Benutzerhandbuch zur Berichterstellung

Transkript

1 Benutzerhandbuch zur Berichterstellung

2 Benutzerhandbuch zur Berichterstellung Die im vorliegenden Handbuch beschriebene Software wird im Rahmen einer Lizenzvereinbarung zur Verfügung gestellt und darf nur im Einklang mit den Bestimmungen dieser Vereinbarung verwendet werden. Dokumentation Version Rechtlicher Hinweis Copyright 2006 Symantec Corporation. Alle Rechte vorbehalten. Erwerb durch Bundesbehörden: Kommerzielle Software - die Benutzung durch Mitarbeiter der US-Regierung unterliegt den allgemeinen Lizenzbestimmungen und -bedingungen. Symantec, das Symantec-Logo, Symantec AntiVirus, Symantec Client Security, Symantec System Center und Symantec Client Firewall sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Tochterfirmen in den USA oder anderen Ländern. Andere Namen können Marken ihrer jeweiligen Inhaber sein. Das in diesem Dokument beschriebene Produkt wird lizenziert vertrieben. Die Lizenzen beschränken die Verwendung, Vervielfältigung, Verteilung und Dekompilierung bzw. Rückentwicklung des Produkts. Kein Teil dieses Dokuments darf ohne vorherige schriftliche Zustimmung von Symantec Corporation und ihrer Lizenzgeber, sofern vorhanden, in irgendeiner Form reproduziert werden. DIE DOKUMENTATION WIRD OHNE MÄNGELGEWÄHR BEREITGESTELLT. ALLE AUSDRÜCKLICHEN UND STILLSCHWEIGENDEN VORAUSSETZUNGEN, DARSTELLUNGEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER NICHT-BEEINTRÄCHTIGUNG, SIND AUSGESCHLOSSEN, AUSSER IN DEM UMFANG, IN DEM SOLCHE HAFTUNGSAUSSCHLÜSSE ALS NICHT RECHTSGÜLTIG ANGESEHEN WERDEN. SYMANTEC CORPORATION IST NICHT FÜR BEILÄUFIG ENTSTANDENE SCHÄDEN ODER FÜR FOLGESCHÄDEN VERANTWORTLICH, DIE IN VERBINDUNG MIT DER ERWORBENEN LEISTUNG ODER DER VERWENDUNG DIESER DOKUMENTATION STEHEN. DIE IN DIESER DOKUMENTATION ENTHALTENEN INFORMATIONEN KÖNNEN JEDERZEIT OHNE ANKÜNDIGUNG GEÄNDERT WERDEN. Die lizenzierte Software und die Dokumentation werden gemäß der Definitionen in FAR-Abschnitt und DFARS-Abschnitt als "kommerzielle Computersoftware" and "kommerzielle Softwaredokumentation" erachtet. Symantec Corporation Stevens Creek Blvd. Cupertino, CA USA

3 Lösungen für Service und Unterstützung Registrierung und Lizenzierung Sicherheits-Updates Symantec bemüht sich weltweit um ausgezeichnete Serviceleistungen. Unser Ziel ist, Ihnen professionelle Hilfestellung bei der Anwendung unserer Software zu leisten und professionelle Dienste anzubieten ganz gleich, in welchem Land. Die Angebote für Service und Unterstützung sind von Land zu Land unterschiedlich. Wenn Sie Fragen zu den unten beschriebenen Dienstleistungen haben, lesen Sie bitte den Abschnitt "Alle Kontaktinformationen auf einen Blick". Falls für das von Ihnen installierte Produkt eine Registrierung und/oder ein Lizenzschlüssel erforderlich sind, bietet unsere Lizenz- und Registrierungssite unter (auf Englisch) eine schnelle und einfache Methode zur Registrierung Ihres Dienstes. Sie können aber auch auf der Site das Produkt auswählen, das Sie registrieren möchten, und auf der Produkt-Homepage den Link "Lizenzierung und Registrierung" wählen. Wenn Sie ein Unterstützungsabonnement erworben haben, können Sie technische Unterstützung über Telefon und Internet in Anspruch nehmen. Halten Sie bei der ersten Kontaktaufnahme entweder die Lizenznummer aus Ihrem Lizenzzertifikat oder die bei der Unterstützungsregistrierung erzeugte Kontakt-ID bereit, so dass ein Mitarbeiter der technischen Unterstützung ihre Berechtigung überprüfen kann. Wenn Sie kein Unterstützungsabonnement erworben haben, erfahren Sie Einzelheiten zum Erwerb technischer Unterstützung über Ihren Händler oder den Symantec-Kundenservice. Aktuelle Informationen zu Viren und Sicherheitsbedrohungen finden Sie auf der Symantec Security Response-Website (vormals Antivirus Research Centre) unter folgender Adresse: Diese Site enthält umfassende Online-Informationen zu Sicherheits- und Virenbedrohungen sowie die neuesten Virendefinitionen. Virendefinitionen können außerdem mithilfe der LiveUpdate-Funktion Ihres jeweiligen Produkts heruntergeladen werden. Erneuern des Abonnements für Virendefinitions-Updates Wenn Sie zusammen mit Ihrem Produkt einen Wartungsvertrag erwerben, sind Sie ein Jahr lang zum Bezug kostenloser Virendefinitionen über das Internet

4 Symantec-Websites: berechtigt. Nach Ablauf Ihres Wartungsvertrags erhalten Sie Informationen zur Erneuerung des Vertrags über Ihren Händler oder den Symantec-Kundenservice. Symantec-Homepage (nach Sprache): Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec Security Response: Service und Unterstützung für Symantec Enterprise: Produktspezifisches Newsbulletin: USA, Asien - Pazifik/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch: Italienisch:

5 Lateinamerika/Englisch: Technische Unterstützung Als Teil von Symantec Security Response verfügt unser globales Team für die technische Unterstützung weltweit über Support-Zentren. Vorrangige Aufgabe ist die Beantwortung von Fragen zu Produktfunktionen, zur Installation und zur Konfiguration sowie die Bereitstellung von aktuellen Informationen in unserer webbasierten Unterstützungsdatenbank. Dabei arbeiten wir eng mit anderen Unternehmensbereichen von Symantec zusammen, um Ihre Fragen schnellstmöglich zu beantworten. In enger Kooperation mit den Product Engineering- und Security Research Center-Experten bieten wir Ihnen umfassende Warndienste und Virendefinitions-Updates für Virenausbrüche und Sicherheitswarnungen. Unser Angebot umfasst u. a.: Zahlreiche Unterstützungsoptionen, mit denen Sie den Umfang des für Ihre Unternehmensgröße benötigten Supports flexibel wählen können. Telefon- und Internetunterstützung, über die Sie schnelle Hilfe und aktuelle Informationen erhalten. Produkt-Updates gewährleisten automatischen Schutz durch Software-Upgrades. Inhalts-Updates für Virendefinitionen und Sicherheits-Signaturen sorgen für optimalen Schutz. Der globale Support durch die Experten von Symantec Security Response steht Ihnen weltweit rund um die Uhr (24x7) in zahlreichen Sprachen zur Verfügung. Erweiterte Funktionen wie beispielsweise der Symantec Alerting Service und der persönliche Technical Account Manager gewährleisten verbesserte Reaktionszeiten und proaktiven Sicherheits-Support. Aktuelle Informationen über unsere Unterstützungsprogramme finden Sie auf unserer Website. Kontakt Kunden mit einem gültigen Unterstützungsvertrag können sich telefonisch oder über das Internet an die technische Unterstützung wenden, entweder unter der nachstehenden URL oder über die weiter hinten in diesem Dokument aufgeführten regionalen Unterstützungssites. Halten Sie dabei die folgenden Informationen bereit: Nummer des Produkt-Release

6 Hardware-Informationen Verfügbarer Arbeitsspeicher, freier Festplattenspeicher, installierte Netzwerkkarte Betriebssystem Versions- und Patch-Nummer Netzwerktopologie Router, Gateway und IP-Adressinformationen Beschreibung des Problems Fehlermeldungen/Protokolldateien Die vor der Kontaktaufnahme mit Symantec durchgeführten Schritte zur Problemlösung Kürzlich durchgeführte Änderungen der Software- und/oder Netzwerkkonfiguration Kundenservice Das Symantec-Kundenservice-Center hilft Ihnen bei nicht-technischen Anfragen, beispielsweise: Allgemeine Produktinformationen (z. B. Leistungsmerkmale, Preise, Sprachverfügbarkeit, Händler in Ihrer Nähe usw.) Hilfe bei einfachen Problemen, z. B. wie Sie Ihre Versionsnummer überprüfen können Neueste Informationen zu Produkt-Updates und -Upgrades Wie Sie Ihr Produkt aktualisieren oder eine neue Version (Upgrade) installieren können Wie Sie Ihr Produkt und/oder Lizenzen registrieren können Informationen zu den Lizenzprogrammen von Symantec Informationen zu Upgrade-Versicherung und Wartungsverträgen Ersatz fehlender CDs und Handbücher Aktualisierung Ihrer Registrierungsdaten bei Adress- und Namensänderungen Beratung zu den Optionen der technischen Unterstützung von Symantec Ausführliche Kundenservice-Informationen erhalten Sie auf der Symantec-Website für Service und Unterstützung oder durch einen Anruf beim Kundenservice-Center von Symantec. Die Webadressen und die Nummer Ihres lokalen

7 Kundenservice-Centers finden Sie unter "Alle Kontaktinformationen auf einen Blick". Alle Kontaktinformationen auf einen Blick Europa, Naher Osten und Lateinamerika Symantec-Websites für Service und Unterstützung Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec FTP: ftp.symantec.com (Herunterladen von technischen Hinweisen und neuesten Patches) Besuchen Sie "Symantec Service und Unterstützung" im Internet. Dort finden Sie technische und allgemeine Informationen zu Ihrem Produkt. Symantec Security Response: Produktspezifisches Newsbulletin: USA/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch:

8 Italienisch: Lateinamerika/Englisch: Symantec-Kundenservice Bietet allgemeine Produktinformationen und Beratung per Telefon in den folgenden Sprachen: Englisch, Deutsch, Französisch und Italienisch. Belgien: + (32) Dänemark: + (45) Deutschland: + (49) Finnland: + (358) Frankreich: + (33) Großbritannien: + (44) Irland: + (353) Italien: + (39) Luxemburg: + (352) Niederlande: + (31) Norwegen: + (47) Österreich: + (43) Schweden: + (46) Schweiz: + (41)

9 Spanien: + (34) Südafrika: + (27) Andere Länder: + (353) (Nur in englischer Sprache) Symantec-Kundenservice - Korrespondenzadresse Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irland Für Lateinamerika Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. ARGENTINIEN Pte. Roque Saenz Peña Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentinien Hauptrufnummer: +54 (11) WebSite: Gold Support: VENEZUELA Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Hauptrufnummer: +58 (212) Website: Gold Support:

10 COLUMBIEN Carrera 18# 86A-14 Oficina 407, Bogota D.C. Columbien Hauptrufnummer: +57 (1) Website: Gold Support: BRASILIEN Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, andar São Paulo - SP CEP: Brasilien, SA Hauptrufnummer: +55 (11) Fax: +55 (11) Website: Gold Support: CHILE Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Hauptrufnummer: +56 (2) Website: Gold Support: MEXIKO Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexiko Hauptrufnummer: +52 (55) Website: Gold Support:

11 ÜBRIGES LATEINAMERIKA 9155 South Dadeland Blvd. Suite 1100, Miami, FL U.S.A Website: Gold Support: Costa Rica: Panama: Puerto Rico: Für Asien-Pazifik Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. Geschäftsstellen für Service und Unterstützung AUSTRALIEN Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australien Hauptrufnummer: Fax: Website: Gold Support: gold.au@symantec.com Support Contracts Admin: contractsadmin@symantec.com CHINA Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing China P.R.C. Hauptrufnummer: Technische Unterstützung:

12 Fax: Website: HONGKONG Symantec Hong Kong Central Plaza Suite # th Floor, 18 Harbour Road Wanchai HongKong Hauptrufnummer: Technische Unterstützung: Fax: Website: INDIEN Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai , Indien Hauptrufnummer: Technische Unterstützung: Fax: Website: KOREA Symantec Korea 15,16th Floor Dukmyung B/D Samsung-Dong KangNam-Gu Seoul Südkorea Hauptrufnummer: Technische Unterstützung: Fax: Website:

13 MALAYSIA Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A Petaling Jaya Selangor Darul Ehsan Malaysia Hauptrufnummer: Technische Unterstützung: Enterprise Enterprise gebührenfrei: Website: NEUSEELAND Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Neuseeland Hauptrufnummer: Fax: Website für Unterstützung: Gold Support: gold.nz@symantec.com Support Contracts Admin: contractsadmin@symantec.com SINGAPUR Symantec Singapore 6 Battery Road #22-01/02/03 Singapur Hauptrufnummer: Fax: Technische Unterstützung: Website:

14 TAIWAN Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwan Hauptrufnummer: Corporate Support: Fax: Gold Support: gold.nz@symantec.com Website: Wir haben uns um größtmögliche Genauigkeit der Informationen in diesem Dokument bemüht. Die Informationen unterliegen jedoch gelegentlichen Änderungen. Symantec Corporation behält sich das Recht vor, solche Änderungen ohne vorherige Ankündigung vorzunehmen.

15 Inhalt Lösungen für Service und Unterstützung Kapitel 1 Kapitel 2 Kapitel 3 Kapitel 4 Einführung in die Berichterstellung Allgemeines zur Berichterstellung Funktionsweise der Berichterstellung Allgemeines zu Ereignissen Allgemeines zu Berichten Allgemeines zu Protokollen Allgemeine Berichterstellungsaufgaben Allgemeines zu grundlegenden Aufgaben Beim Berichts-Server anmelden Kennwort ändern Startseite verwenden Informationen auf der Startseite anzeigen Startseite anpassen Security Response-Links verwenden Allgemeines zur Verwendung des Filters "Letzte 24 Stunden" in Berichten und Protokollen Berichte verwenden Überblick über Berichte Allgemeines zu Berichten Berichtskonfigurationseinstellungen speichern Berichte drucken und speichern Risikoberichte erstellen Prüfungsberichte erstellen Computer-Statusberichte erstellen Geplante Berichte erstellen und anzeigen Administrative Aufgaben Allgemeines zu administrativen Aufgaben Berichts-Server konfigurieren Port-Nummer des Berichts-Servers ändern... 59

16 16 Inhalt Den URL des Berichts-Servers über die Windows-Registrierung angeben URL eines Berichts-Servers anzeigen Berichts-Server entfernen Berichterstellungsanzeige konfigurieren Benutzer konfigurieren Kennwortregeln festlegen Warnmeldungen konfigurieren Warnmeldungskonfigurationen erstellen Warnmeldungsereignisse anzeigen Warnmeldungen bestätigen oder auf "Nicht bestätigt" setzen Details zu Warnmeldungsereignissen anzeigen Intervalle für die automatische Aktualisierung festlegen Kapitel 5 Kapitel 6 Protokolle verwenden Allgemeines zu Protokollen Protokolle anzeigen Protokollkonfigurationseinstellungen speichern Risikoprotokolle anzeigen Prüfungsprotokolle anzeigen Computer-Statusprotokolle anzeigen Ereignisse in Protokollen verwenden Ereignisdetails anzeigen Protokollereignisse exportieren Protokollereignisse löschen Berichterstellungs-Agenten konfigurieren Allgemeines zu Berichterstellungs-Agenten Berichterstellungs-Agenten konfigurieren Agenten-Zeitpläne und Statusüberprüfung Agentenstatus prüfen Zeitplanoptionen für Agenten festlegen Agenten deaktivieren Ereigniszusammenfassung konfigurieren Sprachoption für den Protokollabsender- und Computer-Status-Agenten konfigurieren Reduzieren der Anzahl von Sicherheitsrisikoereignissen, die an den Berichts-Server gesendet werden Proxy-Einstellungen für den Virenkategorie-Agenten konfigurieren Benachrichtigungsoptionen für Agenten festlegen

17 Inhalt 17 -Benachrichtigungsparameter festlegen Benachrichtigungsparameter für die 'Festplatte voll'-prüfung angeben Agentenprotokolle verwenden Agenten-Verfolgung aktivieren oder deaktivieren Agentenprotokolle löschen Registrierungsschlüssel für die Agentenkonfiguration Allgemeines zu Registrierungsschlüsseln für die Verarbeitung von Agentendateien Allgemeines zu Registrierungsschlüsseln für Agenten-Zeitpläne Kapitel 7 Kapitel 8 Berichterstellungsdatenbank verwalten Allgemeines zur Datenbankwartung Wartungsagenten für die Berichterstellungsdatenbank konfigurieren Backup-Optionen für die Berichterstellungsdatenbank konfigurieren MSDE-Berichterstellungsdatenbank wiederherstellen Speicherreservierung für den Datenbank-Server optimieren Ändern der Zeitüberschreitungsparameter Workflow und Anwendungsfälle Allgemeines zum Workflow und zu Anwendungsfällen Täglichen Workflow zum Entfernen von Risiken verwalten Berichte und Protokolle, die Informationen zu Sicherheitsrisiken enthalten Berichte und Protokolle, die Informationen zu Prüfungen enthalten Berichte und Protokolle, die Informationen zu Definitionen enthalten Berichte und Protokolle, die Informationen zu Konfigurationen und zum Status enthalten Index

18 18 Inhalt

19 Kapitel 1 Einführung in die Berichterstellung In diesem Kapitel werden folgende Themen behandelt: Allgemeines zur Berichterstellung Funktionsweise der Berichterstellung Allgemeines zu Ereignissen Allgemeines zu Berichten Allgemeines zu Protokollen Allgemeines zur Berichterstellung Die Berichterstellung ist eine Web-Anwendung innerhalb der Symantec System Center -Konsole, die Sie zum Erstellen von Berichten zu Ihren Sicherheitsprodukten verwenden können. Die Anwendung verwendet einen Web-Server, um Informationen zu Symantec Client Security- oder Symantec AntiVirus -Produkten in Ihrem Netzwerk anzuzeigen. Die Berichterstellung umfasst folgende Funktionen: Benutzerdefinierbare Startseite mit Ihren wichtigsten Berichten Vordefinierte und benutzerdefinierbare Grafikberichte mit mehreren Filteroptionen Rollenbasierte Benutzerverwaltung, die separat von der Benutzerverwaltung der Symantec System Center-Konsole erfolgt Unterstützung von Ereignissen von 100 bis Computern Unterstützung von Microsoft SQL zur Speicherung von Ereignissen

20 20 Einführung in die Berichterstellung Funktionsweise der Berichterstellung Sie können sich über die Symantec System Center-Konsole bei der Berichterstellungsanwendung anmelden. Sie können sich auch über einen Web-Browser anmelden, der auf einem Computer mit Zugriff auf Ihren Berichts-Server installiert ist. Informationen zur Installation der Berichterstellungssoftware finden Sie im Symantec Client Security Installationshandbuch oder im Symantec AntiVirus Installationshandbuch. Funktionsweise der Berichterstellung Die Berichterstellungssoftware besteht aus dem Berichts-Server, der Berichterstellungsdatenbank und den Berichterstellungs-Agenten. Der Berichts-Server ist ein Web-Server. Wenn Sie sich bei der Berichterstellungsanwendung anmelden, heißt das, Sie melden sich beim Berichts-Server an. Die Berichterstellungsdatenbank speichert die Ereignisse, die von den Berichterstellungs-Agenten erfasst und aus den Protokollen des Primär-Management-Servers gelesen werden. Die Berichterstellungsdatenbank kann eine vorhandene MS-SQL-Datenbank in Ihrem Netzwerk sein oder die Datenbank, die zusammen mit der Berichterstellungssoftware installiert wird. Die Datenbank muss separat verwaltet werden. Siehe Allgemeines zur Datenbankwartung auf Seite 125. Die Berichterstellungs-Agenten werden sowohl auf dem Berichts-Server als auch auf den Primär- und Sekundär-Management-Servern installiert. Die auf dem Berichts-Server installierten Agenten werden "Lokale Agenten" genannt. Die auf dem Primär- und Sekundär-Management-Server installierten Agenten werden "Remote-Agenten" genannt. Die Berichterstellungs-Agenten sammeln Informationen zu den Sicherheitsereignissen in Ihrem Netzwerk. Außerdem verwalten sie die Berichterstellungsdatenbank und können so konfiguriert werden, dass sie Benachrichtigungen über Sicherheitsereignisse oder den Agentenstatus senden. Jeder Agent hat eine bestimmte Funktion. Die Agenten "Computer-Status" und "Protokollabsender" sind die Remote-Agenten, die Informationen aus den Protokollen der Primär- oder Sekundär-Management-Server erfassen, auf denen sie installiert sind. Der Agent "Protokollleser" ist ein lokaler Agent auf dem Berichts-Server, der die gesammelten Informationen empfängt und in der Berichterstellungsdatenbank speichert. Siehe Allgemeines zu Berichterstellungs-Agenten auf Seite 99.

