Protokollsammlung – Konfiguration: Konfigurieren der Syslog-Ereignisquellen für Remote Collector

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie Syslog-Ereignisquellen für den Log Collector konfigurieren.

Sie konfigurieren die Syslog-Sammlung nicht für Local Log Collectors. Sie müssen die Syslog-Sammlung nur für Remote Collectors konfigurieren.

Konfigurieren einer Syslog-Ereignisquelle

Syslog-Listener für UDP auf Port 514, TCP auf Port 514 und SSL auf Port 6514 werden standardmäßig erstellt. Sie sollten die SSL-Einstellungen auf den TCP- und SSL-Listenern nicht ändern. Wenn Sie SSL-Zertifikatüberprüfung benötigen, erstellen Sie einen neuen Ereignisquelltyp, um einen anderen Port zu überwachen. Beachten Sie, dass Iptables konfiguriert werden muss, um diesen Port zu öffnen.

So konfigurieren Sie den Remote Log Collector für die Syslog-Sammlung:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ einen Remote Log Collector und im Menü „Aktionen“ die Optionen  > Ansicht > Konfigurieren aus.
  3. Wählen Sie die Registerkarte Ereignisquellen aus.
  4. Wählen Sie im Drop-down-Menü die Option Syslog/Konfigurieren aus.

    Im Bereich Ereigniskategorien werden die konfigurierten Syslog-Ereignisquellen angezeigt, sofern vorhanden.

    Hinweis: Für RSA NetWitness Suite sind einige Syslog-Ereignisquellen standardmäßig verfügbar. In diesem Fall können Sie mit Schritt 6 fortfahren.

  5. Klicken Sie in der Symbolleiste des Bereichs „Ereigniskategorien“ auf .

    Das Dialogfeld „Verfügbare Ereignisquelltypen“ wird angezeigt.

  6. Wählen Sie entweder syslog-tcp oder syslog-udp aus. Sie können je nach den Anforderungen Ihres Unternehmens eine oder beide Ereignisquellentypen festlegen.
  7. Wählen Sie den neuen Typ im Bereich „Ereigniskategorien“ aus und klicken Sie in der Symbolleiste „Quellen“ auf .

    Das Dialogfeld „Quelle hinzufügen“ wird angezeigt.

  8. Geben Sie Portnummer ein und wählen Sie Aktiviert aus. Konfigurieren Sie optional erweiterte Parameter nach Bedarf.

    Klicken Sie auf OK, um die Änderungen zu übernehmen und das Dialogfeld zu schließen.

Wenn Sie einen oder beide Syslog-Typen konfiguriert haben, erfasst der Log Decoder oder der Remote Log Collector diese Meldungstypen aus allen verfügbaren Ereignisquellen. Daher können Sie weiterhin Syslog-Ereignisquellen zu Ihrem System hinzufügen, ohne dass Sie weitere Konfigurationen in RSA NetWitness Suite durchführen müssen.

Syslog-Parameter

In der folgenden Tabelle werden die verfügbaren grundlegenden und erweiterten Parameter für die Syslog-Konfiguration beschrieben.

Basisparameter

                       
NameBeschreibung
Port*Der Standardport ist 514.
AktiviertAktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.
SSL-Empfänger

Hinweis: Dieser Parameter bezieht sich auf RSA NetWitness® Suite Version 11.1 oder neuer. Es ist nur für die Ereigniskategorie syslog-Tcp verfügbar.

Wenn Sie das Kontrollkästchen auswählen, akzeptiert die Ereignisquelle nur SSL/TLS-Verbindungen. Wenn Sie diese Einstellung ändern, müssen Sie außerdem die Syslog-Sammlung beenden und neu starten, damit die Änderung wirksam wird.

Erweiterte Parameter

                               
NameBeschreibung
In Flight-Protokollveröffentlichungsschwellenwert

Legt einen Schwellenwert fest. Wenn dieser erreicht wird, erzeugt NetWitness eine Protokollnachricht, die Sie beim Beheben von Problemen mit dem Ereignisfluss unterstützt. Der Schwellenwert entspricht der Größe der Syslog-Ereignismeldungen, die gegenwärtig von der Ereignisquelle an NetWitness übertragen werden.

Gültige Werte:

  • 0 (Standard): Deaktiviert die Protokollnachricht.
  • 100-100000000: Erzeugt eine Protokollnachricht, wenn die aktuell von der Ereignisquelle an NetWitness weitergeleitete Syslog-Ereignismeldungen im Bereich von 100 bis 100.000.000 Byte liegt.
Max. EmpfängerMaximale Anzahl an Empfängerressourcen, die für die Verarbeitung der gesammelten Syslog-Ereignisse verwendet werden.  Der Standardwert ist 2.
Ereignisfilter

Wählen Sie einen Filter.

Anweisungen zum Definieren von Filtern finden Sie unter Konfigurieren von Ereignisfiltern für einen Collector.

Debug

Achtung: Aktivieren Sie nur dann das Debugging (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggens wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle.

Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.
Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

SSL-Überprüfungsmodus

Hinweis: Dieser Parameter bezieht sich auf RSA NetWitness® Suite Version 11.1 oder neuer. Es ist nur für die Ereigniskategorie syslog-Tcp verfügbar.

Diese Einstellung ist nur relevant, wenn die Einstellung SSL-Empfänger ausgewählt ist. Wenn Sie den SSL-Überprüfungsmodus ändern, müssen Sie die Syslog-Sammlung beenden und neu starten, damit die Änderung wirksam wird.

Verfügbare Optionen:

  • verify-none: (Standard) Der Server überprüft das Client-Zertifikat nicht, falls vorhanden. Ein Client kann sich verbinden, ohne ein Zertifikat zu präsentieren.
  • verify-peer: Der Server überprüft das Client-Zertifikat, falls vorhanden. Ein Client kann sich verbinden, ohne ein Zertifikat zu präsentieren.

    Hinweis: Wenn die Überprüfung fehlschlägt, wird eine Warnung protokolliert, aber die Nachrichten werden weiterhin akzeptiert.

  • verify-peer-fail-if-no-cert: Der Client muss ein Zertifikat präsentieren und der Server wird es überprüfen.

    Hinweis: Wenn Sie diesen Modus verwenden, muss das Client-CA-Zertifikat mithilfe der REST-API in den Log Collector-Truststore hochgeladen werden auf http://LC-ip-address:50101/sys/caupload

You are here
Table of Contents > Sammlungsprotokolle > Konfigurieren der Syslog-Ereignisquellen für Remote Collector

Attachments

    Outcomes