MOM in a Day

• Hands on Lab– HOL 1: Erstellen einer „Computer Group“– HOL 2: Erstellen einer „Processing Rule

Group“– HOL 3: Verknüpfen der erstellten „Computer

Group“ mit der erstellten „Processing Rule Group“

MOM in a Day

– HOL 4: Erstellen von Regeln• Security Event• „Consolidation Rule“• Auswertung eines „Log Files“• „Missing Event“• „Performance Treshold Rule“

– HOL 5: Installation einer neuen Applikation– HOL 6: weitere Regelarten

HOL 1

Erstellen einer„Computer Group“

HOL 1

• New Computer Group• Selektieren Sie

„Windows NT Member Server“

• -> Next

HOL 1

• Selektieren Sie für „Domain Name“ das Kriterium „equals“ und übergeben als Parameter den Namen der Domäne.

• Selektieren Sie für „Computer name“ das Kriterium „equals“ und übergeben als Parameter den Namen Ihres Systems (z.B. „R1P1“)

HOL 1

• Selektieren Sie über „Attribute“ das Kriterium „Microsoft Operation Manager – Agent“

• -> Next

HOL 1

• Lassen Sie dieses Fenster unverändert

• -> „Next“

HOL 1

• Lassen Sie dieses Fenster unverändert

• -> „Next“

HOL 1

• Übergeben Sie den Namen Ihres Systems als Name der „Computer Group“

• Lassen Sie das Flag „Enabled“ gesetzt.

• -> „Finish“

HOL 1• Beantworten Sie die

Abfrage mit „No“

HOL 1• Verifizieren Sie über „Rules“ – „Computer

Group“ die Existenz Ihrer angelegten Gruppe

HOL 1• Kontrollieren Sie über „Monitor“ – „All

Computer Groups“ die Anzahl „Members“ in Ihrer erstellten „Computer Group“

HOL 1

• Die Änderung muss bestätigt werden, damit diese aktiv wird.

• Dies wird über „Rules“ – Commit Configuration Change“ erreicht

• Im Anschluss ist ein „Scan“ über die Systeme zu initiieren.

• Im Erfolgsfall führt Ihre „Computer Group“ ein System.

BREAK

HOL 1

• Durch einen Doppelklick auf Ihre „Computer Group“ sehen Sie die Mitglieder

HOL 1

• Die angelegte „Computer Group“ führt nun das Zielsystem

• An diese können nun Regelwerke „Processing Rule Groups“ gebunden werden, wodurch die darin enthaltenen Regeln auf dem Zielsystem wirken.

• Im nächsten Schritt wird eine „Processing Rule Group“ erstellt.

• Diese wird im Anschluss an die erstellte „Computer Group“ gebunden.

HOL 2

Erstellen einer „Processing Rule Group“

HOL 2

• „Create Processing Rule Group“

• Übergeben Sie als Namen „PRG Student RxPy“, wobei „x“und „y“ aus dem Systemnamen abzuleiten sind.

• Lassen Sie das Flag „Enabled“ gesetzt.

• -> „Next“

HOL 2

• Klicken Sie auf „Edit“ und fügen einen Text hinzu – verwenden Sie http/ Mail Links.

HOL 2

• Bestätigen Sie die nachfolgende Abfrage mit „No“

HOL 2

• Selektieren Sie unter „Rules“ – „Processing Rule Group“ Ihre angelegte Gruppe.

• Beachten Sie die dargestellten Informationen und die Möglichkeit des Zugriffs auf weitere Informationen / Aktionen (http, Mail, etc.)

HOL 2

HOL 2

• Zusammenfassung– In „HOL 1“ wurde eine „Computer Group“

erstellt, welche das Zielsystem führt– In „HOL 2“ wurde eine „Processing Rule

Group“ erstellt. Diese enthält bis jetzt noch keine Regeln und ist an keine „Computer Group“ gebunden.

• Next Step– Verknüpfen der beiden Gruppen– Erstellen von Regeln

HOL 3

Verknüpfen von Computer- und Processing Rule Group

HOL 3

• Die beiden erstellten Gruppen sind nun zu „verknüpfen“ –hierzu führen Sie einen Rechtsklick auf Ihre PRG durch und wählen aus dem Kontextmenü den Eintrag „Associate Computer Group...“ aus.

