CA User Activity Reporting Module - Manuel de
Contents
1. gi W W e l G Chapitre 5 Informations compl mentaires concernant CA User Activity Reporting Module 69 Affichage de l aide en ligne 2 L exemple ci dessous pr sente l acc s l aide contextuelle partir d un bouton Aide a Cliquez sur le bouton Afficher Modifier les filtres globaux F Profils Ge Param tres et titres globaux La fen tre Filtres et param tres globaux appara t et affiche un bouton Aide Param tres et filtres globaux Q Les filtres globaux s appliquent l ensemble de l application et sont conserv s au fur et mesure de l affichage des rapports Filtres rapides Filtres avanc s Param tres Filtres rapides Q Pour filtrer les v nements pour cette requ te s lectionnez une date et un sch ma de correspondance P riode 6 derni res heures v Heure approx de d but Jeu 12 nov 2009 12 35 10 Heure approx de fin Jeu 12 nov 2009 6 35 10 m Correspondance Ajouter un filtre C D finir comme valeur par d faut Tout effacer Enregistrer Annuler 70 Manuel de pr sentation Affichage de l aide en ligne b Cliquez sur le bouton Aide L aide en ligne pour la proc dure que vous pouvez effectuer sur la page le volet ou la bo te de dialogue en cours appara t dans une fen tre secondaire Sommaire Index Recherche Filtres globaux et locaux gt Cr ation d un filtre global Cr ation d un fi2. Auditeur R le d fini R le d fini R le d fini par par par l utilisateur l utilisateur l utilisateur Les administrateurs peuvent personnaliser l acc s n importe quelle ressource en cr ant un groupe d applications personnalis avec des strat gies associ es puis en affectant ce groupe d applications ou r le aux comptes d utilisateur Remarque Pour plus de d tails sur la planification et la cr ation de r les personnalis s de strat gies personnalis es et de filtres d acc s consultez le Manuel d administration CA User Activity Reporting Module Chapitre 4 Principales fonctionnalit s 63 Gestion de l abonnement Gestion de l abonnement Le module d abonnement est le service qui permet de t l charger automatiquement de mani re planifi e les mises jour d abonnement provenant du serveur d abonnement CA et de les distribuer aux serveurs CA User Activity Reporting Module Lorsqu une mise jour d abonnement inclut le module pour les agents les utilisateurs lancent le d ploiement de ces mises jour vers les agents Les mises jour d abonnement sont des mises jour de composants CA User Activity Reporting Module ainsi que des mises jour de syst me d exploitation des correctifs et des mises jour de contenu comme les rapports L illustration ci dessous d crit le sc nario le plus simple de connexion directe Internet CA Serveur d abonnement Proxy dabonnement par d faut
3. Un seul serveur Installation d un syst me Un seul serveur Un syst me un seul serveur constitue le d ploiement le plus simple vous permettant d effectuer des requ tes sur des v nements et d en afficher les r sultats Veillez s lectionner un ordinateur respectant la configuration mat rielle minimale pour un dispositif logiciel CA User Activity Reporting Module Remarque Pour obtenir la liste du mat riel certifi les syst mes d exploitation pris en charge et la configuration requise en termes de logiciel syst me et de services consultez les Notes de parution Pour installer CA User Activity Reporting Module sur un syst me un seul serveur 1 Conservez votre disposition les informations ci dessous Mot de passe de l utilisateur root a Nom d h te pour votre dispositif Sivousn utilisez pas DHCP l adresse IP statique le masque de sous r seau et la passerelle par d faut de votre dispositif Domaine du dispositif Remarque Le domaine doit tre enregistr aupr s des serveurs DNS de votre r seau pour que l installation se termine correctement Adresse IP des serveurs DNS Adresse IP de votre serveur de synchronisation NTP facultatif a Mot de passe du superutilisateur d installation par d faut EiamAdmin CAELM Il s agit du nom d application par d faut de l application CA User Activity Reporting Module 14 Manuel de pr sentation Installation d Un syst me Un seul serveur
4. Client abonnement 64 Manuel de pr sentation Contenu pr t l emploi Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Le serveur CA User Activity Reporting Module en tant que serveur d abonnements par d faut contacte le serveur d abonnements CA concernant les mises jour et t l charge toute mise jour nouvellement disponible Le serveur CA User Activity Reporting Module cr e une sauvegarde puis envoie les mises jour de contenu vers le composant incorpor du serveur de mises jour qui stocke les mises jour de contenu pour tous les autres serveurs CA User Activity Reporting Module En tant que client d abonnement le serveur CA User Activity Reporting Module installe lui m me les mises jour des produits et du syst me d exploitation dont il a besoin Remarque Pour plus de d tails sur la planification et la configuration de l abonnement consultez le Manuel d impl mentation Pour plus de d tails sur l ajustement et la modification de la configuration d abonnement et sur l application des mises jour aux agents consultez le Manuel d administration Contenu pr t l emploi CA User Activity Reporting Module contient un contenu pr d fini que vous commencez utiliser d s l installation et la configuration du produit Le processus d abonnement ajoute r guli rement du contenu nouveau et met jour celui existant Les cat gories de contenu pr d fini incluent Rapp
5. Installez le syst me d exploitation pr configur l aide du m dia que vous avez cr partir du package de t l chargement CA User Activity Reporting Module Lors de l installation du syst me d exploitation effectuez les op rations r pertori es ci dessous a Choisissez un type de clavier Par d faut il s agit d un clavier Etats Unis b Choisissez un fuseau horaire par exemple America New York puis s lectionnez OK c Saisissez le mot de passe utiliser comme mot de passe root puis saisissez le nouveau pour le confirmer S lectionnez OK Les informations relatives la progression de l installation apparaissent Chapitre 2 D ploiement rapide 15 Installation d Un syst me Un seul serveur 16 Manuel de pr sentation d Retirez le disque d installation du syst me d exploitation puis appuyez sur Entr e pour red marrer le syst me Le syst me red marre et entre en mode de d marrage non interactif Il affiche les messages d crivant la progression de l installation Des informations d taill es sur cette installation sont enregistr es dans le fichier tmp pre install_ca elm log L invite ci dessous s affiche Please insert the CA Enterprise Log Manager r12 Application Install disk and press enter Ins rez le disque d installation de l application CA Enterprise Log Manager r12 et appuyez sur Entr e Ins rez le disque de l applicat
6. Principales fonctionnalit s Ce chapitre traite des sujets suivants Collecte de journaux page 52 Stockage des journaux page 55 Pr sentation normalis e des journaux page 57 G n ration de rapports de conformit page 58 Alerte de violation de strat gie page 60 Gestion des droits page 61 Acc s selon un r le page 63 Gestion de l abonnement page 64 Contenu pr t l emploi page 65 Chapitre 4 Principales fonctionnalit s 51 Collecte de journaux Collecte de journaux Le serveur CA User Activity Reporting Module peut tre configur pour collecter des journaux l aide d une ou de plusieurs techniques prises en charge Les techniques diff rent quant au type et l emplacement du composant qui coute et collecte les journaux Ces composants sont configur s sur les agents L illustration ci dessous d crit un syst me avec un seul serveur o l emplacement des agents est indiqu par un cercle sombre vert Ordinateur de collecte E KE Collecte de journaux journaux par l agen sans agent par d faut Collecte directe de Collecte de t JGEUMAUX avec agent 52 Manuel de pr sentation Collecte de journaux Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Configurez l agent par d faut sur CA User Activity Reporting Module pour r cup rer directement des v nements aupr s des sources Syslog sp cifi es 2 Configurez l agent install sur un po
7. e Chapitre 3 D ploiement de l agent Windows 43 Cr ation d un connecteur bas sur NTEventLog 5 Laissez Int grations s lectionn puis s lectionnez NTEventLog dans la liste d roulante Int gration Les champs Nom du connecteur et Description sont remplis selon la s lection effectu e dans Int gration 6 Modifiez le nom du connecteur afin d obtenir un nom unique Vous pouvez envisager de compl ter ce nom par le nom du serveur cible par exemple NTEventLog_Connector _USEROO1LAB Cr ation de connecteur Indiquez les informations requises Type Int grations D Ecouteurs Int gration NTEventLog w Nom du connecteur NTEventLog_Connecteur_USEROO1LAB Version de la plate forme 1192003 v Omettre la v rification de la version de plate forme Version 12 0 5009 0 v Description Propri taire de ce connecteur NTEventLog 7 S lectionnez l tape Configuration du connecteur LD zI D tails du connecteur Appliquer les r gles de suppression Appliquer les r gles de r capitulation Configuration du connecteur o o Le volet Configuration des d tecteurs appara t un bouton Aide permet d acc der au manuel du connecteur NTEventLog qui d crit les champs de configuration du d tecteur Configuration du connecteur Indiquez les informations de configuration Configurations enregistr es S lectionner la configuration v Configuration des d tecte
8. mentaires concernant CA User Activity Reporting Module 67 Affichage des infobulles 2 2 5622e0 Rien den ame etsiei en ins Afin et 67 Affichage de l a d en iene s s its ceira ann RU Re e in Nm 69 Exploration de la biblioth que de documentation 72 Index 75 6 Manuel de pr sentation Chapitre 1 Introduction Ce chapitre traite des sujets suivants A propos de ce manuel page 7 A propos de CA User Activity Reporting Module page 8 A propos de ce manuel Ce Manuel de pr sentation traite de CA User Activity Reporting Module Il d bute par de rapides didacticiels qui vous permettent d acqu rir une premi re exp rience du produit Le premier didacticiel vous guide pour installer CA Enterprise Log Manager sur un seul serveur l ex cuter et afficher des Syslogs collect s partir d unit s UNIX proximit sur le r seau Le deuxi me didacticiel vous guide pour installer un agent sur un syst me d exploitation Windows configurer la collecte de journaux et afficher les journaux d v nements qui en r sultent Il d crit ensuite les principales fonctions et indique les ressources permettant d en savoir plus Ce manuel a t con u pour tous les publics Vous trouverez ci dessous un r capitulatif du contenu Section A propos de CA Enterprise Log Manager D ploiement rapide D ploiement de l agent Windows Principales fonctionnalit s Informations compl mentaires concernant CA User Activity Reporti
