Configurar la transferencia de archivos del script de shell de SFTP

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Descripción general

Use el script de shell sasftpagent.sh para transferir datos del registro basados en texto desde sistemas Linux. Este script toma segmentos de datos de archivos de registro activos, pero solo transfiere los datos nuevos cada vez que se ejecuta.

Programe el script en cron para que se ejecute con la frecuencia que desee enviar datos del registro a RSA Security Analytics Log Collector. El script usa el protocolo SFTP o SCP para transferir los datos.

Tenga en cuenta lo siguiente:

  • Todas las conexiones se inician desde el sistema a Security Analytics.
  • El script se ejecuta en todos los sistemas y shells Unix/Linux que cumplen con POSIX.

    Nota: Debe usar OpenSSH versión 4.4p1 o superior.

  • RSA recomienda configurar un trabajo cron para ejecutar el script en los intervalos de tiempo especificados. Sin embargo, si configura un trabajo cron, asegúrese de ejecutarlo como un usuario que tenga acceso a los registros que se deben enviar a Security Analytics.

Este tema contiene la siguiente información:

  • Mejoras en la versión 3 del agente
  • Instrucciones para actualizar el agente: siga estos pasos si actualmente está ejecutando la versión 2.7 del agente
  • Instrucciones para instalar el agente: siga estos pasos si va a descargar el agente por primera vez
  • Detalles de los parámetros del script de shell
  • Instrucciones para configurar RSA Security Analytics Log Collector de modo que reciba archivos de registro

Debe ejecutar los siguientes pasos para completar la instalación y la configuración del agente:

  1. Instale o actualice al agente, en función de si lo está ejecutando o no.
  2. Configure RSA Security Analytics Log Collector para que reciba archivos de registro.

Mejoras en la versión 3

  • El script se ejecuta en todos los sistemas y shells Unix/Linux que cumplen con POSIX.
  • Espera la configuración en /etc/rsa/sasftpagent.conf.
  • Recomienda al usuario mantener la configuración por separado del origen del script. Si el usuario no cumple con esto, se registra una advertencia.
  • El estado persistente se escribe en /var/lib/rsa de forma predeterminada.
  • Se mejoró la interacción del usuario, como se indica a continuación:

    • Compatibilidad con la ejecución del script sin privilegios de raíz.
    • Ahora se pueden configurar muchos aspectos del agente, como la ejecución desde cualquier lugar y la creación de un directorio de estado persistente en cualquier lugar. Por ejemplo, los usuarios no raíz pueden hacer persistir la información de estado en su directorio principal mediante la especificación de un directorio de estado persistente alternativo en el archivo de configuración.
    • Una configuración especificada en el directorio principal de un usuario no raíz (p. ej., ~/sasftpgent.conf) se recupera automáticamente durante la ejecución como un usuario no raíz.
    • Se agregaron opciones de la línea de comandos (-C o --config) para dirigir al agente a la configuración personalizada.
  • Los registros se escriben en /var/log/rsa/sasftpagent.log. Se introdujeron niveles de registro, de modo que los registros se pueden filtrar para entradas de advertencia, error y graves como ayuda para la solución de problemas. Ahora, estas entradas del registro se pueden usar para solucionar problemas después de los hechos.
  • Si el usuario olvida editar la configuración, se genera una entrada del registro de carácter grave. La entrada contiene un mensaje claro que indica que el usuario debe editar la configuración antes de que se pueda usar el script.

Actualizar el agente

Si usó una versión de sasftpagent.sh anterior a la versión 3, debe seguir las instrucciones de esta sección para realizar la actualización a la versión más reciente.

Los pasos principales son los siguientes:

  1. Descargue el agente nuevo desde SCOL.
  2. Transfiera la información de la configuración a /etc/rsa/sasftpagent.conf.
  3. Descargue el script mvpersinfo.sh.
  4. Ejecute el script mvpersinfo.sh para transferir la información persistente a la ubicación que utilizaba la versión 3.
  5. Ejecute la versión 3 del agente.

Transferir la información de la configuración

En la versión 2.7, la configuración del usuario se especificaba en una de las dos ubicaciones siguientes:

  • La configuración se puede haber editado en línea dentro de /usr/local/sa/sasftpapgent.sh (o dondequiera que haya colocado el script).
  • La configuración se puede haber especificado por separado; dondequiera que se establezca el parámetro CONFIG_FILE en el script sasftpagent.sh.

Debe transferir cualquier parámetro que haya editado dentro del script o que haya especificado en el archivo de configuración por separado a un archivo aparte en la siguiente ubicación: /etc/rsa/sasftpagent.conf.

Los siguientes son los parámetros que los usuarios suelen cambiar durante la configuración:

  • SA
  • DATA_DIRECTORY
  • FILESPEC
  • FLAG_REMOVE_AFTER_SEND (solo se configura si se desea quitar los archivos de datos automáticamente después de su transferencia a Log Collector).

