GFI EventsManager 7.0 Manual - Software de Seguridad para ... › eventsmanager › esm7manual_es.pdfCorreo, alertas SMS y alertas de Red. Archivo Una colección de sucesos almacenados

GFI EventsManager 7.0

Manual

Por GFI Software Ltd.

http://www.gfi.com

Email: [email protected]

Este manual fue producido por GFI Software Ltd. La información de este documento está sujeta a cambios sin previo aviso. Las empresas, nombres, y datos utilizados en los ejemplos son ficticios si no se hace mención de lo contrario. Ninguna parte de este documento puede ser reproducida o transmitida bajo ninguna forma o medio, electrónico o mecánico, para ningún propósito, sin la expresa autorización escrita de GFI Software Ltd. GFI EventsManager se desarrolla por GFI Software Ltd. GFI EventsManager es copyright de GFI Software Ltd. © 2000-2006 GFI Software Ltd. Todos los derechos reservados. Versión 7.0 - Última actualización: 22 de Diciembre de 2006

GFI EventsManager Contenido • i

Contenido

Introducción 5 Sobre este manual .........................................................................................................5

Cómo está estructurado este manual...............................................................5 Glosario de términos utilizados en este manual ...............................................6

Sobre GFI EventsManager ............................................................................................8 Características clave......................................................................................................9 ¿Cómo funciona GFI EventsManager? .......................................................................11 Navegando en la consola de administración de GFI EventsManager.........................14

Instalación 17 Introducción..................................................................................................................17

Implementación de GFI EventsManager en una Red de Área Local................................................................................................................18 Implementación de GFI EventsManager en una Zona Desmilitarizada................................................................................................19

Requerimientos del sistema.........................................................................................20 Actualizar desde una versión previa ............................................................................20 Procedimiento de instalación .......................................................................................20

Empezar 25 Introducción..................................................................................................................25 Empezar: Iniciar GFI EventsManager por primera vez................................................28 Diálogo de configuración inicial ...................................................................................28 Configurar la base de datos de respaldo.....................................................................29

Configurar los detalles de SQL Server ...........................................................30 Mantener la base de datos de respaldo .........................................................31

Cambiar los ajustes de la base de datos de respaldo.................................................32 Configurar la cuenta de administrador de GFI EventsManager ..................................32 Configurar las opciones generales de alertas .............................................................35

Configurar las alertas por correo ....................................................................37 Configurar las alertas de red...........................................................................37 Configurar las alertas SMS.............................................................................38

Cambiar las opciones generales de alertas.................................................................39 Empezar: Procesar los registros de sucesos ..............................................................39

Configurar las fuentes de sucesos 43 Introducción..................................................................................................................43 Añadir nuevas fuentes de sucesos a un grupo por defecto.........................................44 Configurar las propiedades de las fuentes de sucesos...............................................45 Configurar las propiedades generales de las fuentes de sucesos ..............................46 Configurar las credenciales alternativas del administrador del dominio.........................................................................................................................46 Configurar el horario operativo de la fuente de sucesos .............................................47 Configurar los parámetros de procesamiento de sucesos ..........................................48

Configurar las reglas de procesamiento de sucesos 51 Introducción..................................................................................................................51

Contenido • ii GFI EventsManager

Recoger y procesar los sucesos Windows ..................................................................54 Configurar Registros de Sucesos Personalizados ......................................................57 Recoger y procesar registros W3C..............................................................................58 Recoger y procesar Syslogs ........................................................................................59 Configurar el puerto de comunicaciones del servidor Syslog......................................62 Archivar sucesos..........................................................................................................63 Seleccionar reglas de procesamiento de sucesos ......................................................64

Configurar alertas y acciones 67 Introducción..................................................................................................................67 Configurar las acciones de clasificación por defecto...................................................68 Configurar acciones a través de las reglas de procesamiento de sucesos ........................................................................................................................69

Exploración de sucesos 71 Introducción..................................................................................................................71 Acceder y explorar los registros sucesos almacenados..............................................75 Aplicar las consultas de sucesos .................................................................................75 Crear consultas de sucesos personalizadas ...............................................................76 Configurar el panel visor de sucesos...........................................................................77 Configurar la codificación por colores de sucesos ......................................................79 Herramienta de búsqueda de sucesos ........................................................................81 Copia de seguridad de sucesos...................................................................................81 Intercambio de bases de datos....................................................................................82 Limpiar todos los sucesos............................................................................................82

Monitorización del estado 83 Introducción..................................................................................................................83 Acceder al monitor de estado ......................................................................................83 Vista General ...............................................................................................................84 Vista de la Actividad del Trabajo..................................................................................88 Vista de estadísticas ....................................................................................................91

Configurar las reglas de procesamiento de sucesos 95 Introducción..................................................................................................................95 Crear una nueva carpeta de conjunto de reglas..........................................................96 Renombrar y eliminar carpetas....................................................................................96 Crear un nuevo conjunto de reglas..............................................................................96 Editar un conjunto de reglas ........................................................................................97 Borrar un conjunto de reglas........................................................................................97 Crear una nueva regla de Registro de Sucesos Windows ..........................................97 Crear una nueva regla de W3C .................................................................................101 Crear una nueva regla de Syslog ..............................................................................105 Cambiar los ajustes de configuración de una regla...................................................109 Parámetros avanzados de filtrado de sucesos..........................................................111

Condiciones de Sucesos Windows...............................................................111 Categorías Syslog.........................................................................................111

Configurar usuarios y grupos 113 Introducción................................................................................................................113 Crear un nuevo usuario .............................................................................................114 Cambiar las propiedades de usuario .........................................................................114 Borrar usuarios...........................................................................................................114 Configurar grupos ......................................................................................................115

Cambiar las propiedades del grupo de usuarios ..........................................116 Borrar grupos de usuarios ............................................................................116

GFI EventsManager Contenido • iii

Miscelánea 117 Licencia ......................................................................................................................117

Introducir la Clave de Licencia después de la instalación ............................117 Información de la versión...........................................................................................118

Comprobar nuevas versiones.......................................................................118

Resolución de problemas 119 Introducción................................................................................................................119 Base de Conocimientos .............................................................................................119 Solicitar soporte técnico mediante correo electrónico ...............................................119 Solicitar soporte técnico vía conversación web .........................................................120 Solicitar soporte técnico mediante teléfono ...............................................................120 Foro Web ...................................................................................................................120 Notificaciones de versiones revisadas.......................................................................120

Apéndice 1 – Ajustes SMS 121 Ajustes globales para SMS/buscapersonas ..............................................................121 El Servidor SMS GSM integrado. ..............................................................................122 La plantilla del proveedor de servicio SMS de GFI FAXmaker .................................124 El Servicio Email2SMS de Clickatell..........................................................................126 Plantilla de proveedor genérico de servicio SMS ......................................................129

Apéndice 2: Configurar Windows 133 Introducción................................................................................................................133 Habilitar el servicio de Registro Remoto....................................................................134 Habilitar la auditoria de seguridad de Windows.........................................................136 Cómo instalar complementos de Directiva de Grupo ................................................138

Apéndice 3: Instalar SQL Server Express Edition 141 Introducción................................................................................................................141 Requerimientos software ...........................................................................................141 Pasos de instalación ..................................................................................................141

Tutorial 1 – Configurar las opciones básicas a través del Diálogo de Configuración Inicial 151

Visión General............................................................................................................151 Parámetros.................................................................................................................151 Parte 1: Configurar la base de datos de respaldo de GFI EventsManager ..........................................................................................................152 Parte 2: Configurar las opciones de alertas por defecto............................................155 Parte 3: Configurar la cuenta de administrador de GFI EventsManager ..........................................................................................................156

Turorial 2 – Configurar los parámetros de procesamiento de sucesos 160 Visión General............................................................................................................160 Parámetros.................................................................................................................160 Parte 1: Configurar las Fuentes de Registros............................................................162 Parte 2: Crear nuevas reglas de procesamiento de sucesos....................................164

Sección 1: Crear una nueva carpeta de reglas ............................................164 Sección 2: Crear un nuevo conjunto de reglas.............................................165 Sección 3: Crear un nueva regla ..................................................................165

Parte 3: Configurar las propiedades de usuario, alertas y otras acciones .....................................................................................................................170

Sección 1: Crear un nuevo grupo de usuarios/destinatarios de alertas ......................................................................................................170

Contenido • iv GFI EventsManager

Sección 2: Agregar nuevo destinatario de alertas ........................................171 Sección 3: Ajustar alertas por correo para los sucesos Críticos ..........................................................................................................176

Tutorial 3 – Búsqueda y Filtrado de Sucesos 178 Visión General............................................................................................................178 Parámetros.................................................................................................................178 Crear una nueva consulta de sucesos.......................................................................178 Utilizar la nueva consulta de sucesos........................................................................181

Índice 183

GFI EventsManager Introducción • 5

Introducción

Sobre este manual

Cómo está estructurado este manual Este manual está estructurado en línea con la cadena lógica de las operaciones requeridas para levantar y ejecutar GFI EventsManager. • Capítulo 1 ofrece una vista previa de cómo trabaja GFI

EventsManager. • Capítulo 2 explica como instalar satisfactoriamente GFI

EventsManager. • Capítulo 3 describe como configurar los parámetros

operacionales clave que requiere GFI EventsManager en el primer inicio. Estas instrucciones se presentan en su propia secuencia lógica e incluyen toda la información requerida para preparar a GFI EventsManager para el procesamiento de sucesos.

• Capítulos 4, 5, 6 le guían a través del proceso de configuración de los parámetros esenciales para el procesamiento de sucesos. Al final de estos capítulos, usted será capaz de configurar: Las fuentes de sucesos que serán monitorizados Tipos de registros que serán recogidos y procesados Reglas de procesamiento de sucesos que se ejecutarán

contra los registros recogidos Alertas y acciones que se activarán en sucesos clave.

En este momento, habrá obtenido suficiente conocimiento para ejecutar GFI EventsManager con ajustes por defecto.

• Capítulo 7 describe como utilizar el explorador de sucesos incorporado para analizar sucesos almacenados en la base de datos de respaldo de GFI EventsManager. Este capítulo explica como utilizar las herramientas y características provistas en el explorador de sucesos incluyendo: Consultas del registro de sucesos por defecto y constructor de

consultas Codificación por colores de sucesos Herramienta de búsqueda de sucesos

• Capítulo 8 describe como utilizar el Monitor de Análisis para analizar el estado de GFI EventsManager así como también ver información estadística y sucesos procesados.

• Capítulo 9 le guía a través del proceso de creación y personalización de reglas de procesamiento de sucesos. Esta

6 • Introducción GFI EventsManager

sección es para usuarios avanzados que quieren crear sus propias reglas de procesamiento de sucesos.

• Capítulo 10 describe como configurar los parámetros del destinatario de alertas incluyendo: Detalles personales tales como el número de teléfono móvil Horas de trabajo normales Tipo de alertas que se enviarán a todos los destinatarios.

• Capítulo 11 explica que fuentes de información principales están disponibles para ayudar a los usuarios para solucionar problemas del producto

• Apéndice 1 le guía a través del proceso de configuración de parámetros de alertas SMS incluyendo los ajustes de la pasarela SMS.

• Apéndice 2 le guía a través del proceso de configuración de los ajustes y servicios Windows requeridos por GFI EventsManager.

• Apéndice 3 le guía a través de los pasos requeridos para instalar Microsoft SQL Server 2005 Express Edition.

• Tutoriales 1, 2, 3 le guiarán a través del proceso de instalación y ejecución de GFI EventsManager.

Glosario de términos utilizados en este manual

Acciones La actividad que será llevada a cabo como resultado de condiciones especificas de coincidencia de sucesos. Por ejemplo puede activar acciones cuando un suceso se clasifica como crítico. Las acciones soportadas por GFI EventsManager incluyen alertas por Correo, archivo de sucesos, y ejecución de scripts.

Alertas Notificaciones que informan a los destinatarios que ha ocurrido un suceso en particular. GFI EventsManager puede generar alertas por Correo, alertas SMS y alertas de Red.

Archivo Una colección de sucesos almacenados en una base de datos de respaldo basada en SQL Server de GFI EventsManager.

Alertas por correo Notificaciones por correo que informan a los destinatarios que ha ocurrido un suceso en particular. Para habilitar las alertas por correo, debe tener acceso a un servidor de correo activo.

Clasificación de sucesos

La clasificación de sucesos como Crítico, Medio Alto, Bajo o Ruido.

Registros de sucesos Una colección de entradas que describen sucesos que ocurrieron en la red o en equipos. GFI EventsMAnager soporta 3 tipos diferentes de registros de sucesos; Registros de Sucesos Windows, Registros W3C y Syslog.

Reglas de procesamiento de

Un conjunto de instrucciones que se aplican contra un registro de sucesos.


sucesos

Alertas de red Mensajes de red (conocidos como mensajes Netsend) que informan a los destinatarios que ha ocurrido un suceso en particular. Estos mensajes se envían a través del sistema/protocolo de mensajería instantánea y se muestran como una ventana emergente en la bandeja del sistema del escritorio del destinatario. Para la configuración de las alertas de red, debe especificar el nombre o la IP de los equipos a los que se enviarán los mensajes Netsend.

Ruido Entradas de registro repetidas que informan del mismo suceso.

Carpeta de Conjunto de reglas

La carpeta que contiene uno o más conjuntos de reglas.

Conjuntos de reglas Una colección de reglas de procesamiento de sucesos.

Alertas SMS Notificaciones SMS que informan a los destinatarios que ha ocurrido un suceso en particular. En GFI EventsManager, las alertas SMS se pueden ajustar a través de varias fuentes incluyendo teléfonos móviles con capacidad de módem y pasarelas correo-a-SMS basadas en web.

Sucesos sin clasificar Sucesos que no satisficieron ninguna de las condiciones de procesamiento de sucesos configurados en las reglas de procesamiento de sucesos.

Registros W3C W3C en un formato de registro común desarrollado por el World Wide Web Consortium. Los registros W3C son ficheros de texto plano usados principalmente por servidores web incluyendo Microsoft Internet Information Services (IIS) para grabar sucesos relativos a la web tales como registros web.

Registros de sucesos Windows

Un grupo de entradas que describen sucesos que ocurrieron en un equipo corriendo un SO Windows.


Sobre GFI EventsManager

Figura 1 – GFI EventsManager se integre en cualquier infraestructura IT existente

GFI EventsManager es una solución de administración de registros de sucesos orientada a resultados dentro de una infraestructura de TI, automatizando y simplificando las tareas involucradas en la administración de sucesos de toda la red. A través de las características soportadas por GFI EventsManager puede: • Recolectar aromáticamente sucesos W3C, Syslog y Windows

desde los dispositivos y sistemas Windows/Linux/Unix de red y administrarlos a través de una consola.

• Archivar los sucesos recogidos en una base de datos de respaldo centralizada SQL Server para futuros análisis y estudios forenses.

• Filtrar los sucesos no deseados y clasificar sucesos clave a través del uso de potentes reglas de procesamiento de sucesos por defecto o personalizadas.

• Automatizar las alertas y las medidas correctoras tales como la ejecución de scripts y archivos en sucesos clave.

• Monitorizar su actividad de red y el estado de su motor de análisis de GFI EventsManager a través de un panel de control gráfico.

• Analizar los sucesos a través de un explorador de sucesos incluido.

• Simplificar el análisis forense de sucesos a través de herramientas especializadas las cuales incluyen un editor de consultas de sucesos incluido, un buscador de sucesos y una herramienta de codificación por colores de sucesos.

• Incrementar el poder de procesamiento de sucesos a través de un motor de alto rendimiento de análisis de procesos.


• Generar, programar así como también enviar por correo la actividad de sucesos e informe de tendencias a través de GFI EventsManager ReportPack – la poderosa herramienta de generación de informes compañera que se vende por defecto junto con GFI EventsManager.

Características clave

Soporte extendido de registros de sucesos GFI EventsManager es capaz de procesar varios tipos de registros de sucesos incluyendo registros de sucesos Windows, eventos Syslog y registros de sucesos W3C. Esto permite a los administradores recoger más datos de los diferentes sistemas hardware y software que están más comúnmente disponibles en típicas redes corporativas.

Gestión de registros de sucesos basado en reglas GFI EventsManager se entrega con un conjunto de reglas de procesamiento de sucesos preconfiguradas que le permiten filtrar y clasificar sucesos que cumplan condiciones particulares. Puede utilizar estas reglas predefinidas sin realizar configuración alguna o puede escoger personalizar estas reglas o creas reglas a medida que se adecúen a su infraestructura de red.

Perfiles de análisis de registros de sucesos GFI EventsManager 7 le permite organizar las reglas de análisis de registro de sucesos en ‘Perfiles de Análisis’. En un perfil de análisis, puede configurar el conjunto de reglas de monitorización de registros de sucesos que serán aplicadas a un equipo o grupo de equipos específico. Los beneficios de estos perfiles incluyen: • Simplifica las tareas de administración del producto proveyendo

un modo centralizado de afinamiento de las reglas de procesamiento de sucesos.

• Permite a los administradores crear diferentes conjuntos de reglas de registro de sucesos que ajusten los roles las fuentes de sucesos analizados y el entorno de red corporativo. Por ejemplo, puede configurar un conjunto de reglas las cuales sólo se aplican a estaciones de trabajo de un departamento concreto.

Permite configuración granular de reglas Los administradores pueden crear un perfil de procesamiento de sucesos que es genérico a todos los equipos y un número de perfiles separados que complementan el perfil genérico proveyendo reglas de registro de sucesos adicionales y más especializadas en un equipo en base al equipo.

Traduce los crípticos sucesos Windows Un importante inconveniente de los registros de sucesos Windows es que no son amigables al usuario – demasiado crípticos para que lo entienda el usuario. De hecho esto es una de las principales razones por las que solo unos pocos administradores realmente miran dentro


de los registros de sucesos Windows. GFI EventsManager 7 vence este problema traduciendo las descripciones de los sucesos en una forma que es más amigable y fácil de entender.

Motor de análisis de sucesos mejorado GFI EventsManager 7 incluye un motor de análisis de sucesos que ha sido afinado para acelerar el análisis de sucesos para un máximo rendimiento. Este motor adopta un concepto en base a plug-in que permite el “enganche” de características/módulos sin tener que realizar cambios físicos al código existente – por lo tanto más estabilidad sin efectuar escalabilidad.

Reducción automática de ruido GFI EventsManager 7 identifica y elimina datos de sucesos no deseados (tales como ruido y sucesos generados en procesos en segundo plano) proveyéndole solo con datos relevantes, aprovechables. Así pues facilita el análisis forense de sucesos reduciendo la cantidad de sucesos a analizar.

Acciones en tiempo real mejoradas GFI EventsManager puede generar alertas o desencadenar acciones tales como ejecutar un script cuando se detecten sucesos clave. Puede alertar a una o mas personas de varias formas incluyendo: correo electrónico, mensajes de red y notificaciones SMS enviadas a través de una pasarela o servicio correo-a-SMS. Las acciones se pueden configurar para activarse en una clasificación de sucesos o configurando condiciones específicas en las reglas de procesamiento de sucesos.

Características avanzadas de filtrado de sucesos GFI EventsManager se vende con un número de características de filtrado de sucesos que incluyen: • Consultas de sucesos preconfiguradas y un editor de

consultas de sucesos personalizadas: Las consultas de sucesos preconfiguradas le permiten clasificar los datos de registro de sucesos y consultar solo los sucesos requeridos – sin eliminar ningún registro de su base de datos de respaldo. El editor de consultas de sucesos incluido le permite crear sus propias consultas de sucesos personalizadas.

• Capacidades de codificación por colores de sucesos: A través de esta característica puede colorear selectivamente los sucesos en colores específicos. De esta forma cuando examine los registros puede identificar fácilmente los sucesos importantes a través de su color.

• Herramienta de búsqueda de sucesos: Con esta herramienta puede localizar rápidamente sucesos importantes proveyendo un criterio de búsqueda específico tal como el tipo de suceso.

Centralización de sucesos GFI EventsManager le habilita para monitorizar y administrar sucesos generados por sistemas Unix\Linux\Unix, dispositivos de red y aplicaciones software a través de una sola consola de usuario.


