База знаний

База Знаний

Документация

...

Общие сведения

UserGate 6.x

UserGate 7.x

Быстрый старт

NGFW 7.0.1 Руководство администратора

Management Center 7.0.1 Руководство администратора

Log Analyzer 7.0.1 Руководство администратора

NGFW 7.1.x Руководство администратора

Management Center 7.1.x Руководство администратора

Log Analyzer 7.1.x Руководство администратора

Введение

Лицензирование LogAn

Первоначальная настройка

Офлайн операции с сервером

Настройка LogAn

Настройка сети

Пользователи и устройства

Сенсоры

Сборщик логов

Библиотеки

Диагностика и мониторинг

Журналы и отчеты

Интерфейс командной строки (CLI)

Общие положения

Команды, доступные до первичной инициализации узла

Первоначальная инициализация

Режим конфигурации

Настройка устройства

Настройка сети

Настройка библиотек

Настройка раздела пользователи и устройства

Настройка сенсоров

Настройка сенсоров (описание)

Настройка мониторинга

Дашборд

Техническая поддержка

ADMIN

Избранные

Приложения

UserGate SIEM 7.1.x Руководство администратора

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Настройка сенсоров (описание)

ID статьи: 1445

Последнее обновление: 04 апр, 2024

Содержание:

Documentation:

Product: LogAn, SIEM

Version: 7.1.0

Для сбора информации с различных устройств и последующего ее анализа LogAn использует сенсоры. Сенсор — это совместимое с LogAn устройство, которое может передавать определенные данные на сервер LogAn. Сенсорами могут выступать устройства UserGate NGFW, конечные устройства UserGate Client, а также любые другие сетевые устройства, способные передавать данные по протоколу SNMP.

Сенсоры UserGate

Сенсор UserGate подключает одно устройство типа межсетевого экрана UserGate к LogAn. Для подключения сенсора UserGate необходимо выполнить следующие шаги:

Admin@ngfw-nodename# set network zone <zone-name> enabled-services [ SNMP "Log Analyzer" ]

Admin@ngfw-nodename# show settings general log-analyzer

state             : ready
logan-server      : 127.0.0.1
logan-version     : 7.1.0.
device-version    : 7.1.0.
device-code       : 9R4FCVET

Admin@nodename# set network zone <zone-name> enabled-services [ "Log Analyzer" ]

Для создания сенсора UserGate используется команда:

Admin@ndefornaledo# create sensors ug-sensors <parameters>

На NGFW разрешить сервисы Log Analyzer и SNMP в настройках требуемой зоны:
На NGFW получить токен устройства:
На LogAn разрешить сервис Log Analyzer в свойствах требуемой зоны:
Создать сенсор UserGate.

Необходимо добавить следующие параметры:

Параметр	Описание
enabled	Включает или выключает данный сенсор UserGate.
name	Название сенсора UserGate.
description	Опциональное описание сенсора UserGate.
address	IP-адрес узла UserGate, для которого создается данный сенсор.
logan-address	IP-адрес сервера LogAn, который будет использоваться на узле UserGate, в качестве назначения для отсылки журналов. Для выбора отображаются только те адреса, на интерфейсах зон которых разрешен сервис Log Analyzer.
device-code	Токен, полученный на узле UserGate.

После создания сенсора, узел UserGate начинает отсылать данные на LogAn.

Для просмотра сенсоров UserGate используется команда:

Admin@nodename# show sensors ug-sensors

Сенсоры SNMP

С помощью сенсора SNMP администратор может подключить SNMP-совместимое сетевое устройство к серверу LogAn для сбора и анализа его метрик. LogAn может отображать любые счетчики, полученные по SNMP с помощью запросов SNMP. Для настройки сенсора SNMP необходимо иметь базы MIB (Management Information Base) на управляемое устройство.

Для настройки сенсора SNMP необходимо выполнить следующие шаги:

Admin@nodename# create sensors snmp-sensors <parameters>

Загрузить базу MIB того устройства, которое требуется добавить для мониторинга.
Создать сенсор SNMP:

Admin@nodename# create sensors snmp-sensors <parameters>

Далее указать следующие параметры::

Наименование	Описание
enabled	Включает или выключает данный сенсор SNMP.
name	Название сенсора SNMP.
description	Опциональное описание сенсора SNMP.
ip	IP-адрес сенсора SNMP.
port	Порт сенсора SNMP. Обычно для запросов данных по протоколу SNMP используется порт TCP 161.
version	Указывает версию протокола SNMP, которая будет использоваться в данном сенсоре. Возможны варианты SNMP v2 (2) и SNMP v3 (3).
community	SNMP community - строка для идентификации сервера LogAn и сетевого устройства для версии SNMP v2. Используйте только латинские буквы и цифры.
interval	Интервал в секундах, через который сервер LogAn будет инициировать получение данных с сетевого устройства.
username	Только для SNMP v3. Имя пользователя для аутентификации сетевом устройстве.
auth-type	Выбор режима аутентификации. Возможны варианты: Без аутентификации, без шифрования (none). С аутентификацией, без шифрования (no-encrypt). С аутентификацией, с шифрованием (encrypt).
auth-alg	Алгоритм, используемый для аутентификации: md5; sha; sha224; sha256; sha284; sha512.
auth-password	Пароль, используемый для аутентификации.
encrypt-alg	Алгоритм, используемый для шифрования. Возможно использовать DES и AES.
encrypt-password	Пароль, используемый для шифрования.
counters	Укажите здесь все требуемые данные, которые LogAn будет запрашивать на сетевом устройстве. Счетчики выбираются из баз MIB, которые загружены на устройство. Укажите в собках [ ] SNMP OID счетчика.

Для просмотра сенсоров SNMP используется команда:

Admin@nodename# show sensors snmp-sensors

Сенсоры WMI

С помощью сенсора WMI администратор может подключить WMI-совместимое сетевое устройство (компьютер под управлением ОС Windows) к LogAn для сбора и анализа его метрик.

Для создания сенсора WMI используется команда:

Admin@nodename# create sensors wmi-sensors <parameters>

Далее указать следующие параметры::

Наименование	Описание
enabled	Включает или выключает данный сенсор.
name	Название сенсора.
description	Опциональное описание сенсора.
ip	IP-адрес сенсора.
login	Имя пользователя для подключения к устройству.
password	Пароль пользователя для подключения к устройству.
namespace	Пространство имен идентификаторов.
polling-interval	Интервал опроса в секундах.
counters	Указать данные, которые LogAn будет мониторить на сетевом устройстве: name — название счетчика. type — тип счетчика (windows-event-logs). filter-query — WQL запрос (например, Logfile='Security').

Для просмотра сенсоров WMI используется команда:

Admin@nodename# show sensors wmi-sensors

Конечные устройства

Конечное устройство с установленным программным обеспечением UserGate Client будет отображено при выборе на UGMC данного устройства LogAn в качестве сервера для передачи информации о событиях, при этом LogAn должен быть предварительно зарегистрирован на UGMC.

Для просмотра данных конечных устройств используется команда:

Admin@nodename# show sensors endpoint-devices