j'ai compris

Collectionneur: Scénario 1: association d'une source de journal

publié il y a  2021-2-28 21:21:14 149 0 0 0 0

Scénario 1: association d'une source de journal

Vous pouvez ajouter une source de journal à l' eLog et l'associer à un collecteur.

  1. Choisissez Système > Gestion du système > Service .

  2. Cliquez en-us_image_0132318569.pngdevant Collector pour afficher l'état d'exécution du service de collecteur sur tous les hôtes.

    en-us_image_0132318682.png.

  3. Cliquez en-us_image_0132318680.pngdans la colonne Opération . La fenêtre de configuration du collecteur s'affiche.

    en-us_image_0132318573.png

  4. Cliquez sur Ajouter pour ajouter la source du journal associé. Cliquez sur Suivant pour associer la source du journal au collecteur.

    en-us_image_0132318689.png

    icon-note.gif REMARQUE:

    Cette page affiche uniquement les sources de journal qui ne sont associées à aucun collecteur.

  5. Définissez un mode de collecte de journaux pour la source de journal.

    L' eLog prend en charge la collecte de journaux à partir de sources de journaux. Le tableau suivant décrit les paramètres du mode de collecte des journaux.

    Tableau 1 Description des paramètres du mode de collecte

    Mode de collecte

    Description

    Exigences du scénario d'application

    SYSLOG

    Port

    Par défaut, le numéro de port 514 défini selon les normes internationales est utilisé. Ce port ne peut pas être modifié.

    Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format syslog.

    Remarque: vous devez activer la fonction d'envoi syslog sur les sources de journal. Pour plus de détails, reportez-vous aux manuels de configuration correspondants de ces sources de journal.

    REMARQUE:

    Lorsque le mode SYSLOG est utilisé pour collecter les journaux, l'authentification par certificat n'est pas implémentée pour le processus de transmission. Comparé au mode SECURITYSYSLOG, le mode SYSLOG offre des performances plus élevées mais une sécurité moindre.

    SÉCURITÉ

    Port

    Par défaut, le numéro de port 6514 défini selon les normes internationales est utilisé. Ce port ne peut pas être modifié.

    Ce mode de collecte est sélectionné pour l'établissement de la confiance mutuelle à l'aide du mécanisme de certificat pour la transmission sécurisée des journaux système depuis les sources de journal vers le collecteur.

    Le mode SECURITYSYSLOG offre une meilleure sécurité.

    Lors de l'installation du collecteur, un fichier de certificat est généré dans opt / huawei / LogCenter / components / collector / etc / conf / decrypt . Ce certificat est utilisé pour la transmission sécurisée des journaux entre les sources de journal et le collecteur.

    Vous devez télécharger le certificat à partir du répertoire ci-dessus sur le collecteur et configurer la fonction d'envoi syslog sur chaque source de journal. Pour plus de détails, reportez-vous aux manuels de configuration de ces sources de journal.

    SESSION

    Port

    Par défaut, le numéro de port non standard 9002 est utilisé. Ce port ne peut pas être modifié.

    Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format binaire.

    Remarque: vous devez activer la fonction d'envoi binaire sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.

    Décrypter

    Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité.

    La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.

    NETFLOWSESSION

    Port

    Par défaut, le numéro de port non standard 9996 est utilisé. Ce port ne peut pas être modifié.

    Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format Netflow.

    Remarque: vous devez activer la fonction d'envoi netflow sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.

    Décrypter

    Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité.

    La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.

    FLUX DE DONNÉES

    Port

    Par défaut, le numéro de port non standard 9903 est utilisé. Ce port ne peut pas être modifié.

    Sélectionnez cet élément si les sources de journal sont requises pour envoyer les journaux au collecteur au format de flux de données.

    Remarque: vous devez activer la fonction d'envoi de flux de données sur les sources de journal. Pour plus de détails, reportez-vous au manuel de configuration de chaque source de journal.

    Décrypter

    Cette option est sélectionnée si les sources de journal envoient des journaux chiffrés au collecteur. La clé de cryptage est également utilisée pour le décryptage. Il est recommandé de changer périodiquement la clé de cryptage pour améliorer la sécurité.

    La transmission non cryptée offre des performances élevées et la transmission cryptée garantit une sécurité élevée.

    RAYON

    Port

    Par défaut, le numéro de port non standard 1813 est utilisé. Ce port ne peut pas être modifié.

