- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-Agent日志采集典型配置
本章节下载: 01-Agent日志采集典型配置 (1.34 MB)
H3C SecCenter CSAP-SA系列 综合日志审计平台
Agent日志采集典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍综合日志审计平台Agent日志采集功能的配置案例。Agent采集指用户终端linux服务器、windows 等系统无法主动发送日志,需要在终端部署综合日志审计平台Agent组件,通过Agent组件将终端日志发送至平台,平台进行进一步的数据处理。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解综合日志审计平台的相关特性。
用户期望将终端资产日志接入至综合日志审计平台,其中终端资产与综合日志审计平台管理口在同一网络。
配置顺序如下:
(1) 综合日志审计平台下载Agent终端软件
(2) 用户终端资产安装Agent软件。
(3) 综合日志审计平台验证终端上线,日志正常采集。
(4) 可选,根据实际业务需要,配置Agent采集数据库日志。
(5) 可选,根据实际业务需要,配置Agent采集文件操作日志。
(6) 可选,根据实际业务需要,配置Agent采集注册表事件日志
(7) 可选,根据实际业务需要,配置Agent采集自定义文件日志
本举例基于综合日志审计平台E1901版本及配套Agent 1.0.26版本验证。
· 在配置之前确保路由可达。
· 管理PC、IPS、综合日志审计管理地址路由可达。
· 保证终端设备与综合审计平台系统时间一致,否则可能造成分析不准确。当系统时间相差24h以上时,综合日志审计平台将丢弃该类日志。
· Agent启用63443(TCP)服务端口,平台(日志采集节点)启用8988(TCP)、8998(TCP)、9002(TCP)和514(UDP)服务端口,Agent和平台通过上述端口进行通信,如果两者之间存在防火墙等设备,则需要将上述端口正常放行。
· Agent启动后,如果连续6次注册失败,则不会再自动注册,用户需要排查注册失败原因,并在修复完问题后,重启Agent。
(1) 确认日志源与综合日志审计平台系统时间一致。
a. 登录综合日志审计平台,【配置中心>全局设置>时间管理】查看当前系统时间。
b. 登录终端设备,查看当前系统时间。
c. 若不一致,请以其中一方为基准,在上步配置界面进行时间校正。
(2) 登录综合日志审计平台,点击【配置中心>数据源管理>Agent管理】,点击“Agent下载”页签,点击“帮助文件-文档下载”下载“Agent使用指导手册.pdf”。用于指导Agent安装
(3) “Agent下载”栏选择终端系统对应的Agent软件包,下载过程中选择采集器IP为管理口 IP地址。注意,若终端设备通过平台其它采集口采集,则选择对应采集口地址。
(4) 在终端设备上完成Agent软件安装,并通过验证配置可在综合日志平台上查看到Agent信息。
a. Windows版本Agent安装
¡ 首先将Windows版本Agent安装包下载至待安装的主机上,解压安装包并进入文件夹。
¡ 运行安装.exe文件,进行Agent安装,Agent可以安装成功
b. Linux版本Agent安装
Linux32位Agent、Linux64位Agent安装方法相同,本例以安装Linux64位Agent为例。
¡ 首先将Linux64位的Agent安装包下载并上传至待安装Linux主机任一目录,如/opt目录
¡ 执行命令tar -zxvf logagent-x86-linux-64-1.0.26-186.64.101.24.tar.gz进行解压。
¡ 安装包解压后,进入解压后的文件夹logAgent,执行命令:./install.sh 进行Agent安装,默认安装路径:/usr/local/logAgent。安装步骤如下
(5) 完成以上步骤后,Agent可采集系统基本日志,如CPU、内存使用率等。如需指定特定日志采集,可继续如下步骤。
Agent可以定时采集已配置数据库的日志信息,用户主机部署数据库服务,如果存在采集数据库日志的需求,则需要进行该项配置。配置步骤如下:
(1) 终端部署Agent并注册至平台。然后登录综合日志审计平台。
(2) 点击【配置中心 > 数据源管理 > Agent管理】,在Agent管理列表可以查看到注册的Agent信息。
(3) 点击要配置数据库日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “数据库”页签。
平台支持配置MySQL、SQLServer、DB2、Oracle、MongDB数据库日志采集服务,本例以配置MySQL数据库日志采集服务为例。
