Paso 3: Implementar el servicio Remote Log Collector en AWS

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo implementar el servicio de recopilación remota de registros en un ambiente AWS mediante scripts automatizados y también cómo implementarlo manualmente.

Uso de scripts para implementar el servicio Remote Log Collector

Después de configurar el servicio Remote Log Collector, debe implementarlo en una máquina virtual (VM) mediante los pasos que se proporcionan a continuación.

Nota: Se recomienda usar scripts. Si está utilizando scripts, siga los pasos que se señalan a continuación. O bien, para implementar manualmente el servicio Remote Log Collector, consulte los pasos de la sección Implementar manualmente el servicio Remote Log Collector.

Iniciar sesión mediante el protocolo SSH

Antes de descargar scripts, debe acceder a la máquina virtual mediante el protocolo SSH después de encontrar la dirección IP a través de los siguientes pasos.

  1. Para obtener la dirección IP, seleccione el nombre de la instancia virtual implementada.
  2. En la pestaña Descripción, ingrese la dirección IP privada de esa instancia virtual específica.

Se muestra la siguiente pantalla.

  1. Acceda a la instancia virtual mediante el protocolo SSH a través de un cliente de este protocolo, como PuTTY. Se proporcionan instrucciones para PuTTY, pero puede utilizar cualquier cliente del protocolo SSH.
  2. Si está usando PuTTY, ejecute el siguiente comando para conectarse a un Remote Log Collector:
    putty.exe

Se muestra la siguiente pantalla.

  1. Ingrese la dirección IP. Debe usar la dirección IP privada de la pantalla anterior.
  2. En Tipo de conexión, seleccione Protocolo SSH.
  3. Haga clic en Abrir.

Se muestra la siguiente pantalla.

  1. Seleccione Conexión > protocolo SSH > Autenticación.
  2. Seleccione Navegar para buscar el archivo de Clave privada.
  3. Haga clic en Abrir para conectarse a la instancia virtual.

Deshabilitar el repositorio base de CentOS

Para deshabilitar el repositorio base de CentOS:

  1. Ejecute el siguiente comando:
    sudo vi /etc/yum.repos.d/CentOS-Base.repo
  2. Asegúrese de que en el contenido del archivo CentOS-Base.repo en el directorio /etc/yum.repos se incluyan secciones con enabled=0
    El contenido del archivo debe ser similar al siguiente ejemplo:
    [base]
    name=CentOS-$releasever - Base
    mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
    =os
    #baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
    gpgcheck=1
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
    enabled=0

Descargar los scripts de AWS

Nota: Cada script requiere que ingrese sus credenciales de nombre de usuario y contraseña en https://community.rsa.com.

Puede descargar los scripts de AWS a su máquina desde las siguientes ubicaciones:

aws_vlc_preinstall.sh - https://community.rsa.com/docs/DOC-53180
aws_vlc_postinstall.sh - https://community.rsa.com/docs/DOC-53201
aws_vlc_start_services.sh - https://community.rsa.com/docs/DOC-53202

Instrucciones de WinSCP para copiar los scripts descargados

Cuando haya descargado los scripts de AWS a la máquina local, debe acceder a la máquina virtual mediante SFTP a través de un cliente SFTP, como WinSCP, de modo que pueda transferir los scripts al Log Collector de AWS.

Para conectarse a una instancia de la máquina virtual con SFTP, inicie WinSCP mediante las instrucciones que se presentan a continuación.

En el cuadro de diálogo de inicio de sesión de WinSCP:

  1. Asegúrese de que la opción Nuevo nodo de sitio esté seleccionada.
  2. En el campo Nuevo nodo de sitio, seleccione el protocolo SFTP.
  3. Ingrese el Nombre de host.
  4. Ingrese el nombre de usuario predeterminado.

  5. Deje el campo de contraseña en blanco.
  6. Haga clic en el botón Guardar para guardar la configuración.
  7. Haga clic en el botón Conectar para iniciar sesión.
  8. Verifique la clave del host, para lo cual debe consultar la clave que creó en la sección Crear un par de claves del Paso 1: Iniciar sesión en AWS y crear una instancia.



