Configurer et Exécuter Event Importer pour une Distribution Linux

S'applique À : WatchGuard SIEMFeeder

Vous utilisez WatchGuard Event Importer pour télécharger les fichiers journaux d'événements créés par le service WatchGuard SIEMfeeder. Cette rubrique d'aide décrit comment exécuter l'assistant de configuration d'Event Importer et générer un fichier de configuration pour les distributions Linux.

Pour plus d'informations sur la configuration et l'exécution d'Event Importer pour Microsoft Windows, accédez à Configurer et Exécuter Event Importer pour Microsoft Windows.

Exigences

Event Importer est compatible avec toutes les plates-formes Linux qui prennent en charge .NET Framework 8.0. WatchGuard certifie et prend en charge ces distributions :

Ubuntu 24.04 LTS
Red Hat Enterprise Linux 9.5

Le package d'installation contient tout ce dont SIEMFeeder a besoin.

Vous pouvez exécuter Event Importer à partir de la ligne de commande ou sans surveillance en tant que démon système :

Lorsque vous exécutez Event Importer en mode démon, il s'exécute sous un compte utilisateur. Event Importer nécessite des permissions root pour la configuration.
Lorsque vous exécutez Event Importer en mode ligne de commande en tant qu'administrateur, il ne nécessite qu'un accès en écriture au dossier que vous configurez pour stocker les journaux téléchargés par Event Importer.

Pour de plus amples informations concernant les exigences, accédez à Exigences d'Event Importer.

Étapes pour Installer et Configurer Event Importer

Event Importer utilise un fichier de configuration pour appliquer des options qui incluent l'emplacement de stockage des fichiers journaux et l'exécution à partir de la ligne de commande ou en tant que démon.

Les étapes de haut niveau pour installer et configurer Event Importer sont :

Télécharger et Extraire le Package d'Installation.
Modifier les Propriétés d'Exécution du Fichier.
Générer un Fichier de Configuration pour Configurer Event Importer.
Configurer la Méthode de Connexion.
Configurer la Plate-forme Endpoint Security.
Configurer la Méthode de Stockage et de Transfert des Fichiers Journaux.
Configurer Event Importer pour s'Exécuter en tant que Démon (facultatif).

Télécharger et Extraire le Package d'Installation

Pour télécharger le package d'installation d'Event Importer :

Téléchargez le package d'installation d'Event Importer à partir de la page Téléchargements de Logiciels du site Web de WatchGuard, dans la section Logiciel d'Endpoint.
Extrayez tous les fichiers du package d'installation. Le package EventsFeederImporter x.x Pro.zip contient ces fichiers :
- EventsFeederImporter.Multiplatform.Host: Télécharge les fichiers journaux contenant les événements qui se produisent sur les ordinateurs des utilisateurs. Il les stocke sur le disque dur de l'ordinateur ou les transmet à un autre ordinateur, selon les paramètres que vous configurez.
- EventsFeederImporter.Multiplatform.ConfigAssistant: Démarre l'assistant de configuration qui contient les paramètres permettant la configuration.
- Configuration.json: Contient les paramètres du programme. Pour éviter les fuites de sécurité, toutes les données personnelles sont stockées de manière obscurcie.

Modifier les Propriétés d'Exécution du Fichier

Pour qu'une distribution Linux exécute une application, vous devez activer les propriétés d'exécution des fichiers SIEMFeeder.

Ouvrez une invite de commande.
Saisissez ces commandes :

sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.Host

$ sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.ConfigAssistant

La variable /#_SAMPLEFOLDER_SiemFeeder#/ est le chemin d'accès complet du dossier où réside le package extrait sur votre ordinateur. Ce fichier importe les fichiers journaux contenant les événements qui se produisent sur les ordinateurs des utilisateurs.

Générer un Fichier de Configuration pour Configurer Event Importer

Cette section décrit les étapes permettant de générer le fichier de configuration requis pour exécuter une seule instance d'Event Importer en mode ligne de commande et pour se connecter à la plate-forme Azure pour télécharger les fichiers journaux.

Lors de cette procédure, Event Importer génère un nouveau fichier de configuration qui remplace le fichier existant, puis lance l'assistant de configuration.

Pour configurer Event Importer :

Pour ouvrir l'assistant de configuration, exécutez le programme EventsFeederImporter.Multiplatform.ConfigAssistant.
Tapez Y pour la question : Voulez-vous modifier les nouveaux paramètres ? [Yes/No].
L'assistant de configuration s'ouvre.

Configurer la Méthode de Connexion

Configurez la méthode de connexion prise en charge par l'infrastructure informatique qui hébergera l'ordinateur Event Importer : proxy direct ou d'entreprise.