21 Einführung in die Berichterstellung Allgemeines zu Ereignissen 21 Allgemeines zu Ereignissen Die Ereignisse, die in den von Ihnen generierten Berichten angezeigt werden, werden aus den Ereignisprotokollen Ihrer Primär- und Sekundär-Management-Server ausgelesen. Die Ereignisprotokolle enthalten Zeitstempel in den Zeitzonen der Server. Wenn der Protokollleser-Agent auf dem Berichts-Server die Ereignisse empfängt, konvertiert er die Uhrzeiten der Ereignisse in UTC-Zeit und fügt sie dann zur Berichterstellungsdatenbank hinzu. Wenn Sie Berichte erstellen, zeigt die Berichterstellungssoftware Informationen zu Ereignissen in der lokalen Zeit des Computers an, auf dem Sie die Berichte prüfen. Da Virenangriffe zu einer großen Zahl an Viren- und Firewall-Ereignissen führen können, werden diese Ereignisse zusammengefasst, bevor sie an den Protokollleser-Agenten auf dem Berichts-Server weitergeleitet werden. Weitere Informationen zu einigen der Ereignisse, die auf der Startseite erscheinen, erhalten Sie auf der Seite "Attack Signatures" der Website "Symantec Security Response" unter folgender Adresse: Allgemeines zu Berichten Berichte liefern Ihnen die aktuellen Informationen, die Sie benötigen, um Entscheidungen über die Sicherheit Ihres Netzwerks treffen zu können. Die Startseite der Berichterstellungsanwendung enthält automatisch generierte Diagramme zu wichtigen Ereignissen in Ihrem Netzwerk. Die Berichterstellungsanwendung enthält auch Berichte, die Sie anpassen und generieren können, um grafische Darstellungen von Ereignissen in Ihrem Netzwerk zu erhalten. Sie können Berichte zu Risiken und Prüfungsereignissen erstellen. Sie können auch Berichte über das Inventar (Computer-Status) der Computer in Ihrem Sicherheitsnetzwerk generieren. Darüber hinaus können Sie geplante Berichte erstellen, die automatisch nach einem Zeitplan ausgeführt werden. Sie konfigurieren Berichtsfilter und legen den Zeitpunkt der Ausführung des Berichts fest. Wenn der Bericht abgeschlossen ist, steht er auf der Seite "Geplante Berichte" zur Verfügung. Zurzeit können Sie geplante Berichte nur für die Verteilung von Virendefinitionen erstellen. Allgemeines zu Protokollen Sie können Ereignisdaten direkt in der Berichterstellungsanwendung abrufen, wenn Sie bestimmte Ereignisse überprüfen möchten. Protokolle enthalten

22 22 Einführung in die Berichterstellung Allgemeines zu Protokollen Ereignisdaten von Ihren Primär- und Sekundär-Management-Servern sowie von allen Clients, die an diese Server berichten. Sie können Protokolldaten filtern. Außerdem können Sie die Protokolldaten in eine Datei exportieren, um sie zu sichern, oder in einem Tabellenkalkulationsprogramm bzw. in einer anderen Anwendung verwenden.

23 Kapitel 2 Allgemeine Berichterstellungsaufgaben In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu grundlegenden Aufgaben Beim Berichts-Server anmelden Kennwort ändern Startseite verwenden Allgemeines zur Verwendung des Filters "Letzte 24 Stunden" in Berichten und Protokollen Allgemeines zu grundlegenden Aufgaben Die Berichterstellung ist eine Web-Anwendung, die innerhalb der Symantec System Center-Konsole läuft. Wenn Sie die IP-Adresse oder den Host-Namen des Berichts-Servers kennen, können Sie aber auch von einem beliebigen Web-Browser, der mit dem Berichts-Server verbunden ist, auf die Berichterstellungsanwendung zugreifen. Zu den grundlegenden Aufgaben gehören das Anmelden bei der Berichterstellungsanwendung, das Ändern Ihres Kennworts und die Verwendung der Startseite, um schnelle Informationen zu Ereignissen in Ihrem Sicherheitsnetzwerk zu erhalten. Dieses Benutzerhandbuch geht davon aus, dass Sie die Symantec System Center-Konsole verwenden, um auf die Berichterstellungsanwendung zuzugreifen, und dass Sie bei der Konsole angemeldet sind. Die Verfahren zur Verwendung der Berichterstellung sind ähnlich, unabhängig davon, wie Sie darauf zugreifen. Jedoch

24 24 Allgemeine Berichterstellungsaufgaben Beim Berichts-Server anmelden werden die Verfahren zur Verwendung der Berichterstellung über einen eigenständigen Browser in diesem Handbuch nicht explizit beschrieben. Hinweis: Das Anzeigen der Berichterstellung über eine Remote-Sitzung von Symantec System Center wird unterstützt. Beim Berichts-Server anmelden Wenn Sie sich zum ersten Mal bei einem Berichts-Server anmelden, müssen Sie Ihr Kennwort ändern. Wenn Sie jedoch der Administrator sind, der das Programm zur Berichterstellung installiert und das Super-Administrator-Kennwort während der Installation konfiguriert hat, müssen Sie Ihr Kennwort nach der ersten Anmeldung nicht ändern. Sie können sich bei mehreren Berichts-Servern gleichzeitig anmelden. Jeder Berichts-Server verfügt über eine eigene Datenbank, so dass sich die Daten des einen Berichts-Servers von den Daten eines anderen Berichts-Servers unterscheiden. Hinweis: Sie müssen Active Scripting in Internet Explorer aktivieren, um sich beim Berichts-Server anmelden zu können. So melden Sie sich bei einem Berichts-Server an 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Berichterstellung" und dann unter "Berichts-Server" auf den Namen des Berichts-Servers, bei dem Sie sich anmelden möchten. 2 Geben Sie im rechten Teilfenster im Anmeldedialogfeld Ihren Benutzernamen und Ihr Kennwort ein. Wenn Sie sich zum ersten Mal anmelden und der Administrator sind, der die Berichterstellungsanwendung installiert hat, geben Sie den Benutzernamen und das Kennwort ein, das Sie während der Installation angegeben haben. 3 Klicken Sie auf "Anmeldung"". Wenn Sie sich vom Berichts-Server abmelden möchten, klicken Sie oben rechts im Fenster der Berichterstellungsanwendung auf "Abmelden". Wenn Sie sich nicht abmelden und für einen bestimmten Zeitraum keine Eingaben machen, werden Sie möglicherweise automatisch abgemeldet. Der Administrator kann den Zeitraum der Inaktivität für jeden Benutzer konfigurieren. Vorgegeben sind Sekunden (100 Minuten).

25 Allgemeine Berichterstellungsaufgaben Kennwort ändern 25 Hinweis: Wenn Sie die Berichterstellungsanwendung in einem eigenständigen Browser verwenden, werden Sie durch Schließen des Browser-Fensters nicht automatisch von der Berichterstellungsanwendung abgemeldet. Vergessen Sie daher nicht, auf "Abmelden" zu klicken, wenn Sie mit Ihrer Sitzung fertig sind. Kennwort ändern Sie können Ihr Anmeldekennwort ändern. Die Regeln für die Länge des Kennworts und die zu verwendenden Zeichen werden von Ihrem Administrator festgelegt. Wenn Sie ein Kennwort eingeben, das gegen eine der Kennwortregeln verstößt, wird ein Fehler angezeigt. Kennwortregeln werden von einem Benutzer mit Administratorrechten definiert. Siehe Kennwortregeln festlegen auf Seite 66. Wenn Sie sich zum ersten Mal anmelden, ist Ihr altes Kennwort das von Ihrem Administrator zugewiesene Kennwort. Wenn Sie das Kennwort geändert haben, müssen Sie bei der nächsten Anmeldung das neue Kennwort eingeben. So ändern Sie Ihr Kennwort 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Kennwort ändern". 3 Geben Sie im Textfeld "Altes Kennwort" Ihr altes Kennwort ein. 4 Geben Sie im Textfeld "Neues Kennwort" Ihr neues Kennwort ein. 5 Geben Sie im Textfeld "Bestätigung" Ihr neues Kennwort erneut ein. 6 Klicken Sie auf "Speichern". Startseite verwenden Die Startseite enthält wichtige Berichte mit Informationen über Ihr Sicherheitsnetzwerk. Sie können die Seite anpassen, indem Sie den Filter in dem Bericht "Risiken nach" ändern. Abbildung 2-1 zeigt eine Beispiel-Startseite.

26 26 Allgemeine Berichterstellungsaufgaben Startseite verwenden Abbildung 2-1 Beispiel-Startseite Informationen auf der Startseite anzeigen Die Startseite enhält mehrere automatisch generierte Berichte sowie verschiedene Statuselemente. Einige der Startseitenberichte sind über einen Hyperlink mit detaillierten Berichten verknüpft. Darüber hinaus können Sie einige der Berichte anpassen und festlegen, wie oft die Startseite aktualisiert werden soll. Siehe Startseite anpassen auf Seite 28. In Tabelle 2-1 werden die Startseitenberichte beschrieben. Tabelle 2-1 Bericht oder Statusinformationen Risiken nach <Server-Gruppe>: Letzte 24 Stunden Startseitenberichte Beschreibung Zeigt die Risiken an, die in den letzten 24 Stunden in Ihrem Sicherheitsnetzwerk aufgetreten sind. Sie können diesen Bericht so anpassen, dass die Risiken nach Client-Gruppe, übergeordnetem Server, Computer, Benutzer oder nach Ereignisquelle gruppiert werden. Sie können diesen Bericht auch als dreidimensionales Balkendiagramm anstelle eines Kreisdiagramms anzeigen lassen.

27 Allgemeine Berichterstellungsaufgaben Startseite verwenden 27 Bericht oder Statusinformationen Zusammenfassung - Aktionen Beschreibung Zeigt eine Zusammenfassung der Aktionen, die in Bezug auf die Viren und Sicherheitsrisiken in Ihrem Netzwerk durchgeführt wurden. Wenn Sie Informationen zu einer Aktion sehen möchten, klicken Sie auf die Anzahl der Viren oder Sicherheitsrisiken, um einen detaillierten Bericht aufzurufen. Standardmäßig wird die Zusammenfassung der Aktionen für die letzten 24 Stunden angezeigt. Sie können das Zeitintervall dahingehend ändern, dass eine Zusammenfassung für die letzte Woche angezeigt wird. Die Zahl unter "Verdächtig" zeigt die Anzahl der Ereignisse von Symantec AntiVirus 8.x-Clients an, die den Auto-Protect-Status "Nichts unternehmen" haben. Sie sollten auf den Computern, auf denen diese Ereignisse aufgetreten sind, eine manuelle Prüfung durchführen, um festzustellen, ob diese Computer infiziert sind. Anschließend können Sie die Zahl unter "Verdächtig" löschen, indem Sie die verdächtigen Ereignisse im Risikoprotokoll löschen. Siehe Risikoprotokolle anzeigen auf Seite 84. Die Zahl unter "Neu infiziert" zeigt nur die Anzahl der Risiken an, die im ausgewählten Zeitraum auf Computern aufgetreten sind. Die Zahl unter "Immer noch infiziert" zeigt die Anzahl aller Risiken an, die (unabhängig vom Zeitintervall) immer noch auf Computern vorhanden sind. Beide Zahlen zeigen die Risiken an, die manuell behoben werden müssen. Nachdem die Risiken behoben wurden, kann ein Administrator den Infektionsstatus für den Computer im Inventarprotokoll entsprechend ändern. Siehe Computer-Statusprotokolle anzeigen auf Seite 91. Neue Risiken: Letzte 24 Stunden Zeigt neue Risiken an, die in den letzten 24 Stunden in Ihrem Sicherheitsnetzwerk aufgetreten sind. Klicken Sie auf ein Risiko, um eine Seite der Website von Symantec Security Response anzuzeigen, die weitere Informationen zu dem Risiko enthält. Warnmeldungsstatus - Zusammenfassung Zeigt eine einzeilige Zusammenfassung des Warnmeldungsstatus in Ihrem Sicherheitsnetzwerk, z. B. "100 nicht bestätigte Warnmeldungen in den letzten 24 Stunden". Klicken Sie auf die Option, um die Seite "Warnmeldungsereignisse" anzuzeigen. Ihr Benutzerkonto muss über die entsprechende Berechtigung verfügen, um diese Seite anzeigen zu können. Siehe Warnmeldungsereignisse anzeigen auf Seite 73.

28 28 Allgemeine Berichterstellungsaufgaben Startseite verwenden Bericht oder Statusinformationen Agentenstatus - Zusammenfassung Beschreibung Zeigt eine einzeilige Zusammenfassung des Status der Agenten an, die auf dem Berichts-Server installiert sind. Klicken Sie auf diese Option, um die Seite "Agentenstatus" anzuzeigen. Ihr Benutzerkonto muss über die entsprechende Berechtigung verfügen, um diese Seite anzeigen zu können. Siehe Agentenstatus prüfen auf Seite 104. Risiken pro Stunde: Letzte 24 Stunden Aktuellste Symantec-Virendefinitionen Verteilung der aktuellen Virendefinitionen Zeigt ein Liniendiagramm der Risiken an, die in den letzten 24 Stunden in Ihrem Sicherheitsnetzwerk aufgetreten sind. Zeigt eine einzeilige Zusammenfassung des aktuellen Datums und der Version der neuesten verfügbaren Definitionen von Symantec an. Zeigt die Verteilung der aktuellen Virendefinitionen in Ihrem Sicherheitsnetzwerk an. Klicken Sie auf das Kreisdiagramm, um einen detaillierten Bericht zu der Verteilung zu öffnen. Security Response Zeigt die aktuelle Bedrohungsstufe an, die auf Informationen von Symantec Security Response basiert. Die Bedrohungsstufe gibt einen Überblick über die allgemeine Internet-Sicherheit. Klicken Sie auf einen der Links, um weitere Informationen zu erhalten. Siehe Security Response-Links verwenden auf Seite 29. Startseite anpassen Sie können festlegen, wie die Startseite angezeigt werden soll, wenn Sie sich bei der Berichterstellung anmelden. Die Anpassung der Anzeige erfolgt nur für den aktuellen Benutzer. Die auf dieser Seite konfigurierten Einstellungen werden für alle Sitzungen gespeichert. Wenn Sie sich das nächste Mal bei der Berichterstellung anmelden, werden diese Einstellungen für die Anzeige der Startseite verwendet. In Tabelle 2-2 werden die Anzeigeoptionen für die Startseite beschrieben.

29 Allgemeine Berichterstellungsaufgaben Startseite verwenden 29 Tabelle 2-2 Option Diagramm Diagrammtyp Startseite - Anzeigeoptionen Definition Legt fest, welche Verteilung für das Diagramm "Risiken nach" auf der Startseite verwendet werden soll. Sie können "Server-Gruppe", "Client-Gruppe", "Übergeordneter Server", "Computer", "Benutzer" oder "Ereignisquelle" wählen. Bewirkt, dass das Diagramm "Risiko nach" auf der Startseite als dreidimensionales Balkendiagramm angezeigt wird. Das Balkendiagramm besteht aus zwei Achsen. Jede Achse stellt eine Server-Gruppe, eine Client-Gruppe, einen übergeordneten Server, einen Computer, einen Benutzer oder eine Ereignisquelle dar. Sie benötigen mindestens zwei von jedem Elementtyp für die Diagrammanzeige. Automatische Aktualisierung Legt fest, wie oft die Berichterstellungssoftware die Informationen auf der Startseite aktualisiert. So passen Sie die Anzeige der Startseite an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Start" auf "Startseitenkonfiguration". 3 Ändern Sie die gewünschten Optionen. 4 Klicken Sie auf "Speichern". Es wird die Meldung angezeigt, dass Ihre Änderungen gespeichert werden. Security Response-Links verwenden Die Startseite enthält eine Zusammenfassung, die auf den Informationen von der Symantec Security Response-Website basiert. Es werden sowohl das Diagramm mit den Bedrohungsstufen als auch Links zur Symantec Security Response-Website und anderen Sicherheits-Websites angezeigt. Die Bedrohungsstufen lauten wie folgt: 1 - Niedrig 2 - Mittel 3 - Hoch 4 - Extrem

30 30 Allgemeine Berichterstellungsaufgaben Allgemeines zur Verwendung des Filters "Letzte 24 Stunden" in Berichten und Protokollen Weitere Informationen zu diesen Risikostufen finden Sie auf der Symantec-Website, wenn Sie auf den Symantec-Link klicken. Hinweis: Spezifische Sicherheitsrisiken sind mit einer Stufe zwischen 1 bis 5 bewertet. Jeder Link zeigt eine Seite in einem neuen Fenster an. In Tabelle 2-3 werden die Security Response-Links beschrieben. Tabelle 2-3 Link Security Response-Links auf der Berichterstellungs-Startseite Was angezeigt wird Sicherheitswarnungen Zeigt eine Zusammenfassung der potenziellen Bedrohungen für Ihr Sicherheitsnetzwerk an, die auf Informationen von Symantec Security Response basieren. Die Zusammenfassung enthält die neuesten Bedrohungen, die Top-Bedrohungen und Links zu Entfernungsprogrammen. Sie können auch die Symantec Security Response-Datenbank der Bedrohungen durchsuchen. Symantec Definitionen Aktuellste Risiken Sicherheitsfokus Zeigt die Symantec-Website an. Sie erhalten Informationen zu Risiken und Sicherheitsrisiken, Downloads von Virendefinitionen sowie Neuigkeiten zu Sicherheitsprodukten von Symantec. Zeigt die Download-Seite der Virendefinitionen der Symantec-Website an. Zeigt die Symantec Security Response-Website an, auf der die neuesten Bedrohungen und Sicherheitswarnungen aufgeführt sind. Zeigt die Sicherheitsfokus-Website an, auf der Informationen zu den neuesten Viren aufgeführt sind. Allgemeines zur Verwendung des Filters "Letzte 24 Stunden" in Berichten und Protokollen Wenn Sie für einen Bericht oder ein Protokoll "Letzte 24 Stunden" auswählen, beginnt dieser Zeitbereich mit der Auswahl des Filters. Beim Aktualisieren der Seite wird die Startzeit für die letzten 24 Stunden nicht zurückgesetzt. Wenn Sie nach Auswahl des Filters mit der Erstellung des Berichts oder der Anzeige eines Ereignis- oder Warnmeldungsprotokolls noch etwas warten, beginnt der Zeitbereich nicht mit der Erstellung des Berichts, sondern mit der Filterauswahl.

31 Allgemeine Berichterstellungsaufgaben Allgemeines zur Verwendung des Filters "Letzte 24 Stunden" in Berichten und Protokollen 31 Um sicherzustellen, dass der Zeitbereich von 24 Stunden mit dem aktuellen Zeitpunkt beginnt, wählen Sie einen anderen Zeitbereich und dann erneut "Letzte 24 Stunden". Hinweis: Der Beginn des Zeitbereichsfilters "Letzte 24 Stunden" auf der Startseite wird durch den Zeitpunkt des Zugriffs auf die Startseite bestimmt.

32 32 Allgemeine Berichterstellungsaufgaben Allgemeines zur Verwendung des Filters "Letzte 24 Stunden" in Berichten und Protokollen

33 Kapitel 3 Berichte verwenden In diesem Kapitel werden folgende Themen behandelt: Überblick über Berichte Risikoberichte erstellen Prüfungsberichte erstellen Computer-Statusberichte erstellen Geplante Berichte erstellen und anzeigen Überblick über Berichte Sie können Berichte zu den Sicherheitsprodukten in Ihrem Netzwerk generieren, die auf von Ihnen festgelegten Filtereinstellungen basieren. Sie können die Filterkonfiguration speichern, um den Bericht zu einem späteren Zeitpunkt zu generieren. Sie können Berichte zu folgenden Elementen in Ihrer Sicherheitsumgebung generieren: Risiken Prüfungen Computer-Status Geplante Aufgaben wie beispielsweise Verteilung von Virendefinitionen Es gibt für jeden Berichtstyp eine Standard-Berichtskonfiguration. Sie können diese Standardkonfiguration ändern und speichern. Außerdem können Sie neue Filterkonfigurationen erstellen, die auf der Standardkonfiguration oder einer von Ihnen erstellten Konfiguration basieren. Darüber hinaus können Sie benutzerdefinierte Konfigurationen löschen, wenn Sie sie nicht mehr benötigen.

34 34 Berichte verwenden Überblick über Berichte Allgemeines zu Berichten Wenn Sie einen Bericht erstellen, wird dieser in einem separaten Fenster angezeigt. Sie können dann den Bericht als HTML- oder Textdatei speichern. Sie können den Bericht auch drucken. Die gespeicherte Datei ist ein Snapshot der aktuellen Daten in Ihrer Berichterstellungsdatenbank. Berichte können Tabellen, Diagramme oder beides enthalten. Dies hängt von den Informationen ab, die Sie angefordert haben. Sie können den Bericht als Webseite, Web-Archiv oder als Textdatei speichern. Verwenden Sie hierzu die Option "Speichern unter" in Ihrem Web-Browser. Bei der Speicherung werden die Daten in dem Bericht erfasst, d. h., Sie erhalten einen Datensatz mit nicht ganz aktuellen Daten. Sie können die Berichtseinstellungen speichern, so dass Sie den Bericht zu einem späteren Zeitpunkt generieren können. Die aktiven Filtereinstellungen werden in dem Bericht aufgeführt, wenn ein Administrator die allgemeinen Einstellungen so konfiguriert hat, dass Filter in Berichte einbezogen werden. Im Folgenden finden Sie wichtige Informationen zu Berichten: Zeitstempel in Berichten sind in der lokalen Zeit des Benutzers angegeben. Die Berichterstellungsdatenbank enthält Ereignisse in UTC-Zeit (Universal Time Coordinated, früher auch GMT genannt). Wenn Sie einen Bericht erstellen, werden die UTC-Werte in die Systemzeit des Computers, auf dem Sie die Berichte anzeigen, umgewandelt. Die Daten in den Berichten entsprechen möglicherweise nicht direkt den Daten Ihrer Sicherheitsprodukte, da die Berichterstellungssoftware Ihre Ereignisse zusammenfasst. Wenn Sie einen Bericht erstellen, der ältere Computer umfasst, wird in den Feldern "IP-Adresse" und "MAC-Adresse" "Keine" angezeigt. Das Feld für den übergeordneten Server ist leer, wenn es sich bei dem relevanten Element um einen Primär-Management-Server handelt, der keinen übergeordneten Server hat. Informationen zu Risikokategorien in Berichten erhalten Sie auf der Website von Symantec Security Response. Bis der Virenkategorie-Agent ausgeführt wird und Informationen sammelt, enthalten alle von Ihnen generierten Berichte in den Risikokategoriefeldern den Eintrag "Unbekannt". Berichte, die Sie in der Berichterstellung generieren, geben einen genauen Überblick über die infizierten Computer in Ihrem Netzwerk. Berichte basieren auf Protokolldaten und nicht auf Windows -Registrierungsdaten.

