CA Enterprise Log Manager - Manuel de
Contents
1. nom d utilisateur EijamAdmin EiamAdmin est le nom de superutilisateur par d faut affect au programme d installation des serveurs CA Enterprise Log Manager Lors de l installation du premier logiciel CA Enterprise Log Manager le programme d installation cr e un mot de passe pour ce compte de superutilisateur sauf si un serveur CA EEM distant existe d j Dans ce cas le programme d installation doit entrer le mot de passe existant Une fois le dispositif logiciel install le programme d installation ouvre un navigateur partir d une station de travail entre l URL de CA Enterprise Log Manager et se connecte en tant qu utilisateur EiamAdmin avec le mot de passe associ Ce premier utilisateur configure le magasin d utilisateurs cr e les strat gies de mots de passe et cr e le premier compte d utilisateur dot du r le Administrator L utilisateur EiamAdmin peut galement effectuer n importe quelle op ration contr l e par CA EEM OID identificateur d objet point de collecte L OID identificateur d objet est l identifiant num rique unique d un objet de donn es appari une valeur dans un message d interruption SNMP Chaque OID utilis dans une interruption SNMP envoy e par CA Enterprise Log Manager est mapp un champ CEG dans la MIB La syntaxe d un OID mapp un champ CEG est la suivante 1 3 6 1 4 1 791 9845 x x x o 791 est le num ro d entreprise de CA et 9845 est l identifiant produit de CA Enterprise2. Glossaire 67 ajustement d v nement alerte d action analyse L ajustement d v nement est le processus par lequel une cha ne d v nement brut collect est analys e en champs d v nement et mapp e vers des champs CEG Les utilisateurs peuvent ex cuter des requ tes afin d afficher les donn es d v nement ajust ainsi obtenues L ajustement d v nement est l tape qui suit la collecte des v nements et qui pr c de leur stockage Une alerte d action est un job de requ te planifi qui peut tre utilis pour d tecter les violations de strat gie les tendances d utilisation les sch mas de connexion et d autres actions d v nement n cessitant une attention court terme Par d faut lorsque les requ tes d une alerte renvoient des r sultats ces derniers sont affich s sur la page Alertes CA Enterprise Log Manager et ajout s un flux RSS Lorsque vous planifiez une alerte vous pouvez indiquer des destinations suppl mentaires y compris une adresse lectronique un processus de sortie d v nement d alerte CA IT PAM et des interruptions SNMP Le terme analyse parfois analyse de message ou d composition d signe le processus d extraction de donn es d unit s brutes et de conversion en paires de valeurs cl s L analyse s effectue sur la base d un fichier XMP Cette tape qui pr c de le mappage de donn es fait partie du processus d int gration qui convertit les v nements bruts collect s aupr
3. Les v nements bruts sont enregistr s sur chaque base de donn es application et syst me actifs de votre r seau La sauvegarde d enregistrements de journaux doit se faire au niveau de chaque source d v nement avant qu ils ne soient cras s La restauration des journaux d v nement est difficile quand des sources d v nement diff rentes sont stock es s par ment Le format de la cha ne des v nements bruts rend fastidieux leur interpr tation car la s v rit de l v nement n est pas vidente Des donn es similaires peuvent galement varier sur des syst mes diff rents Magasin d utilisateurs Serveur Serveur de Serveur LDAP HTTP messagerie MS Active Directory Sun ONE CA SiteMinder Syst mes Windows Unit s et syst mes Diverses applications ex cutant le service UNIX g n rant des bases de donn es et WMI entr es Syslog unit s L efficacit op rationnelle exige une solution qui regroupe tous les journaux facilite leur lecture automatise l archivage et le stockage et rationalise leur restauration CA Enterprise Log Manager offre ces avantages et vous permet d envoyer des alertes aux personnes et syst mes quand des v nements critiques se produisent Chapitre 1 Introduction 11 A propos de CA Enterprise Log Manager El ments install s La configuration d une solution avec un seul serveur et le lancement de la collecte d v nements prennent peu de temps Les disques d installat
4. es de rapport par exemple une table un graphique en courbes barres colonnes secteurs ou une visionneuse d v nements compte Un compte est un utilisateur global qui est galement un utilisateur d applications CALM Une m me personne peut poss der plusieurs comptes chacun disposant d un r le personnalis diff rent configuration enregistr e Une configuration enregistr e est une configuration stock e avec les valeurs d attributs d acc s aux donn es provenant d une int gration pouvant tre utilis e comme mod le lors de la cr ation d une nouvelle int gration configuration globale La configuration globale est un ensemble de param tres qui s appliquent tous les serveurs CA Enterprise Log Manager utilisant le m me serveur de gestion Glossaire 73 connecteur Un connecteur est une int gration ciblant une source d v nement sp cifique configur e sur un agent donn Un agent peut charger en m moire plusieurs connecteurs similaires ou non Le connecteur permet de collecter les v nements bruts partir d une source d v nement et d effectuer une transmission r gul e sur r gle des v nements convertis vers un magasin de journaux d v nements o ils seront ins r s dans la base de donn es chaude Les int grations pr tes l emploi permettent une collecte optimis e partir d une large gamme de sources d v nement notamment des syst mes d exploitation des bases de donn es
5. rence un magasin d utilisateurs externe les informations des comptes d utilisateur sont automatiquement charg es en lecture seule tel qu illustr par la fl che dans le sch ma ci dessous Vous d finissez uniquement les d tails propres l application pour les comptes s lectionn s Aucune donn e n est d plac e du magasin d utilisateurs interne vers le magasin d utilisateurs externe r f renc A Magasin d utilisateurs externe CA Enterprise a Magasin 5 2 d utilisateurs interne Log Manager Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Le magasin d utilisateurs interne proc de la gestion des droits en authentifiant les informations d identification fournies par les utilisateurs lors de la connexion et en autorisant l acc s des utilisateurs aux diff rentes fonctions de l interface utilisateur en fonction des strat gies associ es aux r les affect s leurs comptes d utilisateur Si le nom d utilisateur et le mot de passe d un utilisateur tentant de se connecter ont t charg s par un magasin d utilisateurs externe les informations d identification entr es doivent correspondre aux informations d identification charg es 2 La seule fonction du magasin d utilisateurs externe consiste charger ses comptes d utilisateur dans le magasin d utilisateurs interne Ces comptes sont charg s automatiquement lorsque la r f rence au magasin d utilisateurs est enregistr e Chap
6. s d une source d v nement en v nements ajust s que vous pouvez consulter analyse d composition d un journal L analyse d composition d un journal est le processus qui permet d extraire les donn es d un journal pour que les valeurs ainsi analys es d compos es puissent tre utilis es lors des tapes suivantes du processus de gestion du journal analyse de fichiers XMP analyse de mappage L analyse de fichiers XMP est le processus r alis par l utilitaire d analyse de message pour rechercher tous les v nements contenant chaque cha ne pr associ e pour chaque v nement associ en d composant l v nement en jetons l aide du premier filtre trouv qui utilise la m me cha ne pr associ e L analyse de mappage est une tape de l Assistant de fichier de mappage qui vous permet de tester et de modifier un fichier de mappage de donn es Des exemples d v nement sont test s par rapport au fichier de mappage de donn es et les r sultats sont valid s avec la CEG 68 Manuel de pr sentation analyse de message analyse des journaux AppObjects L analyse de message est le processus consistant appliquer des r gles l analyse d un journal d v nements bruts afin d obtenir des informations pertinentes telles que l horodatage l adresse IP et le nom d utilisateur Les r gles d analyse utilisent la correspondance de caract res pour localiser un texte d v nement sp cifique et le r
7. t retourn es CA ou qu elles ont bien t d truites SOUS RESERVE DES DISPOSITIONS PREVUES PAR LA LOI APPLICABLE CA FOURNIT LA PRESENTE DOCUMENTATION TELLE QUELLE SANS AUCUNE GARANTIE EXPRESSE OU IMPLICITE NOTAMMENT AUCUNE GARANTIE DE LA QUALITE MARCHANDE D UNE QUELCONQUE ADEQUATION A UN USAGE PARTICULIER OU DE NON INFRACTION EN AUCUN CAS CA NE POURRA ETRE TENU POUR RESPONSABLE EN CAS DE PERTE O DE DOMMAGE DIRECT O INDIRECT SUBI PAR L UTILISATEUR FINAL O PAR UN TIERS ET RESULTANT DE L UTILISATION DE CETTE DOCUMENTATION NOTAMMENT TOUTE PERTE DE PROFITS OU D INVESTISSEMENTS INTERRUPTION D ACTIVITE PERTE DE DONNEES O DE CLIENTS ET CE MEME DANS L HYPOTHESE OU CA AURAIT ETE EXPRESSEMENT INFORME DE LA POSSIBILITE DE LA SURVENANCE DE TELS DOMMAGES O PERTES L utilisation de tout produit logiciel mentionn dans la Documentation est r gie par le contrat de licence applicable ce dernier n tant en aucun cas modifi par les termes de la pr sente CA est le fabricant de la pr sente Documentation La pr sente Documentation tant dit e par une soci t am ricaine vous tes tenu de vous conformer aux lois en vigueur du Gouvernement des Etats Unis et de la R publique fran aise sur le contr le des exportations des biens double usage et aux autres r glementations applicables et ne pouvez pas exporter ou r exporter la documentation en violation de ces lois ou de toute autre r glementation ventuellement applicab
8. tails de l utilisateur global peuvent tre stock s dans le r f rentiel int gr o dans un r pertoire externe LMArchive est l utilitaire de ligne de commande qui suit la sauvegarde et la restauration des bases de donn es d archive vers le magasin de journaux d v nements d un serveur CA Enterprise Log Manager Utilisez LMArchive pour effectuer une requ te sur la liste des fichiers de bases de donn es ti des pr ts tre archiv s Apr s avoir sauvegard la base de donn es r pertori e et l avoir transf r e sur un stockage long terme froid utilisez LMArchive pour cr er un enregistrement sur CA Enterprise Log Manager indiquant que cette base de donn es a t sauvegard e Suite la restauration d une base de donn es froide sur son CA Enterprise Log Manager d origine utilisez LMArchive pour notifier CA Enterprise Log Manager qui place alors les fichiers de bases de donn es dans un tat d givr accessible aux requ tes utilitaire LMSEOSImport LMSEOSImport est un utilitaire de ligne de commande utilis pour importer SEOSDATA ou des v nements existants dans CA Enterprise Log Manager dans le cadre de la migration depuis le g n rateur de rapports la visionneuse ou le collecteur d Audit L utilitaire est pris en charge uniquement par Microsoft Windows et Sun Solaris Sparc Glossaire 95 utilitaire scp valeurs cl s La copie s curis e scp programme de copie de fichiers distance est un u
9. Enterprise Log Manager L tat des v nements entrants d pend de la technique utilis e pour les collecter Les v nements entrants doivent tre ajust s avant d tre ins r s dans la base de donn es Lorsque la base de donn es des enregistrements ajust s atteint la taille configur e tous les enregistrements sont compress s en une base de donn es et enregistr s sous un seul nom La compression des donn es des journaux r duit les co ts induits par leur d placement et leur stockage La base de donn es compress e peut tre d plac e automatiquement en fonction de la configuration de l archivage automatique vous pouvez galement la sauvegarder et la d placer manuellement avant qu elle n atteigne la dur e configur e avant suppression les bases de donn es archiv es automatiquement sont supprim es de la source d s qu elles sont d plac es Si vous configurez l archivage automatique pour qu il d place chaque jour les bases de donn es compress es vers un serveur distant vous pouvez d placer ces sauvegardes vers un stockage de journaux hors site long terme si vous le souhaitez En conservant les sauvegardes des journaux vous respectez les r glementations stipulant que les journaux doivent tre collect s de mani re s curis e stock s de mani re centralis e pendant un certain nombre d ann es et disponibles pour tre examin s vous pouvez restaurer la base de donn es tout moment depuis le stockage l
10. Remarque Pour plus de d tails sur les r gles et fichiers utilis s lors de l ajustement des v nements consultez le Manuel d administration CA Enterprise Log Manager Consultez la section relative la Grammaire commune aux v nements dans l aide en ligne pour de plus amples d tails sur la normalisation et la classification des v nements Chapitre 4 Principales fonctionnalit s 53 G n ration de rapports de conformit G n ration de rapports de conformit CA Enterprise Log Manager vous permet de collecter et de traiter des donn es relatives la s curit puis de les transformer en rapports appropri s pour les auditeurs internes ou externes Vous pouvez interagir par le biais de requ tes et de rapports des fins d examen Vous pouvez automatiser le processus de g n ration de rapports en planifiant les jobs de rapport Le syst me offre les avantages ci dessous Simplicit de formulation de requ tes gr ce aux balises m G n ration de rapports en temps quasi r el ma Centralisation de la recherche dans les archives distribu es des journaux critiques Il se concentre sur la g n ration de rapports de conformit plut t que sur la corr lation en temps r el des v nements et alertes La r glementation exige la g n ration de rapports prouvant la conformit avec les contr les relatifs au secteur CA Enterprise Log Manager fournit des rapports contenant les balises ci dessous pour faciliter l id
11. Vous pouvez ensuite utiliser CA Enterprise Log Manager pour afficher les v nements qui vous int ressent ou g n rer des rapports leur sujet sous un format standardis Vous pouvez galement g n rer des alertes lorsque des v nements pr cis surviennent Chapitre 2 D ploiement rapide 25 Configuration des sources d v nement Syslog Pour configurer une source d v nement Syslog s lectionn 1 26 Manuel de pr sentation Connectez vous l h te sur lequel se trouve la source d v nement Syslog cible A partir d un navigateur lancez CA Enterprise Log Manager sur cet h te Cliquez sur l onglet Administration puis sur le sous onglet Collecte de journaux L explorateur de collecte de journaux s affiche D veloppez Biblioth que d ajustement d v nement Int grations Abonnement La liste des int grations pr d finies s affiche Un exemple abr g est pr sent ci dessous Explorateur de collecte de journaux gt 9 Adaptateurs CA y Biblioth que d ajustement d v nement v amp Int grations v Abonnement E AIX_Syslog E Apache_2059_to_2280_Syslog E CiscoACS_Syslog Ciscoasa Q CiscopixFw E HPUX _Syslog E Linux_localsyslog Q Linux_Syslog Configuration des sources d v nement Syslog S lectionnez l int gration de la source d v nement que vous souhaitez configurer Par exemple si vous souhaitez collecter des Syslogs g n r s par un syst me d exploitation AIX vous devez s l
12. avoir configur un connecteur l aide de l int gration NTEventLog sur l agent vous devez pouvoir consulter des v nements au moyen de la visionneuse d v nements Si des v nements ne sont pas transf r s votre visionneuse vous devez modifier les param tres Windows de vos strat gies locales sur la source d v nement Pour configurer des strat gies locales sur la source d v nement d un connecteur NTEventLog 1 44 Manuel de pr sentation Si l explorateur de collecte de journaux n est pas d j affich cliquez sur l onglet Administration D veloppez Biblioth que d ajustement d v nement Int grations Abonnement puis s lectionnez NTEventLog et cliquez sur le lien Aide situ au dessus du nom de l int gration dans le volet Afficher les d tails de l int gration Le manuel du connecteur pour le journal d v nements NT s curit application syst me appara t R duisez l interface utilisateur CA Enterprise Log Manager puis suivez les indications du manuel du connecteur pour modifier les strat gies locales sur une source d v nement s ex cutant sous Windows Remarque Si vous utilisez Windows Server 2003 s lectionnez Panneau de configuration Outils d administration Strat gie de s curit locale puis d veloppez Strat gies locales Affichage de journaux partir de sources d v nement Windows 4 Si vous avez configur un d tecteur WMI pour un second serveur WMI modifiez gale
13. d finies que vous pouvez compl ter par exemple les comptes par d faut et les groupes avec droits D autres listes cl s comme celle des ressources strat giques ne comportent pas de valeurs par d faut Une fois configur es des alertes peuvent tre planifi es pour des requ tes pr d finies comme celles r pertori es ci dessous m Ajout ou retrait d une appartenance un groupe par des groupes avec droits m Connexion tablie par le compte par d faut m Aucun v nement re u par les sources strat giques Les listes cl s peuvent tre mises jour manuellement en important un fichier ou en ex cutant un traitement des valeurs dynamiques de CA IT PAM Remarque Pour plus de d tails sur les alertes d action consultez le Manuel d administration CA Enterprise Log Manager 56 Manuel de pr sentation Gestion des droits Gestion des droits Lorsque vous configurez le magasin d utilisateurs vous pouvez utiliser le magasin d utilisateurs par d faut sur CA Enterprise Log Manager pour configurer des comptes d utilisateur ou r f rencer un magasin d utilisateurs externe contenant des comptes d utilisateur d j d finis La base de donn es sous jacente est exclusive CA Enterprise Log Manager et n utilise pas un SGBD du commerce Les magasins d utilisateurs externes pris en charge incluent CA SiteMinder et les r pertoires LDAP comme Microsoft Active Directory Sun One et Novell eDirectory Si vous faites r f
14. d s que vous configurez les sources d v nement pour envoyer des Syslogs CA Enterprise Log Manager Toutefois si vous souhaitez que CA Enterprise Log Manager ajuste ces v nements bruts vous devez modifier ce Syslog_Connector Certaines modifications sont obligatoires et d autres facultatives Vous devez identifier les cibles Syslog lorsque vous modifiez ce connecteur Vous s lectionnez en tant que cibles Syslog chaque int gration correspondant une ou plusieurs sources d v nement configur es ou pr vues Votre identification de cibles Syslog permet CA Enterprise Log Manager d ajuster ces v nements correctement Si vous le souhaitez vous pouvez appliquer des r gles de suppression limiter l acceptation de Syslogs des h tes de confiance sp cifier les ports couter autres que 514 port UDP Syslog r serv et 1468 port TCP par d faut et ou ajouter un nouveau fuseau horaire pour un h te fiable Pour modifier le connecteur Syslog d un agent par d faut 1 Cliquez sur l onglet Administration Le sous onglet Collecte de journaux s affiche D veloppez l Explorateur d agent puis le groupe d agents par d faut ou le groupe d fini par l utilisateur comportant CA Enterprise Log Manager configurer S lectionnez le nom d un serveur CA Enterprise Log Manager Le connecteur appel Syslog_Connector s affiche Connecteurs L Hom du connecteur Int gration Modifier la Syslog_Connector Syslog lA Mod
