- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-Agent日誌采集典型配置
本章節下載: 01-Agent日誌采集典型配置 (1.34 MB)
H3C SecCenter CSAP-SA係列 綜合日誌審計平台
Agent日誌采集典型配置
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹綜合日誌審計平台Agent日誌采集功能的配置案例。Agent采集指用戶終端linux服務器、windows 等係統無法主動發送日誌,需要在終端部署綜合日誌審計平台Agent組件,通過Agent組件將終端日誌發送至平台,平台進行進一步的數據處理。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解綜合日誌審計平台的相關特性。
用戶期望將終端資產日誌接入至綜合日誌審計平台,其中終端資產與綜合日誌審計平台管理口在同一網絡。
配置順序如下:
(1) 綜合日誌審計平台下載Agent終端軟件
(2) 用戶終端資產安裝Agent軟件。
(3) 綜合日誌審計平台驗證終端上線,日誌正常采集。
(4) 可選,根據實際業務需要,配置Agent采集數據庫日誌。
(5) 可選,根據實際業務需要,配置Agent采集文件操作日誌。
(6) 可選,根據實際業務需要,配置Agent采集注冊表事件日誌
(7) 可選,根據實際業務需要,配置Agent采集自定義文件日誌
本舉例基於綜合日誌審計平台E1901版本及配套Agent 1.0.26版本驗證。
· 在配置之前確保路由可達。
· 管理PC、IPS、綜合日誌審計管理地址路由可達。
· 保證終端設備與綜合審計平台係統時間一致,否則可能造成分析不準確。當係統時間相差24h以上時,綜合日誌審計平台將丟棄該類日誌。
· Agent啟用63443(TCP)服務端口,平台(日誌采集節點)啟用8988(TCP)、8998(TCP)、9002(TCP)和514(UDP)服務端口,Agent和平台通過上述端口進行通信,如果兩者之間存在防火牆等設備,則需要將上述端口正常放行。
· Agent啟動後,如果連續6次注冊失敗,則不會再自動注冊,用戶需要排查注冊失敗原因,並在修複完問題後,重啟Agent。
(1) 確認日誌源與綜合日誌審計平台係統時間一致。
a. 登錄綜合日誌審計平台,【配置中心>全局設置>時間管理】查看當前係統時間。
b. 登錄終端設備,查看當前係統時間。
c. 若不一致,請以其中一方為基準,在上步配置界麵進行時間校正。
(2) 登錄綜合日誌審計平台,點擊【配置中心>數據源管理>Agent管理】,點擊“Agent下載”頁簽,點擊“幫助文件-文檔下載”下載“Agent使用指導手冊.pdf”。用於指導Agent安裝
(3) “Agent下載”欄選擇終端係統對應的Agent軟件包,下載過程中選擇采集器IP為管理口 IP地址。注意,若終端設備通過平台其它采集口采集,則選擇對應采集口地址。
(4) 在終端設備上完成Agent軟件安裝,並通過驗證配置可在綜合日誌平台上查看到Agent信息。
a. Windows版本Agent安裝
¡ 首先將Windows版本Agent安裝包下載至待安裝的主機上,解壓安裝包並進入文件夾。
¡ 運行安裝.exe文件,進行Agent安裝,Agent可以安裝成功
b. Linux版本Agent安裝
Linux32位Agent、Linux64位Agent安裝方法相同,本例以安裝Linux64位Agent為例。
¡ 首先將Linux64位的Agent安裝包下載並上傳至待安裝Linux主機任一目錄,如/opt目錄
¡ 執行命令tar -zxvf logagent-x86-linux-64-1.0.26-186.64.101.24.tar.gz進行解壓。
¡ 安裝包解壓後,進入解壓後的文件夾logAgent,執行命令:./install.sh 進行Agent安裝,默認安裝路徑:/usr/local/logAgent。安裝步驟如下
(5) 完成以上步驟後,Agent可采集係統基本日誌,如CPU、內存使用率等。如需指定特定日誌采集,可繼續如下步驟。
Agent可以定時采集已配置數據庫的日誌信息,用戶主機部署數據庫服務,如果存在采集數據庫日誌的需求,則需要進行該項配置。配置步驟如下:
(1) 終端部署Agent並注冊至平台。然後登錄綜合日誌審計平台。
(2) 點擊【配置中心 > 數據源管理 > Agent管理】,在Agent管理列表可以查看到注冊的Agent信息。
(3) 點擊要配置數據庫日誌采集服務的Agent操作列的<配置>按鈕,進入 “配置Agent管理”頁麵,選擇 “數據庫”頁簽。
