Gilt für: WatchGuard SIEMFeeder
Bei der ersten Ausführung verwendet der Konfigurationsassistent für WatchGuard Event Importer die von Ihnen eingegebenen Daten für die Aktualisierung der Datei configuration.json. Sie finden diese JSON-Datei im Stammordner der Event Importer-Installation.
Nachdem der Konfigurationsassistent für Event Importer fertiggestellt ist, beginnt Event Importer die in der Microsoft Azure-Infrastruktur gespeicherten Ereignisprotokolldateien herunterzuladen. Event Importer sendet die Protokolldateien zum von Ihnen in der Datei configuration.json vorgegebenen Speicherort des Kanals.
Die Datei configuration.json enthält folgende Daten:
- Informationen über den Benutzer, der der Eigentümer der Protokolldateien ist.
- Informationen über die Methode, die für das Senden und Speichern der Protokolldateien verwendet wird.
- Informationen über den Ausführungsmodus des Event Importer (z. B. Befehlszeile oder Dienst).
Zu den Einstellungen in der Datei configuration.json gehören:
MessageFormat
Format der an den Syslog-Server gesendeten Meldung:
- 0: RFC5424
- 1: RFC3164
MessageDelimiter
Das Zeichen, das an den Syslog Server gesendete Meldungen trennt:
- 13: CR (Wagenrücklauf)
- 10: LF (Zeilenvorschub)
- 1310: CRLF (Wagenrücklauf und Zeilenvorschub)
IterationCount
Interner Meldungszähler, der verwendet wird, um beim Senden von Meldungen an den Syslog Server eine Pause zu setzen.
IterationMs
In Millisekunden gemessene Pause, die nach IterationCount-Meldungen gesetzt wird, die an den Syslog Server gesendet wurden.
MaxBufferSize
Höchstgröße der Meldung in Bytes, die an den Syslog Server gesendet wird.
Datei Configuration.json ändern
Um Event Importer-Einstellungen zu ändern, können Sie die Datei configuration.json modifizieren. Nachdem Sie die Datei configuration.json geändert haben, müssen Sie den Event Importer-Prozess anhalten und starten, damit die Änderungen an der Datei wirksam werden.
Führen Sie die Schritte in diesem Verfahren durch, um die Event Importer-Einstellungen mit dem Konfigurationsasistenten zu ändern:
- Falls Event Importer ausgeführt wird, halten Sie den Prozess an. Befolgen Sie zum Anhalten des Event Importer-Prozesses die Schritte wie beschrieben in Event Importer starten und stoppen.
- Navigieren Sie zum Speicherort des Stammordners Ihrer Event Importer-Installation.
- Führen Sie EventsFeederImporter.ConfigAssistant.exe aus wie beschrieben in Event Importer für Microsoft Windows konfigurieren und ausführen.
- Geben Sie Y auf Aufforderung ein:
Do you want to change the configuration settings? (Möchten Sie die Konfigurationseinstellungen ändern) [Yes/No] ([Ja/Nein]): - Ändern Sie bei der Eingabeaufforderung die gewünschten Einstellungen und stellen Sie den Konfigurationsassistenten fertig.
EventsFeederImporter.Host.exe wird in einem neuen Befehlsfenster gestartet und beginnt, Ereignisprotokolle an den Speicherort Ihres Zustellkanals herunterzuladen.
Führen Sie die Schritte in diesem Verfahren durch, um die Event Importer-Einstellungen im Konfigurationsassistenten zu ändern:
- Falls Event Importer ausgeführt wird, halten Sie den Prozess an. Befolgen Sie zum Anhalten des Event Importer-Prozesses die Schritte wie beschrieben in Event Importer starten und stoppen.
- Navigieren Sie zum Speicherort des Stammordners Ihrer Event Importer-Installation.
- Führen Sie EventsFeederImporter.Multiplatform.ConfigAssistant aus wie beschrieben in Event Importer für eine Linux-Distribution konfigurieren und ausführen.
- Geben Sie Y auf Aufforderung ein:
Do you want to change the configuration settings? (Möchten Sie die Konfigurationseinstellungen ändern) [Yes/No] ([Ja/Nein]): - Ändern Sie bei der Eingabeaufforderung die gewünschten Einstellungen und stellen Sie den Konfigurationsassistenten fertig.
EventsFeederImporter.Multiplatform.Host wird in einem neuen Befehlsfenster gestartet und beginnt, Ereignisprotokolle an den Speicherort Ihres Zustellkanals herunterzuladen.
Um Event Importer-Einstellungen manuell zu ändern, können Sie die Datei configuration.json mit einem beliebigen Texteditor bearbeiten.
Führen Sie die Schritte in diesem Verfahren durch, um die Einstellungen für Event Importer manuell zu ändern:
- Falls Event Importer ausgeführt wird, halten Sie den Prozess an. Befolgen Sie zum Anhalten des Event Importer-Prozesses die Schritte wie beschrieben in Event Importer starten und stoppen.