9. mentaires concernant CA User Activity Reporting Module 67 Affichage des infobulles Lorsqu ils sont d sactiv s les boutons s affichent en noir et blanc Par exemple les boutons Liste des filtres d acc s s affichent en noir et blanc pour les auditeurs Liste des filtres d acc s F PR Te s 3 Affichez les descriptions des champs de saisie ou des cases cocher en d pla ant votre curseur au dessus du nom du champ EN Proxy d abonnement hors ligne Cet ordinateur est il un serveur proxy d abonnement sans acc s Internet 4 Affichez les descriptions des rapports en d pla ant votre curseur au dessus du nom du rapport Contr leur de colipete par gestionnaire de journaux V Actualisation automatique P R capitutatif Fi Description R capitulation de l activit de collecte de l ensemble des journaux par le gestionnaire de journaux Gestio No classement de l activit par agent principal de gestionnaire ca elm 1389 de journaux par noms d h tes principaux et par nom de journal principal liste des pourcentages d utilisation moyenne de l UC liste des connecteurs arr t s au cours de la derni re heure mais actifs pr alablement d tails des tendances siquon Version 12 1 5011 0 Balises System CA Access Control CA Identity Manager CA SiteMinder 14 00 Heure Heure de derni re actualisation du rapport Thu Now P 12 2009 03 53 23 PM Fuseau horaire local America lew_Y
10. t le message vous permettant de modifier les param tres r seau Le message suivant s affiche Please enter the domain name for this system Entrez le nom du domaine pour ce syst me Entrez votre nom de domaine par exemple lt votre_soci t gt com Le message suivant s affiche Please enter a comma separated list of DNS servers to use Entrez une liste de serveurs DNS s par s par des virgules Entrez les adresses IP de vos serveurs DNS internes s par es par des virgules et sans espace La date et l heure de votre syst me s affichent avec le message ci dessous Do you want to change the system date and time Voulez vous modifier l heure et la date du syst me n V rifiez la date et l heure affich es du syst me Si elles sont satisfaisantes saisissez n ou appuyez sur Entr e Le message suivant s affiche Do you want to configure the system to update the time through NTP Voulez vous configurer le syst me pour mettre jour l heure via NTP Si vous souhaitez utiliser un serveur NTP Network Time Protocol continuez comme suit Si tel n est pas le cas entrez no et passez l tape suivante a R pondez yes au message Si vous sp cifiez yes le message suivant appara t Please enter the NTP Server name or IP Address Entrez le nom du serveur NTP ou l adresse IP b Entrez le nom d h te ou l adresse IP du serveur NTP Un message de confirmation similaire au message suivant app
11. Certaines modifications sont obligatoires et d autres facultatives Vous devez identifier les cibles Syslog lorsque vous modifiez ce connecteur Vous s lectionnez en tant que cibles Syslog chaque int gration correspondant une ou plusieurs sources d v nement configur es ou pr vues Votre identification de cibles Syslog permet CA User Activity Reporting Module d ajuster ces v nements correctement Si vous le souhaitez vous pouvez appliquer des r gles de suppression limiter l acceptation de Syslogs des h tes de confiance sp cifier les ports couter autres que 514 port UDP Syslog r serv et 1468 port TCP par d faut et ou ajouter un nouveau fuseau horaire pour un h te fiable Pour modifier le connecteur Syslog d un agent par d faut 1 Cliquez sur l onglet Administration Le sous onglet Collecte de journaux s affiche D veloppez l Explorateur d agent puis le groupe d agents par d faut ou le groupe d fini par l utilisateur comportant CA User Activity Reporting Module configurer S lectionnez le nom d un serveur CA User Activity Reporting Module Le connecteur appel Syslog_ Connector s affiche Connecteurs Hom du connecteur Int gration Modifier Syslog VA Modifier LI Syslog_Connector Chapitre 2 D ploiement rapide 29 Modification du connecteur Syslog Cliquez sur Modifier L assistant de modification d un connecteur apparait l tape D tails du connect
12. agent Windows 47 Affichage de journaux partir de sources d v nement Windows Affichage de journaux partir de sources d v nement Windows Pour afficher rapidement les r sultats d une requ te sur des v nements collect s par un couteur Syslog utilisez l invite H te Vous pouvez galement s lectionner des requ tes ou des rapports Pour afficher les journaux d v nements entrants 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ tes s affiche 2 D veloppez Invites sous Liste de requ tes puis s lectionnez H te 3 Dans le champ H te entrez le nom du serveur WMI configur pour le d tecteur D s lectionnez les autres cases puis cliquez sur OK a Filtres d invite E Entrez les valeurs d invites et v rifiez toutes les colonnes CEG applicables H te USEROO1LAB OK source_hostname dest_hostname V event_source_hostname receiver hostname agent_hostname Les v nements provenant des sources d v nement du serveur WMI apparaissent 4 Cliquez sur S v rit CA puis faites d filer pour rechercher un avertissement L exemple ci dessous est compress sans les colonnes Date et Source d v nement S v rit CA v Utilisateur de R sultat Cat gorie Action Hom du journal NT Security m Warning calm_agent s System Access Privilege Use 5 Cliquez sur Afficher les v nements bruts pour afficher les v nements bruts de l avertissement 4
13. alertes La r glementation exige la g n ration de rapports prouvant la conformit avec les contr les relatifs au secteur CA User Activity Reporting Module fournit des rapports contenant les balises ci dessous pour faciliter l identification m Basel Il COBIT COSO Directive UE Protection des donn es FISMA GLBA m HIPAA ISO IEC 27001 2 JPIPA JSOX NERC m NISPOM PCI SAS 70 SOX 58 Manuel de pr sentation G n ration de rapports de conformit Vous pouvez examiner des rapports de journaux pr d finis ou effectuer des recherches en fonction de crit res sp cifi s par vos soins De nouveaux rapports sont fournis avec les mises jour d abonnement Les fonctionnalit s d affichage des journaux reposent sur les l ments suivants Requ tes la demande pr d finies ou d finies par l utilisateur dont les r sultats peuvent atteindre jusqu 5 000 enregistrements Recherche rapide au moyen d invites pour un nom d h te une adresse IP un num ro de port ou un nom d utilisateur sp cifi G n ration de rapports planifi e et la demande avec contenu de g n ration de rapports pr t l emploi Requ tes et alertes planifi es Rapports de base avec informations de tendances Visionneuses d v nements interactives et graphiques G n ration automatis e de rapport avec pi ce jointe de courriel Strat gies de conservation automatis e de rapport Remarque Pour plu
14. ches d administration de routine et utilisez les requ tes les rapports et les alertes Utilisez l API pour afficher des donn es d v nement dans un navigateur Web ou incorporer des rapports dans un autre produit CA ou tiers R soudre des probl mes professionnels courants avec des liens vers des rubriques de la documentation Saisissez une valeur dans le champ d entr e Rechercher puis cliquez sur le bouton Rechercher pour afficher toutes les occurrences document es qui comprennent votre entr e Cliquez sur un lien Imprimer pour ouvrir le PDF du manuel s lectionn Chapitre 5 Informations compl mentaires concernant CA User Activity Reporting Module 73 Exploration de la biblioth que de documentation 4 Cliquez sur un lien HTML pour ouvrir l ensemble de documentation int gr Cet ensemble int gr comprend tous les manuels au format HTML Si vous s lectionnez le lien HTML du Manuel de pr sentation ce manuel est affich Contents Search gR CA Enterprise Log Manager Guides Legal Notices CA Product References Contact CA 2 Examples Release Notes a Overview Guide 3 Implementation Guide 3 Agent Installation Guide 3 Administration Guide API Programming Guide ca EEM Release Notes a CA EEM Getting Started Glossary l 74 Manuel de pr sentation QO Overview Guide CA Enterprise Log Manager rizi ca Copyright 2009 CA All rights re
15. hosts sur l ordinateur partir duquel vous souhaitez naviguer pour atteindre ce serveur Acc dez l adresse URL not e l tape 14 puis configurez le premier administrateur Mise jour de votre fichier hosts Windows Lors de l installation CA User Activity Reporting Module vous pouvez identifier un ou plusieurs serveurs DNS ou s lectionner l utilisation de DHCP Si vous avez s lectionn DHCP vous devez mettre jour le fichier hosts Windows l aide de votre navigateur sur l ordinateur partir duquel vous souhaitez acc der CA User Activity Reporting Module Pour mettre jour votre fichier hosts sur l h te avec votre navigateur 1 Ouvrez l explorateur Windows et acc dez C WINDOWS system32 drivers etc 2 Ouvrez le fichier hosts au moyen d un diteur par exemple Bloc notes 3 Ajoutez une entr e contenant l adresse IP du serveur CA User Activity Reporting Module et le nom d h te correspondant 4 Dans le menu Fichier s lectionnez Enregistrer puis fermez le fichier Configuration du premier administrateur Apr s avoir install CA User Activity Reporting Module avec un seul serveur pour pr parer sa configuration acc dez l URL du CA User Activity Reporting Module partir d une station de travail distante connectez vous et cr ez un compte d administrateur que vous pouvez utiliser pour effectuer la configuration Remarque Dans le cadre de ce d ploiement rapide nous acceptons le m
16. livre l autre Pour explorer la biblioth que 1 Copiez sur votre lecteur local la biblioth que pr sente sur le DVD d installation de l application ou t l chargez la partir du site de support client le de CA Pour ouvrir la biblioth que double cliquez sur Bookshelf hta ou sur Bookshelf html Une page similaire la page suivante appara t 2 CA Bookshelf ca Bookshelf Home Welcome to the CA Enterprise Log Manager r12 1 bookshelf Please select one of the categories below to view the documentation available on this bookshelf _ gt All Documentation Select a book title to view the documentation Administration Guide HTML PDF Agent Installation Guide HTML PDF API Programming Guide HTML PDF Examples HTML Implementation Guide HTML PDF Overview Guide HTML PDF Release Notes HTML PDF Related Documentation Select a book title to view the documentation CA EEM Getting Started HTML PDF CA EEM Release Notes HTML PDF 72 Manuel de pr sentation Produit livrable Manuel d installation des agents Manuel d impl mentation Manuel d administration Manuel de programmation de l API Exemples Exploration de la biblioth que de documentation Le contenu des principaux manuels et des exemples est r pertori ci dessous Description Installer des agents Installer et configurer un syst me CA User Activity Reporting Module Personnalisez la configuration effectuez des t
17. lors de l installation de CA User Activity Reporting Module Fuseaux horaires li VB America New_York P 172 24 36 157 E Affichez ou modifiez les d tails de cette configuration Requis Adresse IP f 172 24 36 157 11 Cliquez sur Enregistrer et fermer 12 Affichez l tat a Cliquez sur Etat et commande 2E We elEla afficher l tat de Etat et commande J D tails de l tat de l agent Chapitre 2 D ploiement rapide 31 Affichage d v nements Syslog Afficher l tat des agents est s lectionn Comme l agent par d faut se trouve sur ce serveur le nom d h te du serveur que vous avez install appara t dans la colonne Agent L tat affich est Ex cution en cours b Cliquez sur le lien Ex cution en cours pour afficher les d tails c Cliquez sur le bouton Connecteurs pour afficher l tat des connecteurs D tails de l tat Red marrer D marrer Arr ter Connecteur Agent Groupe d agents Plate forme Int gration Etat Syslog_Connector ca elm Default Agent Group Linux_X86_32 Syslog Aucune r ponse d Cliquez sur le lien Ex cution en cours Le pourcentage d UC l utilisation de la m moire le nombre moyen d v nements par secondes et le nombre d v nements filtr s apparaissent Affichage d v nements Syslog Pour afficher rapidement les r sultats d une requ te sur des v nements collect s par un couteur Syslog utilisez l invite H te Pou