    Si une source de journal envoie des paquets RADIUS au collecteur, ajoutez la source de journal en associant l'identité à la source de données et sélectionnez ce mode de collecte.

    Remarque: vous devez configurer la source du journal pour envoyer des paquets RADIUS. Pour plus de détails, reportez-vous au manuel de configuration de la source de journal.

    REMARQUE:

    Si une source de journal envoie à la fois des paquets RADIUS et des syslog (ou des paquets d'autres formats) au collecteur, ajoutez la source de journal en associant l'identité à la source de données et en fonction du type de périphérique réel et associez les formats de journal correspondants au collecteur.

    Mode d'envoi


    Clé privée

    Il n'est valide qu'en mode CC-ACK . La clé privée fournie par une source de journal est ajoutée à eLog en fonction de l'exigence de source de journal.

    Analyser le proxy

    Il n'est valide qu'en mode CC-ACK . Différents types de sources de journal fournissent des journaux de différents formats. Vous pouvez déterminer s'il faut activer l' eLog pour analyser ce champ en fonction des conditions de source de journal.

    Fichier dynamique SFTP

    Nom d'utilisateur

    Entrez le nom d'utilisateur pour vous connecter au serveur SFTP.

    Sélectionnez cet élément si le collecteur obtient les journaux des hôtes ou des serveurs via SFTP.

    Remarque: vous devez configurer la source de journal en tant que serveur SFTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client SFTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal.

    SFTP nécessite une authentification bidirectionnelle. Sinon, la connexion peut échouer.

    Mot de passe

    Saisissez le mot de passe de l'utilisateur.

    Chemin du fichier

    Entrez le chemin des fichiers journaux. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur SFTP. Un astérisque (*) peut être utilisé comme caractère générique.

    Fichier statique FTP

    Nom d'utilisateur

    Entrez le nom d'utilisateur pour vous connecter au serveur FTP.

    Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via FTP.

    Remarque: vous devez configurer la source du journal en tant que serveur FTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client FTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal.

    Avant de supprimer un fichier du serveur FTP, configurez une autorisation d'écriture pour le compte FTP.

    Mot de passe

    Saisissez le mot de passe de l'utilisateur.

    Chemin du fichier

    Entrez le chemin du fichier à collecter. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur FTP. L'astérisque (*) ne peut pas être utilisé comme caractère générique.

    Le chemin de fichier prend en charge les sous-répertoires. Le chemin du fichier peut être spécifié dans le répertoire du fichier à collecter, par exemple / var / log / .

    Tout ou partie du nom du fichier

    Saisissez le nom complet ou partiel du fichier à collecter. Dans ce cas, le collecteur collecte les fichiers dont les noms contiennent Tout ou partie du nom de fichier dans le répertoire Chemin du fichier .

    Après avoir obtenu des fichiers

    Après avoir obtenu des fichiers via FTP, le collecteur effectue l'une des actions suivantes sur les fichiers:

    Fichier dynamique FTP

    Nom d'utilisateur

    Entrez le nom d'utilisateur pour vous connecter au serveur FTP.

    Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via FTP.

    Remarque: vous devez configurer la source du journal en tant que serveur FTP et spécifier le chemin d'enregistrement des fichiers journaux. En tant que client FTP, le collecteur obtient périodiquement les fichiers journaux à partir des sources de journal.

    Les différences entre le fichier dynamique FTP et le fichier statique FTP sont les suivantes:

    Mot de passe

    Saisissez le mot de passe de l'utilisateur.

    Chemin du fichier

    Entrez le chemin des fichiers journaux. Le chemin est celui des fichiers journaux par rapport au répertoire racine du serveur FTP. Un astérisque (*) peut être utilisé comme caractère générique.

    Le chemin du fichier ne prend pas en charge les sous-répertoires. Le fichier journal spécifique doit être spécifié, par exemple, /var/log/log*.log

    Fichier statique local

    Suffixe de fichier

    Entrez le type de fichiers journaux à collecter. La valeur peut être complète ou partielle de l'extension de nom de fichier.

    Le mode de collecte doit être défini si le collecteur collecte des fichiers dans un répertoire local.

    Chemin du fichier

    Entrez le chemin du fichier journal à collecter, tel que /var/log/suse.log. Pour rechercher les fichiers journaux créés par heure ou par taille, utilisez le caractère générique astérisque (*) pour spécifier tous les fichiers journaux qualifiés. Par exemple, si les journaux d'un certain type sont stockés dans logA. log d'abord, puis dans logB.log une fois que logA.log est plein, puis à nouveau dans logA.log (anciens journaux remplacés) une fois que logB.log est plein, entrez /var/log/log*.log.

