13-Agent管理典型配置举例
本章节下载: 13-Agent管理典型配置举例 (1.78 MB)
H3C安全威胁发现与运营管理平台
Agent管理典型配置举例
Copyright © 2021新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍H3C安全威胁发现与运营管理平台(以下简称CSAP平台)Agent管理功能的配置案例。
Agent 是一个日志采集代理,安装在主机上,用于采集操作系统自身的系统日志、采集部署在主机上的服务的日志,如数据库和中间件日志,另外,还可以采集到操作系统运行状态的日志,如CPU利用率日志、磁盘利用率日志。用户如果需要采集上述几种类型的日志,则可以参考以下进行配置。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
如图1所示, Agent部署在客户组网的终端主机Host中,来实现对终端主机上产生的操作系统日志、部署在主机上的数据库日志以及中间件日志进行采集;
· CSAP平台下载Agent软件
· 安装Agent软件并注册至平台
· 配置Agent采集数据库日志
· 配置Agent采集文件操作日志
· 配置Agent采集注册表事件日志
· 配置Agent采集自定义文件日志
本举例是在CSAP的E1143版本上进行配置和验证的。
管理PC、部署Agent的主机、CSAP管理平台路由可达。
· 配置前请确保管理PC、部署Agent的主机、CSAP管理平台路由可达。
· 下面步骤操作基于web页面配置操作。
(1) 登录CSAP平台,点击配置管理 > 数据来源 > Agent管理,点击“Agent下载”页签,进入“Agent下载”页面,如图2。
图2 Agent下载页面
(2) 点击各版本的下载链接,可以进行Agent软件下载,Agent版本有:Linux32位版本、Linux64位版本、Windows版本、Solaris版本,根据客户需要部署Agent主机的操作系统进行选择对应版本下载。在下载使选择需要注入的采集器IP地址,用于Agent软件安装后直接注册到对应采集器上。
图3 选择采集器IP
(3) 下载Agent软件后,从下载列表进行软件下载至本地。
图4 下载Agent至本地
(1) Windows版本Agent安装
首先将Windows版本Agent安装包下载至待安装的主机上,解压安装包并进入文件夹。
图5 解压后的Agent安装包
运行安装程序“log-agent-1.0.13.exe”,进行Agent安装,Agent可以安装成功。
图6 Agent安装完成
(2) Linux/Solaris版本Agent安装
Linux32位Agent、Linux64位Agent、Solaris版本Agent安装方法相同,本例以安装Linux64位Agent为例。
首先将Linux64位的Agent安装包下载并上传至待安装Linux主机任一目录,如/opt目录,然后执行命令<tar –zxvf 待解压包名 >进行解压。
图7 解压Linux64位安装包
安装包解压后,进入解压后的文件夹logagent,执行命令:./install.sh 进行Agent安装,默认安装路径:/usr/local/logagent。安装步骤如图8
图8 安装Agent
Agent可以定时采集已配置数据库的日志信息,用户如果存在采集数据库日志的需求,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,且Agent主机已部署数据库服务。然后登录CSAP平台
(2) 点击“配置管理 > 数据来源 > Agent管理”,在Agent管理列表可以查看到注册的Agent信息
(3) 点击要配置数据库日志采集服务的Agent操作列的<配置>按钮,进入“配置Agent管理”页面,选择 “数据库”页签。
图9 数据库配置页面
平台支持配置MySQL、SQLServer、DB2、Oracle、MongDB数据库日志采集服务,本例以配置MySQL数据库日志采集服务为例。
在配置Agent管理 > 数据库页面,点击<添加>按钮,弹出 “添加数据库配置”页面。
图10 添加数据库配置
· 数据库类型:配置为mysql
· 端口号:配置为3306
· 用户名:配置为root
· 密 码:配置root对应的密码
填写页面必填项信息,点击<确认>按钮完成操作。数据库配置添加成功。
图11 配置数据库
Agent支持采集关键文件/关键文件夹下的文件变更操作日志,用户如果需要采集某些关键文件变更的操作日志,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录CSAP平台。
(2) 点击配置管理 > 数据来源 > Agent管理,在Agent管理列表可以查看到注册的Agent信息
(3) 点击要配置文件操作日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “关键文件”页签。
图12 配置关键文件
(4) 点击<添加>按钮,弹出 “添加关键文件配置” 页面,填写文件路径信息,点击<确认>按钮完成操作,关键文件记录配置完成。如图13
图13 配置关键文件
Agent支持采集关键注册表的变更操作日志,用户如果需要采集某些关键注册表变更的操作日志,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录CSAP平台。
(2) 点击配置管理 > 数据来源 > Agent管理在Agent管理列表可以查看到注册的Agent信息。
(3) 点击要配置关键注册表操作日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面选择 “关键注册表”页签。
图14 关键注册表列表
(4) 点击<添加>按钮,弹出 “添加关键注册表配置” 页面,填写注册表路径信息,点击<确认>按钮完成操作,关键注册表记录配置完成。如图15
图15 配置关键注册表
Agent支持采集主机上自定义文件中的日志内容,用户如果需要采集某自定义文件中的日志内容,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录CSAP平台。
(2) 点击配置管理 > 数据来源 > Agent管理,在Agent管理列表可以查看到注册的Agent信息
(3) 点击要配置自定义文件日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “自定义文件”页签。
图16 自定义文件配置
点击<添加>按钮,弹出 “添加自定义文件配置” 页面,填写自定义文件路径信息,点击<确认>按钮完成操作,自定义文件配置完成。
图17 配置自定义文件
· 文件路径:若需采集某文件夹下的所有自定义文件日志,需在文件夹路径后加*号表示采集全部,如/home*;如需采集某个具体文件的自定义文件日志,写法为该文件的全路径,如/home/test.txt。
· 读取方式:包括“追加读取”和 “从头读取”。追加读取表示只采集添加该配置后文件中新增的信息;从头表示采集该文件中所有的信息,默认选中 “追加读取”。
以上配置完成后,可以查看以下进行验证
(1) Agent安装成功后可以自动注册到CSAP平台。
图18 Windows版本Agent注册至平台
图19 Linux版本Agent注册到平台
(2) 进入 日志中心 > 终端系统日志 页面,可以查看到Agent上报的对应日志记录。
图20 终端系统日志
(3) 操作Agent主机上的数据库(如执行数据库脚本)或等待一段时间,Agent会定时上报数据库的运行时长日志,产生日志后,登录CSAP平台,进入 日志中心 > 数据库日志 页面,可以查看到对应的日志记录。
图21 数据库日志
(4) 在Agent主机上,对已配置的关键文件路径下的文件进行修改,产生文件修改日志后,登录CSAP平台,进入 日志中心 > 终端系统日志 > 文件操作日志 页面,可以查看到对应的日志记录。
图22 文件操作日志
(5) 在Agent主机上,对已配置的关键注册表路径下的注册表进行修改,产生注册表修改日志后,登录CSAP平台,进入 日志中心 > 终端系统日志 > 注册表事件日志页面,可以查看到对应的日志记录,如图23:
图23 注册表事件日志
(6) 在Agent主机上,对已配置的自定义文件路径下的文件内容进行添加内容操作(至少添加2行),登录CSAP平台,进入日志中心 > 终端系统日志 > 其他日志页面,可以查看到对应的日志记录。
图24 其他日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!