Paso 2: Configurar el servicio Remote Log Collector

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo configurar el servicio de recopilación remota de registros en un ambiente Amazon Web Services (AWS).

Una vez que haya descargado la plantilla CentOS 6 (x86_64) - with Updates HVM y creado una instancia, en el próximo paso de configuración debe elegir una imagen de máquina de Amazon (AMI) y un tipo de instancia.

Nota: Solo debe descargar la plantilla CentOS 6 (x86_64) - with Updates HVM una vez y puede utilizarla posteriormente para crear varias instancias.

Elegir una imagen de máquina de Amazon

Una AMI es una plantilla que contiene la configuración de software necesaria para iniciar una instancia.

Realice los siguientes pasos para elegir un tipo de instancia.

  1. Seleccione una AMI en la lista que se muestra en la pantalla.

  2. Haga clic en el botón Seleccionar para completar su selección.

Elegir un tipo de instancia

Un tipo de instancia consta de diversas combinaciones de capacidad de CPU, memoria, almacenamiento y red que brindan la flexibilidad para elegir una combinación adecuada de recursos para sus aplicaciones. Cada tipo de instancia incluye uno o más tamaños de instancia que le permiten escalar sus recursos a los requisitos de su carga de trabajo.

Realice los siguientes pasos para elegir un tipo de instancia.

  1. Seleccione un tipo de instancia en la lista desplegable.
  2. Seleccione Generación actual o Todas las generaciones en la lista desplegable.

    Para obtener información detallada, consulte las siguientes tablas.

    Para obtener el mejor rendimiento, Amazon Web Services recomienda usar los tipos de instancia de la generación actual cuando se inician nuevas instancias.

    Amazon Web Services ofrece instancias de la generación anterior a los usuarios que optimizaron sus aplicaciones en torno a ellas y que aún deben actualizarlas.

  3. Seleccione Siguiente: Configurar los detalles de la instancia.


En la siguiente tabla se describen los campos que se muestran en la figura anterior.

                                       
CampoDescripción
Familia

Una agrupación de tipo de instancia general que utiliza capacidad de almacenamiento o CPU.

TipoUna especificación que define la capacidad de memoria, CPU y almacenamiento, así como el costo por hora de una instancia. Algunos tipos de instancia están diseñados para aplicaciones estándares, mientras que otros lo están para aplicaciones con un alto consumo de CPU y memoria.
vCPULa cantidad de CPU virtuales para la instancia.
Memory (GiB)La cantidad de memoria que se utiliza para la instancia.
Almacenamiento de la instancia (GB)Los volúmenes del área de almacenamiento de la instancia local que están disponibles para la instancia. Los datos de un área de almacenamiento de instancia no son permanentes; solo persisten el tiempo que dura la instancia.
Optimizada para EBSIndica si el tipo de instancia es compatible con la optimización de EBS. Una instancia optimizada para EBS proporciona rendimiento adicional y exclusivo para los I/O de Amazon EBS. Esto ofrece un mejor rendimiento de los volúmenes de Amazon EBS y permite que las instancias utilicen los IOPS aprovisionados por completo.
Rendimiento de la redIndica el nivel de rendimiento de la velocidad de transferencia de datos.

En la siguiente tabla se indican las especificaciones recomendadas para el CPU, la memoria y el tamaño de disco para Remote Log Collector en función de los eventos por segundo (EPS).

                                  
TasaCantidad de CPURAMDisco
30,000 EPS815 GB150 GB

15,000 EPS

4

7.5 GB

150 GB

2,500 EPS23.75 GB150 GB

Configurar los detalles de la instancia

Realice los siguientes pasos para configurar los detalles de la instancia. Consulte las descripciones detalladas en la siguiente tabla.

Nota: Consulte al administrador de AWS las selecciones adecuadas de Configurar instancia.

  1. Seleccione Cantidad de instancias en la lista desplegable.

    Nota: Puede iniciar más de una instancia por vez.

  2. (Opcional) En la opción Compra, seleccione la casilla de verificación Solicitar instancias de subasta.
  3. Seleccione una Red en la lista desplegable.
  4. Seleccione una Zona de disponibilidad en la lista desplegable. 

  5. Seleccione una Función de IAM en la lista desplegable.
    Tenga en cuenta que el valor predeterminado es Ninguno.
  6. Seleccione Comportamiento en apagado en la lista desplegable.
  7. (Opcional) En Habilitar protección de terminación, seleccione la casilla de verificación Protección contra la terminación accidental.
  8. (Opcional) En Monitoreo, seleccione la casilla de verificación Habilitar monitoreo detallado de CloudWatch.
  9. Haga clic en Siguiente: Agregar almacenamiento.