18. me de test autonome entrez pour local Enter the password for the EEM server EiamAdmin user Entrez le mot de passe pour l utilisateur EiamAdmin du serveur EEM Confirm the password for the EEM server EiamAdmin user Confirmez le mot de passe pour l utilisateur EiamAdmin du serveur EEM Saisissez le mot de passe que vous souhaitez affecter au superutilisateur par d faut EiamAdmin saisissez le nouveau Enter an application name for this CAELM server CAELM Entrez un nom d application pour ce serveur CA ELM Chapitre 2 D ploiement rapide 19 Installation d Un syst me Un seul serveur 14 15 20 Manuel de pr sentation c Appuyez sur Entr e pour accepter CAELM le nom d application par d faut de CA User Activity Reporting Module Les informations sur le serveur EEM que vous avez entr es jusqu ici apparaissent avec un message vous demandant si vous souhaitez apporter des modifications EEM server is not installed on the local host EEM Server Information EEM Server Type 1 local or r remote 1 EEM Server Name CALM1 EEM application name for this CAELM server CAELM Do you want to change the EEM Server information n d Appuyez sur Entr e ou saisissez n pour accepter les informations de serveur CA EEM que vous avez entr es Le processus d installation d marre Des messages indiquent la progression mesure de l installation r ussie de chaque composant CA User Activity Reporting M
19. s La restauration des journaux d v nement est difficile quand des sources d v nement diff rentes sont stock es s par ment Le format de la cha ne des v nements bruts rend fastidieux leur interpr tation car la s v rit de l v nement n est pas vidente Des donn es similaires peuvent galement varier sur des syst mes diff rents Magasin d utilisateurs Serveur Serveur de Serveur LDAP HTTP messagerie MS Active Directory E Sun ONE CA SiteMinder Syst mes Windows Unit s et syst mes Diverses applications ex cutant le service UNIX g n rant des bases de donn es et WMI entr es Syslog unit s L efficacit op rationnelle exige une solution qui regroupe tous les journaux facilite leur lecture automatise l archivage et le stockage et rationalise leur restauration CA User Activity Reporting Module offre ces avantages et vous permet d envoyer des alertes aux personnes et syst mes quand des v nements critiques se produisent Chapitre 1 Introduction 9 A propos de CA User Activity Reporting Module El ments install s La configuration d une solution avec un seul serveur et le lancement de la collecte d v nements prennent peu de temps Les disques d installation incluent les composants ci dessous Syst me d exploitation Red Hat Enterprise Linux pour le dispositif logiciel Serveur CA User Activity Reporting Module Agent CA User Activity Reporting Module d sign ci apr s p
20. simplifier leur interpr tation 2 Facultatif Vous pouvez installer un agent sur un h te d di comme point de collecte ou vous pouvez installer des agents directement sur les h tes disposant des sources g n rant les v nements que vous souhaitez collecter Remarque Pour plus de d tails sur l installation du dispositif logiciel consultez le Manuel d impl mentation Pour plus de d tails sur l installation des agents consultez le Manuel d installation des agents Informations compl mentaires Installation d un agent page 40 Chapitre 1 Introduction 11 Chapitre 2 D ploiement rapide Ce chapitre traite des sujets suivants Pr sentation d un d ploiement rapide page 13 Installation d un syst me un seul serveur page 14 Mise jour de votre fichier hosts Windows page 21 Configuration du premier administrateur page 21 Configuration des sources d v nement Syslog page 25 Modification du connecteur Syslog page 29 Affichage d v nements Syslog page 32 Pr sentation d un d ploiement rapide Vous pouvez obtenir un d ploiement CA User Activity Reporting Module simple et en tat de fonctionnement avec un seul dispositif logiciel Le connecteur Syslog pr d fini permet l agent par d faut de recevoir les v nements g n r s par Syslog Il vous suffit de configurer vos sources Syslog pour envoyer les v nements Syslog vers CA User Activity Reporting Module et de modifier la configur
21. 00000000 nn0annnenn nens 25 Modification du connecteur Syslog iii 29 Affichage d v nements SYSIOB tecsonoceruiasna mn Res eona aia EEEE eme ren teen ae EEEE RAE ENRE EERE 32 Chapitre 3 D ploiement de l agent Windows 35 Cr ation d un compte d utilisateur pour l agent 36 D finition de la cl d authentification d un agent 38 T l chargement du programme d installation de l agent 39 installation d Un agent oris airis aai e V AAA 0 R F0 A AEA AA nt em aient ie nuit 40 Cr ation d un connecteur bas sur NTEventLog iii 43 Configuration d une source d v nement Windows 47 Affichage de journaux partir de sources d v nement Windows VU 48 Chapitre 4 Principales fonctionnalit s 51 Collecte de journaux srntiientisranteistianirntininrnrntinitanateinneenenteinienaenteinne 52 Stockage des journaux insiste rrininia entierement nieeeinss 55 Pr sentation normalis e des jOUrnaux iii 57 G n ration de rapports de conformit iiiicciiiiiiiiiiciiiciiiccciccciccccccccccccccsccceeccsccneseneeanananneens 58 Alerte de violation de strat gie iii 60 Gestion des drO orrara ronan t ha AORO date tn aies tssanm ets nec eee els ss teaser O de date isa 61 Acc s SION LIN rolere er E aa lnssanemsebes teens aaee eaa EEEE E E loges 63 Gestion de l abonnement ina ana aa aaa a CY cbd 64 Table des mati res 5 Contenuipr t l emploi near ent danses teen teens til 65 Chapitre 5 Informations compl
22. 5 Stockage des journaux Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Les nouveaux v nements collect s par n importe quelle technique sont envoy s CA User Activity Reporting Module L tat des v nements entrants d pend de la technique utilis e pour les collecter Les v nements entrants doivent tre ajust s avant d tre ins r s dans la base de donn es Lorsque la base de donn es des enregistrements ajust s atteint la taille configur e tous les enregistrements sont compress s en une base de donn es et enregistr s sous un seul nom La compression des donn es des journaux r duit les co ts induits par leur d placement et leur stockage La base de donn es compress e peut tre d plac e automatiquement en fonction de la configuration de l archivage automatique vous pouvez galement la sauvegarder et la d placer manuellement avant qu elle n atteigne la dur e configur e avant suppression les bases de donn es archiv es automatiquement sont supprim es de la source d s qu elles sont d plac es Si vous configurez l archivage automatique pour qu il d place chaque jour les bases de donn es compress es vers un serveur distant vous pouvez d placer ces sauvegardes vers un stockage de journaux hors site long terme si vous le souhaitez En conservant les sauvegardes des journaux vous respectez les r glementations stipulant que les journaux doivent tre collect s de mani
23. 8 Manuel de pr sentation Affichage de journaux partir de sources d v nement Windows 6 Double cliquez sur l avertissement pour afficher la visionneuse d v nements avec beaucoup plus de donn es Quelques lignes d exemples de donn es sont affich es ci dessous Visionneuse d v nements D tails de l v nement H te L agent_connector_name NTEventLog_Connector_USERO01L amp B 7 Cliquez sur l onglet Requ tes et rapports cliquez sur une requ te de la liste de requ tes par exemple Tendance du contr leur de collecte par gestionnaire de journaux Affichez le graphique barres des r sultats Tendance du contr leur de collecte par gestionnaire de journaux A ET ZASE 90 80 70 60 aiquiouN 40 30 20 10 18 00 19 00 20 00 21 00 22 00 23 00 Heure Chapitre 3 D ploiement de l agent Windows 49 Affichage de journaux partir de sources d v nement Windows 8 Cliquez sur Rapports Sous Liste de rapports entrez auto dans le champ Rechercher afin d afficher le nom du rapport Ev nements d autosurveillance du syst me S lectionnez ce rapport pour afficher une liste des v nements g n r s par le serveur CA User Activity Reporting Module Remarque Pour obtenir des d tails concernant la planification de rapports sur les informations que vous souhaitez analyser consultez l aide en ligne ou le Manuel d administration 50 Manuel de pr sentation Chapitre 4
24. CA User Activity Reporting Module Manuel de pr sentation Version 12 5 03 La pr sente documentation qui inclut des syst mes d aide et du mat riel distribu s lectroniquement ci apr s nomm s Documentation vous est uniquement fournie titre informatif et peut tre tout moment modifi e ou retir e par CA La pr sente Documentation ne peut tre copi e transf r e reproduite divulgu e modifi e ou dupliqu e en tout ou partie sans autorisation pr alable et crite de CA La pr sente Documentation est confidentielle et demeure la propri t exclusive de CA Elle ne peut pas tre utilis e ou divulgu e sauf si i un autre accord r gissant l utilisation du logiciel CA mentionn dans la Documentation pass entre vous et CA stipule le contraire ou ii si un autre accord de confidentialit entre vous et CA stipule le contraire Nonobstant ce qui pr c de si vous tes titulaire de la licence du ou des produits logiciels d crits dans la Documentation vous pourrez imprimer ou mettre disposition un nombre raisonnable de copies de la Documentation relative ces logiciels pour une utilisation interne par vous m me et par vos employ s condition que les mentions et l gendes de copyright de CA figurent sur chaque copie Le droit de r aliser ou de mettre disposition des copies de la Documentation est limit la p riode pendant laquelle la licence applicable du logiciel demeure pleinement effective Dan
25. P AIX_syslog_12 0 5010 0 XMPS E Mappage de donn es AIX_syslog_12 0 5010 0 DMS EN 6 Cliquez sur le bouton Aide situ juste au dessus du nom de l int gration dans le volet droit Le manuel du connecteur pour l int gration s lectionn e appara t 26 Manuel de pr sentation Configuration des sources d v nement Syslog 7 Cliquez sur la section relative la configuration requise par la source d v nement Dans cet exemple la documentation d crit la configuration de la source d v nement du syst me d exploitation AIX pour envoyer ses Syslogs CA User Activity Reporting Module 1 0 Manuel du connecteur pour AIX 2 0 Configuration requise 3 0 Configuration de AIX 3 1 Configuration du fichier Syslog 3 2 Ecriture d un script PERL 3 3 Activation de l audit 3 3 1 Arr t de l audit 3 3 2 Configuration des fichiers de r pertoire d audit 3 3 2 1 Configuration du fichier objects 3 3 2 2 Configuration du fichier config 3 3 2 3 Configuration du fichier streamemds 3 3 3 Modification du fichier etc rc 3 3 4 Modification du fichier etc shutdown 3 3 5 D marrage de l audit Chapitre 2 D ploiement rapide 27 Configuration des sources d v nement Syslog Exemple d une autre source de manuels de connecteurs le support en ligne Vous pouvez ouvrir un manuel de connecteur s lectionn partir de l interface utilisateur CA User Activity Reporting Module ou du support en ligne de CA L exemple ci dessous pr sent
