No results found
di Daniele Trazzi
GFI Events Manager, come fa presagire il nome, è un software di monitoraggio che nello specifico riguarda attività, meccanismi ed applicazioni di sicurezza di una rete aziendale, riguardante tutti i computer che ne fanno parte, che permette di gestire i dati di registro degli eventi ai fini dell’affidabilità, della sicurezza ed eventualmente della conformità a normative come il GDPR..
Quali sono le funzioni di GFI Events Manager? Ebbene, prima di tutto ci permette di avere una visione in real-time completa di tutti i log e di quello che sta accadendo nella nostra infrastruttura quindi tramite un'interfaccia possiamo avere in tempo reale una panoramica di quello che sta accadendo nella nostra rete aziendale eccetera. Questo ci permette quindi di avere un contenitore unico dove posizionare e salvare i log, che può essere una zona magari sicura e protetta, quindi non accessibile a persone estranee.
Inoltre ci consente di visualizzare i log in un modo molto intelligente, più funzionale di quello dei log di Windows. Permette inoltre di avere una visione più organica attraverso regole predefinite.
Questo tutorial introdurrà a GFI Events Manager partendo da una panoramica sulle principali caratteristiche.
Il prodotto permette il totale controllo degli eventi che interessano le reti aziendali che avviene previa verifica dello stato ottenibile lanciando una scansione del sistema; tale scansione può essere avviata sia inizialmente dopo l’installazione, sia in ogni momento.
GFI Events Manager offre sostanzialmente:
Inoltre dà un senso ai log degli eventi offrendo una visione intelligente e logica di quello che accade nell’infrastruttura IT.
In questo tutorial conosceremo GFI Events Manager vedendo nell’ordine:
Determinante, per l’installazione e l’utilizzo di GFI Events Manager è la dotazione hardware e software del sistema dove verrà eseguito.
Sul piano del’hardware i requisiti sono i seguenti:
Più articolata è la dotazione software richiesta, che sul piano dei sistemi operativi supportati è la seguente:
Sempre per quello che riguarda i requisiti software, GFI Events Manager richiede componenti aggiuntivi come NET 4 Microsoft Data Access Components (MDAC) 2.8 o versioni successive.
All’avvio di GFI EventsManager appare la Quick Launch Console, mostrata nell’immagine seguente, dalla quale è possibile raggiungere le principali funzionalità del prodotto.
Più esattamente consente di utilizzare tutti gli strumenti accessibili dalla barra dei menu e dalla console è possibile accedere alla Dashboard.
Detta console è una finestra che ci permette di avere i collegamenti alle principali funzionalità del prodotto, quindi quelle che maggiormente ci interessano, ed avere uno stato o una visione generica del prodotto stesso. Offre una visione di insieme della nostra rete locale, fa vedere tutti i PC connessi, quanti utenti sono connessi al momento, i tentativi di login non riusciti e via di seguito.
Sempre rimanendo nella schermata, possiamo anche vedere quello che il prodotto sta facendo in questo momento, quindi se ci sono degli errori durante l'acquisizione, se sta facendo le acquisizioni ecc.
Quindi quando facciamo una scansione completa della rete, quindi l'acquisizione completa, possiamo vedere se magari alcune macchine hanno dei problemi, che genere di errore viene riportato (gli errori vengono riportati in basso nella finestra, nella sezione Top Critical Importance Events) ecc.
La Dashboard è l’interfaccia che ci mostra una panoramica generale degli eventi attualmente registrati dal sistema ed è un po’ il pannello di controllo di GFI Events Manager. Si compone di sette tab che sono Status,Configuration, Events Browser, Reporting e General. Nella prima tab, ossia Status, vediamo tre sezioni, ossia General (immagine seguente) Job Activity e Statistics, che sono una sorta di monitor generale della situazione della rete.
Passiamo adesso ad analizzare la sezione Job Activity, la cui finestra di lavoro è quella mostrata nell’immagine seguente; essa permette di visualizzare le attività in corso ed eventuali errori sul processo di acquisizione dei log.
Quello che stiamo acquisendo nelle ultime di controllo e quindi praticamente se ce le teniamo tutte le sorgenti vediamo in questo caso suddiviso per colore quello che stiamo acquisendo per tutte le sorgenti quindi in questo caso vogliamo questo screenshot nelle ultime 24 ore abbiamo acquisito su Windows quindi si tratta solo di macchine Windows In questo caso Diciamo solo lo squillo
Infine analizziamo la sezione Statistics, la cui finestra di lavoro è proposta dall’immagine seguente; essa ci fornisce la rappresentazione grafica degli eventi generati da GFI EventsManager nelle ultime 24 ore.
