Loggernaut-Konfigurationen
SFTP Backup Server
Das Backup-System, automatisiert die Übertragung aller bisher ausschließlich auf dem Management-Server gespeicherten Roh-Logs auf einen SFTP-Server. Die detaillierte Konfiguration dieser Funktion ist in der Loggernaut config.json beschrieben und bietet Ihnen eine effiziente Methode zur Sicherung Ihrer Daten.
Konfiguration des SFTP Backup Servers
Fügen Sie den Code in Ihrer
/opt/enginsight/loggernaut/config.json
wie folgt hinzu.
Passen Sie die Standardeinstellungen wie folgt an:
Individuelle Anpassungen:
strategy
local:
remove:
sftp:
sftp.perssions:
Geben Sie hier die Dateiberechtigungen im Unix-Stil ("0666
") und erlauben Sie somit allen Benutzern vollen Lese- und Schreibzugriff.
sftp.remoteDirectory:
Geben Sie den Verzeichnispfad an, in dem die Logs gespeichert werden sollen.
Vorsicht bei SFTP-Chroot! Wenn das Ziel '/user/siem/logs' ist und das Chroot auf '/user' festgelegt ist, sollte das tatsächliche Ziel '/siem/logs' sein, um mögliche Probleme zu vermeiden
sftp.keepLocalCopy:
Wenn auf 'false' gesetzt, werden alle Logs außerhalb der TTL auf dem Logger gelöscht, sobald sie auf den SFTP-Server übertragen wurden.
sftp.ssh.username:
Geben Sie den Benutzername für den SFTP-SSH-Nutzer an.
sftp.ssh.password:
Geben Sie Ihr SSH-Passwort für den SFTP-Nutzer an.
Dieses Feld können Sie leer lassen, wenn ein Schlüssel verwendet werden.
sftp.ssh.ip:
Geben Sie hier die IP-Adresse des SFTP/SSH-Servers an.
sftp.ssh.port:
Geben Sie hier den Port an, auf dem der SFTP/SSH-Server läuft.
Wenn Sie dieses Feld leer lassen, wird der Standardport 22 genutzt.
sftp.ssh.privateKeyPath:
Geben Sie hier den Pfad zum privaten SSH-Schlüssel an.
Wenn Sie ein Passwort verwenden, müssen Sie hier keine Anpassungen vornehmen.
sftp.ssh.privateKeyPassphrase:
Geben Sie (falls vorhanden) hier das Passwort für den privaten Schlüssel an.
sftp.ssh.knownHostsPath:
Geben Sie hier den Pfad zu den bekannten Hosts an, um zu überprüfen, ob der SFTP-Server der richtige ist.
Wenn Sie diese Angabe leer lassen, wird kein Host-Check durchgeführt und angenommen, dass der richtige Server angegeben wurde. Es muss nicht die von SSH angelegte 'known_hosts'-Datei sein, wenn nur dieser Host zugelassen werden soll, jedoch muss das Format dem der "originalen" Datei entsprechen.
Starten Sie abschließend den Loggernaut neu, um die Konfigurationen zu übernehmen.
Full-Text Search Datalake
Die Full-Text Search ermöglicht es Ihnen, nach beliebigen Texten in ihren Logs zu suchen, um relevante Informationen noch schneller zu finden. Durchsuchen Sie Logs nun gezielt nach Inhalten, ohne dabei betreffende Felder angeben zu müssen. Wodurch nun auch die Ausgabe felderübergreifender Ergebnisse möglich ist.
Bedenken Sie bitte, dass die Aktivierung der Full-Text Search die Größe des Indexes stark vergrößern kann! Sein Sie sich im Vorhinein darüber bewusst und stellen Sie ausreichend Ressourcen zur Verfügung.
Aktivierung bei bestehenden Accounts
Als bestehender Enginsight Nutzer müssen Sie zur Datei
/opt/enginsight/loggernaut/config.json
navigieren und auf der JSON-Root-Ebene den Eintrag"freeTextSearch": true
hinzufügen.Starten Sie anschließend den Loggernaut neu, um die Änderungen zu übernehmen.
Beachten Sie zwingend, dass nur Logs, die nach der Aktivierung an das SIEM gesendet werden, über die Freitextsuche auffindbar sind. Alte Logs sind nicht durchsuchbar!
Deaktivierung nach Neuinstallation
Für Neuinstallationen (ab Februar 2024) ist die Freitextsuche standardmäßig aktiviert. Kunden, die diese Funktion bei der Installation nicht verwenden möchten, können sie deaktivieren, indem sie entweder:
freeText=false
an diesetup.sh
von Loggernaut anhängen.
oder
in der
config.json
den Eintrag"freeTextSearch": false
setzen.
Backup-Log TTL
Die Backup-Log Time-to-Live (TTL) kann separat konfiguriert werden, um die Lebensdauer von Backup-Logs zu steuern. Verwenden Sie die folgende JSON-Konfiguration, um die TTL für Ihre Organisation festzulegen:
Ersetzen Sie <org>
durch den Namen Ihrer Organisation und <ttlInTagen>
durch die gewünschte Zeitdauer in Tagen, nach der die Backup-Logs automatisch entfernt werden sollen.
Diese Konfiguration ermöglicht eine präzise Verwaltung der Backup-Log-Lebensdauer gemäß Ihren Anforderungen.
Last updated