Collectionneur: Scénario 1: association d'une source de journal

Scénario 1: association d'une source de journal

Vous pouvez ajouter une source de journal à l' eLog et l'associer à un collecteur.

1. Choisissez Système > Gestion du système > Service .

2. Cliquez devant Collector pour afficher l'état d'exécution du service de collecteur sur tous les hôtes.

   .

3. Cliquez dans la colonne Opération . La fenêtre de configuration du collecteur s'affiche.

   

4. Cliquez sur Ajouter pour ajouter la source du journal associé. Cliquez sur Suivant pour associer la source du journal au collecteur.

   

    REMARQUE:

   Cette page affiche uniquement les sources de journal qui ne sont associées à aucun collecteur.

5. Définissez un mode de collecte de journaux pour la source de journal.

   L' eLog prend en charge la collecte de journaux à partir de sources de journaux. Le tableau suivant décrit les paramètres du mode de collecte des journaux.

   Tableau 1 Description des paramètres du mode de collecte

   Mode de collecte		Description	Exigences du scénario d'application
   SYSLOG	Port	Par défaut, le numéro de port 514 défini selon les normes internationales est utilisé. Ce port ne peut pas être modifié.	Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format syslog. Remarque: vous devez activer la fonction d'envoi syslog sur les sources de journal. Pour plus de détails, reportez-vous aux manuels de configuration correspondants de ces sources de journal. REMARQUE: Lorsque le mode SYSLOG est utilisé pour collecter les journaux, l'authentification par certificat n'est pas implémentée pour le processus de transmission. Comparé au mode SECURITYSYSLOG, le mode SYSLOG offre des performances plus élevées mais une sécurité moindre.
   SÉCURITÉ	Port	Par défaut, le numéro de port 6514 défini selon les normes internationales est utilisé. Ce port ne peut pas être modifié.	Ce mode de collecte est sélectionné pour l'établissement de la confiance mutuelle à l'aide du mécanisme de certificat pour la transmission sécurisée des journaux système depuis les sources de journal vers le collecteur. Le mode SECURITYSYSLOG offre une meilleure sécurité. Lors de l'installation du collecteur, un fichier de certificat est généré dans / opt / huawei / LogCenter / components / collector / etc / conf / decrypt . Ce certificat est utilisé pour la transmission sécurisée des journaux entre les sources de journal et le collecteur. Vous devez télécharger le certificat à partir du répertoire ci-dessus sur le collecteur et configurer la fonction d'envoi syslog sur chaque source de journal. Pour plus de détails, reportez-vous aux manuels de configuration de ces sources de journal.
   SESSION	Port	Par défaut, le numéro de port non standard 9002 est utilisé. Ce port ne peut pas être modifié.	Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format binaire. Remarque: vous devez activer la fonction d'envoi binaire sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.
   	Décrypter	Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité. La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.
   NETFLOWSESSION	Port	Par défaut, le numéro de port non standard 9996 est utilisé. Ce port ne peut pas être modifié.	Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format Netflow. Remarque: vous devez activer la fonction d'envoi netflow sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.
   	Décrypter	Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité. La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.
   FLUX DE DONNÉES	Port	Par défaut, le numéro de port non standard 9903 est utilisé. Ce port ne peut pas être modifié.	Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format de flux de données. Remarque: vous devez activer la fonction d'envoi de flux de données sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.
   	Décrypter	Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité. La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.
   RAYON	Port	Par défaut, le numéro de port non standard 1813 est utilisé. Ce port ne peut pas être modifié.	Si une source de journal envoie des paquets RADIUS au collecteur, ajoutez la source de journal en associant l'identité à la source de données et sélectionnez ce mode de collecte. Remarque: vous devez configurer la source du journal pour envoyer des paquets RADIUS. Pour plus de détails, reportez-vous au manuel de configuration de la source de journal. REMARQUE: Si une source de journal envoie à la fois des paquets RADIUS et des syslog (ou des paquets d'autres formats) au collecteur, ajoutez la source de journal en associant l'identité à la source de données et en fonction du type de périphérique réel et associez les formats de journal correspondants au collecteur.
   	Mode d'envoi
   	Clé privée	Il n'est valide qu'en mode CC-ACK . La clé privée fournie par une source de journal est ajoutée à eLog en fonction de l'exigence de source de journal.
   	Analyser le proxy	Il n'est valide qu'en mode CC-ACK . Différents types de sources de journal fournissent des journaux de différents formats. Vous pouvez déterminer s'il faut activer l' eLog pour analyser ce champ en fonction des conditions de source de journal.