¿Cómo funciona GFI EventsManager?


Figura 2 – Las etapas operativas de GFI EventsManager


La funcionalidad operativa de GFI EventsManager se divide en 2 etapas: • Etapa 1: Recolección de Sucesos • Etapa 2: Procesamiento de Sucesos: Una descripción de cada etapa se ofrece mas abajo.

Etapa 1: Recolección de Sucesos Durante la etapa de Recolección de Sucesos, GFI EventsManager recoge los registros de las fuentes de sucesos específicas. Esto se realiza a través de 2 motores de recolección de sucesos: El Motor de Recuperación de Sucesos y el Motor de Recepción de Sucesos. El Motor de Recuperación de Sucesos - El Motor de Recuperación de Sucesos se usa para recolectar los registros de sucesos Windows y los registros W3C desde las fuentes de sucesos conectados a la red. Durante el proceso de Recolección de Sucesos este motor: 1. Iniciará sesión en la fuente(s) de sucesos 2. Recogerá los sucesos desde la fuente(s) 3. Enviará los sucesos recogidos al Servidor de GFI EventsManager 4. Cerrará sesión en la fuente(s) de sucesos El Motor de Recuperación de Sucesos recogerá sucesos en intervalos de tiempo específicos. El intervalo de recolección de sucesos se configura desde la consola de administración de GFI EventsManager. El Motor de Recepción de Sucesos. El Motor de Recepción de Sucesos actúa como un servidor Syslog, escucha y recoge los sucesos/mensajes Syslog enviados por las fuentes Syslog de la red. Al contrario del Motor de Recuperación de Sucesos, el Motor de Recepción de Sucesos recibe mensajes directamente desde la fuente de sucesos, por consiguiente no requiere iniciar sesión remotamente en las fuentes de sucesos para la recolección de sucesos. Más allá de esto, los sucesos/mensajes Syslog se recogen en tiempo real y por lo tanto no se necesita configurar intervalos de tiempo de recolección. Por defecto, el Motor de Recepción de Sucesos escucha los mensajes Syslog en el puerto 514 sin embargo los ajustes del puerto Syslog son personalizables a través de la consola de administración de GFI EventsManager.

Etapa 2: Procesamiento de Sucesos: Durante esta etapa, GFI EventsManager ejecutará un conjunto de Reglas de Procesamiento de Sucesos contra los sucesos recogidos. Las reglas de Procesamiento de Sucesos son instrucciones que: • Analiza los registros recogidos y clasifica los sucesos procesados

como Críticos, Alto, Medio, Bajo o Ruido (sucesos no deseados o repetidos)

• Filtran eventos que coincidan con condiciones específicas • Activan alertas por correo, sms o de red en sucesos clave • Activar acciones correctivas tales como la ejecución de ficheros

ejecutables o scripts en sucesos clave.


• Opcionalmente archiva los sucesos recogidos en la base de datos de respaldo.

GFI EventsManager se puede configurar para que archive los sucesos sin ejecutar las reglas de Procesamiento de Sucesos. En tales casos, aún cuando no se aplican reglas contra los registros recogidos, el archivo aún se tratará por la etapa de Procesamiento de Sucesos.

Navegando en la consola de administración de GFI EventsManager

Imagen 1 – La consola de administración de GFI EventsManager

Opción Estado – Utilice esta opción para ver el estado de GFI EventsManager e información estadística de registros procesados. Opción Configuración – Utilice esta opción para acceder y configurar las opciones principales de procesamiento de sucesos. Fuentes de Sucesos – Utilice esta opción para configurar las fuente de sucesos incluyendo que registros recoger y que reglas procesar. Reglas de Procesamiento de Sucesos – Use esta opción


para crear, configurar y personalizar reglas de procesamiento de sucesos. Panel Izquierdo – Use este panel para navegar a través de las opciones de configuración adicionales provistas en GFI EventsManager. Opciones Generales – Utilice esta opción para comprobar las actualizaciones del producto, así como ver la versión y los detalles de licenciamiento. Explorador de Sucesos – Utilice esta opción para ver y analizar los sucesos actualmente almacenados en la base de datos de GFI EventsManager. Opciones – Utilice esta opción para configurar los ajustes generales tales como los parámetros de la base de datos, y los parámetros de alertas por defecto. Barra de Opciones Principales – Esta barra contiene las opciones de configuración principales provistas en GFI EventsManager. Barra de Opciones Secundaria – Esta barra contiene una segunda capa de opciones de configuración que es accesible haciendo clic en opciones en la barra de opciones principal. Panel Derecho – Utilice este panel para explorar las fuentes de sucesos configurados, reglas de procesamiento de sucesos, sucesos archivados, detalles de licenciamiento y detalles de la versión del producto.

GFI EventsManager Instalación • 17

Instalación

Introducción

¿Donde puedo instalar GFI EventsManager en mi red? GFI EventsManager se puede instalar en cualquier equipo que reúna los requisitos mínimos del sistema independientemente de la ubicación en su red. Utilice GFI EventsManager para administrar los sucesos generados: • En la misma máquina donde está instalado. • En todos los equipos que son accesibles desde el equipo donde

está instalado.

Figura 3 – Escenario de implementación de GFI EventsManager

GFI EventsManager se puede implementar:

18 • Instalación GFI EventsManager

Dentro de su red para monitorizar la actividad de servidores internos y estaciones/puntos finales.

En la DMZ para monitorizar y administrar los sucesos generados en sus servidores.

Implementación de GFI EventsManager en una Red de Área Local GFI EventsManager se puede implementar en redes Windows así como también en entornos mixtos donde se usan sistemas Linux y Unix igualmente.

Figura 4 – Implementación de GFI EventsManager en una LAN

Cuando se instala en una Red de Ara Local (LAN) GFI EventsManager puede administrar sucesos Windows, registros de sucesos W3C y mensajes Syslog generados por cualquier hardware o software conectado a la LAN, incluyendo: • Estaciones y Servidores (ej. Servidores web Apache) • Appliances de red (ej. cortafuegos Cisco PIX) • Software de terceros (ej. GFI EndPointSecurity) • Servicios específicos (ej. Microsoft Internet Information Server –

IIS) • PABXs, Sistemas de Acceso sin Llave, Sistemas de detección de

Intrusión, etc. Cuando se instala en una LAN, GFI EventsManager también puede usarse para recoger los sucesos de de sistemas hardware y software implementados en una Zona Desmilitarizada (DMZ). Puesto que habitualmente un cortafuegos u un router protegen esta zona con servicios de filtrado de tráfico, debe asegurarse que: 1. No están bloqueados por el cortafuegos los puertos usados por GFI EventsManager. Para más información sobre los puertos de comunicación usados por GFI EventsManager refiérase al siguiente artículo de la base de conocimiento: http://kbase.gfi.com/showarticle.asp?id=KBID002770. 2. Que GFI EventsManager tenga privilegios administrativos sobre los equipos que corren en la DMZ.

http://kbase.gfi.com/showarticle.asp?id=KBID002770


Implementación de GFI EventsManager en una Zona Desmilitarizada

Figura 5 – La DMZ se sitúa entre la LAN interna e Internet

GFI EventsManager también se puede implementar en una Zona Desmilitarizada. Esta es una red neutral que se sitúa ente la red corporativa “interna” y el “mundo exterior” (es decir, Internet). La implementación de GFI EventsManager en una Zona Desmilitarizada le ayuda a automatizar la administración de sucesos generados por sistemas hardware y software de la DMZ. Automatizar la administración de sucesos de servidores Web y de Correo Las redes DMZ son normalmente utilizadas para ejecutar sistemas hardware y software que tienen roles específicos de Internet tales como servidores HTTP, servidores FTP, y servidores de Correo. Por lo tanto, puede implementar GFI EventsManager para administrar automáticamente los sucesos generados por: • Servidores web Linux/Unix incluyendo los registros web W3c

generados por servidores web Apache en plataformas web LAMP. • Servidores web Windows incluyendo los registros web W3C

generados por Microsoft Internet Information Server (IIS). • Servidores de correo Linux/Unix y Windows incluyendo los

mensajes Syslog de los ‘servicios de auditoria' generados por Sun Solaris V. 9 o superior.

Automatizar la administración de sucesos de servidores DNS Si tiene un servidor DNS público, hay una alta posibilidad que esté ejecutando un servidor DNS en la DMZ. Por lo tanto puede utilizar GFI EventsManager para recolectar y procesar automáticamente los sucesos del servidor DNS incluyendo aquellos almacenados en sus registros del Servidor DNS de Windows. Automatizar la administración de sucesos de appliance de red Los enrutadores y cortafuegos son dos appliances de red comúnmente encontrados en una DMZ. Los enrutadores y cortafuegos especializados (ej. Enrutadores de la serie IOS de Cisco) no solo ayudan a proteger su red interna, sino que proveen características especiales tales como Port Address Traslation (PAT) que puede aumentar el rendimiento operacional de sus sistemas.

http://www.onlamp.com/pub/a/onlamp/2001/01/25/lamp.html


Implementando GFI EventsManager en su DMZ, puede recoger los sucesos generados por dichos appliances de red. Por ejemplo, puede configurar GFI EventsManager para actuar como un Servidor Syslog y recoger en tiempo real los mensajes Syslog generados por los enrutadores Cisco IOS.

Requerimientos del sistema

Requerimientos hardware – Equipo(s) de instalación • Procesador: Velocidad de procesador a 2 gigaherzios (GHz) o

superior. • RAM: 512 megabytes (MB) • Disco duro: 1,5 gigabytes (GB) de espacio disponible • Otros: Teclado y ratón o un dispositivo de indicación compatible.

Requerimientos software – Equipo(s) de instalación • .NET framework 2.0 • Microsoft Data Access Components (MDAC) 2,8 o superior • Acceso a MSDE / SQL Server 2000 o superior.

Requerimientos software – Equipo(s) analizado • Análisis de registros de sucesos Windows:

El servicio de registro remoto debe estar habilitado. Para más información refiérase al Apéndice 2 en este manual.

El servicio de auditoría de Windows debe estar habilitado. Para más información refiérase al Apéndice 2 en este manual.

• Análisis de registros W3C: Las carpetas fuente deben ser accesibles a través de los recursos compartidos de Windows.

• Análisis Syslog: Dado que GFI EventsManager incluye un servidor Syslog integrado, las fuentes/remitentes Syslog se deben configurar para enviar sus mensajes Syslog al equipo/dirección IP donde está instalado GFI EventsManager.

Actualizar desde una versión previa Los subsistemas operativos y la tecnología de procesamiento fundamentales sobre los cuales está construido GFI EventsManager son diferentes de los mismos de las versiones previas tales como GFI LANguard Security Event Log Monitor. Así pues no se puede importar o actualizar una versión anterior a GFI EventsManager 7. NOTA: Aún puede ejecutar GFI EventsManager en la misma máquina en la que está instalado GFI LANguard Security Event Log Monitor. No entrarán en conflicto entre sí.

Procedimiento de instalación GFI EventsManager incluye un asistente de instalación que le guiará a través del proceso de instalación. Para iniciar la instalación:


1. Cierre todas las aplicaciones en marcha e inicie sesión en el equipo objetivo utilizando una cuenta que tenga privilegios administrativos locales. 2. Haga doble clic en EventsManager7.exe. 3. Tan pronto como se muestre el diálogo de bienvenida, haga clic en Next para iniciar la instalación. 4. Lea cuidadosamente el acuerdo de licencia. Para continuar instalado el producto, seleccione la opción ‘I accept the Licensing agreement’ y haga clic en Next.

Imagen 2 – Ventana del Usuario y detalle de Licencia

5. Especifique su nombre, empresa y clave de licencia. Si esta evaluando el producto, deje el numero de serie por defecto (es decir, ‘Evaluation’) y haga clic en Next.


Imagen 3 – Pantalla de información de inicio de sesión

6. GFI EventsManager se debe ejecutarse bajo una cuenta con derechos administrativos en el dominio. Introduzca el usuario y contraseña de una cuenta de administrador del dominio y haga clic en Next para continuar. 7. Especifique una ruta de instalación por defecto o haga clic en Next para dejarlo por defecto y proceder con la instalación.

Imagen 4 – Seleccione el modo de soporte del juego de caracteres y símbolos


8. Indique el juego del código de caracteres a usar por GFI EventsManager. Haga clic en el botón Install para proceder con la extracción automática de los archivos requeridos y finalizar la instalación. 9. Haga clic en Finish para completar la instalación.

GFI EventsManager Empezar • 25

Empezar

Introducción

¿Que es un registro de un equipo? Un registro de un equipo es una colección de entradas de sucesos. Estas entradas proveen un rastro de auditoría de información relacionada con la actividad de un sistema de red o un equipo. De hecho, los registros de los equipos se registran en un cierto ámbito para proveer información adecuada para el análisis forense. El registro de un equipo puede ser un fichero binario como en el caso de los registros Windows, o ficheros de texto como en el caso de los registros Syslog o W3C.

¿Que es un registro? Un suceso es una entrada de registro que provee información de algo ocurrido dentro de un equipo o sistema de red. Tales sucesos incluyen varios detalles tales como la fecha y la hora que ocurrió el suceso y una descripción asociada. Las entradas de suceso se almacenan frecuentemente en orden cronológico para facilitar la exploración de sucesos y el análisis forense.

¿Que son los registros de sucesos Windows? Los registros de sucesos de Windows son una grabación sistemática de sucesos relacionados al equipo que ocurrieron en equipos y redes que ejecutan Sistemas Operativos Windows. En sistemas ejecutando Windows 2000/XP/2003, los sucesos se graban y organizan en 3 registros de sucesos por defecto: • Registro de Aplicación • Registro de Seguridad • Registro de Sistema Los equipos con roles especializados de red tales como controladores de dominio y servidores DNS permitan el registro de sucesos a registros adicionales (por defecto) tales como: • Registro de servicio de Directorio • Registro de servicio de Replicación de Ficheros • Registro de Servidor DNS Los registros de sucesos Windows contienen los siguientes tipos de sucesos:

Error – Suceso de Error indican que ha ocurrido un problema crítico, tales como pérdida de datos o funcionalidad. Por ejemplo se

26 • Empezar GFI EventsManager

graba un suceso de Error cada vez que un servicio o driver falla al cargar durante el arranque.

Aviso – Los avisos indican sucesos que no son necesariamente críticos, pero que podrían causar posiblemente problemas futuros. Por ejemplo, un suceso de Aviso se graba cada vez que baja empieza a acabarse el espacio en disco.

Información – Los sucesos de información describen las operaciones satisfactorias de una aplicación, controlador, o servicio. Por ejemplo, un suceso de Información se graba cada vez que un controlador de red se carga satisfactoriamente.

Aciertos – Los sucesos de Aciertos indican los intentos de acceso de seguridad con éxito. Por ejemplo, un suceso Aciertos se graba cada vez que un usuario inicia sesión con éxito en su estación de trabajo Windows.

Errores – Los sucesos de Errores indican los intentos de acceso de seguridad fallidos. Por ejemplo, un suceso Errores se graba cada vez que un usuario falla al acceder a una unidad de red. Un ejemplo de la información típicamente grabada en el registro de sucesos de Windows se muestra mas abajo.

Imagen 5 – Registro del Servidor DNS

¿Qué son los registros W3C? Los registros W3C se utilizan principalmente por los servidores web para registrar los sucesos relativos a la web incluyendo los registros web. Los registros W3C se graban en ficheros de texto plano


utilizando uno de los dos formatos de registro W3C actualmente disponibles: • Formato Común de Archivo de Registro W3C • Formato Extendido de Archivo de Registro W3C. El formato común de archivo de registro W3C fue el primer formato en ser lanzado y hasta hoy sigue siendo el formato por defecto utilizado por una variedad de servidores web incluyendo Apache. Hay sin embargo una desventaja – la información de cada transacción del servidor es fija y no provee ciertos campos importantes tales como remitente, agente, tiempo de transferencia, nombre de dominio, o información de cookie. Para superar este problema, se lanzó el formato Extendido de archivo de registro W3C. Este nuevo tipo de registro está en formato de texto ASCII personalizable permitiendo una amplia variedad de datos a capturar. El formato Extendido de archive de registro W3C es el formato de archivo de registro utilizado por defecto por Microsoft Internet Information Server (IIS). Un ejemplo de la información típicamente grabada en el tipo extendido de registro W3C se muestra mas abajo. #Version: 1.0

#Date: 04-Sep-1996 00:00:00

#Fields: time cs-method cs-uri

00:34:23 GET /WebSRV/Pg_Snippet.html

12:21:16 GET /WebSRV/ Button_pg.html

12:45:52 GET /WebSRV/ Login_Pg.html

12:57:34 GET /WebSRV/ Error_msg.html

¿Que son los Syslogs? Syslog es el estándar para mensajes de conexión, tales como sucesos del sistema, en una red IP. El estándar Syslog es el más comúnmente usado para el registro de sucesos por los sistemas ejecutándose en Unix y Linux así como por dispositivos de red y appliances tales como enrutadores Cisco y el cortafuegos Cisco PIX. Los sucesos Syslog no se graban directamente por las aplicaciones ejecutadas en los equipos. Siempre que se genera un suceso, el equipo correspondiente enviará un pequeño mensaje de texto (conocido como mensaje Syslog) a un servidor dedicado conocido como ‘servidor Syslog’. El servidor Syslog guardará entonces el mensaje recibido en un fichero de registro. Los mensajes Syslog generalmente se envían en texto claro, sin embargo, se puede utilizar un encapsulamiento SSL para proporcionar una capa de encriptación. Syslog se utiliza típicamente para administración de equipos y auditoría de seguridad. Aunque tiene varias deficiencias, una gran ventaja es que Syslog es soportado por una gran variedad de dispositivos y destinatarios. Por eso, se puede utilizar Syslog para integrar datos de registros desde muchos tipos diferentes de sistemas a un almacén central utilizando el servidor Syslog como un distribuidor de registros. El proceso Syslog maneja la grabación de los mensajes/sucesos Syslog en ficheros de registro. El mensaje Syslog se compone de dos partes principales:


1. La ‘cabecera’ que contiene la información de fecha/hora así como también la IP o el nombre de equipo desde donde se ha originado el mensaje. 2. El “mensaje” que incluye el nombre del programa o subsistema y el mensaje en sí mismo, separado por dos puntos. El siguiente es un ejemplo de un mensaje Syslog: Sep 4 10:10:10 10.245.2.11 foo[421]: this is a message from WebSRV

Empezar: Iniciar GFI EventsManager por primera vez Todos los ajustes de configuración para GFI EventsManager se llevan a cabo desde la consola de administración de GFI EventsMAnager. Para abrir la consola de administración haga clic en: Inicio Todos los Programas GFI EventsManager 7 Management Console.

Diálogo de configuración inicial

Imagen 6 – Diálogo de Configuración Inicial

La primera vez que se inicia la consola de administración, se abrirá por defecto el ‘Diálogo de Configuración Inicial’. Este diálogo le


asistirá en la configuración de los parámetros operativos base que requiere GFI EventsManager en el primer inicio.

Los parámetros a configurar al inicio son:

Base de datos de respaldo: Los parámetros requeridos incluyen el nombre/IP del Servidor SQL y los detalles de la base de datos de respaldo para utilizar para el archivo de sucesos.

Los detalles de la cuenta del administrador de GFI EventsManager: Los parámetros requeridos incluyen la dirección de correo, teléfono móvil y el nombre/IP de los equipos donde se enviarán las alertas.

Opciones generales de alertas: Los parámetros requeridos incluyen los detalles del servidor SMT y el servicio/pasarela SMTP para las alertas por correo/SMS.

El Diálogo de Configuración Rápida incluye enlaces que le llevarán directamente a los diálogos de configuración desde donde puede configurar directamente esos parámetros operativos base.

