EventSentry ist ein erschwing­liches SIEM-Tool (Security Infor­mation and Event Manage­ment), das Windows- sowie Linux-Systeme über­wacht und über alle Vor­gänge im Netz­werk infor­miert. Die wich­tigste Neuerung der Version 4.0 besteht im Add-on ADMonitor, das sämt­liche Änderungen im Active Directory erfasst.

Die wich­tigsten Informations­quellen zur Fehler­analyse in IT-Umgebungen und so­mit auch bei VMware sind Log-Dateien, Tasks und Ereig­nisse. Das gilt sowohl für vCenter als auf für ESXi und virtuelle Maschinen. Ich zeige, wo die wich­tigsten Protokoll­dateien zu finden sind und mit welchen Bord­mitteln man sie durchsucht.

Der DHCP-Dienst von Windows Server er­laubt es, wesent­liche Aktivi­täten wie das Zu­weisen oder Er­neuern einer IP-Adresse, das Löschen einer Lease oder dabei auf­tretende Fehler zu proto­kollieren. Dafür ver­wendet er eine eigene Log-Datei. Ihre Konfi­guration und die Aus­wertung kann PowerShell über­nehmen.

Ein über­mäßiges An­wachsen der Daten­bank kann nega­tive Folgen im Betrieb und bei der Mig­ration von vCenter haben. Mit dem Reset der vpx-Provider lässt sich aber nicht nur die Inventory-Daten­bank be­reinigen, viel­mehr kann diese Maß­nahme auch andere Pro­bleme mit vCenter und dem Web Client beheben.

Zu den kritischen Enti­täten im Active Directory gehören admini­strative Gruppen. Wenn sich deren Mit­glied­schaften oder die Pass­wörter von enthaltenen Konten ändern, dann sollte die System­verwaltung davon erfahren. Daher empfiehlt es sich, für diesen Zweck die Überwachungs­funktionen für den Verzeichnis­dienst zu aktivieren.

Zu den SysInternals gehört Sysmon, das zahl­reiche Aktivi­täten des Betriebs­systems über­wacht. Daraus können sich Hin­weise auf Schad­code oder Angriffe ergeben. Die Heraus­forderung besteht darin, die rele­vanten Daten aus der Viel­zahl von Log-Einträgen zu filtern.

Mit der Operations Manage­ment Suite (OMS) lassen sich Daten aus der Azure- und On-Premises-Infra­struktur erfassen und analy­sieren. Ihr Spek­trum reicht von der Per­for­mance-Ana­lyse über die Automa­ti­sierung von Aufgaben bis zum Backup. Dazu gehört auch eine Lösung für das AD-Trouble­shooting.

Die Operations Management Suite (OMS) ist eine Monitoring- und Verwaltungs­lösung in der Azure Public Cloud. Damit lassen sich Res­sourcen sowohl im Rechen­zentrum von Unter­nehmen als auch in Azure admini­strieren. Die Suite umfasst Tools zur Log-Analyse, zum Schutz vor Malware, zur Automa­ti­sierung von Abläufen sowie Site Recovery.

Ein Exchange Server, egal ob dieser in einer DAG (Database Availibility Group) oder stand­alone läuft, bedarf einer regel­mäßigen Sicherung. Microsoft stellt hierfür eine zuver­lässige, wenn auch nicht ganz ein­fach bedien­bare Backup-Lösung zur Ver­fügung. Dafür fallen für dieses Bord­mittel keine zusätzl­ichen Kosten an.

Für Unter­nehmen ist es alleine aus Gründen der Risiko­verteilung eine Über­legung wert, Cloud-Dienste von mehreren Cloud-Service-Pro­vidern (CSP) zu be­ziehen. Solche An­wender spricht ManageEngine mit Cloud Security Plus an.