Installer et mettre à jour l'agent SFTP

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Présentation

Cette rubrique vous indique comment télécharger RSA Security Analytics Secure FTP Agent et apportez les modifications nécessaires pour la collecte de log.

Vous devez utiliser le protocole SFTP pour télécharger des événements à partir de sources d’événements de fichier pour le Log Collector. Voir Guide de configuration de File Collection Protocol pour plus d’informations sur la configuration des sources d’événements.

RSA recommande d’utiliser RSA Security Analytics Secure FTP Agent, que vous pouvez télécharger à partir du site Web du support client RSA SecurCare Online (SCOL). L’agent SFTP sur SCOL comprend les fichiers binaires permettant de l’installer. Vous configurez ces données binaires comme décrit ici, dans ce document. Dans le cadre du processus d’installation, vous générez une paire de clés publique/privée.

Vous devez créer un compte utilisateur pour le transfert de fichiers sur chaque source d’événement Windows qui envoie les données vers le Log Collector. Les comptes peuvent avoir n’importe quel nom, mais la documentation suppose que les comptes sont nommés sftp.

Installer et mettre à jour l'agent SA SFTP

Procédez comme suit pour configurer l’agent SA SFTP sur la source d’événement :

  1. Exécutez le Package redistribuable de Microsoft Visual C++ 2005 sur la source d’événement.
  2. Installez un Agent SA SFTP sur la source d’événement.
  3. Générez la paire de clés sur la source de l’événement et Importer la clé publique dans Log Collector.
  4. Sélectionnez le Compte d’utilisateur pour exécuter le service d’agent SA SFTP.
  5. Mettez en cache les clés pour la connexion.
  6. Définissez un agent SA SFTP sur la source d’événement.
  7. Démarrez le service d’agent SA SFTP dans le Panneau de configuration des services Windows.

Exécutez Microsoft Visual C++ 2005 Redistributable Package Modifier la section

Pour exécuter le package redistribuable Microsoft Visual C++ 2005 :

  1. Téléchargez l'un des packages suivants sur la source d’événement :

  2. Cliquez sur Télécharger et exécutez vcredist_x86.exe.

Installez un Agent SA SFTP sur la source d’événement

Attention : Vous devez utiliser l’agent FTP sécurisé RSA Security Analytics.

Pour installer l’agent SA SFTP sur la source d’événement :

  1. Recherchez l’agent FTP sécurisé RSA Security Analytics sur RSA SecurCare Online (SCOL).
  2. Choisissez votre système d'exploitation :

    • Pour un client Windows, cliquez sur Agent FTP sécurisé pour télécharger les fichiers binaires.
    • Pour un client UNIX, cliquez sur Agent FTP sécurisé Unix pour télécharger les fichiers binaires.
  3. Suivez le reste de ces instructions pour installer l’Agent SFTP sur la source d’événement.

Générer la paire de clés sur la source de l’événement et Importer la clé publique dans Log Collector

Pour générer la paire de clés sur la source d’événement et importer la clé publique dans Log Collector :

  1. Double-cliquez sur puttygen.exe dans le répertoire c:\sasftpagent. Le Générateur de clés PuTTY démarre.
  2. Sélectionnez SSH2 RSA en tant que type de clé à générer.
  3. Cliquez sur Générer et déplacez la souris dans la fenêtre Générateur de clés PuTTY jusqu'à ce que la clé soit générée.
  4. Enregistrer la clé privée :

    1. Cliquez sur Enregistrer la clé privée.
    2. Sélectionnez Oui pour ne pas utiliser une phrase de passe.
    3. Enregistrez le fichier en tant que private.ppk dans le répertoire C:\sasftpagent.
  5. Ajoutez la clé publique au Log Collector :

    1. Copiez la clé publique dans la mémoire tampon afin de pouvoir la coller dans le paramètre de Security Analytics, comme décrit dans l’étape 5b.

      Dans l’exemple suivant, la clé publique est placée dans une zone rouge.

    2. Collez la clé publique à partir de la mémoire tampon dans le paramètre de clé SSH Eventsource dans Security Analytics. Pour plus d'informations, consultez la section Configurer des sources d'événements dans le Guide Log Collection RSA Security Analytics.