Transferir la información persistente

En la versión 2.7, la información de estado persistente se mantiene en el directorio /usr/local/sa de forma predeterminada. También se puede especificar en el parámetro PERSINFO_DIRECTORY.

El directorio de información persistente contiene archivos de rastreo que incluyen la cantidad de líneas, para cada archivo de datos, que ya se transfirieron a Log Collector. El agente utiliza esta información para determinar las líneas de cada archivo que son nuevas desde la última vez que se ejecutó. A continuación, transfiere solo los datos nuevos y actualiza los archivos de rastreo según corresponda.

Es importante transferir estos archivos a la ubicación nueva antes de que se ejecute la versión 3.0.1 del agente. RSA proporciona un script, mvpersinfo.sh, para transferir la información persistente.

Ejecutar el script de transferencia

Realice los siguientes pasos para transferir la información persistente a su ubicación nueva:

  1. Copie mvpersinfo.sh al sistema donde ejecuta la versión 2.7 del agente.
  2. Abra mvpersinfo.sh con un editor de texto y compruebe que OLD_PERSINFO_DIRECTORY esté configurado en el valor establecido para PERSINFO_DIRECTORY en la configuración de 2.7.
  3. Ejecute el script mediante el siguiente comando:

    sh mvpersinfo.sh

Si no hay ningún error y la ejecución es correcta, el script no genera ninguna salida.

Comprobar la transferencia de los archivos

Después de ejecutar el script, puede comprobar la transferencia correcta mediante el siguiente procedimiento:

  1. Ejecute el siguiente comando para obtener una lista de los archivos de rastreo antiguos:

    find /usr/local/sa -name "*-*last.line"

  2. Ejecute el siguiente comando para obtener una lista de los archivos de rastreo nuevos:

    find /var/lib/rsa/sasftpagent -name "*-*last.line"

  3. Compare la salida de los dos comandos. La salida debe ser similar y tener como única diferencia las rutas a los archivos. El siguiente es un ejemplo de los resultados de la ejecución de estos comandos después de la transferencia de los archivos persistentes:

$ find /usr/local/sa -name "*-*last.line"

/usr/local/sa/opt/log/bar.log-sa.last.line
/usr/local/sa/opt/log/foo.log-sa.last.line
usr/local/sa/var/log/foo.log-sa.last.line
/usr/local/sa/var/log/fob.log-sa.last.line

$ find /var/lib/rsa/sasftpagent -name "*-*last.line"

/var/lib/rsa/sasftpagent/track/opt/log/bar.test-last.line
/var/lib/rsa/sasftpagent/track/opt/log/foo.test-last.line
/var/lib/rsa/sasftpagent/track/var/log/foo.test-last.line
/var/lib/rsa/sasftpagent/track/var/log/fob.test-last.line

Instalar y configurar el agente

Si no está realizando la actualización desde una versión anterior del agente, siga los pasos de esta sección para descargar, instalar y configurar el agente.

  1. Descargar el agente
  2. Crear o configurar una cuenta de usuario para ejecutar el agente
  3. Crear y actualizar el archivo de configuración
  4. Programar el agente para que se ejecute periódicamente: Configure cron en el programador del SO para automatizar la ejecución del script en el intervalo deseado.

Descargar el agente

Siga estos pasos para descargar el agente de SFTP de SA (sasftpagent.sh) desde SCOL.

  1. Inicie sesión en RSA SecurCare Online (SCOL).
  2. En el cuadro Buscar, ingrese Agentes de SFTP de RSA Security Analytics.
  3. Seleccione la página que devuelve la búsqueda, Agentes de SFTP de RSA Security Analytics.
  4. Haga clic en Agente de SFTP de Unix de RSA Security Analytics y guarde el archivo en cualquier lugar en su sistema de archivos.
  5. Configure permisos de ejecución en el archivo sasftpagent.sh. Por ejemplo, ejecute el siguiente comando:

    chmod 755 /usr/local/sa/sasftpagent.sh

Crear o configurar una cuenta de usuario para ejecutar el agente

La cuenta de usuario que ejecuta el agente necesita permiso de lectura a DATA_DIRECTORY que contiene los registros, y acceso de lectura/escritura a PERSINFO_DIRECTORY que usa el agente para el almacenamiento persistente.

Crear y actualizar el archivo de configuración

Cree el archivo de configuración aquí: /etc/rsa/sasftpagent.conf. Si no tiene un archivo de configuración, copie el archivo de script (sasftpagent.sh) y quite todo, salvo los parámetros de configuración. Actualice el archivo de configuración con la información correspondiente a su ambiente. Como referencia, consulte la tabla Parámetros a continuación.

