Gestion de la sécurité/utilisateur : Ajouter un utilisateur et attribuer un rôle 97981

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Dans la version 11.1, la collecte des fichiers log Windows peut être réalisée à l'aide de l'agent RSA® NetWitness Endpoint Insights. Lorsque l'agent est activé pour la collecte des fichiers log, un fichier de configuration des logs est fourni avec le Packager d'agent permettant d'activer la collecte et le transfert des fichiers log Windows en plus des données Endpoint. Le fichier de configuration généré contient des informations sur les canaux à partir desquels les logs doivent être collectés (source et destination) (Log Decoder ou Remote Log Collector) pour transférer les événements Windows définis. Le packager d'agent généré est en mesure de collecter à la fois les données des fichiers log Endpoint et Windows à partir des hôtes. Le packager d'agent Endpoint est extrait localement sur une machine Windows pour créer le fichier d'installation de l'agent. Le fichier du programme d'installation est ensuite déployé via un outil de distribution de logiciels tiers pour tous les points de terminaison de votre réseau.

Il existe trois scénarios pour la collecte de fichiers log Windows :

  • Générer l'agent avec Log Collection: si l'option Activer Windows Log Collection est activée et que vous cliquez sur Générer un agent après avoir fourni les informations requises. Le fichier AgentPackager.zip généré contient le fichier de collecte de logs. Pour plus d'informations, consultez la section « Génération d'un packager d'agent avec Windows Log Collection » dans le Guide d'installation de l'agent Endpoint Insights.
  • Générer le fichier Agent uniquement sans collecte de fichiers log : Si l'option Activer Windows Log Collection est désactivée et que vous cliquez sur Générer l'agent, alors seul le fichier zip est créé sans le fichier de collecte de logs. Pour plus d'informations, consultez la section « Générer un packager d'agent Endpoint » dans le Guide d'installation de l'agent Endpoint Insights.
  • Si vous cliquez sur Générer uniquement la configuration du journal, alors seule la configuration du log est créée. Cela peut permettre de mettre à jour le fichier de configuration de log dans un déploiement d'agent Endpoint existant pour la collecte de logs ou pour ajouter la configuration de log à un déploiement d'agent Endpoint. Pour plus d'informations, reportez-vous à la section « Ajouter la configuration de Windows Log Collection à un agent Endpoint installé ou la mettre à jour ».

Ajouter la configuration de Windows Log Collection à un agent Endpoint installé ou la mettre à jour

Vous pouvez ajouter un fichier de configuration de Windows Log Collection à un agent Endpoint, mais aussi modifier un fichier de configuration existant. Si une modification est requise dans la configuration de la collecte de logs pour les agents Endpoint, les agents n'ont pas besoin d'être réinstallés. Le fichier de configuration du log (nwelcfg file) peut être généré à partir de l'interface utilisateur du Packager et modifié.

Workflow

Ce workflow montre la procédure d'ajout ou de mise à jour d'un fichier de configuration de Windows Log Collection.

Voici quelques exemples de raisons qui nécessiteraient une modification de la configuration :

  • La destination vers laquelle les fenêtres doivent être transférées doit être modifiée pour une meilleure gestion de la charge du côté destination.
  • Le point de terminaison est déplacé vers un nouveau groupe défini par un système de gestion des points de terminaison tiers nécessitant une modification de la destination ou de la liste des ID d'événement à transférer.
  • Il existe des conditions requises pour modifier la liste des ID d'événement utilisés du côté destination.

Un nouveau fichier de configuration peut être généré en entrant les nouvelles valeurs dans l'écran Packager, ou en chargeant un fichier de configuration existant.

Remarque : L'agent Endpoint est conçu pour lire le fichier nwelcfg avec le dernier horodatage sous le dossier config. Par conséquent, assurez-vous que l'outil de gestion des points de terminaison tiers actualise l'horodatage du fichier en fonction de l'heure du point de terminaison tout en transmettant le fichier de configuration.

