CA Enterprise Log Manager - Manuel d
Contents
1. 213 Examen des int grations et couteurs Syslog 214 Cr ation d un connecteur Syslog pour l agent par d faut 214 V rification de la r ception des v nements Syslog par le serveur CA Enterprise Log MEL CORRE ZE 215 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor 216 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor 223 Affichage et contr le de l tat d un agent ou d un connecteur 229 10 Manuel d impl mentation Chapitre 7 Cr ation de f d rations 231 Requ tes et rapports dans un environnement f d r 231 F d rations Hierarchiques sic cise cere acsiett adie cad attra Re Re Rene ee eue sen 232 Exemple de f d ration hi rarchique 233 F d rations maill es 2 2222 234 Exemple de f d ration maill e 235 Configuration d une f d ration CA Enterprise Log Manager 235 Configuration d un serveur CA Enterprise Log Manager en tant que serveur enfant 236 Affichage du graphique de f d ration et d2. 273 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manace EE Sn nn ne en no so soi oo 275 Configuration de l adaptateur du collecteur SAPI pour recevoir des v nements CA Access Control sive seeeyeseyers ve eevee irre ranor r aes PTFE I rS S I FS OFE FIFS 276 Modification d une strat gie CA Audit existante pour envoyer des v nements CA Enterprise Log Manager 0 ccc ccc cen a E aa a a aa 278 V rification et activation de la strat gie modifi e 282 Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Loge Manan el eredera naea a rarer are rer ewer we ee eve are eee nie weave aren 283 Configuration du module d extension d v nements iTech pour des v nements CA Access 50 ale 0 Pearce eee Re et aa 284 T l chargement et installation d un iRecorder CA Access Control 285 Configuration d un iRecorder CA Access Control autonome 285 Importation d v nements CA Access Control provenant d une base de donn es de collecteur We 2 bo cpem eta terea eee ceee D eee One eer atria ONS 287 T ches requises avant l importation d v nements CA Access Control 288 Cr ation d un rapport d v nements SEOSDATA sur des v nements CA Access Control 290 Pr visualisation de l importation d v nemen
3. Annexe E CA Enterprise Log Manager et virtualisation 371 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 12 Cliquez sur Accept Accepter puis sur Suivant La page Name and Location Nom et emplacement s ouvre Elle permet d ajouter un nom pour identifier le serveur CA Enterprise Log Manager et de sp cifier le centre de donn es o vous voulez effectuer le provisionnement de ce serveur 13 Saisissez le nom du serveur CA Enterprise Log Manager dans le champ Nom s lectionnez le centre de donn es dans la liste Inventory Location Emplacement de l inventaire puis cliquez sur Suivant Remarque Par d faut le nom sp cifi dans le mod le OVF s affiche dans le champ Nom io x Name and Location Specify a name and location for the deployed template Source Name OVF Template Details Example CA Enterprise Log Manager End User License Agreement Name and Location The name can contain up to 80 characters and it must be unique within the inventory Folder Deployment Configuration Inventory Location elmqa vserver ca com Fh ELMQA Agents Datacenter ELMQA Persistent Lab LC ELMQA Persistent Lab MC a ELMQA SP2 vApp Datacenter Help lt Back L re Cancel 4 372 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels La page Deployment Configuration Configuration du d ploiement s aff
4. Limit based on parent resource pool or current host 7 Cliquez sur OK 8 Remarque Pour plus d informations sur la paravirtualization visite le site Web www vmware com 380 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D marrez le serveur CA Enterprise Log Manager provisionn Ceci est n cessaire a son ex cution Pour d marrer un serveur CA Enterprise Log Manager 1 S lectionnez le nouveau serveur CA Enterprise Log Manager dans le volet gauche de la fen tre de l application VMware 2 Cliquez sur l option Power On D marrage situ e sous l onglet Basic Tasks of the Getting Started Taches de base du d marrage dans le volet droit Le serveur CA Enterprise Log Manager est d marr Remarque V rifiez qu un serveur CA Enterprise Log Manager principal est ex cut avant de d marrer un serveur CA Enterprise Log Manager secondaire installation silencieuse d un serveur CA Enterprise Log Manager Informations requises Lors de l installation silencieuse du dispositif virtuel effectuez les t ches suivantes 1 Appelez l outil OVF 2 D finissez les param tres de paravirtualisation et ressources 3 D marrez le serveur CA Enterprise Log Manager provisionn Le tableau suivant d crit les param tres utilis s pour le d ploiement de CA Enterprise Log Manager l aide de l outil OVF Vous devez sp cifier ces param tres en tant
5. Cha ne de connexion DSN 5QLServer Wire Protocol Address 172 24 36 107 1433 Database master Nom de l utilisateur ELMsalagent Mot de passe Hibben Signe pour le d calage horaire v Heures de d calage horaire 0 Minutes de d calage horaire 0 Nom du journal d v nements M5_5QL Server Mise jour du taux d ancrage 10 Intervalle d interrogation 10 Nombre maximum d v nements par seconde 1000 Lecture partir du d but Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor 10 Cliquez sur Enregistrer et fermer Le nouveau nom du connecteur s affiche sous l agent dans l Explorateur d agent Explorateur de collecte de journaux gt 0 Adaptateurs CA gt 3 Biblioth que d ajustement d v nement v E Explorateur d agent v amp gt Default Agent Group v lt gt etr851il1 blade2 ca com 2 E Agent_stop amp Syslog_Connector 11 Cliquez sur MS_SQL_Server_2005_ Connector pour afficher les d tails de l tat Au d but l tat indique Configuration en attente Attendez jusqu ce que l tat affiche Ex cution en cours Connecteur Agent Grouped agents Plate forme Int gration Etat MS SQL Server 205 1479 caem Defaut Agent Group Lius X88 32 MS SGL Server 2005 Ex cution en cours Chapitre 6 Configuration de la collecte d v nements 221 Exemple Activation de la collecte directe l aide du d t
6. 111 Liste des processus li s 113 Durcissement de syst me d exploitation 116 Redirection des ports du pare feu pour les v nements Syslog 116 Installation du client ODBC 444444444 4e 117 Configuration requise 2 117 Configuration du service Serveur ODBC 118 Installation du client ODBC sur les syst mes Windows 119 Cr ation d une source de donn es ODBC sur les syst mes Windows 120 Test de la connexion du client ODBC la base de donn es 122 Test de la r cup ration du serveur partir de la base de donn es 123 Installation du client JDBC serrr seen anes a a ee eee eR eee ee esse 123 Configuration requise pour le client JDBC 2 124 8 Manuel d impl mentation Installation du client JDBC sur les syst mes Windows 125 Installation du client JDBC sur les syst mes UNIX 125 Param tres de connexion JDBC 222 126 Consid rations sur les URL JD
7. R p tez les tapes 1 11 de cette proc dure pour les serveurs de collecte ELM C3 Pour l tape 9 saisissez la valeur suivante scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C3 R p tez les tapes 1 11 de cette proc dure pour les serveurs de collecte ELM C4 Pour l tape 9 saisissez la valeur suivante scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C4 Chapitre 5 Configuration des services 167 Configuration du magasin de journaux d v nements Cr ation d un fichier de cl publique unique sur Le serveur de g n ration de rapports et d finition des droits de propri t du fichier Jusqu ici dans notre sc nario nous avons g n r des paires de cl s sur chaque serveur de collecte et copi les cl s publiques sur le serveur de g n ration de rapports en tant que fichiers nomm s authorized_keys authorized_keys_ELM C2 authorized_keys_ELM C3 authorized_keys_ELM C4 La troisieme tape consiste a concat ner ces fichiers et a d placer le fichier de cl publique RSA obtenu dans le r pertoire appropri puis d finir caelmservice en tant que propri taire du r pertoire et du fichier Pour cr er un fichier de cl publique concat n dans un emplacement appropri sur Le serveur de g n ration de rapports et d finir les droits de propri t du fichier 1 Connectez vous au serveur de g n ration de rapports CA Enterprise Log Manager via ssh en tant qu ut
8. v nement distant v nement enregistr Un v nement d autosurveillance est un v nement journalis par CA Enterprise Log Manager Ce type d v nement est automatiquement g n r sur la base d actes effectu s par l utilisateur et de fonctions r alis es par diff rents modules tels que les services et les couteurs Pour consulter le rapport pr cisant les d tails des v nements d autosurveillance des op rations SIM s lectionnez un serveur de rapports et ouvrez l onglet Ev nements d autosurveillance Un v nement distant est un v nement impliquant deux ordinateurs h tes distincts la source et la destination Un v nement distant est de type 2 sur les quatre types d v nement utilis s dans la grammaire commune aux v nements Un v nement enregistr contient les donn es d un v nement brut ou ajust apr s son int gration dans la base de donn es Les v nements bruts sont toujours enregistr s sauf s ils sont supprim s ou r capitul s comme des v nements ajust s Ces informations sont stock es et peuvent tre interrog es 414 Manuel d impl mentation v nement local v nement natif v nement observ v nement RSS v nements D D event_action event_category Un v nement local est un v nement impliquant une entit unique o la source et la destination de l v nement correspondent au m me ordinateur h te Un v nement local est de typ
9. 310 Annexe D R cup ration apr s sinistre 311 Planification de la r cup ration apr s sinistre 311 A propos de la sauvegarde du serveur CA EEM 312 Sauvegarde d une instance d application CA EEM 313 Restauration d un serveur CA EEM pour l utiliser avec CA Enterprise Log Manager 314 Sauvegarde d un serveur CA Enterprise Log Manager 315 Restauration d un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde 315 Restauration d un serveur CA Enterprise Log Manager suite une mise jour d abonnement 317 Remplacement d un serveur CA Enterprise Log Manager 4 317 Annexe E CA Enterprise Log Manager et virtualisation 319 Hypoth ses de d ploiement 222 319 R MATQUES rs E hears we D a den eat ns de as earn ee da do a ahs 319 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 320 Ajout de serveurs virtuels votre environnement 321 Cr ation d un environnement compl tement virtuel 325 D ploiement rapide de serveurs CA Enterprise Log Manager virtuels 329
10. Cr ez et confirmez un nouveau mot de passe root pour ce serveur Entrez une adresse IP valide pour ce serveur Entrez un masque de sous r seau valide a utiliser avec ce serveur Entrez un masque de sous r seau valide et une passerelle par d faut a utiliser avec ce serveur Entrez une ou plusieurs adresses IP de serveur DNS a utiliser sur votre r seau La liste est s par e par des virgules sans espace entre les entr es Si vos serveurs DNS utilisent l adressage IPV6 entrez ces adresses avec ce format Entrez le nom de domaine complet au sein duquel op re le serveur par exemple mycompany com Remarque Le nom de domaine doit tre enregistr aupr s du serveur DNS Domain Name Server de votre r seau pour permettre la r solution du nom d h te vers l adresse IP Acceptez le contrat de licence de CA pour poursuivre le provisionnement du serveur CA Enterprise Log Manager Informations requises deploymentOption TIMEZONE Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Valeur moyen ou grand le fuseau horaire que vous souhaitez Param tres sp cifiques aux applications LOCAL_REMOTE_EEM REMOTE_EEM_LOCATION Local pour le premier serveur install serveur de gestion Distant pour chaque serveur suppl mentaire adresse IP ou nom d h te Commentaires Si vous s lectionnez Moyenne VMware indique 4 UC de 8 Go de m moire RAM chacune Si vous s
11. Importation de fichiers de mappage de donn es CA Enterprise Log Manager page 133 Importation de fichiers de grammaire commune aux v nements page 133 Importation de fichiers de gestion commune des agents page 135 Installation de CA Enterprise Log Manager Utilisez la proc dure suivante pour installer un serveur CA Enterprise Log Manager Pour installer Le Logiciel CA Enterprise Log Manager 1 D marrez le serveur avec le DVD d installation du SE L installation du syst me d exploitation d marre automatiquement 2 R pondez aux invites l aide des informations collect es dans la feuille de calcul du serveur CA Enterprise Log Manager Tout refus du contrat de licence interrompt l installation et arr te le serveur 3 R pondez l invite de red marrage en retirant le m dia avant de cliquer sur Red marrer 4 A l invite ins rez le disque de l application CA Enterprise Log Manager et cliquez sur Entr e Chapitre 3 Installation de CA Enterprise Log Manager 83 Installation d un serveur CA Enterprise Log Manager 5 R pondez aux invites l aide des informations collect es dans la feuille de calcul L installation se poursuit Lorsque le message Installation de CA Enterprise Log Manager termin e s affiche l installation est termin e Remarque Lorsque vous installez un autre serveur CA Enterprise Log Manager il se peut que vous remarquiez dans le journal d installation un message d erreur
12. Le tableau suivant d crit les param tres utilis s pour le d ploiement de CA Enterprise Log Manager l aide de l outil OVF Vous devez sp cifier ces param tres en tant qu arguments de ligne de commande dans la ligne de commande Valeur Commentaires Param tres sp cifiques aux h tes 356 Manuel d impl mentation Informations requises HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME acceptAllEulas Valeur Nom d h te pour ce serveur CA Enterprise Log Manager Exemple CA ELM1 nouveau mot de passe root Adresse IPv4 correspondante Adresse IP correspondante Adresse IP correspondante Adresses IPv4 correspondantes votre nom de domaine Accepter Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Commentaires Sp cifiez le nom d h te de ce serveur en utilisant uniquement les caract res pris en charge par les h tes Les normes du secteur recommandent les lettres de A Z insensibles la casse les chiffres de 0 a 9 et le tiret avec une lettre en premier caract re et un caract re alphanum rique en derni re position N utilisez pas le caract re de soulignement dans un nom d h te et ne lui ajoutez pas de nom de domaine Remarque Le nom d h te ne peut pas d passer 15 caract res Cr ez et confirmez un nouveau mot de passe root pour ce serveur Entrez une adresse IP valide pour ce serve
13. 1 Pr parez et cr ez des destinations de notification 2 S lectionnez les r gles de corr lation pr d finies ou cr ez des r gles personnalis es pour les utiliser dans votre environnement 3 Ajoutez les d tails de notification aux r gles pour lesquelles vous souhaitez d finir des notifications 4 Appliquez les r gles de corr lation aux serveurs CA Enterprise Log Manager et affectez les destinations de notification 190 Manuel d impl mentation Configuration du service de corr lation Informations compl mentaires Cr ation d une destination de notification page 191 Application de r gles de corr lation et de notifications d incidents page 185 Cr ation d une destination de notification Vous pouvez cr er des objets de destination de notification pour les utiliser dans les r gles de corr lation Les destinations permettent d appliquer des param tres de livraison communs plusieurs r gles Si n cessaire vous pouvez affecter une destination plusieurs r gles Vous pouvez les affecter pendant l application de la r gle de corr lation ou apr s la cr ation d un incident Vous cr ez un objet de destination de notification en suivant la m thode suivante 1 Ouvrez l assistant de destinations de notification et d finissez un nom de destination et une description 2 D finissez les param tres pour les types de destination souhait s a Messagerie lectronique b Processus CA IT PAM c int
14. 2 Configurez des listes de proxys pour les mises jour de client et de contenu Vous pouvez sp cifier une liste de proxys pour des mises jour de client au niveau global pour l ensemble de votre environnement ou d finir des listes de proxys locaux pour chaque serveur Pour les mises jour de contenu vous pouvez sp cifier une seule liste de proxys au niveau global 3 S lectionnez les modules t l charger Vous pouvez s lectionner des modules au niveau global ou au niveau local pour chacun des serveurs 4 D finissez votre planification d abonnement Vous pouvez d finir une planification au niveau global ou au niveau local pour chacun des serveurs Informations compl mentaires Configuration d un proxy d abonnement en ligne page 199 Configuration d un proxy d abonnement hors ligne page 200 Configuration d un client d abonnement page 201 Configuration des listes de proxys page 202 S lection de modules d abonnement en ligne page 205 T l chargement et s lection de modules d abonnement hors ligne page 207 D finition d une planification d abonnement page 209 198 Manuel d impl mentation Configuration de l abonnement Configuration d un proxy d abonnement en ligne Un proxy d abonnement en ligne contacte le serveur d abonnement de CA pour t l charger les plus r centes mises jour de CA Enterprise Log Manager puis il les distribue vers des clients d abonnement tour de r le Si aucun a
15. Modifier le nom et la description de la r gle e Modifier le nom et la description de la Nom de r gle r gle Suspicious Events Description de r gle Suspicious Events a H 5 Cliquez sur Modifier les actions en regard de la fl che correspondant l tape 3 La page des actions de r gles s affiche Modifier une r gle Actions Pr c dent Suivant Terminer Annuler Aide 1 Modifier les 2 gt Moamer ie semot N Modifier les informations actions Parcourir les actions Aide Parcourez la liste des actions et cr ez en de nouvelles ajouter la r gle Collector W E mail Besce Status Monitor external Program M rile E route Q screen l security Monitor Bsomp Unicenter 280 Manuel d impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 6 Cliquez sur l action Collecteur dans le volet Parcourir les actions pour afficher la liste des actions droite Modifier une r gle Actions Pr c dent Suivant Terminer Annuler Aide Modifier les et Modifier les 1 2 D Modifier le script 5 D informations gt gt k actions Parcourir les actions Parcourez la liste des actions et cr ez en de nouvelles ajouter la r gle Nom d h te ou adresse Utiliser le serveur Param tres Description m distant optionnels Collector e mail Riesce Status Monitor le xternal Program Be Vous pouvez galement
16. journaux 2 D veloppez le dossier Magasin de journaux d v nements puis s lectionnez un serveur de collecte Liste de services Afficher les services par Global Configuration vy Event Log Store Nv Collection ELM NY Reporting ELM gt Serveurs de rapport gt subscription Module Service H te ak Indiquez une r currence d archivage automatique toutes les heures avec le serveur de rapports comme destination Entrez les informations d identification d un utilisateur CA Enterprise Log Manager dot d un r le d administrateur Si vous utilisez des strat gies personnalis es cet utilisateur doit disposez de droits de modification sur les ressources de base de donn es qui lui donnent la possibilit de supprimer la base de donn es archiv e Auto Archive Type de sauvegarde Heure de d but Cau format 24 h Utilisateur BEM Mot de passe FER Serveur distant vtr Liste de services Afficher les services par Service Global Configuration TE Event Log Store NY Collection ELM Nv Reporting ELM gt Serveurs de rapport gt subscription Module ur distant H te EC 1 Activation incremental Hourly Dans la Liste de services s lectionnez le serveur de rapports Chapitre 5 Configuration des services 177 Configuration du magasin de journaux d v nements 5 Indiquez une r currence d archivage automatique tous les jours a
17. l Data Access 113 Iv 296 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit 3 Cliquez sur la balise de requ te CA Access Control pour afficher gauche la liste des requ tes disponibles Liste de requ tes Options e Rechercher v Es Abonnement a l Activit de la ressource d administration par action re Activit de la ressource d administration par h te re Activit de la ressource d administration par r sultat dig D tail de l activit de la ressource d administration R capitulatif de l activit de la ressource d administratio Tendance de l activit de la ressource d administration Activit d acc s aux fichiers EPHI par action REREPEN Activit d acc s aux fichiers EPHI par h te R Activit d acc s aux fichiers EPHI par ex cutant l D tail de l activit d acc s aux fichiers EPHI i R capitulatif de l activit d acc s aux fichiers EPHI re Tendance de l activit d acc s aux fichiers EPHI Activit de contr le d acc s aux fichiers EPHI par compt Activit de contr le d acc s aux fichiers EPHI par action re Activit de contr le d acc s aux fichiers EPHI par h te D tail de l activit de contr le d acc s aux fichiers EPHI Y Annexe B Remarques pour les utilisateurs de CA Access Control 297 Importation d v nements CA Access Control provenant d une base de donn es
18. quoi il est connect Aucun Description Il s agit du processus de l agent CA Enterprise Log Manager Il s agit du processus du connecteur CA Enterprise Log Manager Un processus de connecteur distinct s ex cute pour chaque connecteur configur sur un agent Ce processus CA Enterprise Log Manager g re la soumission d v nements et les informations d tat entre le connecteur et l agent Processus de surveillance CA Enterprise Log Manager qui surveille d autres processus pour assurer la continuit des op rations Chapitre 3 Installation de CA Enterprise Log Manager 113 Configurations initiales du serveur CA Enterprise Log Manager Nom du processus Port par d faut caelm agentmanager caelm alerting caelm correlation caelm eemsessionsponsor caelm incidentservice caelm logdepot 17001 caelm queryservice caelm reporter caelm ruletest caelm sapicollector 114 Manuel d impl mentation Description Processus CA Enterprise Log Manager qui traite les t ches de gestion d agents telles que le statut et l abonnement Processus CA Enterprise Log Manager qui g re les messages d alertes par courriel IT PAM et les interruptions SNMP Processus CA Enterprise Log Manager qui g re les r gles de corr lation en communiquant avec le service de corr lation lorsque l une de ces r gles se d clenche Processus CA EEM principal qui g re toutes les communications vers CA EEM pour les sponsor
19. 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur par d faut EiamAdmin L onglet Administration et le sous onglet Gestion des utilisateurs et des acc s s affichent 2 Cliquez sur Utilisateurs dans le volet gauche 3 Cliquez sur Nouvel utilisateur gauche du dossier Utilisateurs L cran des d tails du nouvel utilisateur s affiche du c t droit de la fen tre 4 Saisissez un nom d utilisateur dans le champ Nom Les noms d utilisateurs ne sont pas sensibles la casse 5 Cliquez sur Ajouter les d tails de l utilisateur de l application 6 S lectionnez le r le associ aux t ches que doit effectuer cet utilisateur Utilisez le contr le de d placement pour le d placer vers la liste Groupes d utilisateurs s lectionn s 7 Indiquez des valeurs pour les champs restants dans l cran selon vos besoins Vous devez indiquer un mot de passe sensible la casse avec une confirmation dans la zone du groupe d authentification 8 Cliquez sur Enregistrer puis sur Fermer Informations compl mentaires Affectation d un r le un utilisateur global page 148 Chapitre 4 Configuration des utilisateurs de base et des acc s 147 Cr ation du premier administrateur Affectation d un r le un utilisateur global Vous pouvez rechercher un compte d utilisateur existant et affecter le groupe d utilisateurs d applications pour le r le que l individu doit endosser Si vous faites r f rence
20. 4 Si n cessaire ajoutez d autres destinations ou cliquez sur Enregistrer et fermer Chapitre 5 Configuration des services 193 Configuration du service de corr lation D finition des destinations SNMP Vous pouvez d finir des destinations SNMP qui vous permettront d utiliser des interruptions SNMP pour envoyer les informations des incidents des syst mes de gestion de tierce partie Pour plus d informations sur les interruptions SNMP consultez le Manuel d administration de CA Enterprise Log Manager Pour d finir des destinations SNMP 1 Ouvrez l assistant de gestion des destinations de notification d finissez les d tails d identification et passez l tape Notifications 2 Cliquez sur l onglet SNMP et s lectionnez Activer l interruption SNMP 3 Pour envoyer l alerte l aide de SNMP v3 s lectionnez SNMP v3 facultatif La version par d faut est SNMP v2 4 Facultatif Si vous s lectionnez SNMP v3 cliquez sur le bouton Fonctionnalit s de s curit de la version 3 pour d finir l authentification ou le chiffrement dans la bo te de dialogue Param tres de s curit 5 Entrez les informations du serveur de destination et du port de destination pour identifier la cible des v nements transmis via SNMP 6 Facultatif S lectionnez une autre ligne Serveur de destination Port de destination et entrez une autre paire de valeurs de serveur port 7 Sin cessaire ajoutez d autres destinations ou cliq
21. Indique le nombre de lignes r cup rer chaque op ration d extraction si la requ te a r ussi La valeur minimale est 1 et la valeur maximale 5000 La valeur par d faut est 1000 Voici la syntaxe utilis e pour cette propri t queryfetchrows 1000 Chapitre 3 Installation de CA Enterprise Log Manager 121 Installation du client ODBC offsetmins Indique le d calage horaire correspondant au fuseau horaire du client ODBC La valeur 0 correspond l heure GMT Utilisez ce champ pour d finir votre propre d calage horaire par rapport l heure GMT Voici la syntaxe utilis e pour cette propri t offsetmins 0 suppressNoncriticalErrors Indique le comportement du fournisseur d interface en cas d erreur non critique par exemple si une base de donn es ou un h te ne r pond pas Voici la syntaxe utilis e pour cette propri t suppressNoncriticalErrors false Test de la connexion du client ODBC la base de donn es Le client ODBC est install l aide de l outil de requ te SQL interactif en ligne de commande iSQL Vous pouvez utiliser cet outil pour tester les param tres de configuration et la connectivit entre le client ODBC et le magasin de journaux d v nements CA Enterprise Log Manager Pour tester La connexion du client La base de donn es 1 Ouvrez une invite de commande et acc dez au r pertoire o vous voulez installer le client ODBC D marrez l utilitaire iSQL odbcisql exe E
22. Local Property REMOTE_EEM_LOCATION none Property EEM_PASSWORD exampleeiamadminpassword Property FIPS_MODE YES Property AGENT_AUTHENTICATION_KEY This_is_default_authentication_key Annexe E CA Enterprise Log Manager et virtualisation 351 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Le message Opening VI target Cible VI en cours d ouverture s affiche Le statut de d ploiement du dispositif virtuel s affiche Si l installation s est correctement effectu e le dispositif virtuel figurera sous le magasin de donn es s lectionn dans le volet gauche 18 Facultatif Si vous voulez modifier les informations saisies proc dez comme suit a Cliquez sur Pr c dent dans la fen tre Deploy OVF Model jusqu acc der la page correspondante b Effectuez les modifications n cessaires c Cliquez plusieurs fois sur Suivant dans la fen tre Deploy OVF jusqu acc der la page Ready to Complete 352 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D finition des param tres de paravirtualisation et de ressources Apr s l importation du mod le OVF d finissez manuellement les param tres de paravirtualisation et de ressource pour am liorer les performances du serveur CA Enterprise Log Manager provisionn Remarque V rifiez que le lecteur de CD DVD est d fini sur Client Device Unit s du client Pour d
23. MS ISA 609 ORACLE 2 742 eTrust PCM 247 NT System 680 eTrust Audit 513 NT Security 14 714 Unit CISCO 41 436 SNORT 1 089 Annexe B Remarques pour les utilisateurs de CA Access Control 291 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit ENTRYID minimal 1 ENTRYID maximal 10 000 010 243 Rapport termin D connexion r ussie de la source Mon DSN Audit Sortie de l importation 2 Examinez le rapport pour v rifier la pr sence des v nements provenant de CA Access Control La ligne en gras dans cet extrait du rapport indique que la table SEOSDATA contient des v nements CA Access Control Nombre d v nements par journal Unix 12 804 ACF2 1 483 eTrust AC 143 762 com ca iTechnology iSponsor 66 456 NT Application 5 270 Pr visualisation de l importation d v nements CA Access Control Vous pouvez utiliser la pr visualisation de l importation pour affiner le r glage de vos param tres d importation Cet exempleillustre deux passages de pr visualisation bas s sur la n cessit d importer des v nements partir d une p riode sp cifique L exemple suppose les l ments ci dessous m Le serveur d outils de donn es CA Audit se trouve sur un ordinateur Windows m Le nom de base de donn es de la table SEOSDATA est Mon_DSN_Audit Le nom d utilisateur de la base de donn es est sa et le mot de
24. Par exemple si le nom OVF est CA ELM entrez la valeur comme suit CA ELM ovf Pour plus d informations sur l outil OVF consultez le Manuel de l Utilisateur OVF Tool User Guide Exemple Annexe E CA Enterprise Log Manager et virtualisation 385 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels ovftool dm thick acceptAllEulas name example server deploymentOption medium prop ROOT PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example serverl prop DEFAULT GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 386 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D finition des param tres de paravirtualisation et de ressources Apr s l importation du mod le OVF d finissez manuellement les param tres de paravirtualisation et de ressource pour am liorer les performances du serveur CA Enterprise Log Manager provisionn Remarque V rifiez que le lecteur de CD DVD est d fini sur Client Device Unit s du client Pour d finir Les param tres
25. Reservation 0 MB Advanced CPU HT Sharing Any A Virtual Machine Version 7 Limit 6833 MB J El Unlimited Limit based on parent resource pool or current host 7 Cliquez sur OK 8 Remarque Pour plus d informations sur la paravirtualization visite le site Web www vmware com Annexe E CA Enterprise Log Manager et virtualisation 355 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D marrez le serveur CA Enterprise Log Manager provisionn Ceci est n cessaire a son ex cution Pour d marrer un serveur CA Enterprise Log Manager 1 S lectionnez le nouveau serveur CA Enterprise Log Manager dans le volet gauche de la fen tre de l application VMware 2 Cliquez sur l option Power On D marrage situ e sous l onglet Basic Tasks of the Getting Started Taches de base du d marrage dans le volet droit Le serveur CA Enterprise Log Manager est d marr Remarque V rifiez qu un serveur CA Enterprise Log Manager principal est ex cut avant de d marrer un serveur CA Enterprise Log Manager secondaire installation silencieuse d un serveur CA Enterprise Log Manager Informations requises Lors de l installation silencieuse du dispositif virtuel effectuez les t ches suivantes 1 Appelez l outil OVF 2 D finissez les param tres de paravirtualisation et ressources 3 D marrez le serveur CA Enterprise Log Manager provisionn
26. Utilisez la proc dure suivante pour cr er un nouvel ordinateur l aide du client VMware Infrastructure Utilisez quatre processeurs pour chaque serveur CA Enterprise Log Manager virtuel afin d obtenir des performances acceptables Pour cr er un nouvel ordinateur virtuel 1 2 Acc dez au client VMware Infrastructure Cliquez avec le bouton droit sur l h te ESX dans le volet gauche puis s lectionnez Nouvel ordinateur virtuel pour appeler l assistant de cr ation d un ordinateur virtuel Cette action affiche une bo te de dialogue de type de configuration S lectionnez la configuration Personnalis e et cliquez sur Suivant Une bo te de dialogue de nom et d emplacement s affiche Entrez un nom pour le serveur CA Enterprise Log Manager installer sur cet ordinateur virtuel et cliquez sur Suivant Sp cifiez les param tres de stockage pour votre ordinateur virtuel puis cliquez sur Suivant V rifiez que vos param tres de stockage sont suffisamment importants pour votre serveur CA Enterprise Log Manager Nous recommandons un espace minimal de 500 Go Remarque La configuration de lecteurs de disques virtuels suppl mentaires pour stocker les journaux d v nements collect s fait l objet d une autre proc dure S lectionnez Red Hat Enterprise Linux 5 32 bits comme Syst me d exploitation invit et cliquez sur Suivant 326 Manuel d impl mentation 10 11 12 13 14 15 Cr ation de serveurs
27. aupr s du serveur DNS Domain Name Server de votre r seau pour permettre la r solution du nom d h te vers l adresse IP Entrez une ou plusieurs adresses IP de serveur DNS utiliser sur votre r seau La liste est s par e par des virgules sans espace entre les entr es Si vos serveurs DNS utilisent l adressage IPV6 entrez ces adresses avec ce format Entrez de nouvelles date et heure syst me le cas ch ant Indiquez si vous souhaitez configurer le serveur CA Enterprise Log Manager pour qu il mette jour ses date et heure partir d un serveur NTP Network Time Protocol tabli Remarque La synchronisation de l heure permet de vous assurer que les alertes contiennent des donn es compl tes Entrez le nom d h te ou l adresse IP valide du serveur NTP aupr s duquel ce serveur CA Enterprise Log Manager obtient des informations de date et d heure Chapitre 3 Installation de CA Enterprise Log Manager 79 Installation d un serveur CA Enterprise Log Manager Informations CA Enterprise Log Manager Contrat de licence du kit de d veloppement Sun Java JDK Contrat de licence CA Serveur CA Embedded Entitlements Manager local ou distant 80 Manuel d impl mentation Valeur Oui Oui Local pour le premier serveur install serveur de gestion Distant pour chaque serveur suppl mentaire Commentaires Lisez le contrat de licence en parcourant les pages jusqu atteindre la
28. m Fichier d acc s aux donn es avec les informations li es un type pr cis de source d v nement Chapitre 2 Planification de votre environnement 67 Planification d agent Fichier d analyse de message qui cr e des paires nom valeur partir des journaux d v nements collect s m Fichier de mappage de donn es qui mappe les paires nom valeur analys es vers la grammaire commune aux v nements qui forme le sch ma de base de donn es pour le magasin de journaux d v nements du serveur CA Enterprise Log Manager CA Enterprise Log Manager propose diverses int grations pour les sources d v nement courantes et communes notamment les produits CA mais aussi les pare feu bases de donn es syst mes d exploitation applications etc courants Vous pouvez obtenir d autres int grations comme indiqu ci apr s m Les mises jour d abonnement incluent de nouvelles int grations ou de nouvelles versions d int grations existantes L assistant fourni permet de cr er des int grations personnalis es Vous utilisez les int grations pour pr ciser le type de collecte d v nements effectuer lorsque vous configurez des connecteurs A propos des connecteurs Les connecteurs coutent les v nements mais ils envoient aussi des v nements d tat l agent de mani re p riodique pour les transmettre au serveur CA Enterprise Log Manager Un connecteur est un processus qui utilise un d tecteur de journau
29. support ca com irj portal anonymous phpdocs filePath 0 154 cacirecr8 certmatrix html caacirec en anglais 2 S lectionnez l iRecorder adapt a votre version de CA Access Control 3 Affichez et suivez les instructions d installation disponibles gr ce au lien Manuel d int gration dans la matrice Configuration d un iRecorder CA Access Control autonome Utilisez la proc dure suivante pour configurer votre iRecorder pour qu il envoie des v nements CA Access Control CA Enterprise Log Manager Important Un iRecorder autonome peut envoyer ses v nements une seule destination Si vous configurez un iRecorder l aide de la proc dure qui suit tous les iRecorders install s sur ce syst me envoient leurs v nements uniquement au magasin de journaux d v nements CA Enterprise Log Manager nomm s Les iRecorders install s sur le m me ordinateur qu un client CA Audit envoient des v nements directement au client Pour ces serveurs vous devez modifier une strat gie CA Audit existante pour ajouter des actions de r gle puis configurer les adaptateurs de collecteur ou de routeur SAPI CA Enterprise Log Manager Annexe B Remarques pour les utilisateurs de CA Access Control 285 Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager Pour configurer iRecorder pour envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur h bergeant iRecorder
30. tape D tails du connecteur est s lectionn e 5 S lectionnez une int gration qui utilise le d tecteur de journaux WinRM dans la liste d roulante Int gration Par exemple WinRM Cr ation de connecteur A Indiquez les informations requises Type Int grations Ecouteurs Int gration WinRM lv Nom du connecteur inRM_Connecteur Version de la plate forme iris _ Omettre la v rification de la version de plate forme Cette s lection renseigne le champ Nom du connecteur par WinRM_Connector 6 Cliquez sur Appliquer les r gles de suppression et s lectionnez les r gles associ es des v nements pris en charge facultatif 7 Cliquez sur l tape Configuration du connecteur puis cliquez sur le lien Aide Les instructions incluent la configuration des d tecteurs CA Enterprise Log Manager WinRM 5 0 Configuration des d tecteurs CA Enterprise Log Manager WinRM 5 1 Param tre fixe 226 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor 8 Suivez les instructions du manuel du connecteur pour configurer le d tecteur Saisissez l adresse IP plut t que le nom d h te de l h te sur lequel vous avez configur Gestion distance de Windows Le nom d utilisateur et le mot de passe saisis correspondent aux informations de connexion ajout es lors de la configuration de la Gestion distance de Windows Voici un e
31. un magasin d utilisateurs externe la recherche renvoie les enregistrements globaux charg s depuis ce magasin d utilisateurs Si votre magasin d utilisateurs configur est le magasin d utilisateurs CA Enterprise Log Manager la recherche renvoie les enregistrements cr s pour les utilisateurs dans CA Enterprise Log Manager Seuls les administrateurs peuvent modifier des comptes d utilisateurs Pour affecter un r le ou groupe d utilisateurs d applications un utilisateur existant 1 Cliquez sur l onglet Administration et sur le sous onglet Gestion des utilisateurs et des acc s Cliquez sur Utilisateurs dans le volet gauche Les volets Recherche d utilisateurs et Utilisateurs apparaissent S lectionnez Utilisateurs globaux entrez des crit res de recherche et cliquez sur OK Si la recherche porte sur les comptes d utilisateurs charg s le volet Utilisateurs affiche le chemin d acc s et les tiquettes de chemin d acc s refl tent le r pertoire externe r f renc Important Entrez toujours des crit res lors des recherches pour viter d afficher toutes les entr es d un magasin d utilisateurs externe S lectionnez un utilisateur global n ayant aucune appartenance un groupe d applications CA Enterprise Log Manager La page Utilisateur s affiche avec le nom du dossier les d tails de l utilisateur global et le cas ch ant l appartenance un groupe global Cliquez sur Ajouter les d tails de l utilisat
32. v nements pour d terminer si les v nements CA Access Control sont pr sents dans la base de donn es Ex cutez un aper u de l importation avec les param tres sp cifiques CA Access Control Importez les v nements CA Access Control Ex cutez les requ tes et rapports CA Enterprise Log Manager sur les v nements import s Annexe B Remarques pour les utilisateurs de CA Access Control 287 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit T ches requises avant l importation d v nements CA Access Control Avant d utiliser l utilitaire LMSeosimport suivez les tapes ci dessous m Obtenez un compte d utilisateur de bases de donn es dot au minimum de l acc s en lecture la table SEOSDATA de CA Audit Copiez l utilitaire LMSeosimport sur le serveur d outils de donn es CA Audit m Acc dez une invite de commande sur le serveur d outils de donn es et recherchez le r pertoire ad quat Solaris opt CA SharedComponents iTechnology Windows Program Files CA SharedComponents iTechnology Copie de l utilitaire d importation sur un serveur d outils de donn es Windows Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosimport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Windows Remarque L utilitaire LMSeosimport n ces
33. Dans l hypoth se o le contrat de licence prendrait fin pour quelque raison que ce soit vous devrez renvoyer CA les copies effectu es ou certifier par crit que toutes les copies partielles ou compl tes de la Documentation ont t retourn es CA ou qu elles ont bien t d truites DANS LES LIMITES PERMISES PAR LA LOI APPLICABLE CA FOURNIT LA PR SENTE DOCUMENTATION TELLE QUELLE SANS AUCUNE GARANTIE EXPRESSE OU TACITE NOTAMMENT CONCERNANT LA QUALIT MARCHANDE L AD QUATION UN USAGE PARTICULIER OU DE NON INFRACTION EN AUCUN CAS CA NE POURRA TRE TENU POUR RESPONSABLE EN CAS DE PERTE OU DE DOMMAGE DIRECT OU INDIRECT SUBI PAR L UTILISATEUR FINAL OU PAR UN TIERS ET RESULTANT DE L UTILISATION DE CETTE DOCUMENTATION NOTAMMENT TOUTE PERTE DE PROFITS OU D INVESTISSEMENTS INTERRUPTION D ACTIVITE PERTE DE DONNEES OU DE CLIENTS ET CE MEME DANS L HYPOTH SE O CA AURAIT ETE EXPRESSEMENT INFORME DE LA POSSIBILIT DE TELS DOMMAGES OU PERTES L utilisation de tout produit logiciel mentionn dans la Documentation est r gie par le contrat de licence applicable ce dernier n tant en aucun cas modifi par les termes de la pr sente CA est le fabricant de la pr sente Documentation Le pr sent Syst me tant dit par une soci t am ricaine vous tes tenu de vous conformer aux lois en vigueur du Gouvernement des Etats Unis et de la R publique fran aise sur le contr le des exportations des biens double usage et
34. En g n ral vous installez deux serveurs CA Enterprise Log Manager dot s de quatre processeurs en lieu et place de chacun des serveurs de dispositifs normalement install s en cas d utilisation de mat riel certifi les serveurs de dispositifs comptent huit processeurs au minimum Le processus suivi pour cr er un dispositif virtuel comprend les proc dures ci apr s 1 T l chargez le package de dispositif virtuel 2 Installez un serveur virtuel CA Enterprise Log Manager pour disposer des fonctions de gestion 3 Installez un ou plusieurs serveurs virtuels pour la collecte et la g n ration de rapports 4 Configurez les serveurs virtuels conform ment la section sur l installation d un serveur CA Enterprise Log Manager Important Si vous voulez effectuer le provisionnement d un serveur CA Enterprise Log Manager l aide du dispositif virtuel le nom d instance d application du serveur CA Enterprise Log Manager principal doit tre CAELM T l chargez le package de dispositif virtuel L image de distribution du dispositif virtuel de CA Enterprise Log Manager est disponible partir du support en ligne du liens de t l chargement Vous devez t l charger cinq fichiers m Le fichier Manifest m Le fichier ovf Trois fichiers de disque virtuel 366 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Installation manuelle d un serveur CALM Lors de l
35. Important Lorsque vous d diez diff rents serveurs la corr lation s lectionnez chaque serveur de collecte dont vous voulez corr ler les v nements lors de la configuration du service de corr lation Serveur de g n ration de rapports Dans un syst me un o deux serveurs le serveur de gestion assume le r le de serveur de g n ration de rapports Dans un syst me comptant de nombreux serveurs envisagez de d dier un ou plusieurs serveurs la g n ration de rapports Un serveur de g n ration de rapports r alise les fonctions ci dessous _Sil authentification non interactive et l archivage automatique sont configur s il re oit de nouvelles bases de donn es d v nements ajust s provenant de ses serveurs de collecte _Iltraite les invites requ tes et rapports la demande _Iltraite les alertes et rapports planifi s Il prend en charge les assistants de cr ation de requ tes et rapports personnalis s Sil authentification non interactive et l archivage automatique sont configur s pour permettre des transactions du serveur de g n ration de rapports au serveur de stockage distant les anciennes bases de donn es sont d plac es sur un serveur de stockage distant Si vous pr voyez de g n rer de nombreux rapports et alertes complexes sur un serveur ayant un volume important d activit la demande il est recommand de de d dier un serveur la g n ration de rapports Chapitre 2
36. Informations requises Mot passe root Adresse IP Masque de sous r seau Passerelle par d faut Serveurs DNS Nom de domaine EULA Fuseau horaire Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Valeur nouveau mot de passe root Adresse IPv4 correspondante Adresse IP correspondante Adresse IP correspondante Adresses IPv4 correspondantes votre nom de domaine Accepter le fuseau horaire que vous souhaitez Param tres sp cifiques aux applications Commentaires Cr ez et confirmez un nouveau mot de passe root pour ce serveur Entrez une adresse IP valide pour ce serveur Entrez un masque de sous r seau valide utiliser avec ce serveur Entrez une passerelle par d faut valide utiliser avec ce serveur Entrez une ou plusieurs adresses IP de serveur DNS utiliser sur votre r seau La liste est s par e par des virgules sans espace entre les entr es Si vos serveurs DNS utilisent l adressage IPV6 entrez ces adresses avec ce format Entrez le nom de domaine complet au sein duquel op re le serveur par exemple mycompany com Remarque Le nom de domaine doit tre enregistr aupr s du serveur DNS Domain Name Server de votre r seau pour permettre la r solution du nom d h te vers l adresse IP Lisez l ensemble du contrat de licence CA puis cliquez sur Accepter pour en accepter les conditions S lectionnez le fuseau horaire do
37. certificat d agent ss ses nee eee da ste et ae rt at nent 65 A propos des agents 44444444 esse eeeeeeeeeeeeeeeeeeeees 66 A propos des int grations 67 A propos des connecteurs 44444444 4444 eee eee esse esse 68 Dimensionnement de votre r seau CA Enterprise Log Manager 70 Table des mati res 7 Chapitre 3 Installation de CA Enterprise Log Manager 73 Pr sentation de l environnement CA Enterprise Log Manager 73 Cr ation des DVD d installation 75 Installation d un serveur CA Enterprise Log Manager 4 76 Feuille de calcul du serveur CA Enterprise Log Manager 77 Installation de CA Enterprise Log Manager 83 V rifier que le processus iGateway s ex cute 84 V rification de l installation du serveur CA Enterprise Log Manager 87 Affichage des v nements d autosurveillance 88 Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de lanorme FIPS 52545cessuvrsrarssantere irait tiamtiirieurenaetesas entib
38. d v nement sont stock es par le service du collecteur dans une base de donn es relationnelle qui s ex cute sur le serveur d outils de donn es Un administrateur de base de donn es surveille et entretient cette base de donn es il travaille galement avec un administrateur syst me pour mettre en place les strat gies ad quates afin de collecter les v nements souhait s et d exclure les v nements inutiles Sur ce diagramme les lignes pleines repr sentent les v nements transmis par les clients CA Audit l enregistreur et les h tes iRecorder au serveur d outils de donn es ou dans certains cas une console facultative de surveillance de la s curit Une ligne pointill e repr sente le flux de contr le entre le serveur du gestionnaire de strat gies et les clients utilisant des strat gies Annexe A Remarques pour les utilisateurs de CA Audit 245 Pr sentation des diff rences entre les architectures Le serveur d outils de donn es dispose d utilitaires de base pour la g n ration de rapports la visualisation et le stockage d v nements La cr ation et la conservation des requ tes et rapports personnalis s qui constituent la norme des impl mentations d entreprise sont des op rations qui prennent du temps Cette topologie de r seau permet la collecte de divers types d v nements provenant de diff rentes unit s applications et bases de donn es Vous disposez du stockage central des v nements collec
39. d finis Le mot de passe du certificat utilis pour contr ler l acc s aux cl s utilis es pour chiffrer les mots de passe Il s agit d un nouveau param tre qui n existait pas auparavant Pour obtenir des instructions sur l installation du domaine CA IT PAM voir le manuel d installation de CA IT Process Automation Manager qui est fourni avec le logiciel Utilisez la proc dure suivante pour obtenir des instructions sur la configuration des param tres de s curit EEM Pour installer le domaine CA IT PAM 1 2 Si l assistant d installation IT PAM n est pas lanc suite a l installation de composants tiers lancez CA ITPAM Domain _windows exe Suivez les instructions fournies dans votre documentation CA IT PAM jusqu ce que vous s lectionniez le type de serveur de s curit Quand la bo te de dialogue Select Security Server Type S lection du type de serveur de s curit s affiche s lectionnez EEM comme serveur de s curit et cliquez sur Suivant La page Param tres de s curit EEM s affiche 308 Manuel d impl mentation D marrez le service du serveur CA ITPAM 4 Compl tez les param tres de s curit EEM comme suit a Saisissez le nom d h te du serveur de gestion CA Enterprise Log Manager dans le champ du serveur EEM b Saisissez ITPAM dans le champ de l application EEM c Cliquez sur Parcourir et acc dez au dossier contenant le fichier itpamcert p12 d S lectionnez le fichier itpa
40. disposer de ces informations d identification de compte pour la connexion initiale Si vous installez le serveur de gestion vous cr ez et confirmez ici un nouveau mot de passe EiamAdmin Notez ce mot de passe car vous l utiliserez nouveau lors de l installation d autres serveurs et agents CA Enterprise Log Manager Remarque Le mot de passe entr ici est galement le mot de passe initial du compte caelmadmin par d faut que vous utiliserez pour acc der directement au serveur CA Enterprise Log Manager via ssh Si vous le souhaitez vous pouvez cr er d autres comptes d administrateur pour acc der aux fonctions CA EEM apr s l installation Sp cifie si le dispositif virtuel doit tre ex cut en mode FIPS ou non Si vous choisissez un serveur CA EEM local choisissez le mode de votre choix Si vous choisissez un serveur CA EEM distant choisissez le mode utilis par ce serveur Informations compl mentaires Ajout de serveurs virtuels votre environnement page 341 Cr ation d un environnement compl tement virtuel page 365 D ploiement rapide de serveurs virtuels page 391 394 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Appel de l outil OVF l aide de scripts Remarque Avant d effectuer l installation silencieuse installez l outil OVF 4 0 0 Pour plus d informations sur l outil OVF consultez le manuel VMware s OVF Tool User Guide ou v
41. faut L installation de CA Enterprise Log Manager cr e sur le serveur CA Enterprise Log Manager un agent par d faut dot s de deux connecteurs pr ts l emploi un connecteur Syslog et un connecteur Linux_local Le connecteur Syslog permet de collecter les v nements Syslog transmis au serveur CA Enterprise Log Manager Le connecteur Linux_local permet de collecter les v nements au niveau du syst me d exploitation partir du serveur physique CA Enterprise Log Manager ou d un fichier Syslog Dans l environnement de base comprenant deux serveurs configurez un ou plusieurs connecteurs Syslog sur le serveur de collecte pour recevoir des v nements Le processus d utilisation de l agent par d faut inclut les tapes ci dessous 1 Examinez les int grations et couteurs Syslog facultatif 2 Cr ez un connecteur Syslog 3 V rifiez que le serveur CA Enterprise Log Manager re oit les v nements Syslog Chapitre 6 Configuration de la collecte d v nements 213 Configuration de l agent par d faut Examen des int grations et couteurs Syslog Vous pouvez examiner les int grations et couteurs Syslog par d faut avant de cr er un connecteur Les couteurs sont pour l essentiel un mod le pour vos connecteurs Syslog qui utilisent des int grations sp cifiques fournies comme du contenu pr t l emploi avec votre serveur CA Enterprise Log Manager Pour examiner les int grations Syslog 1 Connectez vous C
42. gles de corr lation appliqu es G n ration de rapports Le serveur traite les requ tes sur les v nements collect s les requ tes et rapports la demande ainsi que les alertes et rapports planifi s Point de restauration Le serveur re oit les bases de donn es restaur es de journaux d v nements des fins d examen d v nements pass s Le premier serveur install est le serveur de gestion ce serveur peut galement assumer d autres r les Vous pouvez disposer d un seul serveur de gestion sur un r seau CA Enterprise Log Manager unique Chaque r seau CA Enterprise Log Manager doit disposer d un serveur de gestion Les architectures possibles sont r pertori es ci dessous Syst me un seul serveur dans lequel le serveur de gestion assume tous les autres r les Syst me deux serveurs dans lequel le serveur de gestion assume tous les r les sauf la collecte Celle ci est effectu e par un serveur d di ce r le Syst me comptant plusieurs serveurs dans lequel chaque serveur est d di un seul r le Vous trouverez ci apr s des d tails sur les r les des serveurs et les architectures 20 Manuel d impl mentation Planification des serveurs R les des serveurs Un syst me CA Enterprise Log Manager peut poss der un ou plusieurs serveurs En d diant diff rents serveurs diff rents r les vous optimisez les performances Mais vous pouvez choisir d utiliser un serveur pour effec
43. il serait n cessaire d tudier des journaux sauvegard s et stock s hors site Pour identifier le nom de la base de donn es archiv e restaurer faites une recherche dans le catalogue d archive local sur NY Rapports ELM Pour ce faire cliquez sur l onglet Administration s lectionnez Requ te de catalogue d archive dans l Explorateur de collecte de journaux puis cliquez sur Requ te R cup rez la base de donn es archiv e identifi e dans le stockage hors site Copiez la dans le r pertoire opt CA LogManager data archive sur le serveur de stockage NY Serv Stockage Modifiez ensuite la propri t du r pertoire d archivage en s lectionnant l utilisateur caelmservice Restaurez la base de donn es sur son serveur de rapports d origine ou un point de restauration d di l tude des journaux contenus dans les bases de donn es restaur es en proc dant comme suit a Si vous restaurez la base sur NY Rapports ELM ex cutez le script restore ca elm sh a partir de NY Rapports ELM en sp cifiant NY Serv Stockage comme h te distant a Si vous restaurez la base sur NY PointRestauration ELM ex cutez le script restore ca elm sh a partir de NY PointRestauration ELM en sp cifiant NY Serv Stockage comme h te distant NY Rapports ELM NY Serv Stockage NY PointRestauration ELM Stockage long terme hors site Remarque Vous pouvez d sormais cr er des requ tes et des rapports sur les donn es restaur es Informati
44. laissez le champ vide si aucune phrase secr te n a t d finie a Confirmez la phrase secr te Remplacez les r pertoires par opt CA LogManager Modifiez les autorisations du r pertoire ssh l aide de la commande ci dessous chmod 755 ssh Naviguez jusqu au dossier ssh Chapitre 5 Configuration des services 171 Configuration du magasin de journaux d v nements Copiez le fichier id_rsa pub sur RSS le serveur de stockage distant de destination l aide de la commande ci dessous scp id rsa pub caelmadmin RSS tmp authorized_ keys Le fichier authorized_keys est cr dans le r pertoire tmp du serveur de g n ration de rapports avec le contenu de la cl publique D finition des droits de propri t de fichier de cl sur le serveur de stockage distant Vous pouvez d finir les droits de propri t et les autorisations du fichier de cl sur un serveur de stockage distant si vous avez g n r une paire de cl s sur le serveur de g n ration de rapports et si vous avez copi la cl publique sur ce serveur de stockage distant Pour d placer le fichier de cl publique vers Le bon emplacement sur Le serveur de stockage distant et d finir La propri t du fichier 1 Connectez vous au serveur de stockage distant en tant qu utilisateur caelmadmin Basculez sur le compte d utilisateur root Remplacez les r pertoires par opt CA LogManager ssh Copiez le fichier authorized_keys du r pertoir
45. le Un serveur de point de restauration r alise les fonctions ci dessous _Ilest utilis pour tudier les journaux d anciens v nements Il re oit les bases de donn es restaur es provenant d un serveur de stockage distant qui d tient toutes les bases de donn es froides L utilitaire restore ca elm sh vous permet de d placer des bases de donn es sur le point de restauration si l authentification non interactive est configur e pour permettre des transactions du serveur de stockage vers le point de restauration Il retraite le catalogue d archive pour ajouter les bases de donn es restaur es ses enregistrements Il conserve les enregistrements restaur s pendant des dur es diff rentes en fonction de la m thode de restauration Le point de restauration d di permet d exclure ce serveur de la f d ration pour assurer qu aucun rapport f d r ne contient d anciennes donn es restaur es Tous les rapports g n r s sur le serveur de point de restauration refl tent uniquement les donn es d v nement provenant des bases de donn es restaur es D dier un serveur un r le donn ne signifie pas que vous ne pouvez pas effectuer des fonctions associ es d autres r les partir de ce serveur Envisagez un environnement comprenant des serveurs de collecte d di s et un serveur de g n ration de rapports Vous avez galement la possibilit de planifier une alerte afin de rechercher une condition sur un
46. le premier tat v rifie la pr sence de 5 checs de connexion en 10 minutes Vous pouvez modifier le seuil d checs de connexions l heure ou les deux Ajoutez tous les d tails de notification n cessaires dans le l assistant de gestion des r gles Les d tails de notification fournissent le contenu du message d livr aux destinations de notification Apr s avoir pr par la r gle cliquez sur Enregistrer et fermer dans l assistant Lorsque vous modifiez et enregistrez une r gle de corr lation pr d finie CA Enterprise Log Manager cr e automatiquement une nouvelle version en conservant la version originale Cliquez sur le sous onglet Services puis d veloppez le noeud Service de corr lation S lectionnez le serveur sur lequel vous voulez appliquer la r gle Si vous avez identifi un serveur de corr lation s lectionnez le Cliquez sur Appliquer dans la zone Configuration de la r gle et s lectionnez la nouvelle version de la r gle Echecs de connexion suivis d une connexion r ussie ainsi que la destination de notification que vous voulez associer Cliquez sur OK pour fermer la bo te de dialogue et activez la r gle Informations compl mentaires Application de r gles de corr lation et de notifications d incidents page 185 Chapitre 5 Configuration des services 189 Configuration du service de corr lation D finition des serveurs de collecte Vous pouvez d finir des serveurs de collecte pour ro
47. lectionnez Large VMware indique huit UC de 8 Go de m moire RAM chacune S lectionnez le fuseau horaire dont d pend ce serveur Indiquez si vous pr voyez d utiliser un serveur CA EEM local ou distant Pour un serveur CA Enterprise Log Manager de gestion choisissez l option locale L installation vous invite a cr er un mot de passe pour le compte d utilisateur EiamAdmin par d faut Pour chaque serveur suppl mentaire choisissez l option distante L installation vous invite indiquer le nom du serveur de gestion Que vous choisissiez l option locale ou distante vous devez utiliser l ID et le mot de passe du compte EiamAdmin lors de la premi re connexion chaque serveur CA Enterprise Log Manager Entrez cette valeur uniquement si vous s lectionnez l option de serveur distant Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de gestion install en premier Le nom d h te doit tre enregistr aupr s du serveur DNS Si vous voulez utiliser un serveur CA EEM local la valeur par d faut n est Aucun Annexe E CA Enterprise Log Manager et virtualisation 393 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Informations requises Valeur EEM_PASSWORD compte EiamAdmin FIPS MODE Oui ou Non mot de passe du Commentaires Enregistrez le mot de passe du compte d administrateur par d faut EiamAdmin Votre serveur CA Enterprise Log Manager doit
48. nements moins important dans votre environnement De ce fait vous pouvez quilibrer la charge de collecte d v nements Syslog gr ce un petit nombre de connecteurs gagnant ainsi en performances Vous ne devez pas n cessairement cr er vos propres couteurs Syslog mais vous pouvez le faire le cas ch ant Vous pouvez cr er des couteurs Syslog distincts avec des valeurs par d faut diff rentes pour les ports les h tes fiables etc Vous pouvez ainsi simplifier la cr ation des connecteurs notamment si vous devez cr er plusieurs connecteurs pour chaque type d v nement Syslog Informations compl mentaires Comptes d utilisateur par d faut page 109 Redirection des ports du pare feu pour les v nements Syslog page 116 Les agents et le certificat d agent Le certificat CAELM_AgentCert cer pr d fini est utilis par tous les agents pour communiquer avec leur serveur CA Enterprise Log Manager Si vous choisissez de remplacer ce certificat par un certificat personnalis nous vous conseillons de le faire avant d installer des agents Si vous impl mentez un certificat personnalis apr s l installation et l enregistrement des agents sur un serveur CA Enterprise Log Manager vous devez d sinstaller chaque agent supprimer l entr e de l agent dans l Explorateur d agent r installez l agent et reconfigurez les connecteurs Chapitre 2 Planification de votre environnement 65 Planification d agent A propos de
49. page 75 Installation d un serveur CA Enterprise Log Manager page 76 Mise a niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS page 89 Ajout de serveurs CA Enterprise Log Manager a une f d ration en mode FIPS existante page 98 Remarques concernant l installation d un syst me disposant de lecteurs SAN page 100 Configurations initiales du serveur CA Enterprise Log Manager page 108 Installation du client ODBC page 117 Installation du client JDBC page 123 D pannage de l installation page 127 Pr sentation de l environnement CA Enterprise Log Manager CA Enterprise Log Manager est con u pour s installer et fonctionner rapidement entre le d but de l installation et le moment o le produit collecte des informations de journaux et g n re des rapports Vous devez installer le dispositif logiciel CA Enterprise Log Manager sur un syst me d di Important Comme le serveur CA Enterprise Log Manager est d di la collecte hautes performances de journaux d v nements vous ne devez pas installer d autres applications sur le serveur l h bergeant Sans quoi vous risquez un effet n gatif sur les performances Vous disposez de nombreuses fa ons de configurer votre environnement Nous vous recommandons la configuration sp cifique qui suit afin de garantir la gestion de volumes lev s d v nements dans les environnements d entreprise Chapitre 3 I
50. partir desquelles vous souhaitez collecter des journaux d v nements La plupart des connecteurs collectent les v nements partir d une seule et unique source d v nement Pour les v nements Syslog un seul couteur Syslog peut recevoir des v nements provenant de plusieurs types de sources d v nement Un agent peut contr ler et g rer le trafic d v nements provenant de plusieurs connecteurs A propos de la collecte d v nements Syslog CA Enterprise Log Manager peut recevoir des v nements provenant directement de sources Syslog La collecte Syslog diff re des autres m thodes de collecte car plusieurs sources de journaux diff rentes peuvent envoyer simultan ment des v nements CA Enterprise Log Manager Notez qu un routeur r seau et un concentrateur VPN sont deux sources d v nement possibles Ils peuvent tous deux envoyer des v nements directement CA Enterprise Log Manager l aide de Syslog mais les formats et structures des journaux sont diff rents Un agent Syslog peut recevoir les deux types d v nements au m me moment l aide de l couteur Syslog fourni Chapitre 2 Planification de votre environnement 63 Planification d agent En g n ral la collecte d v nements est compos e de deux cat gories CA Enterprise Log Manager coute les v nements Syslog sur les ports configurables CA Enterprise Log Manager surveille les v nements d autres sources l aide de WMI p
51. proc dure permet la r cup ration apr s un sinistre en cr ant un nouveau serveur CA Enterprise Log Manager pour reprendre la collecte d v nements la place du serveur en chec Annexe D R cup ration apr s sinistre 317 Remplacement d un serveur CA Enterprise Log Manager Remarque Cette proc dure ne r cup re pas les donn es d v nement qui se trouvent dans le magasin de journaux d v nements du serveur en chec Utilisez les techniques classiques de r cup ration des donn es pour r cup rer les donn es d v nement dans le magasin de journaux d v nements du serveur d faillant Pour effectuer une r cup ration partir d un serveur CA Enterprise Log Manager d sactiv 1 Installez le dispositif logiciel CA Enterprise Log Manager sur un autre serveur en utilisant le nom d h te affect au serveur d faillant Lorsque l installation demande le nom de l instance d application CA EEM assurez vous d utiliser la m me instance d application que celle utilis e par l ancien serveur Cet enregistrement r ussi permet au serveur CA EEM de synchroniser la configuration D marrez le nouveau serveur CA Enterprise Log Manager et connectez vous en tant qu utilisateur d administration par d faut EiamAdmin Lorsque le nouveau serveur CA Enterprise Log Manager d marre il se connecte automatiquement au serveur CA EEM qui t l charge ensuite les fichiers de configuration Apr s avoir re u les fichiers de co
52. quatre processeurs au maximum pour un seul ordinateur virtuel Pour obtenir des performances similaires un serveur d di affichant huit processeurs installez CA Enterprise Log Manager sur plusieurs ordinateurs virtuels puis f d rez les pour g n rer des rapports consolid s Annexe E CA Enterprise Log Manager et virtualisation 319 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Deux serveurs CA Enterprise Log Manager fonctionnant comme des invit s sous VMware ESX Server v3 5 se rapprochent de la capacit d un seul serveur CA Enterprise Log Manager d di Utilisez le tableau suivant pour planifier votre r seau virtuel R le du serveur CA Nombre de Vitesse de l UCen M moire totale en Go Enterprise Log Manager processeurs GHz Configuration minimale minimum par UC requise Gestion 8 3 8 G n ration de rapport 8 3 8 Collecte 4 3 8 Remarque Le nombre maximum d v nements par seconde est de 1 K dans une configuration de d ploiement moyenne et de 5 K dans une configuration de d ploiement importante Cr ation de serveurs CA Enterprise Log Manader l aide d ordinateurs virtuels Vous pouvez cr er des serveurs CA Enterprise Log Manager virtuels pour votre environnement de collecte de journaux d v nements l aide des sc narios ci dessous m Ajout de serveurs virtuels un environnement CA Enterprise Log Manager existant cr ation d un environnement mixte Cr a
53. 1 Connectez vous au serveur CA Enterprise Log Manager et cliquez sur l onglet Administration 2 Cliquez sur l onglet Services puis sur le noeud du service Configuration globale 3 Entrez une nouvelle valeur pour l intervalle de mise jour La valeur par d faut et recommand e est 300 secondes Configuration du magasin de journaux d v nements Le magasin de journaux d v nements est la base de donn es propri taire sous jacente qui contient les journaux d v nements collect s Les options de configuration d finies par vos soins pour le service du magasin de journaux d v nements peuvent tre globales ou locales et affecter le stockage et l archivage d v nements pour les serveurs CA Enterprise Log Manager Le processus de configuration du magasin de journaux d v nements suit les tapes ci dessous Comprendre le service du magasin de journaux d v nements Comprendre comment le magasin de journaux d v nements g re les fichiers d archive Configurer les valeurs globales et locales du magasin de journaux d v nements Cette tape inclut le param trage de la taille de la base de donn es des valeurs de base pour la conservation des fichiers d archive des r gles de r capitulation des r gles de suppression des relations de f d ration des param tres de corr lation des v rifications de l int grit des donn es et des options d archivage automatique CA Enterprise Log Manager ferme autom
54. Ajout de lecteurs de disques virtuels Utilisez la proc dure suivante afin d ajouter des lecteurs de disques virtuels pour le stockage de journaux d v nements Utilisez les m mes param tres sans tenir compte du r le jou par un serveur CA Enterprise Log Manager sp cifique sur votre r seau Pour modifier Les param tres 1 Cliquez avec le bouton droit sur votre ordinateur virtuel dans le client VMware Infrastructure et s lectionnez Modifier les param tres La bo te de dialogue Propri t s de l ordinateur virtuel s affiche 2 Mettez en surbrillance les propri t s du lecteur de CD DVD 1 3 Cliquez sur le bouton d option Unit h te et s lectionnez votre lecteur de DVD ROM dans la liste d roulante 4 S lectionnez l option Etat de l unit Connecter au d marrage 5 Cliquez sur Ajouter pour lancer l assistant d ajout de mat riel et ajouter un deuxi me disque dur 6 Mettez le disque dur en surbrillance dans la liste des unit s et cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche 7 S lectionnez l option Cr er un nouveau disque virtuel et cliquez sur Suivant 332 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 8 Sp cifiez la taille de votre nouveau disque et s lectionnez l option Sp cifier un magasin de donn es pour param trer son emplacement CA Enterprise Log Manager d tecte ce lecteur suppl mentaire au cours
