Étape 2 - Configurer le service Remote Log Collector

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique présente la procédure à suivre pour configurer le service Remote Log Collector dans un environnement Amazon Web Services (AWS).

Une fois que vous avez téléchargé le modèle CentOS 6 (x86_64) - avec le modèle HVM des mises à jour - et créé une instance, vous devez choisir un type d'instance dans l'étape de configuration suivante.

Remarque : Vous devez télécharger le modèle CentOS 6 (x86_64) - with Updates HVM une seule fois. Il pourra ensuite servir à créer plusieurs instances.

Choisir une image AMI (Amazon Machine Image)

Une image AMI est un modèle qui contient la configuration logicielle requise pour lancer votre instance.

Pour choisir un type d'instance, procédez comme suit :

  1. Dans la liste qui s’affiche sur votre écran, sélectionnez une AMI.

  2. Cliquez sur le bouton Sélectionner pour effectuer votre sélection.

Choisir un type d'instance

Un type d'instance comprend différentes combinaisons de capacités de mémoire, de stockage et de réseau qui permettent de choisir la combinaison de ressources appropriée pour vos applications. Chaque type d'instance comprend une ou plusieurs tailles d'instance pour effectuer la mise à l'échelle de vos ressources selon les besoins de votre charge de travail.

Pour choisir un type d'instance, procédez comme suit :

  1. Sélectionnez un type d'instance dans la liste déroulante.
  2. Sélectionnez Current Generation (Génération actuelle) ou All generations (Toutes les générations) dans la liste déroulante.

    Pour des informations détaillées, reportez-vous aux tableaux ci-dessous.

    Pour des performances optimales, Amazon Web Services vous recommande d’utiliser les types d’instance Génération actuelle lors du démarrage de nouvelles instances.

    Amazon Web Services propose des instances de Génération précédente pour les utilisateurs qui ont optimisé leurs applications autour de ces instances et n’ont pas encore effectué de mise à niveau.

  3. Sélectionnez Next (Étape suivante :). Configure Instance Details.


Le tableau suivant décrit les champs que contient la figure ci-dessus.

                                       
ChampDescription :
Famille

Regroupement général de types d'instance qui utilise une capacité de stockage ou de CPU.

TypeSpécification qui définit la mémoire, le CPU, la capacité de stockage et le coût horaire d'une instance. Certains types d'instance sont conçus pour les applications standard, tandis que d'autres sont destinés aux applications gourmandes en CPU ou en mémoire.
CPU virtuelsNombre de CPU virtuels de l'instance.
Memory (Gio)Quantité de mémoire utilisée pour l'instance.
Espace de stockage de l'instance (Go)Volumes locaux de stockage de l'instance qui sont disponibles pour l'instance. Les données présentes dans l'espace de stockage d'une instance ne sont pas permanentes. Elles ne persistent que pendant la durée de vie de l'instance.
Optimisé pour EBSIndique si le type d'instance prend en charge l'optimisation EBS. Une instance optimisée pour EBS fournit un débit dédié supplémentaire pour les E/S d'Amazon EBS. Ceci offre de meilleures performances pour les volumes EBS Amazon et permet aux instances d’utiliser pleinement les IOPs provisionnées.
Performances du réseauIndique le niveau de performances du taux de transfert de données.

Le tableau suivant répertorie les spécifications recommandées pour le CPU, la mémoire et la taille de disque pour le Remote Log Collector en fonction des événements par seconde (EPS).

                                  
RateQuantité de CPURAMDisque
30 000 EPS815 Go150 Go

15 000 EPS

4

7,5 Go

150 Go

2 500 EPS23,75 Go150 Go

Configurer les détails de l'instance

Effectuez les étapes suivantes pour configurer les informations détaillées de l'instance. Reportez-vous au tableau ci-dessous pour obtenir une description détaillée.

Remarque : Consultez votre administrateur AWS pour connaître les sélections appropriées de Configurer une instance.

