Instalar y actualizar el agente de SFTP

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Descripción general

En este tema se indica cómo descargar el agente de FTP seguro de RSA Security Analytics y cómo realizar las modificaciones correspondientes para la recopilación de registros.

Debe utilizar el protocolo SFTP para cargar eventos desde orígenes de eventos de archivo a Log Collector. Consulte Guía de configuración del protocolo de recopilación de archivos para obtener más detalles acerca de la configuración de orígenes de eventos.

RSA recomienda utilizar el agente de FTP seguro de RSA Security Analytics, el cual puede descargar desde el sitio web de servicio al cliente de RSA SecurCare Online (SCOL). El agente de SFTP en SCOL consta de los archivos binarios para instalar el agente de SFTP. Estos binarios se configuran como se describe aquí, en este documento. Como parte del proceso de instalación, se genera un par de claves pública/privada.

Debe crear a una cuenta de usuario para la transferencia de archivos en cada origen de eventos de Windows que envía datos al Log Collector. Puede asignar cualquier nombre a las cuentas, pero la documentación supone que las cuentas se denominan sftp.

Instalar y actualizar el agente de SFTP de SA

Realice los siguientes pasos para configurar el agente de SFTP de SA en el origen de eventos:

  1. Ejecute Microsoft Visual C++ 2005 Redistributable Package en el origen de eventos.
  2. Instale el agente de SFTP de SA en el origen de eventos.
  3. Genere un par de claves en el origen de eventos e importe la clave pública a Log Collector.
  4. Seleccione la cuenta de usuario para ejecutar el servicio de agente de SFTP de SA.
  5. Almacene en caché las claves para la conexión.
  6. Configure el agente de SFTP de SA en el origen de eventos.
  7. Inicie el servicio de agente de SFTP de SA desde el panel de control de Servicios de Windows.

Ejecutar Microsoft Visual C++ 2005 Redistributable Package

Para ejecutar Microsoft Visual C++ 2005 Redistributable Package:

  1. Descargue cualquiera de los siguientes paquetes al origen de eventos:

  2. Haga clic en Descargar y ejecute vcredist_x86.exe.

Instalar el agente de SFTP de SA en el origen de eventos

Precaución: Debe usar el agente de FTP seguro de RSA Security Analytics.

Para instalar el agente de SFTP de SA en el origen de eventos:

  1. Busque Agente de FTP seguro de RSA Security Analytics en RSA SecurCare Online (SCOL).
  2. Seleccione su SO:

    • Para un cliente Windows, haga clic en Agente de FTP seguro para descargar los binarios.
    • Para un cliente Unix, haga clic en Agente de FTP seguro de Unix para descargar los binarios.
  3. Complete el resto de estas instrucciones para instalar el agente de SFTP en el origen de eventos.

Generar un par de claves en el origen de eventos e importar la clave pública a Log Collector

Para generar un par de claves en el origen de eventos e importar la clave pública a Log Collector:

  1. Haga doble clic en puttygen.exe en el directorio C:\sasftpagent. Se inicia PuTTY Key Generator.
  2. Seleccione SSH2 RSA como el tipo de clave que desea generar.
  3. Haga clic en Generar y mueva el mouse en la ventana de PuTTY Key Generator hasta que se genere la clave.
  4. Guarde la clave privada:

    1. Haga clic en Guardar clave privada.
    2. Seleccione para no usar una frase de contraseña.
    3. Guarde el archivo como private.ppk en el directorio C:\sasftpagent.
  5. Agregue la clave pública en Log Collector:

    1. Copie la clave pública en el búfer para poder pegarla en el parámetro en Security Analytics, como se describe en el paso 5b.

      En el siguiente ejemplo, la clave pública se muestra dentro de un recuadro rojo.

    2. Pegue la clave pública desde el búfer al parámetro Clave del protocolo SSH del origen de eventos en Security Analytics. Para obtener detalles, consulte el tema Configurar orígenes de eventos de archivo de la Guía de recopilación de registros de RSA Security Analytics.

