Decoder : Créer un feed d'identité

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Vous pouvez créer un feed d'identité et le renseigner dans les Decoders et Log Decoders. Dans le but de créer un feed d'identité, il vous faut :

  • Le service Log Collector avec le processeur d'événements Identity Feed
  • Le service Log Collector avec la collection Windows configurée et activée

Pour créer un feed d'identité :

  1. Ajouter une destination pour le feed.
    1. Accédez à ADMIN > Services, puis à la liste Services
    2. Sélectionnez un service Log Collector et cliquez sur actions menuVue > Configuration.
    3. Sélectionnez l'onglet Destinations d'événements.
    4. Dans le champs Sélectionnez les destinations d’événements, sélectionnez Identity Feed.

      This is an example of the Select Event Destinations drop-down.

    5. Cliquez sur add icon et saisissez un nom unique pour le feed.

      Le nom de la file d’attente identifie le feed dans le Log Collector. Utilisez le nom du feed pour la file d’attente.

      This is the Add Identity Feed dialog.

    6. Cliquez sur le bouton OK.
  2. Testez la génération de messages.

    1. Invitez des utilisateurs sur le domaine à se connecter à la boite de dialogue Windows et à générer des messages de log appropriés sur les contrôleurs de domaine à des fins de test.
    2. Vérifiez que les données sont écrites sur les fichiers de feed. Ouvrez une session SSH sur le Log Decoder/Collector ou sur le Virtual Log Collector en cours de configuration. Accédez à /var/netwitness/logcollector/runtime/identity-feed et vérifiez que les fichiers Identity_deploy se remplissent de données.

      Example of identity-deploy files being populated with data

    3. Ouvrez un navigateur web (les navigateurs autres que Internet Explorer sont à privilégier) et connectez-vous à l’interface REST du Log Collector. Utilisez les informations d’identification d’administration lors de la connexion. Par exemple, si l’adresse IP de votre collecteur de log est 192.168.99.66, l’adresse URL serait :

      L’écran du navigateur doit s’afficher comme suit :

      This is an example of the browser screen.

      Notez que l’écran affiche le nom de l’identité du feed que vous avez créé précédemment (infonetd_domain, dans cet exemple).

      Pour que l’identité du feed fonctionne correctement, le port 50101 doit être actif sur le Log Collector, et vous devez déterminer si le chiffrement SSL est actif.

    4. Accédez à ADMIN > Services > < Log Collector en cours de configuration> actions menu > Vue > Explorer.
    5. Dans le volet de gauche, développez rest > config.

      This is an example of the Explore view.

      Pour que REST soit actif, activé doit être défini sur 1.

    6. Notez la valeur ssl. Si SSL doit être activée pour votre environnement, cette option doit être définie sur activé.

      Remarque : Si vous avez modifié le paramètre pour les options activé ou ssl, vous devez redémarrer le service Log Collector avant d’aller plus loin.

  3. Accédez à CONFIGURER > Feeds personnalisés.

    La boîte de dialogue Feeds s’affiche.

    This is an example of the Feeds grid.

  4. Dans la barre d’outils, cliquez sur add icon.

    La boîte de dialogue Configurer le feed s'affiche.

    This is an example of the Setup Feed dialog.

  5. Assurez-vous que Identity Feed est sélectionné, puis cliquez sur suivant.

    Le panneau Configurer Identity Feed s'ouvre avec l'onglet Définir le feed affiché.

  6. (Conditionnel) Vous pouvez créer un feed à la demande ou récurrent.

    • Pour définir une tâche de feed d'identité à la demande qui s'exécute une fois, sélectionnez Adhoc dans le champ Type de tâche par défaut, saisissez le nom du feed, accédez-y, puis ouvrez-le.
    • Pour définir une tâche Identity Feed récurrente qui s'exécute de manière répétée, sélectionnez Récurrent dans le champ Type de tâche par défaut.

      La boîte de dialogue Définir le feed comprend les champs pour un feed récurrent.

      This is an example of the Configure Identity Feed dialog in the Define Feed section.

      Remarque : RSA NetWitness Platform vérifie l'emplacement de stockage du fichier, de façon à ce que NetWitness Platform puisse vérifier automatiquement le dernier fichier avant chaque récurrence.