55. CA Access Control 277 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 4 Cochez la case Activer l couteur et entrez dans le champ Port SAPI le m me num ro de port que celui utilis par CA Audit La valeur CA Enterprise Log Manager par d faut 0 correspond l utilisation du service du mappeur de ports pour mapper les ports Si un port est d fini dans CA Audit utilisez son num ro ici 5 Acceptez les valeurs par d faut des autres champs et faites d filer l affichage jusqu la liste des Fichiers de mappage Si vous cochez la case Enregistrer vous devez sp cifier un num ro de port SAPI 6 Ajoutez l entr e du fichier de mappage pour Access Control si elle est absente puis supprimez les autres s lections de fichiers de mappage de la liste des fichiers de mappage S lectionn s Fichiers de mappage Disponible s S lectionn e s Hom a Version Fichier AccessControl 12 0 5004 0 AccessControl 12 0 5004 0 AccessControl 12 0 5008 0 ACF2 120465 ACSelogrd 12 0 5006 0 AlxX_syslog 12 0 5003 0 Apache_20594 12 0 5003 0 Apache 2059 i 12 0 5003 0 7 Cliquez sur Enregistrer Modification d une strat gie CA Audit existante pour envoyer des v nements a CA Enterprise Log Manager Utilisez la proc dure suivante pour permettre a un client CA Audit d envoyer des v nements la fois CA Enterprise Log Manager et la base de
56. Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosImport assurez vous que le r pertoire d installation d CA Audit est inclus dans votre instruction PATH syst me Le r pertoire par d faut est opt CA eTrustAudit bin Avant d ex cuter l utilitaire d finissez les variables d environnement ci apr s avec la commande env ODBC_HOME lt r pertoire d installation des outils de donn es CA Audit gt odbc ODBCINI lt r pertoire d installation des outils de donn es CA Audit gt odbc odbc ini Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Solaris 2 Ins rez le DVD ROM d installation de l application CA Enterprise Log Manager 3 Acc dez au r pertoire CA ELM Solaris_sparc 4 Copiez l utilitaire LMSeosimport dans le r pertoire iTechnology du serveur d outils de donn es CA Audit opt CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t copi dans le r pertoire d sign et une fois les variables d environnement requises d finies II n existe aucune installation distincte ex cuter Annexe B Remarques pour les utilisateurs de CA Access Control 289 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Cr ation d un rapport d v nements SEOSDATA sur des v nements CA Access Control Pour d terminer
57. Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 336 Dispositifs virtuels CA Enterprise Log Manager 337 Fonctionnement du dispositif virtuel 338 Feuille de calcul d installation de dispositifs virtuels 338 Ajout de serveurs virtuels votre environnement 341 Cr ation d un environnement compl tement virtuel 365 D ploiement rapide de serveurs virtuels 391 T ches de post installation 2 401 Chapitre 9 Glossaire 403 Index 437 Table des mati res 13 Chapitre 1 Introduction Ce chapitre traite des sujets suivants A propos de ce manuel page 16 Chapitre 1 Introduction 15 propos de ce manuel A propos de ce manuel Manuel d impl mentation CA Enterprise Log Manager vous donne les instructions n cessaires pour planifier installer et configurer CA Enterprise Log Manager afin qu il re oive des journaux d v nements provenant des sources d v nement de votre r seau Le manuel est organis de telle sorte que les t ches d butent avec une description du processus et de ses objectifs Les processus sont g n ralement suivis par les concepts cor
58. D connectez vous du serveur de stockage distant 170 Manuel d impl mentation Configuration du magasin de journaux d v nements Configuration des cl s pour la paire G n ration de rapports Stockage distant Apr s avoir configur et valid l authentification non interactive de tous les serveurs de collecte vers le serveur de g n ration de rapports vous devez configurer et valider l authentification non interactive du serveur de g n ration de rapports vers le serveur de stockage distant Dans l exemple la premi re tape de la configuration passe par la g n ration d une nouvelle paire de cl RSA sur le serveur de g n ration de rapports ELM RPT puis par la copie de la cl publique en tant que authorized_keys dans el r pertoire tmp du serveur de stockage distant RSS Pour g n rer une paire de cl RSA sur Le serveur de g n ration de rapports et la copier sur Le serveur de stockage distant 1 Connectez vous au serveur de g n ration de rapports en tant qu utilisateur caelmadmin Basculez sur le compte d utilisateur root Basculez sur le compte d utilisateur caelmservice su caelmservice G n rez la paire de cl s RSA l aide de la commande ci dessous ssh keygen t rsa Pour accepter la valeur par d faut lorsque les invites suivantes s affichent appuyez sur Entr e a Indiquez le fichier dans lequel enregistrer la cl opt CA LogManager ssh id_rsa a Saisissez la phrase secr te
59. D connexion r ussie de la source Mon DSN Audit Sortie de l importation Annexe B Remarques pour les utilisateurs de CA Access Control 295 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Informations compl mentaires Pr sentation de la ligne de commande LMSeosimport page 265 Importation d v nements provenant d une base de donn es de collecteur Windows page 271 Importation d v nements provenant d une base de donn es de collecteur Solaris page 271 Affichage de requ tes et de rapports sur des v nements CA Access Control CA Enterprise Log Manager propose un certain nombre de requ tes et de rapports pour examiner les v nements collect s partir de CA Access Control Suivez la proc dure ci dessous pour acc der aux requ tes et aux rapports CA Access Control Pour acc der aux requ tes CA Access Control 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur autoris afficher les requ tes et rapports 2 Dans l onglet Requ tes et rapports acc dez au sous onglet Requ tes s il n est pas d j affich Requ tes et rapports Rapports planifi s Requ tes gt Rapports gt Favoris Fittre de balise de requ te fra AK sele Rechercher QaAction Alerts 45 GICA Access Control 200 I cCA Identity Manager 140 I cA SiteMinder 138 Configuration Management 43 GQ Content Security 6
60. Dans la f d ration maill e illustr e dans ce diagramme quatre serveurs de collecte sont f d r s les uns aux autres ainsi qu aux deux serveurs de rapports Chaque serveur est la fois un parent et un enfant pour chaque autre serveur de la f d ration Ce d ploiement pr sente un avantage potentiel par rapport la f d ration hi rarchique stricte vous pouvez acc der aux donn es depuis n importe quel point du maillage et obtenir des r sultats depuis tous les autres serveurs CA Enterprise Log Manager de ce maillage sans tenir compte d une hi rarchie Vous pouvez associer les f d rations maill es et hi rarchiques pour atteindre la configuration qui r pond vos besoins Par exemple une configuration maill e au sein d une seule branche peut s av rer tr s utile pour les d ploiements globaux Vous pouvez obtenir une pr sentation globale des donn es partir des serveurs parents de rapports tout en conservant des clusters r gionaux branches ayant acc s leurs propres donn es uniquement Configuration d une f d ration CA Enterprise Log Manager Chaque serveur CA Enterprise Log Manager ajout une f d ration doit faire r f rence au m me nom d instance d application sur le serveur de gestion Ainsi le serveur de gestion peut stocker et g rer l ensemble des configurations comme des configurations globales Vous pouvez configurer la f d ration tout moment mais il vaut mieux le faire avant de comme
61. Enabled Enabling YMI support will restrict the virtual machine s 7 compatability for YMotion and some other migrations to Advanced Configured other hosts which offer YMI support VMware Tools Shut Down Power Management Standby Advanced Mi General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIV None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel 362 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Cliquez sur l onglet Resources Ressources dans la fen tre S lectionnez l option CPU UC sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev i Example CA Enterprise Log Manager Virtual Machine Properties HT Sharing Any Annexe E CA Enterprise Log Manager et virtualisation 363 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 6 S lectionnez l option Memory M moire sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev Example CA Enterprise Log Manager Yirtual Machine Properties OI x Hardware Options Resources
62. Enterprise Log Manager de gestion choisissez l option locale L installation vous invite a cr er un mot de passe pour le compte d utilisateur EiamAdmin par d faut Pour chaque serveur suppl mentaire choisissez l option distante L installation vous invite indiquer le nom du serveur de gestion Que vous choisissiez l option locale ou distante vous devez utiliser l ID et le mot de passe du compte EiamAdmin lors de la premi re connexion chaque serveur CA Enterprise Log Manager Entrez cette valeur uniquement si vous s lectionnez l option de serveur distant Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de gestion install en premier Le nom d h te doit tre enregistr aupr s du serveur DNS Si vous voulez utiliser un serveur CA EEM local la valeur par d faut n est Aucun Annexe E CA Enterprise Log Manager et virtualisation 383 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Informations requises Valeur EEM_PASSWORD compte EiamAdmin FIPS MODE Oui ou Non mot de passe du Commentaires Enregistrez le mot de passe du compte d administrateur par d faut EiamAdmin Votre serveur CA Enterprise Log Manager doit disposer de ces informations d identification de compte pour la connexion initiale Si vous installez le serveur de gestion vous cr ez et confirmez ici un nouveau mot de passe EiamAdmin Notez ce mot de passe car vous l util
63. IT sur un CA EEM partag Pr paration de l impl mentation de l authentification CA IT sur un CA EEM partag Une fois votre package d installation charg sur le serveur Windows o vous comptez installer le domaine CA IT PAM vous pouvez d finir un mot de passe pour le certificat itpamcert cer Pour pr parer l impl mentation de l authentification de CA IT PAM sur le serveur de gestion CA Enterprise Log Manager 1 D compressez l image iso CA IT PAM dans l h te Windows Server 2003 o vous comptez installer CA IT PAM Remarque L image iso de CA IT PAM est disponible sur le CD 2 de la source d installation de CA IT PAM 2 Modifiez le mot de passe par d faut du certificat IT PAM facultatif a Acc dez au dossier lt install path gt eem b Ouvrez le fichier ITPAM_eem xml c Remplacez itpamcertpass dans la ligne suivante lt Register certfile itpamcert p12 password itpamcertpass gt d Enregistrez le fichier 302 Manuel d impl mentation Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager La commande safex g n re des objets de s curit CA IT PAM partir du fichier ITPAM_eem xml Vous devez copier ce fichier dans le dispositif CA Enterprise Log Manager ou il sera accessible lors du traitement safex Pour copier le fichier ITPAM_eem xml sur Le dispositif CA Enterprise Log Manader Copiez le fichi
64. La biblioth que de mappage de donn es peut contenir un ou plusieurs fichiers de mappage portant le m me nom mais des num ros de version diff rents Les diff rents fichiers prennent en charge diff rents niveaux de version de la m me source d v nement comme un syst me d exploitation une base de donn es etc Vous devez s lectionnez un seul fichier de mappage correspondant la version lorsque vous configurez le collecteur ou le routeur SAPI Si deux fichiers portant le m me nom sont pr sents dans la liste des fichiers de mappage s lectionn s le moteur de mappage utilise uniquement le premier fichier de la liste Si ce n est pas le fichier adapt au flux d v nements entrants le moteur de mappage ne peut pas mapper correctement les v nements De ce fait les requ tes et rapports risquent d afficher des informations n incluant pas les v nements mal mapp s ou m me d pourvues d v nements Annexe A Remarques pour les utilisateurs de CA Audit 253 Configuration d adaptateurs CA Configuration du service de collecteur SAPI Utilisez la proc dure suivante pour configurer le service de collecteur SAPI Vous pouvez modifier les strat gies CA Audit utilisant des actions du collecteur pour envoyer des v nements un serveur CA Enterprise Log Manager en plus ou la place de l envoi d v nements la base de donn es du collecteur CA Audit Configurez ce service avant de modifier les strat gies d audit pour vo
65. Les administrateurs doivent d finir le mode FIPS pour chaque serveur CA Enterprise Log Manager dans une f d ration Important Vous ne pouvez pas utiliser des modes mixtes pour une m me f d ration de serveurs Si un serveur ex cut dans une f d ration utilise un mode diff rent il ne pourra pas collecter les donn es de requ tes et de rapports ou r pondre aux demandes provenant d autres serveurs 94 Manuel d impl mentation Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS Pour permuter les modes FIPS et non FIPS 1 2 Connectez vous au serveur CA Enterprise Log Manager Acc dez l onglet Administration puis cliquez sur le sous onglet Services D veloppez le noeud de service Etat du syst me et s lectionnez un serveur CA Enterprise Log Manager La bo te de dialogue Configuration du service s affiche S lectionnez un mode FIPS activ ou d sactiv dans la liste d roulante Cliquez sur Enregistrer Le serveur CA Enterprise Log Manager red marre dans le mode s lectionn Vous pouvez vous connecter de nouveau pour afficher le mode FIPS de l agent dans l explorateur d agent V rifiez le serveur CA Enterprise Log Manager en utilisant la bo te de dialogue du service Etat du syst me apr s le red marrage du serveur Vous pouvez galement utiliser des v nements d autosurveillance pour v rifier que le d marrage du serveur CA E
66. Log Manager ovf Properties Ready to Complete Annexe E CA Enterprise Log Manager et virtualisation 369 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 9 Cliquez sur Suivant La page OVF Template Details Informations du mod le OVF s ouvre Cette page contient les informations stock es dans le mod le OVF tells que la taille de t l chargement la taille de disque disponible et le nom des fournisseurs 10 V rifiez que le serveur VMware dispose de 350 Go minimum d espace disque puis cliquez sur Suivant Deploy OYF Template OYF Template Details Verify OVF template details Source OYF Template Details End User License Agreement Name and Location Deployment Configuration Host Cluster Resource Pool Properties Ready to Complete 370 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels La page End User License Agreement Contrat de licence de l utilisateur final s affiche Cette page contient le contrat de licence de produits tiers Vous devez accepter ce contrat de licence pour installer CA Enterprise Log Manager 11 Lisez le contrat de licence Deploy O F Template End User License Agreement Accept the end user license agreements Source OVE Template Details End User License Agreeme Name and Location Deployment Configuration Host Cluster Properties Ready to Complete
67. Manager principal Ce serveur sert galement de proxy d abonnement en ligne et doit par cons quent tre dot d un acc s Internet Si aucun autre proxy d abonnement en ligne n est d fini ce serveur obtient les mises jour d abonnement aupr s du serveur d abonnement CA puis t l charge les mises jour de fichiers binaires sur tous les clients et envoie les mises jour de contenu CA EEM Si d autres proxies sont d finis le serveur obtient tout de m me les mises jour d abonnement mais il est contact par les clients uniquement lorsque aucune liste de proxies d abonnement n est configur e ou lorsque la liste configur e est puis e 426 Manuel d impl mentation rapport rapports EPHI recatalogage Un rapport est une repr sentation graphique ou tabulaire des donn es de journal d v nements qui est g n r e en ex cutant des requ tes pr d finies ou personnalis es l aide de filtres Les donn es peuvent tre issues de bases de donn es chaudes ti des et d givr es dans le magasin de journaux d v nements du serveur s lectionn et sur demande de ses serveurs f d r s Les rapports EPHI Electronic Protected Health Information sont des rapports relatifs la s curit HIPAA Health Insurance Portability and Accountability Act Ces rapports peuvent vous aider d montrer que toutes les informations m dicales associ es aux patients et identifiables individuellement qui sont cr es sto
68. PAM page 300 Processus d impl mentation de l authentification CA IT PAM page 300 Pr paration de l impl mentation de l authentification CA IT sur un CA EEM partag page 302 Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager page 303 Enregistrez CA IT PAM avec un CA EEM partag page 303 Copie du certificat dans le serveur CA IT PAM page 305 D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis page 305 Installation de composants tiers requis par CA IT PAM page 307 Installation du domaine CA IT PAM page 308 D marrez le service du serveur CA ITPAM page 309 Lancez la console du serveur CA IT PAM et connectez vous page 310 Annexe C Remarques sur CA IT PAM 299 Sc nario Utilisation de CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM Sc nario Utilisation de CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM Cette annexe pr sente le sc nario d installation de CA IT PAM sur un serveur Windows et le partage de CA EEM sur le serveur CA Enterprise Log Manager pour l authentification Ces proc dures compl tent celles document es dans le Manuel d installation de CA IT Process Automation Important Le partage de CA EEM n est pas pris en charge en mode FIPS car CA IT PAM n est pas compatible avec la norme FIPS Si vous mettez niveau votre serveur CA Enterprise Log Manager vers le mode FIPS l int
69. Planification de votre environnement 23 Planification des serveurs m Serveur de stockage distant Il s agit d un serveur de stockage distant non CA Enterprise Log Manager qui ex cute les fonctions d crites ci dessous Il re oit les bases de donn es archiv es automatiquement et fortement compress es provenant des serveurs de rapports selon des intervalles configur s avant de supprimer ces bases de donn es en fonction de l anciennet ou du manque d espace disque disponible L archivage automatique vous vite de d placer manuellement les bases de donn es Il stocke en local les bases de donn es froides Vous pouvez galement d placer ou copier ces bases de donn es vers un emplacement hors site des fins de stockage long terme Les bases de donn es froides sont g n ralement conserv es pendant le nombre d ann es stipul par les agences r glementaires gouvernementales Les serveurs de stockage distants ne font jamais partie d une f d ration CA Enterprise Log Manager Toutefois ils m ritent votre consid ration lorsque vous pr voyez votre architecture 24 Manuel d impl mentation Planification des serveurs Serveur de point de restauration En g n ral les serveurs de rapports agissent comme des serveurs de point de restauration pour les bases de donn es qu ils ont stock es auparavant Si vous disposez d un r seau de grande taille envisagez de d dier un serveur CA Enterprise Log Manager ce r
70. TCP IP tel que sp cifi dans le manuel du connecteur pour Microsoft SQL Server 4 Configurez le serveur SQL et v rifiez que les v nements sont dirig s vers la table de trace tel que sp cifi dans le manuel du connecteur pour Microsoft SQL Server Remarque Conservez le nom de la base de donn es sur laquelle vous avez cr la table de trace Vous devez sp cifier ce nom de base de donn es dans la cha ne de connexion Par exemple master Pour cr er un connecteur sur l agent par d faut afin de r cup rer des v nements d n r s par une base de donn es SQL Server sur un serveur ODBC 1 S lectionnez l onglet Administration puis le sous onglet Collecte de journaux 2 D veloppez Explorateur d agent puis le groupe d agents qui contient l agent par d faut CA Enterprise Log Manager 3 S lectionnez un agent par d faut c est dire un agent portant le nom d un serveur CA Enterprise Log Manager D autres connecteurs peuvent tre d ploy s sur l agent par d faut 4 Cliquez sur Cr er un connecteur Explorateur de collecte de journaux 2 a FT e BAH gt O Adaptateurs CA B Afficher l tat de 2 Agen Cr er un connecteur gt 3 Biblioth que d ajustement d v nement v Explorateur d agent a exp ks D tails de l tat de l agent v Default Agent Group Y tr85111 blade2 ca com 2 Agent_stop S lectionner et Red marrer S lectionnez les agents en cours d
71. URL du serveur sur lequel le CA EEM utilis par CA Enterprise Log Manager est install par exemple le serveur de gestion de CA Enterprise Log Manager https lt serveur gestion ELM management gt 5250 spin eiam L cran d acc s CA EEM s affiche La liste d roulante de l application inclut lt Global gt CAELM et ITPAM 2 Connectez vous l application IT PAM a S lectionnez ITPAM comme application b Saisissez EiamAdmin comme nom d utilisateur c Saisissez le mot de passe du compte d utilisateur EiamAdmin d Cliquez sur Connexion 3 Cliquez sur l onglet G rer identit s 4 Dans la bo te de dialogue Rechercher des utilisateurs saisissez itpam pour la Valeur et cliquez sur OK Les utilisateurs suivants apparaissent dans la liste a itpamadmin itpamuser 5 R initialisez le mot de passe du compte itpamadmin a S lectionnez itpamadmin dans la liste et acc dez a Authentification dans le panneau de droite b S lectionnez R initialiser le mot de passe c Saisissez le mot de passe de ce compte dans les champs Nouveau mot de passe et Confirmer le mot de passe d Cliquez sur Enregistrer 306 Manuel d impl mentation Installation de composants tiers requis par CA IT PAM 6 R initialisez le mot de passe du compte itpamuser a S lectionnez itpamuser dans la liste et acc dez Authentification dans le panneau de droite b S lectionnez R initialiser le mot de passe c Saisissez le mot de pa
72. Web du support CA Utilisez les disques que vous venez de cr er pour les installations Installation d un serveur CA Enterprise Log Manager Ce processus d installation comprend les tapes suivantes Remplissez la feuille de calcul du serveur CA Enterprise Log Manager Installez le serveur de gestion CA Enterprise Log Manager Remarque Si vous utilisez un stockage SAN veillez ne pas effectuer d installation sur un lecteur SAN 76 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager Installez un ou plusieurs serveurs de collecte CA Enterprise Log Manager Installez un ou plusieurs serveurs de rapports facultatif Remarque Si vous n installez pas un serveur d di la g n ration de rapport vous pouvez utiliser le serveur de gestion pour ce r le m Installez un serveur de point de restauration facultatif a V rifiez l installation m Affichez les v nements d autosurveillance Important Configurez vos disques de stockage dans une baie RAID avant de commencer l installation de CA Enterprise Log Manager Configurez les deux premiers disques comme la baie RAID 1 et d finissez la comme la baie de d marrage Configurez les disques restants comme une seule baie RAID 5 Si vous ne configurez pas la baie RAID vous risquez de perdre des donn es Pour la s curit g n rale du serveur CA Enterprise Log Manager lui m me lors de l installation l utilitaire Grand Unified Boot loade
73. activez pas le serveur nouvellement install ne pourra pas communiquer avec le serveur de gestion ou le serveur CA EEM distant et vous devrez r installer le nouveau serveur CA Enterprise Log Manager L activation du mode FIPS pour le serveur de gestion CA Enterprise Log Manager ou le serveur CA EEM distant permet d enregistrer le nouveau serveur CA Enterprise Log Manager et de le rattacher la f d ration Informations compl mentaires Activation des op rations en mode FIPS page 94 Affichage du tableau de bord des agents page 96 Remarques concernant l installation d un syst me disposant de lecteurs SAN Lorsque vous installez le syst me d exploitation pour le dispositif de CA Enterprise Log Manager sur un syst me disposant de lecteurs SAN veillez ne pas effectuer d installation sur un lecteur SAN Un chec se produit pour ces installations Pour une installation r ussie suivez l une des approches suivantes m D sactivez les lecteurs SAN Installez le syst me d exploitation et l application CA Enterprise Log Manager normalement Configurez les lecteurs SAN pour CA Enterprise Log Manager puis red marrez CA Enterprise Log Manager pour activer la configuration m Laissez les lecteurs SAN activ s Commencez l installation du syst me d exploitation Quittez la proc dure en suivant la description qui s affiche pour modifier la s quence d op rations d finies dans le fichier kickstart Reprenez la proc dure et
74. agents et des connecteurs Les agents s enregistrent aupr s du serveur CA Enterprise Log Manager sp cifi lorsque vous les d marrez pour la premi re fois Apr s cet enregistrement le nom de l agent s affiche dans l Explorateur d agent et vous pouvez configurer un connecteur pour commencer la collecte des journaux d v nements Les connecteurs collectent les journaux d v nements et les envoient au serveur CA Enterprise Log Manager Un agent peut contr ler plusieurs connecteurs 212 Manuel d impl mentation Configuration de l agent par d faut L utilisation de l Explorateur d agent pour installer configurer et contr ler des connecteurs et des agents implique les tapes de base ci apr s 1 T l chargez les fichiers binaires de l agent 2 Cr ez un ou plusieurs groupes d agents facultatif 3 Cr ez et configurez un connecteur notamment en cr ant ou en appliquant des r gles de suppression et de r capitulation 4 Affichez l tat des agents ou des connecteurs Reportez vous au Manuel d administration CA Enterprise Log Manager pour plus d informations sur la cr ation et l utilisation des groupes d agents et des connecteurs ainsi que sur l application de r gles de suppression aux agents Informations compl mentaires A propos des agents page 66 A propos des groupes d agents page 67 A propos des d tecteurs de journaux page 69 Effets des r gles de suppression page 71 Configuration de l agent par d
75. ce port pour permettre le bon fonctionnement Port Composant Description 17002 ODBC JDBC 17003 Agent 17200 Ecouteur SME de l ex cuteur 17201 Ecouteur d v nement de l ex cuteur al atoire SAPI Configurations initiales du serveur CA Enterprise Log Manager Port TCP par d faut utilis pour les communications entre le pilote ODBC ou JDBC et le magasin de journaux d v nements CA Enterprise Log Manager Port TCP utilis pour les communications par le bus de messages Qpid pour les agents r12 1 Port TCP utilis par le service de l ex cuteur sur l h te local de l agent pour couter les v nements d autosurveillance entre les processus de l agent Port TCP utilis par le service de l ex cuteur sur l h te local de l agent pour couter les v nements provenant des connecteurs du client Ports UDP utilis s pour la collecte d v nements affect e parle mappeur de ports vous pouvez galement configurer le routeur et le collecteur SAPI pour utiliser n importe quel num ro de port fixe au del de 1024 Liste des processus li s Nom du processus caelmagent caelmconnector caelmdispatcher caelmwatchdog La table suivante repr sente une liste des processus s ex cutant au sein d une impl mentation CA Enterprise Log Manager Cette liste n int gre pas les processus syst me li s au syst me d exploitation sous jacent Port par d faut 6789 17001 D pend de ce qu il coute ou de ce
76. configure le magasin d utilisateurs cr e les strat gies de mots de passe et cr e le premier compte d utilisateur dot du r le Administrator L utilisateur EiamAdmin peut galement effectuer n importe quelle op ration contr l e par CA EEM La norme FIPS 140 2 est la norme f d rale de traitement de l information Federal Information Processing Standard Cette norme f d rale sp cifie les configurations requises de s curit pour des modules cryptographiques utilis s dans un syst me de s curit prot geant des informations sensibles mais non classifi es La norme fournit quatre niveaux qualitatifs et d am lioration de la s curit visant couvrir une vaste gamme d applications et d environnements potentiels OID identificateur d objet L OID identificateur d objet est l identifiant num rique unique d un objet de donn es appari une valeur dans un message d interruption SNMP Chaque OID utilis dans une interruption SNMP envoy e par CA Enterprise Log Manager est mapp un champ CEG dans la MIB La syntaxe d un OID mapp un champ CEG est la suivante 1 3 6 1 4 1 791 9845 x x x o 791 est le num ro d entreprise de CA et 9845 est l identifiant produit de CA Enterprise Log Manager 424 Manuel d impl mentation point de collecte pozFolder Un point de collecte est un serveur sur lequel un agent est install sur le r seau ce serveur est proche de tous les serveurs contenant les sources d v neme
77. configurer l authentification non interactive une condition pr alable l archivage automatique est bas sur deux serveurs CA Enterprise Log Manager un serveur de collecte et un serveur de g n ration de rapports de gestion et un syst me de stockage distant sur un serveur UNIX ou Linux Cet exemple suppose que les trois serveurs pr par s pour l archivage automatique sont NY Collecte ELM m NY Rapports ELM m NY Serv Stockage Chapitre 5 Configuration des services 173 Configuration du magasin de journaux d v nements Les proc dures pour activer l authentification non interactive sont les suivantes 1 A partir du serveur NY Collecte ELM g n rez la paire de cl s RSA comme caelmservice puis copiez la cl publique de cette paire comme authorized_ keys dans le r pertoire tmp sur NY Rapports ELM 2 Cr ez un r pertoire ssh sur NY Rapports ELM modifiez les droits de propri t sur caelmservice d placez le fichier authorized_keys du r pertoire tmp vers le r pertoire ssh puis d finissez les droits de propri t du fichier cl sur caelmservice avec les autorisations obligatoires 3 Validez l authentification non interactive de NY Collecte ELM vers NY Rapports ELM 4 A partir du serveur NY Rapports ELM g n rez la paire de cl s RSA comme caelmservice puis copiez la cl publique de cette paire comme authorized_ keys dans le r pertoire tmp sur NY Serv Stockage 5 Dans le serveur NY Serv Stockage
78. cr e la structure de r pertoires opter CA LogManager A partir de ce chemin d acc s cr ez un r pertoire ssh modifiez les droits de propri t sur caelmservice d placez authorized_keys dans ce r pertoire et d finissez les droits de propri t du fichier cl sur caelmservice avec les autorisations obligatoires 6 Validez l authentification non interactive de NY Rapports ELM vers NY Serv Stockage Les d tails pour ces tapes sont similaires ceux du sc nario de topologie en toile Pour un sc nario trois serveurs vous pouvez ignorer l tape 2 sur des paires g n ration de rapports collecte suppl mentaires et ignorer les instructions de l tape 3 sur la concat nation des fichiers dans authorized_keys 174 Manuel d impl mentation Configuration du magasin de journaux d v nements Exemple Archivage automatique sur trois serveurs Dans une architecture collecte g n ration de rapports vous devez configurer l archivage automatique entre le serveur de collecte et un serveur de rapports Cette configuration automatise le d placement d une base de donn es ti de contenant les donn es de journaux d v nements collect s et ajust s vers le serveur de rapports sur lequel vous pouvez effectuer la g n ration de rapports Il est recommand de planifier cet archivage automatique toutes les heures plut t qu une fois par jour afin d viter de longs transferts quotidiens Choisissez une planification bas e s
79. d bit d v nements plus rapide vers le stockage tout en g rant un plus grand nombre de sources d v nement Un seul agent peut g rer plusieurs connecteurs reli s aux sources d v nement ce qui simplifie les t ches de gestion de l agent et permet de b n ficier des int grations pr d finies pour les sources courantes ou communes de journaux d v nements 250 Manuel d impl mentation Configuration d adaptateurs CA Dans cette impl mentation le serveur de collecte CA Enterprise Log Manager re oit directement les v nements Syslog iTechnology et SAPI Recorder Le serveur de collecte re oit des v nements provenant de sources d v nement Windows par le biais d un agent CA Enterprise Log Manager distinct pour Windows Plusieurs agents peuvent tre d ploy s sur votre r seau et chacun d entre eux peut collecter de nombreux types diff rents de donn es d v nement via leurs connecteurs Cela permet de r duire le trafic d v nements vers la base de donn es SEOSDATA et de profiter des requ tes et rapports disponibles dans CA Enterprise Log Manager Une simple modification de la r gle de strat gie permet aux clients CA Audit d envoyer les v nements collect s au serveur d outils de donn es et au serveur CA Enterprise Log Manager Outre un d bit plus lev CA Enterprise Log Manager propose des requ tes et rapports pr ts l emploi qui vous permettent de prouver votre conformit l gard de nombreuses n
80. d r e renvoie ses r sultats depuis le serveur s lectionn et ses enfants Une f d ration maill e de serveurs CA Enterprise Log Manager est une topologie qui tablit une relation de parit entre les serveurs Dans sa forme la plus simple le serveur 2 est un enfant du serveur 1 et le serveur 1 est un enfant du serveur 2 Une paire de serveurs maill e a une relation bilat rale Une f d ration maill e peut tre d finie pour qu un grand nombre de serveurs soient les pairs les uns des autres Une requ te f d r e renvoie ses r sultats depuis le serveur s lectionn et tous ses pairs 416 Manuel d impl mentation fichier d analyse de message XMP Message Parsing File Un fichier d analyse de message XMP est un fichier XML associ un type de source d v nement sp cifique qui applique des r gles d analyse Les r gles d analyse d composent les donn es pertinentes d un v nement brut collect afin d obtenir des paires nom valeur qui sont ensuite transmises au fichier de mappage de donn es des fins de traitement Ce type de fichier est utilis dans toutes les int grations ainsi que dans les connecteurs qui sont eux m mes bas s sur des int grations Dans le cas d adaptateurs CA les fichiers XMP peuvent galement tre appliqu s au serveur CA Enterprise Log Manager fichiers de mappage de donn es filtrage d v nements filtre filtre d acc s filtre global Les fichiers de mappage des donn
81. d abonnement page 56 60 Manuel d impl mentation Planification des mises jour d abonnement Exemple Configuration d abonnement avec six serveurs Lorsque vous abordez la configuration de l abonnement tenez compte des autres r les assum s par les serveurs avant de d cider de leur r le d abonnement Par d faut le serveur de gestion premier serveur install est le proxy d abonnement par d faut Tous les autres serveurs sont des clients d abonnement du proxy d abonnement par d faut M me si cette situation est acceptable il est pr f rable de configurer un proxy d abonnement en ligne et de laisser le proxy par d faut agir comme proxy de basculement ou proxy redondant Il est recommand d affecter le r le de proxy en ligne au serveur le moins actif Exemple Six serveurs parmi lesquels Le serveur Le moins occup est le proxy d abonnement en ligne Envisagez un sc nario comportant six serveurs CA Enterprise Log Manager Le serveur de gestion est d di l authentification et l autorisation des utilisateurs lors de la connexion ainsi qu au stockage du contenu d applications Quatre serveurs f d r s g rent le traitement des v nements et la g n ration de rapport Un sixi me serveur constitue un point de restauration d di pour rechercher des v nements provenant de bases de donn es restaur es Disposer d un point de restauration d di pr sente un avantage certain vous pouvez ainsi emp cher l inclu
82. d applications Web avec possibilit s de configuration des pools de connexions est install et fonctionne correctement Obtenez la cl de licence pour le pilote du client JDBC Installez le client JDBC Configurez la connexion a la base de donn es en utilisant les fonctions de gestion de pool de connexions de votre serveur d applications Web Testez la connexion la base de donn es Configuration requise pour le client JDBC L acc s JDBC au magasin de journaux d v nements est disponible uniquement avec CA Enterprise Log Manager r12 1 et versions ult rieures Vous pouvez installer le client JDBC sur des syst mes Windows ou UNIX Les utilisateurs de cette fonctionnalit doivent appartenir un groupe d utilisateurs CA Enterprise Log Manager dot de droits dataaccess acc s aux donn es dans la strat gie par d faut d acc s aux donn es dans les strat gies d acc s CALM Pour plus d informations sur les strat gies d acc s reportez vous au Manuel d administration de CA Enterprise Log Manager r12 1 Pour un client JDBC les conditions ci dessous doivent tre remplies Vous devez disposer des droits d administrateur pour installer le client JDBC sur un serveur Windows Dans la fen tre de configuration du serveur ODBC assurez vous que la case Activer le service est coch e Vous devez tre habilit cr er des fichiers dans le r pertoire d installation du client sur les syst mes UNIX et Linux Pour les
83. de collecte et de sauvegarder g n ration de Configuration de avec l option list rapports l archivage inc de l utilitaire automatique du LMArchive F ES Farian g n ration de Sauvegarde des Configuration de espere bases de donn es l archivage stockage astan et d placement automatique entre a des sauvegardes Tous les jours les serveurs de Sauvegarde des vers le stockage collecte et de bases de donn es distant g n ration de et d placement rapports des sauvegardes Enregistrement vers un des sauvegardes emplacement hors dans le catalogue site d archives avec di l option notify arch de l utilitaire LMArchive Chapitre 5 Configuration des services 161 Configuration du magasin de journaux d v nements Configuration de l authentification non interactive pour l archivage automatique Vous pouvez configurer l archivage automatique entre serveurs ayant des r les diff rents Par exemple A partir d un ou plusieurs serveurs de collecte vers un unique serveur de g n ration de rapports A partir d un ou plusieurs serveurs de g n ration de rapports vers un unique serveur de stockage distant Avant de configurer l archivage automatique d un serveur vers un autre configurez l authentification ssh non interactive du serveur source vers le serveur de destination Non interactive signifie qu un serveur peut d placer des fichiers vers un autre serveur sans n cessiter de mot de passe Si vous
84. de corr lation puis qui les distribuent au serveur de gestion sur lequel elles seront stock es et utilis e par CA Enterprise Log Manager Vous pouvez configurer une liste de proxys pour obtenir des mises jour de contenu uniquement au niveau global Les listes de proxys permettent d assurer que les mises jour d abonnement soient r cup r es et distribu es en temps voulu M me dans un environnement CA Enterprise Log Manager de petite taille il est recommand de configurer au moins un proxy de sauvegarde pour les mises jour de client et de contenu au cas o le proxy principal deviendrait indisponible Pour configurer une liste de proxys 1 Cliquez sur l onglet Administration et le sous onglet Services 2 Cliquez sur Service d abonnement La Configuration globale du service d abonnement s affiche 202 Manuel d impl mentation ou 5 Configuration de l abonnement Effectuez l une des op rations suivantes Pour sp cifier une liste de proxys globaux pour l ensemble de l environnement CA Enterprise Log Manager cliquez sur l onglet Administration Pour sp cifier une liste de proxys locaux pour un client d abonnement sp cifique cliquez sur le nom du serveur puis acc dez l onglet Administration et passez en configuration locale Ajoutez les serveurs proxys de votre choix aux listes de proxys Important Dans un environnement d abonnement mixte dans lequel vous avez configur la fois des prox
85. de journaux d v nements vous permet de d finir des options globales pour tous les serveurs CA Enterprise Log Manager Vous pouvez galement cliquer sur la fl che en regard de l entr e pour d velopper le noeud Magasin de journaux d v nements Vous affichez ainsi les serveurs CA Enterprise Log Manager individuels de votre r seau En cliquant sur les noms de ces serveurs vous pouvez d finir des options de configuration locales sp cifiques chaque serveur si vous le souhaitez Les utilisateurs dot s du r le Administrator peuvent configurer n importe quel serveur CA Enterprise Log Manager partir de n importe quel autre serveur CA Enterprise Log Manager Chapitre 5 Configuration des services 183 Configuration du service de corr lation Pour d finir Les options des magasins de journaux d v nements 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut Cliquez sur le sous onglet Services S lectionnez l entr e Magasin de journaux d v nements Les options par d faut offrent une bonne configuration de d part pour un r seau de taille moyenne dot d un d bit mod r Vous trouverez d autres informations sur chaque champ dans l aide en ligne Remarque Les tables Enfants de f d ration de serveurs et Archivage automatique s affichent uniquement lorsque vous affichez les options locales d un serveur CA E
86. des recherches bas es sur les regroupements pertinents Le terme balise d signe galement le nom de ressource utilis dans une strat gie octroyant l utilisateur le droit de cr er une balise bases de donn es archiv es Les bases de donn es archiv es sur un serveur CA Enterprise Log Manager donn incluent toutes les bases de donn es ti des disponibles pour requ te mais n cessitant une sauvegarde manuelle avant expiration toutes les bases de donn es froides toutes les bases de donn es enregistr es comme restaur es partir d une sauvegarde biblioth que d ajustement d v nement La biblioth que d ajustement d v nement est l espace de stockage qui contient les int grations les fichiers de mappage et d analyse ainsi que les r gles de suppression et de r capitulation pr d finis et d finis par l utilisateur biblioth que d analyse de message La biblioth que d analyse de message est une biblioth que qui accepte les v nements provenant des files d attente d couteur et qui utilise des expressions r guli res pour marquer les cha nes en paires nom valeur biblioth que de la requ te La biblioth que de la requ te est la biblioth que dans laquelle sont stock es toutes les requ tes les balises de requ te et les filtres d invite pr d finis et d finis par l utilisateur 406 Manuel d impl mentation biblioth que de rapports La biblioth que de rapports est la biblioth que dans laquelle s
87. des serveurs de collecte 190 Conception et application des notifications d incidents 190 Cr ation d une destination de notification 191 Remarques sur le service d incidents 195 Remarques sur le serveur ODBC 196 Remarques sur le serveur de rapports 197 Configuration de l abonnement 2 198 Configuration d un proxy d abonnement en ligne 199 Configuration d un proxy d abonnement hors ligne 200 Configuration d un client d abonnement 201 Configuration des listes de proxys 202 Modules ie lt 1 o ak RSR a a OOS aa eT 203 D finition d une planification d abonnement 209 Chapitre 6 Configuration de la collecte d v nements 211 Installation d agents 2 52 ssssiesseutrsetigunrsilisiteseteatisetiinstinabeoetesrt entente 211 Utilisation de l Explorateur d agent 222 e rraren 212 Configuration de l agent par d faut
88. disposez uniquement de trois serveurs un serveur de collecte un serveur de g n ration de rapports et un serveur de stockage distant configurez l authentification non interactive deux fois A partir du serveur de collecte vers le serveur de g n ration de rapports A partir du serveur de g n ration de rapports vers le serveur de stockage distant m Si vous disposez de six serveurs avec quatre serveurs de collecte un serveur de g n ration de rapports et un serveur de stockage distant configurez l authentification non interactive cinq fois A partir du serveur de collecte 1 vers le serveur de g n ration de rapports A partir du serveur de collecte 2 vers le serveur de g n ration de rapports A partir du serveur de collecte 3 vers le serveur de g n ration de rapports A partir du serveur de collecte 4 vers le serveur de g n ration de rapports A partir du serveur de g n ration de rapports vers le serveur de stockage distant 162 Manuel d impl mentation Configuration du magasin de journaux d v nements La configuration de l authentification ssh non interactive entre deux serveurs requiert des paires de cl RSA une cl priv e et une cl publique Copiez la premi re cl publique que vous g n rez sur le serveur de destination en tant que authorized_keys Lorsque vous configurez plusieurs instances d authentification non interactive sur le m me serveur de g n ration de rapports de destination c
89. en tant qu utilisateur dot des droits Administrator ou root 2 Acc dez au dossier de votre syst me d exploitation a UNIX ou Linux opt CA SharedComponents iTechnology a Windows Program Files CA SharedComponents iTechnology 3 Arr tez le d mon ou le service iGateway avec la commande ci apr s a UNIX ou Linux S99igateway stop Windows net stop igateway 4 Modifiez le fichier iControl conf Vous trouverez ci dessous un exemple de fichier iControl dans lequel les sections que vous devez modifier apparaissent en gras lt xml version 1 0 encoding UTF 8 standalone no gt lt iSponsor gt lt Name gt iCont rol lt Name gt lt ImageName gt iControl lt ImageName gt lt Version gt 4 5 0 2 lt Version gt lt DispatchEP gt iDispatch lt DispatchEP gt lt ISType gt DSP lt ISType gt lt Gated gt false lt Gated gt lt PreLoad gt t rue lt PreLoad gt lt RouteEvent gt false lt RouteEvent gt lt RouteEventHost gt localhost lt RouteEventHost gt lt EventsToCache gt 100 lt EventsToCache gt lt EventUseHttps gt t rue lt EventUseHttps gt lt EventUsePersistentConnections gt true lt EventUsePersistentConnections gt lt EventUsePipeline gt false lt EventUsePipeline gt lt StoreEventHost max 10000 gt Localhost lt StoreEventHost gt lt RetrieveEventHost interval 60 gt Localhost lt RetrieveEventHost gt lt UID gt ef1f44ef r8sp1cr3596a1052 abcd28 2 lt UID gt lt PublicKey gt Valeur cl publique lt Publickey
90. et copier la cl publique sur un serveur commun de g n ration de rapports 1 Connectez vous au deuxi me serveur de collecte ELM C2 au moyen du ssh en tant que caelmadmin Basculez sur le compte d utilisateur root Basculez sur le compte d utilisateur caelmservice su caelmservice G n rez la paire de cl s RSA l aide de la commande ci dessous ssh keygen t rsa Pour accepter la valeur par d faut lorsque les invites suivantes s affichent appuyez sur Entr e a Indiquez le fichier dans lequel enregistrer la cl opt CA LogManager ssh id_rsa a Saisissez la phrase secr te laissez le champ vide si aucune phrase secr te n a t d finie a Confirmez la phrase secr te 166 Manuel d impl mentation 10 11 12 13 Configuration du magasin de journaux d v nements Acc dez au r pertoire opt CA LogManager Modifiez les autorisations du r pertoire ssh l aide de la commande ci dessous chmod 755 ssh Acc dez au fichier ssh dans lequel la cl id_rsa pub est enregistr e Copiez le fichier id_rsa pub sur ELM RPT le serveur CA Enterprise Log Manager de destination l aide de la commande ci dessous scp id rsa pub caelmadmin ELM RPT tmp authorized keys ELM C2 Le fichier authorized_keys_ELM C2 est cr sur le serveur de g n ration de rapports avec le contenu de la cl publique Entrez yes oui suivi du mot de passe de caelmadmin pour ELM RPT Entrez exit quitter
91. exemple envisagez le sc nario pour lequel vous souhaitez des donn es consolid es l aide de trois types de groupements de serveurs Tous les serveurs Pour obtenir des rapports syst me sur les v nements d autosurveillance l inclusion de tous les serveurs vous permet d valuer simultan ment la sant de l ensemble de votre r seau CA Enterprise Log Manager de serveurs Tous les serveurs de rapports Pour les rapports r capitulatifs et de tendances dans lesquels vous souhaitez examiner les donn es collect es par tous les agents qui envoient des donn es tous les serveurs de collecte tout en veillant ce que vos serveurs de collecte ne traitent pas les requ tes sur les nouveaux v nements non compress s vous devez ex cuter des rapports f d r s qui incluent uniquement les serveurs de rapports Un ensemble de serveurs de collecte avec leur serveur de rapports Pour les rapports dont vous souhaitez limiter les donn es un param tre local avec un serveur de rapports tout en souhaitant que ce rapport inclut les v nements qui n ont pas encore t envoy s ce serveur par ses serveurs de collecte vous devez ex cuter des rapports f d r s sur ce sous ensemble de serveurs Vous trouverez ci dessous un exemple de carte de f d ration qui vous permet d atteindre ces objectifs de g n ration de rapports L GENDE R le des serveurs Type de F d ration Serveur de gestion Parent
92. fichiers XMP analyse de mappage L analyse de fichiers XMP est le processus r alis par l utilitaire d analyse de message pour rechercher tous les v nements contenant chaque cha ne pr associ e pour chaque v nement associ en d composant l v nement en jetons l aide du premier filtre trouv qui utilise la m me cha ne pr associ e L analyse de mappage est une tape de l Assistant de fichier de mappage qui vous permet de tester et de modifier un fichier de mappage de donn es Des exemples d v nement sont test s par rapport au fichier de mappage de donn es et les r sultats sont valid s avec la CEG 404 Manuel d impl mentation analyse de message analyse des journaux AppObjects archivage automatique archivage de journaux L analyse de message est le processus consistant a appliquer des r gles a l analyse d un journal d v nements bruts afin d obtenir des informations pertinentes telles que l horodatage l adresse IP et le nom d utilisateur Les r gles d analyse utilisent la correspondance de caract res pour localiser un texte d v nement sp cifique et le relier aux valeurs s lectionn es L analyse des journaux est l tude des entr es de journal qui permet d identifier les v nements pertinents Si les journaux ne sont pas analys s opportun ment leur valeur est consid rablement r duite Les AppObjects Application Objects ou objets d application sont des ressources sp ci
93. finir Les param tres de paravirtualisation et de ressources 1 Cliquez avec le bouton droit de la souris sur le nouveau dispositif virtuel CA Enterprise Log Manager situ dans le volet gauche et cliquez sur Edit Settings Modifier les param tres La fen tre lt CA Enterprise Log Manager Virtual Appliance name gt Virtual Machine Properties Propri t s de l ordinateur virtuel lt CA Enterprise Log Manager nom application virtuelle gt s affiche 2 Cliquez sur l onglet Option dans la fen tre 3 S lectionnez le param tre Paravirtualization situ dans le volet gauche puis l option Support VMI Paravirtualization Prise en charge de la paravirtualization VMI situ e dans le volet droit Example CA Enterprise Log Manager Yirtual Machine Properties _ Oy x Hardware Options Resources Virtual Machine Version 7 Settings Summary VMI is a paravirtualization standard supported by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with YMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no j y performance benefit From this support IP Allocation Policy Fixed IPv4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s compatability for YMotion and some other migrations to Advanced Configured oth
94. gestion vous cr ez et confirmez ici un nouveau mot de passe EiamAdmin Notez ce mot de passe car vous l utiliserez a nouveau lors de l installation d autres serveurs et agents CA Enterprise Log Manager Remarque Le mot de passe entr ici est galement le mot de passe initial du compte caelmadmin par d faut que vous utiliserez pour acc der directement au serveur CA Enterprise Log Manager via ssh Si vous le souhaitez vous pouvez cr er d autres comptes d administrateur pour acc der aux fonctions CA EEM apr s l installation FIPS_MODE Oui ou Non Sp cifie si le dispositif virtuel doit tre ex cut en mode FIPS ou non Si vous choisissez un serveur CA EEM local choisissez le mode de votre choix Si vous choisissez un serveur CA EEM distant choisissez le mode utilis par ce serveur Informations compl mentaires Ajout de serveurs virtuels votre environnement page 341 Cr ation d un environnement compl tement virtuel page 365 D ploiement rapide de serveurs virtuels page 391 Annexe E CA Enterprise Log Manager et virtualisation 359 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Appel de l outil OVF partir d une ligne de commande Remarque Avant d effectuer l installation silencieuse installez l outil OVF 1 0 0 0 Pour plus d informations sur l outil OVF consultez le manuel VMware s OVF Tool User Guide ou visitez le site Web www vmware com Vous devez transf
95. gration avec CA IT PAM chouera Remarque Si vous comptez installer CA IT PAM sur un serveur UNIX ou utiliser LDAP ou un CA EEM local pour l authentification la documentation de cette annexe ne vous concerne pas Dans ces instances vous ne partagez pas le m me serveur CA EEM CA Enterprise Log Manager r12 1 SP1 peut tre ex cut en mode FIPS et communiquer avec CA IT PAM mais ces communications ne sont pas compatibles avec la norme FIPS Pour tous les sc narios d installation t l chargez le manuel d installation pour CA IT Process Automation Manager r2 1 SP03 partir du support en ligne T l chargez galement Adobe Acrobat Reader pour pouvoir ouvrir le fichier pdf Le processus qui vous permet d utiliser CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM implique deux tapes manuelles Vous copiez un fichier partir du serveur Windows vers le dispositif et un autre fichier partir du dispositif vers le serveur Windows Cette annexe aborde ces tapes La documentation de CA IT PAM n aborde pas ces tapes Processus d impl mentation de l authentification CA IT PAM Le processus d impl mentation de l authentification CA IT PAM utilisant CA EEM sur le serveur de gestion CA Enterprise Log Manager est le suivant 1 Pr parez l impl mentation de l authentification CA IT PAM a Chargez le module d installation CA IT PAM sur le serveur Windows dans lequel vous comptez installer CA IT PAM b Modi
96. groupe d agents sp cifique vous pouvez afficher les agents et connecteurs affect s ce groupe d agents Depuis un agent sp cifique vous pouvez afficher cet agent uniquement et les connecteurs qui lui sont affect s Vous pouvez d terminer le mode FIPS ou non FIPS d un agent partir de ces trois niveaux Pour afficher l tat d un agent ou d un connecteur 1 Cliquez sur l onglet Administration puis sur le sous onglet Collecte de journaux La liste du dossier Collecte de journaux s affiche 2 S lectionnez le dossier de l Explorateur d agent Les boutons de gestion des agents s affichent dans le volet D tails 3 Cliquez sur Etat et commande il Le panneau d tat s affiche 4 S lectionnez Agents ou Connecteurs Le panneau de recherche d agents ou de connecteurs s affiche Chapitre 6 Configuration de la collecte d v nements 229 Affichage et contr le de l tat d un agent ou d un connecteur 5 S lectionnez les crit res de recherche de mise jour d agent ou de connecteur facultatif Si vous n entrez aucun terme de recherche toutes les mises jour disponibles s affichent Vous pouvez s lectionner un ou plusieurs crit res ci dessous pour restreindre votre recherche Groupe d agents renvoie uniquement les agents et les connecteurs affect s au groupe s lectionn a Plate forme renvoie uniquement les agents et les connecteurs s ex cutant sur le syst me d exploitation s lectionn a S
97. gt lt PrivateKey gt Valeur cl priv e lt PrivateKey gt lt EventsToQueue gt 10 lt EventsToQueue gt lt iSponsor gt 5 Sp cifiez la valeur RouteEvent ci dessous lt RouteEvent gt t rue lt RouteEvent gt Cette entr e indique a iGateway d envoyer ses v nements notamment tous les v nements iRecorder l h te nomm dans la paire de balises RouteEventHost 286 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit 6 Sp cifiez la valeur RouteEventHost ci dessous lt RouteEventHost gt Votre nom h te CA Enterprise Log Manager lt RouteEventHost gt Cette entr e indique iGateway d envoyer ses v nements au serveur CA Enterprise Log Manager en utilisant son nom DNS Enregistrez et fermez le fichier Red marrez le d mon ou le service iGateway avec la commande ci apr s a UNIX ou Linux S99igateway start Windows net start igateway Cette action oblige iRecorder utiliser les nouveaux param tres et lance le flux d v nements depuis iRecorder vers le serveur CA Enterprise Log Manager Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Le processus d importation d v nements CA Access Control partir d une table SEOSDATA existante inclut les tapes ci apr s 1 2 Copiez l utilitaire LMSeosimport sur le serveur d outils de donn es CA Audit Cr ez un rapport d
98. gt Serveur de collecte Enfant EE Serveur de g n ration de rapports hi rarchique maill e Chapitre 2 Planification de votre environnement 37 Planification de f d ration Pour impl menter la conception de cette carte de f d ration effectuez les actions num r es ci dessous Cr ez une f d ration hi rarchique du serveur de gestion vers un serveur de collecte li chaque serveur de rapports pour laquelle le serveur de gestion est le parent et chaque serveur de collecte est l enfant Cr ez une f d ration totalement maill e entre les serveurs de collecte pour chaque serveur de rapports Cr ez une f d ration hi rarchique de chaque serveur de collecte vers son serveur de rapports pour laquelle le serveur de collecte est le parent et le serveur de rapports est l enfant Cr ez une f d ration totalement maill e entre les serveurs de rapports Pour atteindre un objectif donn de g n ration de rapports il est important d ex cuter le rapport depuis un serveur repr sent par un emplacement pr cis sur votre carte de f d ration Vous trouverez plusieurs exemples ci dessous Pour g n rer un rapport syst me sur des v nements d autosurveillance qui se produisent sur chaque CA Enterprise Log Manager de votre r seau ex cutez le rapport depuis le serveur de gestion Pour g n rer des rapports r capitulatifs et de tendances depuis tous les serveurs de rapports de votre r seau ex cutez le
99. iTechnology Windows Program Files CA SharedComponents iTechnology 270 Manuel d impl mentation Importation des donn es d une table SEOSDATA Entrez la ligne de commande ci dessous Pour Solaris LMSeosImport sh dsn eAudit DSN user sa password sa target lt nom h te ou IP Log Manager gt minid 1000 maxid 4000 preview Pour Windows LMSeosImport exe dsn eAudit DSN user sa password sa target lt nom h te ou IP Log Manager gt minid 1000 maxid 4000 preview Importation d v nements provenant d une base de donn es de collecteur Windows Vous pouvez utiliser cette proc dure pour importer des donn es d v nement provenant d une base de donn es du collecteur qui se trouve sur un serveur d outils de donn es Windows Pour importer des v nements provenant d une table SEOSDATA sur un serveur Windows 1 Localisez le nom du serveur sur lequel se trouve la table SEOSDATA 2 Assurez vous de disposer des informations d identification d acc s utilisateur pour ce serveur avec au minimum un acc s en lecture la table SEOSDATA 3 Ouvrez une invite de commande sur le serveur d outils de donn es CA Audit 4 Acc dez au r pertoire Program Files CA Shared Components iTechnology 5 Lancez l utilitaire d importation l aide de la syntaxe de commande ci apr s LMSeosImport exe dsn lt nom dsn gt user lt UID gt password lt mot de passe gt target lt nom h te cible gt lt indicateurs
100. impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager Le processus de modification d une strat gie CA Audit existante pour envoyer des v nements CA Enterprise Log Manager implique les tapes ci dessous Collectez les informations n cessaires a Assurez vous de disposer des informations d identification d utilisateur du gestionnaire de strat gies CA Audit avec l autorisation de cr er v rifier et activer des strat gies a Obtenez l adresse IP ou le nom d h te n cessaire pour acc der l interface utilisateur Administrator d Audit L URL pour acc der l application Web du serveur du gestionnaire de strat gies de la s rie r8 SP2 est de la forme suivante https lt adresse IP gestionnaire strat gies CA Audit gt 5250 spin auditadmin Configurez le service du collecteur SAPI ou du routeur SAPI CA Enterprise Log Manager en fonction de la m thode de cr ation d action de r gle que vous voulez appliquer Si vous envisagez de cr er une action Collecteur configurez le collecteur SAPI Si vous envisagez de configurer une action Acheminement configurez le routeur SAPI Remarque L exemple de cette section utilise l action Collecteur m Rep rez et modifiez une strat gie CA Access Control existante pour envoyer des v nements CA Enterprise Log Manage
101. incluez aucun proxy hors ligne dans la liste de proxys pour un client d abonnement en ligne Dans le cas contraire le client d abonnement en ligne recevra automatiquement toutes les mises jour manuellement install es sur le serveur proxy hors ligne au lieu des modules s lectionn s pour ce client Pour configurer un proxy d abonnement hors ligne 1 Cliquez sur l onglet Administration et le sous onglet Services 2 D veloppez le service d abonnement et s lectionnez le serveur configurer La Configuration du service d abonnement s affiche pour le serveur CA Enterprise Log Manager s lectionn 3 Cliquez sur l onglet Administration 4 D sactivez la case cocher Proxy d abonnement et s lectionnez Proxy d abonnement hors ligne 5 Dans la liste d roulante Fichier s lectionnez le fichier zip contenant les fichiers d abonnement hors ligne que vous voulez installer Remarque Pour appliquer cette proc dure vous devez avoir copi le package d abonnement hors ligne vers l emplacement correct sur ce serveur Si ce n est pas le cas une invite s affichera 200 Manuel d impl mentation Configuration de l abonnement 6 Cliquez sur Enregistrer Informations compl mentaires Configuration de l abonnement page 198 Configuration d un client d abonnement Les clients d abonnement t l chargent les mises jour de CA Enterprise Log Manager les plus r centes partir des proxys d abonnement Apr s la r cup r
102. indiquant que le nom de l application que l installation a tent d enregistrer aupr s du serveur CA EEM existe d j Vous pouvez sans risque ignorer cette erreur car chaque installation de CA Enterprise Log Manager tente de cr er le nom de l application comme s il s agissait d une nouvelle application Une fois l installation termin e vous devez configurer votre serveur CA Enterprise Log Manager avant de pouvoir recevoir des v nements Cela peut inclure la configuration d un connecteur sur l agent par d faut pour recevoir les v nements Syslog Informations compl mentaires D pannage de l installation page 127 Configuration de l agent par d faut page 213 V rifier que le processus iGateway s ex cute Si vous ne parvenez pas acc der l interface Web du serveur CA Enterprise Log Manager apr s l installation et que vous tes s r que les ports de l interface r seau sont correctement configur s il se peut que le processus iGateway ne s ex cute pas Vous pouvez effectuer un contr le rapide de l tat du processus iGateway l aide de la proc dure qui suit Le processus iGateway doit tre en cours d ex cution pour que le serveur CA Enterprise Log Manager collecte les v nements et pour que l interface utilisateur soit accessible Pour v rifier Le d mon iGateway 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identifi
103. installation manuelle du dispositif virtuel effectuez les t ches suivantes 1 D ployez un mod le OVF 2 D finissez les param tres Paravirtualization et Resource 3 D marrez le serveur CA Enterprise Log Manager provisionn Annexe E CA Enterprise Log Manager et virtualisation 367 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D ploiement d un mod le OVF Vous pouvez sp cifier les propri t s du dispositif virtuel dans un mod le OVF VMware utilise ce mod le pour effectuer le provisionnement d un serveur CA Enterprise Log Manager Utilisez le Client VMware vSphere pour d ployer le mod le OVF Remarque Les captures d cran qui figurent dans les proc dures suivantes contiennent des exemples de donn es titre indicatif Ces captures d cran concernent le Client VMware vSphere 4 0 0 Nous vous recommandons de sp cifier des donn es propres votre environnement Pour d ployer un mod le OVF 1 Cliquez sur D marrer Tous les programmes Client VMware vSphere sur l ordinateur o le Client VMware vSphere est install La boite de dialogue VMware vSphere Client s ouvre Dans le champ IP address Name Adresse IP Nom saisissez l adresse IP ou le nom d h te du serveur VMware vSphere auquel vous souhaitez vous connecter Entrez les informations d identification dans les champs User name nom d utilisateur et Password mot de passe Cliquez sur Logon connexion
104. l tape qui suit la collecte des v nements et qui pr c de leur stockage Une alerte d action est un job de requ te planifi qui peut tre utilis pour d tecter les violations de strat gie les tendances d utilisation les sch mas de connexion et d autres actions d v nement n cessitant une attention court terme Par d faut lorsque les requ tes d une alerte renvoient des r sultats ces derniers sont affich s sur la page Alertes CA Enterprise Log Manager et ajout s un flux RSS Lorsque vous planifiez une alerte vous pouvez indiquer des destinations suppl mentaires y compris une adresse lectronique un processus de sortie d v nement d alerte CA IT PAM et des interruptions SNMP Le terme analyse parfois analyse de message ou d composition d signe le processus d extraction de donn es d unit s brutes et de conversion en paires de valeurs cl s L analyse s effectue sur la base d un fichier XMP Cette tape qui pr c de le mappage de donn es fait partie du processus d int gration qui convertit les v nements bruts collect s aupr s d une source d v nement en v nements ajust s que vous pouvez consulter analyse d composition d un journal L analyse d composition d un journal est le processus qui permet d extraire les donn es d un journal pour que les valeurs ainsi analys es d compos es puissent tre utilis es lors des tapes suivantes du processus de gestion du journal analyse de
105. l authentification des utilisateurs Dans une impl mentation de base comprenant deux serveurs le serveur de gestion assume galement le r le de serveur de rapports Un serveur de rapports re oit les v nements ajust s d un ou plusieurs serveurs de collecte Le serveur de rapports g re les requ tes et rapports la demande ainsi que les alertes et rapports planifi s Le serveur de collecte ajuste les v nements collect s Chaque serveur CA Enterprise Log Manager dispose de sa propre base de donn es interne de magasin de journaux d v nements Le magasin de journaux d v nements est une base de donn es propri taire qui utilise la compression pour am liorer la capacit de stockage et pour autoriser les requ tes sur les fichiers des bases de donn es actives les fichiers marqu s pour archivage et les fichiers d givr s Aucun package SGBD relationnel n est n cessaire pour le stockage d v nements Le serveur CA Enterprise Log Manager de collecte peut recevoir directement les v nements l aide de son agent par d faut ou partir d un agent se trouvant sur la source d v nement Les agents peuvent galement se trouver sur un h te qui agit en tant que collecteur pour d autres sources d v nement sur le r seau comme un concentrateur VPN ou un h te de routeur Sur ce diagramme les lignes pleines repr sentent les flux d v nements depuis les sources d v nement vers les agents puis vers le serveur de co
106. l autre en tant que routeur SAPI Les modules SAPI utilisent le d mon iGateway pour les commandes et les contr les Les modules agissent comme un routeur SAPI et un collecteur SAPI ils utilisent des ports statiques ou dynamiques par le biais du mappeur de ports 252 Manuel d impl mentation Configuration d adaptateurs CA Utilisez le collecteur SAPI lors de l envoi d v nements provenant de clients CA Audit de telle sorte que vous puissiez utiliser la prise en charge int gr e du basculement dans l action du collecteur d Audit Utilisez le routeur SAPI lors de l envoi d v nements provenant de clients CA Audit l aide de l action de routage ou lors de l envoi d v nements provenant de SAPI Recorders ou d int grations qui prennent en charge l envoi d v nements directement un client CA Audit Dans ce cas vous pouvez configurer l exp diteur distant comme si le serveur CA Enterprise Log Manager tait le client CA Audit L couteur SAPI ouvre son propre port et coute passivement les nouveaux v nements qui lui sont envoy s Chaque instance du module SAPI dispose de sa propre configuration qui sp cifie les l ments ci dessous Port sur lequel couter m Fichiers de mappage de donn es charger Biblioth ques de chiffrement utiliser Apr s r ception de l v nement le module le soumet la biblioth que de mappage puis CA Enterprise Log Manager l ins re dans la base de donn es Important
107. l ordinateur virtuel clon vers le serveur cible Pour plus d informations consultez la documentation de VMware ESX Mise jour d un serveur CA Enterprise Log Manager clon avant Le d ploiement Utilisez la proc dure suivante pour mettre jour un serveur CA Enterprise Log Manager virtuel clon Un serveur CA Enterprise Log Manager virtuel clon conserve le nom d h te que vous lui avez attribu au cours de l installation Cependant le nom d h te de chaque serveur CA Enterprise Log Manager actif doit tre unique au sein de votre impl mentation de collecte de journaux C est pourquoi avant d activer un serveur virtuel clon vous devez modifier le nom d h te et l adresse IP du serveur avec le script Rename_ELM sh Le script de mise jour effectue notamment les actions ci dessous m Arr t et red marrage automatique de l agent par d faut m Arr t et red marrage automatique du service iGateway Invitation modifier le nom d h te et les adresses IP et DNS IP Mise jour automatique des fichiers de configuration avec des mots de passe chiffr s pour les diff rents certificats Annexe E CA Enterprise Log Manager et virtualisation 335 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Pour mettre jour un serveur CA Enterprise Log Manager virtuel clon 1 2 Connectez vous au serveur physique cible en tant qu utilisateur root Acc dez l image ISO ou au DVD de l appli
