Übersichtshandbuch › Schnellstartbereitstellung › Bearbeiten des Syslog-Connectors

Bearbeiten des Syslog-Connectors

Jeder CA Enterprise Log Manager verfügt über einen Standardagent. Wenn CA Enterprise Log Manager installiert wurde, verfügt der Standardagent über einen teilweise konfigurierten Connector mit Namen "Syslog_Connector", der auf dem Listener "Syslog" basiert. Der Listener empfängt Syslog-Rohereignisse auf den Standard-Ports, sobald Sie die Ereignisquellen konfiguriert haben, die Syslogs an CA Enterprise Log Manager senden sollen. Damit CA Enterprise Log Manager diese Rohereignisse verfeinern kann, müssen Sie diesen Syslog_Connector editieren. Bestimmte Bearbeitungen sind erforderlich, andere sind optional.

• Sie müssen die Syslog-Ziele angeben, wenn Sie diesen Connector bearbeiten. Als Syslog-Ziele wählen Sie jede Integration, die einer oder mehreren Ereignisquellen entspricht, die Sie konfiguriert haben oder konfigurieren möchten. Durch die Angabe der Syslog-Ziele ist CA Enterprise Log Manager in der Lage, Ereignisse korrekt zu verfeinern.
• Optional können Sie Unterdrückungsregeln anwenden, die Akzeptanz von Syslogs für vertrauenswürdige Hosts beschränken, neben 514 (dem bekannten UDP-Port) und 1468 (dem Standard-TCP-Port) noch weitere Ports zum Abhören festlegen und/oder eine neue Zeitzone für einen vertrauenswürdigen Host hinzufügen.

So bearbeiten Sie den Syslog-Connector für einen Standardagent:

1. Klicken Sie auf die Registerkarte "Verwaltung".

   Die untergeordnete Registerkarte "Protokollerfassung" wird angezeigt.

2. Erweitern Sie den Agent-Explorer und dann die Standard-Agentengruppe oder die benutzerdefinierte Gruppe mit dem zu konfigurierenden CA Enterprise Log Manager.
3. Wählen Sie den Namen eines CA Enterprise Log Manager-Servers.

   Der Connector mit dem Namen Syslog_Connector wird angezeigt.

   

4. Klicken Sie auf Bearbeiten.

   Der Assistent zum Bearbeiten von Connectors wird geöffnet. Der Schritt "Connector-Details" ist ausgewählt.

5. (Optional) Klicken Sie auf "Unterdrückungsregeln anwenden". Wenn Sie bestimmte Syslog-Ereignistypen unterdrücken, also nicht erfassen möchten, verschieben Sie diesen Ereignistyp von der Liste "Verfügbar" in die Liste "Ausgewählt". Wählen Sie das Ereignis, das Sie verschieben möchten, und klicken Sie auf die Schaltfläche "Verschieben".
6. Klicken Sie auf den Schritt "Connector-Konfiguration".

   Standardmäßig werden alle verfügbaren Integrationen ausgewählt.

7. Wählen Sie Syslog-Ziele, indem Sie die Syslog-Integrationen für Ziele von der Liste "Verfügbar" in die Liste "Ausgewählt" verschieben.

   Wenn Sie beispielsweise das AIX-Betriebssystem auf einem Host in Ihrem Netzwerk konfiguriert haben, sollten Sie das Syslog-Ziel "AIX_Syslog" aus der Liste "Verfügbar" in die Liste "Ausgewählt" verschieben.

   

8. (Optional) Geben Sie die vertrauenswürdigen Hosts an, von denen der Syslog-Connector eingehende Ereignisse akzeptieren soll. Geben Sie in das Eingabefeld die IP-Adresse ein, und klicken Sie auf "Hinzufügen". Wiederholen Sie dies für alle vertrauenswürdigen Hosts. Wenn dann ein Ereignis von einem Host empfangen wird, der nicht als vertrauenswürdig konfiguriert wurde, wird dieses Ereignis abgelehnt.

   Hinweis: Es ist eine gute Übung, vertrauenswürdige Hosts zu konfigurieren. Normalerweise konfigurieren Sie alle Hosts, auf denen Sie Ereignisse konfiguriert haben, die Syslogs an CA Enterprise Log Manager senden sollen. Durch die Angabe von vertrauenswürdigen Hosts stellen Sie sicher, dass der Standardagent keine Ereignisse von Schurkensystemen akzeptiert, die ein Angreifer konfiguriert hat, um Ereignisse an den Syslog-Listener zu senden.

9. (Optional) Fügen Sie Ports hinzu.

   Sie können typischerweise die Standard-UPD- und TCP-Ports für den Standardagent akzeptieren.

   Hinweis: Sie erreichen Leistungsverbesserungen, indem Sie einen Syslog-Connector für verschiedene Ereignistypen definieren und für jeden einen eigenen Port festlegen. Stellen Sie sicher, dass die Ports nicht verwendet werden, wenn Sie neue Ports zuweisen.

10. (Optional) Fügen Sie nur eine Zeitzone hinzu, wenn Sie Syslogs von Geräten erfassen, deren Zeitzone sich von der Soft-Appliance unterscheidet.
    1. Klicken Sie auf "Ordner erstellen", und erweitern Sie den Ordner.
    2. Markieren Sie den leeren Eintrag unter dem Ordner. Geben Sie die IP-Adresse eines vertrauenswürdigen Hosts ein, den Sie für diesen Connector definiert haben, oder den NTP-Time-Server, den Sie bei der Installation von CA Enterprise Log Manager festgelegt haben.

    

11. Klicken Sie auf "Speichern" und "Schließen".
12. Zeigen sie den Staus an.
    1. Klicken Sie auf "Status und Befehl".

    

    "Anzeigen des Status von Agents" ist ausgewählt. In der Spalte "Agenten" wird der Hostname des installierten Servers angezeigt, da sich der Standardagent auf diesem Server befindet. Der Status "Wird ausgeführt" wird angezeigt.

    1. Klicken Sie auf den Link "Wird ausgeführt", um Details anzuzeigen.
    2. Klicken Sie auf die Schaltfläche "Connectors", um den Status des Connectors anzuzeigen.

       

    3. Klicken Sie auf den Link "Wird ausgeführt".

       Die Felder "Prozent der CPU", "Arbeitsspeicherverwendung", Durchschnittliche Ereignisse pro Sekunde (EPS)" und "Anzahl der gefilterten Ereignisse" werden angezeigt.

Weitere Informationen:

Konfigurieren des Standardagenten