Scénario 1: association d'une source de journal
Vous pouvez ajouter une source de journal à l' eLog et l'associer à un collecteur.
Choisissez Système > Gestion du système > Service .
Cliquez
devant Collector pour afficher l'état d'exécution du service de collecteur sur tous les hôtes.
.
Cliquez
dans la colonne Opération . La fenêtre de configuration du collecteur s'affiche.
Cliquez sur Ajouter pour ajouter la source du journal associé. Cliquez sur Suivant pour associer la source du journal au collecteur.
REMARQUE:
Cette page affiche uniquement les sources de journal qui ne sont associées à aucun collecteur.
Définissez un mode de collecte de journaux pour la source de journal.
L' eLog prend en charge la collecte de journaux à partir de sources de journaux. Le tableau suivant décrit les paramètres du mode de collecte des journaux.
Tableau 1 Description des paramètres du mode de collecte Mode de collecte
Description
Exigences du scénario d'application
SYSLOG
Port
Par défaut, le numéro de port 514 défini selon les normes internationales est utilisé. Ce port ne peut pas être modifié.
Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format syslog.
Remarque: vous devez activer la fonction d'envoi syslog sur les sources de journal. Pour plus de détails, reportez-vous aux manuels de configuration correspondants de ces sources de journal.
REMARQUE:Lorsque le mode SYSLOG est utilisé pour collecter les journaux, l'authentification par certificat n'est pas implémentée pour le processus de transmission. Comparé au mode SECURITYSYSLOG, le mode SYSLOG offre des performances plus élevées mais une sécurité moindre.
SÉCURITÉ
Port
Par défaut, le numéro de port 6514 défini selon les normes internationales est utilisé. Ce port ne peut pas être modifié.
Ce mode de collecte est sélectionné pour l'établissement de la confiance mutuelle à l'aide du mécanisme de certificat pour la transmission sécurisée des journaux système depuis les sources de journal vers le collecteur.
Le mode SECURITYSYSLOG offre une meilleure sécurité.
Lors de l'installation du collecteur, un fichier de certificat est généré dans / opt / huawei / LogCenter / components / collector / etc / conf / decrypt . Ce certificat est utilisé pour la transmission sécurisée des journaux entre les sources de journal et le collecteur.
Vous devez télécharger le certificat à partir du répertoire ci-dessus sur le collecteur et configurer la fonction d'envoi syslog sur chaque source de journal. Pour plus de détails, reportez-vous aux manuels de configuration de ces sources de journal.
SESSION
Port
Par défaut, le numéro de port non standard 9002 est utilisé. Ce port ne peut pas être modifié.
Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format binaire.
Remarque: vous devez activer la fonction d'envoi binaire sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.
Décrypter
Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité.
La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.
NETFLOWSESSION
Port
Par défaut, le numéro de port non standard 9996 est utilisé. Ce port ne peut pas être modifié.
Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format Netflow.
Remarque: vous devez activer la fonction d'envoi netflow sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.
Décrypter
Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité.
La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.
FLUX DE DONNÉES
Port
Par défaut, le numéro de port non standard 9903 est utilisé. Ce port ne peut pas être modifié.
Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format de flux de données.
Remarque: vous devez activer la fonction d'envoi de flux de données sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.
Décrypter
Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité.
La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.
RAYON
Port
Par défaut, le numéro de port non standard 1813 est utilisé. Ce port ne peut pas être modifié.
Si une source de journal envoie des paquets RADIUS au collecteur, ajoutez la source de journal en associant l'identité à la source de données et sélectionnez ce mode de collecte.
Remarque: vous devez configurer la source du journal pour envoyer des paquets RADIUS. Pour plus de détails, reportez-vous au manuel de configuration de la source de journal.
REMARQUE:Si une source de journal envoie à la fois des paquets RADIUS et des syslog (ou des paquets d'autres formats) au collecteur, ajoutez la source de journal en associant l'identité à la source de données et en fonction du type de périphérique réel et associez les formats de journal correspondants au collecteur.
