MOM in a Day Hands on Lab –HOL 1: Erstellen einer Computer Group –HOL 2: Erstellen einer Processing Rule Group –HOL 3: Verknüpfen der erstellten Computer Group mit der erstellten Processing Rule Group
MOM in a Day –HOL 4: Erstellen von Regeln Security Event Consolidation Rule Auswertung eines Log Files Missing Event Performance Treshold Rule –HOL 5: Installation einer neuen Applikation –HOL 6: weitere Regelarten
HOL 1 Erstellen einer Computer Group
HOL 1 New Computer Group Selektieren Sie Windows NT Member Server -> Next
HOL 1 Selektieren Sie für Domain Name das Kriterium equals und übergeben als Parameter den Namen der Domäne. Selektieren Sie für Computer name das Kriterium equals und übergeben als Parameter den Namen Ihres Systems (z.B. R1P1)
HOL 1 Selektieren Sie über Attribute das Kriterium Microsoft Operation Manager – Agent -> Next
HOL 1 Lassen Sie dieses Fenster unverändert -> Next
HOL 1 Lassen Sie dieses Fenster unverändert -> Next
HOL 1 Übergeben Sie den Namen Ihres Systems als Name der Computer Group Lassen Sie das Flag Enabled gesetzt. -> Finish
HOL 1 Beantworten Sie die Abfrage mit No
HOL 1 Verifizieren Sie über Rules – Computer Group die Existenz Ihrer angelegten Gruppe
HOL 1 Kontrollieren Sie über Monitor – All Computer Groups die Anzahl Members in Ihrer erstellten Computer Group
HOL 1 Die Änderung muss bestätigt werden, damit diese aktiv wird. Dies wird über Rules – Commit Configuration Change erreicht Im Anschluss ist ein Scan über die Systeme zu initiieren. Im Erfolgsfall führt Ihre Computer Group ein System.
BREAK
HOL 1 Durch einen Doppelklick auf Ihre Computer Group sehen Sie die Mitglieder
HOL 1 Die angelegte Computer Group führt nun das Zielsystem An diese können nun Regelwerke Processing Rule Groups gebunden werden, wodurch die darin enthaltenen Regeln auf dem Zielsystem wirken. Im nächsten Schritt wird eine Processing Rule Group erstellt. Diese wird im Anschluss an die erstellte Computer Group gebunden.
HOL 2 Erstellen einer Processing Rule Group
HOL 2 Create Processing Rule Group Übergeben Sie als Namen PRG Student RxPy, wobei xund y aus dem Systemnamen abzuleiten sind. Lassen Sie das Flag Enabled gesetzt. -> Next
HOL 2 Klicken Sie auf Edit und fügen einen Text hinzu – verwenden Sie http/ Mail Links.
HOL 2 Bestätigen Sie die nachfolgende Abfrage mit No
HOL 2 Selektieren Sie unter Rules – Processing Rule Group Ihre angelegte Gruppe. Beachten Sie die dargestellten Informationen und die Möglichkeit des Zugriffs auf weitere Informationen / Aktionen (http, Mail, etc.)
HOL 2
Zusammenfassung –In HOL 1 wurde eine Computer Group erstellt, welche das Zielsystem führt –In HOL 2 wurde eine Processing Rule Group erstellt. Diese enthält bis jetzt noch keine Regeln und ist an keine Computer Group gebunden. Next Step –Verknüpfen der beiden Gruppen –Erstellen von Regeln
HOL 3 Verknüpfen von Computer- und Processing Rule Group
HOL 3 Die beiden erstellten Gruppen sind nun zu verknüpfen –hierzu führen Sie einen Rechtsklick auf Ihre PRG durch und wählen aus dem Kontextmenü den Eintrag Associate Computer Group... aus. In dem Folgefenster fügen Sie über den Button Add Ihre Computer Group hinzu
HOL 3 Bestätigen Sie die Auswahl mit OK
BREAK
HOL 4 Erstellen von Regeln
HOL 4 1.Überwachung einer Falschanmeldung 2.Erstellen einer Consolidation Rule 3.Auswertung einer Log Datei 4.Erstellen einer Missing Event Rule 5.Performance Treshold Rule
HOL 4 Überwachung einer Falschanmeldung
HOL 4 Falschanmeldung Diese Regel reagiert auf das Ereignis 529 der Source Security
HOL 4 Falschanmeldung Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb Ihrer PRG durch und selektieren Alert on or Respond to Event... Durch diese Auswahl wird der entsprechende Wizard gestartet.