108. lation d di s et sur la planification des r les de serveur ainsi que sur la configuration des serveurs et des r gles de corr lation Am liorations apport es la remise et la surveillance d abonnement changements apport s au chapitre Configuration des services pour fournir des informations sur les changements appliqu s la configuration d abonnement Virtualisation changements apport s au chapitre Virtualisation pour fournir des informations sur le changement appliqu aux param tres requis pour le d ploiement d un mod le OVF Informations compl mentaires Planification des serveurs page 20 Configuration du service de corr lation page 184 Table des mati res Chapitre 1 Introduction 15 A propos d c manuelis 2 222 22445i56 2sdsiaseosdadda sie diadeeese dade dda sedeeeeiadeseeenses 16 Chapitre 2 Planification de votre environnement 19 Planification des serveurs 44eeeueeeeee 20 R les d s serveurs 425 lt 555c4 558 2555 2058 55 28 asie tele made HS De Eee Ras ea 21 Exemple Architectures r seau 26 Planification de la collecte de journaux 2 29 Planification d espace disque 31 A propos du serveur CA EEM 44444 44444 eee eee eee eee eee 32 Consignes d
109. lection et application d une r dle de comptabilisation Les r gles de corr lation de comptabilisation identifient un ensemble d tats ou d occurrences identiques Par exemple vous pouvez appliquer une r gle qui vous informe lorsqu au moins cinq checs de connexion se produisent pour un compte d administrateur Avant d appliquer une r gle cr ez les destinations de notification dont vous avez besoin pour votre environnement Pour s lectionner et appliquer La r gle 5 checs de connexion par compte d administrateur 1 Cliquez sur l onglet Administration puis sur le sous onglet Biblioth que et d veloppez le dossier R gles de corr lation D veloppez le dossier Gestion des menaces puis le dossier Activit suspecte des compte et des connexions et s lectionnez la r gle 5 checs de connexion par compte d administrateur Les d tails de la r gle s affichent dans le volet droit V rifiez les informations de la r gle et v rifiez qu elle s adapte votre environnement Dans ce cas les filtres d finissent un compte d administrateur en tant que nom d utilisateur appartenant la liste cl s Administrateurs et ils d finissent le seuil sur 5 v nements en 60 minutes Facultatif Cliquez sur Modifier en haut du volet pour modifier les param tres de filtre si n cessaire Par exemple vous pouvez modifier et d finir la limite d heure sur 3 v nements en 30 minutes L assistant de gestion des r gles s ouvre et
110. mentaires Planification des mises a jour d abonnement page 54 Architecture d abonnement hors ligne page 59 58 Manuel d impl mentation Planification des mises jour d abonnement Architecture d abonnement hors ligne Si des strat gies de s curit ou d autres facteurs limitent l acc s du r seau Internet vous pouvez mettre jour votre environnement CA Enterprise Log Manager via l abonnement hors ligne Celui ci permet d isoler certains ou l ensemble de vos serveurs d Internet tout en maintenant votre environnement CA Enterprise Log Manager jour Il est n cessaire de configurer l abonnement hors ligne dans les situations suivantes Aucun serveur de votre environnement CA Enterprise Log Manager ne dispose d acc s Internet Certains serveurs de votre r seau disposent de l acc s a Internet tandis que d autres n ont pas de connexion un serveur disposant de l acc s Internet La seule diff rence entre l abonnement en ligne et hors ligne r side dans le mode de distribution des fichiers de mise jour au proxy d abonnement Dans le cas de l abonnement en ligne le proxy contacte le serveur d abonnement CA via Internet Dans le cas de l abonnement hors ligne vous devez t l charger les mises jour partir d un site FTP CA puis les copier manuellement sur un serveur CA Enterprise Log Manager configur en tant que proxy hors ligne Le sch ma ci apr s illustre le processus de l abonnement hors lig
111. module d extension d v nements iTech pour recevoir les informations d un iRecorder CA Access Control T l chargez et installez un iRecorder CA Access Control Configurez l iRecorder afin qu il envoie directement les v nements qu il a collect s CA Enterprise Log Manager V rifiez que CALM re oit bien les v nements Remarque Les iRecorders peuvent envoyer leurs v nements une seule destination Si vous avez suivi cette proc dure pour la configuration la seule destination est le serveur CA Enterprise Log Manager nomm Annexe B Remarques pour les utilisateurs de CA Access Control 283 Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager Configuration du module d extension d v nements iTech pour des v nements CA Access Control Avant de reconfigurer un iRecorder pour envoyer les v nements directement CA Enterprise Log Manager vous devez configurer un couteur pour recevoir ces v nements Pour configurer l couteur 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur dot du r le Administrator 2 Acc dez l onglet Administration puis d veloppez le noeud Adaptateurs CA Requ tes et rapports Rapports planifi s Gestion des alertes Administration Collecte de journaux gt Services gt Gestion des utilisateurs et des acc s Explorateur de collecte de journaux v Adaptateurs CA gt 3 Collecteu
112. nement Les deux serveurs peuvent partager des donn es pour les requ tes les rapports et les alertes Gestion g n ration de rapports Collecte Requ tes trafic d v nements Ev nements de basculement iTech et SAPI 9 O gt sources d v nement Le serveur de collecte g re principalement le trafic de journaux d v nements entrants et se concentre sur les insertions dans la base de donn es II utilise une strat gie de conservation br ve des donn es au maximum 24 heures Un script automatis d place les journaux d v nements stock s vers un serveur de rapports chaque jour ou plus souvent en fonction du volume d v nements La f d ration et l utilisation de requ tes f d r es entre les deux serveurs vous garantissent de recevoir des rapports pr cis partir des journaux d v nements sur les deux serveurs Le serveur de rapports r alise plusieurs fonctions m traite les requ tes et les rapports a planifie et g re les alertes m d place les fichiers archiv s vers un serveur de stockage distant m permet la collecte par basculement d l ments collect s par des connecteurs pour le serveur de collecte 30 Manuel d impl mentation Planification de la collecte de journaux Un script de sauvegarde automatis d place les donn es du serveur de rapports au serveur distant stockage sauvegard Si vous d cidez de restaurer des donn es partir du stockage sauvegard
113. nements Les options d archivage automatique de cet exemple d placent les fichiers d archive du serveur de rapports vers le serveur de stockage distant tous les jours partir de 23 h 00 Lorsqu une base de donn es est d plac e vers le stockage sauvegard sur le serveur distant elle est conserv e sur le serveur de rapports pendant le Nbre max de jours d archivage Si l archivage automatique n est pas activ les bases de donn es ti des sont conserv es en fonction des seuils configur s pour le Nbre max de jours d archivage et l Espace disque d archivage au premier des deux termes chu Les bases de donn es archiv es peuvent tre conserv es sur le serveur de rapports pendant 30 jours avant d tre supprim es sauf si l espace disque devient inf rieur 10 Dans ce cas le serveur de rapports g n re un v nement d autosurveillance et supprime les bases de donn es les plus anciennes jusqu ce que l espace disque disponible soit sup rieur 10 Vous pouvez cr er une alerte pour vous avertir de cette situation par courriel ou par flux RSS Lorsqu une base de donn es est restaur e d un serveur de stockage distant vers son serveur de rapports d origine elle est conserv e pendant 3 jours 72 heures Vous trouverez plus d informations sur chacun de ces champs et sur leurs valeurs dans l aide en ligne D finition des options des magasins de journaux d v nements La bo te de dialogue de configuration Magasin
114. nements g n r s par le serveur CA Enterprise Log Manager lui m me 88 Manuel d impl mentation Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS Pour afficher des v nements d autosurveillance 1 2 3 Connectez vous au serveur CA Enterprise Log Manager Acc dez l onglet Rapports Cliquez sur la balise Syst me et s lectionnez le rapport D tail des v nements d autosurveillance Le rapport des v nements d autosurveillance se charge V rifiez que les v nements d autosurveillance pour votre connexion et d autres actions de configuration pr liminaires sont pr sents dans le rapport Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS Vous pouvez mettre a niveau les serveurs et les agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS a l aide du service d abonnement Pour effectuer cette mise a niveau les conditions suivantes doivent tre r unies Vous avez install CA Enterprise Log Manager r12 1 ou vous avez effectu une mise niveau vers la version 12 1 partir de la version 12 0 SP3 Vous voulez activer le mode FIPS pour votre f d ration CA Enterprise Log Manager Chapitre 3 Installation de CA Enterprise Log Manager 89 Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge
115. ou alerte Une liaison de variable est une liaison de variable SNMP Chaque liaison de variable est form e d un OID d un type et d une valeur Les liaisons de variable s ajoutent une MIB personnalis e liste de contr le d acc s d identit Une liste de contr le d acc s d identit vous permet de sp cifier diff rentes actions que chaque identit s lectionn e peut ex cuter sur les ressources indiqu es Par exemple avec une liste de contr le d acc s d identit vous pouvez pr ciser qu une identit donn e peut cr er des rapports et qu une autre peut planifier et annoter des rapports La liste de contr le d acc s d identit diff re de la liste de contr le d acc s classique dans le sens o elle est centr e sur l identit et non sur la ressource Glossary 421 magasin de journaux d v nements magasin d utilisateurs mappage de donn es mappages de fonctions Le magasin de journaux d v nements est un composant du serveur CA Enterprise Log Manager dans lequel les v nements entrants sont stock s dans des bases de donn es Les bases de donn es du magasin de journaux d v nements doivent tre sauvegard es et d plac es manuellement vers un syst me de stockage distant de journaux avant le d lai de suppression configur Les bases de donn es archiv es peuvent tre restaur es dans un magasin de journaux d v nements Un magasin d utilisateurs est le r f rentiel contenant les informatio
116. par le param tre user Ce param tre est obligatoire 266 Manuel d impl mentation Importation des donn es d une table SEOSDATA target Sp cifie le nom d h te ou l adresse IP du serveur CA Enterprise Log Manager pour recevoir les v nements migr s depuis la table SEOSDATA Ce param tre est obligatoire minid nnnn Indique l ENTRYID de d but utilis lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif maxid nnnn Indique l ENTRYID de fin utilis lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif mintm AAAA MM JJ Indique l heure de d but au format AAAA MM JJ utilis e lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif maxtm AAAA MM JJ Indique l heure de fin au format AAAA MM JJ utilis e lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif log nom_journal Sp cifie que l utilitaire doit s lectionner uniquement les enregistrements d v nements avec le nom de journal sp cifi Ce param tre est facultatif Si le nom du journal contient des espaces il doit tre plac entre guillemets doubles transport lt sapi itech gt Sp cifie la m thode de transport qui doit tre utilis e entre l utilitaire d importation et CA Enterprise Log Manager La m thode de transport par d faut est sapi chunk nnnn Sp cifie le nombre d enregis
117. param tre sauf si vous souhaitez sp cifier une valeur diff rente Les messages li s l tat de la reprise sont envoy s STDOUT Exemples de la ligne de commande LMSeosImport Vous pouvez utiliser les exemples suivants de ligne de commande pour cr er votre commande personnalis e lors de l utilisation de l utilitaire d importation SEOSDATA Pour ex cuter l importation d enregistrements entre les ENTRYID 1 000 et 4 000 Entrez la ligne de commande ci dessous LMSeosImport dsn eAudit DSN user sa password sa target 130 200 137 192 minid 1000 maxid 4000 268 Manuel d impl mentation Importation des donn es d une table SEOSDATA Pour ex cuter l importation d enregistrements pour des v nements d applications Windows NT uniquement Entrez la ligne de commande ci dessous LMSeosImport dsn eAudit DSN user sa password sa target 130 200 137 192 log NT Application Cr ation d un rapport d v nements L ex cution d un rapport d v nements SEOSDATA avant l importation r elle des donn es vous fournit les informations n cessaires concernant les v nements de la table Le rapport indique la p riode de l v nement le nombre d v nements par type de journal et la plage d ID d entr e Vous pouvez utiliser les valeurs affich es dans le rapport pour affiner vos options de ligne de commande concernant une commande ant rieure ou la commande d importation r elle Pour afficher un rapport des
118. pas t correctement acquis aupr s du serveur CA EEM Les certificats num riques sont n cessaires pour d marrer et ex cuter l application CA Enterprise Log Manager Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Effectuez une acquisition manuelle des certificats aupr s du serveur CA EEM Pour acqu rir Les certificats num riques 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su Chapitre 3 Installation de CA Enterprise Log Manager 131 D pannage de l installation Acc dez au r pertoire opt CA LogManager EEM Ex cutez la commande ci dessous EEMAcqCert sh Le script shell effectue le traitement requis pour acqu rir les certificats num riques n cessaire Importation de rapports CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement le contenu des rapports depuis le serveur CA EEM Vous devez importer le contenu des rapports pour afficher les donn es d v nement apr s les avoir plac es dans le magasin de journaux d v nements Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation S
119. passe est galement sa La pr visualisation de l importation utilise uniquement le nom de journal comme crit re de recherche et d importation Le r sultat de la commande avec l option preview envoie un chantillon de r sultats d importation STDOUT cet exemple utilise la valeur Mon_serveur_CA ELM pour repr senter un nom de serveur CA Enterprise Log Manager 292 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Pour pr visualiser l importation 1 Pr visualisez votre importation d v nements CA Access Control avec la commande ci apr s LMSeosImport exe dsn Mon DSN Audit user sa password sa target Mon serveur CA ELM log eTrust Access Control preview La commande preview affiche les informations ci dessous Importation d but le Ven Jan 2 15 35 37 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon DSN Audit Aucun ENTRYID de d but sp cifi utilisation de L ENTRYID minimal de 1 Importation pr visualisation en cours veuillez patienter Importation pr visualisation termin e 143 762 enregistrements en 4 minutes 12 secondes eTrust AC 143 762 Dernier Entryld trait 101 234 500 D connexion r ussie de la source Mon DSN Audit Sortie de l importation Les r sultats de la pr visualisation indiquent un nombre assez imp
120. qu arguments de ligne de commande dans la ligne de commande Valeur Commentaires Param tres sp cifiques aux h tes Annexe E CA Enterprise Log Manager et virtualisation 381 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Informations requises HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME acceptAllEulas 382 Manuel d impl mentation Valeur Nom d h te pour ce serveur CA Enterprise Log Manager Exemple CA ELM1 nouveau mot de passe root Adresse IPv4 correspondante Adresse IP correspondante Adresse IP correspondante Adresses IPv4 correspondantes votre nom de domaine Accepter Commentaires Sp cifiez le nom d h te de ce serveur en utilisant uniquement les caract res pris en charge par les h tes Les normes du secteur recommandent les lettres de A Z insensibles la casse les chiffres de 0 a 9 et le tiret avec une lettre en premier caract re et un caract re alphanum rique en derni re position N utilisez pas le caract re de soulignement dans un nom d h te et ne lui ajoutez pas de nom de domaine Remarque Le nom d h te ne peut pas d passer 15 caract res Cr ez et confirmez un nouveau mot de passe root pour ce serveur Entrez une adresse IP valide pour ce serveur Entrez un masque de sous r seau valide a utiliser avec ce serveur Entrez un masque de sous r seau valide et
121. quel utilisateur peut tre affect un ou plusieurs groupes globaux Des strat gies d acc s peuvent tre d finies avec les groupes globaux en tant qu identit s afin d autoriser ou d interdire ces derni res d effectuer certaines actions sur les ressources s lectionn es Glossary 419 ideal_model identit installateur instance d application ideal_model correspond la technologie exprimant l v nement II s agit du premier champ de la grammaire commune aux v nements CEG dans la hi rarchie des champs utilis s pour la normalisation et la classification des v nements Les types de mod les id aux ideal_ model incluent Antivirus DBMS Pare feu Syst me d exploitation et Serveur Web Les produits de pare feu Check Point Cisco PIX et Netscreen Juniper peuvent tre normalis s en saisissant la valeur Pare feu dans le champ ideal_model Dans CA Enterprise Log Manager une identit est un utilisateur ou un groupe autoris acc der l instance d application CAELM et ses ressources Pour tout produit CA une identit peut tre un utilisateur global un utilisateur d applications un groupe global un groupe d applications ou un groupe dynamique L installateur est la personne qui se charge d installer le dispositif logiciel et les agents Lors de la proc dure d installation les noms d utilisateur caelmadmin et EiamAdmin sont cr s et le mot de passe sp cifi pour EiamAdmin est affect a ca
122. question Acceptez vous les termes du contrat de licence ci dessus oui ou non Lisez le contrat de licence en parcourant les pages jusqu atteindre la question Acceptez vous les termes du contrat de licence ci dessus oui ou non Indiquez si vous pr voyez d utiliser un serveur CA EEM local ou distant Pour un serveur CA Enterprise Log Manager de gestion choisissez l option locale L installation vous invite cr er un mot de passe pour le compte d utilisateur EiamAdmin par d faut Pour chaque serveur suppl mentaire choisissez l option distante L installation vous invite indiquer le nom du serveur de gestion Que vous choisissiez l option locale ou distante vous devez utiliser l ID et le mot de passe du compte EiamAdmin lors de votre premi re connexion chaque serveur CA Enterprise Log Manager Informations CA Enterprise Log Manager Entrer le nom du serveur CA EEM Mot de passe de l administrateur du serveur CA EEM Installation d un serveur CA Enterprise Log Manager Valeur adresse IP ou nom d h te mot de passe du compte EiamAdmin Commentaires Cette invite s affiche uniquement si vous s lectionnez l option distante dans l invite du serveur local ou distant Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de gestion install en premier Le nom d h te doit tre enregistr aupr s du serveur DNS Enregistrez le mot de passe du compte d admin
123. rapport depuis n importe quel serveur de rapports Pour g n rer un rapport sur des donn es se trouvant sur un serveur de rapports et sur ses serveurs de collecte ex cutez le rapport depuis l un de ces serveurs de collecte 38 Manuel d impl mentation Planification de f d ration Exemple Carte de f d ration pour une PME Avant de cr er une carte de f d ration vous devez d terminer le nombre de serveurs que vous voulez affecter chaque r le Dans l exemple suivant un serveur est d di la gestion et la g n ration de rapport et les autres serveurs sont d di s la collecte Cette configuration est recommand e pour les environnements de taille moyenne Vous pouvez consid rer l architecture constitu e par le serveur de gestion de rapports et les serveurs de collecte comme tant une configuration en toile dans laquelle le centre est le serveur de gestion de rapports Le diagramme de la carte de f d ration ne repr sente pas cette configuration mais indique les niveaux afin que vous puissiez facilement distinguer les paires f d r es hi rarchiquement des paires maill es Lors de la cr ation d une carte de f d ration tenez compte des rapports et des alertes pour lesquels vous souhaitez diff rents ensembles de donn es consolid es Par exemple envisagez le sc nario pour lequel vous souhaitez des donn es consolid es l aide de deux types de groupements de serveurs m Serveur de gestion rapports
124. requise de conservation en ligne Les bases de donn es chaudes ne sont pas compress es Les bases de donn es ti des sont compress es Les bases de donn es chaudes et ti des sont consid r es comme tant en ligne Vous pouvez effectuer des recherches ou g n rer des rapports sur leurs donn es En g n ral vous disposez tout moment d un maximum de donn es couvrant 30 90 jours pour les rapports et la recherche imm diate Les enregistrements ant rieurs sont stock s sur un serveur distant Vous pouvez les restaurer selon vos besoins des fins de recherche et de g n ration de rapport Chapitre 2 Planification de votre environnement 31 Planification de la collecte de journaux Les serveurs de collecte prennent en charge aussi bien les bases de donn es chaudes que les bases de donn es ti des Comme la p riode de conservation d un serveur de collecte est tr s courte comprise entre 1 et 23 heures le stockage long terme n est pas un facteur important Il existe une base de donn es chaude sur le serveur de gestion pour l insertion des v nements d autosurveillance Les serveurs de rapports prennent en charge de petites bases de donn es chaudes et un grand nombre de bases de donn es ti des Les serveurs de rapports doivent galement disposer d un espace suppl mentaire suffisant pour prendre en charge les fichiers restaur s pendant un certain temps Lorsque vous utilisez le stockage li direct les partiti
125. rer les param tres de configuration en tant qu arguments de ligne de commande pour appeler l outil OVF Remarque Nous vous recommandons vivement d utiliser une configuration de d ploiement moyenne pour effectuer le provisionnement d un serveur de collecte mais une configuration de d ploiement grande pour le provisionnement d un serveur de gestion ou de g n ration de rapports Nous vous recommandons galement d utiliser la m thode de d ploiement lourd comme indiqu dans la documentation VMware Pour appeler l outil OVF partir d une ligne de commande 1 Ouvrez l invite de commande sur l ordinateur o le client VMware vSphere est install 2 Ex cutez la commande suivante pour appeler l outil OVF ovftool dm thick acceptAllEulas name value deploymentOption value prop ROOT PASSWORD value prop LOCAL REMOTE EEM value prop REMOTE EEM LOCATION value prop EEM PASSWORD value prop FIPS MODE value prop IP_ADDRESS value prop SUBNET MASK value prop HOSTNAME value prop DEFAULT GATEWAY value prop DNS SERVERS value prop DOMAIN NAME value prop TIMEZONE value lt OVF Name ovf gt vi username password hostname_of VMware vSphere Client Datacenter host host name Le message Opening VI target Cible VI en cours d ouverture s affiche Le statut de d ploiement du serveur CA Enterprise Log Manager s affiche Si l installation s est correctement effectu e le serveur CA Enterprise Log Manager figurer
126. s affiche Activez la case cocher situ e c t de la cat gorie de r gle ou de la r gle appliquer Vous pouvez s lectionner l int gralit des dossiers de cat gorie des r gles individuelles ou les deux S lectionnez la version de r gle dont vous avez besoin pour chaque r gle appliquer Facultatif S lectionnez une destination de notification pour chacune des r gles appliquer Si vous ne s lectionnez aucune destination aucune notification automatique ne sera g n r e avec la r gle Vous pouvez n anmoins d finir manuellement une notification pour les incidents g n r s par une r gle S lectionnez les serveurs de collecte pour router les v nements pour la corr lation dans la liste des serveurs disponibles Vous devez s lectionner tous les serveurs auxquels vous voulez envoyer des v nements pour la corr lation Si aucun serveur n est s lectionn aucun v nement ne sera envoy pour la corr lation Cliquez sur OK ou sur Appliquer Chapitre 5 Configuration des services 185 Configuration du service de corr lation Utilisation de r gles de corr lation pr d finies CA Enterprise Log Manager fournit un grand nombre de r gles de corr lation pr d finies pour une utilisation dans votre environnement organis es par type ou condition de r glementation Par exemple dans le dossier de r gles de corr lation de l interface de la biblioth que un dossier intitul PCI appara t conte
127. s affiche Select LSI Logic pour l adaptateur E S puis cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel puis cliquez sur Suivant La bo te de dialogue concernant la capacit et l emplacement du disque s affiche 322 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 13 Pr cisez la capacit et l emplacement de votre disque puis cliquez sur Suivant Une bo te de dialogue d options avanc es s affiche Vous pouvez stocker ce disque avec votre ordinateur virtuel ou sp cifier un autre emplacement Nous recommandons un espace minimal de 500 Go 14 Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant 15 Confirmez vos param tres et cliquez sur Terminer pour cr er le nouvel ordinateur virtuel Ajout de lecteurs de disques virtuels Utilisez la proc dure suivante afin d ajouter des lecteurs de disques virtuels pour le stockage de journaux d v nements Utilisez les m mes param tres sans tenir compte du r le jou par un serveur CA Enterprise Log Manager sp cifique sur votre r seau Pour modifier Les param tres 1 Cliquez avec le bouton droit sur votre ordinateur virtuel dans le client VMware Infrastructure et s lectionnez Modifier les param tres La bo te de dialogue Propri t s de l ordinateur virtuel s affiche 2 Mettez en surbrillance les propr
128. serveur CA Enterprise Log Manager A propos des fichiers d archive Le serveur CA Enterprise Log Manager cr e automatiquement des fichiers de base de donn es compress e appel s fichiers d archive lorsqu une base de donn es chaude atteint le param tre Nombre maximum de lignes sp cifi dans le service du magasin de journaux d v nements Les fichiers de base de donn es chaude ne sont pas compress s Lorsque vous configurez l archivage automatique d un serveur de collecte vers un serveur de rapports les bases de donn es compress es du serveur de collecte sont supprim es apr s qu elles ont t copi es sur le serveur de rapports Le param tre Nbre max de jours d archivage ne s applique pas ici Lorsque vous configurez l archivage automatique d un serveur de rapports vers un serveur de stockage distant les bases de donn es compress es du serveur de rapports ne sont pas supprim es apr s avoir t copi es sur le serveur de stockage distant Ces bases de donn es ti des sont plut t conserv es sur le serveur de rapports jusqu ce que la valeur Nbre max de jours d archivage soit atteinte Ensuite elles sont supprim es Toutefois un enregistrement de ces bases de donn es froides supprim es est conserv pour que vous puissiez effectuer des requ tes de d tails sur la base de donn es d archive au cas o vous auriez besoin de cette information pour effectuer une restauration 158 Manuel d impl mentation Configu
129. serveur de collecte si vous devez imp rativement en tre inform le plus vite possible Chapitre 2 Planification de votre environnement 25 Planification des serveurs Exemple Architectures r seau L architecture CA Enterprise Log Manager la plus simple est un syst me un seul serveur dans lequel un serveur CA Enterprise Log Manager assume tous les r les CA Enterprise Log Manager de gestion de collecte et de g n ration de rapports s occupe de la gestion de la configuration du contenu de la collecte l ajustement et la corr lation des v nements ainsi que des requ tes et des rapports Remarque Un serveur distant non CA Enterprise Log Manager stocke les bases de donn es archiv es des journaux d v nements Cette configuration convient pour le traitement d un volume d v nements peu lev et de rapports planifi s peu nombreux comme dans un syst me de test CA Enterprise Log Manager Serveur de gestion collecte rapports Serveur de stockage distant 26 Manuel d impl mentation Planification des serveurs La deuxi me architecture la plus simple est un syst me comptant plusieurs serveurs dans lequel le premier CA Enterprise Log Manager install effectue la plupart des r les CA Enterprise Log Manager de gestion et de g n ration de rapport s occupe de la gestion de la configuration du contenu ainsi que des requ tes et des rapports et de la corr lation d v nements CA Ent
130. serveur de gestion rapports dans laquelle le serveur de collecte est le parent et le serveur de gestion rapports est l enfant 40 Manuel d impl mentation Planification de f d ration Pour atteindre un objectif donn il est important d ex cuter le rapport ou l alerte partir d un serveur repr sent par un emplacement pr cis de votre carte de f d ration et de sp cifier correctement si la f d ration est requise Vous trouverez plusieurs exemples ci dessous Pour planifier un rapport syst me sur des v nements d autosurveillance qui se produisent sur chaque CA Enterprise Log Manager de votre r seau ex cutez le rapport depuis le serveur de gestion rapports et s lectionnez l option F d r e Pour planifier un rapport sur des v nements r cents ti des ex cutez le rapport partir du serveur de gestion rapports et d s lectionnez l option F d r e Ce rapport contient les donn es archiv es r cemment collect es par tous les serveurs de collecte La f d ration n est pas requise Pour planifier une alerte incluant les nouveaux v nements chauds de chaque serveur de collecte et les v nements archiv s ti des du serveur de gestion rapports ex cutez l alerte partir de n importe quel serveur de collecte et s lectionnez l option F d r e Vous pouvez limiter la quantit d informations renvoy es aux serveurs de collecte en sp cifiant comme crit re de recherche une plage pr d finie par e
131. sur l onglet Administration Si vous vous connectez en tant qu utilisateur EiamAdmin cet onglet s affiche automatiquement 140 Manuel d impl mentation Configuration du magasin d utilisateurs 3 S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur le bouton Magasin d utilisateurs dans le volet gauche La configuration du serveur EEM pour les utilisateurs globaux groupes globaux s affiche 4 V rifiez que l option Stocker dans le magasin de donn es internes est s lectionn e 5 Cliquez sur Enregistrer puis sur Fermer Remarque Lorsque le magasin d utilisateurs par d faut est d fini vous pouvez cr er de nouveaux utilisateurs d finir des mots de passe temporaires et tablir des strat gies de mots de passe Informations compl mentaires Planification du magasin d utilisateurs page 42 R f rence un r pertoire LDAP Configurez le magasin d utilisateurs comme une r f rence un r pertoire LDAP lorsque les d tails des utilisateurs globaux sont stock s dans Microsoft Active Directory Sun One ou Novell Directory Remarque Les d tails des applications sont stock s dans le r f rentiel par d faut La r f rence un magasin d utilisateurs externe ne met pas jour ce magasin Pour r f rencer un r pertoire LDAP en tant que magasin d utilisateurs 1 Connectez vous un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits d administrateur
132. sur un serveur d outils de donn es Solaris Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosimport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Solaris Remarque L utilitaire LMSeosimport n cessite la pr sence des biblioth ques etsapi et etbase Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosimport assurez vous que le r pertoire d installation d CA Audit est inclus dans votre instruction PATH syst me Le r pertoire par d faut est opt CA eTrustAudit bin Avant d ex cuter l utilitaire d finissez les variables d environnement ci apr s avec la commande env ODBC_HOME lt r pertoire d installation des outils de donn es CA Audit gt odbc ODBCINI lt r pertoire d installation des outils de donn es CA Audit gt odbc odbc ini Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Solaris 2 Ins rez le DVD ROM d installation de l application CA Enterprise Log Manager 3 Acc dez au r pertoire CA ELM Solaris_sparc 4 Copiez l utilitaire LMSeosimport dans le r pertoire iTechnology du serveur d outils de donn es CA Audit opt CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t copi dans le r pertoire d sign et une f
133. types de connecteurs sur cet agent Vous pouvez utiliser l Explorateur d agent qui fait partie du serveur CA Enterprise Log Manager pour contr ler les agents ainsi que pour configurer et contr ler des connecteurs sur un agent L Explorateur d agent vous permet galement de cr er des groupes d agents pour simplifier la gestion et le contr le Vous fondez votre configuration d un connecteur sur une int gration o sur un couteur qui sont des mod les pouvant comprendre des fichiers d acc s aux donn es d analyse de message et de mappage de donn es CA Enterprise Log Manager propose un certain nombre d int grations pr tes l emploi pour les sources d v nement courantes Vous trouverez plus d informations et les proc dures d installation des agents dans le Manuel d installation des agents CA Enterprise Log Manager Informations compl mentaires Affichage et contr le de l tat d un agent ou d un connecteur page 229 Utilisation de l Explorateur d agent Juste apr s l installation d un serveur CA Enterprise Log Manager un agent par d faut s affiche dans l Explorateur d agent Cet agent est install en m me temps que le serveur CA Enterprise Log Manager et vous l utilisez pour la collecte directe d v nements Syslog L Explorateur d agent suit et r pertorie les agents lorsque vous les installez sur votre r seau il constitue galement une place centrale pour la configuration les commandes et le contr le des
134. un serveur CA Enterprise Log Manager Informations compl mentaires Installation de CA Enterprise Log Manager page 83 Clonage d un serveur CA Enterprise Log Manager virtuel Cette proc dure vous permet de cloner un serveur CA Enterprise Log Manager virtuel Elle suppose que vous avez d j cr un nouvel ordinateur virtuel que vous y avez d j ajout des lecteurs de disque et que vous avez install CA Enterprise Log Manager Pour cloner un serveur virtuel 1 Acc dez VMware VirtualCenter et recherchez l ordinateur virtuel contenant CA Enterprise Log Manager D sactivez le S lectionnez Exporter et indiquez l emplacement d exportation de l ordinateur virtuel VMware ESX Server offre d autres m thodes de clonage des ordinateurs virtuels Pour plus d informations reportez vous la documentation VMware 334 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Importation d un ordinateur virtuel clon sur un serveur cible Utilisez la proc dure suivante pour importer un ordinateur virtuel clon sur un autre ordinateur afin de l activer Pour importer un ordinateur virtuel clon 1 V rifiez que vous avez acc s au serveur h te cible 2 Acc dez VMware VirtualCenter partir du serveur qui h berge VMware ESX 3 S lectionnez Importer et recherchez le serveur cible en r pondant aux invitations qui s affichent L importation d place
135. un serveur CA Enterprise Log Manager comme serveur de gestion Lors de la configuration n envoyez pas les journaux d v nements ce serveur et ne l utilisez pas pour g n rer des rapports En configurant ainsi votre environnement vous conservez le d bit de collecte des journaux d v nements requis par la production d une entreprise En g n ral vous installez deux serveurs CA Enterprise Log Manager dot s de quatre processeurs en lieu et place de chacun des serveurs de dispositifs normalement install s en cas d utilisation de mat riel certifi les serveurs de dispositifs comptent huit processeurs au minimum Annexe E CA Enterprise Log Manager et virtualisation 325 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Le processus que vous suivez pour cr er un environnement virtuel comprend les proc dures ci apr s 1 Cr ez un nouvel ordinateur virtuel pour chaque serveur CA Enterprise Log Manager que vous envisagez d installer Ajoutez des lecteurs de disques virtuels Sur l un des h tes d ordinateurs virtuels installez un serveur CA Enterprise Log Manager virtuel pour les fonctions de gestion Installez plusieurs serveurs CA Enterprise Log Manager pour la collecte et la g n ration de rapports Configurez les serveurs CA Enterprise Log Manager conform ment la section traitant de l installation d un serveur CA Enterprise Log Manager Cr ation d un nouvel ordinateur virtuel
136. un serveur CA Enterprise Log Manager non d di vers le stockage distant Une strat gie de sauvegarde suppose deux copies de chaque base de donn es L une d elle est consid r e comme la sauvegarde Vous pouvez r aliser cet objectif avec ou sans l archivage automatique vers un serveur de stockage distant La strat gie de sauvegarde avec archivage automatique suppose que les bases de donn es originales sont situ es sur le serveur de stockage distant et les sauvegardes dans un emplacement hors site La strat gie de sauvegarde sans archivage automatique suppose que les bases de donn es originales sont situ es sur le serveur CA Enterprise Log Manager et les sauvegardes sur serveur de stockage distant Le stockage des bases de donn es originales sur le serveur CA Enterprise Log Manager o elles ont initialement t archiv es d pend de l espace disponible pour le stockage long terme et des strat gies de stockage Si ces crit res sont satisfaits la d cision vous appartient Activation de l automatisation quotidienne du stockage Serveur d di la collecte Oui Non Configuration de l authentification Adaptation du Oui non interactive du nombre max de r _ serveur de jours d archivage g n ration de au temps coul Configuation de rapports au fauthentification stockage distant lt non interactive Identification des entre les serveurs bases de donn es
137. une passerelle par d faut a utiliser avec ce serveur Entrez une ou plusieurs adresses IP de serveur DNS a utiliser sur votre r seau La liste est s par e par des virgules sans espace entre les entr es Si vos serveurs DNS utilisent l adressage IPV6 entrez ces adresses avec ce format Entrez le nom de domaine complet au sein duquel op re le serveur par exemple mycompany com Remarque Le nom de domaine doit tre enregistr aupr s du serveur DNS Domain Name Server de votre r seau pour permettre la r solution du nom d h te vers l adresse IP Acceptez le contrat de licence de CA pour poursuivre le provisionnement du serveur CA Enterprise Log Manager Informations requises deploymentOption TIMEZONE Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Valeur moyen ou grand le fuseau horaire que vous souhaitez Param tres sp cifiques aux applications LOCAL_REMOTE_EEM REMOTE_EEM_LOCATION Local pour le premier serveur install serveur de gestion Distant pour chaque serveur suppl mentaire adresse IP ou nom d h te Commentaires Si vous s lectionnez Moyenne VMware indique 4 UC de 8 Go de m moire RAM chacune Si vous s lectionnez Large VMware indique huit UC de 8 Go de m moire RAM chacune S lectionnez le fuseau horaire dont d pend ce serveur Indiquez si vous pr voyez d utiliser un serveur CA EEM local ou distant Pour un serveur CA
138. vous constaterez peut tre des v nements mal mapp s s ils se produisent entre le moment o la strat gie devient active et celui o les couteurs peuvent mapper correctement les v nements Pour modifier une action d une r gle de strat gie afin d envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur gestionnaire de strat gies et acc dez l onglet Mes strat gies dans le volet gauche 2 D veloppez le dossier de la strat gie jusqu visualiser la strat gie souhait e 3 Cliquez sur la strat gie pour afficher ses informations de base dans le volet D tails sur la droite 4 Dans le volet D tails cliquez sur Modifier pour faire un ajout aux r gles de la strat gie L assistant de r gles d marre 258 Manuel d impl mentation 10 11 12 13 14 15 Envoi d v nements CA Audit CA Enterprise Log Manager Cliquez sur Modifier les actions en regard de la fl che correspondant l tape 3 de l assistant La page des actions de r gles de l assistant s affiche Cliquez sur l action Collecteur dans le volet Parcourir les actions sur la gauche La liste des actions s affiche sur la droite Vous pouvez galement utiliser l action Acheminement pour cr er une r gle permettant d envoyer des v nements un serveur CA Enterprise Log Manager Cliquez sur Nouveau pour ajouter une nouvelle r gle Entrez l adresse IP ou le nom d h te du serveur CA Enterpris
139. vous le faites g n ralement sur le serveur de rapports Si l espace est limit sur le serveur de rapports vous pouvez galement restaurer sur le serveur de collecte Comme le serveur de collecte ne stocke pas de grandes quantit s de donn es et qu il est f d r les r sultats des rapports sont les m mes De plus le serveur de rapports peut fonctionner comme r cepteur de basculement pour les v nements collect s par un connecteur sur un agent distant si le serveur de collecte cesse de recevoir les v nements pour une raison quelconque Vous pouvez configurer le basculement au niveau de l agent Le traitement par basculement envoie les v nements un ou plusieurs serveurs CA Enterprise Log Manager alternatifs La collecte d v nements par basculement n est pas disponible pour les v nements provenant de sources d v nement h rit es collect s par les couteurs SAPI et iTech Informations compl mentaires CA Enterprise Log Manager et virtualisation page 319 Planification d espace disque Lorsque vous planifiez votre environnement assurez vous de disposer d un espace disque suffisant pour prendre en charge des volumes d v nements importants Chaque serveur de collecte doit disposer d un espace disque suffisant pour pouvoir contenir sa part de charges de pointe et les volumes d v nements normaux Pour un serveur de rapports l espace disque est calcul en fonction du volume d v nements et de la p riode
140. 2 copie sur le serveur d outils de donn es Solaris 264 copie sur le serveur d outils de donn es Windows 265 exemples de ligne de commande 268 importation partir du serveur d outils de donn es Solaris 271 Importation partir d une table SEOSDATA en temps r el 262 importation d v nements partir du serveur d outils de donn es Windows 271 options d importation 266 Quand importer des v nements 261 utilisation de la ligne de commande 265 Index 439
141. 3 S lectionnez le service Routeur SAPI 4 Pour obtenir des descriptions de chaque champ reportez vous a l aide en ligne 5 Cliquez sur Enregistrer lorsque vous avez termin A propos du module d extension d v nements iTechnology Le module d extension d v nements iTechnology re oit les v nements envoy s par le m canisme de gestion des v nements iGateway Configurez le module d extension d v nements iTechnology si l une des conditions ci dessous se v rifie dans votre environnement m Vous disposez d iRecorders existants sur votre r seau et d pourvus de client CA Audit sur le m me syst me a Vous avez d autres produits comme CA EEM qui peuvent transf rer des v nements via iTechnology Apr s r ception d un v nement ce service le soumet la biblioth que de mappage gr ce laquelle CA Enterprise Log Manager ins re l v nement mapp dans le magasin de journaux d v nements Configuration du module d extension d v nements iTechnology Utilisez la proc dure suivante pour configurer le module d extension d v nements iTechnology pour qu il puisse recevoir des informations provenant d iRecorders et d autres sources d v nement iTechnology Utilisez le module d extension iTechnology lorsque vous configurez un iRecorder autonome pour qu il envoie ses v nements un serveur CA Enterprise Log Manager Configurez ce service avant de configurer ou d installer un iRecorder pour vous a
142. 365 D ploiement rapide de serveurs virtuels page 391 390 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D ploiement rapide de serveurs virtuels La proc dure de d ploiement rapide d un serveur CA Enterprise Log Manager virtuel des fins de collecte comporte les tapes ci apr s 1 T l chargez le package de dispositif virtuel CA Enterprise Log Manager 2 Effectuez une installation silencieuse d un serveur CA Enterprise Log Manager 3 Configurez les serveurs virtuels conform ment la section sur l installation d un serveur CA Enterprise Log Manager Important Si vous voulez effectuer le provisionnement d un serveur CA Enterprise Log Manager l aide du dispositif virtuel le nom d instance d application du serveur CA Enterprise Log Manager principal doit tre CAELM T l chargez le package de dispositif virtuel L image de distribution du dispositif virtuel de CA Enterprise Log Manager est disponible a partir du support en ligne du liens de t l chargement Vous devez t l charger cinq fichiers m Le fichier Manifest m Le fichier ovf Trois fichiers de disque virtuel installation silencieuse d un serveur CA Enterprise Log Manager Lors de l installation silencieuse du dispositif virtuel effectuez les t ches suivantes 1 Appelez l outil OVF 2 D finissez les param tres de paravirtualisation et ressources 3 D marrez le serveur CA E
143. 6 Affichage du graphique de f d ration et du contr leur de l tat du serveur Vous pouvez afficher un graphique repr sentant les serveurs CA Enterprise Log Manager de votre environnement leurs relations de f d ration et leur tat Le graphique de f d ration vous permet d afficher la structure de f d ration actuelle et de visualiser l tat de chaque serveur Vous pouvez galement s lectionner le serveur local interrog au cours de cette session en le d finissant comme serveur parent Pour afficher le graphique de f d ration cliquez sur Afficher le graphique de f d ration et le contr leur de l tat en haut de l cran A La fen tre qui s affiche montre un graphique de tous les h tes de magasins d v nements enregistr s aupr s du serveur de gestion actuel m Les magasins d v nements avec des enfants de f d ration de serveurs s affichent en bleu clair avec des lignes de connexion noires mat rialisant la relation de f d ration m Les magasins d v nements sans enfant de f d ration de serveurs s affichent en vert clair Vous avez la possibilit de s lectionner un serveur local des fins de requ te Vous pouvez galement visualiser l tat de tous les serveurs affich s Cliquez sur un serveur du graphique de f d ration pour afficher diverses informations d tat Pourcentage d utilisation de l UC a Pourcentage d utilisation de la m moire disponible Pourcentage d utilisation de l esp
144. 72 160 0 0 D Subnet Mask Enter the subnet mask 19 0 0 0 E Default Gateway Enter the IP address of the default gateway 198 168 0 0 F DNS Servers Enter a list of the IP addresses for your DNS servers Use a comma to separate the IP addresses of the DNS servers 198 168 10 20 198 168 10 25 G Domain Name Enter the domain name of this machine example com H Time Zone Choose the time zone Africa Abidjan v Annexe E CA Enterprise Log Manager et virtualisation 375 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Deploy OYF Template loi xl Properties Customize the software solution for this deployment Source OVF Template Details End User License Agreement Name and Location Deployment Configuration Host j Cluster Resource Pool Properties B CA Enterprise Log Manager Settings A Location of CA EEM Server Select Local if the CA EEM server is to be installed on this host Select Remote if this CA Enterprise Log Manager server must use a remote CA EEM server Local E B Host Name or IP Address of the Remote CA EEM Server Specify the IP address or the hast name of the remote C4 EEM server Enter none to install a CA EEM server on this host fone C Password for CA EEM Server Enter the password for the EEM server EiamAdmin user exampleeiamadminpassword D FIPS Mode Do you want to run CA E
145. 8 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 REM Secondary CA Enterprise Log Manager Server Annexe E CA Enterprise Log Manager et virtualisation 395 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels ovftool dm thin acceptAllEulas name example secondaryserver deploymentOption medium prop ROOT PASSWORD example passwordl prop LOCAL REMOTE EEM Remote prop REMOTE EEM LOCATION example_primaryserver prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 10 10 prop SUBNET MASK 10 0 10 10 prop HOSTNAME example secondary server prop DEFAULT GATEWAY 198 168 10 30 prop DNS SERVERS 198 168 20 20 198 168 20 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Exemple 2 Script de commande pour la cr ation d un serveur de gestion et de deux serveurs de collecte REM CA Enterprise Log Manager Management Server ovftool dm thin acceptAllEulas name example managementserver deploymentOption medium prop ROOT PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE EEM LOCATIO
146. A Enterprise Log Manager et acc dez l onglet Administration Cliquez sur le sous onglet Biblioth que et d veloppez le noeud Biblioth que d ajustement d v nement D veloppez le noeud Int grations et le noeud Abonnement S lectionnez une int gration dont le nom se termine par _ Syslog Les d tails de l int gration s affichent dans la fen tre de droite Vous pouvez examiner les fichiers d analyse de message et de mappage de donn es utilis s par l int gration ainsi que d autres d tails comme la version et les listes de r gles de suppression et de r capitulation Pour examiner un couteur Syslog 1 2 D veloppez le noeud Ecouteurs et le noeud Abonnement S lectionnez l couteur Syslog Les d tails de l couteur par d faut s affichent dans la fen tre de droite Vous pouvez examiner les d tails comme les versions les r gles de suppression et de r capitulation les ports par d faut sur lesquels couter la liste des h tes fiables et le fuseau horaire de l couteur Cr ation d un connecteur Syslog pour l agent par d faut Vous pouvez cr er un connecteur Syslog pour recevoir les v nements Syslog l aide de l agent par d faut sur le serveur CA Enterprise Log Manager Pour cr er un connecteur Syslog pour l agent par d faut 1 Connectez vous CA Enterprise Log Manager et acc dez l onglet Administration D veloppez l Explorateur d agent et un groupe d agents L agent par d f
147. A IT PAM 309 Lancez la console du serveur CA IT PAM et connectez vous Lancez la console du serveur CA IT PAM et connectez vous Vous pouvez lancer le serveur CA IT PAM partir d un navigateur sur n importe quel syst me o l API Java JRE 1 6 ou JDK 1 6 est install e et int gr e Pour Lancer La console de destion CA IT PAM 1 Saisissez l URL suivante dans la barre d adresse d un navigateur http lt nomh te serveur itpam gt 8080 itpam L cran de connexion de l application CA IT Process Automation Manager s affiche 2 Saisissez itpamadmin dans le champ Connexion de l utilisateur 3 Saisissez le mot de passe attribu ce compte dans le champ Mot de passe 4 Cliquez sur Connexion Le serveur CA EEM sur le dispositif CA Enterprise Log Manager authentifie vos informations de connexion et ouvre CA IT Process Automation Manager Pour plus de d tails sur l int gration et l utilisation de CA IT PAM avec CA Enterprise Log Manager voir la section Utilisation des processus de l v nement de sortie CA IT PAM du chapitre Alertes d action dans le manuel d administration CA Enterprise Log Manager 310 Manuel d impl mentation Annexe D R cup ration apr s sinistre Ce chapitre traite des sujets suivants Planification de la r cup ration apr s sinistre page 311 A propos de la sauvegarde du serveur CA EEM page 312 Sauvegarde d une instance d application CA EEM page 313 Restauration d un serveur CA
148. Accept the end user license agreements Source OVE Template Details End User License Agreeme Name and Location Deployment Configuration Host Cluster Properties Ready to Complete 346 Manuel d impl mentation 12 13 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Cliquez sur Accept Accepter puis sur Suivant La page Name and Location Nom et emplacement s ouvre Elle permet d ajouter un nom pour identifier le serveur CA Enterprise Log Manager et de sp cifier le centre de donn es o vous voulez effectuer le provisionnement de ce serveur Saisissez le nom du serveur CA Enterprise Log Manager dans le champ Nom s lectionnez le centre de donn es dans la liste Inventory Location Emplacement de l inventaire puis cliquez sur Suivant Remarque Par d faut le nom sp cifi dans le mod le OVF s affiche dans le champ Nom Deploy O F Template LI x Name and Location Specify a name and location for the deployed template Source Name OVE Template Details Example CA Enterprise Log Manager End User License Agreement Name and Location The name can contain up to 80 characters and it must be unique within the inventory Folder Deployment Configuration Inventory Location elmqa vserver ca com M ELMQA Agents Datacenter ELMQA Persistent Lab LC ELMQA Persistent Lab MC ELMQA SP2 vApp Datacenter Ready to Complete Help lt Back Lez Can
149. BC 126 D pannage de l installation lt c lt c2c 2 00 oe 5055 2255 5585 95 24 SESS SEES BESS BESS BERS SESS SPESSA 127 R soudre une erreur de configuration de l interface r seau 129 V rifier que le package RPM est install 130 Enregistrement du serveur CA Enterprise Log Manager aupr s du serveur CA EEM 130 Acquisition de certificats aupr s du serveur CA EEM 131 Importation de rapports CA Enterprise Log Manager 132 Importation de fichiers de mappage de donn es CA Enterprise Log Manager 133 Importation de fichiers de grammaire commune aux v nements 133 Importation de fichiers de r gles de corr lation 134 Importation de fichiers de gestion commune des agents 135 Importation de fichiers de configuration CA Enterprise Log Manager 136 Importation des fichiers de suppression et de r capitulation 136 Importation des fichiers de jetons d analyse 137 Importation des fichiers de l interface utilisateur CA Enterprise Log Manager 138 Chapitre 4 Configuration des utilis
150. CA Enterprise Log Manader Manuel d impl mentation Version 12 5 technologies La pr sente documentation qui inclut des syst mes d aide et du mat riel distribu s lectroniquement ci apr s nomm s Documentation vous est uniquement fournie titre informatif et peut tre a tout moment modifi e ou retir e par CA La pr sente Documentation ne peut tre copi e transf r e reproduite divulgu e modifi e ou dupliqu e en tout ou partie sans autorisation pr alable et crite de CA La pr sente Documentation est confidentielle et demeure la propri t exclusive de CA Elle ne peut pas tre utilis e ou divulgu e sauf si i un autre accord r gissant l utilisation du logiciel CA mentionn dans la Documentation pass entre vous et CA stipule le contraire ou ii si un autre accord de confidentialit entre vous et CA stipule le contraire Nonobstant ce qui pr c de si vous tes titulaire de la licence du ou des produits logiciels d crits dans la Documentation vous pourrez imprimer o mettre disposition un nombre raisonnable de copies de la Documentation relative ces logiciels pour une utilisation interne par vous m me et par vos employ s condition que les mentions et l gendes de copyright de CA figurent sur chaque copie Le droit de r aliser ou de mettre disposition des copies de la Documentation est limit la p riode pendant laquelle la licence applicable du logiciel demeure pleinement effective
151. CA Enterprise Log Manager l aide d ordinateurs virtuels S lectionnez 4 comme nombre de processeurs virtuels dans la liste d roulante Nombre de processeurs virtuels Votre serveur h te physique doit tre capable de consacrer quatre UC physiques exclusivement cette instance CA Enterprise Log Manager Cliquez sur Suivant Configurez la taille de la m moire de l ordinateur virtuel et cliquez sur Suivant La taille minimale acceptable de la m moire pour CA Enterprise Log Manager est 8 Go ou 8 192 Mo Configurez votre contr leur d interface r seau NIC CA Enterprise Log Manager n cessite au moins une connexion r seau S lectionnez NIC x dans la liste de NIC disponibles et param trez la valeur Adaptateur sur Flexible Remarque Vous n avez pas besoin de configurer un NIC s par pour chaque serveur CA Enterprise Log Manager h berg sur ce serveur physique Toutefois vous devez allouer et affecter une adresse IP statique chaque serveur S lectionnez l option Connecter au d marrage et cliquez sur Suivant La bo te de dialogue Types d adaptateurs E S s affiche Select LSI Logic pour l adaptateur E S puis cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel puis cliquez sur Suivant La bo te de dialogue concernant la capacit et l emplacement du disque s affiche Pr cisez la capacit et l emplacement de votre disque puis cliquez
152. Cr ez et confirmez un nouveau mot de passe root pour ce serveur Sp cifiez le nom d h te de ce serveur en utilisant uniquement les caract res pris en charge par les h tes Les normes du secteur recommandent les lettres de A Z insensibles la casse les chiffres de 0 9 et le tiret avec une lettre en premier caract re et un caract re alphanum rique en derni re position N utilisez pas le caract re de soulignement dans un nom d h te Remarque N ajoutez pas de nom de domaine cette valeur de nom d h te S lectionnez le nom de l adaptateur r seau utiliser pour les collectes de journaux d v nements et les communications Appuyez sur la barre d espacement pour entrer la configuration d une unit Entrez une adresse IP valide pour ce serveur Entrez un masque de sous r seau valide et une passerelle par d faut utiliser avec ce serveur Informations CA Enterprise Log Manager Nom de domaine Liste des serveurs DNS Date et heure syst me Mise jour de l heure via NTP Nom ou adresse du serveur NTP Installation d un serveur CA Enterprise Log Manager Valeur votre nom de domaine adresses IPv4 ou IPv6 correspondantes date et heure locales Oui recommand ou Non nom d h te ou adresse IP correspondant Commentaires Entrez le nom de domaine complet au sein duquel op re le serveur par exemple mycompany com Remarque Le nom de domaine doit tre enregistr
153. EEM pour l utiliser avec CA Enterprise Log Manager page 314 Sauvegarde d un serveur CA Enterprise Log Manager page 315 Restauration d un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde page 315 Restauration d un serveur CA Enterprise Log Manager suite une mise jour d abonnement page 317 Remplacement d un serveur CA Enterprise Log Manager page 317 Planification de La r cup ration apr s sinistre La planification de la r cup ration apr s sinistre fait partie int grante de tout bon plan d administration r seau La planification de la r cup ration apr s sinistre CA Enterprise Log Manager est relativement simple et directe La r ussite de la r cup ration apr s sinistre pour CA Enterprise Log Manager repose sur la conservation de sauvegardes r guli res Vous devez effectuer les sauvegardes des informations ci dessous m Instance d application CA Enterprise Log Manager sur le serveur de gestion Dossier opt CA LogManager data sur chaque serveur CA Enterprise Log Manager m Fichiers de certificat dans le dossier opt CA SharedComponents iTechnology sur chaque serveur CA Enterprise Log Manager Annexe D R cup ration apr s sinistre 311 A propos de la sauvegarde du serveur CA EEM Si votre impl mentation repose sur la conservation de niveaux lev s de d bit vous pouvez choisir de disposer d un serveur de r serve dot des m mes caract ristiques mat rielles que celui sur le
154. Enterprise Log Manager Annexe Remarques pour les utilisateurs de CA Audit 259 Envoi d v nements CA Audit CA Enterprise Log Manager Informations compl mentaires A propos du routeur et du collecteur SAPI page 252 Configuration du service de collecteur SAPI page 254 Configuration du service de routeur SAPI page 254 Modification d une strat gie r8 SP2 pour envoyer des v nements CA Enterprise Log Manager Utilisez la proc dure suivante pour permettre a un client CA Audit r8 SP2 d envoyer des v nements a CA Enterprise Log Manager et a la base de donn es du collecteur CA Audit En ajoutant une nouvelle cible aux actions Collecteur ou Acheminement d une r gle existante vous pouvez envoyer les v nements collect s aux deux syst mes Vous pouvez galement modifier des strat gies ou r gles sp cifiques pour envoyer des v nements uniquement au serveur CA Enterprise Log Manager Vous trouverez plus d informations sur l utilisation des strat gies dans le Manuel d impl mentation CA Audit r8 SP2 Reportez vous cette ressource pour plus de d tails sur la r alisation des tapes de la proc dure qui suit CA Enterprise Log Manager collecte les v nements provenant de clients CA Audit l aide des couteurs du routeur SAPI CA Audit et du collecteur SAPI CA Audit Les v nements collect s sont conserv s dans le magasin de journaux d v nements CA Enterprise Log Manager uniquement apr s l envoi de
155. IPS Conditions pr alables la mise niveau de CA Enterprise Log Manager pour la prise en charge de la norme FIPS 140 2 Commencez avec une installation de la version 12 0 SP3 ou 12 1 de CA Enterprise Log Manager m Proc dez la mise niveau vers la version r12 1 SP1 de CA Enterprise Log Manager au moyen de l abonnement Informations compl mentaires Ajout de serveurs CA Enterprise Log Manager une f d ration en mode FIPS existante page 98 92 Manuel d impl mentation Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS Instructions concernant la mise niveau Les instructions suivantes s appliquent la mise niveau de CA Enterprise Log Manager pour la prise en charge de la norme FIPS Si vous disposez de plusieurs serveurs CA Enterprise Log Manager dans une f d ration proc dez la mise niveau du serveur principal ou du serveur de gestion vers la version 12 1 SP1 en premier lieu Proc dez ensuite la mise niveau de tous les autres serveurs indistinctement Les serveurs mis niveau d marrent en mode non FIPS uniquement Pour activer le mode FIPS vous devez disposer des droits d administrateur et d finir le mode d exploitation manuellement Important Pendant le traitement de l abonnement ne modifiez pas le mode FIPS des serveurs CA Enterprise Log Manager secondaires Un chec du traitement pourrait se produire Les
156. La fen tre de l application s ouvre S lectionnez l emplacement o vous voulez effectuer le provisionnement d un serveur CA Enterprise Log Manager sous un centre de donn es dans le volet gauche Cliquez sur File Fichier puis sur Deploy OVF Template D ployer le mod le OVF La fen tre Deploy OVF Template D ployer le mod le OVF s affiche Par d faut cette fen tre affiche la page Source Saisissez l emplacement du mod le OVF dans cette page Remarque Les pages affich es dans la fen tre Deploy OVF Template peuvent varier selon la version de Client VMware vSphere et des param tres utilis s Pour plus d informations sur le d ploiement d un mod le OVF visitez le site Web www vmware com S lectionnez l option Deploy from file D ployer partir du fichier et cliquez sur Parcourir pour s lectionner l emplacement du mod le OVF Acc dez l emplacement du mod le OVF partir de la bo te de dialogue Open Ouvrir s lectionnez le mod le OVF et cliquez sur Open 368 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Le chemin d acc s de l emplacement du mod le OVF s affiche dans le champ Deploy from file D ployer partir du fichier Deploy O F Template Source Select the source location Source OVF Template Details End User License Agreement Name and Location o Deployment Configuration Host Cluster Settings C4 ELM CA Enterprise
157. La liste des agents correspondant vos crit res de recherche appara t et affiche entre autres les informations suivantes Nom et version du connecteur local m Serveur CA Enterprise Log Manager actuel Mode FIPS de l agent FIPS ou non FIPS a Dernier enregistrement en date du nombre d v nements re us par seconde trait par l agent a Dernier enregistrement en date du pourcentage d utilisation de l UC a Dernier enregistrement en date du pourcentage d utilisation de la m moire a Mise jour de configuration la plus r cente a Etat de la mise jour de la configuration Chapitre 3 Installation de CA Enterprise Log Manager 97 Ajout de serveurs CA Enterprise Log Manager une f d ration en mode FIPS existante Ajout de serveurs CA Enterprise Log Manager une f d ration en mode FIPS existante Pour ajouter un nouveau serveur CA Enterprise Log Manager une f d ration de serveurs ex cut s en mode FIPS vous devez suivre plusieurs recommandations Si vous ne sp cifiez pas le mode FIPS lors de l installation les serveurs CA Enterprise Log Manager nouvellement install s passeront en mode non FIPS par d faut Les serveurs ex cut s en mode non FIPS ne peuvent pas communiquer avec des serveurs ex cut s en mode FIPS Lors de son installation un serveur CA Enterprise Log Manager doit tre enregistr aupr s du serveur CA EEM int gr local sur le serveur de gestion ou aupr s d un serveur CA EEM distant au
158. Log Manager que vous souhaitez f d rer doivent utiliser le m me nom d instance d application dans CA EEM Chaque installation de serveur CA Enterprise Log Manager s enregistre automatiquement aupr s du serveur CA EEM l aide d un nom d instance d application Vous pouvez configurer une f d ration tout moment apr s avoir install votre premier serveur CA Enterprise Log Manager et au moins un serveur suppl mentaire Toutefois vous obtiendrez de meilleurs r sultats en planifiant votre f d ration avant l installation La cr ation d une carte de f d ration d taill e vous permet d effectuer les t ches de configuration en alliant rapidit et pr cision Au niveau du r seau le fait de disposer de plusieurs serveurs CA Enterprise Log Manager vous permet de traiter des volumes d v nements plus lev s Du point de vue des rapports l utilisation d une f d ration vous permet de contr ler les personnes pouvant acc der aux donn es d v nement et la quantit de donn es qu elles peuvent afficher Dans un environnement de base comprenant deux serveurs le serveur de gestion assume le r le de serveur de rapports Sur le serveur CA Enterprise Log Manager de gestion le serveur CA EEM interne g re les configurations de f d ration de mani re centrale et globale vous pouvez modifier les options de configuration depuis n importe quel serveur CA Enterprise Log Manager sur le r seau Vous configurez le serveur CA Enterprise L
159. Log Manager Pour cr er les DVD d installation 1 A partir d un ordinateur connect Internet acc dez au serveur de 9 t l chargement l adresse http ca com support en anglais Cliquez sur le lien Technical Support puis sur le lien Download Center Choisissez CA Enterprise Log Manager dans le champ Select a Product puis choisissez la version dans le champ Select a Release S lectionnez la case cocher Select all components puis cliquez sur Go La page Published Solutions Downloads s affiche S lectionnez le package de t l chargement La page de la documentation des solutions s affiche Utilisez le d filement pour acc der au bas de la page et s lectionnez le lien Download en regard du nom du package Le t l chargement du package d marre Remarque Le t l chargement peut durer un certain temps en fonction du d bit de votre connexion D compressez les deux images d installation Cr ez deux disques d installation distincts en gravant les images disque ISO du syst me d exploitation et de CA Enterprise Log Manager sur des DVD RW s par s Les deux disques d installation contiennent respectivement tous les composants du syst me d exploitation et du produit pour votre environnement CA Enterprise Log Manager Vous pouvez d cider d utiliser d autres composants comme des SAPI Recorders ou des iRecorders dans votre environnement Il s agit de t l chargements distincts disponibles sur le site
160. M peuvent tre redimensionn es ou d plac es sur des p riph riques d arri re plans pour le stockage SAN par exemple Pour cr er un volume logique 1 Cr ez le premier volume physique pvcreate dev mapper mpath0 Cr ez le second volume physique pvcreate dev mapper mpath1 Affichez tous les volumes physiques sur le syst me pvdisplay Cr ez le groupe de volumes VolGroup01 Le groupe de volumes VolGroup00 existe d j vgcreate VolGroup01 dev mapper mpath dev mapper mpath1 Remarque Cette commande permet de cr er un volume et d ajouter les deux volumes physique au groupe Cr ez un volume logique dans le groupe de volumes lvcreate n LogVol00 1 384030 VolGroup01 Cr ez un syst me de fichiers mkfs t ext3 dev VolGroup01 LogVol06 104 Manuel d impl mentation Remarques concernant l installation d un syst me disposant de lecteurs SAN Pr paration du volume logique pour CA Enterprise Log Manager Apr s avoir cr un volume logique compl tez le avec la structure de r pertoires appropri e et affectez les associations de droits de propri t et de groupe requises pour CA Enterprise Log Manager Utilisez l diteur vi pour modifier le fichier fstab afin qu il pointe vers le volume logique que vous avez cr Montez ensuite le nouveau r pertoire de donn es Pour pr parer le volume logique pour CA Enterprise Log Manager 1 Cr ez un r pertoire temporaire data1 remplacez les droits
161. Manager a partir des fichiers de sauvegarde Vous pouvez restaurer un serveur CA Enterprise Log Manager a partir des fichiers de sauvegarde apr s avoir install le dispositif logiciel CA Enterprise Log Manager sur le nouveau serveur Pour restaurer un serveur CA Enterprise Log Manager a partir des sauvegardes 1 Arr tez le processus iGateway sur le nouveau serveur Pour ce faire acc dez au dossier opt CA SharedComponents iTechnology et ex cutez la commande ci dessous S99igateway stop Annexe D R cup ration apr s sinistre 315 Restauration d un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde 2 Copiez les fichiers backupData tgz et backupCerts tgz files dans le r pertoire opt CA LogManager sur le nouveau serveur 3 D veloppez le contenu du fichier backupData tgz l aide de la commande ci dessous tar xzvf backupData tgz Cette commande remplace le contenu du dossier de donn es par le contenu du fichier de sauvegarde 4 Acc dez au r pertoire opt CA SharedComponents iTechnology 5 D veloppez le contenu du fichier backupCerts tgz file a l aide de la commande ci dessous tar xzvf backupCerts tgz Cette commande remplace les fichiers de certificats p12 du dossier actuel par les fichiers de certificats du fichier de sauvegarde 6 D marrez le processus iGateway Pour ce faire ex cutez la commande ci dessous S99igateway start 316 Manuel d impl mentation Re