Configurar la base de datos de respaldo

La necesidad de archivar los registros de los equipos El archive de los sucesos es crucial en entornos que se esfuerzan en ser legales cumpliendo con SOX, HIPAA y otras regulaciones de retención y protección de datos igualmente importantes. Por rezones legales y de cumplimiento, las empresas deben ofrecer archivos de datos de registro centrales y seguros que estén separados físicamente de los datos de registro utilizados para el análisis en tiempo real; la principal razón es que los datos de registro en bruto deben quedar intactos. GFI EventsManager le permite opcionalmente archivar ambos sucesos los procesados y los no procesados en una base de datos de respaldo SQL Server. Esto no solo soporta sus esfuerzos de lograr el cumplimiento legal sino también le provee de: • Un grupo variado de sucesos que pueden ser usados para

análisis de actividad y generación de informes. • Un grupo de sucesos filtrados (en el caso de registros

procesados). • Una copia de seguridad de sus datos de registro originales que se

puede utilizar en caso de emergencia. GFI EventsManager también le permite hacer copia de seguridad de su base de datos. De esta forma puede mantener una copia de sus datos de registro físicamente separada de los datos de registro utilizados para el análisis en tiempo real. También puede activar copias de seguridad de la base de datos manualmente. Para más información acerca de cómo hacer copias de seguridad manualmente


de su base de datos refiérase a la sección ‘Copia de seguridad de sucesos’ en el capítulo ‘Explorador de Registro’.

Imagen7 Error! No sequence specified. – Diálogo de Configuración Inicial: Enlace a los ajustes de la base de datos de respaldo

Para configurar los ajustes de la base de datos de respaldo la primera vez, haga clic en el enlace provisto en Diálogo de Configuración Inicial. Esto abrirá el diálogo ‘Opciones de Base de Datos’. Más información sobre como configurar estas opciones más abajo.

Configurar los detalles de SQL Server

Imagen 8 – Opciones de Base de Datos – Pestaña Cambiar Base de Datos

Para configurar los detalles de SQL Server y la base de datos de respaldo: 1. Indique el nombre/IP de su SQL Server. 2. Especifique un nombre para su base de datos de respaldo (ej. EventsManagerDB) 3. Seleccione el método de autenticación a usar cuando se conecte a SQL Server. Si se selecciona la autenticación SQL, especifique el nombre de usuario y la contraseña. 4. Para configurar la opción de mantenimiento de la base de datos de respaldo, haga clic en Maintenance. Para más información sobre


como configurar las opciones de mantenimiento refiérase a la sección ‘Mantener la base de datos de respaldo’. 5. Termine sus ajustes de configuración haciendo clic en OK.

Mantener la base de datos de respaldo El mantenimiento periódico de la base de datos es esencial para prevenir que su base de datos de respaldo crezca demasiado. GFI EventsManager le permite configurar parámetros que automáticamente mantienen su base de datos de respaldo.

Imagen 9 – Opciones de Base de Datos: Pestaña de Mantenimiento

Los parámetros de mantenimiento de la base datos son configurables para ambas bases de datos de respaldo la principal y la copia de seguridad. Las opciones configurables incluyen: • La frecuencia en horas/días en que se borrarán los sucesos de la

base de datos/copia de seguridad. • La frecuencia en horas/días en que se hará copia de seguridad de

los sucesos. La frecuencia de eliminación y copia de seguridad de sucesos se especifica a través de un campo de entrada y una lista desplegable comunes en el diálogo. OBSERVACION 1: Los sucesos se borran automáticamente de la base de datos de respaldo cada vez que se hace una copia de seguridad. OBSERVACION 2: Los registros borrados NO se pueden recuperar.


Cambiar los ajustes de la base de datos de respaldo

Imagen10– Opciones de configuración de la base de datos

Una vez configurados, usted puede aún realizar cambios en los parámetros de mantenimiento de la base de datos. Para lograr esto: 1. Haga clic en la opción Configuration. 2. Desde la barra de opciones secundaria que se abre debajo, seleccione Options. 3. Desde el panel izquierdo, haga clic derecho en el nodo Database Options y seleccione Edit database options…. 4. Configure los parámetros requeridos como se ha descrito en las secciones anteriores.

Configurar la cuenta de administrador de GFI EventsManager GFI EventsManager automáticamente enviará alertas por correo, red o SMS a destinatarios específicos siempre que se descubran ciertos sucesos. Por lo tanto, debe configurar los detalles de contacto de los destinatarios deseados a fin de distribuir alertas eficazmente. Por ejemplo, necesita configurar la dirección de correo de sus destinatarios para enviarles alertas por correo electrónico. GFI EventsManager le permite crear listas personalizadas de destinatarios que puede organizar dentro de grupos para acelerar las tareas administrativas. Por defecto, GFI EventsManager creará automáticamente la cuenta ‘EventsManagerAdministrator’ Sin embargo, aún debe configurar los detalles específicos del usuario tal como la dirección de correo y el número de móvil del administrador de GFI EventsManager Para cada usuario, puede configurar los siguientes parámetros:


• Los detalles de contacto incluyendo la dirección de correo y el número de teléfono

• La jornada laboral típica • El tipo de alerta a enviar dentro y fuera de la jornada laboral • El grupo de notificación al que pertenece el usuario.

Imagen 11 Error! No sequence specified. – Diálogo de Configuración Inicial: Enlace a los ajustes de la cuenta del administrador

Para configurar la cuenta GFI EventsManagerAdministrator la primera vez, haga clic en el enlace provisto en Diálogo de Configuración Inicial.

Imagen 12 – Propiedades de EventsManagerAdministrator

Esto abrirá el diálogo ‘propiedades de EventsManagerAdministrator’. Inicie la configuración de la cuenta como sigue: 1. Especifique los detalles de contacto tales como dirección de correo, y número de móvil como requerido. 2. Especifique los equipos donde se enviarán las alertas de red al administrador. 3. Haga clic en la pestaña Working Hours.


Imagen 13 – Configurar el horario laboral típico de un destinatario de alertas

4. Seleccione el horario laboral típico del administrador/usuario.

Imagen 14 – seleccionando las alertas a enviar durante y fuera del horario laboral

5. Haga clic en la pestaña Alerts y seleccione que alertas se enviarán durante y fuera del horario laboral.


Imagen 15 – Grupos de notificación a los que pertenece el usuario

6. Haga clic en la pestaña Member Of y seleccione los grupos de notificación a los que pertenece el usuario. Por defecto el administrador en un miembro del grupo de notificación ‘EventsManagerAdministrators’. 7. Haga clic en el botón OK para terminar su configuración. Una vez configurado, puede continuar haciendo cambios en las configuradas en la cuenta del administrador. Para mas información sobre como conseguir esto refiérase al capítulo ‘Configurar usuarios y grupos’.

Configurar las opciones generales de alertas GFI EventsManager automáticamente enviará alertas por correo, red o SMS siempre que se descubran ciertos sucesos. Los métodos de alertas soportados requieren de la configuración de un conjunto de parámetros generales de alertas que son específicos de la red. Por ejemplo, para enviar alertas por correo, GFI EventsManager debe conocer que Servidor SMTP será usado para propagar las alertas por correo.

Imagen 16 Error! No sequence specified. – Diálogo de Configuración Inicial: Enlace a las opciones de alerta por defecto


Para configurar los parámetros generales de alertas la primera vez, haga clic en el enlace Configure Alerting options provisto en Diálogo de Configuración Inicial.

Imagen 17 – Diálogo de opciones de alerta

Esto abrirá el diálogo ‘Opciones de Alertas’. Utilice las pestañas Email, Network y SMS provistas en este diálogo para configurar los ajustes de alertas por defecto. Más información sobre como configurar estos ajustes más abajo.


Configurar las alertas por correo

Imagen 18 – Diálogo del propiedades del servidor de corroe

Para configurar las alertas por correo haga como sigue: 1. Desde la pestaña Email que se abre por defecto, haga clic en el botón Add. 2. Indique el nombre/IP de su servidor de correo. Si se requiere especifique también los detalles de autenticación del servidor de correo. 3. Especifique la dirección de correo y el nombre para mostrar que se usará cuando se envíen alertas por correo. 4. Haga clic en OK para finalizar los ajustes. 5. Para personalizar el mensaje de texto del correo, haga clic en el botón Format Email Message…. 6. Si se requiere, haga clic en las pestañas Network o SMS para configurar los parámetros respectivos. 7. Haga clic en OK para finalizar los ajustes.

Configurar las alertas de red No se requieren ajustes de configuración para las alertas de red desde este diálogo. Sin embargo, puede personalizar el mensaje de red haciendo clic en el botón Format network message….


Configurar las alertas SMS

Imagen 19 – Opciones de Alerta: Diálogo SMS

Las alertas SMS se pueden enviar utilizando varios métodos. Los métodos soportados incluyen la pasarela SMS de GFI FAXmaker y el servicio Correo a SMS de Clickatell. Para configure que método se utilizará para transmitir alertas SMS hágalo como sigue: 1. De la lista desplegable provista, selecciones el sistema SMS por el cual se enviarán las notificaciones SMS. 2. Seleccione la propiedad a configurar de la lista provista y haga clic en Edit… Para más información sobre como configurar los parámetros de alertas SMS refiérase a ‘Apéndice 1 – Ajustes SMS’ en este manual. 3. Repítalo hasta que todas la propiedades requeridas se configuren. 4. Para personalizar el mensaje de alerta SMS, haga clic en el botón Format SMS Message…. 5. Haga clic en OK para finalizar los ajustes.


Cambiar las opciones generales de alertas

Imagen 20 – Pantalla de opciones de alerta

Una vez configurados, usted puede aún realizar cambios en las opciones generales de alertas. Para lograr esto: 1. Haga clic en la opción Configuration. 2. Desde la barra de opciones secundaria que se abre debajo, seleccione Options. 3. Desde el panel izquierdo, haga clic derecho en el nodo Alerting Options y seleccione Edit alerting options…. 4. Configure los parámetros requeridos como se ha descrito en las secciones anteriores.

Empezar: Procesar los registros de sucesos En esta etapa, usted ha configurado todos los parámetros operacionales principales requeridos por GFI EventsManager en el


primer inicio. Para proceder con la siguiente etapa y comenzar a procesar sus registros debe especificar:

Fuentes de Sucesos: El nombre/IP de los equipos desde donde se recogerán los sucesos a procesar.

Sucesos a Procesar: Los registros (EVT de Windows, W3C o Syslog) que se van a procesar.

Reglas de procesamiento de sucesos: Las reglas de procesamiento que serán aplicadas contra los sucesos recogidos.

Métodos de alerta y acciones: Las acciones que serán activadas y las alertas que se generarán durante el procesamiento de sucesos.

Los siguientes 3 capítulos explicarán como configurar los parámetros mencionados arriba.

Imagen 21 Error! No sequence specified. Error! No sequence specified. – Diálogo de Configuración Inicial: Haga clic en el botón Start para configurar las fuentes de sucesos


Puede pasar a configurar los parámetros funcionales directamente desde el Diálogo de Configuración Inicial haciendo clic en el botón Start. Esto le llevará a la configuración de las Fuentes de Sucesos. Para más información sobre como configurar las fuentes de sucesos refiérase al siguiente capítulo.

GFI EventsManager Configurar las fuentes de sucesos • 43

Configurar las fuentes de sucesos

Introducción Las fuentes de sucesos son equipos que contienen los registros a procesar por GFI EventsManager En GFI EventsManager, estas fuentes de sucesos están organizadas dentro de grupos de equipos específicos. Puede crear grupos de equipos personalizados a la medida de su infraestructura de red o puede utilizar los grupos de equipos predefinidos que se entregan por defecto con este producto. Por ejemplo, puede utilizar los grupos de equipos por defecto para organizar y configurar distintivamente los servidores, estaciones y portátiles que se van a monitorizar con GFI EventsManager, o puede elegir agrupar los equipos objetivo que tengan roles específicos en su red tales como Servidores Web, Servidores de Ficheros y Servidores de Datos.

44 • Configurar las fuentes de sucesos GFI EventsManager

Añadir nuevas fuentes de sucesos a un grupo por defecto

Imagen 22 - Configurando el equipo que va a ser monitorizado

Para configurar las fuentes de sucesos: 1. Haga clic en la opción Configuration. 2. Haga clic derecho sobre el Grupo de Equipos que contendrá las nuevas fuentes de sucesos y seleccione Add new computer. Esto abrirá el asistente de configuración de equipos objetivo.


Imagen 23 – Asistente de configuración: Especifique los equipos que se van a monitorizar

3. Especifique el nombre/IP de la nueva fuente de sucesos y haga clic en Add. Repita hasta que haya seleccionado todas las fuentes de sucesos que añadir a este grupo. NOTA: Para importar la lista de fuentes de sucesos desde un fichero de texto haga clic en el botón Import. Para seleccionar sus objetivos desde una lista, haga clic en el botón Select. 4. Haga clic en Finish para finalizar los ajustes. NOTA: GFI EventsManager intentará recoger los registros de las fuentes configuradas inmediatamente después de hacer clic en el botón Finish.

Configurar las propiedades de las fuentes de sucesos Los parámetros generales y de procesamiento de las fuentes de sucesos son configurables vía ‘diálogo de Propiedades’. Puede configurar estos parámetros en un: • Equipo en base al equipo. Para configurar los parámetros de un

equipo particular en un grupo: Vaya al panel derecho de la consola de administración, haga clic derecho sobre el equipo requerido y haga seleccione Properties. Esto abrirá el diálogo ‘Propiedades del Equipo’.

• Grupo de equipos en base el grupo. Para configurar los parámetros de un grupo de equipos, haga clic derecho sobre el grupo a configurar y seleccione Properties. Esto abrirá el diálogo ‘Propiedades del Grupo de Equipos’.

A través del diálogo de propiedades puede configurar: • Las propiedades generales de las fuentes de sucesos


• Las credenciales alternativas del administrador del dominio • El horario operativo de la fuente de sucesos • Los parámetros de procesamiento para los registros de sucesos

Windows, registros W3C y registros Syslog.

Configurar las propiedades generales de las fuentes de sucesos

Imagen 24 – Diálogo de propiedades del grupo de equipos

Use la pestaña General en el diálogo de propiedades para: • Cambiar el nombre de un grupo de equipos. • Habilitar/deshabilitar la recolección y procesamiento de registros

para los equipos en un grupo. • Configurar la frecuencia de recolección y procesamiento de

registros. NOTA: En GFI EventsManager, puede activar también la recolección de registros manualmente. Para lograr esto: 1. Haga clic derecho en el grupo de equipos que contiene las fuentes de sucesos requeridas. 2. Seleccione Scanning options Scan now.

Imagen 25 – Activando la recolección de registros manualmente

Configurar las credenciales alternativas del administrador del dominio

Durante el procesamiento de registros, GFI EventsManager debe logarse remotamente en los equipos objetivo. Esto es requerido para recolectar los datos de registro que actualmente están almacenados en los equipos objetivo y pasar estos datos al motor(es) de procesamiento de sucesos.


Para recoger y procesar los registros, GFI EventsManager debe tener privilegios administrativos sobre los equipos objetivo. Por defecto, GFI EventsManager iniciará sesión en los equipos objetivo utilizando las credenciales de la cuenta bajo la cual está actualmente corriendo, sin embargo, ciertos entornos de red están configurados para utilizar diferentes credenciales para iniciar sesión con privilegios administrativos en estaciones de trabajo y servidores. Como un ejemplo para propósitos de seguridad, los administradores de red pueden configurar una cuenta dedicada que tenga privilegios administrativos solo sobre las estaciones de trabajo y una cuenta diferente que tenga privilegios administrativos solo sobre los servidores.

Imagen 26 – Configurando las credenciales de inicio de sesión alternativas

GFI EventsManager, le permite configurar un conjunto de credenciales de inicio dedicadas para equipos objetivos individuales así como también para grupos de equipos. Para configurar un conjunto de credenciales para un grupo de equipos particular: 1. Active el diálogo de propiedades (de equipo/grupo de equipos) 2. Haga clic sobre la pestaña Logon Credentials 3. Especifique el nombre y contraseña de inicio de sesión que se usará para iniciar sesión y recoger registros de los equipos objetivo.

Configurar el horario operativo de la fuente de sucesos GFI EventsManager incluye una opción Horario Operativo a través de la cual especifica en horario laboral normal de las fuentes de


sucesos. Esto es requerido ya que GFI EventsManager puede estar al tanto de los eventos que ocurren durante y fuera del horario labora. Utilice la información del tiempo operativo para análisis forense y para identificar los equipos de la red que están siendo usados indebidamente fuera del horario laboral normal. Por ejemplo, a través de esta información, puede descubrir accesos de usuarios no autorizados, transacciones ilícitas llevadas a cabo fuera del horario laboral y otras potenciales violaciones de seguridad que pueden tener lugar en su red.

Imagen 27 – Especifique el horario operativo

El horario operativo en configurable en base a un grupo de equipos. La configuración se realiza a través de la pestaña Operacional Time provista en la propiedades del grupo de equipos; El horario operativo se configura marcando el horario laboral en una escala gráfica de horario operativo que está dividida en segmentos de 1 hora.

Configurar los parámetros de procesamiento de sucesos Para configurar los parámetros de procesamiento de sucesos:

Imagen 28 – Pestañas de configuración de procesamientos de sucesos


1. Active el diálogo de propiedades (de equipo/grupo de equipos) 2. Utilice la pestaña Windows Event Log, la pestaña W3C Logs y la pestaña Syslog para configurar los parámetros de procesamiento de sucesos. Para más información sobre como configurar estos parámetros refiérase al capítulo ‘Configurar las reglas de procesamientos de sucesos’.

GFI EventsManager Configurar las reglas de procesamiento de sucesos • 51

Configurar las reglas de procesamiento de sucesos

Introducción GFI EventsManager le permite recolectar y procesar 3 tipos de registros: Registros de sucesos Windows, registros W3C y Syslogs Los 3 tipos de registros graban sucesos en un formato diferente y propietario, por lo tanto cada tipo de registro requiere diferentes ajustes y parámetros de configuración. Puede configurar los parámetros de recolección y proceso de registros: • En un equipo en base al equipo • En un grupos de equipos en base al grupo de equipos. Durante el procesamiento de sucesos, GFI EventsManager ejecuta un conjunto de reglas configurables contra los registros recolectados para clasificar los sucesos y activar alertas/acciones consecuentemente. Por defecto, GFI EventsManager se vende con un conjunto de reglas de procesamiento de sucesos pre-configuradas que le permiten conseguir el control sobre los registros de sucesos de toda la red - con un esfuerzo de configuración insignificante.

Reglas de procesamiento de sucesos Las reglas de procesamiento de sucesos son instrucciones/comprobaciones que: • Analizan los registros recogidos. • Clasifican la gravedad de los sucesos procesados. La clasificación

se basa en los ajustes de configuración de la regla de procesamiento.

• Filtran eventos que coincidan con un criterio específico. Por ejemplo, puede crear y ejecutar una regla que filtre los sucesos de baja gravedad y el ruido (sucesos duplicados).

• Generan alertas y acciones en base a la gravedad del suceso. Por ejemplo, puede configurar GFI EventsManager para enviar alertas por SMS y por Correo cuando un suceso se ha clasificado como crítico, pero limitar al producto que solo envía alertas por correo cuando se clasifique un suceso como de alta gravedad. Para mas información sobre como configurar alertas y acciones refiérase al capítulo ‘Configurar alertas y acciones’.

• Opcionalmente archivar los sucesos filtrados. El archivo de sucesos se basa en la gravedad del suceso y en los ajustes de configuración de las reglas de procesamiento de sucesos. Por ejemplo, puede configurar GFI EventsManager para archivar solo

52 • Configurar las reglas de procesamiento de sucesos GFI EventsManager

los sucesos que son clasificados como de gravedad crítica o alta y descartar el resto.

En GFI EventsManager, las reglas de procesamiento de sucesos están organizadas en ‘Conjuntos de Reglas’, y cada conjunto de reglas puede contener una o mas reglas especializadas que pueden se ejecutadas contra los registros recogidos.

Imagen 29 – La carpeta de conjuntos de reglas y los conjuntos de reglas

Los conjuntos de reglas están a su vez organizadas en ‘Carpetas de Conjuntos de Reglas’. De esta forma puede agrupar los conjuntos de reglas de acuerdo a las funciones y acciones que realizan las respectivas reglas. Por ejemplo, la carpeta de conjuntos de reglas ‘Security’ agrupa conjuntos de reglas que contienen reglas de procesamiento de sucesos de seguridad. Por defecto, GFI EventsManager se vende con carpetas, conjuntos de reglas y reglas de procesamiento de sucesos pre-configuradas que pueden ser además personalizadas para ajustarse a sus requerimientos de procesamiento de sucesos.

