(黃獻德) Hsien-De Huang | E-Mail:TonTon (at) TWMAN.ORG | TonTon (痛痛)
Malware Analysis Network in Taiwan (MiT) | 惡意程式分析網在台灣 (抬丸郎)
Deep Learning (深度學習), Malware Analysis (惡意程式分析), Ontology (知識本體)
Android Reverse Engineering (Android 逆向工程), Type-2 Fuzzy Logic (第二型模糊邏輯)

ONE PIECE (海賊王)

ONE PIECE (海賊王)

2014年3月4日

10 Steps to Configure OS/Device/Smartconnector Send log to ArcSight Logger 5.3.1 on CentOS 6.4 x64


產品介紹:ArcSight Logger 提供安全的硬體化日誌管理解決方案,它可以收集和分析所有企業日誌(Log)資料,同時提供壓縮、高效能、自動管理的日誌存儲資料庫。主要功能: 綜合的日誌收集功能,可以收集任何Syslog 或日誌檔,並可以搜尋170多種日誌來源: • 符合安全法規需求,可以安全地收集和存儲資料,進行完整性檢查,以及自動應用保存策略 • 更大的容量和更好的擴充性,可以保存兩年以上的壓縮日誌,每個設備處理性能高達 75,000 EPS(每秒收集事件數)

更詳細的中英文說明就自己 Google 吧 ... 基本上再次出來工作後真的深深覺得業界用得東西 (工具) 跟軟體 真的好勵害啊 !!!


在 CentOS 6.4 x64 設定 ArcSight Logger 5.3.1 收集 log
10 Steps to Configure OS/Device/Smartconnector Send log to ArcSight Logger 5.3.1 on CentOS 6.4 x64

***** 在繼續做之前有個地方一定要 *****
分清楚到底是要收 OS 的 syslog (EX: Cent OS 或 Windows Server 等) 還是 Device (EX: Firewall/IDS/IPS 等)  ? 然後再到下面網址找看看支不支援 !


Windows 的 event log 是沒辦法設定自己往外拋,但 Linux 可以藉由 rsyslog 等來往外拋且能解析,直接找上面的支援清單確認 (查文件),然後若收到的log後是不是能夠解析,就要靠 FlexConnector (另文說明) 了

Cent OS 6.4 x64 上的 rsyslog 設定方法就是在 /etc/rsyslog.conf /etc/init.d/rsyslog restart
*.* @@10.14.1.155:514 這邊要注意的是兩個 @@ 就是用 tcp,一個 @ 則是 udp


***** ArcSight Logger 5.3.1 的安裝有空再做測試 ***** 

* Kiwi SyslogGen - Test Your Kiwi Syslog Server Installation Version 2.2.0 *


LogZilla(tm) Syslog Generation Tool v1.0


首先請進到 Logger 的 Web 介面,然後選擇 Configuration ... 做 Add 設定 Receiver,第一次先從最簡單的來開始,直接丟 Syslog 過去給 UDP Receiver ...

另外在 Linux 上驗證是不是有送 log 出去可以這樣檢查

# tcpdump -i eth0 port 5153 或者 # tail -f /var/log/secure


如下圖: Type 選項中有 UDP/TCP/File/Folder Follower Receiver 還有 CEF TCP/UDP Receiver,這個就是用來收可以直接拋 Log 的,至於另外的 SmartMessage Receiver 則是用來收 Smart Connector 拋的 ....


這邊要做的範例是  ArcSight Logger 5.3.1 裝在 CentOS 6.4 x64,在 Windows 上用 Kiwi_SyslogGen-2.2.0 來拋以及用 SmartConnector 拋 testalert ... 所以上圖下方你也可以看到分別有 Apache_access/_erroe 還有 IBM_DB2 跟 syslog 等 的選項 ... 新增完畢後記得要讓它成打勾狀態 !

設定好了之後,這時用 Kiwi SyslogGen 就可以送出 log 然後看到有收到了 !


接著就是要設定 File Receiver 來做測試了 !


 這個算是最簡單的了,直接就設定要讀那個檔案就可以啦 !


接著就是要設定 TestAlert 來做測試,Receiver 就是設定 " SmartMessage Receiver " !


1. 首先請到 ArcSight-6.0.7.6901.0-Connector-Linux.bin 的資料夾,修改為可執行的權限後 ( chmod +x " ArcSight-6.0.7.6901.0-Connector-Linux.bin " ) 直接執行安裝 ./ArcSight-6.0.7.6901.0-Connector-Linux.bin


2. 接著選 " 1 - OK " 然後設定你要安裝的地方,建議一個 Connector 各自安裝在 " /usr/local/arcsight " 底下一個資料夾;EX: /usr/local/arcsight/klcgtest


3. 選擇 " 1- Typical " 以及 " 4- Don't create links " 後,到此已把 Connector 裝好了 !


4. 接著
執行 " /usr/local/arcsight/klcgtest/current/bin/runagentsetup.sh " 進行要收的格式等設定,首先是用 Test Alert 做測試,所以直接選 " 175- Test Alert "


5. 接著請自己決定輸入一些選項,這邊我還不是很瞭解各自的意義,所以就直接一直預設值帶過




6. 再來就是讓你輸入你是要把 Connector 收到的資料送給誰 ? 這邊是
送到 " ArcSight Logger SmartMessage (encrypted) ";然後接著就是輸入你裝 Logger 的 IP


7. 再來就是注意 testalert " 不要裝成 Service " 也就是一定要選 " 1- Leave as a standalone application ",然後就 Continue 跟 Exit 就完成了 !


8. 接著請記得 " 一定 " 要在 Local 端的視窗介面 " 或者是 VNC 上 下這樣的指令 " /usr/local/arcsight/klcgtest/current/bin/arcsight agents ";如果有出現 " libxtst 或 libxext " 等 " xawt/libmawt.so: libXext.so.6: cannot open shared object file " 的錯誤,都是因為 x64 要跑 x86 JVM 的關係,直接下 " yum install libXtst.i686* libXext.i686* -y "


***** 這邊記得下指令開啟防火牆的 PORT 還有安裝 VNC ***** 
yum -y groupinstall "General Purpose Desktop" "X Window System" "Desktop" 
yum -y install tigervnc-server tigervnc ===> vncserver :1 (input vnc passwd twice) 
iptables -I INPUT 5 -m state --state NEW -m tcp -p tcp -m multiport --dports 5901:5903,6001:6003 -j ACCEPT 
iptables -A INPUT -i eth0 -p tcp --dport 514 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT


9. 到這邊就是直接再下 " /usr/local/arcsight/klcgtest/current/bin/arcsight agents " 然後應該要可以看到下面的畫面,再最下方的 " Events " 處輸入個數字然後按 Send


10. 這時候回到你的 Logger 的 web 介面,應該就要可以收到 events 了 !!!

就降 ~ 打完收工 ... 下班回家看電視睡覺了 !!!