Event Importer für eine Linux-Distribution konfigurieren und ausführen

Gilt für: WatchGuard SIEMFeeder Dieses Thema betrifft das WatchGuard Endpoint Security-Modul SIEMFeeder. SIEMFeeder ist verfügbar für WatchGuard EPDR und WatchGuard EDR.

Sie verwenden WatchGuard Event Importer für den Download von Ereignisprotokolldateien, die der WatchGuard SIEMFeeder-Dienst erstellt. In diesem Hilfethema wird beschrieben, wie Sie den Konfigurationsassistenten für Event Importer ausführen und eine Konfigurationsdatei für Linux-Distributionen erstellen.

Informationen zum Konfigurieren und Ausführen von Event Importer für Microsoft Windows finden Sie unter Event Importer für Microsoft Windows konfigurieren und ausführen.

Anforderungen

Event Importer ist mit allen Linux-Plattformen kompatibel, die .NET Framework 8.0 unterstützen. WatchGuard zertifiziert und unterstützt die folgenden Distributionen:

• Ubuntu 24.04 LTS
• Red Hat Enterprise Linux 9.5

Das Installationspaket beinhaltet alles, was SIEMFeeder benötigt.

Sie können Event Importer in der Befehlszeile oder unbeaufsichtigt als System-Daemon ausführen:

• Wenn Sie Event Importer im Daemon-Modus ausführen, läuft es über ein Benutzerkonto. Event Importer erfordert für die Konfiguration Root-Berechtigungen.
• Wenn Sie Event Importer im Befehlszeilenmodus als Administrator ausführen, ist nur Schreibzugriff auf den Ordner, den Sie als Speicherort für die von Event Importer heruntergeladenen Protokolle konfigurieren, erforderlich.

Weitere Informationen zu Anforderungen finden Sie unter Event Importer-Anforderungen.

Schritte zum Installieren und Konfigurieren von Event Importer

Der Event Importer nutzt eine Konfigurationsdatei, um Optionen anzuwenden. Dazu gehören, wo Protokolldateien gespeichert werden und ob sie über die Befehlszeile oder als Daemon ausgeführt werden.

Die Schritte zum Installieren und Konfigurieren von Event Importer auf hoher Ebene sind:

1. Installationspaket herunterladen und extrahieren.
2. Eigenschaften der Dateiausführung bearbeiten.
3. Eine Konfigurationsdatei für das Konfigurieren von Event Importer generieren.
4. Verbindungsmethode konfigurieren.
5. Die Endpoint Security-Plattform konfigurieren.
6. Die Methode zum Speichern und Weiterleiten der Protokolldateien konfigurieren.
7. Event Importer für die Ausführung als Daemon konfigurieren (Optional).

Installationspaket herunterladen und extrahieren

So laden Sie das Event Importer-Installationspaket herunter:

1. Laden Sie das Event Importer-Installationspaket von der Seite Software Downloads auf der WatchGuard-Website im Abschnitt Endpoint Software herunter.
2. Extrahieren Sie alle Dateien im Installationspaket. Das Paket EventsFeederImporter x.x Pro.zip beinhaltet die folgenden Dateien:

   • EventsFeederImporter.Multiplatform.Host: Lädt die Protokolldateien mit den Ereignissen, die auf Benutzer-Computern aufgetreten sind, herunter. In Abhängigkeit von den von Ihnen konfigurierten Einstellungen speichert sie sie auf der Computer-Festplatte oder leitet sie an einen anderen Computer weiter.

   • EventsFeederImporter.Multiplatform.ConfigAssistant: Startet den Konfigurationsassistenten mit den Parametern für das Konfigurieren.

   • Configuration.json: Beinhaltet die Programmeinstellungen. Um Sicherheitslecks zu verhindern, werden alle persönlichen Daten vernebelt gespeichert.