HOL 4 Falschanmeldung Wählen Sie im Feld Provider name den Eintrag Security aus. Bestätigen Sie die Auswahl mit OK
HOL 4 Falschanmeldung Aktivieren Sie from source und übergeben Sie den Parameter Security Aktivieren Sie with event id und übergeben Sie den Parameter 529 Bestätigen Sie mit Next
HOL 4 Falschanmeldung Wählen Sie hier einen für das Lab sinnvollen Zeitraum. Bestätigen Sie die Auswahl mit Next
HOL 4 Falschanmeldung Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Security Breach aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next
HOL 4 Falschanmeldung Nehmen Sie hier keine Änderungen vor. Bestätigen Sie mit Next
HOL 4 Falschanmeldung Nehmen Sie hier keine Änderungen vor. Bestätigen Sie mit Next
HOL 4 Falschanmeldung Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu.
HOL 4 Falschanmeldung Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.
BREAK
HOL 4 Consolidation Rule
HOL 4 Consolidation Rule Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Consolidation Rule an.
HOL 4 Consolidation Rule Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb Ihrer PRG durch und selektieren Consolidate Similar Events... Durch diese Auswahl wird der entsprechende Wizard gestartet
HOL 4 Consolidation Rule Wählen Sie im Feld Provider name den Eintrag Application aus. Bestätigen Sie die Auswahl mit OK
HOL 4 Consolidation Rule Aktivieren Sie from source und übergeben Sie den Parameter HOL4 Aktivieren Sie with event id und übergeben Sie den Parameter 1 Bestätigen Sie mit Next
HOL 4 Consolidation Rule Führen Sie hier keine Änderung durch Bestätigen Sie mit Next
HOL 4 Consolidation Rule Deaktivieren Sie alle Kriterien bis auf Event Number Setzen den Wert des Feldes Events must occur within auf 10 seconds Bestätigen Sie mit Next
HOL 4 Consolidation Rule Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu Bestätigen Sie mit Next
HOL 4 Consolidation Rule Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.
HOL 4 Consolidation Rule Die erstellte Consolidation Rule erzeugt bei Erfüllung der Kriterien ein MOM Event. Um auf dieses MOM Event reagieren zu können, wird im nächsten Schritt ein Alert Regel erstellt.
HOL 4 Consolidation Rule Wählen Sie über einen Rechtsklick auf Event Processing Rules den Eintrag Alert on or Respond to Event... aus
HOL 4 Consolidation Rule Wählen Sie im Feld Provider name den Eintrag Application aus. Bestätigen Sie die Auswahl mit OK
HOL 4 Consolidation Rule Aktivieren Sie from source und übergeben Sie den Parameter HOL4 Aktivieren Sie with event id und übergeben Sie den Parameter 1 Klicken Sie auf Advanced
HOL 4 Consolidation Rule Wählen Sie unter Field den Eintrag Repeat Count und im Feld Condition das Kriterium is more than aus. Übergeben Sie im Feld Value den Wert 3 und klicken Add to List
HOL 4 Consolidation Rule Kontrollieren Sie die Einträge unter Criteria description und klicken auf Next
HOL 4 Consolidation Rule Verlassen Sie den Bildschirm Advanced Criteria über den Button Close
HOL 4 Consolidation Rule Keine Änderung erforderlich Klicken Sie auf den Button Next
HOL 4 Consolidation Rule Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Error aus. Im Feld Owner können Sie Ihren Namen übergeben. Bestätigen Sie mit Next
HOL 4 Consolidation Rule Deaktivieren Sie das Feld Suppress duplicate alerts Gehen Sie über den Button Next weiter.
HOL 4 Consolidation Rule Keine Änderung erforderlich Klicken Sie auf den Button Next
HOL 4 Consolidation Rule Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu Bestätigen Sie mit Next
HOL 4 Consolidation Rule Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.
HOL 4 Consolidation Rule Ihre PRG RxPy – Consolidation Rule sollte nun 2 Regeln führen.
BREAK
HOL 4 Auswertung Log File
HOL 4 Auswertung Log File Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Log File an.
HOL 4 Auswertung Log File Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb der PRG.... Log File durch und selektieren Alert on or Respond to Event... Durch diese Auswahl wird der entsprechende Wizard gestartet.
HOL 4 Auswertung Log File Klicken Sie auf New...
HOL 4 Auswertung Log File Selektieren Sie den Typ Application Log und bestätigen die Auswahl mit OK
HOL 4 Auswertung Log File Übergeben Sie im Feld Provider Name eine Bezeichung, die mit dem Namen Ihres Systems beginnt. Im Feld Provider log type wählen Sie Generic single-line log aus Bestätigen Sie mit Next
HOL 4 Auswertung Log File In das Feld Directory tragen Sie C:\LogFile ein. Klicken Sie auf Add.. u. fügen i.d. Feld File Pattern die Bezeichnung MyLog.txt ein.