Mode d'envoi
Clé privée
Il n'est valide qu'en mode CC-ACK . La clé privée fournie par une source de journal est ajoutée à eLog en fonction de l'exigence de source de journal.
Analyser le proxy
Il n'est valide qu'en mode CC-ACK . Différents types de sources de journal fournissent des journaux de différents formats. Vous pouvez déterminer s'il faut activer l' eLog pour analyser ce champ en fonction des conditions de source de journal.
Fichier dynamique SFTP
Nom d'utilisateur
Entrez le nom d'utilisateur pour vous connecter au serveur SFTP.
Sélectionnez cet élément si le collecteur obtient les journaux des hôtes ou des serveurs via SFTP.
Remarque: vous devez configurer la source de journal en tant que serveur SFTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client SFTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal.
SFTP nécessite une authentification bidirectionnelle. Sinon, la connexion peut échouer.
Mot de passe
Saisissez le mot de passe de l'utilisateur.
Chemin du fichier
Entrez le chemin des fichiers journaux. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur SFTP. Un astérisque (*) peut être utilisé comme caractère générique.
Fichier statique FTP
Nom d'utilisateur
Entrez le nom d'utilisateur pour vous connecter au serveur FTP.
Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via FTP.
Remarque: vous devez configurer la source du journal en tant que serveur FTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client FTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal.
Avant de supprimer un fichier du serveur FTP, configurez une autorisation d'écriture pour le compte FTP.
Mot de passe
Saisissez le mot de passe de l'utilisateur.
Chemin du fichier
Entrez le chemin du fichier à collecter. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur FTP. L'astérisque (*) ne peut pas être utilisé comme caractère générique.
Le chemin de fichier prend en charge les sous-répertoires. Le chemin du fichier peut être spécifié dans le répertoire du fichier à collecter, par exemple / var / log / .
Tout ou partie du nom du fichier
Saisissez le nom complet ou partiel du fichier à collecter. Dans ce cas, le collecteur collecte les fichiers dont les noms contiennent Tout ou partie du nom de fichier dans le répertoire Chemin du fichier .
Après avoir obtenu des fichiers
Après avoir obtenu des fichiers via FTP, le collecteur effectue l'une des actions suivantes sur les fichiers:
Fichier dynamique FTP
Nom d'utilisateur
Entrez le nom d'utilisateur pour vous connecter au serveur FTP.
Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via FTP.
Remarque: vous devez configurer la source du journal en tant que serveur FTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client FTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal.
Les différences entre le fichier dynamique FTP et le fichier statique FTP sont les suivantes:
Mot de passe
Saisissez le mot de passe de l'utilisateur.
Chemin du fichier
Entrez le chemin des fichiers journaux. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur FTP. Un astérisque (*) peut être utilisé comme caractère générique.
Le chemin du fichier ne prend pas en charge les sous-répertoires. Le fichier journal spécifique doit être spécifié, par exemple, /var/log/log*.log
Fichier statique local
Suffixe de fichier
Entrez le type de fichiers journaux à collecter. La valeur peut être complète ou partielle de l'extension de nom de fichier.
Le mode de collecte doit être défini si le collecteur collecte des fichiers dans un répertoire local.
Chemin du fichier
Entrez le chemin du fichier journal à collecter, tel que /var/log/suse.log. Pour rechercher les fichiers journaux créés par heure ou par taille, utilisez le caractère générique astérisque (*) pour spécifier tous les fichiers journaux qualifiés. Par exemple, si les journaux d'un certain type sont stockés dans logA. log d'abord, puis dans logB.log une fois que logA.log est plein, puis à nouveau dans logA.log (anciens journaux remplacés) une fois que logB.log est plein, entrez /var/log/log*.log.