   Fichier dynamique SFTP	Nom d'utilisateur	Entrez le nom d'utilisateur pour vous connecter au serveur SFTP.	Sélectionnez cet élément si le collecteur obtient les journaux des hôtes ou des serveurs via SFTP. Remarque: vous devez configurer la source de journal en tant que serveur SFTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client SFTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal. SFTP nécessite une authentification bidirectionnelle. Sinon, la connexion peut échouer.
   	Mot de passe	Saisissez le mot de passe de l'utilisateur.
   	Chemin du fichier	Entrez le chemin des fichiers journaux. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur SFTP. Un astérisque (*) peut être utilisé comme caractère générique.
   Fichier statique FTP	Nom d'utilisateur	Entrez le nom d'utilisateur pour vous connecter au serveur FTP.	Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via FTP. Remarque: vous devez configurer la source du journal en tant que serveur FTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client FTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal. Avant de supprimer un fichier du serveur FTP, configurez une autorisation d'écriture pour le compte FTP.
   	Mot de passe	Saisissez le mot de passe de l'utilisateur.
   	Chemin du fichier	Entrez le chemin du fichier à collecter. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur FTP. L'astérisque (*) ne peut pas être utilisé comme caractère générique. Le chemin de fichier prend en charge les sous-répertoires. Le chemin du fichier peut être spécifié dans le répertoire du fichier à collecter, par exemple / var / log / .
   	Tout ou partie du nom du fichier	Saisissez le nom complet ou partiel du fichier à collecter. Dans ce cas, le collecteur collecte les fichiers dont les noms contiennent Tout ou partie du nom de fichier dans le répertoire Chemin du fichier .
   	Après avoir obtenu des fichiers	Après avoir obtenu des fichiers via FTP, le collecteur effectue l'une des actions suivantes sur les fichiers:
   Fichier dynamique FTP	Nom d'utilisateur	Entrez le nom d'utilisateur pour vous connecter au serveur FTP.	Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via FTP. Remarque: vous devez configurer la source du journal en tant que serveur FTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client FTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal. Les différences entre le fichier dynamique FTP et le fichier statique FTP sont les suivantes:
   	Mot de passe	Saisissez le mot de passe de l'utilisateur.
   	Chemin du fichier	Entrez le chemin des fichiers journaux. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur FTP. Un astérisque (*) peut être utilisé comme caractère générique. Le chemin du fichier ne prend pas en charge les sous-répertoires. Le fichier journal spécifique doit être spécifié, par exemple, /var/log/log*.log
   Fichier statique local	Suffixe de fichier	Entrez le type de fichiers journaux à collecter. La valeur peut être complète ou partielle de l'extension de nom de fichier.	Le mode de collecte doit être défini si le collecteur collecte des fichiers dans un répertoire local.
   	Chemin du fichier	Entrez le chemin du fichier journal à collecter, tel que /var/log/suse.log. Pour rechercher les fichiers journaux créés par heure ou par taille, utilisez le caractère générique astérisque (*) pour spécifier tous les fichiers journaux qualifiés. Par exemple, si les journaux d'un certain type sont stockés dans logA. log d'abord, puis dans logB.log une fois que logA.log est plein, puis à nouveau dans logA.log (anciens journaux remplacés) une fois que logB.log est plein, entrez /var/log/log*.log.
   WMI	Nom d'utilisateur		Cet élément ne convient qu'à l'hôte qui exécute le système d'exploitation Windows. Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via WMI. Remarque: vous devez démarrer le service Windows Management Instrumentation et activer la stratégie d'audit pour le système d'exploitation Windows.
   	Mot de passe	Saisissez le mot de passe associé au nom d'utilisateur .
   	Type de fichier journal	Sélectionnez le type de fichier journal à auditer.
   Base de données	Type de base de données	Sélectionnez le type de base de données, qui peut être MySQL et SQLServer.	Lorsque l' eLog obtient les informations d'identité CDR de la base de données, vous devez définir le mode de collecte. Exigences: Vous devez activer les deux commutateurs pour collecter les données sur l' eLog (dans cet exemple, le logiciel est installé dans le chemin par défaut / opt / huawei / LogCenter .
   	Port	Entrez le numéro de port de la base de données. Utilisez le numéro de port réel de la base de données.
   	Nom de la base de données	Entrez le nom de la base de données.
   	Identifiant Mot de passe	Entrez le nom d'utilisateur et le mot de passe de la base de données.
   	Nom de la table	Entrez le nom de la table de données.
   	Obtenir des champs de table	Après avoir confirmé que les informations précédentes sont correctes, cliquez sur Obtenir les champs de table . L' eLog extrait les champs de la table de la base de données et les affiche. Vous devez faire correspondre manuellement les noms de paramètre avec les noms de champ dans la zone de liste déroulante, puis sélectionner les informations de champ obligatoires.