Si está ejecutando el script por primera vez, ejecute el siguiente comando, donde collector-IP es la dirección IP de Security Analytics Log Collector:

sftp collector-IP

Precaución: Es importante ejecutar este comando como el mismo usuario que lo ejecutará cuando esté automatizado.

Parámetros del script de shell

En la siguiente tabla se describen los parámetros más importantes que debe establecer cuando configure el script.

                                                             
ParámetroValoresDescripción
SANombre o dirección IPEl nombre o la dirección IP del host de RSA Security Analytics Log Collector.
DATA_DIRECTORYRuta o rutas del directorio, separadas por dos puntos (:).

El origen local de los datos del registro. Por ejemplo:

DATA_DIRECTORY=/var/log:/var/log/audit

Puede especificar una o más carpetas.

Nota: Los nombres de archivo que proporciona en el parámetro FILESPEC se buscan en todas las carpetas que especifica.

FILESPECNombre o nombres de archivo, separados por dos puntos (:).

Máscara de archivo que coincide con los archivos de registro que procesará el script.

Nota: El script admite datos de texto línea por línea. Por lo tanto, .xml, .zip, .gz, .exe y otros formatos que no son de texto no se admiten.

Por ejemplo, para procesar todos los archivos de la carpeta:

FILESPEC=isi_webui.log:smb.log:/etc/logs/*.*

Nota: Los archivos que especifica pueden residir en distintas carpetas. Asegúrese de enumerar todas las carpetas necesarias en el parámetro DATA_DIRECTORY.

SA_DIRECTORYEl nombre del directorio del host de Security Analytics Log Collector

El nombre de la carpeta de destino. Por ejemplo:

/upload/apache/muditapache

TRANSFER_METHODSFTP o SCPSFTP es el protocolo de transferencia predeterminado (y recomendado)
USEHEADUn entero no negativo que representa la cantidad de líneas del encabezado

La cantidad de líneas en cada archivo de registro que se considerarán como un encabezado que se debe transferir a Log Collector en cada transferencia.

Puede configurarlo en 0 para indicar que no hay líneas de encabezado.

DEPTHUn entero positivo que representa la cantidad de niveles de carpeta

Controla en cuántos niveles de profundidad busca registros el script en el DATA_DIRECTORY configurado.

Se configura de forma predeterminada en DEPTH=1, con lo cual el script busca archivos de datos directamente en los directorios configurados en DATA_DIRECTORY, pero no en subcarpetas.

Configuración de SFTP y SCP
USERNAMEsftp Ajuste predeterminado para el demonio del protocolo SSH en la plataforma Security Analytics.
IDENTITYRuta del archivo

Ubicación de la clave privada que se utiliza para conectarse a Security Analytics. Para obtener instrucciones sobre la generación de claves, consulte Instalar y actualizar el agente de SFTP.

El valor predeterminado es el siguiente:

$HOME/.ssh/id_rsa

Información del script de configuración

Todos los ajustes de configuración se pueden cargar mediante un archivo de configuración por separado del script. Este archivo debe contener un ajuste y un valor por línea (excepto DATA_DIRECTORY y FILESPEC, que pueden contener varias entradas separadas por dos puntos).

El archivo de configuración debe estar en el directorio que asigna SA_DIRECTORY en el script de shell o en la ruta del shell que llama al script. SA_DIRECTORY se puede reemplazar en el archivo de configuración, aunque el script de shell intentará usar su propio ajuste de SA_DIRECTORY para abrir el archivo de configuración.

Por ejemplo, un archivo de configuración podría contener la siguiente información:

SA=10.31.246.168
DATA_DIRECTORY=/var/log/httpd
SA_DIRECTORY=/upload/apache/muditapache
USERNAME=sftp
FILESPEC=*_log*
FLAG_REMOVE_FILE_AFTER_SEND=no

Configure RSA Security Analytics Log Collector para que reciba archivos de registro

Antes de configurar el Log Collector, recuerde ejecutar el siguiente comando en cualquier origen de eventos nuevo desde el cual Security Analytics no haya recopilado registros anteriormente mediante SFTP o SCP:

sftp collector-IP

donde collector-IP es la dirección IP de Security Analytics Log Collector.

Para configurar Security Analytics de modo que reciba archivos de registro:

  1. En el origen de eventos Unix o Linux, ejecute el siguiente comando para generar el par de claves pública/privada:

    ssh-keygen -b 1024 -t rsa

    Este comando crea id_rsa en el formato OpenSSH que usa RSA Security Analytics. Si el sistema Linux crea el formato IETF SECSH de forma predeterminada, ejecute el siguiente comando para convertirlo:

    ssh-keygen -f ~/.ssh/id_rsa.pub -i

  2. Agregue la clave pública al Log Collector, como se describe en Instalar y actualizar el agente de SFTP.

You are here
Table of Contents > Configurar la transferencia de archivos del script de shell de SFTP

Attachments

    Outcomes