Configurer et Exécuter Event Importer pour Microsoft Windows

S'applique À : WatchGuard SIEMFeeder Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard SIEMFeeder. SIEMFeeder est disponible dans WatchGuard EPDR et WatchGuard EDR.

Vous utilisez WatchGuard Event Importer pour télécharger les fichiers journaux d'événements créés par le service WatchGuard SIEMfeeder. Cette rubrique d'aide décrit comment exécuter l'assistant de configuration d'Event Importer et générer un fichier de configuration pour Microsoft Windows..

Pour plus d'informations sur la configuration et l'exécution d'Event Importer pour les distributions Linux, accédez à Configurer et Exécuter Event Importer pour une Distribution Linux.

Configurer Event Importer pour Microsoft Windows

Pour de plus amples informations concernant les exigences, accédez à Exigences d'Event Importer.

Event Importer utilise le fichier de configuration pour appliquer des options qui incluent l'emplacement de stockage des fichiers journaux et l'exécution à partir de la ligne de commande ou en mode service.

Les étapes de haut niveau pour installer et configurer Event Importer sont :

1. Télécharger et Extraire le Package d'Installation.
2. Configurer la Méthode de Connexion.
3. Configurer la Plate-forme Endpoint Security.
4. Configurer le Canal de Diffusion.
5. Configurer le Mode d'Exécution.

Télécharger et Extraire le Package d'Installation

Lorsque vous téléchargez et extrayez le package d'installation, il contient ces fichiers :

• EventsFeederImporter.Host.exe: Télécharge les fichiers journaux contenant les événements qui se produisent sur les ordinateurs du client. Il les stocke sur le disque dur de l'ordinateur ou les transmet à un autre ordinateur, selon les paramètres que vous configurez.
• EventsFeederImporter.ConfigAssistant.exe: Démarre l'assistant de configuration qui contient les paramètres permettant la configuration.
• Configuration.json: Contient les paramètres du programme. Pour éviter les fuites de sécurité, toutes les données personnelles sont stockées de manière obscurcie.

Pour télécharger le package d'installation d'Event Importer :

1. Téléchargez le package d'installation d'Event Importer à partir de la page Téléchargements des Logiciels du site Web de WatchGuard, dans la section Endpoint > SIEMFeeder.
2. Extrayez les fichiers du dossier d'installation.
3. Accédez au dossier racine d'installation d'Event Importer.
4. Pour ouvrir l'assistant de configuration, cliquez avec le bouton droit sur le fichier EventsFeederImporter.ConfigAssistant.exe et sélectionnez Exécuter en tant qu'Administrateur.
   La fenêtre d'Invite de Commandes s'ouvre.

Configurer la Méthode de Connexion

Cette section décrit les étapes permettant de générer le fichier de configuration nécessaire pour exécuter une instance unique en mode ligne de commande ou service et se connecter à la plate-forme Azure pour télécharger les fichiers journaux.

Pour configurer la méthode de connexion :

1. À l'invite de commande, saisissez Y pour modifier la configuration :
   Souhaitez-vous modifier la configuration actuelle des canaux ? [Yes/No]:
   Event Importer génère un nouveau fichier de configuration qui remplace le fichier existant, puis lance l'assistant de configuration.
2. À l'invite de commande, saisissez Y ou N pour configurer une connexion proxy :
   Event Importer se trouve-t-il derrière un serveur proxy ? [Yes/No]:
   
3. Si l'ordinateur Event Importer se trouve derrière un serveur proxy, Event Importer vous invite à saisir l'adresse IP du serveur proxy, ainsi que le nom d'utilisateur et le mot de passe si le serveur proxy nécessite une authentification. Par exemple : example.com:9092 or 192.0.2.1:9092.
   

   Event Importer utilise le serveur proxy configuré pour se connecter à l'infrastructure Azure attribuée à l'utilisateur. Il n'est pas utilisé pour se connecter à d'autres ressources telles qu'un serveur de fichiers, un serveur Apache Kafka ou un serveur Syslog. L'utilisation du proxy système pour la communication SIEMFeeder n'est pas prise en charge.