Clasificación de sucesos GFI EventsManager clasifica los sucesos en 5 categorías: • Crítico • Alto • Medio • Bajo • Ruido (entradas de registro no deseadas o repetidas) La clasificación de sucesos se basa en la configuración de las reglas que se ejecutan contra los registros recolectados. Los sucesos que no satisfacen ninguna condición de clasificación de sucesos se marcan como no clasificados y se pueden configurar para activar las mismas alertas y acciones disponibles para los sucesos clasificados.

Diagrama de flujo del procesamiento, clasificación y acciones de sucesos. El flujo de trabajo de mas abajo ilustra las etapas de procesamiento de sucesos realizadas por GFI EventsManager.



Imagen 30 - Diagrama de flujo del procesamiento, clasificación y acciones de sucesos.

Recoger y procesar los sucesos Windows

Visión General Los sucesos Windows se organizan en categorías de registro específicas, por defecto los equipos ejecutando Windows NT o superior registran sucesos de error, aviso e información en 3 llamados registros de Seguridad, Aplicación y Sistema. Los equipos que tienen roles más específicos en la red (e.g. Controladores de Dominio, Servidores DNS, etc…) tienen categorías de registro adicionales.

Imagen 31 – Propiedades del grupo de equipos: Configurando los registros a procesar

Por defecto, los Sistemas Operativos Windows graban los sucesos en los siguientes registros: • Registro de sucesos de Seguridad: Este registro contiene

sucesos relacionados con la seguridad con los cuales puede auditar vulneraciones de la seguridad satisfactorias o frustradas. Sucesos típicos que se encuentran en el registro de Sucesos de Seguridad son los intentos de inicio de sesión válidos e inválidos.

• Registro de sucesos de Aplicación: Este registro contiene sucesos grabados por aplicaciones/programas de software tales como errores de ficheros.

• Registro de sucesos de Sistema: Este registro contiene sucesos registrados por componentes del sistema Windows XP tales como fallos al cargar drivers de dispositivos.

• Registro de servicio de Directorio: Este registro contiene sucesos generados por el Directorio Activo incluyendo los intentos de realizar actualizaciones de la base de datos del Directorio Activo satisfactorios o fallidos.

• Registro de servicio de Replicación de Ficheros: Este registro contiene sucesos registrados por el servicio de Replicación de Ficheros. Estos incluyen fallos de replicación de ficheros y sucesos que ocurren mientras los controladores de dominio se actualizan con información sobre sysvol.


• Registro de Servidor DNS: Este registro contiene sucesos asociados con el procesos de resolución de nombres DNS a direcciones IP.

Imagen 32 – Propiedades del grupo de equipos: Configurando los parámetros de los registros de sucesos Windows

Para configurar los parámetros de recolección y procesamiento de registros de sucesos Windows debe: • Seleccionar los sucesos a recoger. • Especificar si los registros recogidos serán procesador (filtrados,

etc) o solo archivados sin procesamiento. • Seleccionar los conjuntos de reglas/reglas de procesamiento de

sucesos que se ejecutarán contra los registros recogidos.

Seleccionar los sucesos a recoger Para especificar que sucesos Windows serán recogidos por GFI EventsManager: 1. Active el diálogo de propiedades (de equipo/grupo de equipos). 2. Haga clic en la pestaña Windows Event Log


Imagen 33 - Seleccionar los sucesos a recoger

3. Haga clic en Add y seleccione la casilla de verificación de los sucesos que serán recogidos. NOTA: GFI EventsManager soporta registros de sucesos personalizados. Para información sobre como configurar los registros de sucesos personalizados refiérase a la sección ‘Configurar los Registros de Sucesos Personalizados’ en este capítulo. 4. (Opcionalmente) Seleccione la opción ‘Clear collected events after completion’ para eliminar los sucesos recogidos de las fuentes de sucesos. IMPORTANTE: Eliminar los sucesos de los registros fuente sin tenerlos archivados o en copia de seguridad puede llevar a casos de cumplimiento legal. Por favor asegúrese de archivar o realizar copias de seguridad de los sucesos importantes de acuerdo a los estándares implícitos por las regulaciones de protección y retención de datos.

Archivar los sucesos Windows Para información sobre como archivar sucesos refiérase a la sección ‘Archivar sucesos' en este capítulo.

Seleccionar reglas de procesamiento de sucesos Windows Para información sobre como seleccionar las reglas de procesamiento de sucesos refiérase a la sección ‘Seleccionar las reglas de procesamiento de sucesos’ en este capítulo.


Configurar Registros de Sucesos Personalizados GFI EventsManager está configurado para recoger y procesar los registros de sucesos Windows estándar. Sin embargo, GFI Events Manager también se puede configurar para administrar sucesos grabados en registros de aplicaciones de 3ª partes tales como registros anti-virus, registros de software cortafuegos y otros programas de seguridad. Para configurar los sucesos personalizados: 1. Haga clic en la opción Configuration en la barra de opciones principal. 2. Haga clic en Options de la barra de opciones secundaria.

Imagen 34 – Ajuste de Registros de Sucesos Personalizados

3. En el panel izquierdo, haga clic en el nodo Custom Event Logs y seleccione Edit custom logs... Esto abrirá el diálogo de Registros de sucesos personalizados.


4. Haga clic en el botón Add…. Especifique el nombre de su registro de sucesos personalizado y haga clic en el botón OK para terminar sus ajustes.

Recoger y procesar registros W3C W3C es otro formato de registro soportado por GFI EventsManager. Los registros W3C son ficheros de texto plano que contienen varios detalles de sucesos delimitados por caracteres especiales. El formato de registro W3C es muy frecuentemente usado por sistemas hardware (e.g. servidores y appliances) que tienen roles específicos de Internet. El servicio de Microsoft Internet Information Server (IIS) y servidores web Apache por ejemplo, pueden recoger sucesos relacionados con la web (es decir, web logs) en forma de ficheros de texto formateados W3C. En GFI EventsManager, el proceso de configuración de los parámetros de registro W3C es idéntico al realizado para el procesamiento de los sucesos Windows, con una excepción. A diferencia de los registros de sucesos Windows, no hay un estándar que dicta una localización de carpeta específica o centralizada donde se almacenarán los ficheros de registro W3c en disco. Por lo tanto, para recoger los registros W3C, debe especificar la ruta completa de esos ficheros de registro.

Seleccionar los sucesos a recoger y procesar Para especificar que registros W3C serán recogidos por GFI EventsManager: 1. Active el diálogo de propiedades (de equipo/grupo de equipos). 2. Haga clic sobre la pestaña W3C Log.


Imagen 35 – Propiedades del grupo de equipos: Configurando los parámetros de procesamiento de sucesos W3C

3. Haga clic en Add y especifique el nombre y localización del fichero. Los comodines tales como *.* está soportados. 4. (Opcionalmente) Seleccione la opción ‘Clear collected events after completion’ para eliminar los sucesos recogidos de las fuentes de sucesos. IMPORTANTE: Eliminar los sucesos de los registros fuente sin tenerlos archivados o en copia de seguridad puede llevar a casos de cumplimiento legal. Por favor asegúrese de archivar o realizar copias de seguridad de los sucesos importantes de acuerdo a los estándares implícitos por las regulaciones de protección y retención de datos.

Archivar los sucesos W3C Para información sobre como archivar sucesos refiérase a la sección ‘Archivar sucesos' en este capítulo.

Seleccionar reglas de procesamiento de sucesos W3C Para información sobre como seleccionar las reglas de procesamiento de sucesos refiérase a la sección ‘Seleccionar las reglas de procesamiento de sucesos’ en este capítulo.

Recoger y procesar Syslogs Syslog es un servicio de registro de datos que es muy frecuentemente usado en entornos Linux y Unix. El concepto tras Syslogs es que el


registro de sucesos e información es enteramente manejado por un servidor dedicado llamado 'Servidor Syslog'. Esto significa que a diferencia de entornos basados en registros Windows y W3C, los programas comunes no registran ninguna información. Solo envían sucesos en forma de mensajes de datos (técnicamente conocido como ‘Mensajes Syslog’) al servidor Syslog que gestionará el mensaje y guardará los datos en un fichero de registro.

Imagen 36 – Propiedades del grupo de equipos: Parámetros de procesamiento Syslog

Para procesar los mensajes Syslog, GFI EventsManager se vende con un Servidor Syslog integrado. Este servidor Syslog recogerá automáticamente, en tiempo real, todos los mensajes/sucesos Syslog enviados por las fuentes Syslog y los pasará al motor de procesamiento de sucesos. Un buffer integrado permite al servidor Syslog recoger, poner en cola y reenviar hasta 30 mensajes syslog para procesamiento. Los registros almacenados en el buffer por defecto se pasan al motor de procesamiento de sucesos tan pronto como el buffer se llene o en intervalos de 1 minuto independientemente cuando llega el primero.


Figura 6 – Los mensajes syslog deben ser dirigidos al equipo que ejecuta GFI EventsManager

NOTA: Para el procesamiento de mensajes Syslog, TODAS las fuentes Syslog (e.g. estaciones, servidores, appliances de red, etc) deben ser configuradas para mandar sus mensajes al equipo/IP donde está instalado GFI EventsManager. Esto se aplica también para el equipo donde se ejecuta GFI EventsManager. En GFI EventsManager, los parámetros de procesamiento de sucesos Syslog se configuran como sigue: 1. Abra el diálogo de propiedades (de equipo/grupo de equipos). 2. Haga clic en la pestaña Syslog. 3. Para habilita el servidor Syslog y que escuche a los mensajes enviados por los equipos de un grupo de equipos, seleccione la opción 'Accept Syslog Messages from this computer group'. IMPORTANTE: Eliminar los sucesos de los registros fuente sin tenerlos archivados o en copia de seguridad puede llevar a casos de cumplimiento legal. Por favor asegúrese de archivar o realizar copias de seguridad de los sucesos importantes de acuerdo a los estándares implícitos por las regulaciones de protección y retención de datos. OBSERVACION 1: El servidor Syslog de GFI EventsManager está configurado por defecto para escuchar los mensajes Syslog en el puerto 514. Para más información sobre como personalizar los ajustes del puerto del servidor Syslog refiérase a la sección ‘Configurar el puerto de comunicaciones del servidor Syslog' en este capítulo. OBSERVACION 2: El servidor incluido Syslog solo aceptará mensajes Syslog enviados desde los equipos que son parte de este grupo de equipos.

Archivar los sucesos Syslog Para información sobre como archivar sucesos refiérase a la sección ‘Archivar sucesos' en este capítulo.


Seleccionar las reglas de procesamiento de Syslog Para información sobre como seleccionar las reglas de procesamiento de sucesos refiérase a la sección ‘Seleccionar las reglas de procesamiento de sucesos’ en este capítulo.

Configurar el puerto de comunicaciones del servidor Syslog Para cambiar los ajustes del puerto Syslog por defecto:

Imagen 37 – Configurando el Servidor Syslog

1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Options de la barra de opciones secundaria. 3. Desde el panel izquierdo, haga clic derecho en el nodo Syslog Server Configuration y seleccione Edit Syslog options….


Imagen 38 – Propiedades del servidor Syslog

4. Seleccione la opción Enable in built Syslog Server on port: y especifique el puerto en el cual GFI EventsManager recibirá/escuchará los mensajes Syslog. 5. Seleccione OK para finalizar los ajustes. NOTA: Cuando configure el puerto del servidor Syslog, asegúrese de que el puerto configurado no esté ya en uso por otras aplicaciones instaladas. Esto podría afectar a la entrega de los mensajes Syslog a GFI EventsManager.

Archivar sucesos

Archivar sucesos sin procesar los registros

Imagen 39 – Archivar sucesos sin procesar

Por defecto GFI EventsManager está configurado para procesar todos los registros de sucesos recogidos de los equipos objetivo. Para archivar sucesos sin procesar los registros, seleccione la opción ‘Archive only’.

Archivar sucesos después de procesar Los sucesos procesados opcionalmente se pueden archivar en la base de datos de respaldo de GFI EventsManager. Por defecto, GFI


EventsManager se puede configurar para que archive sucesos automáticamente: • En base a su clasificación. Por ejemplo, puede configurar los

ajustes por defecto que archiven solo los sucesos críticos. Para información sobre como configurar el archivo de sucesos en base a la clasificación del suceso refiérase a 'Configurar las acciones de clasificación por defecto' del capítulo 'Configurar alertas y acciones'.

• En base a las condiciones configuradas en las reglas de procesamiento de sucesos. Las reglas proveen un modo alternativo y más flexible de archivar los sucesos procesados. A través de estas reglas, puede selectivamente archivar esos sucesos que satisfagan condiciones específicas de la regla - independientemente de su clasificación. Por ejemplo, puede configurar una regla que archive solo los eventos críticos con ID 537. Para más información sobre como crear y configurar las reglas de procesamiento de sucesos refiérase al capítulo ‘Configurar las reglas de procesamiento de sucesos’.

Seleccionar reglas de procesamiento de sucesos

Imagen 40 – Propiedades del grupo de equipos: Configurando los parámetros de los registros de sucesos Windows

Para procesar y clasificar sucesos, debe especificar que reglas se aplicarán contra los registros recogidos. Esto se logar seleccionando la carpeta de conjunto de reglas o el conjunto(s) de reglas que contienen las reglas de procesamiento de sucesos requeridas.


Imagen 41 – Seleccionando las reglas/conjunto de reglas de procesamiento de sucesos

Sin embargo, debe prestar atención y elegir la “regla” correcta para el trabajo. Los conjuntos de reglas que se venden con GFI EventsManager está pre-configuradas para registros específicos, por lo tanto es imperativo que elija los conjuntos de reglas que puedan procesar efectivamente los sucesos grabados el los registros recogidos. Ciertos conjuntos de reglas contienen reglas especializadas que son específicas del suceso. Por lo tanto esas reglas solo serán efectivas cuando se usen para procesar tales sucesos específicos, omitir hacerlo resultará en el procesamiento erróneo de sucesos, pérdida de datos y resultados no significativos. Por ejemplo, el conjunto de reglas ‘Monitoring and attack detection’ contiene reglas especialmente construidas para procesar los sucesos de Seguridad de Windows. Por lo tanto no será muy efectivo si se usa para procesar sucesos de aplicación de Windows. OBSERVACION 1: Por defecto, GFI EventsManager se vende con unos conjuntos de reglas/carpetas pre-seleccionadas que pueden procesar efectivamente los registros de sucesos Windows. Si usted es nuevo con el producto o no está familiarizado con la funcionalidad de los conjuntos de reglas, nosotros le recomendamos que deje los ajustes por defecto. OBSERVACION 2: Si no se muestran los conjuntos de reglas en la ventana de selección, significa que no existen reglas de procesamiento de sucesos para el tipo de registro configurado. Para más información sobre como configurar las reglas de procesamiento de sucesos y los conjuntos de reglas, refiérase al capítulo ‘Configurar las reglas de procesamiento de sucesos’.

GFI EventsManager Configurar alertas y acciones • 67

Configurar alertas y acciones

Introducción Durante el procesamiento de sucesos, GFI EventsManager puede generar automáticamente varias acciones cuando se encuentre un suceso particular. Las acciones soportadas incluyen alertas por correo y archivo de sucesos. Puede especificar las alertas y acciones para activarse de dos formas: 1. Configurando un conjunto de ‘Acciones de clasificación por defecto’. 2. Creando y personalizando reglas y conjuntos de reglas.

Acciones de clasificación por defecto A través de los parámetros de configuración provistos en las acciones de clasificación por defecto, puede activar alertas y acciones en base solo a la clasificación del suceso. Por ejemplo, los parámetros de clasificación por defecto se pueden configurar para activar alertas por correo para todos los sucesos clasificados (crítico, alto, medio y bajo) pero solo archivar los sucesos críticos.

Generar acciones a través de las reglas de procesamiento de sucesos Las reglas le permiten configurar las acciones en un nivel mas granular. Las reglas le permiten configurar y activar acciones cuando un sucesos se ajusta a una o más condiciones específicas. Por ejemplo, puede crear una regla que solo archive los sucesos que tengan el ID 231, independientemente de su clasificación.

Acciones soportadas GFI EventsManager soporta las siguientes acciones: • Archivar el suceso – Archiva el suceso clasificado en la base de

datos de respaldo de GFI EventsManager. • Enviar notificaciones por correo/sms/por red - Envía alertas

por correo, sms y por red a los destinatarios específicos. • Ejecutar un fichero – Ejecuta un fichero ejecutable. Los ficheros

que se pueden ejecutar incluyen VBScripts (.VBS), ficheros de procesamiento por lotes (.BAT) u otro tipo de fichero ejecutable (.EXE). También puede especificar los parámetros de línea de comando a para pasar al fichero ejecutable.

68 • Configurar alertas y acciones GFI EventsManager

Configurar las acciones de clasificación por defecto

Imagen 42 - Configurar las acciones de clasificación por defecto

Para configurar las acciones de clasificación por defecto 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Options de la barra de opciones secundaria. 3. Desde el panel izquierdo, haga clic derecho en el nodo Default Clasification Actions y seleccione la opción Edit default….

GFI EventsManager Configurar alertas y acciones • 69

Imagen 43 – Pantalla de acciones de clasificación por defecto

4. De la lista despleglable provista, seleccione la clasificación de sucesos a configurar. 5. De la lista de acciones soportadas provista, seleccione las que serán activadas para la clasificación seleccionada. 6. Haga clic en el botón Configure especifique los parámetros requeridos por la acción seleccionada. NOTA: Sea consciente que asignar acciones sobre sucesos clasificados como bajos puede generar: • Mucho tráfico de red (especialmente si son generadas alertas por

correo, sms o de red) • Un alto volumen de datos/transacciones de la base de datos si

los sucesos están siendo archivados.

Configurar acciones a través de las reglas de procesamiento de sucesos

Para más información sobre como activar acciones a través de las reglas de procesamiento de sucesos refiérase al capítulo ‘Configurar las reglas de procesamiento de sucesos’.

GFI EventsManager Exploración de sucesos • 71

Exploración de sucesos

Introducción La opción de Exploración de Sucesos le permite acceder y explorar los sucesos/registros procesados o no procesados que están actualmente almacenados en la base de datos principal o secundaria.

Imagen 44 – GFI EventsManager: Explorador de Sucesos

72 • Exploración de sucesos GFI EventsManager

Utilice el Explorador de Sucesos para el análisis forense de los sucesos. Todos los sucesos accesibles a través del explorados de sucesos están organizados (por el tipo de Registro) en 3 etiquetas, la etiqueta Windows Events Browser, la etiqueta W3C Events Browser y la etiqueta Syslog Events Browser. De esta forma puede acceder rápidamente a los sucesos que pertenecen a un tipo de registro en particular. Los datos de los sucesos están organizados en columnas y haciendo clic en un suceso en particular se mostrará información adicional en un panel dedicado a la descripción del suceso.

Imagen 45 – Los detalles del suceso provistos en la página web

Cuando se exploran los sucesos Windows, además de la información provista en el panel de descripción del suceso, también puede encontrar un enlace. Utilice este enlace para acceder a información más detallada del suceso en la web incluyendo: • Una descripción detallada del suceso • Enlaces y consejos que explican que causa ese tipo de suceso y

como solucionar posiblemente cualquier cuestión relacionada.

Herramientas de Exploración de Sucesos El análisis de sucesos es una tarea muy demandada, GFI EventsManager está equipado con herramientas especializadas que simplifican la búsqueda de sucesos específicos. Estas herramientas especializadas incluyen: • Un filtro de sucesos/generador de consultas • Opciones de codificación por colores de sucesos • Herramienta de búsqueda de sucesos


Filtro de sucesos/generador de consultas

Imagen 46 – Generador de consultas personalizadas

Utilice el generador de consultas de sucesos que se vende con GFI EventsManager para crear filtros personalizados que filtre los datos de sucesos y muestre solo la información que necesite examinar - sin borrar ni un solo registro de su base de datos de respaldo. Además de esto GFI EventsManager se vende con consultas pre-configuradas que pueden filtrar sucesos sin ningún esfuerzo de configuración - solo un clic y listo.