  6. Fermer le puttygen.

Sélectionnez le Compte d’utilisateur pour exécuter le service d’agent SFTP.

Après avoir importé la clé publique dans le Log Collector, vous devez :

  • Sélectionner un compte utilisateur existant ou
  • Créer un compte utilisateur sur la source d’événement pour exécuter le service d’agent SFTP.

Pour créer un compte utilisateur sur la source d’événement :

  1. Dans le menu Démarrer de Windows, cliquez sur Programmes > Outils d’administration > Utilisateurs et ordinateurs Active Directory.
  2. Cliquez sur Action > Nouveau > Utilisateur et créez un nouvel utilisateur avec lequel vous souhaitez que le service s'exécute.

    Remarque : Le compte utilisateur doit être membre du groupe d’administrateurs local. Le compte doit également avoir accès aux fichiers qui sont envoyés au Log Collector.

  3. Modifier le service d’agent SA SFTP pour utiliser ce compte utilisateur :

    1. Cliquez avec le bouton droit sur l'agent SA SFTP et sélectionnez Propriétés.
    2. Sélectionnez l’onglet Connexion.
    3. Sélectionnez This account.
    4. Saisissez le nom d’utilisateur et le mot de passe du compte que vous utilisez pour exécuter le service d’agent SFTP.
    5. Cliquez sur OK.
  4. Déconnectez-vous de la source d’événement et reconnectez-vous à l’aide du nouveau compte utilisateur.

    Remarque : Le compte utilisateur qui exécute les étapes suivantes doit appartenir à l'utilisateur qui exécute le service.

  5. Mettez en cache les clés pour la connexion.

Clés de cache pour la connexion

Après avoir créé le compte utilisateur qui exécute le service d'argent SA SFTP, vous devez mettre en cache les clés pour connecter la source d’événement au Log Collector.

Pour mettre en cache les clés sur la source d’événement :

  1. Connectez-vous sur la machine avec le compte que vous avez sélectionné pour le service d’agent SA SFTP.
  2. Exécutez la commande suivante depuis le répertoire C:\sasftpagent.

    psftp -i private.ppk -l sftp -v ngc-ip

    où :

    • private.ppk est le fichier contenant la clé privée
    • ngc-ip est l'adresse IP du Log Collector

    Le système affiche un message indiquant que la clé d’hôte de serveur n’est pas dans le registre.

  3. Saisissez Y, puis appuyez sur ENTRÉE pour approuver l’hôte.
  4. À l'invite de commandes psftp, tapez quit, puis appuyez sur ENTRÉE.

La clé est désormais mise en cache dans le registre de la source d’événement.

Configurer l’agent SA SFTP sur la source d’événement

Pour configurer l’agent SA SFTP sur la source d’événement :

  1. Accédez au répertoire d’installation de l'agent SA SFTP (le répertoire par défaut est C:\sasftpagent).
  2. Le répertoire sasftpagent contient des exemples de fichiers de configuration. Ces exemples sont nommés en fonction de la source d’événement correspondante. Par exemple, le fichier de configuration SFTP de la source d'événement Microsoft IIS est nommé sftpagent.conf.microsoftiis.
  3. Créez le fichier C:\sasftpagent\sftpagent.conf et utilisez le fichier d’exemple approprié à configurer en fonction de la légende ci-dessous.

                                                   
    ParamètreDescription :
    agent.logginhost

    Nom d’hôte ou adresse IP du Log Collector vers lequel les fichiers log seront envoyés.

    dir0

    Emplacement des fichiers logs pour les sources d’événements sur votre système Windows local.

    dir0.filespec

    Fichiers que vous souhaitez envoyer au Log Collector à partir de l’emplacement ci-dessus. Dans cet exemple, tous les fichiers avec l'extension *.log seront envoyés au Log Collector.

    dir0.interval

    Laps de temps entre les transferts de fichiers. Vous pouvez modifier cette valeur.

    dir0.has_header

    Si le journal comporte un en-tête en haut du fichier log, définissez ce paramètre sur true. Si le fichier log n’a pas d’en-tête, définissez-le sur false.

    dir0.compression

    La valeur peut être true ou false.

