InsightOps-配置Insight代理以发送日志必威体育app登录
Insi必威体育app登录ght代理使用调用的特殊配置文件将资产日志数据发送到Insight平台dota2必威联赛logging.json.。默认情况下,logging.json.文件指示代理将日志直接发送到data.logs.insight.rapid7.com终点根据您所在的地点,但您可以配置a代理目的地如有必要。
本文介绍了如何生成一个logging.json.Insightops中的文件,通过操作系统提供示例格式,并定义文件包含的JSON对象。
代理配置
如果您愿意通过代理发送资产日志数据而不是直接到Insight平台,可以通过在整个整体中添加以下附加密钥值对来执行此操作dota2必威联赛配置你的对象logging.json.文件:
代理类型- 指定应用程序协议。此时,只有http.得到支持。Proxy-URL.- 指定代理服务器的地址。这可以是主机名或IP地址。代理端口-指定Insight代理将用于与代理服务器通信的端口。必威体育app登录
您可以将收集器指定为代理
如果您已经在您的环境中部署了一个或多个收集器,则可以将其中一个作为此用例的代理。Insight Agent与InsightOps相关的收集任务不区分收集器或其他代理类型。指定其中任何一个都可以实现访问internet的相同目标。必威体育app登录
中的对象配置logging.json.对于收集器地址保持不变,但除此之外代理端口必须设置为8037按照收藏要求。
此示例显示了如何格式化代理定义logging.json.:
杰森
1
{
2
“配置”:{
3.
“代理类型”:“HTTP”那
4.
“proxy-url”:“10.7.1.219”那
5.
“代理端口”:“3128”那
6.
......其余的对象
7.
}
8.
}
logging.json创建向导
使用Insigh必威体育app登录tops中的Insight代理数据源向导自动创建和格式化alogging.json.包含API密钥和数据区域的文件。之后,您可以直接从向导下载完整的文件。
您必须手动创建代理对象
这logging.json.Insightops中的创建向导目前不包括先前描述的代理相关对象。如果您希望代理通过代理发送日志,则必须编辑您的logging.json.下载后文件并手动添加代理对象。
使用向导创建您的Logging.json文件:
- 在Insightops中,单击添加数据按钮。
- 或者,您可以单击添加数据链接位于日志搜索或者数据采集标签。
- 在“安装Insight代理”部分中,单击必威体育app登录您打算安装代理的资产的操作系统。
提示
向导将假定您尚未在资产上安装Insight Agent,因此,如果您已经安装了Insight Agent,请跳过安装步必威体育app登录骤。
- 在“通过Insight代理发送日志”面板上,必威体育app登录选择使用现有API键或生成新API密钥:
- 如果您使用的是现有API键,请将键粘贴到字段中,然后单击申请按钮。
- 如果要生成新的API密钥,请单击生成API键按钮,然后单击申请按钮。
- 验证您的文件是否已格式化
logging.json.文件包括您的API密钥,数据区域端点和您的区域代码。请注意,“目标”字段中的主机名可以根据可获得赔偿而更改。点击下载检索文件。 - 放你的
logging.json.根据其操作系统的资产上的以下目录之一:- 视窗-
C:\ Program Files \ Rapi必威体育app登录d7 \ Insight代理\ Components \ Insight_Agent \ Common \ Config - Mac和Linux-
/ opt / Rapid7 / Ir_Agent / Component / Insight_Agent / Common / Config
- 视窗-
- 最后,重新启动Insight代理服务。必威体育app登录
- 在Windows上,此服务在服务管理器中称为“Rapid7 Insight Agent必威体育app登录”。
- 在Mac和Linux上,您可以通过运行
sudo service ir_agent重新启动在终端中的命令。
logging.json格式模板
如果您喜欢创建您的logging.json.文件手动文件,请参阅以下模板。
Mac和Linux
Mac和Linux版本logging.json.具有以下结构:
logging.json.
1
{
2
“配置”:{
3.
“姓名”:“以下配置中日志的标签”那
4.
“终点”:“eu.data.logs.insight.rapid7.com”那
5.
“地区”:“欧洲联盟”那
6.
“api-key”:“你的api键”那
7.
“状态文件”:“/opt/rapid7/ir_-agent/components/insight_-agent/common/config/logs.state”那
8.
“格式化程序”:“清楚的”那
9.
“指标”:{
10.
“system-stat-token”:“你的日志令牌在这里”那
11.
“系统 - 已启用”:真的那
12.
“指标间隔”:“60s”那
13.
“metrics-cpu”:“系统”那
14.
“度量vcpu”:“核”那
15.
“metrics-mem”:“系统”那
16.
“指标交换”:“系统”那
17.
“度量网络”:“综合eth0”那
18.
“指标磁盘”:“SUM SDA4 SDA5”那
19.
“度量空间”:“/”
20.
}那
21.
“日志”:[
22.
{
23.
“姓名”:“系统日志”那
24.
“目的地”:“您的服务器名/syslog”那
25.
“小路”:“/ var / log / syslog”那
26.
“启用”:真的
27.
}那
28.
{
29.
“姓名”:“内核”那
30.
“目的地”:“您的服务器 - 名称/内核”那
31.
“小路”:“/var/log/kern.log”那
32.
“启用”:真的
33.
}那
34.
