Cómo configurar la recogida de sucesos de SharePoint con LOGbinder SP y GFI EventsManager™

Esta página explica cómo configurar y utilizar GFI EventsManager para recoger sucesos de auditoría de Microsoft SharePoint que han sido procesados por LOGbinder SP para hacer la información más legible y manejable.

La revisión que se referencia en este documentos agrega la siguiente funcionalidad extra a GFI EventsManager:

• Registro a medida para recoger sucesos de auditoría de LOGbinder SP
• Reglas adicionales para procesar sucesos SharePoint
• Consultas adicionales para ver sucesos SharePoint en el explorador de sucesos

Prerrequisitos

Este procedimiento asume que ya existe una instalación funcional de Microsoft SharePoint Server o SharePoint Services.

Además asumimos que LOGbinder SP ha sido instalado y configurado en el servidor SharePoint. Para más información sobre LOGbinder SP por favor siga estos enlaces:

• Descarga: http://www.logbinder.com/form.aspx?action=download
• Requerimientos: http://www.logbinder.com/products/logbindersp/resources/requirements.aspx
• Soporte: support@logbinder.com (866-749-2048)

Una vez LOGbinder SP esté instalado en el servidor SharePoint Server comenzará a grabar sucesos en el registro de sucesos de seguridad o en un registro a medida llamado ‘LOGbinder SP’ dependiendo de la configuración. Esta configuración es muy importante, sin embargo, para configurar GFI EventsManager apropiadamente.

También se requiere una instalación de GFI EventsManager versión 2011 (compilación 20110207) y de GFI EventsManager ReportPack 2011 (compilación 20110208).

NOTA: Todas las ulteriores referencias a ‘sucesos SharePoint’ en este documento se asume que son sucesos que han sido procesados por LOGbinder SP y guardados en un registro de sucesos Windows en el formato LOGbinder SP habitual.

Instalación

La revisión para permitir que la información generada por LOGbinder SP esté disponible en GFI EventsManager contiene dos partes:

• 20110322_EventsManagerAlertsAndFiltersForLogBinder_PATCH.zip - conteniendo archivos para la aplicación principal y
• 20110317_EventsManagerReportsForLogBinder_PATCH.zip - conteniendo archivos para el ReportPack

Ambos archivos deben ser descargados y desempaquetados en sus respectivos servidores antes de continuar.

Aplicación principal

Para instalar el parche de la aplicación principal haga lo siguiente:

1. Cerrar la Consola de Administración de GFI EventsManager y detener el servicio GFI EventsManager.

2.Navegar a la carpeta de instalación de GFI EventsManager y crear una copia de seguridad de los siguientes archivos:
a. EvtLogic.dll
b. Plwineventsbrowser.dll

3. Reemplazar los archivos originales con los extraídos del archivo comprimido.

4. Abrir el interfaz principal de GFI EventsManager e importar todas las opciones contenidas en el archivo llamado configurationsForLogBinder.esmbkp (File > Import and Export Configurations > Import the desired configurations from a file).

5. Iniciar el servicio GFI EventsManager.

ReportPack

Para instalar el parche para el ReportPack, haga lo siguiente:

1. Cerrar GFI ReporterCenter y detener el servicio GFI ReportCenter.

2. Crear una copia de seguridad de toda la carpeta de instalación del ReportPack de GFI EventsManager.

3. Copiar todos los archivos del parche en sus respectivas subcarpetas de la carpeta de instalación del ReportPack y reemplazar los originales.

4. Reiniciar el servicio GFI ReportCenter.

Configuración

Agregar nuevos servidores SharePoint como origen de sucesos
Los nuevos servidores SharePoint se pueden agregar a la configuración como origen de sucesos pulsando con el botón derecho sobre el grupo ‘SharePoint servers’ y seleccionando ‘Add new event source’ – Los sucesos de estos orígenes serán a continuación recogidos por primera vez tan pronto como sean agregados.

Las propiedades de este grupo se pueden personalizar para cumplir necesidades individuales.

Reglas adicionales de procesamiento de sucesos
Las reglas predeterminadas para procesar y evaluar sucesos SharePoint se pueden encontrar en la configuración de GFI EventsManager bajo Configuration > Event Processing Rules > Windows Event Logs > SharePoint Audit. Actualmente hay tres conjuntos de reglas que contienen varias reglas para evaluar diferentes tipos de sucesos más una regla adicional llamada ‘Archive SharePoint Audit Events’ que capturará y archivará cualquier suceso que no haya coincidido con cualquier otra regla de baja prioridad. Se hace esto para evitar la pérdida de información en la configuración inicial. Sin embargo, una vez hayan sido configuradas las reglas de procesamiento adicionales y todos los sucesos de interés estén siendo capturados por otras reglas, esta regla ‘captura-todo’ puede ser deshabilitada.

Hay múltiples formas de crear nuevas reglas de procesamiento a medida para sucesos SharePoint que no coinciden con ninguna regla predefinida. La forma más sencilla se describe en los siguientes pasos:

1. Abrir el IU de GFI EventsManager y seleccionar la etiqueta Events Browser.

2. Asegurar que está activo el Explorador de Sucesos Windows y seleccionar ‘Other Events’ > ‘LOGbndSP’. Este mostrará todos los sucesos SharePoint actualmente en la base de datos.

3. Seleccionar cualquier suceso que haya sido capturado por la regla genérica ‘Archive SharePoint Audit Events’ y para el que se necesita crear una regla de procesamiento.

4. Hacer clic con el botón derecho sobre el evento y seleccionar ‘New rule from selected event’.

5. Aceptar las condiciones predeterminadas para el suceso recientemente creado y pulsar Aceptar.

6. La nueva regla se creará en la carpeta ‘Custom Rules’ pero se puede mover a cualquier conjunto de reglas de la carpeta ‘SharePoint Audit’ arrastrando y soltando.

Consultas adicionales del explorador de sucesos
Crear consultas adicionales en el explorador de sucesos se describe en el manual de usuario de GFI EventsManager, sección 4.2. (http://support.gfi.com/manuals/en/esm2011/esm2011manual.1.21.html)

Dificultades técnicas y soporte

En caso de dificultades técnicas con cualquiera de los componentes involucrados en el proceso descrito en este documento, es importante evaluar primero qué parte del proceso está fallando para poder contactar con el personal de soporte apropiado.

1. No se generan los registros predefinidos de SharePoint (archivos *.log) o las opciones de auditoría de SharePoint no parecen funcionar como cabe esperar.

• Esta parte del proceso está relacionada sólo con SharePoint y debiera ser gestionada a través del equipo de soporte o los foros técnicos de Microsoft.

2. LOGbinder SP no parece procesar sucesos o no genera ningún suceso en los registros de sucesos de Windows.

• Esta parte del proceso está relacionada con LOGbinder SP y será gestionada por el equipo de soporte de LOGbinder al que se puede consultar por correo electrónico (support@logbinder.com) o teléfono (866-749-2048).

3. Se están generando los sucesos en el servidor pero GFI EventsManager no es capaz de recogerlos o no los procesa de acuerdo a las reglas de procesamiento configuradas.

• Esta parte del proceso está relacionada con GFI EventsManager y será gestionada por nuestro propio equipo de soporte al que se puede contactar en http://support.gfi.com.