Étape 3  Déployer le service Remote Log Collector dans AWS

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment déployer votre service Remote Log Collector dans un environnement AWS à l’aide de scripts automatisés, mais aussi comment déployer votre service Remote Log Collector manuellement.

Utiliser des scripts pour déployer le service Remote Log Collector

Après avoir configuré votre service Remote Log Collector, vous devez le déployer sur une machine virtuelle (VM) en suivant les étapes indiquées ci-dessous.

Remarque : L’utilisation de scripts est recommandée. Si vous utilisez des scripts, suivez les étapes ci-dessous. Sinon, pour déployer manuellement votre service Remote Log Collector, consultez les étapes décrites dans la section Déployer manuellement le service Remote Log Collector.

Connexion en SSH

Avant de télécharger des scripts, vous devez ouvrir une session SSH sur votre machine virtuelle, après avoir trouvé votre adresse IP en suivant les étapes ci-dessous.

  1. Pour obtenir l’adresse IP, sélectionnez le nom de l'instance virtuelle déployée.
  2. Dans l'onglet Description, saisissez l’adresse IP privée de cette instance virtuelle spécifique.

L'écran suivant s'affiche.

  1. Ouvrez une connexion SSH sur votre instance virtuelle à l’aide d’un client SSH tel que PuTTY. Les instructions fournies se basent sur PuTTY, mais vous pouvez utiliser tout type de client SSH.
  2. Si vous utilisez PuTTy, exécutez la commande suivante pour vous connecter à un Remote Log Collector :
    putty.exe

L'écran suivant s'affiche.

  1. Saisissez l’adresse IP à l’aide de l’adresse IP privée obtenue à l’écran précédent.
  2. Sous Type de connexion, sélectionnez SSH.
  3. Cliquez sur Ouvrir.

L'écran suivant s'affiche.

  1. Sélectionnez Connexion > SSH > Auth.
  2. Sélectionnez Parcourir pour trouver votre fichier de Clé privée.
  3. Cliquez sur Ouvrir pour vous connecter à votre instance virtuelle.

Désactiver CentOS Base Repo

Pour désactiver CentOS Base Repo :

  1. Exécutez la commande suivante :
    sudo vi /etc/yum.repos.d/CentOS-Base.repo
  2. Assurez-vous que le contenu du fichier CentOS-Base.repo dans le répertoire /etc/yum.repos dispose de sections avec enabled=0.
    Le contenu du fichier doit être semblable à l’exemple ci-dessous :
    [base]
    name=CentOS-$releasever - Base
    mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
    =os
    #baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
    gpgcheck=1
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
    enabled=0

Télécharger des scripts AWS

Remarque : Chaque script vous demande d’entrer vos informations d’identification (nom d’utilisateur et mot de passe) sur https://community.rsa.com.

Vous pouvez télécharger les scripts AWS sur votre machine depuis les emplacements suivants :

aws_vlc_preinstall.sh - https://community.rsa.com/docs/DOC-53180
aws_vlc_postinstall.sh - https://community.rsa.com/docs/DOC-53201
aws_vlc_start_services.sh - https://community.rsa.com/docs/DOC-53202

Instructions WinSCP pour copier les scripts téléchargés

Une fois que vous avez téléchargé les scripts AWS sur votre machine locale, vous devez utiliser SFTP sur votre machine virtuelle à l’aide d’un client SFTP tel que WinSCP, afin de pouvoir transférer les scripts vers votre AWS Log Collector.

Pour vous connecter à une instance de machine virtuelle avec SFTP, démarrez WinSCP en suivant les instructions ci-dessous.

Dans la boîte de dialogue de connexion WinSCP :

  1. Assurez-vous que Nouveau nœud de site est sélectionné.
  2. Dans le champ Nouveau nœud de site, sélectionnez le protocole SFTP.
  3. Saisissez le Nom d’hôte.
  4. Saisissez le nom d'utilisateur par défaut.

  5. Laissez le champ du mot de passe vide.
  6. Cliquez sur le bouton Enregistrer pour enregistrer vos paramètres.
  7. Cliquez sur le bouton Connexion pour vous connecter.
  8. Vérifiez la clé de l’hôte en vous reportant à la clé créée dans la section Créer une paire de clés à l'Étape 1  Se connecter à AWS et créer une instance.



