Mit der Regel-Benutzeroberfläche können Sie Regeln zur Bewertung der eingehenden Ereignisse definieren sowie Regeln zur Zustellung der Ereignisse an die festgelegten Ausgabekanäle. Beispiel: Alle Ereignisse mit dem Schweregrad 5 können per Email an einen Verteiler von Sicherheitsanalysten oder an einen Administrator gesendet werden.
HINWEIS:Alle Ereignisse werden außerdem der Datenbank zugestellt.
Ein eingehendes Ereignis wird anhand einer Filterregel bewertet, bis eine Übereinstimmung gefunden wurde. Danach werden die zu dieser Regel gehörenden Zustellungsaktionen ausgeführt:
An Email senden: Das Ereignis wird an einen oder mehrere Benutzer gesendet. Dazu wird ein konfigurierter SMTP-Server verwendet.
In Datei schreiben: Das Ereignis wird in eine bestimmte Datei auf dem Identity Audit-Server geschrieben.
An Syslog senden: Das Ereignis wird an einen konfigurierten Syslog-Server weitergeleitet
TIPP:Ereignisse werden nacheinander mithilfe der verknüpften Aktionen verarbeitet. Berücksichtigen Sie daher bei der Auswahl der Ausgabekanäle, an die die Ereignisse gesendet werden, die Auswirkung auf die Leistung. Beispiel: Die Aktion "In Datei schreiben" benötigt am wenigsten Ressourcen. Sie können diese Aktion zum Testen von Regelkriterien zur Ermittlung von Datenmengen verwenden, bevor Sie eine große Anzahl von Ereignissen per Email oder an das Syslog senden.
Wenn Sie die Aktion "An Email senden" wählen, berücksichtigen Sie, wie viele Ereignisse der Empfänger bearbeiten kann. Passen Sie die Filteroption der Regel entsprechend an.
Die Ereignisausgabe erfolgt in JavaScript Object Notation (JSON). Dies ist ein leicht lesbares Datenaustauschformat. Ereignisse bestehen aus Feldnamen (z. B. “evt” für Ereignisname), gefolgt von einem Punkt und einem Wert (z. B. “Start”), getrennt durch Kommata.
{"st":"I","evt":"Start","sev":"1","sres":"Collector","res":"CollectorManager","rv99":"0","rv1":"0","repassetid":"0","rv77":"0","agent":"Novell SecureLogin","obsassetid":"0","vul":"0","port":"Novell SecureLogin","msg":"Processing started for Collector Novell SecureLogin (ID D892E9F0-3CA7-102B-B5A1-005056C00005).","dt":"1224204655689","id":"751D97B0-7E13-112B-B933-000C29E8CEDE","src":"D892E9F0-3CA7-102B-B5A2-005056C00004"}