Si l'ordinateur Event Importer se trouve derrière un serveur proxy :

Dans l'assistant de configuration, tapez Y pour la question : Event Importer se trouve-t-il derrière un serveur proxy ? [Yes/No].
Saisissez l'adresse IP du serveur proxy.
Saisissez le nom d'utilisateur et le mot de passe, si le serveur proxy requiert une authentification.
Le mot de passe doit être une chaîne de caractères alphanumériques, d'espaces et de symboles, à l'exception de : « : », « / », « ? », « # », « [« , « ] », « @ », « ! », « $ », «&», « ' », « (« , « ) », « * », « + », « ; » , « = », « , ».

Lorsqu'un serveur proxy est sélectionné, Event Importer utilise le serveur proxy configuré pour se connecter à la plate-forme Azure attribuée à l'utilisateur. Il n'est pas utilisé pour se connecter à d'autres ressources telles qu'un serveur de fichiers, un serveur Apache Kafka ou un serveur Syslog.

Configurer la Plate-forme Endpoint Security

Sélectionnez la plate-forme Endpoint Security et spécifiez les informations d'identification d'accès pour l'UI de gestion. Ces informations d'identification concernent le compte utilisé pour accéder au service.

Dans l'assistant de configuration, tapez W à l'invite : Sélectionnez votre plate-forme : [C]urrent *(Actuel) ou [W]G Endpoint Security.
Saisissez l'adresse e-mail du compte d'opérateur utilisé pour accéder à l'UI de gestion d'Endpoint Security.
Saisissez le mot de passe.
Si le compte a la 2FA activée, saisissez le code OTP à 6 chiffres immédiatement après le mot de passe, sans aucun espace.
Saisissez l'identifiant de client figurant dans l'e-mail de Bienvenue.
Event Importer génère un nouveau jeton d'accès qu'il utilise pour accéder à la plate-forme Azure et télécharger les fichiers journaux générés.

Configurer la Méthode de Stockage et de Transfert des Fichiers Journaux

Event Importer propose plusieurs méthodes pour stocker ou transférer des fichiers journaux d'événements. L'architecture de réseau, les ressources disponibles et le volume de fichiers journaux d'événements qu'Event Importer reçoit de la plate-forme Microsoft Azure peuvent vous aider à décider de la méthode à utiliser.

Pour sélectionner une méthode de stockage :

Dans l'assistant de configuration, tapez Y pour la question : Event Importer vous permet d'envoyer simultanément les événements reçus vers différents canaux. Souhaitez-vous modifier la configuration actuelle des canaux ? [Yes/No]

Cela supprime les paramètres de stockage et de transfert existants (le cas échéant) et génère de nouveaux paramètres en fonction de votre sélection. Pour de plus amples informations, accédez à Configurer le Stockage et le Transfert des Journaux d'Événements

Configurer Event Importer pour s'Exécuter en tant que Démon (facultatif)

Event Importer peut s'exécuter automatiquement en tant que processus d'arrière-plan au démarrage du système (démon). Aucun message ne s'affichera sur l'écran.

Pour configurer Event Importer pour qu'il s'exécute en tant que démon :

Dans l'assistant de configuration, tapez N pour la question : Voulez-vous démarrer le processus Event Importer ?
Cela n'est pas nécessaire lorsque Event Importer s'exécute en tant que démon.
Ouvrez le fichier siemfeeder.service dans le package .GZ.
Dans la ligne ExecStart, saisissez le chemin d'accès au dossier contenant le fichier EventsFeederImporter.Multiplatform.Host. Saisissez par exemple : ExecStart="/home/panda/Desktop/SIEMFeeder 3.10 Linux/EventsFeederImporter.Multiplatform.Host"
Copiez le fichier siemfeeder.service dans le répertoire système de votre distribution Linux. Par exemple :
- Ubuntu : /lib/systemd/system
- Red Hat : /usr/lib/systemd/system
Si SELinux (Security-Enhanced Linux) est activé sur l'ordinateur et qu'une distribution Red Hat Enterprise est installée, utilisez le script selinux-checks.sh pour configurer l'environnement d'exécution :
- Pour activer les permissions d'exécution du script, exécutez la commande : chmod +x selinux-checks.sh
- Exécutez la commande : sudo #_PATH_#/selinux-checks.sh. Assurez-vous qu'il n'y a pas d'espaces dans le chemin.
Pour ajouter le script à la séquence de démarrage du système, exécutez la commande : sudo systemctl enable siemfeeder
Démarrez SIEMFeeder. Pour de plus amples informations, accédez à Démarrer et Arrêter Event Importer.

Pour plus d'informations sur les paramètres de configuration d'Event Importer et sur la manière de les mettre à jour, accédez à Modifier les Paramètres d'Event Importer.

Rubriques Connexes

À Propos de SIEMFeeder

Configurer des Instances Multiples d'Event Importer

Configurer le Stockage et le Transfert des Journaux d'Événements

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.