Beat agenti
Tato podsekce vysvětluje, jak se dají konfigurovat a vyhledávat informace o všech počítačových stanicích a serverech, které jsou s Logmanagerem propojeny. Všechny stanice/servery jsou automaticky přidány po instalaci agenta.
Tato stránka popisuje možnosti konfigurace grafického uživatelského rozhraní (GUI). Pokud hledáte konkrétní informace týkající se agenta Logmanager Orchestrator, jako je architektura, pokyny k instalaci, změna hodnot registru, diagnostika atd., přejděte na stránku Logmanager Orchestrator.
Tabulka ukazuje hlavní informace o připojených stanicích/serverech. Jejich jméno (Jméno hostitele), operační systém (Typ OS), verzi nainstalovaného agenta (Verze), IP adresu (IP), aplikované filtry (Winlogbeat/Filebeat filtr), počet sbíraných logů ze souboru (Soubory logů), stav Winlogbeatu/Filebeat (Stav), značky přiřazené k agentovi (Značky) a čas poslední známé aktivity (Poslední připojení).
V horní části nad tabulkou je k dispozici pole pro vyhledávání. Pokud například chcete vyhledat koncovou stanici s IP adresou 192.168.1.1, jednoduše začněte tím, že do tohoto pole IP adresu napíšete a tabulka bude filtrována na základě zadaných hodnot.
Pro konfigurace zvoleného agenta klikněte na konci řádku na ikonu modrého psacího pera. Bude otevřené nové okno, kde naleznete následující:
- ID: Serverem generovaný unikátní identifikátor agenta, toto ID je v budoucnu použito pro API komunikaci.
- Jméno hostitele: jméno stanice/serveru.
- Poslední připojení: Datum poslední známé aktivity (heartbeat). Agent se k Logmanageru připojuje ve výchozím intervalu každých 120 vteřin. Agent si v tomto intervalu také aktualizuje konfiguraci z Logmanageru.
Služba Logmanager Orchestrator komunikuje směrem k Logmanageru v časovém intervalu (heartbeat) 1 hodiny. Pokud v tomto intervalu dojde ke změně konfigurace, agent ji automaticky stáhne a aplikuje.
- Node ID: Klientem generované unikátní ID agenta.
- Typ OS: Typ operačního systému, kde je agent nainstalovaný.
V současné době podporuje pouze operační systémy Windows.
- Verze OS: Verze operačního systému, na kterém je agent nainstalovaný.
- Verze: aktuální verze Logmanager Orchestrator služby.
- IP: IP adresa stanice/serveru.
- Zdroje událostí: Nastavení úrovně logování.
- Soubory logů: Seznam sbíraných souborových logů.
- Značky: Značky (tagy) přiřazené k agentovi.
Tato možnost je relevantní pouze pro Winlogbeat agenta a umožňuje „vytáhnout“ kanály událostí systému Windows z operačního systému:
Zdroje událostí:
- Převzato z Beat globální konfigurace: použije globální nastavení - beatsglobalconfig.
Toto je výchozí nastavení.
- Všechny zdroje událostí: dešle všechny události systému Windows (Prohlížeč událostí > Protokoly systému Windows a Prohlížeč událostí > Protokoly aplikací a služeb).
Zapnutím této funkce přinutí agenta odesílat každou událost generovanou na stanici/serveru. Proto zvažte použití filtru pro omezení množství shromážděných událostí.
- Zdroje systémových událostí: odešle pouze systémové události. (Prohlížeč událostí > Protokoly systému Windows).
Winlogbeat bude při prvním a dalších spuštěních ignorovat události starší než 15 minut. To může vést ke ztrátě dat. Pokud například vypnete službu Winlogbeat a necháte ji v tomto stavu déle než 15 minut, nebudou předávány logy/události starší než tento interval.
Tato možnost se týká pouze Filebeat agenta – umožňuje ho nastavit tak, aby odesílal logy z textových souborů v operačních systémech:
- Šablona: předkonfigurovaná cesta ke sběru nejběžnějších logů, jako jsou například: DHCP, DNS, Exchange, Firewall a IIS.
- Cesta k souboru: absolutní cesta k souboru (jsou povoleny zástupné znaky (wildcards), například použití cesty: C:TestDataLog.txt* dá agentovi pokyn, aby stáhl každý soubor začínající na „Log“ a končící s příponou .txt ve složce TestData a odeslal jej do Logmanageru). Každý nový záznam (řádek logu) v souboru je agentem automaticky rozpoznán a odeslán.
