Speichern und Weiterleiten von Ereignisprotokollen konfigurieren

Gilt für: WatchGuard SIEMFeeder Dieses Thema betrifft das WatchGuard Endpoint Security-Modul SIEMFeeder. SIEMFeeder ist verfügbar für WatchGuard EPDR und WatchGuard EDR.

WatchGuard Event Importer bietet mehrere Methoden zum Speichern oder Weiterleiten von Ereignisprotokolldateien. Bei der Entscheidung für eine Methode sollten Sie folgende Aspekte berücksichtigen: Netzwerkarchitektur, verfügbare Ressourcen, Datenmenge der Ereignisprotokolldateien, die Event Importer von der Microsoft Azure-Infrastruktur empfängt, und die vom WatchGuard SIEMFeeder-Dienst erstellten Ereignisprotokolldateien.

In diesem Thema wird beschrieben, wie Event Importer Folgendes tun kann:

• Protokolldateien in einem lokalen oder Remote-Ordner speichern
• Protokolldateien an einen Apache Kafka-Server senden
• Protokolldateien an einen Syslog-Server senden
  

Protokolldateien in einem lokalen oder Remote-Ordner speichern

Befolgen Sie die folgenden Schritte, um Protokolldateien in einem lokalen oder Remote-Ordner zu speichern:

1. Erstellen Sie auf dem Computer, auf dem Event Importer ausgeführt wird, oder auf einem freigegebenen Laufwerk oder einer Ressource einen Ordner, in dem die Protokolldateien gespeichert werden.
   
2. Führen Sie den Konfigurationsassistenten aus, bis Sie aufgefordert werden, einen Speicherort auszuwählen, zu dem die von Ihnen empfangenen Ereignisse zugestellt werden sollen. Geben Sie in der Eingabeaufforderung F ein, um die Option [F]ile on Disk (Datei auf Laufwerk) auszuwählen:
   Wählen Sie, wohin die empfangenen Ereignisse geliefert werden sollen: Datei auf Lau[F]werk, [K]afka-Topic/Queue oder [S]yslog-Server.
3. Geben Sie in der Eingabeaufforderung den Speicherort des Ordnerpfads ein, lokal oder Remote.
4. Geben Sie in der Eingabeaufforderung N ein, um die Konfiguration dieser Zustellmethode fertigzustellen:
   Do you want to configure another delivery channel? (Möchten Sie einen weiteren Zustellkanal konfigurieren?) [Yes/No] ([Ja/Nein])

Protokolldateien an einen Apache Kafka-Server senden

Sie können einen Apache Kafka-Server für die Verwaltung Ihrer Protokolldateien nutzen. Kafka ist eine Event-Streaming-Plattform mit Open-Source-Lizenz, die für Datenpipelines und -integration verwendet wird.

Befolgen Sie die Schritte in diesem Verfahren, um Dateien an einen Kafka-Server zu senden:

1. Führen Sie den Konfigurationsassistenten aus, bis Sie aufgefordert werden, einen Speicherort auszuwählen, zu dem die von Ihnen empfangenen Ereignisse zugestellt werden sollen. Geben Sie bei der Eingabeaufforderung K ein, um die Option Kafka Topic/Queue zu wählen:
   Wählen Sie, wohin die empfangenen Ereignisse geliefert werden sollen: Datei auf Lau[F]werk, [K]afka-Topic/Queue oder [S]yslog-Server.
2. Geben Sie in der Eingabeaufforderung die IP-Adresse oder den Domänennamen des Kafka-Servers und den Listening Port getrennt durch einen Doppelpunkt ein. Zum Beispiel: example.com:9092 oder 192.0.2.1:9092
   Enter the Kafka broker endpoint (including the full URI with schema, domain/IP and port) (Geben Sie den Kafka-Broker-Endpoint ein (einschließlich kompletter URI mit Protokoll (scheme), Domäne/IP und Port)):
   
3. Geben Sie in der Eingabeaufforderung den Namen von Queue oder Topic ein, an den Protokolldateien auf dem Kafka-Server gesendet werden sollen. Zum Beispiel: SiemFeederTopic
   Enter the Kafka topic/queue where you want to send messages (Geben Sie Kafka-Topic/Queue ein, an die Nachrichten gesendet werden sollen):
4. Geben Sie bei der Eingabeaufforderung das für das Senden von Protokolldateien an den Kafka-Server zu verwendende Kommunikationsprotokoll ein.
   Geben Sie das sichere Protokoll ein, das Sie für die Kommunikation mit dem Server nutzen wollen: [N]one, [S]SL, S[A]SL_SSL, oder SASL_PLAIN[T]EXT:
   Zu den Optionen gehören:
   • None (Keine) — Geben Sie N ein, um das unverschlüsselte Format zu verwenden
   • SSL — Geben Sie S ein, um SSL-Verschlüsselung zu verwenden.
   • SASL_SSL — Geben Sie A ein, um SASL/SSL-Verschlüsselung zu verwenden.
   • SASL_PLAINTEXT — Geben Sie T ein, um SASL/PLAIN Text-Verschlüsselung zu verwenden.
     

