Шаг 2. Установка ArcSight Forwarding Connector
11 апреля 2024
ID 167564
В этом разделе описывается порядок установки ArcSight Forwarding Connector.
ArcSight Forwarding Connector является компонентом HP ArcSight и не входит в состав Kaspersky CyberTrace. Это приложение можно получить одним из следующих способов:
- Обратитесь в службу поддержки HP для получения ArcSight Forwarding Connector.
- Обратитесь к своему персональному техническому менеджеру «Лаборатории Касперского» (TAM) для получения ArcSight Forwarding Connector.
Чтобы установить ArcSight Forwarding Connector, выполните следующие действия:
- Запустите приложение установки ArcSight Forwarding Connector.
- Выберите каталог установки ArcSight Forwarding Connector (далее
%ConnectorInstallDir%
). - После распаковки установочных файлов выберите Add a Connector.
Добавление коннектора
Нажмите на кнопку Next.
- В раскрывающемся списке Type выберите ArcSight Forwarding Connector (Enhanced).
Выбор типа коннектора
Нажмите на кнопку Next.
- Укажите следующие параметры подключения ArcSight Source Manager:
- Host Name
Хост ArcSight Source Manager.
- Port
Порт ArcSight Source Manager (по умолчанию
8443
). - User Name
Имя пользователя учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию
FwdCyberTrace
).Вместо
FwdCyberTrace
можно указать другого пользователя. Для этого укажите собственного пользователя ArcSight в настройках ArcSight Forwarding Connector. - Password
Пароль от учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию
KasperskyLab!
).
Параметры ArcSight Source Manager
Если возникает ошибка аутентификации (неверное имя пользователя или пароль), рекомендуется проверить, присутствует ли пользователь
FwdCyberTrace
в ArcSight Console. Если нет, создайте его вручную.Нажмите на кнопку Next.
- Host Name
- Если указаны правильные параметры подключения, импортируйте требуемый сертификат.
Импорт сертификата
Нажмите на кнопку Next.
- Укажите CEF Syslog в качестве формата событий, который будет использоваться для событий, отправляемых в Kaspersky CyberTrace Service.
Настройка формата события
Нажмите на кнопку Next.
- Укажите IP-адрес (или хост) и порт, который Kaspersky CyberTrace Service будет прослушивать для получения событий. В качестве протокола укажите Raw TCP.
IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace. По умолчанию в качестве IP-адреса и порта для получения событий от ArcSight используется
127.0.0.1:9999
.Настройка назначения события
Нажмите на кнопку Next.
- Укажите сведения нового объекта ArcSight Forwarding Connector: имя (можно указать произвольное значение), местоположение (можно указать произвольное значение), местоположение устройства, которое будет отправлять события в коннектор (можно указать произвольное значение, может быть пустым) и комментарий о коннекторе (можно указать произвольное значение, может быть пустым).
Подробные данные коннектора
Нажмите на кнопку Next.
- Установите сервис ArcSight Forwarding Connector.
- Если мастер Connector Setup Wizard запущен без прав root, выводится предупреждение.
Предупреждение о правах пользователя
Можно запустить мастер Connector Setup Wizard как root либо можно выполнить следующую команду как root:
%ConnectorInstallDir%/current/bin/arcsight agentsvc -i -u $username -sn $service_name
Параметры здесь имеют следующий смысл:
$username
— имя пользователя операционной системы, который будет запускать сервис.$service_name
— имя сервиса.Рекомендуется задать имя сервиса таким же, как имя коннектора.
Сообщения о процессе установки выводятся в файл журнала
%ConnectorInstallDir%/current/logs/agent.log
.Пропустите следующий шаг, описывающий указание параметров сервиса.
- Если установка запускается от имени пользователя root, выберите Install as a service.
Выбор режима установки
Нажмите на кнопку Next.
- Укажите параметры сервиса.
Рекомендуется задать имя сервиса таким же, как имя коннектора.
Указание параметров сервиса
Нажмите на кнопку Next.
После этого мастер Connector Setup Wizard сообщит о том, что новый Forwarding Connector установлен.
- Убедитесь, что коннектор работает (о том, как это делается, см. в разделе об устранении неполадок ArcSight). Если он не запущен, запустите его с помощью следующей команды:
/etc/init.d/arc_%FORWARDING% start
Здесь
%FORWARDING%
соответствует имени коннектора.
Если Forwarding Connector отправляет в Kaspersky CyberTrace Service большое количество событий (более 1000 событий в секунду), рекомендуется сделать следующее: в файле %ConnectorInstallDir%/current/user/agentagent.wrapper.conf
задать в поле wrapper.java.maxmemory
значение 512
и перезапустить Forwarding Connector.