell archivio registro eventi interno L archivio del registro eventi n database proprietario che utilizza la compressione per migliorare la capacit di archiviazione e per consentire le query di file dei database attivi di file contrassegnati per l archiviazione e file defrosted Non necessario nessun pacchetto DBMS relazionale per l archiviazione di eventi Il server CA User Activity Reporting Module di raccolta pu ricevere eventi direttamente utilizzando il proprio agente predefinito o da un agente che risiede sulla fonte dell evento Gli agenti possono risiedere anche su un host che agisce come raccoglitore per altre fonti di eventi nella rete come un concentratore VPN o un host router Le righe continue in questo diagramma rappresentano i flussi di eventi dalle fonti di eventi agli agenti al server di raccolta al ruolo dei rapporti del server di gestione o de
230. estituisce solo gli agenti con lo stato selezionato ad esempio In esecuzione Modello nome agente restituisce solo gli agenti contenenti il modello specificato Capitolo 3 Installazione di CA User Activity Reporting Module 91 Aggiunta di nuovi server CA User Activity Reporting Module in una federazione in modalit FIPS esistente 5 Fare clic su Mostra stato Verr visualizzato un elenco degli agenti che soddisfano i criteri di ricerca con l aggiunta di una serie di informazioni fra cui Nome e versione del connettore locale m Server CA User Activity Reporting Module corrente m Modalit FIPS dell agente FIPS o non FIPS a Ultimo carico di eventi al secondo registrato e gestito dall agente m Ultimo valore di utilizzo della CPU registrato m Ultimo valore di utilizzo della memoria registrato m Ultimo aggiornamento di configurazione a Stato dell aggiornamento di configurazione Aggiunta di nuovi server CA User Activity Reporting Module in una federazione in modalita FIPS esistente Sono disponibili delle linee guida speciali per l aggiunta di un nuovo server CA User Activity Reporting Module in una federazione di server gi in esecuzione in modalit FIPS Se la modalit FIPS non viene specificata durante l installazione i nuovi server CA User Activity Reporting Module installati verranno eseguiti in modalit non FIPS per impostazione predefinita server in esecuzione in modalit non FIPS non possono comunicare con i
231. etro obbligatorio user Specifica un identificativo utente valido che abbia almeno accesso in lettura alla tabella SEOSDATA Questo parametro obbligatorio password Consente di specificare la password per l account utente specificato con il parametro user Questo parametro obbligatorio target Specifica il nome host o l indirizzo IP del server CA User Activity Reporting Module per ricevere gli eventi migrati dalla tabella SEOSDATA Questo parametro obbligatorio minid nnnn Indica l ENTRYID iniziale utilizzato nella selezione degli eventi dalla tabella SEOSDATA Questo parametro facoltativo maxid nnnn Indica l ENTRYID finale utilizzato nella selezione degli eventi dalla tabella SEOSDATA Questo parametro facoltativo mintm AAAA MM GG Indica l ora di inizio in formato AAAA MM GG utilizzata nella selezione degli eventi dalla tabella SEOSDATA Questo parametro facoltativo maxtm AAAA MM GG Indica l ora di fine in formato AAAA MM GG utilizzata nella selezione degli eventi dalla tabella SEOSDATA Questo parametro facoltativo 256 Guida all implementazione Importazione di dati da una tabella SEOSDATA log logname Consente di specificare da parte dell utilita la selezione dei soli rapporti di eventi con questo nome log specificato Questo parametro facoltativo Se il nome del registro contiene spazi deve essere incluso in virgolette doppie transport lt sapi itech gt
232. eventi da un database Collector che risiede su un server Solaris Data Tools 260 Guida all implementazione Importazione di dati da una tabella SEOSDATA Per importare eventi da una tabella SEOSDATA in un server Solaris 1 Individuare il nome del server su cui si trova la tabella SEOSDATA 2 Assicurarsi di disporre di credenziali di accesso al server con almeno accesso in lettura alla tabella SEOSDATA 3 Accedere a un prompt dei comandi sul server CA Audit Data Tools 4 Andare alla directory opt CA SharedComponents iTechnology 5 Avviare l utilit di importazione utilizzando la sintassi del comando LMSeosImport dsn lt nomedsn gt user lt UID gt password lt password gt target lt nomehostdestinazione gt lt flag opzionali gt Appendice A Considerazioni per gli utenti CA Audit 261 Appendice B Considerazioni per gli utenti CA Access Control Questa sezione contiene i seguenti argomenti Integrazione con CA Access Control a pagina 263 Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module a pagina 264 Configurazione di un iRecorder CA Access Control per l invio di eventi a CA User Activity Reporting Module a pagina 273 Importazione di eventi CA Access Control da un database di raccolta CA Audit a pagina 277 Protezione di CA User Activity Reporting Module mediante CA Access Control a pagina 288 Integrazione con CA Access Control possibile integrare CA Use
233. fase Preparazione dell implementazione dell autenticazione di CA IT PAM su un CA EEM condiviso nome host del server di gestione CA User Activity Reporting Module Questo il server in cui l utente ha effettuato l accesso durante la fase Registrazione di CA IT PAM con CA EEM condiviso La password itpamadmin impostata durante la fase Impostazione di password per gli account utente predefiniti di CA IT PAM Appendice C Considerazioni su CA IT PAM 299 Installazione del dominio CA IT PAM La password del certificato utilizzata per controllare l accesso alle chiavi utilizzate per crittografare le password Questa una nuova impostazione Per istruzioni sull installazione del dominio di CA IT PAM consultare la guida CA IT Process Automation Manager Installation Guide Utilizzare la seguente procedura per specifiche sulla configurazione delle impostazioni di protezione di EEM Per installare il dominio CA IT PAM 1 Se l installazione guidata di CA IT PAM non viene avviata in seguito all installazione dei componenti di terze parti eseguire il file CA_ITPAM_Domain_windows exe Seguire le istruzioni fornite nella documentazione di CA IT PAM fino a Select Security Server Type Selezionare il tipo di server di protezione Quando viene visualizzata la finestra di dialogo Select Security Server Type selezionare EEM come server di protezione e fare clic su Avanti Viene visualizzata la pagina delle impostazioni di protezione d
234. federazione esistente in esecuzione in modalit FIPS richiede una gestione speciale Per ulteriori informazioni consultare la sezione relativa all aggiunta di un nuovo server CA User Activity Reporting Module in una federazione esistente della Guida all implementazione 88 Guida all implementazione Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS Aggiornamento di un server CA EEM remoto Se si sta utilizzando un server CA EEM standalone con l installazione di CA User Activity Reporting Module aggiornare il server per il supporto FIPS prima di eseguire l aggiornamento di qualsiasi altro server o agente di CA User Activity Reporting Module Per ulteriori dettagli ed istruzioni consultare la Guida introduttiva di CA EEM Disabilitare l accesso ODBC e JDBC al deposito eventi di log possibile impedire l accesso di ODBC e JDBC agli eventi nel deposito eventi di log utilizzando le opzioni della finestra di configurazione del servizio ODBC Se si desidera eseguire una rete federata in modalit FIPS disattivare l accesso ODBC e JDBC per rimanere in conformit con gli standard della federazione Per disattivare l accesso ODBC e JDBC 1 Accedere al server CA User Activity Reporting Module ed accedere alla scheda Amministrazione 2 Fare clic sulla sottoscheda Servizi e quindi espandere il nodo Servizio ODBC 3 Selezionare il server desiderato 4 Deselezionare la casella di controllo Abili
235. ffigurato in questo diagramma si eseguono le configurazioni dal server di gestione Questo consente al server di raccolta di concentrarsi sull elaborazione degli eventi L ambiente di raccolta dei registri in cui si installano i server CA User Activity Reporting Module presenta le seguenti caratteristiche server di gestione CA User Activity Reporting Module gestisce l autenticazione e le autorizzazioni degli utenti e le configurazioni di tutti i server degli agenti e dei connettori CA User Activity Reporting Module all interno della rete utilizzando il suo server locale CA EEM A seconda delle dimensioni della rete e della relativa quantit di eventi possibile scegliere di installare pi di un server di gestione e creare federazioni di server di raccolta per ciascuno Oppure possibile dedicare diversi server alla creazione di rapporti laddove tutti i server di rapporto sono registrati con il server di gestione In questo scenario il flusso degli eventi passa dalle origini evento al server di raccolta configurato al server di rapporto configurato Uno o pi server di raccolta CA User Activity Reporting Module elaborano e archiviano gli eventi in ingresso Gli eventi passano attraverso la rete di raccolta degli eventi da una serie di origini evento dopo che vengono configurati i connettori o gli adapter corrispondenti Creazione dei DVD di installazione Il software CA User Activity Reporting Module disponibile come
236. figurazione come argomenti della riga di comando Nota si consiglia di utilizzare una configurazione di distribuzione media per effettuare il provisioning di un server di raccolta e una configurazione di distribuzione estesa per effettuare il provisioning di un server di rapporto consigliabile anche utilizzare il metodo di distribuzione thick come descritto nella documentazione VMware Per richiamare lo strumento OVF dalla riga di comando 1 Aprire il prompt dei comandi sul computer in cui installato VMware vSphere Client 2 Perrichiamare lo strumento OVF eseguire il seguente comando ovftool dm thick acceptAllEulas name value deploymentOption value prop ROOT PASSWORD value prop LOCAL REMOTE EEM value prop REMOTE EEM LOCATION value prop EEM PASSWORD value prop FIPS MODE value prop IP_ADDRESS value prop SUBNET MASK value prop HOSTNAME value prop DEFAULT GATEWAY value prop DNS SERVERS value prop DOMAIN NAME value prop TIMEZONE value prop NTPLOCATION value lt OVF_Name ovf gt vi username password hostname of VMware vSphere Client Datacenter host host name Viene visualizzato il messaggio Opening VI target Apertura destinazione VI in corso Viene visualizzato lo stato di distribuzione del server CA User Activity Reporting Module Se l installazione viene completata correttamente il server CA User Activity Reporting Module viene visualizzata nel centro dati selezionato nel riquadro sin
237. figurazione di servizio globale CA Audit SAPI Collector E Visualizza o modifica i dettagli della configurazione Campo obbligatorio V Abilita listener Porta SAPI o DI mM Register Chiave di crittografia Lal Ordinamento evento Limite eventi 10000 S Conteggio dei thread per coda i B Crittografie gt Aes256 Aes128 EN a z 266 Guida all implementazione Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module File di mapping Selezionare la casella di controllo Abilita listener e impostare il valore SapiPort su un valore corrispondente a quello utilizzato da CA Audit Il valore CA User Activity Reporting Module predefinito 0 utilizza il servizio PortMapper per la mappatura delle porte Se in CA Audit stata definita una porta usare tale impostazione in questo punto Accettare i valori predefiniti degli altri campi e scorrere verso il basso nell elenco File di mapping Se si seleziona la casella di controllo Registra specificare il valore di una porta SAPI Aggiungere la voce del file di mapping Access Control se non presente ed eliminare le altre selezioni dei file di mapping dall elenco dei file di mapping selezionati Accesscontro_R12SP1_TIE ACF2 ACSelogrd AIX_syslog Apache_2059_to_2280_iRe Apache 2059 to 2280 Sv Home a Versione File AccessControl 12 0 5004 0 a AccessControl 12 0 5004 0 12 0 5008 0 12 0465
238. file di analisi dei messaggi separati per diverse periferiche sistemi operativi applicazioni e database Quando gli eventi in ingresso vengono analizzati in coppie nome valore tali dati passano attraverso un modulo di mapping che posiziona i dati degli eventi nei campi all interno del database Il modulo di mapping utilizza i file di mapping dei dati creati per fonti specifiche degli eventi simili ai file di analisi dei messaggi Lo schema del database la grammatica evento comune che rappresenta una delle funzioni centrali di CA User Activity Reporting Module L analisi e il mapping assieme sono i mezzi attraversi cui i dati vengono normalizzati e archiviati in un database comune a prescindere dal tipo di evento o dal formato del messaggio 232 Guida all implementazione File di mapping e analisi L integrazione guidata e alcuni moduli di Adapter CA Technologies richiedono la configurazione dei file di mapping e analisi che descrivono al meglio il tipo di dati degli eventi per cui un connettore o un adapter in ascolto Nei riquadri della configurazione dove compaiono questi controlli l ordine dei file di analisi dei messaggi deve riflettere il numero relativo di eventi ricevuto di questo tipo L ordine dei dati dei file di mapping dei dati deve riflettere anche la quantit di eventi ricevuti da una determinata fonte Ad esempio se un modulo listener di syslog di un server CA User Activity Reporting Module specifico riceve principa
239. formazioni sugli aggiornamenti nella sezione relativa all installazione CA User Activity Reporting Module della Guida all implementazione o consultare la Guida in linea per ulteriori informazioni su attivit di gestione degli agenti Ulteriori informazioni Abilitare operazioni di modalit FIPS a pagina 89 Visualizzare il dashboard di agente a pagina 91 Prerequisiti per l aggiornamento del supporto FIPS Di seguito vengono riportati i prerequisiti per l aggiornamento di CA User Activity Reporting Module al supporto FIPS 140 2 Iniziare con un installazione di CA User Activity Reporting Module r12 0 SP3 o r12 1 Aggiornamento a CA User Activity Reporting Module r12 1 SP1 attraverso la sottoscrizione Ulteriori informazioni Aggiunta di nuovi server CA User Activity Reporting Module in una federazione in modalit FIPS esistente a pagina 92 Capitolo 3 Installazione di CA User Activity Reporting Module 87 Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS Linee guida sull aggiornamento Le seguenti linee guida sono valide per l aggiornamento a CA User Activity Reporting Module con supporto FIPS Se si dispone di pi server CA User Activity Reporting Module in una federazione aggiornare prima il server primario o il server di gestione CA User Activity Reporting Module alla versione r12 1 SP1 Quindi possibile aggiornare tutti gli altri server in qualsiasi ordine Il serv
240. g eventi archiviati Questa architettura adatta a una rete con volume di eventi ridotto Le frecce indicano che la funzionalit di gestione del server di gestione rapporto mantiene le impostazioni globali valide per tutti i server Se vi sono pi server di raccolta questa architettura viene definita hub e spoke CA Enterprise Log Manager Network Server di archiviazione remoto Server di gestione rapporto 24 Guida all implementazione Pianificazione server In una rete ampia con volume di eventi elevato molti rapporti e awisi pianificati complessi e personalizzazione costante possibile dedicare uno o pi server CA User Activity Reporting Module a ruoli singoli Il server CA User Activity Reporting Module di gestione si occupa della gestione della configurazione dei contenuti Il server di rapporto CA User Activity Reporting Module gestisce query e rapporti Il server di raccolta CA User Activity Reporting Module gestisce la raccolta e l integrazione log Il server di correlazione CA User Activity Reporting Module gestisce la correlazione degli eventi Inoltre un punto di ripristino CA User Activity Reporting Module gestisce l analisi di eventi da database di archivi ripristinati Nota un server remoto diverso da CA User Activity Reporting Module impostato per archiviare i database dei log eventi archiviati Questa configurazione ideale per reti molto vaste Le frecce indicano che il server di gestion
241. gente 306 Guida all implementazione Backup di un server CA User Activity Reporting Module Backup di un server CA User Activity Reporting Module E possibile eseguire il backup di un intero server CA User Activity Reporting Module dalla cartella opt CA LogManager data La cartella dei dati un collegamento simbolico alla cartella dati sotto la directory root data Per eseguire il backup di un server CA User Activity Reporting Module 1 Accedere al server CA User Activity Reporting Module come utente caelmadmin Accedere all account root utilizzando l utilit su Accedere alla directory opt CA LogManager Eseguire il seguente comando TAR per creare una copia di backup dei file del server CA User Activity Reporting Module tar hzcvf backupData tgz data Questo comando crea il file di output compresso backupData tgz utilizzando i file della directory data Navigare fino alla directory opt CA SharedComponents iTechnology Eseguire il seguente comando TAR per creare una copia di backup dei certificati digitali tutti i file con estensione file cer tar zcvf backupCerts tgz cer Questo comando crea il file di output compresso backupCerts tgz Appendice D Ripristino di emergenza 307 Ripristino di un server CA User Activity Reporting Module da file di backup Ripristino di un server CA User Activity Reporting Module da file di backup E possibile ripristinare un server CA User Activity Reporting Module
242. ggiorna percentuale di ancoraggio 10 a V Leggere dal principio Nome origine Security Nome canale log Security Capitolo 6 Configurazione della raccolta eventi 219 Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor 9 Fare clic su Salva quindi su Chiudi 10 Il nuovo nome del connettore viene visualizzato sotto l agente in Gestione agenti Gestione raccolta log Y Gestione agenti Y Default Agent Group v amp my elm 3 G Linux_localsyslog_Connector G Syslog_Connector E WinRM_Connettore 11 Fare clic su WinRM_Connector per visualizzare i dettagli di stato Inizialmente lo stato visualizzato Configurazione in sospeso Attendere che lo stato sia In esecuzione Dettagli di stato Riavwia Avvia Interrompi Connettore Agente Gruppo agenti Piattaforma Integrazione Stato VWinRM_Connettore my elm Default Agent Group Linux_X86_32 VyinRM In esecuzione 12 Fare clic su Esegui per ottenere dati di aggregazione come EPS eventi per secondo Stato CPU in percentuale 0 0 Utilizzo memoria in MB 66 8 EPS medio 0 Conteggio eventi filtrati 0 Verificare che l agente predefinito stia eseguendo la raccolta degli eventi dall origine evento di destinazione 1 Selezionare la scheda Query e rapporti Viene visualizzata la sottoscheda Query 2 Espandere Prompt in Elenco query e selezionare Connettore 3 Immettere il nome del connettore e fare clic su Vai a 4
243. gio in un database hot Glossario 423 stato warm del database Lo stato warm del database quello in cui un database hot di registri evento si evolve quando si superano le dimensioni Numero massimo di righe di quest ultimo oppure quando si esegue una ricatalogazione dopo il ripristino di un database cold in un nuovo archivio registro eventi database warm vengono compressi e conservati nell archivio registro eventi fino a quando la loro et in giorni supera il valore configurato per Numero massimo di giorni di archiviazione possibile eseguire una query di registri evento nei database di stato hot warm e defrosted tag Un tag un termine o una frase chiave utilizzata per identificare i rapporti o le query che appartengono allo stesso gruppo relativo ai business tag consentono di eseguire ricerche basate sui gruppi relativi ai business Tag anche il nome di risorsa utilizzato in qualsiasi criterio che consenta agli utenti di creare un tag token di analisi del messaggio ELM Un token di analisi del messaggio un modello riutilizzabile per costruire la sintassi dell espressione regolare utilizzata da CA User Activity Reporting Module per l analisi del messaggio Un token possiede un nome un tipo ed una stringa della corrispondente espressione regolare URL del feed RSS per gli avvisi L URL del feed RSS per gli avvisi https elmhostname 5250 spin calm getActionQueryRssFeeds csp Da questo URL possibile visualizz
244. grafici utilizzati in un sistema di sicurezza per la protezione di informazioni sensibili ma non classificate Lo standard fornisce quattro livelli quantitativi di miglioramento della protezione di una vasta gamma di applicazioni ed ambienti potenziali Gestione agente il processo software che controlla tutti gli agenti associati ai CA User Activity Reporting Module federati Pu autenticare gli agenti con cui comunica gestione dei registri di protezione informatica gestione delle adesioni La definizione del NIST di Gestione dei registri di protezione informatica la seguente processo per generare trasmettere memorizzare analizzare ed eliminare i dati di registro di protezione del computer La gestione delle adesioni consente di controllare ci che gli utenti possono fare dopo l autenticazione e l ingresso nell interfaccia di CA User Activity Reporting Module possibile ottenere tutto ci con i criteri di accesso ed i ruoli assegnati agli utenti ruoli o gruppi utente dell applicazione e i criteri di accesso possono essere di tipo predefinito o definito dall utente l archivio utente interno di CA User Activity Reporting Module ad occuparsi della gestione delle adesioni 408 Guida all implementazione gruppo applicazione gruppo di agenti gruppo globale gruppo utenti gruppo utenti dinamico Un gruppo applicazione un gruppo specifico di prodotto che pu essere assegnato ad un utente globale gruppi app
245. gregazione dei doveri 8 Rivedere e approvare la cartella dei criteri che contiene il criterio e la regola modificata Dopo che il criterio stato approvato il server di distribuzione del Gestore dei criteri stabilisce quando il nuovo criterio viene distribuito ai nodi di controllo possibile rivedere il registro di attivazione per controllare lo stato di attivazione di un criterio 9 Ripetere questa procedura per ogni regola e criterio con eventi raccolti da inviare a CA User Activity Reporting Module Quando importare eventi Se si dispone di un server CA Audit Data Tools esistente con un database Collector si dispone di una tabella SEOSDATA che contiene i dati degli eventi Per eseguire i sistemi CA Audit e CA User Activity Reporting Module fianco a fianco e visualizzare rapporti sui dati gi raccolti possibile importare i dati dalla tabella SEOSDATA possibile eseguire l utilit di importazione SEOSDATA per eseguire un importazione dei dati degli eventi dal database di raccolta all archivio registro eventi CA User Activity Reporting Module Solitamente si importano i dati degli eventi subito dopo avere distribuito un server CA User Activity Reporting Module Se si stanno integrando i due sistemi possibile decidere di eseguire l importazione dei dati pi di una volta a seconda della configurazione dell utilizzo e della rete Nota l importazione dei dati dalla tabella SEOSDATA non elimina o modifica i dati in ess
246. he il nome dell applicazione che l installazione ha provato a registrare con il server CA EEM esiste gi possibile ignorare in sicurezza questo errore poich ogni installazione di CA User Activity Reporting Module prova a creare il nome dell applicazione come se fosse nuovo Capitolo 3 Installazione di CA User Activity Reporting Module 79 Installazione si un server CA User Activity Reporting Module Al termine dell installazione necessario configurare il server CA User Activity Reporting Module prima di potere ricevere eventi Ci pu includere la configurazione di un connettore sull agente predefinito per ricevere eventi syslog Ulteriori informazioni Risoluzione di problemi dell installazione a pagina 121 Configurazione dell agente predefinito a pagina 205 Verifica dell esecuzione del processo iGateway Se non possibile accedere all interfaccia web del server CA User Activity Reporting Module dopo l installazione e si certi che le porte dell interfaccia di rete siano configurate correttamente probabilmente il processo igateway non in esecuzione possibile eseguire un controllo rapido dello stato del processo iGateway utilizzando questa procedura Il processo iGateway deve essere in esecuzione affinch il server CA User Activity Reporting Module raccolga eventi e l interfaccia utente sia accessibile Per verificare il daemon iGateway 1 Accedere ad un prompt dei comandi su un server CA User Activity Re
247. host o fonte di evento ma possibile configurare pi di un tipo di connettore su tale agente possibile utilizzare l Explorer agente che fa parte del server CA User Activity Reporting Module per controllare gli agenti e configurare e controllare i connettori su un agente L Explorer agente permette anche di creare gruppi di agenti per una gestione e un controllo pi semplici Si basa la configurazione di un connettore su un integrazione o su un listener che sono modelli che comprendono file per l accesso ai dati l analisi dei messaggi e il mapping dei dati CA User Activity Reporting Module fornisce una serie di integrazioni pronte all uso per fonti di eventi popolari possibile trovare ulteriori informazioni e procedure per l installazione di agenti nella Guida all installazione degli agenti CA User Activity Reporting Module Ulteriori informazioni Visualizzazione e controllo dello stato di agenti o connettori a pagina 221 Utilizzo dell Explorer agente Subito dopo l installazione di un server CA User Activity Reporting Module un agente predefinito elencato nell Explorer agente L agente viene installato quando si installa il server CA User Activity Reporting Module e lo si utilizza per la raccolta di eventi diretta syslog L Explorer agente traccia ed elenca gli agenti quando essi vengono installati in una rete e fornisce una posizione centralizzata perla configurazione il comando e il controllo di agenti e connettori
248. i Aggiornamenti delle sottoscrizioni per query e rapporti predefiniti rappresentano la possibilit di non dover pi effettuare manualmente la manutenzione di query e rapporti Le procedure guidate fornite permettono di creare le proprie integrazioni personalizzate per periferiche e applicazioni di terze parti non ancora supportate Architettura integrata Il seguente diagramma mostra una rete CA Audit tipica con CA User Activity Reporting Module aggiunto per utilizzare al meglio le capacit di gestione di grandi volumi di eventi e di rapporti basati sulla conformit Gestione Rapporti Raccolta Eventi Windows configurazione e controllo Eventi agente syslog Mainframe Sa gJ Strumenti dati Son GD Client di controllo Gestione Monitor di criter protezione 240 Guida all implementazione Configurazione degli adattatori CA Technologies CA User Activity Reporting Module utilizza un Explorer agente integrato un archivio registro eventi incorporato e un unica interfaccia utente per centralizzare e semplificare la raccolta dei registri La tecnologia dell agente CA User Activity Reporting Module abbinata a una grammatica evento comune consente un trasferimento pi veloce degli eventi nell archivio gestendo un numero maggiore di fonti di eventi Un unico agente pu gestire diversi connettori alle fonti degli eventi semplificando le attivit di gestione degli agenti e sfruttando integrazioni predefinite per fonti d
249. i RAM ciascuna Selezionare il fuso orario del server Immettere il nome host o l indirizzo IP valido del server NTP da cui il server CA User Activity Reporting Module riceve le informazioni sulla data e l ora Indicare se si desidera utilizzare un server CA EEM locale o remoto Per un server di gestione CA User Activity Reporting Module scegliere il server remoto L installazione richiede di creare una password per l account utente EiamAdmin predefinito Per ogni server aggiuntivo scegliere Remoto L installazione richiede il nome del server di gestione Indipendentemente dal tipo di server scelto locale o remoto necessario utilizzare l ID e la password dell account EiamAdmin per il primo accesso al server CA User Activity Reporting Module Specificare questo valore solo se si seleziona l opzione server remota Immettere l indirizzo IP o il nome host del server di gestione CA User Activity Reporting Module installato per primo Il nome host deve essere registrato con il server DNS Se si desidera utilizzare un server CA EEM locale il valore predefinito Nessuno Appendice E CA User Activity Reporting Module e virtualizzazione 383 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie Valore EEM_PASSWORD EiamAdmin FIPS_ MODE S o No Ulteriori informazioni Password account Commenti Registrare la password per l account amministratore pr
250. i gli adapter gli agenti e i connettori CA User Activity Reporting Module rappresentano le configurazioni necessarie per connettersi a queste origini eventi e ricevere dati di evento servizi CA User Activity Reporting Module includono le seguenti aree per le configurazioni e le impostazioni m Configurazioni globali Filtri e impostazioni globali m Servizio di avviso Servizio di correlazione m Impostazioni deposito eventi di log Capitolo 5 Configurazione dei servizi 145 Modificare le configurazioni globali Servizio incidenti m Impostazioni server ODBC m Impostazioni server rapporti Servizio test della regola m Configurazione del servizio di sottoscrizione Pannello di accesso allo stato del sistema Le configurazioni dei servizi possono essere globali ovvero possono riguardare tutti i server CA User Activity Reporting Module installati con un unico nome di istanza dell applicazione nel server di gestione Le configurazioni possono essere anche locali riguardando solo un server selezionato Le configurazioni vengono archiviate nel server di gestione con una copia locale sul server di raccolta CA User Activity Reporting Module In questo modo se la connettivit di rete viene perduta o il server di gestione inattivo per qualsiasi motivo la registrazione degli eventi continua senza interruzione sui server di raccolta Il pannello di accesso allo stato del sistema fornisce gli strumenti che hanno effetto su un
251. i un azienda utilizzano la medesima istanza applicazione CAELM per impostazione predefinita server CA User Activity Reporting Module possono essere installati con diverse istanze applicazione ma possibile federare soltanto i server che condividono la medesima istanza applicazione server configurati per utilizzare lo stesso server CA EEM ma con diverse istanze applicazione condividono solo l archivio utente i criteri di password e i gruppi globali Diversi prodotti CA sono dotati di diverse istanze applicazione predefinite La grammatica evento comune CEG Common Event Grammar La Grammatica evento comune lo schema che fornisce un formato standard in cui CA User Activity Reporting Module converte gli eventi utilizzando file di analisi e di mapping prima di memorizzarli nell Archivio registro eventi La CEG utilizza campi comuni e normalizzati per definire gli eventi di protezione provenienti da diversi prodotti e piattaforme Gli eventi impossibili da analizzare o da mappare vengono archiviati come eventi non elaborati Glossario 411 libreria di analisi messaggi La libreria di analisi messaggi una libreria che riceve gli eventi dalle code dei listener e che utilizza espressioni regolari per dividere le stringhe in token ottenendo cos coppie di nomi e valori libreria di perfezionamento eventi libreria di rapporto libreria query mapping dei dati mapping di funzione MIB La libreria di perfezionamento ev
252. i DA Home host o indirizzo IP emaa facoltativi Descrizione E e mail escc Status Monitor external Program ik rie inoltre possibile utilizzare l azione di routing ma l azione collector offre il vantaggio aggiuntivo di un nome host alternativo per l elaborazione di failover di base 270 Guida all implementazione Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module 7 Fare clic su Nuova per aggiungere una nuova regola 8 Immettere l indirizzo IP o il nome host del server CA User Activity Reporting Module di raccolta Modifica regola Azioni Indietro Avanti Fine Annulla 1 gt Modifica ie 2 gt Modifica script CON Modifica azioni informazioni EET Sfoglia azioni a Collector Salva Annutta Sfogliare l elenco delle azioni e creare le azioni da aggiungere alla regola Home host o indirizzo IP CA ELM Collector Collector x x Nome host alternativo cA ELM Management CA ELM Collector CA ELM Management SI E Mail Descrizione ca Enterprise Log Manager action escc Status Monitor Eelexternal Program frie mj Esegui questa azione sul server remoto EEA txt Il server definito in base al gruppo di nodi di controllo E Route Il server S Screen security Monitor r8spler3 Nel caso di un implementazione CA User Activity Reporting Module con due o pi server possibile inserire un nome host CA User Activity Report
253. i EEM Completare le impostazioni di protezione di EEM come segue a Immettere il nome host del server di gestione CA User Activity Reporting Module nel campo Server EEM b Immettere ITPAM nel campo relativo all applicazione EEM c Fare clic su Sfoglia e selezionare la cartella in cui posizionare itpamcert p12 d Selezionare itpamcert p12 e Completare il campo Password certificato EEM in uno dei seguenti modi Immettere la password che stata sostituita nel file ITPAM_eem xml durante la fase di preparazione Immettere itpamcertpass la password predefinita Fare clic sulle impostazioni EEM Viene visualizzato il messaggio Performing a test may take a few minutes Test in corso l operazione potrebbe richiedere qualche minuto Fare clic su OK Viene visualizzata la finestra di dialogo di verifica delle impostazioni di EEM Immettere itpamadmin come nome utente Immettere la password per l account utente itpamadmin e fare clic su OK 300 Guida all implementazione 8 Avviare il servizio server CA ITPAM Fare clic su Avanti Attenersi alle istruzioni documentate di CA IT PAM per completare il resto della procedura guidata Avviare il servizio server CA ITPAM Avviare il servizio server CA ITPAM in modo da poter avviare il server CA IT PAM Avviare il servizio server CA ITPAM 1 2 Accedere al server Windows su cui installato il dominio di CA IT PAM Dal menu Start selezionare Programmi Domi
254. i agenti utilizzano connettori per raccogliere gli eventi Dopo aver installato l agente possibile utilizzare Gestione agenti su qualsiasi server CA User Activity Reporting Module per configurare uno o pi connettori sull agente La registrazione dei server CA User Activity Reporting Module deve essere realizzata su un solo server di gestione o un server CA EEM esterno con un unico nome di istanza applicazione per eseguire la configurazione degli agenti secondo questa modalit Nota sebbene sia possibile configurare fino a un massimo di 256 connettori su un agente determinato un numero elevato di connettori comporta la riduzione delle prestazioni Per ottenere un livello di prestazioni ottimale consigliabile configurare un massimo di 70 connettori per agente Capitolo 2 Pianificazione dell ambiente 65 Pianificazione agente Generalmente esiste un connettore per ogni fonte di evento nella rete Per gli eventi syslog pu essere presente pi di un connettore per molte fonti di eventi a seconda delle scelte della configurazione possibile creare diversi connettori che utilizzano la stessa integrazione ma che hanno dettagli di configurazione leggermente diversi per accedere alle diverse fonti degli eventi Alcuni connettori offrono assistenti della configurazione che raccolgono le informazioni necessarie per l accesso alla fonte dell evento Se necessario un connettore per cui al momento non fornita un integrazione poss
255. i commerciali i marchi di servizio e i loghi citati nel presente documento sono di propriet delle rispettive aziende Riferimenti ai prodotti CA Technologies Questo documento valido per i seguenti prodotti di CA Technologies m CA Access Control m CA Audit m CAACF2 CA Directory m CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CAIT Process Automation Manager CA IT PAM m CA NSM m CA Security Command Center CA SCC m CA Service Desk m CA SiteMinder m CA Spectrum CATop Secret Contattare il servizio di Supporto tecnico Per l assistenza tecnica in linea e un elenco completo delle sedi degli orari del servizio di assistenza e dei numeri di telefono contattare il Supporto tecnico visitando il sito Web all indirizzo http www ca com worldwide Modifiche apportate alla documentazione Di seguito sono riportati gli aggiornamenti apportati alla documentazione dall ultimo rilascio Aggiornamento del capitolo Virtualizzazione rimozione delle impostazioni di paravirtualizzazione e aggiunta della descrizione della funzionalit di disponibilit elevata di CA User Activity Reporting Module Ulteriori informazioni Configurazione delle impostazioni di risorsa a pagina 345 Disponibilit elevata di CA User Activity Reporting Module a pagina 393 Sommario Capitolo 1 Introduzione 13 Informazioni sulla guida saea Masi eee iaia Be 13 Capitolo 2 P
256. i contenuti e di integrazione al server di gestione Il server di gestione per impostazione predefinita il primo server CA User Activity Reporting Module installato e viene utilizzato per l archiviazione di tutte le informazioni del contenuto quali rapporti integrazioni e regole di correlazione per l ambiente in uso 3 client di sottoscrizione contattano il proxy di sottoscrizione per ottenere gli aggiornamenti automaticamente oppure su richiesta client eseguono il download e l installazione automatica degli aggiornamenti Nota i proxy di sottoscrizione eseguono l installazione degli aggiornamenti scaricati prima di renderli disponibili per i client 50 Guida all implementazione Pianificazione aggiornamento sottoscrizioni Pianificazione degli aggiornamenti di sottoscrizione La pianificazione dell architettura degli aggiornamenti di sottoscrizione per l ambiente CA User Activity Reporting Module in uso consente di garantire che tutti i server ricevano gli aggiornamenti selezionati nei tempi desiderati e in modo protetto Per pianificare gli aggiornamenti di sottoscrizione per l ambiente CA User Activity Reporting Module attenersi alla procedura riportata di seguito Per ulteriori informazioni consultare le procedure corrispondenti 1 In primo luogo definire un struttura proxy client per i server CA User Activity Reporting Module Stabilire quali server si desidera definire come proxy e come client considerando il ruolo
257. i database come il seguente Inserimento di nuovi eventi nel database hot corrente Recupero di eventi da database federati locali e remoti per query e rapporti Creazione di nuovi database quando il database corrente completo m Creazione di nuovi file di archivio ed eliminazione dei vecchi file di archivio m Gestione della cache delle query dell archivio Applicazione delle regole di riepilogo e di soppressione selezionate Applicazione delle regole di inoltro eventi selezionate Definizione dei server CA User Activity Reporting Module che agiscono come figli federati di questo server CA User Activity Reporting Module Informazioni sui file di archivio Il server CA User Activity Reporting Module crea automaticamente file di database chiamati file di archivio quando un database hot raggiunge le impostazioni del Numero massimo di righe specificate all interno del servizio archivio registro eventi file di database hot non sono compressi Quando si configura l auto archiviazione da un server di raccolta in un server di rapporto i database warm sul server di raccolta vengono eliminati dopo che i database vengono copiati sul server di rapporto L opzione Numero massimo di giorni di archiviazione non valida in questo caso Quando si configura l auto archiviazione da un server di rapporto a un server di archiviazione remoto i database warm sul server di rapporto non vengono eliminati dopo essere stati copiati sul server di a
258. i della sottoscrizione e ripristino di emergenza Capitolo 1 Introduzione 13 Informazioni sulla guida Sezione Installazione di CA User Activity Reporting Module Configurazione di utenti e accessi di base Configurazione dei servizi Configurazione della raccolta eventi Creazione di federazioni Lavorare con la libreria di perfezionamento eventi Considerazioni per gli utenti di CA Audit Considerazioni per gli utenti di CA Access Control Considerazioni su CA IT PAM Ripristino di emergenza 14 Guida all implementazione Descrizione Fornisce fogli di calcolo per la raccolta delle informazioni necessarie e istruzioni dettagliate sull installazione di CA User Activity Reporting Module e sulla verifica dell installazione corretta Fornisce istruzioni per individuare un archivio utente e creare l utente amministrativo iniziale per la configurazione dell altro utente e dei dettagli di accesso Fornisce istruzioni per la configurazione di servizi fra cui i filtri globali e locali l archivio registro eventi il server di rapporto e le opzioni di sottoscrizione Fornisce argomenti e istruzioni necessari per utilizzare o configurare i componenti della libreria di perfezionamento eventi fra cui i file di analisi e di mapping e gli adattatori di CA Technologies Descrive tipi diversi di federazioni e fornisce istruzioni per la creazione di relazioni federate tra server CA User Activity Reporting Module e per la vi
259. i e le altre impostazioni dei rapporti PDF Nell area Memorizzazione avvisi impostare il totale degli avvisi memorizzati ed il numero di giorni in cui saranno conservati Numero massimo di avvisi Definisce il numero massimo di avvisi conservati dal server di rapporto per la consultazione Minimo 50 Massimo 1000 Memorizzazione avvisi Definisce il numero di giorni in cui gli avvisi vengono conservati fino al numero massimo possibile Minimo 1 Massimo 30 m Impostare nell area Memorizzazione rapporti i criteri di memorizzazione per ogni tipo di ricorrenza dei rapporti pianificati Capitolo 5 Configurazione dei servizi 189 Configurazione della sottoscrizione Impostare la frequenza con cui l utilit di memorizzazione ricerchera i rapporti da eliminare automaticamente in base a tali criteri Ad esempio se l utilit di memorizzazione dei rapporti viene eseguita giornalmente verranno eliminati ogni giorno i rapporti con un et superiore a quella massima specificata Configurazione della sottoscrizione Dopo aver definito l architettura di sottoscrizione possibile configurare l ambiente CA User Activity Reporting Module per l implementazione degli aggiornamenti di sottoscrizione Di seguito viene riportata la procedura di configurazione della sottoscrizione Per ulteriori dettagli riguardo ciascun passaggio consultare le procedure corrispondenti 1 Utilizzare l architettura di sottoscrizione come guida per
260. i rapporti Le linee tratteggiate mostrano il traffico di configurazione e di controllo tra i server CA User Activity Reporting Module e dal ruolo di gestione del server di gestione o dei rapporti agli agenti possibile utilizzare qualsiasi server CA User Activity Reporting Module nella rete per controllare ogni agente nella rete fintanto che i server CA User Activity Reporting Module erano registrati con lo stesso nome di istanza dell applicazione nel server di gestione durante l installazione Gli agenti utilizzano connettori non mostrati per raccogliere gli eventi Un unico agente pu gestire diversi connettori per raccogliere molti tipi diversi di eventi contemporaneamente Ci significa che un unico agente distribuito su una fonte di eventi singola pu raccogliere tipi diversi di informazioni Il server CA User Activity Reporting Module offre anche listener che permettono la raccolta di eventi da altre applicazioni CA Technologies utilizzando iRecorder e recorder SAPI esistenti dalla rete CA Audit Appendice A Considerazioni per gli utenti CA Audit 239 Comprendere le differenze delle architetture possibile federare i server CA User Activity Reporting Module per scalare la soluzione e condividere i dati dei rapporti tra di essi senza dovere trasportare i dati all esterno dei confini Ci pu fornire una visualizzazione della conformit a livello di rete seguendo sempre le normative sul mantenimento delle posizioni dei dati fisic
261. i registri eventi note o comuni In questa implementazione il server di raccolta CA User Activity Reporting Module riceve direttamente gli eventi syslog basati su iTechnology e del recorder SAPI Il server di raccolta riceve gli eventi da fonti di eventi Windows attraverso un agente CA User Activity Reporting Module separato basato su Windows possibile avere diversi agenti distribuiti nella rete ognuno dei quali in grado di raccogliere molti tipi diversi di dati di eventi attraverso i connettori Ci pu aiutare a ridurre il traffico di eventi al database SEOSDATA e a utilizzare al meglio query e rapporti disponibili in CA User Activity Reporting Module Una semplice modifica di regole dei criteri permette ai client CA Audit di inviare gli eventi raccolti sia al server Data Tools che al server CA User Activity Reporting Module Oltre a una velocit superiore CA User Activity Reporting Module offre query e rapporti pronti all uso che aiutano a dimostrare la conformit rispetto a standard diversi come PCI DSS e SOX Quando si abbinano le query e i rapporti predefiniti all implementazione CA Audit e CA Security Command Center esistente possibile utilizzare al meglio gli investimenti nelle soluzioni personalizzate sfruttando i rapporti e l elevata velocit di CA User Activity Reporting Module Configurazione degli adattatori CA Technologies Gli adattatori CA Technologies sono un gruppo di listener che riceve eventi da componenti
262. i ripristina il database cold nel suo CA User Activity Reporting Module originale non si dovr utilizzare LMArchive ed eseguire il defrosting con la ricatalogazione si aggiunger il database ripristinato come database warm Destinazioni di trap SNMP Quando si pianifica un avviso possibile aggiungere una o pi destinazioni di trap SNMP Ogni destinazione di trap SNMP viene configurata con un indirizzo IP ed una porta La destinazione di solito un NOC o un server di gestione come CA Spectrum o CA NSM Quando le query per un processo di avviso pianificato restituiscono risultati verr inviato un trap SNMP alle destinazioni configurate elementi di integrazione Gli elementi di integrazione comprendono un sensore un assistente di configurazione un file di accesso dati ed uno o pi file di analisi del messaggio XMP e di mapping dei dati 404 Guida all implementazione elenco controllo di accesso identita event_action event_category event_class eventi Un elenco controllo di accesso identit consente di specificare le diverse azioni che ogni identit selezionata pu eseguire sulle risorse selezionate Ad esempio con un elenco di controllo accesso identit si pu fare in modo che un identit possa creare rapporti ed un altra possa pianificarli ed annotarli Un elenco controllo di accesso identit differisce da un elenco di controllo di accesso nel fatto che esso incentrato sull identit piuttosto che sulla risors