26. agasin d utilisateurs par d faut et les strat gies de mots de passe par d faut En g n ral ces l ments sont configur s avant l ajout du premier administrateur Chapitre 2 D ploiement rapide 21 Configuration du premier administrateur Pour configurer le premier administrateur 1 A partir de votre navigateur connectez vous l URL ci dessous o nom_h te est le nom d h te ou l adresse IP du serveur sur lequel vous avez install CA User Activity Reporting Module https lt nom h te gt 5250 spin calm Si une alerte de s curit survient proc dez comme suit a b Cliquez sur Afficher le certificat Cliquez sur Installer le certificat acceptez les valeurs par d faut puis terminez l assistant d importation Un avertissement de s curit s affiche et indique que vous tes sur le point d installer un certificat qui d clare repr senter le nom d h te du serveur CA User Activity Reporting Module Cliquez sur Oui Le certificat racine est install et un message s affiche indiquant que l importation s est correctement termin e Cliquez sur OK La bo te de dialogue Certificat fiable s affiche Cliquez sur le chemin de certification et v rifiez que l tat du certificat indique que ce dernier est fiable facultatif Cliquez sur OK puis sur Oui La page de connexion appara t 22 Manuel de pr sentation Configuration du premier administrateur 3 Connectez vous avec le nom d utilis
27. agent sous Windows vous devez cr er un nouveau compte pour l agent dans le dossier Utilisateurs de Windows Ce compte avec peu de droits permet l agent de s ex cuter avec le moins de droits possibles Lorsque vous installez l agent vous devez fournir le nom d utilisateur et le mot de passe que vous avez cr s ici Remarque Vous pouvez omettre cette tape et sp cifier les informations d identification du domaine d un administrateur pour l agent lorsque vous installez ce dernier mais cela n est pas recommand Pour cr er un compte d utilisateur Windows pour l agent 1 36 Manuel de pr sentation Connectez vous l h te sur lequel vous souhaitez installer l agent Utilisez les informations d identification de l administrateur Cliquez sur D marrer Programmes Outils d administration Gestion de l ordinateur D veloppez Utilisateurs et groupes locaux Cliquez avec le bouton droit sur Utilisateurs et s lectionnez Nouvel utilisateur La bo te de dialogue Windows Nouvel utilisateur appara t Entrez un nom d utilisateur puis entrez deux fois un mot de passe Un mot de passe s r comporte une combinaison de caract res alphab tiques num riques et sp ciaux Par exemple agent_calmr12 Saisissez une description facultatif Important N oubliez pas ce nom et ce mot de passe ou notez les Vous en aurez besoin lorsque vous installerez l agent Cr ation d un compte d utilisateur pour l agent Nouvel utilis
28. ans le volet principal Cliquez sur Cl d authentification d agent LIRE SG r MISE Groupe d agents Tout Cl d authentification d agent Entrez la cl d authentification utiliser pour l installation de l agent ou prenez note de l entr e actuelle Important N oubliez pas cette cl ou notez sa valeur Vous en aurez besoin pour installer l agent Cl d authentification d agent E afficher Mettre jour une cl d authentification d agent Requis Cl d authentification This_is_default_authentication_key Indiquez la cl d authentification my_agent_auth_key Confirmer la cl d authentification my_agent_auth_key T l chargement du programme d installation de l agent 7 Cliquez sur Enregistrer 8 Passez l tape suivante T l chargement du programme d installation de l agent T l chargement du programme d installation de l agent Si vous venez de d finir la cl d authentification de l agent vous tes pr t t l charger le programme d installation de l agent sur le bureau Pour t l charger le programme d installation de l agent 1 Dans la barre d outils affich e pour l Explorateur d agent cliquez sur T l charger des fichiers binaires d agent GE T l charger des fichiers binaires d agent Des liens vers les fichiers binaires d agents disponibles apparaissent dans le volet principal 2 Cliquez sur le lien Windows pour installer l agent sur un serveur ex cut
29. ant le syst me d exploitation Windows Server 2003 Fichiers binaires de l agent Hom de la plate forme Version de la plate forme Windows 2003 Window xp Pour t l charger les fichiers binaires sur le disque cliquez Window ici i La bo te de dialogue S lection de l emplacement de t l chargement par lt adresse IP gt appara t 3 S lectionnez le bureau puis cliquez sur Enregistrer Enregistrer dans Chapitre 3 D ploiement de l agent Windows 39 Installation d un agent Un message indiquant la progression du t l chargement du fichier binaire d agent s lectionn appara t suivi d un message de confirmation Cliquez sur OK R duisez le navigateur mais laissez la connexion ouverte afin de pouvoir v rifier rapidement l installation une fois celle ci termin e Le lanceur du programme d installation de l agent appara t sur le bureau Description Setup Launcher Soci t CA Version du fichier 11 50 0 42618 Date de cr ation 25 11 2009 18 36 Taille 20 5 Mo Installation d un agent Avant de commencer gardez disposition les informations ci dessous Adresse IP du serveur CA User Activity Reporting Module partir duquel vous avez t l charg le programme de l agent Nom et mot de passe du compte d utilisateur que vous avez cr pour l agent Cl d authentification de l agent que vous avez d finie Pour installer un agent destin un h te Windows 1 Double c
30. ar l agent Dans l illustration qui suit CA User Activity Reporting Module est d crit comme un serveur comportant un petit serveur un cercle sombre vert et une base de donn es Le petit serveur repr sente le r f rentiel local de stockage de contenu au niveau des applications Le cercle sombre repr sente l agent par d faut et la base de donn es repr sente le magasin de journaux d v nements o les journaux d v nements entrants sont trait s et mis disposition pour les requ tes et les rapports Les cercles sombres verts sur le point de collecte et les autres sources d v nement repr sentent des agents install s s par ment L installation d autres agents est facultative Vous pouvez collecter des Syslogs provenant de sources d v nement compatibles avec UNIX gr ce l agent par d faut une fois la configuration requise termin e CA Enterprise Log Point de collecte 10 Manuel de pr sentation A propos de CA User Activity Reporting Module Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Vous installez le syst me d exploitation pour le dispositif logiciel puis vous installez l application CA User Activity Reporting Module D s que vous configurez vos sources pour envoyer des Syslogs vers CA User Activity Reporting Module et que vous indiquez les cibles Syslog dans la configuration du connecteur pour l agent par d faut les Syslogs sont collect s et ajust s afin de
31. arait Your system has been configured to update the time at midnight using the NTP server located at lt yourntpserver gt Installation d Un syst me Un seul serveur 12 Lisez les contrats de licence d utilisateur final pr sent s et r pondez comme suit a Lisez le contrat de licence d utilisateur final du kit de d veloppement Sun Java JDK A la fin du contrat le message ci dessous apparait Do you agree to the above license terms Acceptez vous les conditions de licence ci dessus yes or no Saisissez yes si vous en acceptez les termes Les informations d enregistrement de produit sont affich es suivies du message ci dessous Press Enter to continue Appuyez sur Entr e Des messages indiquent qu en pr paration l installation CA User Activity Reporting Module les param tres syst me sont en cours de configuration Le contrat de licence d utilisateur final CA s affiche Lisez ce contrat de licence A la fin du contrat le message ci dessous apparait Do you agree to the above license terms Acceptez vous les conditions de licence ci dessus Yes or no Saisissez Yes si vous en acceptez les termes Les informations de serveur CA EEM apparaissent 13 R pondez aux invites suivantes pour configurer CA EEM Do you use a local or remote EEM server Utilisez vous un serveur EEM local ou distant Enter l local or r remote Entrez l local ou r distant Pour cr er un syst
32. ateur elmagentusr CA ELM Agent utilisateur doit changer le mot de passe la prochaine ouverture de session 6 Cliquez sur Cr er Cliquez sur Fermer Informations compl mentaires Installation d un agent page 40 Chapitre 3 D ploiement de l agent Windows 37 D finition de la cl d authentification d un agent D finition de La cl d authentification d un agent Avant d installer le premier agent vous devez connaitre la cl d authentification de celui ci Vous pouvez utiliser la valeur par d faut si aucune cl n a t d finie utiliser la cl en cours si elle est d finie ou d finir une nouvelle cl La cl d authentification de l agent configur e ici doit tre entr e lors de l installation de chaque agent Seul un administrateur peut effectuer cette t che Pour d finir la cl d authentification d un agent 1 38 Manuel de pr sentation Ouvrez le navigateur sur l h te o vous souhaitez installer l agent puis entrez l URL du serveur CA User Activity Reporting Module pour cet agent Voici un exemple https lt adresse IP gt 5250 spin calm Connectez vous CA User Activity Reporting Module Entrez votre nom d utilisateur et votre mot de passe puis cliquez sur Se connecter Cliquez sur l onglet Administration L explorateur de collecte de journaux s affiche dans le volet gauche S lectionnez le dossier de l Explorateur d agent Une barre d outil appara t d
33. ateur EiamAdmin et le mot de passe que vous avez cr lorsque vous avez install le logiciel Cliquez sur Connexion CA Enterprise Log Manager Mot de pas M moriser mes param tres Copyright 2009 CA Tous droits r serv s L application s ouvre seuls l onglet Administrator et le sous onglet Gestion des utilisateurs et des acc s sont actifs 4 Cliquez sur Utilisateurs N Utilisateurs 5 Cliquez sur Ajouter un nouvel utilisateur Utilisateurs Utilisez l option de recherche d utilisateurs ci dessus pour afficher la liste des utilisateurs existants ve Utilisateurs 6 Entrez votre nom dans le champ Nom puis cliquez sur Ajouter les d tails de l utilisateur de l application Nouvel utilisateur Enregistrer Fermer Dossier Nom a ca elm Informations sur l utilisateur Informations sur les utilisateurs globaux Chapitre 2 D ploiement rapide 23 Configuration du premier administrateur 10 11 12 S v rit CA Date v Informations Yen 13 nov 2009 5 33 26 D D Informations Ven 13 nov 2009 5 33 24 24 Manuel de pr sentation S lectionnez Administrator puis placez le dans la liste Groupes d utilisateurs s lectionn s Appartenance au groupe d applications Groupes d utilisateurs disponibles Groupes d utilisateurs s lectionn s administrator Sous Authentification entrez un mot de passe pour ce nouveau compte dans le champ d en