- Öffnen Sie die Datei configuration.json im Speicherort des Stammordners von Event Importer mit einem Texteditor Ihrer Wahl.
- Speichern Sie gemachte Änderungen und schließen Sie die Datei configuration.json.
- Starten Sie Event Importer. Befolgen Sie die zum Starten des Event Importer-Prozesses die Schritte wie beschrieben in Event Importer starten und stoppen.
Parameter im Zusammenhang mit Protokolldateiereignissen
Diese Parameter in configuration.json bestimmen, wie der Event Importer Protokolldateien erzeugt.
Channels (Kanäle)
Zeigt die Eigenschaften des Kanals an, der zum Herunterladen der Protokolldateien verwendet wird.
Type (Typ)
Im Kanal verwendeter Speichertyp.
Name
Name des Kanals.
Configuration
Channel Settings (Kanaleinstellungen) (fullPath, fileSizeLimitInBytes, directoryMaxSizeInMB, fileSplitFormat).
fullPath
Absoluter Pfad zum Protokollordner
fileSizeLimitInBytes
Maximale Größe der Protokolldateien.
directoryMaxSizeInMB
Maximale Größe des Ordnerinhalts, in dem die Protokolldateien gespeichert werden. Wenn Event Importer die maximale Größe erreicht, löscht es 10 Prozent der ältesten Dateien.
fileSplitFormat
Rotationsintervall der Protokolldateien. Der Dateiname enthält Jahr (yyyy), Monat (MM), Tag (dd), Stunde (HH) und Minute (mm) des Zeitpunkts, an dem Event Importer die Datei erstellt hat.
“1h” oder leer
Format yyyyMMdd-HH. Es wird jede Stunde eine Datei generiert.
"1m"
Format yyyyMMdd-HHmm. Generiert jede Minute eine Datei.
"5m"
Format yyyyMMdd-HHmm. Generiert alle 5 Minuten eine Datei.
"10m"
Format yyyyMMdd-HHmm. Generiert alle 10 Minuten eine Datei.
"15m"
Format yyyyMMdd-HHmm. Generiert alle 15 Minuten eine Datei.
"30m"
Format yyyyMMdd-HHmm. Generiert alle 30 Minuten eine Datei.
MessageFormat
Format der an den Syslog Server gesendeten Meldungen.
- 0: RFC5424
- 1: RFC3164
MessageDelimiter
Trennzeichen für die an den Syslog Server gesendeten Meldungen:
- 13: CR
- 10: LF
- 1310: CRLF
IterationCount
Interner Meldungszähler, der verwendet wird, um an den Syslog Server gesendete Meldungen zu pausieren.
IterationMs
Pause in Millisekunden, die eingelegt wird, wenn IterationCount-Meldungen an den Syslog Server gesendet werden.
MaxBufferSize
Höchstgröße der Meldungen in Bytes, die an den Syslog Server gesendet werden.
Parameter im Zusammenhang mit dem Ausführungsprotokoll
Event Importer speichert seine ausgeführten Vorgänge als Textdateien. Es speichert die Textdateien im Ordner log der Anwendung.
Diese Parameter in der Datei configuration.json bestimmen, wie Event Importer die Textdateien erzeugt.
LogsPath
Absoluter oder relativer Pfad und Dateiname. Stellen Sie sicher, das Backslash-Zeichen (“\”) zu maskieren.
Beispielsweise .\\log\\log.txt.
LogFileSizeLimitKBytes
Rotiert die Protokolldatei, wenn sie eine bestimmte Größe an Kilobytes erreicht, und fügt das Suffix – SequenceNumber hinzu.
Beispielsweise log-3.txt.
LogRetainedFileCountLimit
Gibt die maximale Zahl an Dateien an, die Event Importer auf dem Speichermedium speichert. Event Importer löscht die älteste Datei, wenn es diese Zahl erreicht.
Intervall
Rotationsintervall der Protokolldateien:
0
Keine Rotation. Das Suffix ist Null. Der Dateiname ist mit dem Namen im Parameter LogsPath identisch.
1
Datei rotiert jedes Jahr. Das Suffix für den in LogsPath definierten Namen ist LognameYear(YYYY).
Beispielsweise log2021.txt.
2
Datei rotiert jeden Monat. LogsPath definiert das Suffix für den Namen als LognameYearMonth(YYYYMM).
Beispielsweise log202107.txt.
3
Datei rotiert jeden Tag. Das Suffix für den in LogsPath definierten Namen ist LognameYearMonthDay(YYYYMMDD).
Beispielsweise log20210722.txt.
4
Datei rotiert jede Stunde. Das Suffix für den in LogsPath definierten Namen ist LognameYearMonthDayHour(YYYYMMDDhh).
Beispielsweise log2021072210.txt.
5
Datei rotiert jede Minute. Das Suffix für den in LogsPath definierten Namen ist LognameYearMonthDayHourMinute(YYYYMMDDhhmm).
Beispielsweise log202107221055.txt.
Weitere Informationen zu Parametern in Ereignisprotokollen finden Sie im WatchGuard SIEMFeeder Event Guide.