  6. Cierre puttygen.

Seleccionar la cuenta de usuario para ejecutar el servicio de agente de SFTP

Después de importar la clave pública al Log Collector, debe realizar lo siguiente:

  • Seleccione una cuenta de usuario existente, o
  • Cree una cuenta de usuario en el origen de eventos para ejecutar el servicio de agente de SFTP.

Para crear una cuenta de usuario en el origen de eventos:

  1. En el menú Inicio de Windows, haga clic en Programas > Herramientas administrativas > Usuarios y equipos de Active Directory.
  2. Haga clic en Acción > Nuevo > Usuario y cree un usuario nuevo a nombre del cual desea que se ejecute el servicio.

    Nota: La cuenta de usuario debe ser miembro del grupo de administradores local. También debe tener acceso a los archivos que se envían a Log Collector.

  3. Modifique el servicio de agente de SFTP de SA de modo que use esta cuenta de usuario:

    1. Haga clic con el botón secundario en Agente de SFTP de SA y seleccione Propiedades.
    2. Haga clic en la pestaña Inicio de sesión.
    3. Seleccione This account.
    4. Escriba el nombre de usuario y la contraseña de la cuenta que está usando para ejecutar el servicio de agente de SFTP.
    5. Haga clic en Aceptar.
  4. Cierre la sesión en el origen de eventos e inicie sesión nuevamente con la cuenta de usuario nueva.

    Nota: La cuenta de usuario con la cual se ejecutan estos pasos debe ser la del usuario que ejecuta el servicio.

  5. Almacene en caché las claves para la conexión.

Almacenar en caché las claves para la conexión

Tras crear la cuenta de usuario con la cual se ejecuta el servicio de agente de SFTP de SA, debe almacenar en caché las claves para conectar el origen de eventos al Log Collector.

Para almacenar en caché las claves en el origen de eventos, realice lo siguiente:

  1. Inicie sesión en la máquina con la cuenta que seleccionó para el servicio de agente de SFTP de SA.
  2. Ejecute el siguiente comando desde el directorio C:\sasftpagent:

    psftp -i private.ppk -l sftp -v ngc-ip

    donde:

    • private.ppk es el archivo que contiene la clave privada
    • ngc-ip es la dirección IP de Log Collector

    En el sistema se muestra un mensaje que indica que la clave del host del servidor no está en el registro.

  3. Escriba Y y presione INTRO para confiar en el host.
  4. En el indicador psftp, escriba quit y presione INTRO.

Ahora, la clave está almacenada en la caché en el registro del origen de eventos.

Configurar el agente de SFTP de SA en el origen de eventos

Para configurar el agente de SFTP de SA en el origen de eventos:

  1. Vaya al directorio de instalación del agente de SFTP de SA (el directorio predeterminado es C:\sasftpagent).
  2. Los archivos de configuración de ejemplo están dentro del directorio sasftpagent. El nombre de estos ejemplos se determina según el origen de eventos correspondiente. Por ejemplo, el archivo de configuración de SFTP de ejemplo del origen de eventos de Microsoft IIS se denomina sftpagent.conf.microsoftiis.
  3. Cree el archivo C:\sasftpagent\sftpagent.conf y use el archivo de ejemplo correspondiente que configurará de acuerdo con la siguiente leyenda.

                                                   
    ParámetroDescripción
    agent.logginhost

    Nombre de host o dirección IP de Log Collector al cual se enviarán los registros.

    dir0

    Ubicación de los archivos de registro para los orígenes de eventos en el sistema Windows local.

    dir0.filespec

    Archivos que desea enviar al Log Collector desde la ubicación anterior. En este ejemplo, cualquier archivo con la extensión *.log se envía al Log Collector.

    dir0.interval

    Cantidad de tiempo entre transferencias de archivos. Puede modificar este valor.

    dir0.has_header

    Si el registro tiene un encabezado en la parte superior del archivo de registro, configure este valor en true. Si el archivo de registro no tiene un encabezado, configúrelo en false.

    dir0.compression

    El valor puede ser true o false.