WMI
Nom d'utilisateur
Cet élément ne convient qu'à l'hôte qui exécute le système d'exploitation Windows. Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via WMI.
Remarque: vous devez démarrer le service Windows Management Instrumentation et activer la stratégie d'audit pour le système d'exploitation Windows.
Mot de passe
Saisissez le mot de passe associé au nom d'utilisateur .
Type de fichier journal
Sélectionnez le type de fichier journal à auditer.
Base de données
Type de base de données
Sélectionnez le type de base de données, qui peut être MySQL et SQLServer.
Lorsque l' eLog obtient les informations d'identité CDR de la base de données, vous devez définir le mode de collecte.
Exigences: Vous devez activer les deux commutateurs pour collecter les données sur l' eLog (dans cet exemple, le logiciel est installé dans le chemin par défaut / opt / huawei / LogCenter .
Port
Entrez le numéro de port de la base de données.
Utilisez le numéro de port réel de la base de données.
Nom de la base de données
Entrez le nom de la base de données.
Identifiant Mot de passe
Entrez le nom d'utilisateur et le mot de passe de la base de données.
Nom de la table
Entrez le nom de la table de données.
Obtenir des champs de table
Après avoir confirmé que les informations précédentes sont correctes, cliquez sur Obtenir les champs de table . L' eLog extrait les champs de la table de la base de données et les affiche. Vous devez faire correspondre manuellement les noms de paramètre avec les noms de champ dans la zone de liste déroulante, puis sélectionner les informations de champ obligatoires.
Définissez le mode de collecte sur SYSLOG et le port sur 514 .
Commutateur 1
Chemin du fichier: /opt/huawei/LogCenter/components/jdbcService/etc/jdbc.xml
Remplacez la valeur ONLINE dans le fichier par true .
<ONLINE value = " true " />
Commutateur 2
Chemin du fichier: /opt/huawei/LogCenter/engineering/hmonitor/conf/hmonitor.xml
Modifiez la valeur de l' archivage du fichier sur yes .
<check> yes </check>
Si l'hôte pour l'audit se trouve dans un domaine, le format du nom d'utilisateur est "nom de domaine \ nom d'utilisateur".
Si l'hôte pour l'audit n'est pas dans un domaine, le format du nom d'utilisateur est "nom d'hôte \ nom d'utilisateur".
Le chemin d'accès au fichier spécifié pour le fichier dynamique FTP ne prend pas en charge les sous-dossiers. Par conséquent, le nom spécifique du fichier journal doit être inclus dans le chemin. Le collecteur collecte uniquement la section ajoutée dans le fichier journal.
Le Chemin du fichier spécifié pour FTP statique fichier des sous - dossiers de soutien. Par conséquent, vous pouvez spécifier un certain dossier comme chemin de fichier. Le collecteur collecte les fichiers ajoutés dont les noms contiennent la valeur spécifiée dans Tout ou partie du nom de fichier dans ce dossier. Une fois que le collecteur a obtenu les fichiers de ce dossier, vous pouvez configurer pour conserver ou supprimer les fichiers.
Supprimer les fichiers originaux: supprime les fichiers originaux du serveur FTP.
Conserver les fichiers originaux: conserve les fichiers originaux sur le serveur FTP.
La source de journal sert de serveur et authentifie le collecteur via le nom d'utilisateur et le mot de passe.
Le collecteur sert de client et authentifie le serveur via la clé publique du serveur. Pour plus de détails, voir Scénario 2: Configuration du client SFTP pour effectuer une authentification de sécurité sur le serveur .
CC : mode Carbon Copy. Dans ce mode, la source de journal envoie des paquets RADIUS au collecteur.
CC-ACK : mode Carbon Copy avec acquittement. Une fois que l' eLog a reçu un paquet RADIUS d'une source de journal, il envoie un paquet ACK en réponse pour une transmission d'informations fiable.
Cliquez sur Terminer .