35 Berichte verwenden Überblick über Berichte 35 Wenn Netzdiagramme überlappende Linien enthalten, die schwer zu lesen sind, generieren Sie den Bericht erneut und verwenden Sie dazu andere Parameter für die X- und Y-Achsen oder kehren Sie die Achsen für die aktuellen Parameter um. Wenn Sie den Berichts-Server auf einem Computer installiert haben, auf dem eine asiatische Sprache verwendet wird, sollte die Schriftart "Arial Unicode MS" auf dem Berichts-Server verfügbar sein. Andernfalls kann es sein, dass Diagramme nicht lesbare Zeichen enthalten. In Berichten zur Verteilung der Virendefinitionen wird ein übergeordneter Server nur dann aufgeführt, wenn er über Clients verfügt. Um Informationen zu Virendefinitionen auf übergeordneten Servern anzuzeigen, wählen Sie auf der Seite "Computer - Statusprotokolle" die Option "Nur übergeordnete Server". Wenn bei der Generierung von Protokollen mit großen Datenmengen Datenbankfehler auftreten, müssen Sie möglicherweise die Zeitüberschreitungsparameter für die Datenbank erhöhen. Siehe Ändern der Zeitüberschreitungsparameter auf Seite 134. Wenn CGI-Fehler auftreten bzw. der Prozess unerwartet beendet wird, verwenden Sie andere Zeitüberschreitungsparameter. Informationen zu zusätzlichen Zeitüberschreitungsparametern finden Sie in der Unterstützungsdatenbank von Symantec unter "Reporting server does not report or shows a timeout error message when querying large amounts of data." Abbildung 3-1 zeigt ein Beispiel für einen Bericht.

36 36 Berichte verwenden Überblick über Berichte Abbildung 3-1 Beispielbericht Berichtskonfigurationseinstellungen speichern Sie können Berichtseinstellungen für Risiko-, Prüfungs- oder Computer-Statusberichte speichern, so dass Sie den Bericht erneut zu einem späteren Zeitpunkt generieren können. Ihre Einstellungen werden in der Berichterstellungsdatenbank gespeichert und der Konfigurationsname wird im Listenfeld "Gespeicherten Bericht verwenden" angezeigt. Hinweis: Die Konfigurationseinstellungen, die Sie speichern, sind nur für Ihr Benutzerkonto verfügbar. Andere Benutzer der Berichterstellungsanwendung haben keinen Zugriff auf Ihre gespeicherten Einstellungen. Wenn Sie den Berichts-Server neu installieren müssen, sollten Sie Ihre Datenbankinformationen sichern, so dass Ihre Konfigurationseinstellungen nicht verloren gehen. Siehe MSDE-Berichterstellungsdatenbank wiederherstellen auf Seite 131. Sie können jede von Ihnen erstellte Berichtskonfiguration löschen. Wenn Sie eine Konfiguration löschen, ist der Bericht nicht mehr verfügbar. Es werden wieder die Standardkonfigurationseinstellungen angezeigt und im Listenfeld "Gespeicherten Bericht verwenden" erscheint der Name der Standardberichtskonfiguration.

37 Berichte verwenden Überblick über Berichte 37 So speichern Sie eine Berichtskonfiguration 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Berichte" einen der folgenden Schritte aus: Klicken Sie auf "Risikoberichte". Klicken Sie auf "Prüfungsberichte". Klicken Sie auf "Computer - Statusberichte". 3 Ändern Sie die grundlegenden oder erweiterten Einstellungen des Berichts nach Bedarf. 4 Klicken Sie auf "Bericht speichern". 5 Geben Sie im Textfeld "Name" den Namen der Berichtskonfiguration ein oder wählen Sie ihn aus. 6 Klicken Sie auf "Speichern". So löschen Sie eine Berichtskonfiguration 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Berichte" einen der folgenden Schritte aus: Klicken Sie auf "Risikoberichte". Klicken Sie auf "Prüfungsberichte". Klicken Sie auf "Computer - Statusberichte". 3 Wählen Sie im Listenfeld "Gespeicherten Bericht verwenden" den Namen der Berichtskonfiguration aus, die Sie löschen möchten. 4 Klicken Sie auf das Symbol "Löschen". Berichte drucken und speichern Wenn Sie einen Bericht generieren, wird dieser in einem neuen Fenster angezeigt. Sie können den Bericht drucken oder eine Kopie davon speichern.

38 38 Berichte verwenden Risikoberichte erstellen Hinweis: Standardmäßig druckt Internet Explorer keine Hintergrundfarben und -bilder. Wenn diese Druckoption deaktiviert ist, sieht der gedruckte Bericht möglicherweise anders aus als der von Ihnen erstellte. Sie können die Einstellungen in Ihrem Browser so ändern, dass Hintergrundfarben und -bilder gedruckt werden. So drucken Sie einen Bericht 1 Klicken Sie im Berichtsfenster auf "Datei > Drucken". 2 Wählen Sie den Drucker aus und klicken Sie dann auf "Drucken". Wenn Sie eine Kopie des Berichts speichern, heißt das, Sie speichern einen Snapshot Ihrer Sicherheitsumgebung, der auf den aktuellen Daten in Ihrer Berichterstellungsdatenbank basiert. Wenn Sie denselben Bericht später mit derselben Filterkonfiguration ausführen, enthält der neue Bericht andere Daten. So speichern Sie einen Bericht 1 Klicken Sie im Berichtsfenster auf "Datei > Speichern unter". 2 Wählen Sie im Dialogfeld "Webseite speichern" im Auswahlfeld "Speichern" den Speicherort für die Datei. 3 Wählen Sie im Dialogfeld "Speichern unter" als Dateityp eine der folgenden Optionen aus: Webseite, komplett (*.htm,*html) Web-Archiv, einzelne Datei (*.mht) Webseite, nur HTML (*.htm,*.html) Textdatei (*.txt) 4 Geben Sie im Listenfeld "Dateiname" einen Dateinamen ein. 5 Klicken Sie auf "Speichern". Risikoberichte erstellen Risikoberichte sind Berichte über Viren und Sicherheitsrisiken, die in Ihrer Sicherheitsumgebung gefunden wurden. Es stehen verschiedene Arten von Berichten zur Auswahl. In Tabelle 3-1 werden die Risikoberichtsarten beschrieben.

39 Berichte verwenden Risikoberichte erstellen 39 Tabelle 3-1 Risikoberichtsart Top-Berichte Risikoberichtsarten Beschreibung Top-Berichte sind die Berichte, die Sie regelmäßig prüfen müssen. Sie enthalten folgende Informationen: Infizierte Computer (Gefährdete Computer) Erkennungsaktion - Zusammenfassungen Erkennungen gruppiert nach Server-Gruppe Erkennungen gruppiert nach übergeordnetem Server Erkennungen gruppiert nach Computer Risikoerkennung Die Risikoerkennungsberichte enthalten folgende Informationen: Risikoerkennungstabelle und Verteilungsdiagramm Dieser Bericht enthält ein Kreisdiagramm zur Verteilung, gruppiert nach Server-Gruppe, Client-Gruppe, übergeordnetem Server, Computer oder Benutzername. Risikoerkennungen - Korrelation Diese Berichte korrelieren Risikoerkennungen mithilfe von zwei Variablen. Die zur Auswahl stehenden Variablen sind "Computer", "Benutzername", "Server-Gruppe", "Client-Gruppe", "Übergeordneter Server" oder "Risikoname". Die Daten werden in einem dreidimensionalen Balken- oder Netzdiagramm angezeigt. Zusammenfassung der Erkennungen, gruppiert nach Computer Hierbei handelt es sich um eine Tabelle mit Risikoerkennungen, die nach Computern gruppiert sind. Risikoverteilungsdiagramme Dieser Bericht enthält ein Kreisdiagramm und ein Histogramm, die nach Server-Gruppe, Client-Gruppe, übergeordnetem Server, Computer, Benutzername, Quelle, Risikotyp oder Schweregrad gruppiert sind. Risikoverteilung über Zeit Dieser Bericht enthält ein Histogramm mit einem Tages-, Monats- oder Jahresintervall.

40 40 Berichte verwenden Risikoberichte erstellen Risikoberichtsart Ausführliche Berichte Beschreibung Ausführliche Berichte enthalten folgende Informationen: Vollständiger Bericht Vollständiger Tagesbericht Vollständiger Monatsbericht Vollständiger Jahresbericht Ausführliche Berichte enthalten standardmäßig alle Verteilungsberichte und den Bericht zu neuen Risiken. Sie können angeben, welche Berichte in den kombinierten Tages-, Monatsoder Jahresbericht einbezogen werden sollen. Hinweis: Die Berichtsüberschriften (Top-Berichte, Risikoerkennung und Ausführliche Berichte), die im Dropdown-Listenfeld "Berichtsart" aufgeführt sind, werden nicht angezeigt, wenn Sie Internet Explorer 5.5 oder eine ältere Version verwenden. Aktualisieren Sie Ihren Browser auf Version 6.0 oder höher, damit die Überschriften angezeigt werden. Sie können schnell einen Risikobericht generieren, indem Sie eine oder mehrere Grundeinstellungen auswählen, die standardmäßig unter "Welche Filtereinstellungen möchten Sie verwenden?" angezeigt werden. Weitere Filter für den Bericht können Sie über die Option "Erweiterte Einstellungen" konfigurieren. Sie haben die Möglichkeit, die Berichtseinstellungen zu speichern, um den Bericht zu einem späteren Zeitpunkt erneut generieren zu können. Sie können den Bericht auch drucken oder speichern. Siehe Berichte drucken und speichern auf Seite 37. In Tabelle 3-2 werden die Grundeinstellungen für Risikoberichte beschrieben. Tabelle 3-2 Grundlegende Filtereinstellungen für Risikoberichte Einstellung Produkt Beschreibung Gibt nur die Risiken an, die von Symantec AntiVirus, Symantec Client Firewall oder von beiden Produkten gefunden werden. Die Vorgabe ist "Symantec AntiVirus".

41 Berichte verwenden Risikoberichte erstellen 41 Einstellung Datumsbereich Beschreibung Hier wird der Zeitraum angegeben, in dem Sicherheitsrisiken liegen, die im Bericht aufgeführt werden sollen. Wenn Sie "Bestimmte Daten festlegen" auswählen, müssen Sie ein "Startdatum" und ein "Enddatum" angeben. Die Vorgabe ist "Im letzten Monat". Startdatum Hier wird das Startdatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Enddatum Hier wird das Enddatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. In Tabelle 3-3 werden die erweiterten Einstellungen für Risikoberichte beschrieben. Tabelle 3-3 Erweiterte Filtereinstellungen für Risikoberichte Einstellung Ereignistyp Beschreibung Legt fest, ob alle Ereignisse oder nur gefundene Viren, IDS, gefundene Sicherheitsrisiken oder Firewall-Verstoßereignisse im Bericht aufgeführt werden sollen. Die Vorgabe ist "Alle Ereignisse". Durchgeführte Aktion Filtert den Bericht nach der Art der Maßnahme, die von Symantec AntiVirus bezüglich des Risikos ergriffen wurde. Die Arten von Maßnahmen in der Liste hängen von der Einstellung für das Produkt ab. Prüfungstyp Filtert den Bericht auf der Basis der Ereignisse, die bei einer bestimmten Prüfungsart aufgetreten sind, z. B. bei einer geplanten oder einer manuellen Prüfung. Standardmäßig werden alle Ereignisse von allen Prüfungsarten im Bericht aufgeführt. Risikotyp Standardmäßig werden alle Risikotypen im Bericht aufgeführt. Sie können die im Bericht angezeigten Risiken auf Viren, Trackware, Spyware, Hacker-Tools, Sicherheitsrisiken, Jokeware, Heuristik, Adware, Remote-Zugriffsprogramme, bösartigen Code, der kein Virus ist, oder auf Dialer beschränken.

42 42 Berichte verwenden Risikoberichte erstellen Einstellung Risikoschweregrad Beschreibung Filtert den Bericht nach Risiken mit bestimmten Schweregraden. Der Schweregrad ist in die folgenden Kategorien aufgeteilt: Unbekannt; 1 = Sehr niedrig; 2 = Niedrig; 3 = Normal; 4 = Ernst; 5 = Sehr ernst. Weitere Informationen über Schweregrade finden Sie auf der Website von Symantec Security Response. Standardmäßig sind alle Risiken mit allen Schweregraden im Bericht enthalten. Komprimierte Ereignisse Server-Gruppe Legt fest, ob Ereignisse, die im Bericht berücksichtigt werden sollen, gewichtet oder ungewichtet sein sollen. Gewichtete Ereignisse sind die Summe aus mehreren Ereignissen. Ungewichtete Ereignisse sind die Anzahl aller Ereignisse. Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt. Übergeordneter Server Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. IP-Adresse Hier werden bestimmte IP-Adressen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle IP-Adressen aufgeführt. Benutzername Hier werden bestimmte Benutzer und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Benutzer aufgeführt.

43 Berichte verwenden Risikoberichte erstellen 43 Einstellung Risikoname Beschreibung Hier werden bestimmte Risikonamen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Risiken aufgeführt. So erstellen Sie einen Risikobericht 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Berichte" auf "Risikoberichte". 3 Wählen Sie im Listenfeld "Gespeicherten Bericht verwenden" eine gespeicherte Filterkonfiguration aus oder verwenden Sie die Standardkonfiguration. 4 Wählen Sie unter "Welchen Typ des Risikoberichts möchten Sie anzeigen?" im Listenfeld "Berichtstyp" den zu erstellenden Berichtstyp aus. 5 Führen Sie einen der folgenden Schritte aus: Wenn Sie "Risikoerkennungstabelle und Verteilungsdiagramm", "Erkennungen gruppiert nach Computer" oder "Risikoverteilungsdiagramme" ausgewählt haben, wird die Option "Gruppieren nach" angezeigt. Wählen Sie im Listenfeld "Gruppieren nach" die Option zum Gruppieren des Berichts aus.

44 44 Berichte verwenden Prüfungsberichte erstellen Wenn Sie den Bericht "Risikoverteilung über Zeit" ausgewählt haben, wird die Option "Zeitintervall" angezeigt. Wählen Sie das Zeitintervall im Listenfeld aus. Wenn Sie "Vollständiger Tagesbericht", "Vollständiger Monatsbericht" oder "Vollständiger Jahresbericht" ausgewählt haben, wird die Option "Einzuschließende Berichte konfigurieren" angezeigt. Klicken Sie auf "Einzuschließende Berichte konfigurieren" und dann in das neue Fenster und wählen Sie die Berichte aus, die Sie in den kombinierten Bericht aufnehmen möchten. Klicken Sie auf "Speichern". Wenn Sie "Risikoerkennungen - Korrelation" ausgewählt haben, wird das Listenfeld "Diagrammtyp" angezeigt. Wählen Sie "Netzdiagramm" oder "3D-Balkendiagramm". Wählen Sie in den Listenfeldern "X-Achse / Achsen" und "Y-Achse / Netz" die Gruppierung aus, die auf den Diagrammachsen des 3D-Balkendiagramms oder auf den Achsen des Netzdiagramms angezeigt werden soll. 6 Wählen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" im Listenfeld "Produkt" das Produkt aus, für das Sie den Bericht generieren möchten. 7 Wählen Sie im Listenfeld "Datumsbereich" den Datumsbereich für den Bericht aus. 8 Wenn Sie weitere Einstellungen für die Berichtskonfiguration festlegen möchten, klicken Sie auf "Erweiterte Einstellungen". Sie können die aktuellen Einstellungen in der vorhandenen Konfiguration speichern oder eine neue Konfiguration erstellen. Siehe Berichtskonfigurationseinstellungen speichern auf Seite Klicken Sie auf "Bericht erstellen". Prüfungsberichte erstellen Prüfungsberichte enthalten Informationen zu den Prüfungen, die auf den Computern in Ihrem Sicherheitsnetzwerk ausgeführt wurden. Sie können Prüfungsfilterkonfigurationen erstellen, um die Daten Ihrer Prüfungsberichte zu filtern. Wenn Sie einen Bericht erstellen, wird er in einem neuen Fenster angezeigt. Sie haben die Möglichkeit, die Berichtseinstellungen zu speichern, um den Bericht zu einem späteren Zeitpunkt erneut generieren zu können. Sie können den Bericht auch drucken oder speichern.

45 Berichte verwenden Prüfungsberichte erstellen 45 Siehe Berichte drucken und speichern auf Seite 37. In Tabelle 3-4 werden die Prüfungsberichtsarten beschrieben. Tabelle 3-4 Prüfungsberichtsarten Prüfungsberichtsart Prüfungsverteilungshistogramme Beschreibung Sie können angeben, wie die Daten im Prüfungsbericht verteilt werden sollen - entweder nach Prüfungsdauer, nach der Anzahl der in den Prüfungen gefundenen Risiken bzw. infizierten Dateien oder nach der Anzahl der geprüften oder übergangenen Dateien. Sie können auch die Behälterbreite und die Anzahl der Behälter eingeben, die in dem Histogramm im Bericht verwendet werden sollen. Die Behälterbreite ist das Datenintervall, das für die Option "Gruppieren nach" verwendet werden soll. Die Anzahl der Behälter gibt an, wie oft das Datenintervall im Histogramm wiederholt werden soll. Je nach der Größe Ihres Netzwerks und der Menge an Daten, die Sie anzeigen, müssen Sie diese Werte möglicherweise ändern, damit die maximal möglichen Informationen im Histogramm des Berichts angezeigt werden. Computer nach Zeit der letzten Prüfung Computer, die nicht geprüft wurden Zeigt eine Liste der Computer in Ihrem Sicherheitsnetzwerk nach der Uhrzeit der letzten Prüfung an. Zeigt eine Liste der Computer in Ihrem Sicherheitsnetzwerk an, die nicht geprüft wurden. Sie können schnell einen Prüfungsbericht generieren, indem Sie eine oder mehrere Grundeinstellungen auswählen, die standardmäßig unter "Welche Filtereinstellungen möchten Sie verwenden?" angezeigt werden. Weitere Filter für den Bericht können Sie über die Option "Erweiterte Einstellungen" konfigurieren. In Tabelle 3-5 werden die grundlegenden Filtereinstellungen für Prüfungsberichte beschrieben. Tabelle 3-5 Einstellung Datumsbereich Grundlegende Filtereinstellungen für Prüfungsberichte Beschreibung Hier wird der Zeitraum angegeben, für den Prüfungsinformationen im Bericht aufgeführt werden sollen. Wenn Sie "Bestimmte Daten festlegen" auswählen, müssen Sie ein "Startdatum" und ein "Enddatum" angeben.

46 46 Berichte verwenden Prüfungsberichte erstellen Einstellung Startdatum Beschreibung Hier wird das Startdatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Enddatum Hier wird das Enddatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. In Tabelle 3-6 werden die erweiterten Prüfberichtseinstellungen beschrieben. Tabelle 3-6 Einstellung Dauer größer als Erweiterte Filtereinstellungen für Prüfungsberichte Beschreibung Es werden nur die Prüfungen angezeigt, deren Dauer diesen Wert übersteigt. Geprüfte Dateien größer als Risiken größer als Infizierte Dateien größer als Meldung beim Start der Prüfung Status Server-Gruppe Es werden nur die Prüfungen angezeigt, bei denen mehr Dateien geprüft wurden, als hier angegeben. Es werden nur die Prüfungen angezeigt, bei denen mehr Risiken gefunden wurden, als hier angegeben. Es werden nur die Prüfungen angezeigt, bei denen mehr Infektionen gefunden wurden, als hier angegeben. Es werden nur die Ereignisse angezeigt, die die Prüfungsmeldung enthalten. Legt fest, ob alle Prüfungen oder nur abgeschlossene, begonnene oder abgebrochene Prüfungen im Bericht angezeigt werden sollen. Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt.

47 Berichte verwenden Prüfungsberichte erstellen 47 Einstellung Übergeordneter Server Beschreibung Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. IP-Adresse Hier werden bestimmte Adressen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle IP-Adressen aufgeführt. Benutzer Hier werden bestimmte Benutzer und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Benutzer aufgeführt. So erstellen Sie einen Prüfungsbericht 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Berichte" auf "Prüfungsberichte". 3 Wählen Sie im Listenfeld "Gespeicherten Bericht verwenden" eine gespeicherte Filterkonfiguration aus oder verwenden Sie die Standardkonfiguration. 4 Wählen Sie unter "Welchen Typ des Prüfberichts möchten Sie anzeigen?" im Listenfeld "Berichtstyp" den zu erstellenden Berichtstyp aus. 5 Wenn Sie "Prüfungsverteilungshistogramme" gewählt haben, führen Sie folgende Schritte aus: Geben Sie im Listenfeld "Gruppieren nach" an, wie die Informationen im Bericht gruppiert werden sollen. Geben Sie im Textfeld "Behälterbreite" das Datenintervall ein, das für die Verteilung unter "Gruppieren nach" verwendet werden soll.