263. i sottoscrizione non in linea proxy di sottoscrizione non in linea Un proxy di sottoscrizione non in linea un server CA User Activity Reporting Module che pu ottenere aggiornamenti di sottoscrizione eseguendo una copia manuale di directory usando scp da un proxy di sottoscrizione in linea possibile configurare i proxy di sottoscrizione non in linea in modo da scaricare i file binari di aggiornamento sui client che li richiedono ed inviare l ultima versione degli aggiornamenti di contenuto al server di gestione nel caso in cui esso non li abbia gi ricevuti proxy di sottoscrizione non in linea non richiedono un accesso ad Internet 416 Guida all implementazione proxy di sottoscrizione per gli aggiornamenti di contenuto proxy di sottoscrizione per gli aggiornamenti di contenuto sono i proxy di sottoscrizione scelti per aggiornare il server di gestione CA User Activity Reporting Module con gli aggiornamenti di contenuto scaricati dal server di sottoscrizione CA consigliabile configurare pi proxy per la ridondanza proxy di sottoscrizione per il client Il proxy di sottoscrizione per il client integra l elenco di proxy di sottoscrizione che il client pu contattare in maniera circolare per ottenere il software CA User Activity Reporting Module e gli aggiornamenti del sistema operativo Se un proxy occupato verr contattato il successivo nella lista Nel caso fossero tutti occupati ed il client sia in linea s
264. i syslog il valore di questa porta pu essere configurato Affinch l agente predefinito venga eseguito come utente non di root la porta predefinita impostata su 40514 e l installazione applica una regola di firewall al server CA User Activity Reporting Module Porta di ascolto TCP predefinita di syslog il valore di questa porta pu essere configurato Porta DXadmin LDAP di CA Directory se viene utilizzato un server CA EEM sullo stesso server fisico del server CA User Activity Reporting Module il server di gestione Comunicazioni TCP con l interfaccia utente del server CA User Activity Reporting Module utilizzando iGateway Comunicazioni TCP tra m Server CA User Activity Reporting Module e server CA EEM m Server CA User Activity Reporting Module federati a Agente e server CA User Activity Reporting Module per aggiornamenti dello stato Porta di ascolto di comando e controllo dell agente Nota se non si consente il traffico in uscita sara necessario aprire questa porta per consentire il funzionamento corretto Porta TPC per comunicazioni sicure tra agente e server CA User Activity Reporting Module il valore di questa porta pu essere configurato Nota se non si consente il traffico in uscita sar necessario aprire questa porta per consentire il funzionamento corretto Porta Componente 17002 ODBC JDBC 17003 Agente 17200 Dispatcher listener SME 17201 Dispatcher listener eventi casuale SAPI Elenco dei pr
265. i utilizzer il proxy di sottoscrizione predefinito proxy di sottoscrizione predefinito punto di raccolta query Il proxy di sottoscrizione predefinito di solito il server CA User Activity Reporting Module installato per primo oppure anche il CA User Activity Reporting Module principale Il proxy di sottoscrizione predefinito anche un proxy di sottoscrizione in linea e deve pertanto disporre di un accesso ad Internet Se non si definiscono altri proxy di sottoscrizione tale server otterr gli aggiornamenti di sottoscrizione dal server di sottoscrizione CA Technologies e scaricher gli aggiornamenti binari su tutti i client per poi inviare ad CA EEM gli aggiornamenti di contenuto Se si definiscono altri proxy tale server ricever ugualmente gli aggiornamenti di sottoscrizione client per gli aggiornamenti per lo contatteranno solo quando non verr configurato nessun elenco di proxy di sottoscrizione o quando tale elenco sar esaurito Un punto di raccolta un server su cui si installa un agente dotato di prossimit di rete con tutti i server che dispongono di origini evento associate ai connettori del proprio agente Una query un gruppo di criteri utilizzato per cercare negli archivi registro evento del server CA User Activity Reporting Module attivo e se specificati nei suoi server federati Una query agisce sui database hot warm o defrosted specificati nella sua clausola Dove Per esempio se la clausola D
266. ianificazione dell ambiente 17 Pianificazione servers itoen aiar aaa 18 Ruoli dei serveri anale 19 Esempio Architetture di Fete urico 23 Pianificazione della raccolta registri i 26 Pianificazione dello spazio SU diSCO 29 Informazioni sul server CA EEMi ccrai ae 29 Linee guida per la raccolta dei registri 30 Pianificazione di una federazione i 31 Creazione di una mappa della federazione 32 Esempio mappa federazione di una grande impresa i 34 Esempio mappa della federazione per un impresa di medie dimensioni 36 Pianificazione degli utenti e degli accessi i 39 Pianificazione archivio ULENtEs sco c cccseseceesscsccensecseecedactceenagescdueaandcdevdedacesedandceuagescanessadccundeaceddedeckdennses 39 Utenti con ruolo di amministratore ii 44 Pianificazione dei criteri delle password et 44 Pianificazione aggiornamento sottoscrizioni ii 47 Servizio di Sottoscrizione s c cesssccesesdcecevensancesesscncevenscttevesagucave I RR RT 48 Funzionamento della sottoscrizione i 49 Pianificazione degli aggiornamenti di sottoscrizione iii 51 Esempio configurazione della sottoscrizione con sei SEerver iii 58 Pianificazione agente ii 60 Informazioni sulla raccolta di eventi syslog 60 Age
267. ibile crearla utilizzando l integrazione guidata Informazioni sui sensori di registro Un sensore di registro il componente di un connettore che comprende come accedere alle fonti degli eventi CA User Activity Reporting Module fornisce sensori di registro per i seguenti tipi diversi di fonti di evento e formati di registro ACLogsensor Questo sensore di registro legge gli eventi CA Access Control quando CA Access Control utilizza selogrd per il routing di eventi FileLogSensor Questo sensore di registro legge gli eventi da un file LocalSyslog Questo sensore di registro raccoglie gli eventi dai file syslog locali di qualsiasi server UNIX ODBCLogSensor Questo sensore di registro utilizza ODBC per connettersi a una fonte di eventi di database e recuperare gli eventi da esso OPSECLogSensor Questo sensore di registro legge gli eventi da una fonte di eventi Check Point OPSEC SDEELogSensor Questo sensore di registro legge gli eventi da dispositivi Cisco Syslog Questo sensore di registro in ascolto per eventi syslog 66 Guida all implementazione Pianificazione agente TIBCOLogSensor Questo sensore di registro legge gli eventi da una coda del servizio messaggi di evento EMS Event Message Service TIBCO nelle implementazioni CA Access Control W3CLogSensor Questo sensore di registro legge gli eventi da un file in formato registro W3C WinRMLinuxLogSensor Questo sensore di registro consente all agent
268. ica se conservare gli utenti globali in memoria per l accesso rapido La selezione permette ricerche pi veloci al costo della scalabilit Per un piccolo ambiente di prova la selezione consigliata Se si scelto di conservare nella cache gli utenti globali specificare la frequenza in minuti per l aggiornamento dei gruppi e degli utenti conservati per includere registrazioni nuove e modificate Se il tipo di directory esterna Microsoft Active Directory questa opzione specifica che si intende creare gruppi globali dalle informazioni del gruppo Microsoft Exchange Se selezionata possibile scrivere criteri per i membri degli elenchi di distribuzione Foglio di lavoro per CA SiteMinder Pianificazione degli utenti e degli accessi Prima di fare riferimento a CA SiteMinder come archivio utente raccogliere le seguenti informazioni sulla configurazione Informazioni necessarie Host Nome amministratore Password amministratore Nome agente Segreto agente Utenti globali cache Orario di aggiornamento cache Includi attributi non mappati Recupera gruppi di scambio come gruppi utenti globali Tipo archivio autorizzazione Valore Commenti Definisce nome host o indirizzo IP del sistema CA SiteMinder di riferimento possibile utilizzare indirizzi IPv4 o IPv6 IP Il nome utente per il super utente CA SiteMinder che svolge la manutenzione del sistema e degli oggetti del dominio La password per i
269. il commento dalla sezione blacklist per tutti i dispositivi La sezione blacklist abilita percorsi multipli su periferiche predefinite blacklist devnode ram raw loop fd md dm sr scd st 0 9 devnode hd a z devnode cciss c 0 9 d 0 9 c Salvare e chiudere il file multipath conf Verificare che i percorsi siano attivi e che i LUN siano elencati per eseguire le seguenti operazioni multipath l Nota i percorsi vengono visualizzati come mpath0 e mpath1 Se i LUN non vengono visualizzati riavviare il computer e eseguire di nuovo i percorsi multipli Visualizzare le unit disponibili fdisk l Elencare le partizioni disponibili e verificare che mpath0 e mpath1 siano nell elenco ls la dev mapper Mappare la prima partizione come segue kpartx a dev mapper mpath0 Mappare la seconda partizione come segue kpartx a dev mapper mpath1 Capitolo 3 Installazione di CA User Activity Reporting Module 97 Considerazioni sull installazione di sistemi con unit di SAN Creazione di un volume logico possibile utilizzare il software di gestione dei volumi per combinare pi LUN in un volume logico per l accesso di CA User Activity Reporting Module Logical Volume Manager LVM consente di gestire le unit disco e dispositivi di archiviazione di massa simili nel sistema operativo Linux Le colonne di archiviazione creata in LVM possono essere ridimensionate o spostate in dispositivi back
270. il plug in eventi iTechnology per ricevere da iRecorder e altre origini eventi iTechnology Utilizzare il plug in iTechnology quando si configura un iRecorder autonomo per inviare i suoi eventi a un server CA User Activity Reporting Module Configurare il servizio prima di eseguire la configurazione o l installazione di un iRecorder per verificare che gli eventi non vengano persi Nota se si desidera inviare eventi da un client esterno per il listener del plug in eventi iTechnology necessario inviare tali eventi solo al server CA User Activity Reporting Module secondario Per configurare il plug in eventi iTechnology 1 Accedere al server CA User Activity Reporting Module e selezionare la scheda Amministrazione La sottoscheda Raccolta log verr visualizzata per impostazione predefinita 2 Espandere la voce CA Technologies Adapters Appendice A Considerazioni per gli utenti CA Audit 245 Invio di eventi CA Audit a CA User Activity Reporting Module 3 Selezionare il servizio plug in eventi iTechnology 4 Selezionare uno o pi file di mapping dei dati DM dall elenco dei file DM disponibili ed utilizzare i pulsanti freccia per spostarli all elenco di selezione dei file DM Il servizio di plug in degli eventi preconfigurato per includere la maggior parte dei principali file di mapping dei dati 5 Fare clic su Salva per archiviare le modifiche nei file di configurazione del server di gestione Invio di eventi CA Audit
271. ilizzare la tastiera inglese UK immettere il valore KEYTABLE come KEYTABLE UK Nota per ulteriori informazioni sulle impostazioni nazionali della lingua consultare la documentazione RHEL relativa all installazione Salvare e chiudere il file Riavviare il computer Il tipo di tastiera viene modificato Aggiungere un server NTP Si raccomanda vivamente di aggiungere un server NTP per procedere all aggiornamento della data e dell ora del server CA User Activity Reporting Module Per aggiungere un server NTP 1 2 Accedere alla console CA User Activity Reporting Module come utente root Immettere i comandi crontab e 00 0 usr sbin ntpdate NTPserver_hostname Viene aggiunto un cron job Salvare le modifiche e uscire dalla console Il server NTP viene aggiunto Appendice E CA User Activity Reporting Module e virtualizzazione 391 Creazione di un profilo di raccolta evento Creazione di un profilo di raccolta evento Un profilo di raccolta evento contiene le informazioni basiche necessarie per la creazione di un listener o un connettore CA User Activity Reporting Module In tal modo possibile applicare il provisioning della raccolta eventi quando l API di automatizzazione virtuale chiama il profilo Prima di poter utilizzare l API virtuale necessario creare profili di raccolta Ciascun profilo di raccolta conterr le informazioni relative a un integrazione o un listener specifici Si consiglia pertanto
272. ilizzata nuovamente durante le installazioni degli altri server e agenti CA User Activity Reporting Module Nota la password immessa sar anche la password iniziale dell account caelmadmin predefinito utilizzato per accedere direttamente al server CA User Activity Reporting Module attraverso ssh possibile creare ulteriori account di amministratore per accedere alle funzioni CA EEM dopo l installazione se lo si desidera Specifica se l applicazione virtuale deve essere eseguita in modalit FIPS o non FIPS Se si sceglie di utilizzare un server CA EEM locale possibile selezionare qualsiasi modalit Se si sceglie di utilizzare un server CA EEM remoto necessario selezionare la modalit utilizzata dal server remoto CA EEM Aggiunta di server virtuali all ambiente a pagina 333 Creazione di un ambiente completamente virtuale a pagina 356 Distribuzione rapida di server virtuali a pagina 381 Appendice E CA User Activity Reporting Module e virtualizzazione 351 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Richiamare lo strumento OVF dalla riga di comando Nota necessario installare lo strumento OVF 1 0 0 0 prima di eseguire l installazione invisibile all utente Per ulteriori informazioni sullo strumento OVF consultare la Guida per l utente dello strumento OVF oppure visitare il sito www vmware com Per richiamare lo strumento OVF necessario passare i parametri di con
273. immagini ISO scaricabili e compresse Dopo avere scaricato il software necessario creare supporti DVD prima di poter effettuare l installazione Utilizzare questa procedura per scaricare le immagini ISO e creare i dischi di installazione Capitolo 3 Installazione di CA User Activity Reporting Module 71 Installazione si un server CA User Activity Reporting Module Per creare i DVD di installazione 1 Accedere al server di download all indirizzo http ca com support da un computer connesso a Internet Fare clic sul collegamento Technical Support e selezionare il collegamento Download Center Scegliere CA User Activity Reporting Module nel campo Select a Product e scegliere la versione di interesse nel campo Select a Release Selezionare la casella di controllo Select all components e fare clic su Go Apparira la pagina Published Solutions Downloads Selezionare il pacchetto da scaricare Viene visualizzata la pagina del documento delle soluzioni Scorrere in fondo alla pagina e selezionare il collegamento Download di fianco al nome del pacchetto Il download del pacchetto avr inizio Nota il download potrebbe richiedere alcuni minuti prima del completamento a seconda della velocit della connessione Decomprimere le due immagini dell installazione Creare due dischi di installazione separati masterizzando il sistema operativo e le immagini del disco ISO CA User Activity Reporting Module su supporti DVD RW separati
274. in grado di ricevere eventi dalle integrazioni come Mainframe per poi inviarle ad un router di CA Audit Un sensore di registro un componente di integrazione progettato per leggere un tipo specifico di registro come database syslog file o SNMP sensori di registro possono essere riutilizzati Di solito gli utenti non creano sensori di registro personalizzati Il server avvisi l archivio degli avvisi e dei relativi processi 420 Guida all implementazione server del punto di ripristino Un server del punto di ripristino un ruolo ricoperto da un server CA User Activity Reporting Module Per analizzare gli eventi cold possibile usare un utility per spostare i database dal server di archiviazione remota a quello del punto di ripristino per poi aggiungerli al catalogo ed eseguire delle query Lo spostamento dei database cold in un punto di ripristino dedicato un alternativa al riportarli nel server di rapporto originale in modo da poter eseguire delle analisi server di archiviazione remota server di federazione server di gestione server di raccolta Un server di archiviazione remota un ruolo assegnato ad un server che riceva i database archiviati automaticamente da uno o pi server di rapporto Un server di archiviazione remota memorizza i database cold per il numero di anni necessari Di solito non conviene installare CA User Activity Reporting Module o altri prodotti negli host remoti per la memorizzazi
275. ing Module diverso o un indirizzo IP nel campo Nome host alternativo In questo modo si utilizza la funzione di failover automatica di CA Audit Se il primo server CA User Activity Reporting Module non disponibile CA Audit invia automaticamente gli eventi al server indicato nel campo Nome host alternativo 9 Immettere il nome del server CA User Activity Reporting Module di gestione nel campo Nome host alternativo e creare una descrizione per questa nuova azione della regola 10 Deselezionare la casella di controllo Esegui questa azione sul server remoto se selezionata 11 Fare clic su Aggiungi per salvare la nuova azione della regola e fare clic su Fine nella finestra della procedura guidata Nota successivamente si dovr selezionare e attivare il criterio quindi non disconnettersi da Gestione criteri di CA Audit Ulteriori informazioni Modifica di un criterio esistente r8SP2 per l invio di eventi a CA User Activity Reporting Module a pagina 250 Appendice B Considerazioni per gli utenti CA Access Control 271 Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module Selezionare e attivare il Criterio modificato Dopo avere modificato un criterio esistente per aggiungere l azione di una regola selezionarlo compilarlo e attivarlo Per selezionare e attivare un criterio di CA Access Control 1 Selezionare la scheda Regole nel riquadro in basso a destra e la regola da selezionare
276. inistrazione contiene un database hot per l inserimento dei messaggi degli eventi di automonitoraggio server di rapporti supportano database hot di dimensioni inferiori e un gran numero di database warm server di rapporto devono inoltre disporre di spazio supplementare per supportare i file ripristinati per un determinato tempo Quando si utilizzano periferiche collegate direttamente le partizioni vengono estese automaticamente per consentire una maggiore capacit di archiviazione Informazioni sul server CA EEM CA User Activity Reporting Module utilizza il server CA Embedded Entitlements Manager CA EEM internamente per gestire le configurazioni autorizzare e autenticare gli utenti coordinare gli aggiornamenti delle sottoscrizioni di contenuti e file binari ed eseguire altre funzioni di gestione Nell ambiente CA User Activity Reporting Module di base si installa CA EEM quando si installa il server CA User Activity Reporting Module di gestione Da questo punto CA EEM gestisce le configurazioni di tutti i server CA User Activity Reporting Module di raccolta e dei loro agenti e connettori Capitolo 2 Pianificazione dell ambiente 29 Pianificazione della raccolta registri E inoltre possibile scegliere di installare il server CA EEM su un server remoto utilizzando i pacchetti di installazione forniti sul disco di installazione dell applicazione oppure possibile utilizzare un server CA EEM esistente se si dispone di uno utilizzato c
277. io registro eventi possono essere globali o locali e riguardano la memorizzazione e l archiviazione degli eventi da parte del server CA User Activity Reporting Module La procedura di configurazione dell archivio registro eventi include quanto segue m Comprendere il servizio archivio registro eventi Comprendere la gestione dei file di archivio da parte dell archivio registro eventi Configurazione dei valori globali e locali dell archivio registro eventi Questa fase comprende l impostazione della dimensione del database i valori di base per la memorizzazione del file archivio le regole di riepilogo le regole di soppressione le relazioni di federazione le impostazioni della correlazione i controlli di integrit dei dati e le opzioni di archiviazione automatica CA User Activity Reporting Module chiude automaticamente i file del database attivo e crea file di archivio quando i database attivi raggiungono la capacit definita per questo servizio Quindi CA User Activity Reporting Module apre nuovi file attivi per continuare le operazioni di registrazione di eventi possibile configurar opzioni di auto archiviazione per gestire questi file ma solo come configurazione locale per ogni server CA User Activity Reporting Module Capitolo 5 Configurazione dei servizi 151 Configurazione dell archivio registro eventi Informazioni sul servizio archivio registro eventi Il servizio archivio registro eventi gestisce le interazioni de
278. ione nel riquadro destro b Selezionare Reset password Reimposta password c Digitare la password dell account nel campo Nuova password e Conferma password d Fare clic su Salva 298 Guida all implementazione Installare i componenti di terze parti richiesti da CA IT PAM 6 Reimpostare la password per itpamuser a Selezionare itpamuser dall elenco e scorrere fino all autenticazione nel riquadro destro b Selezionare Reset password Reimposta password c Digitare la password dell account nel campo Nuova password e Conferma password d Fare clic su Salva 7 Fare clic su Disconnetti Installare i componenti di terze parti richiesti da CA IT PAM Prima di installare i componenti di terze parti occorre aver installato sul sistema JDK 1 6 o superiore Eseguire Third_Party_Installer_windows exe sul server Windows sul quale si intende installare CA IT PAM Per ulteriori informazioni consultare la Guida all installazione di CA IT Process Automation Manager Installazione del dominio CA IT PAM L esecuzione della procedura guidata di CA IT PAM con le specifiche qui descritte fornisce un collegamento con il certificato in modo che CA IT PAM e CA EEM sul server di gestione CA User Activity Reporting Module risultino attendibili Avere a portata di mano le seguenti informazioni Password per il file di certificato EEM itpamcert p12 possibile che il file predefinito ITPAM_eem xml sia stato modificato durante la
279. ione del server CA User Activity Reporting Module installa automaticamente il proprio agente possibile utilizzare questo agente predefinito per la raccolta diretta degli eventi syslog possibile inoltre visualizzare lo stato di ogni agente dall Explorer agente in ogni server CA User Activity Reporting Module nella rete Gli agenti hanno un servizio di controllo che riavvia un agente nel caso si blocchi in modo imprevisto e che esegue il monitoraggio degli aggiornamenti dei file binari di agenti e connettori Gli agenti inviano anche eventi di automonitoraggio all archivio registro eventi per il tracciamento delle modifiche e dello stato Informazioni sui gruppi di agenti possibile anche creare gruppi di agenti che sono raggruppamenti logici di agenti che facilitano la loro gestione Dopo avere reso un agente parte di un gruppo di agenti possibile modificare configurazioni e avviare e interrompere tutti i connettori in un gruppo allo stesso momento Ad esempio si potrebbe decidere di raggruppare gli agenti in base alla regione fisica e geografica Capitolo 2 Pianificazione dell ambiente 63 Pianificazione agente E possibile creare gruppi e spostare gli agenti tra i gruppi nell Explorer agente Se non si definisce un gruppo di agenti tutti gli agenti risiederanno nel gruppo predefinito creato durante l installazione di CA User Activity Reporting Module Le configurazioni degli agenti e i registri dei gruppi di agenti vengono ar
280. ione di eventi prima di modificare e attivare il criterio Se non si esegue prima questa configurazione possibile che gli eventi vengano mappati in modo errato tra il momento in cui il criterio diventa attivo e quello in cui i listener possono mappare correttamente gli eventi Per modificare l azione della regola di un criterio esistente per l invio di eventi a CA User Activity Reporting Module 1 Accedereal server gestore dei criteri e accedere alla scheda Criteri personali nel riquadro a sinistra 2 Espandere la cartella del criterio fino a quando possibile visualizzare il criterio desiderato Policy Manager Criteri personali Libreria criteri Libreria modelli E Mac E eTrust Access Control Policy Suspicious Events Network Access Security System H Account Management Access Violations E Logon and Logoff 6 Policy Change Collection Events 268 Guida all implementazione Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module 3 Fare clic sul criterio per visualizzarne le informazioni di base nel riquadro Dettagli a destra Dettagli Nome Suspicious Events Tipo Rule Descrizione Suspicious Events 4 Fare clic su Modifica nel riquadro Dettagli per effettuare aggiunte alle regole del criterio Viene avviata la procedura guidata della regola Modifica regola Informazioni indietro Avanti J
281. ione di una coppia di chiavi RSA pubbliche private su un server di raccolta e con la copia della chiave pubblica per il server di rapporto Copiare il file della chiave pubblica con nome authorized_keys Supponiamo che questa chiave sia la prima chiave pubblica copiata per il server di rapporto specificato Per generare una coppia di chiavi nel primo server di raccolta e copiare la chiave pubblica in un server di rapporto 1 2 Accedere a ELM Clattraverso ssh come utente caelmadmin Commutare gli utenti su root su Commutare gli utenti sull account caelmservice su caelmservice Generare la coppia di chiavi RSA utilizzando il seguente comando ssh keygen t rsa Premere Invio per accettare il valore predefinito per ognuno dei seguenti prompt m Specificare il file in cui salvare la chiave opt CA LogManager ssh id_rsa m Immettere la passphrase oppure lasciare il campo vuoto m Immettere nuovamente la stessa passphrase Passare alla directory opt CA LogManager Modificare i permessi della directory ssh con il seguente comando chmod 755 ssh Accedere a ssh in cui salvata la chiave id_rsa pub cd ssh 158 Guida all implementazione Configurazione dell archivio registro eventi Copiare il file id_rsa pub in ELM RPT il server di destinazione CA User Activity Reporting Module utilizzando il seguente comando scp id rsa pub caelmadmin ELM RPT tmp authorized keys Verr creato il file authorize
282. ipale sullo stato dell archivio di registro eventi Ulteriori informazioni Esempio mappa della federazione per un impresa di medie dimensioni a pagina 36 Esempio mappa federazione di una grande impresa a pagina 34 230 Guida all implementazione Capitolo 8 Lavorare con la libreria di perfezionamento eventi Questa sezione contiene i seguenti argomenti Informazioni sulla libreria di perfezionamento eventi a pagina 231 Supporto di nuove fonti eventi con la libreria di perfezionamento eventi a pagina 232 File di mapping e analisi a pagina 232 Informazioni sulla libreria di perfezionamento eventi La libreria di perfezionamento eventi fornisce strumenti per creare nuovi file di analisi e di mapping o per modificare le copie di quelli esistenti per fornire supporto per nove periferiche applicazioni e altro ancora La libreria include le seguenti opzioni Integrazioni Listener File di mapping e analisi Regole di soppressione e di riepilogo Le regole di soppressione impediscono la raccolta dei dati o impediscono di inserirli nell archivio registro eventi Le regole di riepilogo permettono di aggregare gli eventi per ridurre il numero di inserimenti per tipi di eventi o azioni simili Questa la parte pi utilizzata della libreria poich le regole di soppressione e di riepilogo possono aiutare a ottimizzare le prestazioni della rete e del database possibile utilizzare l area delle integrazioni per vi
283. iso i 295 Copia del certificato sul server di CA IT PAM i 297 Impostazione di password per gli account utente predefiniti di CA IT PAM i 297 Installare i componenti di terze parti richiesti da CA IT PAM 299 Installazione del dominio CA IT PAM 299 Avviare il servizio server CA ITPAM i 301 Avviare ed accedere alla console del server CA IT PAM 301 10 Guida all implementazione Appendice D Ripristino di emergenza Pianificazione di un ripristino di EMELGENZA cccccescesssecseneecesecessecsseecsseeessusesssaeessseeees Informazioni sul backup del server CA EEM Backup dell istanza dell applicazione CA EEM Ripristino di un server CA EEM per l utilizzo con CA User Activity Reporting Module Backup di un server CA User Activity Reporting Module ii Ripristino di un server CA User Activity Reporting Module da file di backup Ripristinare un server CA User Activity Reporting Module dopo l aggiornamento della SOLTTOSCHIZIONE Li Sostituzione di un server CA User Activity Reporting Module i Appendice E CA User Activity Reporting Module e virtualizzazione potesi di distribUuzione abate CONSIGErAZiONi icaro di aa aa FAT i Creazione di server CA User Activity Reporting Module mediante computer virtuali Aggiunta di server
284. ista e revisore Gli utenti CA User Activity Reporting Module possono appartenere ai gruppi globali sfruttando le appartenenze indipendentemente da CA User Activity Reporting Module L utente pu definire i gruppi dinamici e crearli attraverso un criterio di gruppo dinamico Un gruppo utenti dinamico composto da utenti globali che condividono uno o pi attributi comuni Un gruppo utente dinamico viene creato tramite uno speciale criterio in cui il nome della risorsa il nome del gruppo utente dinamico e l appartenenza basata su un set di filtri configurati in base agli attributi di utente e gruppo Glossario 409 ideal_model identita Il NIST ideal_model la tecnologia che esprime l evento Si tratta del primo campo CEG di una gerarchia di campi utilizzati per la classificazione e la normalizzazione degli eventi Alcuni esempi di modello ideale sono gli antivirus i DBMS i firewall i sistemi operativi e i server Web firewall Check Point Cisco PIX e Netscreen Juniper possono essere normalizzati con un valore di Firewall nel campo ideal_model Un identit in CA User Activity Reporting Module un gruppo o un utente cui consentito di accedere all istanza applicazione di CAELM ed alle relative risorse Un identit per ogni prodotto CA pu essere un utente globale o un utente applicazione oppure un gruppo globale di applicazione o dinamico Il National Institute of Standards and Technology NIST ovvero l Istituto
285. istribuzione estesa per effettuare il provisioning di un server di gestione o di rapporto Si aprira la pagina Host Cluster Questa pagina viene visualizzata solo se non stato selezionato il pool di risorse prima di avviare l importazione del modello OVF La pagina Host Cluster visualizza il centro dati selezionato e i cluster disponibili necessario specificare la posizione del cluster nel centro dati in cui si desidera eseguire il provisioning del server CA User Activity Reporting Module 15 Selezionare un cluster nel centro dati quindi fare clic su Avanti Deploy O F Template l D x Host Cluster On which host or cluster do you want to run the deployed template Source OVF Template Details End User License Agreement Name and Location Deployment Confiquration Host Cluster Properties Ready to Complete i ELMQA SP2 vApp Datacenter A poni a 10 10 0 20 Compatibility Validation not applicable this time Help lt Back next gt Cancel 4 Appendice E CA User Activity Reporting Module e virtualizzazione 365 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina delle proprieta Questa pagina contiene le impostazioni dell host e di CA User Activity Reporting Module 16 Immettere i valori per ciascun campo utilizzando le informazioni raccolte nel foglio di lavoro di installazione quindi fare clic su Av
286. istro Note se il valore di una propriet contiene spazi racchiudere il valore tra virgolette doppie Ad esempio se il nome OVF CA ELM immettere il valore come CA ELM ovf Per ulteriori informazioni sullo strumento OVF consultare la Guida per l utente dello strumento OVF Esempio 352 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali ovftool dm thick acceptAllEulas name example server deploymentOption medium prop ROOT PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE_EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example serverl prop DEFAULT GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Configurazione delle impostazioni di risorsa Dopo aver importato il modello OVF necessario definire manualmente le impostazioni della risorsa per migliorare le prestazioni del server CA User Activity Reporting Module di cui stato eseguito il provisioning Nota assicurarsi di impostare l unit CD DVD per dispositivo client Procedere come descritto di seguito 1 Fare clic con il pu
287. isualizzando i connettori selezionare qualsiasi connettore e fare clic su Ravvia Avvia o Interrompi Se si stanno visualizzando gli agenti selezionare qualsiasi agente e fare clic su Riavvia 222 Guida all implementazione Capitolo 7 Creazione di federazioni Questa sezione contiene i seguenti argomenti Query e rapporti in un ambiente federato a pagina 223 Federazioni gerarchiche a pagina 224 Federazioni a coppie a pagina 226 Configurazione di una federazione CA User Activity Reporting Module a pagina 228 Query e rapporti in un ambiente federato Un unico server CA User Activity Reporting Module restituisce i dati dal database di eventi interni per rispondere alle query e popolare i rapporti Se si dispone di una federazione di server CA User Activity Reporting Module possibile controllare come query e rapporti restituiscono le informazioni sugli eventi dal modo in cui si configurano le relazioni della federazione E inoltre possibile conservare i risultati delle query dai singoli server disabilitando l impostazione globale Usa query federate Per impostazione predefinita l impostazione globale Usa query federate abilitata In questo modo le query da un server CA User Activity Reporting Module genitore vengono inviate a tutti i server CA User Activity Reporting Module figlio Ogni server CA User Activity Reporting Module figlio interroga l archivio registro eventi attivo e il catalogo dell archivio oltre a tutti i s
288. itare l autenticazione non interattiva sono le seguenti 1 Dalserverdi raccolta ELM NY generare la coppia di chiavi RSA come caelmservice e copiare la chiave pubblica di questa coppia come authorized_keys nella directory tmp sul server di rapporto ELM NY 2 Creare una directory ssh sul server di rapporto ELM NY modificare la propriet a caelmservice spostare authorized_keys dalla directory tmp alla directory ssh e impostare la propriet del file della chiave su caelmservice con le autorizzazioni necessarie 3 Convalidare l autenticazione non interattiva dal server di raccolta ELM NY al server di rapporto ELM NY 4 Dal server di rapporto ELM NY generare una coppia di chiavi RSA come caelmservice e copiare la chiave pubblica come authorized_keys nella directory tmp del server di archiviazione ELM NY 5 Dalserver di archiviazione ELM NY creare la struttura di directory Jopt CA LogManager Da questo percorso creare una directory ssh modificare la propriet a caelmservice spostare authorized_keys alla directory ssh e impostare la propriet del file della chiave e delle autorizzazioni necessarie 6 Convalidare l autenticazione non interattiva dal server di rapporto ELM NY al server di archiviazione ELM NY dettagli di questi passaggi sono simili a quelli dello scenario di hub e spoke Per uno scenario di tre server ignorare il passaggio 2 su coppie raccolta rapporto aggiuntive e ignorare le istruzioni del passaggio 3 s
289. ite in un database Gli eventi non elaborati vengono sempre registrati a meno che non li si elimini o li si riepiloghi come avviene per gli eventi perfezionati Si tratta di informazioni memorizzate e ricercabili Un evento remoto un evento che coinvolge due diversi computer host ovvero l origine e la destinazione Un evento remoto il secondo dei quattro tipi di evento utilizzati nella Grammatica evento comune Un evento RSS un evento generato da CA User Activity Reporting Module per convogliare un avviso verso prodotti ed utenti di terze parti L evento un riepilogo del risultato di ogni avviso ed un collegamento al file di risultato possibile configurare la durata di un dato elemento del feed RSS 406 Guida all implementazione explorer agente federazione a coppie federazione gerarchica Explorer agente l archivio delle impostazioni di configurazione degli agenti gli agenti si possono installare su un punto di raccolta o sugli endpoint in cui esistono delle origini evento Una federazione a coppie di server CA User Activity Reporting Module una topologia che definisce una relazione paritaria fra server Nella sua forma pi semplice il server 2 figlio del server 1 ed il server 1 figlio del server 2 Fra queste coppie di server vige una relazione a doppio senso Si pu definire una federazione a coppie per fare in modo che molti server siano peer l uno dell altro Una query federata restituisce risultati
290. iteri password 4 Specificare se permettere che la password corrisponda al nome utente 5 Specificare se applicare requisiti di lunghezza 6 Specificare se applicare criteri sui caratteri massimi ripetuti o sul numero minimo o sui caratteri numerici 7 Specificare i criteri di et e riutilizzo 8 Verificare le impostazioni quindi fare clic su Salva 9 Fare clic su Chiudi criteri delle password configurati sono validi per tutti gli utenti CA User Activity Reporting Module Ulteriori informazioni Pianificazione dei criteri delle password a pagina 44 Nome utente e una password a pagina 45 Et e riutilizzo delle password a pagina 45 Lunghezza e formato della password a pagina 46 138 Guida all implementazione Conservazione di criteri di accesso predefiniti Conservazione di criteri di accesso predefiniti Se si pianifica di utilizzare i gruppi utente delle applicazioni predefinite o ruoli solo con i criteri predefiniti associati potrebbe presentarsi il rischio che i criteri predefiniti vengano eliminati o risultino danneggiati Tuttavia se gli amministratori pianificano la creazione di ruoli definiti dall utente e di criteri di accesso associati i criteri predefiniti garantiranno l accesso la modifica e saranno vulnerabili a modifiche indesiderate una buona prassi conservare un backup dei criteri predefiniti originali che possibile ripristinare in caso di necessit Creare un file di backup contenente
291. iterio esistente r8SP2 per l invio di eventi a CA User Activity Reporting Module aaa ie iii 250 Quando importare eventi ssia araa ela 251 Informazioni sull utilit di importazione SEOSDATA i 252 Importazione da una tabella SEOSDATA liVe i 252 Importazione di dati da una tabella SEOSDATA 253 Copia dell utilit di importazione eventi su un server Solaris Data TOOIS 253 Copia dell utilit di importazione in un server Windows Data TOOIS i 254 Nozioni fondamentali sulla riga di comando di LMSeosImport i 255 Creazione di un evento di rapporto ente 258 Anteprima dei risultati dell importazione i 259 Sommario 9 Importazione di eventi da un database Windows COllector ii 260 Importazione di eventi da un database Solaris Collector 260 Appendice B Considerazioni per gli utenti CA Access Control 263 int grazione con CA Access Control ai 263 Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module 264 Configurazione di SAPI Collector Adapter per la ricezione di eventi di CA Access Control 265 Modifica di criteri CA Audit esistenti per inviare eventi a CA User Activity Reporting Module 267 Selezionare e attivare il Criterio modificato ii 272 Configurazione di un iRecorder CA Access Control per l in
292. iti di CA IT PAM L esecuzione del comando safex crea quanto segue Gruppi di protezione IT PAM ITPAMAdmins ITPAMUsers m Utenti IT PAM itpamadmin con una password predefinita itpamuser con una password predefinita necessario reimpostare la password per i due utenti predefiniti di CA IT PAM Appendice C Considerazioni su CA IT PAM 297 Impostazione di password per gli account utente predefiniti di CA IT PAM Per reimpostare le password per itpamadmin e itpamuser nell applicazione CA IT PAM in CA EEM 1 Individuare la URL del server in cui installato CA EEM utilizzato da CA User Activity Reporting Module ad esempio il server di gestione CA User Activity Reporting Module https lt server di gestione ELM gt 5250 spin eiam Viene visualizzata la schermata di accesso di CA EEM L elenco a discesa dell applicazione include lt Global gt CAELM e ITPAM Accedere all applicazione IT PAM a Selezionare ITPAM come applicazione b Digitare EiamAdmin come nome utente c Specificare la password per l account utente EiamAdmin d Fare clic su Accedi Selezionare la scheda Manage Identities Gestione identit Nella finestra di dialogo Search Users Ricerca utenti immettere itpam come valore e fare clic su Vai seguenti utenti vengono visualizzati nell elenco a itpamadmin itpamuser Reimpostare la password per itpamadmin a Selezionare itpamadmin dall elenco e scorrere fino all autenticaz
293. ivity Reporting Module da parte di un client il client contatta ciascun proxy incluso nell elenco fino al completamento del download degli aggiornamenti possibile configurare un elenco proxy globale per gli aggiornamenti client e di contenuto per tutto l ambiente CA User Activity Reporting Module Inoltre possibile configurare un elenco proxy personalizzato per gli aggiornamenti client da ciascun server CA User Activity Reporting Module Proxy di sottoscrizione predefinito CA Enterprise Log Manager in linea Client di sottoscrizione in un altra regione configurata con elenco di proxy di sottoscrizione differente Client di sottoscrizione in una sola regione configurata con un solo elenco di proxy di sottoscrizione Ulteriori informazioni Pianificazione degli aggiornamenti di sottoscrizione a pagina 51 Architettura di sottoscrizione non in linea a pagina 55 54 Guida all implementazione Pianificazione aggiornamento sottoscrizioni Architettura di sottoscrizione non in linea Se i criteri di protezione o altri elementi limitano l accesso di rete a Internet possibile aggiornare l ambiente CA User Activity Reporting Module mediante la sottoscrizione non in linea La sottoscrizione non in linea consente di escludere alcuni o tutti i server da Internet mantenendo l ambiente CA User Activity Reporting Module aggiornato La configurazione della sottoscrizione non in linea richiesta nelle seguenti condizioni
294. ivo sul server CA User Activity Reporting Module in particolare se si creano pi regole di soppressione o se la velocit del flusso degli eventi elevata Ad esempio consigliabile eliminare alcuni eventi da un firewall o da alcuni server Windows che producono eventi duplicati per la stessa azione La mancata raccolta di questi eventi pu velocizzare il trasferimento dei registri evento che si desidera mantenere e far risparmiare tempo per l elaborazione sul server CA User Activity Reporting Module In casi simili applicare una o pi regole di soppressione adeguate ai componenti degli agenti Se si desidera eliminare tutti gli eventi di un certo tipo da pi piattaforme o nell intero ambiente applicare una o pi regole di soppressione adeguate sul server CA User Activity Reporting Module La valutazione degli eventi in merito alla soppressione si verifica quando gli eventi arrivano al server CA User Activity Reporting Module L applicazione di un vasto numero di regole di soppressione al server pu portare a un rallentamento delle prestazioni poich il server deve applicare le regole di soppressione oltre a inserire gli eventi nell archivio registro eventi Per le implementazioni pi piccole la soppressione pu essere eseguita sul server CA User Activity Reporting Module Si pu anche scegliere di applicare la soppressione sul server per le distribuzioni in cui in uso il riepilogo aggregazione Se si stanno inserendo soltanto
295. izio di sottoscrizione a pagina 48 Funzionamento della sottoscrizione a pagina 49 Pianificazione degli aggiornamenti di sottoscrizione a pagina 51 Architettura di sottoscrizione a pagina 52 Architettura di sottoscrizione non in linea a pagina 55 Capitolo 2 Pianificazione dell ambiente 47 Pianificazione aggiornamento sottoscrizioni Servizio di sottoscrizione L ambiente pu utilizzare un server per eseguire tutte le attivit oppure pu disporre di pi server ciascuno dei quali dedicato all esecuzione di uno o pi ruoli specifici quali la raccolta la correlazione e la creazione di rapporti Il servizio di sottoscrizione viene utilizzato per mantenere i server aggiornati con i contenuti il sistema operativo e gli aggiornamenti del prodotto pi recenti Il servizio di sottoscrizione utilizza un sistema proxy client per la distribuzione degli aggiornamenti CA Technologies pubblica gli aggiornamenti in pacchetti di moduli nel server di sottoscrizione CA Technologies Uno o pi server dell ambiente fungono da proxy di sottoscrizione Tali proxy contattano il server di sottoscrizione CA Technologies attraverso la connessione Internet eseguono il download dei moduli di aggiornamento e li installano in modo automatico Tutti gli altri server presenti nell ambiente corrispondono a client di sottoscrizione ed eseguono il download degli aggiornamenti dal proxy corrispondente In alcuni ambienti i criteri di protezione o altri
296. izzando server CA solo i caratteri supportati per gli host Gli Enterprise Log standard industriali consigliano l utilizzo dei Manager caratteri A Z senza distinzione di maiuscole Ad esempio 0 9 ed i trattini dove il primo carattere CA ELMI corrisponde ad una lettera e ultimo ad un carattere alfanumerico Non utilizzare il trattino basso all interno del nome host n aggiungere un nome di dominio all host Nota la lunghezza del nome host non pu superare i 15 caratteri Password principale nuova password Creare e confermare una nuova password per il principale server 330 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie Valore Indirizzo IPv4 rilevante Indirizzo IP Indirizzo IP rilevante Subnet mask Gateway predefinito Indirizzo IP rilevante Server DNS Indirizzi IPv4 corrispondenti Nome dominio il nome del dominio EULA Accetta fuso orario desiderato Fuso orario Nome host o indirizzo IP corrispondenti Posizione server NTP Impostazioni specifiche dell applicazione Commenti Inserire un indirizzo IP valido per il server Inserire una subnet mask valida da utilizzare con il server Inserire un gateway predefinito valido da utilizzare con questo server Immettere uno o pi indirizzi IP di server DNS utilizzati nella rete elenco separato da virgole senza spazi tra le voci Se i server DNS utilizzano i