  1. Copie los scripts que descargó desde la laptop al directorio principal del Remote Log Collector.
  2. Utilice las instrucciones del protocolo SSH para acceder a la máquina de AWS mediante este protocolo, como se describe en la sección Iniciar sesión mediante el protocolo SSH.
  3. Cambie el usuario al directorio principal mediante el siguiente comando:
    cd ~
  4. Utilice el siguiente comando para proporcionar permisos de ejecución antes de ejecutar estos scripts:
    sudo chmod +x aws_vlc_preinstall.sh
    sudo chmod +x aws_vlc_preinstall.sh
    sudo chmod +x aws_vlc_start_services.sh

Configurar los permisos de firewall para permitir la comunicación

Nota: Es necesario abrir puertos entre el Remote Log Collector y el servidor de Security Analytics, y también entre el Log Collector en el Log Decoder.

Configure el o los firewalls para permitir la comunicación entre Remote Log Collector y AWS, y los componentes de NetWitness que se enumeran en la siguiente tabla.

                                                                                                 
De hostA hostA puertos (protocolo)Comentarios

Servidor de Security Analytics

Remote Log Collector

56001 (TCP) o

50001 (TCP)

SSL o

No SSL

 

Servidor de Security Analytics

Remote Log Collector

50101 (TCP)

REST (opcional)

Servidor de Security AnalyticsRemote Log Collector5672 (TCP)RabbitMQ
Servidor de Security AnalyticsRemote Log Collector50055 (TCP)

RSA-SMS

Servidor de Security AnalyticsRemote Log Collector50056 (TCP)RSA-SMS

Remote Log Collector

Servidor de Security Analytics

8140 (TCP)

Puppet

Servidor de Security AnalyticsRemote Log Collector61614 (TCP)MCollective

Remote Log Collector

Servidor de Security Analytics

61614 (TCP)

MCollective

Servidor de Security AnalyticsRemote Log Collector15671 (TCP)Puppet

Remote Log Collector

Servidor de Security Analytics

15671 (TCP)

Puppet

En el modo de extracción:    
Log Collector (en Log Decoder)Remote Log Collector5671 (TCP)RabbitMQ
En el modo de migración:    
Remote Log Collector Log Collector (en Log Decoder)5671 (TCP)RabbitMQ

Ejecutar los scripts de AWS

Para usar los scripts con el fin de configurar el servicio Remote Log Collector en AWS, realice los siguientes pasos.

  1. Cambie al directorio principal mediante el siguiente comando:
    cd ~

Nota: Cada script requiere que ingrese sus credenciales de nombre de usuario y contraseña de la comunidad de RSA, como lo haría en https://community.rsa.com.

  1. Configure un usuario raíz mediante los siguientes comandos:
    sudo password root
    Passwd
    (ingrese su contraseña y vuelva a escribirla)
  2. Inicie sesión como raíz e ingrese el siguiente comando:
    su root
  1. Ejecute el script aws_vlc_preinstall.sh.
    Este script crea un archivo sa.repo que instala toda las dependencias y los paquetes requeridos.
    Una vez que ejecuta el script, debe ingresar los siguientes tres parámetros como entrada:
    -Nombre de usuario de la cuenta de Live
    -Contraseña de la cuenta de Live
    -Versión del Log Collector que desea instalar
  2. Ejecute el script mediante el siguiente comando:
    ./aws_vlc_preinstall.sh

 

  1. Ejecute el script aws_vlc_postinstall.sh. Este script cambia el Nombre de host y permite configurar la dirección del servidor de Security Analytics.
    Debe ingresar dos parámetros como entrada: Nombre de host y Dirección IP de Security Analytics. Asegúrese de ingresar los parámetros de entrada entre comillas simples separadas por un espacio, como se muestra en el siguiente comando:
    ./aws_vlc_postinstall.sh '<hostname>' '<IP Address of the Security Analytics Server>'

 

  1. Vuelva a iniciar sesión en Remote Log Collector a medida que la máquina virtual se reinicia automáticamente después de la ejecución del script aws_vlc_postinstall.sh.

