1. 選取「Monitors」頁籤,點選「Events」,接著點選「Search」。
2. 於左方設定頁面輸入欲搜尋的條件,如圖所示為搜尋「Event Category:Prevention」、「Event Status:Warning」,「In the last 500 events」條件輸入完畢後,請點選「Search」。(可依照需求調整搜尋條件)。
3. 搜尋中,依照不同條件以及資料庫的事件量,搜尋的時間將會有所影響。
4. 搜尋成功後,可從右上方區塊看到符合條件的 Evnets,下方區塊則可看到上方區塊所選取的 Event 細節。
5. 接著點選「Export」,則可將目前所搜尋到的 Events 匯出。
6. 選取存放路徑,接著確認檔名,最後點選「Export」。
(需注意右方選項 All pages,並非指目前搜尋條件的所有頁面,而是目前資料庫內的所有頁面)
7. 匯出後即可得到一份剛剛所設定之搜尋條件之 Events 的 csv 檔案。
※ 假設製作一份 Agents Offline
1. 選取「Reports」頁籤,點選「Queries」。
2. 以滑鼠右鍵點選右方選單列的「Queries」,接著選取「New Query」。
3. 選取圖表類型:Table「表格」。
4. 選定Data Source「資料來源」:Assets (agents)「資產 (代理程式)」。
5. 輸入Query Name:「Agents Offline」,接著點選「Next」。
6. 從Column「資料行」選定所需的欄位,點選「Add」,選擇完畢後,點選「Next」。
1. 此核取方塊會限制查詢中出現的 (記錄) 資料列總數。選取此核取方塊,然後輸入資料列的數目。
例如,假設您建立了一個查詢,會顯示代理程式所產生的所有事件。此查詢可能產生數量龐大的事件,但您只要顯示前 500 個事件。您可以選取 Only get the top【100】results「僅取得前【100】筆結果」核取方塊,然後輸入 500。
2. 選取此核取方塊即可排除重複的輸出資料列。
3. 輸入您要每頁顯示的輸出資料列數目。(適用於使用表格圖類型的查詢)
4. 選取查詢結果中出現的資料行。
5. 選取總彙函數。總彙函數會為一組值執行計算並傳回單一數值,以查詢結果資料行的方式顯示。
選取下列其中一個選項:
6. 輸入欄位標題文字。根據預設,Display Name「顯示名稱」會使用 Column「資料行」名稱。
7. 輸入資料行寬度。
8. 若要排列所選取的資料行,按下 Move Up「上移」及 Move Down「下移」,直到資料行符合希望的順序。若要移除所選取的資料行,請按下 Remove「移除」。
9. 若要在查詢結果中新增資料行,請指定資料行選項,然後按下 Add「新增」在資料行清單中新增資料行。若要儲存所選取資料行的變更,請按下 Update「更新」。若要在查詢結果中包含所有資料行,請按下 Add All「新增全部」。
7. 選取查詢過濾器條件,選取「Comm Health Not In Green」,作為搜尋條件,並依照「Last Contact Time」、「Host Name」進行排序,點選「Add」新增後,接著點選「Next」。
1. 選取欄位。有效欄位的範例包括事件類型、事件日期、事件嚴重性、事件配置、作業系統類型、代理程式版本和主機名稱。必要項。
2. 選取欄位的運算子。有效運算子的範例包括等於(Equals)、不等於(Not Equals)、在(In)、不在(Not In)、包含(Contains)、不包含(Not Contains)、大於(Greater Than)、小於(Less Than)。部分運算子支援在值中使用萬用字元。有效的萬用字元為星號(*)和問號(?),前者可代表零或多個連續字元,而後者代表剛好一個字元。必要項。
3. 指定輸入參數的預設值。有效值會視欄位而不同。某些欄位會限制為預先定義的清單,而某些欄位則允許輸入自由格式。
4. 選取此核取方塊將輸出資料行分組。選擇性。
5. 選取此核取方塊以遞增或遞減的順序排列輸出資料行。選擇性。
8. 建立查詢輸入參數,由於為Agents Offline,所以此處不需設定,點選「Next」。欲了解設定,可參考「Queries→Symantec→V6.0.0c2014-SEP-09 r1→homepage→Homepage Agent Detail」。
1. Column「資料行」:選取輸入參數。必要項。
2. Operator「運算子」:選取輸入參數的運算子。輸入參數不可使用Between及Not Between運算子。請分別建立下限與上限的參數,以允許一個指定範圍。必要項。