297. l comando safex digitare safex Elencare il contenuto della directory e verificare che il fileitpamcert cer esista Rimuovere il file XML di configurazione di CA IT PAM Si consiglia di eseguire questa operazione per motivi di protezione rm ITPAM_eem xml 296 Guida all implementazione Copia del certificato sul server di CA IT PAM Copia del certificato sul server di CA IT PAM Quando viene eseguito il comando safex da CA User Activity Reporting Module per la registrazione di CA IT PAM con CA EEM il processo genera il certificato itpamcert p12 necessario copiare il certificato sul server Windows in cui si desidera installare il dominio di CA IT PAM durante l installazione del dominio di CA IT PAM individuare il file del certificato Per copiare il certificato dall applicazione CA User Activity Reporting Module sul server Windows di destinazione Copiare il file dal itpamcert p12 dall applicazione CA User Activity Reporting Module che include CA EEM nell host in cui si desidera installare CA IT PAM File di origine sul server di gestione CA User Activity Reporting Module opt CA SharedComponents iTechnology itpamcert p12 Percorso di destinazione sul server Windows di destinazione lt percorso di installazione gt Nota possibile copiare questo file nel percorso desiderato possibile selezionare il file dal percorso quando si installa il dominio di CA IT PAM Impostazione di password per gli account utente predefin
298. l implementazione Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS Visualizzare il dashboard di agente E possibile visualizzare il dashboard di agente per visualizzare lo stato degli agenti nell ambiente Il dashboard visualizza inoltre alcuni dettagli come la modalit FIPS corrente FIPS o non FIPS e i dettagli di utilizzo Questi includono il caricamento eventi al secondo l uso percentuale della CPU e la data e l ora dell ultimo aggiornamento Per visualizzare il dashboard di agente 1 Fare clic sulla scheda Amministrazione e quindi sulla sottoscheda Raccolta registri Verr visualizzato l elenco cartella di Raccolta registri Selezionare la cartella Explorer agente Nel riquadro dei dettagli vengono visualizzati i pulsanti di gestione agente Fare clic su Monitoraggio di stato e dashboard di agente Verra visualizzato il riquadro di ricerca agente che mostra lo stato di tutti gli agenti disponibili per mezzo di un grafico informativo Ad esempio Totale 10 In esecuzione 8 In sospeso 1 Terminati 1 Non risponde 0 Facoltativo Selezionare i criteri di ricerca degli agenti per restringere l elenco degli agenti visualizzati possibile selezionare uno o pi criteri fra i seguenti Gruppo di agenti restituisce solo gli agenti assegnati al gruppo selezionato m Piattaforma restituisce solo gli agenti in esecuzione sulla piattaforma selezionata Stato r
299. l implementazione Pianificazione di una federazione Per gli avvisi in cui importare eseguire la query di nuovi eventi da tutti i server di raccolta A seguire un esempio di mappa di federazione che permette di soddisfare questi obiettivi dei rapporti LEGENDA Ruolo del server Tipo di federazione D Server di raccolta Pade Figlio TERE Sever di gestione e rapporto serarchica a coppie Per implementare la realizzazione di questa mappa di federazione necessario intraprendere le seguenti azioni m Creare una federazione completamente a coppie tra i server di raccolta Ogni server di raccolta sia padre che figlio per tutti gli altri server di raccolta m Creare una federazione gerarchica da ciascun server di raccolta al server di gestione rapporto in cui il server il padre e il server di gestione rapporto il figlio Capitolo 2 Pianificazione dell ambiente 37 Pianificazione di una federazione Per raggiungere un determinato obiettivo importante eseguire il rapporto o l avviso da un server rappresentato da una posizione particolare sulla mappa della federazione e specificare correttamente se la federazione necessaria Ecco alcuni esempi Per generare un rapporto di sistema sugli eventi di automonitoraggio che si verificano su ogni server CA User Activity Reporting Module nella rete eseguire il rapporto dal server di gestione rapporto e specificare la condizione di federazione Per pianifi
300. l nome utente associato Il nome dell agente fornito al server dei criteri Il nome non distingue tra maiuscole e minuscole Il segreto condiviso che distingue tra maiuscole e minuscole definito in CA SiteMinder Il nome del segreto agente distingue tra maiuscole e minuscole Specifica se conservare nella cache gli utenti globali permettendo ricerche pi rapide al costo della scalabilit Nota i gruppi utenti globali sono sempre posizionati nella cache L intervallo in minuti dopo cui la cache utente viene aggiornata automaticamente Specifica se includere gli attributi esterni non mappati per l utilizzo come filtri o nelle ricerche Se il tipo di directory esterna Microsoft Active Directory questa opzione specifica che si intende creare gruppi globali dalle informazioni del gruppo Microsoft Exchange Se selezionata possibile scrivere criteri per i membri degli elenchi di distribuzione Definisce il tipo di archivio utente utilizzato Capitolo 2 Pianificazione dell ambiente 43 Pianificazione degli utenti e degli accessi Informazioni necessarie Valore Commenti Nome archivio autorizzazione Specifica il nome assegnato dell archivio utente a cui si fa riferimento nel campo Tipo archivio di autorizzazione Utenti con ruolo di amministratore Solo gli utenti a cui stato assegnato il ruolo di amministratore possono configurare i componenti CA User Activity Reporting Module Dopo l installazione del primo
301. l server VMware vSphere a cui si desidera effettuare la connessione Immettere le credenziali di accesso nei campi Nome utente e Password Fare clic su Logon Accedi Viene visualizzata la finestra dell applicazione Selezionare la posizione in cui si desidera eseguire il provisioning del server CA User Activity Reporting Module sotto un centro dati del riquadro sinistro Fare clic su File quindi sull opzione di distribuzione del modello OVF Viene visualizzata la finestra di distribuzione del modello OVF Per impostazione predefinita la finestra di distribuzione del modello OVF visualizza la pagina di origine Immettere la posizione del modello OVF in questa pagina Nota le pagine visualizzate nella finestra di distribuzione del modello OVF variano in base alla versione e alle impostazioni del client VMware vSphere in uso Per ulteriori informazioni sulla distribuzione di un modello OVF visitare il sito www vmware com Scegliere l opzione Deploy from file Distribuisci da file e fare clic su Sfoglia per selezionare la posizione del modello OVF Raggiungere la posizione del modello OVF dalla finestra di dialogo Open Apri selezionare il modello OVF quindi fare clic su Apri Il percorso della posizione del modello OVF viene visualizzato nel campo Deploy from file Appendice E CA User Activity Reporting Module e virtualizzazione 359 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Dep
302. l_ca elmagent lt timestamp gt log CA Embedded Entitlements opt CA SharedComponents EmbeddedIAM eiam install log Manager CA Directory tmp etrdir_install log Capitolo 3 Installazione di CA User Activity Reporting Module 121 Risoluzione di problemi dell installazione L installazione di CA User Activity Reporting Module copia il contenuto e altri file nel server CA EEM per la gestione Dalla prospettiva del server CA EEM i rapporti CA User Activity Reporting Module e altri file vengono importati Se l installazione non in grado di connettersi al server CA EEM l installazione di CA User Activity Reporting Module continuer senza l importazione dei file del contenuto possibile importare i file del contenuto manualmente al termine dell installazione Se si riscontrano errori durante l installazione necessario eseguire una o pi delle seguenti azioni per completare l installazione Ciascuna delle azioni riportate implica l accesso al server CA User Activity Reporting Module mediante l account predefinito caelmadmin quindi il passaggio degli utenti all account root Risoluzione di errori di configurazione dell interfaccia di rete Verifica dell installazione del pacchetto rpm Verifica dell esecuzione del daemon iGateway Registrazione dell applicazione CA User Activity Reporting Module con il server CA EEM Acquisizione dei certificati digitali m Importazione dei rapporti CA User Activity Reporting Module m
303. la data e l ora Indicare se si desidera utilizzare un server CA EEM locale o remoto Per un server di gestione CA User Activity Reporting Module scegliere il server remoto L installazione richiede di creare una password per l account utente EiamAdmin predefinito Per ogni server aggiuntivo scegliere Remoto L installazione richiede il nome del server di gestione Indipendentemente dal tipo di server scelto locale o remoto necessario utilizzare l ID e la password dell account EiamAdmin per il primo accesso al server CA User Activity Reporting Module Specificare questo valore solo se si seleziona l opzione server remota Immettere l indirizzo IP o il nome host del server di gestione CA User Activity Reporting Module installato per primo Il nome host deve essere registrato con il server DNS Se si desidera utilizzare un server CA EEM locale il valore predefinito Nessuno Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie Valore EEM_PASSWORD FIPS_MODE Password account EiamAdmin S o No Ulteriori informazioni Commenti Registrare la password per l account amministratore predefinito EiamAdmin L accesso iniziale al server CA User Activity Reporting Module richiede queste credenziali dell account Se si installa il server di gestione creare e confermare qui la nuova password EiamAdmin Annotare questa password in quanto verr ut
304. la procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importazione manuale dei file DM Per importare i file DM 1 Accedere ad un prompt dei comandi su un server CA User Activity Reporting Module Accedere con le credenziali dell account caelmadmin Passare all account dell utente principale con il seguente comando su Navigare fino alla directory opt CA LogManager EEM content Immettere il comando ImportCALMDM sh Lo script di shell importa i file DM dal server CA EEM 126 Guida all implementazione Risoluzione di problemi dell installazione Importazione dei file della grammatica evento comune CEG Sintomo Durante l installazione il server CA EEM non ha importato correttamente i file della grammatica evento comune CEG La CEG forma lo schema del database alla base dell archivio del registro eventi Non sar possibile archiviare eventi nell archivio del registro eventi CA User Activity Reporting Module senza i file CEG Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importazione manuale dei file CEG Per importare i file CEG 1 Accedere ad un prompt dei comandi su un server CA User Activity Reporting Module 2 Accedere con le credenziali dell account caelmadmin 3 Passare all account dell utente principale con il seguente comando su
305. le CA User Activity Reporting Module un infrastruttura server nuova e separata in grado di essere in funzione parallelamente a CA Audit con le seguenti considerazioni sulla gestione degli eventi CA User Activity Reporting Module pu CA User Activity Reporting Module non pu Ricevere registri di eventi inviati dai client CA Audit Accedere direttamente a registri di eventi e da iRecorder utilizzando listener configurabili archiviati nel database del collector CA Audit Fornire un utilit per importare i dati del registro eventi archiviati nel database del collector CA Audit tabella SEOSDATA Appendice A Considerazioni per gli utenti CA Audit 235 Comprendere le differenze delle architetture CA User Activity Reporting Module pu Utilizzare agenti per inviare registri eventi solo all infrastruttura del server CA User Activity Reporting Module Permettere agli agenti CA User Activity Reporting Module e ai client CA Audit con iRecorder di essere in funzione sullo stesso host fisico Utilizzare l Explorer agente incorporato per gestire solo agenti CA User Activity Reporting Module Durante il funzionamento fianco a fianco dei due sistemi CA Audit utilizza il proprio Gestore dei criteri solo per gestire client CA Audit 236 Guida all implementazione CA User Activity Reporting Module non pu Permettere agli agenti CA User Activity Reporting Module e ai client CA Audit con iRecorder sullo stesso host di acced
306. le piattaforme specifiche supportate per l uso con la funzione ODBC e JDBC Configurazione del servizio server ODBC Con questa procedura possibile configurare l accesso ODBC e JDBC all archivio registro eventi di CA User Activity Reporting Module Per configurare l accesso ODBC e JDBC 1 Accedereal server CA User Activity Reporting Module come utente amministratore 2 Accedere alla scheda Amministrazione quindi fare clic sulla sottoscheda Servizi 112 Guida all implementazione Installazione del client ODBC Fare clic sul servizio server ODBC per aprire le impostazioni globali o espandere il nodo e selezionare un server CA User Activity Reporting Module specifico Impostare il valore della porta per il campo Porta servizio se si decide di utilizzare una porta diversa dal valore predefinito Specificare se si desidera attivare la connessione SSL per crittografare il trasporto dati tra il client ODBC e il server CA User Activity Reporting Module Nota le impostazioni della porta del servizio e di abilitazione SSL devono corrispondere sia sul server che sul client ODBC Il valore predefinito per la porta 17002 e la crittografia SSL abilitata Se queste impostazioni non corrispondono alle impostazioni del client ODBC i tentativi di connessione non riescono Installazione del client ODBC su sistemi Windows Utilizzare questa procedura per installare il client ODBC su un sistema Windows Nota per installare il client
307. le ITPAM_eem xml c Sostituire itpamcertpass nella seguente linea lt Register certfile itpamcert p12 password itpamcertpass gt d Salvare il file 294 Guida all implementazione Copiare un file XML nella Gestione di CA User Activity Reporting Module Copiare un file XML nella Gestione di CA User Activity Reporting Module Il comando safex genera oggetti di protezione CA IT PAM dal file ITPAM_eem xml E necessario copiare il file nell applicazione CA User Activity Reporting Module in cui possibile accedervi durante l elaborazione di safex Per copiare il file ITPAM_eem xml nell applicazione CA User Activity Reporting Module Copiare il file ITPAM_eem xml disponibile sul disco di installazione di CA IT PAM nell applicazione CA User Activity Reporting Module che include CA EEM Se il file ISO stato estratto sul server Windows utilizzare Winscp per copiare ITPAM_eem xml nella directory tmp dell applicazione m File di origine sul disco di installazione di CA IT PAM ITPAM_eem xml Percorso di destinazione sulla gestione CA User Activity Reporting Module opt CA SharedComponents iTechnology Registrazione di CA IT PAM con CA EEM condiviso possibile registrare CA IT PAM con CA EEM incorporato nel server di gestione di CA User Activity Reporting Module La registrazione con CA EEM crea oggetti di protezione di CA IT PAM Gli oggetti di protezione di CA IT PAM aggiunti a CA EEM durante la registrazione sono i seg
308. le relazioni di federazione e le informazioni sullo stato dei server individuali Il grafico della federazione permette di visualizzare la struttura corrente della federazione e i dettagli di ogni server possibile inoltre selezionare il server locale a cui vengono inviate le query nella sessione configurandolo come server padre Capitolo 7 Creazione di federazioni 229 Configurazione di una federazione CA User Activity Reporting Module Per visualizzare il grafico della federazione fare clic su Mostra grafico federazione e Monitoraggio stato nella parte superiore della schermata Verra visualizzata una finestra che mostra una rappresentazione grafica di tutti gli host dell archivio eventi registrati con il server di gestione corrente Gli archivi eventi con i figli della federazione sono visualizzati in azzurro collegati da righe nere che mostrano la relazione della federazione a Gli archivi di eventi senza figli della federazione sono visualizzati in verde chiaro possibile selezionare un server locale corrente per le finalit di query inoltre possibile visualizzare i dettagli dello stato per i server visualizzati Fare clic su un server nel grafico della federazione per visualizzare le schermate con i dettagli dello stato compresi Percentuale di utilizzo della CPU Percentuale di utilizzo della memoria disponibile Percentuale di utilizzo dello spazio su disco disponibile Eventi ricevuti al secondo Grafico princ
309. lenco aggiornato delle integrazioni che utilizzano il sensore di log syslog Disabilitare l accesso di ODBC e di JDBC al deposito eventi di log Attivare la modalit FIPS su ogni server secondario CA User Activity Reporting Module nella federazione Gli agenti rilevano automaticamente la modalit dal server CA User Activity Reporting Module che li gestisce Attivare la modalit FIPS sul server primario o di gestione Verificare che gli agenti siano in esecuzione in modalit FIPS mediante il dashboard Gestione agenti inoltre possibile verificare che gli agenti inviino eventi utilizzando una query o un rapporto o controllando la scheda degli eventi di automonitoraggio nel servizio di stato del sistema 86 Guida all implementazione Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS Quando si esegue l aggiornamento di un agente esistente alla versione r12 1 SP1 l elaborazione della sottoscrizione aggiorna l agente in modalit non FIPS per impostazione predefinita stata impostata la modalit FIPS per il server CA User Activity Reporting Module che gestisce un agente Un agente rileva la modalit FIPS del server di gestione e riavvia se stesso nella modalit richiesta Se si dispone di privilegi di amministratore utilizzare il dashboard Gestione agenti nell interfaccia utente di CA User Activity Reporting Module per visualizzare la modalit FIPS per un agente Visualizzare le in
310. lic su Avanti Verr visualizzata una finestra di dialogo del nome e della posizione Immettere un nome per il server CA User Activity Reporting Module che verr installato su questa macchina virtuale e fare clic su Avanti Specificare le impostazioni di archiviazione per la macchina virtuale e fare clic su Avanti Verificare che le impostazioni di archiviazione siamo abbastanza grandi per il server CA User Activity Reporting Module Si consiglia un minimo di 500 GB Nota si configureranno unito disco virtuale aggiuntive per l archiviazione dei registri eventi raccolti in un altra procedura Selezionare Red Hat Enterprise Linux 5 32 bit come sistema operativo guest e fare clic su Avanti 318 Guida all implementazione 10 11 12 13 14 15 Creazione di server CA User Activity Reporting Module mediante computer virtuali Selezionare 4 come numero di processori virtuali dall elenco a discesa Numero di processori virtuali Il server host fisico deve essere in grado di dedicare quattro CPU fisiche esclusivamente a questa istanza di CA User Activity Reporting Module Fare clic su Avanti Configurare le dimensioni della memoria della macchina virtuale e fare clic su Avanti Le dimensioni di memoria minime accettabili per CA User Activity Reporting Module sono 8 GB o 8192 MB La configurazione della connessione dell interfaccia di rete NIC CA User Activity Reporting Module richiede almeno una connessione di rete
311. lic sulla scheda Amministrazione 5 Deselezionare la casella di controllo Proxy di sottoscrizione e selezionare Proxy di sottoscrizione in linea 6 Verificare che l URL del feed RSS per gli aggiornamenti di sottoscrizione sia corretto Se si desidera che il proxy utilizzi un feed RSS diverso dall impostazione globale passare alla configurazione locale e immettere l URL RSS corretto 7 Se il server deve contattare il server di sottoscrizione CA Technologies attraverso un server proxy HTTP diverso da quello ereditato passare alla configurazione locale e configurare il proxy HTTP desiderato 8 Fare clic su Salva Capitolo 5 Configurazione dei servizi 191 Configurazione della sottoscrizione Ulteriori informazioni Configurazione della sottoscrizione a pagina 190 Configurazione di un proxy di sottoscrizione non in linea Il proxy di sottoscrizione non in linea fornisce gli aggiornamenti CA User Activity Reporting Module ai relativi clienti senza la necessit di effettuare la connessione a Internet Questo tipo di configurazione consente di escludere alcuni o tutti i server CA User Activity Reporting Module da Internet Prima di eseguire l aggiornamento della sottoscrizione non in linea copiare manualmente i file di aggiornamento non in linea dal sito FTP di CA Technologies su un proxy non in linea utilizzando un supporto fisico o SCP incluso in CA User Activity Reporting Module Copiare i file di aggiornamento nel seguente p
312. licazione predefiniti perCA User Activity Reporting Module o ruoli sono amministratore analista e revisore Questi gruppi applicazione sono disponibili solo per gli utenti di CA User Activity Reporting Module e non si possono assegnare agli utenti di altri prodotti registrati nel medesimo server di CA EEM gruppi di applicazione definiti dall utente vanno aggiunti nel criterio di Accesso all applicazione CALM predefinito in modo che i suoi utenti possano accedere a CA User Activity Reporting Module Un Gruppo di agenti un tag che pu essere applicato dagli utenti agli agenti selezionati e che consente di applicare una configurazione agente a pi agenti contemporaneamente per poi recuperare i rapporti in base ai gruppi Un dato agente pu appartenere ad un solo gruppo alla volta gruppi di agenti si basano su criteri definiti dall utente come la regione geografica o l importanza Un gruppo globale un gruppo condiviso fra istanze applicazioni registrate nel medesimo server di gestione di CA User Activity Reporting Module possibile assegnare qualsiasi utente ad uno o pi gruppi globali anche possibile definire dei criteri di accesso con i gruppi globali come Identit a cui si consente o si impedisce di eseguire determinate azioni sulle risorse selezionate Un gruppo utenti pu essere un gruppo applicazione globale o dinamico gruppi applicazione predefiniti di CA User Activity Reporting Module sono amministratore anal
313. lizzando i dettagli di notifica Per ulteriori informazioni sui processi IT PAM vedere la Guida all amministrazione di CA User Activity Reporting Module Capitolo 5 Configurazione dei servizi 185 Configurazione del servizio di correlazione Per impostare le destinazioni di processo 1 Aprire la procedura guidata di gestione delle destinazioni di notifica impostare i dettagli di identificazione e procedere al passaggio Notifiche Fare clic sulla scheda Processo e selezionare Abilita automazione processi Immettere il nome del processo IT PAM al quale si desidera passare le informazioni di incidente ad esempio CA_ELM EventAlertOutput Aggiungere le altre destinazioni desiderate oppure fare clic su Salva e chiudi Impostazione di destinazioni SNMP possibile impostare destinazioni SNMP operazione che consente di utilizzare i trap SNMP per inviare le informazioni di incidente a sistemi di gestione di terze parti Per ulteriori informazioni sui trap SNMP vedere la Guida all amministrazione di CA User Activity Reporting Module Per impostare le destinazioni SNMP 1 Aprire la procedura guidata di gestione delle destinazioni di notifica impostare i dettagli di identificazione e procedere al passaggio Notifiche Fare clic sulla scheda SNMP e selezionare Abilita trap SNMP Facoltativo Per inviare l avviso utilizzando SNMP v3 selezionare SNMP versione 3 L impostazione predefinita SNMP versione 2 Facoltativ
314. lizzare un iRecorder esistente si dovr configurare il plug in eventi iTech per ricevere gli eventi Ad esempio utilizzare questo approccio se CA Audit non installato ma si vuole utilizzare un iRecorder CA Technologies per raccogliere eventi da una fonte di eventi supportata La procedura include i seguenti passaggi m Configurazione del plug in eventi iTechnology Configurare il prodotto in base ad iRecorder o iTechnology per inviare eventi direttamente al server CA User Activity Reporting Module Informazioni su SAPI Router e Collector servizi SAPI sono usati solitamente per ricevere eventi dai client e dai prodotti CA Audit esistenti CA User Activity Reporting Module utilizza due istanze del servizio listener SAPI una installata come SAPI Collector l altra come SAPI Router I moduli SAPI utilizzano il daemon iGateway per il comando e il controllo moduli agiscono come router SAPI e un collector SAPI utilizza porte statiche o dinamiche attraverso portmapper 242 Guida all implementazione Configurazione degli adattatori CA Technologies Utilizzare il collector SAPI durante l invio di eventi dai client CA Audit in modo che sia possibile utilizzare il supporto di fail over incorporato nell azione Audit Collector Utilizzare il router SAPI durante l invio di eventi dai client CA Audit utilizzando l azione Route o quando si inviano eventi dai recorder o dalle integrazioni SAPI che supportano l invio di eventi direttamente a
315. ll agente CA ELM 1 Accedere come utente principale o amministratore Windows 2 Accederea un prompt dei comandi quindi immettere il seguente comando Linux UNIX Solaris opt CA ELMAgent bin S99elmagent stop Windows net stop ca elmagent Verifica dell installazione del server CA User Activity Reporting Module possibile verificare l installazione del server CA User Activity Reporting Module utilizzando un browser Web possibile eseguire una verifica iniziale dell installazione effettuando l accesso al server CA User Activity Reporting Module Nota quando si accede all applicazione CA User Activity Reporting Module per la prima volta necessario utilizzare le credenziali dell utente EiamAdmin con cui stato installato il server CA User Activity Reporting Module Dopo avere effettuato l accesso con questo account utente possibile vedere e utilizzare solo specifiche funzioni di gestione degli utenti e degli accessi Si procede quindi con la configurazione dell archivio utente e la creazione di un nuovo account utente CA User Activity Reporting Module per accedere ad altre funzionalit CA User Activity Reporting Module Capitolo 3 Installazione di CA User Activity Reporting Module 83 Installazione si un server CA User Activity Reporting Module Per verificare il server CA User Activity Reporting Module 1 Aprire un browser Web e immettere il seguente URL https lt indirizzo_IP_server gt 5250 spin calm Viene visualiz
316. ll evento non elaborato valori riportati di seguito indicano l avvio corretto m result string ODBCSource initiated successfully MSSQL_TRACE m result string lt connector name gt Connector Started Successfully 214 Guida all implementazione Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor E possibile abilitare la raccolta diretta degli eventi generati da applicazioni Windows oppure dal sistema operativo Windows Server 2008 con WinRMLinuxLogSensor Per eseguire questa operazione creare un connettore sull agente predefinito basato su un integrazione che utilizza WinRMLinuxLogSensor Numerose integrazioni utilizzano questo sensore ad esempio Active_Directory_Certificate_Services Forefront_Security_for_Exchange_Server Hyper V MS_OCS e WinRM L applicazione e il sistema operativo Microsoft Windows che genera eventi recuperabili da WinRMLinuxLogSensor corrispondono ai sistemi per i quali stata abilitata la Gestione remota Windows Di seguito si riporta una lista parziale dei prodotti che generano eventi disponibili per la raccolta diretta da parte dell agente predefinito su un server CA User Activity Reporting Module Per ogni prodotto viene utilizzato un unico connettore e ciascun connettore utilizza WinRMLinuxLogSensor Servizi certificati Microsoft Active Directory Microsoft Forefront Security per Exchange Server m Microsof
317. llare l applicazione software CA User Activity Reporting Module su un sistema dedicato Importante poich il server CA User Activity Reporting Module dedicato alla raccolta dei registri eventi ad alte prestazioni non installare altre applicazioni sul server che lo ospita Altrimenti ci potrebbe avere ripercussioni negative sulle prestazioni Esistono numerosi approcci che possibile utilizzare per configurare l ambiente Si consiglia la seguente configurazione specifica per meglio garantire la gestione di grandi quantit di eventi in ambienti aziendali Capitolo 3 Installazione di CA User Activity Reporting Module 69 Nozioni fondamentali sull ambiente CA User Activity Reporting Module Per un ambiente di produzione a livello aziendale di base installare almeno due server CA User Activity Reporting Module nella rete esistente server CA User Activity Reporting Module utilizzano i server DNS esistenti all interno della rete per operare con origini evento e agenti host indicati Un server si occupa della raccolta e l altro dei rapporti dei registri eventi raccolti In un ambiente costituito da due server il server di gestione che si installa per primo assume il ruolo di server di rapporto In qualit di server di gestione esegue l autenticazione e l autorizzazione degli utenti e svolge altre funzioni di gestione La seguente illustrazione mostra questo ambiente di base con alcune origini evento Gestione Raccolta Rapporti
318. lle sottoscrizioni servizi CA User Activity Reporting Module sono l archivio registro eventi il server di rapporto e la sottoscrizione Gli amministratori possono configurare tali servizi a livello globale dove per impostazione predefinita tutte le impostazioni si applichino ad ogni CA User Activity Reporting Module La maggior parte delle impostazioni globali per i servizi si possono ignorare a livello locale ovvero per ogni CA User Activity Reporting Module specificato SNMP l acronimo di protocollo di gestione di rete semplice Simple Network Management Protocol uno standard aperto per l invio di messaggi di avviso sottoforma di trap SNMP da un sistema di agente ad uno o pi sistemi di gestione 422 Guida all implementazione soppressione stati del database stato di database cold La soppressione il processo di rimozione degli eventi in base ai filtri di CEG La soppressione si esegue usando file SUP Gli stati del database sono i seguenti hot per i database non compressi costituiti da nuovi eventi warm per un database di eventi compressi cold per un database sottoposto a backup defrosted per un database ripristinato nell archivio registro eventi da cui stato eseguito il backup possibile eseguire query sia su database hot che warm e defrosted Una query di archiviazione visualizza informazioni sui database cold Lo stato di database cold si applica ad un database warm quando un amministratore esegue LMA
319. llocation Allocazione risorse Appendice E CA User Activity Reporting Module e virtualizzazione 377 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Example CA Enterprise Log Manager Yirtual Machine Properties 0 MHz o MB fiche A TE i Normal ai Advanced CPU HT Sharing Any Ios used Vv 378 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 5 Selezionare l opzione Memory Memoria nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Virtual Machine Version 7 Settings Summary CPU O MHz Memory 0 MB Shares 163840 Disk Normal Advanced CPU HT Sharing Any Resource Allocation Reservation Oi MB M Unlimited Limit based on parent resource pool or current host 6 Fare clic su OK Nota per ulteriori informazioni sull impostazione delle risorse consultare il sito www vmware com www vmware com Appendice E CA User Activity Reporting Module e virtualizzazione 379 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning Il server CA
320. lmente eventi Cisco PIX Firewall necessario inserire prima i file CiscoPIXFW XMPS e CiscoPIXFW DMS nel rispettivo elenco Capitolo 8 Lavorare con la libreria di perfezionamento eventi 233 Appendice A Considerazioni per gli utenti CA Audit Questa sezione contiene i seguenti argomenti Comprendere le differenze delle architetture a pagina 235 Configurazione degli adattatori CA Technologies a pagina 241 Invio di eventi CA Audit a CA User Activity Reporting Module a pagina 246 Quando importare eventi a pagina 251 Importazione di dati da una tabella SEOSDATA a pagina 253 Comprendere le differenze delle architetture Nella pianificazione di come utilizzare CA Audit e CA User Activity Reporting Module assieme prima necessario comprendere le differenze delle architetture e gli effetti che esse hanno sulla struttura della rete CA User Activity Reporting Module utilizza un registro eventi incorporato e fornisce un Explorer agente per configurare e gestire gli agenti La nuova tecnologia abbinata a una grammatica evento comune consente un trasferimento pi veloce degli eventi nell archivio supportando un numero maggiore di fonti di eventi La grammatica evento comune permette CA User Activity Reporting Module di normalizzare gli eventi da fonti di eventi diverse in un singolo schema di database CA User Activity Reporting Module si integra a un certo livello CA Audit ma per progettazione non completamente interoperabi
321. lo 80 R raccolta log linee guida 30 pianificazione 26 regole di soppressione effetti 68 ripristino di emergenza backup server CA Embedded Entitlements Manager 304 305 pianificazione 303 ripristino di un server CA Embedded Entitlements Manager 306 ripristino di un server CA User Activity Reporting Module 308 sostituzione di un server CA User Activity Reporting Module 310 ruoli dei server in rapporti federati 34 ruoli utente assegnazione 142 S sensori log informazioni su 66 spazio su disco pianificazione 29 syslog raccolta definita 60 U Unit SAN installazione di CA Enterprise Log Manager con attivato 101 installazione di CA Enterprise Log Manager con disattivato 95 utilit LMSeosImport copia nel server Windows Data Tools 253 254 esempi riga di comando 258 importazione da una tabella SEOSDATA live 252 importazione dal server Solaris Data Tools 260 importazione eventi dal server Windows Data Tools 260 informazioni sull utilit 252 opzioni d importazione 256 quando importare eventi 251 utilizzo della riga di comando 255 Indice 429
322. loy O F Template Source Select the source location Source OYVF Template Details End User License Agreement Name and Location oi Deployment Configuration Host Cluster Properties Ready to Complete 360 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 9 Fare clic su Avanti Viene visualizzata la pagina dei dettagli del modello OVF La pagina consente di visualizzare i dettagli archiviati nel modello OVF quali le dimensioni di download lo spazio su disco disponibile e il nome del fornitore 10 Verificare di disporre di un minimo di 350 GB di spazio su disco sul server VMware quindi fare clic su Avanti Deploy O F Template O F Template Details Verify OVF template details Source OYF Template Details End User License Agreement Name and Location Deployment Configuration El Host Cluster Resource Pool Properties Ready to Complete Appendice E CA User Activity Reporting Module e virtualizzazione 361 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina del contratto di licenza per l utente finale In questa pagina viene visualizzato il contratto di licenza per i prodotti di terze parti Sar necessario accettare il contratto di licenza per poter procedere all installazione di CA User Activity Reporting Module 11 Leggere il testo del contratto
323. lsante destro del mouse sulla nuova applicazione virtuale di CA User Activity Reporting Module nel riquadro sinistro quindi sull opzione di modifica impostazioni Viene visualizzata la finestra lt CA User Activity Reporting Module Virtual Appliance name gt Virtual Machine Properties Propriet del computer virtuale lt CA User Activity Reporting Module Virtual Appliance name gt 2 Fare clic sulla scheda Opzioni 3 Fare clic sulla scheda Risorse 4 Selezionare l opzione CPU nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Appendice E CA User Activity Reporting Module e virtualizzazione 353 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Example CA Enterprise Log Manager Yirtual Machine Properties 0 MHz o MB fiche A TE i Normal ai Advanced CPU HT Sharing Any Ios used Vv 354 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 5 Selezionare l opzione Memory Memoria nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Virtual Machine Version 7 Settings Summary CPU O MHz Memor
324. lta Per implementazioni di CA User Activity Reporting Module con due o pi server possibile immettere un nome host o indirizzo IP CA User Activity Reporting Module diverso nel campo Nome host alternativo per utilizzare la funzionalit di failover automatico di lt Aus gt Se il primo server CA User Activity Reporting Module non disponibile CA Audit invia automaticamente gli eventi al server indicato nel campo Nome host alternativo Immettere il nome del server CA User Activity Reporting Module di gestione nel campo Nome host alternativo e creare una descrizione per questa nuova azione della regola Deselezionare la casella di controllo Esegui questa azione sul server remoto se selezionata Fare clic su Aggiungi per salvare la nuova azione della regola e fare clic su Fine nella finestra della procedura guidata Selezionare la scheda Regole nel riquadro in basso a destra e la regola da selezionare Fare clic su Controlla criteri per controllare le regole modificate con le nuove azioni per assicurarsi che siano compilate correttamente Eseguire tutte le modifiche necessarie alle regole e assicurarsi che siano compilate correttamente prima di attivarle Fare clic su Attiva per distribuire i criteri controllati che contengono le nuove azioni della regola aggiunte Ripetere questa procedura per ogni regola e criterio con eventi raccolti da inviare a CA User Activity Reporting Module Ulteriori informazioni Informazioni s
325. lta 2 Server di gestione rapporto 1 iS S Server di Server di raccolta 1 raccolta 2 Capitolo 7 Creazione di federazioni 225 Federazioni a coppie In una federazione gerarchica ogni server CA User Activity Reporting Module puo avere uno o piu figli ma solo un genitore Si configura questo tipo di federazione in un modo dall alto al basso iniziando con il server di gestione Quindi si passa attraverso ogni layer dall alto al basso per configurare i server di rapporto e di raccolta figlio La parte essenziale per la configurazione di una federazione consiste nella creazione di una mappa dei server e delle relazioni pianificate Quindi possibile configurare un server CA User Activity Reporting Module come server figlio per implementare le relazioni tra di essi Federazioni a coppie Una federazione a coppie simile a una federazione gerarchica poich pu avere dei livelli La differenza fondamentale nella configurazione delle connessioni tra i server Una federazione a coppie pu permettere a qualsiasi server CA User Activity Reporting Module nella rete di eseguire query e rapporti dei dati di tutti gli altri server CA User Activity Reporting Module Le possibilit di rapporto dipendono dalle relazioni create tra i server Ad esempio in una federazione a coppie i server potrebbero interconnettersi solo in un ramo verticale Ci significa che tutti i server CA User Activity Reporting Module in tale ramo avranno ac
326. ltri globale e locale 149 fogli di lavoro CA SiteMinder 43 directory LDAP esterna 41 G gestione sottoscrizioni configurazione esempio 58 gestione utenti e accessi configurazione dell archivio utente 134 I importazione eventi SEOSDATA da CA Audit 253 260 installazione CA IT PAM con condivisione CA EEM 291 creazione DVD per installazione 71 di CA User Activity Reporting Module 79 immagine sistema operativo personalizzato 104 risoluzione dei problemi 121 struttura directory predefinita 104 su sistema con unit SAN 94 428 Guida all implementazione verifica server CA User Activity Reporting Module 83 integrazione con CA Audit comprensione architetture 235 configurazione adapter CA Technologies 241 importazione di eventi SEOSDATA 253 invio eventi CA Audit a CA User Activity Reporting Module 246 quando importare eventi 251 integrazione log informazioni su 231 supporto di nuove fonti di eventi 232 integrazioni informazioni su 64 L listener di eventi iTechnology informazioni su 245 P pianificazione archivio utente 39 criteri password 44 dimensionamento 67 federazione 31 integrazione con CA Audit 235 ripristino di emergenza 303 spazio su disco 29 plugin plug in eventi iTechnology 245 plugin evento plug in eventi iTechnology 245 porte firewall per syslog 110 scheda di rete 123 processo iGateway account utente per il controllo 103 control
327. lume di eventi pi consistente per alcuni tipi di eventi syslog possibile configurare un connettore per raccogliere solo tale tipo Quindi possibile configurare uno o pi connettori diversi per raccogliere pi di un tipo di eventi syslog con un volume di eventi inferiore nell ambiente In questo modo possibile bilanciare il carico della raccolta degli eventi syslog su un numero inferiore di connettori garantendo prestazioni migliori Non si devono necessariamente creare listener syslog personalizzati anche se possibile farlo se necessario possibile creare listener syslog personalizzati con valori predefiniti per porte host sicuri e altro ancora Ci pu aiutare a semplificare la creazione di connettori se si dispone di molti connettori da creare per ogni tipo di evento syslog ad esempio Ulteriori informazioni Account utente predefinito a pagina 103 Reindirizzamento delle porte del firewall per gli eventi syslog a pagina 110 Agenti e certificati degli agenti Il certificato CAELM_AgentCert cer viene utilizzato da tutti gli agenti per comunicare con il server CA User Activity Reporting Module Se si sceglie di sostituire il certificato con un certificato personalizzato consigliabile eseguire l operazione prima di installare gli agenti Se si implementa un certificato personalizzato dopo l installazione e la registrazione degli agenti con un server CA User Activity Reporting Module necessario disinstallare
328. mento alla Guida in linea della finestra Visualizza dettagli integrazione Viene visualizzata al Guida al connettore per Microsoft SQL Server 4 Per ulteriori informazioni consultare le sezioni relative ai prerequisiti e alla configurazione di Microsoft SQL Server Per configurare l origine evento e verificare la registrazione 1 Raccogliere le seguenti informazioni indirizzo IP del server ODBC nome del database nome utente e password dell amministratore per l accesso al server e credenziali dell utente con privilegi ridotti utilizzate per l autenticazione di SQL Server definito dall utente per l accesso in sola lettura alla tabella di traccia 2 Accederealserver ODBC con il nome utente e la password di amministratore 3 Verificare la connettivit su TCP IP come specificato nella Guida al connettore per Microsoft SQL Server 4 Configurare il server SOL e verificare l indirizzamento degli eventi alla tabella di traccia come specificato nella Guida al connettore per Microsoft SQL Server Nota registrare il nome del database in cui stata creata la tabella di traccia necessario specificare il nome del database nella stringa di connessione Ad esempio master Capitolo 6 Configurazione della raccolta eventi 209 Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor Per creare un connettore sull agente predefinito e recuperare gli eventi generati da un database SQL Server su un server ODBC 1 2 Ges
329. mite il seguente comando su 4 Navigare fino alla directory opt CA LogManager EEM content 5 Immettere il comando ImportCALMSAS sh Lo script di shell importa i file di soppressione e riepilogo Importazione dei file del token di analisi Sintomo Durante l installazione il server CA EEM non ha importato correttamente i file del token di analisi Senza questi file non possibile utilizzare i token di analisi in dotazione nella Procedura guidata di analisi dei messaggi Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Importazione manuale dei file del token di analisi 130 Guida all implementazione Risoluzione di problemi dell installazione Come importare i file del token di analisi 1 Accedere a un prompt dei comandi sul server CA User Activity Reporting Module Accedere con le credenziali dell account caelmadmin Commutare gli utenti sull utente di root tramite il seguente comando su Navigare fino alla directory opt CA LogManager EEM content Immettere il comando ImportCALMTOK sh Lo script di shell importa i file del token di analisi Importazione dei file dell interfaccia utente di CA User Activity Reporting Module Sintomo Durante l installazione il server CA EEM non ha importato correttamente i file dell interfaccia utente Senza questi file non possibile visualizzare o utilizzare i v
330. mma di installazione che pu accedere a CA User Activity Reporting Module con le credenziali EiamAdmin Dopo avere completato questa configurazione gli utenti definiti come amministratori configurano CA User Activity Reporting Module Se la configurazione dell archivio utente predefinito viene accettata la configurazione minima che deve essere completata dall utente EiamAdmin l account del primo amministratore Il primo amministratore pu configurare i criteri delle password prima di configurare gli altri componenti di CA User Activity Reporting Module Nota per i dettagli sulla creazione di altri utenti o per la creazione di ruoli personalizzati e criteri di accesso personalizzati consultare la Guida all amministrazione di CA User Activity Reporting Module Capitolo 4 Configurazione di utenti e accessi di base 133 Configurazione dell archivio utente Configurazione dell archivio utente L archivio utente rappresenta il repository per le informazioni utente globali possibile configurare l archivio utente non appena si installa un server CA User Activity Reporting Module Solo l utente EiamAdmin pu configurare l archivio utente ci solitamente avviene subito dopo il primo accesso Configurare l archivio utente in uno dei seguenti modi Accettare l archivio predefinito nel datastore interno Nota l opzione predefinita potrebbe essere visualizzata come CA Management Database se durante l installazione stato indicato