• In dem Folgefenster fügen Sie über den Button „Add“ Ihre „Computer Group“ hinzu

HOL 3

• Bestätigen Sie die Auswahl mit „OK“

BREAK

HOL 4

Erstellen von Regeln

HOL 4

1. Überwachung einer Falschanmeldung

2. Erstellen einer „Consolidation Rule“

3. Auswertung einer „Log Datei“

4. Erstellen einer „Missing Event Rule“

5. Performance Treshold Rule

HOL 4

Überwachung einer Falschanmeldung

HOL 4Falschanmeldung

• Diese Regel reagiert auf das Ereignis „529“ der Source „Security“

HOL 4Falschanmeldung

• Führen Sie einen Rechtsklick auf den Eintrag „Event Processing Rules“ unterhalb Ihrer PRG durch und selektieren „Alert on or Respond to Event...“

• Durch diese Auswahl wird der entsprechende „Wizard“ gestartet.

HOL 4Falschanmeldung

• Wählen Sie im Feld „Provider name“ den Eintrag „Security“ aus.

• Bestätigen Sie die Auswahl mit „OK“

HOL 4Falschanmeldung

• Aktivieren Sie „from source“ und übergeben Sie den Parameter „Security“

• Aktivieren Sie „with event id“ und übergeben Sie den Parameter „529“

• Bestätigen Sie mit „Next“

HOL 4Falschanmeldung

• Wählen Sie hier einen für das Lab sinnvollen Zeitraum.

• Bestätigen Sie die Auswahl mit „Next“

HOL 4Falschanmeldung

• Aktivieren Sie das Feld „Generate Alert“

• Wählen Sie im Feld „Alert severity“ den Eintrag „Security Breach“ aus.

• Im Feld „Owner“ übergeben Sie Ihren Namen.

• Bestätigen Sie mit „Next“

HOL 4Falschanmeldung

• Nehmen Sie hier keine Änderungen vor.

• Bestätigen Sie mit „Next“

HOL 4Falschanmeldung

• Nehmen Sie hier keine Änderungen vor.

• Bestätigen Sie mit „Next“

HOL 4Falschanmeldung

• Klicken Sie hier auf „Edit“ und fügen einen beliebigen Text hinzu.

HOL 4Falschanmeldung

• Geben Sie im Feld „Name“ eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt.

• Schließen Sie über den Button „Finish“ ab.

BREAK

HOL 4

Consolidation Rule

HOL 4Consolidation Rule

• Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen „Rx-Py Consolidation Rule“ an.

HOL 4Consolidation Rule

• Führen Sie einen Rechtsklick auf den Eintrag „Event Processing Rules“ unterhalb Ihrer PRG durch und selektieren „Consolidate Similar Events...“

• Durch diese Auswahl wird der entsprechende „Wizard“ gestartet

HOL 4Consolidation Rule

• Wählen Sie im Feld „Provider name“ den Eintrag „Application“ aus.

• Bestätigen Sie die Auswahl mit „OK“

HOL 4Consolidation Rule

• Aktivieren Sie „from source“ und übergeben Sie den Parameter „HOL4“

• Aktivieren Sie „with event id“ und übergeben Sie den Parameter „1“

• Bestätigen Sie mit „Next“

HOL 4Consolidation Rule

• Führen Sie hier keine Änderung durch

• Bestätigen Sie mit „Next“

HOL 4Consolidation Rule

• Deaktivieren Sie alle Kriterien bis auf „Event Number“

• Setzen den Wert des Feldes „Events must occur within“ auf „10“ „seconds“

• Bestätigen Sie mit „Next“

HOL 4Consolidation Rule

• Klicken Sie hier auf „Edit“ und fügen einen beliebigen Text hinzu

• Bestätigen Sie mit „Next“

HOL 4Consolidation Rule

• Geben Sie im Feld „Name“ eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt.

• Schließen Sie über den Button „Finish“ ab.

HOL 4Consolidation Rule

• Die erstellte „Consolidation Rule“ erzeugt bei Erfüllung der Kriterien ein „MOM Event“.

• Um auf dieses „MOM Event“ reagieren zu können, wird im nächsten Schritt ein „Alert Regel“ erstellt.

HOL 4Consolidation Rule

• Wählen Sie über einen Rechtsklick auf „Event Processing Rules“ den Eintrag „ „Alert on or Respond to Event...“ aus

HOL 4Consolidation Rule

• Wählen Sie im Feld „Provider name“ den Eintrag „Application“ aus.

• Bestätigen Sie die Auswahl mit „OK“

HOL 4Consolidation Rule

• Aktivieren Sie „from source“ und übergeben Sie den Parameter „HOL4“

• Aktivieren Sie „with event id“ und übergeben Sie den Parameter „1“

• Klicken Sie auf „Advanced“

HOL 4Consolidation Rule

• Wählen Sie unter „Field“ den Eintrag „Repeat Count“ und im Feld „Condition“ das Kriterium „is more than“ aus.