162. Manager est le processus qui g re les connecteurs envoyant les v nements collect s un serveur CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que les connecteurs puissent collecter des v nements Utilisez la proc dure suivante pour d marrer le processus de l agent CA Enterprise Log Manager s il ne fonctionne pas d j Pour d marrer le d mon ou service de l agent CA ELM 1 Connectez vous en tant qu utilisateur root ou administrateur Windows 2 Acc dez une invite de commande puis entrez la commande ci apr s Linux UNIX Solaris opt CA ELMAgent bin S99elmagent start Windows net start ca elmagent 86 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager Arr t du d mon ou service de l agent CA Enterprise Log Manager Le d mon ou service de l agent CA Enterprise Log Manager est le processus qui g re les connecteurs envoyant les v nements collect s un serveur CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que les connecteurs puissent collecter des v nements Utilisez la proc dure suivante pour arr ter le processus de l agent CA Enterprise Log Manager Normalement les commandes de d marrage et d arr t sont mises depuis l Explorateur d agent sur n importe quel serveur CA Enterprise Log Manager Vous pouvez utiliser cette commande pour vous pr parer red marrer un processus d agent et tous ses connecteurs Po
163. N none prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example_management_server prop DEFAULT GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 REM CA Enterprise Log Manager Collection Server 1 ovftool dm thin acceptAllEulas name example collectionserverl deploymentOption medium prop ROOT PASSWORD example passwordl prop LOCAL_REMOTE_EEM Remote prop REMOTE EEM LOCATION example managementserver prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 10 10 prop SUBNET MASK 10 0 10 10 prop HOSTNAME example collection serverl prop DEFAULT GATEWAY 198 168 10 30 prop DNS SERVERS 198 168 20 20 198 168 20 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 REM CA Enterprise Log Manager Collection Server 2 396 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels ovftool dm thin acceptAllEulas name example collectionserver2 deploymentOption medium prop ROOT PASSWORD example password2 p
164. NMP est renseign e en substituant un OID chaque champ CEG utilis pour le nom de la paire nom valeur Le mappage de chaque champ avec un OID est stock dans la MIB L interruption SNMP inclut uniquement les paires nom valeur des champs que vous avez s lectionn s lorsque de la configuration de l alerte Le cumul d v nements est le processus par lequel des entr es de journal similaires sont regroup es en une entr e unique contenant un compteur d occurrences d v nement Les r gles de r capitulation d finissent le regroupement des v nements Le d gel est le processus qui consiste faire passer une base de donn es de l tat froid l tat d givr Cette op ration est r alis e par CA Enterprise Log Manager lorsque l utilitaire LMArchive l avertit qu une base de donn es froide connue a t restaur e Si la base de donn es froide n est pas restaur e sur son CA Enterprise Log Manager original l utilitaire LMArchive n est pas utilis et aucun d gel n est requis la fonction de recatalogage ajoute la base de donn es restaur e en tant que base de donn es ti de Glossary 411 Destinations d une interruption SNMP d tecteur de journaux Dispositif logiciel dossier l ments d int gration Lorsque vous planifiez une alerte d action vous avez la possibilit d ajouter plusieurs destinations pour l interruption SNMP Chacune d entre elles est d finie par une adresse IP et un num ro de port G n ra
165. Virtual Machine Version 7 Settings Summary CPU O MHz BE 7 Shares bo CITE Disk Normal o Reservation 0 MB Advanced CPU HT Sharing Any A m Resource Allocation Limit 5633 me MN Unlimited Limit based on parent resource pool or current host 7 Cliquez sur OK 8 Remarque Pour plus d informations sur la paravirtualization visite le site Web www vmware com 364 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D marrez le serveur CA Enterprise Log Manager provisionn Ceci est n cessaire son ex cution Pour d marrer un serveur CA Enterprise Log Manager 1 S lectionnez le nouveau serveur CA Enterprise Log Manager dans le volet gauche de la fen tre de l application VMware 2 Cliquez sur l option Power On D marrage situ e sous l onglet Basic Tasks of the Getting Started T ches de base du d marrage dans le volet droit Le serveur CA Enterprise Log Manager est d marr Remarque V rifiez qu un serveur CA Enterprise Log Manager principal est ex cut avant de d marrer un serveur CA Enterprise Log Manager secondaire V rification de l installation d un serveur CA Enterprise Log Manager virtuel Lors du d marrage du serveur CA Enterprise Log Manager provisionn une URL permettant d acc der CA Enterprise Log Manager s affiche dans l onglet Console de la f
166. Voici un exemple d URL JDBC compl te elm 127 0 0 1 17002 encrypted 1 ServerDataSource Default CustomProperties querytimeout 600 que ryfederated true queryfetchrows 1000 offsetmins 0 suppressNoncriticalErrors false Les diff rentes parties de l URL sont expliqu es ci dessous jdbc ca elm D finit la cha ne protocole sous protocole qui d signe le pilote JDBC fourni avec CA Enterprise Log Manager adresse IP port Indique l adresse IP du serveur CA Enterprise Log Manager auquel vous voulez acc der Le num ro de port correspond au port a utiliser pour les communications il doit tre identique celui d fini dans le panneau de configuration du service ODBC CA Enterprise Log Manager Si les num ros de port sont diff rents la tentative de connexion choue 126 Manuel d impl mentation D pannage de l installation encrypted 0 1 Indique si le chiffrement SSL est utilis pour les communications entre le client JDBC et le serveur CA Enterprise Log Manager La valeur par d faut est 0 pas de chiffrement il n est pas n cessaire de la pr ciser dans l URL Pour activer le chiffrement sp cifiez encrypted 1 dans l URL Le chiffrement de la connexion doit tre activ explicitement De plus ce param tre doit correspondre celui que vous avez configur dans la bo te de dialogue Service ODBC CA Enterprise Log Manager faute de quoi la tentative de connexion choue ServerDataSource Default Sp cifie le no
167. Vous devez tre habilit cr er des fichiers dans le r pertoire d installation du client sur les syst mes UNIX et Linux Pour plus d informations sur les plates formes compatibles avec les clients ODBC et JDBC reportez vous la matrice de certification de prise en charge CA Enterprise Log Manager disponible l adresse http www ca com Support Configuration du service Serveur ODBC Cette proc dure vous permet de configurer un acc s ODBC et JDBC au magasin de journaux d v nements CA Enterprise Log Manager Pour configurer un acc s ODBC et JDBC 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur Administrator 2 Acc dez l onglet Administration puis cliquez sur le sous onglet Services 118 Manuel d impl mentation Installation du client ODBC Cliquez sur le service Serveur ODBC pour ouvrir les param tres globaux ou d veloppez le noeud pour s lectionner un serveur CA Enterprise Log Manager D finissez un num ro de port dans le champ Port du service si vous souhaitez utiliser un port autre que celui par d faut Indiquez si vous souhaitez activer SSL pour chiffrer les donn es transf r es entre le client ODBC et le serveur CA Enterprise Log Manager Remarque Les param tres Port du service et SSL activ doivent tre configur s de la m me mani re sur le serveur et sur le client ODBC Par d faut le num ro du port est 17002 et le chiffrement SSL est activ Si ces par
168. _X86_32 WinRM Ex cution en cours WinRM_Connettore ca elm Default Agent Group 12 Cliquez sur Ex cution en cours pour obtenir des donn es telles que les EPS v nements par seconde Etat Pourcentage de l UC 0 0 Utilisation de la m moire en Mo 19 2 Moyenne d v nements par seconde 0 Nombre d v nements filtr s 0 Pour v rifier que l agent par d faut collecte des v nements partir de La source d v nement cible 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ tes s affiche 2 D veloppez Invites dans la Liste de requ tes puis s lectionnez Connecteur 3 Saisissez le nom du connecteur puis cliquez sur OK 4 Visualisez les v nements collect s 228 Manuel d impl mentation Affichage et contr le de l tat d un agent ou d un connecteur Affichage et contr le de l tat d un agent ou d un connecteur Dans votre environnement vous pouvez surveiller l tat d agents ou de connecteurs red marrer les agents ou encore d marrer arr ter et red marrer les connecteurs le cas ch ant Vous pouvez afficher les agents ou les connecteurs des diff rents niveaux de la hi rarchie de dossiers de l Explorateur d agent Chaque niveau restreint l affichage disponible en cons quence m Depuis le dossier Explorateur d agent vous pouvez afficher tous les agents ou connecteurs affect s au serveur CA Enterprise Log Manager actuel Depuis le dossier d un
169. a restauration des bases de donn es d archive vers le magasin de journaux d v nements d un serveur CA Enterprise Log Manager Utilisez LMArchive pour effectuer une requ te sur la liste des fichiers de bases de donn es ti des pr ts tre archiv s Apr s avoir sauvegard la base de donn es r pertori e et l avoir transf r e sur un stockage long terme froid utilisez LMArchive pour cr er un enregistrement sur CA Enterprise Log Manager indiquant que cette base de donn es a t sauvegard e Suite la restauration d une base de donn es froide sur son CA Enterprise Log Manager d origine utilisez LMArchive pour notifier CA Enterprise Log Manager qui place alors les fichiers de bases de donn es dans un tat d givr accessible aux requ tes utilitaire LMSEOSImport utilitaire scp valeurs cl s LMSEOSImport est un utilitaire de ligne de commande utilis pour importer SEOSDATA ou des v nements existants dans CA Enterprise Log Manager dans le cadre de la migration depuis le g n rateur de rapports la visionneuse ou le collecteur d Audit L utilitaire est pris en charge uniquement par Microsoft Windows et Sun Solaris Sparc La copie s curis e scp programme de copie de fichiers a distance est un utilitaire UNIX qui permet de transf rer des fichiers entre les ordinateurs UNIX d un r seau Cet utilitaire est fourni lors de l installation CA Enterprise Log Manager pour que vous puissiez transf rer les fichi
170. a redirection se produit sur le m me h te sous forme d couteur Syslog Si vous choisissez d utiliser un port non standard vous devez alors reconfigurer chaque source d v nement pour qu elle envoie ses v nements sur ce port 116 Manuel d impl mentation Installation du client ODBC Pour rediriger Le trafic d v nements via un pare feu 1 2 3 Connectez vous en tant qu utilisateur root Acc dez a une invite de commande Entrez une commande afin de rediriger les ports pour votre pare feu sp cifique L exemple ci dessous illustre les entr es de ligne de commande pour l outil de filtrage de paquets netfilter iptables sur un syst me d exploitation Red Hat Linux chkconfig level 345 iptables on iptables t nat A PREROUTING p udp dport 514 j REDIRECT to lt votre nouveau port gt service iptables save Remplacez la valeur de la variable lt votre nouveau _port gt par un num ro de port disponible et sup rieur 1024 Pour d autres impl mentations reportez vous aux instructions de gestion des ports propos es par le fournisseur de votre pare feu Installation du client ODBC L installation d un client ODBC sur des syst mes Windows implique les tapes ci dessous 1 V rifiez que vous disposez des autorisations requises et obtenez une cl de licence pour le pilote du client ODBC conditions requises 2 Installez le client ODBC 3 Cr ez une source de donn es l aide de l utilitaire S
171. a sous le magasin de donn es s lectionn dans le volet gauche Remarque Si une valeur de propri t contient des espaces placez la entre apostrophes doubles Par exemple si le nom OVF est CA ELM entrez la valeur comme suit CA ELM ovf Pour plus d informations sur l outil OVF consultez le Manuel de l Utilisateur OVF Tool User Guide Exemple 360 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels ovftool dm thick acceptAllEulas name example server deploymentOption medium prop ROOT PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example serverl prop DEFAULT GATEWAY 198 168 0 0 prop DNS SERVERS 198 168 10 20 198 168 10 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Annexe E CA Enterprise Log Manager et virtualisation 361 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D finition des param tres de paravirtualisation et de ressources Apr s l importation du mod le OVF d finissez manuellement les param tres de paravirtualisation et de ressource pour am liorer les performances du serveur CA E
172. a tentes 89 Conditions pr alables la mise niveau pour la prise en charge de la norme FIPS 92 Instructions concernant la mise niveau 93 Mise niveau d un serveur CA EEM distant 94 D sactivation de l acc s d ODBC et de JDBC au magasin de journaux d v nements 94 Activation des op rations en mode FIPS 94 Affichage du tableau de bord des agents 96 Ajout de serveurs CA Enterprise Log Manager une f d ration en mode FIPS existante 98 Remarques concernant l installation d un syst me disposant de lecteurs SAN 100 Installation avec des lecteurs SAN d sactiv s 101 Installation avec des lecteurs SAN activ s 107 Configurations initiales du serveur CA Enterprise Log Manager 108 Comptes d utilisateur par d faut 222288 eue we we manne ve de eae va el veuve ne eee nee 109 Structure des r pertoires par d faut 110 Image du syst me d exploitation personnalis 110 Affectations de ports par d faut
173. ace disque disponible a Ev nements re us par seconde a Graphique principal de l tat du magasin de journaux d v nements Informations compl mentaires Exemple Carte de f d ration pour une PME page 39 Exemple Carte de f d ration pour une grande entreprise page 37 Chapitre 7 Cr ation de f d rations 237 Chapitre 8 Utilisation de La biblioth que d ajustement d v nement Ce chapitre traite des sujets suivants A propos de la biblioth que d ajustement d v nement page 239 Prise en charge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement page 240 Fichiers de mappage et d analyse page 240 A propos de la biblioth que d ajustement d v nement La biblioth que d ajustement d v nement fournit les outils permettant de cr er de nouveaux fichiers d analyse et de mappage ou encore de modifier des copies de fichiers pour prendre en charge de nouvelles unit s applications etc La bibliotheque comprend les options ci dessous m Int grations Ecouteurs m Fichiers de mappage et d analyse m R gles de suppression et de r capitulation Les r gles de suppression emp chent la collecte des donn es ou l insertion des donn es dans le magasin de journaux d v nements Les r gles de r capitulation vous permettent de cumuler des v nements afin de r duire le nombre d insertions de types d v nements ou d actions similaires Il s agit de la partie de la b
174. affiche les informations d taill es de la r gle Chapitre 5 Configuration des services 187 Configuration du service de corr lation Ajoutez tous les d tails de notification n cessaires dans le l assistant de gestion des r gles Les d tails de notification fournissent le contenu du message d livr aux destinations de notification Apr s avoir pr par la r gle cliquez sur Enregistrer et fermer dans l assistant Lorsque vous modifiez et enregistrez une r gle de corr lation pr d finie CA Enterprise Log Manager cr e automatiquement une nouvelle version en conservant la version originale Cliquez sur le sous onglet Services puis d veloppez le noeud Service de corr lation S lectionnez le serveur sur lequel vous voulez appliquer la r gle Si vous avez identifi un serveur de corr lation s lectionnez le Cliquez sur Appliquer dans la zone Configuration de la r gle et s lectionnez la nouvelle version de la r gle 5 checs de connexion par le compte d administrateur ainsi que la destination de notification que vous voulez associer 10 Cliquez sur OK pour fermer la bo te de dialogue et activez la r gle Exemple s lection et application d une r gle de transition d tat Les r gles de corr lation de transition d tat identifient une s rie d tats ou occurrences tour de r le Par exemple vous pouvez appliquer une r gle qui vous informe en cas d checs de connexion suivis d une connexion r uss
175. ager ils ne peuvent pas tre affect s aux utilisateurs d autres produits enregistr s sur le m me serveur CA EEM Des groupes d applications d finis par l utilisateur doivent tre ajout s la strat gie d acc s aux applications CALM par d faut pour que les utilisateurs de ces groupes puissent acc der CA Enterprise Log Manager Un groupe d utilisateurs peut tre un groupe d applications un groupe global ou un groupe dynamique Les groupes d applications CA Enterprise Log Manager pr d finis sont les r les Administrator Analyst et Auditor Les utilisateurs CA Enterprise Log Manager peuvent faire partie des groupes globaux par le biais d appartenances distinctes de CA Enterprise Log Manager Les groupes dynamiques sont d finis par l utilisateur et cr s via une strat gie de groupe dynamique groupe d utilisateurs dynamique groupe global Un groupe d utilisateurs dynamique est compos d utilisateurs globaux qui partagent un ou plusieurs attributs communs Un groupe d utilisateurs dynamique est cr par le biais d une strat gie de groupe d utilisateurs dynamique particuli re dans laquelle le nom de la ressource est le nom du groupe d utilisateurs dynamique et l appartenance repose sur un ensemble de filtres configur s sur les attributs d utilisateur et de groupe Un groupe global est un groupe partag sur les instances d application enregistr es aupr s du m me serveur de gestion CA Enterprise Log Manager N importe
176. ager Oracle10g Oracle9i et MS SQL Server 2005 Vous trouverez ci dessous une liste partielle des produits qui g n rent des v nements pouvant tre collect s directement par l agent par d faut sur un serveur CA Enterprise Log Manager Un connecteur unique est utilis pour chaque produit chaque connecteur utilise le d tecteur ODBCLogSensor CA Federation Manager CA SiteMinder CA Identity Manager Oracle 9i et 10g Microsoft SQL Server 2005 Pour obtenir une liste compl te consultez la Matrice d int gration de produits sur le support en ligne 216 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor Cet exemple d crit l activation de la collecte directe des v nements partir d une base de donn es Microsoft SQL Server Le connecteur d ploy sur l agent par d faut est fond sur l int gration MS SQL Server _2005 Dans cet exemple la base de donn es SQL Server se trouve sur un serveur ODBC Le connecteur d ploy dans l agent CA Enterprise Log Manager collecte des v nements partir de la table MSSQL_ TRACE Une partie de l activation de la collecte d v nements partir d une base de donn es Microsoft SQL Server consiste diriger des v nements s lectionn s vers cette table de trace Vous trouverez des instructions explicites pour y parvenir dans le manuel du connecteur CA pour Microsoft SQL Server Pour configurer la source d v neme
177. ager de collecte Ainsi si le r seau perd sa connectivit ou si le serveur de gestion s arr te pour une raison quelconque la journalisation des v nements continue sans interruption sur les serveurs de collecte Le panneau Etat du syst me contient des outils pour g rer les serveurs CA Enterprise Log Manager et leurs services ainsi que pour collecter des informations des fins d assistance Le manuel d administration et l aide en ligne contiennent des informations compl mentaires sur le sujet Modification de configurations globales Vous pouvez d finir des configurations globales pour l ensemble des services Si vous essayez d enregistrer des valeurs non comprises dans la plage autoris e CA Enterprise Log Manager est d fini par d faut sur la valeur minimale ou maximale selon le cas Plusieurs des param tres sont interd pendants Pour modifier des param tres globaux 1 Cliquez sur l onglet Administration et le sous onglet Services La Liste de services s affiche 2 Cliquez sur Configuration globale dans la Liste de services Le volet de d tails Configuration globale du service s ouvre 152 Manuel d impl mentation Modification de configurations globales 3 Vous pouvez changer les param tres de configuration suivants Intervalle de mise jour Sp cifie la fr quence en secondes laquelle les composants du serveur appliquent les mises jour de configuration Minimum 30 Maximum 86400 D lai d exp
178. am tres ne correspondent pas ceux du client ODBC les tentatives de connexion chouent Installation du client ODBC sur Les syst mes Windows Utilisez la proc dure suivante pour installer le client ODBC sur un syst me Windows Remarque Un compte administrateur Windows est n cessaire pour installer le client ODBC Pour installer Le client ODBC 1 Dans le DVD de l application ou l image d installation recherchez le r pertoire du client ODBC CA ELM ODBC Double cliquez sur l application setup exe Acceptez le contrat de licence et cliquez sur Suivant Le panneau S lection de l emplacement de destination appara t Entrez l emplacement de destination ou acceptez celui par d faut puis cliquez sur Suivant Le panneau S lection du dossier de programmes s affiche S lectionnez un dossier pour le programme ou acceptez celui par d faut puis cliquez sur Suivant Le panneau Lancement de la copie des fichiers appara t Chapitre 3 Installation de CA Enterprise Log Manager 119 Installation du client ODBC 6 Cliquez sur Suivant pour d marrer la copie des fichiers Le panneau Etat d installation s affiche pour indiquer l tat d avancement de l installation Lorsque l installation a termin de copier les fichiers le panneau Assistant InstallShield termin appara t 7 Cliquez sur Terminer afin de compl ter l installation Cr ation d une source de donn es ODBC sur Les syst mes Windows Utilisez cet
179. applications qui s ex cutent sous J2SE v 1 4 2 x configurez les connexions la base de donn es par programmation comme d fini dans une application sp cifique Pour les applications qui s ex cutent sous J2EE 1 4 2 x et versions ult rieures utilisez un serveur d applications Web par exemple Oracle WebLogic ou Red Hat JBoss pour configurer la gestion des pools de connexion 124 Manuel d impl mentation Installation du client JDBC Pour plus d informations sur les plates formes compatibles avec les clients ODBC et JDBC reportez vous la matrice de certification de prise en charge CA Enterprise Log Manager disponible l adresse http www ca com Support Installation du client JDBC sur les syst mes Windows Utilisez cette proc dure pour installer le pilote du client JDBC sur un syst me Windows Pour installer Le pilote JDBC 1 Recherchez dans le r pertoire CA ELM JDBC du DVD de l application ou de l image d installation les deux fichiers jar suivants LMjc jar LMssl14 jar Copiez les fichiers jar dans le r pertoire de votre choix sur le serveur de destination et notez cet emplacement Installation du client JDBC sur les syst mes UNIX Utilisez cette proc dure pour installer le pilote du client JDBC sur un syst me UNIX Pour installer Le pilote JDBC 1 Recherchez dans le r pertoire CA ELM JDBC du DVD de l application ou de l image d installation les deux fichiers jar suivants LMjc jar LMs
180. ar exemple pour collecter les v nements Windows Plusieurs sources d v nement Syslog peuvent transmettre des v nements par le biais d un seul connecteur puisque l couteur re oit l ensemble du trafic sur un port sp cifi CA Enterprise Log Manager peut couter les v nements Syslog sur n importe quel port si vous ex cutez un agent en tant qu utilisateur non root l utilisation de ports inf rieurs au port 1024 peut faire l objet de restrictions Les ports standard peuvent recevoir un flux d v nements compos s de diff rents types d v nements Syslog Ceux ci peuvent inclure UNIX Linux Snort Solaris CiscoPIX Check Point Firewall 1 etc CA Enterprise Log Manager g re les v nements Syslog l aide d couteurs soit un type sp cialis de composant d int gration Vous cr ez des connecteurs Syslog fond s sur des couteurs et des int grations L couteur fournit les informations de connexion telles que les ports ou les h tes fiables m L int gration d finit les fichiers d analyse de message XMP et de mappage de donn es Comme un seul connecteur Syslog peut recevoir des v nements provenant de plusieurs sources d v nement vous devez envisager d acheminer ou non les v nements Syslog en fonction de leur type ou de leur source La taille et la complexit de votre environnement d terminent votre mani re d quilibrer la r ception de vos v nements Syslog Plusieurs types Syslog 1 connec
181. are indique huit UC de 8 Go de m moire RAM chacune S lectionnez le fuseau horaire dont d pend ce serveur Indiquez si vous pr voyez d utiliser un serveur CA EEM local ou distant Pour un serveur CA Enterprise Log Manager de gestion choisissez l option locale L installation vous invite a cr er un mot de passe pour le compte d utilisateur EiamAdmin par d faut Pour chaque serveur suppl mentaire choisissez l option distante L installation vous invite indiquer le nom du serveur de gestion Que vous choisissiez l option locale ou distante vous devez utiliser l ID et le mot de passe du compte EiamAdmin lors de la premi re connexion chaque serveur CA Enterprise Log Manager Entrez cette valeur uniquement si vous s lectionnez l option de serveur distant Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de gestion install en premier Le nom d h te doit tre enregistr aupr s du serveur DNS Si vous voulez utiliser un serveur CA EEM local la valeur par d faut n est Aucun Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Informations requises Valeur Commentaires EEM_PASSWORD mot de passe du Enregistrez le mot de passe du compte compte d administrateur par d faut EiamAdmin EiamAdmin Votre serveur CA Enterprise Log Manager doit disposer de ces informations d identification de compte pour la connexion initiale Si vous installez le serveur de
182. ateurs de base et des acc s 139 A propos des utilisateurs de base et des acc s 139 Configuration du magasin d utilisateurs 140 Acceptation du magasin d utilisateurs par d faut 140 R f rence un r pertoire LDAP 44444444 4444 141 R f rence CA SiteMinder comme magasin d utilisateurs 142 Configuration des strat gies de mots de passe 144 Conservation des strat gies d acc s pr d finies 145 Cr ation du premier administrateur 146 Cr ation d un nouveau compte d utilisateur 147 Affectation d un r le un utilisateur global 2 148 Chapitre 5 Configuration des services 151 Sources d v nement et configurations 151 Modification de configurations globales 2220 152 Utilisation des Param tres et filtres globaux 155 S lection de l utilisation des requ tes f d r es 156 Configuration
183. ation 1 Planification des mises jour d abonnement Le serveur proxy d abonnement contacte le serveur d abonnement CA Vous pouvez configurer des serveurs proxys pour qu ils contactent le serveur d abonnement directement ou via votre proxy HTTP local Les proxys contactent le serveur d abonnement CA automatiquement selon une planification d finie ou la demande lors du lancement manuelle d une mise jour Le serveur proxy t l charge et installe automatiquement les mises jour syst me d exploitation et de produit Si vous utilisez un abonnement hors ligne t l chargez manuellement les fichiers de mise jour sur un syst me diff rent de votre environnement CA Enterprise Log Manager et copiez les vers le serveur proxy hors ligne Le serveur proxy d abonnement envoie les mises a jour de contenu et d int gration vers le serveur de gestion Par d faut le serveur de gestion est le premier serveur CA Enterprise Log Manager install il stocke toutes les informations de contenu comme les rapports les int grations et les r gles de corr lation de votre environnement Les clients d abonnement contactent le proxy d abonnement pour obtenir des mises jour automatiquement ou la demande Les clients t l chargent et installent automatiquement les mises jour Remarque Les proxys d abonnement installent les mises jour qu ils t l chargent avant de les mettre disposition des clients Chapitre 2 Planifica
184. ation 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMConfig sh Le script shell importe les fichiers de configuration Importation des fichiers de suppression et de r capitulation Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de suppression et de r capitulation Vous ne pouvez pas utiliser les r gles de suppression et de r capitulation pr tes l emploi dans l interface utilisateur CA Enterprise Log Manager sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation 136 Manuel d impl mentation D pannage de l installation Solution Importez manuellement les fichiers de suppression et de r capitulation Pour importer Les fichiers de suppression et de r capitulation 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex c
185. ation enregistr avant d effectuer cette partie de la configuration Lorsque vous installez chaque nouveau serveur son nom s affiche dans la liste des serveurs disponibles pour la f d ration Vous pouvez effectuer cette proc dure autant de fois que n cessaire pour cr er la structure f d r e souhait e Pour configurer un serveur CA Enterprise Log Manager en tant que serveur enfant 1 Connectez vous n importe quel serveur CA Enterprise Log Manager enregistr sous le m me nom d instance d application que les autres dans la f d ration que vous envisagez 2 Cliquez sur l onglet Administration et s lectionnez le sous onglet Services 3 D veloppez le dossier du service Magasin de journaux d v nements puis s lectionnez le nom de serveur pour le serveur CA Enterprise Log Manager parent 4 Faites d filer vers le bas jusqu la liste Enfants de f d ration de serveurs 5 S lectionnez un ou plusieurs noms de serveur configurer comme enfants du serveur parent dans la liste Disponible s 6 Utilisez les boutons fl ch s pour d placer vos s lections vers la liste Serveurs s lectionn s Les serveurs CA Enterprise Log Manager s lectionn s et d plac s dans la liste sont d sormais des enfants f d r s du serveur parent 236 Manuel d impl mentation Configuration d une f d ration CA Enterprise Log Manager Informations compl mentaires S lection de l utilisation des requ tes f d r es page 15
186. ation comme CA MDB 140 Feuille de calcul CA SiteMinder 46 Feuille de calcul du r pertoire LDAP externe 44 planification 42 r f rence CA SiteMinder 142 r f rence un r pertoire LDAP 141 module d extension module d extension d v nements Technology 255 module d extension d v nements module d extension d v nements Technology 255 P planification dimensionnement 70 espace disque 31 f d ration 34 int gration CA Audit 243 magasin d utilisateurs 42 r cup ration apr s sinistre 311 strat gies de mots de passe 47 ports adaptateur r seau 129 pare feu pour les v nements Syslog 116 processus iGateway compte d utilisateur pour le contr le 109 contr le 84 R r cup ration apr s sinistre planification 311 remplacement d un serveur CA Enterprise Log Manager 317 restauration d un serveur CA Embedded Entitlements Manager 314 restauration d un serveur CA Enterprise Log Manager 315 sauvegarde d un serveur CA Embedded Entitlements Manager 312 313 sauvegarde d un serveur CA Enterprise Log Manager 315 r gles de suppression effets 71 r les des serveurs dans les rapports f d r s 37 r les d utilisateur attribution 148 5 strat gies de mots de passe configuration 144 planification 47 Syslog collecte d finie 63 Y t ches d administration magasin d utilisateurs 140 U utilitaire LMSeosimport propos de l utilitaire 26
187. ation de mises jour le client installe les composants t l charg s Par d faut tous les serveurs CA Enterprise Log Manager non configur s en tant que proxys d abonnement sont des clients d abonnement Il n est pas n cessaire de configurer un serveur au niveau local en tant que client except si vous voulez remplacer des param tres d abonnement que vous avez d finis au niveau global Un client d abonnement ne peut pas r cup rer les mises jour partir d un proxy d abonnement avant que celui ci ait lui m me t l charg et install ces mises jour Un client tente de r cup rer des mises jour partir de chaque serveur figurant sur sa liste de proxys configur s l un apr s l autre Si aucun proxy n a termin l installation des mises jour demand es par le client celui ci renouvelle la demande toutes les 5 minutes jusqu ce l installation de la mise jour Si le client ne peut pas t l charger les mises jour apr s une heure de tentatives la mise jour est annul e et le client renouvellera la demande de mise jour la date planifi e suivante Tout au long de ce processus des messages s affichent dans le journal d v nements d autosurveillance informant de l tat de la mise jour Pour configurer un client d abonnement 1 Cliquez sur l onglet Administration et le sous onglet Services 2 D veloppez le service d abonnement et s lectionnez le serveur configurer La Configuration du servi
188. ation des fichiers d analyse de message et des fichiers de mappage de donn es D crit les interactions que vous pouvez impl menter entre CA Enterprise Log Manager et CA Audit comment configurer les iRecorders et les strat gies et comment importer des donn es depuis votre base de donn es de collecteur CA Audit D crit l int gration aupr s de CA Access Control la modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager la configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager et l importation d v nements CA Access Control partir d une base de donn es de collecteur CA Audit D crit le processus d installation de CA IT PAM de sorte que le composant EEM situ sur le serveur de gestion CA Enterprise Log Manager handles authentication D crit les proc dures de sauvegarde de restauration et de remplacement visant garantir la r cup ration de votre solution de gestion des journaux en cas de sinistre D crit le processus suivre pour cr er et configurer un ordinateur virtuel contenant un serveur CA Enterprise Log Manager Chapitre 1 Introduction 17 propos de ce manuel Remarque Pour plus de d tails sur la prise en charge des syst mes d exploitation ou la configuration syst me requise consultez les Notes de parution Pour une pr sentation de base de CA Enterprise Log Manager et un sc nario classique d utili
189. ations des clients Audit avec le processus du mappeur de ports pour recevoir des affectations de ports dynamiques Communications TCP avec l interface utilisateur du serveur CA Enterprise Log Manager via HTTPS redirection automatique vers le port 5250 Port d coute Syslog UDP par d faut valeur du port configurable Le port est d fini par d faut sur 40514 et l installation applique une r gle de pare feu au serveur CA Enterprise Log Manager pour que l agent s ex cute en tant qu utilisateur non root Port d coute Syslog TCP par d faut valeur du port configurable Port DXadmin LDAP de CA Directory si vous utilisez un serveur CA EEM sur le m me serveur physique que le serveur CA Enterprise Log Manager serveur de gestion Communications TCP avec l interface utilisateur du serveur CA Enterprise Log Manager via iGateway Communications TCP entre a le serveur CA Enterprise Log Manager et le serveur CA EEM a des serveurs CA Enterprise Log Manager f d r s un agent et le serveur CA Enterprise Log Manager pour les mises jour d tat Port d coute du contr le et des commandes de l agent Remarque Si vous n autorisez pas le trafic sortant vous devez ouvrir ce port pour permettre le bon fonctionnement Port TCP pour les communications s curis es de l agent avec le serveur CA Enterprise Log Manager num ro de port configurable Remarque Si vous n autorisez pas le trafic sortant vous devez ouvrir
190. atiquement les fichiers des bases de donn es actives et cr e des fichiers d archive lorsque les bases de donn es actives atteignent la capacit d finie pour ce service CA Enterprise Log Manager ouvre ensuite de nouveaux fichiers actifs pour poursuivre les op rations de journalisation des v nements Vous pouvez d finir des options d archivage automatique pour g rer ces fichiers mais uniquement sous la forme d une configuration locale pour chaque serveur CA Enterprise Log Manager Chapitre 5 Configuration des services 157 Configuration du magasin de journaux d v nements A propos du service du magasin de journaux d v nements Le service du magasin de journaux d v nements g re les interactions des bases de donn es comme celles r pertori es ci dessous m Insertion de nouveaux v nements dans la base de donn es actuelle chaude m R cup ration d v nements provenant de bases de donn es f d r es locales et distantes pour les requ tes et les rapports m Cr ation de nouvelles bases de donn es lorsque la base de donn es actuelle est pleine Cr ation de fichiers d archive et suppression d anciens fichiers d archive Gestion du cache de requ te d archive Application des r gles de r capitulation et de suppression s lectionn es Application des r gles de transfert d v nement s lectionn es D finition des serveurs CA Enterprise Log Manager qui agissent comme des enfants f d r s pour ce
191. au dispositif virtuel CA Enterprise Log Manager situ dans le volet gauche et cliquez sur Edit Settings Modifier les param tres La fen tre lt CA Enterprise Log Manager Virtual Appliance name gt Virtual Machine Properties Propri t s de l ordinateur virtuel lt CA Enterprise Log Manager nom application virtuelle gt s affiche 2 Cliquez sur l onglet Option dans la fen tre 3 S lectionnez le param tre Paravirtualization situ dans le volet gauche puis l option Support VMI Paravirtualization Prise en charge de la paravirtualization VMI situ e dans le volet droit Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Virtual Machine Yersion 7 VMI is a paravirtualization standard supported by some General Options Example CA Enterpr quest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with YMI support Settings Summary License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no i i performance benefit from this support IP Allocation Policy Fixed IPv4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s Ad d Configured compatability for VMotion and some other migrations to ag aa other hosts which offer YMI support VMware Tools Shut Down Power Management Standby Advanced Vv General Normal CPUID Mask Ex
192. au niveau du SE Le mot de passe par d faut pour ce compte est identique au mot de passe cr pour le compte EiamAdmin Nous recommandons de modifier le mot de passe du compte caelmadmin imm diatement apr s l installation L installation cr e galement un compte d utilisateur de service par d faut caelmservice que vous ne pouvez pas utiliser pour vous connecter au syst me Vous pouvez passer au compte de cet utilisateur pour d marrer et arr ter des processus le cas ch ant Le processus iGateway et le serveur CA EEM int gr s il est install sur le serveur CA Enterprise Log Manager s ex cutent sous ce compte d utilisateur pour offrir une couche suppl mentaire de s curit Le processus iGateway ne s ex cute pas sous un compte d utilisateur root Le transfert de port est automatiquement activ pour permettre aux demandes HTTPS sur les ports 80 et 443 d acc der l interface utilisateur CA Enterprise Log Manager en plus du port 5250 Chapitre 3 Installation de CA Enterprise Log Manager 109 Configurations initiales du serveur CA Enterprise Log Manager Structure des r pertoires par d faut L installation de CA Enterprise Log Manager place les fichiers binaires du logiciel sous la structure de r pertoires opt CA Si le systeme comporte un deuxi me lecteur de disque il est configur comme data L installation cr e un lien symbolique du r pertoire opt CA LogManager data vers le r pertoire data Vous trouv
193. au serveur nomm dans le champ Autre nom d h te Annexe B Remarques pour les utilisateurs de CA Access Control 281 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 9 Entrez le nom du serveur CA Enterprise Log Manager de gestion dans le champ Autre nom d h te puis cr ez une description pour cette nouvelle action de r gle 10 Si la case cocher Effectuer cette action sur un serveur distant est s lectionn e d s lectionnez la 11 Cliquez sur Ajouter pour enregistrer la nouvelle action de r gle puis sur Terminer dans la fen tre de l assistant Remarque Vous devez ensuite v rifier et activer la strat gie ne vous d connectez donc pas du gestionnaire de strat gies CA Audit Informations compl mentaires Modification d une strat gie r8 SP2 pour envoyer des v nements CA Enterprise Log Manager page 260 V rification et activation de la strat gie modifi e Apr s avoir modifi une strat gie existante pour ajouter une action de r gle v rifiez la compilez la puis activez la Pour v rifier et activer une strat gie CA Access Control 1 S lectionnez l onglet R gles dans le volet inf rieur droit puis s lectionnez une r gle v rifier R gles Groupes de n uds Journal d activation z Active D sactiver Verifier les reales J Aide Voici un aper u au niveau du dossier de la s lection en cours dans Mes politiques Utilise
194. aut est automatiquement install dans le groupe d agents par d faut Vous pouvez d placer cet agent vers un autre groupe 214 Manuel d impl mentation 10 Configuration de l agent par d faut S lectionnez le nom de l agent L agent par d faut porte le m me nom que celui attribu au serveur CA Enterprise Log Manager lors de l installation Cliquez sur Cr er un connecteur pour ouvrir l assistant du connecteur Cliquez sur l option Ecouteurs et indiquez un nom pour ce connecteur Appliquez les r gles de suppression et de r capitulation selon vos besoins dans les deuxi mes et troisi mes pages de l assistant S lectionnez une ou plusieurs int grations Syslog cibl es dans la liste Disponible s pour les utiliser avec ce connecteur puis d placez les dans la liste S lectionn e s Param trez les valeurs des ports UDP et TCP si vous n utilisez pas les param tres par d faut puis fournissez une liste d h tes fiables si votre impl mentation les utilise Remarque Lorsqu un agent CA Enterprise Log Manager ne s ex cute pas en tant que root il ne peut pas ouvrir de port en de de 1024 C est pourquoi le connecteur Syslog par d faut utilise le port UDP 40514 L installation applique une r gle de pare feu au serveur CA Enterprise Log Manager pour rediriger le trafic du port 514 vers le port 40514 S lectionnez un fuseau horaire Cliquez sur Enregistrer puis sur Fermer pour terminer la cr ation du connecteu
195. aux autres r glementations applicables et ne pouvez pas exporter ou r exporter la documentation en violation de ces lois ou de toute autre r glementation ventuellement applicable au sein de l Union Europ enne Copyright 2010 CA Tous droits r serv s Tous les noms et marques d pos es d nominations commerciales ainsi que tous les logos r f renc s dans le pr sent document demeurent la propri t de leurs d tenteurs respectifs Produits CA r f renc s Ce document fait r f rence aux produits CA suivants CA Access Control CA Audit CA ACF2 CA Directory CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CA IT Process Automation Manager CA IT PAM CA NSM CA Security Command Center CA SCC Poste de service CA CA SiteMinder CA Spectrum CA Top Secret Support technique Pour une assistance technique en ligne et une liste compl te des sites horaires d ouverture et num ros de t l phone contactez le support technique l adresse http www ca com worldwide Modifications de la documentation Les mises jour suivantes ont t r alis es depuis la derni re version de la pr sente documentation Corr lation d v nements changements apport s aux chapitres Planification des serveurs et Configuration des services pour fournir des informations sur cette nouvelle fonctionnalit Les changements incluent des informations sur les serveurs de corr
196. bmit API Application Programming Interface ou API de soumission Les enregistreurs CA Audit pour CA ACF2 CA Top Secret RACF Oracle Sybase et DB2 sont des exemples de SAPI Recorders serveur d abonnement CA Le serveur d abonnement CA est la source des mises jour d abonnement de CA serveur d alerte Le serveur d alerte sert stocker les alertes d action et les jobs d alerte d action serveur de collecte Le serveur de collecte est un r le attribu un serveur CA Enterprise Log Manager Le serveur de collecte ajuste les journaux d v nement entrants les int gre la base de donn es chaude compresse celle ci et en effectue un archivage automatique ou bien la copie sur le serveur de rapports associ Le serveur de collecte compresse la base de donn es chaude lorsqu elle atteint la taille maximale pr d finie et effectue un archivage automatique selon le planning indiqu serveur de gestion Le serveur de gestion est un r le attribu au premier serveur CA Enterprise Log Manager install Ce serveur CA Enterprise Log Manager contient le r f rentiel charg de stocker le contenu de tous ses serveurs CA Enterprise Log Manager notamment les strat gies Ce serveur correspond g n ralement au proxy d abonnement par d faut Bien que cela ne soit pas recommand dans la plupart des environnements de production le serveur de gestion peut prendre en charge tous les r les serveur de point de restauration Le serveur de poi
197. c dez au r pertoire opt CA ELMAgent bin 7 Remplacez le fichier par d faut AgentCert cer par le fichier sauvegard CAELM_AgentCert cer pour garantir le bon d marrage de l agent 314 Manuel d impl mentation Sauvegarde d un serveur CA Enterprise Log Manager Sauvegarde d un serveur CA Enterprise Log Manager Vous pouvez sauvegarder l ensemble d un serveur CA Enterprise Log Manager a partir du dossier opt CA LogManager data Ce dossier de donn es est un lien symbolique vers le dossier de donn es du r pertoire racine data Pour sauvegarder un serveur CA Enterprise Log Manager 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur caelmadmin Acc dez au compte root l aide de l utilitaire su Acc dez au r pertoire opt CA LogManager Ex cutez la commande TAR ci dessous pour cr er une copie de sauvegarde des fichiers du serveur CA Enterprise Log Manager tar hzcvf backupData tgz data Cette commande cr e le fichier de sortie compress backupData tgz a l aide des fichiers du r pertoire data Acc dez au r pertoire opt CA SharedComponents iTechnology Ex cutez la commande TAR ci dessous pour cr er une copie de sauvegarde des certificats num riques tous les fichiers ayant une extension cer tar zcvf backupCerts tgz cer Cette commande cr e le fichier de sortie compress backupCerts tgz tar hzcvf backupCerts tgz data Restauration d un serveur CA Enterprise Log
198. c s tous les autres serveurs CA Enterprise Log Manager de la m me branche Cette situation est en opposition directe avec celle d un serveur CA Enterprise Log Manager d une f d ration hi rarchique qui peut produire des rapports uniquement sur les serveurs hi rarchiquement inf rieurs Dans une formation en anneau ou en toile chaque serveur CA Enterprise Log Manager est configur pour tre l enfant de tous les autres serveurs Lorsque vous demandez des donn es de rapports partir d un serveur CA Enterprise Log Manager vous affichez les donn es de tous les serveurs CA Enterprise Log Manager du r seau La f d ration maill e affecte plusieurs serveurs CA Enterprise Log Manager comme serveurs principaux et elle utilise les serveurs en f d ration sans tenir compte de leur position sur le r seau Les serveurs configur s comme enfants sont galement configur s pour afficher les enfants de la m me branche ou d autres branches f d r es ces serveurs Par exemple si vous disposez de deux serveurs CA Enterprise Log Manager A et B vous pouvez cr er une f d ration maill e en d signant B comme l enfant de A et A comme l enfant de B Il s agit de la configuration attendue lorsque vous utilisez plusieurs serveurs de gestion 234 Manuel d impl mentation Configuration d une f d ration CA Enterprise Log Manager Exemple de f d ration maill e Etudiez l illustration suivante d une f d ration totalement maill e
199. cas ch ant Glossary 431 services SNMP source d v nement Les services CA Enterprise Log Manager sont le magasin de journaux d v nements le serveur de rapports et l abonnement Les administrateurs configurent ces services au niveau global o tous les param tres s appliquent l ensemble de CA Enterprise Log Manager par d faut La plupart des param tres globaux de services peuvent tre remplac s au niveau local pour CA Enterprise Log Manager donn SNMP est l acronyme de Simple Network Management Protocol protocole simple de gestion de r seau une norme ouverte de transmission de messages d alerte sous la forme d interruptions SNMP depuis un agent vers un ou plusieurs syst mes de gestion Une source d v nement est l h te partir duquel un connecteur collecte des v nements bruts Une source d v nement peut contenir plusieurs magasins de journaux tous accessibles via un connecteur diff rent En g n ral le d ploiement d un nouveau connecteur implique la configuration de la source d v nement de sorte que l agent puisse y acc der et lire les v nements bruts partir de l un de ses magasins de journaux Les v nements bruts du syst me d exploitation des bases de donn es diff rentes et une vari t d applications de s curit sont stock s s par ment sur la source d v nement stockage des journaux d v nements strat gie d acc s Le stockage des journaux d v nements est le
200. cation puis au r pertoire CA Linux_x86 Vous trouverez galement le script dans le syst me de fichiers d un serveur CA Enterprise Log Manager install Le script se trouve dans le r pertoire opt CA LogManager Copiez le script Rename_ELM sh sur le serveur cible Modifiez les informations du serveur CA Enterprise Log Manager virtuel l aide de la commande ci dessous Rename ELM sh R pondez aux invites D marrez l ordinateur virtuel qui contient le serveur virtuel mis jour Cr ation de serveurs CA Enterprise Log Manader l aide d ordinateurs virtuels Vous pouvez d ployer CA Enterprise Log Manager en tant que dispositif virtuel au format OVF Open Virtualization Format Le provisionnement du dispositif virtuel requiert moins de temps que pour l installation ou le clonage d un serveur CA Enterprise Log Manager sur un ordinateur virtuel 336 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Dispositifs virtuels CA Enterprise Log Manager Le format OVF est une norme ouverte de packaging et de distribution de dispositifs virtuels CA Enterprise Log Manager utilise le format de fichier VMDK Virtual Machine Disk bas sur la norme OVF Le package OVF contient les fichiers suivants Fichier OVF de descripteur XML Un fichier OVF de descripteur XML avec extension ovf Ce fichier contient les sp cifications mat rielles virtuelles les param tres de configu
201. cation du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su root 84 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager 4 Utilisez la commande ci apr s pour v rifier que le processus iGateway s ex cute ps ef grep igateway Le syst me d exploitation renvoie les informations sur le processus iGateway ainsi qu une liste des processus s ex cutant sous iGateway Informations compl mentaires R soudre une erreur de configuration de l interface r seau page 129 D marrage du d mon ou service iGateway Le d mon ou service iGateway est le processus qui g re tous les appels adress s l interface utilisateur pour CA EEM et pour CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que vous puissiez acc der l une ou l autre de ces applications Utilisez la proc dure suivante pour d marrer le processus iGateway s il ne fonctionne pas d j Remarque Si vous ne parvenez pas d marrer iGateway v rifiez que le dossier contient suffisamment d espace libre Un espace disque trop faible emp che le d marrage d iGateway Pour d marrer Le d mon ou service iGateway 1 Connectez vous en tant qu utilisateur caelmadmin pour le serveur CA Enterprise Log Manager 2 Passez l utilisateur root au moyen de la commande ci dessous su 3 D marrez le processus iGateway l aide de la commande ci apr s IGW LOC S99
202. ce d abonnement s affiche pour le serveur CA Enterprise Log Manager s lectionn 3 Identifiez le serveur s lectionn en tant que client en d sactivant la case cocher Proxy d abonnement 4 Les clients d abonnement contactent les proxys d abonnement via le r seau interne il n est donc pas n cessaire de configurer des param tres de proxy HTTPS locaux pour un serveur client 5 Cliquez sur Enregistrer Chapitre 5 Configuration des services 201 Configuration de l abonnement Informations compl mentaires Configuration de l abonnement page 198 Configuration des listes de proxys Si vous configurez plusieurs proxys d abonnement pour votre environnement vous pouvez configurer des listes de proxys pour des mises a jour de client Si un proxy sp cifique n est pas disponible lors de la demande de mises a jour par un client celui ci contacte chaque proxy figurant sur sa liste de proxys jusqu ce qu il parvienne les t l charger Vous pouvez configurer une liste de proxys pour obtenir des mises jour de client au niveau global pour l ensemble de votre environnement CA Enterprise Log Manager ou au niveau local pour des clients d abonnement sp cifiques Si vous disposez de plusieurs proxys d abonnement vous pouvez galement configurer une liste de proxys pour obtenir des mises jour de contenu Il s agit de serveurs qui re oivent des mises jour de contenu tells que des requ tes des rapports et des r gles
203. cel Annexe E CA Enterprise Log Manager et virtualisation 347 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels La page Deployment Configuration Configuration du d ploiement s affiche Elle permet de sp cifier le mode de configuration du serveur CA Enterprise Log Manager pour lequel vous voulez effectuer le provisionnement 14 Dans la liste d roulante Configuration s lectionnez Moyenne ou Grande puis cliquez sur Suivant Deploy OYF Template Deployment Configuration Select a deployment configuration Source OVF Template Details End User License Agreement Name and Location Deployment Configuratior E Host Cluster Resource Pool Properties Ready to Complete 348 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Si vous s lectionnez Moyenne VMware indique 4 UC de 8 Go de m moire RAM chacune Si vous s lectionnez Large VMware indique huit UC de 8 Go de m moire RAM chacune Remarque Nous vous recommandons vivement d utiliser une configuration de d ploiement moyenne pour effectuer le provisionnement d un serveur de collecte mais une configuration de d ploiement importante pour le provisionnement d un serveur de gestion ou de g n ration de rapports La page Host Cluster H te Cluster s ouvre Elle s affiche uniquement si vous n avez pas s lectionn le pool de ressources avant l impor
204. cez dev VolGroup00 LogVol02 par dev VolGroup01 LogVol00 Les donn es modifi es sont affich es en caract res gras dans l exemple de fichier fstab modifi suivant Point de montage fs type options dump freq pass num dev VolGroup00 LogVol00 ext3 Valeurs par d faut 11 dev VolGroup01 LogVol00 data ext3 Valeurs par d faut 21 boot ext3 Valeurs par d faut 21 dev shm tmpfs Valeurs par d faut 00 dev pts devpts gid 5 mode 620 00 sys sysfs Valeurs par d faut 00 proc proc Valeurs par d faut 00 dev VolGroup00 LogVol01 swap Valeurs par d faut 00 9 Montez le nouveau r pertoire de donn es et v rifiez que toutes les partitions de etc fstab sont mont es mount a mount Red marrez le serveur CA Enterprise Log Manager Apr s avoir cr un volume logique red marrez CA Enterprise Log Manager pour pouvoir utiliser le volume logique Pour v rifier la r ussite de l op ration acc dez CA Enterprise Log Manager et affichez les v nements renvoy s par la requ te D tail de tous les v nements du syst me Pour red marrer le serveur CA Enterprise Log Manager 1 D marrez les processus iGateway du serveur CA Enterprise Log Manager opt CA SharedComponents iTechnology S99igateway start D marrez le service ELMAgent opt CA ELMAgent bin caelmagent b Red marrez le serveur CA Enterprise Log Manager 106 Manuel d impl mentation Remarques concernant l installation d un syst me disposant de lec
205. ch ma de nom de l agent renvoie uniquement les agents et les connecteurs contenant le sch ma sp cifi m Int gration connecteurs uniquement renvoie uniquement les connecteurs qui utilisent l int gration s lectionn e 6 Cliquez sur Afficher l tat Le graphique de d tails qui s affiche indique les agents ou les connecteurs correspondant votre recherche Par exemple Total 10 Ex cution en cours 8 En attente 1 Arr t 1 Aucune r ponse 0 7 Cliquez sur l tat pour afficher les d tails dans le volet Etat au bas du graphique facultatif Remarque Vous pouvez cliquer sur le bouton A la demande d un agent ou d un connecteur pour actualiser l affichage de l tat 8 Si vous affichez des connecteurs s lectionnez l un d entre eux et cliquez sur Red marrer D marrer ou Arr ter facultatif Si vous affichez des agents s lectionnez n importe quel agent et cliquez sur Red marrer 230 Manuel d impl mentation Chapitre 7 Cr ation de f d rations Ce chapitre traite des sujets suivants Requ tes et rapports dans un environnement f d r page 231 F d rations hi rarchiques page 232 F d rations maill es page 234 Configuration d une f d ration CA Enterprise Log Manager page 235 Requ tes et rapports dans un environnement f d r Un seul serveur CA Enterprise Log Manager renvoie les donn es de sa base de donn es interne d v nements pour r pondre aux requ tes et r
206. cifiques CA SiteMinder s affichent a Renseignez ces champs en fonction de la feuille de calcul SiteMinder b Pour afficher ou modifier les connexions et les ports utilis s par CA SiteMinder cliquez sur les points de suspension pour afficher le panneau Attributs de connexion 5 Cliquez sur Enregistrer L enregistrement de cette r f rence charge les informations des comptes d utilisateur dans CA EEM Vous pouvez alors acc der ces enregistrements d utilisateur comme s il s agissait d utilisateurs globaux puis ajouter des d tails au niveau de l application comme le groupe d utilisateurs de l application et le nom du r le d utilisateur 6 Examinez l tat affich pour v rifier que la liaison vers le r pertoire externe est effective et que les donn es sont charg es Si l tat affiche un avertissement cliquez sur Actualiser l tat Si l tat affiche une erreur corrigez la configuration cliquez sur Enregistrer et r it rez cette tape 7 Cliquez sur Fermer Informations compl mentaires Planification du magasin d utilisateurs page 42 Feuille de calcul CA SiteMinder page 46 Chapitre 4 Configuration des utilisateurs de base et des acc s 143 Configuration des strat gies de mots de passe Configuration des strat gies de mots de passe Vous pouvez d finir des strat gies de mots de passe pour vous assurer que les mots de passe cr s par les utilisateurs pour eux m mes r pondent aux normes tab
207. ck es et transmises de mani re lectronique sont prot g es Le recatalogage est une r vision forc e du catalogue Un recatalogage est requis uniquement lors de la restauration de donn es dans un magasin de journaux d v nements situ sur un serveur diff rent de celui sur lequel les donn es ont t g n r es Par exemple si vous avez d sign CA Enterprise Log Manager comme point de restauration pour l examen des donn es sauvegard es vous devez imposer un recatalogage de la base de donn es apr s l avoir restaur e depuis son point de restauration d sign Un recatalogage est ex cut automatiquement au red marrage d iGateway si n cessaire Recataloguer un seul fichier de base de donn es peut prendre plusieurs heures r gles de r capitulation r gles de suppression Les r gles de r capitulation sont des r gles combinant certains v nements natifs d un m me type en un seul v nement ajust Par exemple une r gle de r capitulation peut tre configur e pour remplacer par un seul v nement de r capitulation jusqu 1 000 v nements dupliqu s dont les adresses IP et les ports source et de destination sont identiques De telles r gles simplifient l analyse des v nements et r duisent le trafic associ aux journaux Les r gles de suppression sont des r gles que vous configurez pour viter que certains v nements ajust s n apparaissent dans vos rapports Vous pouvez cr er des r gles de s
208. configuration de d ploiement moyenne pour effectuer le provisionnement d un serveur de collecte mais une configuration de d ploiement grande pour le provisionnement d un serveur de gestion ou de g n ration de rapports Nous vous recommandons galement d utiliser la m thode de d ploiement lourd comme indiqu dans la documentation VMware Pour appeler l outil OVF partir d une ligne de commande 1 Ouvrez l invite de commande sur l ordinateur o le client VMware vSphere est install 2 Ex cutez la commande suivante pour appeler l outil OVF ovftool dm thick acceptAllEulas name value deploymentOption value prop ROOT PASSWORD value prop LOCAL REMOTE EEM value prop REMOTE EEM LOCATION value prop EEM PASSWORD value prop FIPS MODE value prop IP ADDRESS value prop SUBNET MASK value prop HOSTNAME value prop DEFAULT GATEWAY value prop DNS SERVERS value prop DOMAIN NAME value prop TIMEZONE value lt OVF Name ovf gt vi username password hostname of WMware vSphere Client Datacenter host host name Le message Opening VI target Cible VI en cours d ouverture s affiche Le statut de d ploiement du serveur CA Enterprise Log Manager s affiche Si l installation s est correctement effectu e le serveur CA Enterprise Log Manager figurera sous le magasin de donn es s lectionn dans le volet gauche Remarque Si une valeur de propri t contient des espaces placez la entre apostrophes doubles
209. ctiv Une strat gie de port e est un type de strat gie d acc s qui octroie ou interdit l acc s aux ressources stock es sur le serveur de gestion notamment les AppObjects les utilisateurs les groupes les dossiers et les strat gies Une strat gie de port e d finit les identit s pouvant acc der aux ressources sp cifi es Une strat gie d obligation est une strat gie g n r e automatiquement lorsque vous cr ez un filtre d acc s Vous ne pouvez pas cr er modifier ou supprimer directement une strat gie d obligation Vous devez plut t cr er modifier ou supprimer le filtre d acc s correspondant La suppression est le processus de tri des v nements sur la base de filtres CEG La suppression s effectue sur la base de fichiers SUP traitement des valeurs dynamiques Un traitement des valeurs dynamiques est un processus CA IT PAM que vous pouvez invoquer pour renseigner ou mettre jour la liste de valeurs d une cl donn e utilis e dans des rapports ou des alertes Vous fournissez le chemin d acc s au traitement des valeurs dynamiques lors de la configuration de CA IT PAM dans la liste des services de serveurs de rapports de l onglet Administration Vous cliquez sur Importer la liste des valeurs dynamiques dans la section Valeur associ e aux valeurs cl s sur la m me page de l interface utilisateur L invocation du traitement des valeurs dynamiques est l une des trois m thodes qui vous permettent d ajouter des valeu
210. culiers Pour configurer une planification d abonnement 1 Cliquez sur l onglet Administration et le sous onglet Services 2 Cliquez sur Service d abonnement La Configuration globale du service d abonnement s affiche Chapitre 5 Configuration des services 209 Configuration de l abonnement 3 Effectuez l une des op rations suivantes Pour sp cifier une planification d abonnement globale pour l ensemble de l environnement CA Enterprise Log Manager cliquez sur l onglet Administration ou Pour sp cifier une planification d abonnement locale pour un serveur sp cifique cliquez sur le nom du serveur puis acc dez l onglet Administration et passez en configuration locale 4 D finissez la planification d abonnement S lectionnez le fuseau horaire et une heure de d but pour les mises jour puis sp cifiez la fr quence de mise jour souhait e Informations compl mentaires Configuration de l abonnement page 198 210 Manuel d impl mentation Chapitre 6 Configuration de la collecte d v nements Ce chapitre traite des sujets suivants Installation d agents page 211 Utilisation de l Explorateur d agent page 212 Configuration de l agent par d faut page 213 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor page 216 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor page 223 Affichage et contr le de l ta
211. d Property FIPS_MODE YES Property AGENT_AUTHENTICATION_KEY This_is_default_authentication_key 18 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Le message Opening VI target Cible VI en cours d ouverture s affiche Le statut de d ploiement du dispositif virtuel s affiche Si l installation s est correctement effectu e le dispositif virtuel figurera sous le magasin de donn es s lectionn dans le volet gauche Facultatif Si vous voulez modifier les informations saisies proc dez comme suit a Cliquez sur Pr c dent dans la fen tre Deploy OVF Model jusqu acc der la page correspondante b Effectuez les modifications n cessaires c Cliquez plusieurs fois sur Suivant dans la fen tre Deploy OVF jusqu acc der la page Ready to Complete Annexe E CA Enterprise Log Manager et virtualisation 377 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D finition des param tres de paravirtualisation et de ressources Apr s l importation du mod le OVF d finissez manuellement les param tres de paravirtualisation et de ressource pour am liorer les performances du serveur CA Enterprise Log Manager provisionn Remarque V rifiez que le lecteur de CD DVD est d fini sur Client Device Unit s du client Pour d finir Les param tres de paravirtualisation et de ressources 1 Cliquez avec le bouton droit de la souris sur le nouve
212. d rations 233 F d rations maill es Dans une f d ration hi rarchique chaque serveur CA Enterprise Log Manager peut avoir un ou plusieurs enfants mais un seul parent Vous configurez ce type de f d ration selon une approche descendante en commen ant par le serveur de gestion Vous acc dez ensuite chaque couche inf rieure pour configurer les serveurs enfants de rapports et de collecte L aspect essentiel de la configuration d une f d ration consiste r aliser au pr alable une carte des serveurs et des relations souhait es Ensuite vous pouvez configurer un serveur CA Enterprise Log Manager comme serveur enfant afin d impl menter les relations entre eux F d rations maill es Une f d ration maill e est similaire une f d ration hi rarchique car elle peut afficher des niveaux La principale diff rence repose sur la configuration des connexions entre les serveurs Une f d ration maill e peut permettre n importe quel serveur CA Enterprise Log Manager sur le r seau d effectuer des requ tes et de g n rer des rapports sur les donn es de tous les autres serveurs CA Enterprise Log Manager Les capacit s de g n ration de rapport d pendent des relations cr es entre les serveurs Par exemple dans une f d ration maill e les serveurs peuvent tre interconnect s uniquement au sein d une branche verticale Cela signifie que tous les serveurs CA Enterprise Log Manager de cette branche peuvent avoir ac
213. d abonnement CA de mani re r guli re et planifi e Un proxy d abonnement en ligne donn peut tre inclus dans la liste des proxies pour un ou plusieurs clients qui contactent les proxies r pertori s de mani re circulaire afin de demander les mises jour de fichiers binaires S il est configur pour le faire un proxy en ligne donn peut envoyer les nouvelles mises jour de contenu et de configuration au serveur de gestion sauf si cela a d j t fait par un autre proxy Le r pertoire des mises jour d abonnement d un proxy en ligne s lectionn est utilis comme source pour copier les mises jour sur les proxies d abonnement hors ligne proxy d abonnement hors ligne Un proxy d abonnement hors ligne est un serveur CA Enterprise Log Manager qui obtient les mises jour d abonnement par une copie de r pertoire manuelle l aide de scp depuis un proxy d abonnement en ligne Les proxies d abonnement hors ligne peuvent tre configur s pour t l charger les mises jour de fichiers binaires sur les clients qui les demandent et pour envoyer la derni re version des mises jour de contenu au serveur de gestion si celui ci ne l a pas d j re ue Les proxies d abonnement hors ligne n ont pas besoin d acc s Internet proxy d abonnement par d faut Le proxy d abonnement par d faut est g n ralement le serveur CA Enterprise Log Manager install en premier il peut galement s agir du serveur CA Enterprise Log
214. d adaptateurs CA 251 diff rences d architecture 243 envoi d v nements CA Enterprise Log Manager 256 modification de la strat gie r8 SP1 CR2 existante 258 modification de la strat gie r8 SP2 existante 260 Quand importer des v nements 261 remarques pour les utilisateurs de 243 CA Embedded Entitlements Manager d finition 32 CA Enterprise Log Manager f d ration 34 installation 83 planification de l architecture 73 processus 113 collecte de journaux instructions 33 planification 29 compte caelmadmin d finition 109 comptes d utilisateurs ajout d un groupe d utilisateurs d applications 148 configurations configurations initiales du serveur 108 connecteurs A propos des d tecteurs de journaux 69 affichage de l tat 229 arr t et red marrage 229 D d tecteurs de journaux A propos de 69 E couteur d v nements iTechnology A propos de 255 espace disque planification 31 v nements d autosurveillance affichage 88 Index 437 exemples archivage automatique sur trois serveurs 175 collecte directe des journaux de base de donn es 216 collecte directe des journaux Windows 223 configuration d abonnement avec six serveurs 61 F f d ration propos des requ tes et des rapports dans 231 carte de f d ration 35 configuration 235 exemple de mappage de f d rations pour une grande entreprise 37 exemple de mappage de f d rations