34. ation du connecteur Syslog pour identifier les cibles Syslog Les donn es re ues d pendent de la bande passante entre le serveur et les sources Syslog ainsi que de la latence Les capteurs de journaux y compris WinRM et ODBC prennent en charge les collectes directes de l ensemble des journaux parmi plus de vingt sources d v nement autres que Syslog Le capteur de journaux WinRM vous permet de collecter des v nements directement partir de serveurs ex cutant Windows comme le serveur Forefront Security pour Exchange Forefront Security pour SharePoint Server Microsoft Office Communication Server et le serveur virtuel Hyper V ainsi que des services tels que les services de certificats Active Directory Le capteur de journaux ODBC vous permet de capturer des v nements g n r s par des bases de donn es Oracle9i ou SQL Server 2005 Pour plus de d tails consultez la matrice d int gration de produits CA Enterprise Log Manager Pour installer CA User Activity Reporting Module vous devez disposer des informations d identification d EiamAdmin En tant que superutilisateur EiamAdmin vous configurez un compte d administrateur que vous utilisez pour effectuer la configuration Si vous vous connectez en utilisant les informations d identification de l administrateur vous pouvez v rifier que l installation est correcte en visualisant des v nements d autosurveillance Chapitre 2 D ploiement rapide 13 Installation d Un syst me
35. aux Avantage vous pouvez collecter des journaux provenant de sources d v nement s ex cutant sur des serveurs o vous ne pouvez pas installer d agents comme des serveurs o la strat gie d entreprise interdit les agents La remise est garantie par exemple lorsque la collecte de journaux ODBC est correctement configur e Collecte avec agent Pour la collecte avec agent un agent est install lorsqu une ou plusieurs sources d v nement sont ex cut es et qu un connecteur est configur pour chaque source d v nement Avantage vous pouvez collecter des journaux provenant d une source pour laquelle la bande passante du r seau vers CA User Activity Reporting Module n est pas suffisamment efficace pour prendre en charge la collecte directe de journaux Vous pouvez utiliser l agent pour filtrer les v nements et r duire le trafic mis sur le r seau La remise d v nement est garantie Remarque Pour plus de d tails sur la configuration des agents consultez le Manuel d administration 54 Manuel de pr sentation Stockage des journaux Stockage des journaux CA User Activity Reporting Module dispose du stockage int gr et g r des journaux des bases de donn es r cemment archiv es Les v nements collect s par les agents provenant de sources d v nement suivent un cycle de stockage tel qu illustr par le sch ma ci dessous Ordinateur de collecte Chapitre 4 Principales fonctionnalit s 5
36. d xi Agent user credential information ca 9 Enter the credentials for Agent user Specify as domain for local user account Username felmagentusr Domain Password Loco Cliquez sur Suivant La sp cification d un fichier de connecteur export est facultative La page Lancer la copie des fichiers appara t Cliquez sur Suivant Le processus d installation de l agent prend fin Cliquez sur Terminer Vous devez ensuite configurer des connecteurs pour cet agent Une fois les connecteurs configur s les v nements collect s sont envoy s au magasin de journaux d v nements CA User Activity Reporting Module via le port 17001 Important Si vous n autorisez pas de trafic sortant partir de l h te sur lequel vous avez install l agent et si vous utilisez le pare feu Windows vous devez ouvrir ce port sur ce pare feu Informations compl mentaires T l chargement du programme d installation de l agent page 39 Cr ation d un compte d utilisateur pour l agent page 36 D finition de la cl d authentification d un agent page 38 42 Manuel de pr sentation Cr ation d un connecteur bas sur NTEventLog Cr ation d un connecteur bas sur NTEventLog Apr s avoir install un agent vous cr ez un connecteur pour sp cifier les sources des v nements que vous souhaitez collecter Votre agent tant install sur un serveur Windows vous devez cr er un connecteur bas sur l int gration NTE
37. e est exclusive CA User Activity Reporting Module et n utilise pas un SGBD du commerce Les magasins d utilisateurs externes pris en charge incluent CA SiteMinder et les r pertoires LDAP comme Microsoft Active Directory Sun One et Novell eDirectory Si vous faites r f rence un magasin d utilisateurs externe les informations des comptes d utilisateur sont automatiquement charg es en lecture seule tel qu illustr par la fl che dans le sch ma ci dessous Vous d finissez uniquement les d tails propres l application pour les comptes s lectionn s Aucune donn e n est d plac e du magasin d utilisateurs interne vers le magasin d utilisateurs externe r f renc Magasin d utilisateurs externe CA Enterprise Log Manager Chapitre 4 Principales fonctionnalit s 61 Gestion des droits Les num ros sur l illustration se rapportent aux tapes ci dessous 1 Le magasin d utilisateurs interne proc de la gestion des droits en authentifiant les informations d identification fournies par les utilisateurs lors de la connexion et en autorisant l acc s des utilisateurs aux diff rentes fonctions de l interface utilisateur en fonction des strat gies associ es aux r les affect s leurs comptes d utilisateur Si le nom d utilisateur et le mot de passe d un utilisateur tentant de se connecter ont t charg s par un magasin d utilisateurs externe les informations d identification entr es doivent correspondre aux
38. e h te fiable Tout v nement re u d un h te non configur comme fiable est alors rejet Remarque ll est recommand de configurer des h tes fiables En g n ral vous configurez tous les h tes sur lesquels vous avez tabli des sources d v nement pour envoyer des Syslogs CA User Activity Reporting Module La sp cification d h tes fiables assure que l agent par d faut refuse les v nements provenant de syst mes non autoris s qu un attaquant a configur s pour envoyer des v nements l couteur Syslog 30 Manuel de pr sentation Modification du connecteur Syslog 9 Ajoutez des ports facultatif En g n ral vous acceptez les ports UDP et TCP par d faut pour l agent par d faut Remarque Vous pouvez am liorer les performances en d finissant un connecteur Syslog pour diff rents types d v nements et en sp cifiant un port diff rent pour chaque connecteur Veillez s lectionner des ports non utilis s lorsque vous affectez de nouveaux ports 10 Ajoutez un fuseau horaire uniquement si vous collectez des Syslogs provenant d ordinateurs situ s dans un fuseau horaire diff rent de celui du dispositif logiciel facultatif a Cliquez sur Cr er un dossier puis d veloppez le dossier b Mettez en surbrillance l entr e vide situ e sous le dossier Entrez l adresse IP d un h te fiable que vous avez configur pour ce connecteur ou celle du serveur de synchronisation NTP que vous avez sp cifi
39. e l ouverture d un manuel de connecteur partir de cette autre possibilit 1 2 28 Manuel de pr sentation Connectez vous au support en ligne de CA S lectionnez CA Enterprise Log Manager dans la liste d roulante de s lection d une page de produit Faites d filez jusqu l tat du produit et s lectionnez la matrice de certification de CA Enterprise Log Manager S lectionnez la matrice d int gration du produit Recherchez la cat gorie de l int gration associ e la source d v nement que vous configurez Par exemple si la source d v nement est le syst me d exploitation AIX faites d filer jusqu la cat gorie des syst mes d exploitation puis cliquez sur le lien AIX Produit Version Journal Sensor Syst mes d exploitation AIX syslog a a a oO NH Modification du connecteur Syslog Modification du connecteur Syslog Chaque CA User Activity Reporting Module comporte un agent par d faut Lorsque CA User Activity Reporting Module est install son agent par d faut comporte un connecteur partiellement configur appel Syslog Connector bas sur l couteur Syslog Cet couteur re oit des v nements Syslog bruts sur les ports par d faut d s que vous configurez les sources d v nement pour envoyer des Syslogs CA User Activity Reporting Module Toutefois si vous souhaitez que CA User Activity Reporting Module ajuste ces v nements bruts vous devez modifier ce Syslog_ Connector
40. et aux autres r glementations applicables et ne pouvez pas exporter ou r exporter la documentation en violation de ces lois ou de toute autre r glementation ventuellement applicable au sein de l Union Europ enne Copyright 2011 CA Tous droits r serv s Tous les noms et marques d pos es d nominations commerciales ainsi que tous les logos r f renc s dans le pr sent document demeurent la propri t de leurs d tenteurs respectifs Produits CA r f renc s Ce document fait r f rence aux produits CA suivants CA Access Control CA Audit CA ACF2 CA Directory CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CA IT Process Automation Manager CA IT PAM CA NSM CA Security Command Center CA SCC Poste de service CA CA SiteMinder CA Spectrum CA Top Secret Support technique Pour une assistance technique en ligne et une liste compl te des sites horaires d ouverture et num ros de t l phone contactez le support technique l adresse http www ca com worldwide Modifications de la documentation Les actualisations suivantes ont t r alis es depuis la derni re version de la pr sente documentation Pr sentation du d marrage rapide cette rubrique existante a t mise jour pour r f rencer des types d v nement en plus des syslogs pouvant tre collect s par l agent par d faut sur le serveur CA User Activity Reporting Module Aler
41. eur est s lectionn e Cliquez sur Appliquer les r gles de suppression facultatif Si vous souhaitez supprimer un type d v nement Syslog c est dire si vous souhaitez qu il ne soit pas collect faites le passer de la liste Disponible s la liste S lectionn s S lectionnez l v nement d placer puis cliquez sur le bouton D placer Cliquez sur l tape Configuration du connecteur Toutes les int grations disponibles sont s lectionn es par d faut S lectionnez les cibles Syslog en faisant passer les int grations Syslog cibler de la liste Disponible s la liste S lectionn s Par exemple si vous avez configur le syst me d exploitation AIX sur un h te de votre r seau vous faites passer la cible Syslog AIX_Syslog de la liste Disponible s la liste S lectionn s S lectionner les int grations Syslog cibles Disponible s S lectionn s Apache_2059_to_2280_Suslog Version 12 0 5003 0 j Bluecoat_Syslog Version 12 0 5007 0 CA_DLP Version 12 0 5010 0 CiscoACS_Suslog Version 12 0 46 5 CiscoASA Version 12 0 5008 0 CiscoPIXFW Version 12 0 5010 0 CiscoRouter Version 12 0 5008 0 8 AIX_Syslog Version 12 0 5010 0 IE a Identifiez les h tes fiables d o proviennent les v nements entrants accept s par le connecteur Syslog facultatif Entrez l adresse IP dans le champ d entr e puis cliquez sur Ajouter R p tez cette proc dure pour chaqu
42. ge CA User Activity Reporting Module consultez l aide en ligne A propos de CA User Activity Reporting Module CA User Activity Reporting Module est ax sur la conformit et l assurance informatiques Il vous permet de collecter de normaliser de cumuler et de g n rer des rapports concernant l activit informatique mais galement de g n rer des alertes n cessitant une action en cas de violations de la conformit Vous pouvez collecter des donn es provenant d unit s disparates s curis es et non s curis es 8 Manuel de pr sentation A propos de CA User Activity Reporting Module Votre r seau avant l installation Les r glementations et lois f d rales exigent la gestion des enregistrements de journaux Par souci de conformit vous devez Autoriser l acc s aux journaux pour les audits Stocker les journaux pendant plusieurs ann es m Restaurer les journaux la demande Le grand nombre des enregistrements de journaux leur emplacement et leur nature temporaire rendent difficile leur gestion Les journaux sont continuellement g n r s par l utilisateur et l activit du processus sur le logiciel Le taux de g n ration se mesure en v nements par seconde eps Les v nements bruts sont enregistr s sur chaque base de donn es application et syst me actifs de votre r seau La sauvegarde d enregistrements de journaux doit se faire au niveau de chaque source d v nement avant qu ils ne soient cras