  1. Sélectionnez un nombre d'instances dans la liste déroulante.

    Remarque : Vous pouvez lancer plusieurs instances à la fois.

  2. (Facultatif) Pour l'option Purchasing, cochez la case Request Spot Instances.
  3. Sélectionnez un Réseau dans la liste déroulante.
  4. Sélectionnez une Zone de disponibilité dans la liste déroulante. 

  5. Sélectionnez un Rôle IAM dans la liste déroulante.
    Notez que la valeur par défaut est None.
  6. Sélectionnez un Comportement de fermeture dans la liste déroulante.
  7. (Facultatif) Pour Activer la protection contre l'arrêt, cochez la case Protect against accidental termination.
  8. (Facultatif) Pour Monitoring, cochez la case Enable CloudWatch detailed monitoring.
  9. Cliquez sur Next: Add Storage.

  

La tableau suivant contient les informations relatives aux options de configuration des instances.

                                                    
ChampDescription :
Nombre d'instances

Saisissez le nombre d'instances à configurer. Notez que vous pouvez configurer plusieurs instances à la fois.

(Facultatif) Achat
Option -
Demander des instances ponctuelles

Les instances ponctuelles vous permettent d'enchérir sur les instances EC2 inutilisées, ce qui peut réduire sensiblement vos coûts EC2 Amazon. Le prix à l'heure d'une instance ponctuelle (pour chaque type d'instance de chaque zone de disponibilité) est défini par Amazon EC2 et fluctue selon l'offre et la demande des instances ponctuelles. Votre instance ponctuelle s'exécute chaque fois que votre enchère dépasse le prix actuel du marché.

Sélectionnez cette option d'achat si vous pouvez avoir la souplesse de décider quand vos applications doivent s'exécuter et si elles peuvent être interrompues, par exemple de décider d'exécuter des travaux en lots et des tâches de traitement en arrière-plan.

Réseau

En sélectionnant un réseau, vous pouvez lancer votre instance dans Amazon Virtual Private Cloud (VPC). Vous pouvez créer un VPC et sélectionner votre propre plage d'adresses IP, créer des sous-réseaux, configurer des tables de routage et des passerelles de réseau.
Sous-réseauPlage d'adresses IP de votre VPC qui sert à isoler différentes ressources EC2 les unes des autres ou du réseau Internet. Chaque sous-réseau réside dans une zone de disponibilité.
Zone de disponibilité (par défaut aucune préférence)

Emplacement distinct- dans une région, destiné à être isolé des défaillances survenant dans les autres zones de disponibilité et qui fournit une connectivité réseau peu coûteuse à faible latence aux autres zones de disponibilité de la même région.

Sélectionner un rôle IAM (par défaut aucun) Le rôle IAM est une identité AWS possédant des règles d’autorisation qui déterminent ce que l’identité peut faire ou non dans AWS. Au lieu d’être associé de façon unique à une personne, un rôle est censé pouvoir être utilisé par quiconque en a besoin. En outre, aucune information d’identification (mot de passe ou touches d’accès) n'est associée au rôle. Si un utilisateur est attribué à un rôle, les touches d’accès sont créées de manière dynamique et fournies à l’utilisateur.

Comportement de fermeture

Permet de spécifier le comportement que présente l'instance lorsqu'une fermeture est effectuée au niveau du système d'exploitation. Les instances peuvent être arrêtées.
(Facultatif)
Activer la protection contre les arrêts

Vous pouvez protéger les instances contre un arrêt accidentel. Une fois que cette protection est activée, vous ne pouvez plus arrêter l'instance via l'API ou la console de gestion AWS tant que la protection contre les arrêts n'a pas été désactivée.

(Facultatif) Surveillance - Activer la surveillance détaillée CloudWatch

Vous permet de surveiller, collecter et analyser les metrics relatives à vos instances via Amazon CloudWatch. Si vous activez cette option, des modifications supplémentaires s'appliquent.

