insighttops -配置Insight Agen必威体育app登录t发送日志
Insi必威体育app登录ght Agent将资产日志数据通过一个名为dota2必威联赛logging.json.默认情况下,logging.json文件指示代理将日志直接发送到data.logs.insight.rapid7.com端点根据您的区域,但您可以配置代理的目的地如果有必要的话)。
本文解释如何生成logging.json文件,提供了操作系统格式化的示例,并定义了文件所包含的JSON对象。
代理配置
如果您希望通过代理而不是直接向Insight平台发送资产日志数据,可以通过在总体中添加以下额外的键值对来实现dota2必威联赛配置你的对象logging.json文件:
代理类型-指定应用协议。此时,只有HTTP是支持的。proxy-url-指定代理服务器的地址。这可以是一个主机名或IP地址。代理端口-指定Insight Agent将使用的端口与您的代理服务器必威体育app登录通信。
您可以指定一个Collector作为您的代理
如果您已经在您的环境中部署了一个或多个collector,那么您可以将其中一个作为此用例的代理。Insi必威体育app登录ght Agent与insighttops相关的收集任务不能区分Collector或其他代理类型。指定其中任何一个都可以达到到达internet的相同目标。
对象配置logging.json对于收集器的地址保持不变,除了代理端口必须设置为8037按照收集器的要求。
这个示例展示了应该如何格式化代理定义logging.json:
json
1
{
2
“配置”:{
3.
“代理类型”:“HTTP”,
4
“proxy-url”:“10.7.1.219”,
5
“代理端口”:“3128”,
6
...然后是你的对象的其余部分
7
}
8
}
logging.jsonCreation Wizard
使用insigh必威体育app登录ttops中的Insight Agent数据源向导自动创建和格式化logging.json包含API密钥和数据区域的文件。之后,您可以直接从向导下载完整的文件。
您必须手动创建代理对象
的logging.jsoninsighttops中的创建向导目前不包括前面描述的代理相关对象。如果希望代理通过代理发送日志,则必须编辑logging.json文件,并手动添加代理对象。
创建日志。jsonfile with the wizard:
- 在“insighttops”中,单击添加数据按钮。
- 或者,您可以单击添加数据连接位于日志搜索或数据收集选项卡。
- 在“Install the Insigh必威体育app登录t Agent”部分,单击要安装代理的资产的操作系统。
提示
向导将假定您还没有在资产上安装Insight Agent,所以如果您已经安装了,可以跳过安装步骤。必威体育app登录
- 在“通过Insight Agent发送日志”必威体育app登录面板上,选择使用现有的API密钥或生成新的API密钥:
- 如果您正在使用现有的API密钥,请将密钥粘贴到字段中,然后单击应用按钮。
- 如果您正在生成新的API密钥,请单击生成API密匙按钮,然后点击应用按钮。
- 验证您的格式化
logging.json文件包括API密钥、数据区域端点和区域代码。注意,'destination'字段中的主机名可以根据需要更改。点击下载检索您的文件。 - 把你的
logging.json根据你的资产的操作系统,在以下目录中的一个文件:- 窗户-
C:\Program Files\Rapid7\必威体育app登录Insight代理\ \ insight_agent \常见\配置组件 - Mac和Linux-
/ opt / rapid7 / ir_agent /组件/ insight_agent /共同/配置
- 窗户-
- 最后,重新启动Insight Agent服必威体育app登录务。
- 在Windows上,该服务在服务管理器中称为“Rapid7 Insight Agent必威体育app登录”。
- 在Mac和Linux操作系统下,可以通过运行
Sudo服务ir_agent重启终端中的命令。
logging.jsonFormatting Templates
如果你更喜欢创造你的logging.json手动文件,请参考以下模板。
Mac和Linux
的Mac和Linux版本logging.json具有以下结构:
logging.json
1
{
2
“配置”:{
3.
“名称”:“您的日志配置的标签”,
4
“端点”:“eu.data.logs.insight.rapid7.com”,
5
“地区”:“欧盟”,
6
“api键”:“你的API键”,
7
“状态文件”:“/ opt / rapid7 / ir_agent /组件/ insight_agent /共同/ config / logs.state”,
8
“格式化程序”:“普通”,
9
“指标”:{
10
“system-stat-token”:“您的日志令牌在此”,
11
“system-stat-enabled”:真正的,
12
“metrics-interval”:“六十年代”,
13
“metrics-cpu”:“系统”,
14
“metrics-vcpu”:“核心”,
15
“metrics-mem”:“系统”,
16
“metrics-swap”:“系统”,
17
“metrics-net”:“eth0总和”,
18
“metrics-disk”:“sda4 sda5总和”,
19
“metrics-space”:“/”
20.
},
21
“日志”:[
22
{
23
“名称”:“系统日志”,
24
“目的地”:“服务器名/ syslog”,
25
“路径”:“/ var / log / syslog”,
26
“启用”:真正的
27
},
28
{
29
“名称”:“内核”,
30.