43. informations d identification charg es La seule fonction du magasin d utilisateurs externe consiste charger ses comptes d utilisateur dans le magasin d utilisateurs interne Ces comptes sont charg s automatiquement lorsque la r f rence au magasin d utilisateurs est enregistr e Remarque Pour plus de d tails sur la configuration de l acc s de l utilisateur de base consultez le Manuel d impl mentation CA User Activity Reporting Module Pour plus de d tails sur les strat gies de prise en charge de r les pr d finis de cr ation de comptes d utilisateur et d affectation de r les consultez le Manuel d administration CA User Activity Reporting Module 62 Manuel de pr sentation Acc s selon un r le Acc s selon un r le CA User Activity Reporting Module propose trois groupes d applications ou r les pr d finis Les administrateurs affectent les r les ci dessous aux utilisateurs pour sp cifier leurs droits d acc s aux fonctions CA User Activity Reporting Module Administrator m Analyst Auditor L auditeur peut acc der quelques fonctions L analyste peut acc der toutes les fonctions Auditor auxquelles s ajoutent quelques autres fonctions L administrateur peut acc der toutes les fonctions Vous pouvez d finir un r le personnalis avec des strat gies associ es qui limitent l acc s de l utilisateur aux ressources de fa on r pondre vos besoins commerciaux Administrateur Analyste
44. int gration NTEventLog sur l agent vous devez pouvoir consulter des v nements au moyen de la visionneuse d v nements Si des v nements ne sont pas transf r s votre visionneuse vous devez modifier les param tres Windows de vos strat gies locales sur la source d v nement Pour configurer des strat gies locales sur la source d v nement d un connecteur NTEventLog 1 Si l explorateur de collecte de journaux n est pas d j affich cliquez sur l onglet Administration D veloppez Biblioth que d ajustement d v nement Int grations Abonnement puis s lectionnez NTEventLog et cliquez sur le lien Aide situ au dessus du nom de l int gration dans le volet Afficher les d tails de l int gration Le manuel du connecteur pour le journal d v nements NT s curit application syst me appara t R duisez l interface utilisateur CA User Activity Reporting Module puis suivez les indications du manuel du connecteur pour modifier les strat gies locales sur une source d v nement s ex cutant sous Windows Remarque Si vous utilisez Windows Server 2003 s lectionnez Panneau de configuration Outils d administration Strat gie de s curit locale puis d veloppez Strat gies locales Si vous avez configur un d tecteur WMI pour un second serveur WMI modifiez galement les strat gies locales de ce serveur facultatif Agrandissez CA User Activity Reporting Module Chapitre 3 D ploiement de l
45. int de collecte Windows pour collecter des v nements provenant des serveurs Windows sp cifi s et les transmettre CA User Activity Reporting Module 3 Configurez les agents install s sur des h tes o sont ex cut es les sources d v nement pour collecter le type d v nement configur et effectuer la suppression Remarque Le trafic entre l agent et le serveur CA User Activity Reporting Module de destination est toujours chiffr Etudiez les avantages de chaque technique de collecte de journaux ci dessous Collecte directe de journaux Avec la collecte directe de journaux vous configurez l couteur Syslog sur l agent par d faut pour recevoir les v nements des sources fiables sp cifi es Vous pouvez galement configurer d autres connecteurs pour collecter des v nements provenant de n importe quelle source d v nement compatible avec l environnement de fonctionnement du dispositif logiciel Avantage vous n avez pas besoin d installer un agent pour collecter les journaux des sources d v nement proximit du serveur CA User Activity Reporting Module sur le r seau Collecte sans agent Avec la collecte sans agent il n existe aucun agent local sur les sources d v nement Au lieu de cela un agent est install sur un point de collecte d di Des connecteurs sont configur s pour chaque source d v nement cible sur cet agent Chapitre 4 Principales fonctionnalit s 53 Collecte de journ
46. ion CA User Activity Reporting Module Appuyez sur Entr e Le processus d installation v rifie si votre syst me respecte les sp cifications minimales recommand es pour des performances optimales Si tel n est pas le cas une invite s affiche vous demandant si vous souhaitez arr ter ce processus d installation L invite ci dessous s affiche Please enter a new hostname Entrez un nouveau nom d h te Entrez le nom d h te de ce dispositif logiciel CA User Activity Reporting Module Par exemple entrez CALM1 Installation d Un syst me Un seul serveur 5 Acceptez l unit par d faut eth0 Appuyez sur Entr e pour passer l cran suivant 6 Effectuez l une des op rations suivantes puis s lectionnez OK S lectionnez Use DHCP une option acceptable uniquement pour un syst me de test autonome a Entrez l adresse IP statique le masque de sous r seau et l adresse IP de la passerelle par d faut associer au nom d h te que vous avez entr Les services r seau sont red marr s avec les nouveaux param tres qui sont affich s Chapitre 2 D ploiement rapide 17 Installation d Un syst me Un seul serveur 10 11 18 Manuel de pr sentation Le message suivant s affiche Do you want to change the network configuration Voulez vous modifier la configuration du r seau n V rifiez les param tres du r seau S ils sont satisfaisants saisissez n ou appuyez sur Entr e lorsqu appara
47. it du r seau Classe par exemple Gestion des comptes et Gestion de groupes Action par exemple Cr ation d un compte et Cr ation d un groupe R sultats par exemple Op ration r ussie et Echec Remarque Pour plus de d tails sur les r gles et fichiers utilis s lors de l ajustement des v nements consultez le Manuel d administration CA User Activity Reporting Module Consultez la section relative la Grammaire commune aux v nements dans l aide en ligne pour de plus amples d tails sur la normalisation et la classification des v nements Chapitre 4 Principales fonctionnalit s 57 G n ration de rapports de conformit G n ration de rapports de conformit CA User Activity Reporting Module vous permet de collecter et de traiter des donn es relatives la s curit puis de les transformer en rapports appropri s pour les auditeurs internes ou externes Vous pouvez interagir par le biais de requ tes et de rapports des fins d examen Vous pouvez automatiser le processus de g n ration de rapports en planifiant les jobs de rapport Le syst me offre les avantages ci dessous Simplicit de formulation de requ tes gr ce aux balises m G n ration de rapports en temps quasi r el Centralisation de la recherche dans les archives distribu es des journaux critiques Il se concentre sur la g n ration de rapports de conformit plut t que sur la corr lation en temps r el des v nements et
48. l h te sur lequel se trouve la source d v nement Syslog cible 2 A partir d un navigateur lancez CA User Activity Reporting Module sur cet h te 3 Cliquez sur l onglet Administration puis sur le sous onglet Collecte de journaux L explorateur de collecte de journaux s affiche Chapitre 2 D ploiement rapide 25 Configuration des sources d v nement Syslog 4 D veloppez Biblioth que d ajustement d v nement Int grations Abonnement La liste des int grations pr d finies s affiche Un exemple abr g est pr sent ci dessous Explorateur de collecte de journaux gt CJ Adaptateurs CA v Bj Biblioth que d ajustement d v nement v Bj Int grations v Bj Abonnement E AIX_Syslog Apache_2059_to_2280_Syslog E CiscoACS_Syslog E CiscoASA CiscoPIXFW HPUX_Syslog E Linux_localsyslog Q Linux_Syslog 5 S lectionnez l int gration de la source d v nement que vous souhaitez configurer Par exemple si vous souhaitez collecter des Syslogs g n r s par un syst me d exploitation AIX vous devez s lectionner AIX_Syslog Les d tails de l int gration apparaissent AIX_Syslog RASE eur D tails de l int gration E afficher les d tails de l int gration at Pour afficher l aide sur l int gration cliquez ici Byslog serion L D Su D T ET ECTEUF syslog Version 1 0 Aide la configuration Yersion Description Cette int gration prend en charge IBM AIX 5 1 5 2 et 5 3 avec Syslog XM
49. liquez sur le lanceur de l installation de l agent 40 Manuel de pr sentation Installation d un agent L assistant d installation d marre Cliquez sur Suivant lisez la licence cliquez sur J accepte les termes des contrats de licence pour continuer puis cliquez sur Suivant Acceptez le chemin d installation ou modifiez le puis cliquez sur Suivant Entrez les informations requises comme suit a b Entrez le nom d h te du CA User Activity Reporting Module auquel cet agent doit transf rer les journaux qu il collecte Remarque Comme CA User Activity Reporting Module de cet exemple de sc nario utilise DHCP pour l affectation des adresses IP vous ne devez pas entrer d adresse IP ici en effet en cas de changement ult rieur de l adresse IP du serveur vous risqueriez de devoir r installer l agent Entrez la cl d authentification de l agent Voici un exemple CA Enterprise Log Manager Agent InstallShield Wizard xi Information about CA Enterprise Log Manager Agent ca s Enter CA Enterprise Log Manager Server IP or Name and Authentication Code Server IP or Log anager02 Name Authentication my_agent_auth_key Code RTE Te Chapitre 3 D ploiement de l agent Windows 41 Installation d un agent 5 Entrez le nom et mot de passe du compte d utilisateur que vous avez configur pour l agent puis cliquez sur Suivant CA Enterprise Log Manager Agent InstallShield Wizar
50. ltre global e CA Enterprise Log Manager r12 1 Vous pouvez cr er un filtre global Les filtres globaux wc Informations l gales m mes qualificateurs Vous pouvez galement utiliser l Produits CA r f renc s l application Support technique Introduction a Structure de f d ration 1 Cliquez sur le bouton Filtres globaux en haut de Pour cr er un filtre global Filtres globaux et locaux La bo te de dialogue Filtres et param tres globaL Cr ation d un filtre global Configuration de param tres de requ te globaux 3 S lectionnez la case Correspondance pour saisir 2 Indiquez la p riode pendant laquelle votre filtre c c Si vous savez quelle t che effectuer sans conna tre la m thode d acc s la page correspondante dans CA User Activity Reporting Module vous pouvez rechercher cette page dans la table des mati res Cliquez sur le titre de la t che pour afficher la page correspondante Remarque Si vous ne trouvez pas la t che dont vous avez besoin dans la table des mati res consultez la biblioth que de documentation Chapitre 5 Informations compl mentaires concernant CA User Activity Reporting Module 71 Exploration de la biblioth que de documentation Exploration de la biblioth que de documentation Vous pouvez copier la biblioth que sur votre lecteur local et ouvrir le livre souhait au format HTML ou PDF Les livres au format HTML contiennent des r f rences crois es d un