215. d ordinateurs virtuels Informations requises Valeur Commentaires Mot de passe pour le serveur CA mot de passe du Enregistrez le mot de passe du compte EEM compte d administrateur par d faut EiamAdmin EiamAdmin Votre serveur CA Enterprise Log Manager doit disposer de ces informations d identification de compte pour la connexion initiale Si vous installez le serveur de gestion vous cr ez et confirmez ici un nouveau mot de passe EiamAdmin Notez ce mot de passe car vous l utiliserez a nouveau lors de l installation d autres serveurs et agents CA Enterprise Log Manager Remarque Le mot de passe entr ici est galement le mot de passe initial du compte caelmadmin par d faut que vous utiliserez pour acc der directement au serveur CA Enterprise Log Manager via ssh Si vous le souhaitez vous pouvez cr er d autres comptes d administrateur pour acc der aux fonctions CA EEM apr s l installation FIPS Oui ou Non Sp cifie si le dispositif virtuel doit tre ex cut en mode FIPS ou non Si vous choisissez un serveur CA EEM local choisissez le mode de votre choix Si vous choisissez un serveur CA EEM distant choisissez le mode utilis par ce serveur Ajout de serveurs virtuels votre environnement Si vous disposez d j d une impl mentation CA Enterprise Log Manager vous pouvez ajouter des serveurs de collecte CA Enterprise Log Manager virtuels pour g rer un volume d v nements accru sur votre r seau Ce sc
216. d utilisateurs externes sont r cup r s sous forme d utilisateurs globaux Vous ne pouvez pas modifier les informations des comptes d utilisateur existants mais vous pouvez ajouter un nouveau groupe d utilisateurs d applications ou r le CAELM Vous affectez le r le Administrator au premier utilisateur Remarque Vous ne pouvez pas cr er de nouveaux utilisateurs partir de CA Enterprise Log Manager si vous configurez un magasin d utilisateurs externe 3 D connectez vous du serveur CA Enterprise Log Manager 4 Reconnectez vous au serveur CA Enterprise Log Manager avec les informations d identification du nouveau compte d utilisateur Vous tes d sormais pr t a effectuer les taches de configuration 146 Manuel d impl mentation Cr ation du premier administrateur Cr ation d un nouveau compte d utilisateur Vous pouvez cr er un compte d utilisateur pour chaque personne qui va utiliser CA Enterprise Log Manager Vous fournissez les informations d identification avec lesquelles l utilisateur doit se connecter pour la premi re fois et vous sp cifiez son r le Les trois r les pr d finis sont Administrator Analyst et Auditor Lorsqu un nouvel utilisateur affichant un r le Analyst ou Auditor se connecte CA Enterprise Log Manager authentifie l utilisateur gr ce aux informations d identification enregistr es et autorise l utilisation de diverses fonctionnalit s en fonction du r le affect Pour cr er un utilisateur
217. de l installation et l affecte au magasin de donn es Nous vous recommandons d optimiser l espace de stockage que vous pouvez mettre disposition de CA Enterprise Log Manager Remarque Le param tre de taille de bloc par d faut du serveur VMware ESX Server est 1 Mo ce qui limite 256 Go l espace disque maximal que vous pouvez cr er Si vous avez besoin d espace suppl mentaire jusqu 512 Go augmentez le param tre de taille de bloc 2 Mo gr ce la commande ci dessous Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Red marrez l instance ESX Server pour que les changements entrent en vigueur Pour plus d informations sur cette commande et sur d autres commandes consultez la documentation VMware ESX Server Cliquez sur Suivant pour afficher la boite de dialogue Sp cifier les options avanc es 9 Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant La bo te de dialogue Pr t terminer s affiche 10 Cliquez sur Terminer pour stocker vos modifications sur cet ordinateur virtuel Cette action vous renvoie la bo te de dialogue du client VMware Infrastructure Installation de CA Enterprise Log Manager sur l ordinateur virtuel Utilisez la proc dure suivante pour installer CA Enterprise Log Manager sur un ordinateur virtuel pr c demment cr Vous pouvez configurez un serveur CA Enterprise Log Manager virtuel ou d di apr s l installation pour qu il affiche l un des nombre
218. de collecteur CA Audit 4 S lectionnez une requ te pour afficher les donn es d v nement Pour acc der aux rapports CA Access Control 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur autoris afficher les requ tes et rapports 2 Dans l onglet Requ tes et rapports acc dez au sous onglet Rapports s il n est pas d j affich Filtre de balise de rapport E 2 Sele Rechercher QaAction Alerts 2 a Lasel II 89 GICA Access Control 60 GICA Identity Manager 47 GICA SiteMinder 41 ICOBIT 22 Configuration Management 7 3 Cliquez sur la balise de rapport CA Access Control pour afficher gauche la liste des rapports disponibles Liste de rapports Options 2 Rechercher v Py Abonnement B Activit de la ressource d administration B Activit d acc s aux fichiers EPHI B Activit de contr le d acc s aux fichiers EPHI B Acc s aux ressources par action B Acc s aux ressources par h tes strat giques B Acc s aux ressources par h te B Acc s aux ressources par nom de journal B Acc s aux ressources par ex cutant b Acc s aux ressources par nom de ressource 4 S lectionnez un rapport pour afficher les donn es d v nement 298 Manuel d impl mentation Annexe C Remarques sur CA IT PAM Ce chapitre traite des sujets suivants Sc nario Utilisation de CA EEM sur CA Enterprise Log Manager pour l authentification CA IT
219. de l intervalle global de mise jour 156 Configuration du magasin de journaux d v nements 157 Table des mati res 9 A propos du service du magasin de journaux d v nements 158 A propos des fichiers d archive 158 A propos de l archivage automatique 2 22220 159 Organigramme de strat gie de sauvegarde et de d placement de base de donn es 161 Configuration de l authentification non interactive pour l archivage automatique 162 Exemple Configuration de l authentification non interactive pour la topologie en toile 164 Exemple Configuration de l authentification non interactive au niveau de trois serveurs 173 Exemple Archivage automatique sur trois serveurs 175 Param tres du magasin de journaux d v nements dans l environnement de base 181 D finition des options des magasins de journaux d v nements 183 Configuration du service de corr lation 184 Application de r gles de corr lation et de notifications d incidents 185 Utilisation de r gles de corr lation pr d finies 186 D finition
220. de la norme FIPS Pour mettre niveau vos serveurs proc dez comme suit Mise niveau d un serveur et des agents CA ELM pour la prise en charge de la norme FIPS Serveur CA EEM distant Mise niveau du serveur principal CA Enterprise Log Manager vers la version r12 1 SP1 90 Manuel d impl mentation Mise niveau du serveur CA EEM pour la prise en charge de la norme FIPS Mise niveau de tous les serveurs CA Enterprise Log Manager vers la version r12 1 SP1 D sactivation de l acc s d ODEC et de JDBC au magasin de journaux d v nements Activation du mode FIPS sur les serveurs secondaires CA Enterprise Log Manager Activation du mode FIPS sur le serveur principal CA Enterprise Log Manager Verification de l ex cution des agents et de la r ception d v nements Mise niveau des agents vers la version r12 1 SP1 Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS La mise niveau et l activation du mode FIPS incluent les tapes suivantes 1 Effectuez une mise niveau du serveur principal ou de gestion vers la version 12 1 SP1 Si vous utilisez un serveur CA EEM distant assurez vous que sa version permet les op rations FIPS Pour plus d informations sur la mise niveau pour la prise en charge du mode FIPS reportez vous aux Notes de parution de CA EEM Pour obtenir des instructions d taill e
221. de paravirtualisation et de ressources 1 Cliquez avec le bouton droit de la souris sur le nouveau dispositif virtuel CA Enterprise Log Manager situ dans le volet gauche et cliquez sur Edit Settings Modifier les param tres La fen tre lt CA Enterprise Log Manager Virtual Appliance name gt Virtual Machine Properties Propri t s de l ordinateur virtuel lt CA Enterprise Log Manager nom application virtuelle gt s affiche 2 Cliquez sur l onglet Option dans la fen tre 3 S lectionnez le param tre Paravirtualization situ dans le volet gauche puis l option Support VMI Paravirtualization Prise en charge de la paravirtualization VMI situ e dans le volet droit Example CA Enterprise Log Manager Yirtual Machine Properties Hardware Options Resources Virtual Machine Yersion 7 VMI is a paravirtualization standard supported by some General Options Example CA Enterpr quest operating systems Guests that recognize YMI will gain significantly improved performance with YMI support Settings Summary vApp Options Enabled License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no i i performance benefit from this support IP Allocation Policy Fixed IPv4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s Ad d Configured compatability for YMotion and some other migrations to ons aa other hosts which offer YMI
222. de propri t du r pertoire data1 par caelmservice puis remplacez le groupe associ ce r pertoire par caelmservice mkdir datal chown caelmservice datal chgrp caelmservice datal Arr tez les processus iGateway du serveur CA Enterprise Log Manager opt CA SharedComponents iTechnology S99igateway stop Remplacez les r pertoires par le r pertoire d ex cution de l agent CA Enterprise Log Manager arr tez l agent et v rifiez que les services sont arr t s cd opt CA ELMAgent bin caelmagent s ps ef grep opt CA Remplacez le r pertoire par un r pertoire Montez le nouveau syst me de fichiers sur data1 copiez le contenu du r pertoire data dans data1 et v rifiez que les deux r pertoires sont bien les m mes mount t ext3 dev VolGroup01 LogVol00 datal cp pR data datal diff qr data datal D montez le point de montage de donn es existant puis d montez le point de montage du r pertoire data1 umount data umount datal Supprimez le r pertoire data et renommez le r pertoire data1 en data rm rf data mv datal data Chapitre 3 Installation de CA Enterprise Log Manager 105 Remarques concernant l installation d un syst me disposant de lecteurs SAN Nom de l unit none none LABEL boot tmpfs devpts sysfs proc none Modifiez la ligne de etc fstab qui r f rence le r pertoire data et pointez la vers le nouveau volume logique C est dire rempla
223. des suivantes crontab e 00 usr sbin ntpdate NTPserver_hostname Un job cron est ajout Enregistrez les modifications et quittez la console Le serveur NTP est ajout 402 Manuel d impl mentation Chapitre 9 Glossaire acc s aux donn es Acc s ODBC et JDBC adaptateurs CA agent agent par d faut L acc s aux donn es est un type d autorisation octroy l ensemble de CA Enterprise Log Manager par le biais de la strat gie d acc s aux donn es par d faut pour la classe de ressource CALM Tous les utilisateurs ont acc s toutes les donn es hormis celles dont l acc s est restreint par des filtres L acc s ODBC et JDBC aux magasins de journaux d v nements CA Enterprise Log Manager prend en charge l utilisation des donn es d v nements par un grand nombre de produits tiers notamment la g n ration de rapports d v nements personnalis s l aide d outils de g n ration de rapports tiers la corr lation d v nements l aide de moteurs de corr lation et l valuation d v nements l aide de produits de d tection d intrusion et de programmes malveillants Les syst mes Windows utilisent ODBC les syst mes UNIX ou Linux utilisent JDBC Les adaptateurs CA constituent un groupe d couteurs qui re oit des v nements provenant de composants CA Audit tels que les clients CA Audit les iRecorders et les SAPI Recorders ainsi que les sources qui transmettent des v nements de man
224. difier Rapport alerte et int gration sont des exemples de ressource d application Voir galement ressource globale 428 Manuel d impl mentation ressource globale r le Administrator r le Analyst r le Auditor r le d utilisateur routeur SAPI Une ressource globale pour le produit CA Enterprise Log Manager est une ressource partag e avec les autres applications CA Vous pouvez cr er des strat gies de port e pour les ressources globales Utilisateur strat gie et calendrier sont des exemples de ressource globale Voir galement ressource d application Le r le Administrator accorde aux utilisateurs la possibilit d effectuer toutes les actions valides existantes sur l ensemble des ressources CA Enterprise Log Manager Seuls les utilisateurs Administrator sont autoris s configurer les services et la collecte de journaux ou encore g rer les utilisateurs les strat gies d acc s et les filtres d acc s Le r le Analyst accorde aux utilisateurs la possibilit de cr er et de modifier des requ tes et rapports personnalis s de modifier et d annoter les rapports de cr er des balises ou encore de planifier des rapports et alertes d action Les utilisateurs Analyst peuvent galement r aliser toutes les t ches du r le Auditor Le r le Auditor accorde aux utilisateurs l acc s aux rapports et a leurs donn es Les utilisateurs Auditor peuvent afficher les rapports la liste des mod les de rapport la
225. dinateur virtuel en surbrillance dans la liste d inventaire des ordinateurs virtuels cliquez dessus avec le bouton droit et s lectionnez D marrage 3 Poursuivez l installation normale de CA Enterprise Log Manager 4 Configurez le serveur CA Enterprise Log Manager install pour le r le fonctionnel souhait en utilisant les informations de la section traitant de l installation d un serveur CA Enterprise Log Manager Informations compl mentaires Installation de CA Enterprise Log Manager page 83 D ploiement rapide de serveurs CA Enterprise Log Manager virtuels Vous pouvez cloner un serveur CA Enterprise Log Manager virtuel pour cr er une image d ployable qui vous permettra de faire voluer rapidement votre environnement de collecte de journaux Annexe E CA Enterprise Log Manager et virtualisation 329 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Remarque Pour des performances optimales il est recommand d installer CA Enterprise Log Manager sur des serveurs virtuels pour g rer uniquement des t ches de collecte Ne clonez pas un ordinateur virtuel qui contient un serveur de gestion CA Enterprise Log Manager Avant d effectuer cette op ration assurez vous de disposer d un environnement ad quat ou installez un serveur CA Enterprise Log Manager pour ex cuter les fonctions de gestion sur un serveur d di ou virtuel Vous devez galement disposer de la version appropri e du lo
226. donn es du collecteur CA Audit En ajoutant une nouvelle cible aux actions Collecteur ou Acheminement d une r gle existante vous pouvez envoyer les v nements collect s aux deux syst mes Vous pouvez galement modifier des strat gies ou r gles sp cifiques pour envoyer des v nements uniquement au serveur CA Enterprise Log Manager 278 Manuel d impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager CA Enterprise Log Manager collecte les v nements provenant de clients CA Audit l aide des couteurs du routeur SAPI CA Audit et du collecteur SAPI CA Audit CA Enterprise Log Manager peut galement collecter directement les v nements en utilisant le module d extension iTech si vous avez configur des iRecorders afin qu ils envoient directement les v nements au serveur CA Enterprise Log Manager Les v nements collect s sont conserv s dans le magasin de journaux d v nements CA Enterprise Log Manager uniquement apr s l envoi de la strat gie aux clients et son activation Important Configurez les couteurs CA Enterprise Log Manager pour recevoir des v nements avant de modifier et d activer la strat gie Si vous n effectuez pas cette configuration en premier des erreurs de mappage d v nements risquent de se produire entre le moment o la strat gie devient active et celui o les couteurs peuvent mapper correctement les v nements Pour modifier u
227. du tableau de bord Explorateur d agent v rifiez que les agents sont ex cut s en mode FIPS Vous pouvez galement v rifier que les agents envoient des v nements l aide d une requ te ou d un rapport ou en examinant l onglet Ev nements d autosurveillance dans la zone Service Etat du syst me Chapitre 3 Installation de CA Enterprise Log Manager 91 Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS Lorsque vous mettez un agent existant niveau vers la version 12 1 SP1 le traitement d abonnements proc de la mise jour de l agent en mode non FIPS par d faut Vous pouvez d finir le mode FIPS du serveur CA Enterprise Log Manager qui g re un agent L agent d tecte le mode FIPS de son serveur de gestion et red marre dans le mode correspondant Pour afficher le mode FIPS d un agent si disposez des droits d administrateur utilisez le tableau de bord Explorateur d agent dans l interface utilisateur de CA Enterprise Log Manager Pour plus d informations consultez les informations sur la mise niveau dans la section du Manuel d impl mentation sur l installation de CA Enterprise Log Manager ou l Aide en ligne pour des t ches de gestion d agents Informations compl mentaires Activation des op rations en mode FIPS page 94 Affichage du tableau de bord des agents page 96 Conditions pr alables la mise niveau pour la prise en charge de la norme F
228. e C Password for CA EEM Server Enter the password for the EEM server EiamAdmin user Exampleeiamadminpassword D FIPS Mode Do you want to run CA Enterprise Log Manager in FIPS mode Choose Yes for FIPS mode or No for non FIPS mode NO Le Ready to Complete Pr t pour la finalisation s ouvre Cette page contient un r capitulatif des informations indiqu es aux pages pr c dentes 17 V rifiez ces informations puis cliquez sur Finish Terminer Deploy O F Template MAE Ready to Complete Are these the options you want to use ae R When you click Finish the deployment task will be started emplate Details RAR End User License Agreement Benne Name and Location OVF file C Program Files CA ELM CA Enterprise Log Manager ovf Deployment Configuration Downioad Size 12000 Host Cluster Size on disk 337920 MB Name Example CA Enterprise Log Manager Properties Folder ELMQA SP2 vApp Datacenter Ready to Complete Deployment Configuration medium Host Cluster 10 10 0 10 Datastore Storage 172 60 10 20 Network Mapping YM Network to YM Network TP Allocation Fixed IPy4 Property HOSTNAME examplecaelm Property ROOT_PASSWORD examplerootpassword Property IP_ADDRESS 172 60 0 0 Property SUBNET_MASK 10 0 0 0 Property DEFAULT_GATEWAY 198 168 0 0 Property DNS_SERVERS 198 168 10 20 198 168 10 25 Property DOMAIN_NAME example com Property TIMEZONE Africa Abidjan Property LOCAL_REMOTE_EEM
229. e Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor Vous pouvez activer la collecte directe d v nements g n r s par des applications Windows ou le syst me d exploitation Windows Server 2008 l aide du d tecteur WinRMLinuxLogSensor Pour y parvenir cr ez un connecteur sur l agent par d faut bas sur une int gration qui utilise le d tecteur WinRMLinuxLogSensor De nombreuses int grations utilisent ce d tecteur par exemple Active _Directory_Certificate_Services Forefront_Security_for_Exchange_Server Hyper V MS_OCS et WinRM L application et le syst me d exploitation Microsoft Windows qui g n rent des v nements pouvant tre r cup r s via le d tecteur WinRMLinuxLogSensor sont ceux pour lesquels la fonction Gestion distance de Windows a t activ e Vous trouverez ci dessous une liste partielle des produits qui g n rent des v nements pouvant tre collect s directement par l agent par d faut sur un serveur CA Enterprise Log Manager Un connecteur unique est utilis pour chaque produit chaque connecteur utilise le d tecteur WinRMLinuxLogSensor m Services de certificat Microsoft Active Directory Microsoft Forefront Security pour Exchange Server Microsoft Forefront Security pour SharePoint Server Microsoft Hyper V Server 2008 Microsoft Office Communication Server m Microsoft W
230. e nombre sur 3 et que la p riode est d finie sur 10 la limite s appliquera d s qu une r gle aura g n r e plus de 3 incidents en 10 secondes Heure D finit une limite en secondes pour les incidents g n r s par une r gle unique Cette valeur utilise la valeur d finie pour le nombre si cette valeur est sup rieure 0 Si ces nombres sont atteints le service d incidents applique la limite d finie pour la Dur e du blocage Si vous avez d fini le nombre sur 3 et que la p riode est d finie sur 10 la limite s appliquera d s qu une r gle aura g n r e plus de 3 incidents en 10 secondes Dur e du blocage Sp cifie un intervalle en secondes apr s le blocage de la r gle qui ne peut plus cr er d incidents Lorsque cette limite est atteinte la r gle ne cr e plus d incidents jusqu expiration du d lai Chapitre 5 Configuration des services 195 Remarques sur le serveur ODBC Remarques sur le serveur ODBC Vous pouvez installer un client ODBC ou un client JDBC pour acc der au magasin de journaux d v nements CA Enterprise Log Manager a partir d une application externe telle que SAP BusinessObjects Crystal Reports Vous pouvez effectuer les taches suivantes depuis cette zone de configuration Activez ou d sactivez l acc s d ODBC et de JDBC au magasin de journaux d v nements Configurez le port de service utilis pour les communications entre le client ODBC ou JDBC et le serveur CA Enterprise Log Mana
231. e tmp vers le r pertoire ssh actuel cp tmp authorized keys Modifiez les droits de propri t du fichier authorized_keys l aide de la commande ci dessous chown caelmservice caelmservice authorized keys Modifiez les autorisations du fichier authorized_keys chmod 755 authorized keys L authentification non interactive est d sormais configur e entre un serveur de g n ration de rapports CA Enterprise Log Manager et l h te distant utilis pour le stockage 172 Manuel d impl mentation Configuration du magasin de journaux d v nements Validation de l authentification non interactive entre Les serveurs de g n ration de rapports et de stockage V rifiez que l authentification non interactive existe entre le serveur de g n ration de rapports et le serveur de stockage distant Dans l exemple le serveur de stockage distant est nomm RSS Pour valider l authentification non interactive entre le serveur de g n ration de rapports CA Enterprise Log Manager et Le serveur de stockage 1 Connectez vous au serveur de g n ration de rapports en tant qu utilisateur root 2 Basculez sur le compte d utilisateur caelmservice su caelmservice 3 Entrez la commande suivante ssh caelmservice RSS Vous tes connect au serveur de stockage distant sans avoir saisir de phrase secr te Exemple Configuration de l authentification non interactive au niveau de trois serveurs Le sc nario le plus simple pour
232. e une p riode de moindre activit des v nements et du r seau pour ex cuter l utilitaire d importation Vous pouvez ex cuter d autres sessions d importation si n cessaire l aide de l ID d entr e de fin de la derni re session comme valeur minid de la nouvelle session Importation des donn es d une table SEOSDATA Utilisez ce processus pour importer des donn es provenant d une base de donn es de collecteur table SEOSDATA afin de garantir les meilleurs r sultats possibles 1 Copiez l utilitaire LMSeosimport dans le dossier iTechnology d un serveur d outils de donn es CA Audit Remarque L utilitaire LMSeosimport implique les biblioth ques de prise en charge etsapi et etbase fournies avec le client CA Audit 2 D couvrez les options et la ligne de commande LMSeosimport 3 Cr ez un rapport d v nements pour afficher les types d v nements leur nombre et les plages d ID d entr e 4 Pr visualisez les r sultats d importation gr ce aux param tres que vous envisagez d utiliser Vous pouvez d cider d ex cuter une nouvelle fois l importation pr visualis e pour ajuster les options de la ligne de commande le cas ch ant 5 Importez des v nements d une base de donn es de collecteur l aide des options ajust es de la ligne de commande Annexe A Remarques pour les utilisateurs de CA Audit 263 Importation des donn es d une table SEOSDATA Copie de l utilitaire d importation d v nements
233. e 1 sur les quatre types d v nement utilis s dans la grammaire commune aux v nements Un v nement natif constitue l tat ou l action d clenchant un v nement brut Les v nements natifs sont re us et analys s mapp s le cas ch ant puis transmis en tant qu v nements bruts ou ajust s Un chec d authentification est un v nement natif Un v nement observ est un v nement impliquant une source une destination et un agent o l v nement est observ et enregistr par un agent de collecte d v nements Un v nement RSS est un v nement g n r par CA Enterprise Log Manager pour transmettre une alerte d action des produits et utilisateurs tiers L v nement est un r capitulatif de chaque r sultat d alerte d action et un lien vers le fichier de r sultat La dur e d un flux RSS donn peut tre configur e Dans CA Enterprise Log Manager les v nements sont des enregistrements de journal g n r s par chaque source d v nement sp cifi e event_action est le champ de quatri me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il d crit les actions communes Les types d action d v nement event_ action incluent par exemple Lancement d un processus Arr t d un processus et Erreur d application event_category est le champ de deuxi me niveau et sp cifique l v nement utilis par la g
234. e Log Manager Voulez vous ex cuter le serveur Oui ou non La r ponse cette question CA ELM en mode FIPS indiquera si le serveur CA Enterprise Log Manager sera d marr en mode FIPS Remarque Si vous ajoutez un serveur d ploiement de CA Enterprise Log Manager existant activez galement le mode FIPS pour le serveur de gestion CA Enterprise Log Manager ou le serveur CA EEM distant Dans le cas contraire vous ne pourrez pas enregistrer le nouveau serveur et vous devrez le r installer 82 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager Remarque L installation vous permet d examiner et de modifier les d tails du serveur CA EEM avant qu il ne tente de se connecter Si le programme d installation est incapable de se connecter au serveur de gestion sp cifi et que vous d cidez de poursuivre l installation vous pouvez enregistrer manuellement le serveur CA Enterprise Log Manager avec la fonctionnalit CA EEM int gr e Dans ce cas vous devez galement importer manuellement les fichiers de contenu CEG et de gestion des agents Reportez vous la section traitant du d pannage de l installation pour plus d informations et d instructions Informations compl mentaires Enregistrement du serveur CA Enterprise Log Manager aupr s du serveur CA EEM page 130 Acquisition de certificats aupr s du serveur CA EEM page 131 Importation de rapports CA Enterprise Log Manager page 132
235. e Log Manager de collecte Pour les impl mentations CA Enterprise Log Manager comptant plusieurs serveurs vous pouvez entrer un autre nom d h te ou adresse IP CA Enterprise Log Manager dans le champ Autre nom d h te pour b n ficier de la fonction de basculement automatique de lt Aus gt Si le premier serveur CA Enterprise Log Manager n est pas disponible CA Audit envoie automatiquement les v nements au serveur nomm dans le champ Autre nom d h te Entrez le nom du serveur CA Enterprise Log Manager de gestion dans le champ Autre nom d h te puis cr ez une description pour cette nouvelle action de r gle Si la case cocher Effectuer cette action sur un serveur distant est s lectionn e d s lectionnez la Cliquez sur Ajouter pour enregistrer la nouvelle action de r gle puis sur Terminer dans la fen tre de l assistant S lectionnez l onglet R gles dans le volet inf rieur droit puis s lectionnez une r gle v rifier Cliquez sur V rifier les strat gies pour v rifier la r gle modifi e avec les nouvelles actions et vous assurer de sa compilation ad quate Apportez les modifications n cessaires la r gle et assurez vous de sa compilation ad quate avant de l activer Cliquez sur Activer pour distribuer la strat gie v rifi e qui contient les nouvelles actions de r gle ajout es R p tez cette proc dure pour chaque r gle et strat gie portant sur les v nements collect s envoyer CA
236. e collecte de journaux 222 33 Planification deste de rations icsecs ates acus nels cwln waleears se E antennes 34 Cr ation d une carte de f d ration 35 Exemple Carte de f d ration pour une grande entreprise 37 Exemple Carte de f d ration pour une PME 39 Planification des utilisateurs et des acc s 42 Planification du magasin d utilisateurs 42 Utilisateurs ayant le r le Administrator 47 Planification de la strat gie de mots de passe 47 Planification des mises jour d abonnement 50 Service d abonnement 40444e ee eee ene eee 51 Fonctionnement de l abonnement 2222222222 52 Planification des mises jour d abonnement 54 Exemple Configuration d abonnement avec six serveurs 61 Planiticatiomd agent a a ee D eer eee 63 A propos de la collecte d v nements Syslog 63 Les agents et le
237. e commercial de graphisme ou de dessin ou encore tracer la carte la main Plus vous fournissez de d tails sur votre carte plus vous pourrez terminer rapidement la configuration Pour cr er une carte de f d ration 1 Commencez votre carte avec les deux serveurs CA Enterprise Log Manager de base gestion et collecte et indiquez les d tails de chacun 2 D cidez si vous avez besoin d autres serveurs de collecte et s ils repr sentent le sommet d une hi rarchie ou une unit dans un maillage 3 D cidez quel type de f d ration hi rarchique ou maill e r pond le mieux vos besoins 4 Identifiez les opportunit s de hi rarchies de branches ou d interconnexions en fonction de vos besoins professionnels en termes de rapports de conformit et de d bit d v nements Chapitre 2 Planification de votre environnement 35 Planification de f d ration Par exemple si votre entreprise a des bureaux sur trois continents vous pouvez d cider de cr er trois f d rations hi rarchiques Vous pouvez ensuite d cidez de mailler les hi rarchies un niveau sup rieur pour que les cadres dirigeants et les responsables de la s curit puissent produire des rapports couvrant l ensemble du r seau Vous devez au minimum f d rer les serveurs CA Enterprise Log Manager d insertion et de requ te de l environnement de base D cidez combien de serveurs CA Enterprise Log Manager vous devez d ployer au total Cette valeur es
238. e d utilisation de l UC l heure et la date de mise jour la plus r cente Pour afficher le tableau de bord des agents 1 Cliquez sur l onglet Administration puis sur le sous onglet Collecte de journaux La liste du dossier Collecte de journaux s affiche 2 S lectionnez le dossier de l Explorateur d agent Les boutons de gestion des agents s affichent dans le volet D tails 96 Manuel d impl mentation Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS 3 Cliquez sur Tableau de bord et contr leur de l tat des agents Le panneau de recherche d agents appara t et affiche l tat de tous les agents disponibles dans un graphique d taill Par exemple Total 10 Ex cution en cours 8 En attente 1 Arr t 1 Aucune r ponse 0 4 S lectionnez des crit res de recherche d agents pour restreindre le nombre d agents affich s facultatif Vous pouvez s lectionner un ou plusieurs des crit res ci dessous Groupe d agents renvoie uniquement les agents affect s au groupe s lectionn a Plate forme renvoie uniquement les agents s ex cutant sur la plate forme s lectionn e a Etat renvoie uniquement les agents dont l tat correspond celui que vous avez s lectionn par exemple Ex cution en cours a Sch ma de nom de l agent renvoie uniquement les agents contenant le sch ma sp cifi 5 Cliquez sur Afficher l tat
239. e de donn es de collecteur vers un magasin de journaux d v nements CA Enterprise Log Manager En g n ral vous importez des donn es d v nement imm diatement apr s avoir d ploy un serveur CA Enterprise Log Manager Si vous int grez les deux syst mes vous pouvez d cider d effectuer l importation des donn es plusieurs reprises en fonction de votre utilisation et de la configuration du r seau Remarque L importation de donn es provenant de la table SEOSDATA ne supprime pas ou ne modifie pas les donn es stock es dans la table La proc dure d importation copie les donn es les analyse et les mappe vers le magasin de journaux d v nements CA Enterprise Log Manager A propos de l utilitaire d importation SEOSDATA L utilitaire d importation LMSeosiImport utilise une interface de ligne de commande et prend en charge les syst mes d exploitation Windows et Solaris L utilitaire effectue les actions ci dessous m se connecte la table SEOSDATA pour extraire les v nements de la mani re sp cifi e m analyse les v nements SEOSDATA s lectionn s par paires nom valeur m envoie les v nements aux CA Enterprise Log Manager par le biais du sponsor d v nements SAPI ou iTech pour les ins rer dans le magasin de journaux d v nements Les v nements sont mapp s vers la grammaire commune aux v nements CEG qui constitue la base des tables de base de donn es du magasin de journaux d v nement
240. e des plates formes Par exemple WMI fonctionne uniquement sous Windows pour le d tecteur de journaux Prise en charge des pilotes pour certains d tecteurs de journaux Par exemple vous avez besoin d un pilote ODBC pour faire fonctionner ODBC Possibilit d acc der distance la source des journaux Par exemple pour les journaux bas s sur des fichiers vous avez besoin d un lecteur partag pour qu ils fonctionnent distance Chapitre 2 Planification de votre environnement 33 Planification de f d ration Planification de f d ration Pour CA Enterprise Log Manager une f d ration est un r seau de serveurs qui stockent g n rent des rapports et archivent des donn es d v nement Une f d ration vous permet de contr ler le regroupement et l examen de vos donn es sur un r seau Vous pouvez configurer les relations de vos serveurs entre eux ainsi que la mani re dont sont envoy es les requ tes d un serveur l autre De plus vous pouvez activer et d sactiver les requ tes f d r es sp cifiques selon vos besoins La d cision d utiliser une f d ration est fond e sur l association du volume d v nements requis et des vos besoins professionnels pour s parer les donn es des journaux et g n rer des rapports sur elles CA Enterprise Log Manager prend en charge les f d rations hi rarchiques et maill es ainsi que les configurations qui associent les deux types Tous les serveurs CA Enterprise
241. e laquelle vous envisagez de collecter des v nements Vous pouvez collecter des v nements WMI sur un seul connecteur partir de plusieurs sources d v nement en ajoutant un d tecteur de journaux chaque source d v nement Pensez regrouper les volumes d v nements lorsque vous configurez un connecteur de cette mani re Vous pouvez configurer des connecteurs Syslog de diverses mani res Vous pouvez par exemple configurer un seul connecteur Syslog pour recevoir tous les v nements Syslog quel que soit leur type II est toutefois recommand de fonder vos connecteurs Syslog sur les volumes d v nements provenant de sources d v nements Syslog sp cifiques 70 Manuel d impl mentation Planification d agent Vous pouvez installer des agents sur chaque source d v nement Nous recommandons cette approche lorsque le nombre d v nements provenant de cette source est lev Votre planification doit diff rencier les agents d une source d v nement des agents d un h te agissant en tant que collecteur de diff rents types d v nements Effets des r gles de suppression Pendant la phase de planification r fl chissez l utilisation de r gles de suppression qui emp chent certains v nements d tre ins r s dans le magasin de journaux d v nements ou d tre collect s par un connecteur Les r gles de suppression sont toujours li es un connecteur Vous pouvez appliquer des r gles de suppression au n
242. e modules non t l charg s par leur proxy Veillez ce que les modules s lectionn s pour un proxy d abonnement incluent au minimum tous les modules s lectionn s dans les listes de t l chargement des clients de ce proxy Cliquez sur OK La bo te de dialogue Modules disponibles pour le t l chargement se ferme et les modules que vous avez s lectionn s s affichent dans la liste Modules s lectionn s pour le t l chargement Cliquez sur Enregistrer Informations compl mentaires Configuration de l abonnement page 198 Modules t l charger page 203 206 Manuel d impl mentation Configuration de l abonnement T l chargement et s lection de modules d abonnement hors ligne Les fichiers de mise jour d abonnement hors ligne sont disponibles sur le site FTP d abonnement hors ligne de CA sous forme de fichiers zip Lorsque de nouveaux modules sont disponibles ils apparaissent sur le site FTP Surveillez r guli rement la liste de modules disponibles afin de t l charger les plus r centes mises jour Vous pouvez galement visiter le site du support CA l adresse www ca com worldwide pour conna tre la date de disponibilit des nouveaux services Packs et versions du gestionnaire de journaux Pour pouvoir s lectionner des modules t l charger pour des proxys d abonnement hors ligne t l chargez le package de fichiers de mise jour hors ligne partir du site FTP de CA et copiez le manuellement ve
243. e non binaire des mises jour d abonnement et elles sont enregistr es sur le serveur de gestion CA Enterprise Log Manager Les mises jour de contenu incluent les fichiers XMP les fichiers de mappage de donn es les mises jour de configuration pour les modules CA Enterprise Log Manager et les mises jour de cl publique Mode non FIPS Le mode non FIPS est un param tre par d faut qui permet aux serveurs et agents CA Enterprise Log Manager d utiliser une combinaison de techniques de chiffrement dont certaines ne sont pas conformes la FIPS Le param tre alternatif est le mode non FIPS module t l charger Un module est un groupement logique de mises jour de composant mis disposition des utilisateurs en t l chargement sur la base d un abonnement Un module peut contenir des mises jour de fichier binaire de contenu ou les deux Par exemple tous les rapports sont r unis dans un m me module toutes les mises jour de fichier binaire de sponsor sont regroup es dans un autre module CA d finit le contenu de chaque module module d abonnement Le module d abonnement est le service qui permet de t l charger automatiquement les mises jour d abonnement partir du serveur d abonnement CA et de les distribuer tous les serveurs et agents CA Enterprise Log Manager Les param tres globaux s appliquent aux serveurs CA Enterprise Log Manager locaux les param tres locaux indiquent notamment si le serveur es
244. e propose pas le suivi d importation des sessions ant rieures Il est possible de dupliquer les donn es dans votre base de donn es CA Enterprise Log Manager si vous ex cutez la commande plusieurs fois avec les m mes param tres Pour obtenir les meilleurs r sultats restreignez votre importation au type de journal l aide de l option log ou l ID d entr e l aide des options minid et maxid pour am liorer les performances de l importation Utilisez l option retry pour permettre la r cup ration apr s n importe quelle erreur pouvant survenir au cours de l importation d v nements L utilitaire utilise la valeur retry par d faut de 300 secondes afin d optimiser la r ussite de l importation Commande et options de l utilitaire d importation L utilitaire LMSeosimport prend en charge la syntaxe et les options de la ligne de commande r pertori es ci dessous LMSeosImport dsn nom dsn user nom utilisateur password mot de passe target nom cible sid nnn eid nnnn stm aaaa mm jj etm aaaa mm jj Log nom journal transport sapilitech chunk nnnn pretend verbose delay report retry dsn Sp cifie le nom du serveur h te sur lequel se trouve la table SEOSDATA Ce param tre est obligatoire user Sp cifie un ID d utilisateur valide b n ficiant au minimum d un acc s en lecture la table SEOSDATA Ce param tre est obligatoire password Sp cifie le mot de passe du compte d utilisateur pr cis
245. e provisionnement du serveur CA Enterprise Log Manager 15 S lectionnez un cluster sous le centre de donn es puis cliquez sur Suivant Deploy OYF Template 210 x Host Cluster On which host or cluster do you want to run the deployed template FF EENDE EG ELMQA SP2 vApp Datacenter emplate Details End User License Agreement g 10 10 0 10 B 1002 Name and Location Deployment Configuration Host Cluster Properties Ready to Complete Compatibility Validation not applicable this time Help lt Back Lr Cancel 374 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels La page Properties Propri t s s ouvre Cette page contient les param tres de l h te et de CA Enterprise Log Manager 16 Indiquez des valeurs dans chaque champ relatives aux informations collect es dans la feuille de calcul Installation puis cliquez sur Suivant Deploy OVF Template 0 x Properties Customize the software solution for this deployment Source OVF Template Details End User License Agreement Name and Location Deployment Configuration Host Cluster Properties Ready to Complete A Host Settings A Host Name Enter name of this host machine lexamplecaelm B Root Password Enter root password of this machine lexamplerootpassword C IP Address Enter IP address of this machine 1
246. ecte d v nements 219 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor 9 Consultez les tapes pour Linux la plateforme de l agent par d faut puis configurez la Cha ne de connexion et les autres champs tel que sp cifi a Saisissez la cha ne de connexion comme indiqu la section Configuration des d tecteurs Linux l adresse tant le nom d h te ou l adresse IP de la source d v nement et la base de donn es tant la base de donn es SQL Server sous laquelle MSSQLSERVER_ TRACE est cr e DSN SQLServer Wire Protocol Address Adresse IP port Database nom base de donn es Indique le nom de l utilisateur disposant de droits d acc s en lecture seule la collecte des v nements L utilisateur doit poss der les r les db_datareader et public pour disposer d un acc s en lecture seule Saisissez le mot de passe du nom d utilisateur sp cifi Sp cifiez le fuseau horaire de la base de donn es avec un d calage par rapport l heure GMT Remarque Sur un serveur Windows ces informations apparaissent dans l onglet Fuseau horaire des propri t s Date et heure Ouvrez l horloge dans la barre d tat syst me S lectionnez ou d sactivez Lecture partir du d but si vous voulez que le d tecteur de journaux lise ou non les v nements partir du d but de la base de donn es Voici un exemple partiel 220 Manuel d impl mentation Configuration des d tecteurs
247. ecteur ODBCLogSensor 12 S lectionnez le connecteur et cliquez sur Ex cution en cours pour afficher les d tails de la collecte d v nements Remarque Vous pouvez galement ex cuter un rapport pour afficher des donn es partir de cette base de donn es Pour v rifier que l agent par d faut collecte des v nements partir de La source d v nement cible 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ tes s affiche 2 D veloppez Invites dans la Liste de requ tes puis s lectionnez Connecteur 3 Saisissez le nom du connecteur puis cliquez sur OK Les v nements collect s s affichent Les deux premiers v nements sont des v nements internes Les v nements suivants sont ceux collect s partir de la table de trace MS SQL que vous avez configur e Remarque Si les v nements attendus ne s affichent pas cliquez sur Param tres et filtres globaux dans la barre d outils principale param trez la P riode sur Aucune limite puis enregistrez le param tre 4 S lectionnez Afficher les v nements bruts et examinez la cha ne de r sultat des deux premiers v nements facultatif La cha ne de r sultat appara t dans l v nement brut Les valeurs suivantes indiquent que le d marrage a abouti result_string ODBCSource initiated successfully MSSQL_ TRACE m result string lt nom du connecteur gt Connector Started Successfully 222 Manuel d impl mentation Exempl
248. ed marrez l instance ESX Server pour que les changements entrent en vigueur Pour plus d informations sur cette commande et sur d autres commandes consultez la documentation VMware ESX Server Cliquez sur Suivant pour afficher la boite de dialogue Sp cifier les options avanc es 9 Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant La bo te de dialogue Pr t terminer s affiche 10 Cliquez sur Terminer pour stocker vos modifications sur cet ordinateur virtuel Cette action vous renvoie la bo te de dialogue du client VMware Infrastructure Installation de CA Enterprise Log Manager sur l ordinateur virtuel Utilisez la proc dure suivante pour installer CA Enterprise Log Manager sur un ordinateur virtuel pr c demment cr Vous pouvez configurez un serveur CA Enterprise Log Manager virtuel ou d di apr s l installation pour qu il affiche l un des nombreux r les fonctionnels tels que la gestion la collecte ou la g n ration de rapports Si vous installez un serveur de gestion CA Enterprise Log Manager ne l utilisez pas pour recevoir des journaux d v nements ou pour ex cuter des requ tes et des rapports Installez des serveurs CA Enterprise Log Manager virtuels distincts pour faire office de serveurs de rapports et de collecte afin d obtenir les meilleures performances possibles Examinez les instructions d installation normale avant d installer CA Enterprise Log Manager dans un environ
249. el d impl mentation Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor Pour configurer la source d v nement et v rifier la journalisation 1 3 Connectez vous l h te cible muni d un syst me d exploitation Windows Server 2008 Suivez les instructions figurant dans le manuel du connecteur CA pour Microsoft Windows Server 2008 pour vous assurer de l affichage des v nements dans la Visionneuse d v nements Windows et de l activation de la fonction Gestion distance de Windows sur le serveur cible Remarque Une partie de ce processus consiste cr er le nom d utilisateur et le mot de passe que vous devez saisir lors de la configuration du connecteur Ces informations de connexion permettent l authentification requise pour tablir une connectivit entre la source d v nement et CA Enterprise Log Manager V rifiez la journalisation a Ouvrez eventvwr dans la bo te de dialogue Ex cuter La visionneuse d v nements appara t b D veloppez Journaux Windows et cliquez sur S curit Une fen tre semblable la suivante s affiche et indique que la journalisation est en cours S curit 1 246 v nement s Date et heure Source a Audit des succ s 26 11 2009 18 18 53 Microsoft Windows security auditi a Audit des succ s 26 11 2009 18 18 53 Microsoft Windows security auditir a Audit des succ s 26 11 2009 18 18 52 Microsoft Windows security auditir a Audit de
250. el le serveur CA Enterprise Log Manager coute pour les connexions au client ODBC La valeur par d faut est 17002 La valeur que vous d finissez ici doit correspondre celle du service Serveur ODBC faute de quoi la connexion choue Source de donn es du service Laissez ce champ vide sinon les tentatives de connexion chouent Chiffrement SSL Indique si le chiffrement des communications entre le client et le serveur CA Enterprise Log Manager doit tre utilis Par d faut le chiffrement SSL est activ La valeur que vous d finissez ici doit correspondre celle du service Serveur ODBC faute de quoi la connexion choue Propri t s personnalis es Indique les propri t s de connexion utiliser avec le magasin de journaux d v nements Les propri t s sont d limit es par un point virgule sans espace Les valeurs par d faut recommand es sont donn es ci dessous querytimeout Indique la dur e en seconde qui doit s couler sans qu aucune donn e ne soit renvoy e avant que la requ te soit ferm e Voici la syntaxe utilis e pour cette propri t querytimeout 300 queryfederated Indique si une requ te f d r e doit tre ex cut e Si vous d finissez cette valeur sur false la requ te est ex cut e uniquement sur le serveur CA Enterprise Log Manager avec lequel la connexion la base de donn es est tablie Voici la syntaxe utilis e pour cette propri t queryfederated true queryfetchrows
251. elmadmin Les informations d identification de caelmadmin sont requises pour le premier acc s au syst me d exploitation celles de EiamAdmin sont n cessaires pour le premier acc s au logiciel CA Enterprise Log Manager et pour l installation des agents Une instance d application est un espace commun dans le r f rentiel CA EEM o sont stock s tous les utilisateurs groupes contenus strat gies d autorisation et configurations En g n ral tous les serveurs CA Enterprise Log Manager d une entreprise utilisent la m me instance d application par d faut CAELM Vous pouvez installer des serveurs CA Enterprise Log Manager avec diff rentes instances d application mais seuls les serveurs partageant la m me instance d application peuvent tre f d r s Les serveurs configur s pour utiliser le m me serveur CA EEM avec diff rentes instances d application partagent uniquement le magasin d utilisateurs les strat gies de mots de passe et les groupes globaux Les diff rents produits CA ont des instances d application par d faut diff rentes 420 Manuel d impl mentation int gration invite L int gration est une m thode permettant de traiter les v nements non class s en v nements ajust s pour pouvoir les afficher dans les requ tes et les rapports L int gration est mise en oeuvre avec un ensemble d l ments qui permettent un connecteur et un agent donn s de collecter les v nements partir d un ou de plusie
252. ements CA Enterprise Log Manager page 283 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit page 287 Int gration avec CA Access Control Vous pouvez int grer CA Enterprise Log Manager avec CA Access Control en utilisant l un des diff rents niveaux de version L approche g n rale est indiqu e ci dessous Pour les versions de CA Access Control qui utilisent un serveur de messages TIBCO pour le routage des v nements suivez la proc dure ci dessous Installez un agent CA Enterprise Log Manager Configurez un connecteur utilisant le connecteur AccessControl_R12SP1 TIBCO_ Connector Pour CA Access Control r12 5 reportez vous au Manuel d impl mentation CA Access Control r12 5 et au Manuel du connecteur CA Enterprise Log Manager CA Access Control Pour CA Access Control r12 SP1 reportez vous au Manuel d impl mentation CA Access Control r12 SP1 3e dition et au Manuel du connecteur CA Enterprise Log Manager pour CA Access Control Remarque Ces impl mentations utilisent les composants inclus dans CA Access Control Premium Edition Annexe B Remarques pour les utilisateurs de CA Access Control 273 Int gration avec CA Access Control Pour les versions de CA Access Control qui utilisent selogrd pour le routage des v nements suivez la proc dure ci dessous Installez un agent CA Enterprise Log Manager Configurez un connecteur utilisant l int gra
253. en tre Client VMware vSphere Utilisez cette URL et les informations d identification par d faut suivantes pour acc der CA Enterprise Log Manager Nom de l utilisateur par d faut EiamAdmin Mot de passe par d faut mot de passe saisi lors de la proc dure d installation du serveur CA Enterprise Log Manager Informations compl mentaires Ajout de serveurs virtuels votre environnement page 341 Cr ation d un environnement compl tement virtuel page 365 D ploiement rapide de serveurs virtuels page 391 Cr ation d un environnement compl tement virtuel Si vous n avez pas encore impl ment un environnement CA Enterprise Log Manager vous pouvez cr er un environnement enti rement virtuel de collecte de journaux Ce sc nario suppose de disposer d un nombre suffisant de serveurs physiques disponibles tous dot s d un groupe de quatre processeurs au minimum pour installer chacun des serveurs CA Enterprise Log Manager souhait s Annexe E CA Enterprise Log Manager et virtualisation 365 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Installez un serveur CA Enterprise Log Manager comme serveur de gestion Lors de la configuration n envoyez pas les journaux d v nements ce serveur et ne l utilisez pas pour g n rer des rapports En configurant ainsi votre environnement vous conservez le d bit de collecte des journaux d v nements requis par la production d une entreprise
254. endriers Il re oit toutes les mises jour de contenu et de configuration t l charg es via l abonnement Vous pouvez avoir un seul serveur de gestion actif sur un r seau de serveurs CA Enterprise Log Manager mais vous pouvez avoir galement un serveur de gestion de basculement inactif Si vous cr ez plusieurs r seaux CA Enterprise Log Manager chacun doit disposer de son propre serveur de gestion actif Chapitre 2 Planification de votre environnement 21 Planification des serveurs Serveur de collecte Dans un syst me un seul serveur le serveur de gestion assume le r le de serveur de collecte Dans un syst me plusieurs serveurs envisagez de disposer d un serveur de collecte d di Un serveur de collecte r alise les fonctions ci dessous Il prend en charge la configuration des connecteurs Il accepte les journaux d v nements entrants provenant des connecteurs de ses agents Il accepte les journaux d v nements ajust s entrants qui sont analys s et mapp s au format CEG ce qui permet de disposer d une pr sentation uniforme des donn es provenant de diff rentes sources d v nements ll ins re les journaux d v nements dans la base de donn es chaude et lorsque celle ci atteint la taille configur e il la transforme en base de donn es ti de Il permet l archivage automatique fonction qui d place les informations des bases de donn es ti des avers le serveur de g n ration de rappo
255. enseigner les rapports Si vous disposez d une f d ration de serveurs CA Enterprise Log Manager vous pouvez contr ler la mani re dont les requ tes et les rapports renvoient des informations d v nements en fonction de la configuration des relations de votre f d ration Vous pouvez galement conserver les r sultats des requ tes provenant des serveurs seuls en d sactivant le param tre global Utiliser les requ tes f d r es Le param tre global Utiliser les requ tes f d r es est activ par d faut Il permet d envoyer les requ tes d un serveur CA Enterprise Log Manager parent tous les serveurs CA Enterprise Log Manager enfants Chaque serveur CA Enterprise Log Manager enfant effectue des requ tes sur le magasin de journaux d v nements actif et sur le catalogue d archive ainsi que sur l ensemble de ses serveurs CA Enterprise Log Manager enfants Chaque serveur CA Enterprise Log Manager enfant cr e ensuite un seul jeu de r sultats envoyer au serveur CA Enterprise Log Manager parent l origine de la requ te Pour permettre les configurations maill es CA Enterprise Log Manager dispose d une protection int gr e contre les requ tes circulaires Une impl mentation classique de CA Enterprise Log Manager en entreprise comporte un cinq serveurs Une impl mentation dans une grande entreprise peut comprendre dix serveurs et plus La fa on dont vous configurez votre f d ration contr le la quantit d informations
256. er ITPAM_eem xml situ sur le disque d installation de CA IT PAM dans le dispositif CA Enterprise Log Manager qui inclut CA EEM Si vous avez extrait le fichier iso dans le serveur Windows utilisez Winscp pour copier ITPAM_eem xml dans le r pertoire tmp du dispositif Fichier source sur le disque d installation de CA IT PAM ITPAM_eem xml a Chemin de destination sur le serveur de gestion CA Enterprise Log Manager opt CA SharedComponents iTechnology Enregistrez CA IT PAM avec un CA EEM partad Vous pouvez enregistrer CA IT PAM avec le CA EEM int gr au serveur de gestion CA Enterprise Log Manager L enregistrement aupr s d un CA EEM ajoute des objets de s curit CA IT PAM Les objets de s curit CA IT PAM ajout s CA EEM lors de l enregistrement sont les suivants L instance d application ITPAM m Les strat gies li es l acc s CA IT PAM Les groupes et utilisateurs notamment les comptes pr d finis ITPAMAdmins ITPAMUsers itpamadmin et itpamuser Le certificat itpamcert p12 Annexe C Remarques sur CA IT PAM 303 Enregistrez CA IT PAM avec un CA EEM partag Vous pouvez cr er les objets CA IT PAM sur le serveur de gestion CA Enterprise Log Manager Avant de commencer obtenez le mot de passe caelmadmin si vous ne le connaissez pas Pour enregistrer CA IT PAM avec CA EEM sur le serveur de gestion CA Enterprise Log Manager 1 Connectez vous au dispositif CA Enterprise Log Manager au
257. er de collecte s appelle CollSrvr 1 Le serveur CA Enterprise Log Manager de rapports s appelle RptSrvr 1 Pour cet exemple un serveur de stockage distant appel RemoteStore 1 stocke les fichiers de base de donn es froides situ s dans le r pertoire CA ELM_cold_ storage Magasin de journaux Valeurs du serveur de Valeurs du serveur de rapports d v nements collecte d v nements Nombre maximum de lignes 2 000 000 par d faut Non applicable pour l archivage automatique Nbre max de jours d archivage 1 non applicable pour l archivage 30 applicable pour l archivage Exporter la strat gie Port de service s curis automatique automatique et lorsque celui ci n est pas configur Options d archivage automatique Activ Type de sauvegarde Espace disque d archivage 10 10 24 72 17001 17001 Oui Oui Incr mentiel Incr mentiel Toutes les heures Tous les jours Fr quence Chapitre 5 Configuration des services 181 Configuration du magasin de journaux d v nements Magasin de journaux Valeurs du serveur de Valeurs du serveur de rapports d v nements collecte d v nements Heure de d but 0 23 Utilisateur EEM lt Administrateur_CA Enterprise lt Administrateur_CA Enterprise Log Manager gt Log Manager gt Mot de passe EEM lt mot_passe gt lt mot_passe gt Serveur distant RptSrvr 1 RemoteStore 1 Utilisateur distant caelmservice user_X Emplacement distant opt CA LogManager CA ELM_cold_storage Se
258. er hosts which offer YMI support VMware Tools Shut Down Power Management Standby Advanced Vv General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIV None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel Annexe E CA Enterprise Log Manager et virtualisation 353 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 4 Cliquez sur l onglet Resources Ressources dans la fen tre 5 S lectionnez l option CPU UC sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev Example CA Enterprise Log Manager Yirtual Machine Properties OMR OMB Normal HT Sharing Any 354 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 6 S lectionnez l option Memory M moire sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High 1 Elev Example CA Enterprise Log Manager Yirtual Machine Properties Ox Hardware Options Resources Settings Summary Resource Allocation CPU 0 MHz Memory OMB Shares ich x 163840 Disk Normal r
259. er name of this host machine Properties pare Ready to Complete B Root Password Enter root password of this machine examplerootpassward C IP Address Enter IP address of this machine 172 160 0 0 D Subnet Mask Enter the subnet mask 19 0 0 0 E Default Gateway Enter the IP address of the default gateway 198 168 0 0 F DNS Servers Enter a list of the IP addresses for your DNS servers Use a comma to separate the IP addresses of the DNS servers fise 168 10 20 198 168 10 25 G Domain Name Enter the domain name of this machine example com H Time Zone Choose the time zone africajAbidjan im 350 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Deploy OYF Template E 5 x Properties Customize the software solution for this deployment Source OVF Template Details End User License Agreement Name and Location Deployment Configuration Host Cluster Resource Pool B CA Enterprise Log Manager Settings A Location of CA EEM Server Select Local if the CA EEM server is to be installed on this host Select Remote if this CA Enterprise Log Manager server must use a remote CA EEM server Local hd B Host Name or IP Address of the Remote CA EEM Server Specify the IP address or the host name of the remote CA EEM server Enter none to install a CA EEM server on this host fon
260. er ou non des restrictions de longueur En raison du mode de chiffrement les mots de passe les plus s rs comportent sept ou quatorze caract res Veillez ne pas d passer les restrictions de longueur de mot de passe impos es par les syst mes d exploitation les plus anciens sur votre r seau Chapitre 2 Planification de votre environnement 49 Planification des mises jour d abonnement Observez les consignes ci dessous lorsque vous d cidez d appliquer ou non des strat gies sur le nombre maximum de caract res r p t s ou sur le nombre minimum de caract res num riques Les mots de passe s rs ne peuvent pas tre trouv s dans un dictionnaire Les mots de passe s rs incluent un ou plusieurs caract res provenant au minimum de trois des quatre jeux de caract res que sont les lettres minuscules les lettres majuscules les chiffres et les caract res sp ciaux Planification des mises jour d abonnement Cette section contient des informations et des proc dures sur la planification de mises jour d abonnement pour votre environnement CA Enterprise Log Manager Informations compl mentaires Service d abonnement page 51 Fonctionnement de l abonnement page 52 Planification des mises jour d abonnement page 54 Architecture d abonnement page 56 Architecture d abonnement hors ligne page 59 50 Manuel d impl mentation Planification des mises jour d abonnement Service d abonnement V
261. erez ci dessous la structure de r pertoires d installation par d faut Types de fichiers R pertoire Fichiers li s Technology iGateway opt CA SharedComponents iTechnology Fichiers li s au serveur CA Enterprise Log Manager opt CA LogManager EEM EEM Fichiers li s l installation de CA Enterprise Log opt CA LogManager install Manager Fichiers de donn es liens vers data en cas de opt CA LogManager data lecteurs multiples Fichiers journaux opt CA SharedComponents iTechnology Dans des circonstances normales vous ne devez pas avoir besoin d acc der a l utilitaire ssh sur le serveur CA Enterprise Log Manager hormis pour d placer des fichiers d archive a des fins de sauvegarde et de stockage a long terme ou encore pour ajouter des lecteurs de disque Image du syst me d exploitation personnalis Le processus d installation personnalise le syst me d exploitation en cr ant une image minimale et en limitant l acc s cette image tr s peu de canaux Les services non essentiels ne sont pas install s Le serveur CA Enterprise Log Manager coute sur un petit nombre de ports et d sactive sp cifiquement les ports inutilis s Lors de l installation du syst me d exploitation vous cr ez un mot de passe pour le compte root Une fois l installation de CA Enterprise Log Manager termin e le compte root est restreint et ne permet aucune autre connexion L installation de CA Enterprise Log Manager cr e un utili
262. erprise Log Manager installe automatiquement son propre agent Vous pouvez utiliser cet agent par d faut pour la collecte directe des v nements Syslog Vous pouvez galement afficher l tat d un agent dans l Explorateur d agent sur n importe quel serveur CA Enterprise Log Manager du r seau Les agents sont dot s d un service de surveillance qui red marre l agent si ce dernier s arr te inopin ment et qui surveille les mises jour des fichiers binaires des agents et connecteurs Les agents envoient galement des v nements d autosurveillance au magasin de journaux d v nements pour le suivi des modifications et de l tat 66 Manuel d impl mentation Planification d agent A propos des groupes d agents Vous pouvez galement cr er des groupes d agents qui constituent des regroupements logiques d agents afin de faciliter la gestion de ces derniers Apr s avoir int gr un agent dans un groupe d agents vous pouvez modifier les configurations mais aussi d marrer et arr ter simultan ment tous les connecteurs Par exemple vous pouvez d cider de regrouper les agents par r gion g ographique r elle Vous pouvez cr er des groupes et d placer les agents dans ces groupes gr ce l Explorateur d agent Si aucun groupe d agents n est d fini tous les agents se retrouvent dans un groupe par d faut cr lors de l installation de CA Enterprise Log Manager Les configurations d agents et les enregistrements de group
263. erprise Log Manager Voir catalogue cat gories d v nement Les cat gories d v nement sont les balises utilis es par CA Enterprise Log Manager pour classer les v nements selon leur fonction avant de les ins rer dans le magasin d v nements 408 Manuel d impl mentation Certificats Champs CEG client d abonnement collecte d v nements Les certificats pr d finis utilis s par CA Enterprise Log Manager sont CAELMCert cer et CAELM_AgentCert cer Tous les services CA Enterprise Log Manager utilisent CAELMCert cer pour communiquer avec le serveur de gestion Tous les agents utilisent CAELM_AgentCert cer pour communiquer avec leur serveur de collecte Les champs CEG sont des tiquettes utilis es pour normaliser la pr sentation des champs d v nements bruts provenant de sources d v nement h t rog nes Lors de l ajustement d v nement CA Enterprise Log Manager analyse les messages d v nements bruts dans une s rie de paires nom valeur puis mappe les noms des v nements bruts avec les champs CEG standard L ajustement cr e des paires nom valeur compos es des champs CEG et des valeurs issues de l v nement brut En d autres termes au cours de l ajustement des v nements bruts les diff rentes tiquettes utilis es dans les v nements bruts correspondant au m me objet de donn es ou l ment de r seau sont converties au m me nom de champ CEG Les champs CEG sont mapp s aux OID de la MIB ut
264. erprise Log Manager de collecte s occupe de la collecte et de l ajustement d v nements Remarque Un serveur distant non CA Enterprise Log Manager est configur pour stocker les bases de donn es archiv es des journaux d v nements Cette architecture convient un r seau affichant un volume d v nements mod r Les fl ches indiquent que la fonctionnalit de gestion du serveur de gestion rapports conserve les param tres globaux qui s appliquent tous les serveurs Lorsqu il y a de nombreux serveurs de collecte cette architecture est appel e configuration en toile R seau CA Enterprise Log Manager Serveur de Serveur de gestion rapports stockage distant de collecte de collecte Chapitre 2 Planification de votre environnement 27 Planification des serveurs Sur un r seau important qui g re un volume d v nements lev de nombreux rapports planifi s et alertes ainsi que la personnalisation continue vous pouvez d dier un ou plusieurs serveurs CA Enterprise Log Manager des r les uniques CA Enterprise Log Manager de gestion s occupe de la gestion de la configuration du contenu CA Enterprise Log Manager de rapports g re les requ tes et les rapports CA Enterprise Log Manager de collecte s occupe de la collecte et de l ajustement d v nements CA Enterprise Log Manager de corr lation traite la corr lation d v nements CA Enterprise Log Manager de point de restauratio
265. erruptions SNMP Un objet de destination de notification peut pr senter plusieurs types de notification Informations compl mentaires Ouverture de l assistant de destinations de notification page 191 D finition des destinations de courriel page 192 D finition des destination de processus page 193 D finition des destinations SNMP page 194 Ouverture de l assistant de destinations de notification Pour cr er une destination de notification ouvrez l assistant Pour ouvrir l assistant de destinations de notification 1 Cliquez sur l onglet Administration puis sur le sous onglet Biblioth que et ouvrez le dossier Destinations de notification 2 Cliquez sur Nouvelle notification L assistant de gestion des notifications s ouvre Chapitre 5 Configuration des services 191 Configuration du service de corr lation Informations compl mentaires D finition des destinations de courriel page 192 D finition des destination de processus page 193 D finition des destinations SNMP page 194 D finition des destinations de courriel Vous pouvez d finir des destinations de courriels pour les notifications afin de notifier au personnel concern les incidents selon leur r le ou leur responsabilit Pour d finir des destinations de courriel 1 2 Ouvrez l assistant de gestion des destinations de notification D finissez les d tails d identification et passez l tape Notifications Cliquez su
266. ers de mise a jour d abonnement depuis le proxy d abonnement en ligne jusqu au proxy d abonnement hors ligne Les valeurs cl s sont des valeurs d finies par l utilisateur et affect es a une liste d finie par l utilisateur groupe cl Lorsqu une requ te utilise un groupe cl les r sultats de la recherche incluent les correspondances avec toutes les valeurs cl s du groupe Il existe plusieurs groupes cl s pr d finis certains contiennent des valeurs cl s pr d finies utilis es dans les requ tes et rapports pr d finis Glossary 435 Index A adaptateurs CA configuration pour l utilisation avec CA Audit 251 255 agent par d faut configuration d un connecteur a l aide du d tecteur de journal OBDC 216 configuration d un connecteur a l aide du d tecteur de journal WinRM 223 agents A propos de 66 A propos des groupes d agents 67 affichage de l tat 229 agent par d faut 213 droits des comptes d utilisateur 67 installation 211 planification pour 63 archivage A propos des fichiers d archive 158 exemple 175 authentification non interactive configuration de l archivage automatique 162 exemple de topologie en toile 164 exemple du plus simple cas d utilisation 173 base de donn es de gestion CA CA MDB magasin d utilisateurs 140 biblioth que d ajustement d v nement A propos de 239 prise en charge de nouvelles sources d v nement 240 C CA Audit Configuration
267. erveur CA Enterprise Log Manager cr e un nom d application dont la valeur par d faut est CAELM L installation enregistre ce nom aupr s du serveur CA EEM int gr Si les installations suivantes utilisent le m me nom d instance d application le serveur CA Enterprise Log Manager de gestion g re toutes les configurations sous ce m me nom d instance d application 108 Manuel d impl mentation Configurations initiales du serveur CA Enterprise Log Manager Une fois l installation termin e le serveur est dot d un syst me d exploitation et d un serveur CA Enterprise Log Manager Le syst me d exploitation 32 bits prend en charge le mat riel 32 bits et 64 bits Les configurations initiales affectent les domaines ci dessous Comptes d utilisateur par d faut m Structure des r pertoires par d faut Image du syst me d exploitation personnalis Affectations de ports par d faut Comptes d utilisateur par d faut L installation de CA Enterprise Log Manager cr e un utilisateur d administration par d faut caelmadmin qui poss de son propre mot de passe Si vous devez acc der directement au serveur h te vous devez utiliser ce compte pour vous connecter car la fonction de connexion du compte root est restreinte apr s l installation Le compte caelmadmin permet uniquement la connexion D s lors vous devez passer au compte root gr ce son mot de passe distinct pour pouvoir acc der aux utilitaires d administration syst me
