Comment configurer la collection d'événements dans SharePoint avec LOGbinder SP et GFI EventsManager

Cette page explique comment configurer et utiliser GFI EventsManager pour collecter les événements d'audit de Microsoft SharePoint qui ont été traités par LOGbinder SP pour les rendre plus lisibles et plus faciles à gérer.

Le correctif dont il est question dans ce document ajoute la fonctionnalité supplémentaire suivante à GFI EventsManager :

• Journal personnalisé pour collecter les événements d'audit de LOGbinder SP
• Règles supplémentaires pour traiter les événements SharePoint
• Requêtes supplémentaires pour visualiser les événements SharePoint dans le navigateur d'événements

Conditions préalables

Cette procédure présume que Microsoft SharePoint Server ou les services SharePoint sont déjà installés.

Nous supposons en plus que LOGbinder SP a été installé et configuré sur le serveur SharePoint. Pour en savoir plus sur LOGbinder SP, veuillez suivre ces liens :

• Téléchargement : http://www.logbinder.com/form.aspx?action=download
• Conditions requises : http://www.logbinder.com/products/logbindersp/resources/requirements.aspx
• Assistance : support@logbinder.com (866-749-2048)

Une fois LOGbinder SP installé sur le serveur SharePoint, il commence à écrire les événements soit dans le journal des événements de sécurité, soit dans un journal personnalisé appelé ‘LOGbinder SP’ selon la configuration. Ce paramètre est très important pour configurer correctement GFI EventsManager.

Une installation de GFI EventsManager version 2011 (build 20110207) et de GFI EventsManager ReportPack 2011 (build 20110208) est également nécessaire.

REMARQUE : Toute référence à des 'événements SharePoint’ dans ce document présume que ces événements ont été traités par LOGbinder SP et enregistrés dans un journal d'événements Windows au format habituel de LOGbinder SP.

Installation

Le correctif qui permet aux données générées par LOGbinder d'être disponibles dans GFI EventsManager contient deux parties :

• 20110322_EventsManagerAlertsAndFiltersForLogBinder_PATCH.zip - containing files for the main application and
• 20110317_EventsManagerReportsForLogBinder_PATCH.zip - qui contient des fichiers pour le ReportPack

Les deux fichiers doivent être téléchargés et décompressés sur leurs serveurs respectifs avant d'aller plus loin.

Application principale

Pour installer le correctif pour l'application principale, effectuez les actions suivantes :

1. Fermez la console de gestion de GFI EventsManager et arrêtez le service GFI EventsManager.

2.Allez au dossier d'installation de GFI EventsManager et créez une copie de sauvegarde des fichiers suivants :
a. EvtLogic.dll
b. Plwineventsbrowser.dll

3. Remplacez les fichiers originaux avec ceux qui ont été extraits de l'archive du correctif.

4. Ouvrez l'interface principale de GFI EventsManager et importez tous les paramètres contenus dans le fichier du correctif appelé configurationsForLogBinder.esmbkp (File > Import and Export Configurations > Import the desired configurations from a file).

5. Démarrez le service GFI EventsManager.

ReportPack

Pour installer le correctif pour le ReportPack, effectuez les actions suivantes :

1. Fermez GFI ReporterCenter et arrêtez le service GFI ReportCenter.

2. Créez une copie de sauvegarde de l'ensemble du dossier d'installation de GFI EventsManager ReportPack.

3. Copiez tous les fichiers fournis avec le correctif dans les sous-dossiers respectifs du dossier d'installation du ReportPack et remplacez les originaux.

4. Redémarrez le service GFI ReportCenter service.

Configuration

Ajout de nouveaux serveurs SharePoint comme source d'événements
De nouveaux serveurs SharePoint peuvent être ajoutés comme source d'événements à la configuration de GFI EventsManager en cliquant avec le bouton droit dans la section du groupe ‘SharePoint servers’ et en sélectionnant ‘Add new event source’ – Les événements de ces sources seront alors collectés pour l première fois dès leur ajout.

Les propriétés de ce groupe peuvent être personnalisées pour satisfaire à des exigences individuelles.

Règles de traitement d'événements supplémentaires
Les règles par défaut pour traiter et évaluer les événements SharePoint peuvent être trouvées dans la configuration de GFI EventsManager sous Configuration > Event Processing Rules > Windows Event Logs > SharePoint Audit. Il y a actuellement trois ensembles de règles qui contiennent différentes règles pour évaluer différents types d'événements et une règle supplémentaire appelée ‘Archive SharePoint Audit Events’ qui capture et archive tout événement qui ne correspond à aucune autre règle de priorité faible. Elle est faite pour prévenir toute perte de données au moment initial de l'installation. Toutefois, une fois que les règles de traitement ont été configurées et que tous les événements pertinents sont capturés par d'autres règles, cette règle 'tout capturer' peut être désactivée.

Il y a plusieurs façons de créer de nouvelles règles de traitement personnalisées pour les événements SharePoint qui ne correspondent à aucune des règles par défaut. La manière la plus simple est décrite dans les étapes ci-après :

1. 1. Ouvrez GFI EventsManager UI et sélectionnez l'onglet Events Browser.

2. Assurez-vous que le navigateur d'événements de Windows est actif et sélectionnez ‘Other Events’ > ‘LOGbndSP’. Tous les événements SharePoint qui figurent actuellement dans la base de données seront affichés.

3. Sélectionnez tout événement qui a été capturé par la règle générique ‘Archive SharePoint Audit Events’ et pour laquelle une nouvelle règle de traitement doit être créée.

4. Cliquez avec le bouton droit sur l'événement et sélectionnez ‘New rule from selected event’.

5. Acceptez les conditions par défaut pour l'événement nouvellement créé et cliquez sur OK.

6. La nouvelle règle sera créée dans le dossier ‘Custom Rules’, mais peut être déplacée par glisser-déposer vers n'importe quel ensemble de règles dans le dossier ‘SharePoint Audit’.

Requêtes supplémentaires du navigateur d'événements
La création de requêtes supplémentaires dans le navigateur d'événements est décrite dans le manuel utilisateur de GFI EventsManager, section 4.2. (http://support.gfi.com/manuals/en/esm2011/esm2011manual.1.21.html)

Difficultés techniques et assistance

En cas de difficulté technique avec un des composants impliqués dans le processus décrit dans ce document, il est important de déterminer d'abord quelle partie du processus échoue pour pouvoir contacter le personnel d'assistance compétent.

1. Aucun journal SharePoint par défaut (fichiers *.log) n'est généré ou les paramètres d'audit de SharePoint ne semblent pas fonctionner correctement.

• Cette partie du processus est exclusivement liée à SharePoint et doit être traitée par l'assistance technique ou les forums de Microsoft.

2. LOGbinder SP ne semble traiter aucun événement ou ne génère aucun événement dans les journaux d'événements de Windows.

• Cette partie du processus est liée à LOGbinder SP et sera traitée par l'assistance technique de LOGbinder qui peut être contactée par email (support@logbinder.com) ou téléphone au (866-749-2048).

3. Des événements sont générés sur le serveur SharePoint mais GFI EventsManager est incapable de collecter ou ne les traite pas selon les règles de traitement configurées.

• Cette partie du processus est liée à GFI EventsManager et sera traitée par notre propre équipe d'assistance qui peut être contactée via http://support.gfi.com.