331. mplementazione Server di raccolta valori 2000000 predefinito 1 Non valido per l archiviazione automatica 10 24 17001 Si Incrementale Ogni ora 0 lt CA User Activity Reporting Module_Administrator gt lt password gt RptSrvr 1 caelmservice opt CA LogManager Si Valori del server di rapporto Non valido per l archiviazione automatica 30 Valido per l archiviazione automatica e quando essa non configurata 10 72 17001 S Incrementale Ogni giorno 23 lt CA User Activity Reporting Module _Administrator gt lt password gt RemoteStore 1 user_X CA ELM_cold_storage No Configurazione dell archivio registro eventi Le opzioni di archiviazione automatica riportate in questo esempio consentono di spostare i file di archivio file di database warm dal server di raccolta al server di rapporto ogni ora Questo mantiene spazio su disco disponibile per gli eventi in ingresso Entrambi i server utilizzano un backup incrementale per evitare di dover spostare grandi volumi di dati in una sola volta In seguito al trasferimento di un database warm su un server di rapporto il database verr eliminato automaticamente dal server di raccolta Nota il valore 0 dell Ora di avvio non ha effetto quando la Frequenza del backup impostata su Ogni ora Per l utente EEM e la password EEM specificare le credenziali di un utente CA User Activity Reporting Module assegnato al ruolo predefinito di amminist
332. mportazione di un evento L elaborazione continua quando l invio di tale evento viene eseguito di nuovo correttamente L utilit utilizza automaticamente un valore predefinito di 300 secondi Non necessario immettere il parametro a meno che non si voglia specificare un valore diverso messaggi relativi allo stato dei nuovi tentativi vengono inviati a STDOUT Esempi di riga di comando di LMSeosImport possibile utilizzare i seguenti esempi di riga di comando per creare un comando personalizzato quando si utilizza l utilit di importazione SEOSDATA Per eseguire un importazione di registrazioni tra ENTRYID 1000 e 4000 Inserire il seguente comando LMSeosImport dsn eAudit DSN user sa password sa target 130 200 137 192 minid 1000 maxid 4000 Per eseguire un importazione di registrazioni solo per eventi di applicazioni NT Inserire il seguente comando LMSeosImport dsn eAudit DSN user sa password sa target 130 200 137 192 log NT Application Creazione di un evento di rapporto L esecuzione di un evento di rapporto SEOSDATA prima dell importazione dei dati effettiva fornisce le informazioni necessarie sugli eventi nella tabella Il rapporto mostra l intervallo di tempo dell evento il conteggio eventi per tipo di registro e l intervallo entry ID possibile utilizzare i valori visualizzati nel rapporto per perfezionare le opzioni della riga di comando per un comando di anteprima o per il comando di imp
333. n modo che invii gli eventi raccolti direttamente al server CA User Activity Reporting Module per l archiviazione e la creazione di rapporti La procedura include i seguenti passaggi 1 Configurare il listener del plug in eventi iTech per la ricezione di informazioni da un iRecorder CA Access Control 2 Scaricare e installare un iRecorder CA Access Control 3 Configurare l iRecorder per l invio diretto degli eventi raccolti a CA User Activity Reporting Module 4 Verificare che CA User Activity Reporting Module stia ricevendo eventi Nota un iRecorder pu inviare i propri eventi verso un unica destinazione Quando si esegue la configurazione utilizzando questa procedura l unica destinazione sar il server CA User Activity Reporting Module indicato Appendice B Considerazioni per gli utenti CA Access Control 273 Configurazione di un iRecorder CA Access Control per l invio di eventi a CA User Activity Reporting Module Configurazione del plug in eventi iTech per gli eventi CA Access Control Prima di riconfigurare un iRecorder per l invio di eventi direttamente a CA User Activity Reporting Module necessario configurare un listener per ricevere tali eventi Per configurare il listener 1 Accedere al server CA User Activity Reporting Module come utente con ruolo di amministratore 2 Accedere alla scheda Amministrazione ed espandere il nodo Adapter CA Query e rapporti Rapporti pianificati Gestione avvisi Amministrazione
334. n modo errato se questi arrivano tra il momento in cui il criterio diventa attivo e quello in cui i listener possono mappare correttamente gli eventi Per modificare l azione della regola di un criterio esistente per inviare gli eventi a CA User Activity Reporting Module 1 Accedereal server gestore dei criteri e accedere alla scheda Criteri personali nel riquadro a sinistra 2 Espandere la cartella del criterio fino a quando possibile visualizzare il criterio desiderato 3 Fare clic sul criterio per visualizzarne le informazioni di base nel riquadro Dettagli a destra 4 Fare clic su Modifica nel riquadro Dettagli per effettuare aggiunte alle regole del criterio Viene avviata la procedura guidata della regola 5 Fare clic su Modifica azioni di fianco alla freccia per il passaggio 3 della procedura guidata Verr visualizzata la pagina delle azioni della regola della procedura guidata 6 Fare clic sull azione del Collector nel riquadro Sfoglia azioni a sinistra Questo visualizzer l Elenco azioni a destra anche possibile utilizzare l azione Route per creare una regola per l invio degli eventi a un server CA User Activity Reporting Module 7 Fare clic su Nuova per aggiungere una nuova regola 248 Guida all implementazione 10 11 12 13 14 15 Invio di eventi CA Audit a CA User Activity Reporting Module Immettere l indirizzo IP o il nome host del server CA User Activity Reporting Module di racco
335. nazionale degli standard e della tecnologia l agenzia tecnologica federale che nella sua pubblicazione speciale 800 92 Guide to Computer Security Log Management Guida alla gestione dei registri della sicurezza informatica fornisce le indicazioni utilizzate come base per CA User Activity Reporting Module Il ruolo di amministratore Il ruolo di analista Il ruolo di revisore Il ruolo di amministratore consente agli utenti di eseguire tutte le azioni valide su ogni risorsa diCA User Activity Reporting Module Soltanto gli amministratori possono configurare i servizi e la raccolta dei registri o gestire gli utenti i criteri e i filtri di accesso Il ruolo di analista consente agli utenti di creare e di modificare i rapporti e le query personalizzate di modificare e di annotare i rapporti di creare i tag e di pianificare i rapporti e gli avvisi Gli analisti possono anche eseguire tutte le attivit dei revisori Il ruolo di revisore conferisce agli utenti l accesso ai rapporti ed ai dati in essi contenuti revisori possono visualizzare i rapporti l elenco di modelli di rapporto quello dei processi di rapporto pianificati e quello dei rapporti generati revisori possono anche pianificare ed annotare i rapporti revisori non possono accedere ai feed RSS Rich Site Summary a meno di impostare la configurazione in modo da non richiedere l autenticazione per visualizzare gli avvisi 410 Guida all implementazione installatore
336. nazione di un server CA User Activity Reporting Module su un computer virtuale Informazioni sulle applicazioni virtuali CA User Activity Reporting Module OVF uno standard aperto per la creazione e la distribuzione di applicazioni virtuali CA User Activity Reporting Module utilizza il formato file VMDK Virtual Machine Disk basato sul formato OVF Il pacchetto OVF contiene i seguenti file File XML del descrittore OVF Un file XML del descrittore OVF con estensione ovf Il file contiene le specifiche dell hardware virtuale i parametri di configurazione di CA User Activity Reporting Module e il contratto di licenza File di disco virtuale I file di disco virtuale VMware vSphere che contengono file di immagine disco utilizzati per la distribuzione dell applicazione virtuale CA User Activity Reporting Module 1 vmdk a CA User Activity Reporting Module 2 vmdk CA User Activity Reporting Module 3 vmdk File manifesto Il file CA Enterprise Log Manager mf che contiene la firma di tutti i file Nota si consiglia di non modificare i file del disco virtuale o il file manifesto in quanto la modifica di tali file potrebbe compromettere le prestazioni del dispositivo virtuale Per impostazione predefinita il client VMware vSphere legge i dettagli importati utilizzando il modello OVF ed effettua il provisioning dell applicazione virtuale Appendice E CA User Activity Reporting Module e virtualizzazione 329 Creazione di server C
337. ncipale Valore nuova password principale Commenti Creare e confermare una nuova password per il server Disco applicazione Nuovo nome host nome host per il server CA Specificare il nome host del server Selezione di una periferica User Activity Reporting Module corrente Ad esempio CA ELM1 device name utilizzando soltanto i caratteri supportati per gli host Gli standard industriali consigliano l utilizzo dei caratteri A Z senza distinzione di maiuscole 0 9 ed i trattini dove il primo carattere corrisponde ad una lettera e l ultimo ad un carattere alfanumerico Non utilizzare caratteri di sottolineatura Nota non aggiungere un nome dominio al valore del nome host Selezionare il nome della scheda di Indirizzo IP Subnet mask e valori IP rilevanti rete da utilizzare per le raccolte e le comunicazioni degli eventi di log Premere la barra spaziatrice per inserire la configurazione della periferica Inserire un indirizzo IP valido per il Gateway predefinito Nome dominio il nome del dominio server Inserire una subnet mask ed un gate predefinito da utilizzare con il server Inserire il nome dominio completo del server ad esempio mycompany com Nota per abilitare la risoluzione del nome host nell indirizzo IP necessario registrare il nome del dominio sul server DNS di rete 74 Guida all implementazione Informazioni CA User Activity Reporting Module Elenco
338. ndirizzi IPv6 immettere questi indirizzi in quel formato Inserire il nome di dominio completo del server ad esempio mycompany com Nota per abilitare la risoluzione del nome host nell indirizzo IP necessario registrare il nome del dominio sul server DNS di rete Leggere attentamente il contratto di licenza CA fino alla fine quindi fare clic su Accept Accetto per accettare i termini del contratto Selezionare il fuso orario del server Immettere il nome host o l indirizzo IP valido del server NTP da cui il server CA User Activity Reporting Module riceve le informazioni sulla data e l ora Appendice E CA User Activity Reporting Module e virtualizzazione 331 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie Valore Posizione del server CA EEM Remoto per ogni server aggiuntivo Nome host o indirizzo IP Il nome host o l indirizzo IP del server CA EEM remoto 332 Guida all implementazione Locale per il primo server installato server di gestione Commenti Indicare se si desidera utilizzare un server CA EEM locale o remoto Per un server di gestione CA User Activity Reporting Module scegliere il server remoto L installazione richiede di creare una password per l account utente EiamAdmin predefinito Per ogni server aggiuntivo scegliere Remoto L installazione richiede il nome del server di gestione Indipendentemente dal tipo di server
339. ne 120 Guida all implementazione Risoluzione di problemi dell installazione encrypted 0 1 Stabilisce se si utilizza la crittografia SSL per le comunicazioni tra il client JDBC ed il server CA User Activity Reporting Module Il valore predefinito 0 non crittografato e non necessario specificarlo nell URL L impostazione encrypted 1 consente di attivare la crittografia Impostare la connessione sulla crittografia in modo esplicito Inoltre tale impostazione deve corrispondere a quanto configurato nella finestra di dialogo del Servizio ODBC CA User Activity Reporting Module in caso contrario si verificher un errore di connessione ServerDataSource Default Specifica il nome dell origine dati Impostare questo valore su Default per accedere all archivio registro eventi di CA User Activity Reporting Module CustomProperties x y z Queste proprieta sono identiche alle proprieta di ODBC personalizzate Se non vengono specificate esplicitamente verranno applicati i valori predefiniti visualizzati nell URL di esempio Ulteriori informazioni Considerazioni sull origine dati ODBC a pagina 114 Risoluzione di problemi dell installazione possibile analizzare i seguenti file di log dell installazione per dare inizio alla risoluzione problemi dell installazione Prodotto CA User Activity Reporting Module Posizione del file di log tmp pre install_ca elm log tmp install_ca elm lt timestamp gt log tmp instal
340. ne VMware Importazione di una macchina virtuale clonata a un server di destinazione Utilizzare questa procedura per importare una macchina virtuale clonata su un altro server per l attivazione Importazione di una macchina virtuale clonata 1 2 Verificare di disporre dell accesso di rete al server host di destinazione Accedere a VMware VirtualCenter dal server che ospita VMware ESX Selezionare l opzione Importa e quindi individuare il server di destinazione rispondendo ai prompt supplementari come richiesto L azione di importazione sposta la macchina virtuale clonata sul server di destinazione La documentazione di VMware ESX contiene ulteriori informazioni Appendice E CA User Activity Reporting Module e virtualizzazione 327 Creazione di server CA User Activity Reporting Module mediante computer virtuali Aggiornamento di un serverCA User Activity Reporting Module clonato prima della distribuzione Utilizzare questa procedura per aggiornare un server virtuale CA User Activity Reporting Module clonato Un server virtuale CA User Activity Reporting Module clonato conserva il nome dell host assegnato durante l installazione Tuttavia il nome dell host per ciascun server CA User Activity Reporting Module attivo deve essere univoco all interno dell implementazione della raccolta registri Quindi prima di poter attivare un server virtuale clonato modificare il nome dell host e l indirizzo IP del server con lo script Ren
341. ne PATH del sistema Per copiare l utilit 1 Accederea un prompt dei comandi sul server degli strumenti dati di Windows 2 Inserire il DVD ROM di installazione dell applicazione CA User Activity Reporting Module 3 Navigare alla directory CA ELM Windows 4 Copiare l utilit LMSeosImport exe nella directory iTechnology del server degli strumenti dati CA Audit lt drive gt Program Files CA SharedComponents iTechnology L utilit pronta per l utilizzo dopo averla copiata nella directory designata Non necessario eseguire un installazione separata 278 Guida all implementazione Importazione di eventi CA Access Control da un database di raccolta CA Audit Copia dell utilita di importazione eventi su un server Solaris Data Tools Prima di potere importare i dati da una tabella SEOSDATA necessario copiare l utilit LMSeosImport dal DVD ROM di installazione dell applicazione CA User Activity Reporting Module sul server Solaris Data Tools Nota l utilit LMSeosImport richiede la presenza delle librerie etsapi ed etbase Questi file fanno parte dell installazione del server Data Tools di base Prima di provare a utilizzare l utilit LMSeosImport assicurarsi che la directory di installazione di CA Audit sia inclusa nell istruzione PATH del sistema La directory predefinita opt CA eTrustAudit bin Prima di eseguire l utilit impostare le seguenti variabili d ambiente con il comando env ODBC_HOME lt direct
342. ne il simbolo l utilit iSQL non verr eseguita correttamente e legger qualsiasi elemento dopo il simbolo come nome DSN Per evitare questo problema immettere la password tra virgolette Connect User Password DSN name 116 Guida all implementazione Installazione del client JDBC Verifica del recupero del server dal database Usare questa query di verifica per stabilire se un applicazione client ODBC in grado di recuperare i dati da un archivio di registro eventi di CA User Activity Reporting Module che utilizza la connessione stabilita con il database Questa procedura sfrutta la stessa utilit ISQL utilizzata per verificare la connessione ODBC Nota non copiare e utilizzare le query SQL fornite nelle query e nei rapporti di CA User Activity Reporting Module per verificare la connessione ODBC Tali istruzioni SQL devono essere utilizzate solamente dal server CA User Activity Reporting Module con l archivio di registri eventi Creare le query SQL ODBC usando le strutture standard secondo lo standard SQL ANSI Per verificare il recupero dati del componente server 1 Aprire il prompt dei comandi e accedere alla directory dove installato il client ODBC 2 Avviare l utilit ISQL odbcisql exe 3 Inserire la seguente istruzione SELECT per verificare il recupero dall archivio registro eventi select top 5 event logname receiver hostname SUM event count as Count from view event where event time gmt lt now and e
343. ne visualizzata la finestra di dialogo Moduli disponibili per il download 200 Guida all implementazione 10 11 12 Configurazione della sottoscrizione Selezionare i moduli da scaricare Fare clic su OK La finestra di dialogo Moduli disponibili per il download viene chiusa e i moduli selezionati vengono visualizzati nell elenco Moduli selezionati per il download Fare clic su Salva client di sottoscrizione non in linea possono quindi eseguire il download automatico dei moduli in base al tipo sottoscrizione impostato oppure richiedendo di specificarlo al momento dell avvio dell aggiornamento manuale Facoltativo Fare clic su Aggiorna ora L aggiornamento del server proxy non in linea include solo i moduli selezionati Nota sebbene il proxy non in linea possa eseguire l aggiornamento automatico in base al tipo di sottoscrizione impostato in caso di trasferimento di file nuovi si consiglia di eseguire l aggiornamento manuale Questa procedura consente garantire la disponibilit degli aggiornamenti in caso di richiesta da parte dei client di sottoscrizione non in linea Ulteriori informazioni Configurazione della sottoscrizione a pagina 190 Informazioni sui moduli da scaricare a pagina 195 Capitolo 5 Configurazione dei servizi 201 Configurazione della sottoscrizione Definizione della pianificazione di sottoscrizione La pianificazione di sottoscrizione viene configurata per definire la data e la fr
344. ne visualizzato nella casella del gruppo utenti selezionato Fare clic su Salva 142 Guida all implementazione Creazione del primo amministratore 8 Verificare che il gruppo sia stato aggiunto a Dal riquadro di ricerca degli utenti fare clic su Dettagli dell applicazione utente quindi fare clic su Vai b Verificare che il nome del nuovo utente dell applicazione venga visualizzato tra i risultati 9 Fare clic su Chiudi Capitolo 4 Configurazione di utenti e accessi di base 143 Capitolo 5 Configurazione dei servizi Questa sezione contiene i seguenti argomenti Fonti e configurazioni degli eventi a pagina 145 Modificare le configurazioni globali a pagina 146 Utilizzo di impostazioni e filtri globali a pagina 149 Configurazione dell archivio registro eventi a pagina 151 Configurazione del servizio di correlazione a pagina 177 Considerazioni sul servizio incidenti a pagina 187 Considerazioni su ODBC Server a pagina 188 Considerazioni sul server di rapporto a pagina 189 Configurazione della sottoscrizione a pagina 190 Fonti e configurazioni degli eventi La maggior parte delle reti dispone di periferiche basate su Windows e su syslog i cui log eventi devono essere raccolti archiviati monitorati e controllati La rete pu disporre anche di altri tipi di periferiche incluse applicazioni database lettori di badge periferiche biometriche o registratori CA Audit e iRecorder esistenti serviz
345. nfigurazione di autenticazione senza l uso della password tra i server di raccolta e il server di rapporto Capitolo 5 Configurazione dei servizi 161 Configurazione dell archivio registro eventi Convalida dell autenticazione non interattiva tra i server di raccolta e i server di rapporto possibile convalidare la configurazione dell autenticazione non interattiva tra i server di origine e di destinazione di entrambe le fasi dell archiviazione automatica Per convalidare la configurazione tra i server di raccolta e dei rapporti 1 Accedere al server di raccolta ELM Clattraverso ssh come caelmadmin 2 Commutare gli utenti su root 3 Commutare gli utenti sull account caelmservice su caelmservice 4 Inserire il comando riportato di seguito ssh caelmservice ELM RPT L accesso a ELM RPT senza l immissione di una passphrase confermer l autenticazione non interattiva tra ELM C1 e ELM RPT 5 Accedere a ELM C2 e ripetere 6 Accedere a ELM C3 e ripetere 7 Accedere a ELM C4 e ripetere Creazione di una struttura di directory con propriet sul server di archiviazione remoto Questa procedura presuppone che il server di archiviazione remoto non sia un server CA User Activity Reporting Module e che non sia necessario creare nuovi utenti un gruppo e una struttura della directory che rispecchi quella di un server CA User Activity Reporting Module Prima di inviare la chiave dal server di rapporto necessario eseguire la procedura in
346. ni gruppi contengono valori principali predefiniti Una varbind un binding di variabile SNMP Ciascuna varbind costituita da un OID un tipo ed un valore Le varbind vengono aggiunte alle MIB personalizzate Una voce di registro una voce in un registro contenente informazioni su un evento specifico verificatosi nel sistema o in una rete 426 Guida all implementazione Indice A account caelmadmin definito 103 account utente aggiunta di un gruppo utente dell applicazione 142 Adattatori CA configurazione per l utilizzo con CA Audit 241 245 agente predefinito configurazione di un connettore con il sensore log OBDC 208 configurazione di un connettore con il sensore log WinRM 215 agenti agente predefinito 205 informazioni su 63 informazioni sui gruppi di agenti 63 installazione 203 pianificazione di 60 privilegi account utente 64 visualizzazione dello stato 221 archivia esempio 167 informazioni sui file di archivio 152 archivio utente configurazione come CA MDB 134 Foglio di calcolo CA SiteMinder 43 Foglio di calcolo directory LDAP esterna 41 pianificazione 39 riferimento a CA SiteMinder 136 riferimento a una directory LDAP 135 attivita di amministrazione archivio utente 134 autenticazione non interattiva configurazione per l archiviazione automatica 156 esempio hub e spoke 157 esempio Use Case pi semplice 166 C CA Audit configurazione adapter CA 241 co
347. ni eventi syslog possibile installare gli agenti su un origine eventi individuale Si consiglia questo approccio quando il conteggio degli eventi da tale origine elevato Il piano deve includere una distinzione tra gli agenti in un origine eventi e gli agenti in un host che opera come raccoglitore di diversi tipi di eventi Capitolo 2 Pianificazione dell ambiente 67 Pianificazione agente Effetti della regola di soppressione Durante la pianificazione consigliabile riflettere sugli effetti delle regole di soppressione che impediscono agli eventi di essere inseriti nell archivio registro eventi o di essere raccolti da un connettore Le regole di soppressione sono sempre collegate a un connettore possibile applicare regole di soppressione a livello di agente o gruppo oppure al server CA User Activity Reporting Module stesso Gli effetti differiscono in base alla posizione Le regole di soppressione applicate a livello dell agente o del gruppo impediscono agli eventi di essere raccolti riducendo quindi l importo del traffico di rete inviato al server CA User Activity Reporting Module Le regole di soppressione applicate al server CA User Activity Reporting Module impediscono agli eventi di essere inseriti nel database riducendo quindi la quantit di informazioni archiviate Occorre fare delle considerazioni sulle prestazioni potenziali derivanti dall applicazione delle regole di soppressione agli eventi dopo il loro arr
348. ni o malware sistemi Windows utilizzano l accesso ODBC i sistemi UNIX e LINUX utilizzano l accesso JDBC account Un account un utente globale che anche un utente dell applicazione CALM Un singolo individuo pu disporre di pi di un account ognuno dei quali dotato di un diverso ruolo definito dall utente adapter CA Gli adapter CA sono un gruppo di listener che riceve eventi da componenti di CA Audit come i client di CA Audit e i recorder iRecorder e SAPI oltre ad essere le origini che inviano nativamente gli eventi con iTechnology agente Un agente un servizio generico configurato con dei connettori ognuno dei quali raccoglie eventi non elaborati da una singola origine evento per poi inviarli a CA User Activity Reporting Module per l elaborazione Ogni CALM gt dotato di un agente integrato Inoltre possibile installare un agente su un punto di raccolta remoto e raccogliere gli eventi negli host in cui non si possono installare agenti possibile anche installare un agente su un host in cui si eseguono le origini evento e poter quindi applicare le regole di soppressione e crittografare la trasmissione a CA User Activity Reporting Module agente predefinito L agente predefinito l agente che viene installato con il server CA User Activity Reporting Module Pu essere configurato per la raccolta diretta di eventi syslog nonch per la raccolta da diverse origini eventi non syslog come CA Access Control r12 SP1 Ser
349. nico di CA all indirizzo http ca com support per verificare se sono disponibili versioni e service pack nuovi per Gestione log Per poter selezionare i moduli da scaricare per i proxy di sottoscrizione non in linea eseguire il download del pacchetto file di aggiornamento non in linea dal sito FTP di CA Technologies e copiarlo manualmente sui proxy non in linea quindi possibile selezionare i moduli da scaricare e installare Al contrario i client di sottoscrizione non in linea ricevono gli aggiornamenti installati manualmente sui proxy non in linea corrispondenti in modo automatico indipendentemente dai moduli selezionati per il client a livello locale Capitolo 5 Configurazione dei servizi 199 Configurazione della sottoscrizione Per scaricare e selezionare i moduli di sottoscrizione non in linea 1 Su un sistema con accesso a Internet o a FTP accedere al sito FTP di sottoscrizione non in linea ftp ftp ca com pub elm connectors ftp outgoing pub elm ELM_Offline_ Subscription L indice delle directory visualizza una cartella per ciascuna versione principale di CA User Activity Reporting Module Scaricare il file zip corrispondente all aggiornamento che si desidera eseguire Nota La cartella della versione r12 5 di CA User Activity Reporting Module contiene una sottocartella e il file zip La sottocartella contiene i moduli per l aggiornamento da una versione precedente alla versione r12 5 Il file zip contiene i moduli
350. nio ITPAM Avvia servizio server Nota se non viene visualizzata l opzione di menu selezionare Strumenti di amministrazione Servizi componente Fare clic su Servizi Server CA IT PAM e quindi su Avvia il servizio Avviare ed accedere alla console del server CA IT PAM possibile avviare il server CA IT PAM da un browser su qualunque sistema sul quale siano installate e integrate le API di Java JRE 1 6 o di JDK 1 6 Per avviare la console di gestione di CA IT PAM 1 Digitare l URL seguente nella barra dell indirizzo di un browser http lt itpam server_hostname gt 8080 itpam Viene visualizzata la schermata di accesso a CA IT Process Automation Manager Immettere itpamadmin nel campo Accesso utente Nel campo Password immettere la password che stata assegnata a questo account Fare clic su Accedi L CA EEM sul server CA User Activity Reporting Module esegue l autenticazione delle credenziali di accesso e apre il CA IT Process Automation Manager Per informazioni dettagliate sull integrazione e l utilizzo di CA IT PAM con CA User Activity Reporting Module consultare la sezione Utilizzo dei processi di output evento di CA IT PAM nel capitolo Avvisi nella Guida all amministrazione di CA User Activity Reporting Module Appendice C Considerazioni su CA IT PAM 301 Appendice D Ripristino di emergenza Questa sezione contiene i seguenti argomenti Pianificazione di un ripristino di emergenza a pagina 303
351. nistratore iniziate a lavorare su di essi Per ulteriori informazioni vedere Guida all amministrazione di CA User Activity Reporting Module Ulteriori informazioni Accettare l Archivio utente predefinito a pagina 134 Riferimento a una directory LDAP a pagina 135 Riferimento a CA SiteMinder come archivio utente a pagina 136 40 Guida all implementazione Foglio di calcolo directory LDAP esterna Pianificazione degli utenti e degli accessi Prima di fare riferimento a una directory LDAP esterna raccogliere le seguenti informazioni di configurazione Informazioni necessarie Valore Tipo Host Porta DN di base Password Commenti Notare il tipo di directory in uso CA User Activity Reporting Module supporta molte directory diverse inclusa Microsoft Active Directory e Sun ONE Directory Fare riferimento all interfaccia utente per un elenco completo delle directory supportate Registrare il nome host del server per l archivio utente o la directory esterna Registrare il numero di porta su cui l archivio utente esterno o il server della directory in ascolto La porta 389 la porta nota per LDAP Lightweight Directory Access Protocol Se il server di registrazione non utilizza la porta 389 registrare il numero di porta corretto Specificare il nome distintivo DN LDAP utilizzato come base Il DN un identificativo univoco per una voce nella struttura di una directory LDAP Nel DN di base non sono cons
352. nsiderazioni per utenti di 235 differenze dell architettura 235 invio eventi a CA User Activity Reporting Module 246 modifica criterio r8 SP1 CR2 esistente 248 modifica criterio r8 SP2 CR2 esistente 250 quando importare eventi 251 CA Embedded Entitlements Manager definito 29 CA Enterprise Log Manager federazione 31 installazione 79 pianificazione dell architettura 69 processi 107 CA Management Database CA MDB archivio utente 134 configurazioni configurazioni iniziali server 102 connettori informazioni sui sensori di registro 66 interruzione e riavvio 221 visualizzazione dello stato 221 criteri password configurazione 138 pianificazione 44 D deposito eventi di log configurazione 151 176 impostazioni di base 173 informazioni su 152 informazioni sui file di archivio 152 E esempi archiviazione automatica fra tre server 167 Indice 427 configurazione della sottoscrizione con sei server 58 raccolta diretta di registri database 208 raccolta diretta di registri Windows 215 eventi di automonitoraggio visualizzazione 84 F federazione a coppie 226 configurazione 228 esempio di mapping della federazione per un azienda di grandi dimensioni 34 esempio di mapping della federazione per un azienda di medie dimensioni 36 gerarchica 224 informazioni su query e rapporti in 223 mappa federazione 32 pianificazione 31 selezione query federate 150 fi
353. nt amministratore predefinito EiamAdmin L accesso iniziale al server CA User Activity Reporting Module richiede queste credenziali dell account Se si installa il server di gestione creare e confermare qui la nuova password EiamAdmin Annotare questa password poich essa verr utilizzata nuovamente durante l installazione degli altri server e agenti CA User Activity Reporting Module Nota la password qui inserita anche la password iniziale dell account caelmadmin predefinito che verr utilizzato per accedere direttamente al server CA User Activity Reporting Module attraverso ssh possibile creare account amministratore aggiuntivi per accedere alle funzioni CA EEM dopo l installazione se lo si desidera Capitolo 3 Installazione di CA User Activity Reporting Module 77 Installazione si un server CA User Activity Reporting Module Informazioni CA User Activity Valore Commenti Reporting Module Nome istanza dell applicazione CAELM Quando si installa il primo server CA User Activity Reporting Module della rete si crea in questo prompt un valore istanza dell applicazione server CA User Activity Reporting Module successivi utilizzano il valore per la registrazione con il server di gestione Il nome istanza dell applicazione predefinito CAELM possibile utilizzare qualsiasi nome per il valore Annotare il nome istanza dell applicazione per le successive installazioni di CA User Activity Reporting
354. ntazione record di registro registro regole di riepilogo regole di soppressione regole inoltro eventi ricatalogazione risorsa applicazione Un record di registro un singolo record di controllo Un registro un record di controllo o messaggio registrato di un evento o di una raccolta di eventi Un registro pu essere di controllo di transazione di intrusione di connessione di prestazioni di sistema di attivit utente o di avviso Le regole di riepilogo sono regole che uniscono alcuni eventi nativi di tipo comune ottenendo cos un unico evento perfezionato Ad esempio possibile configurare una regola di riepilogo per sostituire fino a 1000 eventi duplicati con gli stessi indirizzi IP e porte di origine e di destinazione con un singolo evento di riepilogo Regole di questo tipo semplificano l analisi degli eventi e riducono il traffico di registro Le regole di soppressione sono delle regole da configurare per impedire ad alcuni eventi perfezionati di apparire nei propri rapporti possibile creare regole di soppressione permanenti per eliminare gli eventi di routine che non riguardano la protezione oltre a creare regole temporanee per eliminare la registrazione di eventi pianificati come la creazione di molti nuovi utenti Le regole inoltro eventi indicano che gli eventi selezionati sono da inoltrare a prodotti di terze parti ad esempio i prodotti che stabiliscono la correlazione tra eventi una volta sal
355. nte a pagina 204 Configurazione dell agente predefinito a pagina 205 Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor a pagina 208 Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor a pagina 215 Visualizzazione e controllo dello stato di agenti o connettori a pagina 221 Installazione di agenti Con installazioni separate per piattaforme specifiche gli agenti CA User Activity Reporting Module forniscono il layer di trasporto per trasferire gli eventi dalle fonti degli eventi all archivio registro eventi del server CA User Activity Reporting Module Gli agenti utilizzano connettori per raccogliere i registri eventi da diverse fonti di eventi Il seguente diagramma mostra le interazioni tra agenti e il server CA User Activity Reporting Module Server CA Enterprise Origine evento Log Manager Esplora Connettore agente CA Access Servizio Archivio registro eventi gp Archivio registro eventi Flusso di eventi Messaggi di comando e controllo Capitolo 6 Configurazione della raccolta eventi 203 Utilizzo dell Explorer agente Dopo avere installato un agente su una fonte di eventi possibile configurare uno o pi connettori affinch raccolgano eventi da fonti di eventi come periferiche applicazioni sistemi operativi e database Gli esempi nel diagramma includono connettori per CA Access Control e un database Oracle Solitamente si installa un solo agente per ogni server
356. nte di delegare la propria autorit ad un altro utente o ad un gruppo applicazione globale o dinamico necessario eliminare esplicitamente i criteri di delega creati dall utente eliminato o disattivato Glossario 403 criterio di obbligo Un criterio di obbligo un criterio creato automaticamente insieme ad un filtro di accesso Non si dovrebbe provare a creare a modificare o ad eliminare direttamente un criterio di obbligo Si consiglia invece di creare di modificare o di eliminare il filtro d accesso criterio di scoping Un criterio di scoping un tipo di criterio di accesso che conferisce o nega l accesso alle risorse memorizzate nel server di gestione come ad esempio AppObjects utenti gruppi cartelle e criteri Un criterio di scoping stabilisce quali identit possano accedere alle risorse specificate database archiviati database archiviati su un dato server CA User Activity Reporting Module comprendono tutti i database warm disponibili per le query per cui necessario eseguire un backup manuale prima della scadenza tutti i database cold registrati come sottoposti a backup e tutti quelli registrati come ripristinati dal backup defrosting Il defrosting il procedimento di modifica dello stato di un database da cold a defrosted Questo processo viene eseguito da CA User Activity Reporting Module quando viene ricevuta una notifica dll utility LMArchive relativa all avvenuto ripristino di un database cold noto se non s
357. nternet o FTP 2 L amministratore di sistema copia manualmente i file aggiornati su un proxy CA User Activity Reporting Module non in linea file possono essere trasferiti utilizzando un supporto fisico ad esempio un disco oppure tramite SCP incluso in CA User Activity Reporting Module 3 La procedura di aggiornamento viene eseguita secondo la stessa modalit della sottoscrizione in linea Il proxy non in linea installa automaticamente gli aggiornamenti e invia gli aggiornamenti dei contenuti al server di gestione Nota sebbene il proxy non in linea possa eseguire l aggiornamento automatico in base alla pianificazione in caso di trasferimento di file nuovi si consiglia di eseguire l aggiornamento manuale Questa procedura consente garantire la disponibilit degli aggiornamenti in caso di richiesta da parte dei client di sottoscrizione 4 client del proxy non in linea eseguono il download degli aggiornamenti in base alla pianificazione impostata oppure in caso di aggiornamento manuale Nota i client di sottoscrizione non in linea ricevono sempre gli aggiornamenti installati manualmente sul server proxy non in linea moduli selezionati a livello locale per un client non in linea non vengono considerati L architettura di sottoscrizione pu essere di tipo misto Ad esempio possibile definire un solo proxy non in linea e pi proxy in linea Il proxy non in linea e i relativi client associati vengono esclusi dalla connessione
358. nti di automonitoraggio 1 Accedereal server CA User Activity Reporting Module 2 Selezionare la scheda Rapporti 3 Fare clic sulla scheda Sistema e selezionare il rapporto Dettagli eventi di automonitoraggio Verr caricato il rapporto sull evento di automonitoraggio 4 Verificare che gli eventi di automonitoraggio per l accesso effettuato e altre azioni di configurazione preliminari siano presenti nel rapporto 84 Guida all implementazione Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS E possibile eseguire l aggiornamento di agenti e server CA User Activity Reporting Module per il supporto FIPS mediante il servizio di sottoscrizione Il processo di aggiornamento presuppone che m CA User Activity Reporting Module r12 1 sia installato o aggiornato a tale versione dalla versione r12 0 SP3 L utente desidera attivare la modalit FIPS per la federazione CA User Activity Reporting Module Per aggiornare i server procedere come segue Upgrade CA EEM z Server for FIPS Support Upgrade all CA Enterprise Log Upgrade Agents to Manager Servers 112 1 SP1 112 1 SP1 to r12 1 SP1 Disable ODBC and JDBC Access to the Event Log Store Enable FIPS Mode on secondary CA Enterprise Log Manager Servers Verify Agents Running Event 3 Receipt Capitolo 3 Installa
359. nti e certificati degli agenti 62 informazioni sugi agenti astierante nie anale aerei e ire 63 Informazioni sulle integrazioni ansie rasi ana ei iii ee 64 informazioni sui connettori asia ee eee 65 Dimensionamento della rete CA User Activity Reporting Module i 67 Sommario 5 Capitolo 3 Installazione di CA User Activity Reporting Module 69 Nozioni fondamentali sull ambiente CA User Activity Reporting Module iii 69 Creazione dei DVD di installazione aaa 71 Installazione si un server CA User Activity Reporting Module i 72 Foglio di lavoro del server CA User Activity Reporting MOdUle 73 Installazione di CA User Activity Reporting Module i 79 Verifica dell esecuzione del processo iGateway ii 80 Verifica dell installazione del server CA User Activity Reporting ModuUle 83 Visualizzazione degli eventi di automonitoraggi0 i 84 Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FP ies eka ii 85 Prerequisiti per l aggiornamento del supporto FIPS u i 87 Linee guida sull aggiornamento i 88 Aggiornamento di un server CA EEM remoto ii 89 Disabilitare l accesso ODBC e JDBC al deposito eventi di 10g i 89 Abilitare operazioni di modalit FIPS sa einen 89 Visualizzare il dash
360. nvii i propri eventi a tale porta 110 Guida all implementazione Installazione del client ODBC Per reindirizzare il traffico degli eventi attraverso un firewall 1 2 Effettuare l accesso come utente principale Accedere a un prompt dei comandi Immettere un comando per reindirizzare le porte per il firewall specifico Un esempio delle immissioni da riga di comando per lo strumento di filtraggio del pacchetto netfilter iptables in esecuzione su un sistema operativo Red Hat Linux assomiglia a quanto segue chkconfig level 345 iptables on iptables t nat A PREROUTING p udp dport 514 j REDIRECT to lt nuovaporta gt service iptables save Sostituire il valore della variabile lt nuovaporta gt con un numero di porta disponibile superiore a 1024 Per altre implementazioni fare riferimento alle istruzioni per la gestione delle porte fornite dal produttore del firewall Installazione del client ODBC Prerequisiti L installazione di un client ODBC sui sistemi Windows comprende i seguenti passaggi 1 Ul Re di N Verificare di disporre dei permessi necessari e ottenere un codice licenza per il driver del client ODBC prerequisiti Installazione del client ODBC Creare un origine dati tramite l utilit Windows Data Source ODBC Configurare i dettagli di connessione per il client ODBC Verificare la connessione al database L accesso di ODBC all archivio registro eventi disponibile solo in CA User Ac
361. o Per creare un nuovo utente 1 Accedere al server CA User Activity Reporting Module come utente predefinito EiamAdmin Verra visualizzata la scheda Amministrazione e la sottoscheda Gestione utenti e accessi Fare clic su Utenti nel riquadro sinistro Fare clic su Nuovo utente a sinistra della cartella Utenti Sul lato destro della finestra viene visualizzata la schermata contenente i dettagli del nuovo utente Digitare un nome utente nel campo Nome utente nomi utente non effettuano la distinzione tra maiuscole e minuscole Fare clic su Aggiungi informazioni su utente applicazione Selezionare il ruolo associato alle attivita che verranno eseguite da questo utente Utilizzare il controllo pilota per spostarlo nell elenco Gruppi utente selezionati Fornire i valori dei campi rimanenti nella schermata come necessario E necessario fornire una password che distingua maiuscole e minuscole con conferma nella casella del gruppo di autenticazione Fare clic prima su Salva quindi su Chiudi Ulteriori informazioni Assegnazione di un ruolo a un utente globale a pagina 142 Capitolo 4 Configurazione di utenti e accessi di base 141 Creazione del primo amministratore Assegnazione di un ruolo a un utente globale possibile eseguire la ricerca di un account utente esistente ed assegnare il gruppo utenti dell applicazione al ruolo che si desidera venga eseguito Se si fa riferimento a un archivio utente esterno la ricer
362. o accettabile preferibile configurare un proxy di sottoscrizione in linea e fare operare il proxy predefinito come proxy failover o ridondante buona prassi assegnare il ruolo di proxy in linea al server meno attivo Esempio sei server di cui il server meno occupato il proxy di sottoscrizione in linea Considerare uno scenario di sei server CA Enterprise Log Manager Il server di gestione dedicato all autenticazione e all autorizzazione degli utenti all accesso e all archiviazione del contenuto delle applicazioni Quattro server federati gestiscono l elaborazione e i rapporti di eventi Un sesto server costituisce un punto di ripristino dedicato per l analisi degli eventi dai database ripristinati Uno dei vantaggi di un punto di ripristino dedicato che possibile impedire l inclusione dei dati vecchi nei rapporti correnti non includendo questo server nella federazione In questo esempio i due server di raccolta e rapporto rappresentano una configurazione con requisiti di elaborazione particolarmente elevati Questi server sono federati in una configurazione gerarchica in cui il server di raccolta figlio del server di notifica due server che agiscono come server di raccolta e rapporto rappresentano una configurazione con volumi di eventi normali e rapporti pianificati Sono federati tra loro e il server dei rapporti dedicato in una federazione a coppie ossia i tre server sono peer Lo scopo della federazione di server
363. o possibile selezionare come destinazione il Processo CA IT PAM Quando un avviso esegue il processo CA IT PAM CA User Activity Reporting Module invia i dati di avviso a CA IT PAM il quale li inoltra al prodotto di terze parti con i parametri di elaborazione CA IT PAM nell ambito del processo di output evento avviso processo valori dinamici Un processo di valori dinamici un processo CA IT PAM che possibile selezionare per compilare o aggiornare l elenco dei valori di una chiave selezionata utilizzata in rapporti o avvisi Durante la configurazione di IT PAM l utente fornisce il percorso al Processo valori dinamici nell Elenco del servizio dei server di rapporto nella scheda Amministrazione Dopodich l utente fa clic sull elenco Importa valori dinamici nella sezione Valori associata ai Valori principali sulla stessa pagina dell interfaccia utente Richiamare il processo valori dinamici uno dei tre metodi che consentono di aggiungere valori alle chiavi personali Glossario 415 profilo prompt Un profilo un gruppo di tag e di filtri dati opzionale e configurabile che pu essere specifico del prodotto della tecnologia o limitato ad una data categoria Un filtro tag di un prodotto ad esempio limita i tag elencati a quelli del prodotto specificato filtri dati di un prodotto visualizzano nei rapporti generati dall utente negli avvisi pianificati e nei risultati delle query solo i dati per il prodotto specificato Do
364. o Tipo backup Incremental v Frequenza Hourly v 4 a Y E Ora di inizio in formato 24 ore Utente EEM Password EEM Server Remoto Utente Remoto Posizione remota Administratori eR oo NY Reporting ELM caelmservice fopt CA LogManager v Server ELM remoto Capitolo 5 Configurazione dei servizi 169 Configurazione dell archivio registro eventi 4 Selezionare il server di rapporto dall Elenco servizi Elenco servizi Mostra servizi per Servizio Host Se Configurazione globale v Archivio di registro eventi Nv collection ELM nv Reporting ELM gt Server di rapporto gt modulo di sottoscrizione 5 Specificare l archiviazione automatica giornaliera e come destinazione il server remoto utilizzato come archivio Inserire le credenziali di un account utente con ruolo di amministratore Facoltativo Creare un criterio di accesso a CALM con l azione di modifica sulla risorsa database e assegnare un utente come identit Inserire qui le credenziali di questo utente dai privilegi limitati Auto Archive iV Attivato Tipo backup Incremental v Frequenza Daily v Ora di inizio in formato 24 ore i C Utente EEM Administratori Password EEM okok Server Remoto NY Storage Svr Utente Remoto caelmservice Posizione remota opt CA LogManager LI Server ELM remoto 170 Guida all implementazione Configurazione dell archivio