“目的地”:“服务器名/内核”,
31
“路径”:“/ var / log / kern.log”,
32
“启用”:真正的
33
},
34
{
35
“名称”:“身份验证”,
36
“目的地”:“服务器名/身份验证”,
37
“路径”:“/ var / log / auth.log”,
38
“启用”:真正的
39
},
40
{
41
“名称”:“必威体育app登录洞察代理日志”,
42
“令牌”:“您的日志令牌在此”,
43
“路径”:“/ opt / rapid7 / ir_agent /组件/ insight_agent /共同/ agent.log”,
44
“启用”:假
45
}]
46
}
47
}
窗户
—不支持从域控制器收集事件日志
Insight Agent的insighttops组件目前不支持必威体育app登录从充当域控制器的资产收集事件日志。如果您需要为这个用例部署一个集合方法,请考虑实现以下备选方案之一:
- 在insighttops中创建WMI Active Directory事件源,并将其配置为使用收集器发送未过滤的日志。看到活动目录页InsightOps帮助页面查看如何操作的说明。
- 将Windows事件从域控制器转发到另一个服务器,并在该中间资产上安装代理。你可以在以下微软资源中阅读更多关于这个过程的信息:
- https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection
- 创建NXLog事件源看到NXLog页面指令。
- 创建一个通用的Windows事件日志事件源。看到通用Windows事件日志页面指令。
的Windows版本logging.json具有以下结构:
logging.json
1
{
2
“配置”:{
3.
“名称”:“您的日志配置的标签”,
4
“端点”:“eu.data.logs.insight.rapid7.com”,
5
“地区”:“欧盟”,
6
“api键”:“你的API键”,
7
“状态文件”:“C: \ \程序文件\ \ Rapid7 \ \洞察力必威体育app登录代理组件\ \ \ \ insight_agent \ \常见\ \ state.file”,
8
“格式化程序”:“普通”,
9
“指标”:{
10
“system-stat-token”:“您的日志令牌在此”,
11
“system-stat-enabled”:真正的,
12
“metrics-interval”:“六十年代”,
13
“metrics-cpu”:“系统”,
14
“metrics-vcpu”:“核心”,
15
“metrics-mem”:“系统”,
16
“metrics-swap”:“系统”,
17
“metrics-net”:“eth0总和”,
18
“metrics-disk”:“sda4 sda5总和”,
19
“metrics-space”:“/”
20.
},
21
“windows-eventlog”:{
22
“启用”:真正的,
23
“令牌”:“cfe50cc8 - 7651 - 42 - f3 ac23 - 866 bf87a6aad”
24
},
25
“日志”:[
26
{
27
“名称”:“自定义日志”,
28
“目的地”:“服务器名/自定义日志”,
29
“路径”:“c: \ \ logs \ \ mylogfile * . log”,
30.
“启用”:真正的
31
},
32
{
33
“名称”:“必威体育app登录洞察代理日志”,
34
“令牌”:“您的日志令牌在此”,
35
“路径”:“C: \ \程序文件\ \ Rapid7 \ \洞察力必威体育app登录代理组件\ \ \ \ insight_agent \ \常见\ \ agent.log”,
36
“启用”:假
37
}]
38
}
39
}
对象的传说
对象 |
描述 |
|---|---|
的名字 |
标签的配置,供您自己参考。 |
端点 |
代理应该将日志数据转发到的日志数据端点。例如: |
地区 |
您部署insight tops所在的特定区域。例如: |
api密匙 |
这是你的读写API键,可以在设置> API密钥. |
状态文件 |
这是一个本地文件的路径,该文件跟踪发送到insighttops的最后一个条目。当代理重新启动时,它将从该点发送日志,以减少代理脱机时丢失的日志数据。 |
格式化程序 |
将格式化程序设置为“plain”将条目完全按照写入本地日志文件的方式发送到InsightOps。 |
指标 |
通过本节,您可以将主机的资源利用率指标发送给insighttops。 |
system-stat-token |
在此字段中输入一个日志令牌,以定义将在insighttops中接收度量数据的日志。您可以使用>快速添加在应用程序中。 |
windows-eventlog |
本节定义是否要从Windows事件日志中自动收集条目。为了便于搜索分析,这些条目将被转换为JSON。 |
令牌 |
在此字段中输入一个日志令牌,定义将在insighttops中接收Windows事件的日志。您可以使用>快速添加在应用程序中。 |
日志 |
这一部分是您想要遵循的主机上的日志文件列表。当新的行被写入这些日志时,更新将被实时发送到InsightOps。 |
的名字 |
标签的配置,供您自己参考。 |
目的地 |
使用时,该字段将自动创建一个日志集,如果不存在匹配的日志集,则创建一个日志集。 |
路径 |
这是您希望在运行代理的主机上跟踪的文件的路径。对于Windows机器上的文件,需要转义反斜杠。例如: |
启用 |
这是一个布尔值 |
代理类型 |
指定应用协议。此时,只有 |
proxy-url |
指定代理服务器的地址。这可以是一个主机名或IP地址。 |
代理端口 |
指定Insight Agent将用于与代理服务器通信的端必威体育app登录口。如果在代理定义中指定Collector,则必须将其设置为 |