Suivez ces étapes pour ajouter un fichier de configuration de Windows Log Collection à un agent Endpoint existant, ou le mettre à jour :

  1. Dans l'interface utilisateur du Packager, effectuez l'une des opérations suivantes :

    1. Pour ajouter la configuration de Windows Log Collection : Fournissez les informations requises mentionnées dans la section « Génération d'un packager d'agent avec Windows Log Collection » dans le Guide d'installation de l'agent Endpoint Insights.
    2. Pour mettre à jour la configuration de Windows Log Collection : cliquez sur Charger la configuration existante et modifiez les champs prévus mentionnés sous « Génération d'un packager d'agent avec Windows Log Collection » dans le Guide d'installation de l'agent Endpoint Insights.
  2. Cliquez sur Générer uniquement la configuration du journal pour générer le fichier nwelcfg.
  3. Copiez le fichier nwelcfg téléchargé dans l'agent Endpoint à partir duquel les fichiers log doivent être transférés. Le fichier de configuration doit être copié dans le dossier %ProgramData%\NWEAgent. Pour déployer le fichier de configuration sur plusieurs agents, utilisez l'outil de distribution de logiciels tiers.

L'agent est conçu pour sélectionner le fichier de configuration de log contenant le dernier horodatage. S'il existe une différence de fuseau horaire, vérifiez que le fichier de configuration est mis à jour en fonction de l'horodatage de l'agent après la copie. Pour cela, exécutez la commande sur l'agent : copy /b <filename.nwelcfg> +,,dans le dossier %programdata%\NWEAgent\ à l'emplacement du fichier nwelcfg.

Vérifier Windows Log Collection

Pour vérifier que le déploiement de Windows Log Collection s'est effectué correctement sur un agent Endpoint, procédez comme suit :

  1. Accédez à ADMIN > Intégrité > Surveillance des sources d'événements.
  2. Dans le champ Période, sélectionnez 5 dernières minutes ou 10 dernières minutes en fonction du moment où les agents ont été installés.
  3. Cliquez sur Appliquer.
  4. Dans la liste affichée, l'adresse IP de l'agent doit être définie dans la colonne Source d'événement avec le Type de source d'événement Windows. Cela confirme que l'agent a été installé avec succès.

Pour vérifier que Windows Log Collection a été mis à jour avec succès, procédez comme suit :

  1. Accédez à ENQUÊTER > Naviguer. Patientez 2 à 3 minutes pour que ce fichier de configuration soit sélectionné par l'agent Endpoint.
  2. Sélectionnez le service Concentrator dans Investigate.
  3. Changez la chronologie en sélectionnant 5 dernières minutes, ou ce qui vous semblera approprié.
  4. Cliquez sur Charger les valeurs.
  5. Recherchez la clé méta de l'ID de message.
  6. Elle doit contenir une valeur agent.test. Une augmentation du nombre d'événements signifie que la mise à jour s'est déroulée correctement.

Activer le transfert de logs et configurer Log Decoder

Vous pouvez activer la fonction de transfert de logs et configurer Log Decoder dans Endpoint Hybrid en tant que destination dans l'interface utilisateur du Packager. Ensuite, vous devez ajouter les ports TCP/UDP 514 dans le fichier iptables dans Endpoint Hybrid.

Suivez ces étapes pour ajouter les ports :

  1. Pour le protocole TCP, vous devez ajouter le port « 514 » à la liste des ports du fichier /etc/sysconfig/iptables dans Endpoint Hybrid :

    INPUT -p tcp -m tcp -m multiport --dports 514, 6514,50002,50102,50202,56002,56202 -m comment --comment "nwlogdecoderPorts" -m conntrack --ctstate NEW -j ACCEPT -

  2. Pour le protocole UDP, vous devez ajouter le contenu ci-dessous dans le fichier /etc/sysconfig/iptables dans Endpoint Hybrid :

    -A INPUT -p udp -m udp -m multiport --dports 514 -m comment --comment "nwlogcollectorUdpPorts" -m conntrack --ctstate NEW -j ACCEPT

  3. Redémarrez le service iptables pour que les nouvelles configurations ci-dessus prennent effet : service iptables restart.

 

Rubriques connexes

Résolution des problèmes - Windows Log Collection utilisant un agent Endpoint

Next Topic:Paramètres AWS
You are here
Table of Contents > Protocole de collecte > Windows Log Collection pour les agents Endpoint

Attachments

    Outcomes