48 48 Berichte verwenden Computer-Statusberichte erstellen Geben Sie im Textfeld "Anzahl der Behälter" die Anzahl der Datenintervalle ein, die im Bericht enthalten sein sollen. 6 Wählen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" im Listenfeld "Prüfungen von" den Datumsbereich für den Bericht aus. Sie können für diese Berichtskonfiguration einen Namen im entsprechenden Textfeld eingeben oder die Einstellung "Prüfungen von" verwenden, um die Standardberichtskonfiguration zu filtern. 7 Wenn Sie weitere Einstellungen für die Berichtskonfiguration festlegen möchten, klicken Sie auf "Erweiterte Einstellungen" und nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Sie können die aktuellen Einstellungen in der vorhandenen Konfiguration speichern oder eine neue Konfiguration erstellen. Siehe Berichtskonfigurationseinstellungen speichern auf Seite Klicken Sie auf "Bericht erstellen". Computer-Statusberichte erstellen Computer-Statusberichte sind Berichte über den Status bzw. das Inventar der Computer in Ihrem Sicherheitsnetzwerk. Es gibt folgende Statusberichte: Verteilung der Virendefinitionen Computer, die nicht im übergeordneten Server eingecheckt sind Symantec AntiVirus-Produktversionen Symantec Client Firewall-Produktversionen IPS-Signatur - Distribution Sie können in den erweiterten Einstellungen festlegen, welche Computer im Bericht erfasst werden sollen. Sie können den Bericht auch drucken oder speichern. Siehe Berichte drucken und speichern auf Seite 37. In Tabelle 3-7 werden die erweiterten Konfigurationseinstellungen für Computer-Statusberichte beschrieben.

49 Berichte verwenden Computer-Statusberichte erstellen 49 Tabelle 3-7 Erweiterte Filtereinstellungen für Computer-Statusberichte Einstellung Datumsbereich Beschreibung Hier wird der Zeitraum angegeben, in dem Computer-Statusdaten liegen, die im Bericht aufgeführt werden sollen. Wenn Sie "Bestimmte Daten festlegen" auswählen, müssen Sie die "Letzte Check-In-Zeit" angeben. Letzte Check-In-Zeit Gibt an, wann der Computer das letzte Mal beim übergeordneten Server eingecheckt hat. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Definitionsdatum SAV-Produktversion SAV-Prüf-Engine Version SCF-Version Name der SCF-Richtliniendatei Online Auto-Protect - Status Server-Gruppe Zeigt nur die Computer mit diesem Datum der Virendefinitionen im Bericht an. Zeigt nur die Computer mit dieser Produktversion von Symantec AntiVirus im Bericht an. Zeigt nur die Computer mit dieser Prüf-Engine-Version im Bericht an. Zeigt nur die Computer mit dieser Produktversion von Symantec Client Firewall im Bericht an. Zeigt nur die Computer mit diesem Firewall-Richtliniennamen im Bericht an. Zeigt alle Computer, nur die Computer, die eine Verbindung mit dem übergeordneten Server herstellen, oder nur die Computer, die keine Verbindung mit dem übergeordneten Server herstellen, im Bericht an. Zeigt Computer mit einem beliebigen Auto-Protect-Status im Bericht an oder nur die Computer, bei denen Auto-Protect aktiviert, deaktiviert oder der Auto-Protect-Status unbekannt ist. Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt.

50 50 Berichte verwenden Computer-Statusberichte erstellen Einstellung Übergeordneter Server Beschreibung Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. IP-Adresse Hier werden bestimmte Adressen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle IP-Adressen aufgeführt. Benutzer Hier werden bestimmte Benutzer und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Benutzer aufgeführt. Nur infiziert Anzeigen Computer-Typ Gibt nur die infizierten Computer im Bericht an. Zeigt die Symantec AntiVirus-Version oder die Symantec Client Firewall-Version im Bericht an. Zeigt nur übergeordnete Server oder nur Primär-Management-Server an. Standardmäßig werden alle Computer einschließlich der Client-Computer angezeigt. So erstellen Sie einen Computer-Statusbericht 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Berichte" auf "Computer - Statusberichte". 3 Wählen Sie im Listenfeld "Gespeicherten Bericht verwenden" eine gespeicherte Filterkonfiguration aus oder verwenden Sie die Standardkonfiguration. 4 Wählen Sie unter "Welchen Typ des Computer-Statusberichts möchten Sie anzeigen?" im Listenfeld "Berichtstyp" einen der folgenden Berichte aus: Verteilung der Virendefinitionen Computer, die nicht im übergeordneten Server eingecheckt sind Symantec AntiVirus-Produktversionen

51 Berichte verwenden Geplante Berichte erstellen und anzeigen 51 Symantec Client Firewall-Produktversionen IPS-Signatur - Distribution 5 Wenn Sie weitere Filter für die Berichtskonfiguration festlegen möchten, klicken Sie auf "Erweiterte Einstellungen" und nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Sie können die aktuellen Einstellungen in der vorhandenen Konfiguration speichern oder eine neue Konfiguration erstellen. Siehe Berichtskonfigurationseinstellungen speichern auf Seite Klicken Sie auf "Bericht erstellen". Geplante Berichte erstellen und anzeigen Geplante Berichte sind Berichte, die die Berichterstellungsanwendung automatisch anhand eines von Ihnen konfigurierten Zeitplans generiert. Derzeit sind geplante Berichte nur für die Verteilung der Virendefinitionen möglich. Es gibt einen vorgegebenen geplanten Bericht, der immer ausgeführt wird. Sie können die Einstellungen für jeden ausstehenden geplanten Bericht (jeder Bericht, der noch nicht ausgeführt wurde) ändern und Sie können zusätzliche geplante Berichte für die Überwachung der Virendefinitionsverteilung erstellen. Sie haben auch die Möglichkeit, einzelne oder alle geplanten Berichte löschen. Sie können den Bericht drucken oder speichern. Siehe Berichte drucken und speichern auf Seite 37. Abbildung 3-2 zeigt ein Beispiel eines geplanten Berichts.

52 52 Berichte verwenden Geplante Berichte erstellen und anzeigen Abbildung 3-2 Beispiel eines geplanten Berichts In Tabelle 3-8 werden die Konfigurationseinstellungen für geplante Berichte beschrieben. Tabelle 3-8 Parameter Startzeit Ausführungsdauer Ausführung alle Konfigurationseinstellungen für geplante Berichte Definition Hier werden das Datum und die Uhrzeit (Stunde und Minuten) festgelegt, zu denen die Ausführung des Berichts beginnen soll. Gibt die Dauer in Stunden an, die der Bericht ausgeführt werden soll. Im unter "Ausführungsdauer" angegebenen Intervall wird der Bericht stündlich ausgeführt. Dieser Wert kann nicht geändert werden. Aufgabe wiederholen Gibt an, wie oft der geplante Bericht wiederholt werden soll (nie, täglich, wöchentlich oder monatlich). Die Vorgabe lautet "Niemals".

53 Berichte verwenden Geplante Berichte erstellen und anzeigen 53 Parameter Server-Gruppe Definition Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt. Übergeordneter Server Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. Letzte Check-In-Zeit Wählen Sie das Datum, die Stunde und die Minute aus, zu der Computer zuletzt bei ihren übergeordneten Servern eingecheckt haben. Die Vorgabe ist das aktuelle Datum. Nur Online Aktivieren Sie diese Option, damit nur die Computer im Bericht angezeigt werden, die mit ihren übergeordneten Servern verbunden sind.

54 54 Berichte verwenden Geplante Berichte erstellen und anzeigen So erstellen Sie einen neuen geplanten Bericht oder ändern einen ausstehenden geplanten Bericht 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Berichte" auf "Geplante Berichte". 3 Geben Sie unter "Welchen Typ des geplanten Berichts möchten Sie anzeigen?" im Listenfeld "Sortieren nach" an, wie der geplante Bericht sortiert werden soll. 4 Führen Sie einen der folgenden Schritte aus: Klicken Sie unter "Wie möchten Sie verfahren?" auf das Symbol "Einen neuen geplanten Bericht erstellen". Klicken Sie unter "Geplante Berichte" auf das Symbol "Ändern" neben einem Bericht, der den Status "Ausstehend" hat. 5 Geben Sie unter "Wie soll dieser Bericht geplant werden?" im Textfeld "Startzeit" das Datum und die Uhrzeit (Stunde und Minute) an, zu der die Ausführung des Berichts beginnen soll. 6 Geben Sie im Textfeld "Ausführungsdauer" an, wie lange (in Stunden) der Bericht ausgeführt werden soll. Wenn Sie beispielsweise die Zeit unter "Ausführungsdauer" auf "48 Stunden" setzen, wird der Bericht innerhalb der 48 Stunden stündlich ausgeführt.

55 Berichte verwenden Geplante Berichte erstellen und anzeigen 55 7 Geben Sie im Listenfeld "Aufgabe wiederholen" an, wie oft der Bericht ausgeführt werden soll. Wenn Sie beispielsweise "Wöchentlich" angeben, wird der Bericht einmal in der Woche für die unter "Ausführungsdauer" angegebene Anzahl an Stunden ausgeführt. 8 Geben Sie unter "Welche Einstellungen möchten Sie für diesen Bericht verwenden?" die Server-Gruppe, die Client-Gruppe, den übergeordneten Server oder den Computer an, den Sie für die Filterung des Berichts verwenden möchten. 9 Wählen Sie im Listenfeld "Letzte Check-In-Zeit" die Uhrzeit aus. 10 Aktivieren oder deaktiveren Sie die Option "Nur Online". Wenn Sie "Nur Online" aktivieren, werden nur die Computer im Bericht angezeigt, die gerade mit ihren übergeordneten Servern verbunden sind. 11 Klicken Sie auf "Speichern", um die Konfiguration des geplanten Berichts zu speichern. So zeigen Sie einen geplanten Bericht an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Berichte" auf "Geplante Berichte". 3 Klicken Sie in der Liste der Berichte links von der Spalte "Status" auf das Symbol neben dem Bericht, den Sie anzeigen möchten. So löschen Sie geplante Berichte 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Berichte" auf "Geplante Berichte". 3 Führen Sie einen der folgenden Schritte aus: Klicken Sie unter "Geplante Berichte" am Ende der Zeile, die den zu löschenden Bericht enthält, auf das Symbol "Löschen". Klicken Sie unter "Wie möchten Sie verfahren?" auf das Symbol "Alle geplanten Berichte löschen". 4 Klicken Sie in der Warnmeldung auf "OK".

56 56 Berichte verwenden Geplante Berichte erstellen und anzeigen

57 Kapitel 4 Administrative Aufgaben In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu administrativen Aufgaben Berichts-Server konfigurieren Berichterstellungsanzeige konfigurieren Benutzer konfigurieren Warnmeldungen konfigurieren Intervalle für die automatische Aktualisierung festlegen Allgemeines zu administrativen Aufgaben Zu den administrativen Aufgaben gehören das Konfigurieren von Berichts-Servern in Ihrem Netzwerk, das Konfigurieren der allgemeinen Berichterstellungsanzeige, das Einrichten von Benutzern für die Berichterstellung und das Konfigurieren von Warnmeldungen. Andere Aufgaben wie das Anmelden bei der Berichterstellungsanwendung und das Verwenden der Startseite werden in einem anderen Kapitel dieses Benutzerhandbuchs beschrieben. Siehe Allgemeines zu grundlegenden Aufgaben auf Seite 23. Die in diesem Kapitel beschriebenen Aufgaben gehen davon aus, dass Sie über die Symantec System Center-Konsole bei der Berichterstellungsanwendung angemeldet sind.

58 58 Administrative Aufgaben Berichts-Server konfigurieren Hinweis: Die Anmeldung bei der Berichterstellungsanwendung ist nicht an die Anmeldung bei der Symantec System Center-Konsole gekoppelt, sondern erfolgt separat. Die Berichterstellungsanwendung verwendet eigene Benutzerkonten, die in der Berichterstellungsdatenbank gespeichert sind. Siehe Benutzer konfigurieren auf Seite 63. Berichts-Server konfigurieren Die Symantec System Center-Konsole füllt den Berichts-Server-Knoten anhand des Auffindevorgangs, den sie zum Suchen von Servern durchführt, auf denen Symantec Client Security oder Symantec AntiVirus läuft. Weitere Informationen über den Symantec System Center Auffindedienst (Nsctop.exe) finden Sie im Symantec Client Security Administratorhandbuch oder im Symantec AntiVirus Administratorhandbuch. Der Auffindedienst liest die Registrierungseinstellungen der Server, auf denen Symantec Client Security oder Symantec AntiVirus ausgeführt wird, um den URL des Berichts-Servers zu ermitteln, an den der gefundene Server Daten weiterleitet. Der Auffindedienst ermittelt automatisch den URL der Server, auf denen der Berichts-Server, die Berichterstellungs-Agenten und Symantec AntiVirus installiert sind. Sie müssen einen Berichts-Server manuell hinzufügen, wenn er sich auf einem Computer befindet, auf dem Symantec AntiVirus nicht installiert ist. Wenn Sie Symantec System Center ausführen und dann einen Berichts-Server installieren, müssen Sie den Berichts-Server ebenfalls manuell hinzufügen oder den Auffindedienst ausführen. Sie können auch Berichts-Server löschen, die Sie manuell zur Konsole hinzugefügt haben. Wenn Sie einen Berichts-Server löschen, der vom Symantec System Center Auffindedienst gefunden wurde, wird der Server aus der Konsole entfernt. Bei der nächsten Ausführung des Auffindediensts wird er jedoch wieder in der Konsole angezeigt. Möglicherweise müssen Sie Ihrer Server-Gruppe oder Ihrem Server einen anderen Berichts-Server zuweisen, wenn Sie einen anderen Berichts-Server verwenden möchten. Wenn Sie einen Berichts-Server hinzufügen oder ändern, geben Sie einen Host-Namen, eine IP-Adresse oder einen URL an. Wenn Sie den Host-Namen in einem vorhandenen URL-Pfad geändert haben, wird der Name des vorhandenen Berichts-Servers bei der nächsten Ausführung der Symantec System Center-Konsole durch diesen Host-Namen ersetzt.

59 Administrative Aufgaben Berichts-Server konfigurieren 59 Wenn Sie einen Berichts-Server hinzufügen oder ändern, wird der URL in die Registrierung eingetragen. So ändern Sie den Berichts-Server oder fügen ihn hinzu 1 Klicken Sie in Symantec System Center im linken Teilfenster unter "Systemhierarchie" mit der rechten Maustaste auf die Server-Gruppe oder den Primär- bzw. Sekundär-Management-Server, für den Sie einen Berichts-Server hinzufügen oder ändern möchten. 2 Klicken Sie auf "Alle Tasks > Berichtskonfiguration > Berichterstellungs-Server konfigurieren". 3 Führen Sie im Dialogfeld "Berichterstellungs-Server - Optionen" unter "Berichts-Server" im Listenfeld "Host-Name oder IP-Adresse" einen der folgenden Schritte aus: Geben Sie den Host-Namen oder die IP-Adresse des neuen Berichts-Servers ein. Wählen Sie den URL des Berichts-Servers im Dropdown-Menü aus. 4 Klicken Sie auf "OK". Port-Nummer des Berichts-Servers ändern Normalerweise verwendet der Berichts-Server Port 80. Sie können die Port-Nummer ändern, wenn Sie den Host-Namen oder die IP-Adresse des Berichts-Servers im Dialogfeld "Berichterstellungs-Server - Optionen" angeben. Wenn Sie die Port-Nummer des Berichts-Servers ändern, sollten Sie auch die Berichterstellungs-URL in der Konfiguration des Warnmeldungsagenten ändern. Sie müssen diese Option ändern, wenn Sie Warnmeldungsereignisse in die Warnmeldungsdatenbank schreiben oder wenn Sie s mit Warnmeldungsbenachrichtigungen senden. Anderenfalls können Warnmeldungsereignisse nicht auf der Seite "Warnmeldungsereignisse" zur

60 60 Administrative Aufgaben Berichts-Server konfigurieren Verfügung gestellt werden und in Benachrichtigungs- s wird eine falsche URL angegeben. So ändern Sie die Port-Nummer des Berichts-Servers 1 Klicken Sie in Symantec System Center im linken Teilfenster unter "Systemhierarchie" mit der rechten Maustaste auf die Server-Gruppe oder den Primär- bzw. Sekundär-Management-Server, für den Sie einen Berichts-Server hinzufügen oder ändern möchten. 2 Klicken Sie auf "Alle Tasks > Berichtskonfiguration > Berichterstellungs-Server konfigurieren". 3 Geben Sie die Port-Nummer im Dialogfeld "Berichterstellungs-Server - Optionen" unter "Berichts-Server" im Listenfeld "Host-Name oder IP-Adresse" im folgenden Format an: oder IP-Adresse>: <Port-Nummer>. 4 Klicken Sie auf "OK". 5 Ändern Sie die URL, die auf der Warnmeldungskonfigurationsseite für den Warnmeldungsagenten angegeben ist. Siehe -Benachrichtigungsparameter festlegen auf Seite 116. Den URL des Berichts-Servers über die Windows-Registrierung angeben Der URL des Berichts-Servers ist in der Windows-Registrierung in folgendem Schlüssel gespeichert: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\ VirusProtect\CurrentVersion\Reporting. Mit dem Registrierungsschlüssel "ReportServerURL" können Sie einen Berichts-Server-URL hinzufügen oder ändern. URL eines Berichts-Servers anzeigen Sie können den URL eines Berichts-Servers schnell über das Dialogfeld "Eigenschaften" anzeigen. Außerdem können Sie den URL eines manuell hinzugefügten Berichts-Servers über das Dialogfeld "Eigenschaften" ändern. So zeigen Sie den URL eines Berichts-Servers an 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Berichterstellung", dann unter "Berichts-Server" mit der rechten Maustaste auf den Namen eines Berichts-Servers, dessen URL Sie anzeigen möchten. Klicken Sie anschließend auf "Eigenschaften". 2 Klicken Sie auf "OK".

61 Administrative Aufgaben Berichterstellungsanzeige konfigurieren 61 Berichts-Server entfernen Sie können einen Berichts-Server aus der Symantec System Center-Konsole entfernen, wenn Sie ihn nicht länger benötigen. So löschen Sie einen Berichts-Server Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Berichterstellung" mit der rechten Maustaste auf den Namen des Servers, den Sie löschen möchten, und klicken Sie anschließend auf "Löschen". Wenn der Server manuell hinzugefügt wurde, wird der Server-Name aus der Konsole gelöscht und Sie können nicht mehr auf die Berichterstellung auf diesem Server zugreifen. Wenn es sich bei diesem Server um einen vom Auffindedienst gefundenen Server handelt, wird der Server-Name aus der Konsole gelöscht. Der Name wird jedoch wieder angezeigt, wenn der Auffindedienst erneut ausgeführt wird. Wenn Sie einen Berichts-Server deinstallieren, müssen Sie einen der folgenden Schritte ausführen: Weisen Sie den Primär-Management-Server des Berichts-Servers manuell einem anderen Berichts-Server zu. Lassen Sie hierzu den Primär-Management-Server auf einen anderen URL verweisen. Siehe URL eines Berichts-Servers anzeigen auf Seite 60. Entfernen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\ Intel\LANDesk\VirusProtect6\CurrentVersion\Reporting\ReportServerURL registry key from the reporting server's primary management server and then delete the reporting server from the Symantec System Center console. Sie müssen diese Aufgaben in dieser Reihenfolge ausführen. Wenn Sie den Berichts-Server löschen, bevor Sie den Registrierungsschlüssel entfernen, wird der Berichts-Server erneut in der Symantec System Center-Konsole angezeigt, wenn der Auffindedienst das nächste Mal ausgeführt wird. Berichterstellungsanzeige konfigurieren Sie können die folgenden Merkmale der Berichterstellungsanzeige und die Art, wie manche Informationen in den Berichten dargestellt werden, konfigurieren: Die Darstellung von Datum und Uhrzeit in den Berichten und auf den Berichterstellungsseiten. Das automatische Aktualisierungsintervall für Ereignisse und Warnmeldungsseiten. Für die Startseite können Sie das automatische Aktualisierungsintervall separat konfigurieren.

62 62 Administrative Aufgaben Berichterstellungsanzeige konfigurieren Siehe Startseite anpassen auf Seite 28. Ob aktive Filter in Berichten enthalten sein sollen oder nicht. Der übergeordnete Server, auf dem sich die aktuellen Virendefinitionen befinden. Die allgemeinen Parameter gelten für alle Benutzersitzungen der Berichterstellung. In Tabelle 4-1 werden die allgemeinen Parameter beschrieben. Tabelle 4-1 Parameter Datumsformat Allgemeine Parameter für die Berichterstellungsanzeige Definition Gibt das Datumsformat an. Datumstrennzeichen Standardmäßige automatische Aktualisierung für Protokoll- und Warnmeldungsseiten Aktive Filter in Berichten anzeigen Übergeordneter Server Gibt das im Datum zu verwendende Trennzeichen an. Wird in der Berichterstellungsanzeige und in den erstellten Berichten verwendet. Gibt an, wie oft die Berichterstellungsanzeige aktualisiert werden soll. Die Vorgabe lautet "Niemals". Gibt an, ob eine Liste der Filter in den von Ihnen generierten Berichten enthalten sein soll oder nicht. Gibt den übergeordneten Server an, auf dem sich die aktuellen Virendefinitionen befinden. Ein übergeordneter Server wird nur dann in der Liste angezeigt, wenn er Clients hat. So konfigurieren Sie die Berichterstellungsanzeige 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "GUI-Konfiguration > Allgemein". 3 Ändern Sie die Werte für das Datumsformat, das automatische Aktualisierungsintervall und die Einstellung für aktuelle Virendefinitionen auf übergeordneten Servern. 4 Klicken Sie auf "Speichern".