    • Définissez sur true pour utiliser la compression. Les fichiers log sont compressés et envoyés au format .gz au Log collector.
    • Définissez sur false pour ne pas utiliser la compression de fichier.

    dir0.enabled

    La valeur est définie sur true. Ne modifiez pas cette valeur : si vous la modifiez sur false, vous n’enverrez aucun fichier log au Log Collector.

    dir0.ftp

    Log Collector-ip-address,sftp,sftp,publickey,//upload/event-source-type/filedirectory

    Vous trouverez ce chemin sur le Log Collector au chemin suivant :

    /var/netwitness/logcollector/upload/

    À la fin de ce chemin d’accès, ajoutez la valeur saisie pour le paramètre Répertoire de fichiers lorsque vous créez la source d’événement dans l’interface utilisateur Security Analytics.

    dir0.delete_after_read

    La valeur est true ou false. La valeur true supprime les fichiers après que l’agent a envoyé les logs vers la destination.

  4. Enregistrez le fichier, en vous assurant que le nom du fichier reste identique (autrement dit, assurez-vous de ne pas ajouter une extension .txt au fichier).

Démarrez le service d’agent SA SFTP dans le Panneau de configuration des services Windows

  1. Sur la ligne de commande, saisissez services.msc :
  2. Redémarrez le service d'agent SA SFTP.

Exemple de fichiers de configuration

Voici des exemples du fichier sftpagent.conf pour différentes sources d’événements.

Un exemple de fichier de configuration pour configurer un serveur Microsoft IIS :

agent.logginghost=<ngc-ip>
dir0=C:\inetpub\logs\LogFiles\W3SVC1
dir0.filespec=*.log
dir0.interval=60
dir0.has_header=false
dir0.compression=false
dir0.enabled=true
dir0.ftp=<ngc-ip>,>,sftp,sftp,publickey,//upload/iis_tvm/IIS
dir0.delete_after_read=true

Un exemple de fichier de configuration pour la configuration d’une source d’événement Apache :

dir0=C:\Program Files\Apache Group\Apache2\logs
dir0.filespec=access_log*
dir0.interval=60
dir0.has_header=false
dir0.compression=true
dir0.enabled=true
dir0.ftp=enVisionIP,nic_sshd,publickey,APACHE_10.10.31.155

Dépanner l’agent SA SFTP

Pour résoudre les problèmes, vous devez tout d’abord arrêter le service, puis exécutez une commande pour afficher les messages de débogage.

Pour résoudre l’agent SA SFTP :

  1. Arrêtez le service d’agent SA SFTP dans la fenêtre Windows Services.
  2. Ouvrez un nouveau shell de commande et accédez aux répertoires dans le répertoire d’installation d'agent SA SFTP.
  3. Saisissez :

    sasftpagent -v

  4. Passez en revue les messages de débogage qui s'affichent.

Les sections suivantes décrivent certains messages possibles et comment résoudre les problèmes correspondants.

Erreur lors de l'ouverture du fichier de configuration de l’agent SFTP

Si le fichier de configuration SFTP est manquant, vous obtenez le message d’erreur suivant :

Erreur lors de l'ouverture du fichier : sftpagent.conf

Pour résoudre le problème, recherchez ou recréez le fichier et déplacez-le vers le répertoire d’installation de l'agent SA SFTP.

Problèmes de clé privée

S’il existe un problème avec la génération de fichiers de clé, vous pouvez recevoir un message similaire au suivant :

Lecture du fichier de clé privée « private.ppk »
Impossible d’utiliser ce fichier de clé (impossible d’ouvrir le fichier)
Impossible d’utiliser le fichier de clé « private.ppk » (impossible d’ouvrir le fichier)

Vous pouvez également recevoir un message similaire à celui-ci s’il existe un problème de clé :

Clé publique proposée
Le serveur a refusé notre clé
Le serveur a refusé la clé publique

Pour résoudre le problème, générez à nouveau les paires de clés et envoyez la clé dans le Log Collector.

You are here
Table of Contents > Installer et mettre à jour l'agent SFTP

Attachments

    Outcomes