Insightops - 配置Insight代理以发必威体育app登录送日志
Insi必威体育app登录ght Agent将资产日志数据通过一个名为dota2必威联赛logging.json..默认情况下,logging.json.文件指示代理将日志直接发送到data.logs.insight.rapid7.com.终点根据您所在的地点,但您可以配置a代理的目的地如果有必要的话)。
本文介绍了如何生成一个logging.json.Insightops中的文件,通过操作系统提供示例格式,并定义文件包含的JSON对象。
代理配置
如果您愿意通过代理发送资产日志数据而不是直接到Insight平台,可以通过在整个整体中添加以下附加密钥值对来执行此操作dota2必威联赛配置你的对象logging.json.文件:
代理类型- 指定应用程序协议。此时,只有HTTP是支持的。Proxy-URL.- 指定代理服务器的地址。这可以是主机名或IP地址。代理端口- 指定Insight代理将用于与代理服务器通信的端口。必威体育app登录
您可以将收集器指定为代理
如果您已在环境中部署了一个或多个收藏家,则可以将其中一个用于此用例用作代理。与Ins必威体育app登录ightops相关的Insight代理的收集任务不区分收集器或其他代理类型。指定要么实现到达互联网的相同目标。
对象配置logging.json.对于收集器的地址保持不变,除了代理端口必须设置为8037.按照收藏要求。
此示例显示了如何格式化代理定义logging.json.:
json
1
{
2
“配置”:{
3.
“代理类型”:“http”,
4
“proxy-url”:“10.7.1.219”,
5
“代理端口”:“3128”,
6
...然后是你的对象的其余部分
7
}
8
}
logging.json创建向导
使用Insigh必威体育app登录tops中的Insight代理数据源向导自动创建和格式化alogging.json.包含API密钥和数据区域的文件。您可以随后直接从向导下载完整文件。
您必须手动创建代理对象
的logging.json.Insightops中的创建向导目前不包括先前描述的代理相关对象。如果您希望代理通过代理发送日志,则必须编辑您的logging.json.下载后文件并手动添加代理对象。
创建日志。jsonfile with the wizard:
- 在“insighttops”中,单击添加数据按钮。
- 或者,您可以单击添加数据链接位于日志搜索或者数据收集标签。
- 在“安装Insight代理”部分中,单击必威体育app登录您打算安装代理的资产的操作系统。
提示
向导将假设您尚未在您的资产上安装Insight代理,因此如果您已经这样完成,请随时跳过安装步骤。必威体育app登录
- 在“通过Insight Agent发送日志”必威体育app登录面板上,选择使用现有的API密钥或生成新的API密钥:
- 如果您正在使用现有的API密钥,请将密钥粘贴到字段中,然后单击应用按钮。
- 如果要生成一个新的API键,请单击“生成API键按钮然后单击应用按钮。
- 验证您的格式化
logging.json.文件包括API密钥、数据区域端点和区域代码。注意,'destination'字段中的主机名可以根据需要更改。点击下载检索您的文件。 - 把你的
logging.json.根据你的资产的操作系统,在以下目录中的一个文件:- 视窗-
C:\Program Files\Rapid7\必威体育app登录Insight代理\ \ insight_agent \常见\配置组件 - Mac和Linux-
/ opt / rapid7 / ir_agent /组件/ insight_agent /共同/配置
- 视窗-
- 最后,重新启动Insight代理服务。必威体育app登录
- 在Windows上,该服务在服务管理器中称为“Rapid7 Insight Agent必威体育app登录”。
- 在Mac和Linux上,您可以通过运行来重新启动服务
Sudo服务ir_agent重启在终端中的命令。
logging.json格式化模板
如果您愿意创建您的logging.json.文件手动文件,请参阅以下模板。
Mac和Linux
的Mac和Linux版本logging.json.有以下结构:
logging.json.
1
{
2
“配置”:{
3.
“名称”:“按日志的标签配置为”配置“,
4
“端点”:“eu.data.logs.insight.rapid7.com”,
5
“地区”:“欧洲联盟”,
6
“api键”:“你的API键”,
7
“状态文件”:“/opt/rapid7/ir_agent/components/insight_agent/common/config/logs.state”,
8
“格式化器”:“清楚的”,
9
“指标”:{
10.
“system-stat-token”:“你的日志令牌在这里”,
11.
“系统 - 已启用”:真正的,
12.
“指标间隔”:“六十年代”,
13.
“metrics-cpu”:“系统”,
14.
“metrics-vcpu”:“核”,
15.
“metrics-mem”:“系统”,
16.
“指标交换”:“系统”,
17.
“指数 - 网”:“eth0总和”,
18.
“指标磁盘”:“SUM SDA4 SDA5”,
19.
“metrics-space”:“/”
20.
},
21.
“日志”:[
22.
{
23.
“名称”:“系统日志”,
24.
“目的地”:“您的服务器 - 名称/ syslog”,
25.
“小路”:“/ var / log / syslog”,
26.
“启用”:真正的
27.
},
28.
{
29.
“名称”:“核心”,
30.
“目的地”:“您的服务器 - 名称/内核”,
31.
“小路”:“/ var / log / kern.log”,
32.
“启用”:真正的
33.
},
34.
{
35.