In quest’ultima schermata e nelle due precedenti notate in alto alla Dashboard la barra dei menu, che consta delle voci Status, Configuration, Events Browser, Reporting e General; di seguito andiamo a vedere a cosa dà accesso ciascuna di esse, iniziando con Configuration, la cui finestra di lavoro prevede alcune tab. L’immagine seguente propone la tab Event Sources, che offre una visione generale delle sorgenti degli eventi e personalizzazione dei gruppi.
Rappresenta la principale funzionalità del prodotto, quella che verrà più utilizzata, dove verranno raggruppate le macchine da acquisire. Quindi in automatico attraverso il sistema operativo Windows identifica le macchine, siano esse Windows Server o altro e crea un gruppo in automatico all'interno di gruppi predefiniti. È anche possibile personalizzare i gruppi, per esempio se si deve acquisire dei file di testo da delle macchine particolari, quindi creare dei gruppi personalizzati o utilizzare quelli che ci propone il prodotto.
Cliccando con il pulsante destro del mouse sul nome di un gruppo (nel riquadro Groups) si possono impostare tutti i parametri corrispondenti, mediante l’accesso alla finestra di dialogo mostrata nell’immagine seguente.
La seconda finestra è Event Processing Rules e contiene la gestione delle regole per la generazione di categorie di eventi personalizzate (immagine seguente). Qui possiamo definire delle regole oltre quelle preimpostate, quindi, ad esempio se vogliamo ignorare l'acquisizione di determinati log Windows, quindi se ci sono dei log con un determinato ID event che vogliamo rifiutare, da qui andiamo a indicare al prodotto che quegli ID event che stiamo ricevendo da determinati computer della nostra azienda non ci interessano, allorché GFI Events Manager li ignora e di conseguenza non li archivia.
Dalla stessa finestra possiamo anche aumentare la criticità, ossia impostare determinate azioni al verificarsi di determinati eventi, come ad esempio farci inviare una e-mail se si presenta un determinato errore.
La terza finestra disponibile è Active Monitoring ed offre il monitoring personalizzato delle risorse hardware/software installate da ciascun nodo connesso ad Events Manager (immagine seguente). Ci permette di sapere per tutte le macchine come sono utilizzate determinate risorse, come l'utilizzo della CPU, dell'hard disk eccetera.
Possiamo anche aggiungere il monitoraggio dei servizi e quant'altro non è previsto per impostazione predefinita, come ad esempio quanto riguarda il file storage.
L’ultima schermata, accessibile dal comando tab Options, è appunto Options (visibile nell’immagine seguente) e da essa è possibile settare i vari parametri principali di funzionamento di EventsManager, come ad esempio la posizione dello storage e quindi dove salvare i log generati.
Da Options, quindi, impostare il percorso dello Storage principale è una delle prime cose da fare; l’operazione è dettagliata dall’immagine seguente, che propone la relativa finestra che si apre cliccando, nella struttura ad albero a sinistra, sulla voce File Storage.
Qui, per definire l’unità si clicca su Configure File Storage, accedendo così alla finestra di dialogo mostrata nell’immagine seguente.
Qui definiamo sia il nome assegnato allo storage, sia il percorso (Path) per raggiungerloed eventualmente possiamo crittografare i dati rendendoli accessibile solo a chi sarà in possesso della password di accesso da definire nella casella Password dopo aver posto il segno di spunta sulla casella Encrypt data using the following password.
Volendo, dalla tab Rotation è possibile impostare una rotazione del database, con i relativi parametri (immagine seguente) spuntando per prima cosa la casella Enable database rotation.
La rotazione determina la retention dei dati, la quale dipende dallo spazio di storage assegnato nella finestra di dialogo.
Rimanendo sulla struttura ad albero a sinistra, vediamo che cliccando su Performance Option accediamo a una finestra di dialogo nella quale definire le prestazioni del prodotto, come ad esempio la frequenza con cui eseguire le scansioni (immagine seguente).
Possiamo specificare quante scansioni deve fare al secondo (in questo caso sono stati impostati 100 eventi per secondo, quindi GFI Events Manager riceve 100 eventi ogni secondo); notate che non si possono aumentare gli eventi a dismisura, perché più si alza la loro frequenza, più verranno condizionate le prestazioni della CPU.
Sempre dalla struttura ad albero, si possono impostare le opzioni di alert: basta cliccare sulla voce Alerting Options e, nella finestra che si apre, sulla voce Edit alerting options così da accedere all’omonima finestra di dialogo mostrata nell’immagine di seguito.
Qui si possono impostare tutti i parametri relativi agli alert e quindi i server di posta da utilizzare (nella tab Email), le impostazioni di rete per accedervi (tab network), gli eventuali numeri e le modalità se desideriamo notifiche via SMS (nella tab omonima) i parametri del server di posta in uscita e i parametri per gli alert SNMP.
