Event Importer für Microsoft Windows konfigurieren und ausführen

Gilt für: WatchGuard SIEMFeeder

Sie verwenden WatchGuard Event Importer für den Download von Ereignisprotokolldateien, die der WatchGuard SIEMFeeder-Dienst erstellt. In diesem Hilfethema wird beschrieben, wie Sie den Konfigurationsassistenten für Event Importer ausführen und eine Konfigurationsdatei für Microsoft Windows erstellen.

Informationen zum Konfigurieren und Ausführen von Event Importer für Linux-Distributionen finden Sie unter Event Importer für eine Linux-Distribution konfigurieren und ausführen.

Event Importer für Microsoft Windows konfigurieren

Weitere Informationen zu den Anforderungen finden Sie unter Event Importer-Anforderungen.

Der Event Importer legt in der Konfigurationsdatei Optionen darüber fest, wo Protokolldateien gespeichert werden und ob sie über die Befehlszeile oder im Dienstmodus ausgeführt werden.

Die Schritte zum Installieren und Konfigurieren von Event Importer auf hoher Ebene sind:

  1. Installationspaket herunterladen und extrahieren.
  2. Verbindungsmethode konfigurieren.
  3. Die Endpoint Security-Plattform konfigurieren.
  4. Zustellkanal konfigurieren.
  5. Ausführungsmodus konfigurieren.

Installationspaket herunterladen und extrahieren

Wenn Sie das Installationspaket herunterladen und extrahieren, beinhaltet es die folgenden Dateien:

  • EventsFeederImporter.Host.exe: Lädt die Protokolldateien herunter, die die Ereignisse enthalten, die auf den Kunden-Computern aufgetreten sind. In Abhängigkeit von den von Ihnen konfigurierten Einstellungen speichert sie sie auf der Computer-Festplatte oder leitet sie an einen anderen Computer weiter.
  • EventsFeederImporter.ConfigAssistant.exe: Startet den Konfigurationsassistenten mit den Parametern für das Konfigurieren.
  • Configuration.json: Beinhaltet die Programmeinstellungen. Um Sicherheitslecks zu verhindern, werden alle persönlichen Daten vernebelt gespeichert.

So laden Sie das Event Importer-Installationspaket herunter:

  1. Laden Sie das Event Importer-Installationspaket von der Seite Software Downloads auf der WatchGuard-Website im Abschnitt Endpoint > SIEMFeeder herunter.
  2. Extrahieren Sie die Dateien aus dem Installationsordner.
  3. Navigieren Sie zum Stammordner Ihrer Event Importer-Installation.
  4. Um den Konfigurationsassistenten zu öffnen, klicken Sie mit der rechten Maustaste auf die Datei EventsFeederImporter.ConfigAssistant.exe und wählen Sie Run as Administrator (Als Administrator ausführen).
    Das Fenster Eingabeaufforderung wird geöffnet.

Verbindungsmethode konfigurieren

Dieser Abschnitt beschreibt die Schritte zum Generieren der Konfigurationsdatei, die nötig ist, um eine einzelne Instanz in der Befehlszeile oder im Dienstmodus auszuführen und eine Verbindung mit der Azure-Plattform zum Herunterladen von Protokolldateien herzustellen.

So konfigurieren Sie die Verbindungsmethode:

  1. Geben Sie in der Eingabeaufforderung Y ein, um die Konfiguration zu ändern:
    Do you want to change the current channel configuration? (Möchten Sie die aktuelle Kanalkonfiguration ändern?) [Yes/No] ([Ja/Nein]):
    Der Event Importer erzeugt eine neue Konfigurationsdatei, die die bestehende Datei überschreibt, und startet dann den Konfigurationsassistenten.
  2. Geben Sie in der Eingabeaufforderung Y (J) oder N (N) ein, um eine Proxyverbindung zu konfigurieren:
    Is Event Importer behind a proxy server? (Befindet sich Event Importer hinter einem Proxy-Server?) [Yes/No] ([Ja/Nein]):
  3. Wenn sich der Event Importer-Computer hinter einem Proxy-Server befindet, fordert Event Importer Sie auf, die IP-Adresse des Proxy-Servers sowie Benutzername und Kennwort einzugeben, falls der Proxy-Server eine Authentifizierung erfordert. Zum Beispiel: example.com:9092 oder 192.0.2.1:9092.

    Der Event Importer stellt über den konfigurierten Proxy-Server eine Verbindung zur Azure-Infrastruktur her, die dem Benutzer zugewiesen ist. Der Proxy-Server stellt keine Verbindung zu anderen Ressourcen, wie einem Datei-Server, Apache Kafka-Server oder Syslog-Server her. Die Verwendung des System-Proxy für die SIEMFeeder-Kommunikation wird nicht unterstützt.