Tenancy

Vous pouvez choisir d’exécuter vos instances sur des serveurs physiques, entièrement dédiés à votre utilisation. L’utilisation de la tenancy d’hôte requiert que vous démarriez des instances sur des hôtes dédiés, alors que l’utilisation de la tenancy dédiée lancera des instances en tant qu’instances dédiées. Vous pouvez démarrer une instance avec une tenancy d’hôte ou dédiée dans un Amazon Virtual Private Cloud (VPC) dédié.

Ajouter de l'espace de stockage

Amazon EC2 vous permet d'attribuer des options de stockage de données flexibles à vos instances.

Pour configurer les paramètres de stockage de votre instance, effectuez les opérations suivantes :

  1. Indiquez la taille de stockage dans le champ Size (Taille).
    La taille du volume doit être supérieure à zéro ou égale à la taille de l'instantané utilisé. La taille des volumes IOPS (SSD) dimensionnés doit être au moins égale à 4 Go.
  2. Sélectionnez un Type de volume magnétique dans la liste déroulante.
  3. Cliquez sur Next: Tag Instance.

Le tableau suivant décrit les champs de l'écran Add Storage (Ajouter un stockage).

                                         
ChampDescription :
TypeAmazon EBS est un volume de stockage en mode bloc qui persiste indépendamment de la durée de vie d'une instance EC2, de sorte que vous pouvez arrêter votre instance et la redémarrer ultérieurement. Les volumes de stockage d'instance éphémères sont attachés physiquement à l'ordinateur hôte. Les données présentes dans un stockage d'instance ne persistent que pendant la durée de vie de l'instance.
PériphériqueNoms de périphérique disponibles pour le volume. Selon le pilote de périphérique en mode bloc du noyau de l'AMI sélectionnée, le périphérique peut être attaché avec un nom différent de celui que vous avez spécifié.
SnapshotUn instantané est une sauvegarde d'un volume EC2 stocké dans S3. Vous pouvez créer un volume avec les données stockées dans un instantané en indiquant l'ID de l'instantané. Vous pouvez rechercher des instantanés publics en saisissant du texte dans le champ Instantané. Les descriptions sont sensibles à la casse.
TailleLa taille du volume doit être supérieure à zéro ou égale à la taille de l'instantané utilisé. La taille des volumes IOPS (SSD) dimensionnés doit être au moins égale à 4 Go.
Type de volume

Les volumes magnétiques fournissent 100 IOPS en moyenne, et peuvent atteindre des centaines d'IOPS. Il s’agit d’une option à moindre coût recommandée.

Les volumes à usage général (SSD) peuvent atteindre 3 000 IOPS et fournir une base homogène de 3 IOPS/Go.

Les volumes IOPs dimensionnés (SSD) peuvent fournir jusqu'à 20 000 IOPS et sont les meilleurs pour les instances optimisées EBS.

E/S par seconde

Remarque : Les conditions suivantes ne sont pas requises pour les Volumes magnétiques recommandés.

Nombre d'opérations d'E/S par secondes demandées que le volume peut prendre en charge.

Pour les volumes IOPS dimensionnés (SSD), vous pouvez dimensionner jusqu'à 30 IOPS par Go.

Pour les volumes à usage général (SSD) inférieurs à 1000 Go, vous obtenez des performances de base de 3 IOPS par Go, qui peuvent atteindre jusqu'à 3 000 IOPS.

Pour les volumes à usage général (SSD) supérieurs à 1000 Go, vous obtenez des performances de base de 3 à 10 000 IOPS par Go.

Suppression à l'arrêtLes volumes EBS persistent indépendamment de la durée d'exécution d'une instance EC2. Cependant, vous pouvez choisir de supprimer automatiquement un volume EBS lorsque l'instance associée est arrêtée.
EncryptedLes volumes créés à partir d'instantanés chiffrés sont automatiquement chiffrés. Les volumes créés à partir d'instantanés déchiffrés sont automatiquement déchiffrés. Si aucun instantané n'est sélectionné, vous pouvez choisir de déchiffrer le volume.