63 Administrative Aufgaben Benutzer konfigurieren 63 Benutzer konfigurieren Benutzer werden vom Administrator oder einem Benutzer mit Administratorrechten für die Berichterstellung konfiguriert. Benutzerkonten für die Berichterstellung sind nicht mit den für die Symantec System Center-Konsole erstellten Konten identisch. Möglicherweise müssen Sie Konten für Benutzer erstellen, die sich über einen Computer, auf dem nur ein eigenständiger Browser läuft, bei der Berichterstellung anmelden. Sie können Benutzern eine der folgenden beiden Rollen zuweisen: Benutzer Administrator Standardmäßig wird durch die Rolle "Benutzer" der Umfang der administrativen Informationen, die der Benutzer sehen kann, eingeschränkt. Benutzer mit der Benutzerrolle haben keinen Zugriff auf die administrativen Funktionen der Berichterstellung. Sie sehen keine Informationen zu den anderen Benutzerkonten, die für die Berichterstellung konfiguriert wurden, und sie können keine Informationen zu Berichterstellungs-Agenten lesen oder konfigurieren. Die aktuell konfigurierten Benutzer werden in einer Tabelle unten auf der Seite "Benutzerverwaltung" aufgeführt. Standardmäßig sind alle Benutzer in dieser Tabelle aufgeführt. Sie können die Ansicht jedoch filtern, so dass nur die Benutzer mit Administratorrechten oder nur die allgemeinen Benutzer aufgelistet werden. So filtern Sie die Benutzertabelle 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Benutzerverwaltung". 3 Wählen Sie im Listenfeld "Rolle filtern" den Eintrag "Administrator" oder "Benutzer". Die Anzeige wird automatisch aktualisiert. Sie können auch festlegen, dass bestimmte Benutzer nur eingeschränkten Zugriff auf bestimmte Berichte haben, indem Sie Filter für die Art der Informationen festlegen, die diese Benutzer lesen dürfen. Für Benutzer mit Administratorrolle können Sie Filter einrichten, so dass sie nur bestimmte Benutzergruppen anzeigen können. Alle anderen Filter (Client-Gruppe, übergeordneter Server usw.) können für beide Benutzerrollen verwendet werden. Darüber hinaus können Sie ein Benutzerkonto vorübergehend deaktivieren oder ein Konto entsperren, das gesperrt wurde, nachdem der Benutzer dreimal erfolglos versucht hat, sich bei der Berichterstellungsanwendung anzumelden.

64 64 Administrative Aufgaben Benutzer konfigurieren Wenn ein Benutzer sein Kennwort vergisst, kann der Administrator das Kennwort auf dieser Seite zurücksetzen. Hinweis: Sie sollten mindestens ein weiteres Administrator-Konto einrichten, so dass Sie sich für den Fall, dass Sie Ihr Administrator-Kennwort vergessen sollten, bei dem anderen Administrator-Konto anmelden können, um das Kennwort zu ändern. In Tabelle 4-2 sind die Parameter für die Konfiguration der Benutzer mit Zugriff auf die Berichterstellung aufgeführt. Tabelle 4-2 Benutzerparameter Option Benutzername Rolle Server-Gruppe Client-Gruppe Übergeordneter Server Computer IP-Adresse Meldung Beschreibung Der Benutzername für diesen Berichterstellungsbenutzer. Gibt an, ob der Benutzer Administrator- oder Benutzerrechte hat. Benutzer mit Administratorrechten haben Zugriff auf administrative Funktionen der Berichterstellung. Sie können den Zugriff von Benutzern mit Administrator- oder Benutzerrolle auf bestimmte Server-Gruppen beschränken, indem Sie Namen der entsprechenden Server-Gruppen und/oder Platzhalterzeichen (?, *) angeben. Um beispielsweise den Zugriff auf Server-Gruppen einzuschränken, deren Namen mit "je" beginnen, geben Sie "je*" ein. Für Benutzer mit Benutzerrolle können Sie den Zugriff auf bestimmte Client-Gruppen beschränken, indem Sie die Namen der entsprechenden Client-Gruppen und/oder Platzhalterzeichen (?, *) angeben. Um beispielsweise den Zugriff auf Client-Gruppen einzuschränken, deren Namen mit "er" enden, geben Sie "*er" ein. Für Benutzer mit Benutzerrolle können Sie den Zugriff auf bestimmte übergeordnete Server beschränken, indem Sie die Namen der übergeordneten Server und/oder Platzhalterzeichen (?, *) angeben. Um beispielsweise den Zugriff auf übergeordnete Server einzuschränken, deren Namen die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein. Für Benutzer mit Benutzerrolle können Sie den Zugriff auf bestimmte Computer beschränken, indem Sie die Namen der entsprechenden Computer und/oder Platzhalterzeichen (?, *) angeben. Um beispielsweise den Zugriff auf Computer einzuschränken, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein. Für Benutzer mit Benutzerrolle können Sie den Zugriff auf bestimmte IP-Adressen beschränken, indem Sie die entsprechenden Adressen und/oder Platzhalterzeichen (?, *) angeben. Hier wird Text angezeigt, der bestätigt, dass Sie einen neuen Benutzer hinzugefügt haben.

65 Administrative Aufgaben Benutzer konfigurieren 65 Option Kennwort Beschreibung Das Kennwort des Benutzers. Der Benutzer gibt dieses Kennwort als altes Kennwort ein, wenn er sich zum ersten Mal anmeldet. Dieser Parameter ist erforderlich. Kennwort bestätigen Vollständiger Name Telefon Deaktiviert Gesperrt Tage seit der letzten Anmeldung Letzte Anmeldeadresse Das Kennwort des Benutzers. Der vollständige Name des Benutzers. Die Telefonnummer des Benutzers. Die -Adresse des Benutzers. Aktivieren Sie diese Option, um das Benutzerkonto vorübergehend zu sperren. Zeigt an, ob das Benutzerkonto gesperrt ist. Standardmäßig wird das Konto nach drei fehlgeschlagenen Anmeldeversuchen gesperrt. Deaktivieren Sie die Option, um die Sperre des Kontos aufzuheben. Die Anzahl der Tage, die seit der letzen Anmeldung des Benutzers vergangen sind. Die IP-Adresse, über die sich der Benutzer zuletzt angemeldet hat. So fügen Sie einen neuen Benutzer hinzu 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Benutzerverwaltung". 3 Geben Sie im Textfeld "Benutzername" einen Benutzernamen ein. 4 Wählen Sie im Listenfeld "Rolle" den Eintrag "Administrator" oder "Benutzer". 5 Geben Sie das Kennwort des Benutzers zweimal ein. 6 Legen Sie bei Bedarf Filter für das Konto fest. 7 Klicken Sie auf "Speichern". Der neue Benutzer wird zu der Tabelle im unteren Bereich des Teilfensters hinzugefügt. In der Spalte "Sitzung abbrechen" wird ein Symbol angezeigt, wenn der Benutzer gerade aktiv ist.

66 66 Administrative Aufgaben Benutzer konfigurieren So ändern Sie einen Benutzer 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Benutzerverwaltung". 3 Klicken Sie in der Benutzertabelle auf das Auswahlsymbol. Das rechte Teilfenster wird erneut mit den Kontodaten des Benutzers angezeigt. In der Tabelle im unteren Fensterbereich ist der Benutzer markiert. 4 Nehmen Sie die gewünschten Änderungen an den Kontodaten vor. 5 Klicken Sie auf "Speichern". So löschen Sie einen Benutzer Kennwortregeln festlegen 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Benutzerverwaltung". 3 Klicken Sie in der Benutzertabelle auf das Löschsymbol. 4 Klicken Sie in der Warnmeldung "Eintrag löschen" auf "OK". Sie können Kennwortregeln für Administratoren und Benutzer konfigurieren. Sie können für jeden Rollentyp separate Regeln konfigurieren. In Tabelle 4-3 werden die Optionen für Kennwortregeln beschrieben. Tabelle 4-3 Optionen für Kennwortregeln Option Regeln für Rolle Mindestlänge des Kennworts Mindestanzahl der numerischen Zeichen Definition Die Rolle, für die diese Kennwortregeln gelten. Die Mindestanzahl an Zeichen, die ein Benutzerkennwort enthalten muss. Die Mindestanzahl an numerischen Zeichen, die ein Benutzerkennwort enthalten muss.

67 Administrative Aufgaben Benutzer konfigurieren 67 Option Mindestanzahl der Kennwortänderungen, bis das Kennwort wiederverwendet werden kann Maximale Lebensdauer für Kennwort Maximale Anzahl von ungültigen Anmeldeversuchen Zeitlimit für Inaktivität Benutzername darf nicht gleich Kennwort sein Benutzer deaktivieren, wenn nicht verwendet innerhalb von Benutzer löschen, wenn er nicht verwendet wird innerhalb von Definition Gibt an, wie oft ein Kennwort geändert werden muss, bis ein früheres Kennwort wiederverwendet werden darf. Bei einem Wert von Null wird diese Funktion deaktiviert. Der Maximalwert ist 10. Die maximale Anzahl an Tagen, in denen das Benutzerkennwort gültig ist. Wenn dieser Zeitraum abgelaufen ist, müssen Benutzer ihr Kennwort ändern. Bei einem Wert von Null wird diese Funktion deaktiviert, so dass das Kennwort nie abläuft. Legt fest, wie oft ein Benutzer versuchen kann, sich anzumelden, bis er von der Berichterstellungsanwendung gesperrt wird. Bei einem Wert von Null wird diese Funktion deaktiviert. Gibt an, nach welcher Zeit in Sekunden der Benutzer automatisch abgemeldet wird, wenn in dieser Zeit keine Eingaben erfolgen. Bei einem Wert von Null wird dieses Zeitlimit deaktiviert. Aktivieren oder deaktivieren Sie diese Option, um zu verhindern oder zuzulassen, dass Benutzer ihren Benutzernamen als Kennwort verwenden. Gibt die Anzahl an Tagen an, die seit der letzten Anmeldung des Benutzers verstreichen müssen, bis dieser von der Berichterstellungsanwendung gesperrt wird. Bei einem Wert von Null wird der Benutzer nicht gesperrt. Gibt die Anzahl an Tagen an, die seit der letzten Anmeldung des Benutzers verstreichen müssen, bis dieser aus der Liste der Berichterstellungsbenutzer gelöscht wird. Bei einem Wert von Null wird der Benutzer nicht gelöscht. Benutzer zur Überprüfung markieren nach Markiert den Benutzer zur Überprüfung. Nach der angegebenen Anzahl an Tagen wird ein rotes Symbol neben dem Benutzernamen in der Benutzerliste angezeigt. So legen Sie Kennwortregeln für Benutzerkonten der Berichterstellung fest 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "GUI-Konfiguration > Kennwortregeln". 3 Wählen Sie im Listenfeld "Regeln für Rolle" die Rolle aus.

68 68 Administrative Aufgaben Warnmeldungen konfigurieren 4 Ändern Sie die gewünschten Parameter für die Kennwortregeln. 5 Klicken Sie auf "Speichern", um die Regeln für die ausgewählte Rolle zu speichern. Warnmeldungen konfigurieren Sie können die Bedingungen für Warnmeldungen konfigurieren, die festlegen, ob Benachrichtigungen zu Ereignissen in Ihrem Sicherheitsnetzwerk an Administratoren gesendet werden. Hinweis: Sie können auch Benachrichtigungen erstellen, die gesendet werden sollen, wenn die Berichterstellungs-Agenten ausfallen. Siehe Benachrichtigungsoptionen für Agenten festlegen auf Seite 114. Zum Generieren von Warnmeldungen, die auf den von Ihren Sicherheitsprodukten protokollierten Ereignissen basieren, erstellen Sie Warnmeldungskonfigurationen. Sie können Benachrichtigungen konfigurieren, die per an angegebene Benutzer gesendet werden, Informationen in die Berichterstellungsdatenbank schreiben (Warnmeldungsprotokoll) oder eine Batch-Datei ausführen, wenn die Warnmeldungsbedingungen erfüllt sind. Sie sollten den Warnmeldungsagenten so konfigurieren, dass er Benachrichtigungen über Ihren -Server sendet. Sie können auch die -Absenderadresse und den Berichterstellungs-URL angeben, die bzw. der in den von den Agenten gesendeten Benachrichtigungen enthalten sein soll. In der Konfiguration des Warnmeldungsagenten ist auch der Name der Batch-Datei angegeben, die bei Benachrichtigungen ausgeführt wird, wenn diese Option aktiviert ist. Siehe -Benachrichtigungsparameter festlegen auf Seite 116. Warnmeldungskonfigurationen erstellen Warnmeldungen sind Benachrichtigungen zu Ereignissen, die in Ihrem Sicherheitsnetzwerk aufgetreten sind. Sie können Benachrichtigungen konfigurieren, die bei Auftreten eines Ereignisses gesendet werden. Dabei kann es sich beispielsweise um eine -Nachricht an einen Administrator handeln. Sie können die Warnmeldungsbenachrichtigung auch an die Berichterstellungsdatenbank zur Erfassung im Warnmeldungsprotokoll senden. Ferner können Sie festlegen, dass bei Ausgabe einer Warnmeldung eine Batch-Datei ausgeführt wird.

69 Administrative Aufgaben Warnmeldungen konfigurieren 69 Die Liste mit den Warnmeldungen enthält die gesendeten Warnmeldungen zu Ereignissen, die in Ihrem Sicherheitsnetzwerk aufgetreten sind. Sie können die Liste filtern, um die Überprüfung der Warnmeldungen zu erleichtern. Sie können mehrere Arten von Warnmeldungskonfigurationen erstellen. In Tabelle 4-4 werden die Arten von Warnmeldungskonfigurationen beschrieben. Tabelle 4-4 Arten von Warnmeldungskonfigurationen Warnmeldungskonfigurationsart Virenausbruch Ausbruch auf einzelnen Computern Ausbruch nach Anzahl der Computer Einzelnes Virusereignis Neue Viren suchen Neuer Bericht verfügbar Virendefinitionen veraltet Beschreibung Sendet Benachrichtigungen, wenn eine bestimmte Anzahl an Viren innerhalb eines bestimmten Zeitraums gefunden wurde. Sendet Benachrichtigungen, wenn eine bestimmte Anzahl an Viren auf einem einzelnen Computer gefunden wurde. Sendet Benachrichtigungen, wenn auf einer bestimmten Anzahl an Computern Viren gefunden wurden. Sendet Benachrichtigungen, wenn Viren auf einem einzelnen Computer gefunden wurden. Sendet Benachrichtigungen, wenn neue Viren gefunden wurden. Sendet Benachrichtigungen zu Beginn des neuen Tages, Monats oder Jahres. -Benachrichtigungen enthalten einen Link zum vollständigen Risikobericht. Sendet Benachrichtigungen, wenn die Virendefinitionen bei einer bestimmten Anzahl an Computern veraltet sind.

70 70 Administrative Aufgaben Warnmeldungen konfigurieren So konfigurieren Sie eine Warnung 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Warnungen" auf "Warnmeldungskonfiguration". 3 Wählen Sie unter "Welchen Typ der Warnmeldung möchten Sie verwalten?" im Listenfeld "Warnmeldungstyp" den zu konfigurierenden Warnmeldungstyp aus. 4 Klicken Sie auf "Warnmeldung erstellen".

71 Administrative Aufgaben Warnmeldungen konfigurieren 71 5 Legen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" die Filter für die Ereignisse fest, die diese Warnmeldungsbenachrichtigung auslösen. Einige Filter sind je nach Art der ausgewählten Benachrichtigung nicht verfügbar. Filter Server-Gruppe Beschreibung Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt. Übergeordneter Server Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. Risikoname Hier werden bestimmte Risikonamen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Risiken aufgeführt.

72 72 Administrative Aufgaben Warnmeldungen konfigurieren Filter Risikoschweregrad Beschreibung Gibt den Schweregrad eines Risikos an. Die Risikokategorien entsprechen den von Symantec Security Response definierten Risikostufen. Wählen Sie die Kategorie im Listenfeld aus. Standardmäßig sind alle Kategorien enthalten. Quelle Aktion Nur Online Heute eingecheckt Gibt die Quelle des Ereignisses an, z. B. eine geplante Prüfung. Gibt die Aktion an, die als Reaktion auf das Ereignis durchgeführt wurde. Zeigt nur die Computer an, die mit ihren übergeordneten Servern verbunden sind. Zeigt nur die Computer an, die heute bei ihren übergeordneten Servern eingecheckt haben. 6 Führen Sie unter "Welche Einstellungen möchten Sie für diese Warnmeldung verwenden?" im Textfeld "Alarm wenn" einen der folgenden Schritte aus: Geben Sie im Textfeld "Alarm wenn" die Anzahl der Vorkommnisse des Sicherheitsereignisses und anschließend die Anzahl Minuten an, in denen die Ereignisse auftreten, die die Benachrichtigung auslösen. Wählen Sie im Listenfeld "Alarm wenn neuer Bericht verfügbar" die Art des Berichts an, der die Warnmeldung auslöst (Tages-, Monats- oder Jahresbericht). 7 Aktivieren oder deaktivieren Sie unter "Was soll passieren, wenn diese Warnmeldung ausgelöst wird?" die Option "Warnmeldung in Datenbank schreiben", um die Benachrichtigung im Warnmeldungsprotokoll aufzuzeichnen. Diese Option wird bei den Warnmeldungstypen "Einzelnes Virusereignis" und "Neuer Bericht verfügbar" nicht angeboten. 8 Aktivieren oder deaktivieren Sie die Option "Konfigurierte Batch-Datei ausführen", um die Batch-Datei auszuführen, die Sie auf der Seite "Agentenkonfiguration" festgelegt haben. Siehe -Benachrichtigungsparameter festlegen auf Seite Geben Sie im Textfeld " senden an" die -Adressen ein, an die die Benachrichtigung gesendet werden soll. Trennen Sie mehrere Einträge durch Kommas.

73 Administrative Aufgaben Warnmeldungen konfigurieren Wählen Sie neben "Hyperlink zu" die Berichts- oder Ereignisliste aus. 11 Klicken Sie auf "Speichern". Warnmeldungsereignisse anzeigen Die neue Warnmeldung wird in der Liste angezeigt. Sie können gesendete Benachrichtigungen anzeigen. Nur die Benachrichtigungen, die mit der Option "Warnmeldung in Datenbank schreiben" konfiguriert wurden, werden im Protokoll der Warnmeldungsereignisse aufgeführt. Sie können Details zu jedem Warnmeldungsereignis anzeigen. Wenn Sie das Warnmeldungsereignisprotokoll geprüft haben, können Sie die Warnmeldungen bestätigen oder auf "Nicht bestätigt" setzen. Sie können auch das Aktualisierungsintervall für das Warnmeldungsprotokoll konfigurieren. Standardmäßig wird die Liste alle 30 Sekunden aktualisiert. Das festgelegte Intervall gilt auch für die Aktualisierung des Risikoprotokolls. Siehe Intervalle für die automatische Aktualisierung festlegen auf Seite 77. In Tabelle 4-5 werden die Einstellungen für das Filtern der Warnmeldungsliste beschrieben. Tabelle 4-5 Einstellungen für Warnmeldungsereignisse Einstellung Datumsbereich Beschreibung Es werden nur die Warnmeldungsereignisse im ausgewählten Datumsbereich angezeigt. Wenn Sie "Bestimmte Daten festlegen" wählen, müssen Sie Angaben unter "Startdatum" und "Enddatum" machen. Startdatum Hier wird das Startdatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Enddatum Hier wird das Enddatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Filter: Bestätigt Warnmeldungstyp Sie können das Protokoll so filtern, dass es nur bestätigte Warnmeldungen oder nicht bestätigte Warnmeldungen anzeigt. Standardmäßig werden alle Warnmeldungen angezeigt. Es werden nur Warnmeldungen mit dem angegebenen Warnmeldungstyp angezeigt.

74 74 Administrative Aufgaben Warnmeldungen konfigurieren Einstellung Filter: Erstellt von Limit Server-Gruppe Beschreibung Es werden nur die Warnmeldungen angezeigt, die auf den vom ausgewählten Benutzer erstellten Benachrichtigungen basieren. Legt fest, wie viele Ereignisse auf jeder Seite des Warnmeldungsprotokolls angezeigt werden sollen. Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Übergeordneter Server Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt. Name des Risikos Hier werden bestimmte Risikonamen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Risiken aufgeführt. Risikoschweregrad Hier werden bestimmte Risikoschweregrade und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden Risiken aller Schweregrade angezeigt. Quelle Tatsächliche Maßnahme Gibt die Quelle des Ereignisses an, das die Warnmeldungsbenachrichtigung ausgelöst hat, z. B. eine geplante Prüfung. Es werden nur die Warnmeldungsbenachrichtigungen angezeigt, die auf der ausgewählten Aktion basieren.

