Events Monitoring

[crypton 10]

Hallo Zusammen,

 

hat jemand mal ein KB Artikel gefunden, wo Microsoft sich äußert welche Events man beobachten sollte? Gibt das eine TOP Liste?

 

Der Hintergrund ist diese. Ich überwache derzeit 50 DC's. Jeder DC generiert täglich ca. 500.000 Events pro Tag. Da geht die Übersicht sehr schnell verloren. Ich möchte gerne Regeln aufbauen die nur kritische und wichtige Events anzeigt und nicht jeden pupps :-)

 

Es muss doch ein KB Artikel geben wo Microsoft sagt welche Events man überwachen sollte.

 

Danke vorab.

 

by Crypton

[blub 115]

Hi,

umgekehrt wird ein Schuh drauss: alle Warnings und Errors, die du nicht erklären kannst, erfordern eine Aktion bzw. Klärung.

Von den 500.000 Events sind vermutlich die meisten Securitylogs. Da gibt es z.b. den Artikel in der Technet "Monitoring and Auditing for End Systems", in dem alle Events aufgelistet und erklärt sind. Wenn ein User 3-mal hintereinander ein falsches Passwort eingibt, mag das in den meisten Umgebungen ein normaler Vorgang sein. In Hochsicherheitsumgebungen kann das eine Aktion auslösen. Das musst aber du in deiner Auditingauswertung -sofern vorhanden- definieren.

 

cu

blub

[weg5st0 10]

Hallo Crypton,

 

die Operation Guides von Technet bieten sich da an.

Der hier bezieht sich zwar auf das MOM Managementpack, es stehen aber die überwachten Events in der Liste...

Monitoring Active Directory Health

[Cybquest 36]

Mit was überwachst du denn die 50 DCs? MOM? Irgendein Tool, wie Somix Logalot?

Gibts da nicht schon Regelvorlagen?

 

Ansonsten denke ich auch, du musst selber entscheiden, welche Events in deiner Umgebung wichtig oder kritisch sind.

[crypton 10]

Mit was überwachst du denn die 50 DCs? MOM? Irgendein Tool, wie Somix Logalot?

Gibts da nicht schon Regelvorlagen?

 

Ansonsten denke ich auch, du musst selber entscheiden, welche Events in deiner Umgebung wichtig oder kritisch sind.

 

Ich überwache die Windows, W3C und Syslogs mit dem GFI Events Manager