- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-Agent管理典型配置
本章节下载: 18-Agent管理典型配置 (956.42 KB)
H3C安全威胁发现与运营管理平台
Agent管理典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍H3C安全威胁发现与运营管理平台(以下简称CSAP平台)Agent管理功能的配置案例。
Agent 是一个日志采集代理,安装在主机上,用于采集操作系统自身的系统日志、采集部署在主机上的服务的日志,如数据库和中间件日志,另外,还可以采集到操作系统运行状态的日志,如CPU利用率日志、磁盘利用率日志。用户如果需要采集上述几种类型的日志,则可以参考以下进行配置。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
如下图所示, Agent部署在客户组网的终端主机Host中,来实现对终端主机上产生的操作系统日志、部署在主机上的数据库日志以及中间件日志进行采集;
图1 组网图
· CSAP平台下载Agent软件
· 安装Agent软件并注册至平台
· 配置Agent采集数据库日志
· 配置Agent采集文件操作日志
· 配置Agent采集注册表事件日志
· 配置Agent采集自定义文件日志
本举例是在Agent的1.0.25版本,CSAP的E1148P05版本上进行配置和验证的。
管理PC、部署Agent的主机、CSAP管理平台路由可达
配置前请确保管理PC、部署Agent的主机、CSAP管理平台路由可达。
下面步骤操作基于web页面配置操作。
登录CSAP平台,点击系统设置 > 数据源配置 > Agent管理,点击“Agent下载”页签,进入“Agent下载”页面,如图2。
图2 Agent下载页面
点击各版本的下载链接,可以进行Agent软件下载,Agent版本有:Linux32位版本、Linux64位版本、Windows版本,根据客户需要部署Agent主机的操作系统进行选择对应版本下载。
下载Agent软件后,从下载列表进行软件下载至本地,如图3。
图3 下载Agent至本地
(1) Windows版本Agent安装
首先将Windows版本Agent安装包下载至待安装的主机上,解压安装包并进入文件夹,如图4
图4 解压后的Agent安装包
运行安装程序“log-agent-1.0.20.exe”,进行Agent安装,Agent可以安装成功,如图5
图5 Agent安装完成
(2) Linux版本Agent安装
Linux32位Agent、Linux64位Agent安装方法相同,本例以安装Linux64位Agent为例。
首先将Linux64位的Agent安装包下载并上传至待安装Linux主机任一目录,如/opt目录,然后执行命令<tar –zxvf 待解压包名 >进行解压,如图6
图6 解压Linux64位安装包
安装包解压后,进入解压后的文件夹logagent,执行命令:./install.sh 进行Agent安装,默认安装路径:/usr/local/logagent。安装步骤如图8
图7 安装Agent
Agent可以定时采集已配置数据库的日志信息,用户如果存在采集数据库日志的需求,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,且Agent主机已部署数据库服务。然后登录CSAP平台
(2) 点击系统设置 > 数据源配置 > Agent管理,在Agent管理列表可以查看到注册的Agent信息
(3) 点击要配置数据库日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “数据库”页签,如图8
图8 数据库配置页面
平台支持配置MySQL、SQLServer、DB2、Oracle、MongDB数据库日志采集服务,本例以配置MySQL数据库日志采集服务为例。
在配置Agent管理 > 数据库页面,点击<新增>按钮,弹出 “新增数据库配置”页面,如图9
图9 新增数据库配置
参数说明:
· 数据库类型:配置为MySQL
· 端口号:配置为3306
· 用户名:配置为root
· 密码:配置root对应的密码
填写页面必填项信息,点击<确认>按钮完成操作。数据库配置添加成功,如图11
图10 配置数据库
Agent支持采集关键文件/关键文件夹下的文件变更操作日志,用户如果需要采集某些关键文件变更的操作日志,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录CSAP平台
(2) 点击系统设置 > 数据源配置 > Agent管理,在Agent管理列表可以查看到注册的Agent信息
(3) 点击要配置文件操作日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “关键文件”页签,如图11
图11 配置关键文件
填写文件路径信息,点击<保存>按钮完成操作,关键文件记录配置完成。如图13
图12 配置关键文件
Agent支持采集关键注册表的变更操作日志,用户如果需要采集某些关键注册表变更的操作日志,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录CSAP平台
(2) 点击系统设置 > 数据源配置 > Agent管理,在Agent管理列表可以查看到注册的Agent信息
(3) 点击要配置关键注册表操作日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面选择 “关键注册表”页签,如图13
图13 关键注册表列表
填写注册表路径信息,点击<保存>按钮完成操作,关键注册表记录配置完成。如图14
图14 配置关键注册表
Agent支持采集主机上自定义文件中的日志内容,用户如果需要采集某自定义文件中的日志内容,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录CSAP平台
(2) 点击系统设置 > 数据源配置 > Agent管理,在Agent管理列表可以查看到注册的Agent信息
(3) 点击要配置自定义文件日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “自定义文件”页签,如图15
图15 自定义文件配置
填写自定义文件路径信息,点击<确认>按钮完成操作,自定义文件配置完成。如图16
图16 配置自定义文件
参数说明及注意事项:
· 文件路径:若需采集某文件夹下的所有自定义文件日志,需在文件夹路径后加*号表示采集全部,如/home*;如需采集某个具体文件的自定义文件日志,写法为该文件的全路径,如/home/test.txt。
· 读取方式:包括“追加读取”和 “从头读取”。追加读取表示只采集添加该配置后文件中新增的信息;从头表示采集该文件中所有的信息,默认选中 “追加读取”。
以上配置完成后,可以查看以下进行验证
(1) Agent安装成功后可以自动注册到CSAP平台,如图17、图18。
图17 Windows版本Agent注册至平台
图18 Linux版本Agent注册到平台
(2) 进入 分析中心>日志中心页面,过滤终端系统日志,可以查看到Agent上报的对应日志记录,如图19:
图19 终端系统日志
(3) 操作Agent主机上的数据库(如执行数据库脚本)或等待一段时间,Agent会定时上报数据库的运行时长日志,产生日志后,登录CSAP平台,进入 日志中心 > 数据库日志 页面,可以查看到对应的日志记录,如图20:
图20 数据库日志
(4) 在Agent主机上,对已配置的关键文件路径下的文件进行修改,产生文件修改日志后,登录CSAP平台,进入 分析中心>日志中心 > 终端系统日志 > 文件操作日志 页面,可以查看到对应的日志记录,如图21:
图21 文件操作日志
(5) 在Agent主机上,对已配置的关键注册表路径下的注册表进行修改,产生注册表修改日志后,登录CSAP平台,进入 分析中心>日志中心 > 终端系统日志 > 注册表事件日志页面,可以查看到对应的日志记录,如图22:
图22 注册表事件日志
(6) 在Agent主机上,对已配置的自定义文件路径下的文件内容进行添加内容操作(至少添加2行),登录CSAP平台,进入日志中心 > 终端系统日志 > 其他日志页面,可以查看到对应的日志记录,如图23
图23 其他日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
