Konfigurieren des Log Writers

Der Ordner mit den Konfigurationsdateien befindet sich im Installationsverzeichnis des Log Writers. Der Ordner umfasst eine beispielhafte Konfigurationsdatei für alle verfügbaren Datenquellen. Sie können die Datei an Ihre Wünsche anpassen.

Standardmäßig befindet sich die Konfigurationsdatei in folgendem Verzeichnis:

C:\Programme\Sophos\Reporting Interface\SophosLogWriterConfig.xml.

Eine Liste der verfügbaren Datenquellen des Log Writers finden Sie unter Datenquellen des Log Writers.

So bearbeiten Sie die Konfigurationsdatei des Log Writers:

1. Ändern Sie die Verbindungszeichenfolge (<connectionString>), die festlegt, wie der Log Writer Kontakt zur Datenbank von Enterprise Console aufnimmt:

   In der Standardkonfigurationsdatei ist das Element „<connectionString>“ auskommentiert (d.h. es steht zwischen den Tags „<!--“ und „-->“). Wenn das Element auskommentiert oder nicht in der Konfigurationsdatei vorhanden ist, sucht der Dienst in der Registrierung nach einer Verbindungszeichenfolge für den SEC Management-Dienst und ermittelt so die passenden Einstellungen. Wenn der Log Writer jedoch nicht auf dem System mit dem Management-Dienst installiert wurde, muss eine Verbindungszeichenfolge angegeben werden.

   Bei Standardinstallationen müssen lediglich der Servername der Datenbank und die Instanz geändert werden. Anweisungen zum Bearbeiten der Verbindungsparameter für nicht standardmäßige Datenbank-Setups können Sie der Microsoft Website entnehmen: http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlconnection.connectionstring.aspx

   • Wenn eine Verbindungszeichenfolge vorhanden ist, jedoch auf die falsche oder eine leere Verbindungszeichenfolge verweist (z.B. DataSource=""), lässt sich der Dienst nicht starten und es wird nicht nach dem Registrierungswert gesucht.
   • Wenn eine Verbindung zur Datenbank angegeben wurde, muss das Element <noOfDays> definiert werden, das vorgibt, wie viele Tage beim Abrufen der Vergangenheitsdaten erfasst werden sollen.
   • Das Element <commandTimeout> legt fest, wie lange der SQL-Server warten muss, bis eine Zeitüberschreitung bei einer Befehlsausführung vorliegt. Dies ist optional. Wird es nicht definiert, wartet der Server unbestimmt lange.

   <?xml version="1.0" encoding="utf-8" ?>
     <SophosDatafeed xmlns=
     "http://www.sophos.com/msys/LogWriterConfig.xsd">
      <connection>
          <connectionString>
                Integrated Security = SSPI;
                Persist Security Info = False;
                Initial Catalog = Sophos[SECVersion];
                Data Source = [SERVER]\[INSTANZ]
          </connectionString>
        <commandTimeout>[ZEITÜBERSCHREITUNG IN SEKUNDEN] </commandTimeout>
      </connection>
     <noOfDays>[ALTER DER VERGANGENHEITSDATEN]</noOfDays>

2. Legen Sie benutzerdefinierte Datenfeeds zum Extrahieren von Datenbankinformationen fest. Es empfiehlt sich, jeweils nur einen Feed festzulegen, da sich dadurch die Problembehebung erleichtert und die Datenbanksauslastung reduziert wird. Datenfeeds werden wie folgt definiert:
   • Jeder Datenfeed muss jeweils die Elemente „<tick>“ und „<logFile>“ umfassen. Hiermit wird festgelegt, wie oft nach neuen Daten in der Datenbank gesucht werden soll. Des Weiteren wird das Zielverzeichnis zum Speichern der Daten angegeben.
   • Das Element „<applyLogFormat>“ kann die Werte „True“ oder „False“ aufweisen. Es gibt vor, ob am Zeilenanfang jeder Zeile jeweils Datum und Uhrzeit des Protokolleintrags stehen sollen. Dies bietet sich bei Tools von anderen Anbietern, wie etwa „Splunk“ an, das automatisch das erste Datum in jeder Zeile der Protokolldatei aufgreift. Wenn es nicht in der Protokolldatei festgelegt wird, erscheint das Datum nicht am Zeilenanfang der Protokolldatei.
   • Über das Element „<fileSize>“ wird die Größe der aktuellen Protokolldatei beschränkt. Mit dem Element „<noOfBackupFiles>“ wird die Anzahl der Sicherungskopien von Protokolldateien festgelegt, die vor dem Löschen älterer Dateien erstellt werden können.