365. o Se si seleziona SNMP versione 3 fare clic sul pulsante Protezione V3 per impostare l autenticazione o la crittografia nella finestra Parametri di protezione Immettere le informazioni appropriate nei campi Server di destinazione e Porta di destinazione per identificare la destinazione degli eventi trasmessi tramite SNMP Facoltativo Selezionare un altra riga Server di destinazione Porta di destinazione e immettere un altra coppia di valori server porta Aggiungere le altre destinazioni desiderate oppure fare clic su Salva e chiudi 186 Guida all implementazione Considerazioni sul servizio incidenti Considerazioni sul servizio incidenti possibile controllare il modo in cui il servizio incidenti archivia gli eventi e crea gli incidenti per un server CA User Activity Reporting Module selezionato possibile impostare i valori seguenti Data di scadenza Specificare per quanti giorni il servizio conserva gli incidenti nel database incidenti Se il valore 0 gli eventi non vengono mai eliminati Gli incidenti scaduti non vengono visualizzati Limite di generazione incidente Specifica la frequenza con cui una singola regola di correlazione pu creare incidenti consentendo di ridurre gli incidenti multipli indesiderati Per gli scopi dei limiti di generazione incidente le diverse versioni di una stessa regola vengono considerate regole separate Di conseguenza se nell ambiente sono state applicate pi versioni di una
366. o considerare lo scenario in cui si vogliono dati consolidati utilizzando tre tipi di raggruppamenti di server Tutti i server Per i rapporti di sistema sugli eventi di automonitoraggio l inclusione di tutti i server permette di valutare la salute dell intera rete di server CA User Activity Reporting Module in una volta sola Tutti i server di rapporto Per i rapporti di riepilogo e delle tendenze in cui si desidera esaminare i dati raccolti da tutti gli agenti che inviano dati a tutti i server di raccolta evitando che i server di raccolta elaborino le query sui nuovi eventi hot necessario eseguire rapporti federati che comprendono solo i server di rapporto Un set di server di raccolta con il relativo server di rapporto Per i rapporti in cui si desidera che i dati siano limitati in locale con un server di rapporto ma in cui il rapporto deve comprendere gli eventi non ancora inviati a tale server dai relativi server di raccolta necessario eseguire rapporti federati su questo sottoinsieme di server A seguire un esempio di mappa di federazione che permette di soddisfare questi obiettivi dei rapporti 34 Guida all implementazione Pianificazione di una federazione LEGENDA Ruolo del server Tipo di federazione _ Server di gestione Padre J _ dp Server di raccolta Figlio Server di rapporto gerarchica a coppie Per implementare la realizzazione di questa mappa di federazione necessario intrapren
367. o di federazione a coppie ii 227 Configurazione di una federazione CA User Activity Reporting MOdUle i 228 Configurazione di un server CA User Activity Reporting Module come server figlio 228 Visualizzazione del grafico di una federazione e monitoraggio dello stato del server 229 Capitolo 8 Lavorare con la libreria di perfezionamento eventi 231 Informazioni sulla libreria di perfezionamento eventi ii 231 Supporto di nuove fonti eventi con la libreria di perfezionamento eventi i 232 File dimapping e analisi eis na ada ea Re I 232 Appendice A Considerazioni per gli utenti CA Audit 235 Comprendere le differenze delle architetture iii 235 Architettura di CA AUdit inaa aaa 237 Architettura di CA User Activity Reporting Module i 238 Architettura Mtep Itaco osain iaa E TETANO EER OAR 240 Configurazione degli adattatori CA TechnologieS i 241 Informazioni su SAPI Router e Collector i 242 Informazioni sul plug in eventi iTechnology 245 Invio di eventi CA Audit a CA User Activity Reporting MOdUlEe i 246 Configurazione di iRecorder per inviare eventi a CA User Activity Reporting Module 246 Modifica di criteri CA Audit esistenti per inviare eventi a CA User Activity Reporting Module 248 Modifica di un cr
368. o sia In esecuzione Integrazione Stato Connettore Agente Gruppo agenti Piattaforma H In esecuzione MS_S L_Server_2005_Connettore my elm Default Agent Group Linux _X86_32 MS_SGL_Server_2005 Capitolo 6 Configurazione della raccolta eventi 213 Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor 12 Selezionare il connettore e fare clic su In esecuzione per visualizzare i dettagli della raccolta eventi Nota inoltre possibile eseguire un rapporto per visualizzare i dati del database Verificare che l agente predefinito stia eseguendo la raccolta degli eventi dall origine evento di destinazione 1 Selezionare la scheda Query e rapporti Viene visualizzata la sottoscheda Query 2 Espandere Prompt in Elenco query e selezionare Connettore 3 Immettere il nome del connettore e fare clic su Vai a Gli eventi raccolti vengono visualizzati primi due eventi visualizzati sono di tipo interno Gli eventi successivi corrispondono agli eventi raccolti dalla tabella di traccia MS SQL configurata dall utente Nota se gli eventi previsti non vengono visualizzati fare clic su Filtri globali e Impostazioni dalla barra degli strumenti principale impostare l intervallo di tempo su Nessun limite quindi salvare le impostazioni 4 Facoltativo Selezionare Mostra eventi non elaborati ed esaminare la stringa risultato dei primi due eventi La stringa risultato viene visualizzata alla fine de
369. o un modulo mentre tutti gli aggiornamenti binari dello sponsor ne costituiscono un altro CA a definire ci che costituisce ogni modulo modulo di sottoscrizione Un modulo di sottoscrizione un servizio che consente di scaricare automaticamente dal server di sottoscrizione CA Technologies gli aggiornamenti di sottoscrizione e di distribuirli a tutti i server e agli agenti CA User Activity Reporting Module Le impostazioni globali si applicano ai server locali di CA User Activity Reporting Module Le impostazioni locali indicano se un server sia un proxy non in linea in linea oppure un client di sottoscrizione Glossario 413 nome utente EiamAdmin OID origine evento EiamAdmin il nome predefinito del super utente assegnato all installatore dei server di CA User Activity Reporting Module Nell installare il primo software di CA User Activity Reporting Module l installatore crea una password per questo account di super utente a meno che non esista gi un server remoto di CA EEM In questo caso l installatore deve inserire la password esistente Dopo aver installato l applicazione software l installatore dovr aprire un browser da una workstation inserire l URL di CA User Activity Reporting Module ed accedere come EiamAdmin utilizzando la password associata Questo primo utente imposta l archivio utente crea i criteri di password ed il primo account utente con ruolo di amministratore Facoltativamente l utente EiamAdmin pu
370. ocessi correlati Configurazioni server CA User Activity Reporting Module iniziali Descrizione Porta TCP predefinita utilizzata per le comunicazioni tra i driver ODBC o JDBC e il deposito eventi di log di CA User Activity Reporting Module Porta TCP usata per le comunicazioni dal bus messaggi Qpid per gli agenti r12 1 Porta TCP usata per il servizio Dispatcher sull host locale dell agente per l ascolto degli eventi di automonitoraggio tra i processi dell agente Porta TCP usata per il servizio Dispatcher sull host locale dell agente per l ascolto degli eventi tra i processi dell agente Porte UDP per la raccolta eventi assegnate dalla mappatura delle porte possibile configurare il router e il collector SAPI per utilizzare qualsiasi valore di porta fisso superiore a 1024 La seguente tabella rappresenta un elenco dei processi eseguiti come parte di un implementazione CA User Activity Reporting Module L elenco non include processi di sistema relativi al sistema operativo sottostante Process Name Porta predefinita Descrizione caelmagent 6789 17001 Questo il processo dell agente CA User Activity Reporting Module caelmconnector Dipende da ci che Questo il processo del connettore CA User ascolta o a cui si Activity Reporting Module Sar presente un connette altro processo del connettore separato in caelmdispatcher esecuzione per ogni connettore configurato su un agente Questo processo CA User Activity Reporting
371. odalit Se si sceglie di utilizzare un server CA EEM remoto necessario selezionare la modalit utilizzata dal server remoto CA EEM Aggiunta di server virtuali all ambiente a pagina 333 Creazione di un ambiente completamente virtuale a pagina 356 Distribuzione rapida di server virtuali a pagina 381 Appendice E CA User Activity Reporting Module e virtualizzazione 375 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Richiamare lo strumento OVF dalla riga di comando Nota necessario installare lo strumento OVF 1 0 0 0 prima di eseguire l installazione invisibile all utente Per ulteriori informazioni sullo strumento OVF consultare la Guida per l utente dello strumento OVF oppure visitare il sito www vmware com Per richiamare lo strumento OVF necessario passare i parametri di configurazione come argomenti della riga di comando Nota si consiglia di utilizzare una configurazione di distribuzione media per effettuare il provisioning di un server di raccolta e una configurazione di distribuzione estesa per effettuare il provisioning di un server di rapporto consigliabile anche utilizzare il metodo di distribuzione thick come descritto nella documentazione VMware Per richiamare lo strumento OVF dalla riga di comando 1 Aprire il prompt dei comandi sul computer in cui installato VMware vSphere Client 2 Perrichiamare lo strumento OVF eseguire il seguente comando ovfto
372. ogni tipo di criterio predefinito utilizzando la funzione Esporta possibile copiare questi file su un supporto esterno o lasciarli sul disco del server su cui stata avviata l esportazione Nota per procedure relative al backup di criteri predefiniti vedere la Guida all amministrazione di CA User Activity Reporting Module Capitolo 4 Configurazione di utenti e accessi di base 139 Creazione del primo amministratore Creazione del primo amministratore Al primo utente creato deve essere assegnato il ruolo di amministratore Solo gli utenti a cui assegnato il ruolo di amministratore possono eseguire la configurazione possibile assegnare il ruolo di amministratore a un nuovo account utente creato o a un account utente esistente recuperato in CA User Activity Reporting Module Utilizzare la seguente procedura 1 Accederealserver CA User Activity Reporting Module come utente predefinito EiamAdmin 2 Creare il primo amministratore Il metodo che si utilizza per creare il primo amministratore di CA User Activity Reporting Module dipende dalla configurazione dell archivio utente Se si configura CA User Activity Reporting Module per utilizzare l archivio utente interno si crea un nuovo account utente con ruolo di amministratore Se si configura CA User Activity Reporting Module per utilizzare un archivio utente esterno si deve utilizzare un utente LDAP esistente per il bind della directory Una volta eseguito il bind a
373. ol dm thick acceptAllEulas name value deploymentOption value prop ROOT PASSWORD value prop LOCAL REMOTE EEM value prop REMOTE EEM LOCATION value prop EEM PASSWORD value prop FIPS MODE value prop IP_ADDRESS value prop SUBNET MASK value prop HOSTNAME value prop DEFAULT GATEWAY value prop DNS SERVERS value prop DOMAIN NAME value prop TIMEZONE value prop NTPLOCATION value lt OVF_Name ovf gt vi username password hostname of VMware vSphere Client Datacenter host host name Viene visualizzato il messaggio Opening VI target Apertura destinazione VI in corso Viene visualizzato lo stato di distribuzione del server CA User Activity Reporting Module Se l installazione viene completata correttamente il server CA User Activity Reporting Module viene visualizzata nel centro dati selezionato nel riquadro sinistro Note se il valore di una propriet contiene spazi racchiudere il valore tra virgolette doppie Ad esempio se il nome OVF CA ELM immettere il valore come CA ELM ovf Per ulteriori informazioni sullo strumento OVF consultare la Guida per l utente dello strumento OVF Esempio 376 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali ovftool dm thick acceptAllEulas name example server deploymentOption medium prop ROOT PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE EEM LOCATION none pr
374. omatica 153 Spostamento del database e diagramma di flusso delle strategie di bacKUp 154 Configurazione dell autenticazione non interattiva per archiviazione automatica 156 Esempio Configurazione dell autenticazione non interattiva per hub e spoke 157 Esempio Configurazione dell autenticazione non interattiva tra tre server 166 Esempio archiviazione automatica fra tre Server i 167 Impostazioni archivio registro eventi nell ambiente di base ii 173 Impostazione delle opzioni dell archivio registro eventi 176 Configurazione del servizio di correlazione i 177 Applicazione di regole di correlazione e notifiche di incidente iii 177 Utilizzo di regole di correlazione predefinite iii 178 Impostazione dei server di raccolta iii 182 Come progettare e applicare le notifiche di incidente i 183 Come creare una notifica di destinazione iii 184 Considerazioni sul servizio incidenti esseen 187 Considerazioni su ODBE SErveri siiin ia 188 Considerazioni sul server di rapporto ii 189 Configurazione della sottoscrizione i 190 Configurazione di un proxy di sottoscrizione in linea i 191 Configurazione di un proxy di sottoscrizione
375. ome appare nell elenco dei server disponibili della federazione possibile eseguire questa procedura tutte le volte che necessario per creare la struttura federata desiderata 228 Guida all implementazione Configurazione di una federazione CA User Activity Reporting Module Per configurare un server CA User Activity Reporting Module come server figlio 1 Eseguire l accesso a uno dei server CA User Activity Reporting Module registrato con lo stesso nome dell istanza dell applicazione degli altri nella federazione desiderata Fare clic sulla scheda Amministrazione e selezionare la sottoscheda Servizi Espandere la cartella del servizio archivio registro eventi e selezionare il nome del server CA User Activity Reporting Module genitore Scorrere verso il basso fino all elenco Figlio della federazione Selezionare uno o pi nomi di server da configurare come figli del server genitore dai server presenti nell elenco Disponibile Utilizzare i pulsanti a forma di freccia per spostare le selezioni nell elenco dei server selezionati server CA User Activity Reporting Module selezionati e spostati nell elenco sono ora figli federati del server genitore Ulteriori informazioni Selezione dell utilizzo di query federate a pagina 150 Visualizzazione del grafico di una federazione e monitoraggio dello stato del server possibile visualizzare un grafico che mostra i server CA User Activity Reporting Module nell ambiente
376. on altri prodotti CA Technologies Il server CA EEM offre la propria interfaccia web Tuttavia quasi tutte le attivit di configurazione e manutenzione avvengono all interno dell interfaccia utente CA User Activity Reporting Module Normalmente non necessario interagire con le funzioni server CA EEM eccetto per configurazioni failover e per le funzioni di backup e ripristino che fanno parte del ripristino di emergenza Nota l installazione del server CA User Activity Reporting Module richiede l utilizzo della password per l account di amministrazione predefinito CA EEM EiamAdmin per una registrazione corretta di un server CA User Activity Reporting Module Quando si installa il primo server CA User Activity Reporting Module di gestione si crea questa nuova password come parte dell installazione Quando si installano server CA User Activity Reporting Module successivi utilizzando lo stesso nome di istanza dell applicazione si crea automaticamente un ambiente di rete in cui successivamente possibile configurare relazioni di federazione tra i server CA User Activity Reporting Module Linee guida per la raccolta dei registri Considerare le seguenti linee guida di raccolta dei registri durante la fase di pianificazione m traffico dall agente al server CA User Activity Reporting Module sempre crittografato sia che utilizzi la raccolta dei registri senza agente che basata su un agente Considerare l utilizzo di un meccanismo
377. one per impostazione predefinita svolto dal primo server CA User Activity Reporting Module che si installa Il server di gestione esegue queste funzioni principali Opera come repository comune per tutti i server che si registrano con questo server Nello specifico archivia gli utenti delle applicazioni i gruppi di applicazioni ruoli i criteri i calendari e gli AppObjects Se si configura l archivio utente come archivio interno archivia gli utenti globali i gruppi globali e i criteri delle password Se l archivio utente configurato un riferimento a un archivio utente esterno carica i dettagli dell account dell utente globale e i dettagli del gruppo globale dall archivio utente di riferimento Gestisce le autorizzazioni degli utenti con un file ad alta velocit mappato nella memoria Autentica gli utenti all accesso in base alla configurazione di utenti e gruppi Autorizza gli utenti ad accedere a varie parti dell interfaccia utente in base a criteri e calendari Riceve tutti gli aggiornamenti di contenuti e configurazioni scaricati attraverso la sottoscrizione Pu essere presente solo un server di gestione attivo in una rete CA User Activity Reporting Module di server ma possibile disporre di un server di gestione failover inattivo Se si crea pi di una rete CA User Activity Reporting Module ognuna deve disporre del proprio server di gestione attivo Capitolo 2 Pianificazione dell ambiente 19 Pianificazione se
378. one Per l archiviazione automatica configurare l autenticazione non interattiva I server di federazione sono server CA User Activity Reporting Module collegati l un l altro nella rete per distribuire la raccolta dei dati di registro ma aggregando i dati raccolti in modo da creare un rapporto server di federazione possono essere collegati tramite una topologia gerarchica o a coppie rapporti dei dati federati comprendono quelli provenienti dal server di destinazione oltre a quelli provenienti dai figli o dai peer di tale server se presenti Il server di gestione un ruolo assegnato al primo server CA User Activity Reporting Module installato Questo server CA User Activity Reporting Module contiene il repository che contiene i contenuti condivisi per tutti i CA User Activity Reporting Module come ad esempio i criteri Tale server di solito il proxy predefinito di sottoscrizione Il server di gestione pu ricoprire tutti i ruoli anche se si tratta di una pratica sconsigliata per la maggior parte degli ambienti di produzione Un server di raccolta un ruolo ricoperto da un server CA User Activity Reporting Module Il server di raccolta rifinisce i registri evento in arrivo e li inserisce nel database hot Fatto ci comprime ed archivia automaticamente o copia tale database nel server di rapporto correlato Il server di raccolta comprime il database hot quando esso raggiunge le dimensioni configurate e lo archivia automaticament
379. one delle destinazioni di posta elettronica a pagina 185 Impostazione di una destinazione di processo a pagina 185 Impostazione di destinazioni SNMP a pagina 186 Impostazione delle destinazioni di posta elettronica possibile impostare destinazioni di posta elettronica per le notifiche per informare il personale appropriato di incidenti relativi al relativo ruolo o responsabilit Per impostare le destinazioni di posta elettronica 1 Aprire la procedura guidata di gestione delle destinazioni di notifica 2 Impostare i dettagli di identificazione e procedere al passaggio Notifiche 3 Fare clic sulla scheda Posta elettronica e selezionare Attiva notifica tramite posta elettronica 4 Inserire almeno un indirizzo di posta elettronica destinatario possibile inserire pi indirizzi separati da virgole 5 Facoltativo Immettere l indirizzo di posta elettronica di origine nel campo Da 6 Aggiungere le altre destinazioni desiderate oppure fare clic su Salva e chiudi Impostazione di una destinazione di processo possibile impostare un processo IT PAM come destinazione di notifica La notifica passa le informazioni di incidente CA User Activity Reporting Module a CA ServiceDesk o ad applicazioni di terze parti che utilizzano IT PAM possibile impostare una destinazione di processo identificando un processo IT PAM valido possibile definire le informazioni di incidente che costituiranno i parametri di processo uti
380. one di volumi di eventi necessari ed esigenze aziendali di separazione e rapporti sui dati dei registri CA User Activity Reporting Module supporta federazioni gerarchiche e a coppie e configurazioni che fondono i due tipi Tutti i server CA User Activity Reporting Module che si vuole federare devono utilizzare lo stesso nome di istanza dell applicazione in CA EEM Ogni installazione di server CA User Activity Reporting Module si registra automaticamente con il CA EEM utilizzando un nome di istanza dell applicazione possibile configurare una federazione in qualsiasi momento dopo avere installato il primo server CA User Activity Reporting Module e almeno un server aggiuntivo Tuttavia i migliori risultati si ottengono dalla pianificazione della federazione prima dell installazione La creazione di una mappa dettagliata della federazione aiuta a completare rapidamente e con precisione le attivit di configurazione A livello della rete disporre di diversi server CA User Activity Reporting Module permette di gestire volumi maggiori di eventi Da una prospettiva del rapporto l utilizzo di una federazione permette di controllare chi pu accedere ai dati degli eventi e quanti di questi dati possibile visualizzare Capitolo 2 Pianificazione dell ambiente 31 Pianificazione di una federazione In un ambiente di base costituito da due server il server di gestione assume il ruolo di server di rapporto Il server CA EEM interno sul server di ge
381. one esterna come SAP BusinessObjects Crystal Reports Da questa area di configurazione possibile eseguire le seguenti attivita m Abilitare o disabilitare l accesso di ODBC e di JDBC al deposito eventi di log Impostare la porta di servizio utilizzata per le comunicazioni fra il client ODBC o JDBC ed il server CA User Activity Reporting Module m Specificare se le comunicazioni fra il client ODBC o JDBC e CA User Activity Reporting Module sono crittografate Le descrizioni dei campi sono le seguenti Abilita servizio Indica se i client ODBC o JDBC possono accedere ai dati nel deposito eventi di log Selezionare questa casella di controllo per abilitare l accesso esterno agli eventi Deselezionare la casella di controllo per disabilitare l accesso esterno Il servizio ODBC non attualmente compatibile con FIPS Deselezionare questa casella di controllo per prevenire l accesso di ODBC e JDBC in caso di esecuzione in modalit FIPS In questo modo viene evitato l accesso non conforme ai dati evento Se si desidera disabilitare i servizi ODBC e JDBC per eseguire operazioni in modalit FIPS assicurarsi di impostare questo valore per ogni server di una federazione Porta di ascolto del server Specifica il numero di porta utilizzato dai servizi ODBC o JDBC Il valore predefinito 17002 Il server CA User Activity Reporting Module rifiuta i tentativi di connessione quando specificato un valore diverso nella stringa di origine dati
382. one per l esecuzione automatica in base alla pianificazione di sottoscrizione impostata inoltre possibile eseguire aggiornamenti di sottoscrizione su richiesta mediante l avvio manuale del processo di aggiornamento Il diagramma riportato di seguito fornisce una descrizione dettagliata del processo del servizio di sottoscrizione Server di sottoscrizione CA Server di gestione CA Enterprise i Log Manager Client sottoscrizioni CA Enterprise Log Manager Server proxy Server proxy di HTTP sottoscrizione in linea locale CA Enterprise Log Manager Capitolo 2 Pianificazione dell ambiente 49 Pianificazione aggiornamento sottoscrizioni 1 Il server proxy di sottoscrizione contatta il server di sottoscrizione CA Technologies possibile configurare i server proxy affinch contattino il server di sottoscrizione direttamente oppure tramite il proxy HTTP locale proxy contattano il server di sottoscrizione CA Technologies automaticamente in base alla pianificazione impostata oppure su richiesta con l avvio manuale dell aggiornamento Il server proxy scarica ed installa automaticamente gli aggiornamenti del sistema operativo e del prodotto Se si utilizza una sottoscrizione non in linea eseguire il download manuale dei file di aggiornamento su un sistema separato dall ambiente CA User Activity Reporting Module e copiare i file nel server proxy non in linea 2 Il server proxy di sottoscrizione invia gli aggiornamenti de
383. onfigurato o disponibile Per impostazione predefinita i server CA User Activity Reporting Module sono configurati come client di sottoscrizione possibile modificare la configurazione di qualsiasi server CA User Activity Reporting Module per convertirlo in proxy di sottoscrizione in linea o non in linea oppure in client di sottoscrizione Inoltre possibile impostare qualsiasi proxy di sottoscrizione in linea dell ambiente come il proxy di sottoscrizione predefinito Il server del contenuto fornisce gli aggiornamenti di contenuto e di integrazione al server di gestione il quale archivia e recupera il contenuto dell applicazione per l ambiente in uso Tale server pu corrispondere al proxy di sottoscrizione predefinito oppure possibile configurare qualsiasi proxy di sottoscrizione in linea dell ambiente come server del contenuto In un ambiente a server unico solo il server CA User Activity Reporting Module viene configurato come proxy di sottoscrizione Il server esegue il download e l installazione automatica degli aggiornamenti CA User Activity Reporting Module attraverso il servizio di sottoscrizione Il server funge inoltre come server del contenuto per l ambiente In un ambiente di piccole dimensioni con due o pi server possibile configurare un server sia come proxy di sottoscrizione e server del contenuto e tutti gli altri server come client di sottoscrizione possibile impostare il proxy di sottoscrizione predefinito per
384. onnections Successfully attached to source My Audit_DSN No starting ENTRYID specified using minimum ENTRYID of 1 Import preview running please wait eTrust AC 143762 Last EntryId processed 101234500 Successfully detached from source My Audit DSN Exiting Import Per visualizzare in anteprima i risultati notare che presente un numero abbastanza ampio di eventi CA Access Control da importare Supponiamo per questo esempio che sia necessario importare solamente gli eventi verificatisi in un periodo di due mesi possibile adattare il comando di anteprima per importare un gruppo pi piccolo di eventi in base alla data 282 Guida all implementazione Importazione di eventi CA Access Control da un database di raccolta CA Audit 2 Modificare i parametri di importazione per includere un intervallo di date ed eseguire nuovamente l anteprima con il seguente comando LMSeosImport exe dsn My Audit DSN user sa password sa target My CA ELM Server log eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 preview Il comando amended mostra informazioni come le seguenti Import started on Fri Jan 2 15 41 23 2009 No transport specified defaulting to SAPI Preparing ODBC connections Successfully attached to source My Audit_DSN No starting ENTRYID specified using minimum ENTRYID of 1 Import preview running please wait eTrust AC 2349 Last EntryId processed 5167810102 Suc
385. onsole della finestra del client VMware vSphere viene visualizzato un URL di accesso a CA User Activity Reporting Module Utilizzare l URL e le credenziali di accesso predefinito riportate di seguito per accedere a CA User Activity Reporting Module Nome utente predefinito EiamAdmin Password predefinita la password immessa durante la procedura di installazione del server CA User Activity Reporting Module Ulteriori informazioni Aggiunta di server virtuali all ambiente a pagina 333 Creazione di un ambiente completamente virtuale a pagina 356 Distribuzione rapida di server virtuali a pagina 381 Creazione di un ambiente completamente virtuale Se non gi stato implementato un ambiente CA User Activity Reporting Module possibile creare un ambiente di raccolta log completamente virtuale Questo scenario d per scontato che sia disponibile un numero sufficiente di server ognuno con un gruppo i almeno quattro processori per installare ognuno dei server CA User Activity Reporting Module pianificati 356 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Installare un server CA User Activity Reporting Module per il funzionamento come server di gestione Durante la configurazione non inviare registri di eventi a questo server o utilizzare questo server per generare rapporti Configurando l ambiente in questo modo verr mantenuta la velocit di raccolta dei log eventi
386. op EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example serverl prop DEFAULT GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Configurazione delle impostazioni di risorsa Dopo aver importato il modello OVF necessario definire manualmente le impostazioni della risorsa per migliorare le prestazioni del server CA User Activity Reporting Module di cui stato eseguito il provisioning Nota assicurarsi di impostare l unit CD DVD per dispositivo client Procedere come descritto di seguito 1 Fare clic con il pulsante destro del mouse sulla nuova applicazione virtuale di CA User Activity Reporting Module nel riquadro sinistro quindi sull opzione di modifica impostazioni Viene visualizzata la finestra lt CA User Activity Reporting Module Virtual Appliance name gt Virtual Machine Properties Propriet del computer virtuale lt CA User Activity Reporting Module Virtual Appliance name gt 2 Fare clic sulla scheda Opzioni 3 Fare clic sulla scheda Risorse 4 Selezionare l opzione CPU nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource a
387. ortazione con parametri specifici di CA Access Control Importazione degli eventi di CA Access Control Esecuzione di query e rapporti CA User Activity Reporting Module sugli eventi importati Appendice B Considerazioni per gli utenti CA Access Control 277 Importazione di eventi CA Access Control da un database di raccolta CA Audit Prerequisiti per l importazione di eventi CA Access Control Prima di utilizzare l utilit LMSeosImport eseguire quanto segue Ottenere un account utente di database con almeno accesso IN LETTURA alla tabella SEOSDATA CA Audit m Copiare l utilit LMSeosImport nel server CA Audit Data Tools m Accedere a un prompt dei comandi nel server Data Tools e navigare alla directory appropriata Solaris opt CA SharedComponents iTechnology Windows Program Files CA SharedComponents iTechnology Copia dell utilit di importazione in un server Windows Data Tools Prima di importare i dati dalla tabella SEOSDATA necessario copiare l utilit LMSeosImport dal DVD ROM di installazione dell applicazione CA User Activity Reporting Module al server degli strumenti dati di Windows Nota l utilit LMSeosImport richiede la presenza delle librerie di collegamento dinamico etsapi e etbase Tali file fanno parte dell installazione di base del server degli strumenti dati Prima di provare ad utilizzare l utilit LMSeosImport assicurarsi che la directory Program Files CA eTrust Audit bin sia inclusa nell istruzio
388. ortazione effettivo 258 Guida all implementazione Importazione di dati da una tabella SEOSDATA Per visualizzare un rapporto delle informazioni dell evento SEOSDATA corrente in Windows 1 Accedere a un prompt dei comandi sul server CA Audit Data Tools 2 Andare alla directory Program Files CA SharedComponents iTechnology 3 Inserire il seguente comando LMSeosImport dsn eAudit DSN user sa password sa target lt nome host Log Manager gt report La visualizzazione del rapporto generato simile al seguente esempio SEOSProcessor InitOdbc successfully attached to source eAudit DSN Minimum TIME Maximum TIME 2007 08 27 2007 10 06 com ca iTechnology iSponsor 3052 EiamSdk 1013 NT Application 776 NT System 900 Minimum ENTRYID 1 Maximum ENTRYID 5741 Report Completed Anteprima dei risultati dell importazione possibile eseguire un importazione di prova con output in STDOUT per visualizzare in anteprima i risultati dell importazione senza importare o trasferire realmente i dati Si tratta di un buon metodo per provare i parametri della riga di comando immessi per un trasferimento singolo o per un importazione in batch che si verifica regolarmente Appendice A Considerazioni per gli utenti CA Audit 259 Importazione di dati da una tabella SEOSDATA Per eseguire un importazione di prova al fine di visualizzare in anteprima i risultati dell importazione 1 2 Accedere a un prompt dei
389. orting Module con l utility LMArchive Fatto ci il database sottoposto a backup passer dall archivio registro eventi all archivio a lungo termine Un archivio utente il repository delle informazioni utente e dei criteri di password globali Per impostazione predefinita l archivio utente di CA User Activity Reporting Module il repository locale possibile anche configurarlo in modo da fare riferimento a CA SiteMinder o ad una directory LDAP supportata come Microsoft Active Directory Sun One o Novell eDirectory Indipendentemente dal modo in cui si configura l archivio utente il repository locale sul server di gestione contiene informazioni specifiche di applicazione sugli utenti come ad esempio il ruolo utente e i criteri di accesso associati Autenticazione ssh non interattiva L autenticazione non interattivaabilita lo spostamento dei file da un server all altro senza dover immettere una passphrase per l autenticazione Impostare l autenticazione non interattiva dal server di origine al server di destinazione prima di configurare l archiviazione automatica o di utilizzare lo script restore ca elm sh 398 Guida all implementazione avviso Un avviso un processo pianificato di query che possibile utilizzare per individuare le violazioni di criterio le tendenze di utilizzo gli schemi di accesso e le altre informazioni che richiedono attenzione a breve termine Per impostazione predefinita quando la query di avviso resti
390. orting Module senza forzare nessuno di essi a superare il carico di lavoro costante normale Per mantenere prestazioni di picco con volumi di eventi a livello aziendale si consiglia di installare almeno due server CA User Activity Reporting Module federati m Un server di rapporto CA User Activity Reporting Module che si occupa di query e rapporti gestione di awisi aggiornamenti delle sottoscrizioni e autenticazione e autorizzazione degli utenti m Uno o pi server di raccolta CA User Activity Reporting Module configurati specificamente per massimizzare gli inserimenti nel database La seguente illustrazione rappresenta un semplice esempio di questo tipo di rete CA User Activity Reporting Module federata Due server CA User Activity Reporting Module uno dedicato ai rapporti e l altro alla raccolta gestiscono il traffico degli eventi da una serie di origini Entrambi i server possono condividere dati tra di loro per le query i rapporti e gli avvisi Gestione Rapporti Raccolta N x traffico traffico di Sx di eventi eventi failover normali eventi iTech e SAPI agente JSL origini evento ga Capitolo 2 Pianificazione dell ambiente 27 Pianificazione della raccolta registri Il server di raccolta gestisce innanzitutto il traffico dei registri eventi in ingresso e si focalizza sugli inserimenti nei database Utilizza criteri dimemorizzazione a breve termine dei dati per 24 ore o meno Uno script automatizzato sposta
391. ory di installazione di CA Audit data tools gt odbc ODBCINI lt directory di installazione di CA Audit data tools gt odbc odbc ini Per copiare l utilit 1 Accederea un prompt dei comandi sul server Solaris Data Tools 2 Inserire il DVD ROM di installazione dell applicazione CA User Activity Reporting Module 3 Andare alla directory CA ELM Solaris_sparc 4 Copiare l utilit LMSeosImport nella directory iTechnology di CA Audit Data Tools opt CA SharedComponents iTechnology L utilit pronta per l utilizzo dopo averla copiata nella directory designata e dopo avere impostato le variabili d ambiente necessarie Non necessario eseguire un installazione separata Creazione di un rapporto eventi SEOSDATA per eventi CA Access Control Per stabilire se una tabella SEOSDATA esistente contiene eventi CA Access Controle per decidere sull importazione di un metodo necessario eseguire un rapporto eventi Il nome di accesso per gli eventi di CA Access Control eTrust Access Control Il rapporto elenca tutti gli eventi all interno del database separati dai loro nomi di registro Il modo pi semplice importare eventi di CA Access Control importarli in base al loro nome di registro Appendice B Considerazioni per gli utenti CA Access Control 279 Importazione di eventi CA Access Control da un database di raccolta CA Audit Per creare un rapporto di evento 1 Creare un rapporto di evento in modo che sia possibile visuali
392. ossibile creare un avviso per notificare quando questo avviene attraverso e mail o Feed RSS Quando un database viene ripristinato da un server di archiviazione remoto al server di rapporto originale viene conservato durante un periodo di 3 giorni 72 ore Ulteriori informazioni su ognuno di questi campi e sui rispettivi valori sono disponibili nella guida online Capitolo 5 Configurazione dei servizi 175 Configurazione dell archivio registro eventi Impostazione delle opzioni dell archivio registro eventi La finestra della configurazione dell archivio registro eventi permette di impostare le opzioni globali di tutti i server CA User Activity Reporting Module inoltre possibile fare clic sulla freccia accanto alla voce per espandere il nodo dell archivio registro eventi Questa operazione consente di visualizzare i singoli server CA User Activity Reporting Module presenti nella rete Facendo clic su tali nomi di server sar possibile impostare le opzioni di configurazione locali specifiche di ogni server se lo si desidera Gli utenti con ruolo di amministratore possono configurare qualsiasi server CA User Activity Reporting Module da qualsiasi altro server CA User Activity Reporting Module Per impostare le opzioni dell archivio registro eventi 1 Accedere al server CA User Activity Reporting Module e selezionare la scheda Amministrazione La sottoscheda Raccolta registri verr visualizzata per impostazione predefinita 2
393. ostrata in questo diagramma quattro server di raccolta sono in federazione l uno con l altro e con entrambi i server di rapporto Ogni server sia genitore che figlio di ogni altro server nella federazione Un vantaggio potenziale di questa distribuzione rispetto alla federazione strettamente gerarchica la possibilit di accedere ai dati da qualsiasi punto all interno della coppia e di ottenere i risultati da tutti gli altri server CA User Activity Reporting Module nella coppia a prescindere dalla gerarchia possibile unire federazioni a copie e gerarchiche per definire la configurazione che si adatta meglio alle proprie esigenze Ad esempio una configurazione a coppie all interno di un singolo ramo potrebbe risultare molto utile per distribuzioni globali possibile ottenere una panoramica globale dei dati dai server di rapporto genitore mantenendo cluster regionali rami che hanno accesso solo ai propri dati Capitolo 7 Creazione di federazioni 227 Configurazione di una federazione CA User Activity Reporting Module Configurazione di una federazione CA User Activity Reporting Module Ogni server CA User Activity Reporting Module che viene aggiunto alla federazione deve fare riferimento allo stesso nome dell istanza dell applicazione sul server di gestione In questo modo il server di gestione pu archiviare e gestire assieme tutte le configurazioni come configurazioni globali possibile configurare la federazione in q
394. ota le catture di schermata riportate nelle procedure seguenti contengono dati di esempio Le catture di schermata riportate fanno riferimento al client VMware vSphere 4 0 0 Si raccomanda di specificare dati consoni al proprio ambiente Per distribuire un modello OVF 1 Fare clic su Start Programmi VMware vSphere Client sul computer su cui installato il client VMware vSphere Viene visualizzata la finestra di dialogo del client VMware vSphere Nel campo relativo all indirizzo IP nome host immettere l indirizzo IP o il nome host del server VMware vSphere a cui si desidera effettuare la connessione Immettere le credenziali di accesso nei campi Nome utente e Password Fare clic su Logon Accedi Viene visualizzata la finestra dell applicazione Selezionare la posizione in cui si desidera eseguire il provisioning del server CA User Activity Reporting Module sotto un centro dati del riquadro sinistro Fare clic su File quindi sull opzione di distribuzione del modello OVF Viene visualizzata la finestra di distribuzione del modello OVF Per impostazione predefinita la finestra di distribuzione del modello OVF visualizza la pagina di origine Immettere la posizione del modello OVF in questa pagina Nota le pagine visualizzate nella finestra di distribuzione del modello OVF variano in base alla versione e alle impostazioni del client VMware vSphere in uso Per ulteriori informazioni sulla distribuzione di un modello OVF visi
395. ove limita la query agli eventi con source_username myname in un determinato intervallo di tempo e se solo 10 dei 1000 database contengono record corrispondenti a questo criterio in base alle informazioni nel database di catalogo la query agir solo su questi dieci database Una query pu produrre un massimo di 5000 righe di dati Qualsiasi utente con un ruolo predefinito pu eseguire una query Solo gli analisti e gli amministratori possono pianificare una query per distribuire un avviso per creare un rapporto selezionando le query da inserire o per creare una query personalizzata utilizzando la procedura guidata Progettazione query Consultare anche Archivia query Glossario 417 query azione query di archiviazione raccolta eventi raccolta registri diretta Una query azione una query che supporta un avviso Si esegue con pianificazione ricorrente allo scopo di verificare le condizioni delineate dall avviso cui essa allegata Una query di archiviazione una query del catalogo utile per identificare i database cold che necessitino di un ripristino e di un defrost per poter eseguire una query Una query di archiviazione differisce da una normale Essa agisce infatti sui database cold mentre una query normale agisce sui database hot warm e defrosted Gli amministratori possono eseguire una query di archiviazione dalla scheda Amministrazione sottoscheda Raccolta registri opzione Archivia query di catalogo La raccolta ev
396. pacita e la posizione del disco e fare clic su Avanti Verra visualizzata la finestra di dialogo opzioni avanzate possibile archiviare il disco con la macchina virtuale o specificare un altra posizione Si consiglia un minimo di 500 GB 14 Accettare i valori predefiniti per le Opzioni avanzate e fare clic su Avanti 15 Confermare le impostazioni e fare clic su Fine per creare la nuova macchina virtuale Aggiunta di unit disco virtuali Utilizzare questa procedura per aggiungere unit disco virtuali per l archiviazione dei registri eventi Utilizzare le stesse impostazioni a prescindere dal ruolo che un server CA User Activity Reporting Module specifico svolge all interno della rete Per modificare le impostazioni 1 fare clic con il pulsante destro sulla macchina virtuale in VMware Infrastructure Client e selezionare Modifica impostazioni Verr visualizzata la finestra di dialogo Propriet macchina virtuale 2 Evidenziare le propriet dell Unit CD DVD 1 3 Fare clic sul pulsante di opzione Periferica host e selezionare l unit DVD ROM dall elenco a discesa 4 Selezionare l opzione Stato periferica Connetti all accensione 5 Fare clic su Aggiungi per avviare l Aggiunta hardware guidato e aggiungere un secondo disco rigido 6 Evidenziare il disco rigido nell elenco delle periferiche e fare clic su Avanti Verr visualizzata la finestra di dialogo Selezionare un disco 7 Selezionare l opzione Crea nuovo di
397. pendice E CA User Activity Reporting Module e virtualizzazione 317 Creazione di server CA User Activity Reporting Module mediante computer virtuali Il processo di creazione di un ambiente virtuale include le seguenti procedure 1 Creazione di una nuova macchina virtuale per ognuno dei server CA User Activity Reporting Module da installare Aggiunta di unita disco virtuali Installazione di un server CA User Activity Reporting Module virtuale per la funzioni di gestione in uno degli host della macchina virtuale Installazione di due o piu server CA User Activity Reporting Module per la raccolta e i rapporti Configurazione dei server CA User Activity Reporting Module come descritto nella sezione sull installazione di un server CA User Activity Reporting Module Creazione di una nuova macchina virtuale Utilizzare questa procedura per creare una nuova macchina virtuale utilizzando VMware Infrastructure Client Utilizzare quattro processori affinch ogni server virtuale CA User Activity Reporting Module possa raggiungere prestazioni accettabili Per creare una macchina virtuale 1 2 Accedere a VMware Infrastructure Client Fare clic con il pulsante destro sull host ESX nel riquadro a sinistra e selezionare Nuova macchina virtuale per richiamare la procedura guidata della nuova macchina virtuale Questa azione visualizza una finestra di dialogo per la configurazione Selezionare una configurazione personalizzata e fare c
398. per evitare una potenziale perdita dei dati e per mantenere una quantit adeguata di spazio su disco Il servizio archivio registro eventi gestisce la sua cache interna per le query sui database archiviati per migliorare le prestazioni quando vengono eseguite query ripetute o molto ampie Ulteriori informazioni sul funzionamento dei file archivio disponibile nella Guida all amministrazione CA User Activity Reporting Module Ulteriori informazioni Esempio archiviazione automatica fra tre server a pagina 167 Informazioni sull archiviazione automatica La gestione dei registri eventi archiviati richiede una gestione accurata dei backup e dei file ripristinati La configurazione del servizio di archiviazione dei registri eventi fornisce una posizione centralizzata per configurare e ottimizzare le dimensioni e la conservazione dei database interni e per impostare opzioni di archiviazione automatica CA User Activity Reporting Module fornisce i seguenti script per aiutare nelle seguenti attivit backup ca elm sh m restore ca elm sh monitor backup ca elm sh Capitolo 5 Configurazione dei servizi 153 Configurazione dell archivio registro eventi Nota l utilizzo di questi script da per scontato che sia stato stabilita l autenticazione non interattiva tra i due server utilizzando chiavi RSA Gli script di backup e ripristino utilizzano l utilit LMArchive per facilitare la copia di database warm in o da host remoti Gli script