平台支持配置MySQL、SQLServer、DB2、Oracle、MongDB數據庫日誌采集服務,本例以配置MySQL數據庫日誌采集服務為例。
(4) 在【配置中心 > 數據源管理 > Agent管理 > 數據庫】頁麵,點擊<新增>按鈕,彈出 “新增數據庫配置”頁麵
參數說明:
· 數據庫類型:缺省配置為mysql
· 端口號:缺省配置為3306
· 用戶名:配置為root
· 密 碼:配置root對應的密碼
填寫頁麵必填項信息,點擊<確認>按鈕完成操作。數據庫配置添加成功。
Agent支持采集關鍵文件/關鍵文件夾下的文件變更操作日誌,用戶如果需要采集某些關鍵文件變更的操作日誌,則需要進行該項配置。配置步驟如下:
(1) 首先注冊Agent至平台,然後登錄綜合日誌審計平台。
(2) 點擊【配置中心 > 數據源管理 > Agent管理】,在Agent管理列表可以查看到注冊的Agent信息。
(3) 點擊要配置文件操作日誌采集服務的Agent操作列的<配置>按鈕,進入 “配置Agent管理”頁麵,選擇 “關鍵文件”頁簽。
(4) 點擊<新增>按鈕,在“文件路徑”下填寫文件路徑信息,點擊<保存>按鈕完成操作,關鍵文件記錄配置完成。
Agent支持采集關鍵注冊表的變更操作日誌,用戶如果需要采集某些關鍵注冊表變更的操作日誌,則需要進行該項配置。配置步驟如下:
(1) 首先注冊Agent至平台,然後登錄綜合日誌審計平台。
(2) 點擊【配置中心 > 數據源管理 > Agent管理】在Agent管理列表可以查看到注冊的Agent信息。
(3) 點擊要配置關鍵注冊表操作日誌采集服務的Agent操作列的<配置>按鈕,進入 “配置Agent管理”頁麵選擇 “關鍵注冊表”頁簽。
(4) 點擊<新增>按鈕,在“注冊表路徑”下填寫注冊表路徑信息,點擊<保存>按鈕完成操作,關鍵注冊表記錄配置完成。
Agent支持采集主機上自定義文件中的日誌內容,用戶如果需要采集某自定義文件中的日誌內容,則需要進行該項配置。配置步驟如下:
(1) 首先注冊Agent至平台,然後登錄綜合日誌審計平台。
(2) 點擊【配置中心 > 數據源管理 > Agent管理】,在Agent管理列表可以查看到注冊的Agent信息。
(3) 點擊要配置自定義文件日誌采集服務的Agent操作列的<配置>按鈕,進入 “配置Agent管理”頁麵,選擇 “自定義文件”頁簽。
(4) 點擊<新增>按鈕,在“自定義文件”下填寫自定義文件路徑信息,點擊<保存>按鈕完成操作,自定義文件配置完成。
參數說明及注意事項:
(1)文件路徑:若需采集某文件夾下的所有自定義文件日誌,需在文件夾路徑後加*號表示采集全部,如/home/*;如需采集某個具體文件的自定義文件日誌,寫法為該文件的全路徑,如/home/test.txt。
(2)讀取方式:包括“追加讀取”和 “從頭讀取”。追加讀取表示隻采集添加該配置後文件中新增的信息;從頭表示采集該文件中所有的信息,默認選中 “追加讀取”。
(1) Agent終端自動上線驗證
登錄綜合審計平台,點擊【配置中心>數據源管理>Agent管理】,點擊“Agent管理”頁簽,可查看Agent終端已自動上線。Agent狀態為“在線”狀態。
(2) Agent上報日誌驗證
進入【日誌中心 >實時監控->資產類型】界麵,選擇“終端安全”下的Agent主機名稱,可查看終端設備上報日誌信息。點擊操作列詳情按鈕可以查看日誌報文詳情。
(3) Agent數據庫日誌采集驗證
操作Agent主機上的數據庫(如執行數據庫腳本)或等待一段時間,Agent會定時上報數據庫的性能監控日誌,產生日誌後,登錄綜合日誌審計平台,進入 【日誌中心 >全文檢索】 頁麵,選擇日誌類型為“數據庫日誌”,可以查看到對應的日誌記錄
(4) Agent關鍵文件日誌采集驗證
在Agent主機上,對已配置的關鍵文件路徑下的文件進行修改,產生文件修改日誌後,登錄綜合日誌審計平台,進入【日誌中心 >全文檢索】頁麵,選擇日誌類型為“終端係統日誌-文件操作日誌”,可以查看到對應的日誌記錄。
(5) Agent關鍵注冊表日誌采集驗證
在Agent主機上,對已配置的關鍵注冊表路徑下的注冊表進行修改,產生注冊表修改日誌後,登錄綜合日誌審計平台,進入【日誌中心 >全文檢索】頁麵,選擇日誌類型為“終端係統日誌-注冊表事件日誌”,可以查看到對應的日誌記錄。
(6) Agent自定義文件日誌采集驗證
在Agent主機上,對已配置的自定義文件路徑下的文件內容進行添加內容操作(至少添加2行),登錄綜合日誌審計平台,進入【日誌中心 >全文檢索】頁麵,選擇日誌類型為“終端係統日誌-其他終端係統日誌”,可以查看到對應的日誌記錄。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