Eigenschaften der Dateiausführung bearbeiten

Damit eine Linux-Distribution eine Anwendung ausführt, müssen Sie die Ausführungseigenschaften der SIEMFeeder-Dateien aktivieren.

1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie folgende Befehle ein:

sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.Host

$ sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.ConfigAssistant

Die Variable /#_SAMPLEFOLDER_SiemFeeder#/ ist der vollständige Pfad zu dem Ordner, in dem sich das entpackte Paket auf Ihrem Computer befindet. Diese Datei importiert die Protokolldateien mit den Ereignissen, die auf Benutzer-Computern aufgetreten sind.

Eine Konfigurationsdatei für das Konfigurieren von Event Importer generieren

Dieser Abschnitt beschreibt die Schritte zum Generieren der Konfigurationsdatei, die nötig ist, um eine einzelne Event Importer-Instanz im Befehlszeilenmodus auszuführen und eine Verbindung mit der Azure-Plattform zum Herunterladen von Protokolldateien herzustellen.

Bei diesem Verfahren erzeugt der Event Importer eine Konfigurationsdatei, die die bestehende Datei überschreibt, und startet dann den Konfigurationsassistenten.

So konfigurieren Sie Event Importer:

1. Um den Konfigurationsassistenten zu öffnen, führen Sie das Programm EventsFeederImporter.Multiplatform.ConfigAssistant aus.
2. Geben Sie für die folgende Frage Y ein: Do you want to change the configuration settings? (Möchten Sie die Konfigurationseinstellungen ändern) [Yes/No] ([Ja/Nein]).
   Der Konfigurationsassistent wird geöffnet.
   

Verbindungsmethode konfigurieren

Konfigurieren Sie die Verbindungsmethode, die von der IT-Infrastruktur unterstützt wird, die den Event Importer-Computer hosten wird: direkt oder Firmen-Proxy.

Wenn sich der Event Importer-Computer hinter einem Proxy-Server befindet:

1. Geben Sie im Konfigurationsassistenten für die folgende Frage Y ein: Is Event Importer behind a proxy server? (Befindet sich Event Importer hinter einem Proxy-Server?) [Yes/No] ([Ja/Nein]).
2. Geben Sie die IP-Adresse des Proxy-Servers ein.
3. Geben Sie Benutzername und Kennwort ein, falls der Proxy-Server eine Authentifizierung erfordert.
   Das Kennwort muss eine Folge alphanumerischer Zeichen, Leerzeichen und Sonderzeichen sein. Folgende Zeichen sind ausgenommen: “:”, “/”, “?”, “#”, “[“, “]”, “@”, “!”, “$”, “&”, “'”, “(“, “)”, ”*”, “+”, ”;” , ”=”, ”,”.

Wenn ein Proxy-Server ausgewählt wurde, nutzt Event Importer den konfigurierten Proxy-Server, um eine Verbindung zu der dem Benutzer zugewiesenen Azure-Plattform herzustellen. Der Proxy-Server stellt keine Verbindung zu anderen Ressourcen, wie einem Datei-Server, Apache Kafka-Server oder Syslog-Server her.

Die Endpoint Security-Plattform konfigurieren

Wählen Sie die Endpoint Security-Plattform und geben Sie die Zugangsdaten für die Verwaltungsoberfläche an. Diese Zugangsdaten sind für das Konto, das für den Zugriff auf den Dienst verwendet wird.

1. Geben Sie im Konfigurationsassistenten bei der Aufforderung W ein: Select your platform: (Wählen Sie Ihre Plattform) [C]urrent oder [W]G Endpoint Security.
2. Geben Sie die E-Mail-Adresse des Operatorkontos ein, das für den Zugriff auf die Endpoint Security-Verwaltungsoberfläche verwendet wird.
3. Geben Sie das Kennwort ein.
4. Wenn bei dem Konto 2FA aktiviert ist, dann geben Sie den sechsstelligen OTP-Code unmittelbar ohne Leerzeichen nach dem Kennwort ein.
5. Geben Sie die Kunden-ID aus der Begrüßungs-E-Mail ein.
   Event Importer generiert ein neues Zugriffstoken, das verwendet wird, um auf die Azure-Plattform zuzugreifen und die generierten Protokolldateien herunterzuladen.