399. po aver creato il profilo necessario lo si pu impostare in modo che sia effettivo subito dopo aver eseguito l accesso Se si creano pi profili durante una sessione si potranno applicare diversi profili alle proprie attivit a patto di farlo uno per volta filtri predefiniti vengono distruibiti insieme agli aggiornamenti di sottoscrizione Un prompt un tipo speciale di query che visualizza risultati in base al valore inserito ed ai campi di CEG selezionati dall utente Vengono restituite righe solo per gli eventi in cui il valore inserito dall utente viene visualizzato in uno o pi campi di CEG selezionati proxy di sottoscrizione in linea Un proxy di sottoscrizione in linea un CA User Activity Reporting Module con accesso ad Internet in grado di ottenere aggiornamenti di sottoscrizione da un server di sottoscrizione diCA Technologies con una pianificazione ricorrente possibile includere un dato proxy di sottoscrizione in linea nell elenco dei proxy di uno o pi client che possono contattare in maniera circolare i proxy elencati per richiedere gli aggiornamenti binari Un dato proxy online se configurato in questo modo invier i nuovi contenuti e gli aggiornamenti di configurazione al server di gestione a meno che un altro proxy non abbia gi eseguito tale operazione La directory di aggiornamento di sottoscrizione di un proxy in linea selezionato verr utilizzata come origine per la copia degli aggiornamenti nei proxy d
400. porting Module 2 Accedere con le credenziali dell account caelmadmin 3 Passare all account dell utente principale con il seguente comando su root 4 Utilizzare il seguente comando per verificare che il processo iGateway sia in esecuzione ps ef grep igateway Il sistema operativo restituisce le informazioni sul processo iGateway e un elenco di processi in esecuzione in iGateway Ulteriori informazioni Risoluzione di errori di configurazione dell interfaccia di rete a pagina 123 80 Guida all implementazione Installazione si un server CA User Activity Reporting Module Avviare il daemon o il servizio iGateway Il daemon o servizio iGateway il processo che gestisce tutte le chiamate all interfaccia utente sia per CA EEM che CA User Activity Reporting Module Il processo deve essere in esecuzione per poter accedere ad entrambe le applicazioni Utilizzare questa procedura per avviare il processo iGateway se non in esecuzione Nota se non si in grado di avviare iGateway assicurarsi che la cartella disponga di spazio su disco La mancanza di spazio su disco potrebbe impedire di avviare correttamente iGateway Per avviare il daemon o il servizio iGateway 1 Accedere come utente caelmadmin per il server CA User Activity Reporting Module 2 Passare all account dell utente principale con il seguente comando su 3 Avviare il processo igateway con il seguente comando IGW LOC S99igateway start S99ig
401. porting Module per l autenticazione CA IT PAM Scenario utilizzo di CA EEM in CA User Activity Reporting Module per l autenticazione CA IT PAM Questa appendice illustra lo scenario in cui si desidera installare CA IT PAM su un server Windows e condividere CA EEM sul server CA User Activity Reporting Module per l autenticazione Queste procedure completano le procedure descritte nella guida CA IT Process Automation Installation Guide Importante La condivisione di CA EEM non supportata in modalit FIPS poich CA IT PAM non compatibile con la modalit FIPS Se si esegue l aggiornamento del server CA User Activity Reporting Module alla modalit FIPS l integrazione con CA IT PAM non riesce Nota se si desidera installare CA IT PAM su un server UNIX o utilizzare LDAP o CA EEM in locale per l autenticazione la documentazione in questa appendice non adeguata In questi casi non si tratta di una condivisione di uno stesso server CA EEM CA User Activity Reporting Module r12 1 SP1 pu essere eseguito in modalit FIPS ed in grado di comunicare con CA IT PAM tuttavia questi canali di comunicazione non sono compatibili con la modalit FIPS Per ogni scenario di installazione scaricare la Guida all installazione di CA IT Process Automation Manager r2 1 SP03 dal supporto tecnico in linea Inoltre scaricare Adobe Acrobat Reader per poter aprire il documento in PDF Il processo che consente di utilizzare CA EEM su CA User Activity R
402. porto ELM NY Server di archiviazione NY Nota l esempio presuppone l esistenza di un server di gestione dedicato alla gestione del sistema di server CA User Activity Reporting Module Questo server non illustrato in questa sezione perch non ha un ruolo diretto nell archiviazione automatica Server di raccolta ELM NY Server di rapporto ELM NY Server di archiviazione NY 168 Guida all implementazione Configurazione dell archivio registro eventi Per configurare l archiviazione automatica dal server di raccolta al server di rapporto e poi dal server di rapporto al server di archiviazione remota utilizzare l esempio seguente come guida 1 Selezionare la scheda Amministrazione e la sottoscheda Raccolta registri 2 Espandere la cartella Archivio registro eventi e selezionare un server di raccolta Elenco servizi Mostra servizi per Servizio Host Sej G Configurazione globale VG Archivio di registro eventi Nv collection ELM Nv Reporting ELM gt server di rapporto gt Modulo di sottoscrizione 3 Specificare che l archiviazione automatica ricorre a ogni ora e che la destinazione sia il server di rapporto Inserire le credenziali di un utente CA User Activity Reporting Module con ruolo di amministratore Se sono presenti criteri personalizzati questo utente deve avere diritti di modifica per la risorsa Database il che garantisce la capacit di eliminare i database archiviati Auto Archive MV Attivat
403. ppio clic sull utilit Origini dati ODBC Verr visualizzata la finestra di dialogo Amministratore origine dati ODBC 3 Fare clic su Aggiungi per visualizzare la finestra Crea nuova origine dati 4 Selezionare la voce Driver ODBC CA User Activity Reporting Module e fare clic su Fine Verr visualizzatala finestra Impostazione driver ODBC di CA User Activity Reporting Module 5 Inserire i valori dei campi come descritto nella sezione delle considerazioni sull origine dati ODBC e fare clic su OK Considerazioni sull origine dati ODBC Seguono le descrizioni dei campi origine dati di ODBC relativi a CA User Activity Reporting Module Nome origine dati Creare un nome per questa origine dati Le applicazioni client che intendono utilizzare questi dati usano questo nome per connettersi all origine dati Host di servizio Specifica il nome del server CA User Activity Reporting Module a cui si connette il client possibile utilizzare sia un nome di host che un indirizzo IPv4 114 Guida all implementazione Installazione del client ODBC Porta di servizio Specifica la porta di servizio TCP su cui il server CA User Activity Reporting Module in ascolto per le connessioni dei client ODBC Il valore predefinito 17002 Il valore impostato deve corrispondere all impostazione del servizio Server ODBC In caso contrario si verificher un errore di connessione Origine dati di servizio Lasciare vuoto questo campo in caso con
404. proxy di sottoscrizione in linea contatta il server di sottoscrizione CA Technologies per scaricare gli aggiornamenti pi recenti di CA User Activity Reporting Module e distribuirli ai client di sottoscrizione corrispondenti Il proxy di sottoscrizione in linea predefinito esegue il download degli aggiornamenti per i client di sottoscrizione nel caso in cui nessun altro proxy sia configurato o disponibile Il primo server CA User Activity Reporting Module installato viene configurato come proxy di sottoscrizione predefinito Tuttavia possibile specificare qualsiasi proxy in linea come proxy di sottoscrizione predefinito possibile configurare il proxy di sottoscrizione predefinito solo a livello globale Per configurare un proxy di sottoscrizione in linea 1 Fare clic sulla scheda Amministrazione quindi sulla sottoscheda Servizi 2 Fareclic su Servizio di sottoscrizione Viene visualizzata la finestra Configurazione di servizio globale per il Servizio di sottoscrizione Nota per specificare un proxy di sottoscrizione predefinito diverso da quello configurato al momento dell installazione fare clic su Amministrazione e immettere il nome del server nel campo Proxy di sottoscrizione predefinito 3 In Elenco servizi espandere Servizio di sottoscrizione e selezionare il server da configurare Viene visualizzata la configurazione del Servizio di sottoscrizione per il server CA User Activity Reporting Module selezionato 4 Fare c
405. quanto la comunicazione con il server di rapporto avviene mediante l account caelmadmin creato dall utente Per creare una struttura di file e impostare la propriet del file sul server di archiviazione remoto 1 Accedereal server di archiviazione remoto RSS attraverso ssh come utente root 2 Creare un nuovo utente chiamato caelmadmin 3 Creare un gruppo chiamato caelmservice e creare un nuovo utente chiamato caelmservice 162 Guida all implementazione Configurazione dell archivio registro eventi 4 Creare la directory da utilizzare come percorso remoto che per impostazione predefinita opt CA LogManager Nota per utilizzare una directory diversa specificare tale directory quando viene configurato il percorso remoto per l archiviazione automatica 5 Cambiare la directory principale per caelmservice in opt CA LogManager o nella directory del percorso remoto Il seguente esempio presuppone che la directory predefinita sia usermod d opt CA LogManager caelmservice 6 Impostare le autorizzazioni del file per caelmservice Il seguente esempio presuppone che la directory del percorso remoto predefinita sia chown R caelmservice caelmservice opt CA LogManager 7 Passare alla directory opt CA LogManager o al percorso remoto alternativo 8 Creare la cartella ssh 9 Assegnare la propriet della cartella ssh all utente e al gruppo caelmservice chown caelmservice caelmservice ssh 10 Disconnettersi dal serv
406. r Activity Reporting Module Informazioni CA User Activity Reporting Module Server CA Embedded Entitlements Manager locale o remoto Immettere il nome del server CA EEM 76 Guida all implementazione Valore Locale per il primo server installato server di gestione Remoto per ogni server aggiuntivo Nome host o indirizzo IP Commenti Indicare se si desidera utilizzare un server CA EEM locale o remoto Per un server di gestione CA User Activity Reporting Module scegliere il server remoto L installazione richiede di creare una password per l account utente EiamAdmin predefinito Per ogni server aggiuntivo scegliere Remoto L installazione richiede il nome del server di gestione Indipendentemente dal tipo di server scelto locale o remoto necessario utilizzare l ID e la password dell account EiamAdmin per accedere per la prima volta a ciascun server CA User Activity Reporting Module Questo prompt viene visualizzato solo se si seleziona Remoto per il prompt del server locale o remoto Immettere l indirizzo IP o il nome host del server di gestione CA User Activity Reporting Module installato per primo Il nome host deve essere registrato con il server DNS Informazioni CA User Activity Reporting Module Password amministratore del server CA EEM Installazione si un server CA User Activity Reporting Module Valore Password account EiamAdmin Commenti Registrare la password per l accou
407. r Activity Reporting Module con CA Access Control utilizzando uno di molti livelli di versioni diverse L approccio generale il seguente Per le versioni CA Access Control che utilizzano un server di messaggi TIBCO per il routing di eventi procedere come segue Installare un agente CA User Activity Reporting Module Configurare un connettore che utilizzi il connettore AccessControl_R12SP1_TIBCO_Connector Per CA Access Control r12 5 consultare la guida all implementazione CA Access Control r12 5 Implementation Guide e la guida al connettore CA User Activity Reporting Module CA Access Control Connector Guide Per CA Access Control r12 SP1 consultare la guida all implementazione CA Access Control r12 SP1 Implementation Guide 3rd Edition e la guida al connettore Connector Guide for CA Access Control Nota queste implementazioni utilizzano i componenti che fanno parte di CA Access Control Premium Edition Appendice B Considerazioni per gli utenti CA Access Control 263 Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module Per le versioni di CA Access Control che utilizzano selogrd per il routing di eventi procedere come segue m Installare un agente CA User Activity Reporting Module Configurare in connettore che utilizzi l integrazione ACSelogrd Ulteriori informazioni sulla configurazione di un connettore per la raccolta di eventi CA Access Control sono disponibili nella CA Acce
408. r archiviare le modifiche a questa macchina virtuale Questa azione restituisce la finestra di dialogo di VMware Infrastructure Client Appendice E CA User Activity Reporting Module e virtualizzazione 325 Creazione di server CA User Activity Reporting Module mediante computer virtuali Installare CA User Activity Reporting Module sulla macchina virtuale Utilizzare questa procedura per installare CA User Activity Reporting Module su una macchina virtuale creata in precedenza E possibile configurare un server CA User Activity Reporting Module virtuale o dedicato dopo l installazione affinch svolga uno di diversi ruoli funzionali come gestione raccolta o rapporti Se si installa un server di gestione CA User Activity Reporting Module non utilizzarlo per ricevere i registri eventi o per eseguire query e rapporti Installare server virtuali CA User Activity Reporting Module separati che operino come server di rapporto e di raccolta per ottenere le prestazioni migliori Rivedere le istruzioni dell installazione normale prima di installare CA User Activity Reporting Module in un ambiente virtuale Il foglio di calcolo dell installazione aiuta a raccogliere le informazioni necessarie Per installare CA User Activity Reporting Module in una macchina virtuale 1 Caricare il disco di installazione del SO CA User Activity Reporting Module nell unit DVD ROM fisica o localizzare la directory in cui stata copiata l immagine di installazione
409. raccolta eventi 207 Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor Verificare che CA User Activity Reporting Module stia ricevendo gli eventi syslog E possibile verificare che il connettore sull agente predefinito stia raccogliendo gli eventi syslog con la seguente procedura Per verificare la ricezione di un evento syslog 1 Accedere a CA User Activity Reporting Module e alla scheda Query e rapporti 2 Selezionare la scheda Query di sistema e aprire la query Dettagli di tutti gli eventi Dovrebbe essere possibile visualizzare gli eventi elencati per l agente predefinito se il connettore stato configurato correttamente e la fonte dell evento sta inviando eventi attivamente Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor E possibile abilitare la raccolta diretta degli eventi generati da database specifici e prodotti CA mediante ODBCLogSensor Per eseguire questa operazione creare un connettore sull agente predefinito basato su un integrazione che utilizza ODBCLogSensor Numerose integrazioni utilizzano questo sensore ad esempio CA_Federation_Manager CAldentityManager Oracle10g Oracle9i e MS_SQL_Server_2005 Di seguito si riporta una lista parziale dei prodotti che generano eventi disponibili per la raccolta diretta da parte dell agente predefinito su un server CA User Activity Reporting Module Per ogni prodotto viene utilizzato un unico connettore e ciascun connettore utilizza ODB
410. rapporti su richiesta e anche avvisi e rapporti pianificati Punto di ripristino Riceve i database del log eventi ripristinato per l analisi degli eventi passati Il primo server che si installa il server di gestione questo server pu eseguire anche altri ruoli possibile disporre solo di un server di gestione in un unica rete CA User Activity Reporting Module Ogni rete CA User Activity Reporting Module deve disporre di un server di gestione Le architetture possibili includono Sistema a server unico dove il server svolge tutti gli altri ruoli Sistema a due server in cui il server di gestione svolge tutti i ruoli tranne la raccolta La raccolta viene eseguita da un server dedicato a questo ruolo Sistema a pi server in cui ogni server dedicato a un unico ruolo dettagli sui ruoli del server e delle architetture vengono descritti di seguito 18 Guida all implementazione Ruoli dei server Pianificazione server Un sistema CA User Activity Reporting Module pu disporre di uno o pi server Dedicando server diversi a ruoli diversi si ottimizzano le prestazioni Ma possibile utilizzare qualsiasi server per eseguire ruoli diversi o tutti i ruoli a propria discrezione Considerare il carico di elaborazione associato ad ogni ruolo di server rispetto ad altri fattori rilevanti nell ambiente quando si stabilisce come dedicare ogni server che viene installato Server di amministrazione Il ruolo di server di gesti
411. rare l applicazione CA User Activity Reporting Module 1 Accedere ad un prompt dei comandi su un server CA User Activity Reporting Module 2 Accedere con le credenziali dell account caelmadmin 3 Passare all account dell utente principale con il seguente comando su 4 Navigare fino alla directory opt CA LogManager EEM 5 Immettere il comando EEMRegister sh Lo script di shell registra l applicazione CA User Activity Reporting Module con il server CA EEM 124 Guida all implementazione Risoluzione di problemi dell installazione Acquisizione di certificati dal server CA EEM Sintomo Durante l installazione i certificati digitali non sono stati acquisiti correttamente dal server CA EEM certificati digitali sono necessari per avviare ed eseguire l applicazione CA User Activity Reporting Module Lo script di shell menzionato nella procedura che segue viene copiato automaticamente nella directory indicata durante l installazione Soluzione Acquisizione manuale dei certificati dal server CA EEM Per acquisire i certificati digitali 1 Accedere ad un prompt dei comandi su un server CA User Activity Reporting Module 2 Accedere con le credenziali dell account caelmadmin 3 Passare all account dell utente principale con il seguente comando su 4 Navigare fino alla directory opt CA LogManager EEM 5 Immettere il comando EEMAcqCert sh Lo script di shell esegue l elaborazione necessaria ad acquisire i
412. ratore o di un ruolo personalizzato associato a un criterio personalizzato che garantisce la possibilit di eseguire l azione di modifica sulla risorsa del database Per il server di rapporto specificare opt CA LogManager come Posizione remota e caelmservice come Utente remoto in caso di archiviazione automatica dal server di rapporto al server di archiviazione remoto Si creano questo percorso e questo utente quando si configura l autenticazione non interattiva tra questi server Le opzioni di archiviazione automatica riportate in questo esempio consentono di spostare i file di archivio del server di report al server di archiviazione remota ogni giorno a partire dalle 23 00 In seguito al trasferimento di un database all archiviazione cold sul server remoto il database viene conservato sul server di rapporto durante un Numero massimo di giorni di archiviazione Se l archiviazione automatica non abilitata i database warm vengono conservati in base alle soglie configurate per il Numero massimo di giorni di archiviazione e lo Spazio di archiviazione su disco a seconda di quale si verifica prima database archiviati vengono conservati nel server di rapporto durante un periodo di 30 giorni prima di essere eliminati nel caso lo spazio su disco fosse inferiore al 10 In questo caso il server di rapporto genera un evento di automonitoraggio ed elimina i database pi datati fino a quando lo spazio su disco disponibile superiore al 10 p
413. rchive per avvertire CA User Activity Reporting Module dell avvenuta esecuzione di un backup del database Gli amministratori devono eseguire i backup dei database warm ed eseguire questa utility prima della loro eliminazione Un database warm verr automaticamente cancellato quando la sua et superer il valore indicato in Numero massimo di giorni di archiviazione oppure quando si raggiunger la soglia dello Spazio su disco di archiviazione indipendentemente da quale dei due si verifichi prima possibile eseguire una query sul database di archiviazione per identificare i database con stato warm e cold stato di database defrosted stato di database hot Uno stato di database defrosted quello applicato ad un database ripristinato nella directory di archiviazione dopo che l amministratore ha eseguito l utility LMArchive per avvisare CA User Activity Reporting Module dell avvenuto ripristino database defrosted si conservano per il numero di ore configurate in Criterio di esportazione possibile eseguire una query di registri evento nei database di stato hot warm e defrosted Uno stato di database hot lo stato di un database dell archivio registro eventi nel momento in cui si inseriscono nuovi eventi Quando il database hot raggiunge dimensioni configurabili sul server di raccolta lo si comprime cataloga e trasferisce in un archivio warm sul server di rapporto Inoltre tutti i server memorizzano i nuovi eventi di automonitorag
414. rchiviazione remoto Al contrario questi database warm vengono conservati sul server di rapporto fino a quando viene raggiunto il valore specificato in Numero massimo di giorni di archiviazione A questo punto vengono eliminati Tuttavia una registrazione di questi database cold eliminati viene conservata in modo che si possa interrogare il database degli archivi per i dettagli nel caso tali informazioni fossero necessarie per eseguire un ripristino 152 Guida all implementazione Configurazione dell archivio registro eventi Quando si stabilisce come impostare il Numero massimo di giorni di archiviazione tenere in considerazione la quantit di spazio su disco disponibile sul server di rapporto La configurazione dello Spazio di archiviazione su disco imposta la soglia Se lo spazio su disco disponibile scende al di sotto della percentuale impostata i dati del registro eventi vengono eliminati per creare pi spazio anche quando il Numero massimo di giorni di archiviazione non trascorso Quando non si configura l auto archiviazione da un server di rapporto a un server di archiviazione remoto necessario eseguire manualmente il backup dei database warm e spostare manualmente la copia in una posizione di archiviazione remota con una frequenza superiore a quella del Numero massimo di giorni di archiviazione configurato In caso contrario si rischia di perdere i dati Si consiglia di eseguire quotidianamente il backup dei file di archivio
415. rd Cancellando questa opzione si impedisce agli utenti di utilizzare questo tipo di password deboli Et e riutilizzo delle password Considerare le seguenti linee guida quando si stabiliscono i criteri di et e riutilizzo I criteri di riutilizzo delle password possono garantire che una determinata password non venga riutilizzata spesso Questo criterio crea una cronologia delle password L impostazione 0 indica che la cronologia delle password non applicata Un impostazione superiore a 0 specifica il numero di password salvate e utilizzate per il confronto quando viene modificata la password Un criterio delle password sicuro deve impedire agli utenti di riutilizzare una password per almeno un anno Capitolo 2 Pianificazione dell ambiente 45 Pianificazione degli utenti e degli accessi m L et massima consigliata per una password varia a seconda della lunghezza e della complessit della password Una regola generale che una password accettabile una che non pu essere scoperta con attacco di forza bruta in un tempo inferiore all et massima consentita alla password Un buono standard di et da 30 a 60 giorni L impostazione di un et minima impedisce agli utenti di ripristinare le password molte volte in una singola sessione per aggirare un criterio di riutilizzo della password Una buona prassi comune consigliata 3 giorni Sesi imposta l et di una password si consiglia di avvertire gli utenti di ripris
416. re un archivio utente esterno Se necessaria una configurazione registrare i valori richiesti sui fogli di calcolo forniti m Identificare l utente che agir come primo amministratore Solo un amministratore pu configurare le impostazioni di CA User Activity Reporting Module Definire criteri delle password con l obiettivo di promuovere password sicure per gli utenti CA User Activity Reporting Module Nota possibile configurare criteri delle password solo quando si configura l archivio utente come archivio utente su questo CA User Activity Reporting Module Ulteriori informazioni Foglio di calcolo directory LDAP esterna a pagina 41 Foglio di lavoro per CA SiteMinder a pagina 43 Pianificazione archivio utente Dopo avere installato il primo server CA User Activity Reporting Module accedere a CA User Activity Reporting Module e configurare l archivio utente L archivio utente configurato la posizione in cui vengono conservati nomi utente e password utilizzati per l autenticazione e altri dettagli globali Con tutte le opzioni dell archivio utente i dettagli dell utente dell applicazione vengono archiviati nell archivio utente CA User Activity Reporting Module Questo include informazioni come ruoli preferiti dell utente e ora dell ultimo accesso Capitolo 2 Pianificazione dell ambiente 39 Pianificazione degli utenti e degli accessi Si deve considerare quanto segue durante la pianificazione dell archivio uten
417. re vSphere a cui si desidera effettuare la connessione Immettere le credenziali di accesso nei campi Nome utente e Password quindi fare clic su Accedi Viene visualizzata la finestra dell applicazione Selezionare il cluster desiderato per l abilitazione della disponibilit elevata dal datacenter del pannello di destra Fare clic con il tasto destro del mouse sul cluster e selezionare Edit Settings Modifica impostazioni Verr visualizzata la finestra di dialogo Impostazioni di lt nome cluster gt Per impostazione predefinita i dettagli delle funzionalit del cluster vengono visualizzati nella finestra di dialogo Selezionare Turn on VMware HA Abilita VMware HA e fare clic su OK 394 Guida all implementazione Glossario accesso dati Accesso dati un tipo di autorizzazione conferita a tutti i CA User Activity Reporting Module sfruttando il Criterio predefinito di accesso ai dati nella classe di risorsa di CALM Ogni utente puo accedere a tutti i dati a meno che non lo si impedisca mediante dei filtri di accesso Accesso ODBC e JDBC L accesso ODBC e JDBC agli archivi di registro eventi di CA User Activity Reporting Module supporta l utilizzo dei dati di evento con svariati prodotti di terze parti inclusa la creazione di rapporti eventi personalizzati con strumenti di terze parti la correlazione di eventi mediante motori di correlazione e la valutazione degli eventi tramite prodotti per il rilevamento di violazio
418. registro eventi 10 11 12 13 Copiare il file id_rsa pub nel server di destinazione CA User Activity Reporting Module ELM RPT utilizzando il seguente comando scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C2 Verr creato il file authorized_keys_ELM C2 sul server di rapporto con il contenuto della chiave pubblica Digitare yes seguito dalla password caelmadmin di ELM RPT Digitare exit Ripetere i passaggi 1 11 di questa procedura sul server di raccolta ELM C3 Per il passaggio 9 specificare le seguenti informazioni scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C3 Ripetere i passaggi 1 11 di questa procedura sul server di raccolta ELM C4 Per il passaggio 9 specificare le seguenti informazioni scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C4 Creazione di un file della chiave pubblica sul server di rapporto e impostazione della proprieta del file In questo scenario sono state generate coppie di chiavi in ogni server di raccolta e stata copiata una parte della chiave pubblica parte nel server di rapporto come i seguenti file authorized_keys authorized_keys_ ELM C2 authorized_keys_ELM C3 authorized_keys_ELM C4 Il passaggio 3 consiste nella concatenazione dei file nello spostamento del file della chiave pubblica RSA nella directory corretta e l impostazione della propriet del file e della directory a caelmservice Per creare un file della chiave pubblica nella directo
419. registro eventi I numeri sul diagramma seguente illustrano due configurazioni di archiviazione automatica una dal server di raccolta al server di rapporto e l altra dal server di rapporto a un server remoto sulla rete Server di raccolta ELM NY Server di rapporto ELM NY Server di archiviazione NY Una volta eseguita questa configurazione l elaborazione automatica funziona nel modo seguente 1 Il server di raccolta ELM NY ovvero il server di raccolta CA User Activity Reporting Module raccoglie e perfeziona gli eventi e li inserisce nel database hot Quando il database hot raggiunge il numero di record specificato viene compresso in un database warm Dato che la pianificazione stabilisce che l archiviazione automatica venga eseguita una volta all ora a ogni ora il sistema copia i database warm e li trasferisce sul server di rapporto ELM NY ovvero il server di rapporto CA User Activity Reporting Module database warm vengono eliminati dal server di raccolta ELM NY al momento del trasferimento Il server di rapporto ELM NY memorizza i database che possono essere interrogati fino a quando raggiungono la data specificata per Numero massimo di giorni di archiviazione trascorsa la quale vengono eliminati Dato che la pianificazione stabilisce che l archiviazione automatica venga eseguita giornalmente ogni giorno il sistema copia i database warm e li trasferisce sotto forma di database cold al server di archiviazione NY database cold
420. regola queste vengono limitate separatamente valori limite includono Abilitato Indica se vengono applicati i limiti di generazione incidente Conteggio Imposta un limite per il numero di incidenti generati da una singola regola Questo valore opera in congiunzione con il valore Ora se tale valore superiore a 0 Quando vengono raggiunti questi valori il Servizio incidenti applica il limite Durata del blocco Se si imposta Conteggio su 3 e Ora su 10 il limite viene applicato quando una singola regola genera pi di 3 eventi in 10 secondi Ora Imposta una soglia in secondi per il numero di incidenti generati da una singola regola Questo valore opera in congiunzione con il valore Conteggio se tale valore superiore a 0 Quando vengono raggiunti questi valori il Servizio incidenti applica il limite Durata del blocco Se si imposta Conteggio su 3 e Ora su 10 il limite viene applicato quando una singola regola genera pi di 3 eventi in 10 secondi Durata del blocco Specifica l intervallo in secondi in cui la creazione di ulteriori incidenti da parte di una regola viene bloccata Quando il limite viene raggiunto la regola non crea incidenti finch non scade il tempo impostato Capitolo 5 Configurazione dei servizi 187 Considerazioni su ODBC Server Considerazioni su ODBC Server possibile installare un client ODBC o JDBC per accedere al deposito eventi di log di CA User Activity Reporting Module da un applicazi
421. relazione con il nuovo contenuto Il proxy per gli aggiornamenti di contenuto invia automaticamente il contenuto al repository del server di gestione Capitolo 5 Configurazione dei servizi 195 Configurazione della sottoscrizione Tipo modulo Integrazioni Sistema operativo Agenti Service Pack per Log Manager Descrizione Frequenza Aggiorna i connettori quando si esegue la Procedura guidata Ogni mese di sottoscrizione e si seleziona Aggiornamenti connettore Aggiorna il sistema operativo installato su ciascun server CA Periodicament User Activity Reporting Module e Aggiorna gli agenti quando si esegue la Procedura guidata di Periodicament sottoscrizione e si seleziona Aggiornamenti agente e Aggiorna il prodotto CA User Activity Reporting Module su Ogni trimestre ciascun sistema con il Service Pack specificato Versione di Log Manager Aggiorna il prodotto CA User Activity Reporting Module in Periodicament ogni sistema alla versione indicata e possibile selezionare un elenco dei moduli da scaricare per l ambiente CA User Activity Reporting Module a livello globale Il singolo proxy di sottoscrizione e i server client ereditano queste impostazioni globali Inoltre possibile sostituire le impostazioni globali configurando un elenco dei moduli da scaricare a livello locale per ciascun server CA User Activity Reporting Module Nota un proxy di sottoscrizione non pu distribuire un modulo a un client se il non h
422. responsabilit di certificare a CA per iscritto che tutte le copie anche parziali del prodotto sono state restituite a CA o distrutte NEI LIMITI CONSENTITI DALLA LEGGE VIGENTE LA DOCUMENTAZIONE VIENE FORNITA COS COM SENZA GARANZIE DI ALCUN TIPO INCLUSE IN VIA ESEMPLIFICATIVA LE GARANZIE IMPLICITE DI COMMERCIABILIT IDONEIT A UN DETERMINATO SCOPO O DI NON VIOLAZIONE DEI DIRITTI ALTRUI IN NESSUN CASO CA SAR RITENUTA RESPONSABILE DA PARTE DELL UTENTE FINALE O DA TERZE PARTI PER PERDITE O DANNI DIRETTI O INDIRETTI DERIVANTI DALL UTILIZZO DELLA DOCUMENTAZIONE INCLUSI IN VIA ESEMPLICATIVA E NON ESAUSTIVA PERDITE DI PROFITTI INTERRUZIONI DELL ATTIVIT PERDITA DEL GOODWILL O DI DATI ANCHE NEL CASO IN CUI CA VENGA ESPRESSAMENTE INFORMATA IN ANTICIPO DI TALI PERDITE O DANNI L utilizzo di qualsiasi altro prodotto software citato nella Documentazione soggetto ai termini di cui al contratto di licenza applicabile il quale non viene in alcun modo modificato dalle previsioni del presente avviso Il produttore di questa Documentazione CA Questa Documentazione fornita con Diritti limitati L uso la duplicazione o la divulgazione da parte del governo degli Stati Uniti soggetto alle restrizioni elencate nella normativa FAR sezioni 12 212 52 227 14 e 52 227 19 c 1 2 e nella normativa DFARS sezione 252 227 7014 b 3 se applicabile o successive Copyright 2011 CA Tutti i diritti riservati Tutti i marchi i nom
423. rting Module Per accedere alle funzionalit di CA User Activity Reporting Module di CA Embedded Entitlements Manager inserire l URL https lt ip_address gt 5250 spin eiam eiam csp selezionare CAELM come nome di applicazione ed inserire la password dell utente EiamAdmin Glossario 399 caelmadmin caelmservice calendario CALM Il nome utente e la password di caelmadmin sono credenziali necessarie per accedere al sistema operativo dell applicazione software L ID utente caelmadmin viene creato durante l installazione di questo sistema operativo Durante l installazione del componente software l installatore deve specificare la password di EiamAdmin ovvero dell account di super utente di CA EEM La stessa password verr assegnata anche all account caelmadmin Si consiglia all amministratore del server di accedere via ssh come utente caelmadmin e di modificare la password predefinita Anche se l amministratore non pu accedere via ssh come utente principale potr passare gli utenti all account principale con il relativo comando su root caelmservice un account di servizio utile per eseguire iGateway ed i servizi locali di CA EEM come utente non principale L account caelmservice si utilizza per installare gli aggiornamenti del sistema operativo scaricati insieme agli aggiornamenti di sottoscrizione Un calendario consente di limitare il tempo di effettiva applicazione di un criterio d accesso Un criterio consente alle iden
424. rver m Server di raccolta In un sistema a server unico il server di gestione svolge il ruolo di server di raccolta In un sistema di due o pi server considerare l utilizzo di un server di raccolta dedicato Un server di raccolta svolge queste funzioni Supporta la configurazione di connettori Accetta i log di eventi in entrata da connettori sugli agenti Accetta i log di eventi ottimizzati in entrata che vengono analizzati e mappati verso il formato CEG per una presentazione uniforme dei dati evento provenienti da origini evento diverse Inserisce i log di eventi nel database hot e comprime tale database quando questo raggiunge le dimensioni configurate in un database warm Consente l archiviazione automatica trasferendo le informazioni del database warm al server di rapporto associato alla pianificazione configurata Importante Quando si utilizzano server separati per la raccolta e i rapporti necessario configurare l autenticazione non interattiva e l archiviazione automatica una volta all ora dal server di raccolta al server di rapporto Considerare il volume di eventi generato dalle fonti degli eventi quando si stabilisce se dedicare i server alla raccolta e all integrazione log Valutare inoltre quanti server di raccolta eseguono l archiviazione automatica dei dati in un singolo server di rapporto m Server di correlazione In un sistema a server unico il server di gestione svolge il ruolo di un server di
425. ry corretta sul server di rapporto e impostare la propriet del file 1 2 Accedere al server di rapporto CA User Activity Reporting Module mediante ssh come utente caelmadmin Commutare gli utenti su root 160 Guida all implementazione 10 11 Configurazione dell archivio registro eventi Spostarsi alla cartella CA User Activity Reporting Module cd opt CA LogManager Creare la cartella ssh mkdir ssh Assegnare la propriet della nuova cartella all utente e al gruppo caelmservice chown caelmservice caelmservice ssh Passare alla directory tmp Aggiungere il contenuto delle chiavi pubbliche dai server di raccolta ELM C2 ELM C3 e ELM C4 per il file authorized_keys che contiene la chiave pubblica da ELM C1 cat authorized keys ELM C2 gt gt chiavi autorizzate cat authorized keys ELM C3 gt gt chiavi autorizzate cat authorized keys ELM C4 gt gt chiavi autorizzate Modificare la directory in opt CA LogManager ssh Copiare il file authorized_keys dalla cartella tmp alla cartella attuale ssh cp tmp authorized keys Modificare la propriet del file authorized_keys per l account caelmservice chown caelmservice caelmservice authorized keys Modificare le autorizzazioni sul file chmod 755 authorized keys 755 stabilisce l accesso in lettura ed esecuzione per tutti gli utenti e l accesso in lettura scrittura ed esecuzione per il proprietario del file Questa fase definisce il completamento della co
426. ry e rapporti personalizzati sono la norma in implementazioni aziendali e richiedono molto tempo per la creazione e la manutenzione Appendice A Considerazioni per gli utenti CA Audit 237 Comprendere le differenze delle architetture Questa topologia della rete permette la raccolta di una serie di tipi di eventi da diverse periferiche applicazioni e database Si dispone dell archivio centrale degli eventi raccolti che di solito fa parte o gestito dal server Data Tools che offre anche alcuni rapporti Tuttavia sono necessarie funzioni aggiuntive per scalare la soluzione per gestire rapidamente volumi di eventi in aumento necessario generare rapporti che dimostrino la conformit con una serie di normative federali e internazionali necessario essere in grado di trovare i rapporti rapidamente e velocemente Architettura di CA User Activity Reporting Module La seguente illustrazione mostra un implementazione di base a due server di CA User Activity Reporting Module Gestione Rapporti Raccolta configurazione e controllo Server UNIX Linux Lettore di carte Windows magnetiche 238 Guida all implementazione Comprendere le differenze delle architetture Un sistema CA User Activity Reporting Module pu avere uno o pi server laddove il primo server installato il server di gestione Non pu essere presente pi di un server di gestione in un sistema ma possibile avere diversi sistemi Il server di g
427. ry esterna quando si configura l archivio utente Per fare riferimento a CA SiteMinder come archivio utente 1 Accedere a un server CA User Activity Reporting Module come utente con privilegi di amministrazione o come utente EiamAdmin 2 Fareclic sulla scheda Amministrazione Se si accede come utente EiamAdmin questa scheda verr visualizzata automaticamente 136 Guida all implementazione Configurazione dell archivio utente 3 Selezionare la sottoscheda Gestione utenti e accessi e fare clic sul pulsante Archivio utente nel riquadro a sinistra Comparir la configurazione del server CA EEM per l Archivio utente 4 Selezionare l opzione Riferimento da CA SiteMinder Compariranno campi specifici di CA SiteMinder a Completare questi campi come pianificato nel foglio di calcolo di SiteMinder b Pervisualizzare o modificare le connessioni e le porte utilizzate da CA SiteMinder fare clic sui puntini di sospensione per visualizzare il riquadro Attributi della connessione 5 Fare clic su Salva Salvando questo riferimento le informazioni sull account utente vengono caricate in CA EEM Questo rende possibile l accesso a queste registrazioni utente come utenti globali e l aggiunta di dettagli a livello di applicazione come il gruppo utente dell applicazione il nome del ruolo utente 6 Rivedere lo stato visualizzato per verificare che il bind della directory esterna sia corretto e che i dati vengano caricati Se lo stato visu
428. sco virtuale e fare clic su Avanti Appendice E CA User Activity Reporting Module e virtualizzazione 315 Creazione di server CA User Activity Reporting Module mediante computer virtuali 8 Specificare le dimensioni del nuovo disco e selezionare l opzione Specificare un datastore per impostarne la posizione CA User Activity Reporting Module rileva questa periferica aggiuntiva durante l installazione e l assegna all archiviazione dei dati Si consiglia di massimizzare la quantit di archiviazione da rendere disponibile per CA User Activity Reporting Module Nota l impostazione Dimensione blocco in VMware ESX Server 1 MB ci limita lo spazio massimo su disco che possibile creare a 256 GB Se necessario pi spazio fino a 512 GB aumentare l impostazione Dimensione blocco a 2 MB utilizzando questo comando Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Per rendere effettive le nuove impostazioni necessario riavviare ESX Server Ulteriori informazioni su questo e altri comandi sono disponibili nella documentazione di VMware ESX Server fare clic su Avanti per visualizzare la finestra di dialogo Specificare opzioni avanzate 9 Accettare i valori predefiniti per le Opzioni avanzate e fare clic su Avanti Comparira la finestra di dialogo Pronto per il completamento 10 Fare clic su Fine per archiviare le modifiche a questa macchina virtuale Questa azione restituisce la finestra di dialogo di VMware Infrastructur
429. scrizione B CA Access B CA Access B CA Access B CA Access B CA Access B CA Access fs CA Access B CA Access Control Control Control Control Control Control Control Control Creazione account Creazione account Creazione account Creazione account Eliminazioni accoun Eliminazione accou Eliminazione accou Gestione account p a 4 Selezionare un rapporto per visualizzare i dati degli eventi Appendice B Considerazioni per gli utenti CA Access Control 287 Protezione di CA User Activity Reporting Module mediante CA Access Control Protezione di CA User Activity Reporting Module mediante CA Access Control Per la protezione di CA User Activity Reporting Module mediante CA Access Control necessario installare CA Access Control su CA User Activity Reporting Module possibile eseguire il controllo degli accessi e proteggere i log generati da un prodotto o da CA User Activity Reporting Module mediante la creazione di regole in CA Access Control Nota per informazioni sulla creazione di regole in CA Access Control consultare la documentazione di CA Access Control Esempio Creazione di una regola per il monitoraggio degli accessi utente alla cartella data Se si desidera creare una regola in CA Access Control per il monitoraggio degli accessi utente alla cartella data di CA User Activity Reporting Module procedere nel seguente modo 1 Accedereal percorso di installazione di CA Access Control
430. server di raccolta al server di rapporto l autenticazione non interattiva dal server di rapporto al server di archiviazione remoto onfigurare l archiviazione automatica dal server di rapporto al server di archiviazione remoto Eseguire il backup dei database e spostare i backup in una posizione remota Configurare il numero massimo di giomi di archiviazione in base al tempo trascorso Identificare i database di cui eseguire il backup mediante l opzione list inc di LMArchive Eseguire il backup dei database e spostare i backup al server di archiviazione remoto Registrare i backup nel catalogo archiviazioni mediante l opzione notify arch di Ogni giorno Capitolo 5 Configurazione dei servizi 155 Configurazione dell archivio registro eventi Configurazione dell autenticazione non interattiva per archiviazione automatica possibile configurare l archiviazione automatica tra server con ruoli diversi Ad esempio Dauno o pi server di raccolta a un singolo server di rapporto Da uno o pi server di rapporto a un singolo server di archiviazione remota Prima di configurare l archiviazione automatica da un server a un altro configurare l autenticazione ssh non interattiva dal server di origine al server di destinazione Non interattiva significa che un server pu trasferire file su di un altro senza richiedere alcuna password Se si dispone di soli tre server un server
431. server in esecuzione in modalit FIPS Come parte dell installazione necessario che un nuovo server CA User Activity Reporting Module venga registrato con il server locale CA EEM incorporato nel server di gestione o con un server standalone remoto di CA EEM processi di aggiunta di un server a una rete esistente sono basati sul percorso del server di gestione CA EEM 92 Guida all implementazione Aggiunta di nuovi server CA User Activity Reporting Module in una federazione in modalita FIPS esistente Considerare il seguente flusso di lavoro Aggiunta di un server ELM ad una federazione in modalit Solo FIPS AD lal modalita Non FIPS Abilitare la sul server di modalit Non FIPS gestione CA sul server remoto Enterprise Log CA EEM Man Installare i nuovi server CA Enterprise Log Manager Aggiornare i nuovi server a r12 1 SP1 Abilitare la modalit FIPS per ogni nuovo server Abilitare la modalit FIPS sul rd ergo server remoto CA Abilitare la modalit FIPS sul Manager EEM Capitolo 3 Installazione di CA User Activity Reporting Module 93 Considerazioni sull installazione di sistemi con unit di SAN Il processo di aggiunta di un nuovo server comprende i seguenti passaggi 1 Verificare che la modalit FIPS sia abilitata sul server di gestione primario CA User Activity Reporting Module o sul server remoto CA EEM 2 Installare uno o pi nuovi server secondari CA User Activity Reporting Mod