75 Administrative Aufgaben Warnmeldungen konfigurieren 75 So zeigen Sie das Warnmeldungsereignisprotokoll an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Warnungen" auf "Warnmeldungsereignisse". 3 Führen Sie einen der folgenden Schritte aus: Wählen Sie einen vorhandenen Filter im Listenfeld "Gespeicherten Filter verwenden" aus. Klicken Sie auf "Erweiterte Einstellungen", um einen neuen Filter für das Protokoll zu erstellen. 4 Wenn Sie "Erweiterte Einstellungen" ausgewählt haben, nehmen Sie die gewünschten Änderungen an den Filteroptionen vor. 5 Wenn Sie die Filtereinstellungen speichern möchten, klicken Sie auf "Filter speichern". 6 Wenn Sie die Filtereinstellungen unter einem neuen Konfigurationsnamen speichern möchten, geben Sie im Textfeld "Name" einen neuen Konfigurationsnamen ein. Eine Meldung zeigt an, dass der Filter gespeichert wird. Anschließend wird der Filter im Listenfeld "Gespeicherten Filter verwenden" aufgeführt. 7 Klicken Sie auf "Warnmeldungen anzeigen". Warnmeldungen bestätigen oder auf "Nicht bestätigt" setzen Sie können Warnmeldungen im Warnmeldungsereignisprotokoll bestätigen oder auf "Nicht bestätigt" setzen. So bestätigen Sie Warnmeldungen 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Warnungen" auf "Warnmeldungsereignisse". 3 Klicken Sie auf "Erweiterte Einstellungen". 4 Stellen Sie sicher, dass der Datumsbereich dem gewünschten Bereich entspricht, und aktivieren Sie dann weitere Filter, die Sie auf die Protokollanzeige anwenden möchten. 5 Geben Sie für "Filter bestätigt" die Option "Alle" oder "Bestätigt" an.

76 76 Administrative Aufgaben Warnmeldungen konfigurieren 6 Klicken Sie auf "Protokoll anzeigen". 7 Führen Sie unter "Warnmeldungsereignisse" einen der folgenden Schritte aus: Klicken Sie auf das rote Bestätigungssymbol neben der Warnmeldung, die Sie bestätigen möchten. Klicken Sie auf das Symbol, um alle Warnmeldungen, die derzeit auf der Seite angezeigt werden, zu bestätigen. So setzen Sie Warnmeldungen auf "Nicht bestätigt" 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Warnungen" auf "Warnmeldungsereignisse". 3 Klicken Sie auf "Erweiterte Einstellungen". 4 Stellen Sie sicher, dass der Datumsbereich dem gewünschten Bereich entspricht, und aktivieren Sie dann weitere Filter, die Sie auf die Protokollanzeige anwenden möchten. 5 Geben Sie für "Filter bestätigt" die Option "Alle" oder "Nicht bestätigt" an. 6 Klicken Sie auf "Protokoll anzeigen". 7 Führen Sie unter "Warnmeldungsereignisse" einen der folgenden Schritte aus: Klicken Sie auf das grüne Symbol für "Nicht bestätigen" neben der Warnmeldung, die Sie auf "Nicht bestätigt" setzen möchten. Klicken Sie auf das Symbol, um alle Warnmeldungen, die derzeit auf der Seite angezeigt werden, auf "Nicht bestätigt" zu setzen. Details zu Warnmeldungsereignissen anzeigen Sie können Details zu Ereignissen anzeigen, die im Warnmeldungsereignisprotokoll aufgeführt sind. So zeigen Sie Details zu Warnmeldungsereignissen an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Warnungen" auf "Warnmeldungsereignisse".

77 Administrative Aufgaben Intervalle für die automatische Aktualisierung festlegen 77 3 Konfigurieren Sie nach Bedarf Filter, die Sie für die Anzeige des Warnmeldungsereignisprotokolls verwenden möchten. 4 Klicken Sie auf "Protokoll anzeigen". Das Protokoll wird unten auf der Seite angezeigt. 5 Klicken Sie in der Spalte links vom Warnmeldungsereignis, zu dem Sie Details anzeigen möchten, auf das Symbol "Mehr Infos". Intervalle für die automatische Aktualisierung festlegen Sie können Intervalle für die automatische Aktualisierung von folgenden Elementen der Berichterstellungsanzeige festlegen: Startseite Protokolle und Warnmeldungsereignisse Die Aktualisierung der Startseite hängt von dem Aktualisierungswert für Protokolle und Warnmeldungsereignisse ab. Wenn Sie das Aktualisierungsintervall für die Startseite ändern, wird diese Einstellung für Ihre Sitzungen gespeichert. Andere Berichterstellungsbenutzer können das Aktualisierungsintervall für ihre eigenen Sitzungen ändern. Es gibt nur einen Aktualisierungswert für Risiko-, Prüfungs- und Inventarprotokolle sowie für Warnmeldungsereignisse. Der Standardwert wird von einem Administrator festgelegt. Dieser Wert gilt für alle Benutzersitzungen. Jeder Benutzer kann die automatische Aktualisierung für Protokolle und Warnmeldungsereignisse festlegen, indem er den entsprechenden Wert auf einer der Protokollseiten oder auf der Warnmeldungsereignisseite angibt. Wenn Sie den Wert auf einer Seite ändern, wird er automatisch auf allen Protokollseiten und auf der Warnmeldungsereignisseite geändert. Der Wert überschreibt die Standardeinstellung nur für den aktuellen Benutzer. So legen Sie das Intervall für die automatische Aktualisierung der Startseite fest 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Start" auf "Startseitenkonfiguration".

78 78 Administrative Aufgaben Intervalle für die automatische Aktualisierung festlegen 3 Geben Sie im Textfeld "Automatische Aktualisierung der Startseite" die Zeit in Sekunden ein, nach der die Startseite aktualisiert werden soll. Der Mindestwert beträgt 30 Sekunden. Sie können jedoch "0" eingeben, wenn die automatische Aktualisierung deaktiviert werden soll. Wenn Sie einen Wert zwischen 1 und 29 eingeben, wird der Wert automatisch auf 30 gesetzt. 4 Klicken Sie auf "Speichern". So legen Sie das globale Standardaktualisierungsintervall für Warnmeldungen und Ereignisse fest 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "GUI-Konfiguration > Allgemein". 3 Geben Sie unter "Automatische Aktualisierung" im Textfeld "Standardmäßige automatische Aktualisierung für Protokoll- und Warnmeldungsseiten" die Zeit in Sekunden ein, nach der Warnmeldungs- und Ereignisseiten aktualisiert werden sollen. Der Mindestwert beträgt 30 Sekunden. Sie können jedoch "0" eingeben, wenn die automatische Aktualisierung deaktiviert werden soll. Wenn Sie einen Wert zwischen 1 und 29 eingeben, wird der Wert automatisch auf 30 gesetzt. 4 Klicken Sie auf "Speichern". So legen Sie das Intervall für die automatische Aktualisierung von Protokollen und Warnmeldungsereignissen fest 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie einen der folgenden Schritte aus: Klicken Sie in der Registerkarte "Warnungen" auf "Warnmeldungsereignisse". Klicken Sie in der Registerkarte "Protokolle" auf "Risikoprotokolle". Klicken Sie in der Registerkarte "Protokolle" auf "Prüfungsprotokolle".

79 Administrative Aufgaben Intervalle für die automatische Aktualisierung festlegen 79 Klicken Sie in der Registerkarte "Protokolle" auf "Inventarprotokolle". 3 Wählen Sie im Listenfeld "Automatische Aktualisierung" das gewünschte Aktualisierungsintervall aus. Die Vorgabe lautet "Niemals". Die Seite wird sofort aktualisiert und die nächste Aktualisierung erfolgt nach dem von Ihnen angegebenen Intervall.

80 80 Administrative Aufgaben Intervalle für die automatische Aktualisierung festlegen

81 Kapitel 5 Protokolle verwenden In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Protokollen Protokolle anzeigen Protokollkonfigurationseinstellungen speichern Risikoprotokolle anzeigen Prüfungsprotokolle anzeigen Computer-Statusprotokolle anzeigen Ereignisse in Protokollen verwenden Allgemeines zu Protokollen Mit der Berichterstellungssoftware können Sie Listen von Ereignissen anzeigen, die in Ihren Sicherheitsprodukten auftreten. Die Protokolle enthalten Ereignisdaten von Ihren Primär- und Sekundär-Management-Servern sowie von allen Clients, die an diese Server berichten. Sie können diese Informationen zur Lösung von Sicherheitsproblemen in Ihrem Netzwerk oder zum Löschen von Ereignissen verwenden, die nicht mehr benötigt werden. Wenn Sie beispielsweise Ihre Server testen und Phantom-Clients oder -Viren finden, können Sie diese Ereignisse aus den Protokollen löschen, bevor Sie die Server in einem Live-Netzwerk ausführen. Außerdem können Sie die Protokollereignisdaten in eine Datei exportieren, um sie in eine Spreadsheet-Anwendung zu importieren oder für die Wiederherstellung von Ereignissen auf dem Berichts-Server zu verwenden. Sie können drei Arten von Protokollen anzeigen:

82 82 Protokolle verwenden Protokolle anzeigen Risikoprotokolle Prüfungsprotokolle Computer-Statusprotokolle Sie können jedes Protokoll wie folgt filtern: Anhand eines vorhandenen Berichts, der ähnliche Einstellungen verwendet Anhand allgemeiner Einstellungen für das Anzeigen des Protokolls Anhand erweiterter Einstellungen für das Filtern der Protokollereignisse Wenn Datenbankfehler bei der Generierung von Protokollen mit großen Datenmengen auftreten, müssen Sie möglicherweise die Zeitüberschreitungsparameter für die Datenbank erhöhen. Weitere Informationen finden Sie unter Ändern der Zeitüberschreitungsparameter. Wenn CGI-Fehler auftreten bzw. der Prozess unerwartet beendet wird, verwenden Sie andere Zeitüberschreitungsparameter. Informationen zu zusätzlichen Zeitüberschreitungsparametern finden Sie in der Unterstützungsdatenbank von Symantec unter "Reporting server does not report or shows a timeout error message when querying large amounts of data." Protokolle anzeigen Sie können eine Liste der Ereignisse aus Protokollen generieren, die auf von Ihnen festgelegten Filtereinstellungen basieren. Sie können die Filterkonfiguration speichern, um das Protokoll zu einem späteren Zeitpunkt zu generieren. Es gibt für jeden Protokolltyp eine Standard-Filterkonfiguration. Sie können diese Standard-Filterkonfiguration ändern und speichern. Außerdem können Sie neue Filterkonfigurationen erstellen, die auf der Standardkonfiguration oder einer von Ihnen erstellten Konfiguration basieren. Darüber hinaus können Sie benutzerdefinierte Konfigurationen löschen, wenn Sie sie nicht mehr benötigen. Siehe Protokollkonfigurationseinstellungen speichern auf Seite 83. So zeigen Sie schnell ein Protokoll an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Protokolle" einen der folgenden Schritte aus:

83 Protokolle verwenden Protokollkonfigurationseinstellungen speichern 83 Klicken Sie auf "Risikoprotokolle". Klicken Sie auf "Prüfungsprotokolle". Klicken Sie auf "Computer - Statusprotokolle". 3 Wählen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" im Listenfeld "Gespeicherten Filter verwenden" einen vorhandenen Filter aus oder verwenden Sie den Standardfilter. 4 Ändern Sie die grundlegenden oder erweiterten Einstellungen nach Bedarf. 5 Klicken Sie auf "Protokoll anzeigen". Die Protokollereignisse werden im unteren Teil des Fensters angezeigt. Sie können zu jedem Ereignis zusätzliche Informationen anzeigen. Sie können die Einstellungen auch speichern. Protokollkonfigurationseinstellungen speichern Sie können Ihre Protokolleinstellungen speichern, so dass Sie dasselbe Protokoll zu einem späteren Zeitpunkt erneut generieren können. Ihre Einstellungen werden in der Berichterstellungsdatenbank gespeichert. Wenn Sie den Berichts-Server erneut installieren müssen, stellen Sie sicher, dass die Angaben zu Ihrer Datenbank beibehalten werden. Siehe MSDE-Berichterstellungsdatenbank wiederherstellen auf Seite 131. Die einzelnen Filtereinstellungen werden weiter unten in diesem Kapitel beschrieben. So speichern Sie eine Protokollkonfiguration 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Protokolle" einen der folgenden Schritte aus: Klicken Sie auf "Risikoprotokolle". Klicken Sie auf "Prüfungsprotokolle". Klicken Sie auf "Computer - Statusprotokolle". 3 Klicken Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" auf "Erweiterte Einstellungen". 4 Ändern Sie die gewünschten Einstellungen. 5 Klicken Sie auf "Filter speichern".

84 84 Protokolle verwenden Risikoprotokolle anzeigen 6 Geben Sie im Feld "Name" einen Namen für eine neue Filterkonfiguration ein oder übernehmen Sie den vorhandenen Filternamen. 7 Klicken Sie auf "Speichern". So löschen Sie eine Protokollkonfiguration 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Protokolle" einen der folgenden Schritte aus: Klicken Sie auf "Risikoprotokolle". Klicken Sie auf "Prüfungsprotokolle". Klicken Sie auf "Computer - Statusprotokolle". 3 Wählen Sie im Listenfeld "Gespeicherten Filter verwenden" den Namen der Protokollkonfiguration aus, die Sie löschen möchten. 4 Klicken Sie auf das Symbol "Löschen". 5 Klicken Sie auf "OK". Risikoprotokolle anzeigen Das Risikoprotokoll enthält Risikoereignisse aus den Protokollen auf dem Primär-Management-Server, allen Sekundär-Servern und deren Clients. Sie können die Informationen filtern, so dass nur bestimmte Typen von Risikoereignissen angezeigt werden. Um die angezeigten Ereignisse zu beschränken, legen Sie erweiterte Filter fest. Hinweis: Einige der Optionen, die Sie für einen Filter auswählen können, hängen vom ausgewählten Produkttyp ab. Sie können auch die automatische Aktualisierung für das Protokoll konfigurieren. Wenn die Aktualisierung für das Risikoprotokoll oder das Warnmeldungsprotokoll nicht manuell konfiguriert wird, ist die automatische Aktualisierung mit der automatischen Aktualisierung der allgemeinen Berichterstellungsanzeige identisch. Wenn die automatische Aktualisierung für das Warnmeldungsprotokoll konfiguriert ist, konfiguriert dieses das Risikoprotokoll und umgekehrt. Siehe Intervalle für die automatische Aktualisierung festlegen auf Seite 77. Tabelle 5-1 zeigt die Filteroptionen für das Risikoprotokoll.

85 Protokolle verwenden Risikoprotokolle anzeigen 85 Tabelle 5-1 Einstellungen für Risikoprotokolle Filter Produkt Beschreibung Gibt nur die Risiken an, die von Symantec AntiVirus, Symantec Client Firewall oder von beiden Produkten gefunden werden. Die Vorgabe ist "Symantec AntiVirus". Datumsbereich Hier wird der Zeitraum angegeben, in dem Sicherheitsrisiken liegen, die in der Protokollanzeige aufgeführt werden sollen. Wenn Sie "Bestimmte Daten festlegen" wählen, müssen Sie Angaben unter "Startdatum" und "Enddatum" machen. Startdatum Hier wird das Startdatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Enddatum Hier wird das Enddatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Ereignistyp Gibt den Typ der anzuzeigenden Ereignisse an. Die Typen der Ereignisse in der Liste hängen von der Einstellung für das Produkt ab. Die Vorgabe ist "Alle Ereignisse". Durchgeführte Aktion Gibt an, welche Aktionen in der Protokollanzeige aufgeführt werden sollen. Die Aktionen werden von Ihrem Sicherheitsprodukt ausgeführt. Die Typen der Aktionen in der Liste hängen von der Einstellung für das Produkt ab. Die Vorgabe ist "Alle Aktionen". Prüfungstyp Filtert das Protokoll auf der Basis der Ereignisse, die bei einer bestimmten Prüfungsart aufgetreten sind, z. B. bei einer geplanten oder einer manuellen Prüfung. Standardmäßig werden alle Ereignisse von allen Prüfungsarten im Bericht aufgeführt. Risikotyp Gibt einen bestimmten Risikotyp an (Viren, Trackware, Spyware, Hacker-Tools, Sicherheitsrisiken, Jokeware, Heuristik, Adware, Remote-Zugriffsprogramme, bösartiger Code, der kein Virus ist, oder Dialer). Standardmäßig werden alle Risikotypen im Protokoll aufgeführt.

86 86 Protokolle verwenden Risikoprotokolle anzeigen Filter Risikoschweregrad Beschreibung Filtert das Protokoll nach Risiken mit bestimmten Schweregraden. Der Schweregrad ist in die fünf folgenden Kategorien aufgeteilt: Unbekannt; 1 = Sehr niedrig; 2 = Niedrig; 3 = Normal; 4 = Ernst; 5 = Sehr ernst. Weitere Informationen über Schweregrade finden Sie auf der Website von Symantec Security Response. Standardmäßig werden Risiken aller Schweregrade angezeigt. Server-Gruppe Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt. Übergeordneter Server Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. IP-Adresse Hier werden bestimmte IP-Adressen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle IP-Adressen aufgeführt. Benutzer Hier werden bestimmte Benutzer und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Benutzer aufgeführt. Risikoname Hier werden bestimmte Risikonamen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Risiken aufgeführt. Limit Legt fest, wie viele Ereignisse auf jeder Seite der Protokollanzeige angezeigt werden sollen.

87 Protokolle verwenden Risikoprotokolle anzeigen 87 Filter Sortierreihenfolge Beschreibung Gibt die Sortierreihenfolge für die Spalten in der Protokollanzeige an. Jede Spalte kann in auf- oder absteigender Reihenfolge sortiert werden. So zeigen Sie Risikoprotokolle an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Protokolle" auf "Risikoprotokolle". 3 Klicken Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" auf das Produkt, für das Risikoereignisse angezeigt werden sollen. 4 Wenn Sie einen gespeicherten Filter verwenden möchten, wählen Sie diesen im Listenfeld "Gespeicherten Filter verwenden" aus. 5 Wählen Sie im Listenfeld "Datumsbereich" den Datumsbereich fest, für den Sie Risikoereignisse anzeigen möchten. Wenn Sie "Bestimmte Daten festlegen" wählen, müssen Sie das Startdatum und das Enddatum für den Datumsbereich angeben. 6 Wenn Sie weitere Filter für die Anzeige festlegen möchten, klicken Sie auf "Erweiterte Einstellungen".

88 88 Protokolle verwenden Prüfungsprotokolle anzeigen 7 Konfigurieren Sie alle Filter, die Sie für die Anzeige verwenden möchten. Sie können die aktuellen Einstellungen speichern. Siehe Protokollkonfigurationseinstellungen speichern auf Seite Klicken Sie auf "Protokoll anzeigen". Prüfungsprotokolle anzeigen Das Prüfungsprotokoll enthält Prüfungsereignisse aus den Protokollen auf dem Primär-Management-Server, allen Sekundär-Servern und deren Clients. Sie können die Informationen filtern, so dass nur bestimmte Typen von Prüfungsereignissen angezeigt werden. Legen Sie zur Einschränkung der angezeigten Ereignisse erweiterte Filter fest. Tabelle 5-2 zeigt die Filteroptionen für Prüfungsprotokolle. Tabelle 5-2 Einstellungen für Prüfungsprotokolle Filter Datumsbereich Beschreibung Hier wird der Zeitraum angegeben, für den Prüfungsereignisse in der Anzeige aufgeführt werden sollen. Wenn Sie "Bestimmte Daten festlegen" auswählen, müssen Sie ein "Startdatum" und ein "Enddatum" angeben.

89 Protokolle verwenden Prüfungsprotokolle anzeigen 89 Filter Startdatum Beschreibung Hier wird das Startdatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Enddatum Hier wird das Enddatum für den Datumsbereich angegeben. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Dauer größer als Geprüfte Dateien größer als Risiken größer als Infizierte Dateien größer als Meldung beim Start der Prüfung Status Limit Server-Gruppe Es werden nur die Prüfungen angezeigt, deren Dauer diesen Wert übersteigt. Es werden nur die Prüfungen angezeigt, bei denen mehr Dateien geprüft wurden, als hier angegeben. Es werden nur die Prüfungen angezeigt, bei denen mehr Risiken gefunden wurden, als hier angegeben. Es werden nur die Prüfungen angezeigt, bei denen mehr Infektionen gefunden wurden, als hier angegeben. Es werden nur die Ereignisse angezeigt, die die Prüfungsmeldung enthalten. Legt fest, ob alle Prüfungen oder nur abgeschlossene oder abgebrochene Prüfungen im Bericht angezeigt werden sollen. Legt fest, wie viele Ereignisse auf jeder Seite der Protokollanzeige angezeigt werden sollen. Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt. Übergeordneter Server Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt.

90 90 Protokolle verwenden Prüfungsprotokolle anzeigen Filter Computer Beschreibung Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. IP-Adresse Hier werden bestimmte IP-Adressen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle IP-Adressen aufgeführt. Benutzer Hier werden bestimmte Benutzer und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Benutzer aufgeführt. Sortierreihenfolge Gibt die Sortierreihenfolge für die Spalten in der Protokollanzeige in auf- oder absteigender Reihenfolge an. So zeigen Sie Prüfungsprotokolle an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie in der Registerkarte "Protokolle" auf "Prüfungsprotokolle". 3 Wählen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" im Listenfeld "Gespeicherten Filter verwenden" einen vorhandenen Filter aus oder verwenden Sie den Standardfilter. 4 Wählen Sie im Listenfeld "Datumsbereich" den Datumsbereich aus, für den Sie Prüfungsereignisse anzeigen möchten. 5 Wenn Sie weitere Filter für die Anzeige festlegen möchten, klicken Sie auf "Erweiterte Einstellungen". 6 Konfigurieren Sie alle Filter, die Sie für die Anzeige verwenden möchten. Sie können die aktuellen Einstellungen speichern. Siehe Protokollkonfigurationseinstellungen speichern auf Seite Klicken Sie auf "Protokoll anzeigen". Die Ereignisdaten werden unten im Fenster angezeigt.

