Sicherheit/Benutzermanagement: Hinzufügen eines Benutzers und einer Rolle 97763

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

In Version 11.1 kann die Windows-Protokollsammlung mithilfe des RSA® NetWitness® Endpoint Insights Agent erreicht werden. Wenn der Agent für die Protokollsammlung aktiviert ist, wird eine Protokollkonfigurationsdatei mit dem Agent Packager mitgeliefert, um das Sammeln und Weiterleiten von Windows-Protokollen zusätzlich zu den Endpunktdaten zu ermöglichen. Die erzeugte Konfigurationsdatei enthält Informationen über die Kanäle, von denen Protokolle gesammelt werden sollen, und das Ziel (Log Decoder oder ein Remote Log Collector), um die definierten Windows-Ereignisse weiterzuleiten. Der generierte Agent Packager ist in der Lage, sowohl Endpunkt- als auch Windows-Protokolldaten von Hosts zu sammeln. Der Endpunkt-Agent-Packager wird lokal auf einem Windows-Computer extrahiert, um die Datei des Agent-Installationsprogramms zu erstellen. Die Datei des Installationsprogramms wird dann über ein Softwareverteilungstool eines Drittanbieters an alle Endgeräte in Ihrem Netzwerk verteilt..

Es gibt drei Szenarien für die Windows-Protokollsammlung, und zwar:

  • Erzeugen des Agent mit der Protokollsammlung: Wenn die Option Windows-Protokollsammlung aktivieren aktiviert ist und Sie auf Agent erzeugen klicken, nachdem Sie die Details ausgefüllt haben Die erzeugte Datei AgentPackager.zip enthält die Protokollsammlungsdatei. Weitere Informationen finden Sie unter „Erzeugen eines Agent-Packager mit der Windows-Protokollsammlung“ im Endpoint Insights Agent-Installationshandbuch.
  • Erzeugen nur einer Agent-Datei ohne Protokollsammlung: Wenn Windows-Protokollsammlung aktivieren deaktiviert ist und Sie auf Agent erzeugen klicken, wird nur die Zip-Datei erstellt, ohne die Protokollsammlungsdatei. Weitere Informationen finden Sie unter „Erzeugen eines Endpoint-Agent-Packager“ im Endpoint Insights Agent-Installationshandbuch.
  • Wenn Sie auf Nur Protokollkonfiguration erzeugen klicken, wird nur die Protokollkonfiguration erzeugt. Dies kann verwendet werden, um die Protokollkonfigurationsdatei in einer vorhandenen Endpoint-Agent-Bereitstellung für die Protokollsammlung zu aktualisieren oder um die Protokollkonfiguration zu einer Endpoint-Agent-Bereitstellung hinzuzufügen. Weitere Informationen finden Sie unter „Hinzufügen oder Aktualisieren einer Windows-Protokollsammlungskonfiguration zu einem installierten Endpoint-Agent“.

Hinzufügen oder Aktualisieren einer Windows-Protokollsammlungskonfiguration zu einem installierten Endpoint-Agent

Sie können eine Windows-Protokollsammlungs-Konfigurationsdatei zu einem Endpoint-Agent hinzufügen und auch eine vorhandene Protokollsammlungs-Konfigurationsdatei ändern. Wenn eine Änderung in der Protokollsammlungskonfiguration für Endpoint-Agents erforderlich ist, müssen die Agents nicht erneut installiert werden. Die Protokollkonfigurationsdatei (nwelcfg file) kann über die Packager-Benutzeroberfläche erzeugt und geändert werden.

Workflow

Dieser Workflow zeigt das Verfahren zum Hinzufügen oder Aktualisieren einer Windows-Protokollsammlungs-Konfigurationsdatei.

Es folgen einige Beispiele für Gründe, die eine Änderung in der Konfiguration erforderlich machen würden:

  • Das Ziel, an das die Fenster weiterzuleiten sind, muss für ein besseres Lastmanagement auf der Zielseite geändert werden.
  • Der Endpunkt wird in eine neue Gruppe verschoben, die von einem Endpunktmanagementsystem eines Drittanbieters definiert wird und eine Änderung des Ziels oder der Liste der weiterzuleitenden Ereignis-IDs erfordert.
  • Es gibt Anforderungen, die Liste der Ereignis-IDs, die auf der Zielseite verbraucht werden, zu ändern.

Eine neue Konfigurationsdatei kann erzeugt werden, entweder indem die neuen Werte im Packager-Bildschirm eingegeben werden oder indem eine vorhandene Konfigurationsdatei geladen wird.

Hinweis: Der Endpunkt-Agent ist so konfiguriert, dass er die nwelcfg-Datei mit dem aktuellen Zeitstempel unter dem Ordner config liest. Stellen Sie daher sicher, dass das Drittanbieter-Tool zur Verwaltung von Endpunkten den Zeitstempel der Datei auf den aktuellen Zeitpunkt des Endpunkts aktualisiert, während die Konfigurationsdatei verschoben wird.