432. service che non possibile utilizzare per accedere al sistema possibile commutare gli utenti a questo utente per avviare e interrompere i processi se necessario Il processo iGateway e il server CA EEM incorporato se presente uno installato sul server CA User Activity Reporting Module vengono eseguiti da questo account utente per fornire livelli aggiuntivi di sicurezza Il processo iGateway non viene eseguito nell account dell utente principale L inoltro delle porte viene abilitato automaticamente per consentire le richieste HTTPS sulle porte 80 e 443 per accedere all interfaccia utente di CA User Activity Reporting Module oltre alla porta 5250 Capitolo 3 Installazione di CA User Activity Reporting Module 103 Configurazioni server CA User Activity Reporting Module iniziali Struttura directory predefinita L installazione di CA User Activity Reporting Module posiziona file binari del software nella struttura della directory opt CA Se il sistema ha una seconda unita disco viene configurata come data L installazione crea un collegamento simbolico dalla directory opt CA LogManager data alla directory data Quanto segue rappresenta la struttura della directory di installazione predefinita Tipi di file Directory File relativi ad iTechnology iGateway opt CA SharedComponents iTechnology File relativi al server CA User Activity Reporting opt CA LogManager EEM Module EEM File relativi all installazione di CA User Activity
433. setmins Specifica l offset del fuso orario di questo client ODBC Un valore pari a 0 utilizza il GMT possibile utilizzare questo campo per impostare il proprio offset di fuso orario rispetto al GMT Segue la sintassi per questa propriet offsetmins 0 suppressNoncriticalErrors Indica il comportamento del provider di interfaccia in caso di errori non critici ad esempio un database o un host che non rispondono Segue la sintassi per questa propriet suppressNoncriticalErrors false Verifica della connessione del client ODBC al database Il client ODBC installato con uno strumento interattivo SQL Query della riga di comando ISQL possibile utilizzare questo strumento per verificare le impostazioni di configurazione e la connettivit tra il client ODBC e il deposito eventi di log di CA User Activity Reporting Module Verifica della connessione del client al database 1 Aprire il prompt dei comandi e accedere alla directory dove installato il client ODBC 2 Avviare l utilit ISQL odbcisql exe 3 Inserire il seguente comando per verificare la connessione del client al database collegare User Password DSN name Usare il nome dell origine dati creata per questa connessione ODBC al database per il valore DSN_name Se i parametri della connessione sono corretti viene restituito un messaggio simile al seguente SQL connessione al database in corso DSN_name Tempo trascorso 37 ms Nota se la password contie
434. sh 8 Passare alla cartella ssh 9 Copiare il file id_rsa pub in RSS il server di archiviazione remoto di destinazione utilizzando il seguente comando scp id rsa pub caelmadmin RSS tmp authorized_ keys Verra creato il file authorized_keys nella directory tmp sul server di archiviazione remoto con il contenuto della chiave pubblica Impostazione della proprieta del file della chiave sul server di archiviazione remoto E possibile impostare la proprieta del file della chiave e le autorizzazioni su un server di archiviazione remoto dopo aver generato una coppia di chiavi sul server di rapporto e copiare la chiave pubblica sul server di archiviazione remoto Per spostare il file della chiave pubblica nella posizione corretta sul server di archiviazione remoto e impostare la proprieta del file 1 Accedere al server di archiviazione remoto come caelmadmin 2 Commutare gli utenti su root 164 Guida all implementazione Configurazione dell archivio registro eventi Modificare le directory in opt CA LogManager ssh Copiare il file authorized_keys dalla directory tmp alla directory attuale ssh cp tmp authorized keys Modificare la propriet del file authorized_keys con il comando chown caelmservice caelmservice authorized keys Modificare le autorizzazioni sul file authorized_keys chmod 755 authorized keys L autenticazione non interattiva ora configurata tra un server di rapporto CA User Activity Reporting Modul
435. si per importare tipi diversi di dati Ad esempio possibile scegliere di trasferire i propri dati in diverse sessioni su misura in base a un intervallo di entry ID al tipo di registro o a intervalli di date specifiche Nota l utilit non offre il tracciamento delle importazioni delle sessioni precedenti possibile duplicare i dati nel database CA User Activity Reporting Module se si esegue il comando con gli stessi parametri pi di una volta Per risultati migliori suddividere l importazione per tipo di registro utilizzando l opzione log o per entry ID utilizzando le opzioni minid e maxid per migliorarne le prestazioni Utilizzare l opzione retry per assicurare il ripristino da errori che si potrebbero verificare durante l importazione di eventi L utilit utilizza un valore retry predefinito di 300 secondi per massimizzare la riuscita dell importazione Appendice A Considerazioni per gli utenti CA Audit 255 Importazione di dati da una tabella SEOSDATA Comandi e opzioni dell utilit di importazione L utilit LMSeosImport supporta la seguente sintassi della riga di comando e le seguenti opzioni LMSeosImport dsn nome dsn user nome utente password password target nome destinazione sid nnn eid nnnn stm aaaa mm gg etm aaaa mm gg log nomeaccesso transport sapi itech chunk nnnn pretend verbose delay report retry dsn Specifica il nome del server host in cui risiede la tabella SEOSDATA Questo param
436. spondente Indirizzo IP corrispondente Indirizzi IPv4 corrispondenti il nome del dominio Accetta medium media o large estesa Commenti Specificare il nome host del server utilizzando solo i caratteri supportati per gli host Gli standard industriali consigliano l utilizzo dei caratteri A Z senza distinzione di maiuscole 0 9 ed i trattini dove il primo carattere corrisponde ad una lettera e l ultimo ad un carattere alfanumerico Non utilizzare il trattino basso all interno del nome host n aggiungere un nome di dominio all host Nota la lunghezza del nome host non pu superare i 15 caratteri Creare e confermare una nuova password per il server Inserire un indirizzo IP valido per il server Inserire una subnet mask valida da utilizzare con il server Inserire una subnet mask ed un gate predefinito da utilizzare con il server Immettere uno o pi indirizzi IP di server DNS utilizzati nella rete elenco separato da virgole senza spazi tra le voci Se i server DNS utilizzano indirizzi IPv6 immettere questi indirizzi in quel formato Inserire il nome di dominio completo del server ad esempio mycompany com Nota per abilitare la risoluzione del nome host nell indirizzo IP necessario registrare il nome del dominio sul server DNS di rete Accettare il contratto di licenza di CA per procedere con il provisioning del server CA User Activity Reporting Module Se si seleziona Media VMwar
437. ss Control r8 SP1 Connector Guide Se attualmente si inviano gli eventi CA Access Control a CA Audit utilizzare i seguenti metodi per ricevere gli eventi inCA User Activity Reporting Module Modifica di un criterio CA Audit esistente per inviare eventi sia a CA Audit che a CA User Activity Reporting Module se si utilizza un iRecorder CA Audit per raccogliere eventi inoltre possibile modificare il criterio per inviare eventi solo al server CA User Activity Reporting Module se lo si desidera m Configurare il file control conf in modo che l iRecorder invii gli eventi direttamente a CA User Activity Reporting Module Le seguenti linee guida utilizzano la serie r8 SP2 per l interfaccia utente dello strumento di gestione dei criteri Le procedure generali sono le stesse delle versione di CA Audit precedenti nonostante l interfaccia utente sia diversa Come modificare criteri di CA Audit per l invio di eventi a CA User Activity Reporting Module La procedura per la modifica di un criterio CA Audit esistente per l invio di eventi a CA User Activity Reporting Module implica i seguenti passaggi Raccogliere le informazioni necessarie m Assicurarsi di disporre delle credenziali utente per Gestione criteri di CA Audit con l autorizzazione per creare selezionare e attivare i criteri Ottenere l indirizzo IP o il nome host necessario per accedere all interfaccia utente di Audit Administrator L URL di accesso alle applicazioni Web
438. sse quindi fare clic su Fine Deploy O F Template o xi Ready to Complete Are these the options you want to use Source When you click Finish the deployment task will be started OVE Template Details End User License Agreement Soe Name and Location OVF file i C Program Files CA ELM CA Enterprise Log Manager owf Deployment Configuration Download Size 1964 MB Host Cluster Size on disk 337920 MB Host Cluster Name Example CA Enterprise Log Manager Properties Folder ELMQA SP2 vApp Datacenter Ready to Complete Deployment Configuration medium Host Cluster 10 10 0 10 Datastore Storage 172 60 10 20 Network Mapping M Network to VM Network IP Allocation Fixed IPv4 Property LOCAL_REMOTE_EEM Local Property REMOTE_EEM_LOCATION none Property EEM_PASSWORD exampleeiamadminpassword Property FIPS_MODE No Property HOSTNAME examplecaelm Property ROOT_PASSWORD examplerootpassword Property IP_ADDRESS 172 160 0 0 Property SUBNET_MASK 10 0 0 0 Property DEFAULT_GATEWAY 198 168 0 0 Property DNS_SERVERS 198 168 10 20 198 168 10 25 Property DOMAIN_NAME example com Property TIMEZONE Africa Abidjan Property NTPLOCATION 198 168 10 30 gt Help lt Back Cancel 4 Viene visualizzato il messaggio Opening VI target Apertura destinazione VI in corso Viene visualizzato lo stato di distribuzione dell applicazione virtuale Se l installazione viene completata correttamente
439. ssione corrente e non persistono dopo la disconnessione dal server a meno che venga selezionata l opzione Utilizza come predefinite Un filtro rapido globale controlla l intervallo iniziale in cui eseguire il rapporto offre filtraggio del testo con corrispondenza semplice e permette di utilizzare campi specifici e i relativi valori per modificare i dati visualizzati in un rapporto Un filtro avanzato globale permette di utilizzare la sintassi e gli operatori SQL per esaminare ulteriormente i dati del rapporto Le impostazioni globali permettono di impostare un fuso orario e di utilizzare query speciali che recuperano i dati da altri server CA User Activity Reporting Module in una federazione oltre ad abilitare l aggiornamento automatico dei rapporti durante la visualizzazione Impostare filtri globali adatti all utilizzo in aree di rapporto multiple Impostando opzioni che limitano i filtri globali possibile controllare la quantit di dati mostrata in un rapporto Le attivit iniziali riguardanti filtri e impostazioni globali includono le seguenti m Configurare filtri rapidi globali per fornire un periodo iniziale che interessi i rapporti visualizzati da questo server CA User Activity Reporting Module m Selezionare query federate nella scheda Impostazioni per visualizzare i dati dai server CA User Activity Reporting Module federati con questo server m Decidere se aggiornare automaticamente i rapporti Impostare l intervallo con
440. stione CA User Activity Reporting Module gestisce le configurazioni della federazione centralmente e globalmente possibile modificare le opzioni di configurazione da qualsiasi server CA User Activity Reporting Module all interno della rete Si configura il server di raccolta CA User Activity Reporting Module come figlio del server di rapporto in modo che query e rapporti includano i dati pi recenti Nota se si dispone di un server CA EEM esistente che si intende utilizzare con CA User Activity Reporting Module configurare i server CA User Activity Reporting Module nello stesso modo Il server CA EEM remoto dedicato archivia queste configurazioni inoltre possibile impostare le opzioni di configurazione locali affinch ignorino le configurazioni globali permettendo ai server CA User Activity Reporting Module selezionati di operare in modo diverso dagli altri Gli esempi includono l invio di rapporti e mail e avvisi attraverso un server di posta diverso o la pianificazione di rapporti specifici per una sezione della rete in momenti diversi Ulteriori informazioni Federazioni gerarchiche a pagina 224 Federazioni a coppie a pagina 226 Query e rapporti in un ambiente federato a pagina 223 Configurazione di una federazione CA User Activity Reporting Module a pagina 228 Creazione di una mappa della federazione La creazione di una mappa della federazione un passaggio utile per la pianificazione e l implementazione della
441. sualizzare integrazioni predefinite e per creare nuove integrazioni per periferiche applicazioni file o database personalizzati o proprietari Ulteriori informazioni sono disponibili nella Guida all amministrazione di CA User Activity Reporting Module e nella guida online Capitolo 8 Lavorare con la libreria di perfezionamento eventi 231 Supporto di nuove fonti eventi con la libreria di perfezionamento eventi Supporto di nuove fonti eventi con la libreria di perfezionamento eventi Per supportare un dispositivo un applicazione un database o un altra origine eventi che non sia gi supportata possibile utilizzare le procedure guidate di mapping e analisi dei file e le procedure guidate di integrazione per creare i componenti necessari Il processo comprende i seguenti passaggi generali 1 Creazione difile di analisi per raccogliere i dati degli eventi come coppie nome valore 2 Creazione di file di mapping per mappare le coppie nome valore nella grammatica evento comune 3 Creazione di nuove integrazioni e listener per raccogliere i dati dalla fonte di eventi file di integrazione analisi e mapping e le regole di riepilogo sono descritte dettagliatamente nella Guida all amministrazione CA User Activity Reporting Module e nella guida online File di mapping e analisi Durante il funzionamento CA User Activity Reporting Module legge gli eventi in ingresso e li suddivide in sezioni in un azione chiamata analisi Esistono
442. sualizzazione di un grafico di federazione Fornisce informazioni di alto livello sul lavoro con i file di analisi dei messaggi e di mapping dei dati Descrive le interazioni che possibile implementare fra CA User Activity Reporting Module e CA Audit i metodi per configurare gli iRecorder e i criteri e quelli per importare dati dal proprio database di CA Audit Collector Descrive come eseguire l integrazione con CA Access Control come modificare i criteri di CA Audit per inviare eventi a CA User Activity Reporting Module come configurare un iRecorder CA Access Control per inviare eventi a CA User Activity Reporting Module e come importare eventi di CA Access Control da un database CA Audit Collector Descrive il processo di installazione di CA IT PAM tale per cui il componente EEM su CA User Activity Reporting Module di gestione gestisca l autenticazione Descrive le procedure di backup di ripristino e di sostituzione in grado di garantire il ripristino della propria soluzione di gestione registri in caso di gravi avarie Informazioni sulla guida Sezione Descrizione CA User Activity Reporting Module e Descrive la procedura per la creazione e la configurazione di virtualizzazione una macchina virtuale in grado di contenere un server CA User Activity Reporting Module Nota per informazioni sul supporto del sistema operativo o sui requisiti di sistema consultare le Note della versione Per una panoramica di base di CA User
443. t Creare un rapporto di evento per scoprire i tipi di evento e i conteggi quindi gli intervalli entry ID Visualizzare l anteprima dei risultati dell importazione con i parametri previsti per l utilizzo possibile decidere di eseguire nuovamente l importazione in anteprima per affinare le opzioni della riga di comando se necessario Importare gli eventi da un database di raccolta utilizzando le opzioni di riga di comando affinate Copia dell utilit di importazione eventi su un server Solaris Data Tools Prima di potere importare i dati da una tabella SEOSDATA necessario copiare l utilit LMSeosImport dal DVD ROM di installazione dell applicazione CA User Activity Reporting Module sul server Solaris Data Tools Nota l utilit LMSeosImport richiede la presenza delle librerie etsapi ed etbase Questi file fanno parte dell installazione del server Data Tools di base Prima di provare a utilizzare l utilit LMSeosImport assicurarsi che la directory di installazione di CA Audit sia inclusa nell istruzione PATH del sistema La directory predefinita opt CA eTrustAudit bin Prima di eseguire l utilit impostare le seguenti variabili d ambiente con il comando env ODBC_HOME lt directory di installazione di CA Audit data tools gt odbc ODBCINI lt directory di installazione di CA Audit data tools gt odbc odbc ini Appendice A Considerazioni per gli utenti CA Audit 253 Importazione di dati da una tabella SEOSDATA Per
444. t di base della scheda Getting Started Introduzione del riquadro destro Il server CA User Activity Reporting Module verr attivato Nota verificare che un server primario CA User Activity Reporting Module sia in esecuzione prima di attivare un server secondario CA User Activity Reporting Module Installazione invisibile di un server CA User Activity Reporting Module Quando si procede all installazione dell applicazione virtuale in modalit invisibile all utente necessario eseguire le seguenti operazioni 1 Richiamare lo strumento OVF 2 Configurare le impostazioni della risorsa 3 Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning La tabella seguente descrive i parametri utilizzati per eseguire la distribuzione di CA User Activity Reporting Module mediante lo strumento OVF necessario specificare tali parametri come argomenti della riga di comando Informazioni necessarie Valore Commenti Impostazioni specifiche dell host 372 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni necessarie HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME acceptAllEulas deploymentOption Valore Nome host del server CA Enterprise Log Manager Ad esempio CA ELM1 nuova password principale Indirizzo IPv4 corrispondente Indirizzo IP corri
445. t Forefront Security per SharePoint Server m Microsoft Hyper V Server 2008 m Microsoft Office Communication Server m Microsoft Windows Server 2008 Per l elenco completo consultare la Matrice di integrazione del prodotto sul sito del Supporto in linea Capitolo 6 Configurazione della raccolta eventi 215 Esempio Abilitazione della raccolta diretta tramite WinRMLinuxLogSensor Questo esempio mostra la modalit di abilitazione della raccolta diretta degli eventi mediante un connettore basato sull integrazione WinRM Quando tale connettore viene distribuito esegue la raccolta degli eventi dall origine evento di un sistema operativo Windows Server 2008 La raccolta viene avviata dopo la configurazione delle origini evento per la registrazione degli eventi nel Visualizzatore eventi di Windows e l abilitazione della Gestione remota Windows sul server come specificato nella Guida del connettore associato all integrazione Informazioni sulla modalit di configurazione dell origine eventi di Windows Server 2008 1 Selezionare la scheda Amministrazione e la sottoscheda Library Libreria 2 Espandere Integrazione Log Integrazioni e quindi Sottoscrizione e selezionare WinRM La finestra Visualizza dettagli integrazione mostra il nome del sensore WinRMLinuxLogSensor Le piattaforme supportate includono Windows e Linux 3 Fareclic sul collegamento alla Guida in linea della finestra Visualizza dettagli integrazione di WinRM Viene visu
446. ta servizio e fare clic su Salva Nota disabilitare l opzione ODBC per tutti i server CA User Activity Reporting Module in una federazione per verificare che ODBC e JDBC siano disattivati Abilitare operazioni di modalit FIPS Abilitare o disabilitare la modalit FIPS mediante le opzioni della modalit FIPS del servizio Stato del sistema La modalit FIPS predefinita non FIPS Gli amministratori devono impostare la modalit FIPS per ogni server CA User Activity Reporting Module di una federazione Importante Non possibile utilizzare modalit miste all interno di una stessa federazione di server Se viene eseguita una modalit diversa su un server qualsiasi di una federazione questo non potr recuperare i dati relativi a query e rapporti n rispondere a richieste dagli altri server Capitolo 3 Installazione di CA User Activity Reporting Module 89 Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS Per passare dalla modalita FIPS a non FIPS 1 2 Accedere al server CA User Activity Reporting Module Accedere alla scheda Amministrazione quindi fare clic sulla sottoscheda Servizi Espandere il nodo del servizio Stato del Sistema e selezionare il server CA User Activity Reporting Module desiderato Viene visualizzata la finestra di dialogo per la configurazione del servizio Stato del sistema Abilitare o disabilitare la modalit FIPS desiderata dall elenco a disces
447. tallazione Dopo avere installato il server di raccolta virtuale possibile aggiungerlo alla federazione per le query e i rapporti Importante Se si desidera eseguire il provisioning di un server CA User Activity Reporting Module mediante applicazione virtuale il nome dell istanza applicazione del server CA User Activity Reporting Module primario deve essere CAELM Download del pacchetto dell applicazione virtuale L immagine di distribuzione per l applicazione virtuale CA User Activity Reporting Module disponibile sul sito del Supporto in linea dal collegamento Download file da scaricare sono cinque Il file manifesto II file ovf Tre file di disco virtuale Installazione manuale di un server CA User Activity Reporting Module Se si installa l applicazione virtuale manualmente eseguire le operazioni riportate a continuazione 1 Distribuire un modello OVF 2 Configurare le impostazioni della risorsa 3 Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning 334 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Distribuire un modello OVF E possibile specificare le proprieta dell applicazione virtuale in un modello OVF VMware utilizza questo modello per eseguire il provisioning di un server CA User Activity Reporting Module Utilizzare il client VMware vSphere per eseguire la distribuzione del modello OVF N
448. tare il sito www vmware com Scegliere l opzione Deploy from file Distribuisci da file e fare clic su Sfoglia per selezionare la posizione del modello OVF Raggiungere la posizione del modello OVF dalla finestra di dialogo Open Apri selezionare il modello OVF quindi fare clic su Apri Il percorso della posizione del modello OVF viene visualizzato nel campo Deploy from file Appendice E CA User Activity Reporting Module e virtualizzazione 335 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Deploy O F Template Source Select the source location Source OYVF Template Details End User License Agreement Name and Location oi Deployment Configuration Host Cluster Properties Ready to Complete 336 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 9 Fare clic su Avanti Viene visualizzata la pagina dei dettagli del modello OVF La pagina consente di visualizzare i dettagli archiviati nel modello OVF quali le dimensioni di download lo spazio su disco disponibile e il nome del fornitore 10 Verificare di disporre di un minimo di 350 GB di spazio su disco sul server VMware quindi fare clic su Avanti Deploy O F Template O F Template Details Verify OVF template details Source OYF Template Details End User License Agreement Name and Location Deployment Configuration El Host Cl
449. te da configurare Utilizzare l archivio utente CA User Activity Reporting Module predefinito Gli utenti vengono autenticati con i nomi utente e le password create in CA User Activity Reporting Module Configurare i criteri delle password Gli utenti possono modificare le proprie password e sbloccare gli altri account utente Riferimento da CA SiteMinder Nomi utente password e gruppi globali vengono caricati da CA SiteMinder nell archivio utente CA User Activity Reporting Module Gli utenti vengono autenticati con i nomi utente e le password indicati possibile assegnare il gruppo globale a un criterio nuovo o a uno esistente Non possibile creare nuovi utenti modificare password o configurare criteri delle password Riferimento dalla directory LDAP Lightweight Directory Access Protocol nomi utente e le password sono caricati dalla directory LDAP all archivio utente CA User Activity Reporting Module Gli utenti vengono autenticati con i nomi utente e le password indicati Le informazioni dell account utente caricato diventano account utente globali possibile assegnare agli utenti globali un ruolo utente corrispondente all accesso che si desidera che essi abbiano in CA User Activity Reporting Module Non possibile creare nuovi utenti o configurare criteri delle password Importante Si consiglia di eseguire il backup dei criteri di accesso predefiniti forniti con CA User Activity Reporting Module prima che voi o un ammi
450. te dai listener SAPI e iTech Ulteriori informazioni CA User Activity Reporting Module e virtualizzazione a pagina 311 28 Guida all implementazione Pianificazione della raccolta registri Pianificazione dello spazio su disco Quando si pianifica l ambiente assicurarsi di disporre di spazio a sufficienza per supportare grandi volumi di eventi Nel caso dei server di raccolta ci significa disporre di sufficiente spazio su disco affinch ogni server di raccolta sia in grado di contenere la propria parte di picchi di carico e i volumi di eventi standard Per un server di rapporto lo spazio su disco viene calcolato in base al volume degli eventi e al necessario periodo di conservazione in linea I database hot non vengono compressi database warm vengono compressi Sia i database hot che warm sono considerati online possibile effettuare ricerche o creare rapporti sui loro dati Generalmente si dispone di una quantit massima di dati pari a un periodo compreso tra 30 e 90 giorni pronti per i rapporti e la ricerca immediata in qualunque momento Le registrazioni pi vecchie di questo periodo vengono conservate in un server remoto possibile ripristinarle per la ricerca e i rapporti a seconda delle esigenze server di raccolta supportano database sia hot che warm Poich il periodo di conservazione per un server di raccolta molto breve da una a 23 ore non possibile l archiviazione a lungo termine Il server di amm
451. tente Per ulteriori informazioni sullo strumento OVF consultare la guida VMware s OVF Tool User Guide oppure visitare il sito www vmware com possibile installare pi server CA User Activity Reporting Module simultaneamente creando ed eseguendo script contenenti il comando per richiamare lo strumento OVF possibile utilizzare qualsiasi linguaggio di scripting per la creazione di script Per richiamare lo strumento OVF tramite script 1 Creare uno script per richiamare lo strumento OVF 2 Aprire il prompt dei comandi sul computer in cui installato VMware vSphere Client 3 Accedere al percorso in cui stato memorizzato lo script 4 Eseguire lo script Viene visualizzato il messaggio Opening VI target Apertura destinazione VI in corso Viene visualizzato lo stato di distribuzione di ciascun server CA User Activity Reporting Module Se l installazione viene completata correttamente il server CA User Activity Reporting Module viene visualizzato nel centro dati selezionato nel riquadro sinistro Esempio 1 Script batch per la creazione di un server primario e di un server secondario CA User Activity Reporting Module Server primario CA User Activity Reporting Module REM ovftool dm thin acceptAllEulas name example primaryserver deploymentOption medium prop ROOT_PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP
452. ter SAPI modificando i relativi file di configurazione Configurare questo servizio prima di modificare i criteri di audit o le configurazioni del recorder SAPI per assicurarsi che non venga perso alcun evento Per configurare il servizio SAPI Router 1 Accedere al server CA User Activity Reporting Module e selezionare la scheda Amministrazione La sottoscheda Raccolta registri verr visualizzata per impostazione predefinita 2 Espandere la voce CA Technologies Adapters 244 Guida all implementazione Configurazione degli adattatori CA Technologies 3 Selezionare il servizio SAPI Router 4 Fare riferimento alla Guida in linea per le descrizioni di ogni campo 5 Altermina fare clic su Salva Informazioni sul plug in eventi iTechnology Il plug in eventi iTechnology riceve eventi inviati attraverso il Meccanismo di gestione eventi iGateway Configurare il plug in eventi iTechnology se una delle seguenti affermazioni vera per l ambiente in questione Nella rete sono presenti iRecorder che non dispongono di client CA Audit sullo stesso sistema Si dispone di altri prodotti come CA EEM che possono inoltrare gli eventi attraverso iTechnology Dopo avere ricevuto un evento questo servizio lo invia alla libreria del mapping dopodich CA User Activity Reporting Module inserisce l evento mappato nell archivio registro eventi Configurazione del plug in eventi iTechnology Utilizzare questa procedura per configurare
453. tesso nome dell istanza dell applicazione 102 Guida all implementazione Configurazioni server CA User Activity Reporting Module iniziali Al termine dell installazione il server sara dotato sia di un sistema operativo che di un server CA User Activity Reporting Module Il sistema operativo a 32 bit supporta sia hardware a 32 che a 64 bit Le configurazioni iniziali includono le seguenti aree Account utente predefinito Struttura directory predefinita m Immagine personalizzata del sistema operativo m Assegnazioni delle porte predefinite Account utente predefinito L installazione di CA User Activity Reporting Module crea un utente amministratore predefinito caelmadmin che dispone della propria password Quando necessario effettuare l accesso diretto al server host necessario utilizzare questo account per accedere perch la possibilit di accesso dell account dell utente principale viene limitata dopo l installazione L account caelmadmin permette solo un azione di accesso Da questo punto necessario commutare gli utenti all account dell utente principale utilizzando la sua password separata per accedere alle utilit di amministrazione a livello del SO La password predefinita per questo account la stessa password creata per l account EiamAdmin Si consiglia di modificare la password dell account caelmadmin subito dopo l installazione L installazione crea anche un account predefinito di utente di servizio caelm
454. tinare le proprie password possibile impostare l avvertimento in modo che si verifichi nel momento centrale dell et o vicino alla scadenza m necessario bloccare gli account utente dopo un numero ragionevole di accessi non riusciti Ci pu aiutare a impedire agli hacker di indovinare la password Da tre a cinque tentativi il numero massimo standard dopo cui l account viene chiuso Lunghezza e formato della password Considerare le seguenti linee guida quando si stabilisce se applicare i requisiti della lunghezza A causa del modo in cui le password sono crittografate le password pi sicure sono lunghe sette o 14 caratteri Fare attenzione a non superare i limiti di lunghezza della password imposti da vecchi sistemi operativi nella rete Considerare le seguenti linee guida quando si stabilisce se applicare criteri sui caratteri massimi ripetuti o sul numero minimo o sui caratteri numerici m Le password sicure non si trovano in nessun dizionario m Le password sicure includono uno o pi caratteri da almeno tre dei quattro set di lettere minuscole lettere maiuscole cifre e caratteri speciali 46 Guida all implementazione Pianificazione aggiornamento sottoscrizioni Pianificazione aggiornamento sottoscrizioni La presente sezione contiene informazioni e procedure riguardanti la pianificazione degli aggiornamenti di sottoscrizione per l ambiente CA User Activity Reporting Module Ulteriori informazioni Serv
455. tione raccolta log Y Gestione agenti Y Default Agent Group YO my elm 2 Selezionare la scheda Amministrazione e la sottoscheda Raccolta log Espandere Gestione agenti e il gruppo agenti contenente l agente predefinito di CA User Activity Reporting Module Selezionare un agente predefinito ovvero un agente con il nome del server CA User Activity Reporting Module possibile eseguire la distribuzione di connettori diversi sull agente predefinito Fare clic su Crea nuovo connettore 2E we Bei amp Visualizza stato di Ager Crea nuove connate Dettagli stato agente G Linux_localsyslog_Connector G Syslog_Connector E Selezionare gli agenti con stato In esecuzione da riavviare Viene aperta la creazione guidata nuovo connettore con il passaggio Dettagli connettore selezionato Selezionare l integrazione MS_SQL_Server_2005 dall elenco a discesa Integrazione Il campo Nome connettore viene compilato con MS_SQL_Server_2005_Connector Facoltativo Sostituire il nome predefinito con un nome personalizzato per individuare pi facilmente il connettore Nel caso in cui il monitoraggio includa pi database SQL Server con lo stesso agente scegliere un nome univoco Creazione connettore E Immettere i dettagli richiesti Tipo Integrazioni Listener Integrazione MS_SQL_Server_2005 v Nome connettore ms_SQL_Server_2005_Connettore Versione piattaforma RHELS _ Controllo di versione
456. tit specificate di eseguire azioni su una risorsa in un certo periodo di tempo CALM una classe di risorsa predefinita che comprende le seguenti risorse di CA User Activity Reporting Module avviso ArchiveQuery calmTag dati EventGrouping integrazione e rapporto Le azioni consentite su questa classe di risorsa sono Annotazione rapporti Creazione avviso calmTag EventGrouping integrazione e rapporto Dataaccess Dati Esecuzione ArchiveQuery e Pianificazione avviso rapporto 400 Guida all implementazione calmTag Campi CEG cartella catalogo categorie di evento calmTag un attributo di AppObject dotato di nome che si utilizza creando un criterio di scoping per limitare gli utenti all utilizzo di rapporti e query appartenenti a determinati tag Tutti i rapporti e le query sono AppObject e possono avere calmTag come attributo non si deve confondere con il tag risorsa I campi CEG sono etichette utilizzate per standardizzare la presentazione dei campi di eventi non elaborati provenienti da diverse origini evento Durante il perfezionamento degli eventi CA User Activity Reporting Module analizza i messaggi degli eventi non elaborati ottenendo una serie di coppie nome valore e mappa i nomi degli eventi non elaborati ai campi CEG standard Questo perfezionamento crea delle coppie nome valore che consistono in campi e valori CEG provenienti dall evento non elaborato In altre parole quando si perfezionano gli ev
457. tivity Reporting Module Configurare i primi due dischi come RAID 1 e impostare questo array come array di avvio Configurare i dischi rimanenti come array RAID 5 singolo Se non viene configurato un array RAID si potrebbe verificare la perdita dei dati Per la sicurezza generale del server CA User Activity Reporting Module stesso durante l installazione l utilit Grand Unified Boot loader GRUB protetta da password Foglio di lavoro del server CA User Activity Reporting Module Prima di installare un server CA User Activity Reporting Module raccogliere le informazioni nella seguente tabella Una volta completato il foglio di lavoro possibile utilizzarlo mentre si lavora nei prompt di installazione possibile stampare e completare una serie di fogli di lavoro separati per ogni server CA User Activity Reporting Module che si ha intenzione di installare Informazioni CA User Activity Valore Commenti Reporting Module Disco SO Tipo tastiera Selezione fuso orario valore appropriato Specificare il tipo di tastiera che si desidera utilizzare per l impostazione della lingua Il valore predefinito corrisponde alle impostazioni hardware della tastiera connessa al server fuso orario desiderato Selezionare il fuso orario del server Capitolo 3 Installazione di CA User Activity Reporting Module 73 Installazione si un server CA User Activity Reporting Module Informazioni CA User Activity Reporting Module Password pri
458. tivity Reporting Module Virtual Appliance name gt 2 Fare clic sulla scheda Opzioni 3 Fare clic sulla scheda Risorse 4 Selezionare l opzione CPU nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Appendice E CA User Activity Reporting Module e virtualizzazione 345 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Example CA Enterprise Log Manager Yirtual Machine Properties 0 MHz o MB fiche A TE i Normal ai Advanced CPU HT Sharing Any Ios used Vv 346 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 5 Selezionare l opzione Memory Memoria nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse fi Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Virtual Machine Version 7 Settings Summary CPU O MHz Memory 0 MB Shares 163840 Disk Normal Advanced CPU HT Sharing Any Resource Allocation Reservation Oi MB MW Unlimited Limit based on parent resource pool or current host 6 Fare clic su OK Nota per ulteriori informazioni sull impostazione delle risorse consultare il sito www vmware com www vm
459. tivity Reporting Module r12 1 e versioni successive Consultare le osservazioni sull origine dati ODBC per le informazioni necessarie prima di iniziare l installazione Capitolo 3 Installazione di CA User Activity Reporting Module 111 Installazione del client ODBC Gli utenti di questa funzione devono appartenere a un gruppo di utenti con il privilegio dataaccess nel criterio predefinito di accesso ai dati nel criteri di accesso di CALM Consultare la Guida all amministrazione di CA User Activity Reporting Module r12 1 per ulteriori informazioni sui criteri di accesso Per un client ODBC trovano applicazione i seguenti prerequisiti m necessario disporre dei privilegi di amministratore per installare il client ODBC su un server Windows m L installazione del client ODBC richiede il servizio Installer di Microsoft Windows e visualizza un messaggio se non viene individuato m Configurare il servizio server ODBC in CA User Activity Reporting Module assicurandosi di aver selezionato la casella di controllo Abilita servizio Configurare un origine dati ODBC per i sistemi Windows usando l utilit Origini dati ODBC nel Pannello di controllo necessario disporre dei diritti per la creazione di file nella directory in cui si desidera installare il client su sistemi UNIX e Linux Consultare la matrice di certificazione del supporto di CA User Activity Reporting Module all indirizzo http www ca com Support per informazioni sul
460. to che coinvolge un origine una destinazione ed un agente in cui un agente di raccolta evento osserva e registra l evento Glossario 405 evento locale evento nativo evento non elaborato evento perfezionato evento registrato evento remoto evento RSS Un evento locale un evento che coinvolge una singola entita in cui il medesimo host costituisce l origine e la destinazione dell evento Un evento locale il primo dei quattro tipi di evento utilizzati nella Grammatica evento comune Un evento nativo lo stato o l azione che attiva un evento non elaborato possibile ricevere ed analizzare o mappare gli eventi nativi come appropriato per poi trasmetterli sotto forma di eventi perfezionati o non elaborati Una mancata autenticazione un evento nativo Un evento non elaborato un informazione attivata da un evento nativo inviata da un agente di monitoraggio al Log Manager collector L evento non elaborato viene spesso formattato come stringa syslog o come coppia nome valore In CA User Activity Reporting Module possibile rivedere un evento nella sua forma non elaborata Un evento perfezionato un informazione evento mappata o analizzata che deriva da eventi non elaborati o riepilogati CA User Activity Reporting Module esegue il mapping e l analisi in modo che sia possibile ricercare le informazioni archiviate Si definiscono evento registrato le informazioni di evento non elaborate o perfezionate gi inser
461. to con il server CA User Activity Reporting Module oppure possibile installare un agente su un server o una fonte di eventi nella rete La decisione di utilizzare agenti esterni si basa sul volume di eventi sulla posizione dell agente sulle esigenze di filtraggio di eventi e su altre considerazioni La pianificazione dell installazione di un agente implica quanto segue m Comprensione delle relazioni tra i seguenti componenti a Integrazioni e listener a Agenti Connettori Dimensionamento della rete per decidere quanti agenti installare necessario installare gli agenti relativamente vicino alle fonti degli eventi da cui si desidera raccogliere i registri eventi La maggior parte dei connettori raccoglie eventi da una e un unica fonte di eventi Per gli eventi syslog un unico listener syslog pu ricevere eventi da diversi tipi di fonti di eventi Un agente pu controllare e gestire il traffico degli eventi per pi di un connettore Informazioni sulla raccolta di eventi syslog CA User Activity Reporting Module pu ricevere eventi direttamente da fonti syslog La raccolta di syslog si differenzia dagli altri metodi di raccolta perch molte fonti di registri diverse possono inviare eventi a CA User Activity Reporting Module contemporaneamente Considerare un router di rete e un concentratore VPN come due possibili fonti di eventi Entrambi possono inviare eventi direttamente a CA User Activity Reporting Module utilizzando syslog m
462. to in linea dal collegamento Download file da scaricare sono cinque Il file manifesto II file ovf m Tre file di disco virtuale Installazione manuale di un server CA User Activity Reporting Module Se si installa l applicazione virtuale manualmente eseguire le operazioni riportate a continuazione 1 Distribuire un modello OVF 2 Configurare le impostazioni della risorsa 3 Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning 358 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Distribuire un modello OVF E possibile specificare le proprieta dell applicazione virtuale in un modello OVF VMware utilizza questo modello per eseguire il provisioning di un server CA User Activity Reporting Module Utilizzare il client VMware vSphere per eseguire la distribuzione del modello OVF Nota le catture di schermata riportate nelle procedure seguenti contengono dati di esempio Le catture di schermata riportate fanno riferimento al client VMware vSphere 4 0 0 Si raccomanda di specificare dati consoni al proprio ambiente Per distribuire un modello OVF 1 Fare clic su Start Programmi VMware vSphere Client sul computer su cui installato il client VMware vSphere Viene visualizzata la finestra di dialogo del client VMware vSphere Nel campo relativo all indirizzo IP nome host immettere l indirizzo IP o il nome host de
463. trario si verificher un errore di connessione Crittografia SSL Indica se utilizzare la crittografia per le comunicazioni fra il client ed il server CA User Activity Reporting Module Il valore predefinito abilita la crittografia SSL Il valore impostato deve corrispondere all impostazione del servizio Server ODBC In caso contrario si verificher un errore di connessione Propriet personalizzate Specifica le propriet di connessione da utilizzare con l archivio registro eventi Il delimitatore delle propriet un punto e virgola senza spazi valori predefiniti consigliati sono i seguenti querytimeout Indica il valore di timeout in secondi in assenza di dati restituiti allo scadere del quale la query verr chiusa Segue la sintassi per questa propriet querytimeout 300 queryfederated Specifica se eseguire una query federata Impostando questo valore su false verr eseguita una query solo sul server CA User Activity Reporting Module al quale viene eseguita la connessione di database Segue la sintassi per questa propriet queryfederated true queryfetchrows Specifica il numero di righe da recuperare in una singola operazione nel caso in cui la query abbia successo Il valore minimo 1 ed il massimo 5000 Il valore predefinito 1000 Segue la sintassi per questa propriet queryfetchrows 1000 Capitolo 3 Installazione di CA User Activity Reporting Module 115 Installazione del client ODBC off
464. ttoscheda Library Libreria ed espandere il nodo Integrazione Log Espandere sia il nodo Integrazioni che il nodo Sottoscrizione Selezionare un integrazione il cui nome termina con _ Syslog dettagli dell integrazione vengono visualizzati nella finestra sul lato destro possibile esaminare i file di analisi dei messaggi e i file di mapping dei dati utilizzato dall integrazione nonch altri dettagli quale la versione e l elenco delle regole di soppressione e riepilogo Per analizzare un listener syslog 1 2 Espandere sia il nodo Listener che il nodo Sottoscrizione Selezionare il listener Syslog dettagli del listener predefinito vengono visualizzati nella finestra sul lato destro possibile esaminare dettagli quali le versioni l elenco delle regole di soppressione e riepilogo le porte di attesa predefinite l elenco di host attendibili e il fuso orario del listener 206 Guida all implementazione Configurazione dell agente predefinito Creazione di un connettore syslog per l agente predefinito possibile creare un connettore syslog per la ricezione di eventi syslog utilizzando l agente predefinito sul server CA User Activity Reporting Module Per creare un connettore syslog per l agente predefinito 1 10 Accedere a CA User Activity Reporting Module e alla scheda Amministrazione Espandere l Explorer agente e un gruppo agente L agente predefinito viene installato automaticamente nel Gruppo agenti
465. ttoscrizione oppure in caso di sottoscrizione non in linea sul sito FTP di sottoscrizione non in linea di CA Technologies Dal momento che i moduli disponibili per il download cambiano a seconda del ciclo di aggiornamenti si consiglia di monitorare l elenco disponibile per assicurarsi che tutti i moduli necessari siano selezionati Inoltre possibile controllare il sito del supporto tecnico di Ca all indirizzo http ca com support per verificare se sono disponibili versioni e service pack nuovi per Gestione log Ulteriori informazioni Selezione dei moduli per la sottoscrizione in linea a pagina 197 Download e selezione dei moduli per la sottoscrizione non in linea a pagina 199 Pianificazione degli aggiornamenti di sottoscrizione a pagina 51 Configurazione della sottoscrizione a pagina 190 Selezione dei moduli per la sottoscrizione in linea Gli aggiornamenti della sottoscrizione CA User Activity Reporting Module attualmente disponibili sono elencati nel feed RSS fornito da CA Technologies L URL del feed RSS viene fornito per impostazione predefinita nella scheda Amministrazione del servizio di sottoscrizione in fase di installazione Non appena disponibili inuovi moduli verranno visualizzati nel feed RSS sottoscrizione Controllare periodicamente l elenco dei moduli disponibili per assicurarsi che tutti i moduli necessari siano selezionati Inoltre possibile controllare il sito del supporto tecnico di Ca all indirizzo http