     Beispiel: Wenn für das Element „<fileSize>“ der Wert „500 KB“ und für das Element „<noOfBackupFiles>“ „2“ angegeben wurde, wird die Protokolldatei bei Erreichen von 500 KB, umbenannt („.1“ wird an die Datei angehängt), und es wird eine neue Protokolldatei ohne Suffix für neue Protokolle erstellt. Wenn die neue Protokolldatei wiederum 500 KB erreicht hat, wird die Datei mit dem Suffix „.1“ umbenannt und erhält das Suffix „.2“, und die Datei, die jetzt 500 KB groß ist, erhält das Suffix „.1“. Es wird erneut eine neue Protokolldatei ohne Suffix erstellt. Beim nächsten Mal wird die Datei mit dem Suffix „.2“ gelöscht, und die Datei mit dem Suffix „.1“ wird umbenannt und erhält das Suffix „.2“.

   • Alle Datafeeds umfassen ein oder mehrere Elemente „<call>“, die durch einmalige „callID“-Attribute gekennzeichnet werden. Der Log Writer verzeichnet sämtliche Calls und speichert diese in einer Datei „[CallID].last“ mit Zeitstempel. Die „callID“ muss einzigartig sein.

   <datafeeds>
    <datafeed>
     <tick> [ABRUFZEIT IN SEKUNDEN] </tick>
      <applyLogFormat> true</applyLogFormat>
       <logFile>
         <noOfBackupFiles>[ANZAHL DER SICHERUNGSDATEIEN] </noOfBackupFiles>
         <fileSize>[MAX. DATEIGRÖSSE KB/MB/GB] </fileSize>
         <outputLocataion>[SPEICHERORT DER PROTOKOLLDATEI] </outputLocation>
         <outputFilename>[NAME DER PROTOKOLLDATEI] </outputFilename>
       </logFile>
                 
    <call  callID = "[EINMALIGER CALL-NAME]">
             <dataSource>[ZU VERWENDENDE DATENQUELLE] </dataSource>
         <dataConfigurationLocation>[CALL DATA CONFIGFILE LOCATION]</dataConfigurationLocation>
       <dataConfigurationFile>[NAME DER CALL-DATA-KONFIGURATIONSDATEI]</dataConfigurationFile>
       </call>
         ...
    </datafeed>
    ...
    </datafeeds>
   </SophosDatafeed>

3. Wenn Sie die Datenquellen bearbeiten möchten, können Sie das Element „<Call>“ ändern. Das Element legt die Datenquelle zum Extrahieren von Daten fest und weist dieser eine Datenformatierungsdatei zu, die die Spalten der verfügbaren, zu speichernden Daten vorgibt. Die Datenformatierungsdatei kann als geordnete Liste erforderlicher Felder gestaltet werden:
   • Das Attribut „field name“ kann einen beliebigen Namen haben.
   • Das Attribut „link“ benötigt ein gültiges Reporting Interface-Feld für die Datenquelle.
   • Beim Attribut „enabled“ legt der Wert „0“ fest, dass Daten nicht extrahiert und der Wert „1“, dass Daten extrahiert werden.

   <?xml version="1.0" encoding="utf-8" ?>
    <LogFile>
     <Events>
      <field name="[FIELDNAME]" link="[FIELDNAME]" enabled="1" />
       ...
     </Events>
    </LogFile>

4. Starten Sie den Sophos Reporting Log Writer-Dienst.
   • Der Log Writer-Dienst muss bei Konfigurationsänderungen immer neu gestartet werden.
   • Vor dem Starten des Log Writer-Diensts bei einer neuen Konfiguration empfiehlt sich, den Sophos Management-Dienst anzuhalten, bis der Log Writer neue Datenfeeds initialisiert und Vergangenheitsdaten aus der Datenbank heruntergeladen hat.