Je potřeba dbát zvýšené pozornisti na názvy souborů. Operační systém Windows ve výchozím nastavení skrývá přípony souborů. Například soubortest.log.txt
bude zobrazen v průzkumníku jen jakotest.log
. Použitítest.log
jako Cesta k souboru nebude fungovat, protože takový soubor ve skutečnosti neexistuje a filebeat jej tak nedokáže najít.
Tagy mohou obsahovat pouze čárkou oddělené alfanumerické znaky! Nesmíte použít symbol pomlčky.
Dvakrát zkontrolujte, že vámi zadaná cesta odkazuje výhradně na soubory s logy. Na Microsoft DHCP logy dávejte extra pozor, korektní cesta (výchozí) je C:\Windows\System32\dhcp\Dhcp*.log. V některých případech Microsoft ukládá databázová data do souborů s příponou „.log“. Pokud se agent pokusí taková data sesbírat, může dojít k zastavení DHCP služby na serveru.
Použití zástupného znaku (*) v cestě k souboru způsobí, že se budou rozlišovat malá a velká písmena! Důvodem je, že úplné cesty (například: c:\tmp\test.log) jsou řešeny přímo prostřednictvím souborového systému Windows, který ve výchozím stavu malá a velká písmena nerozlišuje. Zatímco „globální cesty“ (pro příklad: c:\tmp\*.log) jsou zpracovávány pomocí jazyka Go, který velká a malá písmena rozlišuje.
Před konfigurací je vhodné zkontrolovat, zda se v daném adresáři nenachází více jak 2000 souborů, které budou Filebeatem monitorované. Pokud se v adresáři nachází více jak 2000 souborů, je vhodné soubory zálohovat nebo přesunout do jiného adresáře, a tím omezit množství monitorovaných souborů pod 2000. Monitorování více než 2000 souborů může způsobovat různé provozní či výkonnostní problémy.
- Tagy (oddělené čárkou): vaše unikátní tagy přiřazené k danému souboru. Tagy oddělujte čárkou a využívejte jen ty, které dávají smysl - později je můžete využít ke klasifikaci.
- Typ: typ souboru.
Filebeat agent umožňuje použití mnoha různých typů souborů. Nejlepší je „text“, který umožňuje stáhnout a odeslat jakýkoli textový soubor. Aktuálně je to navíc jediný podporovaný typ vstupu, do budoucna se bude podpora rozšiřovat.
Značky souborových logů jsou důležité pro správně parsování! Příklad: Pokud zvolíte šablonu Exchange pro sběr transportních logů Exchange, automaticky bude přidána značka „exchange“. Logmanager tuto značku (tag) používá pro správnou klasifikaci logů. Pokud ji smažete, Logmanager nebude logy správně parsovat.
V konfiguraci zvoleného agenta můžete volitelně přidávat značky (tagy). Značky můžete kombinovat a přidávat jich více dle vašeho uvážení. Ty budou aplikovány na celý Orchestrator. Myšleno následovně: pokud u zvoleného agenta nastavíte vámi požadovaný tag, bude to mít „globální vliv“ a značka bude použita jak pro logy z Winlogbeat agenta, tak pro logy z Filebeat agenta. Bez ohledu na to, jaké značky máte nastaveny v možnostech logování ze souboru.
Můžete přidávat jak značky stávající, tak nové, a to pomocí rozbalovacího menu.
- Verze: aktuální verze agenta.
- Stav: aktuální stav (running/stopped).
- Cílový stav: preferovaný stav, který agent aplikuje při dalším stažení konfigurace (Enabled/Disabled/Auto).
- Filtr: přiřazený filtr zvolenému agentovi.
Pokud nastavíte tento i globální filtr, použijí se oba.
Stav Filebeat se změní na „running“ pouze pokud je nakonfigurovaná možnost sběru logů ze souborů. Bez tohoto nastavení odmítne agent nastartovat, jelikož by neměl co sbírat/odesílat.
Pro smazání agenta klikněte na červený křížek. Objeví se okno, kde je potřeba smazání potvrdit, nebo naopak zrušit.
Smazáním agenta z tohoto seznamu ho neodstraníte na serveru/endpointu. Ujistěte se, že jste nejdříve agenta odinstalovali na konkrétním zařízení ručně.
Ve starších zařízeních Logmanageru je nutné ručně aktualizovat klasifikaci, aby bylo možné povolit automatickou klasifikaci pro logy z Logmanager Beats Agenta.