  7. Renseignez et vérifiez le champ URL.

    1. Dans le champ URL, saisissez l'URL de l'emplacement du fichier de données de feed. Il s’agit de l’interface API REST qui a été configurée précédemment. Vous devez avoir connaissance des informations suivantes pour construire l’URL :

      • L’adresse IP du Log Collector utilisée pour créer le fichier Identity Feed.
      • Le nom d’identité de la file d’attente, tel que défini dans l’étape 2c.
      • Si SSL est activé ou non sur le port REST du Log Collector, tel que défini dans l’étape 2f.

      Vous créez cette valeur comme suit :

      • SSL activé : https://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600
      • SSL désactivé : http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600

      Par conséquent, à l’aide de l’exemple précédent, la valeur complète que vous devez saisir dans ce champ est la suivante :

      http://192.168.99.66:50101/event-processors/infonetd_domain?msg=getFile&force-content-type=application/octet-stream&expiry=600?msg=getFile&force-content-type=application/octet-stream&expiry=600

    2. Pour que la vérification de l’URL fonctionne correctement, il est important que l’interface utilisateur du serveur NetWitness Platform puisse accéder au port d’API REST du Log Collector (50101). Cela peut être testé en accédant à l’interface utilisateur du serveur NetWitness Platform via le protocole SSH. Exécutez la commande suivante sur l’hôte :

      • SSL activé : curl -vk https://<ip of log collector>:50101
      • SSL désactivé : curl -v http://<ip of log collector>:50101

      Si la commande curl ne se connecte pas, il existe peut-être un problème de routage ou de pare-feu réseau entre l’interface utilisateur du serveur NetWitness Platform et le Log Collector.

      Exemple de mauvaise connexion :

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... No route to host

      * couldn't connect to host

      * Closing connection #0

      curl: (7) couldn't connect to host

      Example of Good connection:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... connected

      * Connected to 192.168.99.66 (192.168.99.66) port 50105 (#0)

      > GET / HTTP/1.1

      > User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2

      > Host: 192.168.99.66:50105

      > Accept: */*

      >

      < HTTP/1.1 401 Unauthorized

      < Content-Length: 71

      < Connection: Keep-Alive

      < Pragma: no-cache

      < Expires: -1

      < Cache-Control: no-cache, no-store, must-revalidate

      < WWW-Authenticate: Basic realm="NetWitness"

      < Content-Type: text/xml; charset=utf-8

      <

      <?xml version="1.0" encoding="utf-8"?>

      <error>401 Unauthorized</error>

      * Connection #0 to host 192.168.99.66 left intact

      * Closing connection #0

  8. Un nom d’utilisateur et un mot de passe sont nécessaires à l’API REST pour extraire le fichier identity_deploy.csv du Log Collector. Cela peut être n’importe quel nom d’utilisateur et mot de passe disponible sur le service lui-même. Pour plus d’informations, consultez la rubrique « Vue sécurité des services » dans le Guide des hôtes et des services.

    Pour afficher les comptes disponibles, accédez à ADMIN > Services > <Log Collector en cours de configuration> > Actions > Vue > Sécurité.

    Sous le tableau des utilisateurs, tous les utilisateurs qui peuvent être utilisés dans cette étape s’affichent. Pour une sécurité renforcée, il est recommandé de créer un compte utilisateur spécifiquement pour cette configuration et a n’utiliser nulle part ailleurs dans l’environnement. Pour plus de détails, consultez la section « Ajouter un utilisateur et attribuer un rôle » dans le Guide de la sécurité du système et de la gestion des utilisateurs. (Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.)

  9. Pour définir l'intervalle de récurrence, effectuez l'une des opérations suivantes :

    • Spécifiez le nombre de minutes, d'heures ou de jours entre les récurrences du champ.
    • Pour définir la période pour l'exécution récurrente du feed, spécifiez la Date de début et l'heure, ainsi que la Date de fin et l'heure.
  10. Si vous utilisez le chiffrement SSL, vous devez installer le certificat SSL de l’API REST pour le Log Collector dans l’interface utilisateur du serveur NetWitness Platform. Pour plus d’informations sur les certificats SSL, reportez-vous à la rubrique Importer le certificat SSL. .

    Si, après l’importation du certificat SSL, la vérification de l’URL échoue à nouveau, consultez la section Impossible de vérifier l’URL du feed d’identité.

  11. Cliquez sur Vérifier pour vérifier votre configuration du feed identité avant de procéder à la boîte de dialogue Sélectionner des services.
  12. Cliquez sur Suivant.

    La boîte de dialogue Sélectionner des services s'affiche.

    This is the Select Services section of the Configure Identity Feed dialog.

