Шаг 2 (альтернативный). Установка ArcSight Forwarding Connector с помощью консоли
11 апреля 2024
ID 167566
Для установки ArcSight Forwarding Connector вместо установщика с графическим интерфейсом пользователя можно воспользоваться консолью.
Чтобы установите ArcSight Forwarding Connector с помощью консоли, выполните следующие действия:
- В консоли запустите установщик ArcSight Forwarding Connector.
- Прочтите раздел Introduction и нажмите клавишу Enter.
- При появлении соответствующего запроса выберите Choose Install Folder и введите полный путь к каталогу, в который будет установлен ArcSight Forwarding Connector (
%ConnectorInstallDir%
).По умолчанию задан каталог
/root/ArcSightSmartConnectors
- При появлении соответствующего запроса выберите Choose Install Set и введите
1
(что соответствует вариантуTypical
). - При появлении соответствующего запроса выберите Choose Link Location и укажите, требуется ли создавать ссылку на каталог установки.
Рекомендуется выбрать вариант
Don't create links
. - Убедитесь, что в разделе Pre-Installation Summary указаны правильные значения настроек установки. Если значения правильные, нажмите клавишу Enter.
После установки ArcSight Forwarding Connector в консоли выводится следующая информация:
Installation Complete
---------------------
The core components of the ArcSight SmartConnector have been successfully installed to:
%ConnectorInstallDir%
To finish the configuration of the SmartAgent, please go to the folder:
%ConnectorInstallDir%/current/bin/
and execute the script:
./runagentsetup.sh
- Запустите скрипт
%ConnectorInstallDir%/current/bin/runagentsetup.sh
. - При появлении соответствующего запроса выберите
Add a Connector
. - Укажите тип коннектора
ArcSight Forwarding Connector
. - Укажите, требуется ли маскировать пароли.
Рекомендуется указать
yes
. - Укажите следующие параметры подключения ArcSight Source Manager:
- Host Name
Хост ArcSight Source Manager.
- Port
Порт ArcSight Source Manager (по умолчанию
8443
). - User
Имя пользователя учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию
FwdCyberTrace
).Вместо
FwdCyberTrace
можно указать другого пользователя. Для этого укажите собственного пользователя ArcSight в настройках ArcSight Forwarding Connector. - Password
Пароль от учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию
KasperskyLab!
).
- Host Name
- Укажите следующее действие для импорта сертификата:
Import the certificate to connector from destination
. - Укажите тип назначения:
CEF Syslog
. - Задайте следующие настройки:
- Ip/Host
IP-адрес, который Kaspersky CyberTrace Service прослушивает для получения событий.
- Port
Порт на котором Kaspersky CyberTrace Service получает события. По умолчанию это
9999
. - Protocol
Укажите
Raw TCP
.
IP-адрес и порт совпадают с указанными в разделе Connection settings на вкладке Service в веб-интерфейсе Kaspersky CyberTrace.
- Ip/Host
- Задайте следующие настройки коннектора:
- Имя
Можно указать произвольное значение.
- Location
Можно указать произвольное значение.
- DeviceLocation
Можно указать произвольное значение.
- Comment
Можно указать произвольное значение.
После этого коннектор регистрируется.
- Имя
- Укажите способ установки коннектора:
Install as a service
. - Задайте настройки учетной записи:
- Service Internal Name
- Service Display Name
- Start the service automatically
Задает, должен ли сервис запускаться при запуске системы. Рекомендуется указать
yes
.
- Проверьте указанные данные. Если данные верны, нажмите клавишу Enter.
Выполняется установка коннектора как сервиса.
- Убедитесь, что коннектор работает (о том, как это делается, см. в разделе об устранении неполадок ArcSight). Если он не запущен, запустите его с помощью следующей команды:
/etc/init.d/arc_%FORWARDING% start
Здесь
%FORWARDING%
соответствует имени коннектора.
Если Forwarding Connector отправляет в Kaspersky CyberTrace Service большое количество событий (более 1000 событий в секунду), рекомендуется сделать следующее: в файле %ConnectorInstallDir%/current/user/agentagent.wrapper.conf
задать в поле wrapper.java.maxmemory
значение 512
и перезапустить Forwarding Connector.