Administración de usuarios/seguridad: Agregar un usuario y asignar una función 97893

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

En 11.1, la recopilación de registros de Windows se puede lograr mediante el agente de RSA® NetWitness® Endpoint Insights. Cuando el agente está habilitado para la recopilación de registros, se incluye un archivo de configuración del registro en el empaquetador de agentes para habilitar la recopilación y el reenvío de registros de Windows además de los datos de Endpoint. El archivo de configuración generado contiene información de los canales desde los cuales se recopilarán los registros y el destino (Log Decoder o un Remote Log Collector) para reenviar los eventos de Windows definido. El empaquetador de agentes generado puede recopilar datos del registro de Endpoint y Windows desde los hosts. El empaquetador de agentes de Endpoint se extrae de manera local en una máquina con Windows para crear el archivo instalador de agentes. El archivo de instalación luego se implementa a través de una herramienta de distribución de software de otros fabricantes para todos los terminales en la red.

Existen tres escenarios para la recopilación de registros de Windows que son los siguientes:

  • Generar agente con recopilación de registros: Si la opción Habilitar la recopilación de registros de Windows está habilitada y hace clic en Generar agente después de completar los detalles. El AgentPackager.zip generado contiene el archivo de recopilación de registros. Para obtener más información, consulte “Generación de un empaquetador de agentes con la recopilación de registros de Windows” de la Guía de instalación de agentes de Endpoint Insights.
  • Generar solo archivo de agente sin recopilación de registros: Si la opción Habilitar la recopilación de registros de Windows está deshabilitada y hace clic en Generar agente, entonces solo se crea el archivo Zip sin el archivo de recopilación de registros. Para obtener más información, consulte “Generar un empaquetador de agentes de Endpoint” de la Guía de instalación de agentes de Endpoint Insights.
  • Si hace clic en Generar solo configuración del registro, entonces solo se crea la configuración del registro. Esto se puede usar para actualizar el archivo de configuración del registro en una implementación de agentes de Endpoint existente para la recopilación de registros o para agregar la configuración del registro a una implementación de agentes de Endpoint. Para obtener más información, consulte “Agregar o actualizar la configuración de la recopilación de registros de Windows a un agente de Endpoint existente”.

Agregar o actualizar la configuración de la recopilación de registros de Windows a un agente de Endpoint existente

Puede agregar un archivo de configuración de la recopilación de registros de Windows a un agente de Endpoint y también puede modificar un archivo de configuración de la recopilación de registros existente. Si se requiere un cambio en la configuración de la recopilación de registros para los agentes de Endpoint, no es necesario que los agentes se instalen nuevamente. El archivo de configuración del registro (nwelcfg file) se puede generar desde la interfaz de usuario del empaquetador y puede modificarse.

Flujo de trabajo

Este flujo de trabajo muestra el procedimiento para agregar o actualizar un archivo de configuración de la recopilación de registros de Windows.

Los siguientes son algunos ejemplos de razones que requerirían un cambio en la configuración:

  • El destino al cual se reenviará Windows se debe cambiar para una mejor administración de la carga en el lado de destino.
  • El terminal se mueve a un nuevo grupo que define un sistema de administración de Endpoint de otros fabricantes que requiere un cambio en el destino o la lista de ID de evento para que se realice el reenvío.
  • Existen requisitos para cambiar la lista de ID de evento que se consumen en el lado de destino.

Un nuevo archivo de configuración se puede generar mediante el ingreso de los nuevos valores en la pantalla Empaquetador o mediante la carga de un archivo de configuración existente.

Nota: El agente de Endpoint está diseñado para leer el archivo nwelcfg con el registro de fecha y hora más reciente en la carpeta config. Por lo tanto, asegúrese de que la herramienta de administración de Endpoint de otros fabricantes actualice el registro de fecha y hora del archivo a la hora actual de Endpoint mientras migra el archivo de configuración.

