Insightops - 配置Insight代理以发必威体育app登录送日志
Insi必威体育app登录ght Agent将资产日志数据通过一个名为dota2必威联赛logging.json.
.默认情况下,logging.json.
文件指示代理将日志直接发送到data.logs.insight.rapid7.com.
终点根据您所在的地点,但您可以配置a代理的目的地如果有必要的话)。
本文介绍了如何生成一个logging.json.
Insightops中的文件,通过操作系统提供示例格式,并定义文件包含的JSON对象。
代理配置
如果您愿意通过代理发送资产日志数据而不是直接到Insight平台,可以通过在整个整体中添加以下附加密钥值对来执行此操作dota2必威联赛配置
你的对象logging.json.
文件:
代理类型
- 指定应用程序协议。此时,只有HTTP
是支持的。Proxy-URL.
- 指定代理服务器的地址。这可以是主机名或IP地址。代理端口
- 指定Insight代理将用于与代理服务器通信的端口。必威体育app登录
您可以将收集器指定为代理
如果您已在环境中部署了一个或多个收藏家,则可以将其中一个用于此用例用作代理。与Ins必威体育app登录ightops相关的Insight代理的收集任务不区分收集器或其他代理类型。指定要么实现到达互联网的相同目标。
对象配置logging.json.
对于收集器的地址保持不变,除了代理端口
必须设置为8037.
按照收藏要求。
此示例显示了如何格式化代理定义logging.json.
:
json
1{2“配置”:{3.“代理类型”:“http”,4“proxy-url”:“10.7.1.219”,5“代理端口”:“3128”,6...然后是你的对象的其余部分7}8}
logging.json创建向导
使用Insigh必威体育app登录tops中的Insight代理数据源向导自动创建和格式化alogging.json.
包含API密钥和数据区域的文件。您可以随后直接从向导下载完整文件。
您必须手动创建代理对象
的logging.json.
Insightops中的创建向导目前不包括先前描述的代理相关对象。如果您希望代理通过代理发送日志,则必须编辑您的logging.json.
下载后文件并手动添加代理对象。
创建日志。jsonfile with the wizard:
- 在“insighttops”中,单击添加数据按钮。
- 或者,您可以单击添加数据链接位于日志搜索或者数据收集标签。
- 在“安装Insight代理”部分中,单击必威体育app登录您打算安装代理的资产的操作系统。
提示
向导将假设您尚未在您的资产上安装Insight代理,因此如果您已经这样完成,请随时跳过安装步骤。必威体育app登录
- 在“通过Insight Agent发送日志”必威体育app登录面板上,选择使用现有的API密钥或生成新的API密钥:
- 验证您的格式化
logging.json.
文件包括API密钥、数据区域端点和区域代码。注意,'destination'字段中的主机名可以根据需要更改。点击下载检索您的文件。 - 把你的
logging.json.
根据你的资产的操作系统,在以下目录中的一个文件:- 视窗-
C:\Program Files\Rapid7\必威体育app登录Insight代理\ \ insight_agent \常见\配置组件
- Mac和Linux-
/ opt / rapid7 / ir_agent /组件/ insight_agent /共同/配置
- 视窗-
- 最后,重新启动Insight代理服务。必威体育app登录
- 在Windows上,该服务在服务管理器中称为“Rapid7 Insight Agent必威体育app登录”。
- 在Mac和Linux上,您可以通过运行来重新启动服务
Sudo服务ir_agent重启
在终端中的命令。
logging.json格式化模板
如果您愿意创建您的logging.json.
文件手动文件,请参阅以下模板。
Mac和Linux
的Mac和Linux版本logging.json.
有以下结构:
logging.json.
1{2“配置”:{3.“名称”:“按日志的标签配置为”配置“,4“端点”:“eu.data.logs.insight.rapid7.com”,5“地区”:“欧洲联盟”,6“api键”:“你的API键”,7“状态文件”:“/opt/rapid7/ir_agent/components/insight_agent/common/config/logs.state”,8“格式化器”:“清楚的”,9“指标”:{10.“system-stat-token”:“你的日志令牌在这里”,11.“系统 - 已启用”:真正的,12.“指标间隔”:“六十年代”,13.“metrics-cpu”:“系统”,14.“metrics-vcpu”:“核”,15.“metrics-mem”:“系统”,16.“指标交换”:“系统”,17.“指数 - 网”:“eth0总和”,18.“指标磁盘”:“SUM SDA4 SDA5”,19.“metrics-space”:“/”20.},21.“日志”:[22.{23.“名称”:“系统日志”,24.“目的地”:“您的服务器 - 名称/ syslog”,25.“小路”:“/ var / log / syslog”,26.“启用”:真正的27.},28.{29.“名称”:“核心”,30.“目的地”:“您的服务器 - 名称/内核”,31.“小路”:“/ var / log / kern.log”,32.“启用”:真正的33.},34.{35.“名称”:“身份验证”,36.“目的地”:“您的服务器 - 名称/ auth”,37.“小路”:“/var/log/auth.log”,38.“启用”:真正的39.},40.{41.“名称”:“必威体育app登录洞察代理日志”,42.“令牌”:“你的日志令牌在这里”,43.“小路”:“/opt/rapid7/ir_agent/components/insight_agent/common/agent.log”,44.“启用”:假45.}]46.}47.}
视窗
—不支持从域控制器收集事件日志
Insight代理的Insightops组件目前不支持从充当域控必威体育app登录制器的资产的事件日志集合。如果需要为此用例部署集合方法,请考虑实现以下备选方案之一:
- 在insighttops中创建WMI Active Directory事件源,并将其配置为使用收集器发送未过滤的日志。看到活动目录页Insightops帮助页面查看如何操作的说明。
- 将Windows事件从域控制器转发到另一台服务器,并在该中介资产上安装代理。您可以在以下Microsoft资源中阅读有关此过程的更多信息:
- https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwording-to-assist-in-in-intrusion-detection.
