Decoder: Konfigurieren der Syslog-Weiterleitung zum Ziel

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Zusätzlich zur Sammlung von Syslog-Nachrichten können Sie den Log Decoder so konfigurieren, dass er Syslog-Nachrichten an einen anderen Syslog-Empfänger weiterleitet.NetWitness Suite leitet Syslog-Nachrichten nach der Analyse und vor der Erstellung der Nachricht für den Log Decoder weiter.

Hinweis: Sie müssen die Syslog-Weiterleitung mithilfe der in diesem Abschnitt beschriebenen Schritte unter Verfahren in der Ansicht Durchsuchen konfigurieren.

Der Log Decoder muss den Gestartet-Status aufweisen, damit Sie die Syslog-Weiterleitung konfigurieren können. So konfigurieren Sie die Syslog-Weiterleitung:

  1. Konfigurieren Sie die Anwendungsebenenregeln (Anwendungsregeln) des Log Decoders, sodass Syslog-Nachrichten mit Metadaten markiert werden und NetWitness Suite den Befehl zur Nachrichtenweiterleitung erhält:
    1. Wählen Sie in der Ansicht Services einen Log Decoder und in der Spalte „Aktionen“ Menü „Aktionen“  > Ansicht > Durchsuchen aus. 
    2. Gehen Sie zu dem Node /decoder/config/rules/application, klicken Sie mit der rechten Maustaste auf Anwendung und klicken Sie auf Eigenschaften.
    3. Legen Sie in der Ansicht Eigenschaften den Befehl add mit den folgenden Parametern fest:
      rule=<query> name=<name>
      Beispiel 1: rule=*name=receiver1
      Beispiel 2: rule="device.type='winevent_nic'" name=receiver)
    4. Klicken Sie auf Senden.
      Das ist das Ergebnis.
      NetWitness Suite erstellt die Regel name=receiver1 rule=* order=<n>. NetWitness Suite fügt die Position (z. B. order=49) entsprechend des Zeitpunkts ein, an dem Sie die Regel erstellt haben.
      Das ist der Parameter.
    5. Navigieren Sie zum Node /decoder/config/rules/application und klicken Sie auf die Regel name=receiver1 rule=* order=49.
    6. Fügen Sie den Regelparametern alert forward-Parameter hinzu.
      Dies sind die Parameter.
      Alle anderen Regelparameter haben die gleiche Bedeutung wie in anderen Anwendungsregeln.

      Das folgende Beispiel einer Anwendungsregel wählt alle Protokolle mithilfe der *-Regel aus. Sie erstellt ein Warnmeldungsmetadatum mit dem Wert receiver1 und kennzeichnet das gesamte Protokoll zur Weiterleitung an das Syslog-Weiterleitungsziel. Sie können beliebig viele verschiedene Weiterleitungsregeln mit demselben oder mit eindeutigen Namen definieren.
    1. Definieren von Syslog-Weiterleitungszielen und Aktivieren der Weiterleitung
      1. Wählen Sie in der Ansicht Services einen Log Decoder und dann Menü „Aktionen“  > Ansicht > Durchsuchen aus.
      2. Syslog-Weiterleitungsziele sind im Konfigurations-Node definiert /decoder/config/logs.forwarding.destination.
        Dieser Konfigurations-Node enthält ein oder mehrere Name/Wert-Paare. Der Name entspricht dem Namensparameter in der Anwendungsregel, die Sie zum Markieren von Protokollen mit Weiterleitungs-Metadaten verwenden. Der Wert enthält das Transportprotokoll, den Host und den Port (getrennt durch Doppelpunkte) und danach optional einen Formatierungsparameter.
        name=(udp|tcp|tls):host:port[:(retainsource|rfc3164)]
        Der erste Parameter gibt das Transportprotokoll an und muss „udp“, „tcp“ oder „tls“ lauten. Bei Angabe von „udp“ werden Protokolldateien über das UDP-Syslog-Protokoll gemäß RFC 3164 / RFC 5426 weitergeleitet. Bei Angabe von „tcp“ werden Protokolle über eine TCP-Verbindung mit Framing gemäß RFC 6587 weitergeleitet. Bei Angabe von „tls“ werden Protokolle gemäß RFC 5425 weitergeleitet.

        Der Host ist eine IPv4-Adresse, eine IPv6-Adresse oder der Hostname.

        Der Port ist der Port, an den die Protokolle gesendet werden. Dies ist in der Regel der Port 514 für UDP-Syslog und 6514 für TLS-Verbindungen. Es gibt keine Standardportzuweisung für Syslog über TCP.

        Optional kann retainsource oder rfc3164 am Ende der destination-Zeichenfolge eingefügt werden, um darauf hinzuweisen, dass zusätzliche Formatierung und Informationen in jedem weitergeleiteten Protokoll enthalten sein müssen. Durch die Angabe von retainsource werden Z-Connector-Header an den Anfang des Protokolls eingefügt und mit den Metadaten time, device.(ip|ipv6|host) und lc.cid ausgefüllt. Diese Option ist am besten für das Weiterleiten an andere Log Decoder geeignet. Mit der Option rfc3164 wird allen weitergeleiteten Ereignissen, die die Metadaten syslog.pri, time und device.(ip|ipv6|host) enthalten, ein gültiger RFC3164-Header vorangestellt. In beiden Fällen bleibt der ursprüngliche Protokolltext unverändert.

        Beispiel für ein Weiterleitungsziel:

        gears=tls:gears.netwitness.local:6514

        Beispiel für die Weiterleitung über tcp zu blackout an Port 514 mit Z-Connector-Headers:

        fwdrule=tcp:blackout.netwitness.local:514:retainsour

      Geben Sie im Parameter /decoder/config/logs.forwarding.destination das Ziel an. Beispiel:
      TLS-Verbindungen: receiver1=tls:receiver1.netwitness.local:6514
      UDP-Verbindungen: receiver1=udp:receiver1.netwitness.local:514
      TCP-Verbindungen: receiver1=tcp:receiver1.netwitness.local:514

      Dies ist die logs.forwarding.destination-Einstellung.

Hinweis:
Sie können Folgendes konfigurieren:
    - Mehrere Regeln zum Weiterleiten von Protokollen an ein Ziel
    - Mehrere Regeln zum Weiterleiten von Protokollen an mehrere Ziele

Im Falle von TLS-Verbindungen muss das Zertifikat des Weiterleitungsziels validiert werden. Die Zertifizierungsstelle, die das Zertifikat des Ziels signiert hat, muss im CA-Truststore des Log Decoders präsent sein und das Zertifikat muss sich im Ziel oder auf dem Syslog-Empfänger befinden. Weitere Informationen zur Bearbeitung des CA-Truststore für den Log Decoder finden Sie im Thema „Konfigurieren von Zertifikaten“ im Protokollsammlung-Konfigurationsleitfaden. (Navigieren Sie zu Master Table of Contents für Version 11.0, um Dokumente zu NetWitness Suite 11.0 zu suchen.)

  1. Geben Sie im Parameter /decoder/config/logs.forwarding.enabled true an.
    Dies ist die logs.forwarding.enabled-Einstellung.
You are here
Table of Contents > Decoder und Log Decoder – zusätzliche Verfahren > Konfigurieren der Syslog-Weiterleitung zum Ziel

Attachments

    Outcomes