15. de l affichage des rapports Filtres rapides Filtres avanc s Param tres Filtres rapides Pour filtrer les v nements pour cette requ te s lectionnez une date et un sch ma de correspondance P riode 6 derni res heures Heure approx de d but Jeu 12 nov 2009 12 35 10 Heure approx de fin Jeu 12 nov 2009 6 35 10 Correspondance Ajouter un filtre L D finir comme valeur par d faut Tout effacer Enregistrer Annuler b Cliquez sur le bouton Aide L aide en ligne pour la proc dure que vous pouvez effectuer sur la page le volet ou la bo te de dialogue en cours appara t dans une fen tre secondaire Sommaire Index l Recherche Filtres globaux et locaux gt Cr ation d un filtre global 3 g C Enterprise Log Manager r12 1 Cr ation d un filtre global Vous pouvez cr er un filtre global Les filtres globaux vc Informations l gales Produits CA r f renc s Support technique 8 Introduction Il KO Structure de f d ration E Filtres globaux et locaux Cr ation d un filtre global Configuration de param tres de requ te globaux m mes qualificateurs Vous pouvez galement utiliser l l application Pour cr er un filtre global 1 Cliquez sur le bouton Filtres globaux en haut de La bo te de dialogue Filtres et param tres globa 2 Indiquez la p riode pendant laquelle votre filtre c 3 S lectionnez la case Correspondance pour saisir c
16. de l tat de l agent L assistant de cr ation d un connecteur appara t l tape D tails du connecteur est s lectionn e 5 Laissez Int grations s lectionn puis s lectionnez NTEventLog dans la liste d roulante Int gration Les champs Nom du connecteur et Description sont remplis selon la s lection effectu e dans Int gration Chapitre 3 D ploiement de l agent Windows 41 Cr ation d un connecteur bas sur NTEveniLog 6 Modifiez le nom du connecteur afin d obtenir un nom unique Vous pouvez envisager de compl ter ce nom par le nom du serveur cible par exemple NTEventLog_Connector_USEROO1LAB Cr ation de connecteur S Indiquez les informations requises Type Int grations D Ecouteurs Int gration NTEventlog Nom du connecteur NTEventLog_Connecteur_USEROO1LAB Version de la plate forme 1142003 v Omettre la v rification de la version de plate forme Version 12 0 5009 0 v Description Propri taire de ce connecteur NTEventLog 7 S lectionnez l tape Configuration du connecteur D FD g D tails du connecteur Appliquer les r gles de suppression Appliquer les r gles de r capitulation Configuration du connecteur Le volet Configuration des d tecteurs appara t un bouton Aide permet d acc der au manuel du connecteur NTEventLog qui d crit les champs de configuration du d tecteur Configuration du connecteur S Indiquez les informations de c
17. de temps d termin CALM est une classe de ressource pr d finie qui inclue les ressources CA Enterprise Log Manager suivantes Alerte ArchiveQuery calmTag Donn es EventGrouping Int gration et Rapport Les actions autoris es pour cette ressource sont Annotation Rapports Cr ation Alerte calmTag EventGrouping Int gration et Rapport Dataaccess Donn es Ex cution ArchiveQuery et Planification Alerte Rapport Glossaire 71 calmTag catalogue catalogue d archive calmTag est un attribut nomm de l AppObject utilis lors de la cr ation d une strat gie de port e afin de limiter l acc s aux requ tes et rapports appartenant certaines balises Tous les rapports et requ tes sont des objets d application AppObjects et ont calmTag comme attribut ne pas confondre avec la balise de ressource Le catalogue est la base de donn es stock e sur chaque CA Enterprise Log Manager qui consigne l tat des bases de donn es archiv es et joue le r le d index de haut niveau pour l ensemble des bases de donn es Les informations d tat ti de froid ou d givr sont conserv es pour toutes les bases de donn es ayant jamais transit par ce CA Enterprise Log Manager ainsi que toutes celles ayant t restaur es sur ce CA Enterprise Log Manager en tant que base de donn es d givr e La fonction d indexation s tend toutes les bases de donn es chaudes et ti des contenues dans le magasin de journaux
18. l agent par d faut de recevoir les v nements g n r s par Syslog Il vous suffit de configurer vos sources Syslog pour envoyer les v nements Syslog vers CA Enterprise Log Manager et de modifier la configuration du connecteur Syslog pour identifier les cibles Syslog Les donn es re ues d pendent de la bande passante entre le serveur et les sources Syslog ainsi que de la latence Les capteurs de journaux y compris WinRM et ODBC prennent en charge les collectes directes de l ensemble des journaux parmi plus de vingt sources d v nement autres que Syslog Le capteur de journaux WinRM vous permet de collecter des v nements directement partir de serveurs ex cutant Windows comme le serveur Forefront Security pour Exchange Forefront Security pour SharePoint Server Microsoft Office Communication Server et le serveur virtuel Hyper V ainsi que des services tels que les services de certificats Active Directory Le capteur de journaux ODBC vous permet de capturer des v nements g n r s par des bases de donn es Oracle9i ou SQL Server 2005 Pour plus de d tails consultez la matrice d int gration de produits CA Enterprise Log Manager Pour installer CA Enterprise Log Manager vous devez disposer des informations d identification d EiamAdmin En tant que superutilisateur EiamAdmin vous configurez un compte d administrateur que vous utilisez pour effectuer la configuration Si vous vous connectez en utilisant les information
19. l avertissement Chapitre 3 D ploiement de l agent Windows 45 Affichage de journaux partir de sources d v nement Windows 6 Double cliquez sur l avertissement pour afficher la visionneuse d v nements avec beaucoup plus de donn es Quelques lignes d exemples de donn es sont affich es ci dessous Visionneuse d v nements D tails de l v nement H te V Masquer les lignes vides agent_connector_name NTEventLog_Connector_USEROO1L B 46 Manuel de pr sentation Affichage de journaux partir de sources d v nement Windows 7 Cliquez sur l onglet Requ tes et rapports cliquez sur une requ te de la liste de requ tes par exemple Tendance du contr leur de collecte par gestionnaire de journaux Affichez le graphique barres des r sultats Tendance du contr leur de collecte par gestionnaire de journaux WAR EE ZAKR 3 quu0N 90 80 70 60 50 40 30 20 10 18 00 19 00 20 00 21 00 22 00 23 00 Heure 8 Cliquez sur Rapports Sous Liste de rapports entrez auto dans le champ Rechercher afin d afficher le nom du rapport Ev nements d autosurveillance du syst me S lectionnez ce rapport pour afficher une liste des v nements g n r s par le serveur CA Enterprise Log Manager Remarque Pour obtenir des d tails concernant la planification de rapports sur les informations que vous souhaitez analyser consultez l aide en ligne ou le Manuel d administration Chapitre 3
20. les fichiers binaires d agents disponibles apparaissent dans le volet principal Chapitre 3 D ploiement de l agent Windows 37 Installation d un agent 2 Cliquez sur le lien Windows pour installer l agent sur un serveur ex cutant le syst me d exploitation Windows Server 2003 Fichiers binaires de l agent Hom de la plate forme Version de la plate forme Windows 2003 Window o wp Pour t l charger les fichiers binaires sur le disque cliquez Window ici i La bo te de dialogue S lection de l emplacement de t l chargement par lt adresse IP gt appara t S lectionnez le bureau puis cliquez sur Enregistrer Enregistrer dans Un message indiquant la progression du t l chargement du fichier binaire d agent s lectionn appara t suivi d un message de confirmation Cliquez sur OK R duisez le navigateur mais laissez la connexion ouverte afin de pouvoir v rifier rapidement l installation une fois celle ci termin e Le lanceur du programme d installation de l agent appara t sur le bureau Description Setup Launcher Soci t CA Version du fichier 11 50 0 42618 Date de cr ation 25 11 2009 18 36 Taille 20 5 Mo Installation d un agent Avant de commencer gardez disposition les informations ci dessous 38 Manuel de pr sentation Adresse IP du serveur CA Enterprise Log Manager partir duquel vous avez t l charg le programme de l agent Nom et mot de passe du compt
21. message vous demandant si vous souhaitez apporter des modifications EEM server is not installed on the local host EEM Server Information EEM Server Type 1 local or r remote 1 EEM Server Name CALM1 EEM application name for this CAELM server CAELM Do you want to change the EEM Server information n d Appuyez sur Entr e ou saisissez n pour accepter les informations de serveur CA EEM que vous avez entr es Le processus d installation d marre Des messages indiquent la progression mesure de l installation r ussie de chaque composant CA Enterprise Log Manager des enregistrements effectu s des certificats acquis des fichiers import s et des composants configur s Le message d installation r ussie de CA ELM appara t Lorsque l installation se termine le syst me affiche l adresse de connexion de la console Notez cette adresse Il s agit de l adresse que vous entrez dans un navigateur pour acc der ce serveur CA Enterprise Log Manager soit https lt nom_h te gt 5250 spin calm Une invite de connexion lt nom_h te gt appara t Vous pouvez l ignorer Remarque Si pour quelque raison que ce soit vous souhaitez afficher l invite du syst me d exploitation partir de cette invite de connexion vous pouvez entrer caelmadmin et le mot de passe par d faut qui est le mot de passe que vous avez affect au compte de l utilisateur EiamAdmin Vous pouvez utiliser le compte caelmadmin pour vous con
22. que vous avez configur pour l agent puis cliquez sur Suivant CA Enterprise Log Manager Agent InstallShield Wizard xi Agent user credential information ca e Enter the credentials for Agent user Specify as domain for local user account Usemame elmagentusr Domain Password xeres Cliquez sur Suivant La sp cification d un fichier de connecteur export est facultative La page Lancer la copie des fichiers appara t Cliquez sur Suivant Le processus d installation de l agent prend fin Cliquez sur Terminer Vous devez ensuite configurer des connecteurs pour cet agent Une fois les connecteurs configur s les v nements collect s sont envoy s au magasin de journaux d v nements CA Enterprise Log Manager via le port 17001 Important Si vous n autorisez pas de trafic sortant partir de l h te sur lequel vous avez install l agent et si vous utilisez le pare feu Windows vous devez ouvrir ce port sur ce pare feu Informations compl mentaires T l chargement du programme d installation de l agent page 37 Cr ation d un compte d utilisateur pour l agent page 35 D finition de la cl d authentification d un agent page 36 40 Manuel de pr sentation Cr ation d un connecteur bas sur NTEveniLog Cr ation d un connecteur bas sur NTEveniLog Apr s avoir install un agent vous cr ez un connecteur pour sp cifier les sources des v nements que vous so
23. rarchique entre les serveurs Dans sa forme la plus simple le serveur 2 est un enfant du serveur 1 mais le serveur 1 n est pas un enfant du serveur 2 La relation est donc unilat rale Une f d ration hi rarchique peut poss der de nombreux niveaux de relation parent enfant et un seul serveur parent peut avoir de nombreux serveurs enfants Une requ te f d r e renvoie ses r sultats depuis le serveur s lectionn et ses enfants 78 Manuel de pr sentation f d ration maill e Une f d ration maill e de serveurs CA Enterprise Log Manager est une topologie qui tablit une relation de parit entre les serveurs Dans sa forme la plus simple le serveur 2 est un enfant du serveur 1 et le serveur 1 est un enfant du serveur 2 Une paire de serveurs maill e a une relation bilat rale Une f d ration maill e peut tre d finie pour qu un grand nombre de serveurs soient les pairs les uns des autres Une requ te f d r e renvoie ses r sultats depuis le serveur s lectionn et tous ses pairs fichier d analyse de message XMP Message Parsing File Un fichier d analyse de message XMP est un fichier XML associ un type de source d v nement sp cifique qui applique des r gles d analyse Les r gles d analyse d composent les donn es pertinentes d un v nement brut collect afin d obtenir des paires nom valeur qui sont ensuite transmises au fichier de mappage de donn es des fins de traitement Ce type de fichier est
24. ration de rapports Les serveurs de f d ration peuvent tre connect s selon une topologie hi rarchique ou maill e Les rapports de donn es f d r es incluent celles provenant du serveur cible ainsi que de ses enfants ou pairs le cas ch ant Les services CA Enterprise Log Manager sont le magasin de journaux d v nements le serveur de rapports et l abonnement Les administrateurs configurent ces services au niveau global o tous les param tres s appliquent l ensemble de CA Enterprise Log Manager par d faut La plupart des param tres globaux de services peuvent tre remplac s au niveau local pour CA Enterprise Log Manager donn 92 Manuel de pr sentation SNMP source d v nement SNMP est l acronyme de Simple Network Management Protocol protocole simple de gestion de r seau une norme ouverte de transmission de messages d alerte sous la forme d interruptions SNMP depuis un agent vers un ou plusieurs syst mes de gestion Une source d v nement est l h te partir duquel un connecteur collecte des v nements bruts Une source d v nement peut contenir plusieurs magasins de journaux tous accessibles via un connecteur diff rent En g n ral le d ploiement d un nouveau connecteur implique la configuration de la source d v nement de sorte que l agent puisse y acc der et lire les v nements bruts partir de l un de ses magasins de journaux Les v nements bruts du syst me d exploitation des b
25. un seul serveur pour pr parer sa configuration acc dez l URL du CA Enterprise Log Manager partir d une station de travail distante connectez vous et cr ez un compte d administrateur que vous pouvez utiliser pour effectuer la configuration Remarque Dans le cadre de ce d ploiement rapide nous acceptons le magasin d utilisateurs par d faut et les strat gies de mots de passe par d faut En g n ral ces l ments sont configur s avant l ajout du premier administrateur Pour configurer le premier administrateur 1 A partir de votre navigateur connectez vous l URL ci dessous o nom_h te est le nom d h te ou l adresse IP du serveur sur lequel vous avez install CA Enterprise Log Manager https lt nom_h te 5250 spin calm 22 Manuel de pr sentation Configuration du premier administrateur 2 Si une alerte de s curit survient proc dez comme suit a Cliquez sur Afficher le certificat b Cliquez sur Installer le certificat acceptez les valeurs par d faut puis terminez l assistant d importation Un avertissement de s curit s affiche et indique que vous tes sur le point d installer un certificat qui d clare repr senter le nom d h te du serveur CA Enterprise Log Manager c Cliquez sur Oui Le certificat racine est install et un message s affiche indiquant que l importation s est correctement termin e d Cliquez sur OK La bo te de dialogue Certificat fiable s affiche e Cliquez
26. utilis dans toutes les int grations ainsi que dans les connecteurs qui sont eux m mes bas s sur des int grations Dans le cas d adaptateurs CA les fichiers XMP peuvent galement tre appliqu s au serveur CA Enterprise Log Manager fichiers de mappage de donn es Les fichiers de mappage des donn es sont des fichiers XML utilisant la grammaire commune aux v nements CEG de CA pour transformer des v nements d un format source en un format conforme CEG pouvant tre stock des fins de rapport et d analyse dans le magasin de journaux d v nements Un fichier de mappage de donn es doit tre cr pour chaque nom de journal pour que les donn es d v nement puissent tre stock es L utilisateur peut modifier une copie du fichier de mappage de donn es et l appliquer un connecteur sp cifi filtrage d v nements filtre filtre d acc s Le filtrage d v nements est le processus de tri des v nements sur la base de filtres CEG Un filtre est un moyen permettant de limiter les requ tes sur le magasin de journaux d v nements Un filtre d acc s est un filtre que l administrateur peut d finir pour contr ler les donn es d v nement pouvant tre consult es par les utilisateurs ou groupes ne d tenant pas le r le Administrator Un filtre d acc s peut par exemple limiter les donn es que des identit s sp cifi es peuvent afficher dans un rapport Les filtres d acc s sont automatiquement conv
27. 63 Exploration de la biblioth que de documentation page 65 Affichage des infobulles Vous pouvez identifier la finalit des boutons des cases cocher et des rapports de la page CA Enterprise Log Manager dans votre affichage actuel Pour afficher les infobulles et autres aides 1 D placez votre curseur au dessus des boutons pour afficher la description de leur fonction Vous pouvez ainsi visualiser la fonction de n importe quel bouton 5 sobinn des olardan Adusiniokneki t Te Afficher le graphinue de t d ralon et le cortr leur de tt Ge Param tres et fitres globaux Notez la diff rence entre les boutons actifs et inactifs Lorsqu ils sont activ s les boutons s affichent en couleur Par exemple le bouton Liste des filtres d acc s s affiche en couleur pour les administrateurs de la gestion des utilisateurs et des acc s Liste des filtres d acc s BEWA Chapitre 5 Informations compl mentaires concernant CA Enterprise Log Manager 61 Affichage des infobulles 62 Manuel de pr sentation Lorsqu ils sont d sactiv s les boutons s affichent en noir et blanc Par exemple les boutons Liste des filtres d acc s s affichent en noir et blanc pour les auditeurs Liste des filtres d acc s EJE i Affichez les descriptions des champs de saisie ou des cases cocher en d pla ant votre curseur au dessus du nom du champ CK Proxy d abonnement hors ligne Cet ordinateur e
28. Administrator nalyst Fr uditor LAN 8 Sous Authentification entrez un mot de passe pour ce nouveau compte dans le champ d entr e puis dans celui de confirmation Authentification Nombre de connexions incorrectes 0 Date d activation E I Remplacer la strat gie de mot de passe Date de d sactivation 2 I Modifier le mot de passe la prochaine connexion I interruption Nouveau mot de passe Confirmer le mot de passe 9 Cliquez sur Enregistrer puis sur Fermer Cliquez sur Fermer 10 Cliquez sur le lien D connexion de la barre d outils La page de connexion appara t 24 Manuel de pr sentation Configuration des sources d v nement Syslog 11 Connectez vous nouveau CA Enterprise Log Manager avec les informations d identification de l administrateur que vous venez de d finir CA Enterprise Log Manager s ouvre toutes les fonctionnalit s sont activ es L onglet Requ tes et rapports et le sous onglet Requ tes sont affich s 12 Affichez vos tentatives de connexion comme suit facultatif a Dans la liste de balises de requ te s lectionnez Acc s au syst me b Dans la liste de requ tes s lectionnez D tail d acc s au syst me Les r sultats de la requ te pr sentent vos deux tentatives de connexion tout d abord en tant qu EiamAdmin puis avec votre nom d administrateur les tentatives de connexion sont marqu es S pour successful r ussie S v rit CA Date v Compt
29. CA Enterprise Log Manager Manuel de pr sentation r12 1 La pr sente documentation ainsi que tout programme d aide informatique y aff rant ci apr s nomm s Documentation vous sont exclusivement fournis titre d information et peuvent tre tout moment modifi s ou retir s par CA La pr sente Documentation ne peut tre copi e transf r e reproduite divulgu e modifi e ou dupliqu e en tout ou partie sans autorisation pr alable et crite de CA La pr sente Documentation est confidentielle et demeure la propri t exclusive de CA Elle ne peut pas tre utilis e ou divulgu e sauf si un autre accord de confidentialit entre vous et CA stipule le contraire Nonobstant ce qui pr c de si vous tes titulaire de la licence du ou des produits logiciels d crits dans la Documentation vous pourrez imprimer un nombre raisonnable de copies de la Documentation relative ces logiciels pour une utilisation interne par vous m me et par vos employ s condition que les mentions et l gendes de copyright de CA figurent sur chaque copie Le droit de r aliser des copies de la Documentation est limit la p riode pendant laquelle la licence applicable du logiciel demeure pleinement effective Dans l hypoth se o le contrat de licence prendrait fin pour quelque raison que ce soit vous devrez renvoyer CA les copies effectu es ou certifier par crit que toutes les copies partielles ou compl tes de la Documentation ont