Configurer une instance de balise

Les balises vous aident à gérer vos instances et sont composées d'une paire clé-valeur sensible à la casse. 

Pour configurer une instance de balise, procédez comme suit.

  1. Saisissez un nom et une valeur, tels que AWS-VLC1.

    Les restrictions suivantes s'appliquent aux balises :

    • Les clés et valeurs de balises sont sensibles à la casse.
    • Le nombre maximal de balises par ressource est égal à 10.
    • Le longueur de clé maximale est de 127 caractères Unicode en UTF-8.
    • Le longueur de valeur maximale est de 255 caractères Unicode en UTF-8.
    • Évitez d'utiliser le préfixe aws: dans les noms de balise et de valeur, car il est exclusivement utilisé par Amazon Web Services.
  2. Cliquez sur Next: Configure Security Group.

Configure Security Group

Vous pouvez configurer un groupe de sécurité qui agit comme un pare-feu virtuel qui contrôle le trafic pour une ou plusieurs instances. Vous pouvez ajouter des règles à votre groupe de sécurité qui autorisent le trafic vers et depuis ses instances associées.

                         
ChampDescription :
TypeProtocole à ouvrir pour le trafic réseau. Vous pouvez choisir un protocole courant, par exemple SSH (pour une instance Linux), RDP (pour une instance Windows), et HTTP et HTTPS pour permettre au trafic Internet de joindre votre instance. Vous pouvez aussi indiquer manuellement un port personnalisé ou des plages de ports personnalisées.
ProtocoleType de protocole, par exemple TCP ou UDP. Fournit une sélection supplémentaire pour ICMP.
Plage de portsPour les règles et protocoles personnalisés, vous pouvez saisir manuellement un numéro de port ou une plage de ports.
Le tableau suivant contient la liste des ports de service.
Source

Détermine le trafic qui peut joindre votre instance. Spécifiez une seule adresse IP ou une plage d'adresses IP en notation CIDR (par exemple 203.0.113.5/32).

Si vous vous connectez derrière un pare-feu, vous avez besoin de la plage d'adresses IP utilisée par les ordinateurs clients. Vous pouvez spécifier le nom ou l'ID d'un autre groupe de sécurité présent dans la même région.

Pour spécifier un groupe de sécurité dans un autre compte AWS (EC2 Classic uniquement), faites-le précéder de l'ID de compte et d'une barre oblique, par exemple : 111122223333/OtherSecurityGroup.

Pour créer un groupe de sécurité, effectuez les opérations suivantes :

  1. Sélectionnez Create a new security group (Créer un groupe de sécurité) ou Select an existing security group (Sélectionner un groupe de sécurité existant).
  2. Sélectionnez un type de protocole dans la liste déroulante.
  3. Saisissez un protocole.
  4. Saisissez une plage de ports.
  1. Cliquez sur Review et Launch.


Remarque : Le groupe de sécurité dans AWS doit configurer les ports entrant et sortant qui sont rattachés au Log collector distant.

                                                                                                   
CatégorieProtocoleNuméro de portAppliancesOrientation
SSHTCP22Remote Log Collector (AWS)Entrant
RabbitMQTCP15671Log Collector distant (AWS)Entrant et sortant
AMQPTCP5671/5672Log Collector distant (AWS) depuis et vers le Log Collector distant (entreprise)Entrant et sortant
PuppetTCP8140Log Collector distant (AWS) vers le serveur Security AnalyticsSortant
Log CollectorTCP 50001/56001Log Collector distant (AWS) vers et depuis le serveur Security AnalyticsEntrant et sortant

Syslog

TCP

514

Source d’événement vers le Log Collector distant (AWS)

