Configurar y Ejecutar Event Importer para una distribución Linux

Aplica A: WatchGuard SIEMFeeder

Utilice WatchGuard Event Importer para descargar archivos de registro de eventos que crea el servicio WatchGuard SIEMFeeder. Este tema de ayuda describe cómo ejecutar el asistente de configuración de Event Importer y generar un archivo de configuración para distribuciones Linux.

Para obtener información sobre cómo configurar y ejecutar Event Importer para Microsoft Windows, vaya a Configurar y Ejecutar Event Importer para Microsoft Windows.

Requisitos

Event Importer es compatible con todas las plataformas Linux que admiten .NET Framework 8.0. WatchGuard certifica y admite estas distribuciones:

Ubuntu 24.04 LTS
Red Hat Enterprise Linux 9.5

El paquete de instalación contiene todo lo que necesita SIEMFeeder.

Puede ejecutar Event Importer desde la línea de comandos o de forma desatendida como demonio del sistema:

Cuando ejecuta Event Importer en modo demonio, se ejecuta bajo una cuenta de usuario. Event Importer requiere permisos de root para su configuración.
Cuando ejecuta Event Importer en modo de línea de comandos como administrador, solo requiere acceso de escritura a la carpeta que configure para almacenar los registros que descarga Event Importer.

Para obtener información sobre los requisitos, vaya a Requisitos de Event Importer.

Pasos para Instalar y Configurar Event Importer

Event Importer utiliza un archivo de configuración para aplicar opciones que incluyen dónde almacenar los archivos de registro y si ejecutar desde la línea de comandos o como demonio.

Los pasos generales para instalar y configurar Event Importer son:

Descargar y Extraer el Paquete de Instalación.
Editar Propiedades de Ejecución del Archivo.
Generar un Archivo de Configuración para Configurar Event Importer.
Configurar el Método de Conexión.
Configurar la Plataforma Endpoint Security.
Configurar el Método para Almacenar y Reenviar Archivos de Registro.
Configurar Event Importer para que se Ejecute como un Demonio (Opcional).

Descargar y Extraer el Paquete de Instalación

Para descargar el paquete de instalación de Event Importer:

Descargue el paquete de instalación de Event Importer desde la página Descargas de Software en el sitio web de WatchGuard, en la sección Software de Endpoint.
Extraiga todos los archivos del paquete de instalación. El paquete EventsFeederImporter x.x Pro.zip contiene los siguientes archivos:
- EventsFeederImporter.Multiplatform.Host: Descarga los archivos de registro que contienen los eventos que ocurren en las computadoras de los usuarios. Los almacena en el disco duro de la computadora o los reenvía a otra computadora, según la configuración que establezca.
- EventsFeederImporter.Multiplatform.ConfigAssistant: Inicia el asistente de configuración que contiene los parámetros que se deben configurar.
- Configuration.json: Contiene la configuración del programa. Para evitar fugas de seguridad, todos los datos personales se almacenan de forma oculta.

Editar Propiedades de Ejecución del Archivo

Para que una distribución Linux pueda ejecutar una aplicación, debe habilitar las propiedades de ejecución de los archivos SIEMFeeder.

Abra un aviso de comando.
Ingrese estos comandos:

sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.Host

$ sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.ConfigAssistant

La variable /#_SAMPLEFOLDER_SiemFeeder#/ es la ruta completa a la carpeta donde se encuentra el paquete extraído en la computadora. Este archivo importa los archivos de registro que contienen los eventos que se producen en las computadoras de los usuarios.

Generar un Archivo de Configuración para Configurar Event Importer

En esta sección se describen los pasos para generar el archivo de configuración necesario para ejecutar una única instancia de Event Importer en modo de línea de comandos y conectarse a la plataforma Azure para descargar archivos de registro.

En este procedimiento, Event Importer genera un archivo de configuración que sustituye al archivo existente y, a continuación, inicia el asistente de configuración.

Para configurar Event Importer:

Para abrir el asistente de configuración, ejecute el programa EventsFeederImporter.Multiplatform.ConfigAssistant.
Escriba Y en la pregunta: ¿Desea cambiar los ajustes de configuración? [Sí/No].
Se abre el asistente de configuración.

Configurar el Método de Conexión

Configure el método de conexión que admite la infraestructura de TI que alojará la computadora de Event Importer: directa o proxy corporativo.