  1. Copiez les scripts que vous avez téléchargés sur votre ordinateur portable dans le répertoire de base du Remote Log Collector.
  2. Utilisez les instructions SSH pour ouvrir une session SSH sur votre machine AWS, comme l'indique la section Connexion en SSH.
  3. Modifiez l'utilisateur sur le répertoire de base en saisissant la commande suivante :
    cd ~
  4. Utilisez la commande suivante pour octroyer les autorisations d'exécution adéquates avant de lancer ces scripts :
    sudo chmod +x aws_vlc_preinstall.sh
    sudo chmod +x aws_vlc_preinstall.sh
    sudo chmod +x aws_vlc_start_services.sh

Configurer les autorisations de pare-feu pour permettre la communication

Remarque : Vous devez ouvrir des ports entre votre Remote Log Collector et votre serveur Security Analytics. Vous devez également ouvrir des ports entre votre Log Collector et votre Log Decoder.

Configurez vos pare-feu pour permettre la communication entre Remote Log Collector et AWS, et les composants NetWitness répertoriés dans le tableau suivant.

                                                                                                 
À partir de l'hôteVers l'hôteVers les ports (Protocole)Commentaires

Serveur Security Analytics

Remote Log Collector

56001 (TCP) ou

50001 (TCP)

SSL ou

Non SSL

 

Serveur Security Analytics

Remote Log Collector

50101 (TCP)

REST (facultatif)

Serveur Security AnalyticsRemote Log Collector5672 (TCP)RabbitMQ
Serveur Security AnalyticsRemote Log Collector50055 (TCP)

RSA-SMS

Serveur Security AnalyticsRemote Log Collector50056 (TCP)RSA-SMS

Remote Log Collector

Serveur Security Analytics

8140 (TCP)

Puppet

Serveur Security AnalyticsRemote Log Collector61614 (TCP)MCollective

Remote Log Collector

Serveur Security Analytics

61614 (TCP)

MCollective

Serveur Security AnalyticsRemote Log Collector15671 (TCP)Puppet

Remote Log Collector

Serveur Security Analytics

15671 (TCP)

Puppet

En mode Pull :    
Log Collector (sur Log Decoder)Remote Log Collector5671 (TCP)RabbitMQ
En mode Push :    
Remote Log Collector Log Collector (sur Log Decoder)5671 (TCP)RabbitMQ

Exécuter des scripts AWS

Pour utiliser des scripts afin de configurer votre service Remote Log Collector dans AWS, effectuez les étapes suivantes.

  1. Passez au répertoire de base en saisissant la commande suivante :
    cd ~

Remarque : Chaque script vous demande d’entrer vos informations d’identification (nom d’utilisateur et mot de passe) RSA Community comme vous le feriez sur https://community.rsa.com.

  1. Configurez un utilisateur root à l’aide des commandes suivantes :
    sudo password root
    Passwd
    (saisissez votre mot de passe, puis saisissez-le de nouveau)
  2. Connectez-vous en tant que root et saisissez la commande suivante :
    su root
  1. Exécutez le script aws_vlc_preinstall.sh.
    Ce script crée un fichier sa.repo qui installe toutes les conditions préalables et les packages.
    Vous êtes invité à saisir les trois paramètres d’entrée suivants lorsque vous exécutez le script :
    -Nom d’utilisateur du compte Live
    -Mot de passe du compte Live
    -Version du Log Collector que vous souhaitez installer
  2. Saisissez la commande suivante pour exécuter le script :
    ./aws_vlc_preinstall.sh

 

  1. Exécutez le script aws_vlc_postinstall.sh. Ce script modifie le Nom d’hôte et vous permet de configurer l’adresse du serveur Security Analytics.
    Vous êtes obligé de passer deux paramètres en tant qu’entrée : Nom d’hôte et Adresse IP Security Analytics. Veillez à utiliser les paramètres entre des guillemets simples séparés par une virgule, comme l'illustre la commande suivante :
    ./aws_vlc_postinstall.sh '<nom d'hôte>' '<adresse IP du serveur Security Analytics>'

 

  1. Reconnectez-vous au Remote Log Collector car votre machine virtuelle sera redémarrée automatiquement après l'exécution du script aws_vlc_postinstall.sh.