    Die Endpoint Security-Plattform konfigurieren

    Konfigurieren Sie die WatchGuard Endpoint Security-Plattform und Zugangsdaten für die Verwaltungsoberfläche.


    Screen shot of Proxy settings

So konfigurieren Sie die Endpoint Security-Plattform:

  1. Geben Sie in der Eingabeaufforderung W ein, um die WatchGuard Endpoint Security-Plattform zu konfigurieren:
    Wählen Sie Ihre Plattform: [C]urrent oder [W]G Endpoint Security:

  2. Geben Sie in der Eingabeaufforderung Ihren WatchGuard Cloud API-Schlüssel‭ ein:
    Geben Sie die WatchGuard-Benutzerzugangsdaten ein:
    API key (API-Schlüssel:

    Informationen zu den WatchGuard-Benutzerzugangsdaten und zum API-Schlüssel‭ finden Sie unter WatchGuard Cloud API-Einstellungen konfigurieren.


  3. Geben Sie in der Eingabeaufforderung Ihre WatchGuard Cloud-Konto-ID ein:
    Konto-ID:
    Informationen darüber, wo Sie Ihre WatchGuard Cloud-Konto-ID finden, finden Sie unter Meine Kontoinformationen anzeigen.
  4. Geben Sie in der Eingabeaufforderung Ihre Benutzer-Zugriffs-ID für das WatchGuard Cloud Konto ein (Nur-Lesen):
    Access ID (Read-only) (Zugriff-ID (Nur-Lesen)):
  5. Geben Sie in der Eingabeaufforderung Ihr WatchGuard Cloud-Konto-Passwort ein:
    Password (Passwort):
  6. Geben Sie in der Eingabeaufforderung N, J oder E ein, um die Region Ihres WatchGuard Cloud-Kontos auszuwählen:
    Region ((N)orth America, (J)apan, (E)urope):

Zustellkanal konfigurieren

So konfigurieren Sie den Zustellkanal:

  1. Geben Sie in der Eingabeaufforderung Y ein, um Zustellkanäle für die Ereignisprotokolldateien zu konfigurieren:
    Event Importer enables you to send received events simultaneously to various channels. (Mit Event Importer können Sie empfangene Ereignisse gleichzeitig an verschiedene Kanäle senden.)
    Do you want to change the current channel configuration? (Möchten Sie die aktuelle Kanalkonfiguration ändern?) [Yes/No] ([Ja/Nein]):
  2. Geben Sie in der Eingabeaufforderung F, K oder S ein, um einen Zustellkanal für die Ereignis-Protokolldateien zu konfigurieren:
    Wählen Sie, wohin die empfangenen Ereignisse geliefert werden sollen: [F]ile on disk, [K]afka topic/queue oder [S]yslog server:
    Weitere Informationen zu Zustellkanälen finden Sie unter Speichern und Weiterleiten von Ereignisprotokollen konfigurieren.
  3. Geben Sie in der Eingabeaufforderung Y oder N ein, um weitere Zustellkanäle einzurichten:
    Do you want to configure another delivery channel? (Möchten Sie einen weiteren Zustellkanal konfigurieren?) [Yes/No] ([Ja/Nein]):
    Konfigurieren Sie den Zustellkanal.

Ausführungsmodus konfigurieren

Event Importer kann als Dienst oder im Befehlszeilenmodus ausgeführt werden. Führen Sie Event Importer nur als Windows-Dienst aus, wenn Sie eine einzelne Instanz als einen Dienst auf dem Computer installieren und ausführen wollen. Informationen zum Ausführen mehrerer Instanzen finden Sie unter Mehrere Instanzen von Event Importer konfigurieren.

So konfigurieren Sie den Ausführungsmodus:

  1. Geben Sie in der Eingabeaufforderung Y oder N ein, um den Ausführungsmodus zu konfigurieren:
    Do you want to register Event Importer as a Windows service? (Möchten Sie Event Importer als Windows-Dienst registrieren?) [Yes/No] ([Ja/Nein]):

    Y

    Event Importer wird als Windows-Dienst registriert und beginnt, Ereignisprotokolldateien zum Speicherort Ihres gewählten Zustellkanals herunterzuladen. Der Benutzer, der den Installationsprozess startet, muss über Administratorberechtigungen verfügen.

    N

    EventsFeederImporter.Host.exe wird in einem neuen Befehlsfenster gestartet und beginnt, Protokolldateien zum Speicherort Ihres Zustellkanals herunterzuladen.

Informationen zu den Konfigurationseinstellungen für Event Importer, und wie Sie diese aktualisieren, finden Sie unter Event Importer-Einstellungen ändern.

Ähnliche Themen

Über SIEMFeeder

Mehrere Instanzen von Event Importer konfigurieren

Speichern und Weiterleiten von Ereignisprotokollen konfigurieren