Configurar y Ejecutar Event Importer para Microsoft Windows

Aplica A: WatchGuard SIEMFeeder Este tema se aplica al módulo de seguridad de endpoints de WatchGuard, SIEMFeeder. SIEMFeeder está disponible con WatchGuard EPDR y WatchGuard EDR.

Utilice WatchGuard Event Importer para descargar archivos de registro de eventos que crea el servicio WatchGuard SIEMFeeder. Este tema de ayuda describe cómo ejecutar el asistente de configuración de Event Importer y generar un archivo de configuración para Microsoft Windows.

Para obtener información sobre cómo configurar y ejecutar Event Importer para distribuciones Linux, vaya a Configurar y Ejecutar Event Importer para una distribución Linux.

Configurar Event Importer para Microsoft Windows

Para obtener información sobre los requisitos, vaya a Requisitos de Event Importer.

Event Importer utiliza el archivo de configuración para aplicar opciones que incluyen dónde almacenar los archivos de registro y si ejecutar desde la línea de comandos o en modo de servicio.

Los pasos generales para instalar y configurar Event Importer son:

1. Descargar y Extraer el Paquete de Instalación.
2. Configurar el Método de Conexión.
3. Configurar la Plataforma Endpoint Security.
4. Configurar el Canal de Entrega.
5. Configurar el Modo de Ejecución.

Descargar y Extraer el Paquete de Instalación

Cuando descarga y extrae el paquete de instalación, este contiene los siguientes archivos:

• EventsFeederImporter.Host.exe: Descarga los archivos de registro que contienen los eventos que se producen en las computadoras de los clientes. Los almacena en el disco duro de la computadora o los reenvía a otra computadora, según la configuración que establezca.
• EventsFeederImporter.ConfigAssistant.exe: Inicia el asistente de configuración que contiene los parámetros que se deben configurar.
• Configuration.json: Contiene la configuración del programa. Para evitar fugas de seguridad, todos los datos personales se almacenan de forma oculta.

Para descargar el paquete de instalación de Event Importer:

1. Descargue el paquete de instalación de Event Importer desde la página Descargas de Software del sitio web de WatchGuard, en la sección Endpoint > SIEMFeeder.
2. Extraiga los archivos de la carpeta de instalación.
3. Busque la carpeta raíz de la instalación de Event Importer.
4. Para abrir el asistente de configuración, haga clic derecho en el archivo EventsFeederImporter.ConfigAssistant.exe y seleccione Ejecutar como Administrador.
   Se abre la ventana del Símbolo del Sistema.

Configurar el Método de Conexión

Esta sección describe los pasos para generar el archivo de configuración necesario para ejecutar una sola instancia en modo de línea de comandos o servicio y conectarse a la plataforma Azure para descargar los archivos de registro.

Para configurar el método de conexión:

1. En el símbolo del sistema, ingrese Y para cambiar la configuración:
   ¿Quieres cambiar la configuración actual del canal? [Sí/No]:
   Event Importer genera un nuevo archivo de configuración que anula el archivo existente y luego inicia el asistente de configuración.
2. En el símbolo del sistema, ingrese Y o N para configurar una conexión proxy:
   ¿Event Importer está detrás de un servidor proxy? [Sí/No]:
   
3. Si la computadora de Event Importer está detrás de un servidor proxy, Event Importer le solicitará que escriba la dirección IP del servidor proxy, así como el nombre de usuario y la contraseña si el servidor proxy requiere autenticación. Por ejemplo: example.com:9092 or 192.0.2.1:9092.
   

   Event Importer utiliza el servidor proxy configurado para conectarse a la infraestructura de Azure asignada al usuario. No se utiliza para conectarse a otros recursos, como un servidor de archivos, un servidor Apache Kafka o un servidor de syslog. No se admite el uso del sistema proxy para la comunicación SIEMFeeder.

   Configurar la Plataforma Endpoint Security

   Configure la plataforma WatchGuard Endpoint Security y las credenciales de acceso para la UI de administración.

   
   

Para configurar la plataforma Endpoint Security:

1. En el símbolo del sistema, ingrese W para configurar la plataforma de WatchGuard Endpoint Security:
   Seleccione su plataforma: [C]urrent (Actual) o [W]G Endpoint Security:
   

2. En el símbolo del sistema, ingrese su clave API de WatchGuard Cloud:
   Ingrese las credenciales de usuario de WatchGuard:
   Clave API:

   Para obtener información sobre las credenciales de usuario de WatchGuard y la clave API, vaya a Configurar los Ajustes de la API de WatchGuard Cloud.

   
   

3. En el símbolo del sistema, ingrese su identificación de cuenta de WatchGuard Cloud:
   Identificación de Cuenta:
   Para encontrar su identificación de cuenta de WatchGuard Cloud, vaya a Ver Información de Mi Cuenta.
4. En el símbolo del sistema, ingrese la identificación de Acceso de Usuario de su cuenta de WatchGuard Cloud (solo lectura):
   ID de acceso (solo lectura):
5. En el símbolo del sistema, ingrese la contraseña de su cuenta de WatchGuard Cloud:
   Contraseña:
6. En la línea de comandos, escriba N, J o E para seleccionar la región de su cuenta de WatchGuard Cloud:
   Región ((N)orteamérica, (J)apón, (E)uropa):

Configurar el Canal de Entrega

Para configurar el canal de entrega:

1. En el símbolo del sistema, ingrese Y para configurar canales de entrega para los archivos de registro de eventos:
   Event Importer le permite enviar eventos recibidos simultáneamente a varios canales.
   ¿Quieres cambiar la configuración actual del canal? [Sí/No]:
2. En el símbolo del sistema, ingrese F, K o S para configurar un canal de entrega para los archivos de registro de eventos:
   Seleccione dónde desea entregar los eventos recibidos: [F]ile on disk (Archivo en disco), [K]afka topic/queue (Tema/cola Kafka) o [S]yslog server (Servidor Syslog).
   Para obtener más información sobre los canales de entrega, vaya a Configurar el Almacenamiento y Reenvío de Registros de Eventos.
3. En el símbolo del sistema, ingrese Y o N para configurar otros canales de entrega:
   ¿Quiere configurar otro canal de entrega? [Sí/No]:
   

Configurar el Modo de Ejecución

Event Importer puede ejecutarse como un servicio o en modo de línea de comandos. Ejecute Event Importer como servicio de Windows solo si desea instalar y ejecutar una única instancia como servicio en la computadora. Para obtener información sobre cómo ejecutar varias instancias, vaya a Configurar Múltiples Instancias de Event Importer.

Para configurar el modo de ejecución:

1. En el símbolo del sistema, escriba Y o N para configurar el modo de ejecución:
   ¿Desea registrar Event Importer como un servicio de Windows? [Sí/No]:
   

   Y

   Registra Event Importer como un servicio de Windows, y el servicio comienza a descargar archivos de registro de eventos a la ubicación del canal de entrega que haya elegido. El usuario que inició el proceso de instalación debe tener permisos de administrador.
   

   N

   EventsFeederImporter.Host.exe se inicia en una nueva ventana de comando y comienza a descargar registros de eventos a la ubicación de su canal de entrega.
   

Para obtener información sobre los ajustes de configuración de Event Importer y cómo actualizarlos, vaya a Modificar los Ajustes de Event Importer.

Temas Relacionados

Acerca de SIEMFeeder

Configurar Múltiples Instancias de Event Importer

Configurar el Almacenamiento y Reenvío de Registros de Eventos