5. (Optional) Falls das gewählte Kommunikationsprotokoll Daten verschlüsselt, müssen Sie den Pfad der Datei eingeben, die das auf dem Kafka-Server konfigurierte CA-Zertifikat enthält.
   Je nach Kommunikationsprotokoll könnten Sie für den Server Benutzernamen und Passwort eingeben müssen.
   
6. Geben Sie in der Eingabeaufforderung N ein, um die Konfiguration dieser Zustellmethode fertigzustellen:
   Do you want to configure another delivery channel? (Möchten Sie einen weiteren Zustellkanal konfigurieren?) [Yes/No] ([Ja/Nein])

Protokolldateien an einen Syslog-Server senden

Sie können einen Syslog-Server nutzen, um Ihre Protokolldateien zu verwalten und die Erfassung von Protokolldateien von verschiedenen Speicherorten und Systemen zu zentralisieren.

Folgen Sie diesen Schritten, um Protokolldateien an einen Syslog-Server zu senden.

1. Führen Sie den Konfigurationsassistenten aus, bis Sie aufgefordert werden, einen Speicherort auszuwählen, zu dem die von Ihnen empfangenen Ereignisse zugestellt werden sollen. Geben Sie in der Eingabeaufforderung S ein, um die Option Syslog Server zu wählen:
   Wählen Sie, wohin die empfangenen Ereignisse geliefert werden sollen: Datei auf Lau[F]werk, [K]afka-Topic/Queue oder [S]yslog-Server.
2. Wählen Sie in der Eingabeaufforderung das auf dem Syslog-Server für die empfangenen Protokolldateien konfigurierte Nachrichtenformat aus:
   Which message format do you want to use? (Welches Nachrichtenformat möchten Sie verwenden)
   RFC[5]424 or RFC[3]164 (RFC[5]424 oder RFC[3]164).
3. Geben Sie in der Eingabeaufforderung die IP-Adresse oder den Domänennamen des Syslog-Servers und den Listening Port getrennt durch einen Doppelpunkt ein. Zum Beispiel: example.com:9092 oder 192.0.2.1:9092
   Geben Sie den Hostnamen und Port ein, den der Syslog Server überwacht (Domäne/IP und Port):

4. Wählen Sie in der Eingabeaufforderung das auf dem Syslog-Server für die empfangenen Protokolldateien konfigurierte Transportprotokoll aus:
   Which transport protocol do you want to use to communicate with the server? (Welches Transportprotokoll möchten Sie für die Kommunikation mit dem Server verwenden?) [T]CP or [U]DP: ([T]CP oder [U]DP)

   Um sicherzustellen, dass der Syslog-Server alle von Event Importer gesendeten Protokolldateien empfängt, empfehlen wir Ihnen, auf beiden Endpunkten der Kommunikation das TCP-Transportprotokoll zu verwenden. Wenn das Transportprotokoll UDP ist, dann ist kein TLS verfügbar und kein Trennzeichen.

5. Wählen Sie in der Eingabeaufforderung das Verschlüsselungsprotokoll, das für die Verschlüsselung der Kommunikation zwischen dem Event Importer und dem Syslog Server verwendet werden soll:
   Which secure protocol do you want to use? (Welches Sicherheitsprotokoll möchten Sie verwenden?) [N]one or TLS 1.[2]: (Kei[N]es oder TLS 1.[2])
6. Falls das gewählte Kommunikationsprotokoll die Daten verschlüsselt, geben Sie den Speicherort des auf dem Syslog-Server konfigurierten CA-Zertifikats an.
   Zu den Optionen für die Angabe des Speicherorts des Zertifikats im Befehl gehören:
   
   • [F]ile (Datei) — Das CA-Zertifikat befindet sich in einer separaten Datei.
   • [C]ert Store (Zertifikatsspeicher) — Das CA-Zertifikat befindet sich im lokalen Zertifikatsspeicher auf dem Computer, auf dem Event Importer ausgeführt wird, im Zertifikatszweig Vertrauenswürdige Personen (Nur Windows).
7. Wählen Sie in der Eingabeaufforderung das auf dem Syslog-Server für die empfangenen Protokolldateien konfigurierte Zeilenendezeichen aus:
   Which message delimiter do you want to use? (Welches Nachrichtentrennzeichen möchten Sie verwenden) [C]R,[L]F oder C[R]LF:

8. Geben Sie in der Eingabeaufforderung N ein, um die Konfiguration dieser Zustellmethode fertigzustellen:
   Do you want to configure another delivery channel? (Möchten Sie einen weiteren Zustellkanal konfigurieren?) [Yes/No] ([Ja/Nein])

Ähnliche Themen

Über SIEMFeeder

Über Event Importer

Event Importer für Microsoft Windows konfigurieren und ausführen