(4) 在【配置中心 > 数据源管理 > Agent管理 > 数据库】页面,点击<新增>按钮,弹出 “新增数据库配置”页面
参数说明:
· 数据库类型:缺省配置为mysql
· 端口号:缺省配置为3306
· 用户名:配置为root
· 密 码:配置root对应的密码
填写页面必填项信息,点击<确认>按钮完成操作。数据库配置添加成功。
Agent支持采集关键文件/关键文件夹下的文件变更操作日志,用户如果需要采集某些关键文件变更的操作日志,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录综合日志审计平台。
(2) 点击【配置中心 > 数据源管理 > Agent管理】,在Agent管理列表可以查看到注册的Agent信息。
(3) 点击要配置文件操作日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “关键文件”页签。
(4) 点击<新增>按钮,在“文件路径”下填写文件路径信息,点击<保存>按钮完成操作,关键文件记录配置完成。
Agent支持采集关键注册表的变更操作日志,用户如果需要采集某些关键注册表变更的操作日志,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录综合日志审计平台。
(2) 点击【配置中心 > 数据源管理 > Agent管理】在Agent管理列表可以查看到注册的Agent信息。
(3) 点击要配置关键注册表操作日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面选择 “关键注册表”页签。
(4) 点击<新增>按钮,在“注册表路径”下填写注册表路径信息,点击<保存>按钮完成操作,关键注册表记录配置完成。
Agent支持采集主机上自定义文件中的日志内容,用户如果需要采集某自定义文件中的日志内容,则需要进行该项配置。配置步骤如下:
(1) 首先注册Agent至平台,然后登录综合日志审计平台。
(2) 点击【配置中心 > 数据源管理 > Agent管理】,在Agent管理列表可以查看到注册的Agent信息。
(3) 点击要配置自定义文件日志采集服务的Agent操作列的<配置>按钮,进入 “配置Agent管理”页面,选择 “自定义文件”页签。
(4) 点击<新增>按钮,在“自定义文件”下填写自定义文件路径信息,点击<保存>按钮完成操作,自定义文件配置完成。
参数说明及注意事项:
(1)文件路径:若需采集某文件夹下的所有自定义文件日志,需在文件夹路径后加*号表示采集全部,如/home/*;如需采集某个具体文件的自定义文件日志,写法为该文件的全路径,如/home/test.txt。
(2)读取方式:包括“追加读取”和 “从头读取”。追加读取表示只采集添加该配置后文件中新增的信息;从头表示采集该文件中所有的信息,默认选中 “追加读取”。
(1) Agent终端自动上线验证
登录综合审计平台,点击【配置中心>数据源管理>Agent管理】,点击“Agent管理”页签,可查看Agent终端已自动上线。Agent状态为“在线”状态。
(2) Agent上报日志验证
进入【日志中心 >实时监控->资产类型】界面,选择“终端安全”下的Agent主机名称,可查看终端设备上报日志信息。点击操作列详情按钮可以查看日志报文详情。
(3) Agent数据库日志采集验证
操作Agent主机上的数据库(如执行数据库脚本)或等待一段时间,Agent会定时上报数据库的性能监控日志,产生日志后,登录综合日志审计平台,进入 【日志中心 >全文检索】 页面,选择日志类型为“数据库日志”,可以查看到对应的日志记录
(4) Agent关键文件日志采集验证
在Agent主机上,对已配置的关键文件路径下的文件进行修改,产生文件修改日志后,登录综合日志审计平台,进入【日志中心 >全文检索】页面,选择日志类型为“终端系统日志-文件操作日志”,可以查看到对应的日志记录。
(5) Agent关键注册表日志采集验证
在Agent主机上,对已配置的关键注册表路径下的注册表进行修改,产生注册表修改日志后,登录综合日志审计平台,进入【日志中心 >全文检索】页面,选择日志类型为“终端系统日志-注册表事件日志”,可以查看到对应的日志记录。
(6) Agent自定义文件日志采集验证
在Agent主机上,对已配置的自定义文件路径下的文件内容进行添加内容操作(至少添加2行),登录综合日志审计平台,进入【日志中心 >全文检索】页面,选择日志类型为“终端系统日志-其他终端系统日志”,可以查看到对应的日志记录。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