• Übergeben Sie im Feld „Value“ den Wert „3“ und klicken „Add to List“

HOL 4Consolidation Rule

• Kontrollieren Sie die Einträge unter „Criteria description“ und klicken auf „Next“

HOL 4Consolidation Rule

• Verlassen Sie den Bildschirm „Advanced Criteria“ über den Button „Close“

HOL 4Consolidation Rule

• Keine Änderung erforderlich

• Klicken Sie auf den Button „Next“

HOL 4Consolidation Rule

• Aktivieren Sie das Feld „Generate Alert“

• Wählen Sie im Feld „Alert severity“ den Eintrag „Error“ aus.

• Im Feld „Owner“ können Sie Ihren Namen übergeben.

• Bestätigen Sie mit „Next“

HOL 4Consolidation Rule

• Deaktivieren Sie das Feld „Suppress duplicate alerts“

• Gehen Sie über den Button „Next“ weiter.

HOL 4Consolidation Rule

• Keine Änderung erforderlich

• Klicken Sie auf den Button „Next“

HOL 4Consolidation Rule

• Klicken Sie hier auf „Edit“ und fügen einen beliebigen Text hinzu

• Bestätigen Sie mit „Next“

HOL 4Consolidation Rule

• Geben Sie im Feld „Name“ eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt.

• Schließen Sie über den Button „Finish“ ab.

HOL 4Consolidation Rule

• Ihre PRG „RxPy – Consolidation Rule“ sollte nun 2 Regeln führen.

BREAK

HOL 4

Auswertung „Log File“

HOL 4 Auswertung „Log File“

• Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen „Rx-Py Log File“ an.

HOL 4 Auswertung „Log File“

• Führen Sie einen Rechtsklick auf den Eintrag „Event Processing Rules“ unterhalb der PRG „.... Log File“ durch und selektieren „Alert on or Respond to Event...“

• Durch diese Auswahl wird der entsprechende „Wizard“ gestartet.

HOL 4 Auswertung „Log File“

• Klicken Sie auf „New...“

HOL 4 Auswertung „Log File“

• Selektieren Sie den Typ „Application Log“ und bestätigen die Auswahl mit „OK“

HOL 4 Auswertung „Log File“

• Übergeben Sie im Feld „Provider Name“ eine Bezeichung, die mit dem Namen Ihres Systems beginnt.

• Im Feld „Provider log type“ wählen Sie „Generic single-line log“ aus

• Bestätigen Sie mit „Next“

HOL 4 Auswertung „Log File“

• In das Feld „Directory“ tragen Sie „C:\LogFile“ ein.

• Klicken Sie auf „Add..“ u. fügen i.d. Feld „File Pattern“ die Bezeichnung „MyLog.txt“ ein.

HOL 4 Auswertung „Log File“

• Kontrollieren Sie die Einträge.

• Bestätigen Sie mit „Finish“

HOL 4 Auswertung „Log File“

• Klicken Sie auf „Next“

HOL 4 Auswertung „Log File“

• Klicken Sie auf den Button „Advanced“

HOL 4 Auswertung „Log File“

• Definieren Sie die Kriterien entsprechend der Abbildung und klicken dann auf „Add to List“

HOL 4 Auswertung „Log File“

• Verlassen Sie den Bildschirm über den Button „Close“

HOL 4 Auswertung „Log File“

• Kontrollieren Sie das Feld „Criteria description“

• Klicken Sie auf „Next“

HOL 4 Auswertung „Log File“

• Klicken Sie auf den Button „Next“

HOL 4 Auswertung „Log File“

• Aktivieren Sie das Feld „Generate Alert“

• Wählen Sie im Feld „Alert severity“ den Eintrag „Critical Error“ aus.

• Im Feld „Owner“ übergeben Sie Ihren Namen.

• Bestätigen Sie mit „Next“

HOL 4 Auswertung „Log File“

• Deaktivieren Sie das Feld „Suppress duplicate alerts“

• Klicken Sie auf „Next“

HOL 4 Auswertung „Log File“

• Keine Veränderung erforderlich

• Klicken Sie auf „Next“

HOL 4 Auswertung „Log File“

• Klicken Sie hier auf „Edit“ und fügen einen beliebigen Text hinzu.

HOL 4 Auswertung „Log File“

• Geben Sie im Feld „Name“ eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt.

• Schließen Sie über den Button „Finish“ ab.

