Déploiement de Log Collection : Configurer des collecteurs locaux et des collecteurs distants

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique indique comment configurer des collecteurs locaux et distants.

Lorsque vous déployez Log Collection, vous devez configurer les Log Collectors pour qu’ils collectent les événements de log auprès des diverses sources d’événements, puis pour qu’ils fournissent de manière fiable et sécurisée ces événements à l'hôte Log Decoder, dans lequel ils sont décryptés et stockés pour analyse ultérieure.

Vous pouvez configurer un ou plusieurs collecteurs distants pour transmettre les données d'événements à un collecteur local, ou vous pouvez configurer un collecteur local pour extraire les données d'événements d'un ou de plusieurs collecteurs distants.

Revenez à la rubrique Procédures

Cette rubrique vous indique comment :

  • Configurer un collecteur local pour qu'il extraie des événements d'un collecteur distant
    Si vous souhaitez qu'un collecteur local extraie des événements à partir d'un collecteur distant, configurez ce paramètre dans l’onglet Collecteurs distants de la vue Configuration du collecteur local.
  • Configurer un collecteur distant pour qu'il transmette des événements à des collecteurs locaux
    Si vous souhaitez qu'un collecteur distant extraie des événements à partir d'un collecteur local, configurez ce paramètre dans l’onglet Collecteur local de la vue Configuration du collecteur distant. Dans la configuration de transmission, vous pouvez aussi : 
    • Configurer un collecteur local de basculement pour le collecteur distant
      Configurez une destination composée de collecteurs locaux.  Lorsque le collecteur local principal est injoignable, le collecteur distant tente de se connecter à chaque collecteur local de cette destination jusqu'à ce qu'il réussisse à établir la connexion.
    • Configurer la réplication
      Vous configurez plusieurs groupes de destinations afin que Security Analytics réplique les données d'événements dans chaque groupe. Si la connexion à l'un des groupes de destinations échoue, vous pouvez restaurer les données requises, car elles sont répliquées dans l'autre groupe de destinations.
    • Configurer le routage de logs pour des protocoles spécifiques
      Configurez plusieurs destinations dans un groupe de destinations afin de diriger les données d'événements vers des emplacements spécifiques en fonction du type de protocole.
  • Configurer une chaîne de collecteurs distants
    Vous pouvez configurer une chaîne de collecteurs distants pour transmettre les données d'événements à un collecteur local, ou vous pouvez configurer un collecteur local pour extraire les données d'événements d'une chaîne de collecteurs distants.
    • Un ou plusieurs collecteurs distants pour transmettre les données d’événement à un collecteur distant.
    • Un collecteur distant pour extraire les données à partir d’un ou plusieurs collecteurs distants.

Basculement sur incident et réplication

La figure suivante illustre un collecteur distant configuré pour le basculement sur incident et la réplication.

destination_grps_diag.png

Dans le groupe de destinations 1, LC-2 et LC-3 sont les collecteurs locaux de basculement sur incident configurés pour LC-1. Si le collecteur distant ne parvient pas à se connecter au LC-1, le collecteur distant tente de se connecter au LC-2 ou au LC-3 jusqu'à ce qu'une connexion soit établie.

Le groupe de destinations 1 et le groupe de destinations 2 sont configurés pour la réplication. Si le collecteur local du groupe de destinations 1 échoue, vous pouvez utiliser les données répliquées dans le collecteur local du groupe de destinations 2.

Remarque : Vous pouvez également configurer le routage des logs afin que ces données d'événements pour des protocoles spécifiques soient envoyées vers des destinations.

Procédure

Vous choisissez le Log Collector, qui est un collecteur local (LC) ou distant (RC), pour lequel vous souhaitez définir des paramètres de déploiement dans la vue Services. La procédure suivante indique comment accéder à la vue Services, sélectionner un connecteur local ou distant, puis afficher l'interface des paramètres de déploiement pour ce service.

AddRCLA1(simple).png

Accédez à la vue Services.

LCParamConfigNav.png

Sélectionnez un service Log Collector.

Cliquez sur AdvcdExpandBtn.PNG sous Actions, puis sélectionnez Vue > Config pour afficher les onglets des paramètres de configuration de Log Collection.

RCLCTab.png

À l'étape 2, si vous avez sélectionné un service Log Collector pour un :

  • collecteur local, l'onglet Collecteurs distants s'affiche. Sélectionnez les collecteurs distants à partir desquels le collecteur local extrait les événements dans cet onglet.
  • collecteur distant, les Collecteurs locaux s'affichent. Sélectionnez les collecteurs locaux vers lequel le collecteur distant envoie des événements dans cet onglet.
You are here
Table of Contents > Guide de déploiement de Log Collection > Procédures > Configurer des collecteurs locaux et des collecteurs distants

Attachments

    Outcomes