268. es d action conserv es par le serveur de rapports en vue de leur examen Minimum 50 Maximum 1000 Dur e de conservation des alertes d action D finit le nombre de jours maximal pendant lequel les alertes d action sont conserv es Minimum 1 Maximum 30 D finir la strat gie de conservation pour chaque type de r currence de rapport planifi dans la zone Conservation de rapport Chapitre 5 Configuration des services 197 Configuration de l abonnement D terminer si l utilitaire de conservation doit rechercher les rapports supprimer automatiquement sur la base de ces strat gies et si oui quelle fr quence Par exemple si l utilitaire de conservation de rapport fonctionne quotidiennement il supprime chaque jour les rapports qui d passent l anciennet sp cifi e Configuration de l abonnement Apr s avoir pr par votre architecture d abonnement vous pouvez configurer votre environnement CA Enterprise Log Manager pour impl menter les mises jour d abonnement Vous trouverez ci apr s une pr sentation du processus de configuration de l abonnement Pour plus d informations sur chaque tape consultez les proc dures associ es 1 Enutilisant votre architecture d abonnement comme r f rence configurez chaque serveur en tant que proxy ou client d abonnement Le cas ch ant sp cifiez un ou plusieurs proxys comme proxys hors ligne Sp cifiez chaque serveur comme proxy ou client au niveau local
269. es d agents sont stock s sur le serveur de gestion A chaque nouvelle installation d agent le serveur de gestion rend cet agent disponible dans l Explorateur d agent pour tous les serveurs CA Enterprise Log Manager aupr s desquels il est enregistr sous le m me nom d instance d application Vous pouvez ainsi configurer et contr ler tous les agents depuis n importe quel serveur CA Enterprise Log Manager sur le r seau Droits des comptes d utilisateur des agents Les agents peuvent fonctionner avec des comptes d utilisateur avec peu de droits Vous devez cr er un compte d utilisateur du groupe et du service sur l h te cible avant d installer un agent Vous sp cifiez le nom d utilisateur au cours de l installation de l agent et le programme d installation d finit les droits en cons quence Pour les syst mes Linux l utilisateur de l agent poss de tous les fichiers binaires de l agent l exception du fichier binaire de surveillance propri t de l utilisateur root A propos des int grations L ensemble des int grations pr tes l emploi est pour l essentiel une biblioth que de mod les Ces mod les fournissent le code sp cifique la collecte d v nements provenant d un type pr cis de source de journaux Une int gration devient un connecteur lorsqu elle est choisie dans la biblioth que et configur e avant d tre appliqu e une source d v nement Les int grations contiennent les types d informations ci dessous
270. es journaux de s curit des ordinateurs grammaire commune aux v nements CEG La grammaire commune aux v nements est le cadre qui propose un format standard utilis par CA Enterprise Log Manager pour convertir les v nements l aide de fichiers d analyse et de mappage avant de les stocker dans le magasin de journaux d v nements La CEG utilise des champs communs et normalis s pour d finir les v nements de s curit provenant de plates formes et de produits diff rents Les v nements ne pouvant faire l objet d une analyse ou d un mappage sont stock s en tant qu v nements bruts 418 Manuel d impl mentation groupe d agents groupe d applications groupe d utilisateurs Un groupe d agents est une balise que les utilisateurs peuvent appliquer aux agents s lectionn s qui permet d appliquer simultan ment une configuration plusieurs agents et de r cup rer les rapports bas s sur les groupes Un agent donn peut appartenir un seul groupe la fois Les groupes d agents sont bas s sur des crit res d finis par l utilisateur comme la r gion g ographique ou l importance Un groupe d applications est un groupe sp cifique un produit pouvant tre affect un utilisateur global Les groupes d applications ou r les pr d finis pour CA Enterprise Log Manager sont Administrator Analyst et Auditor Ces groupes d applications sont disponibles uniquement pour les utilisateurs CA Enterprise Log Man
271. es sont des fichiers XML utilisant la grammaire commune aux v nements CEG de CA pour transformer des v nements d un format source en un format conforme CEG pouvant tre stock des fins de rapport et d analyse dans le magasin de journaux d v nements Un fichier de mappage de donn es doit tre cr pour chaque nom de journal pour que les donn es d v nement puissent tre stock es L utilisateur peut modifier une copie du fichier de mappage de donn es et l appliquer un connecteur sp cifi Le filtrage d v nements est le processus de tri des v nements sur la base de filtres CEG Un filtre est un moyen permettant de limiter les requ tes sur le magasin de journaux d v nements Un filtre d acc s est un filtre que l administrateur peut d finir pour contr ler les donn es d v nement pouvant tre consult es par les utilisateurs ou groupes ne d tenant pas le r le Administrator Un filtre d acc s peut par exemple limiter les donn es que des identit s sp cifi es peuvent afficher dans un rapport Les filtres d acc s sont automatiquement convertis en strat gies d obligation Un filtre global est un ensemble de crit res que vous pouvez sp cifier pour limiter les l ments pr sent s dans tous les rapports Par exemple un filtre global pour les 7 derniers jours renvoie les v nements g n r s au cours des sept derniers jours coul s Glossary 417 filtre local FIPS mode gestion des a
272. est diff rente de ce param tre 196 Manuel d impl mentation Remarques sur le serveur de rapports D lai d expiration de la session en minutes Sp cifie le nombre de minutes pendant lequel une session inactive reste ouverte avant d tre automatiquement ferm e Niveau de journal D finit le type et le niveau de d tail enregistr s dans le fichier journal La liste d roulante est class e dans l ordre croissant du niveau de d tail Appliquer tous les enregistreurs D termine si le param tre Niveau de journal crase tous les param tres de journal issus du fichier des propri t s du journal Ce r glage s applique uniquement lorsque le param tre Niveau de journal est inf rieur plus d taill au param tre par d faut Remarques sur Le serveur de rapports Le serveur de rapports contr le l administration des rapports diffus s de mani re automatique leur aspect au format PDF ainsi que la conservation des alertes d action et des rapports Vous pouvez effectuer les t ches suivantes depuis la zone de configuration du serveur de rapports Contr ler le nom et le logo de l entreprise les polices et d autres param tres des rapports au format PDF dans la zone Configurations des rapports D finir le nombre total d alertes d action conserv es et le nombre de jours pendant lequel elles sont conserv es dans la zone Conservation d alerte Nombre maximum d alertes d action D finit le nombre maximal d alert
273. et entrez l URL du flux RSS correcte 7 Sice serveur doit contacter le serveur d abonnement CA via un serveur proxy HTTP diff rent du serveur h rit passez en configuration locale et configurez le proxy HTTP de votre choix 8 Cliquez sur Enregistrer Chapitre 5 Configuration des services 199 Configuration de l abonnement Informations compl mentaires Configuration de l abonnement page 198 Configuration d un proxy d abonnement hors ligne Un proxy d abonnement hors ligne fournit des mises jour de CA Enterprise Log Manager ses clients sans se connecter Internet Cette configuration permet d isoler certains ou l ensemble des serveurs CA Enterprise Log Manager d Internet Avant d effectuer une mise jour d abonnement hors ligne copiez manuellement les fichiers de mise jour hors ligne partir d un site FTP de CA vers un proxy hors ligne l aide d un m dia physique ou via l utilitaire scp inclus dans CA Enterprise Log Manager Copiez les fichiers de mise jour vers l emplacement suivant opt CA LogManager data subscription offline Les clients d abonnement de serveurs proxys hors ligne sont con us pour recevoir automatiquement toutes les mises jour manuellement install es sur le proxy hors ligne quels que soient les modules s lectionn s pour un client au niveau local Ainsi dans un environnement d abonnement mixte dans lequel vous avez configur la fois des proxys en ligne et hors ligne n
274. eur de l application Le volet des d tails de l utilisateur CAELM se d veloppe S lectionnez le groupe souhait dans la liste des groupes d utilisateurs disponibles et cliquez sur la fl che de droite Le groupe s lectionn appara t dans la zone Groupes d utilisateurs s lectionn s Cliquez sur Enregistrer 148 Manuel d impl mentation Cr ation du premier administrateur 8 V rifiez l ajout a Dans le volet Recherche d utilisateurs cliquez sur D tails de l utilisateur de l application puis sur OK b V rifiez que le nom du nouvel utilisateur de l application appara t bien dans les r sultats affich s 9 Cliquez sur Fermer Chapitre 4 Configuration des utilisateurs de base et des acc s 149 Chapitre 5 Configuration des services Ce chapitre traite des sujets suivants Sources d v nement et configurations page 151 Modification de configurations globales page 152 Utilisation des Param tres et filtres globaux page 155 Configuration du magasin de journaux d v nements page 157 Configuration du service de corr lation page 184 Remarques sur le service d incidents page 195 Remarques sur le serveur ODBC page 196 Remarques sur le serveur de rapports page 197 Configuration de l abonnement page 198 Sources d v nement et configurations La plupart des r seaux disposent de p riph riques Windows et de p riph riques Syslog dont les journaux d v nements doivent tre c
275. eurs r les Les architectures possibles sont r pertori es ci dessous Environnement serveur unique Environnement contenant plusieurs serveurs et un proxy d abonnement Environnement contenant plusieurs serveurs et plusieurs proxys d abonnement Remarque Lorsque vous choisissez une architecture d abonnement tenez compte du nombre de proxys hors ligne dont vous avez besoin Pour plus d informations reportez vous la rubrique Architecture d abonnement hors ligne de la section Informations compl mentaires Le premier serveur CA Enterprise Log Manager install est configur en tant que proxy d abonnement par d faut il t l charge et installe des mises jour d abonnement si aucun autre proxy n est configur ou disponible Les serveurs CA Enterprise Log Manager suivants sont par d faut configur s en tant que clients d abonnement Vous pouvez changer la configuration d un serveur CA Enterprise Log Manager pour l utiliser comme proxy d abonnement en ligne ou hors ligne ou comme client d abonnement Vous pouvez galement choisir un proxy d abonnement en ligne dans votre environnement pour servir de proxy d abonnement par d faut Le serveur de contenu fournit des mises jour de contenu et d int gration au serveur de gestion qui stocke et r cup re le contenu d application pour votre environnement Ce serveur peut tre le proxy d abonnement par d faut ou vous pouvez configurer un proxy d abonnement en ligne dans vot
276. ex cution pour le red marrage Syslog_Connector z L assistant Cr ation d un connecteur appara t l tape D tails du connecteur est s lectionn e 218 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor 5 Dans la liste d roulante Int gration s lectionnez l int gration MS _ SQL Server_2005 Cette s lection renseigne le champ Nom du connecteur avec la valeur MS _ SQL Server _ 2005 Connector 6 Remplacez le nom par d faut par un autre permettant d identifier le connecteur plus facilement facultatif Pensez fournir un nom unique si vous surveillez plusieurs bases de donn es SQL Server ayant le m me agent Cr ation de connecteur S Indiquez les informations requises Type Int grations Ecouteurs Int gration MS_SQL Server_2005 x Nom du connecteur ms_sQL_Server_2005_Connecteur Version de la plate forme RHELS v _ Omettre la v rification de la version de plate forme 7 Cliquez sur Appliquer les r gles de suppression et s lectionnez les r gles associ es aux v nements pris en charge facultatif Par exemple s lectionnez MSSQL_2005_Authorization 12 0 44 12 8 Cliquez sur l tape Configuration du connecteur puis cliquez sur le lien Aide Les Instructions incluent les l ments requis pour la configuration des d tecteurs CA Enterprise Log Manager pour Windows et Linux Chapitre 6 Configuration de la coll
277. ez galement visiter le site du support CA l adresse www ca com worldwide pour conna tre la date de disponibilit des nouveaux services Packs et versions du gestionnaire de journaux Informations compl mentaires S lection de modules d abonnement en ligne page 205 T l chargement et s lection de modules d abonnement hors ligne page 207 Planification des mises jour d abonnement page 54 Configuration de l abonnement page 198 S lection de modules d abonnement en ligne Les mises jour d abonnement de CA Enterprise Log Manager actuellement disponibles sont r pertori es dans le flux RSS fourni par CA L URL du flux RSS est fournie par d faut dans l onglet Administration du service d abonnement lors de l installation D s que les nouveaux modules sont disponibles ils apparaissent dans le flux RSS d abonnement Surveillez r guli rement la liste des modules disponibles pour v rifier que tous les modules n cessaires sont s lectionn s Vous pouvez galement visiter le site du support CA l adresse www ca com worldwide pour conna tre la date de disponibilit des nouveaux services Packs et versions du gestionnaire de journaux Pour s lectionner les modules t l charger 1 Cliquez sur l onglet Administration et le sous onglet Services 2 Cliquez sur Service d abonnement La Configuration globale du service d abonnement s affiche Chapitre 5 Configuration des services 205 Configuration de l abon
278. ez l URL https lt adresse_ip gt 5250 spin eiam eiam csp s lectionnez CAELM comme nom d application puis saisissez le mot de passe de l utilisateur EiamAdmin Le nom d utilisateur et le mot de passe caelmadmin sont les informations d identification n cessaires pour acc der au syst me d exploitation du dispositif logiciel L ID d utilisateur caelmadmin est cr lors de l installation de ce syst me d exploitation Durant l installation du composant logiciel l installateur doit sp cifier le mot de passe du compte de superutilisateur CA EEM EiamAdmin Le m me mot de passe est affect au compte caelmadmin Nous recommandons que l administrateur du serveur se connecte via ssh en tant qu utilisateur caelmadmin et modifie ce mot de passe par d faut Bien que l administrateur ne puisse pas se connecter via ssh en tant que root il peut basculer sur le compte root su root si n cessaire Glossary 407 caelmservice calendrier CALM calmTag catalogue catalogue d archive caelmservice est un compte de service qui permet d ex cuter iGateway et les services CA EEM locaux en tant qu utilisateur non root Le compte caelmservice est utilis pour installer les mises jour du syst me d exploitation t l charg es avec les mises jour d abonnement Un calendrier est un moyen de limiter la dur e d application d une strat gie d acc s Une strat gie permet aux identit s sp cifi es d effectuer les actions indiqu es sur la
279. face utilisateur CA Enterprise Log Manager Ce processus peut s ex cuter sous safetynet Processus CA Directory ex cut sur le serveur o est install CA EEM Processus CA Directory ex cut sur le serveur o est install CA EEM Processus CA Enterprise Log Manager principal qui doit tre en cours d ex cution pour collecter et stocker des v nements Processus CA Enterprise Log Manager qui communique entre l agent et le serveur CA Enterprise Log Manager pour envoyer des v nements Processus CA Enterprise Log Manager qui s ex cute pour g rer le traitement c t serveur des demandes d acc s ODBC et JDBC au magasin de journaux d v nements Cadre d applications de processus CA Enterprise Log Manager qui s ex cute pour assurer la continuit des op rations Processus CA Directory ex cut sur le serveur o est install CA EEM Chapitre 3 Installation de CA Enterprise Log Manager 115 Configurations initiales du serveur CA Enterprise Log Manager Durcissement de syst me d exploitation Le dispositif logiciel CA Enterprise Log Manager contient une copie rationalis e et durcie du syst me d exploitation Red Hat Linux Les techniques de durcissement suivantes ont t appliqu es m L acc s au SSH en tant qu utilisateur root est d sactiv L utilisation de la s quence cl de Ctrl Maj Supr pour red marrer le serveur partir de la console sans se connecter est d sactiv e m Les red
280. facultatifs gt Importation d v nements provenant d une base de donn es de collecteur Solaris Vous pouvez utiliser cette proc dure pour importer des donn es d v nement provenant d une base de donn es du collecteur qui se trouve sur un serveur d outils de donn es Solaris Annexe A Remarques pour les utilisateurs de CA Audit 271 Importation des donn es d une table SEOSDATA Pour importer des v nements provenant d une table SEOSDATA sur un serveur Solaris 1 Localisez le nom du serveur sur lequel se trouve la table SEOSDATA 2 Assurez vous de disposer des informations d identification d acc s utilisateur pour ce serveur avec au minimum un acc s en lecture la table SEOSDATA 3 Ouvrez une invite de commande sur le serveur d outils de donn es CA Audit 4 Acc dez au r pertoire opt CA SharedComponents iTechnology 5 Lancez l utilitaire d importation l aide de la syntaxe de commande ci apr s LMSeosImport dsn lt nom dsn gt user lt UID gt password lt mot de passe gt target lt nom h te cible gt lt indicateurs facultatifs gt 272 Manuel d impl mentation Annexe B Remarques pour les utilisateurs de CA Access Control Ce chapitre traite des sujets suivants Int gration avec CA Access Control page 273 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager page 275 Configuration d un iRecorder CA Access Control pour envoyer des v n
281. fi es d appara tre dans une liste de balises Masquer les balises de rapport rationalise l affichage des rapports disponibles Masquer les balises de requ te Vous permet de masquer les balises choisies Les balises masqu es n apparaissent plus dans la liste de requ tes principale o dans la liste de requ tes de planification d alertes d action Masquer les balises de requ te personnalise l affichage des requ tes disponibles 5 Vous pouvez modifier les param tres de tableau de bord suivants Activer le lancement du tableau de bord par d faut Affiche le tableau de bord par d faut lorsque vous cliquez sur l onglet Requ tes et rapports Ce param tre est activ par d faut Tableau de bord par d faut 6 Vous pouvez changer les param tres de profil suivants Activer le profil par d faut Vous permet de d finir le profil par d faut Profil par d faut Sp cifie le profil par d faut Masquer les profils Vous permet de masquer les profils choisis Lorsque l interface s actualise ou que l intervalle de mise jour expire les profils masqu s n apparaissent plus Masquer les profils personnalise l affichage des profils disponibles Remarque Cliquez sur R initialiser pour restaurer les derni res valeurs enregistr es Vous pouvez r initialiser un ou plusieurs changements jusqu leur enregistrement Une fois ces changements enregistr s r initialisez les un par un 7 Cliquez sur Enregistrer 154 Manuel d impl
282. fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de gestion des agents Pour importer des fichiers de gestion commune des agents 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager Connectez vous en utilisant les informations d identification du compte caelmadmin Passez l utilisateur root au moyen de la commande ci dessous su Acc dez au r pertoire opt CA LogManager EEM content Ex cutez la commande ci dessous ImportCALMAgentContent sh Le script shell importe les fichiers de gestion commune des agents Chapitre 3 Installation de CA Enterprise Log Manager 135 D pannage de l installation Importation de fichiers de configuration CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de configuration Vous pouvez d marrer CA Enterprise Log Manager mais il manque certains param tres et certaines valeurs dans les zones de configuration des services et vous ne pouvez pas configurer de mani re centralis e les h tes sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de configuration Pour importer les fichiers de configur
283. fiez le mot de passe par d faut du certificat itpamcert p12 facultatif 2 Copiez le fichier ITPAM_eem xml partir de l h te o vous comptez installer CA IT PAM vers le dispositif CA Enterprise Log Manager qui inclut CA EEM 300 Manuel d impl mentation Processus d impl mentation de l authentification CA IT PAM Enregistrez ITPAM comme instance d application sur le m me CA EEM qui utilise CA Enterprise Log Manager L ex cution de la commande safex g n re le certificat itpamcert p12 et l instance d application ITPAM avec deux comptes d utilisateur itpamadmin et itpamuser Remarque Pour obtenir de l aide sur l utilisation de la commande safex saisissez safex Copiez le fichier itpmacert p12 partir du dispositif CA Enterprise Log Manager vers l h te Windows sur lequel vous comptez installer le domaine CA IT PAM Naviguez jusqu l application ITPAM et r initialisez les mots de passe des comptes itpamadmin et itpamuser Connectez vous au serveur Windows et installez les composants tiers en utilisant les proc dures d crites dans le Manuel d installation de CA IT Process Automation Manager Installez le domaine CA IT PAM l aide des instructions fournies dans cette annexe et des instructions d installation de CA IT PAM Red marrez le service du serveur CA ITPAM Lancez la console CA IT PAM et connectez vous Annexe C Remarques sur CA IT PAM 301 Pr paration de l impl mentation de l authentification CA
284. figuration est r alis e par l installateur qui peut se connecter CA Enterprise Log Manager avec les informations d identification EiamAdmin Une fois cette configuration termin e les utilisateurs d finis comme des administrateurs configurent CA Enterprise Log Manager Si la configuration du magasin d utilisateurs par d faut est accept e la configuration minimale devant tre atteinte par l utilisateur EiamAdmin est le compte pour le premier administrateur Le premier administrateur peut configurer des strat gies de mots de passe avant de configurer les autres composants CA Enterprise Log Manager Remarque Pour plus de d tails sur la cr ation d autres utilisateurs ou sur la cr ation de r les personnalis s et de strat gies d acc s personnalis es consultez le Manuel d administration CA Enterprise Log Manager Chapitre 4 Configuration des utilisateurs de base et des acc s 139 Configuration du magasin d utilisateurs Configuration du magasin d utilisateurs Le magasin d utilisateurs est le r f rentiel des informations g n rales des utilisateurs Vous pouvez configurer le magasin d utilisateurs d s que vous installez un serveur CA Enterprise Log Manager Seul l utilisateur EiamAdmin peut configurer le magasin d utilisateurs imm diatement apr s la premi re connexion en g n ral Configurez le magasin d utilisateurs de l une des mani res ci dessous Acceptez l option par d faut Stocker dans le magasin de d
285. figurer un ou plusieurs connecteurs sur un h te d agent distinct pour collecter des v nements provenant de plusieurs sources Syslog nonillustr sur ce diagramme 74 Manuel d impl mentation Cr ation des DVD d installation La collecte d v nements Windows utilise l infrastructure de gestion Windows WMI pour surveiller les serveurs Windows et leurs v nements Cela implique que vous configuriez un connecteur WMI sur un agent install sur un h te Windows comme point de collecte d v nements Pour certains autres types d v nements vous pouvez d cider d utiliser un iRecorder CA autonome sur un serveur h te Vous pouvez configurer et g rer les agents et les connecteurs de ces sources d v nement depuis n importe quel serveur CA Enterprise Log Manager sur le r seau Sur le diagramme les lignes pointill es repr sentent le trafic de configuration et de contr le entre le serveur et les agents de gestion d une part et chacun des autres serveurs CA Enterprise Log Manager d autres part Dans l environnement repr sent sur ce diagramme vous effectuez des configurations partir du serveur de gestion Cela permet au serveur de collecte de se concentrer sur le traitement des v nements L environnement de collecte de journaux dans lequel vous installez des serveurs CA Enterprise Log Manager dispose des caract ristiques num r es ci dessous Le serveur CA Enterprise Log Manager de gestion traite l authentification e
286. fiques un produit ils sont stock s dans CA EEM sous l instance d application d un produit donn Pour l instance d application CAELM ces ressources incluent le contenu des rapports et requ tes les jobs planifi s pour les rapports et alertes les configurations et le contenu des agents les configurations de service d adaptateur et d int gration les fichiers de mappage de donn es et d analyse de message ainsi que les r gles de suppression et de r capitulation L archivage automatique est un processus configurable qui permet d automatiser le transfert des bases de donn es d archivage entre deux serveurs Lors de la premi re phase de l archivage automatique le serveur de collecte envoie les bases de donn es nouvellement archiv es au serveur de rapports la fr quence que vous avez pr d finie Lors de la seconde phase le serveur de rapports envoie les anciennes bases de donn es au serveur de stockage distant pour un stockage long terme ce qui vite d avoir effectuer la sauvegarde et le transfert manuellement Pour effectuer un archivage automatique vous devez configurer une authentification sans mot de passe entre le serveur source et le serveur de destination L archivage de journaux est le processus se d roulant lorsque la base de donn es chaude atteint sa taille maximale auquel cas une compression au niveau des lignes est effectu e et la base passe de l tat chaud l tat ti de Les administrateurs
287. g Manager peut utiliser des modules cryptographiques bas s sur les biblioth ques BSAFE Crypto C ME et Crypto J certifi es RSA en mode FIPS mais ne pourra peut tre pas le faire par d faut 410 Manuel d impl mentation connecteur Un connecteur est une int gration ciblant une source d v nement sp cifique configur e sur un agent donn Un agent peut charger en m moire plusieurs connecteurs similaires ou non Le connecteur permet de collecter les v nements bruts partir d une source d v nement et d effectuer une transmission r gul e sur r gle des v nements convertis vers un magasin de journaux d v nements o ils seront ins r s dans la base de donn es chaude Les int grations pr tes l emploi permettent une collecte optimis e partir d une large gamme de sources d v nement notamment des syst mes d exploitation des bases de donn es des serveurs Web des pare feu et de nombreux types d applications de s curit Vous pouvez d finir enti rement un connecteur pour une source d v nement interne ou utiliser une int gration comme mod le Contenu d une interruption SNMP cumul d v nements d gel Une interruption SNMP se compose de paires nom valeur chaque nom tant un OID identificateur d objet et chaque valeur une valeur renvoy e par l alerte planifi e Les r sultats de requ te renvoy s par une alerte d action contiennent des champs CEG ainsi que leurs valeurs L interruption S
288. gents gestion des droits Un filtre local est un ensemble de crit res que vous pouvez sp cifier lors de la consultation d un rapport pour limiter les donn es affich es dans ce rapport en cours Le mode FIPS est un param tre qui requiert que les serveurs et agents CA Enterprise Log Manager utilisent des modules cryptographiques certifi s FIPS par RSA pour le chiffrement Le param tre alternatif est le mode non FIPS La gestion des agents est le processus logiciel qui contr le l ensemble des agents associ s l ensemble de CA Enterprise Log Manager f d r s Ce processus authentifie les agents avec lesquels il communique La gestion des droits est la m thode qui permet de contr ler ce que les utilisateurs sont autoris s faire une fois authentifi s et connect s l interface CA Enterprise Log Manager Ceci implique des strat gies d acc s associ es des r les affect s aux utilisateurs Ces r les ou groupes d utilisateurs d applications et strat gies d acc s peuvent tre pr d finis ou d finis par l utilisateur La gestion des droits est assur e par le magasin d utilisateurs interne du syst me CA Enterprise Log Manager gestion des journaux de s curit informatique La gestion des journaux de s curit informatique est d finie par le National Institute of Standards and Technology NIST comme tant le processus permettant de g n rer de transmettre de stocker d analyser et d liminer les donn es d
289. ger Sp cifiez si les communications entre le client ODBC ou JDBC et le serveur CA Enterprise Log Manager sont crypt es Les descriptions des champs sont les suivantes Activer le service Indique si les clients ODBC et JDBC peuvent acc der aux donn es dans le magasin de journaux d v nements S lectionnez cette case a cocher pour activer l acc s externe aux v nements D sactivez la case pour d sactiver l acc s externe Le service ODBC n est actuellement pas compatible avec FIPS D sactivez cette case cocher pour emp cher l acc s d ODBC et de JDBC en cas d ex cution en mode FIPS Tout acc s non conforme aux donn es de l v nement sera bloqu Pour d sactiver les services ODBC et JDBC pour des op rations en mode FIPS d finissez cette valeur pour chacun des serveurs dans une f d ration Port d coute du serveur Permet de sp cifier le num ro de port utilis par les services ODBC ou JDBC La valeur par d faut est 17002 Le serveur CA Enterprise Log Manager refuse les tentatives de connexion lorsqu une valeur diff rente est sp cifi e dans la source de donn es Windows o dans la cha ne URL JDBC Chiffrement SSL Indique si le chiffrement doit tre utilis pour les communications entre le client ODBC et le serveur CA Enterprise Log Manager Le serveur CA Enterprise Log Manager refuse les tentatives de connexion lorsque la valeur correspondante dans la source de donn es Windows ou dans l URL JDBC
290. giciel VMware pour prendre en charge la fonction de clonage La proc dure de cr ation et de clonage d un serveur CA Enterprise Log Manager virtuel des fins de collecte comporte les tapes ci apr s 1 Cr ez un nouvel ordinateur virtuel 2 Ajoutez des lecteurs de disques virtuels 3 Installez un serveur CA Enterprise Log Manager sur l ordinateur virtuel 4 Clonez l ordinateur virtuel contenant le nouveau serveur CA Enterprise Log Manager en suivant les instructions du fournisseur Remarque Vous devez cr er une image clone compl te N utilisez pas de clones li s avec CA Enterprise Log Manager 5 Importez l ordinateur virtuel clon sur un serveur physique cible 6 Mettez jour l ordinateur virtuel clon avant de le connecter au r seau 7 Configurez le serveur CA Enterprise Log Manager conform ment la proc dure d crite dans le Manuel d impl mentation Cr ation d un nouvel ordinateur virtuel Utilisez la proc dure suivante pour cr er un nouvel ordinateur l aide du client VMware Infrastructure Utilisez quatre processeurs pour chaque serveur CA Enterprise Log Manager virtuel afin d obtenir des performances acceptables Pour cr er un nouvel ordinateur virtuel 1 Acc dez au client VMware Infrastructure 2 Cliquez avec le bouton droit sur l h te ESX dans le volet gauche puis s lectionnez Nouvel ordinateur virtuel pour appeler l assistant de cr ation d un ordinateur virtuel Cette action affiche u
291. i re native via iTechnology Un agent est un service g n rique configur avec des connecteurs charg s de collecter les v nements bruts partir d une source d v nement unique puis de les envoyer CA Enterprise Log Manager pour traitement Chaque CA Enterprise Log Manager dispose d un agent int gr De plus vous pouvez installer un agent sur un point de collecte distant et collecter des v nements sur des h tes o l installation d agents est impossible Vous pouvez galement installer un agent sur l h te o s ex cutent les sources d v nement et b n ficier des possibilit s d application de r gles de suppression et de chiffrement des transmissions vers CA Enterprise Log Manager L agent par d faut est l agent int gr install avec le serveur CA Enterprise Log Manager Vous pouvez le configurer pour collecter directement des v nements Syslog ainsi que des v nements provenant de diff rentes sources non Syslog par exemple CA Access Control r12 SP1 le service de certificats Microsoft Active Directory et les bases de donn es Oracle9i Glossary 403 ajustement d v nement alerte d action analyse L ajustement d v nement est le processus par lequel une cha ne d v nement brut collect est analys e en champs d v nement et mapp e vers des champs CEG Les utilisateurs peuvent ex cuter des requ tes afin d afficher les donn es d v nement ajust ainsi obtenues L ajustement d v nement est
292. i t s du lecteur de CD DVD 1 3 Cliquez sur le bouton d option Unit h te et s lectionnez votre lecteur de DVD ROM dans la liste d roulante 4 S lectionnez l option Etat de l unit Connecter au d marrage 5 Cliquez sur Ajouter pour lancer l assistant d ajout de mat riel et ajouter un deuxi me disque dur 6 Mettez le disque dur en surbrillance dans la liste des unit s et cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche 7 S lectionnez l option Cr er un nouveau disque virtuel et cliquez sur Suivant Annexe E CA Enterprise Log Manager et virtualisation 323 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 8 Sp cifiez la taille de votre nouveau disque et s lectionnez l option Sp cifier un magasin de donn es pour param trer son emplacement CA Enterprise Log Manager d tecte ce lecteur suppl mentaire au cours de l installation et l affecte au magasin de donn es Nous vous recommandons d optimiser l espace de stockage que vous pouvez mettre disposition de CA Enterprise Log Manager Remarque Le param tre de taille de bloc par d faut du serveur VMware ESX Server est 1 Mo ce qui limite 256 Go l espace disque maximal que vous pouvez cr er Si vous avez besoin d espace suppl mentaire jusqu 512 Go augmentez le param tre de taille de bloc 2 Mo gr ce la commande ci dessous Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 R
293. iblioth que la plus fr quemment utilis e car les r gles de suppression et de r capitulation peuvent permettre de r gler les performances du r seau et de la base de donn es Vous pouvez utiliser la zone des int grations pour afficher les int grations pr d finies et cr er de nouvelles int grations pour vos unit s applications bases de donn es ou fichiers personnalis s ou propri taires Vous trouverez plus d informations dans le Manuel d administration CA Enterprise Log Manager et dans l aide en ligne Chapitre 8 Utilisation de la biblioth que d ajustement d v nement 239 Prise en charge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement Prise en charge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement Pour prendre en charge un p riph rique une application une base de donn es ou toute autre source d v nement qui n est pas encore prise en charge utilisez les Assistants de fichier de mappage et d analyse ainsi que l Assistant d int gration pour cr er les composants n cessaires Ce processus comprend les grandes tapes suivantes 1 Cr ation de fichiers d analyse pour collecter les donn es d v nement sous forme de paires nom valeur 2 Cr ation de fichiers de mappage pour mapper les paires nom valeur vers la grammaire commune aux v nements 3 Cr ation de nouvelles int grations et de nouveaux couteurs pour collecter les donn e
294. iche Elle permet de sp cifier le mode de configuration du serveur CA Enterprise Log Manager pour lequel vous voulez effectuer le provisionnement 14 Dans la liste d roulante Configuration s lectionnez Moyenne ou Grande puis cliquez sur Suivant Deploy OYF Template Deployment Configuration Select a deployment configuration Source OVF Template Details End User License Agreement Name and Location Deployment Configuratior Host Cluster Resource Pool Properties Ready to Complete Annexe E CA Enterprise Log Manager et virtualisation 373 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Si vous s lectionnez Moyenne VMware indique 4 UC de 8 Go de m moire RAM chacune Si vous s lectionnez Large VMware indique huit UC de 8 Go de m moire RAM chacune Remarque Nous vous recommandons vivement d utiliser une configuration de d ploiement moyenne pour effectuer le provisionnement d un serveur de collecte mais une configuration de d ploiement importante pour le provisionnement d un serveur de gestion ou de g n ration de rapports La page Host Cluster H te Cluster s ouvre Elle s affiche uniquement si vous n avez pas s lectionn le pool de ressources avant l importation du mod le OVF Cette page contient le centre de donn es s lectionn et ses clusters disponibles Sp cifiez l emplacement des clusters sous le centre de donn es o vous voulez effectuer l
295. ie pour un m me compte d utilisateur Avant d appliquer une r gle cr ez les destinations de notification dont vous avez besoin pour votre environnement 1 Cliquez sur l onglet Administration puis sur le sous onglet Biblioth que et d veloppez le dossier R gles de corr lation D veloppez le dossier Identit puis le dossier Authentification et s lectionnez la r gle Echecs de connexion suivis d une connexion r ussie Les d tails de la r gle s affichent dans le volet droit V rifiez les informations de la r gle et v rifiez qu elle s adapte votre environnement Dans ce cas le volet de d tails affiche les deux tats suivis par la r gle Le premier tat correspond cinq checs de connexions ou plus pour un m me compte d utilisateur ou une m me identit Le deuxi me tat correspond une connexion r ussie pour un utilisateur ou une identit Facultatif Cliquez sur Modifier en haut du volet pour modifier les param tres d tat si n cessaire L assistant de gestion des r gles s ouvre et affiche les deux tats qui composent la r gle Double cliquez sur l tat que vous souhaitez modifier 188 Manuel d impl mentation 10 11 12 Configuration du service de corr lation L assistant de d finition d tats appara t et affiche les d tails de l tat Modifiez l tat s lectionn et cliquez sur Enregistrer et fermer pour ouvrir de nouveau l assistant de gestion des r gles Par exemple
296. ifiez et les r sultats de requ te que vous affichez Une fois cr le profil de votre choix vous pouvez le configurer de mani re ce qu il soit appliqu d s que vous vous connectez au syst me Si vous cr ez plusieurs profils vous pouvez appliquer un profil diff rent diff rentes activit s lors d une m me session Des filtres pr d finis sont livr s avec les mises jour d abonnement proxies d abonnement pour le client Les proxies d abonnement pour le client d finissent la liste des proxies d abonnement que le client contacte de mani re circulaire pour obtenir les mises jour du syst me d exploitation et du logiciel CA Enterprise Log Manager Si un proxy est occup le suivant sur la liste est contact Si tous les proxies sont indisponibles et que le client est en ligne le proxy d abonnement par d faut est utilis Glossary 425 proxies d abonnement pour les mises jour de contenu Les proxies d abonnement pour les mises jour de contenu sont les proxies d abonnement choisis pour mettre jour le serveur de gestion CA Enterprise Log Manager avec les mises jour de contenu t l charg es sur le serveur d abonnement CA Il est recommand de configurer plusieurs proxies des fins de redondance proxy d abonnement en ligne Un proxy d abonnement en ligne est un serveur CA Enterprise Log Manager dot d un acc s Internet et charg de r cup rer les mises jour d abonnement aupr s du serveur
297. igateway start S99igateway est le script de d marrage du processus iGateway et il appartient au compte root Lorsque le processus iGateway d marre il s ex cute sous le compte d utilisateur caelmservice Chapitre 3 Installation de CA Enterprise Log Manager 85 Installation d un serveur CA Enterprise Log Manager Arr t du d mon ou service iGateway Le d mon ou service iGateway est le processus qui g re tous les appels adress s l interface utilisateur pour CA EEM et pour CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que vous puissiez acc der l une ou l autre de ces applications Utilisez la proc dure suivante pour arr ter le processus iGateway Vous pouvez agir ainsi pour vous pr parer red marrer le processus ou lors du retrait d un serveur CA Enterprise Log Manager du r seau Pour arr ter Le d mon ou service iGateway 1 Connectez vous en tant qu utilisateur caelmadmin pour le serveur CA Enterprise Log Manager 2 Passez l utilisateur root au moyen de la commande ci dessous su 3 Arr tez le processus iGateway l aide de la commande suivante IGW LOC S99igateway stop S99igateway est le script d arr t du processus iGateway et il appartient au compte root Lorsque le processus iGateway d marre il s ex cute sous le compte d utilisateur caelmservice D marrage du d mon ou service de l agent CA Enterprise Log Manager Le d mon ou service de l agent CA Enterprise Log
298. ilis e pour les interruptions SNMP Un client d abonnement est un serveur CA Enterprise Log Manager qui r cup re les mises jour de contenu aupr s d un autre serveur CA Enterprise Log Manager appel serveur proxy d abonnement Les clients d abonnement interrogent le serveur proxy d abonnement configur de mani re r guli re et planifi e et ils r cup rent les nouvelles mises jour disponibles le cas ch ant Apr s r cup ration des mises jour le client installe les composants t l charg s La collecte d v nements est un processus permettant de lire la cha ne d v nement brut partir d une source d v nement et de l envoyer au CA Enterprise Log Manager configur La collecte est suivie d un ajustement d v nement collecte directe de journaux La collecte directe de journaux est la technique de collecte de journaux sans agent interm diaire entre la source d v nement et le logiciel CA Enterprise Log Manager Glossary 409 collecteur SAPI Le collecteur SAPI est un adaptateur CA qui re oit des v nements provenant de clients CA Audit Les envois des clients CA Audit reposent sur l action Collecteur qui propose le basculement int gr Les administrateurs configurent le collecteur SAPI CA Audit avec par exemple les fichiers de mappage de donn es et les chiffres s lectionn s Compatibilit avec la norme FIPS 140 2 L expression compatible avec la FIPS 140 2 d signe un produit pouvant facul
299. ilisateur caelmadmin 2 Basculez sur le compte d utilisateur root 3 Remplacez les r pertoires dans le dossier CA Enterprise Log Manager par cd opt CA LogManager 4 Cr ez le dossier ssh mkdir ssh 5 Modifiez les droits de propri t du nouveau dossier sur le groupe et l utilisateur caelmservice chown caelmservice caelmservice ssh 6 Remplacez les r pertoires par tmp 7 Ajoutez le contenu des cl s publiques des serveurs de collecte ELM C2 ELM C3 et ELM C4 au fichier authorized_keys qui contient la cl publique d ELM C1 cat authorized keys ELM C2 gt gt authorized keys cat authorized keys ELM C3 gt gt authorized keys cat authorized keys ELM C4 gt gt authorized keys 168 Manuel d impl mentation 10 11 Configuration du magasin de journaux d v nements Remplacez les r pertoires par opt CA LogManager ssh Copiez le fichier authorized_keys du dossier tmp vers le dossier actuel ssh cp tmp authorized keys Modifiez la propri t du fichier authorized_ keys pour l octroyer au compte caelmservice chown caelmservice caelmservice authorized keys Modifiez les autorisations de ce fichier chmod 755 authorized keys Le chiffre 755 fait r f rence un acc s en lecture et ex cution pour tous les utilisateurs et un acc s en lecture ex cution et criture pour le propri taire du fichier Vous achevez ainsi la configuration de l authentification sans mot de passe entre les serve
300. ilisateur dot d un r le pr d fini peut ex cuter une requ te Seuls les analystes et les administrateurs peuvent planifier une requ te pour diffuser une alerte d action cr er un rapport en s lectionnant les requ tes inclure ou encore cr er une requ te personnalis e l aide de l assistant de conception de requ te Voir galement requ te d archivage Une requ te d action est une requ te prenant en charge une alerte d action Elle est ex cut e de mani re planifi e et r currente pour tester les conditions d finies par l alerte d action laquelle elle est associ e Une requ te d archivage est une requ te du catalogue utilis e pour identifier les bases de donn es froides devant tre restaur es et d givr es des fins de requ te Une requ te d archivage diff re d une requ te normale dans le sens o elle cible les bases de donn es froides tandis que les requ tes normales ciblent uniquement les bases chaudes ti des et d givr es Les administrateurs peuvent mettre une requ te d archivage gr ce l option Requ te de catalogue d archive du sous onglet Collecte de journaux dans l onglet Administration Le terme ressource d application correspond toutes les ressources sp cifiques CA Enterprise Log Manager sur lesquelles les strat gies d acc s CALM autorisent ou interdisent des identit s donn es d effectuer certaines actions sp cifiques l application par exemple cr er planifier et mo
301. indows Server 2008 Pour obtenir une liste compl te consultez la Matrice d int gration de produits sur le support en ligne Chapitre 6 Configuration de la collecte d v nements 223 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor Cet exemple d crit l activation de la collecte directe des v nements l aide d un connecteur fond sur l int gration WinRM Quand un tel connecteur est d ploy il collecte des v nements partir d une source d v nement du syst me d exploitation Windows Server 2008 La collecte d bute apr s la configuration des sources d v nement afin de consigner les v nements dans la Visionneuse d v nements Windows et d activer la fonction Gestion distance de Windows sur le serveur tel que sp cifi dans le manuel du connecteur associ cette int gration Pour configurer la source d v nements Windows Server 2008 1 Cliquez sur l onglet Administration et le sous onglet Biblioth que 2 D veloppez Biblioth que d ajustement d v nement Int grations Abonnement puis s lectionnez WinRM La fen tre Afficher les d tails des int grations indique le nom du d tecteur savoir WinRMLinuxLogSensor Windows et Linux sont les deux plateformes prises en charge 3 Cliquez sur le lien Aide de la fen tre Afficher les d tails de l int gration WinRM Le manuel du connecteur pour Microsoft Windows Server 2008 WinRM s affiche 224 Manu
302. informations d v nements SEOSDATA actuels sous Windows 1 Ouvrez une invite de commande sur le serveur d outils de donn es CA Audit 2 Acc dez au r pertoire Program Files CA SharedComponents iTechnology 3 Entrez la ligne de commande ci dessous LMSeosImport dsn eAudit DSN user sa password sa target lt nom_ h te Log Manager gt report Annexe Remarques pour les utilisateurs de CA Audit 269 Importation des donn es d une table SEOSDATA L affichage du rapport g n r est similaire l exemple qui suit SEOSProcessor InitOdbc liaison r ussie la source eAudit DSN DUREE minimale DUREE maximale 2007 08 27 2007 10 06 com ca iTechnology iSponsor 3 052 EiamSdk 1 013 NT Application 776 NT System 900 ENTRYID minimal 1 ENTRYID maximal 5 741 Rapport termin Pr visualisation des r sultats de l importation Vous pouvez ex cuter une importation test avec une sortie vers STDOUT pour pr visualiser les r sultats d importation sans r ellement importer ou migrer les donn es Il s agit la d un test efficace des param tres de la ligne de commande entr s pour une migration unique ou pour un job r gulier d importation en lot planifi e Pour ex cuter une importation test afin de pr visualiser les r sultats de l importation 1 Ouvrez une invite de commande sur le serveur d outils de donn es CA Audit 2 Acc dez au r pertoire ad quat Solaris opt CA SharedComponents
303. installation le serveur CA EEM n a pas import correctement les fichiers de r gles de corr lation Les r gles de corr lation permettent d identifier des mod les d v nements qui doivent tre examin s Vous pouvez importer des groupes ou des r gles de corr lation Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez les fichiers de r gles de corr lation manuellement Pour importer des fichiers de r gles de corr lation 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su 134 Manuel d impl mentation 4 5 D pannage de l installation Acc dez au r pertoire opt CA LogManager EEM content Ex cutez l une des commandes ci apr s ImportCALMCorrelationGroups sh Le script shell permet d importer des groupes de r gles de corr lation ImportCALMCorrelationRules sh Le script shell permet d importer les fichiers de r gles de corr lation Importation de fichiers de gestion commune des agents Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de gestion commune des agents Vous ne pouvez pas g rer les agents dans l interface utilisateur CA Enterprise Log Manager sans ces
304. invites suivantes s affichent appuyez sur Entr e a Indiquez le fichier dans lequel enregistrer la cl opt CA LogManager ssh id_rsa a Saisissez la phrase secr te laissez le champ vide si aucune phrase secr te n a t d finie Confirmez la phrase secr te Chapitre 5 Configuration des services 165 Configuration du magasin de journaux d v nements Remplacez les r pertoires par opt CA LogManager Modifiez les autorisations du r pertoire ssh l aide de la commande ci dessous chmod 755 ssh Acc dez au fichier ssh dans lequel la cl id_rsa pub est enregistr e cd ssh Copiez le fichier id_rsa pub sur ELM RPT le serveur CA Enterprise Log Manager de destination l aide de la commande ci dessous scp id rsa pub caelmadmin ELM RPT tmp authorized keys Le fichier authorized_keys est cr sur le serveur de g n ration de rapports avec le contenu de la cl publique Configuration des cl s pour les paires g n ration de rapports collection suppl mentaires La deuxi me tape de configuration de l authentification non interactive pour une topologie en toile est la g n ration d une paire de cl s RSA sur chaque serveur de collecte suppl mentaire et sa copie dans le r pertoire tmp du serveur commun de g n ration de rapports comme authorized_keys_n la lettre n indiquant le serveur de collecte source Pour d n rer une paire de cl s RSA sur Les serveurs de collecte suppl mentaires
305. ion de La ligne de commande LMSeosImport L utilitaire LMSeosimport propose de nombreux arguments de ligne de commande qui vous permettent de contr ler les v nements migr s Chaque v nement de la table SEOSDATA compose une ligne et dispose d un D d entr e unique pour l identifier Vous pouvez utiliser l utilitaire d importation pour r cup rer un rapport r pertoriant plusieurs types diff rents d informations utiles Le rapport r pertorie le nombre d v nements dans la table SEOSDATA nombre d ID d entr e les nombres d v nements par type de journal et les plages de dates des v nements L utilitaire propose une option de reprise en cas d erreur au cours de l importation d un v nement Annexe A Remarques pour les utilisateurs de CA Audit 265 Importation des donn es d une table SEOSDATA Vous pouvez galement ex cuter un job d aper u pour conna tre les r sultats de l importation avec une structure de commande sp cifique Les jobs d aper u n importent pas r ellement les donn es Cela vous permet d ajuster vos options de ligne de commande avant la migration r elle Vous pouvez ex cuter plusieurs fois l utilitaire de migration en utilisant diff rents param tres pour importer diff rents types de donn es Par exemple vous pouvez choisir de migrer vos donn es en plusieurs sessions adapt es en fonction d une plage d ID d entr e du type de journal ou de plages de dates pr cises Remarque L utilitaire n
306. ion de la collecte de journaux Remarque L installation du serveur CA Enterprise Log Manager implique que vous utilisiez le mot de passe du compte d administration CA EEM par d faut EiamAdmin pour enregistrer correctement un serveur CA Enterprise Log Manager Lorsque vous installez le premier serveur CA Enterprise Log Manager de gestion vous cr ez ce nouveau mot de passe au cours de l installation Lorsque vous installez d autres serveurs CA Enterprise Log Manager avec le m me nom d instance d application vous cr ez automatiquement un environnement r seau dans lequel vous pouvez configurer ult rieurement des relations de f d ration entre les serveurs CA Enterprise Log Manager Consignes de collecte de journaux Observez les consignes de collecte de journaux suivantes lors de votre phase de planification Le trafic de l agent au serveur CA Enterprise Log Manager est toujours chiffr que vous utilisiez la collecte de journaux sans agent ou avec agent m Envisagez d utiliser un m canisme local de collecte Syslog pour contourner des probl mes potentiels de remise garantie Lorsque vous d terminez l utilisation de la collecte directe par l agent par d faut de la collecte avec agent lorsque l agent est install sur l h te avec la source d v nement ou de la collecte sans agent lorsque l agent est install sur un point de collecte distant des sources d v nement tenez compte des facteurs ci apr s m Prise en charg
307. ions initiales du serveur CA Enterprise Log Manager 6 Effectuez la proc dure suivante a e Ouvrez le fichier kickstart du syst me d exploitation de CA Enterprise Log Manager ca elm ks cfg pour le modifier Utilisez un diteur ISO Identifiez la ligne suivante a modifier bootloader location mbr driveorder sda sdb Remplacez la par bootloader location mbr driveorder cciss c0d0 Cette modification permet le d marrage a partir du disque local uniquement Identifiez les lignes suivantes a modifier clearpart all initlabel part boot fstype ext3 size 100 part pv 4 size 0 grow Remplacez les par part boot fstype ext3 size 100 ondisk cciss c0d0 part pv 4 size 0 grow ondisk cciss c0d0 Cette modification des lignes de d finition de partition permet de s assurer que les partitions sont cr es sur le disque cciss cOdO par nom L utilisation de ondisk vous permet de remplacer les variables Sdisk1 et Sdisk2 existantes Supprimez la clause IF When pour le nombre de lecteurs et conservez uniquement le premier ensemble de commandes disque lignes 57 65 si vous l estimez n cessaire Enregistrez la nouvelle image ISO 7 Quittez l invite Anaconda et retournez aux invites d installation du syst me d exploitation 8 Poursuivez l installation en utilisant les proc dures document es Configurations initiales du serveur CA Enterprise Log Manader L installation du premier s
308. iration de la session Sp cifie la dur e maximale d une session inactive Si l actualisation automatique est activ e une session n expire jamais Minimum 10 Maximum 600 Permettre l actualisation automatique Permet aux utilisateurs d actualiser automatiquement les rapports ou les requ tes Ce param tre permet aux administrateurs de d sactiver l actualisation automatique de mani re globale Fr quence d actualisation automatique Sp cifie l intervalle en minutes auquel les vues de rapport sont actualis es Ce param tre d pend de la s lection de Permettre l actualisation automatique Minimum 1 Maximum 60 Activer l actualisation automatique D finit l actualisation automatique dans l ensemble des sessions Par d faut l actualisation automatique n est pas activ e Pour afficher les alertes d action l authentification est requise Emp che les auditeurs ou les produits tiers d afficher les flux RSS des alertes d action Ce param tre est activ par d faut Rapport par d faut Sp cifie le rapport par d faut Activer le lancement du rapport par d faut Affiche le rapport par d faut lorsque vous cliquez sur le sous onglet Rapports Ce param tre est activ par d faut Chapitre 5 Configuration des services 153 Modification de configurations globales 4 Vous pouvez changer les param tres de balise de rapport ou de requ te suivants Masquer les balises de rapport Emp che les balises sp ci
309. irections sont appliqu es aux iptables pour les ports suivants Le port TCP 80 et 443 sont redirig s vers le 5250 Le port UDP 514 est redirig vers le 40514 m Le package GRUB est prot g par mot de passe Lors de l installation les utilisateurs avec peu de droits suivants sont ajout s caelmadmin un compte de syst me d exploitation disposant de droits de connexion la console du serveur CA Enterprise Log Manager caelmservice un compte de service sous lequel sont ex cut s les processus d agent et d iGateway Vous ne pouvez pas vous connecter directement avec ce compte Redirection des ports du pare feu pour les v nements Syslog Vous pouvez rediriger le trafic des ports standard vers d autres ports si vous utilisez un pare feu entre un agent et le serveur CA Enterprise Log Manager Les meilleures pratiques de s curit indiquent les droits d utilisateur minimaux n cessaires pour ex cuter les processus et d mons d applications Les d mons UNIX et Linux fonctionnant sur des comptes non root ne peuvent pas ouvrir de ports inf rieurs 1024 Le port Syslog UDP standard est 514 Cela peut poser probl me pour les unit s comme les routeurs et les commutateurs qui ne peuvent pas utiliser de ports non standard Pour r soudre ce probl me vous pouvez configurer le pare feu pour qu il coute le trafic entrant sur le port 514 et qu il effectue ses envois au serveur CA Enterprise Log Manager sur un autre port L
310. is d abonnement et s lectionnez les mises jour de connecteur Met jour le syst me d exploitation install sur chaque R guli rement serveur CA Enterprise Log Manager Met jour les agents lorsque vous ex cutez l Assistant R guli rement d abonnement et s lectionnez les mises jour d agent Met jour le produit CA Enterprise Log Manager sur chaque Trimestrielle gestionnaire de journaux serveur avec le service Pack indiqu Version du gestionnaire Meta niveau le produit CA Enterprise Log Manager sur R guli rement de journaux chaque syst me vers la version indiqu e Vous pouvez s lectionner la liste des modules t l charger pour votre environnement CA Enterprise Log Manager au niveau global Chaque proxy d abonnement et serveur client h rite de ces param tres globaux Vous pouvez galement remplacer les param tres globaux en configurant une liste locale de modules t l charger pour un serveur CA Enterprise Log Manager particulier Remarque Un proxy d abonnement ne peut pas distribuer un module vers un client que le proxy n a pas lui m me install Lors de la s lection des modules pour un proxy d abonnement incluez au moins tous les modules s lectionn s pour les clients du proxy Vous pouvez effectuer les mises jour dans l environnement CA Enterprise Log Manager l aide de l une des m thodes suivantes ou des deux 1 Mise jour automatique s lectionnez des modules en avance pu
311. is sp cifiez une planification pour le t l chargement Le service d abonnement t l charge et installe automatiquement les modules s lectionn s selon la planification sp cifi e 2 Mise jour manuelle s lectionnez des modules lorsque vous en avez besoin l aide de la fonctionnalit Mettre jour du service d abonnement pour t l charger et pour installer ces modules un moment d termin 204 Manuel d impl mentation Configuration de l abonnement Les modules de contenu d int gration de syst me d exploitation et d agent tant r guli rement mis jour il est recommand de d finir une planification d abonnement pour t l charger ces modules automatiquement au moins une fois par mois Les mises jour du service Pack et de la version du gestionnaire de journaux sont moins fr quentes et peuvent requ rir des v rifications et une planification suppl mentaires avant de les appliquer votre environnement de CA Enterprise Log Manager Si n cessaire vous pouvez t l charger ces types de mises jour manuellement D s que de nouveaux modules sont disponibles ils s affichent dans le flux RSS d abonnement ou dans le cas d un abonnement hors ligne sur le site FTP d abonnement hors ligne de CA Les modules disponibles pour le t l chargement varient en fonction du cycle de mise jour v rifiez donc la liste des modules disponibles pour vous assurer que tous les modules requis sont s lectionn s Vous pouv
312. ise Log Manager Informations compl mentaires Feuille de calcul du r pertoire LDAP externe page 44 Feuille de calcul CA SiteMinder page 46 Planification du magasin d utilisateurs Apr s avoir install le premier serveur CA Enterprise Log Manager connectez vous CA Enterprise Log Manager et configurez le magasin d utilisateurs Le magasin d utilisateurs configur est l emplacement de stockage des noms d utilisateur et des mots de passe utilis s pour l authentification ainsi que d autres d tails d ordre g n ral Avec toutes les options du magasin d utilisateurs les d tails des utilisateurs de l application sont stock s dans le magasin d utilisateurs CA Enterprise Log Manager Ils incluent notamment des informations comme les r les les favoris des utilisateurs et la derni re connexion 42 Manuel d impl mentation Planification des utilisateurs et des acc s Tenez compte des l ments ci dessous lors de la planification du magasin d utilisateurs configurer Utilisation du magasin d utilisateurs CA Enterprise Log Manager par d faut Les utilisateurs sont authentifi s par leur nom d utilisateur et leur mot de passe cr s dans CA Enterprise Log Manager Vous configurez des strat gies de mots de passe Les utilisateurs peuvent modifier leurs propres mots de passe et d verrouiller d autres comptes d utilisateur R f rence partir de CA SiteMinder Les noms d utilisateur les mots de passe et les g
313. iserez a nouveau lors de l installation d autres serveurs et agents CA Enterprise Log Manager Remarque Le mot de passe entr ici est galement le mot de passe initial du compte caelmadmin par d faut que vous utiliserez pour acc der directement au serveur CA Enterprise Log Manager via ssh Si vous le souhaitez vous pouvez cr er d autres comptes d administrateur pour acc der aux fonctions CA EEM apr s l installation Sp cifie si le dispositif virtuel doit tre ex cut en mode FIPS ou non Si vous choisissez un serveur CA EEM local choisissez le mode de votre choix Si vous choisissez un serveur CA EEM distant choisissez le mode utilis par ce serveur Informations compl mentaires Ajout de serveurs virtuels votre environnement page 341 Cr ation d un environnement compl tement virtuel page 365 D ploiement rapide de serveurs virtuels page 391 384 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Appel de l outil OVF partir d une ligne de commande Remarque Avant d effectuer l installation silencieuse installez l outil OVF 1 0 0 0 Pour plus d informations sur l outil OVF consultez le manuel VMware s OVF Tool User Guide ou visitez le site Web www vmware com Vous devez transf rer les param tres de configuration en tant qu arguments de ligne de commande pour appeler l outil OVF Remarque Nous vous recommandons vivement d utiliser une
314. isitez le site Web www vmware com Vous pouvez installer plusieurs serveurs CA Enterprise Log Manager la fois pour ce faire vous devez cr er et ex cuter des scripts contenant les commandes qui appellent l outil OVF Vous pouvez utiliser le langage de script de votre choix pour la cr ation de scripts Pour appeler l outil OVF l aide de scripts 1 Cr ez un script pour appeler l outil OVF 2 Ouvrez l invite de commande sur l ordinateur o le client VMware vSphere est install 3 Acc dez l emplacement de stockage du script 4 Ex cutezle script Le message Opening VI target Cible VI en cours d ouverture s affiche Le statut de d ploiement de chaque serveur CA Enterprise Log Manager s affiche Si l installation s est correctement effectu e les serveurs CA Enterprise Log Manager figureront sous le magasin de donn es s lectionn dans le volet gauche Exemple 1 Script de commande pour la cr ation d un serveur CA Enterprise Log Manager principal et d un serveur CA Enterprise Log Manager secondaire REM Primary CA Enterprise Log Manager Server ovftool dm thin acceptAllEulas name example primaryserver deploymentOption medium prop ROOT PASSWORD example password prop LOCAL REMOTE EEM Local prop REMOTE EEM LOCATION none prop EEM PASSWORD calmr12 prop FIPS MODE YEs prop IP ADDRESS 172 162 0 0 prop SUBNET MASK 10 0 0 0 prop HOSTNAME example primary server prop DEFAULT GATEWAY 198 16
315. istrateur par d faut EiamAdmin Votre serveur CA Enterprise Log Manager doit disposer de ces informations d identification de compte pour la connexion initiale Si vous installez le serveur de gestion vous cr ez et confirmez ici un nouveau mot de passe EiamAdmin Notez ce mot de passe car vous l utiliserez nouveau lors des installations d autres serveurs et agents CA Enterprise Log Manager Remarque Le mot de passe entr ici est galement le mot de passe initial du compte caelmadmin par d faut que vous utiliserez pour acc der directement au serveur CA Enterprise Log Manager via ssh Si vous le souhaitez vous pouvez cr er d autres comptes d administrateur pour acc der aux fonctions CA EEM apr s l installation Chapitre 3 Installation de CA Enterprise Log Manager 81 Installation d un serveur CA Enterprise Log Manager Informations CA Enterprise Log Valeur Commentaires Manager Nom d instance d application CAELM Lorsque vous installez le premier serveur CA Enterprise Log Manager sur votre r seau vous cr ez une valeur d instance d application dans cette invite Les autres serveurs CA Enterprise Log Manager utilisent cette valeur pour s enregistrer aupr s du serveur de gestion Le nom d instance d application par d faut est CAELM Vous pouvez utiliser n importe quel nom pour cette valeur Notez ce nom d instance d application pour l utiliser lors d installations ult rieures de CA Enterpris
316. it individuel enregistrements d audit Les enregistrements d audit contiennent les v nements de s curit de type tentatives d authentification acc s aux fichiers et modifications apport es aux strat gies de s curit comptes d utilisateur ou droits d utilisateur Les utilisateurs Administrator sp cifient les types d v nement auditer et ce qui doit tre journalis 412 Manuel d impl mentation entr e de journal Une entr e de journal est dans un journal l emplacement contenant des informations sur un v nement sp cifique qui s est produit sur un syst me ou un r seau donn tat chaud d une base de donn es L tat chaud correspond une base de donn es du magasin de journaux d v nements o sont ins r s de nouveaux v nements Lorsqu une base de donn es chaude atteint sa taille maximale pr d finie sur le serveur de collecte elle est compress e catalogu e et d plac e sur un syst me de stockage non compress sur le serveur de rapports De plus tous les serveurs stockent les nouveaux v nements d autosurveillance dans une base de donn es chaude tat d givr d une base de donn es L tat d givr est l tat qualifiant une base de donn es qui a t restaur e dans le r pertoire d archivage apr s l ex cution de l utilitaire LMArchive par l administrateur pour indiquer CA Enterprise Log Manager que la base de donn es a t restaur e Les bases de donn es d givr es sont con
317. it les bases de donn es archiv es automatiquement en provenance d un ou plusieurs serveurs de rapports Le serveur de stockage distant conserve les bases de donn es froides pendant le nombre d ann es requis L h te distant utilis pour le stockage ne dispose g n ralement pas d un syst me CA Enterprise Log Manager ou autre Pour l archivage automatique configurez une authentification non interactive Le serveur ODBC est le service configur qui d finit le port utilis pour les communications entre le client ODBC ou JDBC et le serveur CA Enterprise Log Manager et d termine si le chiffrement SSL est activ ou non Un serveur proxy HTTP est un serveur proxy qui joue le r le de pare feu et emp che le trafic Internet de p n trer dans l entreprise ou de la quitter hormis via le proxy Le trafic sortant peut sp cifier un ID et un mot de passe pour contourner le serveur proxy L utilisation d un serveur proxy HTTP local dans la gestion de l abonnement est configurable Les serveurs de f d ration sont des serveurs CA Enterprise Log Manager connect s les uns aux autres sur un r seau afin de r partir la collecte des donn es de journal tout en cumulant les donn es collect es des fins de g n ration de rapports Les serveurs de f d ration peuvent tre connect s selon une topologie hi rarchique ou maill e Les rapports de donn es f d r es incluent celles provenant du serveur cible ainsi que de ses enfants ou pairs le
318. iveau de l agent ou du groupe ou encore au niveau du serveur CA Enterprise Log Manager lui m me L effet obtenu change en fonction de l emplacement choisi m Les r gles de suppression appliqu es au niveau de l agent ou du groupe emp chent les v nements d tre collect s et r duisent ainsi le volume de trafic r seau envoy au serveur CA Enterprise Log Manager m Les r gles de suppression appliqu es au niveau du serveur CA Enterprise Log Manager emp chent les v nements d tre ins r s dans la base de donn es et r duisent ainsi le volume d informations stock es Appliquer des r gles de suppression des v nements apr s leur arriv e sur le serveur CA Enterprise Log Manager peut avoir des effets sur les performances surtout si vous cr ez plusieurs r gles de suppression ou si le flux d v nements est lev Par exemple imaginons que vous souhaitiez supprimer certains des v nements issus d un pare feu ou de serveurs Windows qui g n rent des v nements dupliqu s pour la m me action La non collecte de ces v nements peut acc l rer le transport des journaux d v nements que vous souhaitez conserver et permet d conomiser le temps de traitement sur le serveur CA Enterprise Log Manager Dans ce cas vous pouvez appliquer une ou plusieurs r gles de suppression appropri es sur les composants d agents Chapitre 2 Planification de votre environnement 71 Planification d agent Si vous souhaitez supp