30. D ploiement de l agent Windows 47 Chapitre 4 Principales fonctionnalit s Ce chapitre traite des sujets suivants Collecte de journaux page 49 Stockage des journaux page 51 Pr sentation normalis e des journaux page 53 G n ration de rapports de conformit page 54 Alerte de violation de strat gie page 56 Gestion des droits page 57 Acc s selon un r le page 58 Gestion de l abonnement page 59 Contenu pr t l emploi page 60 Collecte de journaux Le serveur CA Enterprise Log Manager peut tre configur pour collecter des journaux l aide d une ou de plusieurs techniques prises en charge Les techniques diff rent quant au type et l emplacement du composant qui coute et collecte les journaux Ces composants sont configur s sur les agents L illustration ci dessous d crit un syst me avec un seul serveur o l emplacement des agents est indiqu par un cercle sombre vert Direct log Agentless log collection by Agent based collection default agent 109 collection Chapitre 4 Principales fonctionnalit s 49 Collecte de journaux Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Configurez l agent par d faut sur CA Enterprise Log Manager pour r cup rer directement des v nements aupr s des sources Syslog sp cifi es Configurez l agent install sur un point de collecte Windows pour collecter des v nements provenant
31. Log Manager Un point de collecte est un serveur sur lequel un agent est install sur le r seau ce serveur est proche de tous les serveurs contenant les sources d v nements associ es aux connecteurs de son agent Glossaire 85 pozFolder pozFolder est un attribut d AppObject dont la valeur correspond l emplacement parent de l AppObject L attribut et la valeur pozFolder sont utilis s dans les filtres de strat gies d acc s qui restreignent l acc s aux ressources telles que les rapports les requ tes et les configurations processus de sortie de l v nement de l alerte profil Le processus de sortie de l v nement de l alerte est un processus CA IT PAM qui invoque un produit tiers pour r pondre aux donn es d alerte configur es dans CA Enterprise Log Manager Vous pouvez s lectionner Processus CA IT PAM comme destination lorsque vous planifiez un job d alerte Lorsqu une alerte d clenche l ex cution du processus CA IT PAM CA Enterprise Log Manager envoie les donn es d alerte CA IT PAM lesquelles sont ensuite transf r es par CA IT PAM avec leurs propres param tres de traitement au produit tiers dans le cadre du processus de sortie de l v nement de l alerte Un profil est un ensemble facultatif et configurable de filtres de donn es et de balises qui peut tre sp cifique un produit une technologie ou une cat gorie donn e Le filtre de balise d un produit par exemple limite les balises r per
32. Si vous savez quelle t che effectuer sans conna tre la m thode d acc s la page correspondante dans CA Enterprise Log Manager vous pouvez rechercher cette page dans la table des mati res Cliquez sur le titre de la t che pour afficher la page correspondante Remarque Si vous ne trouvez pas la t che dont vous avez besoin dans la table des mati res consultez la biblioth que de documentation 64 Manuel de pr sentation Exploration de la biblioth que de documentation Exploration de la biblioth que de documentation Vous pouvez copier la biblioth que sur votre lecteur local et ouvrir le livre souhait au format HTML ou PDF Les livres au format HTML contiennent des r f rences crois es d un livre l autre Pour explorer la biblioth que 1 Copiez sur votre lecteur local la biblioth que pr sente sur le DVD d installation de l application ou t l chargez la partir du site de support client le de CA Pour ouvrir la biblioth que double cliquez sur Bookshelf hta ou sur Bookshelf html Une page similaire la page suivante appara t cale Bookshelf ca Bookshelf available on this bookshelf All Documentation Administration Guide Agent Installation Guide API Programming Guide Examples Implementation Guide Overview Guide Release Notes Related Documentation CA EEM Getting Started CA EEM Release Notes CA Enterprise Log Manager r12 1 Select a book title to view the documentati
33. Sources WMI gR Aa R p ter le supernoeud b Configurez les param tres WMILogSensor pour un autre ordinateur L exemple ci apr s pr sente une configuration pour un deuxi me d tecteur de journaux WMI dans le m me domaine et avec les m mes informations d identification d administrateur Nom du serveur WMI CUSEROO1XP Nom de l utilisateur ser001 Mot de passe ktk Domaine ca com Espace de noms rooticimu2 Nom du journal d v nements NT Mise jour du taux d ancrage 100 11 Cliquez sur Enregistrer et fermer Chapitre 3 D ploiement de l agent Windows 43 Configuration d une source d v nement Windows 12 Pour afficher l tat du connecteur que vous avez configur proc dez comme suit a S lectionnez l agent dans le volet gauche b Cliquez sur Etat et commande c S lectionnez Afficher l tat des connecteurs Le volet D tails de l tat appara t D tails de l tat Red marrer D marrer Arr ter Connecteur Agent Groupe d agents Plate forme Int gration Etat NTEventLog_Connecteur_USEROO1LAB USEROO1LAB ca com Default Agent Group Windows_X86_32 NTEventLog Ex cution en cours 13 Cliquez sur le lien Ex cution en cours L tat affich de la cible configur e dans le connecteur inclut le pourcentage d UC l utilisation de la m moire et le nombre moyen d v nements par seconde Configuration d une source d v nement Windows Apr s
34. Un groupe global est un groupe partag sur les instances d application enregistr es aupr s du m me serveur de gestion CA Enterprise Log Manager N importe quel utilisateur peut tre affect un ou plusieurs groupes globaux Des strat gies d acc s peuvent tre d finies avec les groupes globaux en tant qu identit s afin d autoriser ou d interdire ces derni res d effectuer certaines actions sur les ressources s lectionn es ideal_model correspond la technologie exprimant l v nement Il s agit du premier champ de la grammaire commune aux v nements CEG dans la hi rarchie des champs utilis s pour la normalisation et la classification des v nements Les types de mod les id aux ideal_model incluent Antivirus DBMS Pare feu Syst me d exploitation et Serveur Web Les produits de pare feu Check Point Cisco PIX et Netscreen Juniper peuvent tre normalis s en saisissant la valeur Pare feu dans le champ ideal_model Glossaire 81 identit installateur Dans CA Enterprise Log Manager une identit est un utilisateur ou un groupe autoris acc der l instance d application CAELM et ses ressources Pour tout produit CA une identit peut tre un utilisateur global un utilisateur d applications un groupe global un groupe d applications ou un groupe dynamique L installateur est la personne qui se charge d installer le dispositif logiciel et les agents Lors de la proc dure d installation les no
35. ager sont Administrator Analyst et Auditor Ces groupes d applications sont disponibles uniquement pour les utilisateurs CA Enterprise Log Manager ils ne peuvent pas tre affect s aux utilisateurs d autres produits enregistr s sur le m me serveur CA EEM Des groupes d applications d finis par l utilisateur doivent tre ajout s la strat gie d acc s aux applications CALM par d faut pour que les utilisateurs de ces groupes puissent acc der CA Enterprise Log Manager Un groupe d utilisateurs peut tre un groupe d applications un groupe global ou un groupe dynamique Les groupes d applications CA Enterprise Log Manager pr d finis sont les r les Administrator Analyst et Auditor Les utilisateurs CA Enterprise Log Manager peuvent faire partie des groupes globaux par le biais d appartenances distinctes de CA Enterprise Log Manager Les groupes dynamiques sont d finis par l utilisateur et cr s via une strat gie de groupe dynamique groupe d utilisateurs dynamique groupe global ideal_model Un groupe d utilisateurs dynamique est compos d utilisateurs globaux qui partagent un ou plusieurs attributs communs Un groupe d utilisateurs dynamique est cr par le biais d une strat gie de groupe d utilisateurs dynamique particuli re dans laquelle le nom de la ressource est le nom du groupe d utilisateurs dynamique et l appartenance repose sur un ensemble de filtres configur s sur les attributs d utilisateur et de groupe
36. allation par d faut EiamAdmin CAELM Il s agit du nom d application par d faut de l application CA Enterprise Log Manager Installation d un syst me un seul serveur Installez le syst me d exploitation pr configur l aide du m dia que vous avez cr partir du package de t l chargement CA Enterprise Log Manager Lors de l installation du syst me d exploitation effectuez les op rations r pertori es ci dessous a Choisissez un type de clavier Par d faut il s agit d un clavier Etats Unis b Choisissez un fuseau horaire par exemple America New York puis s lectionnez OK c Saisissez le mot de passe utiliser comme mot de passe root puis saisissez le nouveau pour le confirmer S lectionnez OK Les informations relatives la progression de l installation apparaissent Chapitre 2 D ploiement rapide 17 Installation d un syst me un seul serveur d Retirez le disque d installation du syst me d exploitation puis appuyez sur Entr e pour red marrer le syst me Le syst me red marre et entre en mode de d marrage non interactif Il affiche les messages d crivant la progression de l installation Des informations d taill es sur cette installation sont enregistr es dans le fichier tmp pre install_ca elm log L invite ci dessous s affiche Please insert the CA Enterprise Log Manager r12 Application Install disk and press enter Ins rez le disque de l application CA Enterpr
37. ases de donn es diff rentes et une vari t d applications de s curit sont stock s s par ment sur la source d v nement stockage des journaux d v nements strat gie d acc s Le stockage des journaux d v nements est le r sultat du processus d archivage lorsque l utilisateur sauvegarde une base de donn es ti de avertit CA Enterprise Log Manager en ex cutant l utilitaire LMArchive et d place la base de donn es sauvegard e depuis le magasin de journaux d v nements jusqu l emplacement de stockage long terme Une strat gie d acc s est une r gle qui accorde ou refuse une identit utilisateur ou groupe d utilisateurs des droits d acc s une ressource d application CA Enterprise Log Manager d termine si les strat gies s appliquent l utilisateur concern en faisant correspondre les identit s les ressources les classes de ressources et en valuant les filtres strat gie d acc s aux applications CALM La strat gie d acc s aux applications CALM est une strat gie de port e de type Liste de contr le d acc s qui d termine qui peut se connecter au serveur CA Enterprise Log Manager Par d faut la connexion est autoris e pour les r les Administrator Groupe Analyst Groupe et Auditor Groupe strat gie de d l gation strat gie de port e Une strat gie de d l gation est une strat gie d acc s qui permet un utilisateur de d l guer son autorit un autre utilisateur g
38. cc der aux AppObjects se r f rent cette classe de ressource SAPI Recorder tait la technologie utilis e pour envoyer les donn es CA Audit avant l apparition d iTechnology SAPI signifie Submit API Application Programming Interface ou API de soumission Les enregistreurs CA Audit pour CA ACF2 CA Top Secret RACF Oracle Sybase et DB2 sont des exemples de SAPI Recorders 90 Manuel de pr sentation serveur d abonnement CA serveur d alerte serveur de collecte serveur de gestion Le serveur d abonnement CA est la source des mises jour d abonnement de CA Le serveur d alerte sert stocker les alertes d action et les jobs d alerte d action Le serveur de collecte est un r le attribu un serveur CA Enterprise Log Manager Le serveur de collecte ajuste les journaux d v nement entrants les int gre la base de donn es chaude compresse celle ci et en effectue un archivage automatique ou bien la copie sur le serveur de rapports associ Le serveur de collecte compresse la base de donn es chaude lorsqu elle atteint la taille maximale pr d finie et effectue un archivage automatique selon le planning indiqu Le serveur de gestion est un r le attribu au premier serveur CA Enterprise Log Manager install Ce serveur CA Enterprise Log Manager contient le r f rentiel charg de stocker le contenu de tous ses serveurs CA Enterprise Log Manager notamment les strat gies Ce serveur correspond g n raleme
39. d v nements de ce CA Enterprise Log Manager Voir catalogue cat gories d v nement Certificats Champs CEG Les cat gories d v nement sont les balises utilis es par CA Enterprise Log Manager pour classer les v nements selon leur fonction avant de les ins rer dans le magasin d v nements Les certificats pr d finis utilis s par CA Enterprise Log Manager sont CAELMCert p12 et CAELM_AgentCert p12 Tous les services CA Enterprise Log Manager utilisent CALEMCert p12 pour communiquer avec le serveur de gestion Tous les agents utilisent CAELM_AgentCert p12 pour communiquer avec leur serveur de collecte Les champs CEG sont des tiquettes utilis es pour normaliser la pr sentation des champs d v nements bruts provenant de sources d v nement h t rog nes Lors de l ajustement d v nement CA Enterprise Log Manager analyse les messages d v nements bruts dans une s rie de paires nom valeur puis mappe les noms des v nements bruts avec les champs CEG standard L ajustement cr e des paires nom valeur compos es des champs CEG et des valeurs issues de l v nement brut En d autres termes au cours de l ajustement des v nements bruts les diff rentes tiquettes utilis es dans les v nements bruts correspondant au m me objet de donn es ou l ment de r seau sont converties au m me nom de champ CEG Les champs CEG sont mapp s aux OID de la MIB utilis e pour les interruptions SNMP 72 Manuel de p
40. d tection d intrusion et de programmes malveillants Les syst mes Windows utilisent ODBC les syst mes UNIX ou Linux utilisent JDBC Les adaptateurs CA constituent un groupe d couteurs qui re oit des v nements provenant de composants CA Audit tels que les clients CA Audit les iRecorders et les SAPI Recorders ainsi que les sources qui transmettent des v nements de mani re native via iTechnology Un agent est un service g n rique configur avec des connecteurs charg s de collecter les v nements bruts partir d une source d v nement unique puis de les envoyer CA Enterprise Log Manager pour traitement Chaque CA Enterprise Log Manager dispose d un agent int gr De plus vous pouvez installer un agent sur un point de collecte distant et collecter des v nements sur des h tes o l installation d agents est impossible Vous pouvez galement installer un agent sur l h te o s ex cutent les sources d v nement et b n ficier des possibilit s d application de r gles de suppression et de chiffrement des transmissions vers CA Enterprise Log Manager L agent par d faut est l agent int gr install avec le serveur CA Enterprise Log Manager Vous pouvez le configurer pour collecter directement des v nements Syslog ainsi que des v nements provenant de diff rentes sources non Syslog par exemple CA Access Control r12 SP1 le service de certificats Microsoft Active Directory et les bases de donn es Oracle9i
41. d impl mentation Pour plus de d tails sur l installation d un agent consultez le Manuel d installation des agents Pour plus de d tails sur l utilisation et la maintenance du produit consultez le Manuel d administration Pour obtenir de l aide quant l utilisation d une page CA Enterprise Log Manager consultez l aide en ligne A propos de CA Enterprise Log Manager CA Enterprise Log Manager est ax sur la conformit et l assurance informatiques Il vous permet de collecter de normaliser de cumuler et de g n rer des rapports concernant l activit informatique mais galement de g n rer des alertes n cessitant une action en cas de violations de la conformit Vous pouvez collecter des donn es provenant d unit s disparates s curis es et non s curis es 10 Manuel de pr sentation A propos de CA Enterprise Log Manager Votre r seau avant l installation Les r glementations et lois f d rales exigent la gestion des enregistrements de journaux Par souci de conformit vous devez m Autoriser l acc s aux journaux pour les audits m Stocker les journaux pendant plusieurs ann es m Restaurer les journaux la demande Le grand nombre des enregistrements de journaux leur emplacement et leur nature temporaire rendent difficile leur gestion Les journaux sont continuellement g n r s par l utilisateur et l activit du processus sur le logiciel Le taux de g n ration se mesure en v nements par seconde eps
42. de pr sentation utilisateur d application utilisateur EEM utilisateur global utilitaire LMArchive Un utilisateur d application est un utilisateur global auquel ont t attribu s des d tails au niveau de l application Les d tails d utilisateur d application CA Enterprise Log Manager incluent le groupe d utilisateurs et les ventuelles restrictions d acc s Si le magasin d utilisateurs est le r f rentiel local les d tails de l utilisateur d application incluent galement les informations d identification de connexion et les strat gies de mots de passe L utilisateur EEM configur dans la section Archivage automatique du Magasin de journaux d v nements sp cifie l utilisateur autoris ex cuter une requ te d archivage recataloguer la base de donn es d archivage ex cuter l utilitaire LMArchive et ex cuter le script shell restore ca elm pour restaurer les bases de donn es d archivage des fins d examen Cet utilisateur doit poss der le r le pr d fini Administrator ou un r le personnalis associ une strat gie personnalis e qui autorise l action Modifier sur la ressource Base de donn es Un utilisateur global se compose des informations de compte d utilisateur l exclusion des donn es propres aux applications Les d tails de l utilisateur global et les appartenances au groupe global sont partag s par l ensemble des applications CA int grant le magasin d utilisateurs par d faut Les d
43. des serveurs Web des pare feu et de nombreux types d applications de s curit Vous pouvez d finir enti rement un connecteur pour une source d v nement interne ou utiliser une int gration comme mod le Contenu d une interruption SNMP cumul d v nements d gel Une interruption SNMP se compose de paires nom valeur chaque nom tant un OID identificateur d objet et chaque valeur une valeur renvoy e par l alerte planifi e Les r sultats de requ te renvoy s par une alerte d action contiennent des champs CEG ainsi que leurs valeurs L interruption SNMP est renseign e en substituant un OID chaque champ CEG utilis pour le nom de la paire nom valeur Le mappage de chaque champ avec un OID est stock dans la MIB L interruption SNMP inclut uniquement les paires nom valeur des champs que vous avez s lectionn s lorsque de la configuration de l alerte Le cumul d v nements est le processus par lequel des entr es de journal similaires sont regroup es en une entr e unique contenant un compteur d occurrences d v nement Les r gles de r capitulation d finissent le regroupement des v nements Le d gel est le processus qui consiste faire passer une base de donn es de l tat froid l tat d givr Cette op ration est r alis e par CA Enterprise Log Manager lorsque l utilitaire LMArchive l avertit qu une base de donn es froide connue a t restaur e Si la base de donn es froide n est pas restaur e s
44. des serveurs Windows sp cifi s et les transmettre CA Enterprise Log Manager Configurez les agents install s sur des h tes o sont ex cut es les sources d v nement pour collecter le type d v nement configur et effectuer la suppression Remarque Le trafic entre l agent et le serveur CA Enterprise Log Manager de destination est toujours chiffr Etudiez les avantages de chaque technique de collecte de journaux ci dessous 50 Manuel de pr sentation Collecte directe de journaux Avec la collecte directe de journaux vous configurez l couteur Syslog sur l agent par d faut pour recevoir les v nements des sources fiables sp cifi es Vous pouvez galement configurer d autres connecteurs pour collecter des v nements provenant de n importe quelle source d v nement compatible avec l environnement de fonctionnement du dispositif logiciel Avantage vous n avez pas besoin d installer un agent pour collecter les journaux des sources d v nement proximit du serveur CA Enterprise Log Manager sur le r seau Collecte sans agent Avec la collecte sans agent il n existe aucun agent local sur les sources d v nement Au lieu de cela un agent est install sur un point de collecte d di Des connecteurs sont configur s pour chaque source d v nement cible sur cet agent Avantage vous pouvez collecter des journaux provenant de sources d v nement s ex cutant sur des serveurs o vous ne pouvez pa