3. Default Value「預設值」:指定輸入參數的預設值。選擇性。
4. Require a non-empty value at runtime「執行時期需要非空白值」:選取此核取方塊時,可強制查詢使用者指定輸入參數的值。選擇性。
5. Display Name「顯示名稱」:指定輸入參數的自訂顯示名稱。執行查詢時會出現顯示名稱。選擇性。
6. Description「說明」:指定輸入參數的說明。查詢執行時,說明隨即出現。此說明可協助使用者瞭解如何使用輸入參數。選擇性。
9. 預覽剛剛所設定的參數,接著點選「Finish」。
10. 即可看到剛剛所設定的「Agents Offline」。
1. 選取「Assets」→「Prevention」,接著選取「Common Configuration」,然後點選任一 Agent。
2. 以鍵盤輸入「Ctrl」+「A」,此時會看到右下角出現「4 agents selected」,或指定欲Apply之Agent。
3. 以滑鼠右鍵點選,出現選單後,選取「Apply Config」。
4. 選取修改過的 Config,接著點選「Finish」。
5. 可以看到剛剛所套用「Config」的 Agent,待 Config 生效。
6. 除 Offline 之 Agent 外,其餘皆生效。
1. 選取「Assets」→「Prevention」,接著選取「Configuration」,然後點選任一 Agent。
2. 以鍵盤輸入「Ctrl」+「A」,此時會看到右下角出現「4 agents selected」,或指定欲 Apply 之 Agent。
3. 以滑鼠右鍵點選,出現選單後,選取「Apply Config」。
4. 選取修改過的 Config,接著點選「Finish」。
5. 可以看到剛剛所套用「Config」的 Agent,待 Config 生效。
6. 除 Offline 之 Agent 外,其餘皆生效。
1. 如何刪除未來新增的 Events?
Ans:選取「Admin」頁籤,選取「Settings」,左邊選單選取「System Settings」,接著選取中間「General Settings」,可看到 Event Management,預設並無勾選設任何設定,請勾選「Purge Real-Time Events older than □ day(s)」。
※ 這裡勾選後,從設定之後的 Events,將依照設定的天數留存,但舊的 Events 並不會一併刪除!
2. 如何刪除已存在的 Events?
Ans:
2.1「開始」→「系統管理工具」→「服務」。
2.2 將「Symantec Data Center Security Server Manager」服務停止。
2.3 「Symantec Data Center Security Server Manager」服務停止中。
2.4 以滑鼠左鍵點擊兩下「Symantec Data Center Security Server Manager」服務。
2.5 確定「Symantec Data Center Security Server Manager」服務狀態:已停止,接著點選「確定」。
2.6 開啟資料夾「C:\Program Files (x86)\Symantec\Data Center Security Server\Server\tomcat\conf」。
2.7 備份設定檔,以滑鼠左鍵點選檔案「sis-server.properties」,使用鍵盤選取「Ctrl c」。
2.8 備份設定檔,以滑鼠左鍵點選檔案「sis-server.properties」,使用鍵盤選取「Ctrl v」。
2.9 以滑鼠右鍵點選「sis-server.properties」。
2.10 取消「唯讀」選項,接著點選「確定」。
2.11 以滑鼠右鍵點選「sis-server.properties」,選取「開啟」。
2.12 點選「從以安裝程式的清單選取程式(S),接著點選「確定」。
2.13 選取「記事本」,取消「永遠用選取的程式來開啟這種檔案(A)」,接著點選「確定」。
2.14 找到 #sisdbcleanup.runtime=23
#sisdbcleanup.event.purge.limit=100000並將 # 刪除
2.15 修改 sisdbcleanup.runtime=23、sisdbcleanup.event.purge.limit=100000,其中sisdbcleanup.runtime =「每幾個小時執行(預設為 24 小時)」;sisdbcleanup.event.purge.limit=「一次刪除的資料數量」(建議數量設定為 20 萬)。