“名称”:“身份验证”,
36.
“目的地”:“您的服务器 - 名称/ auth”,
37.
“小路”:“/var/log/auth.log”,
38.
“启用”:真正的
39.
},
40.
{
41.
“名称”:“必威体育app登录洞察代理日志”,
42.
“令牌”:“你的日志令牌在这里”,
43.
“小路”:“/opt/rapid7/ir_agent/components/insight_agent/common/agent.log”,
44.
“启用”:假
45.
}]
46.
}
47.
}
视窗
—不支持从域控制器收集事件日志
Insight代理的Insightops组件目前不支持从充当域控必威体育app登录制器的资产的事件日志集合。如果需要为此用例部署集合方法,请考虑实现以下备选方案之一:
- 在insighttops中创建WMI Active Directory事件源,并将其配置为使用收集器发送未过滤的日志。看到活动目录页Insightops帮助页面查看如何操作的说明。
- 将Windows事件从域控制器转发到另一台服务器,并在该中介资产上安装代理。您可以在以下Microsoft资源中阅读有关此过程的更多信息:
- https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwording-to-assist-in-in-intrusion-detection.
- 创建nxlog事件源。看到NXLog页面指令。
- 创建通用Windows事件日志事件源。看到通用Windows事件日志页面指令。
Windows版本logging.json.有以下结构:
logging.json.
1
{
2
“配置”:{
3.
“名称”:“按日志的标签配置为”配置“,
4
“端点”:“eu.data.logs.insight.rapid7.com”,
5
“地区”:“欧洲联盟”,
6
“api键”:“你的API键”,
7
“状态文件”:“C: \ \程序文件\ \ Rapid7 \ \洞察力必威体育app登录代理组件\ \ \ \ insight_agent \ \常见\ \ state.file”,
8
“格式化器”:“清楚的”,
9
“指标”:{
10.
“system-stat-token”:“你的日志令牌在这里”,
11.
“系统 - 已启用”:真正的,
12.
“指标间隔”:“六十年代”,
13.
“metrics-cpu”:“系统”,
14.
“metrics-vcpu”:“核”,
15.
“metrics-mem”:“系统”,
16.
“指标交换”:“系统”,
17.
“指数 - 网”:“eth0总和”,
18.
“指标磁盘”:“SUM SDA4 SDA5”,
19.
“metrics-space”:“/”
20.
},
21.
“Windows-eventlog”:{
22.
“启用”:真正的,
23.
“令牌”:“cfe50cc8 - 7651 - 42 - f3 ac23 - 866 bf87a6aad”
24.
},
25.
“日志”:[
26.
{
27.
“名称”:“自定义日志”,
28.
“目的地”:“服务器名/自定义日志”,
29.
“小路”:“c: \ \ logs \ \ mylogfile * . log”,
30.
“启用”:真正的
31.
},
32.
{
33.
“名称”:“必威体育app登录洞察代理日志”,
34.
“令牌”:“你的日志令牌在这里”,
35.
“小路”:“C: \ \程序文件\ \ Rapid7 \ \洞察力必威体育app登录代理组件\ \ \ \ insight_agent \ \常见\ \ agent.log”,
36.
“启用”:假
37.
}]
38.
}
39.
}
对象的传说
目的 |
描述 |
|---|---|
姓名 |
配置为您自己参考的标签。 |
终点 |
代理应该将日志数据转发到的日志数据端点。例如: |
地区 |
Insightops部署的特定区域是基于的。例如: |
api密匙 |
这是您的读写API键,可以在设置> API键. |
状态文件 |
这是对本地文件的路径跟踪发送到Insigleops的最后一个条目。当代理重新启动时,它将从该点发送日志,以最小化代理脱机的同时最小化缺少的日志数据。 |
格式化器 |
将格式化程序设置为“plain”将条目完全按照写入本地日志文件的方式发送到InsightOps。 |
指标 |
本节允许您将主机的资源利用率指标发送到Insigrops。 |
system-stat-token |
在此字段中输入日志令牌以定义哪些日志将在Insigrops中接收指标数据。您可以使用添加数据>快速添加在申请中。 |
Windows-eventlog. |
本节定义是否要自动从Windows事件日志中收集条目。这些条目将被转换为JSON以便于搜索分析。 |
令牌 |
在此字段中输入一个日志令牌,定义将在insighttops中接收Windows事件的日志。您可以使用添加数据>快速添加在申请中。 |
日志 |
这一部分是您想要遵循的主机上的日志文件列表。当新的行被写入这些日志时,更新将被实时发送到InsightOps。 |
姓名 |
配置为您自己参考的标签。 |
目的地 |
使用时,该字段将自动创建一个日志集,如果不存在匹配的日志集,则创建一个日志集。 |
路径 |
这是您希望在运行代理的主机上遵循的文件的路径。对于Windows计算机上的文件,您需要逃脱反斜杠。例如: |
启用 |
这是一个布尔值 |
代理类型 |
指定应用程序协议。此时,只有 |
Proxy-URL. |
指定代理服务器的地址。这可以是主机名或IP地址。 |
代理端口 |
指定Insight代理将用于与代理服务器通信的端口。必威体育app登录如果您在代理定义中指定收集器,则必须将其设置为 |