45. ds and Technology NIST comme tant le processus permettant de g n rer de transmettre de stocker d analyser et d liminer les donn es des journaux de s curit des ordinateurs grammaire commune aux v nements CEG groupe d agents La grammaire commune aux v nements est le cadre qui propose un format standard utilis par CA Enterprise Log Manager pour convertir les v nements l aide de fichiers d analyse et de mappage avant de les stocker dans le magasin de journaux d v nements La CEG utilise des champs communs et normalis s pour d finir les v nements de s curit provenant de plates formes et de produits diff rents Les v nements ne pouvant faire l objet d une analyse ou d un mappage sont stock s en tant qu v nements bruts Un groupe d agents est une balise que les utilisateurs peuvent appliquer aux agents s lectionn s qui permet d appliquer simultan ment une configuration plusieurs agents et de r cup rer les rapports bas s sur les groupes Un agent donn peut appartenir un seul groupe la fois Les groupes d agents sont bas s sur des crit res d finis par l utilisateur comme la r gion g ographique ou l importance 80 Manuel de pr sentation groupe d applications groupe d utilisateurs Un groupe d applications est un groupe sp cifique un produit pouvant tre affect un utilisateur global Les groupes d applications ou r les pr d finis pour CA Enterprise Log Man
46. e Ex cutant H te Hom dujo Cat gorie Action R sultat E Informations Ven 13 nov 2009 5 33 26 SONMIO2G2 NT Securty System Access Login Attempt S E Informations Yen 13 nov 2009 5 33 26 ANONYMOUS LOGON SONMIO2G2 NT Security System Access Logoff S g Informations Ven 13 nov 2009 5 33 24 ANONYMOUS LOGON SONMIO2G2 NT Security System Access Logoff S E Informations Ven 13 nov 2009 5 33 24 SONMIO2G2 NT Security System Access Login Attempt S Informations compl mentaires Installation d un syst me un seul serveur page 16 Configuration des sources d v nement Syslog Pour permettre l agent par d faut situ sur chaque serveur CA Enterprise Log Manager de collecter directement des v nements Syslog vous devez tout d abord identifier les sources de ces v nements puis d terminer leur int gration associ e Vous pouvez ensuite effectuer les deux op rations suivantes dans l ordre de votre choix m Configurez les sources d v nement Syslog Connectez vous chaque h te ex cutant une source d v nement Syslog puis configurez celle ci conform ment au manuel du connecteur de cette int gration Syslog m Configurez le connecteur Syslog sur l agent par d faut afin d ajouter les int grations Syslog cibles associ es aux sources d v nement configur es D s que vous avez termin ces deux tapes de configuration la collecte et l ajustement des v nements commence
47. e champ de quatri me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il d crit les actions communes Les types d action d v nement event_ action incluent par exemple Lancement d un processus Arr t d un processus et Erreur d application event_category est le champ de deuxi me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il permet une classification plus approfondie des v nements avec une valeur ideal_model sp cifique Les types de cat gories d v nement event_ category incluent S curit op rationnelle Gestion des identit s Gestion de la configuration Acc s aux ressources et Acc s au syst me event_ class est le champ de troisi me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il permet une classification plus approfondie des v nements avec une valeur event_ category sp cifique L Explorateur d agent est l espace de stockage qui contient les param tres de configuration d un agent Les agents peuvent tre install s sur un point de collecte ou sur un terminal o il existe des sources d v nement f d ration hi rarchique Une f d ration hi rarchique de serveurs CA Enterprise Log Manager est une topologie qui tablit une relation hi
48. e d utilisateur que vous avez cr pour l agent Cl d authentification de l agent que vous avez d finie Installation d un agent Pour installer un agent destin un h te Windows 1 Double cliquez sur le lanceur de l installation de l agent L assistant d installation d marre 2 Cliquez sur Suivant lisez la licence cliquez sur J accepte les termes des contrats de licence pour continuer puis cliquez sur Suivant 3 Acceptez le chemin d installation ou modifiez le puis cliquez sur Suivant 4 Entrez les informations requises comme suit a Entrez le nom d h te du CA Enterprise Log Manager auquel cet agent doit transf rer les journaux qu il collecte Remarque Comme CA Enterprise Log Manager de cet exemple de sc nario utilise DHCP pour l affectation des adresses IP vous ne devez pas entrer d adresse IP ici en effet en cas de changement ult rieur de l adresse IP du serveur vous risqueriez de devoir r installer l agent b Entrez la cl d authentification de l agent Voici un exemple CA Enterprise Log Manager Agent InstallShield Wizard xi Information about CA Enterprise Log Manager Agent ca Enter CA Enterprise Log Manager Server IP or Name and Authentication Code Server IP or LogManager02 Name Authentication my_agent_auth_key Code ES a Chapitre 3 D ploiement de l agent Windows 39 Installation d un agent 5 Entrez le nom et mot de passe du compte d utilisateur
49. e to the above license terms yes or no Saisissez yes si vous en acceptez les termes Les informations d enregistrement de produit sont affich es suivies du message ci dessous Press Enter to continue Appuyez sur Entr e Des messages indiquent qu en pr paration l installation CA Enterprise Log Manager les param tres syst me sont en cours de configuration Le contrat de licence d utilisateur final CA s affiche Lisez ce contrat de licence A la fin du contrat le message ci dessous appara t Do you agree to the above license terms Yes or no Saisissez Yes si vous en acceptez les termes Les informations de serveur CA EEM apparaissent 13 R pondez aux invites suivantes pour configurer CA EEM 20 Manuel de pr sentation Do you use a local or remote EEM server Enter I local or r remote Pour cr er un syst me de test autonome entrez pour local Enter the password for the EEM server EiamAdmin user Confirm the password for the EEM server EiamAdmin user 14 15 Installation d un syst me un seul serveur b Saisissez le mot de passe que vous souhaitez affecter au superutilisateur par d faut EFiamAdmin saisissez le nouveau Enter an application name for this CAELM server CAELM c Appuyez sur Entr e pour accepter CAELM le nom d application par d faut de CA Enterprise Log Manager Les informations sur le serveur EEM que vous avez entr es jusqu ici apparaissent avec un
50. ectionner AIX_Syslog Les d tails de l int gration apparaissent AIX_Syslog 12 0 5010 0 v D tails de l int gration afficher les d tails de l int gration E Pour afficher laide sur int gration cliquez ici PYS109 Madee eite eters g Version 1 0 Aide la configuration Version Description Cette int gration prend en charge IBM AIX 5 1 5 2 et 5 3 avec Syslog XMP AIxX_syslog_12 0 5010 0 XMPS Mappage de donn es AIX_syslog_12 0 5010 0 DMS a Cliquez sur le bouton Aide situ juste au dessus du nom de l int gration dans le volet droit Le manuel du connecteur pour l int gration s lectionn e appara t Cliquez sur la section relative la configuration requise par la source d v nement Dans cet exemple la documentation d crit la configuration de la source d v nement du syst me d exploitation AIX pour envoyer ses Syslogs CA Enterprise Log Manager 1 0 Manuel du connecteur pour AIX 2 0 Configuration requise 3 0 Configuration de AIX 3 1 Configuration du fichier Syslog 3 2 Ecriture d un script PERL 3 3 Activation de l audit 3 3 2 Configuration des fichiers de r pertoire d audit 3 3 2 1 Configuration du fichier objects 3 3 2 2 Configuration du fichier config 3 3 2 3 Configuration du fichier streamcmds 3 3 3 Modification du fichier etc rc 3 3 4 Modification du fichier etc shutdown 3 3 5 D marrage de l audit Chapitre 2 D ploiement rapide 27 Configuration des sources d v
51. elier aux valeurs s lectionn es L analyse des journaux est l tude des entr es de journal qui permet d identifier les v nements pertinents Si les journaux ne sont pas analys s opportun ment leur valeur est consid rablement r duite Les AppObjects Application Objects ou objets d application sont des ressources sp cifiques un produit ils sont stock s dans CA EEM sous l instance d application d un produit donn Pour l instance d application CAELM ces ressources incluent le contenu des rapports et requ tes les jobs planifi s pour les rapports et alertes les configurations et le contenu des agents les configurations de service d adaptateur et d int gration les fichiers de mappage de donn es et d analyse de message ainsi que les r gles de suppression et de r capitulation archivage automatique L archivage automatique est un processus configurable qui permet d automatiser le transfert des bases de donn es d archivage entre deux serveurs Lors de la premi re phase de l archivage automatique le serveur de collecte envoie les bases de donn es nouvellement archiv es au serveur de rapports la fr quence que vous avez pr d finie Lors de la seconde phase le serveur de rapports envoie les anciennes bases de donn es au serveur de stockage distant pour un stockage long terme ce qui vite d avoir effectuer la sauvegarde et le transfert manuellement Pour effectuer un archivage automatique vous devez c
52. entification m BaselIl m COBIT m COSO m Directive UE Protection des donn es m FISMA m GLBA m HIPAA m ISO IEC 27001 2 m JPIPA m JSOX m NERC m NISPOM m PCI m SAS 70 m SOX Vous pouvez examiner des rapports de journaux pr d finis ou effectuer des recherches en fonction de crit res sp cifi s par vos soins De nouveaux rapports sont fournis avec les mises jour d abonnement 54 Manuel de pr sentation G n ration de rapports de conformit Les fonctionnalit s d affichage des journaux reposent sur les l ments suivants Requ tes la demande pr d finies ou d finies par l utilisateur dont les r sultats peuvent atteindre jusqu 5 000 enregistrements Recherche rapide au moyen d invites pour un nom d h te une adresse IP un num ro de port ou un nom d utilisateur sp cifi G n ration de rapports planifi e et la demande avec contenu de g n ration de rapports pr t l emploi Requ tes et alertes planifi es Rapports de base avec informations de tendances Visionneuses d v nements interactives et graphiques G n ration automatis e de rapport avec pi ce jointe de courriel Strat gies de conservation automatis e de rapport Remarque Pour plus de d tails sur l utilisation de requ tes et de rapports pr d finis ou sur la cr ation de requ tes et de rapports personnalis s consultez le Manuel d administration CA Enterprise Log Manager Chapitre 4 Principales fonc
53. ertis en strat gies d obligation Glossaire 79 filtre global filtre local gestion des agents gestion des droits Un filtre global est un ensemble de crit res que vous pouvez sp cifier pour limiter les l ments pr sent s dans tous les rapports Par exemple un filtre global pour les 7 derniers jours renvoie les v nements g n r s au cours des sept derniers jours coul s Un filtre local est un ensemble de crit res que vous pouvez sp cifier lors de la consultation d un rapport pour limiter les donn es affich es dans ce rapport en cours La gestion des agents est le processus logiciel qui contr le l ensemble des agents associ s l ensemble de CA Enterprise Log Manager f d r s Ce processus authentifie les agents avec lesquels il communique La gestion des droits est la m thode qui permet de contr ler ce que les utilisateurs sont autoris s faire une fois authentifi s et connect s l interface CA Enterprise Log Manager Ceci implique des strat gies d acc s associ es des r les affect s aux utilisateurs Ces r les ou groupes d utilisateurs d applications et strat gies d acc s peuvent tre pr d finis ou d finis par l utilisateur La gestion des droits est assur e par le magasin d utilisateurs interne du syst me CA Enterprise Log Manager gestion des journaux de s curit informatique La gestion des journaux de s curit informatique est d finie par le National Institute of Standar
54. es ressources sp cifiques CA Enterprise Log Manager sur lesquelles les strat gies d acc s CALM autorisent ou interdisent des identit s donn es d effectuer certaines actions sp cifiques l application par exemple cr er planifier et modifier Rapport alerte et int gration sont des exemples de ressource d application Voir galement ressource globale Une ressource globale pour le produit CA Enterprise Log Manager est une ressource partag e avec les autres applications CA Vous pouvez cr er des strat gies de port e pour les ressources globales Utilisateur strat gie et calendrier sont des exemples de ressource globale Voir galement ressource d application Glossaire 89 r le Administrator r le Analyst r le Auditor r le d utilisateur routeur SAPI SafeObject SAPI Recorder Le r le Administrator accorde aux utilisateurs la possibilit d effectuer toutes les actions valides existantes sur l ensemble des ressources CA Enterprise Log Manager Seuls les utilisateurs Administrator sont autoris s configurer les services et la collecte de journaux ou encore g rer les utilisateurs les strat gies d acc s et les filtres d acc s Le r le Analyst accorde aux utilisateurs la possibilit de cr er et de modifier des requ tes et rapports personnalis s de modifier et d annoter les rapports de cr er des balises ou encore de planifier des rapports et alertes d action Les utilisateurs Analyst pe
55. eur de rapports et les alertes envoy es au flux RSS serveur de stockage distant serveur ODBC serveur proxy HTTP Le serveur de stockage distant est un r le attribu un serveur qui re oit les bases de donn es archiv es automatiquement en provenance d un ou plusieurs serveurs de rapports Le serveur de stockage distant conserve les bases de donn es froides pendant le nombre d ann es requis L h te distant utilis pour le stockage ne dispose g n ralement pas d un syst me CA Enterprise Log Manager ou autre Pour l archivage automatique configurez une authentification non interactive Le serveur ODBC est le service configur qui d finit le port utilis pour les communications entre le client ODBC ou JDBC et le serveur CA Enterprise Log Manager et d termine si le chiffrement SSL est activ ou non Un serveur proxy HTTP est un serveur proxy qui joue le r le de pare feu et emp che le trafic Internet de p n trer dans l entreprise ou de la quitter hormis via le proxy Le trafic sortant peut sp cifier un ID et un mot de passe pour contourner le serveur proxy L utilisation d un serveur proxy HTTP local dans la gestion de l abonnement est configurable serveurs de f d ration services Les serveurs de f d ration sont des serveurs CA Enterprise Log Manager connect s les uns aux autres sur un r seau afin de r partir la collecte des donn es de journal tout en cumulant les donn es collect es des fins de g n
56. g Pour afficher rapidement les r sultats d une requ te sur des v nements collect s par un couteur Syslog utilisez l invite H te Pour afficher des v nements Syslog 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ tes s affiche 2 D veloppez Invites sous Liste de requ tes puis s lectionnez H te Liste de requ tes Options Rechercher y Invites i Connecteur pe H te i Adresse IP pe Nom du journal R Port pe Utilisateur 3 Soumettez une requ te pour les v nements collect s par l agent par d faut a b C Dans le champ H te entrez le nom d h te de l agent par d faut il s agit galement du nom du CA Enterprise Log Manager sur lequel il r side S lectionnez agent_hostname Cliquez sur OK a Filtres d invite Entrez les valeurs d invites et v rifiez toutes les colonnes CEG applicables H te LogManager02 M source_hostname Y dest_hostname Y event _source_hostname Y receiver_hostname V agent_hostname 32 Manuel de pr sentation Affichage d v nements Syslog 4 Affichez les r sultats examiner a Pour trier par r sultats cliquez sur la colonne R sultats b Faites d filer jusqu au premier r sultat F pour failure chec Supposez qu il s agit d un avertissement de configuration de la cat gorie Gestion de la configuration c Double cliquez pour s lectionner la ligne afficher en d tail La vis
57. his query N Name Short Name Affichage de l aide en ligne Affichage de l aide en ligne Vous pouvez afficher de l aide sur la page que vous consultez ou pour toute t che que vous souhaitez effectuer Pour afficher l aide en ligne 1 Cliquez sur le lien Aide dans la barre d outils pour afficher le syst me d aide en ligne de CA Enterprise Log Manager CA CA Enterprise Log Manager aide Le syst me d aide de CA Enterprise Log Manager appara t son contenu tant affich dans le volet gauche Sommaire Index Recherche gg C Enterprise Log Manager r12 1 Informations l gales Produits CA r f renc s Support technique 8 Introduction Structure de f d ration t Filtres globaux et locaux T ches li es aux balises 8 Requ tes T ches de rapports T ches de rapports planifi s T ches de gestion des alertes 2 L exemple ci dessous pr sente l acc s l aide contextuelle partir d un bouton Aide a Cliquez sur le bouton Afficher Modifier les filtres globaux mA N Profs A Ge Param tres et titres globaux Chapitre 5 Informations compl mentaires concernant CA Enterprise Log Manager 63 Affichage de l aide en ligne La fen tre Filtres et param tres globaux appara t et affiche un bouton Aide Param tres et filtres globaux E Les filtres globaux s appliquent l ensemble de l application et sont conserv s au fur et mesure
58. ifier Chapitre 2 D ploiement rapide 29 Modification du connecteur Syslog Cliquez sur Modifier L assistant de modification d un connecteur appara t l tape D tails du connecteur est s lectionn e Cliquez sur Appliquer les r gles de suppression facultatif Si vous souhaitez supprimer un type d v nement Syslog c est dire si vous souhaitez qu il ne soit pas collect faites le passer de la liste Disponible s la liste S lectionn s S lectionnez l v nement d placer puis cliquez sur le bouton D placer Cliquez sur l tape Configuration du connecteur Toutes les int grations disponibles sont s lectionn es par d faut S lectionnez les cibles Syslog en faisant passer les int grations Syslog cibler de la liste Disponible s la liste S lectionn s Par exemple si vous avez configur le syst me d exploitation AIX sur un h te de votre r seau vous faites passer la cible Syslog AIX_Syslog de la liste Disponible s la liste S lectionn s S lectionner les int grations Syslog cibles Disponible s S lectionn s Apache_2059_to_2280_Syslog Version 12 0 5003 0 AIX_Syslog Version 12 0 5010 0 Bluecoat_Syslog Version 12 0 5007 0 CA_DLP Version 12 0 5010 0 CiscoACS_Syslog Version 12 0 46 5 CiscoASA Version 12 0 5008 0 CiscoPIXFW Version 12 0 5010 0 CiscoRouter Version 12 0 5008 0 Identifiez les h tes fiables d o proviennent les v ne