假設:每兩小時執行,一次刪除 200000 筆資料。
2.16 儲存檔案,接著關閉記事本。
2.17 以滑鼠右鍵點選「sis-server.properties」,選取「開啟」。
2.18 勾選「唯讀」選項,接著點選「確定」。
2.19 「開始」→「系統管理工具」→「服務」。
2.20 將「Symantec Data Center Security Server Manager」服務啟動。
2.21 「Symantec Data Center Security Server Manager」服務啟動中。
2.22 以滑鼠左鍵點擊兩下「Symantec Data Center Security Server Manager」服務。
2.23 確定「Symantec Data Center Security Server Manager」服務狀態:已啟動,接著點選「確定」。
2.24 登入 DCS 代表服務已恢復,將會依照設定時間做刪除的動作。
問題:
版本:
說明:
Agent Health 在 Assets「資產」頁面的 Agent Health「代理程式健康狀態」欄中,會以綠色、黃色或紅色圓形圖示表示。
黃色與紅色預設值分別用於實體環境及虛擬環境。Agent Health 圖示的顏色是按照以下規則決定:
代理程式健康狀態的逾時設定如下:
1. 於 Asset 頁面,以滑鼠右鍵點選 Agent,選取「Propertise」。
2. 點選「Configure Health」,接著可以修改設定。
為避免代理程式離線和連線時產生大量網路流量,全系統流量控制選項可將狀態變更事件彙總成單一事件。
選取「Admin」頁籤,點選「Settings」接著選取「System Settings」,最後選取「Agent Settings」頁籤。
代理程式狀態變更事件數的臨界值,此數目會引發產生單一彙總狀態變更事件,而不是大量個別代理程式事件。若因網路中斷而一次影響大量代理程式,此設定有助於限制產生的無意義事件(及任何相關警示)數目。預設:25。
1. 點選「Assets」,接著點選「Prevention」,於左方欲建立 Group 的位置,以滑鼠右鍵點選,選取「Add Group」。
2. 輸入欲設定之名稱,輸入完成後請按下鍵盤的「Enter」。
3. 設定 Group 完成,Asset 內 Network、Prevention 以及 Detection 內 Group 新增方式亦同。
1. 點選「Admin」頁籤,選擇「Settings」,接著點選「Alert Settings」,於「Email settings」設定資訊,設定完成後,點選「Save」。
SMTP Server:傳送電子郵件訊息的 SMTP 伺服器位址。
SMTP Port:傳送電子郵件訊息的 SMTP 伺服器埠號。預設: 25。
Email From:警示電子郵件的來源電子郵件地址。預設:Alert@SDCSSServer
Enable Email Aggregation:選取此核取方塊可啟用電子郵件彙總,然後再指定「彙總間隔」。
Aggregation Interval:事件輪詢間隔,以分鐘為單位。
如果啟用電子郵件彙總,彙總電子郵件會根據您指定的頻率傳送。預設:10 分鐘。
Maximum Email Size:電子郵件訊息大小上限,以 KB 為單位。預設:1024。
1. 點選「Admin」頁籤,選擇「Settings」,接著點選「System Settings」,於「Login Notice」底下的框框輸入登入時之通知內容,最後點選「Save」。
2. 確認無誤後,點選「OK」。
3. 輸入帳號密碼,點選「Log On」。
4. 可看到剛剛所設定之內容,點選「確定」後,可繼續使用系統。
1. 選取「Admin」頁籤,接著選取「Roles」,最後點選「Add」。
2. 輸入「名稱」,接著點選「Add」。
3. 選取欲加入 Role 的帳號,接著點選「Add」。
4. 最後點選「OK」。
5. 選取剛剛所建立的 Role,點選「Edit」。
6. 選取「Security」頁籤,會發現沒有任何權限。
7. 選取 「Assets」頁籤,接著選取「Prevention」頁籤,以滑鼠右鍵點選欲開放權限的「Policy」,選取「Properties」。
8. 選取「Security」頁籤,勾選剛剛新增之「Role」,最後點選「Apply」。
9. 選取剛剛所新增權限的 Role,點選「Edit」。
10. 點選「Security」頁籤,可看到剛剛新增的權限。
11. 檢視剛剛所開啟的權限,開啟登入頁面,輸入帳號密碼。
12. 無開權限的部份,無法開啟,僅可看到有開啟權限的部份。