   Définissez le mode de collecte sur SYSLOG et le port sur 514 .

   

• Commutateur 1

  Chemin du fichier: /opt/huawei/LogCenter/components/jdbcService/etc/jdbc.xml

  Remplacez la valeur ONLINE dans le fichier par true .

  <ONLINE value = " true " />

• Commutateur 2

  Chemin du fichier: /opt/huawei/LogCenter/engineering/hmonitor/conf/hmonitor.xml

  Modifiez la valeur de l' archivage du fichier sur yes .

  <check> yes </check>

• Si l'hôte pour l'audit se trouve dans un domaine, le format du nom d'utilisateur est "nom de domaine \ nom d'utilisateur".

• Si l'hôte pour l'audit n'est pas dans un domaine, le format du nom d'utilisateur est "nom d'hôte \ nom d'utilisateur".

• Le chemin d'accès au fichier spécifié pour le fichier dynamique FTP ne prend pas en charge les sous-dossiers. Par conséquent, le nom spécifique du fichier journal doit être inclus dans le chemin. Le collecteur collecte uniquement la section ajoutée dans le fichier journal.

• Le Chemin du fichier spécifié pour FTP statique fichier des sous - dossiers de soutien. Par conséquent, vous pouvez spécifier un certain dossier comme chemin de fichier. Le collecteur collecte les fichiers ajoutés dont les noms contiennent la valeur spécifiée dans Tout ou partie du nom de fichier dans ce dossier. Une fois que le collecteur a obtenu les fichiers de ce dossier, vous pouvez configurer pour conserver ou supprimer les fichiers.

• Supprimer les fichiers originaux: supprime les fichiers originaux du serveur FTP.

• Conserver les fichiers originaux: conserve les fichiers originaux sur le serveur FTP.

• La source de journal sert de serveur et authentifie le collecteur via le nom d'utilisateur et le mot de passe.

• Le collecteur sert de client et authentifie le serveur via la clé publique du serveur. Pour plus de détails, voir Scénario 2: Configuration du client SFTP pour effectuer une authentification de sécurité sur le serveur .

• CC : mode Carbon Copy. Dans ce mode, la source de journal envoie des paquets RADIUS au collecteur.

• CC-ACK : mode Carbon Copy avec acquittement. Une fois que l' eLog a reçu un paquet RADIUS d'une source de journal, il envoie un paquet ACK en réponse pour une transmission d'informations fiable.

Cliquez sur Terminer .