  2. Después del reinicio de la máquina virtual, debe sincronizar la hora entre Remote Log Collector de AWS y el servidor de Security Analytics mediante los siguientes pasos:
    - Acceda a la máquina virtual mediante el protocolo SSH de acuerdo con las instrucciones que se proporcionan en
 

Sincronizar la hora

Después del reinicio de la máquina virtual, debe sincronizar la hora entre Remote Log Collector de AWS y el servidor de Security Analytics mediante los siguientes pasos:

  1. Acceda a la máquina virtual mediante el protocolo SSH de acuerdo con las instrucciones que se proporcionan en Iniciar sesión mediante el protocolo SSH.
  2. Cambie los usuarios al directorio principal mediante el siguiente comando:
    cd ~
  3. Vuelva a iniciar sesión y ejecute el siguiente comando:
    su root
  4. Para sincronizar la hora y la fecha entre el servicio de recopilación remota de registros de AWS y el servidor de Security Analytics, siga estos pasos:
    a. Obtenga la fecha y la hora actuales en el servidor de Security Analytics y en Remote Log Collector mediante la ejecución del siguiente comando.
    date
    b. Si la fecha y la hora no están sincronizadas, ejecute los siguientes comandos para establecerlas en Remote Log Collector de AWS:

    date --set="MM/DD/YYYY"
    date --set="HH:MM:SS"
  5. Ejecute el script aws_vlc_start_services.sh. Este script inicia todos los servicios requeridos.
    ./aws_vlc_start_services.sh
  6. Inicie sesión en el servidor de Security Analytics. En el menú de Security Analytics, vaya a Administration > Hosts.
  7. Haga clic en Descubrir.

Cuando hace clic en Descubrir, se muestra la siguiente pantalla.


7. Seleccione un dispositivo y un host y, a continuación, haga clic en Habilitar para habilitar el dispositivo.

Nota: Consulte la sección Solución de problemas si se producen errores durante el aprovisionamiento.

Implementar el contenido de Log Collector

En el servidor de Security Analytics, debe implementar el Log Collector nwlogcollectorcontent en el Remote Log Collector (AWS) mediante Live.

  1. En el menú de Security Analytics, seleccione Live > Buscar.
  2. En el menú desplegable Tipos de recursos, seleccione RSA Log Collector.
  3. Seleccione Search.

El Remote Log Collector (AWS) ahora debe estar operativo y esto se puede verificar en la página Administration > Servicios.

Para obtener más información, consulte la Guía de servicios de Live, disponible en RSA Link en la siguiente ubicación:

https://community.rsa.com/docs/DOC-41548.

 

Implementar manualmente el servicio Remote Log Collector

Para implementar manualmente el servicio Remote Log Collector, siga estos pasos.

Nota: Se recomienda la implementación mediante el script.

Iniciar sesión mediante el protocolo SSH

Antes de descargar scripts, debe acceder a la máquina virtual mediante el protocolo SSH después de encontrar la dirección IP a través de los siguientes pasos.

  1. Para obtener la dirección IP, seleccione el nombre de la instancia virtual implementada.
  2. Una vez que selecciona la instancia virtual, en la pestaña Descripción, seleccione la dirección IP privada de esa instancia virtual específica.

Se muestra la siguiente pantalla.

  1. Acceda a la instancia virtual mediante el protocolo SSH a través de un cliente de este protocolo, como PuTTY. Se proporcionan instrucciones para PuTTY, pero puede utilizar cualquier cliente del protocolo SSH.
  2. Si está usando PuTTY, ejecute el siguiente comando para conectarse a una máquina Linux:
    putty.exe

Se muestra la siguiente pantalla.

  1. Ingrese la dirección IP. Debe usar la dirección IP privada de la pantalla anterior.
  2. En Tipo de conexión, seleccione Protocolo SSH.
  3. En Cerrar la ventana al salir, seleccione una de las opciones disponibles.
  4. Haga clic en Abrir.

Se muestra la siguiente pantalla.

  1. Seleccione Conexión > protocolo SSH > Autenticación.
  2. Seleccione Navegar para buscar el archivo de Clave privada.
  3. Haga clic en Abrir para conectarse a la instancia virtual.