    • Configúrelo en true para utilizar compresión. Los archivos de registro se comprimen y se envían en formato .gz al Log Collector.
    • Configúrelo en false para no utilizar compresión de archivos.

    dir0.enabled

    El valor se configura en true. No modifique este valor porque si lo cambia a false, no enviará ningún archivo de registro al Log Collector.

    dir0.ftp

    Log Collector-ip-address,sftp,sftp,publickey,//upload/event-source-type/filedirectory

    Esta ruta se puede encontrar en el Log Collector dentro de la siguiente ruta:

    /var/netwitness/logcollector/upload/

    Al final de esa ruta está agregado el valor que usted ingresa para el parámetro Directorio de archivos cuando crea el origen de eventos en la interfaz del usuario de Security Analytics.

    dir0.delete_after_read

    El valor es true o false. El valor true elimina los archivos después de que el agente envía los registros al destino.

  4. Guarde el archivo y compruebe que el nombre permanezca sin cambios (es decir, asegúrese de que no se agregue una extensión .txt al archivo).

Iniciar el servicio de agente de SFTP de SA desde el panel de control de Servicios de Windows

  1. Escriba services.msc en la línea de comandos.
  2. Inicie el servicio de agente de SFTP de SA.

Archivos de configuración de ejemplo

Los siguientes son ejemplos del archivo sftpagent.conf para varios orígenes de eventos.

Un archivo de configuración de ejemplo para configurar un servidor de Microsoft IIS:

agent.logginghost=<ngc-ip>
dir0=C:\inetpub\logs\LogFiles\W3SVC1
dir0.filespec=*.log
dir0.interval=60
dir0.has_header=false
dir0.compression=false
dir0.enabled=true
dir0.ftp=<ngc-ip>,>,sftp,sftp,publickey,//upload/iis_tvm/IIS
dir0.delete_after_read=true

Un archivo de configuración de ejemplo para configurar un origen de eventos de Apache:

dir0=C:\Program Files\Apache Group\Apache2\logs
dir0.filespec=access_log*
dir0.interval=60
dir0.has_header=false
dir0.compression=true
dir0.enabled=true
dir0.ftp=enVisionIP,nic_sshd,publickey,APACHE_10.10.31.155

Solucionar problemas del agente de SFTP de SA

Para solucionar problemas, primero debe detener el servicio y, a continuación, ejecutar un comando para ver los mensajes de depuración.

Para solucionar problemas del agente de SFTP de SA:

  1. Detenga el servicio del agente de SFTP de SA en la ventana Servicios de Windows.
  2. Abra un nuevo shell de comandos y cambie al directorio de instalación del agente de SFTP de SA.
  3. Escriba:

    sasftpagent -v

  4. Revise los mensajes de depuración que se muestran.

En las siguientes secciones se describen algunos mensajes posibles y cómo solucionar los problemas correspondientes.

Error al abrir el archivo de configuración del agente de SFTP

Si falta el archivo de configuración de SFTP, recibirá el siguiente error:

Error al abrir el archivo: sftpagent.conf

Para resolver el problema, busque o cree nuevamente el archivo y transfiéralo al directorio de instalación del agente de SFTP de SA.

Problemas relacionados con la clave privada

Si la generación de los archivos de clave presenta un problema, es posible que reciba un mensaje similar al siguiente:

Leyendo el archivo de clave privada “private.ppk”
No se puede usar este archivo de clave (no se puede abrir el archivo)
No se puede usar el archivo de clave “private.ppk” (no se puede abrir el archivo)

O bien, es posible que reciba un mensaje como el siguiente si la clave presenta un problema:

Se ofreció una clave pública
El servidor rechazó nuestra clave
El servidor rechazó la clave pública

Para resolver el problema, vuelva a generar los pares de claves y migre la clave al Log Collector.

You are here
Table of Contents > Instalar y actualizar el agente de SFTP

Attachments

    Outcomes