MOM in a Day Hands on Lab –HOL 1: Erstellen einer Computer Group –HOL 2: Erstellen einer Processing Rule Group –HOL 3: Verknüpfen der erstellten Computer Group mit der erstellten Processing Rule Group

MOM in a Day –HOL 4: Erstellen von Regeln Security Event Consolidation Rule Auswertung eines Log Files Missing Event Performance Treshold Rule –HOL 5: Installation einer neuen Applikation –HOL 6: weitere Regelarten

HOL 1 Erstellen einer Computer Group

HOL 1 New Computer Group Selektieren Sie Windows NT Member Server -> Next

HOL 1 Selektieren Sie für Domain Name das Kriterium equals und übergeben als Parameter den Namen der Domäne. Selektieren Sie für Computer name das Kriterium equals und übergeben als Parameter den Namen Ihres Systems (z.B. R1P1)

HOL 1 Selektieren Sie über Attribute das Kriterium Microsoft Operation Manager – Agent -> Next

HOL 1 Lassen Sie dieses Fenster unverändert -> Next

HOL 1 Lassen Sie dieses Fenster unverändert -> Next

HOL 1 Übergeben Sie den Namen Ihres Systems als Name der Computer Group Lassen Sie das Flag Enabled gesetzt. -> Finish

HOL 1 Beantworten Sie die Abfrage mit No

HOL 1 Verifizieren Sie über Rules – Computer Group die Existenz Ihrer angelegten Gruppe

HOL 1 Kontrollieren Sie über Monitor – All Computer Groups die Anzahl Members in Ihrer erstellten Computer Group

HOL 1 Die Änderung muss bestätigt werden, damit diese aktiv wird. Dies wird über Rules – Commit Configuration Change erreicht Im Anschluss ist ein Scan über die Systeme zu initiieren. Im Erfolgsfall führt Ihre Computer Group ein System.

BREAK

HOL 1 Durch einen Doppelklick auf Ihre Computer Group sehen Sie die Mitglieder

HOL 1 Die angelegte Computer Group führt nun das Zielsystem An diese können nun Regelwerke Processing Rule Groups gebunden werden, wodurch die darin enthaltenen Regeln auf dem Zielsystem wirken. Im nächsten Schritt wird eine Processing Rule Group erstellt. Diese wird im Anschluss an die erstellte Computer Group gebunden.

HOL 2 Erstellen einer Processing Rule Group

HOL 2 Create Processing Rule Group Übergeben Sie als Namen PRG Student RxPy, wobei xund y aus dem Systemnamen abzuleiten sind. Lassen Sie das Flag Enabled gesetzt. -> Next

HOL 2 Klicken Sie auf Edit und fügen einen Text hinzu – verwenden Sie http/ Mail Links.

HOL 2 Bestätigen Sie die nachfolgende Abfrage mit No

HOL 2 Selektieren Sie unter Rules – Processing Rule Group Ihre angelegte Gruppe. Beachten Sie die dargestellten Informationen und die Möglichkeit des Zugriffs auf weitere Informationen / Aktionen (http, Mail, etc.)

HOL 2

Zusammenfassung –In HOL 1 wurde eine Computer Group erstellt, welche das Zielsystem führt –In HOL 2 wurde eine Processing Rule Group erstellt. Diese enthält bis jetzt noch keine Regeln und ist an keine Computer Group gebunden. Next Step –Verknüpfen der beiden Gruppen –Erstellen von Regeln

HOL 3 Verknüpfen von Computer- und Processing Rule Group

HOL 3 Die beiden erstellten Gruppen sind nun zu verknüpfen –hierzu führen Sie einen Rechtsklick auf Ihre PRG durch und wählen aus dem Kontextmenü den Eintrag Associate Computer Group... aus. In dem Folgefenster fügen Sie über den Button Add Ihre Computer Group hinzu

HOL 3 Bestätigen Sie die Auswahl mit OK

BREAK

HOL 4 Erstellen von Regeln

HOL 4 1.Überwachung einer Falschanmeldung 2.Erstellen einer Consolidation Rule 3.Auswertung einer Log Datei 4.Erstellen einer Missing Event Rule 5.Performance Treshold Rule

HOL 4 Überwachung einer Falschanmeldung

HOL 4 Falschanmeldung Diese Regel reagiert auf das Ereignis 529 der Source Security

HOL 4 Falschanmeldung Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb Ihrer PRG durch und selektieren Alert on or Respond to Event... Durch diese Auswahl wird der entsprechende Wizard gestartet.