466. tuisce risultati essi verranno visualizzati nella pagina degli avvisi di CA User Activity Reporting Module e quindi aggiunti ad un feed RSS Quando si pianifica un avviso possibile specificare destinazioni aggiuntive come ad esempio la posta elettronica un processo CA IT PAM di output di evento avviso e i trap SNMP CA Enterprise Log Manager CA IT PAM CA Spectrum CAELM CA User Activity Reporting Module una soluzione utile per raccogliere i registri da origini evento di tipi diversi ed ampiamente distribuite per verificare la conformit con le query e con i rapporti e per tener traccia dei database di registri compressi trasferiti su soluzioni esterne di archiviazione a lungo termine CA IT PAM corrisponde alla forma abbreviata di CA IT Process Automation Manager Questo prodotto CA automatizza i processi definiti dall utente CA User Activity Reporting Module utilizza due processi la creazione di un processo di output evento avviso per un prodotto locale come CA Service Desk ed il processo di creazione dinamica di elenchi che possono essere importati come valori chiave Per eseguire l integrazione necessario disporre di CA IT PAM r2 1 CA Spectrum un prodotto di gestione degli errori di rete che possibile integrare con CA User Activity Reporting Module per l utilizzo come destinazione di avvisi inviati sottoforma di trap SNMP CAELM il nome di istanza applicazione che CA EEM utilizza per CA User Activity Repo
467. tutti i serverCA User Activity Reporting Module che utilizzano il medesimo server di gestione Una configurazione salvata una configurazione archiviata con i valori degli attributi di accesso ai dati di un integrazione che si pu utilizzare come modello per creare una nuova integrazione Conforme a FIPS 140 2 designa un prodotto che per impostazione predefinita utilizza solo algoritmi di crittografia certificati da un laboratorio accreditato di verifica dei moduli crittografici CMT Cryptographic Module Testing CA User Activity Reporting Module pu utilizzare moduli crittografici basati sulle librerie certificate BSAFE Crypto C ME e Crypto J libraries RSA in modalit FIPS Solitamente non si tratta tuttavia dell impostazione predefinita 402 Guida all implementazione connettore Un connettore un integrazione per una particolare origine evento configurata su un dato agente Un agente pu caricare in memoria pi connettori di tipi simili o diversi Il connettore consente la raccolta degli eventi non elaborati da un origine e la trasmissione basata su regole degli eventi convertiti verso un archivio registro eventi in cui essi saranno inseriti in un database hot Le integrazioni out of the box offrono una raccolta ottimizzata di una vasta gamma di origini evento compresi i sistemi operativi i database i server Web i firewall e molti altri tipi di applicazioni di protezione possibile definire un connettore per una propria
468. u SAPI Router e Collector a pagina 242 Configurazione del servizio SAPI Collector a pagina 244 Configurazione del servizio SAPI Router a pagina 244 Appendice A Considerazioni per gli utenti CA Audit 249 Invio di eventi CA Audit a CA User Activity Reporting Module Modifica di un criterio esistente r8SP2 per l invio di eventi a CA User Activity Reporting Module Utilizzare questa procedura per abilitare un client CA Audit r8 SP2 per l invio di eventi ad entrambi i database di raccolta di CA User Activity Reporting Module e di CA Audit Aggiungendo una nuova destinazione alle azioni Route o Collector in una regola esistente possibile inviare eventi raccolti ad entrambi i sistemi In alternativa inoltre possibile modificare criteri o regole specifiche per inviare eventi solo al server CA User Activity Reporting Module Ulteriori informazioni sul funzionamento dei criteri sono disponibili nella Guida all amministrazione CA Audit r8 SP2 Fare riferimento a questa risorsa per i dettagli sull esecuzione dei passaggi nella procedura che segue CA User Activity Reporting Module raccoglie eventi da client CA Audit utilizzando i listener CA Audit SAPI Router e CA Audit SAPI Collector Gli eventi raccolti vengono archiviati nell archivio registro eventi CA User Activity Reporting Module solo dopo avere inviato il criterio ai client ed esso diventa attivo Importante necessario configurare i listener CA User Activity Reporting Module
469. ualsiasi momento ma utile eseguire questa operazione prima di iniziare la pianificazione dei rapporti se si desiderano rapporti consolidati La configurazione di una federazione include le seguenti operazioni 1 Creare una mappa della federazione 2 Installare il primo CA User Activity Reporting Module il server di gestione 3 Installare uno o pi server aggiuntivi 4 Configurare le relazioni genitore figlio Ad esempio iniziare selezionando i figli della federazione del server di gestione dalle impostazioni di archiviazione dei registri eventi di questo server Il primo gruppo di server figlio forma il secondo strato o livello della federazione se si sta configurando una federazione gerarchica 5 Visualizzare il grafico della federazione per verificare che la struttura tra i server nei livelli genitore e figlio sia configurata correttamente Configurazione di un server CA User Activity Reporting Module come server figlio La configurazione di un server CA User Activity Reporting Module come figlio di un altro server il passaggio fondamentale nella creazione di una federazione Utilizzare questa procedura per aggiungere server alla federazione in qualsiasi momento necessario installare tutti i server CA User Activity Reporting Module che si desidera federare utilizzando lo stesso nome dell istanza dell applicazione registrato prima di eseguire questa parte della configurazione Quando si installa un nuovo server il suo n
470. uenti Istanza dell applicazione ITPAM Criteri relativi all accesso a CA IT PAM Gruppi e utenti inclusi ITPAMAdmins ITPAMUsers itpamadmin e itpamuser predefiniti certificato itpamcert p12 Appendice C Considerazioni su CA IT PAM 295 Registrazione di CA IT PAM con CA EEM condiviso E possibile creare oggetti di protezione di CA IT PAM sul server di gestione CA User Activity Reporting Module Prima di iniziare necessario ottenere la password caelmadmin se non si dispone gi di essa Per registrare CA IT PAM con CA EEM sul server di gestione CA User Activity Reporting Module 1 Accedere all applicazione CA User Activity Reporting Module attraverso ssh in qualita di utente caelmadmin Commutare gli utenti sull account root su Modificare le directory nel percorso di destinazione ed elencare il contenuto cd opt CA SharedComponents iTechnology ls Verificare che i seguenti file siano elencati a ITPAM_eem xml m safex Eseguire il comando safex h lt nome host ELM gt u EiamAdmin p lt password gt f ITPAM eem xml Il processo crea l applicazione di CA IT PAM nel server di gestione di CA User Activity Reporting Module aggiunge gli utenti predefiniti e genera il certificato necessario durante l installazione di CA IT PAM Il certificato stato generato con la password specificata nel file ITPAM_eem xml o se non stato modificato itpamcertpass Nota per informazioni sull utilizzo de
471. ule Virtual Appliance name gt Virtual Machine Properties Propriet del computer virtuale lt CA User Activity Reporting Module Virtual Appliance name gt 2 Fare clic sulla scheda Opzioni 3 Fare clic sulla scheda Risorse 4 Selezionare l opzione CPU nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Appendice E CA User Activity Reporting Module e virtualizzazione 387 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Example CA Enterprise Log Manager Yirtual Machine Properties 0 MHz o MB fiche A TE i Normal ai Advanced CPU HT Sharing Any Ios used Vv 388 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 5 Selezionare l opzione Memory Memoria nella colonna Impostazioni quindi selezionare High Alta dal menu a discesa Shares Condivisioni nella sezione Resource allocation Allocazione risorse Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Virtual Machine Version 7 Settings Summary CPU O MHz Memory 0 MB Shares 163840 Disk Normal Advanced CPU HT Sharing Any Resource Allocation Reservation Oi MB M Unlimited Limit based on parent resource pool or current host 6 Fare clic su OK
472. ule in totale necessario distribuire Questo valore si basa sul numero di periferiche nella rete e sul volume di eventi che generano Decidere quanti layer di server federati sono necessari Questo numero si basa in parte sulle decisioni che vengono prese nei passaggi 2 e 3 Identificare i tipi di evento che ogni server CA User Activity Reporting Module riceve nella federazione Se la rete ha un gran numero di periferiche basate su syslog e solo pochi server Windows possibile decidere di allocare un server CA User Activity Reporting Module appositamente per la raccolta eventi di Windows Sono necessari server diversi per gestire il traffico degli eventi syslog La pianificazione in anticipo di quali server CA User Activity Reporting Module ricevono quale tipo di eventi semplifica la configurazione dei listener e dei servizi locali Abbozzare una mappa di questa rete da utilizzare durante la configurazione dei server figlio CA User Activity Reporting Module federati Includere i nomi e gli indirizzi IP dei DNS nella mappa se noti Si utilizzeranno i nomi DNS dei server CA User Activity Reporting Module per configurare le relazioni della federazione tra di essi Capitolo 2 Pianificazione dell ambiente 33 Pianificazione di una federazione Esempio mappa federazione di una grande impresa Quando si crea la mappa di una federazione considerare i tipi di rapporti per cui si vogliono set diversi di dati consolidati Ad esempi
473. ule mediante l immagine ISO o i DVD per CA User Activity Reporting Module 12 1 SP1 o versioni successive Importante Accertarsi di specificare la modalit FIPS durante l installazione In caso contrario il nuovo server installato non potr comunicare con il server di gestione o il server remoto CA EEM e sar necessario reinstallare il nuovo server CA User Activity Reporting Module L abilitazione della modalit FIPS per il server di gestione CA User Activity Reporting Module o per il server remoto CA EEM consente di registrare il nuovo server CA User Activity Reporting Module e di associarlo alla federazione Ulteriori informazioni Abilitare operazioni di modalit FIPS a pagina 89 Visualizzare il dashboard di agente a pagina 91 Considerazioni sull installazione di sistemi con unit di SAN Quando si installa il sistema operativo per l applicazione CA User Activity Reporting Module su un sistema con unit SAN procedere con cautela per evitare che CA User Activity Reporting Module venga installato su una unit SAN Una installazione di questo tipo non verr eseguita Selezionare uno dei seguenti approcci per garantire una corretta installazione Disattivare le unit SAN installare il sistema operativo e l applicazione CA User Activity Reporting Module come di consueto Quindi configurare le unit SAN per CA User Activity Reporting Module e riavviare CA User Activity Reporting Module per attivare la configurazione SAN
474. ulla concatenazione dei file in authorized_keys 166 Guida all implementazione Configurazione dell archivio registro eventi Esempio archiviazione automatica fra tre server Quando si utilizza la struttura raccolta rapporto occorre configurare l archiviazione automatica dal server di raccolta al server di rapporto Questa configurazione rende automatico il trasferimento di un database warm con dati del registro eventi raccolti e perfezionati al server di rapporto dove possibile creare i rapporti relativi Si consiglia di pianificare la ricorrenza dell archiviazione automatica perch si verifichi a ogni ora piuttosto che tutti i giorni in modo da evitare di dedicare una grande quantit di tempo ogni giorno a un enorme trasferimento di dati Scegliere una pianificazione basata sul proprio carico e decidere se sia meglio consolidare l elaborazione o distribuirla nel corso della giornata Quando i database vengono copiati tramite l archiviazione automatica da un server di raccolta al relativo server di rapporto tali database vengono eliminati dal server di raccolta Dopo aver identificato un server locale con molto spazio di archiviazione possibile configurare l archiviazione automatica dal server di rapporto a questo server di archiviazione remota Quando i database vengono copiati tramite archiviazione automatica da un server di rapporto a un server di archiviazione remota tali database rimangono intatti sul server di rapporto fino al
475. um Host Cluster 10 10 0 10 Datastore Storage 172 60 10 20 Network Mapping VM Network to VM Network IP Allocation Fixed IPv4 Property LOCAL_REMOTE_EEM Local Property REMOTE_EEM_LOCATION none Property EEM_PASSWORD exampleeiamadminpassword Property FIPS_MODE No Property HOSTNAME examplecaelm Property ROOT_PASSWORD examplerootpassword Property IP_ADDRESS 172 160 0 0 Property SUBNET_MASK 10 0 0 0 Property DEFAULT_GATEWAY 198 168 0 0 Property DNS_SERVERS 198 168 10 20 198 168 10 25 Property DOMAIN_NAME example com Property TIMEZONE AfricafAbidjan Property NTPLOCATION 198 168 10 30 Viene visualizzato il messaggio Opening VI target Apertura destinazione VI in corso Viene visualizzato lo stato di distribuzione dell applicazione virtuale Se l installazione viene completata correttamente l applicazione virtuale viene visualizzata nel centro dati selezionato nel riquadro sinistro 368 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 18 Facoltativo Se si desidera modificare le informazioni immesse eseguire le seguenti operazioni a Nella finestra relativa alla distribuzione del modello OVF fare clic ripetutamente su Indietro fino a raggiungere la pagina da modificare b Apportare le modifiche necessarie c Quindi fare clic ripetutamente su Avanti fino a raggiungere la pagina Ready to Complete Pronto per il completam
476. un ampia area La struttura simile al grafico di un organizzazione Non esiste un numero di livelli impostato da creare possibile creare i livelli che hanno pi senso per le esigenze della propria azienda In una federazione gerarchica possibile connettersi a ogni server CA User Activity Reporting Module per visualizzare i rapporti sui dati degli eventi e i dati dei server figlio al di sotto L estensione dei dati a cui si pu accedere limitata da dove si inizia la gerarchia Se si inizia al centro della gerarchia possibile visualizzare solo i dati del server e i dati di ogni server figlio Pi ci si sposta in alto nella gerarchia di una federazione pi sar ampia l estensione dei dati della rete disponibili AI livello massimo si ha accesso a tutti i dati dell intera distribuzione Le federazioni gerarchiche sono utili ad esempio in distribuzioni regionali Supponiamo di volere che le risorse locali abbiano accesso ai dati degli eventi all interno di una certa gerarchia o ramo della rete ma non ai dati degli eventi in altri rami paralleli Si pu creare una federazione gerarchica con due o pi rami paralleli per contenere i dati per ogni regione Ognuno dei rami pu inviare rapporti a un server di gestione CA User Activity Reporting Module presso l ufficio della sede centrale per una visualizzazione dall alto al basso di tutti i rapporti del registro eventi 224 Guida all implementazione Federazioni gerarchiche
477. una directory esterna si recupera dall archivio utente esterno l account utente dell utente a cui assegnare un ruolo CA User Activity Reporting Module Gli account utente di archivi utente esterni vengono recuperati come utenti globali Non possibile modificare le informazioni di un account utente esistente ma possibile aggiungere un nuovo gruppo utente o ruolo dell applicazione CAELM Per il primo utente assegnare il ruolo di amministratore Nota non possibile creare nuovi utenti da CA User Activity Reporting Module quando si configura un archivio utente esterno 3 Disconnessione dal server CA User Activity Reporting Module 4 Accedere nuovamente al server CA User Activity Reporting Module con le credenziali del nuovo account utente Quindi sar possibile eseguire le attivit di configurazione 140 Guida all implementazione Creazione del primo amministratore Creazione di un nuovo account utente E possibile creare un account utente per ogni persona che utilizzera CA User Activity Reporting Module Fornire le credenziali con cui l utente effettuer l accesso per la prima volta e specificare il rispettivo ruolo tre ruoli predefiniti includono amministratore analista e revisore Quando un nuovo utente a cui assegnato il ruolo di analista o revisore effettua l accesso CA User Activity Reporting Module autentica l utente con le credenziali salvate e autorizza l utilizzo di varie funzionalit in base al ruolo assegnat
478. up regolari delle informazioni conservate nell istanza dell applicazione CA User Activity Reporting Module Un istanza dell applicazione uno spazio comune all interno del repository CA EEM che conserva le seguenti informazioni Utenti gruppi e criteri di accesso m Agente integrazione listener connettore e configurazioni salvate Query personalizzate rapporti e regole di soppressione e di riepilogo Relazioni di federazione m Informazioni di gestione del codice binario Chiavi di crittografia 304 Guida all implementazione Backup dell istanza dell applicazione CA EEM possibile eseguire la procedura di backup CA EEM dall interno dell interfaccia del browser web CA EEM Solitamente tutti i server CA User Activity Reporting Module in un azienda utilizzano la stessa istanza dell applicazione Il valore predefinito dell istanza dell applicazione CA User Activity Reporting Module CAELM possibile installare server CA User Activity Reporting Module con istanze delle applicazioni diverse ma possibile federare solo i server che condividono la stessa istanza dell applicazione server configurati per utilizzare lo stesso server CA EEM ma con istanze delle applicazioni diverse condividono solo l archivio utente i criteri delle password e i gruppi globali La Guida introduttiva di CA EEM contiene ulteriori informazioni sulle operazioni di backup e di ripristino Backup dell istanza dell applicazione CA EEM possi
479. uster Resource Pool Properties Ready to Complete Appendice E CA User Activity Reporting Module e virtualizzazione 337 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Viene visualizzata la pagina del contratto di licenza per l utente finale In questa pagina viene visualizzato il contratto di licenza per i prodotti di terze parti Sar necessario accettare il contratto di licenza per poter procedere all installazione di CA User Activity Reporting Module 11 Leggere il testo del contratto Deploy O F Template End User License Agreement Accept the end user license agreements Source OYF Template Details End User License Agreeme Name and Location Deployment Configuration Host Cluster Properties Ready to Complete 338 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali 12 Accettare i termini del contratto quindi fare clic su Avanti Verra visualizzata la pagina relativa al nome e alla posizione In questa pagina sara possibile indicare un nome per identificare il server CA User Activity Reporting Module e specificare il centro dati in cui si desidera eseguire il provisioning del server CA User Activity Reporting Module 13 Immettere il nome del server CA User Activity Reporting Module nel campo Nome selezionare il centro dati da Inventory Location Posizione inventario quindi fare clic su
480. vati nell archivio di registro eventi Una ricatalogazione la ricostruzione forzata del catalogo Si deve eseguire una ricatalogazione solo quando si ripristinano dei dati di un archivio registro eventi su un server diverso da quello in cui stato generato Ad esempio se si sceglie un CA User Activity Reporting Module che agisca come punto di ripristino per le analisi sui dati cold si potrebbe dover forzare una ricatalogazione del database dopo averlo ripristinato nel punto di ripristino scelto Se necessario la ricatalogazione si avvier automaticamente al riavvio di iGateway La ricatalogazione di un singolo file di database pu impiegare anche diverse ore Una risorsa applicazione una delle risorse specifiche di CA User Activity Reporting Module per cui i criteri di accesso di CALM consentono o negano alle identit specificate di eseguire azioni specifiche dell applicazione come creare pianificare e modificare Alcuni esempi di risorse applicazione sono il rapporto l avviso e l integrazione Consultare anche Risorsa globale Glossario 419 risorsa globale ruolo utente SafeObject SAPI collector SAPI recorder SAPI router sensore di registro server avvisi Una risorsa globale del prodotto CA User Activity Reporting Module una risorsa condivisa con altre applicazioni CA possibile creare criteri di scoping con risorse globali Alcuni esempi sono l utente il criterio ed il calendario Consultare anche Risors
481. vent time gmt gt timestampadd mi 15 now GROUP BY receiver hostname event logname Installazione del client JDBC Il client JDBC fornisce l accesso JDBC attraverso qualsiasi applet applicazione o server applicazioni Java Fornisce l accesso n tier e point to point ad alte prestazioni alle origini dati Il client ottimizzato per l ambiente Java e permette di incorporare la tecnologia Java ed estendere le funzionalit e le prestazioni del sistema esistente Il client JDBC viene eseguito su piattaforme a 32 bit e 64 bit Non necessario modificare le applicazioni esistenti per consentirne l esecuzione su piattaforme a 64 bit L installazione del client JDBC comprende i seguenti passaggi 1 Assicurarsi che sia installato e funzionante un server per applicazioni Web con funzionalit di configurazione del pool di connessione 2 Ottenere il codice licenza per il driver del client JDBC Capitolo 3 Installazione di CA User Activity Reporting Module 117 Installazione del client JDBC 3 Installazione del client JDBC 4 Configurare la connessione al database usando le funzioni di gestione del pool di connessione del server delle applicazioni Web 5 Verificare la connessione al database Prerequisiti del client JDBC L accesso di JDBC al deposito eventi di log disponibile solo in CA User Activity Reporting Module r12 1 e versioni successive possibile installare il client JDBC su sistemi Windows e UNIX Gli utenti
482. vio di eventi a CA User Activity Reporting Modules sedesa AA ia 273 Configurazione del plug in eventi iTech per gli eventi CA Access Control 274 Download e installazione di un iRecorder di CA Access COntrol ii 275 Configurazione di un iRecorder CA Access Control autonomo ii 275 Importazione di eventi CA Access Control da un database di raccolta CA Audit 277 Prerequisiti per l importazione di eventi CA Access CONtrol ii 278 Creazione di un rapporto eventi SEOSDATA per eventi CA Access CONtrol i 279 Anteprima di un rapporto di eventi di CA Access Control 281 Importazione di eventi CA Access Control 284 Visualizzazione di query e rapporti per la visualizzazione di eventi di CA Access Control 285 Protezione di CA User Activity Reporting Module mediante CA Access Control 288 deinet LUTTE h n EEan EE EE EA EEE E EE E aaa 290 Appendice C Considerazioni su CA IT PAM 291 Scenario utilizzo di CA EEM in CA User Activity Reporting Module per l autenticazione CA IT PAM 292 Processo di implementazione di CA IT PAM L i 293 Preparazione dell implementazione dell autenticazione di CA IT PAM su un CA EEM condiviso 294 Copiare un file XML nella Gestione di CA User Activity Reporting MOduUle i 295 Registrazione di CA IT PAM con CA EEM condiv
483. virtuali all ambiente eceecseceesseeeceeseeaeceeeeaaeeeeseaaeeeeseaaeeeeneaaes Creazione di un ambiente completamente virtuale Distribuzione rapida di server virtuali di CA User Activity Reporting Module Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Informazioni sulle applicazioni virtuali CA User Activity Reporting Module Modalit di utilizzo dell applicazione virtuale ii Foglio di lavoro per l installazione dell applicazione virtuale Aggiunta di server virtuali all ambiente Creazione di un ambiente completamente virtuale Distribuzione rapida di server virtuali Attivit successive all installaZione i Creazione di un profilo di raccolta evento Disponibilit elevata di CA User Activity Reporting Module i Prerequisiti imeenea kna eeraa eE eRe a Ae since RR SARTORI e EEE ER aa tape Abilitazione della disponibilit elevata di CA User Activity Reporting Module Glossario Indice 427 Sommario 11 Capitolo 1 Introduzione Questa sezione contiene i seguenti argomenti Informazioni sulla guida a pagina 13 Informazioni sulla guida Sezione Questa Guida di implementazione di CA User Activity Reporting Module contiene le istruzioni necessarie per pianificare installare e configurar
484. vizi di certificazione Microsoft Active Directory e database Oracle9i Glossario 395 aggiornamenti di contenuto Gli aggiornamenti di contenuto sono le parti non binarie degli aggiornamenti di sottoscrizione salvati nel server di gestione CA User Activity Reporting Module Gli aggiornamenti di contenuto comprendono contenuti come i file XMP e DM gli aggiornamenti di configurazione per i moduli di CA User Activity Reporting Module e gli aggiornamenti della chiave pubblica aggiornamenti di sottoscrizione aggregazione evento analisi analisi dei file XMP analisi del mapping Gli aggiornamenti di sottoscrizione sono i file binari e non distribuiti dal server di sottoscrizione diCA Technologies file binari sono degli aggiornamenti di modulo di prodotto solitamente installati sui CA User Activity Reporting Module file non binari o aggiornamenti di contenuto vengono memorizzati sul server di gestione L aggregazione evento il processo di consolidamento delle voci di registro simili fra loro in una singola voce contenente il numero di ricorrenze dell evento Le regole di riepilogo definiscono la modalit di aggregazione degli eventi L analisi detta anche analisi del messaggio il processo di acquisizione dei dati non elaborati di dispositivo allo scopo di trasformarli in coppie chiave valore L analisi si esegue usando un file XMP L analisi che precede il mapping dei dati un passo del procedimento di integrazione
485. vo sull applicazione CA User Activity Reporting Module Un alternativa lasciare le unit SAN abilitate modificando il file di kickstart ca elm ks cfg con uno strumento di modifica ISO dopo l avvio del sistema operativo La modifica consente di verificare che l installazione e l avvio vengono eseguiti dal disco rigido locale non dalla SAN Per avviare il sistema dal disco locale SAN 1 2 3 4 Avviare il server con il DVD di installazione del sistema operativo Rispondere al primo prompt sul tipo di tastiera Premere Alt F2 per visualizzare il prompt Anaconda Kickstart Digitare la seguente stringa list hardrives Viene visualizzato l elenco di unit disponibili in cui l elenco simile a quello illustrato di seguito cciss c0d0 68GB RAID 1 cciss HP Smart Array Sda 500GB SAN sda h SAN Multipathed Sdb 500GB SAN Sdc 500GB SAN Sdd 500GB SAN Sde 500GB SAN Sdf 500GB SAN Sdg 500GB SAN Sdh 500GB SAN Identificare il disco rigido locale In questo caso si tratta di cciss cOd0 Capitolo 3 Installazione di CA User Activity Reporting Module 101 Configurazioni server CA User Activity Reporting Module iniziali 6 Procedere come segue a e Aprire il file di kickstart del sistema operativo di CA User Activity Reporting Module ca elm ks cfg per la modifica utilizzare un editor ISO Individuare la seguente riga da modificare bootloader location mbr
486. ware com Appendice E CA User Activity Reporting Module e virtualizzazione 347 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning Il server CA User Activity Reporting Module deve essere attivato per poter dare inizio all esecuzione Per attivare un server CA User Activity Reporting Module 1 Selezionare il nuovo server CA User Activity Reporting Module nel riquadro sinistro della finestra dell applicazione VMware 2 Fare clic sull opzione di avvio in Basic Tasks Attivit di base della scheda Getting Started Introduzione del riquadro destro Il server CA User Activity Reporting Module verr attivato Nota verificare che un server primario CA User Activity Reporting Module sia in esecuzione prima di attivare un server secondario CA User Activity Reporting Module Installazione invisibile di un server CA User Activity Reporting Module Quando si procede all installazione dell applicazione virtuale in modalit invisibile all utente necessario eseguire le seguenti operazioni 1 Richiamare lo strumento OVF 2 Configurare le impostazioni della risorsa 3 Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning La tabella seguente descrive i parametri utilizzati per eseguire la distribuzione di CA User Activity Reporting Module mediante lo strumento OVF
487. y 0 MB Shares 163840 Disk Normal Advanced CPU HT Sharing Any Resource Allocation Reservation Oi MB M Unlimited Limit based on parent resource pool or current host 6 Fare clic su OK Nota per ulteriori informazioni sull impostazione delle risorse consultare il sito www vmware com www vmware com Appendice E CA User Activity Reporting Module e virtualizzazione 355 Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Attivare il server CA User Activity Reporting Module di cui stato eseguito il provisioning Il server CA User Activity Reporting Module deve essere attivato per poter dare inizio all esecuzione Per attivare un server CA User Activity Reporting Module 1 Selezionare il nuovo server CA User Activity Reporting Module nel riquadro sinistro della finestra dell applicazione VMware 2 Fare clic sull opzione di avvio in Basic Tasks Attivit di base della scheda Getting Started Introduzione del riquadro destro Il server CA User Activity Reporting Module verr attivato Nota verificare che un server primario CA User Activity Reporting Module sia in esecuzione prima di attivare un server secondario CA User Activity Reporting Module Verifica dell installazione di un server virtuale CA User Activity Reporting Module Quando si attiva il server CA User Activity Reporting Module di cui stato eseguito il provisioning nella scheda della c
488. y Reporting Module Nome utente predefinito EiamAdmin Password predefinita la password immessa durante la procedura di installazione del server CA User Activity Reporting Module Ulteriori informazioni Aggiunta di server virtuali all ambiente a pagina 333 Creazione di un ambiente completamente virtuale a pagina 356 Distribuzione rapida di server virtuali a pagina 381 Attivit successive all installazione Dopo aver attivato un server CA User Activity Reporting Module possibile eseguire le operazioni riportate a continuazione m Modificare iltipo di tastiera Aggiungere un server NTP 390 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali Modifica del tipo di tastiera Per impostazione predefinita un server CA User Activity Reporting Module di cui stato eseguito il provisioning utilizza la tastiera US standard possibile modificare il tipo di tastiera che si desidera utilizzare cambiando le impostazioni della lingua nazionali Per modificare il tipo di tastiera 1 2 Accedere alla console CA User Activity Reporting Module come utente root Eseguire il comando vi etc sysconfig keyboard Il file di tastiera viene aperto in modalit di modifica Vengono visualizzati i dettagli relativi al tipo di tastiera esistente Sostituire US nel valore KEYTABLE con le impostazioni nazionali della lingua che si desidera impostare Ad esempio per ut
489. y Reporting Module separati che operino come server di rapporto e di raccolta per ottenere le prestazioni migliori Rivedere le istruzioni dell installazione normale prima di installare CA User Activity Reporting Module in un ambiente virtuale Il foglio di calcolo dell installazione aiuta a raccogliere le informazioni necessarie Per installare CA User Activity Reporting Module in una macchina virtuale 1 Caricare il disco di installazione del SO CA User Activity Reporting Module nell unit DVD ROM fisica o localizzare la directory in cui stata copiata l immagine di installazione 2 Evidenziare la macchina virtuale nell elenco dell inventario delle macchine virtuali fare clic con il pulsante destro su di essa e selezionare Accendi 3 Procedere con l installazione normale di CA User Activity Reporting Module 4 Configurare il server CA User Activity Reporting Module installato per il ruolo funzionale richiesto utilizzando le informazioni nella sezione sull installazione di un server CA User Activity Reporting Module Ulteriori informazioni Installazione di CA User Activity Reporting Module a pagina 79 Distribuzione rapida di server virtuali di CA User Activity Reporting Module possibile clonare un server CA User Activity Reporting Module virtuale per creare un immagine distribuibile per la rapida scalabilit del proprio ambiente di raccolta registri Appendice E CA User Activity Reporting Module e virtualizzazione 321
490. y Reporting Module REM 2 386 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante applicazioni virtuali ovftool dm thin acceptAllEulas name example collectionserver2 deploymentOption medium prop ROOT_PASSWORD example password2 prop LOCAL REMOTE EEM Remote prop REMOTE EEM LOCATION example managementserver prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 10 30 prop SUBNET MASK 10 0 10 40 prop HOSTNAME example collection server2 prop DEFAULT_GATEWAY 198 168 10 40 prop DNS_SERVERS 198 168 30 30 198 168 30 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata prop NTPLOCATION 198 168 10 30 C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Configurazione delle impostazioni di risorsa Dopo aver importato il modello OVF necessario definire manualmente le impostazioni della risorsa per migliorare le prestazioni del server CA User Activity Reporting Module di cui stato eseguito il provisioning Nota assicurarsi di impostare l unit CD DVD per dispositivo client Procedere come descritto di seguito 1 Fare clic con il pulsante destro del mouse sulla nuova applicazione virtuale di CA User Activity Reporting Module nel riquadro sinistro quindi sull opzione di modifica impostazioni Viene visualizzata la finestra lt CA User Activity Reporting Mod
491. zando VMware Infrastructure Client Utilizzare quattro processori affinch ogni server virtuale CA User Activity Reporting Module possa raggiungere prestazioni accettabili Per creare una macchina virtuale 1 Accedere a VMware Infrastructure Client 2 Fare clic con il pulsante destro sull host ESX nel riquadro a sinistra e selezionare Nuova macchina virtuale per richiamare la procedura guidata della nuova macchina virtuale Questa azione visualizza una finestra di dialogo per la configurazione 3 Selezionare una configurazione personalizzata e fare clic su Avanti Verr visualizzata una finestra di dialogo del nome e della posizione Appendice E CA User Activity Reporting Module e virtualizzazione 313 Creazione di server CA User Activity Reporting Module mediante computer virtuali 4 Immettere un nome per il server CA User Activity Reporting Module che verra installato su questa macchina virtuale e fare clic su Avanti 5 Specificare le impostazioni di archiviazione per la macchina virtuale e fare clic su Avanti Verificare che le impostazioni di archiviazione siamo abbastanza grandi per il server CA User Activity Reporting Module Si consiglia un minimo di 500 GB Nota si configureranno unito disco virtuale aggiuntive per l archiviazione dei registri eventi raccolti in un altra procedura 6 Selezionare Red Hat Enterprise Linux 5 32 bit come sistema operativo guest e fare clic su Avanti 7 Selezionare 4 come numero di
492. zata la schermata di accesso a CA User Activity Reporting Module 2 Effettuare l accesso come utente amministrativo EiamAdmin Apparir la sottoscheda Gestione utenti e accessi della scheda Amministrazione L installazione andata a buon fine se possibile effettuare l accesso al server CA User Activity Reporting Module Nota necessario configurare uno o pi servizi delle origini evento prima di potere ricevere i dati degli eventi e visualizzare i rapporti Visualizzazione degli eventi di automonitoraggio possibile utilizzare gli eventi di automonitoraggio per verificare che il server CA User Activity Reporting Module sia installato correttamente Mentre sono presenti alcune attivit di configurazione da completare prima che CA User Activity Reporting Module possa raccogliere e inviare rapporti sui dati dei registri eventi da qualsiasi punto della rete possibile vedere gli eventi di automonitoraggio generati immediatamente dal server CA User Activity Reporting Module L accesso al server CA User Activity Reporting Module la prima prova e la migliore di un installazione eseguita correttamente Gli eventi di automonitoraggio sono un altro modo per verificare lo stato del server CA User Activity Reporting Module Sono disponibili diversi tipi di eventi di automonitoraggio Utilizzare questa procedura per vedere dati aggiuntivi dagli eventi generati dal server CA User Activity Reporting Module stesso Per visualizzare eve
493. zione di CA User Activity Reporting Module 85 Aggiornamento di server e agenti CA User Activity Reporting Module esistenti per il supporto FIPS Il processo di aggiornamento ed attivazione di FIPS include i seguenti passaggi 1 Aggiornare il server primario o il server di gestione alla versione r12 1 SP1 Se si utilizza un server CA EEM remoto assicurarsi che si trovi a un livello di versione che supporta FIPS Consultare le Note di rilascio di CA EEM per ulteriori informazioni sull aggiornamento del supporto FIPS Istruzioni dettagliate per l utilizzo del servizio di sottoscrizione per l aggiornamento sia di server che di agenti CA User Activity Reporting Module sono disponibili nella sezione relativa alla sottoscrizione della Guida all amministrazione Aggiornare tutti gli altri server CA User Activity Reporting Module in una federazione a r12 1 SP1 Aggiornare tutti gli agenti alla versione r12 1 SP1 e aggiornare i sensori di log del connettore come richiesto Importante Se viene distribuito un connettore che utilizza il sensore di log syslog su un host Windows aggiornare tutte le configurazioni del connettore per utilizzare la versione pi recente del sensore syslog per questa versione quando in esecuzione in modalit FIPS Fare riferimento alla Matrice di integrazione del prodotto https support ca com irj portal anonymous phpdocs filePath 0 8238 82 38_integration certmatrix html CA User Activity Reporting Module per l e
494. zione di un ambiente completamente virtuale a pagina 356 Distribuzione rapida di server virtuali a pagina 381 312 Guida all implementazione Creazione di server CA User Activity Reporting Module mediante computer virtuali Aggiunta di server virtuali all ambiente Se si dispone gi di un implementazione di CA User Activity Reporting Module possibile aggiungere server di raccolta CA User Activity Reporting Module per gestire un volume di eventi in aumento nella rete Questo scenario d per scontato che sia gi stato installato un server di gestione CA User Activity Reporting Module e uno o pi server CA User Activity Reporting Module per la raccolta e i rapporti Nota per ottenere le migliori prestazioni installare CA User Activity Reporting Module su server virtuali per gestire solo attivit di raccolta e rapporti La procedura per l aggiunta di server di raccolta virtuali all ambiente include le seguenti procedure 1 Creazione di una nuova macchina virtuale 2 Aggiunta di unit disco virtuali 3 Installazione di CA User Activity Reporting Module sulla macchina virtuale 4 Configurazione del server CA User Activity Reporting Module come descritto nella sezione sull installazione Dopo avere installato il server di raccolta virtuale possibile aggiungerlo alla federazione per le query e i rapporti Creazione di una nuova macchina virtuale Utilizzare questa procedura per creare una nuova macchina virtuale utiliz
495. zione non in linea deve essere stato copiato nella posizione corretta sul server In caso contrario viene visualizzato un prompt 6 Fare clic su Salva Ulteriori informazioni Configurazione della sottoscrizione a pagina 190 Configurazione di un client di sottoscrizione client di sottoscrizione eseguono il download degli aggiornamenti CA User Activity Reporting Module piu recenti dai proxy di sottoscrizione Dopo aver recuperato gli aggiornamenti il client installa i componenti scaricati Tutti i server CA User Activity Reporting Module che non sono configurati come proxy di sottoscrizione sono client di sottoscrizione per impostazione predefinita Non necessario configurare un server a livello locale come client salvo il caso in cui si desideri eseguire l override delle impostazioni di sottoscrizione impostate a livello globale Un client di sottoscrizione non in grado di recuperare gli aggiornamenti da un proxy di sottoscrizione prima del completamento del download e dell installazione degli stessi Il client tenta di recuperare gli aggiornamenti da ciascun server proxy incluso nell elenco configurato Se nessun proxy ha completato l installazione degli aggiornamenti richiesti dal client il client invia nuovamente la richiesta ogni 5 minuti fino al completamento dell aggiornamento Se il client non in grado di scaricare gli aggiornamenti dopo un periodo di un ora l aggiornamento viene annullato e il client tenter nuov
496. zione non riuscito o indesiderato Ogni download della sottoscrizione crea file di backup con la data del backup Questa procedura consente di ripristinare solo i server Log Manager non EEM o altri componenti Per ripristinare un server dopo l aggiornamento della sottoscrizione 1 Terminare il processo iGateway sul nuovo server Per effettuare quest operazione navigare fino alla cartella opt CA SharedComponents iTechnology ed eseguire il seguente comando S99igateway stop 2 Navigare fino alla directory opt CA SharedComponents iTechnology 3 Immettere il seguente comando sh restore sh lt backupdate gt lt backupversion gt Ad esempio sh restore sh 22 Sep 2010 12 0 45 10 4 Navigare fino alla directory opt CA SharedComponents iTechnology 5 Avviare il servizio igateway Per effettuare questa operazione eseguire il seguente comando S99igateway start Appendice D Ripristino di emergenza 309 Sostituzione di un server CA User Activity Reporting Module Sostituzione di un server CA User Activity Reporting Module Utilizzare questa procedura per sostituire una raccolta di server CA User Activity Reporting Module in seguito a un emergenza o a un guasto serio Questa procedura permette di eseguire il ripristino da una situazione di emergenza creando un nuovo server CA User Activity Reporting Module per riprendere la raccolta di eventi al posto del server guasto Nota questo procedura non ripristina i dati degli eventi ch
497. zioni verranno visualizzate nella scheda Fuso orario delle propriet di data e ora Aprire l orologio sulla barra delle applicazioni Selezionare l opzione Leggi dal principio se si desidera che il sensore log legga gli eventi dall inizio del database In caso contrario deselezionare l opzione Di seguito si riporta un esempio parziale Configurazione sensore Stringa di connessione DSN SQLServer Wire Protocol Address 172 24 36 107 1433 Database master Nome utente ELMsqglagent Firma di differenza fuso orario v Ore di differenza fuso orario 5 Minuti di differenza fuso orario 0 Nome log eventi ms_sQL_Server Aggiorna percentuale di ancoraggio 10 Intervallo di polling 10 Numero massimo di eventi al secondo 1000 212 Guida all implementazione Password lt gt lt gt a gt lt gt 4 b V Leggere dal principio Esempio Abilitazione della raccolta diretta tramite ODBCLogSensor 10 Fare clic su Salva quindi su Chiudi Il nuovo nome del connettore viene visualizzato sotto l agente in Gestione agenti Gestione raccolta log vy Gestione agenti y Default Agent Group v amp my elm 3 e Linux_localsyslog_Connector e Syslog_Connector e MS_SQL_Server_2005_Connettore 11 Fare clic su MS _ SQL Server_2005 Connector per visualizzare i dettagli dello stato Inizialmente lo stato visualizzato Configurazione in sospeso Attendere che lo stat
498. zzare quali eventi di CA Access Control sono presenti nella tabella SEOSDATA LMSeosImport dsn My Audit DSN user sa password sa report Dopo l elaborazione l utilit visualizza un rapporto che assomiglia al seguente Import started on Fri Jan 2 15 20 30 2009 No transport specified defaulting to SAPI Preparing ODBC connections Successfully attached to source My Audit DSN Minimum TIME Maximum TIME 2008 05 27 2009 01 02 Unix 12804 ACF2 1483 eTrust AC 143762 com ca iTechnology iSponsor 66456 NT Application 5270 CISCO PIX Firewall 5329 MS IIS 6765 Netscape 530 RACF 14 Apache 401 N A 28222 SNMP recorder 456 Check Point FW 1 1057 EiamSdk 2790 MS ISA 609 ORACLE 2742 eTrust PCM 247 NT System 680 eTrust Audit 513 NT Security 14714 CISCO Device 41436 SNORT 1089 280 Guida all implementazione Importazione di eventi CA Access Control da un database di raccolta CA Audit Minimum ENTRYID 1 Maximum ENTRYID 10000010243 Report Completed Successfully detached from source My Audit DSN Exiting Import Rivedere il rapporto per assicurarsi che gli eventi da CA Access Control siano presenti La riga in grassetto in questa sezione di rapporto mostra che sono presenti eventi di CA Access Control contenuti in questa tabella SEOSDATA sazenszze Event Count Per Log Unix 12804 ACF2 1483 eTrust AC 143762 com ca iTechnology i
Download Pdf Manuals
Related Search
Related Contents
LC-Power LC420H-8 V1.3 Produits Consignes de mise en œuvre Prestations Outils 2014 Sistema de información y entretenimiento Funzione di impostazione DVD,VCD- https://telegra.ph/Concrete-Mix-Calculator-c0b6a640-11-16
- https://telegra.ph/1-1-5-3-Concrete-Mix-Calculator-4c3ef540-11-16
- https://telegra.ph/Square-Slab-Concrete-Volume-Calculator-3be9588e-11-17
- https://telegra.ph/Footer-Concrete-Volume-Calculator-37a73df8-11-17
- https://telegra.ph/1-1-2-Concrete-Mix-Calculator-e692f290-11-17
- https://telegra.ph/rebar-weight-calculator-10fa01db-11-07
- https://telegra.ph/round-bar-weight-calculator-6babe908-11-07
- https://telegra.ph/Wire-Size-Calculator-From-Voltage-Drop-07bbf472-11-17
- https://telegra.ph/Wire-Size-Calculator-From-Voltage-Drop-e104b613-11-18
- https://telegra.ph/Calculate-Length-from-Voltage-Drop-3a804af9-11-18