  2. Suite au redémarrage de votre machine virtuelle, vous devez synchroniser l’heure entre AWS Remote Log Collector et le serveur Security Analytics en suivant les étapes ci-dessous :
    - Ouvrez une session SSH sur votre machine virtuelle en suivant les instructions fournies dans
 

Synchroniser l'heure

Suite au redémarrage de votre machine virtuelle, vous devez synchroniser l’heure entre AWS Remote Log Collector et le serveur Security Analytics en suivant les étapes ci-dessous :

  1. Ouvrez une session SSH sur votre machine virtuelle en suivant les instructions fournies dans la section Connexion en SSH.
  2. Modifiez les utilisateurs sur le répertoire de base en saisissant la commande suivante :
    cd ~
  3. Connectez-vous à nouveau et exécutez la commande suivante :
    su root
  4. Pour synchroniser l’heure et la date entre le service AWS Remote Log Collection et le serveur Security Analytics, procédez comme suit :
    a. Obtenez la date et l'heure sur le serveur Security Analytics et le Remote Log Collector en exécutant la commande suivante.
    date
    b. Si la date et l’heure ne sont pas synchronisées, exécutez les commandes suivantes pour définir la date et l’heure sur AWS Remote Log Collector :

    date --set="MM/DD/YYYY"
    date --set="HH:MM:SS"
  5. Exécutez le script aws_vlc_start_services.sh. Ce script démarre tous les services requis.
    ./aws_vlc_start_services.sh
  6. Connectez-vous au serveur Security Analytics. Dans le menu Security Analytics, sélectionnez Administration > Hôtes.
  7. Cliquez sur Discover.

L’écran suivant s’affiche lorsque vous cliquez sur Découvrir.


7. Sélectionnez une appliance et un hôte, puis cliquez sur Activer pour activer votre appliance.

Remarque : Reportez-vous à la rubrique Dépannage si des erreurs se produisent au cours du provisionnement.

Déployer du contenu Log Collector

Sur le serveur Security Analytics, vous devez déployer nwlogcollectorcontent de Log Collector sur Remote Log collector (AWS) à l’aide de Live.

  1. Dans le menu Security Analytics, sélectionnez Live > Rechercher.
  2. Sous le menu déroulant Types de ressources, sélectionnez RSA Log Collector.
  3. Sélectionnez Rechercher.

Le Remote Log Collector (AWS) doit désormais être opérationnel et peut être vérifié sur la page Administration > Services.

Pour plus d’informations, consultez le Guide de Services Live, disponible dans le lien RSA à l’emplacement suivant :

https://community.rsa.com/docs/DOC-41548.

 

Déployer manuellement le service Remote Log Collector

Pour déployer manuellement votre service Remote Log Collector, procédez comme suit.

Remarque : Le déploiement de script est recommandé.

Connexion en SSH

Avant de télécharger des scripts, vous devez ouvrir une session SSH sur votre machine virtuelle, après avoir trouvé votre adresse IP en suivant les étapes ci-dessous.

  1. Pour obtenir l’adresse IP, sélectionnez le nom de l'instance virtuelle déployée.
  2. Après avoir sélectionné l’instance virtuelle, dans l'onglet Description, sélectionnez l’adresse IP privée de cette instance virtuelle spécifique.

L'écran suivant s'affiche.

  1. Ouvrez une connexion SSH sur votre instance virtuelle à l’aide d’un client SSH tel que PuTTY. Les instructions fournies se basent sur PuTTY, mais vous pouvez utiliser tout type de client SSH.
  2. Si vous utilisez PuTTy, exécutez la commande suivante pour vous connecter à une machine Linux :
    putty.exe

L'écran suivant s'affiche.

  1. Saisissez l’adresse IP à l’aide de l’adresse IP privée obtenue à l’écran précédent.
  2. Sous Type de connexion, sélectionnez SSH.
  3. Sous Fermer la fenêtre en quittant, sélectionnez l'une des options disponibles.
  4. Cliquez sur Ouvrir.

L'écran suivant s'affiche.

  1. Sélectionnez Connexion > SSH > Auth.
  2. Sélectionnez Parcourir pour trouver votre fichier de Clé privée.
  3. Cliquez sur Ouvrir pour vous connecter à votre instance virtuelle.