59. igine de chaque identificateur d objet num rique OID utilis dans un message d interruption SNMP accompagn e d une description de l objet de donn es ou de l l ment de r seau en question Dans la MIB pour les interruptions SNMP envoy es par CA Enterprise Log Manager la description de chaque objet de donn es est destin e au champ CEG associ La MIB permet de s assurer que toutes les paires nom valeur transmises dans une interruption SNMP sont correctement interpr t es au niveau de la destination mises jour d abonnement Les mises jour d abonnement correspondent aux fichiers binaires et non binaires mis disposition par le serveur d abonnement CA Les fichiers binaires sont des mises jour du module produit g n ralement install es sur les syst mes CA Enterprise Log Manager Les fichiers non binaires ou mises jour de contenu sont enregistr s sur le serveur de gestion mises jour du contenu Les mises jour de contenu constituent la partie non binaire des mises jour d abonnement et elles sont enregistr es sur le serveur de gestion CA Enterprise Log Manager Les mises jour de contenu incluent les fichiers XMP les fichiers de mappage de donn es les mises jour de configuration pour les modules CA Enterprise Log Manager et les mises jour de cl publique module t l charger Un module est un groupement logique de mises jour de composant mis disposition des utilisateurs en t l chargeme
60. im s ou r capitul s comme des v nements ajust s Ces informations sont stock es et peuvent tre interrog es Un v nement local est un v nement impliquant une entit unique o la source et la destination de l v nement correspondent au m me ordinateur h te Un v nement local est de type 1 sur les quatre types d v nement utilis s dans la grammaire commune aux v nements Un v nement natif constitue l tat ou l action d clenchant un v nement brut Les v nements natifs sont re us et analys s mapp s le cas ch ant puis transmis en tant qu v nements bruts ou ajust s Un chec d authentification est un v nement natif Un v nement observ est un v nement impliquant une source une destination et un agent o l v nement est observ et enregistr par un agent de collecte d v nements Glossaire 77 v nement RSS v nements event_action event_category event_class explorateur d agent Un v nement RSS est un v nement g n r par CA Enterprise Log Manager pour transmettre une alerte d action des produits et utilisateurs tiers L v nement est un r capitulatif de chaque r sultat d alerte d action et un lien vers le fichier de r sultat La dur e d un flux RSS donn peut tre configur e Dans CA Enterprise Log Manager les v nements sont des enregistrements de journal g n r s par chaque source d v nement sp cifi e event_action est l
61. informations fournies dans la base de donn es de catalogue la requ te sera ex cut e uniquement sur ces dix bases de donn es Une requ te peut renvoyer 5 000 lignes de donn es au maximum Tout utilisateur dot d un r le pr d fini peut ex cuter une requ te Seuls les analystes et les administrateurs peuvent planifier une requ te pour diffuser une alerte d action cr er un rapport en s lectionnant les requ tes inclure ou encore cr er une requ te personnalis e l aide de l assistant de conception de requ te Voir galement requ te d archivage Une requ te d action est une requ te prenant en charge une alerte d action Elle est ex cut e de mani re planifi e et r currente pour tester les conditions d finies par l alerte d action laquelle elle est associ e Une requ te d archivage est une requ te du catalogue utilis e pour identifier les bases de donn es froides devant tre restaur es et d givr es des fins de requ te Une requ te d archivage diff re d une requ te normale dans le sens o elle cible les bases de donn es froides tandis que les requ tes normales ciblent uniquement les bases chaudes ti des et d givr es Les administrateurs peuvent mettre une requ te d archivage gr ce l option Requ te de catalogue d archive du sous onglet Collecte de journaux dans l onglet Administration ressource d application ressource globale Le terme ressource d application correspond toutes l
62. ion incluent les composants ci dessous m Syst me d exploitation Red Hat Enterprise Linux pour le dispositif logiciel m Serveur CA Enterprise Log Manager m Agent CA Enterprise Log Manager d sign ci apr s par l agent Dans l illustration qui suit CA Enterprise Log Manager est d crit comme un serveur comportant un petit serveur un cercle sombre vert et une base de donn es Le petit serveur repr sente le r f rentiel local de stockage de contenu au niveau des applications Le cercle sombre repr sente l agent par d faut et la base de donn es repr sente le magasin de journaux d v nements o les journaux d v nements entrants sont trait s et mis disposition pour les requ tes et les rapports Les cercles sombres verts sur le point de collecte et les autres sources d v nement repr sentent des agents install s s par ment L installation d autres agents est facultative Vous pouvez collecter des Syslogs provenant de sources d v nement compatibles avec UNIX gr ce l agent par d faut une fois la configuration requise termin e CA Enterprise 12 Manuel de pr sentation A propos de CA Enterprise Log Manager Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Vous installez le syst me d exploitation pour le dispositif logiciel puis vous installez l application CA Enterprise Log Manager D s que vous configurez vos sources pour envoyer des Syslogs vers CA Enterprise Log Manage
63. ionneuse d v nements appara t 5 Faites d filer jusqu la zone d affichage du r sultat Dans cet exemple l erreur est un avertissement vous indiquant que vous devez configurer le module d abonnement Il s agit d un avertissement que vous devez ignorer jusqu la fin de l installation de tous les serveurs CA Enterprise Log Manager souhait s Visionneuse d v nements D tails de l v nement H te Copier Y Masquer les lignes vides PS ET Affi Hom Valeur L ideal_model Security Management System C4 C4 L m agent_hostname ca elm Lu agent_name Subscription Lu agent_version 1216611 LL raw _event source_hostname ca elm source_address 127 0 01 dest_hostn ame ca elm dest_address 127 0 01 dest_objectna z Source a Destination Ev nement E R sultat Li Source d v nement Agent Fermer Chapitre 2 D ploiement rapide 33 Chapitre 3 D ploiement de l agent Windows Ce chapitre traite des sujets suivants Cr ation d un compte d utilisateur pour l agent page 35 D finition de la cl d authentification d un agent page 36 T l chargement du programme d installation de l agent page 37 Installation d un agent page 38 Cr ation d un connecteur bas sur NTEventLog page 41 Configuration d une source d v nement Windows page 44 Affichage de journaux partir de sources d v nement Windows page 45 Cr ation d un compte d utilisateur po
64. iques dans la section Valeur associ e aux valeurs cl s sur la m me page de l interface utilisateur L invocation du traitement des valeurs dynamiques est l une des trois m thodes qui vous permettent d ajouter des valeurs vos cl s URL de CA Embedded Entitlements Manager L URL de CA Embedded Entitlements Manager CA EEM est https lt adresse_ip gt 5250 spin eiam Pour ouvrir une session s lectionnez CAELM comme application et saisissez le mot de passe associ au nom d utilisateur EiamAdmin URL de CA Enterprise Log Manager L URL de CA Enterprise Log Manager est https lt adresse_ip gt 5250 spin calm Pour ouvrir une session saisissez le nom d utilisateur d fini pour votre compte par l administrateur puis le mot de passe associ Vous pouvez galement saisir le nom de superutilisateur par d faut EiamAdmin puis entrer le mot de passe associ URL du flux RSS pour l abonnement L URL du flux RSS pour l abonnement est un lien pr configur utilis par les serveurs proxy d abonnement en ligne lors de la r cup ration des mises jour d abonnement Cette URL est destin e au serveur d abonnement CA URL du flux RSS pour les alertes d action L URL du flux RSS pour les alertes d action est https nomh teelm 5250 spin calm getActionQueryRssFeeds csp A partir de cette URL vous pouvez afficher les alertes d action soumises la configuration d finie en termes de quantit et d anciennet maximales 94 Manuel
65. ise Log Manager Appuyez sur Entr e Le processus d installation v rifie si votre syst me respecte les sp cifications minimales recommand es pour des performances optimales Si tel n est pas le cas une invite s affiche vous demandant si vous souhaitez arr ter ce processus d installation L invite ci dessous s affiche Please enter a new hostname Entrez le nom d h te de ce dispositif logiciel CA Enterprise Log Manager Par exemple entrez CALM1 Acceptez l unit par d faut eth0 Appuyez sur Entr e pour passer l cran suivant 18 Manuel de pr sentation 6 10 Installation d un syst me un seul serveur Effectuez l une des op rations suivantes puis s lectionnez OK m S lectionnez Use DHCP une option acceptable uniquement pour un syst me de test autonome m Entrez l adresse IP statique le masque de sous r seau et l adresse IP de la passerelle par d faut associer au nom d h te que vous avez entr Les services r seau sont red marr s avec les nouveaux param tres qui sont affich s Le message ci dessous appara t Do you want to change the network configuration n PAL V rifiez les param tres du r seau S ils sont satisfaisants saisissez n ou appuyez sur Entr e lorsqu appara t le message vous permettant de modifier les param tres r seau Le message ci dessous appara t Please enter the domain name for this system Entrez votre nom de domaine par exemple l
66. itre 4 Principales fonctionnalit s 57 Acc s selon un r le Remarque Pour plus de d tails sur la configuration de l acc s de l utilisateur de base consultez le Manuel d impl mentation CA Enterprise Log Manager Pour plus de d tails sur les strat gies de prise en charge de r les pr d finis de cr ation de comptes d utilisateur et d affectation de r les consultez le Manuel d administration CA Enterprise Log Manager Acc s selon un r le CA Enterprise Log Manager propose trois groupes d applications ou r les pr d finis Les administrateurs affectent les r les ci dessous aux utilisateurs pour sp cifier leurs droits d acc s aux fonctions CA Enterprise Log Manager m Administrator m Analyst m Auditor L auditeur peut acc der quelques fonctions L analyste peut acc der toutes les fonctions Auditor auxquelles s ajoutent quelques autres fonctions L administrateur peut acc der toutes les fonctions Vous pouvez d finir un r le personnalis avec des strat gies associ es qui limitent l acc s de l utilisateur aux ressources de fa on r pondre vos besoins commerciaux Administrator Analyst User Defined Role Les administrateurs peuvent personnaliser l acc s n importe quelle ressource en cr ant un groupe d applications personnalis avec des strat gies associ es puis en affectant ce groupe d applications ou r le aux comptes d utilisateur Remarque Pour plus de d tails sur
67. its 2228808080 n Rennes DE RARE OURS ER A Sn NE Re RE ES 57 Acc s selon un r le 4242484 uremrnrue denied ed be do de done of de de 58 Gestion de l abonnement 4 4444 44444 eee 59 Contenu pr t a l emploi 1 15520s4ri4dicdsiiddasesiiidisdee das ss d iisdssd sdsid sas s 60 Table des mati res 7 Chapitre 5 Informations compl mentaires concernant CA Enterprise Log Manager Affichage des infobulles Affichage de l aide en ligne Exploration de la biblioth que de documentation Glossaire Index 8 Manuel de pr sentation 61 61 63 65 67 97 Chapitre 1 Introduction Ce chapitre traite des sujets suivants A propos de ce manuel page 9 A propos de CA Enterprise Log Manager page 10 A propos de ce manuel Ce Manuel de pr sentation traite de CA Enterprise Log Manager Il d bute par de rapides didacticiels qui vous permettent d acqu rir une premi re exp rience du produit Le premier didacticiel vous guide pour installer CA Enterprise Log Manager sur un seul serveur l ex cuter et afficher des Syslogs collect s partir d unit s UNIX proximit sur le r seau Le deuxi me didacticiel vous guide pour installer un agent sur un syst me d exploitation Windows configurer la collecte de journaux et afficher les journaux d v nements qui en r sultent Il d crit ensuite les principales fonctions et indique les ressources permettant d en savoir plus Ce man
68. l de pr sentation v nement brut Un v nement brut correspond aux informations d clench es par un v nement natif envoy par un agent de surveillance au collecteur Log Manager L v nement brut est souvent pr sent sous la forme d une cha ne Syslog ou d une paire nom valeur Il est possible d examiner un v nement sous sa forme brute dans CA Enterprise Log Manager v nement d autosurveillance v nement distant Un v nement d autosurveillance est un v nement journalis par CA Enterprise Log Manager Ce type d v nement est automatiquement g n r sur la base d actes effectu s par l utilisateur et de fonctions r alis es par diff rents modules tels que les services et les couteurs Pour consulter le rapport pr cisant les d tails des v nements d autosurveillance des op rations SIM s lectionnez un serveur de rapports et ouvrez l onglet Ev nements d autosurveillance Un v nement distant est un v nement impliquant deux ordinateurs h tes distincts la source et la destination Un v nement distant est de type 2 sur les quatre types d v nement utilis s dans la grammaire commune aux v nements v nement enregistr v nement local v nement natif v nement observ Un v nement enregistr contient les donn es d un v nement brut ou ajust apr s son int gration dans la base de donn es Les v nements bruts sont toujours enregistr s sauf s ils sont suppr
69. la planification et la cr ation de r les personnalis s de strat gies personnalis es et de filtres d acc s consultez le Manuel d administration CA Enterprise Log Manager 58 Manuel de pr sentation Gestion de l abonnement Gestion de l abonnement Le module d abonnement est le service qui permet de t l charger automatiquement de mani re planifi e les mises jour d abonnement provenant du serveur d abonnement CA et de les distribuer aux serveurs CA Enterprise Log Manager Lorsqu une mise jour d abonnement inclut le module pour les agents les utilisateurs lancent le d ploiement de ces mises jour vers les agents Les mises jour d abonnement sont des mises jour de composants CA Enterprise Log Manager ainsi que des mises jour de syst me d exploitation des correctifs et des mises jour de contenu comme les rapports L illustration ci dessous d crit le sc nario le plus simple de connexion directe Internet Subscription Server Subscription Default Proxy Subscription Client Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Le serveur CA Enterprise Log Manager en tant que serveur d abonnements par d faut contacte le serveur d abonnements CA concernant les mises jour et t l charge toute mise jour nouvellement disponible Le serveur CA Enterprise Log Manager cr e une sauvegarde puis envoie les mises jour de contenu vers le composant incorpor du serveur de
70. le au sein de l Union Europ enne Copyright 2009 CA Tous droits r serv s Tous les noms et marques d pos es d nominations commerciales ainsi que tous les logos r f renc s dans le pr sent document demeurent la propri t de leurs d tenteurs respectifs Produits CA r f renc s Ce document fait r f rence aux produits CA suivants CA Access Control CA Audit CA ACF2 CA Directory CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CA IT Process Automation Manager CA IT PAM CA NSM CA Security Command Center CA SCC CA Security Compliance Manager CA SCM CA Service Desk CA SiteMinder CA Spectrum CA Top Secret Support technique Pour une assistance technique en ligne et une liste compl te des sites horaires d ouverture et num ros de t l phone contactez le support technique l adresse http www ca com worldwide Modifications de la documentation Les actualisations suivantes ont t r alis es depuis la derni re version de la pr sente documentation m Pr sentation du d marrage rapide cette rubrique existante a t mise jour pour r f rencer des types d v nement en plus des syslogs pouvant tre collect s par l agent par d faut sur le serveur CA Enterprise Log Manager m Alerte de violation de strat gie cette rubrique existante a t mise jour de mani re r f rencer la possibilit d envoyer des alertes sous f
71. local mais il peut tre configur pour faire r f rence CA SiteMinder ou un r pertoire LDAP pris en charge comme Microsoft Active Directory Sun One ou Novell eDirectory Quelle que soit la configuration du magasin d utilisateurs le r f rentiel local sur le serveur de gestion contient des informations sp cifiques aux applications concernant les utilisateurs comme leur r le et les strat gies d acc s associ es mappage de donn es Le mappage de donn es est un processus consistant mapper les paires de valeurs cl s vers la CEG Le mappage de donn es s effectue sur la base d un fichier de mappage de donn es Glossaire 83 mappages de fonctions Les mappages de fonctions constituent une partie facultative du fichier de mappage de donn es pour une int gration produit Ils servent renseigner un champ de la grammaire commune aux v nements lorsque la valeur requise ne peut tre extraite directement de la source d v nement Tous les mappages de fonctions se composent d un nom de champ CEG d une valeur de champ de classe ou pr d finie ainsi que de la fonction utilis e pour obtenir ou calculer la valeur MIB base de donn es d informations de gestion La MIB base de donn es d informations de gestion pour CA Enterprise Log Manager CA ELM MIB doit tre import e et compil e par chaque produit devant recevoir des alertes sous la forme d interruptions SNMP depuis CA Enterprise Log Manager La MIB indique l or
72. ment les strat gies locales de ce serveur facultatif 5 Agrandissez CA Enterprise Log Manager Affichage de journaux partir de sources d v nement Windows Pour afficher rapidement les r sultats d une requ te sur des v nements collect s par un couteur Syslog utilisez l invite H te Vous pouvez galement s lectionner des requ tes ou des rapports Pour afficher les journaux d v nements entrants 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ tes s affiche 2 D veloppez Invites sous Liste de requ tes puis s lectionnez H te 3 Dans le champ H te entrez le nom du serveur WMI configur pour le d tecteur D s lectionnez les autres cases puis cliquez sur OK a Filtres d invite Entrez les valeurs d invites et v rifiez toutes les colonnes CEG applicables H te USEROODILAB OK source_hostname dest_hostname Y event_source_hostname receiver_hostname agent_hostname Les v nements provenant des sources d v nement du serveur WMI apparaissent 4 Cliquez sur S v rit CA puis faites d filer pour rechercher un avertissement L exemple ci dessous est compress sans les colonnes Date et Source d v nement S v rit CA vx Utilisateur de R sultat Cat gorie Action Hom du journal E Warning calm_agent S System Access Privilege Use NT Security 5 Cliquez sur Afficher les v nements bruts pour afficher les v nements bruts de
73. ments entrants accept s par le connecteur Syslog facultatif Entrez l adresse IP dans le champ d entr e puis cliquez sur Ajouter R p tez cette proc dure pour chaque h te fiable Tout v nement re u d un h te non configur comme fiable est alors rejet Remarque Il est recommand de configurer des h tes fiables En g n ral vous configurez tous les h tes sur lesquels vous avez tabli des sources d v nement pour envoyer des Syslogs CA Enterprise Log Manager La sp cification d h tes fiables assure que l agent par d faut refuse les v nements provenant de syst mes non autoris s qu un attaquant a configur s pour envoyer des v nements l couteur Syslog 30 Manuel de pr sentation Modification du connecteur Syslog 9 Ajoutez des ports facultatif En g n ral vous acceptez les ports UDP et TCP par d faut pour l agent par d faut Remarque Vous pouvez am liorer les performances en d finissant un connecteur Syslog pour diff rents types d v nements et en sp cifiant un port diff rent pour chaque connecteur Veillez s lectionner des ports non utilis s lorsque vous affectez de nouveaux ports 10 Ajoutez un fuseau horaire uniquement si vous collectez des Syslogs provenant d ordinateurs situ s dans un fuseau horaire diff rent de celui du dispositif logiciel facultatif a Cliquez sur Cr er un dossier puis d veloppez le dossier b Mettez en surbrillance l entr e vide situ e s