   Configurer la Plate-forme Endpoint Security

   Configurez la plate-forme WatchGuard Endpoint Security et accédez aux informations d'identification pour l'UI de gestion.

   
   

Pour configurer la plate-forme Endpoint Security :

1. À l'invite de commande, saisissez W pour configurer la plateforme WatchGuard Endpoint Security :
   Sélectionnez votre plate-forme : [C]urrent *(Actuel) ou [W]G Endpoint Security :
   

2. À l'invite de commande, saisissez votre clé API WatchGuard Cloud :
   Saisissez les informations d'identification de l'utilisateur WatchGuard :
   Clé API :

   Pour plus d'informations sur les informations d'identification de l'utilisateur WatchGuard et la clé API, accédez à Configurer les Paramètres de l'API de WatchGuard Cloud.

   
   

3. À l'invite de commande, saisissez l'identifiant de votre compte WatchGuard Cloud :
   Identifiant de compte :
   Pour trouver l'identifiant de votre compte WatchGuard Cloud, accédez à Afficher les Informations de Mon Compte.
4. À l'invite de commande, saisissez l'Identifiant d'Accès Utilisateur de votre compte WatchGuard Cloud (lecture seule) :
   Identifiant d'Accès (Lecture seule) :
5. À l'invite de commande, saisissez le mot de passe de votre compte WatchGuard Cloud :
   Mot de Passe :
6. À l'invite de commande, tapez N, J ou E pour sélectionner la région de votre compte WatchGuard Cloud :
   Région ((N)orth America, (J)apan, (E)urope) :

Configurer le Canal de Diffusion

Pour configurer le canal de diffusion :

1. À l'invite de commande, saisissez Y pour configurer les canaux de diffusion pour les fichiers journaux d'événements :
   Event Importer vous permet d'envoyer simultanément les événements reçus vers différents canaux.
   Souhaitez-vous modifier la configuration actuelle des canaux ? [Yes/No]:
2. À l'invite de commande, saisissez F, K ou S pour configurer un canal de diffusion pour les fichiers journaux d'événements :
   Sélectionnez où vous souhaitez livrer les événements reçus : [F]ile on disk, [K]afka topic/queue ou [S]yslog server :
   Pour plus d'informations sur les canaux de diffusion, accédez à Configurer le Stockage et le Transfert des Journaux d'Événements.
3. À l'invite de commande, saisissez Y ou N pour configurer d'autres canaux de diffusion :
   Voulez-vous configurer un autre canal d'envoi ? [Yes/No]:
   

Configurer le Mode d'Exécution

Event Importer peut s'exécuter en tant que service ou en mode de ligne de commande. Exécutez Even Importer en tant que service Windows uniquement si vous souhaitez installer et exécuter une seule instance en tant que service sur l'ordinateur. Pour plus d'informations sur l'exécution de plusieurs instances, accédez à Configurer des Instances Multiples d'Event Importer.

Pour configurer le mode d'exécution :

1. À l'invite de commande, tapez Y ou N pour configurer le mode d'exécution :
   Voulez-vous enregistrer Event Importer en tant que service Windows ? [Yes/No]:
   

   Y

   Enregistre Event Importer en tant que service Windows et le service commence à télécharger les fichiers journaux d'événements vers l'emplacement du canal de diffusion choisi. L'utilisateur qui a démarré le processus d'installation doit disposer des autorisations d'administrateur.
   

   N

   EventsFeederImporter.Host.exe se lance dans une nouvelle fenêtre de commande et commence à télécharger les fichiers journaux vers l'emplacement de votre canal de diffusion.
   

Pour plus d'informations sur les paramètres de configuration d'Event Importer et sur la manière de les mettre à jour, accédez à Modifier les Paramètres d'Event Importer.

Rubriques Connexes

À Propos de SIEMFeeder

Configurer des Instances Multiples d'Event Importer

Configurer le Stockage et le Transfert des Journaux d'Événements