Entrant

Syslog UDP514Source d’événement vers le Log Collector distant (AWS)Entrant

Netflow

UDP

9995

Source d’événement vers le Log Collector distant (AWS)

Entrant

SNMPUDP162Source d’événement vers le Log Collector distant (AWS)Entrant

Windows

TCP

5985

 

Log Collector distant (AWS) vers la source d’événement

Sortant

Sortant

ODBCTCPDiversLog Collector distant (AWS) vers la source d’événementSortant

SDEE

TCP

443

Log Collector distant (AWS) vers la source d’événement

Sortant

Configurer les autorisations de pare-feu pour autoriser la communication

Configurez vos pare-feu pour permettre la communication entre Remote Log Collector et AWS, et les composants NetWitness répertoriés dans le tableau ci-dessus.

Remarque : Vous devez ouvrir des ports entre votre Remote Log Collector et votre serveur Security Analytics. Vous devez également ouvrir des ports entre votre Log Collector et votre Log Decoder.

Le tableau suivant dresse la liste des hôtes de Security Analytics et leurs ports de service respectifs :

                                                                                                 
À partir de l'hôteVers le collecteur local dans AWSVers les ports (Protocole)Commentaires
Serveur Security AnalyticsRemote Log Collector

56001(TCP) or
50001(TCP)

SSL
Non SSL
Serveur Security AnalyticsRemote Log Collector50101

REST 

(Facultatif)

Serveur Security AnalyticsRemote Log Collector5671 (TCP)RabbitMQ
Serveur Security AnalyticsRemote Log Collector50055 (TCP)RSA-SMS
Serveur Security AnalyticsRemote Log Collector50056 (TCP)RSA-SMS
Remote Log CollectorServeur Security Analytics8140 (TCP)Puppet
Serveur Security AnalyticsRemote Log Collector61614 (TCP)MCollective

Remote Log Collector

Serveur Security Analytics

61614 (TCP)

MCollective

Serveur Security AnalyticsRemote Log Collector15671 (TCP)Puppet

Remote Log Collector

Serveur Security Analytics

15671 (TCP)

Puppet

En mode Pull :  

 

 

Log Collector (sur Log Decoder)

Remote Log Collector

5671 (TCP)

RabbitMQ

En mode Push :    

Remote Log Collector

Log Collector (sur Log Decoder)

5671 (TCP)

RabbitMQ

Voici le lien général répertoriant quels ports doivent être ouverts sur quelles appliances : https://community.rsa.com/docs/DOC-54917.

Vérifier le lancement de l'instance

Avant d'exécuter le processus de lancement de l'instance, vous pouvez vérifier et modifier votre AMI. Si vous ne souhaitez pas modifier votre AMI, sélectionnez Launch (Lancer). Si vous sélectionnez Edit AMI (Modifier l'AMI), vous pouvez effectuer des modifications et sélectionner Launch (Lancer) après avoir terminé vos modifications. 

Après avoir sélectionné Launch (Lancer), la boîte de dialogue suivante s'affiche sur votre écran.

key pair.png

Lorsque vous démarrez une instance, vous devez spécifier le nom de la paire de clés que vous prévoyez d’utiliser pour vous connecter à l’instance. Si vous ne spécifiez pas le nom d’une paire de clés existante lorsque vous démarrez une instance, vous ne pourrez pas vous connecter à l’instance. Lorsque vous vous connectez à l’instance, vous devez spécifier la clé privée correspondant à la paire de clés que vous avez spécifié lorsque vous avez démarré l’instance.

Cliquez sur Launch Instances pour exécuter le processus Launch Instance.

Voir Étape 3  Déployer le service Remote Log Collector dans AWS pour obtenir des instructions détaillées sur la façon de déployer un service de collecte de log distant dans un environnement AWS.

You are here
Table of Contents > Configurer et déployer le service Remote Log Collector dans AWS > Étape 2 - Configurer le service Remote Log Collector

Attachments

    Outcomes