  

En la siguiente tabla se proporciona información relacionada con las diversas opciones de configuración de la instancia.

                                                    
CampoDescripción
Cantidad de instancias

Ingrese la cantidad de instancias que desea configurar. Tenga en cuenta que puede configurar más de una instancia por vez.

(Opcional) Opción
Compra:
Solicitar instancias de subasta

Las instancias de subasta permiten hacer ofertas por instancias de EC2 sin uso, lo cual puede disminuir considerablemente los costos de Amazon EC2. Amazon EC2 establece el precio por hora de una instancia de subasta (de cada tipo de instancia en cada zona de disponibilidad), y este varía conforme a la oferta y la demanda de instancias de subasta. La instancia de subasta se ejecuta cada vez que su oferta supera el precio de mercado actual.

Seleccione esta opción de compra si puede admitir flexibilidad en relación con la ejecución de sus aplicaciones y si estas se pueden interrumpir, como cuando se ejecutan trabajos por lotes y tareas de procesamiento en segundo plano.

Red

La selección de una red le permite iniciar su instancia en Amazon Virtual Private Cloud (VPC). Puede crear una VPC y seleccionar su propio rango de direcciones IP, crear subredes, configurar tablas de enrutamiento y configurar gateways de red.
SubredUn rango de direcciones IP en su VPC que se puede usar para aislar distintos recursos de EC2 entre sí o de Internet. Cada subred reside en una zona de disponibilidad.
Zona de disponibilidad (el valor predeterminado es sin preferencia)

Una ubicación diferente dentro de una región que está diseñada para estar aislada en caso de fallas de otras zonas de disponibilidad, la cual proporciona conectividad de red económica y de baja latencia para otras zonas de disponibilidad de la misma región.

Seleccione una función de IAM (el valor predeterminado es ninguna) Una función de IAM es una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. En lugar de estar asociada únicamente a una persona, cualquier persona que necesite una función puede adoptarla. Además, una función no tiene credenciales (contraseña o claves de acceso) asociadas. Si se asigna una función a un usuario, se crean claves de acceso de forma dinámica y se le proporcionan.

Comportamiento en apagado

Especifique el comportamiento de la instancia cuando se lleva a cabo un apagado en el nivel del sistema operativo. Las instancias se pueden finalizar o detener.
(Opcional)
Habilitar protección de terminación

Puede proteger las instancias contra la terminación accidental. Cuando se habilite, no podrá terminar esta instancia a través de la API ni de la consola de administración de AWS hasta que la protección de terminación se haya deshabilitado.

(Opcional) Monitoreo: Habilitar monitoreo detallado de CloudWatch

Permite monitorear, recopilar y analizar métricas sobre sus instancias mediante Amazon CloudWatch. Si habilita esta opción, se aplican cargos adicionales.

Grupos de usuarios

Puede optar por ejecutar sus instancias en servidores físicos completamente exclusivos para su uso. El uso de grupos de usuarios de host le exige iniciar instancias en hosts exclusivos, mientras que con el uso de grupos de usuarios exclusivos, las instancias se iniciarán como instancias exclusivas. Puede iniciar una instancia con un grupo de usuarios de host o de manera exclusiva en una Amazon Virtual Private Cloud (VPC) exclusiva.

Agregar almacenamiento

Amazon EC2 permite asignar opciones flexibles de almacenamiento de datos para sus instancias.

Realice los siguientes pasos para configurar los ajustes de almacenamiento para su instancia:

  1. Ingrese el tamaño del almacenamiento en el campo Tamaño.
    El tamaño del volumen debe ser mayor que cero o que el tamaño del snapshot utilizado. Los volúmenes de IOPS (disco SSD) aprovisionados deben tener un tamaño de al menos 4 GB.
  2. Seleccione Tipo de volumen magnético en la lista desplegable.
  3. Haga clic en Siguiente: Etiquetar instancia.

En la siguiente tabla se describen los campos de la pantalla Agregar almacenamiento.

                                         
CampoDescripción
TipoAmazon EBS es un volumen de almacenamiento de nivel de bloque que persiste de manera independiente de la duración de una instancia de EC2, de modo que puede detener y reiniciar la instancia con posterioridad. Los volúmenes de área de almacenamiento de instancias efímeras se conectan físicamente a la computadora host. Los datos de un área de almacenamiento de instancia persisten solo mientras dura la instancia.
DispositivoLos nombres de dispositivo disponibles para el volumen. Según el controlador del dispositivo de bloques del kernel de AMI seleccionado, el dispositivo se puede conectar con un nombre diferente al que usted especifica.
SnapshotUn snapshot es un respaldo de un volumen de EC2 que se almacena en S3. Puede crear un volumen nuevo mediante los datos almacenados en un snapshot si ingresa el ID del snapshot Puede buscar snapshots públicos si escribe texto en el campo Snapshot. Las descripciones distinguen mayúsculas de minúsculas.
TamañoEl tamaño del volumen debe ser mayor que cero o que el tamaño del snapshot utilizado. Los volúmenes de IOPS (disco SSD) aprovisionados deben tener un tamaño de al menos 4 GB.
Tipo de volumen

Los volúmenes magnéticos ofrecen un promedio de 100 IOPS y pueden brindar ráfagas de hasta cientos de IOPS. Esta es una opción de bajo costo recomendada.