Imagen 47 – Consultas de sucesos por defecto y personalizadas

Opciones de codificación por colores de sucesos

Imagen 48 – Filtros de codificación por colores de sucesos

Utilice la herramienta de codificación por colores de sucesos para colorear los sucesos clave en un color particular. De esta forma los sucesos requeridos son más fáciles de localizar durante la exploración de sucesos. Por ejemplo, puede crear una consulta que


muestre los sucesos clasificados como Críticos o Altos y al mismo tiempo colorear en rojo todos los sucesos Críticos con el ID de suceso 231. La configuración de los códigos de colores se lleva a cabo a través de un generador de consultas dedicado. Utilice este generador de consultas para especificar: • Las condiciones que definen que sucesos deben ser coloreados • Los colores para usar cuando se muestren esos sucesos.

Herramienta de búsqueda de sucesos

Imagen 49 - Herramienta de búsqueda de sucesos

Utilice la herramienta de búsqueda de sucesos para localizar sucesos que coincidan con una cadena de búsqueda específica. Por ejemplo, puede buscar sucesos que tengan un ID específico o los cuales tengan palabras clave específicas en la descripción.

Acceder y explorar los registros sucesos almacenados Para acceder y explorar los sucesos almacenados en la base de datos de respaldo: 1. Seleccione Events Browser de la barra de opciones principal.

Imagen 50 - Exploradores de sucesos

2. De la barra de opciones secundaria, haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente.

Aplicar las consultas de sucesos Para ejecutar una consulta de sucesos: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente.


3. Seleccione la consulta requerida del filtro de opciones en el panel izquierdo. Los sucesos filtrados se mostrarán en pantallas en el panel derecho.

Crear consultas de sucesos personalizadas

Imagen 51 – GFI EventsManager: Explorador de Sucesos

En GFI EventsManager, las consultas personalizadas se añaden como un sub-nodo fuera de las consultas por defecto que venden con el producto. Para crear consultas de sucesos personalizadas: 1. Haga clic en Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser. 3. Haga clic derecho en la consulta por defecto donde se creará la nueva consulta de sucesos y seleccione Query builder... Esto abrirá el generador de consultas de sucesos.


Imagen 52 – Generador de consultas personalizadas

4. Especifique un nombre y una descripción para la nueva consulta. 5. Haga clic en Add, y configure las condiciones de la consulta requeridas y haga clic en OK. Repítalo hasta que todas la condiciones de la consulta requeridas se configuren. 6. Haga clic en OK para finalizar los ajustes.

Configurar el panel visor de sucesos

Seleccionar columnas a mostrar Para seleccionar que consultas serán mostradas en el visor de Registros de Sucesos: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser. 3. Seleccione la opción Customize view del área de ‘Tareas Comunes’ en el panel izquierdo.


Imagen 53 – Personalizar la vista: columnas

4. Seleccione la opción Columns. 5. Seleccione las columnas que se mostrarán en el visor. Utilice las flecha hacia arriba/abajo del lado para definir el orden en que se mostrarán las columnas. 6. Cierre la personalización del visor para finalizar sus ajustes.

Personalizar la posición de la ventana de descripción GFI EventsManager le permite personalizar el visor derecho. Para lograr esto: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente. 3. Seleccione la opción Customize view del panel de 'Tareas Comunes'.


Imagen 54 – Personalizar la vista

4. Seleccione la vista que quiera utilizar.

Configurar la codificación por colores de sucesos

Asignar un código de color a un suceso específico

Imagen 55 – Asignando códigos de colores a los sucesos

Para asignar un código de color a un suceso específico: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente. 3. Seleccione la opción Customize view. 4. Del panel derecho, seleccione la opción Colors.


5. Especifique la condición de la consulta/filtro y elija el color a ser aplicado a los sucesos filtrados. 6. Haga clic en el botón OK para terminar su configuración. NOTA: Para quitar todos los ajustes de color seleccione la opción Clear color filters.

Asignar diferentes códigos de color a múltiples sucesos Para asignar diferentes códigos de color a múltiples sucesos: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente. 3. Seleccione la opción Customize view. 4. Seleccione la opción Colors y haga clic en Advanced.

Imagen 56 – Filtro de Colores Avanzado

5. Haga clic en Add, especifique un nombre para la condición del filtro de color y configure los parámetros de la condición. Haga clic en OK para finalizar los ajustes. Repítalo hasta que todas la condiciones requeridas se configuren. 6. Haga clic en OK para finalizar los ajustes.


Herramienta de búsqueda de sucesos Utilice la herramienta de búsqueda de sucesos para buscar y localizar sucesos específicos utilizando filtros simples personalizables. Para buscar in suceso en particular: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente. 3. Seleccione la opción Find events del área ‘Acciones’ en el panel izquierdo.

Imagen 57 - Herramienta de búsqueda de sucesos

4. Especifique las condiciones de búsqueda de sucesos a través de las opciones provistas el la parte superior del panel derecho. Para activar la búsqueda sensible a mayúsculas, haga clic en Options y seleccione la opción Match case. 5. Haga clic en Find para activar la búsqueda.

Copia de seguridad de sucesos GFI EventsManager le permite realizar copias de seguridad de los sucesos almacenados en la base de datos de respaldo principal. De esta forma puede reducir el tamaño de su base de datos principal pero al mismo tiempo mantener todos sus registros de sucesos para propósitos históricos o de investigación forense. Utilice la característica de copia de seguridad de sucesos para guardar sucesos que sean mas antiguos de una determinada cantidad de meses. Por ejemplo, puede decidir hacer copia de seguridad de los sucesos más antiguos de 48 horas. Para hacer copia de seguridad de los sucesos: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente. 3. Seleccione la opción Backup events del área ‘Acciones’ en el panel izquierdo.


Imagen 58 – Diálogo de copia de seguridad de sucesos

4. Especifique el periodo de tiempo (en horas). 5. Seleccione en botón OK para guardar su configuración.

Intercambio de bases de datos Para propósitos de exploración de sucesos, GFI EventsManager le permite cambiar entre la base de datos principal y secundaria. Utilice esta característica para explorar los sucesos que están en la copia de seguridad, utilizando las herramientas provistas en el Explorador de Sucesos. Para lograr esto: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente. 3. Seleccione la opción Switch to main/backup database del área de ‘Tareas Comunes’ en el panel izquierdo.

Limpiar todos los sucesos Para limpiar TODOS los sucesos almacenados en la base de datos actualmente seleccionada: 1. Seleccione Events Browser de la barra de opciones principal. 2. Haga clic en Windows Events Browser, W3C Events Browser o Syslog Events Browser consecuentemente. 3. Seleccione la opción Clear all events del panel de ‘Acciones’.

Imagen 59 – Diálogo de limpiar todos los sucesos

4. Si está actualmente examinando los sucesos de la base de datos principal, especifique si quiere realizar copia de seguridad antes de limpiar o liminar sin hacer copia de seguridad de sus sucesos.

GFI EventsManager Monitorización del estado • 83

Monitorización del estado

Introducción El monitor de estado es una pizarra que muestra el estado de GFI EventsManager así como le provee de información estadística relacionada con los sucesos recogidos, procesados y archivados por este producto. El monitor de estado consta de tres vistas diferentes: Vista General, vista Actividad del Trabajo y vista de Estadísticas.

Acceder al monitor de estado Para acceder al monitor de estado: 1. Haga clic en la opción Status en la barra de opciones principal.

Imagen 60 – Opciones de Vista de la Pizarra

2. Seleccione la vista de pizarra requerida haciendo clic en la opción General, Job Activity o Statistics consecuentemente.

84 • Monitorización del estado GFI EventsManager

Vista General

Imagen 2 – Estado de GFI EventsManager: Vista General

Use la opción General para: • Ver el estado del motor de procesamiento de sucesos de GFI

EventsManager


• Acceder a información estadística tal como el número de sucesos procesador en un equipo en base al equipo.

La información provista en esta vista está dividida en dos secciones dedicadas. Mas detalles de esas secciones más abajo.

Estado del Servicio de GFI EventsManager

Imagen 61 – Vista General del Estado de GFI EventsManager: Estado del Servicio

Esta sección muestra: • El estado de funcionamiento del servicio/motor de procesamiento

de sucesos de GFI EventsManager. • La cuenta de usuario bajo la cual está funcionando el motor de

GFI EventsManager • El momento en el que se inició el servicio de procesamiento de

sucesos. IMPORTANTE: El servicio de GFI EventsManager no se iniciará si no hay configurada una base de daos de respaldo.

Estado del Servidor Syslog

Imagen 62 – Vista General del Estado de GFI EventsManager: Estado del Servidor Syslog

Esta sección muestra: • El estado de funcionamiento del servidor Syslog • El puerto de comunicación/mensajería del servidor Syslog.


Estado de la Base de Datos de Respaldo

Imagen 63 – Vista General del Estado de GFI EventsManager: Estado de la Base de Datos de Respaldo

Esta sección muestra: • El estado de funcionamiento del servidor de bases de datos

actualmente utilizado por GFI EventsManager • El nombre del servidor de bases de datos actualmente utilizado

por GFI EventsManager • El nombre de la base de datos en la cual GFI EventsManager está

archivando los sucesos recogidos.

Conteo Global de Sucesos

Imagen 64 – Vista General del Estado de GFI EventsManager: Conteo Global de Sucesos

Esta sección representa gráficamente el porcentaje de sucesos Windows, W3c y Syslog procesados por GFI EventsManager.


Tipos de Sucesos por Clasificación

Imagen 65 – Vista General del Estado de GFI EventsManager: Tipos de Sucesos por Clasificación

Esta sección representa gráficamente el porcentaje de sucesos que fueron: • Clasificados como Críticos, Altos, Medios o Bajos • Sin clasificar.

Visión General de la Actividad

Imagen 66 – Vista General del Estado de GFI EventsManager: Visión General de la Actividad

Esta sección muestra: • El número total de sucesos Windows, W3C y Syslog procesados

en un equipo en base a los equipos. • La fecha/hora de la última recolección de sucesos realizada a

cada equipo.


Vista de la Actividad del Trabajo

Imagen 67 – Vista de la Actividad del Trabajo de GFI EventsManager

Utilice la opción Job Activity para ver la actividad actual de la recolección y procesamiento de sucesos. Esto incluye los trabajos de recolección de sucesos activos así como el historial de la mensajería Syslog en un equipo en base a los equipos. La información provista en esta vista está dividida en secciones dedicadas. Mas detalles de esas secciones más abajo.


Trabajos Activos

Imagen 68 – Vista de la Actividad del Trabajo de GFI EventsManager: Trabajos Activos

Esta sección muestra una lista de todos los trabajos de recolección de sucesos que tiene lugar actualmente en cada fuente de sucesos/equipo. La información provista incluye el progreso del trabajo así como el Fuente del Registro desde donde se están recogiendo los sucesos.

Trabajos en Cola

Imagen 69 – Vista de la Actividad del Trabajo de GFI EventsManager: Trabajos en Cola

Esta sección maestro una lista de todos los trabajos de recolección de sucesos pendientes en un equipo en base a los equipos. La información provista incluye el Registro Fuente desde el cual los sucesos serán recogidos así como el hora a que estos sucesos fueron puestos en cola.


Historial de Mensajes Syslog

Imagen 70 – Vista de la Actividad del Trabajo de GFI EventsManager: Historial de Mensajes Syslog

Esta sección muestra una lista de todos los mensajes Syslog recibidos por GFI EventsManager. La información provista incluye en número total de mensajes enviados por cada equipo fuente y la fecha/hora cuando se ha recibido el último mensaje Syslog.

Historial Operativo

Imagen 71 – Vista de la Actividad del Trabajo de GFI EventsManager: Historial Operativo

Esta sección muestra un rastro de auditoría de las operaciones de recolección de sucesos llevadas a cabo por GFI EventsManager. La información provista incluye errores y mensajes de información generados durante el proceso de recolección de sucesos así como el nombre del fichero de registro que está siendo procesado en el equipo fuente.


Vista de estadísticas

Imagen 72 – Vista de Estadísticas de GFI EventsManager

Utilice la opción Statistics para ver las tendencias de actividad de sucesos diarias y las estadísticas de un equipo en particular de su red. La información provista en esta vista está dividida en secciones dedicadas. Mas detalles de esas secciones más abajo.


Recuento de Sucesos de Hoy

Imagen 73 – Vista de Estadísticas de GFI EventsManager: Recuento de Sucesos de Hoy

Esta sección representa gráficamente la tendencia de recolección de sucesos diaria en un equipo en base a los equipos así como en un red en base a redes. Se utiliza un esquema de colores para diferenciar entre los sucesos Windows, W3C y syslog.

Recuento de Sucesos por Tipo de Registro

Imagen 74 – Vista de Estadísticas de GFI EventsManager: Recuento de Sucesos por Tipo de Registro

Esta sección representa gráficamente el número de sucesos Windows, W3C y Syslog recogidos por GFI EventsManager de un equipo o red en particular.


Recuento de Sucesos por Clasificación

Imagen 75 – Vista de Estadísticas de GFI EventsManager: Recuento de Sucesos por Clasificación

Esta sección representa gráficamente (a nivel de equipo o de red) el porcentaje de sucesos que fueron: • Clasificados como Críticos, Altos, Medios o Bajos • Sin clasificar.

Recuento de Sucesos Windows por Registro de Sucesos

Imagen 76 – Vista de Estadísticas de GFI EventsManager: Recuento de Sucesos Windows por Registro de Sucesos

Esta sección representa gráficamente el porcentaje de sucesos Windows recogidos de los registros de Seguridad, Sistema, Aplicación, Servidor DNS, Directorio y Servicio de Replicación de Ficheros.


Configurar las reglas de procesamiento de sucesos

Introducción Las reglas de procesamiento de sucesos son condiciones que: • Clasifican los sucesos procesados • Filtran el ruido (sucesos repetidos) o los sucesos no deseados • Activan alertas por correo, sms o de red en sucesos clave • Intentan acciones correctivas ejecutando scripts y archivos

ejecutables específicos en sucesos clave. GFI EventsManager se vende con reglas pre-configuradas que se pueden usar para procesar los sucesos con un menor esfuerzo de configuración. También puede configurar esas reglas por defecto para crearlas a la medida para todos los tipos de registro soportados (es decir, registros de sucesos Windows, W3c y Syslog). En GFI EventsManager, las reglas de procesamiento de sucesos están organizadas en conjuntos de reglas, los cuales a su vez están almacenados en carpetas de conjuntos de reglas. Las reglas pre-configuradas que se venden con GFI EventsManager están organizadas en las siguientes carpetas de conjuntos de reglas:

Carpeta de Conjunto de

reglas Descripción

Reglas de reducción de ruido

Contiene reglas a medida para la eliminación de sucesos repetidos y otro ruido de los registros.

Seguridad Contiene reglas ajustadas al procesamiento de registros de Seguridad y Sistema.

Salud del Sistema Contiene reglas ajustadas al procesamiento de registros de Aplicación y Sistema.

Aplicaciones de Seguridad

Contiene reglas ajustadas al procesamiento de registros de Aplicación, Seguridad y Sistema.

Servidor de Infraestructura

Contiene reglas ajustadas al procesamiento de registros de Aplicación, DNS y Sistema.

Servidor de Bases de Datos

Contiene reglas ajustadas al procesamiento de registros de Aplicación.

Servidor Web Contiene reglas ajustadas al procesamiento de registros de Aplicación y Sistema.


Servidor de Impresión

Contiene reglas ajustadas al procesamiento de registros de Aplicación y Sistema.

Servicios de Terminal

Contiene reglas que se ajustan al procesamiento de sucesos generados por los servicios del driver del dispositivo de terminal.

Linux/Unix Contiene reglas ajustadas al procesamiento de Syslogs.

Cisco PIX y ASA

Contiene reglas ajustadas para el procesamiento de sucesos generados por los cortafuegos Cisco PIX y los Cisco Adaptative Security Appliances

Crear una nueva carpeta de conjunto de reglas

Imagen 77 – La lista desplegable de tipos de registro

Para crear una nueva carpeta de conjunto de reglas 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Event Processing Rules de la barra de opciones secundaria. 3. Desde la lista desplegable provista, selecciones el tipo de registro para el que creará la carpeta de conjunto de reglas. 4. Seleccione la opción Create folder del área de ‘Tareas Comunes’ en el panel izquierdo. 5. Especifique un nombre único para la carpeta de conjunto de reglas.

Renombrar y eliminar carpetas Para renombrar o eliminar carpetas de conjunto de reglas existentes, haga clic derecho sobre la carpeta de conjunto de reglas objetivo y seleccione Rename o Delete consecuentemente. NOTA: Eliminar una carpeta de conjunto de reglas llevará a la eliminación de todas las reglas y conjuntos de reglas contenidas dentro de la carpeta eliminada.

Crear un nuevo conjunto de reglas Para crear un nuevo conjunto de reglas 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Event Processing Rules de la barra de opciones secundaria.


3. Desde la lista desplegable provista, selecciones el tipo de registro para el que creará el nuevo conjunto de reglas. 4. Haga clic derecho sobre la carpeta donde crear el nuevo conjunto de reglas y seleccione Create new rule set....

Imagen 78 – Cuadro de diálogo de Nuevo conjunto de reglas

5. Especifique un nombre y una descripción para este nuevo conjunto de reglas. 6. Haga clic en OK para finalizar los ajustes.

Editar un conjunto de reglas Para editar los parámetros de un conjunto de reglas: 1. Haga clic derecho en el conjunto de reglas a editar y seleccione Properties. 2. Realice los cambios requeridos haga clic en OK para terminar sus ajustes.

Borrar un conjunto de reglas Para borrar un conjunto de reglas, haga clic derecho en el conjunto de reglas y selecciones Delete.

Crear una nueva regla de Registro de Sucesos Windows Para crear una nueva regla que se aplique solo a los registros de Sucesos Windows:


1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Event Processing Rules de la barra de opciones secundaria.

Imagen 79 – Seleccionando el tipo de registro de la lista desplegable

3. De la lista desplegable provista, seleccione Windows Event Logs. 4. Haga clic derecho sobre el conjunto de reglas en el cual va a crear la nueva regla y seleccione Create new rule…. 5. Especifique el nombre y una descripción para la nueva regla. Haga clic en Next para proceder con la configuración.

Imagen 80 – GFI EventsManager: Seleccionar el Registro(s)

6. Seleccione los registros de sucesos a los cuales se aplica la regla y haga clic en Next.


Imagen 81 – GFI EventsManager: Seleccionar las condiciones de filtrado

7. Configure las condiciones de filtrado de esta regla. Para crear una regla que se aplique a todos los sucesos, deje el ID del suceso en blanco. Haga clic en Next para continuar. NOTA: Para más información sobre como configurar las condiciones avanzadas de filtrado de sucesos, refiérase a la sección 'Parámetros avanzados de filtrado de sucesos’ en este manual.


Imagen 82 – Asistente de nueva regla de procesamiento: Seleccionar la ocurrencia e importancia del suceso

8. Especifique la hora en que se ejecutará esta regla. (es decir, a cualquier hora, durante el horario laboral o fuera del horario laboral). NOTA: Dentro y fuera del horario laboral se basa en los parámetros del horario operativo configurado para sus fuentes de sucesos. Para mas información sobre como configurar los horarios operativos, refiérase a la sección ‘Configurar el horario operativo de la fuente de sucesos' en el capítulo 'Configurar las fuentes de sucesos'. 9. Selecciones la clasificación (crítico, alto, medio, bajo o ruido) que se asignará a los sucesos que satisfagan las condiciones en esta regla. Haga clic en Next para continuar.


Imagen 83 – Asistente de nueva regla de procesamiento: Seleccionar acción

10. Especifique que acciones se activarán por esta regla. Puede elegir ignorar el suceso, activar la acción por defecto, o personalizar las alertas. 11. Haga clic en Next para proceder al final del diálogo. Haga clic en Finish para finalizar sus ajustes. NOTA: Las reglas recién creadas están deshabilitadas por defecto, así pues NO serán operativas a menos que se habiliten. Para información sobre como habilitar las reglas de procesamiento de sucesos refiérase a la sección "Recoger y procesar sucesos Windows" en este Manual.