Désactiver CentOS Base Repo

Pour désactiver CentOS Base Repo :

  1. Exécutez la commande suivante :
    sudo vi /etc/yum.repos.d/CentOS-Base.repo
  2. Assurez-vous que le contenu du fichier CentOS-Base.repo dans le répertoire /etc/yum.repos dispose de sections avec enabled=0.
    Le contenu du fichier doit être semblable à l’exemple ci-dessous :
    [base]
    name=CentOS-$releasever - Base
    mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
    =os
    #baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
    gpgcheck=1
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
    enabled=0

Configurer l'utilisateur root

Pour déployer manuellement votre service Remote Log Collector, procédez comme suit :

  1. Configurez un utilisateur root à l’aide des commandes suivantes :
    sudo passwd root
    password (saisissez votre mot de passe, puis saisissez-le de nouveau)
  2. Connectez-vous en tant que root à l'aide de la commande suivante :
    su root
  1. Utiliser les commandes suivantes pour configurer un fichier repo
    cd /etc/yum.repos.d
    vi sa.repo

Remarque : Copiez le contenu ci-dessous et collez-le dans le fichier repo de Security Analytics ci-dessous, en remplaçant le nom d’utilisateur et le mot de passe du compte Live par vos informations d’identification du compte Live.

[sa]

name=SA Yum Repo

baseurl=https://<Nomd'utilisateurLive>:<MotdepasseLive>@smcupdate

.emc.com/nw10/rpm/

enabled = 1

protect = 0

gpgcheck = 0

sslVerify = 1

metadata_expire = 1d

failovermethod=priority

4. Enregistrez le fichier sa.repo.
Appuyez sur <Echap>: wq! pour enregistrer les modifications que vous avez apportées au fichier.

5. Exécutez les commandes suivantes pour télécharger et installer les conditions préalables.

yum install nwconsole

yum install nwappliance

yum install nwsdk

yum install nwlogcollector

yum install nwsupport-script

yum install (res-protobuffs,rsa-audit-rt,rsa-collectd,rsasa-

sshconfig,rsa-sms-runtime-rt,rsa-sa-tools,rsa-gpgpubkeys,

rsa-mcollective-agents)

yum install mcollective-*

yum install puppet

Configurer la communication (côté AWS)

Pour configurer la communication côté AWS :

  1. Modifiez le nom d’hôte pour ajouter le nom d’hôte à deux emplacements, comme indiqué ci-dessous.
    vi /etc/hostname
    vi /etc/sysconfig/network
  1. Appuyez sur <Echap>: wq! pour enregistrer les modifications que vous avez apportées aux fichiers.
  2. Modifiez le fichier Hôtes et ajoutez le nom d’hôte que vous avez ajouté dans le fichier Nom d’hôte. Ajoutez également le serveur IP de Security Analytics en tant que puppetmaster.local en exécutant la commande suivante :
    vi /etc/hosts
    Le contenu du fichier doit être similaire à celui présenté dans l’exemple suivant :
    127.0.0.1 <hostname> localhost.localdom localhost
    ::1 < hostname> localhost.localdom localhost ip6-localhost ip6-loopback
    <SA IP> puppetmaster.local
  3. Dans les étapes suivantes, l’ID de nœud vous sera indispensable. Exécutez la commande suivante pour obtenir l'ID de nœud :
    /etc/puppet/scripts/node_id.py
  4. Modifiez le fichier puppet.conf et ajoutez les lignes certname=node_id et server=puppetmaster.local, en remplaçant le node_id par celui de l’étape précédente.
    vi /etc/puppet/puppet.conf
    Le contenu du fichier doit être similaire à celui présenté dans l’exemple suivant :
    [main]
    rundir = /var/run/puppet
    logdir = var/log/puppet
    ssldir = $vardir/ssl
    certname = <node_id>
    [agent]
    localconfig = $vardir/localconfig
    classfile = $vardir/classes.txt
    server = puppetmaster.local
  5. Créez un fichier csr_attributes.yaml en exécutant la commande suivante, et en remplaçant le nom d’hôte et l'adresse IP du Remote Log Collector :
    vi /etc/puppet/csr_attributes.yaml
    Le contenu du fichier doit être identique à l’exemple suivant :
    custom_attributes:
    1.2.840.113549.1.9.7: fqdn=<nom d'hôte>, ipaddress=<ip du système(awsvlc)>,type=base
  6. Exécutez la commande suivante pour redémarrer votre système.
    reboot
  7. Connectez-vous au Remote Log Collector en suivant les instructions SSH de la section Connexion en SSH ci-dessus.
  8. Connectez-vous en tant que root et saisissez la commande suivante :
    su root
  9. Exécutez la commande suivante pour vous assurer que le Log Collector est défini en tant que Remote Log Collector et que tous les services sont en cours d’exécution :
    vi / etc/netwitness/ng/logcollection/logCollectionType
    Le contenu du fichier doit être identique à la ligne suivante :
    RC
  10. Pour synchroniser l’heure et la date entre le service AWS Remote Log Collection et le serveur Security Analytics, procédez comme suit :
    a. Obtenez la date et l'heure sur le serveur Security Analytics et le Remote Log Collector en exécutant la commande suivante.
    date
    b. Si la date et l’heure ne sont pas synchronisées, exécutez les commandes suivantes pour définir la date et l’heure sur AWS Remote Log Collector :