Passiamo ad un’altra impostazione che è Syslog Server Options, accessibile dall’omonima voce della tree a sinistra, la quale mostra la schermata contenente la vode Edit syslog options, cliccando sulla quale apriamo la finestra di dialogo per le impostazioni del caso (immagine seguente).
Sempre dalla struttura ad albero di sinistra possiamo accedere all’importante funzionalità di gestione di utenti e gruppi, utile perché si presume che, a parte casi più dimostrativi che pratici, non ci si accontenta del solo utente predefinito dall’installazione. Cliccando su Users and Groups si apre la scelta di Groups e Users, ognuna delle quali dà accesso alla rispettiva finestra di dialogo, che nel caso di Users è quella mostrata dall’immagine seguente.
Qui, cliccando con il pulsante destro del mouse sul nome dell’utente ne impostiamo o modifichiamo le proprietà mediante l’apposita finestra di dialogo (immagine seguente) ma possiamo anche eliminare l’utente. Tra le impostazioni possibili abbiamo gli alert, il tipo di utente (amministratore, per esempio) e i privilegi concessi, oltre alla possibilità di gestire i gruppi.
Idem per i gruppi, la cui finestra di dialogo per le impostazioni è similare.
Una funzione interessante di GFI Events Manager è quella raggiungibile da Audit Options, sempre collocato nella tree a sinistra, che apre la finestra di dialogo corrispondente, contenente la voce Edit audit options. La funzionalità consente di definire, per ciascun utente, se attivare l’audit, ossia la registrazione di tutte le operazioni che compie, e nel caso di definirne le modalità
Torniamo ora alle voci di menu per analizzare Events Browser, cliccando sulla quale accediamo a una sezione tramite la quale possiamo visualizzare tutti gli eventi archiviati dalle varie sorgenti e per ciascuna categoria. Quindi è possibile vedere i dettagli di ciascuna voce (immagine seguente).
Concludiamo con la sezione Reporting, accessibile cliccando sull’omonima voce di menu (immagine seguente); in essa, un pop-up ci permette di completare e o di generare nuovi report.
Entriamo adesso nel vivo del prodotto, che supponiamo sia stato installato correttamente attraverso lo specifico Wizard, indicando tra le prime cose dove vogliamo salvare il nostro database e poi se vogliamo avviare subito una scansione. Dopo l’avvio ci si presenta la finestra principale, che è tipo quella proposta dall’immagine seguente, nella quale è proposto lo stato della rete; notate che dal menu contenuto nella sezione Top Important Logon Events possiamo scegliere cosa prendere in considerazione, ossia anche un solo gruppo di computer invece che tutti quelli della rete.
La finestra ci permette di vedere, distinte per colori, anche le attività degli utenti: vediamo per esempio il Server cui sono collegate più macchine client ed anche che l’utente che negli ultimi sette giorni ha avuto più accessi è l’utente administrator.
Il menu più a sinistra permette di filtrare gli utenti per login e quello di destra di filtrare le informazioni per arco temporale: nel caso proposto dall’immagine si tratta delle ultime 24 ore (il menu propone la scelta fra 24h, 7 giorni o un periodo da definire a scelta).
Nel riquadro inferiore con intestazione Critical and High Importance Events viene segnalato se ci sono eventi critici attraverso degli istogrammi e utilizzando i menu a tendina è possibile filtrarli per gruppi di computer, per singoli computer, per sistema operativo, evento, arco temporale, nonché per utenti.
Scorrendo in basso nella finestra troviamo la sezione Monitoring Statistics, nella quale vengono riepilogati eventi come ad esempio i problemi su disco (per ciascuno è indicata la macchina cui si riferiscono) l’eventuale tendenza all’esaurimento dello spazio disponibile e via di seguito.
Diamo ora uno sguardo alla schermata Job Activity descritta sommariamente in precedenza, per far vedere come funziona in pratica: in essa possiamo vedere quello che sta accadendo al momento. Nell’immagine seguente vediamo alcuni errori per alcune macchine di cui è stata preventivamente lanciata la scansione; trattandosi di una scansione completa, quindi di tutto quello che si trovava all'interno del dominio, ci sono anche macchine che non sono realmente presenti e per queste vengono segnalati ulteriori errori.
Nella sezione Active Jobs, accanto ad ogni macchina target, l’indicatore percentuale di progressione dell'acquisizione dei log di sistema di Windows.
Se clicchiamo su Statistics, vediamo quello che sta accadendo nelle ultime 24 ore evidenziato dalla curva in blu.
Notate come le curve del grafico siano distinte per colore in base alla legenda che si trova accanto: la distinzione aiuta a interpretare correttamente i singoli dati.