  13. Pour identifier les services sur lesquels déployer le feed, sélectionnez un ou plusieurs Decoders et Log Decoders, puis cliquez sur Suivant.
  14. Cliquez sur l'onglet Groupes, sélectionnez un groupe, puis cliquez sur Suivant.

    La boîte de dialogue Examiner s’affiche.

    This is the Review section of the Configure Identity Feed dialog.

    Remarque : Si un groupe de périphériques avec des Decoders et Log Decoders est utilisé pour créer des feeds récurrents ou personnalisés, vous pouvez modifier le feed et ajouter un nouveau groupe au feed.

  15. À tout moment avant de cliquer sur Terminer, vous pouvez :

    • Cliquez sur Annuler pour fermer l'assistant sans enregistrer votre définition de feed.
    • Cliquez sur Réinitialiser pour effacer les données de l'assistant.
    • Cliquez sur Suivant pour afficher le formulaire suivant (si ce n'est pas le dernier formulaire).
    • Cliquez sur Précédent pour afficher le formulaire précédent (si ce n'est pas le premier formulaire).
  16. Passez en revue les informations du feed et, si elles sont correctes, cliquez sur Terminer.

Lorsque le fichier de définition de feed a été créé avec succès, l'assistant Créer un feed se ferme. Le feed et le fichier de token correspondant sont répertoriés dans la grille de feed et la barre de progression indique l'avancement. Vous pouvez développer ou réduire l'entrée pour voir combien de services sont inclus, et quels services ont abouti.

Importer le certificat SSL

Si SSL est configuré sur le feed d’identité du Log Collector, procédez comme suit pour importer le certificat SSL du Log Collector dans le magasin de clés du serveur de l’interface utilisateur NetWitness Platform. Si ce certificat n’est pas importé, le serveur de l’interface utilisateur NetWitness Platform ne pourra pas extraire le fichier d’Identity feed du Log Collector.

  1. Pour extraire le certificat SSL du Log Collector, ouvrez une session SSH sur le serveur de l’interface utilisateur NetWitness Platform et exécutez la commande suivante :

    echo -n | openssl s_client -connect <HOST>:<PORT> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/<SERVERNAME>.cert

    Cette commande enregistre le certificat SSL sur /tmp/<SERVERNAME>.cert.

    Par exemple :

    echo -n | openssl s_client -connect 192.168.99.66:50101 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/logcollector.cert

  2. Pour importer le certificat SSL du Log Collector, ouvrez une session SSH sur le serveur de l’interface utilisateur NetWitness Platform et exécutez la commande suivante :

    keytool -importcert -alias <name an alias for the cert> -file <the cert file pathname> -keystore /etc/pki/java/cacerts

    Par exemple :

    keytool -importcert -alias logcollector01 -file /tmp/logcollector.cert -keystore /etc/pki/java/cacerts

  3. Le système demande un mot de passe. Saisissez le mot de passe du magasin de clés sur le serveur de l’interface utilisateur NetWitness Platform, et non celui du magasin de clés jetty. Le mot de passe par défaut est changeit.
  4. Redémarrez jettysrv pour autoriser jetty à lire le nouveau certificat dans la zone de stockage.

Impossible de vérifier l’URL du feed d’identité

Si l’URL du feed d’identité ne peut pas être vérifiée, et que vous utilisez SSL, assurez-vous d’avoir suivi les étapes décrites dans Importer le certificat SSL.

Si des problèmes persistent, il est possible que le nom interne du certificat ne corresponde pas au nom d’hôte du Log Collector. La procédure suivante vérifie cette hypothèse.

  1. Session SSH sur le serveur de l’interface utilisateur NetWitness Platform.
  2. Exécutez la commande suivante pour sortir le nom CN du certificat SSL :

    echo -n | openssl s_client -connect <log decoder>:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

    Exemple :

    echo -n | openssl s_client -connect salogdecoder01:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

  3. Récupérer le nom CN du certificat SSL.

    This is an example of the CN name.

  4. Modifier le fichier /etc/hosts et ajoutez l’adresse IP et le nom CN dans le fichier.

    This is an example of the added IP Address and CN name.

  5. Redémarrez les services de réseau sur l’appliance.
  6. Confirmez que le nom placé dans le fichier /etc/hosts est utilisé au lieu du nom de domaine complet ou l’adresse IP de l’URL du feed d’identité.
  7. Vérifiez à nouveau l’URL du feed d’identité.
You are here
Table of Contents > Configurer les feeds et les parsers > Créer un feed d'identité

Attachments

    Outcomes