319. jour d abonnement Dans un environnement de grande taille contenant plusieurs serveurs vous pouvez configurer ces serveurs en tant que proxys d abonnement chacun fournissant des mises jour un groupe limit de clients d abonnement Ainsi le service d abonnement peut fonctionner efficacement en quilibrant le trafic vers les proxys d abonnement Disposer de plusieurs proxys permet galement de configurer des listes de proxys d abonnement Gr ce ces listes de proxys tous les serveurs CA Enterprise Log Manager re oivent les mises jour actuelles en temps voulu Si un proxy sp cifique n est pas disponible lors de la demande de mises jour CA Enterprise Log Manager par un client celui ci contacte chaque proxy figurant sur sa liste de proxys jusqu ce qu il parvienne les t l charger Vous pouvez configurer une liste de proxys globaux pour des mises jour de client ainsi que des mises jour de contenu pour l ensemble de votre environnement CA Enterprise Log Manager Vous pouvez galement d finir une liste de proxys personnalis e pour des mises jour de client pour chaque serveur CA Enterprise Log Manager Proxy d abonnement en ligne par d faut OA Enterprise Log Manager Les clients d abonnement dune autre r gion sont configur s avec une Este diff rente de proxies d abonnement Les chents d abonnement un r gson sont configur s avec une liste de proxies d abonnement Informations compl
320. jours les r glementations concernant la conservation des emplacements physiques des donn es Les mises jour d abonnement pour les requ tes et rapports pr d finis signifient que vous n avez plus besoin de conserver manuellement les requ tes et les rapports Les assistants fournis vous permettent de cr er vos propres int grations personnalis es pour les unit s et applications tierces qui ne sont pas encore prises en charge Annexe Remarques pour les utilisateurs de CA Audit 249 Pr sentation des diff rences entre les architectures Architecture int gr e Le diagramme qui suit illustre un r seau CA Audit classique avec l ajout de CA Enterprise Log Manager pour b n ficier de ses capacit s de gestion de volumes lev s d v nements et de g n ration de rapports bas e sur la conformit Gestion g n ration de rapports Collecte Requ tes ee ee ee a Ev nements Windows configuration et contr le v nements Syslog agent v nements Mainframe Serveurs Windows Outils de Strat gies donn es Clients Audit Gestionnaire de strat gies Surveillance de la s curit CA Enterprise Log Manager utilise un Explorateur d agent int gr un magasin de journaux d v nements int gr et une seule interface utilisateur pour centraliser et simplifier la collecte de journaux La technologie d agent CA Enterprise Log Manager associ e la grammaire commune aux v nements permet un
321. l mentation Valeur Commentaires D finit le nom d h te ou l adresse IP du syst me CA SiteMinder r f renc Vous pouvez utiliser des adresses IPv4 ou IPV6 Nom d utilisateur du superutilisateur CA SiteMinder qui conserve les objets syst me et domaine Mot de passe du nom utilisateur associ Nom de l agent fourni au serveur de strat gies Ce nom n est pas sensible la casse Secret partag sensible la casse tel que d fini pour CA SiteMinder Le secret de l agent est sensible la casse Sp cifie s il faut mettre les utilisateurs globaux en cache dans la m moire ce qui permet des recherches plus rapides au d triment de la modularit Remarque Les groupes d utilisateurs globaux sont toujours mis en cache Intervalle en minutes apr s lequel le cache d utilisateurs est automatiquement mis jour Sp cifie s il faut inclure les attributs externes non mapp s pour les utiliser comme filtres ou dans des recherches Si le type de r pertoire externe est Microsoft Active Directory cette option sp cifie que vous souhaitez cr er des groupes globaux avec les informations du groupe Microsoft Exchange Si cette option est s lectionn e vous pouvez crire des strat gies l encontre des membres des listes de distribution D finit le type de magasin d utilisateurs en cours d utilisation Planification des utilisateurs et des acc s Informations requises Valeur Commentaires Nom du magasin S
322. l application et le nom du r le d utilisateur Examinez l tat affich pour v rifier que la liaison vers le r pertoire externe est effective et que les donn es sont charg es Si l tat affiche un avertissement cliquez sur Actualiser l tat Si l tat affiche une erreur corrigez la configuration cliquez sur Enregistrer et r it rez cette tape Cliquez sur Fermer Informations compl mentaires Planification du magasin d utilisateurs page 42 Feuille de calcul du r pertoire LDAP externe page 44 R f rence CA SiteMinder comme magasin d utilisateurs Si vos comptes d utilisateur sont d j d finis sur CA SiteMinder r f rencez ce r pertoire externe lorsque vous configurez le magasin d utilisateurs Pour r f rencer CA SiteMinder comme magasin d utilisateurs 1 Connectez vous a un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits d administrateur ou qu utilisateur EiamAdmin Cliquez sur l onglet Administration Si vous vous connectez en tant qu utilisateur EiamAdmin cet onglet s affiche automatiquement 142 Manuel d impl mentation Configuration du magasin d utilisateurs 3 S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur le bouton Magasin d utilisateurs dans le volet gauche La configuration du serveur CA EEM pour le magasin d utilisateurs s affiche 4 S lectionnez l option R f rencer partir de CA SiteMinder Les champs sp
323. l d administration CA Enterprise Log Manager Chapitre 4 Configuration des utilisateurs de base et des acc s 145 Cr ation du premier administrateur Cr ation du premier administrateur Le premier utilisateur cr doit se voir affecter le r le Administrator Seuls les utilisateurs affichant le r le Administrator peuvent effectuer la configuration Vous pouvez affecter un r le Administrator un nouveau compte d utilisateur que vous cr ez ou un compte d utilisateur existant r cup r dans CA Enterprise Log Manager Utilisez le processus ci dessous 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur par d faut EiamAdmin 2 Cr ez le premier administrateur La m thode utilis e pour cr er le premier administrateur CA Enterprise Log Manager d pend de votre configuration de magasin d utilisateurs a Si vous configurez CA Enterprise Log Manager pour qu il utilise le magasin d utilisateurs interne vous cr ez un nouveau compte d utilisateur avec le r le Administrator Si vous configurez CA Enterprise Log Manager pour qu il utilise un magasin d utilisateurs externe vous utilisez un utilisateur LDAP existant pour le lier au r pertoire Une fois le lien avec un r pertoire externe tabli vous r cup rez a partir du magasin d utilisateurs externe le compte de l utilisateur auquel vous souhaitez affecter un r le CA Enterprise Log Manager Les comptes d utilisateur provenant de magasins
324. la strat gie aux clients et son activation Important Vous devez configurer les couteurs CA Enterprise Log Manager pour recevoir des v nements avant de modifier et d activer la strat gie Si vous n effectuez pas cette configuration en premier vous constaterez peut tre des v nements mal mapp s entre le moment o la strat gie devient active et celui o les couteurs peuvent mapper correctement les v nements 260 Manuel d impl mentation Quand importer des v nements Pour modifier une action d une r gle de strat gie r8 SP2 afin d envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur gestionnaire de strat gies en tant qu utilisateur dot du r le Maker Acc dez la r gle que vous souhaitez modifier en d veloppant son dossier dans le volet Strat gies et en choisissant la strat gie souhait e La strat gie s affiche accompagn e de ses r gles dans le volet D tails Cliquez sur la r gle que vous souhaitez modifier La r gle s affiche accompagn e de ses actions dans le volet D tails Cliquez sur Modifier L assistant de modification de r gle s affiche Utilisez l assistant de modification de r gle pour modifier la r gle afin qu elle envoie les v nements au serveur CA Enterprise Log Manager en plus des destinations actuelles ou la place de celles ci puis cliquez sur Terminer une fois la modification termin e V rifiez et validez la strat gie en tant q
325. lants de la plage de temps dynamique sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de l interface utilisateur Pour importer Les fichiers de l interface utilisateur 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMFlexFiles sh Le script shell importe les fichiers de l interface utilisateur 138 Manuel d impl mentation Chapitre 4 Configuration des utilisateurs de base et des acc s Ce chapitre traite des sujets suivants A propos des utilisateurs de base et des acc s page 139 Configuration du magasin d utilisateurs page 140 Configuration des strat gies de mots de passe page 144 Conservation des strat gies d acc s pr d finies page 145 Cr ation du premier administrateur page 146 A propos des utilisateurs de base et des acc s La configuration commence par le param trage du magasin d utilisateurs la cr ation d un ou plusieurs utilisateurs dot du r le Administrator pr d fini et la configuration des strat gies de mots de passe En g n ral cette con
326. le syst me d exploitation sur le dispositif Installez le serveur CA Enterprise Log Manager Cr ez une configuration multi acheminement pour le stockage SAN Cr ez un volume logique Pr parez le volume logique pour CA Enterprise Log Manager Red marrez CALM D A D UE gt ES Ne V rifiez que l installation a t effectu e correctement Chapitre 3 Installation de CA Enterprise Log Manager 101 Remarques concernant l installation d un syst me disposant de lecteurs SAN Lorsque vous installez le syst me d exploitation avec les lecteurs SAN d sactiv s vous travaillez avec les fichiers suivants lvm conf Fichier de configuration pour le gestionnaire de volumes logiques de Linux LVM2 multipath conf etc multipath conf Fichier de configuration pour le multi acheminement de Linux fstab etc fstab Fichier de table des syst mes de fichiers qui mappe les p riph riques aux r pertoires dans un syst me Linux D sactivation de lecteurs SAN Pour d sactiver les lecteurs SAN sur le mat riel sur lequel vous souhaitez installer le dispositif logiciel suivez les proc dures recommand es par votre fournisseur de lecteur SAN D sactivez les lecteurs SAN avant d installer le syst me d exploitation du dispositif logiciel ou l application CA Enterprise Log Manager Cr ation d une configuration multi acheminement pour Le stockage SAN Une configuration multi acheminement est requise pour un syst me CA Enter
327. lement la destination est un NOC ou un serveur de gestion tel que CA Spectrum ou CA NSM Une interruption SNMP est envoy e aux destinations configur es lorsque les requ tes d un job d alerte planifi renvoient des r sultats Un d tecteur de journaux est un composant d int gration con u pour lire un type de journal sp cifique comme une base de donn es Syslog un fichier ou SNMP Les d tecteurs de journaux peuvent tre r utilis s G n ralement les utilisateurs ne cr ent pas de d tecteur de journaux personnalis Un dispositif logiciel est un package logiciel enti rement fonctionnel qui contient le logiciel le syst me d exploitation sous jacent et tous les packages de d pendants Il s installe dans le mat riel fourni par l utilisateur final en d marrant le support d installation du dispositif logiciel Un dossier est un emplacement de r pertoire que le serveur de gestion CA Enterprise Log Manager utilise pour stocker les types d objet CA Enterprise Log Manager Vous r f rencez des dossiers dans des strat gies de port e afin de permettre ou d interdire certains utilisateurs d acc der au type d objet sp cifi Les l ments d int gration incluent un d tecteur une aide la configuration un fichier d acc s aux donn es un ou plusieurs fichiers d analyse de message XMP et un ou plusieurs fichiers de mappage de donn es enregistrement de journal Un enregistrement de journal est un enregistrement d aud
328. lies et qu ils sont modifi s selon la fr quence d finie D finissez des strat gies de mots de passe apr s avoir configur le magasin d utilisateurs interne Seul l utilisateur EiamAdmin ou un utilisateur disposant du r le Administrator peut d finir ou modifier des strat gies de mots de passe Remarque Les strat gies de mots de passe CA Enterprise Log Manager ne s appliquent pas aux comptes d utilisateur cr s dans un magasin d utilisateurs externe Pour configurer des strat gies de mots de passe 1 Connectez vous a un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits Administrator ou qu utilisateur EiamAdmin Cliquez sur l onglet Administration Si vous vous connectez en tant qu utilisateur EiamAdmin cet onglet s affiche automatiquement S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur le bouton Strat gies de mots de passe dans le volet gauche Le panneau Strat gies de mots de passe s affiche Sp cifiez si vous souhaitez permettre les mots de passe identiques aux noms d utilisateur Sp cifiez si vous souhaitez appliquer des restrictions de longueur Sp cifiez si vous souhaitez appliquer des strat gies sur le nombre maximum de caract res r p t s ou sur le nombre minimum de caract res num riques Sp cifiez des strat gies d anciennet et de r utilisation V rifiez vos param tres puis cliquez sur Enregistrer Cliquez sur Fermer Les
329. ligne du liens de t l chargement Vous devez t l charger cinq fichiers ma Le fichier Manifest Le fichier ovf Trois fichiers de disque virtuel Installation manuelle d un serveur CALM Lors de l installation manuelle du dispositif virtuel effectuez les t ches suivantes 1 D ployez un mod le OVF 2 D finissez les param tres Paravirtualization et Resource 3 D marrez le serveur CA Enterprise Log Manager provisionn 342 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D ploiement d un mod le OVF Vous pouvez sp cifier les propri t s du dispositif virtuel dans un mod le OVF VMware utilise ce mod le pour effectuer le provisionnement d un serveur CA Enterprise Log Manager Utilisez le Client VMware vSphere pour d ployer le mod le OVF Remarque Les captures d cran qui figurent dans les proc dures suivantes contiennent des exemples de donn es titre indicatif Ces captures d cran concernent le Client VMware vSphere 4 0 0 Nous vous recommandons de sp cifier des donn es propres votre environnement Pour d ployer un mod le OVF 1 Cliquez sur D marrer Tous les programmes Client VMware vSphere sur l ordinateur o le Client VMware vSphere est install La boite de dialogue VMware vSphere Client s ouvre Dans le champ IP address Name Adresse IP Nom saisissez l adresse IP ou le nom d h te du serveur VMware vSphere auquel vou
330. liste des jobs de rapports planifi s et la liste des rapports g n r s Les utilisateurs Auditor peuvent planifier et annoter des rapports Ils n ont pas acc s aux flux RSS Rich Site Summary moins qu aucune authentification ne soit requise pour l affichage des alertes d action Un r le d utilisateur peut tre un groupe d utilisateurs d applications pr d fini ou un groupe d applications d fini par l utilisateur Des r les d utilisateur personnalis s sont n cessaires lorsque les groupes d applications pr d finis Administrator Analyst et Auditor ne sont pas suffisamment affin s pour refl ter les attributions de t ches Les r les d utilisateur personnalis s n cessitent des strat gies d acc s personnalis es et une modification des strat gies pr d finies pour inclure le nouveau r le Le routeur SAPI est un adaptateur CA qui re oit les v nements provenant des int grations de type Mainframe et les renvoie au routeur CA Audit Glossary 429 SafeObject SafeObject est une classe de ressource pr d finie dans CA EEM Il s agit de la classe de ressource laquelle appartient AppObjects stock e dans la port e de l application Les utilisateurs d finissant des strat gies et des filtres permettant d acc der aux AppObjects se r f rent cette classe de ressource SAPI Recorder SAPI Recorder tait la technologie utilis e pour envoyer les donn es CA Audit avant l apparition d iTechnology SAPI signifie Su
331. llecte et enfin vers le r le de rapports du serveur de gestion rapports Les lignes pointill es repr sentent le trafic de configuration et de contr le entre les serveurs CA Enterprise Log Manager ainsi qu entre le r le de gestion du serveur de gestion rapports et les agents Sur le r seau vous pouvez utiliser un serveur CA Enterprise Log Manager pour contr ler n importe quel agent si lors de l installation les serveurs CA Enterprise Log Manager ont bien t enregistr s aupr s du serveur de gestion avec le m me nom d instance d application 248 Manuel d impl mentation Pr sentation des diff rences entre les architectures Les agents utilisent des connecteurs non illustr s pour collecter les v nements Un seul agent peut g rer plusieurs connecteurs pour collecter simultan ment de nombreux types d v nements diff rents Cela signifie qu un seul agent d ploy sur une source individuelle d v nement peut collecter diff rents types d informations Le serveur CA Enterprise Log Manager dispose galement d couteurs qui permettent de collecter les v nements provenant d autres applications CA gr ce des iRecorder et SAPI Recorders sur votre r seau CA Audit Vous pouvez f d rer les serveurs CA Enterprise Log Manager pour chelonner votre solution et partager les donn es de rapports sans qu elles soient transport es hors limites Vous disposez ainsi d une vue r seau de la conformit tout en respectant tou
332. m application virtuelle gt s affiche 2 Cliquez sur l onglet Option dans la fen tre 3 S lectionnez le param tre Paravirtualization situ dans le volet gauche puis l option Support VMI Paravirtualization Prise en charge de la paravirtualization VMI situ e dans le volet droit Example CA Enterprise Log Manager Yirtual Machine Properties Ol x Hardware Options Resources Virtual Machine Version 7 Settings Summary VMI is a paravirtualization standard supported by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with YMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no performance benefit From this support IP Allocation Policy Fixed IPv4 OVF Settings Enabled Enabling YMI support will restrict the virtual machine s advanced Configured a Ce VMware Tools Shut Down Power Management Standby Advanced Vv General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIV None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel 398 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Cliquez sur l onglet Resources Ressources dans la fen tre S lectio
333. m de la source de donn es D finissez cette valeur sur Default pour acc der au magasin de journaux d v nements CA Enterprise Log Manager CustomProperties x y z Ces propri t s sont identiques aux propri t s ODBC personnalis es Si vous ne les sp cifiez pas explicitement les valeurs par d faut de l exemple d URL sont appliqu es Informations compl mentaires Consid rations sur les sources de donn es ODBC page 120 D pannage de l installation Vous pouvez examiner les fichiers journaux d installation ci dessous pour commencer d panner votre installation Produit Emplacement du fichier journal CA Enterprise Log Manager tmp pre install_ca elm log tmp install_ca elm lt horodatage gt log tmp install_ca elmagent lt horodatage gt log CA Embedded Entitlements opt CA SharedComponents EmbeddedIAM eiam install log Manager CA Directory tmp etrdir_install log Chapitre 3 Installation de CA Enterprise Log Manager 127 D pannage de l installation L installation de CA Enterprise Log Manager copie les fichiers de contenu et autres sur le serveur CA EEM des fins de gestion Du point de vue du serveur CA EEM les rapports et autres fichiers CA Enterprise Log Manager sont import s Si l installation ne peut pas se connecter au serveur CA EEM l installation de CA Enterprise Log Manager se poursuit sans importer les fichiers de contenu Vous pouvez importer les fichiers de contenu manuellement une fois l in
334. mcert p12 e Renseignez le champ du mot de passe du certificat EEM de l une des fa ons suivantes Saisissez le mot de passe que vous avez remplac dans le fichier ITPAM_eem xml lors de l tape de pr paration Saisissez itpamcertpass le mot de passe par d faut 5 Cliquez sur Test EEM Settings Tester les param tres EEM Le message suivant s affiche Performing a test may take a few minutes Test en cours Cela peut prendre quelques minutes 6 Cliquez sur OK La bo te de dialogue Verify EEM settings V rifier les param tres EEM s affiche 7 Saisissez itpamadmin comme nom d utilisateur Saisissez le mot de passe que vous avez d fini pour le compte d utilisateur itpamadmin puis cliquez sur OK 8 Cliquez sur Suivant Suivez les instructions IT PAM fournies pour compl ter le reste de l assistant D marrez le service du serveur CA ITPAM D marrez le service du serveur CA ITPAM de sorte que vous m me et d autres utilisateurs puissiez lancer le serveur CA IT PAM Pour d marrer Le service du serveur CA ITPAM 1 Connectez vous au serveur Windows o le domaine CA IT PAM est install 2 Dans le menu D marrer s lectionnez Programmes Domaine ITPAM D marrer le service du serveur Remarque Si cette option de menu ne s affiche pas s lectionnez Outils d administration Services de composants Cliquez sur Services Serveur CA IT PAM puis sur D marrer le service Annexe C Remarques sur C
335. me authorized_keys dans le r pertoire tmp sur le serveur de stockage distant A partir du serveur de stockage distant d placez authorized_keys de tmp dans le r pertoire ssh puis remplacez les droits de propri t du fichier cl sur caelmservice et d finissez les autorisations obligatoires V rifiez que l authentification non interactive existe entre le serveur de g n ration de rapports et le serveur de stockage distant Configuration des cl s pour la premi re paire g n ration de rapports collection La configuration de l authentification non interactive pour une topologie en toile commence par la g n ration d une paire de cl publique cl priv e RSA sur un serveur de collecte et par la copie de la cl publique sur son serveur de g n ration de rapports Copiez le fichier de cl publique nomm e authorized_keys Partons du principe que cette cl est la premi re cl publique copi e sur le serveur de g n ration de rapports sp cifi Pour g n rer une paire de cl s RSA sur le serveur de collecte et copiez La cl publique sur le serveur de g n ration de rapports 1 Connectez vous au serveur ELM C1 via ssh en tant qu utilisateur caelmadmin Basculez sur le compte d utilisateur root su Basculez sur le compte d utilisateur caelmservice su caelmservice G n rez la paire de cl s RSA l aide de la commande ci dessous ssh keygen t rsa Pour accepter la valeur par d faut lorsque les
336. ment galement les fichiers d archive de l ordinateur local pour viter la duplication dans les rapports f d r s Cela permet de garantir la disponibilit des donn es pour les requ tes et les rapports Le stockage en dehors du syst me est appel stockage sauvegard Vous pouvez restaurer les fichiers d plac s vers le stockage sauvegard pour effectuer des requ tes et des rapports Le script monitor ex cute automatiquement le script backup l aide des param tres sp cifi s dans la partie archivage automatique de la configuration du service du magasin de journaux d v nements Informations compl mentaires Exemple Archivage automatique sur trois serveurs page 175 160 Manuel d impl mentation Configuration du magasin de journaux d v nements Organigramme de strat gie de sauvegarde et de d placement de base de donn es Vous pouvez effectuer la collecte d v nements et la g n ration de rapports sur chaque serveur CA Enterprise Log Manager ou vous pouvez d dier un serveur diff rent pour chaque type d op ration Si vous d diez des serveurs la collecte vous devez automatiser les d placements des serveurs de collecte par heure vers un serveur de g n ration de rapports Dans le cas contraire cette configuration n est pas applicable Si vous n avez pas de r les de serveur d di s il vous faut lire les r f rences a partir des rapports vers le stockage distant de l organigramme comme partir d
337. mentation Utilisation des Param tres et filtres globaux Utilisation des Param tres et filtres globaux Vous pouvez d finir les filtres et param tres globaux lors de la configuration de votre serveur CA Enterprise Log Manager Les param tres globaux sont enregistr s pour la session en cours uniquement ils ne persistent pas apr s votre d connexion du serveur sauf si vous s lectionnez l option Utiliser par d faut Un filtre rapide global contr le l intervalle de temps initial suivant lequel g n rer des rapports propose le filtrage du texte correspondant et vous permet d utiliser des champs sp cifiques et leurs valeurs pour modifier les donn es affich es dans un rapport Un filtre avanc global vous permet d utiliser la syntaxe et les op rateurs SQL pour accro tre la port e de vos donn es de rapport Les param tres globaux vous permettent de d finir un fuseau horaire et d utiliser des requ tes sp ciales qui r cup rent les donn es d autres serveurs CA Enterprise Log Manager d une f d ration mais aussi d activer l actualisation automatique des rapports en cours d affichage Vous devez d finir des filtres globaux qui pourront tre utilis s dans plusieurs zones du rapport En d finissant des options limitant le filtre global vous pouvez contr ler la quantit de donn es affich es dans un rapport Vous trouverez ci dessous les t ches initiales li es aux param tres et filtres globaux Configurer des filt
338. ml gz et un bouton Enregistrer 8 Cliquez sur Enregistrer et s lectionnez votre emplacement de sauvegarde sur un serveur distant mapp Vous pouvez galement enregistrer le fichier en local puis le copier ou le d placer vers votre emplacement de sauvegarde sur un autre serveur Restauration d un serveur CA EEM pour l utiliser avec CA Enterprise Log Manader Vous pouvez restaurer une instance d application CA Enterprise Log Manager vers un serveur de gestion La restauration de la fonctionnalit CA EEM du serveur de gestion implique l ex cution de l utilitaire safex qui importe l instance d application sauvegard e Pour restaurer La fonctionnalit CA EEM du serveur de gestion partir d une sauvedarde 1 Installez le dispositif logiciel CA Enterprise Log Manager sur un nouveau serveur mat riel 2 Acc dez une invite de commande et recherchez le r pertoire opt CA LogManager EEM 3 Copiez le fichier de sauvegarde lt Nom_Instance_App gt xml gz provenant de votre serveur de sauvegarde externe vers ce r pertoire 4 Ex cutez la commande ci dessous pour r cup rer le fichier d exportation XML gunzip lt Nom Instance App gt xmL gz 5 Ex cutez la commande ci dessous pour restaurer le fichier d exportation sur le nouveau serveur de gestion safex h nom h te serveur eem u EiamAdmin p mot passe f Nom Instance App xml Si le mode d ex cution choisi est FIPS assurez vous d inclure l option fips 6 Ac
339. moyen de ssh en tant qu utilisateur caelmadmin 2 Basculez sur le compte d utilisateur root su 3 Modifiez les r pertoires par le chemin cible et dressez la liste du contenu cd opt CA SharedComponents iTechnology ls 4 V rifiez que les fichiers suivants sont r pertori s a ITPAM_eem xml m Safex 5 Ex cutez la commande ci dessous safex h lt ELM nomh te gt u EiamAdmin p lt motdepasse gt f ITPAM eem xml Ce processus cr e l application CA IT PAM dans le serveur de gestion CA Enterprise Log Manager ajoute les utilisateurs par d faut et g n re le certificat n cessaire pendant l installation d IT PAM Le certificat est g n r avec le mot de passe que vous avez sp cifi dans le fichier ITPAM_eem xml ou s il n est pas modifi Remarque Pour obtenir de l aide sur l utilisation de la commande safex saisissez safex 6 Dressez la liste du contenu des r pertoires et v rifiez que le certificat itpamcert cer est pr sent 7 Supprimez le fichier XML de configuration CA IT PAM Cela est conseill pour des raisons de s curit rm ITPAM eem xml 304 Manuel d impl mentation Copie du certificat dans Le serveur CA IT PAM Copie du certificat dans le serveur CA IT PAM Quand vous avez ex cut la commande safex dans CA Enterprise Log Manager pour enregistrer CA IT PAM avec son CA EEM ce processus a g n r le certificat itpamcert p12 Vous devez copier ce certificat sur le serveur Windows o vous comp
340. n de mots de passe s rs vous permet de prot ger vos ressources informatiques Les strat gies de mots de passe permettent la mise en oeuvre de la cr ation de mots de passe s rs et peuvent permettre d viter l utilisation de mots de passe non s curis s Chapitre 2 Planification de votre environnement 47 Planification des utilisateurs et des acc s Les strat gies de mots de passe par d faut fournies avec CA Enterprise Log Manager offrent une forme tr s l g re de protection par mot de passe Par exemple la strat gie par d faut permet aux utilisateurs de se servir de leur nom d utilisateur comme mot de passe et de d verrouiller les mots de passe Elle autorise les mots de passe ne jamais expirer et n effectue aucun verrouillage li aux checs de tentatives de connexion Les options par d faut sont intentionnellement d finies sur un niveau tr s faible de s curit des mots de passe pour vous permettre de cr er vos propres strat gies personnalis es Important Vous devez modifier les strat gies de mots de passe par d faut pour qu elles correspondent aux restrictions de mot de passe en vigueur dans votre entreprise Il n est pas recommand d ex cuter CA Enterprise Log Manager dans des environnements de production avec les strat gies de mots de passe par d faut Pour votre strat gie de mots de passe personnalis e vous pouvez refuser ces activit s appliquer des strat gies sur les attributs du mot de passe tels
341. n g re ventuellement l examen des v nements partir des bases de donn es d archive restaur es Remarque Un serveur distant non CA Enterprise Log Manager est configur pour stocker les bases de donn es archiv es des journaux d v nements Cette configuration est id ale pour les tr s grands r seaux Les fl ches indiquent que le serveur de gestion conserve les param tres globaux qui s appliquent tous les serveurs R seau CA Enterprise Log Manager Serveur de gestion ne m Serveur Ze we E de point rA z de vs A L Serveur de stockage distant Serveur de g n ration D 5 g n ration de rapports de rapports Serveur de corr lation amp Gs Serveur de Serveu collecte Serveur de collecte collecte ae c q ine le 28 Manuel d impl mentation Planification de la collecte de journaux Planification de la collecte de journaux La planification de la collecte de journaux pour votre r seau est bas e sur le nombre d v nements par seconde que vous devez traiter des fins de stockage et la dur e pendant laquelle vous devez conserver les donn es en ligne dans ce sens en ligne signifie pouvant faire l objet d une recherche imm diate G n ralement vous disposez seulement de 30 90 jours de mise en ligne des donn es Chaque r seau dispose de ses propres volumes d v nements en fonction du nombre d unit s des types d unit s et du degr de r glage des
342. n jours d passe la valeur configur e pour le param tre Nbre max de jours d archivage Vous pouvez effectuer des requ tes sur des journaux d v nements dans les bases de donn es chaudes ti des et d givr es Glossary 413 tats de base de donn es v nement ajust v nement brut Les tats d une base de donn es incluent chaude pour une base de donn es de nouveaux v nements ti de pour une base de donn es d v nements compress s froide pour une base de donn es sauvegard e et d givr e pour une base de donn es restaur e dans le magasin de journaux d v nements ou elle avait t sauvegard e Vous pouvez lancer une requ te sur les bases de donn es chaudes ti des et d givr es Toutes les requ tes d archivage affichent les informations relatives aux bases de donn es froides Un v nement ajust contient les donn es d v nements mapp s ou analys s d riv es d v nements bruts ou r capitul s CA Enterprise Log Manager r alise le mappage et l analyse pour permettre les recherches sur les donn es stock es Un v nement brut correspond aux informations d clench es par un v nement natif envoy par un agent de surveillance au collecteur Log Manager L v nement brut est souvent pr sent sous la forme d une cha ne Syslog ou d une paire nom valeur II est possible d examiner un v nement sous sa forme brute dans CA Enterprise Log Manager v nement d autosurveillance
343. n serveur CA EEM autonome pour votre installation CA Enterprise Log Manager proc dez a sa mise a niveau pour la prise en charge de la norme FIPS avant de mettre a niveau l un de vos serveurs ou agents CA Enterprise Log Manager Pour obtenir des instructions d taill es consultez le Manuel de prise en main de CA EEM D sactivation de l acc s d ODBC et de JDBC au magasin de journaux d v nements Vous pouvez emp cher l acc s d ODBC et de JDBC aux v nements du magasin de journaux d v nements l aide des options de la bo te de dialogue de configuration de service ODBC Si vous envisagez d ex cuter votre r seau f d r en mode FIPS d sactivez l acc s d ODBC et de JDBC pour conserver la conformit aux normes de f d ration Pour d sactiver un acc s ODBC et JDBC 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration 2 Cliquez sur le sous onglet Services puis d veloppez le noeud de service ODBC 3 S lectionnez le serveur appropri 4 D sactivez la case a cocher Activer le service puis cliquez sur Enregistrer Remarque Pour v rifier que les services ODBC et JDBC sont d sactiv s d sactivez l option d ODBC pour tous les serveurs CA Enterprise Log Manager d une f d ration Activation des op rations en mode FIPS Pour activer et d sactiver le mode FIPS utilisez les options de mode FIPS du service Etat du syst me Le mode non FIPS est d fini par d faut
344. nager en tant qu utilisateur Administrator et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut 2 D veloppez l entr e Adaptateurs CA Requ tes et rapports Rapports planifi s Gestion des alertes Administration Collecte de journaux gt Services Gestion des utilisateurs et des acc s Explorateur de collecte de journaux v Adaptateurs CA gt 3 Collecteur SAPI de CA Audit gt J Router SAPI de CA Audit gt J Module d extension d v nements iTechnc gt 3 Biblioth que d ajustement d v nement gt J Explorateur d agent gt 9 Profils gt Requ te de catalogue d archive 276 Manuel d impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 3 S lectionnez le service Collecteur SAPI Configuration globale du service GA Audit SAPI Collector Administration Ev nements d autosurveillance m Enregistrer R initialiser Utiliser les valeurs par d faut Configuration globale du service CA Audit SAPI Collector G affichez ou modifiez les d tails de cette configuration Requis V activer l couteur Port SAPI 0 M Register Cl de chiffrement L Classement des v nements R gulation des v nements 100 Nombre de threads par file d attente 1 D Chiffres Aes256 Aes128 we 3Des Des a Annexe B Remarques pour les utilisateurs de
345. nant les r gles pour plusieurs conditions PCI Un dossier intitul Identit est galement cr Il contient les r gles g n rales relatives l autorisation et l authentification Il existe trois types principaux de r gles pouvant tre incluses dans chacune des cat gories Cette rubrique propose un exemple de s lection et d application de chaque type Exemple s lection et application d une r gle simple Les r gles de corr lation simples d tectent la pr sence d un tat ou d une occurrence Par exemple vous pouvez appliquer une r gle vous informant sur les activit s de cr ation de compte en dehors des heures de bureau habituelles Avant d appliquer une r gle cr ez les destinations de notification dont vous avez besoin pour votre environnement Pour s lectionner et appliquer La r gle Cr ation de comptes en dehors des heures habituelles de bureau 1 Cliquez sur l onglet Administration puis sur le sous onglet Biblioth que et d veloppez le dossier R gles de corr lation 2 D veloppez le dossier PCI puis le dossier Condition 8 et s lectionnez la r gle Cr ation de comptes en dehors des heures habituelles de bureau Les d tails de la r gle s affichent dans le volet droit 3 V rifiez les informations de la r gle et v rifiez qu elle s adapte votre environnement Si tel est le cas les filtres d finissent l action de cr ation de compte et d finissent les heures de bureau habituelles par heure e
346. nario suppose que vous avez d j install un serveur de gestion CA Enterprise Log Manager et un ou plusieurs serveurs CA Enterprise Log Manager pour la collecte et la g n ration de rapports Remarque Pour obtenir les meilleures performances possibles installez CA Enterprise Log Manager sur des serveurs virtuels pour g rer uniquement les t ches de collecte et de g n ration de rapports Annexe E CA Enterprise Log Manager et virtualisation 341 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Le processus d ajout de serveurs de collecte virtuels votre environnement inclut les proc dures ci dessous 1 T l chargez le package de dispositif virtuel CA Enterprise Log Manager 2 Installez un serveur CA Enterprise Log Manager l aide du dispositif virtuel 3 Configurez le serveur CA Enterprise Log Manager en vous r f rant la section traitant de l installation Apr s avoir install le serveur de collecte virtuel vous pouvez l ajouter votre f d ration pour effectuer des requ tes et des rapports Important Si vous voulez effectuer le provisionnement d un serveur CA Enterprise Log Manager l aide du dispositif virtuel le nom d instance d application du serveur CA Enterprise Log Manager principal doit tre CAELM T l chargez le package de dispositif virtuel L image de distribution du dispositif virtuel de CA Enterprise Log Manager est disponible partir du support en
347. ncer planifier des rapports si vous souhaitez des rapports consolid s La configuration d une f d ration implique les activit s r pertori es ci dessous 1 Cr ez une carte de f d ration 2 Installez le premier serveur CA Enterprise Log Manager savoir le serveur de gestion Chapitre 7 Cr ation de f d rations 235 Configuration d une f d ration CA Enterprise Log Manager 3 Installez un ou plusieurs serveurs suppl mentaires 4 Configurez les relations parents enfants Par exemple commencez par s lectionner les enfants de f d ration de serveurs du serveur de gestion partir des param tres des magasins de journaux d v nements pour ce serveur Ce premier groupe de serveurs enfants forme la deuxi me couche ou niveau de la f d ration si vous configurez une f d ration hi rarchique 5 Affichez le graphique de f d ration pour v rifier que la structure entre les serveurs pour les niveaux parents et enfants est configur e selon vos souhaits Configuration d un serveur CA Enterprise Log Manager en tant que serveur enfant La configuration d un serveur CA Enterprise Log Manager en tant qu enfant d un autre serveur constitue l tape essentielle de la cr ation d une f d ration Utilisez la proc dure suivante pour ajouter des serveurs votre f d ration tout moment Vous devez installer tous les serveurs CA Enterprise Log Manager que vous souhaitez f d rer sous le m me nom d instance d applic
348. nction de votre position de d part dans la hi rarchie Si vous commencez au milieu de la hi rarchie vous pouvez seulement consulter les donn es de ce serveur ainsi que celles de tous ses serveurs enfants Plus vous montez dans une f d ration hi rarchique plus la port e des donn es r seau est importante Au plus haut niveau vous avez acc s aux donn es de l ensemble du d ploiement Les f d rations hi rarchiques sont utiles pour les d ploiements r gionaux par exemple Supposons que vous souhaitiez que les ressources locales puissent acc der aux donn es d v nement au sein d une certaine hi rarchie ou branche du r seau mais pas aux donn es d v nement dans d autres branches parall les Vous pouvez cr er une f d ration hi rarchique avec plusieurs branches parall les pour contenir les donn es de chaque r gion Chaque branche peut transmettre des rapports un serveur CA Enterprise Log Manager de gestion situ dans les bureaux du si ge pour afficher tous les rapports de journaux d v nements de mani re descendante 232 Manuel d impl mentation F d rations hi rarchiques Exemple de f d ration hi rarchique Dans la carte de f d ration illustr e par le diagramme ci apr s le r seau utilise le serveur CA Enterprise Log Manager de gestion comme serveur de rapports et plusieurs serveurs de collecte dans une configuration similaire un organigramme Le serveur de gestion rapports agit comme un serve
349. nde 4 Les clients du proxy hors ligne t l chargent les mises jour en fonction de la planification d finie ou lors d une mise jour manuelle Remarque Les clients d abonnement hors ligne re oivent toujours toutes les mises jour qui sont install es manuellement sur le serveur proxy hors ligne Les modules d abonnement s lectionn s pour un client d abonnement hors ligne au niveau local n ont aucun effet L architecture d abonnement peut galement tre mixte Par exemple vous pouvez d signer un seul proxy hors ligne et plusieurs autres proxys en ligne Le proxy hors ligne et les clients qui lui sont affect s demeurent isol s d Internet tandis que le reste de l environnement CA Enterprise Log Manager re oit des mises jour via l abonnement en ligne En raison de sa complexit l architecture mixte n est pas recommand e Avant d impl menter ce type d architecture pr parez votre strat gie d abonnement g n rale avec soin Important Dans un environnement d abonnement mixte n incluez aucun proxy hors ligne dans la liste de proxys des clients d abonnement en ligne sans quoi le client d abonnement en ligne recevra automatiquement toutes les mises jour manuellement install es au lieu des modules s lectionn s au niveau global pour votre environnement CA Enterprise Log Manager ou au niveau local pour ce client Informations compl mentaires Planification des mises jour d abonnement page 54 Architecture
350. ne Dans cet exemple l ensemble de l environnement CA Enterprise Log Manager se trouve hors ligne HORS Serveur de LIGNE gestion Site FTP CA Enterprise Log Manager Utilisateur connect au serveur distant l aide d un service FTP o d une connexion Internet Clients d abonnement d abonnement hors ligne CA Enterprise CA Enterprise Log Manager Log Manager Chapitre 2 Planification de votre environnement 59 Planification des mises jour d abonnement 1 Un administrateur syst me t l charge les mises jour partir d un site FTP CA vers un syst me disposant d un acc s Internet FTP 2 L administrateur syst me copie manuellement les fichiers de mise jour vers un proxy CA Enterprise Log Manager hors ligne Vous pouvez alors transf rer les fichiers l aide d un m dia physique tel qu un disque ou de l utilitaire scp inclus dans CA Enterprise Log Manager 3 La proc dure de mise jour se poursuit de la m me mani re que pour l abonnement en ligne Le proxy hors ligne installe automatiquement les mises jour et envoie les mises jour de contenu vers le serveur de gestion Remarque Bien que le proxy hors ligne puisse tre configur de fa on se mettre jour automatiquement en fonction d une planification il est recommand d effectuer une mise jour manuelle lors du transfert de nouveaux fichiers Ainsi les mises jour sont disponibles lorsque les clients d abonnement en font la dema
351. ne action d une r gle de strat gie afin d envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur gestionnaire de strat gies et acc dez l onglet Mes strat gies dans le volet gauche 2 D veloppez le dossier de la strat gie jusqu visualiser la strat gie souhait e Gestionnaire de r gles Mes politiques Biblioth que de politiques Biblioth que de mod les ac E e eTrust Access Control Policy O 6 suspicious Events Network Access Security System Account Management Access Violations Logon and Logoff Policy Change amp Collection Events Annexe B Remarques pour les utilisateurs de CA Access Control 279 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 3 Cliquez sur la strat gie pour afficher ses informations de base dans le volet D tails sur la droite D tails Nouvelle r gle Supprimer Aide Nom Suspicious Events Type Rule Description Suspicious Events a B Dans le volet D tails cliquez sur Modifier pour faire un ajout aux r gles de la strat gie L assistant de r gles d marre Modifier une r gle Information Pr c dent Suivant Terminer Annuler Aide Modifier les N ifi Modifier les N PRARAUS iE 2 Modifier le script 3 gt actions Informations relatives la r gle Aide rapide
352. ne bo te de dialogue de type de configuration 3 S lectionnez la configuration Personnalis e et cliquez sur Suivant Une bo te de dialogue de nom et d emplacement s affiche 330 Manuel d impl mentation 4 10 11 12 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Entrez un nom pour le serveur CA Enterprise Log Manager installer sur cet ordinateur virtuel et cliquez sur Suivant Sp cifiez les param tres de stockage pour votre ordinateur virtuel puis cliquez sur Suivant V rifiez que vos param tres de stockage sont suffisamment importants pour votre serveur CA Enterprise Log Manager Nous recommandons un espace minimal de 500 Go Remarque La configuration de lecteurs de disques virtuels suppl mentaires pour stocker les journaux d v nements collect s fait l objet d une autre proc dure S lectionnez Red Hat Enterprise Linux 5 32 bits comme Syst me d exploitation invit et cliquez sur Suivant S lectionnez 4 comme nombre de processeurs virtuels dans la liste d roulante Nombre de processeurs virtuels Votre serveur h te physique doit tre capable de consacrer quatre UC physiques exclusivement cette instance CA Enterprise Log Manager Cliquez sur Suivant Configurez la taille de la m moire de l ordinateur virtuel et cliquez sur Suivant La taille minimale acceptable de la m moire pour CA Enterprise Log Manager est 8 Go ou 8 192 Mo Configurez votre cont
353. nement ou Effectuez l une des op rations suivantes Pour s lectionner des modules t l charger au niveau global pour l ensemble de l environnement CA Enterprise Log Manager cliquez sur l onglet Administration Pour s lectionner des modules t l charger au niveau local pour un serveur sp cifique cliquez sur le nom du serveur puis sur l onglet Administration D finissez la configuration locale dans la section Modules s lectionn s pour le t l chargement Confirmez que l adresse RSS affich e dans le champ URL du flux RSS est correcte ou pour configurer une adresse RSS personnalis e pour un serveur sp cifique basculez vers la configuration locale et entrez l URL du flux RSS Cliquez sur Parcourir La bo te de dialogue Modules disponibles pour le t l chargement s affiche S lectionnez les modules t l charger Remarque Pour recevoir de nouvelles mises jour de CA d s leur disponibilit s lectionnez des modules mensuels et p riodiques et d finissez la planification d abonnement pour t l charger les modules automatiquement au moins une fois par mois Les mises jour de Service Packs et de versions sont moins fr quentes et requi rent un examen suppl mentaire et une planification pr alable leur application l environnement de CA Enterprise Log Manager Si n cessaire vous pouvez t l charger ces types de mises jour manuellement Remarque Les clients ne peuvent pas t l charger d
354. nement virtuel La feuille de calcul d installation vous permet de collecter les informations n cessaires 324 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Pour installer CA Enterprise Log Manager sur un ordinateur virtuel 1 Chargez votre disque d installation du SE CA Enterprise Log Manager dans le lecteur physique de DVD ROM ou recherchez le r pertoire dans lequel vous avez copi l image de l installation 2 Mettez votre ordinateur virtuel en surbrillance dans la liste d inventaire des ordinateurs virtuels cliquez dessus avec le bouton droit et s lectionnez D marrage 3 Poursuivez l installation normale de CA Enterprise Log Manager 4 Configurez le serveur CA Enterprise Log Manager install pour le r le fonctionnel souhait en utilisant les informations de la section traitant de l installation d un serveur CA Enterprise Log Manager Informations compl mentaires Installation de CA Enterprise Log Manager page 83 Cr ation d un environnement compl tement virtuel Si vous n avez pas encore impl ment un environnement CA Enterprise Log Manager vous pouvez cr er un environnement enti rement virtuel de collecte de journaux Ce sc nario suppose de disposer d un nombre suffisant de serveurs physiques disponibles tous dot s d un groupe de quatre processeurs au minimum pour installer chacun des serveurs CA Enterprise Log Manager souhait s Installez
355. nfiguration le nouveau serveur CA Enterprise Log Manager reprend la collecte de journaux 318 Manuel d impl mentation Annexe E CA Enterprise Log Manader et virtualisation Ce chapitre traite des sujets suivants Hypoth ses de d ploiement page 319 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels page 320 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels page 336 Hypoth ses de d ploiement Remarques L utilisation de CA Enterprise Log Manager dans un environnement virtuel ou dans un environnement mixte incluant des serveurs virtuels et de dispositifs suppose les l ments ci apr s Dans un environnement totalement virtuel installez au moins un serveur CA Enterprise Log Manager en tant que serveur de gestion Celui ci a pour r le de g rer les configurations les contenus des abonnements et les contenus d finis par l utilisateur et de communiquer avec les agents Ce serveur ne re oit pas les journaux d v nements et ne g re pas les requ tes et les rapports Dans un environnement mixte installez le serveur CA Enterprise Log Manager de gestion sur un mat riel certifi Chaque h te d ordinateur virtuel compte quatre processeurs d di s nombre maximal autoris par VMware ESX Server 3 5 Un serveur CA Enterprise Log Manager d di affiche des performances optimales avec huit processeurs au minimum VMware ESX Server autorise
356. nnez l option CPU UC sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev Example CA Enterprise Log Manager Yirtual Machine Properties OMR OMB Normal HT Sharing Any Annexe E CA Enterprise Log Manager et virtualisation 399 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 6 S lectionnez l option Memory M moire sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High 2 Elev Example CA Enterprise Log Manager Yirtual Machine Properties OF x Hardware Options Resources Settings Memory Summary 0 MHz OMB Disk Advanced CPU 7 Cliquez sur OK Normal HT Sharing Any Virtual Machine Version 7 Resource Allocation Shares HE Ss ce Reservation oo 0 MB Limit EE M Unlimited Limit based on parent resource pool or current host 8 Remarque Pour plus d informations sur la paravirtualization visite le site Web www vmware com 400 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D marrez le serveur CA Enterprise Log Manager provisionn Ceci est n cessaire a son ex cu
357. ns compl mentaires A propos du routeur et du collecteur SAPI page 252 Configuration du service de collecteur SAPI page 254 Configuration du service de routeur SAPI page 254 Annexe A Remarques pour les utilisateurs de CA Audit 257 Envoi d v nements CA Audit CA Enterprise Log Manager Modification d une strat gie CA Audit existante pour envoyer des v nements CA Enterprise Log Manager Utilisez la proc dure suivante pour permettre a un client CA Audit d envoyer des v nements la fois CA Enterprise Log Manager et la base de donn es du collecteur CA Audit En ajoutant une nouvelle cible aux actions Collecteur ou Acheminement d une r gle existante vous pouvez envoyer les v nements collect s aux deux syst mes Vous pouvez galement modifier des strat gies ou r gles sp cifiques pour envoyer des v nements uniquement au serveur CA Enterprise Log Manager CA Enterprise Log Manager collecte les v nements provenant de clients CA Audit l aide des couteurs du routeur SAPI CA Audit et du collecteur SAPI CA Audit Les v nements collect s sont conserv s dans le magasin de journaux d v nements CA Enterprise Log Manager uniquement apr s l envoi de la strat gie aux clients et son activation Important Vous devez configurer les couteurs CA Enterprise Log Manager pour recevoir des v nements avant de modifier et d activer la strat gie Si vous n effectuez pas cette configuration en premier
358. ns et strat gies de mots de passe d utilisateurs globaux Par d faut le magasin d utilisateurs CA Enterprise Log Manager est le r f rentiel local mais il peut tre configur pour faire r f rence CA SiteMinder ou un r pertoire LDAP pris en charge comme Microsoft Active Directory Sun One ou Novell eDirectory Quelle que soit la configuration du magasin d utilisateurs le r f rentiel local sur le serveur de gestion contient des informations sp cifiques aux applications concernant les utilisateurs comme leur r le et les strat gies d acc s associ es Le mappage de donn es est un processus consistant mapper les paires de valeurs cl s vers la CEG Le mappage de donn es s effectue sur la base d un fichier de mappage de donn es Les mappages de fonctions constituent une partie facultative du fichier de mappage de donn es pour une int gration produit Ils servent renseigner un champ de la grammaire commune aux v nements lorsque la valeur requise ne peut tre extraite directement de la source d v nement Tous les mappages de fonctions se composent d un nom de champ CEG d une valeur de champ de classe ou pr d finie ainsi que de la fonction utilis e pour obtenir ou calculer la valeur MIB base de donn es d informations de gestion La MIB base de donn es d informations de gestion pour CA Enterprise Log Manager CA ELM MIB doit tre import e et compil e par chaque produit devant recevoir des alertes sou
359. nstallation de CA Enterprise Log Manager 73 Pr sentation de l environnement CA Enterprise Log Manager Pour un environnement de production de base au niveau de l entreprise installez au moins deux serveurs CA Enterprise Log Manager sur votre r seau existant Les serveurs CA Enterprise Log Manager utilisent les serveurs DNS existants de votre r seau pour travailler avec des sources d v nement et des h tes de l agent nomm s Un serveur se concentre sur la collecte et l autre sur les rapports de journaux des v nements collect s Dans un environnement avec deux serveurs le serveur de gestion install en premier assume le r le de serveur de rapports En tant que serveur de gestion il effectue l authentification et l autorisation des utilisateurs ainsi que d autres fonctions de gestion L illustration ci dessous pr sente cet environnement de base avec certaines sources d v nement Gestion Collecte g n ration de rapports Magasin de journaux Magasin de journaux iRecorder Serveurs Windows Serveur UNIX Flux d v nements Configuration et trafic de commande Sur ce diagramme les lignes pleines repr sentent le flux d v nements depuis les sources d v nement vers le serveur de collecte ou depuis un h te d agent vers le serveur de collecte Vous pouvez collecter directement des v nements Syslog gr ce l agent par d faut sur le serveur CA Enterprise Log Manager de collecte Vous pouvez galement con
360. nt Par exemple pour les strat gies de s curit internes vous devrez peut tre tester certaines mises a niveau avant de les appliquer a votre environnement Choisissez la fr quence de mise jour de votre environnement CA Enterprise Log Manager Des mises jour sont r guli rement disponibles la fr quence d pend du type de mise jour Pour plus d informations sur les types de mises jour reportez vous la rubrique Modules t l charger de la section Informations compl mentaires Remarque Avant d effectuer des mises jour d abonnement confirmez que vous disposez d espace disque suffisant pour les t l charger vers chaque serveur CA Enterprise Log Manager Si l espace disque disponible sur un serveur est inf rieur 5 Go le service d abonnement met un v nement d auto surveillance et interrompt le t l chargement 54 Manuel d impl mentation Planification des mises jour d abonnement Informations compl mentaires Architecture d abonnement page 56 Architecture d abonnement hors ligne page 59 Modules t l charger page 203 Chapitre 2 Planification de votre environnement 55 Planification des mises jour d abonnement Architecture d abonnement Votre environnement CA Enterprise Log Manager peut tre un syst me serveur unique ou en inclure plusieurs Elaborez l architecture d abonnement en fonction du nombre de serveurs CA Enterprise Log Manager dans votre environnement et de l
361. nt Microsoft SQL Server 1 Cliquez sur l onglet Administration et le sous onglet Biblioth que 2 D veloppez Biblioth que d ajustement d v nement Int grations Abonnement puis s lectionnez MS SQL Server 2005 La fen tre Afficher les d tails de l int gration indique le nom du d tecteur savoir ODBCLogSensor Windows et Linux sont les deux plateformes prises en charge 3 Cliquez sur le lien Aide de la fen tre Afficher les d tails de l int gration WinRM Le manuel du connecteur pour Microsoft SQL Server s affiche 4 Consultez les sections concernant les l ments pr requis et la configuration de Microsoft SQL Server pour de plus amples instructions Chapitre 6 Configuration de la collecte d v nements 217 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor Pour configurer la source d v nement et v rifier la journalisation 1 Rassemblez les informations suivantes l adresse IP du serveur ODBC le nom de la base de donn es le nom d utilisateur et le mot de passe de l administrateur requis pour la connexion au serveur ainsi que les informations de connexion de l utilisateur faibles privil ges utilis pour l authentification SQL Server il s agit de l utilisateur d fini ayant un acc s en lecture seule la table de trace 2 Connectez vous au serveur ODBC en utilisant le nom d utilisateur et le mot de passe de l administrateur 3 Assurez la connectivit via
362. nt d pend ce serveur Annexe E CA Enterprise Log Manager et virtualisation 339 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Informations requises Emplacement du serveur CA EEM Nom d h te ou adresse IP du serveur CA EEM 340 Manuel d impl mentation Valeur Local pour le premier serveur install serveur de gestion Distant pour chaque serveur suppl mentaire adresse IP ou nom d h te Commentaires Indiquez si vous pr voyez d utiliser un serveur CA EEM local ou distant Pour un serveur CA Enterprise Log Manager de gestion choisissez l option locale L installation vous invite cr er un mot de passe pour le compte d utilisateur EiamAdmin par d faut Pour chaque serveur suppl mentaire choisissez l option distante L installation vous invite indiquer le nom du serveur de gestion Que vous choisissiez l option locale ou distante vous devez utiliser l ID et le mot de passe du compte EiamAdmin lors de la premi re connexion chaque serveur CA Enterprise Log Manager Entrez cette valeur uniquement si vous s lectionnez l option de serveur distant Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de gestion install en premier Le nom d h te doit tre enregistr aupr s du serveur DNS Si vous voulez utiliser un serveur CA EEM local la valeur par d faut n est Aucun Cr ation de serveurs CA Enterprise Log Manager l aide
363. nt de restauration est un r le attribu un serveur CA Enterprise Log Manager Pour tudier des v nements sauvegard s vous pouvez transf rer des bases de donn es depuis le serveur de stockage distant jusqu au serveur de point de restauration l aide d un utilitaire puis ajouter ces bases au catalogue et ex cuter les requ tes de votre choix Transf rer des bases de donn es froides vers un point de restauration d di est une alternative int ressante la restauration de ces bases sur le serveur de rapports original 430 Manuel d impl mentation serveur de rapports serveur de rapports Le serveur de rapports est le service qui stocke les informations de configuration telles que le serveur de messagerie utiliser lors de l envoi des alertes par courriel l apparence des rapports enregistr s au format PDF ainsi que la conservation des strat gies pour les rapports enregistr s sur le serveur de rapports et les alertes envoy es au flux RSS Le serveur de rapports est un r le attribu un serveur CA Enterprise Log Manager Le serveur de rapports re oit les bases de donn es ti des archiv es automatiquement en provenance d un ou plusieurs serveurs de collecte Il traite les requ tes les rapports ainsi que les alertes et les rapports planifi s serveur de stockage distant serveur ODBC serveur proxy HTTP serveurs de f d ration Le serveur de stockage distant est un r le attribu un serveur qui re o
364. nterprise Log Manager Une instance d application est un espace commun dans le r f rentiel CA EEM o sont stock es les informations ci apr s Utilisateurs groupes et strat gies d acc s Agent int gration couteur connecteur et configurations enregistr es Requ tes rapports et r gles de suppression et de r capitulation personnalis s m Relations de f d ration Informations de gestion du code binaire m Cl s de chiffrement 312 Manuel d impl mentation Sauvegarde d une instance d application CA EEM Vous pouvez effectuer la proc dure de sauvegarde de CA EEM depuis l interface du navigateur Web CA EEM En g n ral tous les serveurs CA Enterprise Log Manager d une entreprise utilisent la m me instance d application La valeur de l instance d application CA Enterprise Log Manager par d faut est CAELM Vous pouvez installer des serveurs CA Enterprise Log Manager avec diff rentes instances d application mais vous pouvez uniquement f d rer les serveurs partageant la m me instance d application Les serveurs configur s pour utiliser le m me serveur CA EEM avec diff rentes instances d application partagent uniquement le magasin d utilisateurs les strat gies de mots de passe et les groupes globaux Le Manuel de mise en oeuvre de CA EEM contient plus d informations sur les op rations de sauvegarde et de restauration Sauvedarde d une instance d application CA EEM Vous pouvez effectuer une sauvegarde d
365. nterprise Log Manager a lieu selon le mode souhait Recherchez les v nements suivants dans l onglet Ev nements d autosurveillance de la bo te de dialogue Etat du syst me Mode FIPS activ sur le serveur Mode FIPS d sactiv sur le serveur Echec de l activation du mode FIPS sur le serveur Echec de la d sactivation du mode FIPS sur le serveur La d sactivation du mode FIPS pour le serveur principal ou le serveur de gestion interrompt toutes les requ tes et rapports f d r s renvoyant des donn es et les rapports planifi s ne s ex cutent pas Cette condition reste valide jusqu ce que tous les serveurs de la f d ration s ex cutent de nouveau selon le m me mode Remarque La d sactivation du mode FIPS sur le serveur CA EEM de gestion ou distant est une des conditions requises pour l ajout de serveurs CA Enterprise Log Manager une f d ration de serveurs s ex cutant en mode FIPS Chapitre 3 Installation de CA Enterprise Log Manager 95 Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS Affichage du tableau de bord des agents Vous pouvez afficher le tableau de bord de l agent pour afficher l tat des agents dans votre environnement Le tableau de bord affiche galement des informations telles que le mode FIPS utilis FIPS ou non FIPS et les d tails d utilisation Ces d tails incluent le chargement d v nements par seconde le pourcentag
366. nterprise Log Manager in FIPS mode Choose Yes for FIPS mode or No for non FIPS mode NO Le Ready to Complete Pr t pour la finalisation s ouvre Cette page contient un r capitulatif des informations indiqu es aux pages pr c dentes 17 V rifiez ces informations puis cliquez sur Finish Terminer el x Ready to Complete Are these the options you want to use 376 Manuel d impl mentation Source OVF Template Details End User License Agreement Name and Location Deployment Configuration Host Cluster Properties Ready to Complete When you click Finish the deployment task will be started Deployment settings OVF file C Program Files CA ELM CA Enterprise Log Manager ovf Download Size 1964 MB Size on disk 337920 MB Name Example CA Enterprise Log Manager Folder ELMQA SP2 vApp Datacenter Deployment Configuration medium Host Cluster 10 10 0 10 Datastore Storage 172 60 10 20 Network Mapping YM Network to YM Network TP Allocation Fixed IPv4 Property HOSTNAME examplecaelm Property ROOT_PASSWORD examplerootpassword Property IP_ADDRESS 172 60 0 0 Property SUBNET_MASK 10 0 0 0 Property DEFAULT_GATEWAY 198 168 0 0 Property DNS_SERVERS 198 168 10 20 198 168 10 25 Property DOMAIN_NAME example com Property TIMEZONE Africa Abidjan Property LOCAL_REMOTE_EEM Local Property REMOTE_EEM_LOCATION none Property EEM_PASSWORD exampleeiamadminpasswor
367. nterprise Log Manager individuel Configuration du service de corr lation Le service de corr lation contr le le nombre de r gles de corr lation et leur application dans votre environnement Lors de la configuration du service de corr lation prenez en compte les l ments suivants D ploiement pr vu ou non d un serveur de corr lation d di Noms et les emplacements des serveurs de collecte qui fournissent des v nements pour la corr lation Types et noms sp cifiques des r gles de corr lation que vous voulez appliquer dans votre environnement Destinations des notifications cr es pour votre environnement 184 Manuel d impl mentation Configuration du service de corr lation Application de r gles de corr lation et de notifications d incidents Vous devez appliquer des r gles de corr lation votre environnement Lorsque vous appliquez des r gles de corr lation vous pouvez galement associer des destinations de notification pour chaque r gle Pour appliquer des r gles de corr lation et d finir des destinations de notification 1 Cliquez sur Administration puis sur le sous onglet Services et d veloppez le noeud Service de corr lation S lectionnez le serveur CA Enterprise Log Manager sur lequel vous souhaitez appliquer les r gles de corr lation Les informations du serveur de corr lations s affichent dans le volet droit Cliquez sur Ajouter Une boite de dialogue de r gle et de version
368. nterprise Log Manager provisionn Remarque V rifiez que le lecteur de CD DVD est d fini sur Client Device Unit s du client Pour d finir Les param tres de paravirtualisation et de ressources 1 Cliquez avec le bouton droit de la souris sur le nouveau dispositif virtuel CA Enterprise Log Manager situ dans le volet gauche et cliquez sur Edit Settings Modifier les param tres La fen tre lt CA Enterprise Log Manager Virtual Appliance name gt Virtual Machine Properties Propri t s de l ordinateur virtuel lt CA Enterprise Log Manager nom application virtuelle gt s affiche 2 Cliquez sur l onglet Option dans la fen tre 3 S lectionnez le param tre Paravirtualization situ dans le volet gauche puis l option Support VMI Paravirtualization Prise en charge de la paravirtualization VMI situ e dans le volet droit Example CA Enterprise Log Manager Yirtual Machine Properties ojx Hardware Options Resources Virtual Machine Version 7 Settings Summary YMI is a paravirtualization standard supported by some General Options Example CA Enterpr guest operating systems Guests that recognize YMI will vApp Options Enabled gain significantly improved performance with VMI support License Agreements Present Properties Configured Guest operating systems which do not use YMI will gain no A performance benefit from this support IP Allocation Policy Fixed IPv4 OVF Settings
369. nterprise Log Manager provisionn Le tableau suivant d crit les param tres utilis s pour le d ploiement de CA Enterprise Log Manager l aide de l outil OVF Vous devez sp cifier ces param tres en tant qu arguments de ligne de commande dans la ligne de commande Informations requises Valeur Commentaires Param tres sp cifiques aux h tes Annexe E CA Enterprise Log Manager et virtualisation 391 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Informations requises HOSTNAME ROOT_PASSWORD IP_ADDRESS SUBNET_MASK DEFAULT_GATEWAY DNS_SERVERS DOMAIN_NAME acceptAllEulas 392 Manuel d impl mentation Valeur Nom d h te pour ce serveur CA Enterprise Log Manager Exemple CA ELM1 nouveau mot de passe root Adresse IPv4 correspondante Adresse IP correspondante Adresse IP correspondante Adresses IPv4 correspondantes votre nom de domaine Accepter Commentaires Sp cifiez le nom d h te de ce serveur en utilisant uniquement les caract res pris en charge par les h tes Les normes du secteur recommandent les lettres de A Z insensibles la casse les chiffres de 0 a 9 et le tiret avec une lettre en premier caract re et un caract re alphanum rique en derni re position N utilisez pas le caract re de soulignement dans un nom d h te et ne lui ajoutez pas de nom de domaine Remarque Le nom d h te ne peut pas d passer 15 caract res
370. ntes Changement de type de clavier Ajout d un serveur NTP Annexe E CA Enterprise Log Manager et virtualisation 401 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Changement de type de clavier Par d faut un serveur CA Enterprise Log Manager provisionn utilise le clavier standard am ricain Vous pouvez utiliser le type de clavier de votre choix en modifiant le param tre de langue nationale Pour changer le type de clavier 1 Ajout d un serveur NTP Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur root Ex cutez la commande ci dessous vi etc sysconfig keyboard Le fichier s ouvre en mode d dition Les informations du type de clavier existants s affichent Remplacez U S A dans la valeur KEYTABLE par le param tre de langue nationale que vous souhaitez Par exemple pour utiliser un clavier britannique entrez KEYTABLE UK pour la valeur KEYTABLE Remarque Pour plus d informations sur les param tres de langue reportez vous la documentation sur l installation RHEL Enregistrez et fermez le fichier Red marrez l ordinateur Le type de clavier est modifi Nous vous recommandons vivement d ajouter un serveur NTP pour mettre jour la date et l heure du serveur CA Enterprise Log Manager Pour ajouter un serveur NTP 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur root Ex cutez les comman
371. ntrez la commande suivante pour tester la connexion du client la base de donn es connect Utilisateur Mot de passe nom DSN Remplacez nom_DSN par le nom de la source de donn es que vous avez cr e pour cette connexion ODBC la base de donn es Si les param tres de connexion sont corrects un message de retour semblable au message ci dessous s affiche SQL connecting to database nom DSN Elapsed time 37 ms Remarque Si votre mot de passe contient le symbole l utilitaire iSQL ne s ex cutera pas correctement car il interpr te tout l ment suivant comme le nom de la source de donn es Pour viter ce probl me placez des apostrophes de part et d autre du mot de passe Connect User Password DSN name 122 Manuel d impl mentation Installation du client JDBC Test de la r cup ration du serveur partir de la base de donn es Utilisez cette requ te de test pour d terminer si une application cliente ODBC est capable de r cup rer des donn es partir d un magasin de journaux d v nements CA Enterprise Log Manager via la connexion la base de donn es Cette proc dure requiert l utilisation du m me utilitaire iSQL que celui utilis pour tester la connexion ODBC Remarque Ne copiez pas et n utilisez pas les requ tes SQL fournies dans les requ tes et les rapports CA Enterprise Log Manager pour tester la connexion ODBC Ces instructions SQL sont destin es uniquement tre utilis es par le ser
