Modalità per configurare la raccolta di eventi SharePoint con LOGbinder SP e GFI EventsManager™

In questa pagina viene spiegato in che modo configurare e utilizzare GFI EventsManager per raccogliere eventi di audit di Microsoft SharePoint elaborati tramite LOGbinder SP, al fine di rendere le informazioni più leggibili e gestibili.

La patch menzionata nel presente documento aggiunge a GFI EventsManager la seguente ulteriore funzionalità:

• registro personalizzato per raccogliere eventi di audit di LOGbinder SP
• Ulteriori regole per elaborare eventi SharePoint
• Ulteriori query per visualizzare eventi SharePoint nel browser degli eventi

Prerequisiti

Questa procedura presuppone che sia già presente un'installazione funzionale di Microsoft SharePoint Server o di servizi SharePoint.

Si presuppone inoltre che LOGbinder SP sia stato installato e configurato sul server SharePoint. Per ulteriori informazioni su LOGbinder SP, seguire i collegamenti sottostanti:

• Download: http://www.logbinder.com/form.aspx?action=download
• i requisiti: http://www.logbinder.com/products/logbindersp/resources/requirements.aspx
• l'assistenza: support@logbinder.com (866-749-2048)

Una volta installato sul server SharePoint, LOGbinder SP comincerà a scrivere gli eventi nel registro degli eventi di sicurezza oppure in un log personalizzato chiamato "LOGbinder SP", a seconda della configurazione. Tale impostazione è molto importante per configurare opportunamente GFI EventsManager.

Si richiede inoltre un'installazione della versione 2011 (build 20110207) di GFI EventsManager e del ReportPack di GFI EventsManager 2011 (build 20110208).

NOTA: Ogni ulteriore riferimento a "eventi SharePoint" presente in questo documento presuppone l'esistenza di eventi elaborati da LOGbinder SP e salvati in un log degli eventi di Windows nel normale formato LOGbinder SP.

Installazione

La patch per abilitare la disponibilità in GFI EventsManager dei dati generati da LOGbinder SP consta di due parti:

• 20110322_EventsManagerAlertsAndFiltersForLogBinder_PATCH.zip, contenente i file dell'applicazione principale e
• 20110317_EventsManagerReportsForLogBinder_PATCH.zip, contenente i file del ReportPack

Entrambe le cartelle di file dovrebbero essere scaricate e decompresse sui rispettivi server prima di proseguire.

Applicazione principale

Per installare la patch dell'applicazione principale, eseguire le operazioni sotto riportate:

1. Chiudere la Consolle di gestione di GFI EventsManager e arrestare il servizio GFI EventsManager.

2.Navigare fino alla cartella d'installazione di GFI EventsManager e creare una copia di salvataggio dei seguenti file:
a. EvtLogic.dll
b. Plwineventsbrowser.dll

3. Sostituire i file originali con quelli estratti dalla cartella zip delle patch.

4. Aprire l'interfaccia principale di GFI EventsManager e importare tutte le impostazioni contenute nel file di patch chiamato configurationsForLogBinder.esmbkp (Menu File > Importare ed esportare configurazioni > Importare le configurazioni desiderate da un file).

5. Avviare il servizio GFI EventsManager.

ReportPack

Per installare la patch del ReportPack, eseguire le operazioni sotto riportate:

1. Chiudere GFI ReporterCenter e arrestare il servizio GFI ReportCenter.

2. Creare una copia di salvataggio di tutta la cartella d'installazione del ReportPack di GFI EventsManager.

3. Copiare tutti i file contenuti nella patch nelle rispettive sottocartelle della cartella d'installazione del ReportPack di GFI EventsManager e sostituire gli originali.

4. Riavviare il servizio GFI ReportCenter.

Configurazione

Aggiunta di nuovi server SharePoint come sorgente di eventi
È possibile aggiungere nuovi server SharePoint come sorgente di eventi alla configurazione di GFI EventsManager, facendo clic con il pulsante destro del mouse nella sezione "Server SharePoint" e selezionando l'opzione "Aggiungere nuova sorgente di eventi". Gli eventi di queste sorgenti saranno raccolti per la prima volta non appena si aggiungono le sorgenti.

È possibile personalizzare ulteriormente le proprietà di questo gruppo al fine di soddisfare le esigenze individuali.

Ulteriori regole di elaborazione degli eventi
Le regole predefinite per elaborare e valutare eventi SharePoint sono reperibili nella configurazione di GFI EventsManager nella cartella Configurazione > Regole di elaborazione degli eventi > Log degli eventi di Windows > Controllo SharePoint. Attualmente esistono tre serie contenenti varie regole per valutare diversi tipi di eventi, oltre ad una regola supplementare detta "Archive SharePoint Audit Events" (Archiviare eventi di audit di SharePoint), che individuerà e archivierà qualsiasi evento che non sia stato abbinato ad un'altra regola con bassa priorità. Questa operazione viene eseguita per impedire eventuali perdite di dati durante la configurazione iniziale. Tuttavia, una volta configurate le regole di elaborazione supplementari e una volta che tutti gli eventi di interesse siano stati catturati da altre regole, è possibile disabilitare questa regola "acchiappa tutti".

Esistono molti modi per creare nuove regole di elaborazione personalizzate per gli eventi SharePoint che non corrispondono a nessuna regola predefinita. Il modo più semplice viene descritto di seguito:

1. aprire l'interfaccia utente di GFI EventsManager e selezionare la scheda Events Browser (Browser degli eventi).

2. assicurarsi che sia attivo il browser degli eventi di Windows e selezionare "Altri eventi" > "LOGbndSP". Verranno così visualizzati tutti gli eventi SharePoint attualmente presenti nel database.

3. selezionare eventuali eventi catturati dalla regola generica "Archiviare eventi di audit di SharePoint" e per i quali è necessario creare nuove regole di elaborazione.

4. fare clic sull'evento con il pulsante destro del mouse e selezionare "nuova regola dall'evento selezionato".

5. accettare le condizioni predefinite e fare clic su OK.

6. la nuova regola sarà creata nella cartella "Regole personalizzate", ma può essere trascinata in qualsiasi set di regole della cartella "Audit di SharePoint".

Ulteriori query per il browser degli eventi
La creazione di query supplementari nel browser degli eventi è descritta nel manuale per l'utente di GFI EventsManager, alla sezione 4.2. (http://support.gfi.com/manuals/en/esm2011/esm2011manual.1.21.html)

Difficoltà tecniche e assistenza

In caso di difficoltà tecniche con i componenti del processo descritto nel presente documento, è importante prima di tutto individuare quale parte del processo non stia funzionando, così da poter contattare l'opportuno personale di assistenza.

1. Nessun log SharePoint predefinito (file *.log) è generato oppure pare che le impostazioni di verifica di SharePoint non funzionino come previsto.

• Questa parte del processo è correlata esclusivamente a SharePoint e andrebbe gestita dal team di assistenza o dai forum tecnici di Microsoft.

2. LOGbinder SP non elabora o non genera alcun evento nei log degli eventi di Windows.

• Questa parte del processo è correlata a LOGbinder SP e sarà gestita dal relativo team di assistenza, che è possibile contattare via e-mail (support@logbinder.com) o telefonando al n. 866-749-2048.

3. Gli eventi sono generati sul server SharePoint, ma GFI EventsManager non riesce a raccoglierli p non li elabora secondo le regole di elaborazione configurate.

• Questa parte del processo è correlata a GFI EventsManager e sarà gestita dal nostro team di assistenza, che è possibile contattare facendo clic sul seguente collegamento http://support.gfi.com.