{
35.
“姓名”:“验证”那
36.
“目的地”:“您的服务器 - 名称/ auth”那
37.
“小路”:“/var/log/auth.log”那
38.
“启用”:真的
39.
}那
40
{
41.
“姓名”:“必威体育app登录Insight代理日志”那
42.
“令牌”:“你的日志令牌在这里”那
43.
“小路”:“/opt/rapid7/ir_agent/components/insight_agent/common/agent.log”那
44.
“启用”:错误的
45.
}]
46.
}
47.
}
视窗
注意 - 不支持从域控制器的事件日志集合
Insight Agent的InsightOps组件当前不支持从必威体育app登录充当域控制器的资产收集事件日志。如果需要为该用例部署一个集合方法,请考虑实现以下选项之一:
- 在Insightops中创建WMI Active Directory事件源,并将其配置为使用收集器发送未过滤的日志。看看活动目录页面在Insightops帮助页面有关如何执行此操作的说明。
- 将Windows事件从域控制器转发到另一台服务器,并在该中介资产上安装代理。您可以在以下Microsoft资源中阅读有关此过程的更多信息:
- https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwording-to-assist-in-in-intrusion-detection.
- 创建nxlog事件源。看看NXLOG.页面有关说明。
- 创建通用Windows事件日志事件源。看看通用Windows事件日志页面有关说明。
Windows版本的logging.json.具有以下结构:
logging.json.
1
{
2
“配置”:{
3.
“姓名”:“以下配置中日志的标签”那
4.
“终点”:“eu.data.logs.insight.rapid7.com”那
5.
“地区”:“欧洲联盟”那
6.
“api-key”:“你的api键”那
7.
“状态文件”:“C:\\程序文件\\ Rapid7 \\ Insigh必威体育app登录t代理\\ Components \\ Insight_Agent \\常见\\ state.file”那
8.
“格式化程序”:“清楚的”那
9.
“指标”:{
10.
“system-stat-token”:“你的日志令牌在这里”那
11.
“系统 - 已启用”:真的那
12.
“指标间隔”:“60s”那
13.
“metrics-cpu”:“系统”那
14.
“度量vcpu”:“核”那
15.
“metrics-mem”:“系统”那
16.
“指标交换”:“系统”那
17.
“度量网络”:“综合eth0”那
18.
“指标磁盘”:“SUM SDA4 SDA5”那
19.
“度量空间”:“/”
20.
}那
21.
“Windows-eventlog”:{
22.
“启用”:真的那
23.
“令牌”:“CFE50CC8-7651-42F3-AC23-866BF87A6AAD”
24.
}那
25.
“日志”:[
26.
{
27.
“姓名”:“自定义日志”那
28.
“目的地”:“您的服务器 - 名称/自定义日志”那
29.
“小路”:“C:\\ logs \\ mylogfile * .log”那
30.
“启用”:真的
31.
}那
32.
{
33.
“姓名”:“必威体育app登录Insight代理日志”那
34.
“令牌”:“你的日志令牌在这里”那
35.
“小路”:“C:\\程序文件\\ Rapid7 \\ Insigh必威体育app登录t代理\\ Components \\ Insight_Agent \\常见\\ Agent.log”那
36.
“启用”:错误的
37.
}]
38.
}
39.
}
对象传奇
对象 |
描述 |
|---|---|
姓名 |
配置的标签供您自己参考。 |
终点 |
代理要将日志数据转发到的日志数据端点。例如: |
地区 |
Insightops部署的特定区域是基于的。例如: |
API-key. |
这是可以在中找到的读写API密钥设置> API键。 |
状态文件 |
这是跟踪发送给InsightOps的最后一个条目的本地文件的路径。当代理重新启动时,它将从该点发送日志,以尽量减少代理脱机时丢失的日志数据。 |
格式化程序 |
将格式化程序设置为“plain”将将条目发送到Insightops,因为它们被写入本地日志文件中的写入。 |
指标 |
本节允许您将主机的资源利用率指标发送给InsightOps。 |
系统统计令牌 |
在此字段中输入日志令牌以定义哪些日志将在Insigrops中接收指标数据。您可以使用令牌使用添加数据>快速添加在应用程序中。 |
Windows-eventlog. |
本节定义是否要从Windows事件日志中自动收集条目。这些条目将转换为JSON以便于搜索分析。 |
代币 |
在此字段中输入日志令牌以定义哪些日志将在InsigleOps中接收Windows事件。您可以使用令牌使用添加数据>快速添加在应用程序中。 |
日志 |
本节是您要遵循的主机上的日志文件列表。随着新行被写入这些日志,将在实时发送到Insightops。 |
姓名 |
配置的标签供您自己参考。 |
目的地 |
使用时,如果不存在匹配项,则此字段将自动创建日志集和日志。 |
小路 |
这是您希望在运行代理的主机上遵循的文件的路径。对于Windows计算机上的文件,您需要逃脱反斜杠。例如: |
启用 |
这是一个布尔值 |
代理类型 |
指定应用程序协议。此时,只有 |
Proxy-URL. |
指定代理服务器的地址。这可以是主机名或IP地址。 |
代理端口 |
指定Insight代理将用于与代理服务器通信的端口。如果必威体育app登录要在代理定义中指定收集器,则必须将其设置为 |