HOL 4 Auswertung „Log File“

• Ihre PRG „RxPy – LogFile“ sollte nun 1 Regel führen

BREAK

HOL 4

Missing Event Rule

HOL 4Detect Missing Event

• Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen „Rx-Py Missing Event“ an

HOL 4Missing Event

• Führen Sie einen Rechtsklick auf den Eintrag „Event Processing Rules“ unterhalb der PRG „.... Missing Event“ durch und selektieren „Detect Missing Event...“

• Durch diese Auswahl wird der entsprechende „Wizard“ gestartet.

HOL 4Missing Event

• Wählen Sie im Feld „Provider name“ den Eintrag „Application“ aus.

• Bestätigen Sie die Auswahl mit „OK“

HOL 4Missing Event

• Aktivieren Sie das Feld „from Source“ und übergeben „Backup“

• Aktivieren Sie das Feld „with event id“ und übergeben „901“

HOL 4Missing Event

• Definieren Sie hier einen Zeitraum, in dem das Ereignis erwartet wird.

• Der Zeitraum muss im Zeitfenster der Übung liegen.

HOL 4Missing Event

• Aktivieren Sie das Feld „Generate Alert“

• Wählen Sie im Feld „Alert severity“ den Eintrag „Critical Error“ aus.

• Im Feld „Owner“ übergeben Sie Ihren Namen.

• Bestätigen Sie mit „Next“

HOL 4 Missing Event

• Lassen Sie diesen Bildschirm unverändert

• Klicken Sie auf „Next“

HOL 4 Missing Event

• Lassen Sie diesen Bildschirm unverändert

• Klicken Sie auf „Next

HOL 4 Missing Event

• Klicken Sie hier auf „Edit“ und fügen einen beliebigen Text hinzu.

HOL 4 Missing Event

• Geben Sie im Feld „Name“ eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt.

• Schließen Sie über den Button „Finish“ ab.

HOL 4 Missing Event

• Ihre PRG „RxPy – Missing Event“ sollte nun 1 Regel führen

BREAK

HOL 4

Performance Treshold Rule

HOL 4Perf Treshold

• Legen Sie unterhalb Ihrer PRG (z.B. PRG Student R1P1) eine neue PRG mit dem Namen „Rx-Py Performance Rule“ an.

HOL 4Perf Treshold

• Führen Sie einen Rechtsklick auf den Eintrag „Performance Processing Rule“ unterhalb der PRG „.... Performance Rule“ durch und selektieren „Compare Performance Data..“

• Durch diese Auswahl wird der entsprechende „Wizard“ gestartet.

HOL 4Perf Treshold

• Klicken Sie auf „New“

HOL 4Perf Treshold

• Selektieren Sie „Windows NT Performance Counter“

• Klicken Sie auf OK

HOL 4Perf Treshold

• Konfigurieren Sie entsprechend der Abbildung.

• Wählen Sie eine Bezeichung, die mit dem Namen Ihres Systems beginnt.

• Lassen Sie das Feld „Counter definitions from“ unverändert.

• Der Wert „Sample every“ ist auf „2“ „minutes“ zu stellen.

• Klicken Sie auf „Next“

HOL 4Perf Treshold

• Keine Änderung erforderlich.

• Klicken Sie auf „Finish“

HOL 4Perf Treshold

• Klicken Sie auf „Next“

HOL 4Perf Treshold

• Keine Änderung erforderlich.

• Klicken Sie auf „Finish“

HOL 4Perf Treshold

• Keine Änderung erforderlich.

• Klicken Sie auf „Finish“

HOL 4Perf Treshold

• Konfigurieren Sie entsprechend der Abbildung.

• Achten Sie darauf, dass der Wert „the average of values over“ auf „2“ „samples“ konfiguriert ist

• Klicken Sie auf „Next“

HOL 4Perf Treshold

• Aktivieren Sie das Feld „Generate Alert“

• Wählen Sie im Feld „Alert severity“ den Eintrag „Critical Error“ aus.

• Im Feld „Owner“ übergeben Sie Ihren Namen.

• Bestätigen Sie mit „Next“

HOL 4Perf Treshold

• Deaktivieren Sie das Feld „Suppress duplicate alerts“

• Klicken Sie auf „Next“

HOL 4Perf Treshold

• Keine Änderung erforderlich

• Klicken Sie auf „Next“

HOL 4Perf Treshold

• Klicken Sie hier auf „Edit“ und fügen einen beliebigen Text hinzu

• Bestätigen Sie mit „Next“

HOL 4Perf Treshold

• Geben Sie im Feld „Name“ eine Bezeichnung ein, die mit dem Namen Ihres Systems beginnt.

• Schließen Sie über den Button „Finish“ ab.

• Ihre PRG „RxPy – Performance Rule“ sollte nun 1 Regel führen

BREAK