Crear una nueva regla de W3C Para crear una nueva regla que se aplique solo a los registros W3C: 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Event Processing Rules de la barra de opciones secundaria. 3. De la lista desplegable provista, seleccione W3C Logs. 4. Haga clic derecho sobre el conjunto de reglas en el cual va a crear la nueva regla y seleccione Create new rule…. 5. Especifique un nombre y descripción para la nueva regla. Haga clic en Next para proceder con la configuración.


Imagen 84 – Asistente de nueva regla de procesamiento: Seleccionar Registro W3C

6. Haga clic en el botón Add. Indique la ruta de los registros W3C desde los cuales se aplica esta regla o déjelo en blanco para aplicar esta regla a todos los registros W3C. Haga clic en Next para continuar. NOTA: Se pueden especificar múltiples rutas durante la instalación.


Imagen 85 – Asistente de nueva regla de procesamiento: Configurar las condiciones de filtrado.

7. Haga clic en el botón Add y configure las condiciones de filtrado de sucesos. Repítalo hasta que se especifiquen todas la condiciones requeridas. Haga clic en Next para continuar.



8. Especifique la hora en que se ejecutará esta regla. (es decir, a cualquier hora, durante el horario laboral o fuera del horario laboral). NOTA: Dentro y fuera del horario laboral se basa en los parámetros del horario operativo configurado para sus fuentes de sucesos. Para mas información sobre los horarios operativos, refiérase a la sección ‘Configurar el horario operativo de la fuente de sucesos' en el capítulo 'Configurar las fuentes de sucesos'. 9. Selecciones la clasificación (crítico, alto, medio, bajo o ruido) que se asignará a los sucesos que satisfagan las condiciones en esta regla. Haga clic en Next para continuar.



10. Especifique que acciones se activarán por esta regla. Puede elegir ignorar el suceso, activar la acción por defecto, o personalizar las alertas. 11. Haga clic en Next para proceder al final del diálogo. Haga clic en Finish para finalizar sus ajustes. NOTA: Las reglas recién creadas están deshabilitadas por defecto, así pues NO serán operativas a menos que se habiliten. Para información sobre como habilitar las reglas de procesamiento de sucesos refiérase a la sección "Recoger y procesar registros W3C" en este Manual.

Crear una nueva regla de Syslog Para crear una regla que se aplique solo para el procesamiento de los mensajes Syslog: 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Event Processing Rules de la barra de opciones secundaria. 3. De la lista desplegable provista, seleccione Syslog. 4. Haga clic derecho sobre el conjunto de reglas en el cual va a crear la nueva regla y seleccione Create new rule…. 5. Especifique el nombre y una descripción para la nueva regla. Haga clic en Next para proceder con la configuración.


Imagen 88 – Asistente de nueva regla de procesamiento: Configurar las condiciones

6. Especifique las condiciones de filtrado del registro a procesar por esta regla. Cuando se especifiquen todas las reglas, haga clic en Next.

NOTA: Para más información sobre como configurar las condiciones avanzadas de filtrado de sucesos, refiérase a la sección 'Parámetros avanzados de filtrado de sucesos’ en este manual.



7. Especifique la hora en que se ejecutará esta regla. (Es decir, a cualquier hora, durante el horario laboral o fuera del horario laboral). NOTA: Dentro y fuera del horario laboral se basa en los parámetros del horario operativo configurado para sus fuentes de sucesos. Para mas información sobre los horarios operativos, refiérase a la sección ‘Configurar el horario operativo de la fuente de sucesos' en el capítulo 'Configurar las fuentes de sucesos'. 8. Selecciones la clasificación (crítico, alto, medio, bajo) que se asignará a los sucesos que satisfagan las esta regla. Haga clic en Next para continuar.



9. Especifique que acciones se activarán por esta regla. Puede elegir ignorar el suceso, activar la acción por defecto, o personalizar las alertas. 10. Haga clic en Next para proceder al final del diálogo. Haga clic en Finish para finalizar sus ajustes. NOTA: Las reglas recién creadas están deshabilitadas por defecto, así pues NO serán operativas a menos que se habiliten. Para información sobre como habilitar las reglas de procesamiento de sucesos refiérase a la sección "Recoger y procesar Syslogs" en este Manual.


Cambiar los ajustes de configuración de una regla

Imagen 91 – Propiedades de una regla de procesamiento:

Para editar los ajustes de una regla de procesamiento de sucesos: 1. Haga clic con el botón derecho en la regla y seleccione Properties. Esto abrirá el diálogo ‘Propiedades de la Regla’. 2. Utilice las pestañan provistas en el diálogo para navegar por los parámetros existentes y realizar los cambios requeridos. Las pestañas provistas en el diálogo de propiedades incluyen: • General – Utilice esta pestaña para configurar las propiedades

generales de la regla incluyendo el nombre y la clasificación de la regla.

• Logs – Esta pestaña está disponible solo para las reglas de registro W3C. Utilice esta pestaña para indicar los registros W3C a los que se aplica esta regla.

• Event Logs – Esta pestaña está disponible solo para las reglas de registro de sucesos Windows. Utilice esta pestaña para especificar que procesos será procesados por esta regla.

• Conditions – Utilice esta pestaña para configurar las condiciones de filtrado de sucesos.

• Actions – Utilice esta pestaña para configurar las alertas y acciones activadas por esta regla.

• Threshold – Utilice esta pestaña para configurar el valor del umbral del suceso, es decir, el número de veces que se debe detectar un sucesos antes de activar alertas y acciones


correctivas. Esto ayuda a reducir los falsos positivos activados por ruido (sucesos repetidos) en sus registros de sucesos.


Parámetros avanzados de filtrado de sucesos GFI EventsManager permite a los administradores de sistemas ajustar parámetros avanzados de filtrado de sucesos. Estas opciones están disponibles solo para Sucesos Windows y Syslogs.

Condiciones de Sucesos Windows Campo Event IDs: El campo 'Event IDs’ permite a los administradores de sistemas configurar:

Tipo de parámetro Ejemplo: Sucesos únicos Lista de sucesos Rango de sucesos Combinación de sucesos

Campos Source, Category y User: Los campos ‘Source’, ‘Category’ y ‘User’ permiten a los administradores de sistemas configurar:

Tipo de parámetro Ejemplo: Único nombre de fuente Lista de fuentes Comodines (% y *)

Categorías Syslog Campos Message y Process: Los campos ‘Message’ y ‘Process’ permiten a los administradores de sistemas configurar:

Tipo de parámetro Ejemplo: Único mensaje

Lista de mensajes

Comodines (% y *)

GFI EventsManager Configurar usuarios y grupos • 113

Configurar usuarios y grupos

Introducción

Imagen 92 – Configurando el nodo usuarios y grupos

Cuando se active una alerta, GFI EventsManager no envía directamente mensajes de alerta una dirección de correo o número de teléfono específico. El tipo de alerta a enviar se determina por las propiedades de usuario.

114 • Configurar usuarios y grupos GFI EventsManager

Las propiedades de usuario incluyen los detalles de contacto y el horario laboral de cada destinatario. Basándose en estos ajustes, GFI EventsManager determinará automáticamente el tipo de alerta a activar durante y fuera del horario laboral. En GFI EventsManager, los destinatarios de alertas se pueden organizar en grupos. De esta forma puede configuras las opciones de alerta a nivel de grupo de usuarios, en lugar de configurar los mismos ajustes para todos y cada uno de los usuarios.

Crear un nuevo usuario Para crear un nuevo usuario: 1. Haga clic en la opción Configuration. 2. Seleccione Options de la barra de opciones secundaria. 3. Expanda el nodo Users and Groups, haga clic derecho sobre el sub-nodo Users y seleccione Create user…. 4. Configure las propiedades de usuario. Para más información refiérase a la sección ‘Configurar la cuenta de administrador de GFI EventsManager’ en el capítulo 'Empezar’.

Cambiar las propiedades de usuario Para editar las propiedades de usuario: 1. Del panel izquierdo, haga clic en el nodo Users. 2. Haga clic derecho en el usuario a editar y seleccione Properties. 3. Realice los cambios requeridos haga clic en OK para terminar sus ajustes.

Borrar usuarios Para eliminar un usuario: 1. Del panel izquierdo, haga clic en el nodo Users. 2. Del visor derecho, haga clic derecho sobre el usuario a eliminar y seleccione Delete.

GFI EventsManager Configurar usuarios y grupos • 115

Configurar grupos

Imagen 93 – Pantalla de configuración de grupos

1. Haga clic en la opción Configuration. 2. Seleccione Options de la barra de opciones secundaria. 3. Expanda el nodo Users and Groups, haga clic derecho sobre el sub-nodo Groups y seleccione Create group….

116 • Configurar usuarios y grupos GFI EventsManager

Imagen 94 – Configuración de nuevos grupos

4. Especifique el nombre de nuevo grupo. 5. Haga clic en Add para comenzar a agregar usuarios al grupo. 6. Haga clic en OK para finalizar los ajustes.

Cambiar las propiedades del grupo de usuarios Para editar los ajustes de un grupo de usuarios hágalo como sigue: 1. Del panel izquierdo, haga clic en el nodo Groups. 2. Del panel derecho, haga clic derecho sobre el grupo a configurar y seleccione Properties. 3. Realice los cambios requeridos haga clic en OK para terminar sus ajustes.

Borrar grupos de usuarios Para eliminar un grupo de usuarios: 1. Del panel izquierdo, haga clic en el nodo Groups. 2. Del visor derecho, haga clic derecho sobre el grupo a eliminar y seleccione Delete.

GFI EventsManager Miscelánea • 117

Miscelánea

Licencia Para comprobar los detalles de su licencia: 1. Haga clic en la opción General en la barra de opciones principal. 2. Del panel izquierdo, haga clic en la opción Licensig. Se mostrarán los detalles de la licencia en el panel derecho de la consola de administración.

Introducir la Clave de Licencia después de la instalación Para introducir su clave de licencia después de la instalación 1. Haga clic en la opción General en la barra de opciones principal. 2. Desde el panel izquierdo, haga clic derecho en la opción Licensing y seleccione Edit license key ….

Imagen 95 – Introducir la clave de licencia

3. Indique los detalles de su licencia. 4. Haga clic en OK para finalizar los ajustes.

118 • Miscelánea GFI EventsManager

Información de la versión Para comprobar la información de la versión: 1. Haga clic en la opción General en la barra de opciones principal. 2. Haga clic en la opción Version Information. La información de la versión se mostrará en el panel derecho.

Imagen 96 – Pantalla de Información de la Versión

Comprobar nuevas versiones Para comprobar nuevas versiones de GFI EventsManager: 1. Haga clic en la opción General en la barra de opciones principal. 2. Del panel izquierdo, haga clic derecho sobre la opción Version Información y seleccione Check for newer versions….

GFI EventsManager Resolución de problemas • 119

Resolución de problemas

Introducción El capitulo de solución de problemas explica cómo se debe proceder para resolver las consultas que tenga. Las principales fuentes de información disponibles para los usuarios son: • El manual – la mayoría de los asuntos se solucionan leyendo el

manual. • La Base de Conocimientos de GFI – accesible desde el sitio web

de GFI. • El sitio de soporte técnico de GFI. • Contactando por correo con el equipo de Soporte Técnico de GFI

en [email protected] • Contactando al equipo de de soporte técnico de GFI utilizando

nuestro servicio de soporte en tiempo real en http://support.gfi.com/livesupport.asp.

• Llamando a nuestro equipo de Soporte Técnico.

Base de Conocimientos GFI mantiene una Base de Conocimientos, la cual incluye respuestas a los problemas más comunes. Si tiene un problema, por favor consulte primero la Base de Conocimientos. La Base de Conocimientos siempre ha sido la lista más actualizada de preguntas de soporte y actualizaciones. La Base de Conocimientos puede encontrase en http://kbase.gfi.com.

Solicitar soporte técnico mediante correo electrónico Si, después de usar la Base de Conocimientos y el manual, tiene cualquier problema que no pueda resolver, puede contactar con el equipo de Soporte Técnico de GFI. La mejor forma de hacerlo es mediante correo electrónico, ya que se puede incluir información vital como un archivo adjunto que nos permitirá solucionar los problemas que tiene más rápidamente. El Troubleshooter, incluido en el grupo de programas, genera automáticamente una serie de archivos necesarios por GFI para proporcionarle soporte técnico. Los archivos incluirían las opciones de configuración, ficheros de debug, etc. Para generar estos archivos, inicie el asistente de troubleshooter y siga las instrucciones. Además de recoger toda la información, le realizará también una serie de preguntas. Por favor tómese el tiempo de responder estas

mailto:[email protected]

http://support.gfi.com/livesupport.asp

http://kbase.gfi.com/

120 • Resolución de problemas GFI EventsManager

preguntas con precisión. Sin la información apropiada, no nos será posible diagnosticar su problema. Haga clic entonces en la carpeta troubleshooter/support, localizada debajo del directorio principal del programa, comprima los archivos en formato ZIP, y envíelos a [email protected]. Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://customers.gfi.com Responderemos a su pregunta en 24 horas o menos, dependiendo de su zona horaria.

Solicitar soporte técnico vía conversación web También puede solicitar soporte técnico a través del ‘Soporte en Directo (webchat)’. Puede contactar al departamento de soporte técnico de GFI utilizando nuestro servicio de Soporte en Directo en http://support.gfi.com/livesupport.aspAsegúrese primero de tener registrado su producto en nuestro sitio web, en http://customers.gfi.com .

Solicitar soporte técnico mediante teléfono También puede contactar con GFI por teléfono para soporte técnico. Por favor compruebe en nuestro sitio web de los números para llamar según dónde se encuentre, y el horario. Sitio web de soporte técnico: http://support.gfi.com. Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://customers.gfi.com

Foro Web Hay disponible soporte técnico usuario a usuario a través del foro web. El foro se encuentra en: http://forums.gfi.com/

Notificaciones de versiones revisadas Le sugerimos encarecidamente que se suscriba a nuestra lista de notificaciones de versiones revisadas. De esta forma, se le notificará inmediatamente sobre las nuevas versiones del producto. Para suscribirse vaya a: http://support.gfi.com.

http://customers.gfi.com/

http://support.gfi.com/livesupport.asp


http://support.gfi.com/


http://forums.gfi.com/

http://support.gfi.com/

GFI EventsManager Apéndice 1 – Ajustes SMS • 121

Apéndice 1 – Ajustes SMS

Ajustes globales para SMS/buscapersonas NOTA: Esta sección sólo es aplicable para usuarios avanzados. No podemos garantizar que GFI EventsManager funcionará con cualquier proveedor SMS. Antes de intentar dicha configuración, asegúrese de haber obtenido la información correcta de su proveedor de servicio SMS.

Imagen 97 – Diálogo de Alertas SMS

Con una simple instalación GFI EventsManager puede transmitir alertas SMS a través de:

• El Servidor SMS GSM integrado. • La plantilla del proveedor de servicio SMS de GFI FAXmaker • El Servicio Email2SMS de Clickatell • Plantillas de proveedor genérico de servicio SMS.

122 • Apéndice 1 – Ajustes SMS GFI EventsManager

El Servidor SMS GSM integrado.

Figura 7 – Flujo de alerta SMS a través del Servidor GSM integrado

El Servidor GSM SMS integrado permite a GFI EventsManager enviar directamente mensajes (de texto) SMS a través de un teléfono o módem GSM, conectado al equipo por un cable serie, Infrarrojos o Bluetooth.


Imagen 98 – Propiedades del Servidor GSM SMS integrado

Requerimientos 1. Un módem o teléfono GSM capaz de procesar comandos AT+C. Este dispositivo GSM debe estar conectado al servidor que ejecuta GFI EventsManager. 2. Una suscripción a un proveedor SMSC.

Configurar el Servidor SMS GSM integrado Para configurar el Servidor SMS GSM integrado 1. Haga clic con el botón derecho sobre el nodo Alerting Options y seleccione Propiedades. 2. Haga clic en la pestaña SMS y de la lista desplegable SMS System, seleccione ‘In-buit GSM SMS Server’.

Imagen 15 – Diálogo de edición de propiedades


3. Haga doble clic sobre la propiedad que quiere configurar (e.g. el Número del Centro de Servicio) e indique los parámetros necesarios en el diálogo de ‘Edición de Propiedades’. NOTA: Cuando configure las propiedades, siempre especifique los detalles suministrados por su proveedor SMSC. Si no están disponibles los parámetros de configuración, pregunte a su proveedor por la información requerida. El Servidor GSM SMS integrado requiere los siguientes parámetros: • Service Center Number – Indique el número de su proveedor del

centro de servicio SMS (SMSC). Este número es suministrado por el proveedor del servicio SMS.

• COM port - Seleccione el puerto COM donde está conectado el dispositivo GSM (es decir, el teléfono/módem).

• Baud Rate - Especifique la velocidad a la que tendría lugar la comunicación. Indique siempre la velocidad recomendada por su proveedor SMSC.

• Initialization String – (Opcional) Si es necesario, especifique los Comandos AT que desee enviar a su módem.

NOTA: La cadena de inicialización es un conjunto de comando AT combinados en una cadena (e.g. AT &F &C1 &D2). Para una lista completa de los comandos AT, visite http://esvc001164.wic013u.server-web.com/modems/modemstrings.htm. 4. En la caja de texto 'Retries', indique el número de veces que el Servidor GSM SMS integrado intentará enviar una alerta SMS si falla el primer intento. 5. Haga clic en OK para finalizar los ajustes.

La plantilla del proveedor de servicio SMS de GFI FAXmaker

Figura 8 – Flujo de alerta SMS a través del proveedor de servicio SMS de GFI FAXmaker

El Servicio SMS de GFI FAXmaker permita a GFI EventsManager enviar mensajes SMS a través de GFI FAXmaker, el software de

http://esvc001164.wic013u.server-web.com/modems/modemstrings.htm

http://esvc001164.wic013u.server-web.com/modems/modemstrings.htm


servidor de fax líder del marcado que le permite enviar y recibir faxes a través de su infraestructura de red. GFI FAXmaker es también una pasarela SMS que le permite enviar SMS a través de: • Un teléfono / módem GSM conectado a su servidor de correo. O • Proveedores de servicio SMS basados en Web. Para más información acerca de GFI FAXmaker, visite http://www.gfi.com/faxmaker/. Siempre que un suceso active una alerta SMS, GFI EventsManager envía una ‘plantilla’ de correo (vía SMTP) al servidor de fax (i.e. GFI FAXmaker). Esta plantilla de correo contiene todos los detalles de la alerta SMS incluyendo el mensaje de texto SMS y el número del destinatario. GFI FAXmaker entonces convierte este correo a SMS y lo envía al destinatario deseado.

Imagen 99 – Diálogo de configuración del servicio SMS de GFI FAXmaker

Requerimientos Para utilizar el servicio SMS de FAXmaker, debe tener: 1. GFI FAXmaker instalado y configurado para la mensajería SMS. Para más información sobre como configurar la pasarela SMS en GFI FAXmaker refiérase al capítulo 'La pasarela SMS' del manual de GFI FAXmaker. Puede descargar el manual de GFI FAXmaker de http://www.gfi.com/downloads/downloads.aspx?pid=FAX&lid=en

http://www.gfi.com/faxmaker/

http://www.gfi.com/downloads/downloads.aspx?pid=FAX&lid=en


2. Un teléfono/módem GSM soportado conectado al equipo servidor de fax GFI FAXmaker o una suscripción a un proveedor de servicios SMS web soportado.

Configurar el servicio SMS de FAXmaker Para configurar el Servicio SMS de FAXmaker: 1. Haga clic con el botón derecho sobre el nodo Alerting Options y seleccione Propiedades. 2. Haga clic en la pestaña SMS y de la lista desplegable SMS System, seleccione ‘FAXmaker SMS Service provider template’. 3. Haga doble clic sobre la propiedad que quiere configurar (e.g. el servidor SMTP) e indique los parámetros necesarios en el diálogo de ‘Edición de Propiedades’. El Servicio SMS de FAXmaker requiere los siguientes parámetros: • SMTP Server – Indique el nombre del servidor SMTP a través del

cual GFI EventsManager enviará la plantilla de correo a GFI FAXmaker.

