Guida generale › Distribuzione iniziale rapida › Modificare il connettore syslog

Modificare il connettore syslog

Ogni CA User Activity Reporting Module dispone di un agente predefinito. Quando si installa un CA User Activity Reporting Module , l'agente predefinito dispone di un connettore parzialmente configurato chiamato Syslog_Connector basato sul listener, Syslog. Questo listener riceve eventi syslog grezzi sulle porte predefinite non appena si configurano le origini evento per inviare syslog a CA User Activity Reporting Module. Tuttavia, perché CA User Activity Reporting Module possa perfezionare questi eventi grezzi, occorre modificare Syslog_Connector. Alcune modifiche sono obbligatorie, altre facoltative.

• È necessario identificare le destinazioni syslog quando si modifica questo connettore. Selezionare come destinazione syslog ogni integrazione che corrisponda a una o più origini evento già configurate o che si prevede di configurare. Identificare destinazioni syslog consente a CA User Activity Reporting Module di perfezionare correttamente gli eventi.
• Se lo si desidera, è possibile applicare regole di soppressione, limitare l'accettazione dei syslog a host attendibili, specificare porte di attesa diverse dalla 514, la famosa porta UDP syslog, e dalla 1468, la porta TCP predefinita e/o aggiungere nuovi fusi orari per gli host attendibili.

Per modificare il connettore syslog per un agente predefinito

1. Fare clic sulla scheda Amministrazione.

   Verrà visualizzata la sottoscheda Raccolta registri.

2. Espandere l'Explorer agente e poi il Gruppo agenti predefinito o il gruppo definito dall'utente al momento della configurazione di CA User Activity Reporting Module.
3. Selezionare il nome di un server CA User Activity Reporting Module.

   Verrà visualizzato il connettore Syslog_Connector.

   

4. Fare clic su Modifica.

   La modifica guidata del connettore viene visualizzata con selezionato il passaggio relativo ai dettagli connettore.

5. (Facoltativo) Fare clic su Applica regole di soppressione. Se si desidera sopprimere, ovvero non raccogliere, un evento syslog qualunque, spostare il tipo di evento dall'elenco disponibile a quello selezionato. Selezionare l'evento da spostare e fare clic sul pulsante corrispondente all'azione.
6. Fare clic sul passaggio Configurazione connettore.

   Tutte le integrazioni disponibili sono selezionate per impostazione predefinita.

7. Selezionare le destinazioni syslog spostando le integrazioni syslog verso la destinazione dall'elenco disponibile a quello selezionato.

   Ad esempio, se il sistema operativo AIX è stato configurato su un host della propria rete, sarà necessario spostare la destinazione syslog, AIX_Syslog, dall'elenco disponibile all'elenco selezionato.

   

8. (Facoltativo) Identificare gli host attendibili dai quali il connettore syslog accetterà gli eventi in ingresso. Immettere l'indirizzo IP nel campo, quindi fare clic su Aggiungi. Ripetere l'operazione per tutti gli host attendibili. Successivamente, quando un evento viene ricevuto da un host non configurato come attendibile, tale evento verrà respinto.

   Nota: è buona abitudine configurare gli host attendibili. Di solito vengono configurati tutti gli host sui quali sono state configurate origini evento per l'invio di syslog a CA User Activity Reporting Module. Specificare gli host attendibili assicura che l'agente predefinito non accetti eventi dai rogue system configurati dall'autore di un attacco per inviare eventi al listener di syslog.

9. (Facoltativo) Aggiungere porte.

   Generalmente, è possibile accettare le porte UPD e TCP predefinite per l'agente predefinito.

   Nota: è possibile ottenere prestazioni superiori definendo un connettore syslog per diversi tipi di evento e specificando porte diverse per ognuno di essi. Assicurarsi di selezionare porte non utilizzate quando si eseguono nuove assegnazioni di porte.

10. (Facoltativo) Aggiungere un fuso orario solo se si raccolgono syslog da computer in fusi orari diversi dall'applicazione software.
    1. Fare clic su Crea cartella ed espandere la cartella.
    2. Selezionare la voce vuota sotto la cartella. Inserire l'indirizzo IP di un host attendibile configurato per questo connettore o del server di riferimento orario NTP specificato al momento dell'installazione del CA User Activity Reporting Module.

    

11. Fare clic su Salva e chiudi.
12. Visualizzare lo stato.
    1. Fare clic su Stato e comando.

    

    L'opzione Visualizza stato degli agenti è selezionata. Il nome host del server installato verrà visualizzato nella colonna Agente, dato che l'agente predefinito si trova su questo server. Lo stato mostrato è quello di funzionamento.

    1. Fare clic sul link In esecuzione per visualizzare i dettagli.
    2. Fare clic sul pulsante Connettori per visualizzare lo stato dei connettori.

       

    3. Fare clic sul link In esecuzione.

       Verranno visualizzati CPU in percentuale, utilizzo della memoria, media di eventi al secondo (EPS) e conteggio eventi filtrati.

Ulteriori informazioni:

Configurazione dell'agente predefinito