74. mises jour qui stocke les mises jour de contenu pour tous les autres serveurs CA Enterprise Log Manager 2 En tant que client d abonnement le serveur CA Enterprise Log Manager installe lui m me les mises jour des produits et du syst me d exploitation dont il a besoin Chapitre 4 Principales fonctionnalit s 59 Contenu pr t l emploi Remarque Pour plus de d tails sur la planification et la configuration de l abonnement consultez le Manuel d impl mentation Pour plus de d tails sur l ajustement et la modification de la configuration d abonnement et sur l application des mises jour aux agents consultez le Manuel d administration Contenu pr t l emploi CA Enterprise Log Manager contient un contenu pr d fini que vous commencez utiliser d s l installation et la configuration du produit Le processus d abonnement ajoute r guli rement du contenu nouveau et met jour celui existant Les cat gories de contenu pr d fini incluent m Rapports avec balises m Requ tes avec balises m Int grations avec des capteurs associ s fichiers d analyse XMP fichiers de mappage DM et dans certains cas r gles de suppression m R gles de suppression et de r capitulation 60 Manuel de pr sentation Chapitre 5 Informations compl mentaires concernant CA Enterprise Log Manager Ce chapitre traite des sujets suivants Affichage des infobulles page 61 Affichage de l aide en ligne page
75. ms d utilisateur caelmadmin et EiamAdmin sont cr s et le mot de passe sp cifi pour EiamAdmin est affect caelmadmin Les informations d identification de caelmadmin sont requises pour le premier acc s au syst me d exploitation celles de EiamAdmin sont n cessaires pour le premier acc s au logiciel CA Enterprise Log Manager et pour l installation des agents instance d application int gration invite Une instance d application est un espace commun dans le r f rentiel CA EEM o sont stock s tous les utilisateurs groupes contenus strat gies d autorisation et configurations En g n ral tous les serveurs CA Enterprise Log Manager d une entreprise utilisent la m me instance d application par d faut CAELM Vous pouvez installer des serveurs CA Enterprise Log Manager avec diff rentes instances d application mais seuls les serveurs partageant la m me instance d application peuvent tre f d r s Les serveurs configur s pour utiliser le m me serveur CA EEM avec diff rentes instances d application partagent uniquement le magasin d utilisateurs les strat gies de mots de passe et les groupes globaux Les diff rents produits CA ont des instances d application par d faut diff rentes L int gration est une m thode permettant de traiter les v nements non class s en v nements ajust s pour pouvoir les afficher dans les requ tes et les rapports L int gration est mise en oeuvre avec un ensemble d l ment
76. n d acc s Internet proxy d abonnement par d faut rapport rapports EPHI Le proxy d abonnement par d faut est g n ralement le serveur CA Enterprise Log Manager install en premier il peut galement s agir du serveur CA Enterprise Log Manager principal Ce serveur sert galement de proxy d abonnement en ligne et doit par cons quent tre dot d un acc s Internet Si aucun autre proxy d abonnement en ligne n est d fini ce serveur obtient les mises jour d abonnement aupr s du serveur d abonnement CA puis t l charge les mises jour de fichiers binaires sur tous les clients et envoie les mises jour de contenu CA EEM Si d autres proxies sont d finis le serveur obtient tout de m me les mises jour d abonnement mais il est contact par les clients uniquement lorsque aucune liste de proxies d abonnement n est configur e ou lorsque la liste configur e est puis e Un rapport est une repr sentation graphique ou tabulaire des donn es de journal d v nements qui est g n r e en ex cutant des requ tes pr d finies ou personnalis es l aide de filtres Les donn es peuvent tre issues de bases de donn es chaudes ti des et d givr es dans le magasin de journaux d v nements du serveur s lectionn et sur demande de ses serveurs f d r s Les rapports EPHI Electronic Protected Health Information sont des rapports relatifs la s curit HIPAA Health Insurance Portability and Acco
77. necter au dispositif sur la console ou via SSH Continuez comme suit a Si vous avez configur une adresse IP statique veillez enregistrer cette adresse IP aupr s des serveurs DNS sp cifi s l tape 9 a Si vous avez configur DHCP mettez jour votre fichier hosts sur l ordinateur partir duquel vous souhaitez naviguer pour atteindre ce serveur a Acc dez l adresse URL not e l tape 14 puis configurez le premier administrateur Chapitre 2 D ploiement rapide 21 Mise jour de votre fichier hosts Windows Mise jour de votre fichier hosts Windows Lors de l installation CA Enterprise Log Manager vous pouvez identifier un ou plusieurs serveurs DNS ou s lectionner l utilisation de DHCP Si vous avez s lectionn DHCP vous devez mettre jour le fichier hosts Windows l aide de votre navigateur sur l ordinateur partir duquel vous souhaitez acc der CA Enterprise Log Manager Pour mettre jour votre fichier hosts sur l h te avec votre navigateur 1 Ouvrez l explorateur Windows et acc dez C WINDOWS system32 drivers etc 2 Ouvrez le fichier hosts au moyen d un diteur par exemple Bloc notes 3 Ajoutez une entr e contenant l adresse IP du serveur CA Enterprise Log Manager et le nom d h te correspondant 4 Dans le menu Fichier s lectionnez Enregistrer puis fermez le fichier Configuration du premier administrateur Apr s avoir install CA Enterprise Log Manager avec
78. nement Syslog Exemple d une autre source de manuels de connecteurs le support en ligne Vous pouvez ouvrir un manuel de connecteur s lectionn partir de l interface utilisateur CA Enterprise Log Manager ou du support en ligne de CA L exemple ci dessous pr sente l ouverture d un manuel de connecteur partir de cette autre possibilit 1 2 28 Manuel de pr sentation Connectez vous au support en ligne de CA S lectionnez CA Enterprise Log Manager dans la liste d roulante de s lection d une page de produit Faites d filez jusqu l tat du produit et s lectionnez la matrice de certification de CA Enterprise Log Manager S lectionnez la matrice d int gration du produit Recherchez la cat gorie de l int gration associ e la source d v nement que vous configurez Par exemple si la source d v nement est le syst me d exploitation AIX faites d filer jusqu la cat gorie des syst mes d exploitation puis cliquez sur le lien AIX Produit Version Journal Sensor Syst mes d exploitation Ix syslog n Nn Nn ONHE Modification du connecteur Syslog Modification du connecteur Syslog Chaque CA Enterprise Log Manager comporte un agent par d faut Lorsque CA Enterprise Log Manager est install son agent par d faut comporte un connecteur partiellement configur appel Syslog_Connector bas sur l couteur Syslog Cet couteur re oit des v nements Syslog bruts sur les ports par d faut
79. nt au proxy d abonnement par d faut Bien que cela ne soit pas recommand dans la plupart des environnements de production le serveur de gestion peut prendre en charge tous les r les serveur de point de restauration serveur de rapports Le serveur de point de restauration est un r le attribu un serveur CA Enterprise Log Manager Pour tudier des v nements sauvegard s vous pouvez transf rer des bases de donn es depuis le serveur de stockage distant jusqu au serveur de point de restauration l aide d un utilitaire puis ajouter ces bases au catalogue et ex cuter les requ tes de votre choix Transf rer des bases de donn es froides vers un point de restauration d di est une alternative int ressante la restauration de ces bases sur le serveur de rapports original Le serveur de rapports est un r le attribu un serveur CA Enterprise Log Manager Le serveur de rapports re oit les bases de donn es ti des archiv es automatiquement en provenance d un ou plusieurs serveurs de collecte Il traite les requ tes les rapports ainsi que les alertes et les rapports planifi s Glossaire 91 serveur de rapports Le serveur de rapports est le service qui stocke les informations de configuration telles que le serveur de messagerie utiliser lors de l envoi des alertes par courriel l apparence des rapports enregistr s au format PDF ainsi que la conservation des strat gies pour les rapports enregistr s sur le serv
80. nt sur la base d un abonnement Un module peut contenir des mises jour de fichier binaire de contenu ou les deux Par exemple tous les rapports sont r unis dans un m me module toutes les mises jour de fichier binaire de sponsor sont regroup es dans un autre module CA d finit le contenu de chaque module 84 Manuel de pr sentation module d abonnement Le module d abonnement est le service qui permet de t l charger automatiquement les mises jour d abonnement partir du serveur d abonnement CA et de les distribuer tous les serveurs et agents CA Enterprise Log Manager Les param tres globaux s appliquent aux serveurs CA Enterprise Log Manager locaux les param tres locaux indiquent notamment si le serveur est un proxy hors ligne un proxy en ligne ou un client d abonnement module d extension d v nements iTech NIST Le module d extension d v nements iTech est un adaptateur CA qu un administrateur peut configurer l aide de fichiers de mappage s lectionn s Il re oit des v nements provenant d iRecorders de CA EEM d iTechnology ou de tout produit capable d envoyer des v nements via iTechnology Le National Institute of Standards and Technology NIST est l agence technologique f d rale am ricaine qui propose des recommandations dans une publication intitul e Special Publication 800 92 Guide to Computer Security Log Management en anglais qui ont servi de base pour CA Enterprise Log Manager
81. nt stock s tous les rapports les balises de rapports les rapports g n r s et les jobs de rapports planifi s pr d finis et d finis par l utilisateur CA Enterprise Log Manager CA Enterprise Log Manager est une solution qui vous permet de collecter des journaux partir de sources d v nement tr s dispers es et de diff rents types de contr ler la conformit avec les requ tes et les rapports et de conserver des enregistrements des bases de donn es de journaux compress s stock es long terme sur un syst me externe 70 Manuel de pr sentation CA IT PAM CA Spectrum CAELM caelmadmin caelmservice calendrier CALM CA IT PAM est l acronyme de CA IT Process Automation Manager Le r le de ce produit CA est d automatiser les processus que vous d finissez CA Enterprise Log Manager utilise deux processus la cr ation d un processus de sortie de l v nement de l alerte pour un produit local par exemple CA Service Desk et la g n ration dynamique de listes qui peuvent tre import es sous la forme de valeurs cl s L int gration requiert CA IT PAM r2 1 CA Spectrum est un produit de gestion des d faillances r seau qui peut tre int gr CA Enterprise Log Manager pour tre utilis comme destination des alertes envoy es sous la forme d interruptions SNMP CAELM est le nom de l instance d application que CA EEM utilise pour CA Enterprise Log Manager Pour acc der la fonctionnalit CA Enter
82. nterdire certains utilisateurs d acc der au type d objet sp cifi l ments d int gration Les l ments d int gration incluent un d tecteur une aide la configuration un fichier d acc s aux donn es un ou plusieurs fichiers d analyse de message XMP et un ou plusieurs fichiers de mappage de donn es enregistrement de journal Un enregistrement de journal est un enregistrement d audit individuel enregistrements d audit entr e de journal Les enregistrements d audit contiennent les v nements de s curit de type tentatives d authentification acc s aux fichiers et modifications apport es aux strat gies de s curit comptes d utilisateur ou droits d utilisateur Les utilisateurs Administrator sp cifient les types d v nement auditer et ce qui doit tre journalis Une entr e de journal est dans un journal l emplacement contenant des informations sur un v nement sp cifique qui s est produit sur un syst me ou un r seau donn tat chaud d une base de donn es L tat chaud correspond une base de donn es du magasin de journaux d v nements o sont ins r s de nouveaux v nements Lorsqu une base de donn es chaude atteint sa taille maximale pr d finie sur le serveur de collecte elle est compress e catalogu e et d plac e sur un syst me de stockage non compress sur le serveur de rapports De plus tous les serveurs stockent les nouveaux v nements d autosurveillance dan
83. on HTML Select a book title to view the documentation o jo m m EL lt gt Home Welcome to the CA Enterprise Log Manager r12 1 bookshelf Please select one of the categories below to view the documentation Chapitre 5 Informations compl mentaires concernant CA Enterprise Log Manager 65 Exploration de la biblioth que de documentation Produit livrable Manuel d installation des agents Manuel d impl mentation Manuel d administration Manuel de programmation de l API Exemples Le contenu des principaux manuels et des exemples est r pertori ci dessous Description Installer des agents Installer et configurer un syst me CA Enterprise Log Manager Personnalisez la configuration effectuez des t ches d administration de routine et utilisez les requ tes les rapports et les alertes Utilisez l API pour afficher des donn es d v nement dans un navigateur Web ou incorporer des rapports dans un autre produit CA ou tiers R soudre des probl mes professionnels courants avec des liens vers des rubriques de la documentation Saisissez une valeur dans le champ d entr e Rechercher puis cliquez sur le bouton Rechercher pour afficher toutes les occurrences document es qui comprennent votre entr e Cliquez sur un lien Imprimer pour ouvrir le PDF du manuel s lectionn Cliquez sur un lien HTML pour ouvrir l ensemble de documentation int gr Cet ensemble int gr comprend tous les manuel
84. on des sources d v nement Syslog 25 Modification du connecteur Syslog 2 29 Affichage d v nements Syslog 32 Chapitre 3 D ploiement de l agent Windows 35 Cr ation d un compte d utilisateur pour l agent 2 35 D finition de la cl d authentification d un agent 36 T l chargement du programme d installation de l agent 37 Installation d UN AGEN a te ee 38 Cr ation d un connecteur bas sur NTEventLog 4i Configuration d une source d v nement Windows 44 Affichage de journaux partir de sources d v nement Windows 45 Chapitre 4 Principales fonctionnalit s 49 Collecte de journaux 444444 444444 49 Stockage des JOUrnaux 21 2251242522124250550r3800 020 sessions iii 51 Pr sentation normalis e des journaux 53 G n ration de rapports de conformit 54 Alerte de violation de strat gie 22525218s258e8tuurtsaitresussaeeeshsahsssienthssshenthents 56 Gestion des dro
85. onfiguration Configurations enregistr es S lectionner la configuration v Configuration des d tecteurs Sources WMI amp Ai Pour afficher l aide sur l int gration cliquez ici LE Le CEE EE PU 8 Cliquez sur le bouton Afficher les d tails pour les sources WMI Configuration du connecteur A Indiquez les informations de configuration Configurations enregistr es S lectionner la configuration v Configuration des d tecteurs Sources WMI R Afficher les d tails 42 Manuel de pr sentation Cr ation d un connecteur bas sur NTEveniLog 9 Configurez les param tres WMILogSensor pour l ordinateur local de collecte de journaux avec agent Pour plus de d tails cliquez sur le lien Aide Les exemples ci apr s pr sentent une configuration o l utilisateur est un administrateur Windows sur le serveur WMI sp cifi Le domaine est d fini pour le serveur WMI Nom du serveur WMI USEROO1LAB Nom de l utilisateur user001 Mot de passe Hrbet Domaine c3 com Espace de noms rooticimu2 Nom du journal d v nements NT Mise jour du taux d ancrage 100 10 Configurez un d tecteur WMI pour un autre ordinateur pour une collecte de journaux sans agent utilisant ce m me connecteur facultatif a Cliquez sur le bouton R p ter le supernoeud L illustration suivante pr sente une configuration comportant deux sources WMI Configuration des d tecteurs Sources WMI A
86. onfigurer une authentification sans mot de passe entre le serveur source et le serveur de destination archivage de journaux L archivage de journaux est le processus se d roulant lorsque la base de donn es chaude atteint sa taille maximale auquel cas une compression au niveau des lignes est effectu e et la base passe de l tat chaud l tat ti de Les administrateurs peuvent sauvegarder manuellement les bases de donn es ti des avant que le d lai de suppression automatique ne soit coul puis ex cuter l utilitaire LMArchive pour enregistrer le nom des sauvegardes Ces informations sont alors disponibles la consultation via la requ te d archivage Glossaire 69 assistant de fichier d analyse L Assistant de fichier d analyse est une fonction CA Enterprise Log Manager que les administrateurs utilisent pour cr er modifier et analyser les fichiers d analyse de message extensibles XMP stock s sur le serveur de gestion CA Enterprise Log Manager Pour personnaliser l analyse des donn es d v nements entrants vous devez modifier les cha nes et filtres pr associ s Les nouveaux fichiers comme les fichiers modifi s s affichent dans l Explorateur de collecte de journaux la Biblioth que d ajustement d v nement les fichiers d analyse et le dossier Utilisateur balise Une balise est un terme ou une expression cl qui sert identifier les requ tes ou rapports appartenant au m me regroupement pertinent Le
87. ong terme Remarque Pour plus de d tails sur la configuration du magasin de journaux d v nements y compris la configuration de l archivage automatique consultez le Manuel d impl mentation Pour plus de d tails sur la restauration des sauvegardes des fins d examen et de g n ration de rapports consultez le Manuel d administration 52 Manuel de pr sentation Pr sentation normalis e des journaux Pr sentation normalis e des journaux Les journaux g n r s par les applications les syst mes d exploitation et les unit s utilisent tous leur propre format CA Enterprise Log Manager ajuste les journaux collect s afin de normaliser la consignation des donn es Le format standard facilite la comparaison des donn es collect es aupr s de diff rentes sources pour les auditeurs et les cadres sup rieurs Techniquement le CEG Common Event Grammar CA facilite l impl mentation de la normalisation et de la classification des v nements La CEG propose plusieurs champs utilis s pour normaliser diff rents aspects de l v nement notamment ceux r pertori s ci dessous m Mod le id al classe de technologies comme les antivirus les SGBD et les pare feu m Cat gorie par exemple Gestion des identit s et S curit du r seau m Classe par exemple Gestion des comptes et Gestion de groupes Action par exemple Cr ation d un compte et Cr ation d un groupe m R sultats par exemple Op ration r ussie et Echec
88. orme d interruptions SNMP des syst mes de surveillance de la s curit syst me et des alertes directes pour ex cuter un processus de sortie de l v nement de l alerte IT PAM tel qu un processus de cr ation de tickets d assistance m Explorer la biblioth que de documentation cette rubrique existante a t mise jour pour r f rencer le nouveau Manuel de programmation de l API qui appara t dor navant sur la biblioth que CA Enterprise Log Manager Informations compl mentaires Pr sentation d un d ploiement rapide page 15 Alerte de violation de strat gie page 56 Exploration de la biblioth que de documentation page 65 Table des mati res Chapitre 1 Introduction 9 propos d CeManuelss 5252252 tr Lila ti Ait A ete ai et ia eee 9 A propos de CA Enterprise Log Manager 10 Votre r seau avant l installation 444444444eeeeeeeeeeeeeeee 11 El MENES ASE l S Ra oo a a e EEEE 12 Chapitre 2 D ploiement rapide 15 Pr sentation d un d ploiement rapide 15 Installation d un syst me un seul serveur 16 Mise jour de votre fichier hosts Windows 22 Configuration du premier administrateur 444444444440222 22 Configurati