    date --set="MM/DD/YYYY"
    date --set="HH:MM:SS"
  11. Exécutez les commandes suivantes pour démarrer les services requis :
    service rabbitmq-server start
    service puppet start
    service mcollective start
    start nwlogcollector

Configurer les autorisations du pare-feu

Remarque : Vous devez ouvrir des ports entre votre Remote Log Collector et votre serveur Security Analytics. Vous devez également ouvrir des ports entre votre Log Collector et votre Log Decoder.

Configurez vos pare-feu pour permettre la communication entre Remote Log Collector et AWS, et les composants NetWitness répertoriés dans le tableau suivant.

                                                                                                 
À partir de l'hôteVers l'hôteVers les ports (Protocole)Commentaires

Serveur Security Analytics

Remote Log Collector

56001 (TCP) ou

50001 (TCP)

SSL ou

Non SSL

 

Serveur Security Analytics

Remote Log Collector

50101 (TCP)

REST (facultatif)

Serveur Security AnalyticsRemote Log Collector5672 (TCP)RabbitMQ
Serveur Security AnalyticsRemote Log Collector50055 (TCP)

RSA-SMS

Serveur Security AnalyticsRemote Log Collector50056 (TCP)RSA-SMS

Remote Log Collector

Serveur Security Analytics

8140 (TCP)

Puppet

Serveur Security AnalyticsRemote Log Collector61614 (TCP)MCollective

Remote Log Collector

Serveur Security Analytics

61614 (TCP)

MCollective

Serveur Security AnalyticsRemote Log Collector15671 (TCP)RabbitMQ

Remote Log Collector

Serveur Security Analytics

15671 (TCP)

RabbitMQ

En mode Pull :    
Log Collector (sur Log Decoder)Remote Log Collector5671 (TCP)RabbitMQ
En mode Push :    
Remote Log Collector Log Collector (sur Log Decoder)5671 (TCP)RabbitMQ

Voici le lien général répertoriant quels ports doivent être ouverts sur quelles appliances : https://community.rsa.com/docs/DOC-54917.

Activer Remote Log Collector sur le serveur Security Analytics

1. Exécutez la commande suivante pour activer Remote Log Collector sur le serveur Security Analytics :

puppet agent -t --waitforcert 30

Configurer la communication (côté NetWitness)

Pour configurer la communication du côté Netwitness, procédez comme suit :

  1. Connectez-vous au serveur Security Analytics.
    Dans le menu Security Analytics, sélectionnez Administration > Hôtes.
  2. Cliquez sur Discover.


L'écran suivant s'affiche.

2. Sélectionnez une appliance et un hôte, puis cliquez sur Activer.

Déployer du contenu Log Collector

Sur le serveur Security Analytics, vous devez déployer nwlogcollectorcontent de Log Collector sur Remote Log collector (AWS) à l’aide de Live.

  1. Dans le menu Security Analytics, sélectionnez Live > Types de ressources.
  2. Sous le menu déroulant Types de ressources, sélectionnez RSA Log Collector.
  3. Sélectionnez Rechercher.

Le Remote Log Collector (AWS) doit désormais être opérationnel et peut être vérifié sur la page Administration > Services.

Pour plus d’informations, consultez le Guide de Services Live, disponible dans le lien RSA à l’emplacement suivant :

https://community.rsa.com/docs/DOC-41548.

 

You are here
Table of Contents > Configurer et déployer le service Remote Log Collector dans AWS > Étape 3  Déployer le service Remote Log Collector dans AWS

Attachments

    Outcomes