tacLOM Release Highlights 3.20

Die Zuordnung eingehender Logdaten in den Navigationsbereich wird durch ein überarbeitetes Hostname Mapping einfacher und flexibler. Neue Eventpacks sind hinzugekommen und dank einem neuen Discovery-Modul können detaillierte System- und Applikationskennzahlen von FortiGate Firewalls überwacht werden.

1. tacLOM als Landkarte zur IT-Infrastruktur

Wer Ferien in einer fremden Stadt plant, möchte die kurze Zeit effizient nutzen und viele interessante Orte besuchen. Egal, ob man sich intensiv auf eine Reise vorbereitet oder sich spontan vor Ort informieren will — es ist essentiell, schnell einen Überblick zu bekommen, was sich wo befindet. Auf einem guten Stadtplan sieht man sofort, welche Sehnswürdigkeiten nah beieinander liegen und wie gut sie miteinander verbunden sind und kann sich somit schnell einen Überblick verschaffen.

In der IT verhält es sich ähnlich. Egal ob ein Incident, ein geplanter Ausbau oder eine Wartungsarbeit. Eine gute Übersicht, wo und wie das Zielgerät in der IT-Landschaft eingebettet ist, hilft die Auswirkungen eines Ausfalls einzuschätzen und steigert die Effizienz. Der Target Tree (Navigationsbereich) von tacLOM dient hierbei als Landkarte zur Infrastruktur. Wer nicht weiss, wie das gesuchte System heisst, kann durch die Gruppen des hierarchisch gegliederten Baumes navigieren und findet sich so schnell zurecht.

Aber die Erstellung einer Landkarte ist immer auch aufwendig. Die Gruppierung und die Verästelung des Baumes müssen definiert und die Systeme einsortiert werden. Beim klassischen System Monitoring geschieht dies implizit. Erst nachdem ein System angelegt ist, lassen sich auch die ihm zugeordneten Scans erfassen.
In heutigen dynamischen Umgebungen sowie beim Empfang von Logdaten verhält es sich anders. Neue Quellen können spontan auftauchen und Daten liefern. Das Überwachungssystem muss erkennen, ob die Quelle einem bereits erfassten System zugeordnet werden kann oder ob ein neuer Eintrag auf der Landkarte nötig ist.

map

Neuer Mapping Service

Die Zuordnung empfangener Daten an ein System im Target Tree ist nicht trivial:

  • Systeme liefern Daten unter verschiedenen Namen oder Adressen.
  • Namen und Adressen der Systeme können sich im Lauf der Zeit ändern.
  • Der angezeigte Name im Target Tree unterscheidet sich vom Namen, unter dem die Daten geliefert werden.
  • Die externe Namensauflösung (DNS) kann ausfallen.
  • Nicht alle Systeme verarbeiten die Namen gleich:
         o  Einmal ist die Gross- und Kleinschreibung relevant, einmal nicht (case sensitivity).
         o  Einmal kommt ein Name mit und einmal ohne Domainnamen an (fully qualified domain name).

Um diesen Herausforderungen zu begegnen und dem Benutzer gleichzeitig eine möglichst flexible als auch einfach zu bedienende Funktionalität zu bieten, haben wir einen neuen Name Mapping Service entwickelt. Dieser wird in zwei Schritten eingeführt:

tacLOM 3.20

  • Die bestehenden nur für das System Monitoring verwendeten Interfaces werden zu einfacheren Adressen.
  • Bestehendes Mapping unterscheidet nicht zwischen Gross- und Kleinschreibung (case insensitive).

tacLOM 3.21

Im zweiten Schritt, im Release tacLOM 3.21, wird die Funktion erweitert:

  • Einführung des neuen Mapping Services basierend auf den Adressen.
  • Normalisierung der Namen beim Empfang der Logdaten:
         o  Grossbuchstaben werden immer in Kleinbuchstaben gewandelt.
         o  Systemnamen werden wo möglich mit zugehörender Domain gespeichert.
  • Der vollständige Domainname wird nur in der Detailansicht angezeigt.

Nutzen:

  • Höhere Trefferquote der automatischen Zuweisung
  • Flexiblere und einfachere Konfiguration
  • Zuordnung der Logdaten auch bei Namenswechsel oder DNS-Ausfall

2. Neue Eventpacks

Durch die Eventpacksvon tacLOM werden wichtige Log-Ereignisse in eine kompakte und normalisierte Form gebracht. Die erstellten Events lassen sich produktübergreifend vergleichen und sind leicht verständlich. Sie eignen sich zur individuellen Alarmierung oder als Basis für weitergehende Verarbeitungen.

Die Liste der Eventpackswächst stetig. Mit dem neuen Release sind diese hinzugekommen:

  • defender: Windows Defender
  • epo: McAfee ePolicy Orchestrator 5.3.2 and higher
  • iblxddi: Infoblox DDI
  • sep: Symantec Endpoint Protection
  • vsentry: HP vSentry

Nutzen:

  • Bessere Lesbarkeit und Verständlichkeit
  • Effiziente Weiterverarbeitung dank normalisierter und verdichteter Datenbasis

3. Überwachung von FortiGate Firewalls

Schon seit einiger Zeit gibt es ein Discovery-Modul für die aktive Systemüberwachung von FortiGate Firewalls.Dieses wurde für tacLOM 3.20 komplett überarbeitet und erweitert, um verschiedenste Parameter der aktuellen Next-Generation FortiGate Firewall überwachen zu können.

Unterstützt werden mehrere virtuelle Domains, in denen jeweils Messwerte für CPU- und Memory-Auslastung, statistische Zähler für erkannte und blockierte Viren, URL, Mails und Attachments und andere in der FortiGate SNMP MIB enthaltene Grössen zur Verfügung gestellt werden. Auf Systemebene werden die Anzahl Sessions und Logins des VPN Moduls, verschiedene Parameter des DNS-Services sowie die gesamte CPU- und Memory-Auslastung aufgezeichnet.

Zusätzlich können für das physische Gerät der Zustand und die Redundanz der Stromversorgung, die Funktion der Lüftung und die Einhaltung des zulässigen Temperaturbereichs an verschiedenen Stellen überwacht und alarmiert werden.

Nutzen:

  • Umfassende Überwachung von wichtigen Kennzahlen der FortiGate Firewall

Was Sie auch noch interessieren könnte
Haben Sie einen Release verpasst?
Liste aller Releases mit den jeweils neuen Funktionen
Anmeldung zum Newsletter
Zwei- bis dreimal jährlich werden die wichtigsten Informationen kompakt für Sie zusammengestellt