Los volúmenes de Uso general (disco SSD) pueden brindar picos de hasta 3,000 IOPS y ofrecen una base constante de 3 IOPS/GB.

Los volúmenes de IOPS (disco SSD) aprovisionados pueden ofrecer hasta 20,000 IOPS y son más aptos para las instancias optimizadas para EBS.

IOPS

Nota: Los requisitos que se enumeran a continuación no se requieren para los volúmenes magnéticos recomendados.

La cantidad solicitada de IOPS compatible con el volumen.

Para los volúmenes de IOPS (disco SSD) aprovisionados, puede aprovisionar un máximo de 30 IOPS por GB.

Para los volúmenes de uso general (disco SSD) de menos de 1,000 GB, se obtiene un rendimiento de base de 3 IOPS por GB con picos de hasta 3,000 IOPS.

Para los volúmenes de uso general (disco SSD) de más de 1,000 GB, se obtiene un rendimiento de base de 3 IOPS por GB hasta un máximo de 10,000 IOPS.

Eliminar tras terminaciónLos volúmenes de EBS persisten de manera independiente del ciclo de vida de ejecución de una instancia de EC2. Sin embargo, puede optar por eliminar automáticamente un volumen de EBS cuando se termina la instancia asociada.
CifradoLos volúmenes que se crean a partir de snapshots cifrados se cifran automáticamente y aquellos que se crean a partir de snapshots sin cifrar se descifran automáticamente. Si no se selecciona ningún snapshot, puede optar por cifrar el volumen.

Configurar la etiqueta de la instancia

Una etiqueta permite administrar las instancias y consta de un par clave-valor que distingue mayúsculas de minúsculas. 

Realice los siguientes pasos para configurar una etiqueta de instancia.

  1. Ingrese un nombre y un valor, como AWS-VLC1.

    Las siguientes restricciones se aplican a las etiquetas:

    • Las claves y los valores de las etiquetas distinguen mayúsculas de minúsculas.
    • La cantidad máxima de etiquetas por recurso es 10.
    • La longitud máxima de la clave es 127 caracteres Unicode en UTF-8.
    • La longitud máxima del valor es 255 caracteres Unicode en UTF-8.
    • Evite usar el prefijo aws: en los nombres y los valores de las etiquetas, ya que su uso está reservado para Amazon Web Services.
  2. Haga clic en Siguiente: Configurar el grupo de seguridad.

Configurar el grupo de seguridad

Puede configurar un grupo de seguridad, el cual actúa como un firewall virtual que controla el tráfico de una o más instancias. Puede agregar reglas a su grupo de seguridad, las cuales permiten tráfico hacia y desde sus instancias asociadas.

                         
CampoDescripción
TipoEl protocolo para abrirse al tráfico de red. Puede elegir un protocolo común, como el protocolo SSH (para una instancia de Linux) y RDP (para una instancia de Windows), así como HTTP y HTTPS para permitir que el tráfico de Internet llegue a su instancia. También puede ingresar manualmente un puerto personalizado o rangos de puertos.
ProtocoloEl tipo de protocolo; por ejemplo, TCP o UDP. Brinda una selección adicional para ICMP.
Rango de puertosPara las reglas y los protocolos personalizados, puede ingresar manualmente un número de puerto o un rango de puertos.
Consulte la siguiente tabla para obtener una lista de puertos de servicio.
Source

Determina el tráfico que puede llegar a su instancia. Especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por ejemplo, 203.0.113.5/32).

Si se conecta detrás de un firewall, necesita el rango de direcciones IP que usan las computadoras cliente. Puede especificar el nombre o el ID de otro grupo de seguridad de la misma región.

Para especificar un grupo de seguridad en otra cuenta de AWS (solo EC2-Classic), use como prefijo el ID de cuenta y una barra diagonal; por ejemplo: 111122223333/OtherSecurityGroup.

Realice los siguientes pasos para crear un grupo de seguridad.

  1. Seleccione Crear un nuevo grupo de seguridad o Seleccionar un grupo de seguridad existente.
  2. Seleccione un tipo de protocolo en la lista desplegable.
  3. Ingrese un protocolo.
  4. Especifique un rango de puertos.
  1. Haga clic en Revisar e Iniciar.