• SMTP port – Indique el puerto SMTP por el cual se llevará a cabo la transmisión. Por defecto este parámetro está a 25 (es decir, el puerto SMTO por defecto).

• From – Indique la cuenta desde donde se enviará la plantilla de correo. De formato a esta parámetro como sigue: <nombre>@<midominio.com>

• To – (Déjelo por defecto) Esta es la dirección de correo en la que GFI FAXmaker recibirá las plantillas de correo para convertir a SMS (es decir, [smsnumber]@smsmaker.com). Este parámetro incluye la variable [smsnumber] la cual es sustituida por el número de del destinatario SMS cuando se genera la plantilla de correo. Por ejemplo, se debe enviar un SMS a un destinatario con número 88885555, el correo se envía a [email protected]. GFI FAXmaker enviará entonces el SMS al número especificado en la dirección de correo.

• Subject* - (Parámetro opcional) Indique el texto que quiera incluir en el campo asunto de el la plantilla de correo.

4. En la caja de texto 'Retries', indique el número de veces que el Servicio SMS de FAXmaker intentará enviar una alerta SMS si falla el primer intento. 5. Haga clic en OK para finalizar los ajustes.

El Servicio Email2SMS de Clickatell



Figura 9 – Flujo de alerta a través del servicio Email to SMS de Clickatell

El Servicio Email2SMS de Clickatell permite a GFI EventsManager transmitir a alertas SMS a través de Clickatell, un servicio SMS en web que envía mensajes SMS a todo el mundo. Siempre que un suceso active una alerta SMS, GFI EventsManager envía una ‘plantilla’ de correo (vía SMTP) a la pasarela SMS de Clickatell. Esta plantilla de correo contiene todos los detalles de la alerta SMS requeridos incluyendo el mensaje de texto SMS y el número del destinatario. Clickatell entonces convierte este correo a SMS y lo envía al destinatario deseado. Para más información, visite http://www.Clickatell.com/brochure/products/api_smtp.php.

Imagen 100 – Diálogo de configuración del servicio Email2SMS de Clickatell

Requerimientos No se necesita hardware específico para este método de mensajería SMS. Los únicos requerimientos son: 1. Debe estar subscrito a servicio de la pasarela SMS de Clickatell. Para subscribirse visite: http://www.Clickatell.com/central/campaigns/redir.php?cid=870. 2. El servidor SMTP configurado en las propiedades del servicio Email2SMS de Clickatell debe ser capaz de enviar correo a través de Internet.

http://www.clickatell.com/brochure/products/api_smtp.php

http://www.clickatell.com/central/campaigns/redir.php?cid=870


NOTA: GFI EventsManager no puede enviar alertas SMS a través del Servicio Email2SMS de Clickatell si no hay conexión a Internet o la conexión a Internet está caída.

Configurar el servicio Email2SMS de Clickatell Para configurar el servicio Email2SMS de Clickatell: 1. Haga clic con el botón derecho sobre el nodo Alerting Options y seleccione Propiedades. 2. Haga clic en la pestaña SMS y de la lista desplegable SMS System, seleccione ‘Clickatell Email2SMS Service’. 3. Haga doble clic sobre la propiedad que quiere configurar (e.g. el servidor SMTP) e indique los parámetros necesarios en el diálogo de ‘Edición de Propiedades’. NOTA: Cuando configure las propiedades, siempre especifique los detalles suministrados por Clickatell. Si no están disponibles los parámetros de configuración, pregunte a Clickatell por la información requerida. El Servicio Email2SMS de Clickatell requiere los siguientes parámetros: • SMTP Server – Indique el nombre del servidor SMTP a través del

cual GFI EventsManager enviará la plantilla de correo a la pasarela SMS.

• SMTP port – Indique el puerto SMTP por el cual se llevará a cabo la transmisión. Por defecto este parámetro está a 25 (es decir, el puerto SMTP por defecto)

• From – Indique la cuenta desde donde se enviará el correo. Por ejemplo puede indicar la dirección de correo que utiliza GFI EventsManager para alertas genéricas.

• To – Indique la dirección de correo de la pasarela SMS de Clickatell (es decir, la dirección a la que GFI EventsManager enviará los correos para convertirlos a SMS). Esta dirección la provee Clickatell (es decir, el proveedor de la pasarela SMS). Por defecto, esta propiedad está ajustada a [email protected] . NOTA: Deje esta propiedad por defecto, a no ser que Clicatell especifique lo contrario.

• CC* - (Parámetro opcional) Indique la dirección de correo donde quiera reenviar copias de los correos enviados a la pasarela SMS.

• Subject* - (Parámetro opcional) Indique el texto que quiera incluir en el campo asunto del correo.

• Body line 1 – Indique el API ID (ej. api_id:1234576). El API ID es un número de identificación suministrado por Clickatell después de que se subscriba al servicio. De formato a esta parámetro como sigue: api_id:<nº API ID>. NOTA: Si no conoce su API ID, pida a Clickatell que le facilite esta información.

• Body line 2 – Indique su nombre de usuario de la pasarela SMS de Clickatell (ej. user:JasonM). De formato a esta parámetro como sigue: user:<nombre de usuario >



NOTA: Si no conoce su nombre de usuario, pida a Clickatell que le facilite esta información.

• Body line 3 – Indique su contraseña de la pasarela SMS de Clickatell (ej. Password:abcde). De formato a esta parámetro como sigue: password:<contraseña> NOTA: Si no conoce su contraseña, pida a Clickatell que le facilite esta información.

• Body line 4 – (Déjelo por defecto). Esta propiedad contiene el número del destinatario SMS (es decir, el número al que se enviará el SMS). Este número se pasa automáticamente a GFI EventsMAnager a través de la variable [smsnumber] la cual se sustituye cuando se genera la plantilla de correo. Los contenidos de esta propiedad están formateados como sigue: to:[smsnumber]

• Body line 5 – (Déjelo por defecto). Esta propiedad contiene el texto que se debe incluir en el SMS. Estos contenidos se pasan automáticamente a GFI EventsMAnager a través de la variable [smsmessage] la cual se sustituye cuando se genera la plantilla de correo. Los contenidos de esta propiedad están formateados como sigue: text:[smsmessage].

4. El la caja de texto ‘Retries’, indique el número de veces que GFI EventsManager intentará enviar el mensaje al proveedor de corro a SMS si falla el primer intento. 5. Haga clic en ‘OK’ para guardar sus ajustes de configuración.

Plantilla de proveedor genérico de servicio SMS

Figura 10 – Flujo de alerta a través de un proveedor de servicio Email a SMS basado en web

GFI EventsManager puede retransmitir alertas SMS (texto) a través de una pasarela SMS web.

Siempre que un suceso active una alerta SMS, GFI EventsManager enviará una ‘plantilla’ de correo (vía SMTP) a la pasarela SMS en web. Esta ‘plantilla’ de correo contiene todos los detalles de la alerta SMS requeridos incluyendo el mensaje de texto SMS y el número del destinatario. La pasarela SMS entonces convierte este correo a SMS y lo envía al destinatario deseado.


NOTA: Esta plantilla se puede personalizar permitiéndole utilizar cualquier proveedor que soporte servicios de correo a SMS.

Imagen 101 – Diálogo de configuración del servicio SMS genérico

Requerimientos No se necesita hardware específico para este método de mensajería SMS. Los únicos requerimientos son: 1. Debe estar subscrito a un servicio de pasarela SMS. 2. El servidor SMTP configurado en las propiedades del servicio SMS Genérico debe ser capaz de enviar correo a través de Internet. NOTA: GFI EventsManager no puede enviar alertas SMS a través del servicio SMS Genérico si no hay conexión a Internet o la conexión a Internet está caída.

Configurar la plantilla de proveedor genérico de servicio SMS Para configurar el servicio SMS Genérico: 1. Haga clic con el botón derecho sobre el nodo Alerting Options y seleccione Propiedades. 2. Haga clic en la pestaña SMS y de la lista desplegable SMS System, seleccione ‘Generic SMS service provider template’. 3. Haga doble clic sobre la propiedad que quiere configurar (e.g. el servidor SMTP) e indique los parámetros necesarios en el diálogo de ‘Edición de Propiedades’.


NOTA: Cuando configure las propiedades, siempre especifique los detalles suministrados por su proveedor de pasarela SMS. El servicio SMS Genérico requiere los siguientes parámetros: • SMTP Server – Indique el nombre del servidor SMTP a través del

cual GFI EventsManager enviará la plantilla de correo a la pasarela SMS.

• SMTP port – Indique el puerto SMTP por el cual se llevará a cabo la transmisión. Por defecto este parámetro está a 25 (es decir, el puerto SMTP por defecto).

• From – Indique la cuenta desde donde se enviará el correo. Puede especificar la dirección de correo configurada para alertas genéricas en GFI EventsManager.

• To – Indique la dirección de correo de su proveedor de pasarela SMS (es decir, la dirección a la que GFI EventsManager enviará los correos para convertirlos a SMS). Esta dirección se suministra por el proveedor de la pasarela SMS y debe ser formateada como sigue: <correo>@<proveedorsmsacorreo.com>. E.g. [email protected]. NOTA: Si no conoce la dirección de correo de su Pasarela SMS, pida a su proveedor de la pasarela SMS que le de esta información.

• CC* - (Parámetro opcional) Indique la dirección de correo donde quiera reenviar copias de los correos enviados a la pasarela SMS.

• Subject* - (Parámetro opcional) Indique el texto que quiera incluir en el campo asunto del correo.

• Body line 1 – Indique el API ID que le ha sido asignado por su proveedor de la pasarela SMS. Este parámetro es requerido por la pasarela SMS para propósitos de autenticación. De formato a esta parámetro como sigue: api_id:<nº API ID>. E.g. api_id:124576. NOTA: Si no conoce su API ID, pida a su proveedor de la pasarela SMS que le facilite esta información.

• Body line 2 – Indique su nombre de usuario de la pasarela SMS (ej. user:JasonM). De formato a esta entrada como sigue: user:<nombre de usuario >. NOTA: Si no conoce su nombre de usuario de la pasarela SMS, pida al proveedor de la pasarela SMS que le facilite esta información.

• Body line 3 – Indique su contraseña de la pasarela SMS (ej. Password:abcde). De formato a esta entrada como sigue: password:<contraseña>. NOTA: Si no conoce su contraseña de la pasarela SMS, pida al proveedor de la pasarela SMS que le facilite esta información.

• Body line 4 – (Déjelo por defecto). Esta propiedad contiene el número del destinatario SMS (es decir, el número al que se enviará el SMS). Este valor se pasa automáticamente a GFI EventsMAnager a través de la variable [smsnumber] la cual se sustituye cuando se genera el correo. Los contenidos de esta propiedad están formateados como sigue: to:[smsnumber]



• Body line 5 – (Déjelo por defecto). Esta propiedad contiene el texto que se debe incluir en el SMS. Estos contenidos se pasan automáticamente a GFI EventsMAnager a través de la variable [smsmessage] la cual se sustituye cuando se genera la plantilla de correo. Los contenidos de esta propiedad están formateados como sigue: text:[smsmessage].

4. El la caja de texto ‘Retries’, indique el número de veces que GFI EventsManager intentará enviar el mensaje al proveedor de corro a SMS si falla el primer intento. 5. Haga clic en OK para finalizar los ajustes.

GFI EventsManager Apéndice 2: Configurar Windows • 133

Apéndice 2: Configurar Windows

Introducción En este apéndice, aprenderá como: • Habilitar y configurar el nivel de su auditoría de sucesos de

seguridad Windows usando las Políticas de Auditoría. • Iniciar el servicio de Registro Remoto. Los servicios de auditoria de seguridad Windows y Registro Remoto son requeridos por GFI EventsManager para administrar eficazmente los registros de sucesos Windows.

Servicio de Registro Remoto El servicio de Registro Remoto es requerido por GFI EventsManager para conectarse remotamente a las fuentes de sucesos y realizar la auditoría y recolección de registros de sucesos. Por defecto, el servicio de Registro Remoto se instala como una parte del sistema operativo en todos los equipos que ejecutan Windows NT/2000/XP y 2003.

Imagen 2 – Monitor de Análisis: Panel de Mensajes de Error

Si este servicio no está habilitado, se presentará en la sección Actividad del Trabajo ‘Historial Operativo’ de GFI EventsManager el mensaje de error mostrado arriba. Para más información sobre como acceder al Monitor de Estado refiérase al capítulo ‘Monitorización del Estado’.

Servicio de Auditoría de Windows Los registros de seguridad Windows se pueden configurar para registrar sucesos de servidor así como también sucesos de directorio o acceso a ficheros. Los sucesos que se pueden grabar incluyen intentos de inicio de sesión válidos e inválidos así como también

134 • Apéndice 2: Configurar Windows GFI EventsManager

sucesos relacionados con el uso de los recursos del sistema tales como crear, abrir o eliminar ficheros.

Imagen 102 El nodo de Política de Auditoría: Opciones de configuración de la política de auditoría

Para que GFI EventsManager realice eficazmente la auditoría de registros de sucesos de seguridad, primero debe habilitar la auditoría de sucesos de seguridad en su sistema operativo Windows de lo contrario no se grabarán sucesos en el Registro de Seguridad de Windows y por lo tanto GFI EventsManager no tendrá registros que procesar. La auditoria de sucesos de seguridad se habilita y configura a través de Microsoft Management Console (MMC) a través del nodo Directiva de Auditoría. NOTA: GFI EventsManager no generará ningún error si la auditoría de sucesos de seguridad no está habilitada.

Habilitar el servicio de Registro Remoto Para habilitar el servicio de Registro Remoto: 1. Haga clic en Inicio Ejecutar y escriba ‘Services.msc’. Esto abrirá el diálogo ‘Servicios’.


Imagen 103 – Diálogo de propiedades de Servicios

2. Explore por la lista de servicios hasta que encuentre el servicio 'Registro Remoto'. Haga clic con el botón derecho en el servicio y seleccione Propiedades.


Imagen 104 – Diálogo de Propiedades de Registro Remoto

3. De la pestaña General que se abre por defecto, seleccione Automático de la lista desplegable ‘Tipo de Inicio’ provista y haga clic en Iniciar. 4. Pulse OK para guardar sus ajustes y cerrar el diálogo.

Habilitar la auditoria de seguridad de Windows NOTA: Para auditor el acceso a archivos y carpetas en Windows 2000, debe utilizar el complemento Directiva de Grupo para habilitar el ajuste de Auditoría de Acceso a Objetos en la directiva de Auditoría. No hacer esto resultará en un mensaje de error que se mostrará durante la configuración de los ajustes de los ficheros y carpetas. Para más información sobre como crear/instalar los complementos de la Directiva de Grupo refiérase a la sección ‘Como instalar complementos de Directiva de Grupo’ en este Apéndice. Para habilitar la auditoria local de seguridad de Windows: 1. Inicie sesión en Windows con una cuenta con derechos de Administrador 2. Asegúrese que el complemento Directiva de Grupo está instalado. 3. Navegue hasta la ventana Herramientas Administrativas (Inicio Configuración Panel de Control Herramientas administrativas).


Imagen 105 – Complemento de la MMC Ajustes de Seguridad Local

4. Haga doble clic en el icono Directiva de Seguridad Local para abrir el complemento de Ajustes de Seguridad Local de la MMC. 5. Expanda el nodo Directivas Locales y después haga doble clic en el nodo Directiva de auditoría. 6. Del panel derecho, haga doble clic en la directiva que quiera configurar (habilitar/deshabilitar). Esto abrirá el diálogo ‘propiedades de Auditoría de sucesos del sistema’.

Imagen 106 – Diálogo de propiedades de la auditoría de sucesos del sistema

7. Seleccione la opción Definir estos ajustes de directiva y configure el tipo de auditoría requerida (es decir, en intentos correctos o erróneos). Para más información sobre los ajustes de auditoría de seguridad de Windows visite http://support.microsoft.com/?kbid=300549.

http://support.microsoft.com/?kbid=300549


Cómo instalar complementos de Directiva de Grupo Para utilizar las características de auditoría en Windows 2000, necesita instalar el complemento Directiva de Grupo. Este complemento no está incluido en la consola de Administración del Equipo, y por tanto debe crear una nueva consola para el complemento Directiva de Grupo. Para más información sobre como agregar complementos de la MMC, mire la documentación de Windows 2000. Para crear una nueva consola MMC y agregar el complemento Directiva de Grupo: 1. Haga clic en Inicio Ejecutar y escriba ‘mmc’. Esto abrirá la consola de configuración de nueva MMC. 2. Del menú desplegable de la consola, haga clic en Archivo y seleccione Agregar o quitar complemento….

3. Del diálogo ‘Agregar o quitar complementos’ que se abre, haga clic en el botón Agregar….


Imagen 107 – Lista de complementos disponibles

4. De la lista de complementos disponibles, seleccione Editor de Objetos de Directiva de Grupo y haga clic en Agregar. 5. En el cuadro de diálogo Seleccionar un Objeto de Directiva de Grupo, haga clic en Examinar para localizar el equipo que quiera auditar.

Imagen 108 – Diálogo de Buscar un Objeto de Directiva de Grupo: Pestaña Equipos


6. Del diálogo ‘Buscar un Objeto de Directiva de Grupo’, haga clic en la pestaña Equipos, haga clic en Otro equipo, seleccione el equipo que desee auditar y haga clic en Aceptar. 7. Haga clic en Finish para finalizar los ajustes. 8. Cierre el diálogo de ‘Agregar un Complemento Independiente' y haga clic en Aceptar. 9. Haga clic en Archivo Guardar para salvar la nueva consola a su disco duro. Utilice esta nueva consola para configurar las características de auditoría.

GFI EventsManager Apéndice 3: Instalar SQL Server Express Edition • 141

Apéndice 3: Instalar SQL Server Express Edition

Introducción En este apéndice iremos a través de los pasos requeridos para instalar Microsoft SQL Server 2005 Express Edition.

Requerimientos software El equipo donde se instalará SQL Server Express Edition debe reunir el siguiente software instalado: • Windows Installer 3.1 • .NET framework 2.0

Pasos de instalación Son necesarios los siguientes pasos para instalar SQL Server Express Edition:

Imagen 109 – Descargando SQL Server Express edition

1. Descargue SQL Server Express edition desde aquí (Microsoft.com) 2. Después de descargar correctamente el archivo de instalación, haga doble clic en SQLEXPR_ADV.EXE. 3. Lea el contrato de licencia del usuario final y haga clic en Aceptar para proceder con la instalación.

http://go.microsoft.com/fwlink/?LinkId=65109

142 • Apéndice 3: Instalar SQL Server Express Edition GFI EventsManager

Imagen 110 – Requerimiento de Instalación

4. Haga clic en el botón Instalar para comenzar la instalación de SQL Server.


Imagen 111 – Comprobación de la Configuración del Sistema

5. El instalador analizará ahora su sistema y generará una lista de sus ajustes de configuración actuales. Verifique que todos los ajustes son correctos y si es necesario actúe sobre los errores incluidos en la lista. Haga clic en Siguiente para continuar.


Imagen 112 – Datos de Registro

6. Indique sus detalles de registro personalizados en los campos provistos. Desmarque la opción Ocultar opciones de configuración avanzadas y haga clic en Siguiente.


Imagen 113 – Selección de Características

7. Seleccione las características que desee instalar y haga clic en Siguiente.


Imagen 114 – Seleccionar Instancia

8. Seleccione la opción de instancia por defecto y haga clic en Siguiente.


Imagen 115 – Configurar la Cuenta del Servicio

9. Proporcione los detalles de la cuenta del servicio y haga clic en Siguiente. 10. Seleccione el modo de autenticación y haga clic en Siguiente.


Imagen 116 – Ajustes de Intercalación

11. Seleccione loa ajustes de intercalación deseados y haga clic en Siguiente. 12. Indique si quiere habilitar instancias de usuario o no y haga clic en Siguiente.


Imagen 117 – Ajustes de Informes de Error y Uso.

13. Seleccione los ajustes de Informes de Error y Uso deseados y haga clic en Siguiente. 14. Haga clic en Finalizar para completar la instalación.