- 创建nxlog事件源。看到NXLog页面指令。
- 创建通用Windows事件日志事件源。看到通用Windows事件日志页面指令。
Windows版本logging.json.
有以下结构:
logging.json.
1{2“配置”:{3.“名称”:“按日志的标签配置为”配置“,4“端点”:“eu.data.logs.insight.rapid7.com”,5“地区”:“欧洲联盟”,6“api键”:“你的API键”,7“状态文件”:“C: \ \程序文件\ \ Rapid7 \ \洞察力必威体育app登录代理组件\ \ \ \ insight_agent \ \常见\ \ state.file”,8“格式化器”:“清楚的”,9“指标”:{10.“system-stat-token”:“你的日志令牌在这里”,11.“系统 - 已启用”:真正的,12.“指标间隔”:“六十年代”,13.“metrics-cpu”:“系统”,14.“metrics-vcpu”:“核”,15.“metrics-mem”:“系统”,16.“指标交换”:“系统”,17.“指数 - 网”:“eth0总和”,18.“指标磁盘”:“SUM SDA4 SDA5”,19.“metrics-space”:“/”20.},21.“Windows-eventlog”:{22.“启用”:真正的,23.“令牌”:“cfe50cc8 - 7651 - 42 - f3 ac23 - 866 bf87a6aad”24.},25.“日志”:[26.{27.“名称”:“自定义日志”,28.“目的地”:“服务器名/自定义日志”,29.“小路”:“c: \ \ logs \ \ mylogfile * . log”,30.“启用”:真正的31.},32.{33.“名称”:“必威体育app登录洞察代理日志”,34.“令牌”:“你的日志令牌在这里”,35.“小路”:“C: \ \程序文件\ \ Rapid7 \ \洞察力必威体育app登录代理组件\ \ \ \ insight_agent \ \常见\ \ agent.log”,36.“启用”:假37.}]38.}39.}
对象的传说
目的 |
描述 |
---|---|
姓名 |
配置为您自己参考的标签。 |
终点 |
代理应该将日志数据转发到的日志数据端点。例如: |
地区 |
Insightops部署的特定区域是基于的。例如: |
api密匙 |
这是您的读写API键,可以在设置> API键. |
状态文件 |
这是对本地文件的路径跟踪发送到Insigleops的最后一个条目。当代理重新启动时,它将从该点发送日志,以最小化代理脱机的同时最小化缺少的日志数据。 |
格式化器 |
将格式化程序设置为“plain”将条目完全按照写入本地日志文件的方式发送到InsightOps。 |
指标 |
本节允许您将主机的资源利用率指标发送到Insigrops。 |
system-stat-token |
在此字段中输入日志令牌以定义哪些日志将在Insigrops中接收指标数据。您可以使用添加数据>快速添加在申请中。 |
Windows-eventlog. |
本节定义是否要自动从Windows事件日志中收集条目。这些条目将被转换为JSON以便于搜索分析。 |
令牌 |
在此字段中输入一个日志令牌,定义将在insighttops中接收Windows事件的日志。您可以使用添加数据>快速添加在申请中。 |
日志 |
这一部分是您想要遵循的主机上的日志文件列表。当新的行被写入这些日志时,更新将被实时发送到InsightOps。 |
姓名 |
配置为您自己参考的标签。 |
目的地 |
使用时,该字段将自动创建一个日志集,如果不存在匹配的日志集,则创建一个日志集。 |
路径 |
这是您希望在运行代理的主机上遵循的文件的路径。对于Windows计算机上的文件,您需要逃脱反斜杠。例如: |
启用 |
这是一个布尔值 |
代理类型 |
指定应用程序协议。此时,只有 |
Proxy-URL. |
指定代理服务器的地址。这可以是主机名或IP地址。 |
代理端口 |
指定Insight代理将用于与代理服务器通信的端口。必威体育app登录如果您在代理定义中指定收集器,则必须将其设置为 |