Stellen Sie Folgendes sicher:
- Bevor Sie eine Warnmeldungsregel erstellen, haben Sie Decoder mit dem Concentrator verbunden, der zur Reporting Engine für die ausgewählte Datenquelle hinzugefügt wurde.
- Sie haben einen Syslog-Server installiert und konfiguriert, der TCP/TLS in Ihrer Umgebung unterstützt. zum Beispiel WinSyslog. Sie können die Reporting Engine so konfigurieren, dass bei Auslösen einer Warnmeldung Syslog-Meldungen über TCP mit Transport Layer Security (TLS) gesendet werden.
So konfigurieren Sie die Reporting Engine zum Senden von Syslog-Warnmeldungen über TCP mit Transport Layer Security (TLS):
- Rufen Sie die erforderlichen Zertifikate ab.
-
Fügen Sie das CA-Zertifikat an die Datei „ca.pem“ auf dem NetWitness-Server an.
-
Konfigurieren Sie den Syslog-Server so, dass Nachrichten von Client-Rechnern akzeptiert werden.
-
Konfigurieren Sie die Zustellung von Nachrichten in der NetWitness-Benutzeroberfläche.
Aufgabe 1: Abrufen der erforderlichen Zertifikate
So erzeugen Sie Zertifikate, mit denen die Reporting Engine zum Senden von Syslog-Meldungen über TCP mit TLS konfiguriert wird:
- Erzeugen Sie ein CA-Zertifikat (Certifying Authority, Zertifizierungsstelle). Weitere Informationen erhalten Sie unter http://www.rsyslog.com/doc/tls_cert_ca.html.
Hinweis: Sie können diesen Schritt ignorieren, wenn bereits ein CA-Zertifikat in Ihrer Umgebung ausgeführt wird.
- Erzeugen Sie ein Schlüsselpaar für den Syslog-Server. Weitere Informationen erhalten Sie unter http://www.rsyslog.com/doc/tls_cert_machine.html.
Hinweis: Sie können diesen Schritt ignorieren, wenn Sie die Sicherheit für den Syslog-Server mithilfe des Schlüssels und der von derselben Zertifizierungsstelle erzeugten Zertifikate bereits konfiguriert haben.
Aufgabe 2: Fügen Sie das CA-Zertifikat an die Datei „ca.pem“ auf dem NetWitness-Server an.
So hängen Sie ein vorhandenes CA-Zertifikat an die Datei „ca.pem“ an:
- Hängen Sie den Inhalt des CA-Zertifikats, das Sie erzeugt haben, manuell an die Datei /etc/pki/CA/certs/ca.pem an.
- Führen Sie auf dem NetWitness-Server den folgenden Befehl aus, damit das Zertifikat im Truststore aufgefüllt wird:
keytool -import -file /etc/pki/CA/certs/ca.pem -keystore cacerts
Aufgabe 3: Konfigurieren Sie den Syslog-Server so, dass Nachrichten von Client-Rechnern akzeptiert werden.
Konfigurieren Sie den Syslog-Server so, dass Nachrichten von Client-Rechnern akzeptiert werden, welche die gleichen CA-Zertifikate besitzen:
- Kopieren Sie die folgenden Dateien an Ihren sicheren TCP-Server-Zielspeicherort:
ca_cert.pem
server_cert.pem
server_key.pem
Wobei Folgendes gilt:
ca_cert.pem ist das CA-Zertifikatserver_cert.pem - ist das Serverzertifikat
server_key.pem - ist der Serverschlüssel
Weitere Informationen finden Sie in Ihrer Dokumentation zu Ihrem Syslog-Server. Wenn Sie rsyslog verwenden, finden Sie unter http://www.rsyslog.com/doc/tls_cert_server.html weitere Informationen.
Aufgabe 4: Konfigurieren der Zustellung von Warnmeldungen in NetWitness
Konfigurieren Sie Reporting Engine, um bei Auslösen einer Warnmeldung Syslog-Meldungen über TCP mit Transport Layer Security (TLS) zu senden. Aktivieren Sie hierzu SECURE_TCP auf der Registerkarte Ausgabeaktionen für den Reporting Engine-Service in der Ansicht „Service-Konfiguration“ der Reporting Engine. Informationen finden Sie im Thema Reporting Engine-Ausgabeaktionen im Leitfaden zur Host- und Servicekonfiguration.