    WMI

    Nom d'utilisateur


    Cet élément ne convient qu'à l'hôte qui exécute le système d'exploitation Windows. Sélectionnez cet élément si le collecteur obtient volontairement les journaux des hôtes ou des serveurs via WMI.

    Remarque: vous devez démarrer le service Windows Management Instrumentation et activer la stratégie d'audit pour le système d'exploitation Windows.

    Mot de passe

    Saisissez le mot de passe associé au nom d'utilisateur .

    Type de fichier journal

    Sélectionnez le type de fichier journal à auditer.

    Base de données

    Type de base de données

    Sélectionnez le type de base de données, qui peut être MySQL et SQLServer.

    Lorsque l' eLog obtient les informations d'identité CDR de la base de données, vous devez définir le mode de collecte.

    Exigences: Vous devez activer les deux commutateurs pour collecter les données sur l' eLog (dans cet exemple, le logiciel est installé dans le chemin par défaut / opt / huawei / LogCenter .

    Port

    Entrez le numéro de port de la base de données.

    Utilisez le numéro de port réel de la base de données.

    Nom de la base de données

    Entrez le nom de la base de données.

    Identifiant Mot de passe

    Entrez le nom d'utilisateur et le mot de passe de la base de données.

    Nom de la table

    Entrez le nom de la table de données.

    Obtenir des champs de table

    Après avoir confirmé que les informations précédentes sont correctes, cliquez sur Obtenir les champs de table . L' eLog extrait les champs de la table de la base de données et les affiche. Vous devez faire correspondre manuellement les noms de paramètre avec les noms de champ dans la zone de liste déroulante, puis sélectionner les informations de champ obligatoires.

    Définissez le mode de collecte sur SYSLOG et le port sur 514 .

    en-us_image_0132318582.png

  • Commutateur 1

    Chemin du fichier: /opt/huawei/LogCenter/components/jdbcService/etc/jdbc.xml

    Remplacez la valeur ONLINE dans le fichier par true .

    <ONLINE value = " true " />
  • Commutateur 2

    Chemin du fichier: /opt/huawei/LogCenter/engineering/hmonitor/conf/hmonitor.xml

    Modifiez la valeur de l' archivage du fichier sur yes .

    <check> yes </check>
  • Si l'hôte pour l'audit se trouve dans un domaine, le format du nom d'utilisateur est "nom de domaine \ nom d'utilisateur".

  • Si l'hôte pour l'audit n'est pas dans un domaine, le format du nom d'utilisateur est "nom d'hôte \ nom d'utilisateur".

  • Le chemin d'accès au fichier spécifié pour le fichier dynamique FTP ne prend pas en charge les sous-dossiers. Par conséquent, le nom spécifique du fichier journal doit être inclus dans le chemin. Le collecteur collecte uniquement la section ajoutée dans le fichier journal.

  • Le Chemin du fichier spécifié pour FTP statique fichier des sous - dossiers de soutien. Par conséquent, vous pouvez spécifier un certain dossier comme chemin de fichier. Le collecteur collecte les fichiers ajoutés dont les noms contiennent la valeur spécifiée dans Tout ou partie du nom de fichier dans ce dossier. Une fois que le collecteur a obtenu les fichiers de ce dossier, vous pouvez configurer pour conserver ou supprimer les fichiers.

  • Supprimer les fichiers originaux: supprime les fichiers originaux du serveur FTP.

  • Conserver les fichiers originaux: conserve les fichiers originaux sur le serveur FTP.

  • La source de journal sert de serveur et authentifie le collecteur via le nom d'utilisateur et le mot de passe.

  • Le collecteur sert de client et authentifie le serveur via la clé publique du serveur. Pour plus de détails, voir Scénario 2: Configuration du client SFTP pour effectuer une authentification de sécurité sur le serveur .

  • CC : mode Carbon Copy. Dans ce mode, la source de journal envoie des paquets RADIUS au collecteur.

  • CC-ACK : mode Carbon Copy avec acquittement. Une fois que l' eLog a reçu un paquet RADIUS d'une source de journal, il envoie un paquet ACK en réponse pour une transmission d'informations fiable.

Cliquez sur Terminer .


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.