HOL 4 Falschanmeldung Wählen Sie im Feld Provider name den Eintrag Security aus. Bestätigen Sie die Auswahl mit OK

HOL 4 Falschanmeldung Aktivieren Sie from source und übergeben Sie den Parameter Security Aktivieren Sie with event id und übergeben Sie den Parameter 529 Bestätigen Sie mit Next

HOL 4 Falschanmeldung Wählen Sie hier einen für das Lab sinnvollen Zeitraum. Bestätigen Sie die Auswahl mit Next

HOL 4 Falschanmeldung Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Security Breach aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next

HOL 4 Falschanmeldung Nehmen Sie hier keine Änderungen vor. Bestätigen Sie mit Next

HOL 4 Falschanmeldung Nehmen Sie hier keine Änderungen vor. Bestätigen Sie mit Next

HOL 4 Falschanmeldung Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu.

HOL 4 Falschanmeldung Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.

BREAK

HOL 4 Consolidation Rule

HOL 4 Consolidation Rule Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Consolidation Rule an.

HOL 4 Consolidation Rule Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb Ihrer PRG durch und selektieren Consolidate Similar Events... Durch diese Auswahl wird der entsprechende Wizard gestartet

HOL 4 Consolidation Rule Wählen Sie im Feld Provider name den Eintrag Application aus. Bestätigen Sie die Auswahl mit OK

HOL 4 Consolidation Rule Aktivieren Sie from source und übergeben Sie den Parameter HOL4 Aktivieren Sie with event id und übergeben Sie den Parameter 1 Bestätigen Sie mit Next

HOL 4 Consolidation Rule Führen Sie hier keine Änderung durch Bestätigen Sie mit Next

HOL 4 Consolidation Rule Deaktivieren Sie alle Kriterien bis auf Event Number Setzen den Wert des Feldes Events must occur within auf 10 seconds Bestätigen Sie mit Next

HOL 4 Consolidation Rule Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu Bestätigen Sie mit Next

HOL 4 Consolidation Rule Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.

HOL 4 Consolidation Rule Die erstellte Consolidation Rule erzeugt bei Erfüllung der Kriterien ein MOM Event. Um auf dieses MOM Event reagieren zu können, wird im nächsten Schritt ein Alert Regel erstellt.

HOL 4 Consolidation Rule Wählen Sie über einen Rechtsklick auf Event Processing Rules den Eintrag Alert on or Respond to Event... aus

HOL 4 Consolidation Rule Wählen Sie im Feld Provider name den Eintrag Application aus. Bestätigen Sie die Auswahl mit OK

HOL 4 Consolidation Rule Aktivieren Sie from source und übergeben Sie den Parameter HOL4 Aktivieren Sie with event id und übergeben Sie den Parameter 1 Klicken Sie auf Advanced

HOL 4 Consolidation Rule Wählen Sie unter Field den Eintrag Repeat Count und im Feld Condition das Kriterium is more than aus. Übergeben Sie im Feld Value den Wert 3 und klicken Add to List

HOL 4 Consolidation Rule Kontrollieren Sie die Einträge unter Criteria description und klicken auf Next

HOL 4 Consolidation Rule Verlassen Sie den Bildschirm Advanced Criteria über den Button Close

HOL 4 Consolidation Rule Keine Änderung erforderlich Klicken Sie auf den Button Next

HOL 4 Consolidation Rule Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Error aus. Im Feld Owner können Sie Ihren Namen übergeben. Bestätigen Sie mit Next

HOL 4 Consolidation Rule Deaktivieren Sie das Feld Suppress duplicate alerts Gehen Sie über den Button Next weiter.

HOL 4 Consolidation Rule Keine Änderung erforderlich Klicken Sie auf den Button Next

HOL 4 Consolidation Rule Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu Bestätigen Sie mit Next

HOL 4 Consolidation Rule Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.

HOL 4 Consolidation Rule Ihre PRG RxPy – Consolidation Rule sollte nun 2 Regeln führen.

BREAK

HOL 4 Auswertung Log File

HOL 4 Auswertung Log File Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Log File an.

HOL 4 Auswertung Log File Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb der PRG.... Log File durch und selektieren Alert on or Respond to Event... Durch diese Auswahl wird der entsprechende Wizard gestartet.

HOL 4 Auswertung Log File Klicken Sie auf New...

HOL 4 Auswertung Log File Selektieren Sie den Typ Application Log und bestätigen die Auswahl mit OK

HOL 4 Auswertung Log File Übergeben Sie im Feld Provider Name eine Bezeichung, die mit dem Namen Ihres Systems beginnt. Im Feld Provider log type wählen Sie Generic single-line log aus Bestätigen Sie mit Next

HOL 4 Auswertung Log File In das Feld Directory tragen Sie C:\LogFile ein. Klicken Sie auf Add.. u. fügen i.d. Feld File Pattern die Bezeichnung MyLog.txt ein.