Deshabilitar el repositorio base de CentOS

Para deshabilitar el repositorio base de CentOS:

  1. Ejecute el siguiente comando:
    sudo vi /etc/yum.repos.d/CentOS-Base.repo
  2. Asegúrese de que en el contenido del archivo CentOS-Base.repo en el directorio /etc/yum.repos se incluyan secciones con enabled=0
    El contenido del archivo debe ser similar al siguiente ejemplo:
    [base]
    name=CentOS-$releasever - Base
    mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
    =os
    #baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
    gpgcheck=1
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
    enabled=0

Configurar el usuario raíz

Para implementar manualmente el Remote Log Collector, siga estos pasos:

  1. Configure un usuario raíz mediante los siguientes comandos:
    sudo passwd root
    password (Ingrese su contraseña y vuelva a escribirla).
  2. Inicie sesión como raíz mediante el siguiente comando:
    su root
  1. Use los siguientes comandos para configurar un archivo repo
    cd /etc/yum.repos.d
    vi sa.repo

Nota: Copie el siguiente contenido y péguelo en el archivo repo de Security Analytics. Debe reemplazar el nombre de usuario y la contraseña de cuenta de Live por sus credenciales de cuenta de Live.

[sa]

name=SA Yum Repo

baseurl=https://<LiveAccountUsername>:<LiveAccountPassword>@smcupdate

.emc.com/nw10/rpm/

enabled = 1

protect = 0

gpgcheck = 0

sslVerify = 1

metadata_expire = 1d

failovermethod=priority

4. Guarde el archivo sa.repo.
Presione <Escape>:wq! para guardar los cambios que realizó en el archivo.

5. Ejecute los siguientes comandos para descargar e instalar las dependencias.

yum install nwconsole

yum install nwappliance

yum install nwsdk

yum install nwlogcollector

yum install nwsupport-script

yum install (res-protobuffs,rsa-audit-rt,rsa-collectd,rsasa-

sshconfig,rsa-sms-runtime-rt,rsa-sa-tools,rsa-gpgpubkeys,

rsa-mcollective-agents)

yum install mcollective-*

yum install puppet

Configurar la comunicación (en el lado de AWS)

Para configurar la comunicación en el lado de AWS:

  1. Edite el archivo hostname para agregar el nombre de host en dos lugares, como se muestra a continuación.
    vi /etc/hostname
    vi /etc/sysconfig/network
  1. Presione <Escape>:wq! para guardar los cambios que realizó en los archivos.
  2. Editar el archivo Hosts y agregue el nombre de host que agregó en el archivo Nombre de host. Agregue también el servidor IP de Security Analytics como puppetmaster.local mediante la ejecución del siguiente comando:
    vi /etc/hosts
    El contenido del archivo debe ser similar a lo que se muestra en el siguiente ejemplo:
    127.0.0.1 <hostname> localhost.localdom localhost
    ::1 < hostname> localhost.localdom localhost ip6-localhost ip6-loopback
    <SA IP> puppetmaster.local
  3. En los siguientes pasos, necesitará el ID del nodo. Ejecute el siguiente comando para obtener el ID del nodo:
    /etc/puppet/scripts/node_id.py
  4. Edite el archivo puppet.conf y agregue las líneas certname=node_id y server=puppetmaster.local. Debe reemplazar node_id por el del paso anterior.
    vi /etc/puppet/puppet.conf
    El contenido del archivo debe ser similar a lo que se muestra en el siguiente ejemplo:
    [main]
    rundir = /var/run/puppet
    logdir = var/log/puppet
    ssldir = $vardir/ssl
    certname = <node_id>
    [agent]
    localconfig = $vardir/localconfig
    classfile = $vardir/classes.txt
    server = puppetmaster.local
  5. Cree un archivo csr_attributes.yaml mediante la ejecución del siguiente comando. Debe reemplazar el nombre de host y la dirección IP de Remote Log Collector:
    vi /etc/puppet/csr_attributes.yaml
    El contenido del archivo debe corresponder exactamente a lo que se muestra en el siguiente ejemplo:
    custom_attributes:
    1.2.840.113549.1.9.7: fqdn=<hostname>, ipaddress=<ip of the system(awsvlc)>,type=base
  6. Ejecute el siguiente comando para reiniciar el sistema.
    reboot
  7. Inicie sesión en Remote Log Collector mediante las instrucciones para el protocolo SSH de la sección Iniciar sesión mediante el protocolo SSH anterior.
  8. Inicie sesión como raíz e ingrese el siguiente comando:
    su root
  9. Ejecute el siguiente comando para asegurarse de que el Log Collector esté configurado como un Remote Log Collector y que todos los servicios estén en ejecución:
    vi / etc/netwitness/ng/logcollection/logCollectionType
    El contenido del archivo debe ser igual a la siguiente línea:
    RC
  10. Para sincronizar la hora y la fecha entre el servicio de recopilación remota de registros de AWS y el servidor de Security Analytics, siga estos pasos:
    a. Obtenga la fecha y la hora actuales en el servidor de Security Analytics y en Remote Log Collector mediante la ejecución del siguiente comando.
    date
    b. Si la fecha y la hora no están sincronizadas, ejecute los siguientes comandos para establecerlas en Remote Log Collector de AWS:

    date --set="MM/DD/YYYY"
    date --set="HH:MM:SS"
  11. Ejecute los siguientes comandos para iniciar los servicios requeridos:
    service rabbitmq-server start
    service puppet start
    service mcollective start
    start nwlogcollector

Configurar permisos de firewall

Nota: Es necesario abrir puertos entre el Remote Log Collector y el servidor de Security Analytics, y también entre el Log Collector en el Log Decoder.

Configure el o los firewalls para permitir la comunicación entre Remote Log Collector y AWS, y los componentes de NetWitness que se enumeran en la siguiente tabla.

                                                                                                 
De hostA hostA puertos (protocolo)Comentarios

Servidor de Security Analytics

Remote Log Collector

56001 (TCP) o

50001 (TCP)

SSL o

No SSL

 

Servidor de Security Analytics

Remote Log Collector

50101 (TCP)

REST (opcional)

Servidor de Security AnalyticsRemote Log Collector5672 (TCP)RabbitMQ
Servidor de Security AnalyticsRemote Log Collector50055 (TCP)

RSA-SMS

Servidor de Security AnalyticsRemote Log Collector50056 (TCP)RSA-SMS

Remote Log Collector

Servidor de Security Analytics

8140 (TCP)

Puppet

Servidor de Security AnalyticsRemote Log Collector61614 (TCP)MCollective

Remote Log Collector

Servidor de Security Analytics

61614 (TCP)

MCollective

Servidor de Security AnalyticsRemote Log Collector15671 (TCP)RabbitMQ

Remote Log Collector

Servidor de Security Analytics

15671 (TCP)

RabbitMQ

En el modo de extracción:    
Log Collector (en Log Decoder)Remote Log Collector5671 (TCP)RabbitMQ
En el modo de migración:    
Remote Log Collector Log Collector (en Log Decoder)5671 (TCP)RabbitMQ

El vínculo general que indica qué puertos deben estar abiertos en qué dispositivo se puede encontrar en https://community.rsa.com/docs/DOC-54917.

Habilitar Remote Log Collector en el servidor de Security Analytics

1. Ejecute el siguiente comando para habilitar Remote Log Collector en el servidor de Security Analytics:

puppet agent -t --waitforcert 30

Configurar la comunicación (en el lado de NetWitness)

Para configurar la comunicación en el lado de NetWitness, siga estos pasos:

  1. Inicie sesión en el servidor de Security Analytics.
    En el menú de Security Analytics, vaya a Administration > Hosts.
  2. Haga clic en Descubrir.


Se muestra la siguiente pantalla.

2. Seleccione un dispositivo y un host y, a continuación, haga clic en Habilitar.

Implementar el contenido de Log Collector

En el servidor de Security Analytics, debe implementar el Log Collector nwlogcollectorcontent en el Remote Log Collector (AWS) mediante Live.

  1. En el menú de Security Analytics, seleccione Live > Tipos de recursos.
  2. En el menú desplegable Tipos de recursos, seleccione RSA Log Collector.
  3. Seleccione Search.

El Remote Log Collector (AWS) ahora debe estar operativo y esto se puede verificar en la página Administration > Servicios.

Para obtener más información, consulte la Guía de servicios de Live, disponible en RSA Link en la siguiente ubicación:

https://community.rsa.com/docs/DOC-41548.

 

You are here
Table of Contents > Configurar e implementar el servicio Remote Log Collector en AWS > Paso 3: Implementar el servicio Remote Log Collector en AWS

Attachments

    Outcomes