51. ng Module Description Int grer CA User Activity Reporting Module dans votre environnement r seau actuel Installer un syst me sur un seul serveur configurer les sources d v nement Syslog mettre jour le connecteur Syslog pour l agent par d faut et afficher les v nements ajust s Pr parer l installation de l agent installer un agent pour le syst me d exploitation Windows configurer un connecteur pour la collecte avec agent mettre jour la source d v nement et afficher les v nements g n r s Profiter des principales fonctions dont la collecte de journaux le stockage des journaux la g n ration de rapports de conformit et les alertes Obtenir les informations n cessaires par le biais des infobulles de l aide en ligne et de la biblioth que documentaire Chapitre 1 Introduction 7 A propos de CA User Activity Reporting Module Remarque Pour plus de d tails sur la prise en charge des syst mes d exploitation ou la configuration syst me requise consultez les Notes de parution Pour disposer de proc dures pas pas sur l installation de CA User Activity Reporting Module et la configuration initiale consultez le Manuel d impl mentation Pour plus de d tails sur l installation d un agent consultez le Manuel d installation des agents Pour plus de d tails sur l utilisation et la maintenance du produit consultez le Manuel d administration Pour obtenir de l aide quant l utilisation d une pa
52. odule des enregistrements effectu s des certificats acquis des fichiers import s et des composants configur s Le message d installation r ussie de CA ELM apparait Lorsque l installation se termine le syst me affiche l adresse de connexion de la console R pondez la question suivante Voulez vous ex cuter le serveur CA ELM en mode FIPS Entrez Oui ou Non Si vous entrez Oui le serveur CA User Activity Reporting Module d marrera en mode FIPS Si vous entrez Non il d marrera en mode non FIPS Notez cette adresse Il s agit de l adresse que vous entrez dans un navigateur pour acc der ce serveur CA User Activity Reporting Module soit https lt nom_h te gt 5250 spin calm Une invite de connexion lt nom_h te gt appara t Vous pouvez l ignorer Remarque Si pour quelque raison que ce soit vous souhaitez afficher l invite du syst me d exploitation partir de cette invite de connexion vous pouvez entrer caelmadmin et le mot de passe par d faut qui est le mot de passe que vous avez affect au compte de l utilisateur EiamAdmin Vous pouvez utiliser le compte caelmadmin pour vous connecter au dispositif sur la console ou via SSH Mise jour de votre fichier hosts Windows 16 Continuez comme suit Si vous avez configur une adresse IP statique veillez enregistrer cette adresse IP aupr s des serveurs DNS sp cifi s l tape 9 Si vous avez configur DHCP mettez jour votre fichier
53. ons Yen 13 nov 2009 5 33 24 ANONYMOUS LOGON SONMI02G2 NT Security System Access Logoff S 2 SONMI02G2 NT Security System Access Login Attempt S Configuration des sources d v nement Syslog Configuration des sources d v nement Syslog Pour permettre l agent par d faut situ sur chaque serveur CA User Activity Reporting Module de collecter directement des v nements Syslog vous devez tout d abord identifier les sources de ces v nements puis d terminer leur int gration associ e Vous pouvez ensuite effectuer les deux op rations suivantes dans l ordre de votre choix Configurez les sources d v nement Syslog Connectez vous chaque h te ex cutant une source d v nement Syslog puis configurez celle ci conform ment au manuel du connecteur de cette int gration Syslog Configurez le connecteur Syslog sur l agent par d faut afin d ajouter les int grations Syslog cibles associ es aux sources d v nement configur es D s que vous avez termin ces deux tapes de configuration la collecte et l ajustement des v nements commence Vous pouvez ensuite utiliser CA User Activity Reporting Module pour afficher les v nements qui vous int ressent ou g n rer des rapports leur sujet sous un format standardis Vous pouvez galement g n rer des alertes lorsque des v nements pr cis surviennent Pour configurer une source d v nement Syslog s lectionn 1 Connectez vous
54. orkFiltres de profil quabrwy Filtres globaux Last 6 hours From Thu Nov 12 2009 09 33 46 AM To Thu Now 12 2009 03 33 46 PM 68 Manuel de pr sentation Affichage de l aide en ligne 5 Vous remarquerez un point orange gauche de certains champs Ce point signifie que le champ est obligatoire Pour les configurations pouvant tre enregistr es vous ne pouvez pas effectuer d enregistrement tant que tous les champs obligatoires ne sont pas renseign s D tails de la requ te eQ Entrez le nom et la description de cette requ te puis s lectionnez les balises Nom Nom abr g Affichage de l aide en ligne Vous pouvez afficher de l aide sur la page que vous consultez ou pour toute t che que vous souhaitez effectuer Pour afficher l aide en ligne 1 Cliquez sur le lien Aide dans la barre d outils pour afficher le syst me d aide en ligne de CA User Activity Reporting Module CA CA Enterprise Log Manager aide Le syst me d aide de CA User Activity Reporting Module appara t son contenu tant affich dans le volet gauche Sommaire Index Recherche g g CA Enterprise Log Manager r12 1 Informations l gales Produits CA r f renc s Support technique P Introduction Structure de f d ration Filtres globaux et locaux T ches li es aux balises Requ tes T ches de rapports T ches de rapports planifi s T ches de gestion des alertes
55. orts avec balises Requ tes avec balises Int grations avec des capteurs associ s fichiers d analyse XMP fichiers de mappage DM et dans certains cas r gles de suppression R gles de suppression et de r capitulation Chapitre 4 Principales fonctionnalit s 65 Chapitre 5 Informations compl mentaires concernant CA User Activity Reporting Module Ce chapitre traite des sujets suivants Affichage des infobulles page 67 Affichage de l aide en ligne page 69 Exploration de la biblioth que de documentation page 72 Affichage des infobulles Vous pouvez identifier la finalit des boutons des cases cocher et des rapports de la page CA User Activity Reporting Module dans votre affichage actuel Pour afficher les infobulles et autres aides 1 D placez votre curseur au dessus des boutons pour afficher la description de leur fonction Vous pouvez ainsi visualiser la fonction de n importe quel bouton CRT 5 En Ju l rtn R Janim br i Mm Afficher le graphique de f d ration et le contr leur de l tat R M Profils Ge param tres et filtres globaux 2 Notez la diff rence entre les boutons actifs et inactifs Lorsqu ils sont activ s les boutons s affichent en couleur Par exemple le bouton Liste des filtres d acc s s affiche en couleur pour les administrateurs de la gestion des utilisateurs et des acc s Liste des filtres d acc s Be LS Le Chapitre 5 Informations compl
56. r afficher des v nements Syslog 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ tes s affiche 2 D veloppez Invites sous Liste de requ tes puis s lectionnez H te Liste de requ tes Options Rechercher v Invites Connecteur gt i H te Adresse IP 50 i gt Nom du journal Port Utilisateur ED li i 32 Manuel de pr sentation Affichage d v nements Syslog 3 Soumettez une requ te pour les v nements collect s par l agent par d faut a Dans le champ H te entrez le nom d h te de l agent par d faut il s agit galement du nom du CA User Activity Reporting Module sur lequel il r side b S lectionnez agent_hostname c Cliquez sur OK a Filtres d invite E Entrez les valeurs d invites et v rifiez toutes les colonnes CEG applicables H te LogManager02 MV source _hostname V dest_hostname Y event_source_hostname V receiver hostname V agent_hostname 4 Affichez les r sultats examiner a Pour trier par r sultats cliquez sur la colonne R sultats b Faites d filer jusqu au premier r sultat F pour failure chec Supposez qu il s agit d un avertissement de configuration de la cat gorie Gestion de la configuration c Double cliquez pour s lectionner la ligne afficher en d tail La visionneuse d v nements apparait Chapitre 2 D ploiement rapide 33 Affichage d v nements Syslog 5 34 Manuel de pr
57. re s curis e stock s de mani re centralis e pendant un certain nombre d ann es et disponibles pour tre examin s vous pouvez restaurer la base de donn es tout moment depuis le stockage long terme Remarque Pour plus de d tails sur la configuration du magasin de journaux d v nements y compris la configuration de l archivage automatique consultez le Manuel d impl mentation Pour plus de d tails sur la restauration des sauvegardes des fins d examen et de g n ration de rapports consultez le Manuel d administration 56 Manuel de pr sentation Pr sentation normalis e des journaux Pr sentation normalis e des journaux Les journaux g n r s par les applications les syst mes d exploitation et les unit s utilisent tous leur propre format CA User Activity Reporting Module ajuste les journaux collect s afin de normaliser la consignation des donn es Le format standard facilite la comparaison des donn es collect es aupr s de diff rentes sources pour les auditeurs et les cadres sup rieurs Techniquement le CEG Common Event Grammar CA facilite l impl mentation de la normalisation et de la classification des v nements La CEG propose plusieurs champs utilis s pour normaliser diff rents aspects de l v nement notamment ceux r pertori s ci dessous Mod le id al classe de technologies comme les antivirus les SGBD et les pare feu Cat gorie par exemple Gestion des identit s et S cur
58. s 24 heures Strat gie d audit Windows modifi e au cours des derni res 24 heures Certaines requ tes comportent des listes cl s o vous fournissez les valeurs utilis es par la requ te Certaines listes cl s contiennent des valeurs pr d finies que vous pouvez compl ter par exemple les comptes par d faut et les groupes avec droits D autres listes cl s comme celle des ressources strat giques ne comportent pas de valeurs par d faut Une fois configur es des alertes peuvent tre planifi es pour des requ tes pr d finies comme celles r pertori es ci dessous m Ajout ou retrait d une appartenance un groupe par des groupes avec droits Connexion tablie par le compte par d faut Aucun v nement re u par les sources strat giques Les listes cl s peuvent tre mises jour manuellement en important un fichier ou en ex cutant un traitement des valeurs dynamiques de CA IT PAM Remarque Pour plus de d tails sur les alertes d action consultez le Manuel d administration CA User Activity Reporting Module 60 Manuel de pr sentation Gestion des droits Gestion des droits Lorsque vous configurez le magasin d utilisateurs vous pouvez utiliser le magasin d utilisateurs par d faut sur CA User Activity Reporting Module pour configurer des comptes d utilisateur ou r f rencer un magasin d utilisateurs externe contenant des comptes d utilisateur d j d finis La base de donn es sous jacent
