Průvodce pro rychlý start Virtuálního Logmanageru
V tomto průvodci se dozvíte všechny kroky, které je třeba provést při prvním spuštění a konfiguraci nástroje Virtual Logmanager.
Logmanager Logmanager je dodáván jako soubor OVA pro VMWare nebo jako virtuální disk VHDX Microsoft Hyper-V.
Po instalaci virtuálního stroje ve VMWare nebo v Microsoft Hyper-V bude třeba přidat do virtuálního stroje druhý disk. Tento disk bude sloužit jako úložný prostor pro virtuální stroj. Původní dodaný disk obsahuje operační systém, ale druhý disk bude sloužit jako úložiště pro logy Logmanageru a další systémové informace. Sekundární úložiště lze zvětšit přidáním dalšího místa nebo disků, pokud bude potřeba více místa pro logy.
Virtuální Logmanager používá statické IP adresy, které je třeba nastavit z příkazového řádku Logmanageru.
- Rozhodněte se, jaké síťové informace budete potřebovat, například 192.168.1.29 a masku 255.255.255.0 s použitím brány umístěné na adrese 192.168.1.1.
- Otevřete virtuální konzolu ze softwaru virtuálního počítače.
- Výchozí účet je admin/admin. Tento účet lze později změnit.
Příkaz set ip
používá následující syntaxi:
set ip ip_adresa síť vlan
Chcete-li nastavit adresu IP pomocí výše uvedených dat, použijte následující příkaz:
set ip 192.168.1.29 255.255.255.0 default_vlan
Příkaz delete route
používá následující syntaxi:
delete route target netmask gw
Chcete-li odstranit výchozí trasu, použijte následující příkaz:
delete route 0.0.0.0 0.0.0.0 192.168.0.1
Příkaz set route
používá následující syntaxi:
set route target netmask gw
Chcete-li odstranit výchozí cestu, použijte následující příkaz:
add route 0.0.0.0 0.0.0.0 192.168.1.1
Příkaz delete ip
používá následující syntaxi:
set route target netmask gw
Chcete-li odstranit výchozí ip adresy, použijte následující příkaz:
delete ip ip_adresa síť vlan
Pokud používáte virtuální forwarder Logmanager, měli byste pokračovat v kapitole Logmanager Forwarder, kde najdete informace o přidání forwarderu k serveru Logmanager.
Nyní se můžete přihlásit do webové administrace na adrese s virtuálním Logmanagerem. Virtuální forwarder nemá webové rozhraní:
https://YOURIP/
Změny v síti lze nyní provádět z webového rozhraní, pokud používáte virtuální Logmanager a pokud jste síť nakonfigurovali z příkazového řádku Logmanageru
YOURIP je IP adresa, která byla nastavena z příkazového řádku pomocí výše uvedených příkazů.
- Změňte IP adresu podle svých požadavků podle kapitoly IP addresses.
- Nyní znovu nastavte IP adresu svého počítače, abyste mohli opět přistupovat k webové administraci serveru Logmanager.
- Do prohlížeče zadejte novou IP adresu serveru Logmanager a znovu se přihlaste.
Výchozí brána je důležitá pro správnou komunikaci systému v síti.
Nyní je nutné nastavit výchozí bránu pomocí kapitoly Routování.
Nastavte IP adresu výchozí brány, kterou má server Logmanager používat.
Nastavení serverů DNS je nutné například pro získání dalších informací ze zpráv.
Nastavení proveďte pomocí kapitoly DNS.
Přidejte adresy svých serverů DNS, které má Logmanager používat.
Konfigurace DNS se použije po kliknutí na tlačítko Použít.
Časové servery jsou důležité pro správnou funkci celého systému. Každá zpráva uložená na serveru Logmanager má časové razítko. Pokud má systém posunutý čas, časové razítko bude posunuto proti skutečnosti.
NTP nastavte pomocí kapitoly NTP.
Konfigurace NTP se použije po kliknutí na tlačítko Použít.
Pro odesílání e-mailových zpráv ze serveru Logmanager je nutné nastavit server pro odesílání e-mailů pomocí kapitoly SMTP.
Chcete-li otestovat server SMTP, klikněte na tlačítko test.
Pokud vlastníte více serverů Logmanager, které chcete připojit do clusteru, použijte kapitolu Cluster.
Vytvořením clusteru dojde k propojení uzlů clusteru a také k automatické synchronizaci mezi účastníky clusteru. Nastavení musí být provedeno na obou uzlech se shodným jménem a heslem. IP adresa bude vždy adresa druhého partnera v clusteru.
Nastavení uživatelských jmen, skupin a jejich práv.
Pokud používáte uživatelské účty v doméně, připojte je pomocí LDAP.
Použijte kapitolu Seznam uživatelů.
Nyní je třeba nastavit všechna síťová zařízení tak, aby odesílala své auditní zprávy do nástroje Logmanager.
Vyberte zdroje dat z následujících kapitol:
Zařízení, která odesílají auditní zprávy prostřednictvím syslogu, musí mít nastaveny adresy IP v položce Logmanager serveru pomocí kapitoly IP prefix lists.
Ve většině případů stačí mít IP adresu v seznamu prefixů pro správné nastavení zařízení.
- Klikněte na
Záznamy ‣ Přístrojové panely ‣ Přehled záznamů
v levém menu. - Filtrujte zprávy uložené v databázi pomocí tabulky IP zařízení.
- Zkontrolujte jednotlivé záznamy v tabulce VŠECHNY UDÁLOSTI, zda jsou odpovídajícím způsobem analyzovány a uloženy.
- V případě nesprávného zařazení zařízení do seznamu IP prefixů a následné změny se tato změna použije pouze na nově příchozí zprávy.