Bei der Einstellung der Speicherdauer von Ereignissen und Auswahl von Ereignisarten für die Speicherung muss der verfügbare Festplatten-Speicherplatz auf den verarbeitenden Servern berücksichtigt werden.
Die Einstellungen der Speicherung der Ereignisse in das Ereignisprotokoll wirken sich nicht aus auf die Einstellungen der Speicherung der Ereignisse gemäß Protokoll Syslog.
So passen Sie die Einstellungen der Speicherung in das Ereignisprotokoll an:
Wählen Sie im Fenster der Weboberfläche der Anwendung den Abschnitt Einstellungen → Protokolle und Ereignisse → Ereignisse aus.
Führen Sie im Block E-Mail-Datenverkehrsereignisse folgende Aktionen aus:
Wählen Sie im Einstellungsblock Ereignisse bei der Verarbeitung des Datenverkehrs protokollieren aus, welche Ereignisse während der Verarbeitung des Datenverkehrs im Ereignisprotokoll gespeichert werden sollen. Folgende Varianten stehen zur Auswahl:
Standardmäßig ist die Einstellung Alle ausgewählt.
Der ausgewählte Wert der Einstellungen wirkt sich nur auf Ereignisse aus, die nach Anwendung der Änderungen in das Ereignisprotokoll geschrieben werden. Für Ereignisse, die zuvor protokolliert wurden, wird der neue Parameterwert nicht angewendet. Der ausgewählte Parameterwert wird auf alle Knoten im Cluster angewendet.
Wählen Sie im Parameterblock Informationen über die Überprüfung von Links und MIME-Teilen protokollieren aus, welche Daten im Ereignisprotokoll basierend auf den Untersuchungsergebnissen von Links und MIME-Teilen durch die Module Anti-Virus, Inhaltsfilterung, Untersuchung von Links und Anti-Phishing aufgezeichnet werden sollen.
Folgende Varianten stehen zur Auswahl:
Nur für Nachrichten, für deren MIME-Teile die Untersuchungsmodule ausgelöst wurden.
Das Protokoll zeichnet Daten zur Untersuchung aller MIME-Teile aller Nachrichten und aller Links auf, bei denen die Überprüfungsmodule ausgelöst wurden.
Es wird davon ausgegangen, dass die Prüfmodule einen Link bearbeitet haben, wenn dieser als Ergebnis der Prüfung einen der folgenden Statuswerte erhält:
Modul Anti-Phishing: Phishing, Fehler.
Modul Link-Untersuchung: Erkannt, Fehler.
Es wird davon ausgegangen, dass die Prüfmodule einen MIME-Teil bearbeitet haben, wenn als Ergebnis der Prüfung mindestens eines der folgenden Ereignisse eingetreten ist:
Das Modul Anti-Virus hat der Nachricht einen beliebigen Status zugewiesen, außer Nicht untersucht, Nicht erkannt, Datenbankfehler.
Das Modul Anti-Virus hat in der Nachricht ein Dokument erkannt, das ein Makro enthält.
Im Protokoll wird die Untersuchung jedes MIME-Teils und jedes Links aller Nachrichten aufgezeichnet.
Beispielsweise wurden in einer Nachricht 5 Anhänge ohne Bedrohungen oder andere Objekte sowie 10 Links gefunden, die von den Untersuchungsmodulen bearbeitet wurden. Wenn der Wert Nur für Nachrichten, für deren MIME-Teile die Untersuchungsmodule ausgelöst wurden ausgewählt ist, dann werden im Ereignisprotokoll nur die Informationen über die 10 Links aufgezeichnet. Wenn der Wert Für alle Nachrichten ausgewählt ist, dann werden im Ereignisprotokoll Informationen zu den 5 Anhängen und den 10 Links aufgezeichnet.
Wenn Sie den Hash der MIME-Teile der Nachricht im Ereignisprotokoll aufzeichnen möchten, aktivieren Sie den Schalter Hash für MIME-Teile und Anhänge protokollieren. Wenn diese Option aktiviert ist, wird für alle protokollierten MIME-Teile und Anhänge ein Hash hinzugefügt. Für Links wird kein Hash hinzugefügt.