Výchozí klasifikace pro Logmanagery dodané z výroby před 1. červnem 2020 neodráží 100% novou logiku šablon klasifikátorů zavedenou od Logmanager kódu 3.5.0. Zkontrolujte, prosím, ve svých pravidlech klasifikátoru přítomnost tohoto přesného pravidla jako posledního (v abecedním pořadí).
Vaše klasifikace pravděpodobně vypadá jako na obrázku níže. Na příkladu je výchozí syslog klasifikátor, který bude odesílat logy/události POUZE V PŘÍPADĚ, že do systému LM dorazily prostřednictvím protokolu syslog. Cílem je odeslat všechny události/logy do výchozí šablony klasifikátoru, který logy zpracuje a roztřídí automaticky. Abyste toho dosáhli, musíte odstranit podmínku, která omezuje zpracování pouze na události syslogu.
Upravte svůj výchozí klasifikátor syslogu kliknutím na modrou tužku:
Před změnami doporučujeme vytvořit zálohu aktuální konfigurace. Pokud se něco pokazí, můžete tuto verzi vždy obnovit. Zálohu můžete provést jednoduše tak, že zkopírujete kód XML z karty XML a uložíte jej někam do počítače, například do textového souboru. Pokud jej potřebujete obnovit, jednoduše zkopírujte celý kód z textového souboru a vložte jej znovu na kartu XML v klasifikátoru. Podrobněji - upravte svůj výchozí klasifikátor, přepněte se na kartu XML, vyberte veškerý kód, odstraňte jej a vložte tam svůj zálohovaný kód.
-
Přejmenujte na vendor-Default
-
Odstraňte “if část” - přetáhněte blok „if do“ a odpojte jej od bloku „Process as:“. Přetáhněte také blok „pass to template“ a odpojte jej od bloku „if do“. Nyní by měl klasifikátor vypadat následovně:
-
Nyní připojte blok „pass to template“ k „Process as:“
-
Odstranit celý blok „if do“.
-
Uložte kliknutím na tlačítko Uložit.
-
Nyní budou všechny vaše logy, které nejsou pouze ze syslogu, klasifikovány v šabloně vendor-Default classification.
Klasifikátor můžete také upravit kliknutím na XML záložku a vložením tohoto kódu:
<xml xmlns="http://www.w3.org/1999/xhtml">
<variables></variables>
<block type="def" id="1" deletable="false" x="60" y="20">
<comment pinned="false" h="80" w="160">Describe this function...</comment>
<statement name="STACK">
<block type="classifier_pass_to_template" id="bRq6VsZ=k4vt(_f{qWpr">
<field name="TARGET">fc2518e1-fec5-4106-b176-2e10c1866df0</field>
</block>
</statement>
</block>
</xml>
Nezapomeňte klasifikátor přejmenovat, kód XML neobsahuje název, typ ani popis.
Existuje také druhá možnost - přidat novou klasifikaci, ale tento způsob se pro budoucí účely nedoporučuje a má také dopad na systémové prostředky:
- přidejte nové pravidlo klasifikátoru s názvem „beats“ s následovnou podmínkou podle obrázku níže
Před zahájením používání nového Beats Agenta požádejte svého certifikovaného partnera Logmanager o revizi, aktualizaci a vyčištění vašich klasifikačních pravidel. Od verze 3.5.0 jsme změnili způsob zpracování dat a novější přístup je mnohem jednodušší a srozumitelnější.
Pokud nemáte certifikovaného partnera Logmanager, otevřete ticket podpory u dodavatele prostřednictvím e-mailu: help@logmanager.cz, okamžitě vám pomůžeme.
Detailní vysvětlení Klasifikátory jsou pod přísnou kontrolou zákazníka/partnera, aby odpovídaly specifickým potřebám prostředí. Každá instalace Logmanageru je jedinečná. Proto dodavatel nemůže automaticky aktualizovat žádný klasifikátor bez rizika, že naruší zamýšlenou funkčnost nakonfigurovanou zákazníkem. Pro klasifikaci vytvořenou dodavatelem používáme Šablony klasifikátorů, které jsou uzamčeny pro uživatelské úpravy, a proto je může dodavatel aktualizovat. V nástroji Logmanager s původní verzí softwaru 3.4.x před jakoukoli aktualizací softwaru chybí pravidlo poslední instance pro veškerý provoz (včetně provozu Beats Agents zavedeného ve verzi 3.8.x a vyšší). Vzhledem k tomu, že klasifikace může ovlivnit celkový výkon zařízení Logmanager, má smysl pravidelně revidovat pravidla klasifikátoru a optimalizovat/vyčistit je pro aktuální potřeby zákazníka.