Siga estos pasos para agregar o actualizar un archivo de configuración de la recopilación de registros de Windows a un agente de Endpoint existente:

  1. En la interfaz del usuario del empaquetador, realice una de las siguientes acciones:

    1. Para agregar la configuración de la recopilación de registros de Windows: Complete la información requerida que se menciona en “Generación de un empaquetador de agentes con la recopilación de registros de Windows” de la Guía de instalación de agentes de Endpoint Insights.
    2. Para actualizar la configuración de la recopilación de registros de Windows: haga clic en Cargar configuración existente y edite los campos previstos que se mencionaron en “Generación de un empaquetador de agentes con la recopilación de registros de Windows” de la Guía de instalación de agentes de Endpoint Insights.
  2. Haga clic en Generar solo configuración del registro para generar el archivo nwelcfg.
  3. Copie el archivo nwelcfg descargado para el agente de Endpoint desde donde se reenviarán los registros. El archivo de configuración se debe copiar a la carpeta %ProgramData%\NWEAgent. Para implementar el archivo de configuración en varios agentes, use la herramienta de distribución de software de otros fabricantes.

El agente está diseñado para seleccionar el archivo de configuración del registro que contiene el registro de fecha y hora más reciente. Si hay una diferencia de zona horaria, asegúrese de que el archivo de configuración se actualice al registro de fecha y hora del agente después de copiarlo. Para hacerlo, ejecute el comando en el agente: copy /b <filename.nwelcfg> +,,desde la carpeta %programdata%\NWEAgent\ donde se encuentra el archivo nwelcfg.

Verificar la recopilación de registros de Windows

Para verificar que la recopilación de registros de Windows está implementada correctamente en un agente de Endpoint, siga estos pasos:

  1. Vaya a ADMINISTRAR > Estado y condición > Monitoreo de orígenes de eventos.
  2. En el campo Intervalo de tiempo, seleccione Últimos 5 minutos o Últimos 10 minutos según el momento en que se instalaron los agentes.
  3. Haga clic en Aplicar.
  4. En la lista que aparece, la dirección IP del agente se debe mostrar en la columna Origen de evento con Tipo de origen de evento como Windows. Esto confirma que el agente se instaló correctamente.

Para verificar que una recopilación de registros de Windows se actualizó correctamente, siga estos pasos:

  1. Vaya a INVESTIGAR > Navegar. Espere de 2 a 3 minutos hasta que el agente de Endpoint seleccione el archivo de configuración.
  2. Seleccione Concentrator en Investigar.
  3. Cambie el cronograma a Últimos 5 minutos o según corresponda.
  4. Haga clic en Cargar valores.
  5. Busque la clave de metadatos del ID de mensaje.
  6. Debe haber un valor agent.test. Un aumento en el número de eventos significa que la actualización se realizó correctamente.

Habilitar el reenvío de registros y configurar el Log Decoder

Si desea habilitar la función de reenvío de registros y configurar el Log Decoder en Endpoint Hybrid como un destino en la interfaz del usuario del empaquetador, entonces tiene que agregar los puertos TCP/UDP 514 en el archivo iptables en Endpoint Hybrid.

Siga estos pasos para agregar los puertos:

  1. Para TCP, tiene que agregar el puerto “514” a la lista existente de puertos en el archivo /etc/sysconfig/iptables en Endpoint Hybrid:

    INPUT -p tcp -m tcp -m multiport --dports 514, 6514,50002,50102,50202,56002,56202 -m comment --comment "nwlogdecoderPorts" -m conntrack --ctstate NEW -j ACCEPT -

  2. Para UDP, tiene que agregar el contenido que aparece a continuación en el archivo /etc/sysconfig/iptables en Endpoint Hybrid:

    -A INPUT -p udp -m udp -m multiport --dports 514 -m comment --comment "nwlogcollectorUdpPorts" -m conntrack --ctstate NEW -j ACCEPT

  3. Reinicie el servicio iptables para que se implementen las nuevas configuraciones mencionadas anteriormente: service iptables restart.

 

Temas relacionados

Solución de problemas: Recopilación de registros de Windows mediante el agente de Endpoint

You are here
Table of Contents > Protocolos de recopilación > Recopilación de registros de Windows para agentes de Endpoint

Attachments

    Outcomes