Befolgen Sie diese Schritte, um eine Windows-Protokollsammlungs-Konfigurationsdatei einem vorhandenen Endpoint-Agent hinzuzufügen oder zu aktualisieren:

  1. Führen Sie in der Packager-Benutzeroberfläche einen der folgenden Schritte aus:

    1. Zum Hinzufügen der Windows-Protokollsammlungskonfiguration: Geben Sie die erforderlichen Informationen ein, die unter „Erzeugen eines Agent-Packager mit der Windows-Protokollsammlung“ im Endpoint Insights Agent-Installationshandbuch erwähnt sind.
    2. Zum Aktualisieren der Windows-Protokollsammmlungskonfiguration: Klicken Sie auf Vorhandene Konfiguration wird geladen und bearbeiten Sie die gewünschten Felder, die unter „Erzeugen eines Agent-Packager mit der Windows-Protokollsammlung“ im Endpoint Insights Agent-Installationshandbuch erwähnt sind.
  2. Klicken Sie auf Nur Protokollkonfiguration erzeugen, um die nwelcfgDatei zu erzeugen.
  3. Kopieren Sie die heruntergeladene nwelcfg-Datei auf den Endpunkt-Agent, von dem aus die Protokolle weitergeleitet werden sollen. Die Konfigurationsdatei sollte in den Ordner %ProgramData%\NWEAgent kopiert werden. Zum Bereitstellen der Konfigurationsdatei für mehrere Agents, verwenden Sie das Drittanbieter-Tool zur Verteilung der Software.

Der Agent ist so konzipiert, dass er die Protokollkonfigurationsdatei mit dem aktuellen Zeitstempel auswählt. Wenn ein Zeitzonenunterschied besteht, stellen Sie sicher, dass die Konfigurationsdatei nach dem Kopieren auf den Zeitstempel des Agent aktualisiert wurde. Dies kann durch Ausführen des Befehls auf dem Agent erreicht werden: copy /b <filename.nwelcfg> +,,aus dem Ordner %programdata%\NWEAgent\, in dem die Datei „nwelcfg“ vorhanden ist.

Überprüfen der Windows-Protokollsammlung

Um zu überprüfen, dass die Windows-Protokollsammlung auf einem Endpunkt-Agent erfolgreich bereitgestellt wurde, gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu ADMIN > Integrität und Zustand > Ereignisquellenüberwachung.
  2. Wählen Sie im Feld „Zeitrahmen“ Letzte 5 Minuten oder Letzte 10 Minuten, je nachdem, wann die Agents installiert wurden.
  3. Klicken Sie auf Anwenden.
  4. In der angezeigten Liste sollten die IP-Adressen des Agent in der Spalte „Ereignisquelle“ angezeigt werden, mit Ereignisquelltyp als Windows. Damit wird bestätigt, dass der Agent erfolgreich installiert wurde.

Um zu überprüfen, ob eine Windows-Protokollsammlung erfolgreich aktualisiert wurde, gehen Sie folgendermaßen vor:

  1. Wechseln Sie zu UNTERSUCHEN > Navigieren. Warten Sie 2 bis 3 Minuten, bis diese Konfigurationsdatei vom Endpunkt-Agent ausgewählt ist.
  2. Wählen Sie den Concentrator unter Untersuchen aus.
  3. Ändern Sie den Zeitrahmen auf Letzte 5 Minuten oder nach Bedarf.
  4. Klicken Sie auf Werte laden.
  5. Suchen Sie nach dem Metaschlüssel „Meldung-ID“.
  6. Es muss ein Wert „agent.test“ vorhanden sein. Eine Erhöhung der Anzahl der Ereignisse bedeutet, dass die Aktualisierung erfolgreich durchgeführt wurde.

Aktivieren von Protokollweiterleitung und Konfigurieren von Log Decoder

Wenn Sie die Protokollweiterleitungsfunktion aktivieren und den Log Decoder in Endpoint Hybrid als ein Ziel in der Packager-Benutzeroberfläche konfigurieren möchten. Dann müssen Sie die Ports TCP/UDP 514 in der Iptables-Datei auf Endpoint Hybrid hinzufügen.

Um die Ports hinzuzufügen, gehen Sie wie folgt vor:

  1. Für TCP, müssen Sie der vorhandenen Liste der Ports in der /etc/sysconfig/iptables-Datei auf Endpoint Hybrid den Port „514“ hinzufügen:

    INPUT -p tcp -m tcp -m multiport --dports 514, 6514,50002,50102,50202,56002,56202 -m comment --comment "nwlogdecoderPorts" -m conntrack --ctstate NEW -j ACCEPT -

  2. Für UDP, müssen Sie in der /etc/sysconfig/iptables-Datei in Endpoint Hybrid den Inhalt unten hinzufügen:

    -A INPUT -p udp -m udp -m multiport --dports 514 -m comment --comment "nwlogcollectorUdpPorts" -m conntrack --ctstate NEW -j ACCEPT

  3. Starten Sie den Iptables-Service neu, damit die oben genannten neuen Konfigurationen wirksam werden: service iptables restart.

 

Verwandte Themen

Troubleshooting: Windows-Protokollsammlung mit einem Endpunkt-Agent

Next Topic:AWS-Parameter
You are here
Table of Contents > Sammlungsprotokolle > Windows-Protokollsammlung für Endpunkt-Agents

Attachments

    Outcomes