HOL 4 Auswertung Log File Kontrollieren Sie die Einträge. Bestätigen Sie mit Finish

HOL 4 Auswertung Log File Klicken Sie auf Next

HOL 4 Auswertung Log File Klicken Sie auf den Button Advanced

HOL 4 Auswertung Log File Definieren Sie die Kriterien entsprechend der Abbildung und klicken dann auf Add to List

HOL 4 Auswertung Log File Verlassen Sie den Bildschirm über den Button Close

HOL 4 Auswertung Log File Kontrollieren Sie das Feld Criteria description Klicken Sie auf Next

HOL 4 Auswertung Log File Klicken Sie auf den Button Next

HOL 4 Auswertung Log File Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Critical Error aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next

HOL 4 Auswertung Log File Deaktivieren Sie das Feld Suppress duplicate alerts Klicken Sie auf Next

HOL 4 Auswertung Log File Keine Veränderung erforderlich Klicken Sie auf Next

HOL 4 Auswertung Log File Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu.

HOL 4 Auswertung Log File Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.

HOL 4 Auswertung Log File Ihre PRG RxPy – LogFile sollte nun 1 Regel führen

BREAK

HOL 4 Missing Event Rule

HOL 4 Detect Missing Event Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Missing Event an

HOL 4 Missing Event Führen Sie einen Rechtsklick auf den Eintrag Event Processing Rules unterhalb der PRG.... Missing Event durch und selektieren Detect Missing Event... Durch diese Auswahl wird der entsprechende Wizard gestartet.

HOL 4 Missing Event Wählen Sie im Feld Provider name den Eintrag Application aus. Bestätigen Sie die Auswahl mit OK

HOL 4 Missing Event Aktivieren Sie das Feld from Source und übergeben Backup Aktivieren Sie das Feld with event id und übergeben 901

HOL 4 Missing Event Definieren Sie hier einen Zeitraum, in dem das Ereignis erwartet wird. Der Zeitraum muss im Zeitfenster der Übung liegen.

HOL 4 Missing Event Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Critical Error aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next

HOL 4 Missing Event Lassen Sie diesen Bildschirm unverändert Klicken Sie auf Next

HOL 4 Missing Event Lassen Sie diesen Bildschirm unverändert Klicken Sie auf Next

HOL 4 Missing Event Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu.

HOL 4 Missing Event Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.

HOL 4 Missing Event Ihre PRG RxPy – Missing Event sollte nun 1 Regel führen

BREAK

HOL 4 Performance Treshold Rule

HOL 4 Perf Treshold Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen Rx-Py Performance Rule an.

HOL 4 Perf Treshold Führen Sie einen Rechtsklick auf den Eintrag Performance Processing Rule unterhalb der PRG.... Performance Rule durch und selektieren Compare Performance Data.. Durch diese Auswahl wird der entsprechende Wizard gestartet.

HOL 4 Perf Treshold Klicken Sie auf New

HOL 4 Perf Treshold Selektieren Sie Windows NT Performance Counter Klicken Sie auf OK

HOL 4 Perf Treshold Konfigurieren Sie entsprechend der Abbildung. Wählen Sie eine Bezeichung, die mit dem Namen Ihres Systems beginnt. Lassen Sie das Feld Counter definitions from unverändert. Der Wert Sample every ist auf 2 minutes zu stellen. Klicken Sie auf Next

HOL 4 Perf Treshold Keine Änderung erforderlich. Klicken Sie auf Finish

HOL 4 Perf Treshold Klicken Sie auf Next

HOL 4 Perf Treshold Keine Änderung erforderlich. Klicken Sie auf Finish

HOL 4 Perf Treshold Keine Änderung erforderlich. Klicken Sie auf Finish

HOL 4 Perf Treshold Konfigurieren Sie entsprechend der Abbildung. Achten Sie darauf, dass der Wert the average of values over auf 2 samples konfiguriert ist Klicken Sie auf Next

HOL 4 Perf Treshold Aktivieren Sie das Feld Generate Alert Wählen Sie im Feld Alert severity den Eintrag Critical Error aus. Im Feld Owner übergeben Sie Ihren Namen. Bestätigen Sie mit Next

HOL 4 Perf Treshold Deaktivieren Sie das Feld Suppress duplicate alerts Klicken Sie auf Next

HOL 4 Perf Treshold Keine Änderung erforderlich Klicken Sie auf Next

HOL 4 Perf Treshold Klicken Sie hier auf Edit und fügen einen beliebigen Text hinzu Bestätigen Sie mit Next

HOL 4 Perf Treshold Geben Sie im Feld Name eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt. Schließen Sie über den Button Finish ab.

Ihre PRG RxPy – Performance Rule sollte nun 1 Regel führen

BREAK