HOL 4 Auswertung Log File Kontrollieren Sie die Einträge. Bestätigen Sie mit Finish
HOL 4 Auswertung Log File Klicken Sie auf Next
HOL 4 Auswertung Log File Klicken Sie auf den Button Advanced
HOL 4 Auswertung Log File Definieren Sie die Kriterien entsprechend der Abbildung und klicken dann auf Add to List
HOL 4 Auswertung Log File Verlassen Sie den Bildschirm über den Button Close
HOL 4 Auswertung Log File Kontrollieren Sie das Feld Criteria description Klicken Sie auf Next
HOL 4 Auswertung Log File Klicken Sie auf den Button Next
HOL 4 Auswertung Log File Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Critical Error aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next
HOL 4 Auswertung Log File Deaktivieren Sie das Feld Suppress duplicate alerts Klicken Sie auf Next
HOL 4 Auswertung Log File Keine Veränderung erforderlich Klicken Sie auf Next
HOL 4 Auswertung Log File Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu.
HOL 4 Auswertung Log File Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.
HOL 4 Auswertung Log File Ihre PRG RxPy – LogFile sollte nun 1 Regel führen
BREAK
HOL 4 Missing Event Rule
HOL 4 Detect Missing Event Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Missing Event an
HOL 4 Missing Event Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb der PRG.... Missing Event durch und selektieren Detect Missing Event... Durch diese Auswahl wird der entsprechende Wizard gestartet.
HOL 4 Missing Event Wählen Sie im Feld Provider name den Eintrag Application aus. Bestätigen Sie die Auswahl mit OK
HOL 4 Missing Event Aktivieren Sie das Feld from Source und übergeben Backup Aktivieren Sie das Feld with event id und übergeben 901
HOL 4 Missing Event Definieren Sie hier einen Zeitraum, in dem das Ereignis erwartet wird. Der Zeitraum muss im Zeitfenster der Übung liegen.
HOL 4 Missing Event Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Critical Error aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next
HOL 4 Missing Event Lassen Sie diesen Bildschirm unverändert Klicken Sie auf Next
HOL 4 Missing Event Lassen Sie diesen Bildschirm unverändert Klicken Sie auf Next
HOL 4 Missing Event Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu.
HOL 4 Missing Event Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.
HOL 4 Missing Event Ihre PRG RxPy – Missing Event sollte nun 1 Regel führen
BREAK
HOL 4 Performance Treshold Rule
HOL 4 Perf Treshold Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Performance Rule an.
HOL 4 Perf Treshold Führen Sie einen Rechtsklick auf den Eintrag Performance Processing Rule unterhalb der PRG.... Performance Rule durch und selektieren Compare Performance Data.. Durch diese Auswahl wird der entsprechende Wizard gestartet.
HOL 4 Perf Treshold Klicken Sie auf New
HOL 4 Perf Treshold Selektieren Sie Windows NT Performance Counter Klicken Sie auf OK
HOL 4 Perf Treshold Konfigurieren Sie entsprechend der Abbildung. Wählen Sie eine Bezeichung, die mit dem Namen Ihres Systems beginnt. Lassen Sie das Feld Counter definitions from unverändert. Der Wert Sample every ist auf 2 minutes zu stellen. Klicken Sie auf Next
HOL 4 Perf Treshold Keine Änderung erforderlich. Klicken Sie auf Finish
HOL 4 Perf Treshold Klicken Sie auf Next
HOL 4 Perf Treshold Keine Änderung erforderlich. Klicken Sie auf Finish
HOL 4 Perf Treshold Keine Änderung erforderlich. Klicken Sie auf Finish
HOL 4 Perf Treshold Konfigurieren Sie entsprechend der Abbildung. Achten Sie darauf, dass der Wert the average of values over auf 2 samples konfiguriert ist Klicken Sie auf Next
HOL 4 Perf Treshold Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Critical Error aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next
HOL 4 Perf Treshold Deaktivieren Sie das Feld Suppress duplicate alerts Klicken Sie auf Next
HOL 4 Perf Treshold Keine Änderung erforderlich Klicken Sie auf Next
HOL 4 Perf Treshold Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu Bestätigen Sie mit Next
HOL 4 Perf Treshold Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.
Ihre PRG RxPy – Performance Rule sollte nun 1 Regel führen
BREAK