91 Protokolle verwenden Computer-Statusprotokolle anzeigen 91 Computer-Statusprotokolle anzeigen Das Computer-Statusprotokoll enthält Status- bzw. Inventarinformationen zu Computern in Ihrem Sicherheitsnetzwerk. Sie können die Informationen filtern, so dass nur bestimmte Typen von Client-Statusereignissen angezeigt werden. Legen Sie zur Einschränkung der angezeigten Ereignisse erweiterte Filter fest. Computer-Statusprotokolle zeigen die infizierten Computer in Ihrem Netzwerk. Diese Computer erfordern ein manuelles Eingreifen. Möglicherweise müssen Sie ein Tool von der Symantec-Website herunterladen, um ein bestimmtes Risiko zu säubern. Wenn Sie die entsprechenden Computer manuell gesäubert haben, können Sie den Status "Infiziert" mithilfe des Computer-Statusprotokolls ändern. Siehe Täglichen Workflow zum Entfernen von Risiken verwalten auf Seite 136. In Tabelle 5-3 werden die Einstellungen für Computer-Statusprotokolle beschrieben. Tabelle 5-3 Einstellungen für Computer-Statusprotokolle Filter Datumsbereich Beschreibung Hier wird der Zeitraum angegeben, in dem Sicherheitsrisiken liegen, die in der Protokollanzeige aufgeführt werden sollen. Wenn Sie "Bestimmte Daten festlegen" auswählen, müssen Sie die "Letzte Check-In-Zeit" angeben. Letzte Check-In-Zeit Gibt an, wann der Computer das letzte Mal beim übergeordneten Server eingecheckt hat. Diese Option ist nur verfügbar, wenn Sie "Bestimmte Daten festlegen" für den Datumsbereich auswählen. Definitionsdatum Antivirus-Produktversion Antivirus-Prüf-Engine-Version Firewall-Version Firewall-Richtliniendatei Online Zeigt nur die Computer mit diesem Datum der Virendefinitionen im Bericht an. Zeigt nur die Computer mit dieser Produktversion von Symantec AntiVirus im Bericht an. Zeigt nur die Computer mit dieser Prüf-Engine-Version im Bericht an. Zeigt nur die Computer mit dieser Produktversion von Symantec Client Firewall im Bericht an. Zeigt nur die Computer mit diesem Firewall-Richtliniennamen im Bericht an. Zeigt alle Computer, nur die Computer, die eine Verbindung mit dem übergeordneten Server herstellen, oder nur die Computer, die keine Verbindung mit dem übergeordneten Server herstellen, im Bericht an.

92 92 Protokolle verwenden Computer-Statusprotokolle anzeigen Filter Auto-Protect - Status Limit Server-Gruppe Beschreibung Zeigt Computer mit einem beliebigen Auto-Protect-Status im Bericht an oder nur die Computer, bei denen Auto-Protect aktiviert, deaktiviert oder der Auto-Protect-Status unbekannt ist. Legt fest, wie viele Ereignisse auf jeder Seite der Protokollanzeige angezeigt werden sollen. Hier werden bestimmte Server-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Server-Gruppennamen anzugeben, die mit "je" beginnen, geben Sie "je*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Server-Gruppen aufgeführt. Client-Gruppe Hier werden bestimmte Client-Gruppennamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Client-Gruppennamen anzugeben, die mit "er" enden, geben Sie "*er" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Client-Gruppen aufgeführt. Übergeordneter Server Hier werden Namen von bestimmten übergeordneten Servern und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise die Namen der übergeordneten Server anzugeben, die die Zeichenfolge "tion" enthalten, geben Sie "*tion*" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle übergeordneten Server aufgeführt. Computer Hier werden bestimmte Computernamen und/oder Platzhalterzeichen (?, *) angegeben. Um beispielsweise Computer anzugeben, die "1Computer", "2Computer", "3Computer" usw. heißen, geben Sie "?Computer" ein und trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Computer aufgeführt. IP-Adresse Hier werden bestimmte IP-Adressen und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle IP-Adressen aufgeführt. Benutzer Hier werden bestimmte Benutzer und/oder Platzhalterzeichen (?, *) angegeben. Trennen Sie mehrere Einträge durch Kommas. Standardmäßig werden alle Benutzer aufgeführt. Nur infiziert Sortierreihenfolge Anzeigen Computer-Typ Gibt nur die infizierten Computer im Bericht an. Gibt die Sortierreihenfolge für die Spalten in der Protokollanzeige in auf- oder absteigender Reihenfolge an. Zeigt die Symantec AntiVirus-Version oder die Symantec Client Firewall-Version im Bericht an. Zeigt nur übergeordnete Server oder nur Primär-Management-Server an. Standardmäßig werden beide ("Alle") angezeigt.

93 Protokolle verwenden Ereignisse in Protokollen verwenden 93 So zeigen Sie Computer-Statusprotokolle an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Protokolle" auf "Computer-Statusprotokolle". 3 Wählen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" im Listenfeld "Gespeicherten Filter verwenden" einen vorhandenen Filter aus oder verwenden Sie den Standardfilter. 4 Wenn Sie weitere Filter für die Anzeige festlegen möchten, klicken Sie auf "Erweiterte Einstellungen". 5 Konfigurieren Sie alle Filter, die Sie für die Anzeige verwenden möchten. Sie können die aktuellen Einstellungen speichern. Siehe Protokollkonfigurationseinstellungen speichern auf Seite Klicken Sie auf "Protokoll anzeigen". Ereignisse in Protokollen verwenden Ereignisdetails anzeigen Sie können Ereignisdetails aus Protokollen anzeigen. Außerdem können Sie die Protokolldaten in mehreren Formaten exportieren. Des Weiteren können Sie Protokolleinträge löschen. Sie können Details zu Ereignissen anzeigen, die im Protokoll aufgeführt sind. Hinweis: Wenn der Protokollabsender-Agent so konfiguriert ist, dass Aktionsereignisse für Sicherheitsrisiken verworfen werden, werden im Ereignisdetailfenster keine Nebeneffekte angezeigt. Siehe Reduzieren der Anzahl von Sicherheitsrisikoereignissen, die an den Berichts-Server gesendet werden auf Seite 113. Abbildung 5-1 zeigt ein Beispiel eines Ereignisdetailfensters.

94 94 Protokolle verwenden Ereignisse in Protokollen verwenden Abbildung 5-1 Beispiel eines Ereignisdetailfensters So zeigen Sie Ereignisdetails an 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Protokolle" einen der folgenden Schritte aus: Klicken Sie auf "Risikoprotokolle".

95 Protokolle verwenden Ereignisse in Protokollen verwenden 95 Klicken Sie auf "Prüfungsprotokolle". Klicken Sie auf "Computer - Statusprotokolle". 3 Wählen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" im Listenfeld "Filter" einen vorhandenen Filter aus oder verwenden Sie den Standardfilter. 4 Ändern Sie die grundlegenden oder erweiterten Einstellungen nach Bedarf. 5 Klicken Sie auf "Protokoll anzeigen". Das Protokoll wird unten auf der Seite angezeigt. 6 Klicken Sie in der Spalte "Ereignis" neben dem Ereignis, zu dem Sie Details anzeigen möchten, auf das Symbol "Weitere Info". Protokollereignisse exportieren Sie können Ereignisprotokolle in zwei Formaten exportieren (mit Trennzeichen oder im Protokollleser-Format). Sie können Ihre Protokolldaten auch in einem Tabellenkalkulationsprogramm anzeigen. Das Trennzeichenformat exportiert das Protokoll in eine Datei, die von Tabellenkalkulationsprogrammen gelesen werden kann. Sie können die Protokolle auch exportieren, bevor Sie Protokolldatensätze löschen. Mit der Option "Format des Protokolllesers" können Sie Ereignisdaten in die Berichterstellungsdatenbank wieder einfügen, ohne die Datenbank wiederherstellen zu müssen. So exportieren Sie Protokolle 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Protokolle" einen der folgenden Schritte aus: Klicken Sie auf "Risikoprotokolle". Klicken Sie auf "Prüfungsprotokolle". Klicken Sie auf "Computer - Statusprotokolle". 3 Ändern Sie die grundlegenden oder erweiterten Einstellungen nach Bedarf. 4 Klicken Sie auf "Protokoll anzeigen". 5 Klicken Sie auf "Dieses Protokoll exportieren".

96 96 Protokolle verwenden Ereignisse in Protokollen verwenden 6 Wählen Sie die Option "Exportieren". Option Trennzeichenformat Format des Protokolllesers Definition Das Trennzeichenformat exportiert die Ereignisdaten in Informationen, die durch ein Sonderzeichen, z. B. ein Komma oder ein Semikolon getrennt sind. Anschließend können Sie diese Informationen in ein Tabellenkalkulationsprogramm, z. B. Microsoft Excel, importieren. Dieses Format kann vom Protokollleser-Agenten gelesen werden. Wenn Sie Ereignisse in diesem Format exportieren, können Sie anschließend die Datei in das folgende Verzeichnis auf Ihrem Berichts-Server kopieren: \Programme\Symantec\Reporting Server\Upload. Der Protokollleser-Agent verarbeitet die Ereignisdaten, wenn er das nächste Mal ausgeführt wird. Wenn Sie das Trennzeichenformat gewählt haben, geben Sie das Sonderzeichen im Textfeld "Feldtrennzeichen" ein. 7 Klicken Sie auf "Exportieren". Protokollereignisse löschen Die Meldung "Ereignisdaten exportieren" wird in einem neuen Fenster angezeigt. In der Meldung wird der Speicherort der exportierten Datei angezeigt. Die exportierte Datei befindet sich in folgendem Verzeichnis: \Programme\ Symantec\Reporting Server\Web\Temp. 8 Klicken Sie auf "Fenster schließen", um das Fenster "Ereignisdaten exportieren" zu schließen. Sie können Ereignisse aus den Protokollen löschen. In der Regel löschen Sie Ereignisse nur, wenn Sie Testdaten in Ihrem Netzwerk verwenden. Stellen Sie vor dem Löschen sicher, dass Sie ein Backup der Ereignisdaten erstellen, indem Sie diese zunächst exportieren. Siehe Protokollereignisse exportieren auf Seite 95.

97 Protokolle verwenden Ereignisse in Protokollen verwenden 97 So löschen Sie Protokollereignisse 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Führen Sie auf der Registerkarte "Protokolle" einen der folgenden Schritte aus: Klicken Sie auf "Risikoprotokolle". Klicken Sie auf "Prüfungsprotokolle". Klicken Sie auf "Computer - Statusprotokolle". 3 Wählen Sie unter "Welche Filtereinstellungen möchten Sie verwenden?" im Listenfeld "Filter" einen vorhandenen Filter aus oder verwenden Sie den Standardfilter. 4 Ändern Sie die grundlegenden oder erweiterten Einstellungen nach Bedarf. 5 Klicken Sie auf "Protokoll anzeigen". Das Protokoll wird unten auf der Seite angezeigt. 6 Führen Sie einen der folgenden Schritte aus: Aktivieren Sie die Felder neben den Ereignissen, die Sie aus dem Protokoll löschen möchten. Klicken Sie auf "Alles auswählen", um alle auf der Seite angezeigten Ereignisse auszuwählen. Es werden nur die angezeigten Ereignisse zum Löschen ausgewählt. Um die Auswahl aller ausgewählten Elemente aufzuheben, klicken Sie auf "Nichts auswählen". 7 Klicken Sie auf den Rechtspfeil, um zusätzliche Ereignisse anzuzeigen, die zum Löschen ausgewählt werden können. 8 Klicken Sie auf "Ausgewählte Einträge löschen". 9 Klicken Sie auf "OK". Alle ausgewählten Ereignisse werden aus der Berichterstellungsdatenbank gelöscht. Wenn Sie das Protokoll erneut öffnen, werden diese Ereignisse nicht mehr angezeigt. Die Ereignisse werden auch nicht mehr in Berichten angezeigt, die Sie generieren.

98 98 Protokolle verwenden Ereignisse in Protokollen verwenden

99 Kapitel 6 Berichterstellungs-Agenten konfigurieren In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Berichterstellungs-Agenten Berichterstellungs-Agenten konfigurieren -Benachrichtigungsparameter festlegen Benachrichtigungsparameter für die 'Festplatte voll'-prüfung angeben Agentenprotokolle verwenden Registrierungsschlüssel für die Agentenkonfiguration Allgemeines zu Berichterstellungs-Agenten Die Berichterstellungssoftware erfasst mithilfe des Agenten-Dienstes Ereignisse auf Computern in Ihrem Sicherheitsnetzwerk. Der Agenten-Dienst besteht aus mehreren Komponenten zum Erfassen und Senden von Ereignissen an den Berichts-Server. Einige der Agenten befinden sich auf dem Berichts-Server, andere auf dem Primär-Management-Server. Wenn Sie die Berichterstellung in einer Umgebung verwenden, in der der Berichts-Server und der Primär-Management-Server auf demselben Computer laufen, befinden sich auch alle Agenten auf demselben Computer. Wenn Sie Sekundär-Server in Ihrer Sicherheitsumgebung verwenden und Computer-Statusereignisse (Inventar) von diesen Servern erfassen möchten, müssen Sie die Berichterstellungs-Agenten auf diesen Servern installieren.

100 100 Berichterstellungs-Agenten konfigurieren Allgemeines zu Berichterstellungs-Agenten Informationen zur Installation der Berichterstellungs-Agenten finden Sie im Symantec Client Security Installationshandbuch oder im Symantec AntiVirus Installationshandbuch. In Tabelle 6-1 werden die Berichterstellungs-Agenten beschrieben. Tabelle 6-1 Berichterstellungs-Agenten Agent Protokollleser (Computer-Status) Beschreibung Der Protokollleser-Agent für den Computer-Status wird auf dem Berichts-Server ausgeführt und verarbeitet die Inventardateien, die von den Computer-Status-Agenten gesendet werden. Die Inventardateien enthalten Statusinformationen zu übergeordneten Servern und Clients. In der Regel ist es nicht erforderlich, das Abfrageintervall für den Protokollleser (Computer-Status) zu ändern. Protokollleser (Ereignisse) Der Protokollleser-Agent für Ereignisse wird auf dem Berichts-Server ausgeführt und verarbeitet die Ereignisse in den Protokolldateien, die von den Protokollabsender-Agenten gesendet werden. Wenn Sie das Abfrageintervall für den Protokollleser (Ereignisse) ändern, kann die Arbeitsgeschwindigkeit beeinträchtigt werden, wenn der Protokollabsender sehr viele Ereignisse gesendet hat, ist die Verarbeitungsdauer für diese Ereignisse möglicherweise länger als das konfigurierte Abfrageintervall. Warnmeldungsagent Der Warnmeldungsagent wird auf dem Berichts-Server ausgeführt. Er prüft den Status der anderen Agenten und sendet Benachrichtigungen, wenn diese Agenten für Benachrichtigungen konfiguriert wurden. Der Agent überwacht auch den in der Berichterstellungsdatenbank verfügbaren Speicherplatz. Wenn der aktuell verfügbare Speicherplatz auf dem Berichts-Server weniger als 100 MB beträgt, zeichnet der Warnmeldungsagent eine Warnmeldung in der Datenbank auf und sendet -Benachrichtigungen. Sie können den Standardwert von 100 MB auf der Seite "Agentenbenachrichtigung" ändern. Agent für geplante Berichte Der Agent für geplante Berichte läuft auf dem Berichts-Server und protokolliert die Anzahl der Clients pro Version der Virendefinitionen. Der Agent erstellt außerdem die von Ihnen konfigurierten geplanten Berichte sowie einen geplanten Standardbericht zur Überwachung der Verteilung der Virendefinitionen auf die Computer in Ihrem Netzwerk. Sie können das Check-In-Intervall für diesen Agenten erhöhen oder verringern, wenn Sie die Zeit zwischen den Aktualisierungen der Virendefinitionsstatistiken in Ihrem Sicherheitsnetzwerk erhöhen oder verkürzen möchten. Virenkategorie-Agent Der Virenkategorie-Agent läuft auf dem Berichts-Server. Er überwacht die Website von Symantec Security Response auf Informationen über Risiken. Zu den von ihm erfassten Informationen gehören die Bedrohungsstufe, der Schweregrad der Risiken (Kategorien 1 bis 5) und gefundene Risiken.

101 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren 101 Agent Datenbankwartung Beschreibung Der Datenbankwartungs-Agent läuft auf dem Berichts-Server. Er löscht alte Datensätze und komprimiert doppelte Ereignisse in bestimmten Intervallen. Der Agent verarbeitet Protokolldateien, Ereignisse, komprimierte Ereignisse, Warnmeldungen, Clients, die entfernt, umbenannt oder nicht eingecheckt wurden, Protokolldatensätze von alten Virendefinitionen, Prüfungen, nicht verwendete Virendefinitionsdatensätze, EICAR-Ereignisse und nicht aktive Benutzer. Siehe Wartungsagenten für die Berichterstellungsdatenbank konfigurieren auf Seite 126. Datenbank-Backup Der Datenbank-Backup-Agent läuft auf dem Berichts-Server und erstellt Backup-Dateien von Datensätzen der Datenbank. Die Datei befindet sich im Ordner \Programme\Gemeinsame Dateien\Symantec Shared\Reporting Agents\Win32\Backup\BACKUP_<Datum>_<Uhrzeit>. Sie können das Intervall zwischen den Backups ändern, abhängig davon, wie viele Daten in der Datenbank gespeichert sind. Wenn die Datenbank beispielsweise viele Daten enthält, sollten Sie häufiger ein Backup ausführen. Es ist auch möglich, dass Ihr Unternehmen Audit-Richtlinien hat, die Datenbank-Backups in regelmäßigen Abständen verlangen. Siehe Backup-Optionen für die Berichterstellungsdatenbank konfigurieren auf Seite 128. Protokollabsender Der Protokollabsender-Agent läuft auf Primär-Management-Servern und erfasst Informationen zu Ereignissen in den Protokolldateien Ihrer Sicherheitsprodukte. Der Agent erkennt den Speicherort der Protokolldateien über die Umgebungsvariable ALLUSERSPROFILE. In der Regel ist der Speicherort der Protokolldateien \..\Anwendungsdaten\Symantec\Symantec Antivirus Corporate Edition\7.5\logs. Der Protokollabsender-Agent fasst darüber hinaus Viren- und Firewall-Ereignisse sowie die Anzahl doppelter Instanzen desselben Ereignisses zusammen. Sie können festlegen, wie lange der Protokollabsender warten soll, bevor er den zusammengefassten Datensatz an den Berichts-Server sendet. Sie können die Zusammenfassung von Ereignissen deaktivieren, indem Sie die Option "Redundante Ereignisse zusammenfassen alle" auf "0" setzen. Siehe Ereigniszusammenfassung konfigurieren auf Seite 111. Computer-Status Der Computer-Status-Agent läuft auf übergeordneten Servern und Sekundär-Servern und erfasst Statusinformationen zu übergeordneten Servern und Clients. Der Agent zeichnet die Statusinformationen in einer Inventardatei auf und sendet diese Datei dann an den Berichts-Server. Berichterstellungs-Agenten konfigurieren Ein Administrator (oder ein Benutzer mit Administratorrechten) kann festlegen, wie oft ein Berichterstellungs-Agent ausgeführt wird. Wenn ein Agent läuft, erfasst er Informationen vom Berichts-Server, Primär-Management-Server, Sekundär-Management-Server und von Client-Computern in Ihrem

102 102 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren Sicherheitsnetzwerk. Die Berichterstellungsfunktion verwendet diese Informationen dann zum Generieren von Berichten. Sie können Benachrichtigungen konfigurieren, die per gesendet werden sollen, wenn ein Agent in einer bestimmten Zeit nicht erfolgreich ausgeführt wurde. (Benachrichtigungen werden nicht gesendet, wenn der Warnmeldungsagent deaktiviert ist, da dieser für das Senden von Benachrichtigungen zuständig ist.) Der Administrator kann darüber hinaus den Agentenstatus überprüfen und festlegen, wie oft die Agenten ausgeführt werden sollen. Außerdem kann ein Administrator die Protokollierung und Verfolgung von Agenten konfigurieren, um die Behebung von Fehlern bei laufenden Agenten zu erleichtern. Agenten-Zeitpläne und Statusüberprüfung Die Agenten werden gemäß eines Standardzeitplans ausgeführt, den Sie ändern können. Die Berichterstellungssoftware überprüft jede Minute, wann der Agent das nächste Mal ausgeführt wird. Dies ist konfigurierbar. Wenn der Zeitpunkt der nächsten Ausführung des Agenten in der Gegenwart oder in der Vergangenheit liegt, wird der Agent sofort ausgeführt. Anschließend folgt er dem für ihn konfigurierten Ausführungsintervall. Die Berichterstellungssoftware berechnet dann automatisch den nächsten Zeitpunkt der Ausführung, indem sie das Ausführungsintervall zur aktuellen Zeit hinzufügt. Der Agent hat den Status "aktiv", wenn er gemäß dem Zeitplan ausgeführt wird. Neben dem Ausführungsintervall und dem nächsten Ausführungszeitpunkt kann für jeden Agenten auch der Zeitraum "Warnen nach" festgelegt werden. Der Agenten hat den Status "inaktiv", wenn die aktuelle Zeit abzüglich der Zeit unter "Warnen nach" hinter dem Zeitpunkt der letzten Ausführung liegt. Wenn beispielsweise die aktuelle Zeit 10:00 Uhr ist, der Wert unter "Warnen nach" 30 Minuten beträgt und der Agent zuletzt vor 9:30 Uhr ausgeführt wurde, meldet die Berichterstellungssoftware, dass der Agent ausgefallen ist. Ein rotes Symbol neben dem Agentennamen auf der Seite "Agentenstatus" zeigt an, dass der Agent ausgefallen ist. Wenn Sie sehen, dass ein Agent inaktiv ist, sollten Sie Folgendes überprüfen: Die Konfiguration der Agenten-Zeitpläne und die Parameter für die Statusüberprüfung Die Agentenprotokolle Der Warnmeldungsagent wird regelmäßig nach einem eigenen Zeitplan ausgeführt. Er prüft, wann eine Benachrichtigung über den Ausfall eines Agenten gesendet werden soll. Wenn der Warnmeldungsagent ausgeführt wird, berechnet er den Status für jeden Agenten (die aktuelle Zeit abzüglich der Zeit unter "Warnen nach"). Wenn die berechnete Zeit nach der letzten Ausführung eines bestimmten

103 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren 103 Agenten liegt, sendet der Warnmeldungsagent Benachrichtigungen für diesen Agenten. Wenn Sie sicherstellen möchten, dass Benachrichtigungen sofort, wenn ein Agent ausfällt, gesendet werden, sollten Sie ein kurzes Ausführungsintervall für den Warnmeldungsagenten festlegen, so dass dieser den Inaktiv-Status des Agenten sofort erfasst. Der Warnmeldungsagent ist auch für das Senden von Benachrichtigungen zu Ihren Sicherheitsprodukten zuständig. Hinweis: Wenn der Warnmeldungsagent selbst inaktiv ist, werden keine Benachrichtigungen gesendet. Siehe Warnmeldungen konfigurieren auf Seite 68. Im Normalfall sollten Sie die Standardwerte für die Agenten-Zeitpläne verwenden. Je nach den Anforderungen ihres Sicherheitsnetzwerks kann es jedoch erforderlich sein, diese Werte zu ändern. Hinweis: Wenn Sie Protokolldateien mit vielen Ereignissen haben, kann die erstmalige Ausführung des Protokollabsender-Agenten länger dauern als das für ihn geplante Ausführungsintervall. Sie können einen Agenten auch deaktivieren und seine Ausführung verhindern, wenn Sie ein Problem mit diesem Agenten beheben müssen. Tabelle 6-2 zeigt eine Zusammenfassung der Parameter für die Agenten-Zeitpläne und die Statusüberprüfung. Tabelle 6-2 Parameter Ausführung alle Parameter für Agenten-Zeitpläne und Statusüberprüfung Beschreibung Gibt an, wie oft der Agent ausgeführt wird. Die Berichterstellungssoftware addiert diesen Wert automatisch mit der aktuellen Zeit, um den Zeitpunkt der nächsten Ausführung zu berechnen. Sie können den Zeitpunkt der nächsten Ausführung ändern, indem Sie den Wert der regulären nächsten Ausführung angeben. Das Ausführungsintervall für jeden Agenten wird auf der Seite "Agentenkonfiguration" konfiguriert.

