GFI is een Maltese firma die beheer- en bewakingssoftware maakt voor Windowsnetwerken. Daarbij hoort ook EventsManager, beheersoftware voor de Windows 'events' (gebeurtenissen), zoals Microsoft de logboeken noemt.
In feite wekt de naam GFI een verkeerde indruk, omdat de EventsManager van dit product niet beperkt blijft tot Windows, maar ook logdata van Linux en Unix systemen kan verwerken. GFI EventsManager is Windows-software die met clients of agenten werkt om logdata van systemen op afstand te vergaren en die dan op te slaan in een SQL Server database. De logdata die zo vergaard wordt omvat Windows event logs, IIS W3C logs, SQL Server logs, syslog en SNMP-traps. Voor de Windows eventlog vergaring moet de Remote Registry Service (RRS) aangezet zijn op de te onderzoeken systemen. Voor de IIS W3C logs moet er een netwerkshare zijn aangemaakt die wijst naar de directory waarin die logs opgeslagen staan. Syslog- en SNMP-systemen moeten hun boodschappen sturen naar het ip-adres van de computer waarop EventsManager draait. Dat gaat trouwens verder dan eenvoudigde SNMP traps. EventsManager werkt namelijk met verschillende populaire SNMP MIB-databases en kan daardoor veel meer informatie verwerken. EventsManager kan de systeembeheerder bijstaan voor IDS (inbraakdetectie en vaststelling van beveiligingsproblemen), compliance (naleving van wetgeving, reglementen en voorschriften), prestatiebewaking en forensisch onderzoek (referentiepunt voor foutopsporing). Voor een meer uitgebreide rapportagefunctionaliteit kun je het GFI Report Pack downloaden en installeren. Dat is gratis.
Beheer
EventsManager bestaat uit de beheersoftware plus clients voor Windows en Unix/Linux. Die clients zijn agenten die aan datavergaring doen. De beheersoftware is uitsluitend voor Windows en vereist een Microsoft SQL Server 2005 of hoger. Als je die niet hebt, installeert de installatiewizard een Express-versie. Hou er wel rekening mee dat je eventueel nog een servicepack voor die Express-editie moet installeren. De installatiewizard vraagt verder naar een domeinbeheerderlogin om toegang te krijgen tot de Windows systemen waarvan logdata vergaard moet worden. GFI laat toe om voor individuele systemen in het netwerk aparte logingegevens op te geven. Dat is wel zo gemakkelijk.
De standaardbeheerinterface van EventsManager heeft een tabbladindeling. 'Status' toont een dashboardpagina met grafieken die de status van alle bewaakte systemen samenvat. 'Configuration' dient om de vergaringsbronnen en verwerkingsregels op te stellen. Hiermee stel je dus in, wat er gescand moet worden en aan welke verwerkingsregels de vergaarde data onderworpen moeten worden. Een voorbeeld van een handige verwerkingsregel is een ruisonderdrukkingsfilter. Ruis is alle loginformatie die je niet interesseert: allerlei gebruikersinformatie, informatieberichten en lichte waarschuwingen zou je dus als ruis kunnen bestempelen en die via zo'n filter onderdrukken. Dat is maar één van de vele mogelijkheden die deze verwerkingsregels je bieden. De 'Events Browser' laat je in detail struinen doorheen specifieke systemen en daaraan verbonden gebeurtenissen. Erg handig is, dat EventsManager een verzameling loglijnen kan samenvatten tot een gebeurtenisoverzicht waarmee je veel sneller tot allerlei inzichten kunt komen.
Conclusie
Hoewel GFI EventsManager ook Unix- en Linuxagenten ondersteunt, blijkt de hele datavergaring en -verwerking toch zeer sterk Windows-geöriënteerd. In die Windows-omgevingen biedt EventsManager je een gebruiksvriendelijke interface naar alle gebeurtenissen met overzichtelijke samenvattingen. En hoewel je audits kunt laten uitvoeren, is er geen voorziening om die aan reeds bestaande standaardcomplianceregels te onderwerpen. Om te bewijzen dat jouw systemen aan een welbepaalde compliancenorm voldoen, moet je handmatig de daartoe benodigde audits kiezen en de resultaten daarvan zelf interpreteren. Zeker voor EU-normen, -regels en -vereisten zou GFI Europese bedrijven gouden diensten kunnen bewijzen als EventsManager met die nalevingscontrolefunctionaliteit uitgebreid zou kunnen worden. Ook zouden we graag een optie zien om losse logbestanden te verwerken voor systemen waarop geen agent geïnstalleerd kan of mag worden.
Productinfo
Product: EventsManager 2010, www.gfi.com/eventsmanager
Producentc: GFI, www.gfi.com
Leverancier: Portland, www.portland.nl; DCC, www.dcc-nederland.nl
Adviesprijs (excl. BTW): vanaf 45 euro/node voor servers, vanaf 4,5 euro/node voor werkstations
Systeemvereisten: cpu 2,5 GHz of hoger, 1 GiB of meer RAM, 2 GB schijfruimte vrij; Windows XP of hoger (ook 64-bit), .NET framework 2.0 of hoger, MDAC 2.8 of hoger; voor Windows clients: RRS ingeschakeld, voor W3C log scanning moet er een netwerkshare naar de bronmappen zijn; voor syslog en SNMP-traps: toestelconfiguratie om berichten te sturen naar de EventsManager computer (ip-adres); voor Unix/Linux clients: niets specifiek opgegeven.
De serie
Deel 1: Loggegevens bevatten schat aan informatie (publicatiedatum maandag 28 februari)
Deel 2: GFI EventsManager 2010 (publicatiedatum donderdag 3 maart)
Deel 3: OSSEC (publicatiedatum maandag 7 maart)
Deel 4: Splunk (publicatiedatum donderdag 10 maart)