GFI EventsManager Tutorial 1 – Configurar las opciones básicas a través del Diálogo de Configuración Inicial • 151

Tutorial 1 – Configurar las opciones básicas a través del Diálogo de Configuración Inicial

Visión General En este tutorial demostraremos como configurar los parámetros clave requeridos por GFI EventsManager en el primer inicio. Estos ajustes se realizarán a través del Diálogo de Configuración Inicial que se lanza automáticamente la primera vez que se inicia GFI EventsManager. El alcance de este ejemplo se extiende desde la configuración de los ajustes de la base de datos de sucesos, hasta la configuración de las opciones de alerta por defecto y la cuenta del administrador. Este tutorial está dividido en 3 partes: • En la parte 1 aprenderá cómo configurar la base de datos de GFI

EventsManager. • En la parte 2 aprenderá cómo configurar las opciones de alerta

por defecto. • En la parte 3 aprenderá cómo configurar la cuenta de

administrador de GFI EventsManager.

Parámetros Los parámetros que usaremos en este tutorial se muestran abajo: Parte 1: Configurar la base de datos de sucesos • Servidor: SQLServer01 • Base de datos: EventsManager • Usar Autenticación SQL • Usuario: John Doe • Contraseña: pass1234. Parte 2 Configurar las opciones de alerta por defecto: • Nombre de Host/IP: 192.168.0.3 • Puerto: 25 • Nombre de Usuario: johndoe • Contraseña: pass3344 • Remitente (Email): [email protected] • Remitente (Nombre para Mostrar): John Doe.

152 • Tutorial 1 – Configurar las opciones básicas a través del Diálogo de Configuración Inicial GFI EventsManager

Parte 3. Configurar la cuenta de administración: • Usuario: John Doe • Descripción: Administrador de EventsManager • Email: [email protected] • Número de móvil: +12155599877 • Equipo: 192.168.0.6, 192.168.0.15 • días de Trabajo: De Lunes a Viernes • Horario Laboral: de 09h a 19h • Notificaciones por correo: Durante y fuera del horario laboral. • Alertas de mensaje de red: Durante y fuera del horario laboral. • Alertas SMS: Durante y fuera del horario laboral. • Miembro de: EventsManagerAdministrators.

Parte 1: Configurar la base de datos de respaldo de GFI EventsManager

Imagen 118 – Cuadro de Diálogo de Configuración Inicial

1. Del Diálogo de Configuración Inicial seleccione la opción Configure SQL Server database backend.


Imagen 119 – Configurando la base de datos

2. Especifique los siguientes detalles: • Servidor: MSSQLServer • Base de datos: EventsManager • Utilizar autenticación de SQL Server • Usuario: johndoe • Contraseña: pass1234


Imagen 120 – Configurar el mantenimiento de la base de datos

3. Haga clic en la pestaña Maintenance y configure las siguientes opciones de mantenimiento de la base de datos: • De Main database maintenance options: Seleccione la opción

Delete events older than the specified period. Indique como periodo especificado 8 hours.

• De Backup database maintenance options: Seleccione la opción Delete events older than the specified period. Indique como periodo especificado 1 hour.

4. Haga clic en OK para finalizar los ajustes.


Parte 2: Configurar las opciones de alertas por defecto 1. Del Diálogo de Configuración Inicial seleccione la opción Configure Alerting Options.

Imagen 121 – Configurando las opciones de alerta: Ajuste del servidor de correo

2. En la pestaña Email que se abre por defecto haga clic en el botón Add…. 3. En el cuadro de diálogo Mailserver Prooperties especifique los siguientes ajustes del servidor de correo: • Nombre de Host/IP: 192.168.0.3 • Puerto: 25 • Nombre de Usuario: johndoe • Contraseña: pass3344 • Remitente (Email): [email protected] • Remitente (Nombre para Mostrar): John Doe. 4. Pulse OK para guardar sus ajustes de alertas por correo y cerrar el diálogo de propiedades del Servidor de correo. 5. Puesto que no se van a configurar notificaciones de red ni SMS en este tutorial, haga clic en OK para finalizar sus ajustes de configuración de alertas.


Parte 3: Configurar la cuenta de administrador de GFI EventsManager

1. Del Diálogo de Configuración Inicial seleccione la opción Configure administrador account.

Imagen 122 – Configurando la cuenta del Administrador de GFI EventsManager

2. En la pestaña General que se abre por defecto indique los siguientes detalles: • Nombre de Usuario: John Doe • Descripción: Administrador de EventsManager • Email: [email protected] • Número de móvil: +12155599877 • Equipos 192.168.0.6; 192.168.0.15


Imagen 123 – Configurando el horario laboral del administrador.

3. Haga clic sobre la pestaña Working Hours y especifique los siguientes parámetros:

• días de Trabajo: De Lunes a Viernes • Horario Laboral: de 09h a 19h


Imagen 124 – Configurando las opciones de alerta

4. Haga clic sobre la pestaña Alerts y especifique los siguientes parámetros de alertas: • Notificaciones por correo: Durante y fuera del horario laboral. • Alertas de mensaje de red: Durante y fuera del horario laboral. • Alertas SMS: Durante y fuera del horario laboral.


Imagen 125 – Agregando el usuario al grupo de usuarios

5. Haga clic sobre la pestaña Member Of y especifique los siguientes parámetros: • Miembro de: EventsManagerAdministrators. 6. Haga clic en OK para finalizar los ajustes.

160 • Turorial 2 – Configurar los parámetros de procesamiento de sucesos GFI EventsManager

Turorial 2 – Configurar los parámetros de procesamiento de sucesos

Visión General En este tutorial demostraremos como configurar los parámetros de procesamiento de sucesos requeridos por GFI EventsManager. El ámbito de este ejemplo se extiende desde la configuración de las fuentes de sucesos, hasta la configuración de las alertar que se activarán en sucesos clave. Al final de este tutorial aprenderá como configurar y comenzar a procesar registros utilizando GFI EventsManager. Este tutorial está dividido en 3 partes: • En la parte 1 aprenderá como configurar los equipos desde donde

GFI EventsManager recogerá los registros. • En la parte 2 aprenderá como crear y configurar las reglas de

procesamiento de sucesos Windows. • En la parte 3 aprenderá como configurar las propiedades de alerta

del usuario y las acciones.

Parámetros Los parámetros y condiciones que usaremos en este tutorial se muestran abajo:

Parte 1: Configurar las fuentes de sucesos. NOTA: Los parámetros requeridos en esta parte son específicos del usuario. Substituya los parámetros de dominio y servidor listados abajo por los correspondientes a su sistema de red. • Dominio: <MiDominio> • Servidor: <MiServidor>

Parte 2: Configurar las reglas de procesamiento de sucesos Parámetros para la Sección 1: Crear una nueva carpeta de conjunto de reglas. • Nombre de la Carpeta de Conjunto de reglas: Carpeta Nuevas

Reglas Parámetros para la Sección 2: Crear un nuevo conjunto de reglas en la nueva carpeta. • Nombre del Conjunto de reglas: Conjunte de reglas de seguridad

de Ejemplo

GFI EventsManager Turorial 2 – Configurar los parámetros de procesamiento de sucesos • 161

• Descripción: Este es un ejemplo de conjunto de reglas de sucesos Windows.

• Tupo de Regla: Procesamiento de Sucesos Windows Parámetros para la Sección 3: Crear una nueva regla en el nuevo conjunto de reglas. • Nombre: Ejemplo de regla de seguridad • Descripción: Este es un ejemplo de una regla de procesamiento

de sucesos Windows. • Tupo de Regla: Procesamiento de Sucesos Windows • Logs: Sucesos de Seguridad • Rango de IDs de Sucesos: 671-681 • Equipos fuente: 192.168.0.11 – 192.168.0.240 • Categoría: Detalles de sucesos de seguridad • Usuario: Administrador • Tipo de suceso: Error • La regla debe aplicarse solo durante el horario laboral • Utilizar las acciones de clasificación por defecto

Parte 3: Configurar las propiedades de usuario, alertas y otras acciones Parámetros para la Sección 1: Crear un nuevo grupo de usuarios/destinatarios de alertas. • Nombre del grupo: Grupo de Usuarios de GFI EventsManager • Descripción: Ejemplo de Grupo de Usuarios de GFI

EventsManager Parámetros para la Sección 2: Crear un nuevo usuario/destinatario de alertas. • Usuario: John Doe • Descripción: Usuario de demostración • Email: [email protected] • Número de móvil: 1234567890 • Equipos 192.168.0.55 • días de Trabajo: De Lunes a Sábado • Horario Laboral: de 09h a 19h • Notificaciones por correo: Durante el horario laboral. • Alertas de mensaje de red: Ninguno. • Alertas SMS: Ninguno. • Miembro de: Grupo de Usuarios de GFI EventsManager Parámetros para la Sección 3: Ajustar alertas por correo para los sucesos Críticos • Nombre de Host/IP: 192.168.0.3 • Puerto: 25 • Nombre de Usuario: John Doe



• Contraseña: pass3344 • Email del Remitente: [email protected] • Nombre completo del remitente: John Doe • Notificaciones por correo: Durante el horario laboral. • Alertas de mensaje de red: Ninguno • Alertas SMS: Ninguno.

Parte 1: Configurar las Fuentes de Registros 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Event Sources de la barra de opciones secundaria. 3. Haga clic derecho sobre la opción Servers del panel izquierdo y seleccione Add new computer... Esto abrirá el Asistente de Nuevo Equipo.

Imagen 126 – Agregar un nuevo servidor para sacar los registros de sucesos

4. Haga clic en el botón Select. 5. Seleccione <MiDominio> de la lista desplegable de dominios y haga clic en Search.


6. Seleccione <MiServidor> de la lista provista de equipos del dominio. 7. Haga clic en OK para guardar.


Parte 2: Crear nuevas reglas de procesamiento de sucesos En la Parte 2 demostraremos como crear nuevas reglas de Registros de Sucesos Windows. Esta parte del tutorial está dividida en 3 secciones: Sección 1: Crear una nueva carpeta de reglas. Sección 2: Crear un nuevo conjunto de reglas en la nueva carpeta. Sección 3: Crear una nueva regla en el nuevo conjunto de reglas.

Sección 1: Crear una nueva carpeta de reglas 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Event Processing Rules de la barra de opciones secundaria. 3. Del panel izquierdo, seleccione Windows Event Logs y después haga clic en la opción Create folder.

Imagen 127 – Creando una nueva carpeta de reglas

4. Nombre la nueva carpeta como Nueva carpeta de reglas.


Sección 2: Crear un nuevo conjunto de reglas. 1. Haga clic derecho en el nodo Nueva carpeta de reglas en el panel derecho y seleccione la opción Create new rule set….

Imagen 128 – Suministrando las propiedades de una regla de Seguridad

2. Especifique las siguientes propiedades del conjunto de reglas: • Nombre: Conjunto de Reglas de Seguridad de Ejemplo • Descripción: Este es un ejemplo de conjunto de reglas de sucesos

Windows. 3. Haga clic en OK para finalizar sus ajustes.

Sección 3: Crear un nueva regla 1. Haga clic derecho en el nodo Regla de Seguridad de Ejemplo del panel izquierdo. Seleccione la opción Create new rule… del menú contextual.


Imagen 129 – Asistente de nueva regla de procesamiento: Definiendo los Detalles de la Regla

2. Especifique los siguientes detalles de la regla. • Nombre: Ejemplo de regla de seguridad. • Descripción: Este es un ejemplo de una nueva regla de

procesamiento de seguridad. 3. Haga clic en Next para proceder con el siguiente diálogo.

Imagen 130 – Asistente de nueva regla de procesamiento: Seleccionando los registros


4. Seleccione los Security Events como el registro a procesar y haga clic en Next para continuar.

Imagen 131 – Asistente de nueva regla de procesamiento: Ajustando las condiciones

5. Especifique las siguientes condiciones de la regla. • IDs de Sucesos: 671-681 • Fuente: 192.168.0.11-192.168.0.240 • Categoría: Detalles de Sucesos de Seguridad • Usuario: Administrador • Tipo de Suceso: Error. 6. Haga clic en Next para proceder con el siguiente diálogo.


Imagen 132 – Asistente de nueva regla de procesamiento: Seleccionando la ocurrencia e importancia del suceso

7. Indique los siguientes parámetros de ocurrencia e importancia del suceso: • La regla se aplica si el suceso se produce durante el Horario

Laboral • Clasifique el evento como: Suceso de importancia alta. 8. Haga clic en el botón Next para proceder con el siguiente diálogo.


Imagen 133 – Asistente de nueva regla de procesamiento: Seleccionando Acciones

9. Seleccione la opción Use the default classification actions y haga clic en Next. 10. Haga clic en Finish para finalizar sus ajustes.


Parte 3: Configurar las propiedades de usuario, alertas y otras acciones

En la parte 3 demostraremos como configurar los destinatarios de las alertas, es decir, los usuarios que serán alertados por esta regla, así como también el tipo de alertas que se generarán. Esta parte del tutorial está dividida en 3 secciones: Sección 1: Crear un nuevo grupo de usuarios/destinatarios de alertas. Sección 2: Agregar nuevos destinatarios de alertas. Sección 3: Ajustar alertas por correo para los sucesos Críticos.

Sección 1: Crear un nuevo grupo de usuarios/destinatarios de alertas 1. Seleccione Configuration de la barra de opciones principal. 2. Seleccione Options de la barra de opciones secundaria. 3. Del panel izquierdo, haga clic derecho sobre el nodo Groups y seleccione Create group…

Imagen 134 – Entrada de nuevo grupo de usuarios

4. Especifique los siguientes detalles del grupo: • Nombre del grupo: Grupo de Usuarios de GFI EventsManager • Descripción: Ejemplo de Grupo de Usuarios de GFI

EventsManager. 5. Haga clic en OK para finalizar los ajustes.


Sección 2: Agregar nuevo destinatario de alertas

Imagen 28 – Crear usuarios…

1. Del panel izquierdo, haga clic derecho sobre el nodo Users y seleccione Create user…


Imagen 135 – Etiqueta general de nuevo usuario

2. Especifique todos los detalles del usuario siguientes: • Usuario: John Doe • Descripción: Usuario de demostración • Email: [email protected] • Número de móvil: 1234567890 • Equipos 192.168.0.55.



Imagen 136 – Ajustar el horario laboral

3. Haga clic en la pestaña Working Hours y configure el horario laboral como sigue: • días de Trabajo: De Lunes a Sábado • Horario Laboral: de 09h a 19h


Imagen 137 – Ajustar las opciones de alerta

4. Haga clic sobre la pestaña Alerts y configure los parámetros de alerta como sigue: • Notificaciones por correo: Durante el horario laboral. • Alertas de mensaje de red: Ninguno. • Alertas SMS: Ninguno.


Imagen 138 – Definiendo la membresía del grupo de usuarios

5. Haga clic en la pestaña Member Of. 6. Haga clic en Add y haga doble-clic en GFI EventsManager User Group de la lista provista. 7. Haga clic en OK para finalizar los ajustes.


Sección 3: Ajustar alertas por correo para los sucesos Críticos

Imagen 139 – GFI EventsManager: Editar las acciones de clasificación por defecto

1. Desde el panel izquierdo, haga clic derecho en el nodo Default Clasification Actions y seleccione Edit defaults….


Imagen 140 – Personalizando las acciones de clasificación por defecto

2. De la lista desplegable provista, seleccione Critical events actions. 3. Seleccione la opción Send email notifications to de la lista provista. 4. Seleccione GFI EventsManager User Group y haga clic en Add. Haga clic en el botón OK para cerrar el diálogo. 5. Haga clic en OK para finalizar los ajustes.

178 • Tutorial 3 – Búsqueda y Filtrado de Sucesos GFI EventsManager

Tutorial 3 – Búsqueda y Filtrado de Sucesos

Visión General En este tutorial demostraremos como utilizar el constructor de consultas de sucesos para crear nuevas consultas de sucesos. El ámbito de este ejemplo se extiende desde la creación de nuevas consultas de sucesos hasta la utilización de las consultas de sucesos para mostrar sólo los datos de sucesos requeridos.

Parámetros Los parámetros utilizados en este tutorial se muestran abajo: • Nombre de la Consulta: Filtrar sucesos con el ID 520 • Descripción: Consulta que muestra los sucesos que tengan el ID

de suceso 520 • Event ID: 520.

Crear una nueva consulta de sucesos 1. Seleccione Events Browser de la barra de opciones principal. 2. Seleccione Windows Events Browser de la barra de opciones secundaria. 3. Del panel izquierdo, haga clic derecho sobre la opción Security Events y seleccione Query builder…. Esto abrirá el generador de consultas de sucesos.

GFI EventsManager Tutorial 3 – Búsqueda y Filtrado de Sucesos • 179

Imagen 141 – Configuración del filtro

4. Especifique los siguientes detalles de la consulta: • Nombre: Filtrar sucesos con el ID 520 • Descripción: Consulta que muestra los sucesos que tengan el ID

de suceso 520. 5. Haga clic en Add e indique las siguientes condiciones de la consulta: • Seleccione el campo operador: Igual A • Introduzca el valor del campo: 520. 6. Haga clic en OK para cerrar el diálogo.


Imagen 142 – Diálogo del propiedades del filtro

7. Haga clic en OK para finalizar los ajustes de la consulta.


Utilizar la nueva consulta de sucesos

Imagen 143 – Selección del nuevo filtro

Haga clic en Filtrar sucesos con el ID 520 para filtrar todos los sucesos que tengan el ID de suceso 520.


Índice

A

acciones 10, 13, 40, 51, 52, 54, 64, 67, 68, 69, 101, 105, 108, 109, 163, 178, 179

Acciones 10 Actualizar 20 ajustes de alertas por

defecto 36 alertas de red 33, 37, 67, 69 alertas por correo 32, 35, 37,

51, 67 alertas SMS 32, 35, 38, 121,

128, 131, 154, 160, 163, 164, 176

Alerting Options 123, 126, 128, 131

archive de sucesos 64, 67 archivo de sucesos 29 asistente 119 asistente de instalación 20

B

base de datos de respaldo 10, 14, 29, 30, 31, 32, 63, 75, 81, 82

C

clasificación de sucesos 10, 52, 69

clasificación del suceso 64, 67

clave de licencia 21 codificación por colores de

sucesos 74 conjunto de reglas 64, 96,

97, 98, 101, 105 conjunto de reglas 65 conjunto de reglas 95 conjunto de reglas 96 conjunto de reglas 96 conjunto de reglas 97 consulta de sucesos 75, 76 consultas de sucesos 10, 72,

73 copia de seguridad de los

sucesos 82 copia de seguridad de

sucesos 81 credenciales de inicio 47

D

Diálogo de Configuración Inicial 28, 30, 33, 36, 40, 41, 153, 154, 157

Diálogo de Configuración Rápida 29

E

editor de consultas de sucesos 10

EventsManagerAdministrator 32, 33

F

fuentes de sucesos 9, 13, 40, 41, 43, 44, 45, 48, 56, 59

Fuentes de sucesos 43, 100, 104, 107

G

generador de consultas de sucesos 76

GSM 122

H

herramienta de búsqueda de sucesos 75

horario laboral 33, 34, 47, 48, 100, 104, 107, 114, 154, 159, 160, 163, 164, 175, 176

horario operativo 47, 48, 100, 104, 107

I información de la versión 118

J

jornada laboral 33

L

licencia 21, 117 licenciamiento 15

M

mensajes Syslog 27, 60 monitor de estado 83

O

opciones de configuración 119


P

privilegios 21 Properties 123, 126, 128,

131 Propiedades del Equipo 45

Q

Quick Start Dialog 35

R

registros de sucesos Windows 13, 25, 51, 54, 55, 64, 65, 95

registros de sucesos Windows 9

Registros de sucesos Windows 7

registros W3C 7, 13, 25, 26, 51, 58, 101, 109

reglas de procesamiento de sucesos 9, 10, 13, 14, 51, 52, 56, 59, 62, 64, 65, 67, 69, 95

S

servidor Syslog 27, 61, 62 SMS 121

Documents

GFI EventsManager 7.0 Manual - Software de Seguridad para ... › eventsmanager › esm7manual_es.pdfCorreo, alertas SMS y alertas de Red. Archivo Una colección de sucesos almacenados