104 104 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren Parameter Nächste Ausführung Beschreibung Gibt den Zeitpunkt an, zu dem der Agent das nächste Mal ausgeführt wird. Dieser Zeitpunkt wird von der Berichterstellungssoftware automatisch berechnet, indem das Intervall zur aktuellen Zeit hinzugefügt wird. Der Zeitpunkt der nächsten Ausführung jedes Agenten wird auf der Seite "Agentenkonfiguration" konfiguriert. Warnen nach Gibt die Zeit an, die die Berichterstellungssoftware von der aktuellen Zeit abzieht, um festzustellen, ob ein Agent inaktiv ist. Wenn die berechnete Zeit hinter der letzten Ausführung des Agenten liegt, wird der Agent als inaktiv betrachtet. Der Wert für "Warnen nach" für jeden Agenten wird auf der Seite "Agentenbenachrichtigung" angegeben. Hinweis: Die kombinierten Ausführungsintervalle des Protokolllesers, Protokollabsenders und der Berichterstellungsschnittstelle ergeben die Ereignisdaten, die Sie in den Berichten sehen. Sie sollten die Standardwerte nicht ändern. Agentenstatus prüfen Sie können sowohl den Status lokaler Agenten auf den Berichts-Servern als auch den Status von Remote-Agenten auf den Primär- und Sekundär-Management-Servern prüfen. Bei den lokalen Agenten auf dem Berichts-Server wird auf der Seite "Agentenstatus" im Berichterstellungsfenster neben den aktiven Agenten ein grünes Symbol angezeigt. Neben Agenten, die inaktiv sind, wird ein rotes Symbol angezeigt. Hinweis: Je nachdem, welches Ausführungsintervall des Agenten und welchen Zeitraum Sie unter "Warnen nach" festlegen, gibt der Status auf der Seite "Agentenstatus" möglicherweise nicht den aktuellen Status wider. Außerdem ist der Status für Remote-Agenten in der Symantec System Center-Konsole erst verfügbar, nachdem die Remote-Agenten zum ersten Mal ausgeführt wurden. Stellen Sie sicher, dass das Ausführungsintervall eines Agenten nicht größer als das Statusüberprüfungsintervall ist. (Der Wert für die Statusüberprüfung steht unter "Warnen nach" auf der Seite "Agentenbenachrichtigung".) Wenn Sie beispielsweise festlegen, dass der Protokollabsender-Agent alle zwei Stunden

105 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren 105 ausgeführt werden soll, den Wert unter "Warnen nach" jedoch auf eine Stunde setzen, zeigt die Seite "Agentenstatus" den Protokollabsender-Agent als inaktiv an, auch wenn dieser nicht für die Ausführung konfiguriert ist. In folgenden Situationen ist es möglich, dass ein rotes Symbol neben einem Agenten angezeigt wird: Der Agent wurde nicht zur geplanten Zeit ausgeführt, z. B. wenn der Agenten-Dienst beendet oder der Computer, auf dem er installiert ist, heruntergefahren wurde. Wenn Sie Ihre Berichterstellungsdatenbank wiederherstellen, wird der Agenten-Dienst automatisch beendet und muss neu gestartet werden. Das Abfrageintervall des Agenten ist größer als das Intervall für die Statusüberprüfung (unter "Warnen nach"). Der Agent wird ausgeführt, schlägt fehl und der Zeitraum unter "Warnen nach" läuft ab. Bevor der Zeitraum unter "Warnen nach" abläuft, wird der Agent als aktiv betrachtet, so dass ein grünes Symbol auf der Seite "Agentenstatus" angezeigt wird. Wenn der Zeitraum unter "Warnen nach" abgelaufen ist, wird das Symbol rot, um anzuzeigen, dass der Agent inaktiv ist. Von Ihnen konfigurierte Benachrichtigungen werden nun gesendet.

106 106 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren So prüfen Sie den Status der lokalen Agenten 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Agentenstatus". Es gibt viele Gründe, warum ein Remote-Agent nicht beim Berichts-Server eincheckt, unter anderem Folgende: Der Computer, auf dem der Agent ausgeführt wird, wurde heruntergefahren. Der Agent wurde nicht korrekt installiert.

107 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren 107 So prüfen Sie den Status der Remote-Agenten 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster auf den Namen des Servers oder der Server-Gruppe, dessen bzw. deren Agentenstatus Sie prüfen möchten. 2 Klicken Sie in der Symbolleiste auf das Berichterstellungssymbol. 3 Klicken Sie auf "OK". Zeitplanoptionen für Agenten festlegen In der Regel ist es nicht erforderlich, Zeitplanoptionen für die Agenten zu konfigurieren, deren Abfrageintervalle in Minuten angegeben sind. Bei Agenten, die eine Abfrage auf Tages- oder Wochenbasis durchführen, wie z. B. dem Datenbankwartungs-Agenten, sollten Sie die Ausführungszeit festlegen, so dass die Abfrage an dem Tag oder zu der Uhrzeit ausgeführt wird, die Sie festgelegt haben. Hinweis: Wenn Sie die Berichterstellungsanwendung zum ersten Mal installieren, sollten Sie den Protokollabsender- und den Protokollleser-Agenten so einstellen, dass sie jede Minute eine Abfrage ausführen, so dass ihr Status auf der Seite "Agentenstatus" angezeigt wird. Andernfalls wird der Agentenstatus nicht korrekt wiedergegeben, bis die Agenten ausgeführt werden (der Standard ist 10 Minuten). Sie können festlegen, dass der Protokollleser-, Protokollabsender- und Computer-Status-Agent sofort ausgeführt werden, indem Sie eine entsprechende

108 108 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren Option in der Symantec System Center-Konsole auswählen. Im "'Jetzt ausführen'-modus" laufen diese Agenten ohne Unterbrechung fünf Minuten lang. Nach diesen fünf Minuten werden die Agenten wieder in den geplanten Modus versetzt. Sie können auch die Ereigniszusammenfassung beim Protokollabsender-Agenten deaktivieren. So legen Sie Zeitplanoptionen für lokale Agenten fest 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Agentenkonfiguration".

109 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren Klicken Sie in der Spalte "Ändern" neben dem Agenten, dessen geplante Ausführungszeit Sie ändern möchten, auf das Symbol. 4 Führen Sie einen oder alle der folgenden Schritte aus: Geben Sie neben "Ausführung alle" die gewünschte Zahl ein und wählen Sie im Listenfeld die Option "Minuten", "Stunden", "Tage", "Wochen" oder "Monate" aus. Wählen Sie neben "Nächste Ausführung" in den entsprechenden Dropdown-Listenfeldern die Stunde und die Minute aus, zu der der Agent das nächste Mal ausgeführt werden soll. 5 Klicken Sie auf "Speichern". So legen Sie Zeitplanoptionen für Remote-Agenten fest 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Systemhierarchie" mit der rechten Maustaste auf den Server, für den Sie Agenten-Zeitpläne konfigurieren möchten. 2 Klicken Sie auf "Alle Tasks > Berichtskonfiguration > Berichterstellungs-Agenten konfigurieren". 3 Geben Sie unter "Computer-Status" im Textfeld "Inventar prüfen alle" die Zeit in Minuten ein, nach der der Computer-Status-Agent den Status der Server und Clients prüfen soll. Der Standardwert ist 1 Minute.

110 110 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren Agenten deaktivieren 4 Wenn Sie die Remote-Agenten auf einem Primär-Management-Server konfigurieren, geben Sie unter "Protokollabsender" im Feld "Protokolle verarbeiten alle" die Zeit in Minuten ein, nach der der Protokollabsender-Agent Protokolle auf Ereignisse prüfen soll. Die Standardeinstellung ist 10 Minuten. 5 Klicken Sie auf "OK". So führen Sie die Protokollabsender-, Computer-Status- und Protokollleser-Agenten sofort aus 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Systemhierarchie" mit der rechten Maustaste auf den Server, für den Sie die Protokollabsender- und Protokollleser-Agenten sofort ausführen möchten. 2 Klicken Sie auf "Alle Tasks > Berichtskonfiguration > Jetzt ausführen". Die Protokollabsender- und Protokollleser-Agenten werden sofort ausgeführt. Nachdem die Agenten ausgeführt und die neuesten Protokollinformationen an den Berichts-Server gesendet wurden, gilt wieder der vorherige Zeitplan für die Agenten. Wenn ein Agent gemäß dem Zeitplan bereits hätte ausgeführt werden sollen, wird er noch einmal sofort ausgeführt. Sie können die Ausführung eines lokalen Agenten verhindern, indem Sie ihn deaktivieren. (Sie können keine Remote-Agenten deaktivieren.) Wenn Sie beispielsweise Ihre eigenen Skripts für die Datenbankwartung ausführen, sollten Sie den Datenbankwartungs-Agenten deaktivieren. Möglicherweise benötigen Sie den Warnmeldungsagenten nicht, wenn Sie keine Warnmeldungen für Ereignisse in Ihrem Sicherheitsnetzwerk konfiguriert haben. Hinweis: Wenn Sie den Protokollleser (für Computer-Status oder Ereignisse) deaktivieren, enthalten Ihre Berichte keine genauen Daten. So deaktivieren Sie einen Agenten 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Agentenkonfiguration". 3 Klicken Sie neben dem zu deaktivierenden Agenten auf das Bearbeitungssymbol. 4 Aktivieren Sie die Option "Agent deaktivieren".

111 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren Wenn eine Warnmeldung angezeigt wird, klicken Sie auf "OK". 6 Klicken Sie auf "Speichern". Ereigniszusammenfassung konfigurieren Sie können angeben, wie lange der Protokollabsender-Agent warten soll, bis er sich wiederholende Viren- und Firewall-Ereignisse zusammenfasst. Die Standardeinstellung ist 5 Minuten. Der Protokollabsender-Agent sendet das erste Auftreten eines Virus- oder Firewall-Ereignisses an den Berichts-Server. Im angegebenen Zeitraum wird kein anderes, ähnliches Ereignis an den Berichts-Server gesendet. Nach dem angegebenen Zeitraum sendet der Protokollabsender-Agent ein Ereignis, das die Anzahl der gleichen Ereignisse, die in diesem Zeitraum aufgetreten sind, angibt. Hinweis: Der Eintrag für das erste Auftreten des Ereignisses beinhaltet den Speicherort der betroffenen Datei. Der Eintrag für das Ereignis, das die zusammengefasste Anzahl enthält, zeigt nur diesen Speicherort an. Wenn der Virus Dateien in verschiedenen Speicherorten infiziert hat und Sie die Speicherorte sehen möchten, prüfen Sie die Protokolldatei auf dem betroffenen Computer. Sie können den Zeitraum erhöhen, den der Agent warten soll, bis er Ereignisse zusammenfasst, wenn Sie einen Ausbruch in Ihrem Sicherheitsnetzwerk haben. In einer Ausbruchsituation haben Sie viele zusammengefasste Ereignisse, wenn der Agent so konfiguriert ist, dass er Ereignisse jede Minute zusammenfasst. Weniger zusammengefasste Ereignisse sparen Netzwerkbandbreite und benötigen weniger Speicherplatz in der Berichterstellungsdatenbank. Wenn Sie jede Instanz desselben Ereignisses sehen möchten, können Sie die Ereigniszusammenfassung deaktivieren. So konfigurieren Sie die Ereigniszusammenfassung 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Systemhierarchie" mit der rechten Maustaste auf den Primär-Management-Server, auf dem der Protokollabsender-Agent installiert ist. 2 Klicken Sie auf "Alle Tasks > Berichtskonfiguration > Berichterstellungs-Agenten konfigurieren".

112 112 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren 3 Geben Sie unter "Protokollabsender" im Feld "Redundante Ereignisse zusammenfassen alle" die Zeit in Minuten ein, die der Protokollabsender-Agent warten soll, bis er sich wiederholende Viren- und Firewall-Ereignisse zusammenfasst. Sie können hier einen Wert zwischen 0 und 60 Minuten eingeben. Um die Zusammenfassung zu deaktivieren, setzen Sie den Wert auf 0. 4 Klicken Sie auf "OK". Sprachoption für den Protokollabsender- und Computer-Status-Agenten konfigurieren Wenn der Protokollabsender- und der Computer-Status-Agent Protokolle lesen und Computer-Statusinformationen analysieren, erkennen sie automatisch die Sprache, die von dem Betriebssystem auf dem übergeordneten Server verwendet wird. Wenn Sie jedoch eine gemischte Umgebung haben, in der der übergeordnete Server Englisch und einige oder alle Clients, die mit dem übergeordneten Server verbunden sind, eine andere Sprache verwenden, sollten Sie die Sprache der Clients, die mit dem übergeordneten Server verbunden sind, angeben. Andernfalls werden die Informationen in den Protokollen und Berichten möglicherweise nicht korrekt dargestellt. Sie können die Sprache während der Installation des Berichts-Servers oder während der Installation des Berichterstellungs-Agenten auf einem Remote-Computer angeben. Weitere Informationen finden Sie im Symantec Client Security Installationshandbuch oder im Symantec AntiVirus Installationshandbuch. Sie können folgende Sprachen angeben: Latin 1 Japanisch Koreanisch Ungarisch oder Polnisch Russisch Vereinfachtes Chinesisch Traditionelles Chinesisch Das Dialogfeld "Berichterstellungs-Agenten - Optionen" enthält eine vollständige Liste der "Latin 1"-Sprachen.

113 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren 113 So konfigurieren Sie die Sprachoption für die Protokollabsender- und Computer-Status-Agenten 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Systemhierarchie" mit der rechten Maustaste auf den übergeordneten Server. 2 Klicken Sie auf "Alle Tasks > Berichtskonfiguration > Berichterstellungs-Agenten konfigurieren". 3 Wählen Sie unter "Sprache" im Listenfeld die Sprache der Clients aus, die an den ausgewählten übergeordneten Server berichten. 4 Klicken Sie auf "OK". Reduzieren der Anzahl von Sicherheitsrisikoereignissen, die an den Berichts-Server gesendet werden Standardmäßig sendet der Protokollabsender-Agent Aktionsereignisse für Sicherheitsrisiken an den Berichts-Server. Wenn zahlreiche Sicherheitsrisiken für Ihr Netzwerk angezeigt werden, wurde möglicherweise eine große Anzahl an Ereignissen an den Berichts-Server weitergeleitet. Um die Anzahl der Ereignisse zu verringern, können Sie verhindern, dass der Protokollabsender-Agent Ereignisse über Aktionen bei Sicherheitsrisiken versendet. Sicherheitsrisikoereignisse werden trotzdem an den Server gesendet, jedoch keine Ereignisse über die Aktionen (Nebeneffekte), die das Ergebnis dieser Sicherheitsrisiken sind. Wenn Sie verhindern, dass der Protokollabsender-Agent Aktionsereignisse für Sicherheitsrisiken an den Berichts-Server sendet, werden im Ereignisdetailfenster für das Sicherheitsrisikoereignis keine Aktionen angezeigt. Siehe Ereignisdetails anzeigen auf Seite 93. So verhindern Sie, dass der Protokollabsender-Agent Aktionsereignisse für Sicherheitsrisiken an den Berichts-Server sendet 1 Klicken Sie in der Symantec System Center-Konsole im linken Teilfenster unter "Systemhierarchie" mit der rechten Maustaste auf den übergeordneten Server. 2 Klicken Sie auf "Alle Tasks > Berichtskonfiguration > Berichterstellungs-Agenten konfigurieren". 3 Aktivieren Sie unter "Protokollabsender" die Option "Aktionsereignisse für Sicherheitsrisiken verwerfen". 4 Klicken Sie auf "OK".

114 114 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren Proxy-Einstellungen für den Virenkategorie-Agenten konfigurieren Der Virenkategorie-Agent ruft Informationen von der Symantec-Website ab. Sie müssen Proxy-Einstellungen für den Virenkategorie-Agenten konfigurieren, wenn Ihr Berichts-Server auf einem Computer installiert ist, der einen Proxy-Server für den Zugriff auf das Internet verwendet. So konfigurieren Sie Proxy-Einstellungen für den Virenkategorie-Agenten 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Agentenkonfiguration". 3 Klicken Sie auf das Bearbeitungssymbol neben dem Virenkategorie-Agenten. 4 Führen Sie unter "Welche Proxy-Einstellungen möchten Sie verwenden?" folgende Schritte aus: Geben Sie im Feld "HTTP-Proxy" den Namen des Proxy-Servers im folgenden Format ein: <DNS-Name>:<Port-Nummer>. Geben Sie im Feld "Proxy-Benutzer" die Benutzer-ID ein, die Zugriff auf den Proxy-Server hat. Geben Sie im Feld "Proxy-Kennwort" das Kennwort für die Benutzer-ID ein, die Zugriff auf den Proxy-Server hat. 5 Klicken Sie auf "Speichern". Benachrichtigungsoptionen für Agenten festlegen Sie können die Benachrichtigungen konfigurieren, die an die für die Überwachung Ihres Sicherheitsnetzwerks zuständigen Administratoren gesendet werden. Benachrichtigungen teilen dem Benutzer mit, dass ein Agent ausgefallen ist. Dies kann der Fall sein, wenn ein Computer heruntergefahren oder der Agent falsch installiert wurde. Ein Agent kann auch inaktiv sein, wenn die Agentenparameter falsch konfiguriert wurden. Neben Benachrichtigungen zu Agenten können Sie auch Benachrichtigungen konfigurieren, die gesendet werden, wenn der Grenzwert für "Festplatte voll" (100 MB) erreicht wurde. Der Wert unter "Festplatte voll" gibt den freien Speicherplatz an, der auf dem Berichts-Server verfügbar ist. Wenn der verfügbare Speicherplatz weniger als 100 MB beträgt, können die Protokollabsender- und Computer-Status-Agenten keine Dateien auf den Berichts-Server hochladen.

115 Berichterstellungs-Agenten konfigurieren Berichterstellungs-Agenten konfigurieren 115 So legen Sie Benachrichtigungen für einen lokalen oder Remote-Agenten fest 1 Wählen Sie den Berichts-Server aus und stellen Sie sicher, dass Sie angemeldet sind. Siehe Beim Berichts-Server anmelden auf Seite Klicken Sie auf der Registerkarte "Admin" auf "Agentenbenachrichtigung". 3 Klicken Sie in der Spalte "Bearbeiten" neben dem Agenten, für den Sie Benachrichtigungen konfigurieren möchten, auf das Symbol "Bearbeiten". 4 Geben Sie unter "Welche Benachrichtigungseinstellungen möchten Sie verwenden?" neben "Warnen nach" den Wert in das Textfeld ein und wählen Sie anschließend im Dropdown-Menü die Minuten, Stunden oder Tage, nach denen die Benachrichtigung gesendet werden soll, dass der Agent ausgefallen ist. 5 Führen Sie bei allen Agenten außer dem Warnmeldungsagenten folgende Schritte aus: Aktivieren oder deaktivieren Sie " -Antwort aktivieren". Geben Sie im Feld "Benachrichtigungs- s" die -Adresse der Person ein, die eine Benachrichtigung zu diesem Agenten erhalten soll. Wenn Sie mehrere Empfänger angeben möchten, trennen Sie die -Adressen durch Kommas. 6 Klicken Sie auf "Speichern".