Si la computadora de Event Importer está detrás de un servidor proxy:

En el asistente de configuración, escriba Y en la pregunta: ¿Event Importer está detrás de un servidor proxy? [Sí/No].
Ingrese la dirección IP del servidor proxy.
Ingrese el nombre de usuario y la contraseña, si el servidor sustituto requiere autenticación.
La contraseña debe ser una cadena de caracteres alfanuméricos, espacios y símbolos, excepto: “:”, “/”, “?”, “#”, “[“, “]”, “@”, “!”, “$”, “&”, “'”, “(“, “)”, ”*”, “+”, ”;” , ”=”, ”,”.

Cuando se selecciona un servidor proxy, Event Importer utiliza el servidor proxy configurado para conectarse a la plataforma Azure asignada al usuario. No se utiliza para conectarse a otros recursos, como un servidor de archivos, un servidor Apache Kafka o un servidor de syslog.

Configurar la Plataforma Endpoint Security

Seleccione la plataforma Endpoint Security y especifique las credenciales de acceso para la UI de administración. Estas credenciales son para la cuenta que se utiliza para acceder al servicio.

En el asistente de configuración, escriba W cuando se le solicite: Seleccione su plataforma: [C]urrent (Actual) o [W]G Endpoint Security.
Ingrese la dirección de correo electrónico de la cuenta de operador que se utiliza para acceder a la UI de administración de Endpoint Security.
Ingrese la contraseña.
Si la cuenta tiene habilitada la 2FA, ingrese el código OTP de 6 dígitos inmediatamente después de la contraseña, sin espacios en blanco.
Ingrese el ID de cliente del correo electrónico de Bienvenida.
Event Importer genera un nuevo token de acceso que utiliza para acceder a la plataforma Azure y descargar los archivos de registro generados.

Configurar el Método para Almacenar y Reenviar Archivos de Registro

Event Importer proporciona varios métodos para almacenar o reenviar archivos de registro de eventos. La arquitectura de red, los recursos disponibles y el volumen de archivos de registro de eventos que Event Importer recibe de la plataforma Microsoft Azure pueden ayudarle a decidir qué método utilizar.

Para seleccionar un método de almacenamiento:

En el asistente de configuración, escriba Y en la pregunta: Event Importer le permite enviar eventos recibidos simultáneamente a varios canales. ¿Desea cambiar la configuración actual del canal? [Sí/No]

Esto elimina la configuración de almacenamiento y reenvío existente (si la hay) y genera una nueva configuración basada en su selección. Para más información, vaya a Configurar el Almacenamiento y Reenvío de Registros de Eventos

Configurar Event Importer para que se Ejecute como un Demonio (Opcional)

Event Importer puede ejecutarse automáticamente como un proceso en segundo plano al iniciar el sistema (daemon). No aparecerá ningún mensaje en la pantalla.

Para configurar Event Importer para que se ejecute como un demonio:

En el asistente de configuración, escriba N en la pregunta: ¿Desea iniciar el proceso Event Importer?
Esto no es necesario cuando Event Importer se ejecuta como un demonio.
Abra el archivo siemfeeder.service en el paquete .GZ.
En la línea ExecStart, escriba la ruta a la carpeta que contiene el archivo EventsFeederImporter.Multiplatform.Host. Por ejemplo, escriba: ExecStart="/home/panda/Desktop/SIEMFeeder 3.10 Linux/EventsFeederImporter.Multiplatform.Host"
Copie el archivo siemfeeder.service en el directorio del sistema de su distribución Linux. Por ejemplo:
- Ubuntu: /lib/systemd/system
- Red Hat /usr/lib/systemd/system
Si la computadora tiene habilitado Security-Enhanced Linux (SELinux) y una distribución Red Hat Enterprise instalada, utilice el script selinux-checks.sh para configurar el entorno de ejecución:
- Para habilitar los permisos de ejecución del script, ejecute el comando: chmod +x selinux-checks.sh
- Ejecute el comando: sudo #_PATH_#/selinux-checks.sh. Asegúrese de que no haya espacios en la ruta.
Para agregar el script a la secuencia de inicio del sistema, ejecute el comando: sudo systemctl enable siemfeeder
Inicie SIEMFeeder. Para más información, vaya a Iniciar y Detener Event Importer.

Para obtener información sobre los ajustes de configuración de Event Importer y cómo actualizarlos, vaya a Modificar los Ajustes de Event Importer.

Temas Relacionados

Acerca de SIEMFeeder

Configurar Múltiples Instancias de Event Importer

Configurar el Almacenamiento y Reenvío de Registros de Eventos

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.