Die Methode zum Speichern und Weiterleiten der Protokolldateien konfigurieren

Event Importer bietet mehrere Methoden zum Speichern oder Weiterleiten von Ereignisprotokolldateien. Bei der Entscheidung für eine Methode sollten Sie folgende Aspekte berücksichtigen: Netzwerkarchitektur, verfügbare Ressourcen und Menge der Ereignisprotokolldateien, die Event Importer von der Microsoft Azure-Plattform empfängt.

So wählen Sie eine Speichermethode:

• Geben Sie im Konfigurationsassistenten für die folgende Frage Y ein: Event Importer enables you to send received events simultaneously to various channels. (Mit Event Importer können Sie empfangene Ereignisse gleichzeitig an verschiedene Kanäle senden.) Do you want to change the current channel configuration? (Möchten Sie die aktuelle Kanalkonfiguration ändern?) [Yes/No] ([Ja/Nein])

Dies löscht (eventuell vorhandene) bestehende Speicher- und Weiterleitungseinstellungen und generiert neue Einstellungen auf Basis Ihrer Auswahl. Weitere Informationen finden Sie unter Speichern und Weiterleiten von Ereignisprotokollen konfigurieren

Event Importer für die Ausführung als Daemon konfigurieren (Optional)

Event Importer kann beim Systemstart automatisch als Hintergrundprozess ausgeführt werden (Daemon). Auf dem Bildschirm werden keine Meldungen angezeigt.

So konfigurieren Sie Event Importer für die Ausführung als Daemon:

1. Geben Sie im Konfigurationsassistenten für die folgende Frage N ein: Do you want to start the Event Importer process? (Möchten Sie den Event Importer-Prozess starten?)
   Dies ist nicht notwendig, wenn Event Importer als Daemon ausgeführt wird.
2. Öffnen Sie die Datei siemfeeder.service im Paket .GZ.
3. Geben Sie in der Zeile ExecStart den Pfad zu dem Ordner ein, der die Datei EventsFeederImporter.Multiplatform.Host enthält. Geben Sie beispielsweise ein: ExecStart="/home/panda/Desktop/SIEMFeeder 3.10 Linux/EventsFeederImporter.Multiplatform.Host"
4. Kopieren Sie die Datei siemfeeder.service ins Systemverzeichnis Ihrer Linux-Distribution. Zum Beispiel:
   • Ubuntu: /lib/systemd/system
   • Red Hat /usr/lib/systemd/system
5. Wenn bei dem Computer Security-Enhanced Linux (SELinux) aktiviert und eine Red Hat Enterprise-Distribution installiert ist, dann verwenden Sie das Skript selinux-checks.sh, um die Ausführungsumgebung zu konfigurieren:
   • Um die Ausführungsberechtigungen für das Skript zu aktivieren, führen Sie folgenden Befehl aus: chmod +x selinux-checks.sh
   • Führen Sie folgenden Befehl aus: sudo #_PATH_#/selinux-checks.sh. Achten Sie darauf, dass der Pfad keine Leerzeichen enthält.
6. Um das Skript zur Systemstartsequenz hinzuzufügen, führen Sie folgenden Befehl aus: sudo systemctl enable siemfeeder
7. Starten Sie SIEMFeeder. Weitere Informationen finden Sie unter Event Importer starten und stoppen.

Informationen zu Konfigurationseinstellungen für Event Importer, und wie Sie diese aktualisieren, finden Sie unter Event Importer-Einstellungen ändern.

Ähnliche Themen

Über SIEMFeeder

Mehrere Instanzen von Event Importer konfigurieren

Speichern und Weiterleiten von Ereignisprotokollen konfigurieren