89. ournal d intrusion journal de connexion enregistrement des performances syst me journal des activit s utilisateur ou alerte liste de contr le d acc s d identit Une liste de contr le d acc s d identit vous permet de sp cifier diff rentes actions que chaque identit s lectionn e peut ex cuter sur les ressources indiqu es Par exemple avec une liste de contr le d acc s d identit vous pouvez pr ciser qu une identit donn e peut cr er des rapports et qu une autre peut planifier et annoter des rapports La liste de contr le d acc s d identit diff re de la liste de contr le d acc s classique dans le sens o elle est centr e sur l identit et non sur la ressource magasin de journaux d v nements Le magasin de journaux d v nements est un composant du serveur CA Enterprise Log Manager dans lequel les v nements entrants sont stock s dans des bases de donn es Les bases de donn es du magasin de journaux d v nements doivent tre sauvegard es et d plac es manuellement vers un syst me de stockage distant de journaux avant le d lai de suppression configur Les bases de donn es archiv es peuvent tre restaur es dans un magasin de journaux d v nements magasin d utilisateurs Un magasin d utilisateurs est le r f rentiel contenant les informations et strat gies de mots de passe d utilisateurs globaux Par d faut le magasin d utilisateurs CA Enterprise Log Manager est le r f rentiel
90. ous le dossier Entrez l adresse IP d un h te fiable que vous avez configur pour ce connecteur ou celle du serveur de synchronisation NTP que vous avez sp cifi lors de l installation de CA Enterprise Log Manager Fuseaux horaires EAN j Y ga America New_York 172 24 36 157 Affichez ou modifiez les d tails de cette configuration Requis 11 Cliquez sur Enregistrer et fermer 12 Affichez l tat a Cliquez sur Etat et commande e Le ema Afficher l tat de Etat et commande D tails de l tat de l agent Afficher l tat des agents est s lectionn Comme l agent par d faut se trouve sur ce serveur le nom d h te du serveur que vous avez install appara t dans la colonne Agent L tat affich est Ex cution en cours b Cliquez sur le lien Ex cution en cours pour afficher les d tails c Cliquez sur le bouton Connecteurs pour afficher l tat des connecteurs D tails de l tat Red marrer D marrer Arr ter Connecteur Agent Groupe d agents Plate forme Int gration Etat Syslog_Connector Aucune r ponse ca elm Default Agent Group Linux_X86_32 Syslog Chapitre 2 D ploiement rapide 31 Affichage d v nements Syslog Cliquez sur le lien Ex cution en cours Le pourcentage d UC l utilisation de la m moire le nombre moyen d v nements par secondes et le nombre d v nements filtr s apparaissent Affichage d v nements Syslo
91. prise Log Manager dans CA Embedded Entitlements Manager saisissez l URL https lt adresse_ip gt 5250 spin eiam eiam csp s lectionnez CAELM comme nom d application puis saisissez le mot de passe de l utilisateur EiamAdmin Le nom d utilisateur et le mot de passe caelmadmin sont les informations d identification n cessaires pour acc der au syst me d exploitation du dispositif logiciel L ID d utilisateur caelmadmin est cr lors de l installation de ce syst me d exploitation Durant l installation du composant logiciel l installateur doit sp cifier le mot de passe du compte de superutilisateur CA EEM EiamAdmin Le m me mot de passe est affect au compte caelmadmin Nous recommandons que l administrateur du serveur se connecte via ssh en tant qu utilisateur caelmadmin et modifie ce mot de passe par d faut Bien que l administrateur ne puisse pas se connecter via ssh en tant que root il peut basculer sur le compte root su root si n cessaire caelmservice est un compte de service qui permet d ex cuter iGateway et les services CA EEM locaux en tant qu utilisateur non root Le compte caelmservice est utilis pour installer les mises jour du syst me d exploitation t l charg es avec les mises jour d abonnement Un calendrier est un moyen de limiter la dur e d application d une strat gie d acc s Une strat gie permet aux identit s sp cifi es d effectuer les actions indiqu es sur la ressource sp cifi e durant le laps
92. r sentation client d abonnement Un client d abonnement est un serveur CA Enterprise Log Manager qui r cup re les mises jour de contenu aupr s d un autre serveur CA Enterprise Log Manager appel serveur proxy d abonnement Les clients d abonnement interrogent le serveur proxy d abonnement configur de mani re r guli re et planifi e et ils r cup rent les nouvelles mises jour disponibles le cas ch ant Apr s r cup ration des mises jour le client installe les composants t l charg s collecte d v nements La collecte d v nements est un processus permettant de lire la cha ne d v nement brut partir d une source d v nement et de l envoyer au CA Enterprise Log Manager configur La collecte est suivie d un ajustement d v nement collecte directe de journaux La collecte directe de journaux est la technique de collecte de journaux sans agent interm diaire entre la source d v nement et le logiciel CA Enterprise Log Manager collecteur SAPI Le collecteur SAPI est un adaptateur CA qui re oit des v nements provenant de clients CA Audit Les envois des clients CA Audit reposent sur l action Collecteur qui propose le basculement int gr Les administrateurs configurent le collecteur SAPI CA Audit avec par exemple les fichiers de mappage de donn es et les chiffres s lectionn s composants de visualisation Les composants de visualisation sont des options disponibles pour l affichage des donn
93. r sentation proxy d abonnement en ligne Un proxy d abonnement en ligne est un serveur CA Enterprise Log Manager dot d un acc s Internet et charg de r cup rer les mises jour d abonnement aupr s du serveur d abonnement CA de mani re r guli re et planifi e Un proxy d abonnement en ligne donn peut tre inclus dans la liste des proxies pour un ou plusieurs clients qui contactent les proxies r pertori s de mani re circulaire afin de demander les mises jour de fichiers binaires S il est configur pour le faire un proxy en ligne donn peut envoyer les nouvelles mises jour de contenu et de configuration au serveur de gestion sauf si cela a d j t fait par un autre proxy Le r pertoire des mises jour d abonnement d un proxy en ligne s lectionn est utilis comme source pour copier les mises jour sur les proxies d abonnement hors ligne proxy d abonnement hors ligne Un proxy d abonnement hors ligne est un serveur CA Enterprise Log Manager qui obtient les mises jour d abonnement par une copie de r pertoire manuelle l aide de scp depuis un proxy d abonnement en ligne Les proxies d abonnement hors ligne peuvent tre configur s pour t l charger les mises jour de fichiers binaires sur les clients qui les demandent et pour envoyer la derni re version des mises jour de contenu au serveur de gestion si celui ci ne l a pas d j re ue Les proxies d abonnement hors ligne n ont pas besoi
94. r et que vous indiquez les cibles Syslog dans la configuration du connecteur pour l agent par d faut les Syslogs sont collect s et ajust s afin de simplifier leur interpr tation 2 Facultatif Vous pouvez installer un agent sur un h te d di comme point de collecte ou vous pouvez installer des agents directement sur les h tes disposant des sources g n rant les v nements que vous souhaitez collecter Remarque Pour plus de d tails sur l installation du dispositif logiciel consultez le Manuel d impl mentation Pour plus de d tails sur l installation des agents consultez le Manuel d installation des agents Informations compl mentaires Installation d un syst me un seul serveur page 16 Installation d un agent page 38 Chapitre 1 Introduction 13 Chapitre 2 D ploiement rapide Ce chapitre traite des sujets suivants Pr sentation d un d ploiement rapide page 15 Installation d un syst me un seul serveur page 16 Mise jour de votre fichier hosts Windows page 22 Configuration du premier administrateur page 22 Configuration des sources d v nement Syslog page 25 Modification du connecteur Syslog page 29 Affichage d v nements Syslog page 32 Pr sentation d un d ploiement rapide Vous pouvez obtenir un d ploiement CA Enterprise Log Manager simple et en tat de fonctionnement avec un seul dispositif logiciel Le connecteur Syslog pr d fini permet
95. rnaux r gles de suppression Les r gles de suppression sont des r gles que vous configurez pour viter que certains v nements ajust s n apparaissent dans vos rapports Vous pouvez cr er des r gles de suppression permanentes afin de supprimer des v nements de routine sans rapport avec des probl mes de s curit vous pouvez galement cr er des r gles temporaires afin de supprimer la journalisation d v nements planifi s tels que la cr ation de nombreux utilisateurs r gles de transfert d v nement Les r gles de transfert d v nement stipulent que les v nements s lectionn s sont transf r s des produits tiers par exemple ceux qui mettent les v nements en corr lation apr s leur sauvegarde dans le magasin des journaux d v nements 88 Manuel de pr sentation requ te requ te d action requ te d archivage Une requ te est un ensemble de crit res utilis s pour effectuer une recherche dans les magasins de journaux d v nements du serveur CA Enterprise Log Manager actif et le cas ch ant de ses serveurs f d r s Une requ te cible les bases de donn es chaudes ti des ou d givr es sp cifi es dans la clause where de la requ te Par exemple si la clause where limite la requ te aux v nements pour lesquels source_username myname sur une p riode donn e et que seules dix des 1 000 bases de donn es contiennent des enregistrements r pondant ces crit res sur la base des
96. roupe d applications groupe global ou groupe dynamique Vous devez supprimer explicitement les strat gies de d l gation cr es par un utilisateur supprim ou d sactiv Une strat gie de port e est un type de strat gie d acc s qui octroie ou interdit l acc s aux ressources stock es sur le serveur de gestion notamment les AppObjects les utilisateurs les groupes les dossiers et les strat gies Une strat gie de port e d finit les identit s pouvant acc der aux ressources sp cifi es Glossaire 93 strat gie d obligation Une strat gie d obligation est une strat gie g n r e automatiquement lorsque vous cr ez un filtre d acc s Vous ne pouvez pas cr er modifier ou supprimer directement une strat gie d obligation Vous devez plut t cr er modifier ou supprimer le filtre d acc s correspondant suppression La suppression est le processus de tri des v nements sur la base de filtres CEG La suppression s effectue sur la base de fichiers SUP traitement des valeurs dynamiques Un traitement des valeurs dynamiques est un processus CA IT PAM que vous pouvez invoquer pour renseigner ou mettre jour la liste de valeurs d une cl donn e utilis e dans des rapports ou des alertes Vous fournissez le chemin d acc s au traitement des valeurs dynamiques lors de la configuration de CA IT PAM dans la liste des services de serveurs de rapports de l onglet Administration Vous cliquez sur Importer la liste des valeurs dynam
97. s Vous en aurez besoin lorsque vous installerez l agent Nouvel utilisateur 71 x Nom d utilisateur emagentuss Nom complet Description CA ELM Agent Mot de passe fs Confirmer le mot de passe fn F Lutilisateur doit changer le mot de passe la prochaine ouverture de session P L utilisateur ne peut pas changer de mot de passe IV Le mot de passe n expire jamais I Le compte est d sactiv Cliquez sur Cr er Cliquez sur Fermer Informations compl mentaires Installation d un agent page 38 D finition de la cl d authentification d un agent Avant d installer le premier agent vous devez conna tre la cl d authentification de celui ci Vous pouvez utiliser la valeur par d faut si aucune cl n a t d finie utiliser la cl en cours si elle est d finie ou d finir une nouvelle cl La cl d authentification de l agent configur e ici doit tre entr e lors de l installation de chaque agent Seul un administrateur peut effectuer cette t che Pour d finir la cl d authentification d un agent 1 36 Manuel de pr sentation Ouvrez le navigateur sur l h te o vous souhaitez installer l agent puis entrez l URL du serveur CA Enterprise Log Manager pour cet agent Voici un exemple https lt adresse 1P gt 5250 spin calm Connectez vous CA Enterprise Log Manager Entrez votre nom d utilisateur et votre mot de passe puis cliquez sur Se connecter Cliquez sur l onglet Adminis
98. s d identification de l administrateur vous pouvez v rifier que l installation est correcte en visualisant des v nements d autosurveillance Chapitre 2 D ploiement rapide 15 Installation d un syst me un seul serveur Installation d un syst me un seul serveur Un syst me un seul serveur constitue le d ploiement le plus simple vous permettant d effectuer des requ tes sur des v nements et d en afficher les r sultats Veillez s lectionner un ordinateur respectant la configuration mat rielle minimale pour un dispositif logiciel CA Enterprise Log Manager Remarque Pour obtenir la liste du mat riel certifi les syst mes d exploitation pris en charge et la configuration requise en termes de logiciel syst me et de services consultez les Notes de parution Pour installer CA Enterprise Log Manager sur un syst me un seul serveur 1 Conservez votre disposition les informations ci dessous 16 Manuel de pr sentation Mot de passe de l utilisateur root Nom d h te pour votre dispositif Si vous n utilisez pas DHCP l adresse IP statique le masque de sous r seau et la passerelle par d faut de votre dispositif Domaine du dispositif Remarque Le domaine doit tre enregistr aupr s des serveurs DNS de votre r seau pour que l installation se termine correctement Adresse IP des serveurs DNS Adresse IP de votre serveur de synchronisation NTP facultatif Mot de passe du superutilisateur d inst
99. s installer d agents comme des serveurs o la strat gie d entreprise interdit les agents La remise est garantie par exemple lorsque la collecte de journaux ODBC est correctement configur e Stockage des journaux m Collecte avec agent Pour la collecte avec agent un agent est install lorsqu une ou plusieurs sources d v nement sont ex cut es et qu un connecteur est configur pour chaque source d v nement Avantage vous pouvez collecter des journaux provenant d une source pour laquelle la bande passante du r seau vers CA Enterprise Log Manager n est pas suffisamment efficace pour prendre en charge la collecte directe de journaux Vous pouvez utiliser l agent pour filtrer les v nements et r duire le trafic mis sur le r seau La remise d v nement est garantie Remarque Pour plus de d tails sur la configuration des agents consultez le Manuel d administration Stockage des journaux CA Enterprise Log Manager dispose du stockage int gr et g r des journaux des bases de donn es r cemment archiv es Les v nements collect s par les agents provenant de sources d v nement suivent un cycle de stockage tel qu illustr par le sch ma ci dessous Collection box Chapitre 4 Principales fonctionnalit s 51 Stockage des journaux Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Les nouveaux v nements collect s par n importe quelle technique sont envoy s CA
100. s au format HTML Si vous s lectionnez le lien HTML du Manuel de pr sentation ce manuel est affich Contents Search OoOo o ES g g 66 Manuel de pr sentation l Overview Guide CA Enterprise Log Manager Guides Legal Notices CA Enterprise Log Manager CA Product References r12 1 Contact CA t amp Examples t amp Release Notes t Overview Guide 8 Implementation Guide E t Agent Installation Guide t Administration Guide t api Programming Guide amp CA EEM Release Notes 3 CA EEM Getting Started t amp Glossary Copyright 2009 CA All rights reserved Glossaire acc s aux donn es Acc s ODBC et JDBC adaptateurs CA agent agent par d faut L acc s aux donn es est un type d autorisation octroy l ensemble de CA Enterprise Log Manager par le biais de la strat gie d acc s aux donn es par d faut pour la classe de ressource CALM Tous les utilisateurs ont acc s toutes les donn es hormis celles dont l acc s est restreint par des filtres L acc s ODBC et JDBC aux magasins de journaux d v nements CA Enterprise Log Manager prend en charge l utilisation des donn es d v nements par un grand nombre de produits tiers notamment la g n ration de rapports d v nements personnalis s l aide d outils de g n ration de rapports tiers la corr lation d v nements l aide de moteurs de corr lation et l valuation d v nements l aide de produits de
101. s balises permettent d effectuer des recherches bas es sur les regroupements pertinents Le terme balise d signe galement le nom de ressource utilis dans une strat gie octroyant l utilisateur le droit de cr er une balise bases de donn es archiv es Les bases de donn es archiv es sur un serveur CA Enterprise Log Manager donn incluent toutes les bases de donn es ti des disponibles pour requ te mais n cessitant une sauvegarde manuelle avant expiration toutes les bases de donn es froides toutes les bases de donn es enregistr es comme restaur es partir d une sauvegarde biblioth que d ajustement d v nement La biblioth que d ajustement d v nement est l espace de stockage qui contient les int grations les fichiers de mappage et d analyse ainsi que les r gles de suppression et de r capitulation pr d finis et d finis par l utilisateur biblioth que d analyse de message La biblioth que d analyse de message est une biblioth que qui accepte les v nements provenant des files d attente d couteur et qui utilise des expressions r guli res pour marquer les cha nes en paires nom valeur biblioth que de la requ te La biblioth que de la requ te est la biblioth que dans laquelle sont stock es toutes les requ tes les balises de requ te et les filtres d invite pr d finis et d finis par l utilisateur biblioth que de rapports La biblioth que de rapports est la biblioth que dans laquelle so
102. s chaude de journaux d v nements qui est d plac e lorsque sa taille atteint la limite maximale sp cifi e Nombre maximum de lignes ou lorsqu un recatalogage est effectu apr s restauration d une base de donn es froide dans un nouveau magasin de journaux d v nements Les bases de donn es ti des sont conserv es dans le magasin de journaux d v nements jusqu ce que leur anciennet en jours d passe la valeur configur e pour le param tre Nbre max de jours d archivage Vous pouvez effectuer des requ tes sur des journaux d v nements dans les bases de donn es chaudes ti des et d givr es tats de base de donn es v nement ajust Les tats d une base de donn es incluent chaude pour une base de donn es de nouveaux v nements ti de pour une base de donn es d v nements compress s froide pour une base de donn es sauvegard e et d givr e pour une base de donn es restaur e dans le magasin de journaux d v nements o elle avait t sauvegard e Vous pouvez lancer une requ te sur les bases de donn es chaudes ti des et d givr es Toutes les requ tes d archivage affichent les informations relatives aux bases de donn es froides Un v nement ajust contient les donn es d v nements mapp s ou analys s d riv es d v nements bruts ou r capitul s CA Enterprise Log Manager r alise le mappage et l analyse pour permettre les recherches sur les donn es stock es 76 Manue
103. s qui permettent un connecteur et un agent donn s de collecter les v nements partir d un ou de plusieurs types de source d v nement puis de les envoyer CA Enterprise Log Manager Cet ensemble d l ments inclut le d tecteur de journaux ainsi que les fichiers XMP et de mappage de donn es con us pour tre lus partir d un produit sp cifique Les int grations permettant de traiter les v nements Syslog et les v nements WMI sont des exemples d int grations pr d finies Vous pouvez cr er des int grations personnalis es pour permettre le traitement d v nements non class s Une invite est un type de requ te sp cial qui affiche des r sultats en fonction de la valeur que vous saisissez et des champs CEG que vous s lectionnez Les lignes sont uniquement renvoy es pour les v nements dont la valeur saisie appara t dans au moins un des champs CEG s lectionn s 82 Manuel de pr sentation jeton d analyse de message ELM journal Un jeton d analyse de message est un mod le r utilisable servant la cr ation de la syntaxe d expression r guli re utilis e lors de l analyse de message CA Enterprise Log Manager A chaque jeton sont associ s un nom un type et une cha ne d expression r guli re Un journal est un enregistrement d audit ou message enregistr concernant un v nement ou un ensemble d v nements Un journal peut afficher diff rents types journal d audit journal de transaction j