59. s de d tails sur l utilisation de requ tes et de rapports pr d finis ou sur la cr ation de requ tes et de rapports personnalis s consultez le Manuel d administration CA User Activity Reporting Module Chapitre 4 Principales fonctionnalit s 59 Alerte de violation de strat gie Alerte de violation de strat gie CA User Activity Reporting Module vous permet d automatiser l envoi d un courriel d alerte lorsque survient un v nement qui n cessite une attention court terme Vous pouvez galement surveiller tout instant les alertes d action partir de CA User Activity Reporting Module en sp cifiant un intervalle de temps depuis les cinq derni res minutes jusqu aux 30 derniers jours coul s Des alertes sont envoy es automatiquement un flux RSS auquel il est possible d acc der partir d un navigateur Web Si vous le souhaitez vous pouvez sp cifier d autres destinations y compris des adresses lectroniques un processus CA IT PAM qui g n re des tickets de bureau d assistance et une ou plusieurs adresses IP de destination d interruption SNMP Pour vous aider commencer de nombreuses requ tes pr d finies sont disponibles pour tre planifi es sans modification en alertes d action Quelques exemples sont pr sent s ci dessous Activit excessive de l utilisateur Utilisation lev e de l UC m Peu d espace disque disponible Journal des v nements de s curit effac au cours des derni re
60. s l hypoth se o le contrat de licence prendrait fin pour quelque raison que ce soit vous devrez renvoyer CA les copies effectu es ou certifier par crit que toutes les copies partielles ou compl tes de la Documentation ont t retourn es CA ou qu elles ont bien t d truites DANS LES LIMITES PERMISES PAR LA LOI APPLICABLE CA FOURNIT LA PR SENTE DOCUMENTATION TELLE QUELLE SANS AUCUNE GARANTIE EXPRESSE OU TACITE NOTAMMENT CONCERNANT LA QUALIT MARCHANDE L AD QUATION UN USAGE PARTICULIER OU DE NON INFRACTION EN AUCUN CAS CA NE POURRA TRE TENU POUR RESPONSABLE EN CAS DE PERTE OU DE DOMMAGE DIRECT OU INDIRECT SUBI PAR L UTILISATEUR FINAL OU PAR UN TIERS ET R SULTANT DE L UTILISATION DE CETTE DOCUMENTATION NOTAMMENT TOUTE PERTE DE PROFITS OU D INVESTISSEMENTS INTERRUPTION D ACTIVIT PERTE DE DONN ES OU DE CLIENTS ET CE M ME DANS L HYPOTH SE O CA AURAIT T EXPRESS MENT INFORM DE LA POSSIBILIT DE TELS DOMMAGES OU PERTES L utilisation de tout produit logiciel mentionn dans la Documentation est r gie par le contrat de licence applicable ce dernier n tant en aucun cas modifi par les termes de la pr sente CA est le fabricant de la pr sente Documentation Le pr sent Syst me tant dit par une soci t am ricaine vous tes tenu de vous conformer aux lois en vigueur du Gouvernement des Etats Unis et de la R publique fran aise sur le contr le des exportations des biens double usage
61. sentation Faites d filer jusqu la zone d affichage du r sultat Dans cet exemple l erreur est un avertissement vous indiquant que vous devez configurer le module d abonnement II s agit d un avertissement que vous devez ignorer jusqu la fin de l installation de tous les serveurs CA User Activity Reporting Module souhait s Visionneuse d v nements D tails de l v nement H te V Masquer les lignes vides Valeur Security Management System agent_hostname agent_name Subscription agent_version 12 1 66 11 source_hostname ca elm source_address 127 0 0 1 dest_hostn ame ca elm dest_address 127 0 0 1 dest_objectna 7 Source Destination Ev nement R sultat A Source d v nement Agent Fermer Chapitre 3 D ploiement de l agent Windows Ce chapitre traite des sujets suivants Cr ation d un compte d utilisateur pour l agent page 36 D finition de la cl d authentification d un agent page 38 T l chargement du programme d installation de l agent page 39 Installation d un agent page 40 Cr ation d un connecteur bas sur NTEventLog page 43 Configuration d une source d v nement Windows page 47 Affichage de journaux partir de sources d v nement Windows page 48 Chapitre 3 D ploiement de l agent Windows 35 Cr ation d un compte d utilisateur pour l agent Cr ation d un compte d utilisateur pour l agent Avant d installer un
62. served Index A agent par d faut configuration du connecteur Syslog 29 analyse de message d finition 57 archivage d finition 55 C CA Embedded Entitlements Manager d finition 61 CA Enterprise Log Manager aide en ligne 69 composants 10 infobulles 67 installation 10 r les d utilisateur 63 cl d authentification d agent mise jour 38 collecte de journaux d finition 52 compte d utilisateur des agents d finie pour Windows 36 connecteurs configuration 43 E environnement de test l ments install s 10 F fichiers binaires de l agent t l charger pour les syst mes Windows 39 G gestion de l abonnement d finition 64 description de processus 64 grammaire commune aux v nements CEG d finition 57 I infobulles utilisation 67 installation de l agent manuelle pour Windows 40 invites utilisation pour afficher des v nements Syslog 32 utilisation pour afficher des journaux de sources d v nement Windows 48 M mappage de donn es d finition 57 R r les d utilisateur d finition 63 S stockage des journaux d finition 55 Syslog afficher des v nements 32 Index 75
63. te de violation de strat gie cette rubrique existante a t mise jour de mani re r f rencer la possibilit d envoyer des alertes sous forme d interruptions SNMP des syst mes de surveillance de la s curit syst me et des alertes directes pour ex cuter un processus de sortie de l v nement de l alerte IT PAM tel qu un processus de cr ation de tickets d assistance Explorer la biblioth que de documentation cette rubrique existante a t mise jour pour r f rencer le nouveau Manuel de programmation de l API qui appara t dor navant sur la biblioth que CA User Activity Reporting Module Informations compl mentaires Pr sentation d un d ploiement rapide page 13 Alerte de violation de strat gie page 60 Exploration de la biblioth que de documentation page 72 Table des mati res Chapitre 1 Introduction 7 A propos de ce MANUEL 4 2 042052454429044090044450400105 000 ASO 1A 00400A A0 A 30464040 4A SOR RAAR est 7 A propos de CA User Activity Reporting Module sise 8 Votre r seau avant l installation iii 9 El m nts install s serres men a a ASAL nine eine ati aaa 10 Chapitre 2 D ploiement rapide 13 Pr sentation d un d ploiement rapide ses 13 Installation d un syst me un seul serveur iii 14 Mise jour de votre fichier hosts Windows 21 Configuration du premier administrateur iii 21 Configuration des sources d v nement Syslog 20000000
64. tr e puis dans celui de confirmation Authentification Nombre de connexions incorrectes fo Date d activation l Remplacer la strat gie de mot de passe Date de d sactivation l Modifier le mot de passe la prochaine connexion Interru ption Nouveau mot de passe Confirmer le mot de passe Cliquez sur Enregistrer puis sur Fermer Cliquez sur Fermer Cliquez sur le lien D connexion de la barre d outils La page de connexion appara t Connectez vous nouveau CA User Activity Reporting Module avec les informations d identification de l administrateur que vous venez de d finir CA User Activity Reporting Module s ouvre toutes les fonctionnalit s sont activ es L onglet Requ tes et rapports et le sous onglet Requ tes sont affich s Affichez vos tentatives de connexion comme suit facultatif a Dans la liste de balises de requ te s lectionnez Acc s au syst me b Dans la liste de requ tes s lectionnez D tail d acc s au syst me Les r sultats de la requ te pr sentent vos deux tentatives de connexion tout d abord en tant qu EiamAdmin puis avec votre nom d administrateur les tentatives de connexion sont marqu es S pour successful r ussie Compte Ex cutant H te Hom du jo Cat gorie Action R sultat SONMI02G2 NT Security System Access Login Attempt S Informations Wen 13 nov 2009 5 33 26 ANONYMOUS LOGON SONMI02G2 NT Security System Access Logoff s Informati
65. un connecteur bas sur NTEventLog b Configurez les param tres WMILogSensor pour un autre ordinateur L exemple ci apr s pr sente une configuration pour un deuxi me d tecteur de journaux WMI dans le m me domaine et avec les m mes informations d identification d administrateur Nom du serveur WMI USEROO1XP Nom de l utilisateur user001 Mot de passe Hkk Domaine ca com Espace de noms root cimye2 Nom du journal d v nements NT Mise jour du taux d ancrage 100 11 Cliquez sur Enregistrer et fermer 12 Pour afficher l tat du connecteur que vous avez configur proc dez comme suit a S lectionnez l agent dans le volet gauche b Cliquez sur Etat et commande c S lectionnez Afficher l tat des connecteurs Le volet D tails de l tat appara t D tails de l tat Red marrer D marrer Arr ter Connecteur Agent Groupe d agents Plate forme Int gration Etat NTEventLog_Connecteur_USERO01LAB USEROO1LAB ca com Default Agent Group Windows_X86_32 NTEventLog Ex cution en cours 13 Cliquez sur le lien Ex cution en cours L tat affich de la cible configur e dans le connecteur inclut le pourcentage d UC l utilisation de la m moire et le nombre moyen d v nements par seconde 46 Manuel de pr sentation Configuration d une source d v nement Windows Configuration d une source d v nement Windows Apr s avoir configur un connecteur l aide de l
66. urs Sources WMI K Aidh Pour afficher l aide sur l int gration cliquez ici 44 Manuel de pr sentation 10 Cr ation d un connecteur bas sur NTEventLog Cliquez sur le bouton Afficher les d tails pour les sources WMI Configuration du connecteur S Indiquez les informations de configuration Configurations enregistr es S lectionner la configuration v Configuration des d tecteurs Sources WMI R Afficher les d tails Configurez les param tres WMILogSensor pour l ordinateur local de collecte de journaux avec agent Pour plus de d tails cliquez sur le lien Aide Les exemples ci apr s pr sentent une configuration o l utilisateur est un administrateur Windows sur le serveur WMI sp cifi Le domaine est d fini pour le serveur WMI Nom du serveur WMI USEROOILAB Nom de l utilisateur user001 Mot de passe Hkk Domaine ca com Espace de noms rooticimu2 Nom du journal d v nements NT Mise jour du taux d ancrage 100 Configurez un d tecteur WMI pour un autre ordinateur pour une collecte de journaux sans agent utilisant ce m me connecteur facultatif a Cliquez sur le bouton R p ter le supernoeud L illustration suivante pr sente une configuration comportant deux sources WMI Configuration des d tecteurs Sources WMI K Sources WMI ii R p ter le supernoeud Chapitre 3 D ploiement de l agent Windows 45 Cr ation d
67. ventLog et sp cifier les param tres du WMILogSensor comme d crit dans le manuel du connecteur que vous ouvrez partir de l assistant de cr ation d un connecteur Sp cifiez le nom de l h te sur lequel l agent est install pour la collecte de journaux avec agent Si vous le souhaitez vous pouvez ajouter un autre d tecteur de journaux WMI pour ce connecteur et sp cifier un autre h te que celui sur lequel l agent est install Cela permet la collecte de journaux sans agent Le ou les h tes suppl mentaires doivent se trouver dans le m me domaine et disposer du m me administrateur Windows que le premier h te que vous avez ajout Pour configurer un connecteur bas sur NTEventLog 1 Agrandissez votre navigateur affichant l Explorateur d agent CA User Activity Reporting Module 2 D veloppez l Explorateur d agent puis le groupe d agents par d faut Le nom de l ordinateur sur lequel vous avez install l agent appara t Explorateur de collecte de journaux gt CJ Adaptateurs CA gt Cj Biblioth que d ajustement d v nement v Explorateur d agent v j Default Agent Group LogManager02 USEROO1LAB ca com 3 S lectionnez cet agent Le volet Connecteurs de l agent appara t 4 Cliquez sur Cr er un connecteur AZ le NE F Afficher l tat de Le gen Cr er un connecteur D tails de l tat de l agent L assistant de cr ation d un connecteur appara t l tape D tails du connecteur est s lectionn
Download Pdf Manuals
Related Search