Nota: El grupo de seguridad en AWS debe configurar puertos entrantes y salientes conectados a Remote Log Collector.

                                                                                                   
CategoríaProtocoloNúmero de puertoDispositivosDirección
Protocolo SSHTCP22Remote Log Collector (AWS)Entrante
RabbitMQTCP15671Remote Log Collector (AWS)Entrante y saliente
AMQPTCP5671/5672Remote Log Collector (AWS) hacia y desde Remote Log Collector (corporativo)Entrante y saliente
PuppetTCP8140Remote Log Collector (AWS) hacia el servidor de Security AnalyticsSaliente
Log CollectorTCP 50001/56001Remote Log Collector (AWS) hacia y desde el servidor de Security AnalyticsEntrante y saliente

Syslog

TCP

514

Origen de eventos hacia Remote Log Collector (AWS)

Entrante

Syslog UDP514Origen de eventos hacia Remote Log Collector (AWS)Entrante

Flujo de red

UDP

9995

Origen de eventos hacia Remote Log Collector (AWS)

Entrante

SNMPUDP162Origen de eventos hacia Remote Log Collector (AWS)Entrante

Windows

TCP

5985

 

Remote Log Collector (AWS) hacia el origen de eventos

Saliente

Saliente

ODBCTCPVariosRemote Log Collector (AWS) hacia el origen de eventosSaliente

SDEE

TCP

443

Remote Log Collector (AWS) hacia el origen de eventos

Saliente

Configurar los permisos de firewall para permitir la comunicación

Configure el o los firewalls para permitir la comunicación entre Remote Log Collector y AWS, y los componentes de NetWitness que se enumeran en la tabla anterior.

Nota: Es necesario abrir puertos entre el Remote Log Collector y el servidor de Security Analytics, y también entre el Log Collector en el Log Decoder.

En la siguiente tabla se muestran los hosts de Security Analytics y sus respectivos puertos de servicio:

                                                                                                 
De hostA Local Collector en AWSA puertos (protocolo)Comentarios
Servidor de Security AnalyticsRemote Log Collector

56001 (TCP) o
50001 (TCP)

SSL
No SSL
Servidor de Security AnalyticsRemote Log Collector50101

REST 

(Opcional)

Servidor de Security AnalyticsRemote Log Collector5672 (TCP)RabbitMQ
Servidor de Security AnalyticsRemote Log Collector50055 (TCP)RSA-SMS
Servidor de Security AnalyticsRemote Log Collector50056 (TCP)RSA-SMS
Remote Log CollectorServidor de Security Analytics8140 (TCP)Puppet
Servidor de Security AnalyticsRemote Log Collector61614 (TCP)MCollective

Remote Log Collector

Servidor de Security Analytics

61614 (TCP)

MCollective

Servidor de Security AnalyticsRemote Log Collector15671 (TCP)Puppet

Remote Log Collector

Servidor de Security Analytics

15671 (TCP)

Puppet

En el modo de extracción:  

 

 

Log Collector (en Log Decoder)

Remote Log Collector

5671 (TCP)

RabbitMQ

En el modo de migración:    

Remote Log Collector

Log Collector (en Log Decoder)

5671 (TCP)

RabbitMQ

El vínculo general que indica qué puertos deben estar abiertos en qué dispositivo se puede encontrar en https://community.rsa.com/docs/DOC-54917.

Revisar inicio de instancia

Antes de completar el proceso de inicio de la instancia, tiene la oportunidad de revisar y editar su AMI. Si no desea realizar cambios en su AMI, seleccione Iniciar. Si selecciona Editar AMI, puede realizar cambios y elegir Iniciar después de completarlos. 

Después de seleccionar Iniciar, se muestra el siguiente cuadro de diálogo en la pantalla.

key pair.png

Cuando inicia una instancia, debe especificar el nombre del par de claves que piensa usar para conectarse a esta. Si no especifica el nombre de un par de claves existente cuando inicia una instancia, no podrá conectarse a la instancia. Cuando se conecta a la instancia, debe especificar la clave privada que corresponde al par de claves que especificó cuando inició la instancia.

Haga clic en Iniciar instancias para completar el proceso de inicio de la instancia.

Consulte Paso 3: Implementar el servicio Remote Log Collector en AWS para obtener instrucciones detalladas sobre cómo implementar un servicio de recopilación remota de registros en un ambiente AWS.

You are here
Table of Contents > Configurar e implementar el servicio Remote Log Collector en AWS > Paso 2: Configurar el servicio Remote Log Collector

Attachments

    Outcomes