Wenn Sie den Schalter Hash für MIME-Teile und Anhänge protokollieren aktiviert haben, wählen Sie in der Dropdown-Liste Hash-Algorithmus einen der folgenden Werte aus: SHA256, MD5 oder SHA1.
Geben Sie im Feld Maximale Größe des Ereignisprotokolls (MB) die Größe des Ereignisprotokolls an, so dass mit Überschreiten dieses Wertes ältere Einträge gelöscht werden.
Der voreingestellte Standardwert beträgt 1024 MB. Mögliche Werte sind ganze Zahlen zwischen 100 und 2.147.483.647.
Geben Sie im Feld Speicherdauer der Ereignisse im Protokoll (Tage) in Tagen die Speicherdauer an, während der die Anwendung die Ereignisse aus der Verarbeitung des Netzwerk-Datenverkehrs auf dem Server vorhalten muss.
Der voreingestellte Standardwert: 3 Tage. Mögliche Werte sind ganze Zahlen zwischen 1 und 8.589.934.592.
Führen Sie im Block Programmereignisse die folgenden Aktionen aus:
Geben Sie im Feld Maximale Größe des Ereignisprotokolls (MB) die Größe des Ereignisprotokolls an, so dass mit Überschreiten dieses Wertes ältere Einträge gelöscht werden.
Der voreingestellte Standardwert beträgt 1024 MB. Mögliche Werte sind ganze Zahlen zwischen 100 und 2.147.483.647.
Geben Sie im Feld Speicherdauer der Ereignisse im Protokoll (Tage) an, wie viele Tage die Anwendung die Anwendungsereignisse auf dem Server speichern soll.
Der Standardwert beträgt 1.100 Tage.
Führen Sie im Block Auditereignisse die folgenden Aktionen aus:
Wählen Sie im Block des Parameters Protokollierungsstufe für Auditereignisse die Protokollierungsstufen der Prüfereignisse im Ereignisprotokoll aus. Folgende Varianten stehen zur Auswahl:
Auditereignisse nicht aufzeichnen.
Auditereignisse ohne Informationen zu veränderten Einstellungen aufzeichnen.
Es werden nur Auditereignisse und keine Informationen über veränderte Einstellungen oder deren Werte aufgezeichnet.
Auditereignisse und veränderte Einstellungen aufzeichnen.
Es werden sowohl Auditereignisse als auch frühere und neue Werte geänderter Einstellungen aufgezeichnet.
Der Standardwert ist Auditereignisse ohne Informationen zu veränderten Einstellungen aufzeichnen.
KSMG schreibt unabhängig vom Wert des Parameters Protokollierungsstufe für Auditereignisse Ereignisse zu versuchten Authentifizierungen in das Syslog-Protokoll mit der Kategorie "authpriv(10)". Es werden Ereignisse über erfolgreiche und erfolglose Versuche, sich mittels Kerberos-Authentifizierung, NTLM und lokalen Benutzerkonten an der Anwendung anzumelden aufgezeichnet. Wenn die Protokollierung von Audit-Ereignissen aktiviert ist, schreibt KSMG auch die Ereignisse des Audit-Protokolls in Syslog.
Geben Sie im Feld Maximale Größe des Ereignisprotokolls (MB) die maximale Größe des Audit-Ereignisprotokolls an, bei deren Überschreitung ältere Einträge gelöscht werden sollen.
Der voreingestellte Standardwert beträgt 1024 MB. Mögliche Werte sind ganze Zahlen zwischen 100 und 2.147.483.647.
Geben Sie im Feld Speicherdauer der Ereignisse im Protokoll (Tage) an, wie viele Tage die Anwendung die Audit-Ereignisse auf dem Server speichern soll.
Der Standardwert beträgt 1.100 Tage.
Ab einer gewissen Länge eines Ereigniseintrags wird der Protokolleintrag des Ereignisses in mehrere Teile aufgeteilt. Geben Sie für einen Teil des Eintrags im Feld Maximale Größe des Teils mit veränderten Einstellungen im CEF-Format (Zeichen) die maximale Länge in UTF-8-Zeichen an. Der Mindestwert beträgt 4.000 und der Standardwert beträgt 4.000.
Klicken Sie auf die Schaltfläche Speichern.
Die Einstellungen der Speicherung der Ereignisse im Ereignisprotokoll werden angepasst.