104. s une base de donn es chaude Glossaire 75 tat d givr d une base de donn es L tat d givr est l tat qualifiant une base de donn es qui a t restaur e dans le r pertoire d archivage apr s l ex cution de l utilitaire LMArchive par l administrateur pour indiquer CA Enterprise Log Manager que la base de donn es a t restaur e Les bases de donn es d givr es sont conserv es pendant le nombre d heures configur pour la strat gie d exportation Vous pouvez effectuer des requ tes sur des journaux d v nements dans les bases de donn es chaudes ti des et d givr es tat froid d une base de donn es L tat froid s applique une base de donn es ti de lorsqu un administrateur ex cute l utilitaire LMArchive pour avertir CA Enterprise Log Manager que la base de donn es a t sauvegard e Les administrateurs doivent sauvegarder les bases de donn es ti des et ex cuter cet utilitaire avant que ces bases de donn es ne soient supprim es En effet une base de donn es ti de est automatiquement supprim e lorsque son anciennet d passe la valeur Nbre max de jours d archivage d finie ou lorsque le seuil Espace disque d archivage est atteint d s que l une de ces deux conditions est remplie Vous pouvez interroger la base de donn es d archivage pour identifier les bases de donn es dont l tat est ti de ou froid tat ti de d une base de donn es L tat ti de correspond une base de donn e
105. st il un serveur proxy d abonnement sans acc s Internet Affichez les descriptions des rapports en d pla ant votre curseur au dessus du nom du rapport Contr leur de collpete par gestionnaire de journaux Y Actualisation automatique F R capitulatif tel B Description R capitulation de l activit de collecte de l ensemble des journaux par le gestionnaire de journaux classement de l activit par agent principal de gestionnaire de journaux par noms d h tes principaux et par nom de journal principal liste des pourcentages d utilisation moyenne de l UC liste des connecteurs arr t s au cours de la derni re heure mais actifs pr alablement d tails des tendances Gestio Ho ca elm 1389 s4quuon Version 12 1 5011 0 Balises System CA Access Control CA Identity Manager CA SiteMinder 14 00 Heure Heure de derni re actualisation du rapport Thu Nov B 12 2009 03 53 23 PM a Fuseau horaire local America ew_YorkFiltres de profil uay Filtres globaux Last 6 hours From Thu Nov 12 2009 09 33 46 AM To Thu Nov 12 2009 03 33 46 PM Vous remarquerez un point orange gauche de certains champs Ce point signifie que le champ est obligatoire Pour les configurations pouvant tre enregistr es vous ne pouvez pas effectuer d enregistrement tant que tous les champs obligatoires ne sont pas renseign s Query Details Enter the name description and select the tags for t
106. sur le chemin de certification et v rifiez que l tat du certificat indique que ce dernier est fiable facultatif f Cliquez sur OK puis sur Oui La page de connexion appara t 3 Connectez vous avec le nom d utilisateur EiamAdmin et le mot de passe que vous avez cr lorsque vous avez install le logiciel Cliquez sur Connexion CA Enterprise Log Manager M moriser mes param tres Copyright 2009 CA Tous droits r serv s L application s ouvre seuls l onglet Administrator et le sous onglet Gestion des utilisateurs et des acc s sont actifs 4 Cliquez sur Utilisateurs SNI Utilisateurs Chapitre 2 D ploiement rapide 23 Configuration du premier administrateur 5 Cliquez sur Ajouter un nouvel utilisateur Utilisateurs Utilisez l option de recherche d utilisateurs ci dessus pour afficher la liste des utilisateurs existants ki E Utilisateurs 6 Entrez votre nom dans le champ Nom puis cliquez sur Ajouter les d tails de l utilisateur de l application Nouvel utilisateur Fermer Dossier Nom a ca elm Informations sur l utilisateur Ajouter des informations sur l utilisateur de l application 4 Informations sur les utilisateurs globaux 7 S lectionnez Administrator puis placez le dans la liste Groupes d utilisateurs s lectionn s Appartenance au groupe d applications Groupes d utilisateurs disponibles Groupes d utilisateurs s lectionn s D
107. t d finition 59 description de processus 59 grammaire commune aux v nements CEG d finition 53 infobulles utilisation 61 installation de l agent manuelle pour Windows 38 invites utilisation pour afficher des v nements Syslog 32 utilisation pour afficher des journaux de sources d v nement Windows 45 M mappage de donn es d finition 53 R r les d utilisateur d finition 58 S stockage des journaux d finition 51 Syslog afficher des v nements 32 Index 97
108. t votre_soci t gt com Le message ci dessous appara t Please enter a comma separated list of DNS servers to use Entrez les adresses IP de vos serveurs DNS internes s par es par des virgules et sans espace La date et l heure de votre syst me s affichent avec le message ci dessous Do you want to change the system date and time n V rifiez la date et l heure affich es du syst me Si elles sont satisfaisantes saisissez n ou appuyez sur Entr e Le message ci dessous appara t Do you want to configure the system to update the time through NTP Chapitre 2 D ploiement rapide 19 Installation d un syst me un seul serveur 11 Si vous souhaitez utiliser un serveur NTP Network Time Protocol continuez comme suit Si tel n est pas le cas entrez no et passez l tape suivante 12 a R pondez yes au message Si vous sp cifiez yes le message suivant appara t Please enter the NTP Server name or IP Address Entrez le nom d h te ou l adresse IP du serveur NTP Un message de confirmation similaire au message suivant appara t Your system has been configured to update the time at midnight using the NTP server located at lt yourntpserver gt Lisez les contrats de licence d utilisateur final pr sent s et r pondez comme suit a Lisez le contrat de licence d utilisateur final du kit de d veloppement Sun Java JDK A la fin du contrat le message ci dessous appara t Do you agre
109. tilitaire UNIX qui permet de transf rer des fichiers entre les ordinateurs UNIX d un r seau Cet utilitaire est fourni lors de l installation CA Enterprise Log Manager pour que vous puissiez transf rer les fichiers de mise jour d abonnement depuis le proxy d abonnement en ligne jusqu au proxy d abonnement hors ligne Les valeurs cl s sont des valeurs d finies par l utilisateur et affect es une liste d finie par l utilisateur groupe cl Lorsqu une requ te utilise un groupe cl les r sultats de la recherche incluent les correspondances avec toutes les valeurs cl s du groupe Il existe plusieurs groupes cl s pr d finis certains contiennent des valeurs cl s pr d finies utilis es dans les requ tes et rapports pr d finis 96 Manuel de pr sentation Index A agent par d faut configuration du connecteur Syslog 29 analyse de message d finition 53 archivage d finition 51 C CA Embedded Entitlements Manager d finition 57 CA Enterprise Log Manager aide en ligne 63 composants 12 infobulles 61 installation 12 16 r les d utilisateur 58 cl d authentification d agent mise jour 36 collecte de journaux d finition 49 compte d utilisateur des agents d finie pour Windows 35 connecteurs configuration 41 environnement de test l ments install s 12 F fichiers binaires de l agent t l charger pour les syst mes Windows 37 G gestion de l abonnemen
110. tionnalit s 55 Alerte de violation de strat gie Alerte de violation de strat gie CA Enterprise Log Manager vous permet d automatiser l envoi d un courriel d alerte lorsque survient un v nement qui n cessite une attention court terme Vous pouvez galement surveiller tout instant les alertes d action partir de CA Enterprise Log Manager en sp cifiant un intervalle de temps depuis les cinq derni res minutes jusqu aux 30 derniers jours coul s Des alertes sont envoy es automatiquement un flux RSS auquel il est possible d acc der partir d un navigateur Web Si vous le souhaitez vous pouvez sp cifier d autres destinations y compris des adresses lectroniques un processus CA IT PAM qui g n re des tickets de bureau d assistance et une ou plusieurs adresses IP de destination d interruption SNMP Pour vous aider commencer de nombreuses requ tes pr d finies sont disponibles pour tre planifi es sans modification en alertes d action Quelques exemples sont pr sent s ci dessous ma Activit excessive de l utilisateur m Utilisation lev e de l UC m Peu d espace disque disponible m Journal des v nements de s curit effac au cours des derni res 24 heures m Strat gie d audit Windows modifi e au cours des derni res 24 heures Certaines requ tes comportent des listes cl s o vous fournissez les valeurs utilis es par la requ te Certaines listes cl s contiennent des valeurs pr
111. tori es la balise du produit s lectionn Les filtres de donn es d un produit affichent uniquement les donn es pour le produit sp cifi dans les rapports que vous g n rez les alertes que vous planifiez et les r sultats de requ te que vous affichez Une fois cr le profil de votre choix vous pouvez le configurer de mani re ce qu il soit appliqu d s que vous vous connectez au syst me Si vous cr ez plusieurs profils vous pouvez appliquer un profil diff rent diff rentes activit s lors d une m me session Des filtres pr d finis sont livr s avec les mises jour d abonnement proxies d abonnement pour le client Les proxies d abonnement pour le client d finissent la liste des proxies d abonnement que le client contacte de mani re circulaire pour obtenir les mises jour du syst me d exploitation et du logiciel CA Enterprise Log Manager Si un proxy est occup le suivant sur la liste est contact Si tous les proxies sont indisponibles et que le client est en ligne le proxy d abonnement par d faut est utilis proxies d abonnement pour les mises jour de contenu Les proxies d abonnement pour les mises jour de contenu sont les proxies d abonnement choisis pour mettre jour le serveur de gestion CA Enterprise Log Manager avec les mises jour de contenu t l charg es sur le serveur d abonnement CA Il est recommand de configurer plusieurs proxies des fins de redondance 86 Manuel de p
112. tration T l chargement du programme d installation de l agent L explorateur de collecte de journaux s affiche dans le volet gauche 4 S lectionnez le dossier de l Explorateur d agent Une barre d outil appara t dans le volet principal 5 Cliquez sur Cl d authentification d agent SE l BIS Groupe d agents Tout Cl d authentification d agent 6 Entrez la cl d authentification utiliser pour l installation de l agent ou prenez note de l entr e actuelle Important N oubliez pas cette cl ou notez sa valeur Vous en aurez besoin pour installer l agent Cl d authentification d agent E Afficher Mettre jour une cl d authentification d agent _ Requis Cl d authentification This_is_default_authentication_key Indiquez la cl d authentification my_agent_auth_key Confirmer la cl d authentification my_agent_auth_key 7 Cliquez sur Enregistrer 8 Passez l tape suivante T l chargement du programme d installation de l agent T l chargement du programme d installation de l agent Si vous venez de d finir la cl d authentification de l agent vous tes pr t t l charger le programme d installation de l agent sur le bureau Pour t l charger le programme d installation de l agent 1 Dans la barre d outils affich e pour l Explorateur d agent cliquez sur T l charger des fichiers binaires d agent GEI T l charger des fichiers binaires d agent Des liens vers
113. uel a t con u pour tous les publics Vous trouverez ci dessous un r capitulatif du contenu Section A propos de CA Enterprise Log Manager D ploiement rapide D ploiement de l agent Windows Principales fonctionnalit s Informations compl mentaires concernant CA Enterprise Log Manager Description Int grer CA Enterprise Log Manager dans votre environnement r seau actuel Installer un syst me sur un seul serveur configurer les sources d v nement Syslog mettre jour le connecteur Syslog pour l agent par d faut et afficher les v nements ajust s Pr parer l installation de l agent installer un agent pour le syst me d exploitation Windows configurer un connecteur pour la collecte avec agent mettre jour la source d v nement et afficher les v nements g n r s Profiter des principales fonctions dont la collecte de journaux le stockage des journaux la g n ration de rapports de conformit et les alertes Obtenir les informations n cessaires par le biais des infobulles de l aide en ligne et de la biblioth que documentaire Chapitre 1 Introduction 9 A propos de CA Enterprise Log Manager Remarque Pour plus de d tails sur la prise en charge des syst mes d exploitation ou la configuration syst me requise consultez les Notes de parution Pour disposer de proc dures pas pas sur l installation de CA Enterprise Log Manager et la configuration initiale consultez le Manuel
114. uhaitez collecter Votre agent tant install sur un serveur Windows vous devez cr er un connecteur bas sur l int gration NTEventLog et sp cifier les param tres du WMILogSensor comme d crit dans le manuel du connecteur que vous ouvrez partir de l assistant de cr ation d un connecteur Sp cifiez le nom de l h te sur lequel l agent est install pour la collecte de journaux avec agent Si vous le souhaitez vous pouvez ajouter un autre d tecteur de journaux WMI pour ce connecteur et sp cifier un autre h te que celui sur lequel l agent est install Cela permet la collecte de journaux sans agent Le ou les h tes suppl mentaires doivent se trouver dans le m me domaine et disposer du m me administrateur Windows que le premier h te que vous avez ajout Pour configurer un connecteur bas sur NTEventLog 1 Agrandissez votre navigateur affichant l Explorateur d agent CA Enterprise Log Manager 2 D veloppez l Explorateur d agent puis le groupe d agents par d faut Le nom de l ordinateur sur lequel vous avez install l agent appara t Explorateur de collecte de journaux gt 3 Adaptateurs CA gt 3 Biblioth que d ajustement d v nement v Explorateur d agent Y Default Agent Group LogManager02 USEROO1LAB ca com 3 S lectionnez cet agent Le volet Connecteurs de l agent appara t 4 Cliquez sur Cr er un connecteur ZE ae El 5 Afficher l tat de QD Agen Cr er un connecteur D tails
115. untability Act Ces rapports peuvent vous aider d montrer que toutes les informations m dicales associ es aux patients et identifiables individuellement qui sont cr es stock es et transmises de mani re lectronique sont prot g es Glossaire 87 recatalogage Le recatalogage est une r vision forc e du catalogue Un recatalogage est requis uniquement lors de la restauration de donn es dans un magasin de journaux d v nements situ sur un serveur diff rent de celui sur lequel les donn es ont t g n r es Par exemple si vous avez d sign CA Enterprise Log Manager comme point de restauration pour l examen des donn es sauvegard es vous devez imposer un recatalogage de la base de donn es apr s l avoir restaur e depuis son point de restauration d sign Un recatalogage est ex cut automatiquement au red marrage d iGateway si n cessaire Recataloguer un seul fichier de base de donn es peut prendre plusieurs heures r gles de r capitulation Les r gles de r capitulation sont des r gles combinant certains v nements natifs d un m me type en un seul v nement ajust Par exemple une r gle de r capitulation peut tre configur e pour remplacer par un seul v nement de r capitulation jusqu 1 000 v nements dupliqu s dont les adresses IP et les ports source et de destination sont identiques De telles r gles simplifient l analyse des v nements et r duisent le trafic associ aux jou
116. ur son CA Enterprise Log Manager original l utilitaire LMArchive n est pas utilis et aucun d gel n est requis la fonction de recatalogage ajoute la base de donn es restaur e en tant que base de donn es ti de Destinations d une interruption SNMP Lorsque vous planifiez une alerte d action vous avez la possibilit d ajouter plusieurs destinations pour l interruption SNMP Chacune d entre elles est d finie par une adresse IP et un num ro de port G n ralement la destination est un NOC ou un serveur de gestion tel que CA Spectrum ou CA NSM Une interruption SNMP est envoy e aux destinations configur es lorsque les requ tes d un job d alerte planifi renvoient des r sultats 74 Manuel de pr sentation d tecteur de journaux dispositif logiciel dossier Un d tecteur de journaux est un composant d int gration con u pour lire un type de journal sp cifique comme une base de donn es Syslog un fichier ou SNMP Les d tecteurs de journaux peuvent tre r utilis s G n ralement les utilisateurs ne cr ent pas de d tecteur de journaux personnalis Le dispositif logiciel comprend un composant syst me d exploitation et le composant logiciel CA Enterprise Log Manager Un dossier est un emplacement de r pertoire que le serveur de gestion CA Enterprise Log Manager utilise pour stocker les types d objet CA Enterprise Log Manager Vous r f rencez des dossiers dans des strat gies de port e afin de permettre ou d i
117. ur l agent Avant d installer un agent sous Windows vous devez cr er un nouveau compte pour l agent dans le dossier Utilisateurs de Windows Ce compte avec peu de droits permet l agent de s ex cuter avec le moins de droits possibles Lorsque vous installez l agent vous devez fournir le nom d utilisateur et le mot de passe que vous avez cr s ici Remarque Vous pouvez omettre cette tape et sp cifier les informations d identification du domaine d un administrateur pour l agent lorsque vous installez ce dernier mais cela n est pas recommand Pour cr er un compte d utilisateur Windows pour l agent 1 Connectez vous l h te sur lequel vous souhaitez installer l agent Utilisez les informations d identification de l administrateur 2 Cliquez sur D marrer Programmes Outils d administration Gestion de l ordinateur 3 D veloppez Utilisateurs et groupes locaux 4 Cliquez avec le bouton droit sur Utilisateurs et s lectionnez Nouvel utilisateur La bo te de dialogue Windows Nouvel utilisateur appara t Chapitre 3 D ploiement de l agent Windows 35 D finition de la cl d authentification d un agent 5 6 Entrez un nom d utilisateur puis entrez deux fois un mot de passe Un mot de passe s r comporte une combinaison de caract res alphab tiques num riques et sp ciaux Par exemple agent_calmr12 Saisissez une description facultatif Important N oubliez pas ce nom et ce mot de passe ou notez le
118. uvent galement r aliser toutes les t ches du r le Auditor Le r le Auditor accorde aux utilisateurs l acc s aux rapports et leurs donn es Les utilisateurs Auditor peuvent afficher les rapports la liste des mod les de rapport la liste des jobs de rapports planifi s et la liste des rapports g n r s Les utilisateurs Auditor peuvent planifier et annoter des rapports Ils n ont pas acc s aux flux RSS Rich Site Summary moins qu aucune authentification ne soit requise pour l affichage des alertes d action Un r le d utilisateur peut tre un groupe d utilisateurs d applications pr d fini ou un groupe d applications d fini par l utilisateur Des r les d utilisateur personnalis s sont n cessaires lorsque les groupes d applications pr d finis Administrator Analyst et Auditor ne sont pas suffisamment affin s pour refl ter les attributions de t ches Les r les d utilisateur personnalis s n cessitent des strat gies d acc s personnalis es et une modification des strat gies pr d finies pour inclure le nouveau r le Le routeur SAPI est un adaptateur CA qui re oit les v nements provenant des int grations de type Mainframe et les renvoie au routeur CA Audit SafeObject est une classe de ressource pr d finie dans CA EEM Il s agit de la classe de ressource laquelle appartient AppObjects stock e dans la port e de l application Les utilisateurs d finissant des strat gies et des filtres permettant d a
Download Pdf Manuals
Related Search