372. nts associ es aux connecteurs de son agent pozFolder est un attribut d AppObject dont la valeur correspond l emplacement parent de l AppObject L attribut et la valeur pozFolder sont utilis s dans les filtres de strat gies d acc s qui restreignent l acc s aux ressources telles que les rapports les requ tes et les configurations processus de sortie de l v nement de l alerte profil Le processus de sortie de l v nement de l alerte est un processus CA IT PAM qui invoque un produit tiers pour r pondre aux donn es d alerte configur es dans CA Enterprise Log Manager Vous pouvez s lectionner Processus CA IT PAM comme destination lorsque vous planifiez un job d alerte Lorsqu une alerte d clenche l ex cution du processus CA IT PAM CA Enterprise Log Manager envoie les donn es d alerte CA IT PAM lesquelles sont ensuite transf r es par CA IT PAM avec leurs propres param tres de traitement au produit tiers dans le cadre du processus de sortie de l v nement de l alerte Un profil est un ensemble facultatif et configurable de filtres de donn es et de balises qui peut tre sp cifique un produit une technologie ou une cat gorie donn e Le filtre de balise d un produit par exemple limite les balises r pertori es la balise du produit s lectionn Les filtres de donn es d un produit affichent uniquement les donn es pour le produit sp cifi dans les rapports que vous g n rez les alertes que vous plan
373. nvoyer des v nements CA Enterprise LOS Manager sue tn ne Red dedans 258 Modification d une strat gie r8 SP2 pour envoyer des v nements CA Enterprise Log A E E E E ENE E EEEE E E eure ree er eee E ere rare Seem ree 260 Quand importer des v nements 261 A propos de l utilitaire d importation SEOSDATA 262 Importation partir d une table SEOSDATA en temps r el 262 Importation des donn es d une table SEOSDATA 263 Copie de l utilitaire d importation d v nements sur un serveur d outils de donn es Solaris 264 Copie de l utilitaire d importation sur un serveur d outils de donn es Windows 265 Pr sentation de la ligne de commande LMSeosimport 265 Cr ation d un rapport d v nements 269 Table des mati res 11 Pr visualisation des r sultats de l importation 270 Importation d v nements provenant d une base de donn es de collecteur Windows 271 Importation d v nements provenant d une base de donn es de collecteur Solaris 271 Annexe B Remarques pour les utilisateurs de CA Access Control 273 Int gration avec CA Access Control
374. og Ce d tecteur de journaux coute les v nements Syslog Chapitre 2 Planification de votre environnement 69 Planification d agent TIBCOLogSensor Ce d tecteur de journaux lit les v nements partir d une file d attente du service de message d v nements EMS TIBCO dans les impl mentations CA Access Control W3CLogSensor Ce d tecteur de journaux lit les v nements partir d un fichier de format de journaux W3C WinRMLinuxLogSensor Ce d tecteur de journaux active l agent Linux par d faut sur le serveur CA Enterprise Log Manager pour collecter les v nements Windows WMILogSensor Ce d tecteur de journaux collecte les v nements provenant de sources d v nement Windows l aide de l infrastructure de gestion Windows WMI Vous pouvez disposer d autres d tecteurs de journaux grace aux mises a jour d abonnement Vous trouverez plus d informations sur la configuration des d tecteurs de journaux dans l aide en ligne et dans le Manuel d administration Dimensionnement de votre r seau CA Enterprise Log Manager Lors de la planification du nombre d agents n cessaires envisagez d utiliser un sch ma de dimensionnement simple comme celui voqu ci apr s Tout d abord d terminez le nombre de connecteurs n cessaires Vous n avez pas besoin d installer un agent sur chaque source d v nement Toutefois vous devez configurer un connecteur pour chaque source d v nement non Syslog partir d
375. og Manager de collecte comme enfant du serveur de rapports pour que les requ tes et les rapports incluent les donn es les plus r centes 34 Manuel d impl mentation Planification de f d ration Remarque Si vous disposez d un serveur CA EEM existant que vous pr voyez d utiliser avec CA Enterprise Log Manager configurez les serveurs CA Enterprise Log Manager de la m me mani re Le serveur CA EEM d di distant stocke ces configurations Vous pouvez galement d finir des options de configuration locales pour supplanter les configurations globales en permettant aux serveurs CA Enterprise Log Manager s lectionn s de fonctionner diff remment des autres Les exemples incluent l envoi de rapports et d alertes par courriel par le biais d un serveur de messagerie diff rent ou la planification de rapports propres une branche d un r seau divers moments Informations compl mentaires F d rations hi rarchiques page 232 F d rations maill es page 234 Requ tes et rapports dans un environnement f d r page 231 Configuration d une f d ration CA Enterprise Log Manager page 235 Cr ation d une carte de f d ration La cr ation d une carte de f d ration constitue une tape utile lors de la planification et de l impl mentation de la configuration de votre f d ration Plus votre r seau est important plus cette carte est utile lors des t ches r elles de configuration Vous pouvez utiliser un programm
376. ois les variables d environnement requises d finies II n existe aucune installation distincte ex cuter 264 Manuel d impl mentation Importation des donn es d une table SEOSDATA Copie de l utilitaire d importation sur un serveur d outils de donn es Windows Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosimport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Windows Remarque L utilitaire LMSeosimport n cessite la pr sence des biblioth ques de liens dynamiques etsapi et etbase Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosimport assurez vous que le r pertoire Program Files CA eTrust Audit bin est inclus dans votre instruction PATH syst me Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Windows 2 Ins rez le DVD ROM d installation de l application CA Enterprise Log Manager 3 Acc dez au r pertoire CA ELM Windows 4 Copiez l utilitaire LMSeoslmport exe dans le r pertoire iTechnology du serveur d outils de donn es CA Audit lt lecteur gt Program Files CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t copi dans le r pertoire d sign Il n existe aucune installation distincte ex cuter Pr sentat
377. ollect s stock s surveill s et audit s Votre r seau peut galement disposer d autres types de p riph riques notamment des applications des bases de donn es des lecteurs de badges des unit s biom triques ou des enregistreurs et iRecorders CA Audit Les services adaptateurs agents et connecteurs CA Enterprise Log Manager repr sentent les configurations n cessaires pour se connecter ces sources d v nement afin de recevoir des donn es d v nement Les services CA Enterprise Log Manager incluent les l ments ci dessous pour les configurations et les param tres Configurations globales Param tres et filtres globaux Service d alertes m Service de corr lation Param tres du magasin de journaux d v nements Chapitre 5 Configuration des services 151 Modification de configurations globales m Service d incidents Param tres du serveur ODBC Param tres du serveur de rapports m Service de tests de r gles Configuration du service d abonnement m Panneau Etat du syst me Les configurations des services peuvent tre globales c est dire qu elles affectent tous les serveurs CA Enterprise Log Manager install s sous un seul nom d instance d application sur le serveur de gestion Les configurations peuvent galement tre locales et n affecter qu un serveur s lectionn Les configurations sont stock es dans le serveur de gestion avec une copie locale sur le serveur CA Enterprise Log Man
378. olution Importez manuellement le contenu des rapports Pour importer le contenu des rapports 1 Acc dez a une invite de commande sur le serveur CA Enterprise Log Manager Connectez vous en utilisant les informations d identification du compte caelmadmin Passez a l utilisateur root au moyen de la commande ci dessous su Acc dez au r pertoire opt CA LogManager EEM content Ex cutez la commande ci dessous ImportCALMContent sh Le script shell t l charge le contenu des rapports depuis le serveur CA EEM 132 Manuel d impl mentation D pannage de l installation Importation de fichiers de mappade de donn es CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de mappage de donn es Vous devez disposer des fichiers de mappage de donn es pour mapper les donn es d v nements entrants dans le magasin de journaux d v nements Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de mappage de donn es Pour importer les fichiers de mappage de donn es 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su 4 Acc dez au
379. olutivit rapide Utilisez le client VMware vSphere pour une installation silencieuse ou manuelle du dispositif virtuel Le fichier OVF de descripteur contient les param tres de configuration requis par CA Enterprise Log Manager Entrez une valeur pour chaque param tre de configuration pendant l installation Feuille de calcul d installation de dispositifs virtuels Avant d installer le dispositif virtuel collectez les informations indiqu es dans le tableau ci apr s Une fois la feuille de calcul renseign e vous pouvez l utiliser lors de votre travail pour r pondre aux invites de l installation Vous pouvez imprimer et renseigner une feuille de calcul distincte pour chaque serveur CA Enterprise Log Manager que vous envisagez d installer Valeur Commentaires Informations requises Param tres sp cifiques aux h tes Nom d h te 338 Manuel d impl mentation Nom d h te pour ce serveur CA Enterprise Log Manager Exemple CA ELM1 Sp cifiez le nom d h te de ce serveur en utilisant uniquement les caract res pris en charge par les h tes Les normes du secteur recommandent les lettres de A a Z insensibles a la casse les chiffres de 0 a 9 et le tiret avec une lettre en premier caract re et un caract re alphanum rique en derni re position N utilisez pas le caract re de soulignement dans un nom d h te et ne lui ajoutez pas de nom de domaine Remarque Le nom d h te ne peut pas d passer 15 caract res
380. omme filtres Sp cifie s il faut stocker les utilisateurs globaux dans la m moire pour y acc der rapidement Cette s lection permet des recherches plus rapides au d triment de la modularit Pour un petit environnement de test cette s lection est recommand e Si vous choisissez de mettre en cache les utilisateurs globaux sp cifiez la fr quence en minutes de la mise jour des groupes et utilisateurs globaux mis en cache afin d inclure les nouveaux enregistrements et les modifications Si le type de r pertoire externe est Microsoft Active Directory cette option sp cifie que vous souhaitez cr er des groupes globaux avec les informations du groupe Microsoft Exchange Si cette option est s lectionn e vous pouvez crire des strat gies l encontre des membres des listes de distribution Chapitre 2 Planification de votre environnement 45 Planification des utilisateurs et des acc s Feuille de calcul CA SiteMinder Avant de r f rencer CA SiteMinder en tant que magasin d utilisateurs collectez les informations de configuration ci apr s Informations requises H te Nom d administrateur Mot de passe de l administrateur Nom de l agent Secret de l agent Cache des utilisateurs globaux Dur e de mise jour du cache Inclure les attributs non mapp s R cup rer les groupes d change sous forme de groupes d utilisateurs globaux Type de magasin d amp apos autorisations 46 Manuel d imp
381. on CA Enterprise Log Manager sont les suivantes 1 A partir du premier serveur de collecte g n rez une paire de cl RSA caelmservice puis copiez la cl publique comme authorized_keys dans le r pertoire tmp sur le serveur de g n ration de rapports de destination 2 A partir de chaque serveur de collecte suppl mentaire g n rez une paire de cl RSA et copier la cl publique comme authorized_keys_n le n permettant d identifier la source 3 A partir du r pertoire tmp du serveur de g n ration de rapports concat nez le contenu des fichiers de cl publique l original authorized_keys Cr ez un r pertoire ssh et modifiez les droits de propri t du r pertoire sur caelmservice d placez authorized_keys dans le r pertoire ssh puis d finissez les droits de propri t du fichier cl et les autorisations obligatoires R V rifiez que l authentification non interactive existe entre chaque serveur de collecte et le serveur de g n ration de rapports 5 A partir du serveur de stockage distant cr ez une structure de r pertoires pour le r pertoire ssh la valeur par d faut tant opter CA LogManager Cr ez un r pertoire ssh sur la destination modifiez les droits de propri t par caelmservice 164 Manuel d impl mentation Configuration du magasin de journaux d v nements A partir du serveur de g n ration de rapports g n rez une paire de cl RSA caelmservice puis copiez la cl publique com
382. on du mot de passe Une strat gie de mots de passe s rs doit emp cher les utilisateurs de r utiliser un mot de passe pendant un an au minimum L anciennet maximale recommand e pour un mot de passe varie en fonction de la longueur et de la complexit du mot de passe Selon une r gle g n rale un mot de passe est acceptable lorsqu il ne peut pas tre r v l par une attaque en force en moins de temps que l anciennet maximale autoris e du mot de passe L anciennet maximale correcte est comprise entre 30 et 60 jours Le param trage d une anciennet minimale emp che les utilisateurs de red finir plusieurs fois des mots de passe au cours d une seule session pour travailler sur une strat gie de restriction de r utilisation La meilleure pratique courante recommande 3 jours Si vous d finissez une anciennet de mot de passe nous vous recommandons d avertir les utilisateurs pour qu ils r initialisent leur mot de passe Vous pouvez d finir l avertissement pour qu il se produise la moiti de l anciennet ou plus pr s de son expiration Vous devez verrouiller les comptes d utilisateur apr s un nombre raisonnable d checs de connexion Vous emp chez ainsi que les pirates ne parviennent deviner les mots de passe Le nombre de tentatives avant le verrouillage du compte est g n ralement compris entre trois et cinq Longueur et format du mot de passe Observez les consignes ci dessous lorsque vous d cidez d appliqu
383. onfiguration des services 207 Configuration de l abonnement 3 A l aide d un m dia physique par exemple un disque ou de l utilitaire scp copiez manuellement le fichier zip vers l emplacement du fichier suivant sur vos proxys hors ligne opt CA LogManager data subscription offline 4 Connectez vous un syst me dans votre environnement CA Enterprise Log Manager 5 Cliquez sur l onglet Administration et le sous onglet Services 6 D veloppez le service d abonnement et s lectionnez le serveur proxy hors ligne configurer La fen tre de configuration du service d abonnement s affiche pour le serveur CA Enterprise Log Manager s lectionn Remarque Les clients d abonnement hors ligne re oivent automatiquement tous les modules qui sont manuellement install s sur leur proxy hors ligne Le contenu du serveur proxy contr le les mises jour re ues par le client d abonnement Les modules s lectionn s au niveau local pour un client hors ligne n ont aucun impact 7 Cliquez sur l onglet Administration 8 Dans la liste d roulante Fichier s lectionnez le fichier zip de mise jour hors ligne que vous avez copi vers le serveur puis cliquez sur Parcourir La bo te de dialogue Modules disponibles pour le t l chargement s affiche 9 S lectionnez les modules t l charger 10 Cliquez sur OK La bo te de dialogue Modules disponibles pour le t l chargement se ferme et les modules que vous avez s lec
384. onn es internes Remarque L option par d faut peut tre affich e comme la base de donn es de gestion CA si lors de l installation vous avez point vers un CA EEM autonome m S lectionnez R f rencer partir d un r pertoire externe qui peut tre un r pertoire LDAP comme Microsoft Active Directory Sun One ou Novell CA Directory m S lectionnez R f rencer partir de CA SiteMinder Si vous configurez le magasin d utilisateurs comme un r pertoire externe vous ne pouvez pas cr er de nouveaux utilisateurs Vous pouvez uniquement ajouter des groupes d applications ou r les pr d finis ou d finis par l utilisateur aux enregistrements d utilisateurs globaux en lecture seule Vous devez ajouter les nouveaux utilisateurs dans le magasin d utilisateurs externe puis ajouter les droits CA Enterprise Log Manager aux enregistrements d utilisateurs globaux Acceptation du magasin d utilisateurs par d faut Vous n avez pas besoin de configurer le magasin d utilisateurs si vous acceptez le magasin par d faut savoir le magasin de donn es interne Cela s applique s il n existe aucun magasin d utilisateurs externe auquel faire r f rence Pour v rifier que le r f rentiel par d faut est configur comme le magasin d utilisateurs 1 Connectez vous un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits Administrator ou avec le nom d utilisateur EiamAdmin et le mot de passe associ 2 Cliquez
385. ons compl mentaires A propos de l archivage automatique page 159 A propos des fichiers d archive page 158 P ram tres du magasin de journaux d v nements dans l environnement de base page 181 Exemple Carte de f d ration pour une grande entreprise page 37 180 Manuel d impl mentation Configuration du magasin de journaux d v nements Param tres du magasin de journaux d v nements dans l environnement de base Dans un environnement o des serveurs CA Enterprise Log Manager distincts assument les r les de serveur de collecte et de serveur de rapports vous devriez configurer individuellement les magasins de journaux d v nements comme des configurations locales Si vous choisissez galement d utiliser le serveur de rapports pour g rer le trafic de basculement vous souhaiterez peut tre d finir une valeur plus lev e pour le champ Nombre maximum de lignes que celle affich e dans la table Si vous utilisez votre serveur de gestion comme serveur de rapports n oubliez pas que le serveur de gestion lui m me g n re certaines informations d v nement sous la forme d v nements d autosurveillance Remarque Vous devez configurer chaque paire de serveurs participant l archivage automatique pour l authentification non interactive pour que la configuration de l archivage automatique fonctionne correctement La table suivante est un exemple de param trage de base Le serveur CA Enterprise Log Manag
386. ons sont automatiquement tendues pour offrir une plus grande capacit de stockage A propos du serveur CA EEM CA Enterprise Log Manager utilise le serveur CA Embedded Entitlements Manager CA EEM en interne pour g rer les configurations autoriser et authentifier les utilisateurs coordonner les mises jour d abonnement avec le contenu et les fichiers binaires ainsi que pour effectuer d autres fonctions de gestion Dans l environnement CA Enterprise Log Manager de base vous installez CA EEM lorsque vous installez le serveur CA Enterprise Log Manager de gestion D s lors CA EEM g re les configurations de tous les serveurs CA Enterprise Log Manager de collecte et de tous leurs agents et connecteurs Vous pouvez galement choisir d installer le serveur CA EEM sur un serveur distant l aide des packages d installation fournis sur le disque d installation de l application ou vous pouvez utiliser un serveur CA EEM existant utilis par d autres produits CA Le serveur CA EEM dispose de sa propre interface Web Toutefois la quasi totalit de vos activit s de configuration et de maintenance se d roulent dans l interface utilisateur CA Enterprise Log Manager Vous n avez normalement pas besoin d interagir directement avec les fonctions du serveur CA EEM int gr sauf pour les configurations du basculement et les fonctions de restauration qui font partie de la r cup ration apr s sinistre 32 Manuel d impl mentation Planificat
387. ont stock s tous les rapports les balises de rapports les rapports g n r s et les jobs de rapports planifi s pr d finis et d finis par l utilisateur CA Enterprise Log Manager CA IT PAM CA Spectrum CAELM caelmadmin CA Enterprise Log Manager est une solution qui vous permet de collecter des journaux partir de sources d v nement tr s dispers es et de diff rents types de contr ler la conformit avec les requ tes et les rapports et de conserver des enregistrements des bases de donn es de journaux compress s stock es long terme sur un syst me externe CA IT PAM est l acronyme de CA IT Process Automation Manager Le r le de ce produit CA est d automatiser les processus que vous d finissez CA Enterprise Log Manager utilise deux processus la cr ation d un processus de sortie de l v nement de l alerte pour un produit local par exemple CA Service Desk et la g n ration dynamique de listes qui peuvent tre import es sous la forme de valeurs cl s L int gration requiert CA IT PAM r2 1 CA Spectrum est un produit de gestion des d faillances r seau qui peut tre int gr CA Enterprise Log Manager pour tre utilis comme destination des alertes envoy es sous la forme d interruptions SNMP CAELM est le nom de l instance d application que CA EEM utilise pour CA Enterprise Log Manager Pour acc der la fonctionnalit CA Enterprise Log Manager dans CA Embedded Entitlements Manager saisiss
388. opiez les cl s publiques suppl mentaires portant des noms de fichier uniques pour viter d craser l original authorized_keys Puis concat nez ces noms de fichier authorized_keys Par exemple vous pouvez ajouter authorized_keys_ELM C2 et authorized_keys_ELM C3 au fichier authorized_keys d ELM C1 Chapitre 5 Configuration des services 163 Configuration du magasin de journaux d v nements Exemple Configuration de l authentification non interactive pour La topologie en toile L existence de l authentification non interactive entre deux serveurs est une condition pr alable l archivage automatique de la source vers le serveur de destination Un sc nario commun pour configurer l authentification non interactive consiste mettre en place un serveur de g n ration de rapports de gestion commun pour les serveurs sources d di s la collecte Cet exemple pr suppose une f d ration CA Enterprise Log Manager de taille moyenne avec un serveur de g n ration de rapports de gestion concentrateur quatre serveurs de collecte branches et un serveur de stockage distant Les noms des serveurs pour chaque r le de serveur sont les suivants m Serveur de g n ration de rapports de gestion CA Enterprise Log Manager ELM RPT Serveurs de collecte CA Enterprise Log Manager ELM C1 ELM C2 ELM C3 ELM C4 m Serveur de stockage distant RSS Les proc dures pour activer l authentification non interactive pour la f d rati
389. ormes telles que PCI DSS et SOX En associant les requ tes et rapports pr d finis votre impl mentation CA Audit et CA Security Command Center existante vous pouvez tirer profit des investissements dans vos solutions personnalis es tout en b n ficiant des rapports et du d bit plus lev de CA Enterprise Log Manager Configuration d adaptateurs CA Les adaptateurs CA constituent un groupe d couteurs recevant des v nements de composants h rit s comme les clients CA Audit les iRecorders et les SAPI recorders ainsi que de sources d v nement qui transmettent les v nements de mani re native par le biais d iTechnology Param trez les options de configuration des adaptateurs CA avant de modifier les configurations des strat gies CA Audit ou des iRecorders Vous vous assurez ainsi du bon fonctionnement des processus d couteurs avant l arriv e des v nements et vitez les donn es d v nement ayant un mappage incorrect Annexe A Remarques pour les utilisateurs de CA Audit 251 Configuration d adaptateurs CA Si vous envoyez des v nements CA Audit via iRecorder ou si vous utilisez un client CA Audit avec iRecorder vous utilisez des adaptateurs SAPI CA Enterprise Log Manager pour recevoir les v nements Pour envoyer des v nements CA Enterprise Log Manager vous modifiez une strat gie CA Audit existante pour les v nements CA Access Control Vous pouvez ajouter une action Collecteur ou Acheminemen
390. ortant d v nements CA Access Control importer Supposons pour cet exemple que vous deviez importer uniquement les v nements qui se sont produits au cours d une p riode de deux mois Vous pouvez adapter la commande de pr visualisation pour importer un groupe moins important d v nements en fonction de la date Annexe B Remarques pour les utilisateurs de CA Access Control 293 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit 2 Modifiez les param tres d importation pour inclure une plage de dates puis ex cutez nouveau la pr visualisation avec la commande ci dessous LMSeosImport exe dsn Mon DSN Audit user sa password sa target Mon serveur CA ELM log eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 preview La commande modifi e affiche les informations ci dessous Importation d but le Ven Jan 2 15 41 23 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon DSN Audit Aucun ENTRYID de d but sp cifi utilisation de L ENTRYID minimal de 1 Importation pr visualisation en cours veuillez patienter Importation pr visualisation termin e 143 762 enregistrements en 4 minutes 37 secondes eTrust AC 2 349 Dernier Entryld trait 5 167 810 102 D connexion r ussie de la source Mon DSN Audit Sortie de l importation Cette pr visualisation d importa
391. otre environnement peut contenir un serveur effectuant toutes les t ches ou divers serveurs chacun d di un ou plusieurs r les sp cifiques tels que la collecte la corr lation et la g n ration de rapports Utilisez le service d abonnement pour maintenir jour tous vos serveurs avec les mises jour de contenu de syst me d exploitation et de produit les plus r centes Le service d abonnement utilise un syst me de client proxy pour la livraison des mises jour CA publie des mises jour mises en package dans des modules vers le serveur d abonnement CA Dans votre environnement un ou plusieurs de serveurs servent de proxys d abonnement Ces proxys contactent le serveur d abonnement CA via Internet t l chargent des modules de mise jour et les installent automatiquement Tous les autres serveurs de votre environnement sont des clients d abonnement qui t l chargent des mises jour partir des proxys tour de r le Dans certains environnements des strat gies de s curit ou d autres l ments limitent l acc s du r seau Internet Dans ce type de cas mettez jour votre environnement CA Enterprise Log Manager via l abonnement hors ligne L abonnement hors ligne requiert le t l chargement de mises jour partir du site FTP d abonnement hors ligne CA Copiez les manuellement vers un proxy CA Enterprise Log Manager ne disposant pas de l acc s Internet appel proxy hors ligne Les mises jour se po
392. ou qu utilisateur EiamAdmin 2 Cliquez sur l onglet Administration Si vous vous connectez en tant qu utilisateur EiamAdmin cet onglet s affiche automatiquement 3 S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur Magasin d utilisateurs dans le volet gauche La configuration du serveur CA EEM pour le magasin d utilisateurs s affiche 4 S lectionnez R f rencer partir d un r pertoire externe Les champs de la configuration LDAP s affichent Chapitre 4 Configuration des utilisateurs de base et des acc s 141 Configuration du magasin d utilisateurs Renseignez ces champs en fonction de la feuille de calcul du r pertoire externe Etudiez l exemple ci dessous pour la liaison vers les objets Active Directory avec la cha ne de liaison ci dessous D finissez objUser Get Object LDAP cn Bob cn Users ou Sales dc MyDomain dc com o cn est le nom commun ou est l unit organisationnelle et dc est constitu de deux composants de domaine formant le nom DNS complet Pour le DN utilisateur vous pouvez entrer cn Bob cn Users ou Sales dc MyDomain dc com Cliquez sur Enregistrer L enregistrement de cette r f rence charge les informations des comptes d utilisateur dans CA EEM Vous pouvez alors acc der a ces enregistrements d utilisateur comme s il s agissait d utilisateurs globaux puis ajouter des d tails au niveau de l application comme le groupe d utilisateurs de
393. oupe d applications CA Enterprise Log Manager Mot de passe Entrez et confirmez le mot de passe de l utilisateur r pertori la ligne Nom relatif de l utilisateur 44 Manuel d impl mentation Informations requises Valeur Nom relatif de l utilisateur Utiliser Transport Layer Security TLS Inclure les attributs non mapp s Cache des utilisateurs globaux Dur e de mise jour du cache R cup rer les groupes d change sous forme de groupes d utilisateurs globaux Planification des utilisateurs et des acc s Commentaires Entrez les informations d identification valides pour tout utilisateur valide dans le registre d utilisateurs o vous pouvez rechercher l enregistrement de l utilisateur Entrez le nom relatif complet de l utilisateur Vous pouvez vous connecter avec n importe quel ID d utilisateur ayant un r le d administration Le nom relatif de l utilisateur et le mot de passe associ constituent les informations d identification utilis es pour la liaison avec l h te du r pertoire externe Sp cifie si votre magasin d utilisateurs doit utiliser le cadre d applications TSL pour prot ger les transmissions de texte en clair Lorsqu il est s lectionn TLS est utilis pour r aliser la connexion LDAP vers le r pertoire externe Sp cifie si vous devez inclure des champs non synchronis s provenant du r pertoire LDAP Les attributs externes non mapp s peuvent tre utilis s pour la recherche et c
394. ources de donn es ODBC de Windows 4 Configurez la connexion du client ODBC 5 Testez la connexion la base de donn es Configuration requise L acc s ODBC au magasin de journaux d v nements est disponible uniquement dans CA Enterprise Log Manager r12 1 et les versions ult rieures Pour plus d informations avant de proc der l installation reportez vous aux consid rations sur les sources de donn es ODBC Chapitre 3 Installation de CA Enterprise Log Manager 117 Installation du client ODBC Les utilisateurs de cette fonctionnalit doivent appartenir un groupe d utilisateurs dot de droits dataaccess acc s aux donn es dans la strat gie par d faut d acc s aux donn es dans les strat gies d acc s CALM Pour plus d informations sur les strat gies d acc s reportez vous au Manuel d administration CA Enterprise Log Manager r12 1 Pour un client ODBC les conditions ci dessous doivent tre remplies Vous devez disposer des droits d administrateur pour installer le client ODBC sur un serveur Windows m L installation du client ODBC n cessite le service Microsoft Windows Installer Si celui ci est introuvable un message s affiche Configurez le service Serveur ODBC dans CA Enterprise Log Manager et cochez la case Activer le service Configurez une source de donn es ODBC pour syst mes Windows l aide de l utilitaire Sources de donn es ODBC accessible via le Panneau de configuration m
395. p cifie le nom affect du magasin d amp apos autorisations d utilisateurs r f renc dans le champ Type de magasin d autorisations Utilisateurs ayant le r le Administrator Seuls les utilisateurs affichant le r le Administrator peuvent configurer les composants CA Enterprise Log Manager Une fois le premier CA Enterprise Log Manager install vous acc dez au CA Enterprise Log Manager par le biais d un navigateur vous vous connectez avec vos informations d identification EiamAdmin et vous configurez le magasin d utilisateurs L tape suivante consiste affecter le groupe d applications Administrator au compte de l utilisateur qui doit effectuer la configuration Si vous avez configur le magasin d utilisateurs comme le magasin d utilisateurs CA Enterprise Log Manager par d faut vous cr ez un nouveau compte d utilisateur et vous lui affectez le r le Administrator Si vous avez r f renc un magasin d utilisateurs externe vous ne pouvez pas cr er de nouvel utilisateur Dans ce cas recherchez l enregistrement d utilisateur de la personne qui doit tre l administrateur puis ajoutez le groupe d applications Administrator au compte de cet utilisateur Planification de la strat gie de mots de passe Si vous acceptez le magasin d utilisateurs par d faut vous d finissez de nouveaux utilisateurs et d finissez des strat gies de mots de passe pour ces comptes d utilisateur partir de CA Enterprise Log Manager L utilisatio
396. page 140 R f rence un r pertoire LDAP page 141 R f rence CA SiteMinder comme magasin d utilisateurs page 142 Chapitre 2 Planification de votre environnement 43 Planification des utilisateurs et des acc s Feuille de calcul du r pertoire LDAP externe Avant de r f rencer un r pertoire LDAP externe collectez les informations de configuration ci apr s Informations requises Valeur Commentaires Type Notez le type de r pertoire utilis CA Enterprise Log Manager prend en charge plusieurs r pertoires diff rents dont Microsoft Active Directory et Sun ONE Directory Reportez vous l interface utilisateur pour obtenir la liste compl te des r pertoires pris en charge H te Enregistrez le nom d h te du serveur pour le magasin d utilisateurs ou le r pertoire externe Port Enregistrez le num ro de port pour l coute du serveur du magasin d utilisateurs ou du r pertoire externe Le port 389 est le port r serv LDAP Lightweight Directory Access Protocol Si votre serveur de registre n utilise pas le port 389 enregistrez le num ro de port ad quat Nom relatif de base Enregistrez le nom relatif LDAP servant de base Le nom relatif est un identifiant unique pour une entr e dans l arborescence du r pertoire LDAP Aucun espace n est permis dans le nom relatif de base Seuls les utilisateurs et groupes globaux d tect s sous ce nom relatif sont mapp s et peuvent se voir affecter un r le ou un gr
397. peuvent sauvegarder manuellement les bases de donn es ti des avant que le d lai de suppression automatique ne soit coul puis ex cuter l utilitaire LMArchive pour enregistrer le nom des sauvegardes Ces informations sont alors disponibles la consultation via la requ te d archivage Glossary 405 assistant de fichier d analyse L Assistant de fichier d analyse est une fonction CA Enterprise Log Manager que les administrateurs utilisent pour cr er modifier et analyser les fichiers d analyse de message extensibles XMP stock s sur le serveur de gestion CA Enterprise Log Manager Pour personnaliser l analyse des donn es d v nements entrants vous devez modifier les cha nes et filtres pr associ s Les nouveaux fichiers comme les fichiers modifi s s affichent dans l Explorateur de collecte de journaux la Biblioth que d ajustement d v nement les fichiers d analyse et le dossier Utilisateur Authentification ssh non interactive L authentification non interactive permet de d placer des fichiers d un serveur un autre sans avoir saisir de phrase secr te Avant de configurer l archivage automatique ou d utiliser le script restore ca elm sh d finissez l authentification non interactive du serveur source vers le serveur de destination balise Une balise est un terme ou une expression cl qui sert identifier les requ tes ou rapports appartenant au m me regroupement pertinent Les balises permettent d effectuer
398. ploy OYF Template Source Select the source location Source End User License Agreement Name and Location ol Deployment Configuration Host Cluster Settings CA ELMS CA Enterprise Log Manager ovf Properties Ready to Complete 344 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 9 Cliquez sur Suivant La page OVF Template Details Informations du mod le OVF s ouvre Cette page contient les informations stock es dans le mod le OVF tells que la taille de t l chargement la taille de disque disponible et le nom des fournisseurs 10 V rifiez que le serveur VMware dispose de 350 Go minimum d espace disque puis cliquez sur Suivant Deploy O F Template OYF Template Details Verify OVF template details Source OYF Template Details End User License Agreement Name and Location Deployment Configuration E Host Cluster Resource Pool Properties Ready to Complete Annexe E CA Enterprise Log Manager et virtualisation 345 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels La page End User License Agreement Contrat de licence de l utilisateur final s affiche Cette page contient le contrat de licence de produits tiers Vous devez accepter ce contrat de licence pour installer CA Enterprise Log Manager 11 Lisez le contrat de licence Deploy O F Template End User License Agreement
399. pose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIV None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel 378 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Cliquez sur l onglet Resources Ressources dans la fen tre S lectionnez l option CPU UC sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev Example CA Enterprise Log Manager Virtual Machine Properties Advanced CPU Annexe E CA Enterprise Log Manager et virtualisation 379 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 6 S lectionnez l option Memory M moire sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev Example CA Enterprise Log Manager Yirtual Machine Properties OI x Hardware Options Resources Virtual Machine Version 7 Settings Summary CPU O MHz BE 7 Shares bo CITE Disk Normal o Reservation 0 MB Advanced CPU HT Sharing Any A m Resource Allocation Limit 5633 me MN Unlimited
400. pour une moyenne entreprise 39 hi rarchique 232 maill e 234 planification 34 s lection de requ tes f d r es 156 feuilles de calcul CA SiteMinder 46 r pertoire LDAP externe 44 filtres globaux et locaux 155 G gestion de l abonnement exemple de configuration 61 gestion des utilisateurs et des acc s configuration du magasin d utilisateurs 140 I importation v nements SEOSDATA provenant de CA Audit 263 271 installation CA IT PAM avec CA EEM partag 299 cr er des DVD d installation 75 de CA Enterprise Log Manager 83 d pannage 127 438 Manuel d impl mentation Image du syst me d exploitation personnalis 110 Structure des r pertoires par d faut 110 sur un syst me disposant de lecteurs SAN 100 v rifier le serveur CA Enterprise Log Manager 87 int gration CA Audit Configuration d adaptateurs CA 251 Envoi d v nements CA Audit CA Enterprise Log Manager 256 importation d v nements SEOSDATA 263 pr sentation des architectures 243 Quand importer des v nements 261 int grations A propos de 67 L Lecteurs SAN installation de CA Enterprise Log Manager avec des lecteurs activ s 107 installation de CA Enterprise Log Manager avec des lecteurs d sactiv s 101 M magasin de journaux d v nements A propos de 158 A propos des fichiers d archive 158 configuration 157 183 param tres de base 181 magasin d utilisateurs configur
401. prise Log Manager install sur un syst me RAID pour permettre le stockage SAN Les disques physiques du SAN sont partitionn s en espaces de stockage logiques appel s num ros d unit logiques LUN Pour cr er une configuration multi acheminement pour le stockage SAN 1 Connectez vous au dispositif CA Enterprise Log Manager en tant qu utilisateur root l aide de la commande su 2 Facultatif Pour afficher l tat de la configuration avant la configuration du multi acheminement et des volumes logiques cr ez une liste des r pertoires de dev mappeur Les r sultat sont comparables ceux ci drwxr xr x 2 root root 120 Jun 18 12 09 drwxr xr x 11 root root 3540 Jun 18 16 09 Crw 1 root root 10 63 Jun 18 12 09 control brw rw 1 root disk 253 Jun 18 16 09 VolGroup00 LogVol00 brw rw 1 root disk 253 2 Jun 18 12 09 VolGroup00 LogVol01 brw rw 1 root disk 253 1 Jun 18 16 09 VolGroup00 LogVol02 102 Manuel d impl mentation Remarques concernant l installation d un syst me disposant de lecteurs SAN Ouvrez le fichier de configuration etc multipath conf et modifiez le comme suit a Ajoutez la section suivante sous device pour chaque LUN fourni par l administrateur SAN device vendor NETAPP product LUN path grouping policy multibus features 1 queue if no path path checker readsector0 path_selector round robin 0 failback immediate no_path_retry queue b Supprimer les commen
402. que la longueur le type de caract re l anciennet et la r utilisation ou encore tablir une strat gie de verrouillage bas e sur un nombre configurable d checs de tentatives de connexion Informations compl mentaires Configuration des strat gies de mots de passe page 144 Nom d utilisateur comme mot de passe Pour que les mots de passe soient s rs les meilleures pratiques de s curit stipulent que les mots de passe ne doivent pas contenir le nom d utilisateur ou correspondre celui ci La strat gie de mots de passe par d faut active cette option M me si cette option peut para tre utile lors du param trage d un mot de passe temporaire pour de nouveaux utilisateurs mieux vaut d s lectionner cette strat gie de mots de passe Ainsi vous emp chez les utilisateurs d utiliser ce genre de mots de passe non s curis s 48 Manuel d impl mentation Planification des utilisateurs et des acc s Anciennet et r utilisation du mot de passe Observez les consignes ci dessous lorsque vous d cidez des strat gies d anciennet et de r utilisation La strat gie de r utilisation du mot de passe peut garantir qu un mot de passe donn n est pas r utilis fr quemment Cette strat gie cr e un historique des mots de passe Un param tre 0 indique que l historique des mots de passe n est pas appliqu Un param tre sup rieur 0 sp cifie le nombre de mots de passe enregistr s pour comparaison lors de la modificati
403. quel vous installez vos autres serveurs CA Enterprise Log Manager Si un serveur CA Enterprise Log Manager est d sactiv vous pouvez installer un autre serveur en utilisant exactement le m me nom Lorsque le nouveau serveur d marre il re oit les fichiers de configuration n cessaires de la part du serveur de gestion Si ce niveau de performances n est pas critique pour votre impl mentation vous pouvez installer un serveur CA Enterprise Log Manager sur n importe quel serveur vide capable d h berger le syst me d exploitation de base et r pondant aux exigences minimales de m moire et de disque dur Vous trouverez plus d informations sur les exigences mat rielles et logicielles dans les Notes de parution CA Enterprise Log Manager Le serveur CA EEM interne install sur le serveur de gestion dispose galement de ses processus de configuration du basculement pour assurer la continuit du fonctionnement processus voqu s en d tail dans le Manuel de mise en oeuvre de CA EEM A propos de la sauvedarde du serveur CA EEM La configuration de chaque serveur agent et connecteur CA Enterprise Log Manager tout comme celle des requ tes rapports alertes etc est conserv e s par ment dans le r f rentiel CA EEM du serveur CA Enterprise Log Manager de gestion Pour effectuer une r cup ration correcte du serveur il est essentiel de conserver des sauvegardes r guli res des informations stock es dans l instance d application CA E
404. r Le connecteur commence collecter les v nements Syslog correspondant aux int grations s lectionn es sur les ports sp cifi s V rification de la r ception des v nements Syslog par Le serveur CA Enterprise Log Manager Vous pouvez v rifier que le connecteur de l agent par d faut collecte les v nements Syslog gr ce la proc dure ci dessous Pour v rifier la r ception d v nements Syslog 1 Connectez vous CA Enterprise Log Manager et acc dez l onglet Requ tes et rapports Chapitre 6 Configuration de la collecte d v nements 215 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor 2 S lectionnez l onglet des requ tes du syst me et ouvrez la requ te D tail de tous les v nements du syst me Vous devez visualiser les v nements r pertori s pour l agent par d faut si vous avez configur correctement le connecteur et si la source d v nement envoie activement des v nements Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor Vous pouvez activer la collecte directe des v nements g n r s par des bases de donn es sp cifiques et les produits CA l aide du d tecteur ODBCLogSensor Pour y parvenir cr ez un connecteur sur l agent par d faut bas sur une int gration qui utilise le d tecteur ODBCLogSensor De nombreuses int grations utilisent ce d tecteur par exemple CA Federation Manager CAldentityMan
405. r ms V rifiez et activez la strat gie modifi e pour la distribuer aux noeuds d audit R p tez ce processus pour ajouter de nouvelles actions de r gle d autres r gles de strat gies le cas ch ant Informations compl mentaires A propos du routeur et du collecteur SAPI page 252 Annexe B Remarques pour les utilisateurs de CA Access Control 275 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager Configuration de l adaptateur du collecteur SAPI pour recevoir des v nements CA Access Control Utilisez la proc dure suivante pour configurer l adaptateur du collecteur SAPI pour recevoir des v nements CA Access Control provenant d une impl mentation CA Audit Vous pouvez modifier les strat gies CA Audit utilisant des actions du collecteur pour envoyer des v nements un serveur CA Enterprise Log Manager en plus ou la place de l envoi d v nements la base de donn es du collecteur CA Audit Configurez ce service avant de modifier les strat gies CA Audit pour vous assurer de ne perdre aucun v nement Vous pouvez configurer un serveur de routeur SAPI de mani re similaire Si vous utilisez la fois les services de routeur et de collecteur assurez vous que les ports r pertori s sont diff rents ou qu ils sont contr l s par le service du mappeur de ports Pour configurer le service de collecteur SAPI 1 Connectez vous au serveur CA Enterprise Log Ma
406. r GRUB est prot g par un mot de passe Feuille de calcul du serveur CA Enterprise Log Manager Avant d installer un serveur CA Enterprise Log Manager collectez les informations de la table ci dessous Une fois la feuille de calcul renseign e vous pouvez l utiliser lors de votre travail pour r pondre aux invites de l installation Vous pouvez imprimer et renseigner une feuille de calcul distincte pour chaque serveur CA Enterprise Log Manager que vous envisagez d installer Informations CA Enterprise Log Valeur Commentaires Manager Disque du SE Type de clavier valeur ad quate Sp cifiez le type de clavier que vous souhaitez utiliser gr ce son param tre de langue La valeur par d faut utilise les param tres mat riels du clavier connect au serveur lorsque ce dernier d marre S lection du fuseau horaire le fuseau horaire que vous S lectionnez le fuseau horaire dont souhaitez d pend ce serveur Chapitre 3 Installation de CA Enterprise Log Manager 77 Installation d un serveur CA Enterprise Log Manager Informations CA Enterprise Log Manager Mot passe root Disque de l application Nouveau nom d h te S lection d une unit Adresse IP masque de sous r seau et passerelle par d faut 78 Manuel d impl mentation Valeur nouveau mot de passe root nom d h te de ce serveur CA Enterprise Log Manager Exemple CA ELM1 Nom de l unit valeurs IP correspondantes Commentaires
407. r leur d interface r seau NIC CA Enterprise Log Manager n cessite au moins une connexion r seau S lectionnez NIC x dans la liste de NIC disponibles et param trez la valeur Adaptateur sur Flexible Remarque Vous n avez pas besoin de configurer un NIC s par pour chaque serveur CA Enterprise Log Manager h berg sur ce serveur physique Toutefois vous devez allouer et affecter une adresse IP statique chaque serveur S lectionnez l option Connecter au d marrage et cliquez sur Suivant La bo te de dialogue Types d adaptateurs E S s affiche Select LSI Logic pour l adaptateur E S puis cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel puis cliquez sur Suivant La bo te de dialogue concernant la capacit et l emplacement du disque s affiche Annexe E CA Enterprise Log Manager et virtualisation 331 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 13 Pr cisez la capacit et l emplacement de votre disque puis cliquez sur Suivant Une bo te de dialogue d options avanc es s affiche Vous pouvez stocker ce disque avec votre ordinateur virtuel ou sp cifier un autre emplacement Nous recommandons un espace minimal de 500 Go 14 Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant 15 Confirmez vos param tres et cliquez sur Terminer pour cr er le nouvel ordinateur virtuel
408. r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMDM sh Le script shell importe les fichiers de mappage de donn es depuis le serveur CA EEM Importation de fichiers de grammaire commune aux v nements Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de grammaire commune aux v nements CEG La CEG forme le sch ma de base de donn es sous jacent pour le magasin de journaux d v nements Vous ne pouvez pas stocker d v nements dans le magasin de journaux d v nements CA Enterprise Log Manager dans les fichiers CEG Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Chapitre 3 Installation de CA Enterprise Log Manager 133 D pannage de l installation Solution Importez manuellement les fichiers CEG Pour importer Les fichiers CEG 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMCEG sh Le script shell importe les fichiers de grammaire commune aux v nements Importation de fichiers de r gles de corr lation Sympt me Lors de l
409. r sultat du processus d archivage lorsque l utilisateur sauvegarde une base de donn es ti de avertit CA Enterprise Log Manager en ex cutant l utilitaire LMArchive et d place la base de donn es sauvegard e depuis le magasin de journaux d v nements jusqu l emplacement de stockage long terme Une strat gie d acc s est une r gle qui accorde ou refuse une identit utilisateur ou groupe d utilisateurs des droits d acc s une ressource d application CA Enterprise Log Manager d termine si les strat gies s appliquent l utilisateur concern en faisant correspondre les identit s les ressources les classes de ressources et en valuant les filtres strat gie d acc s aux applications CALM La strat gie d acc s aux applications CALM est une strat gie de port e de type Liste de contr le d acc s qui d termine qui peut se connecter au serveur CA Enterprise Log Manager Par d faut la connexion est autoris e pour les r les Administrator Groupe Analyst Groupe et Auditor Groupe 432 Manuel d impl mentation strat gie de d l gation strat gie de port e strat gie d obligation suppression Une strat gie de d l gation est une strat gie d acc s qui permet un utilisateur de d l guer son autorit un autre utilisateur groupe d applications groupe global ou groupe dynamique Vous devez supprimer explicitement les strat gies de d l gation cr es par un utilisateur supprim ou d sa
410. r SAPI de CA Audit gt 3 Router SAPI de CA Audit gt Module d extension d v nements iTechnc gt 3 Biblioth que d ajustement d v nement gt 3 Explorateur d agent gt E Profils gt Requ te de catalogue d archive 3 D veloppez le noeud du module d extension d v nements iTechnology 4 S lectionnez le serveur CA Enterprise Log Manager actuel pour afficher les param tres locaux 5 Veillez ce que le fichier de mappage AccessControl soit le premier de la liste des fichiers de mappage S lectionn s afin de garantir des op rations tr s efficaces 6 V rifiez que la valeur Niveau de journal est param tr e sur NOTSET pour collecter tous les niveaux d v nements 7 Cliquez sur Enregistrer 284 Manuel d impl mentation Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager T l chargement et installation d un iRecorder CA Access Control Vous pouvez collecter les v nements CA Access Control envoyer un serveur CA Enterprise Log Manager m me si vous n avez pas install CA Audit Lorsque vous collectez des v nements de cette mani re vous utilisez un iRecorder en mode autonome Vous pouvez obtenir un iRecorder sur le site Web du support CA Remarque Les iRecorders sont pris en charge uniquement par CA Access Control r8 et version ult rieure Pour t l charder et installer un iRecorder 1 Acc dez au site Web CA ci dessous https
411. r l onglet Courriel et s lectionnez Activer les notifications par courriel Entrez au moins une adresse lectronique de destinataire Vous pouvez entrer plusieurs adresses en les s parant par des virgules Facultatif Entrez l adresse lectronique de l exp diteur Si n cessaire ajoutez d autres destinations ou cliquez sur Enregistrer et fermer 192 Manuel d impl mentation Configuration du service de corr lation D finition des destination de processus Vous pouvez d finir un processus IT PAM en tant que destination de notification La notification transf re les informations sur les incidents CA Enterprise Log Manager CA Service Desk ou aux applications tierces au moyen d IT PAM D finissez une destination de processus en identifiant un processus IT PAM valide D finissez les informations d incidents qui formeront les param tres de processus au moyen des d tails de notification Pour plus d informations sur les processus IT PAM consultez le Manuel d administration de CA Enterprise Log Manager Pour d finir des destinations de processus 1 Ouvrez l assistant de gestion des destinations de notification d finissez les d tails d identification et passez l tape Notifications 2 Cliquez sur l onglet Processus et s lectionnez Activer l automatisation des processus 3 Entrez le nom d un processus IT PAM auquel vous voulez transf rer les informations de l incident par exemple CA ELM EventAlertOutput
412. r utilise un magasin de journaux d v nements int gr et dispose d un Explorateur d agent pour configurer et g rer les agents La nouvelle technologie associ e une grammaire commune aux v nements permet un d bit d v nements plus rapide vers le stockage tout en prenant en charge un plus grand nombre de sources d v nement Gr ce la grammaire commune aux v nements CA Enterprise Log Manager peut normaliser les v nements provenant de nombreuses sources d v nement diff rentes pour obtenir un seul sch ma de base de donn es CA Enterprise Log Manager s int gre CA Audit jusqu un certain niveau mais du fait de sa conception n est pas compl tement int rop rable CA Enterprise Log Manager est une infrastructure de serveur nouvelle et distincte qui peut fonctionner en parall le de CA Audit en tenant compte des ph nom nes ci dessous en mati re de gestion d v nements CA Enterprise Log Manager peut CA Enterprise Log Manager ne peut pas Recevoir des journaux d v nements envoy s par Acc der directement aux journaux d v nements des clients CA Audit et des iRecorders utilisant des stock s dans la base de donn es du collecteur CA couteurs configurables Audit Annexe Remarques pour les utilisateurs de CA Audit 243 Pr sentation des diff rences entre les architectures CA Enterprise Log Manager peut Proposer un utilitaire pour importer les donn es des journaux d v nements
413. rammaire commune aux v nements CEG pour la normalisation des v nements Il permet une classification plus approfondie des v nements avec une valeur ideal_model sp cifique Les types de cat gories d v nement event_category incluent S curit op rationnelle Gestion des identit s Gestion de la configuration Acc s aux ressources et Acc s au syst me Glossary 415 event_class explorateur d agent event_class est le champ de troisi me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il permet une classification plus approfondie des v nements avec une valeur event_category sp cifique L Explorateur d agent est l espace de stockage qui contient les param tres de configuration d un agent Les agents peuvent tre install s sur un point de collecte ou sur un terminal o il existe des sources d v nement f d ration hi rarchique f d ration maill e Une f d ration hi rarchique de serveurs CA Enterprise Log Manager est une topologie qui tablit une relation hi rarchique entre les serveurs Dans sa forme la plus simple le serveur 2 est un enfant du serveur 1 mais le serveur 1 n est pas un enfant du serveur 2 La relation est donc unilat rale Une f d ration hi rarchique peut poss der de nombreux niveaux de relation parent enfant et un seul serveur parent peut avoir de nombreux serveurs enfants Une requ te f
414. ration de CA Enterprise Log Manager et le contrat de licence Fichiers de disques virtuels Il s agit des fichiers de disques virtuels VMware vSphere suivants qui contiennent des fichiers d image disque utilis s pour le d ploiement de l appareil virtuel CA Enterprise Log Manager 1 vmdk CA Enterprise Log Manager 2 vmdk CA Enterprise Log Manager 3 vmdk Fichier Manifest Il s agit du fichier CA Enterprise Log Manager mf qui contient la signature de tous les fichiers Remarque Nous vous recommandons vivement de ne pas modifier les fichiers de disques virtuels ni le fichier Manifest car cela pourrait affecter les performances du dispositif virtuel Par d faut le Client VMware vSphere lit les d tails import s a l aide du mod le OVF et effectue le provisionnement du dispositif virtuel Annexe E CA Enterprise Log Manager et virtualisation 337 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Fonctionnement du dispositif virtuel Vous pouvez utiliser un dispositif virtuel pour cr er des serveurs CA Enterprise Log Manager virtuels pour votre environnement de collecte de journaux d v nements l aide des sc narios ci dessous Ajout de serveurs virtuels un environnement CA Enterprise Log Manager existant cr ation d un environnement mixte Cr ation d un environnement virtuel de collecte de journaux D ploiement de serveurs CA Enterprise Log Manager virtuels pour une v
415. ration du magasin de journaux d v nements Lorsque vous d terminez le param tre Nbre max de jours d archivage tenez compte de votre espace disque disponible sur le serveur de rapports Votre configuration de l espace disque d archivage d finit le seuil Si l espace disque disponible passe en dessous du pourcentage d fini les donn es des journaux d v nements sont supprim es pour lib rer de l espace m me si le Nbre max de jours d archivage n est pas coul pour ces donn es Si vous ne configurez pas l archivage automatique d un serveur de rapports vers un serveur de stockage distant vous devez sauvegarder manuellement les bases de donn es compress es et d placer manuellement la copie vers un emplacement de stockage distant selon une fr quence sup rieure au Nbre max de jours d archivage configur Sans quoi vous risquez de perdre des donn es Nous vous recommandons de sauvegarder quotidiennement les fichiers d archive pour viter tout risque de perte de donn es et conserver l espace disque appropri Le service du magasin de journaux d v nements g re son propre cache interne pour les requ tes sur les bases de donn es archiv es afin d am liorer les performances lors de l ex cution de requ tes r p t es ou tr s vastes Le Manuel d administration CA Enterprise Log Manager contient davantage d informations sur l utilisation des fichiers d archive Informations compl mentaires Exemple Archivage automa
416. rbrillance dans la liste des unit s et cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche 7 S lectionnez l option Cr er un nouveau disque virtuel et cliquez sur Suivant 8 Sp cifiez la taille de votre nouveau disque et s lectionnez l option Sp cifier un magasin de donn es pour param trer son emplacement CA Enterprise Log Manager d tecte ce lecteur suppl mentaire au cours de l installation et l affecte au magasin de donn es Nous vous recommandons d optimiser l espace de stockage que vous pouvez mettre disposition de CA Enterprise Log Manager Remarque Le param tre de taille de bloc par d faut du serveur VMware ESX Server est 1 Mo ce qui limite 256 Go l espace disque maximal que vous pouvez cr er Si vous avez besoin d espace suppl mentaire jusqu 512 Go augmentez le param tre de taille de bloc 2 Mo gr ce la commande ci dessous Vmkfstools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Red marrez l instance ESX Server pour que les changements entrent en vigueur Pour plus d informations sur cette commande et sur d autres commandes consultez la documentation VMware ESX Server Cliquez sur Suivant pour afficher la boite de dialogue Sp cifier les options avanc es 9 Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant La bo te de dialogue Pr t terminer s affiche 10 Cliquez sur Terminer pour stocker vos modifications sur cet ordinateur virt
417. re environnement qui sera utilis comme serveur de contenu Dans un environnement serveur unique le serveur CA Enterprise Log Manager unique est configur en tant que proxy d abonnement Le serveur t l charge et installe automatiquement des mises jour CA Enterprise Log Manager via le service d abonnement Le serveur joue galement le r le de serveur de contenu pour l environnement 56 Manuel d impl mentation Planification des mises jour d abonnement Dans un environnement de petite taille contenant deux ou plusieurs serveurs vous pouvez configurer un serveur en tant que proxy d abonnement et serveur de contenu tous les autres serveurs tant utilis s comme clients d abonnement Vous pouvez choisir le proxy d abonnement par d faut pour votre environnement ou s lectionner un autre serveur CA Enterprise Log Manager devant servir de proxy Le proxy d abonnement t l charge et installe automatiquement les mises jour CA Enterprise Log Manager et les clients d abonnement contactent le proxy pour t l charger leurs mises jour tour de r le Vous pouvez configurer les clients pour qu ils t l chargent les m mes mises jour que le proxy ou un sous ensemble de ce groupe Proxy d abonnenent fen ligne par d faut CA Enterprise Log Manager Tous les cents d abonnement sont dessenis par le proxy d abonnement par d faut Chapitre 2 Planification de votre environnement 57 Planification des mises
418. reconfigurer les ports d adaptateurs r seau partir d une ligne de commande 1 Connectez vous au dispositif logiciel en tant qu utilisateur caelmadmin et acc dez une invite de commande 2 Basculez sur le compte d utilisateur root l aide de la commande ci dessous su 3 Entrez le mot de passe de l utilisateur root pour confirmer l acc s au syst me 4 Entrez la commande suivante system config network L interface utilisateur permettant de configurer les adaptateurs r seau s affiche 5 Param trez les configurations de ports comme vous le souhaitez et quittez l interface 6 Red marrez les services r seau l aide de la commande ci apr s pour que vos modifications prennent effet service network restart Chapitre 3 Installation de CA Enterprise Log Manager 129 D pannage de l installation V rifier que le package RPM est install Vous pouvez effectuer un contr le rapide de l installation en v rifiant que le package RPM ad quat est install Pour v rifier Le package RPM 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su root 4 V rifiez que le package ca elm lt version gt i386 rpm est install l aide des commandes ci apr s rpm q ca elm rpm q ca elmagent Le syst me d exploitation ren
419. rents pour acc der des sources d v nement diff rentes Certains connecteurs proposent des aides la configuration qui collectent les informations n cessaires pour acc der la source d v nement Si vous avez besoin d un connecteur pour lequel aucune int gration n est actuellement propos e vous pouvez cr er une int gration l aide de l Assistant d int gration A propos des d tecteurs de journaux Un d tecteur de journaux est le composant dans un connecteur qui sait comment acc der aux sources d v nement CA Enterprise Log Manager fournit des d tecteurs de journaux pour les diff rents types de sources d v nement et de formats de journaux r pertori s ci dessous ACLogsensor Ce d tecteur de journaux lit les v nements CA Access Control lorsque celui ci utilise selogrd pour le routage d v nements FileLogSensor Ce d tecteur de journaux lit les v nements partir d un fichier LocalSyslog Ce d tecteur de journaux collecte les v nements a partir des fichiers Syslog local d un serveur UNIX ODBCLogSensor Ce d tecteur de journaux utilise ODBC pour se connecter a une source d v nement de base de donn es et r cup rer des v nements a partir de celle ci OPSECLogSensor Ce d tecteur de journaux lit les v nements partir d une source d v nement OPSEC Check Point SDEELogSensor Ce d tecteur de journaux lit les v nements partir des p riph riques Cisco Sysl
420. res rapides globaux pour fournir une dur e initiale qui modifie les rapports affich s depuis ce serveur CA Enterprise Log Manager m S lectionner des requ tes f d r es dans l onglet Param tres pour afficher des donn es provenant des serveurs CA Enterprise Log Manager f d r s SOUS ce serveur D cider de l actualisation automatique ou non des rapports m D finir l intervalle d actualisation des donn es dans les rapports Remarque La d finition d un filtre global trop restreint ou trop sp cifique peut emp cher l affichage des donn es dans certains rapports Vous trouverez davantage d informations sur les filtres globaux et leur utilisation dans l aide en ligne Chapitre 5 Configuration des services 155 Utilisation des Param tres et filtres globaux S lection de l utilisation des requ tes f d r es Vous pouvez choisir d ex cuter des requ tes sur les donn es f d r es si vous le souhaitez Si vous envisagez d utiliser plusieurs serveurs CA Enterprise Log Manager sur un r seau f d r vous souhaiterez peut tre s lectionner la case cocher Utiliser les requ tes f d r es Cette option vous permet de collecter des donn es d v nement pour les rapports depuis l ensemble des serveurs CA Enterprise Log Manager f d r s agissant comme enfants de ce serveur CA Enterprise Log Manager Vous pouvez galement choisir de d sactiver les requ tes f d r es pour une requ te sp cifique si vous
421. respondants puis par une ou plusieurs proc dures permettant d atteindre l objectif Manuel d impl mentation CA Enterprise Log Manager est con u pour les administrateurs syst me responsables de l installation de la configuration et de la maintenance d une solution de collecte de journaux de la cr ation d utilisateurs et de l affectation ou de la d finition de leurs r les et acc s ainsi que de la conservation des donn es de sauvegarde Ce manuel soutient galement le personnel ayant besoin d informations sur la r alisation des t ches ci dessous Configuration d un connecteur ou d un adaptateur pour collecter les donn es d v nements Configuration de services pour contr ler la g n ration de rapports ainsi que la conservation la sauvegarde et l archivage des donn es Configuration d une f d ration de serveurs CA Enterprise Log Manager Configuration de l abonnement pour obtenir les mises jour du contenu de la configuration et du syst me d exploitation Vous trouverez ci dessous un r capitulatif du contenu Section Description Planification de votre environnement D crit les activit s de planification pour les domaines comme la collecte de journaux les agents la f d ration la gestion des utilisateurs et des acc s les mises jour de l abonnement et la r cup ration apr s sinistre Installation de CA Enterprise Log Fournit des feuilles de calcul pour collecter les informations Manager requise
422. ressource sp cifi e durant le laps de temps d termin CALM est une classe de ressource pr d finie qui inclue les ressources CA Enterprise Log Manager suivantes Alerte ArchiveQuery calmTag Donn es EventGrouping Int gration et Rapport Les actions autoris es pour cette ressource sont Annotation Rapports Cr ation Alerte calmTag EventGrouping Int gration et Rapport Dataaccess Donn es Ex cution ArchiveQuery et Planification Alerte Rapport calmTag est un attribut nomm de AppObject utilis lors de la cr ation d une strat gie de port e afin de limiter l acc s aux requ tes et rapports appartenant certaines balises Tous les rapports et requ tes sont des objets d application AppObjects et ont calmTag comme attribut ne pas confondre avec la balise de ressource Le catalogue est la base de donn es stock e sur chaque CA Enterprise Log Manager qui consigne l tat des bases de donn es archiv es et joue le r le d index de haut niveau pour l ensemble des bases de donn es Les informations d tat ti de froid ou d givr sont conserv es pour toutes les bases de donn es ayant jamais transit par ce CA Enterprise Log Manager ainsi que toutes celles ayant t restaur es sur ce CA Enterprise Log Manager en tant que base de donn es d givr e La fonction d indexation s tend toutes les bases de donn es chaudes et ti des contenues dans le magasin de journaux d v nements de ce CA Ent
423. rimer tous les v nements d un type donn issus de diverses plates formes ou de l ensemble de votre environnement appliquez une ou plusieurs r gles de suppression appropri es au niveau du serveur CA Enterprise Log Manager La n cessit de supprimer les v nements est valu e leur arriv e sur le serveur CA Enterprise Log Manager Appliquer un grand nombre de r gles de suppression au niveau du serveur peut ralentir les performances tant donn que l application des r gles de suppression s ajoute l insertion des v nements dans le magasin de journaux d v nements sur le serveur Dans le cas d impl mentations moins importants la suppression peut tre r alis e sur le serveur CA Enterprise Log Manager Vous pouvez galement choisir d appliquer la suppression au niveau du serveur dans les d ploiements utilisant la r capitulation agr gation En revanche si vous ins rez uniquement certains des v nements issus d une source d v nement g n rant des volumes importants d informations d v nement vous pouvez choisir de supprimer les v nements ind sirables au niveau de l agent ou du groupe d agents pour conomiser du temps de traitement sur le serveur CA Enterprise Log Manager 72 Manuel d impl mentation Chapitre 3 Installation de CA Enterprise Log Manager Ce chapitre traite des sujets suivants Pr sentation de l environnement CA Enterprise Log Manager page 73 Cr ation des DVD d installation
424. rop LOCAL REMOTE EEM Remote prop REMOTE EEM LOCATION example managementserver prop EEM PASSWORD calmr12 prop FIPS MODE Yes prop IP_ADDRESS 172 168 10 30 prop SUBNET MASK 10 0 10 40 prop HOSTNAME example collection server2 prop DEFAULT GATEWAY 198 168 10 40 prop DNS SERVERS 198 168 30 30 198 168 30 25 prop DOMAIN NAME example com prop TIMEZONE Asia Kolkata C Program Files CA ELM CA Enterprise Log Manager ovf vi administrator password examplevmwarehost ELMQAvAppDatacenter host 10 0 10 0 Annexe E CA Enterprise Log Manager et virtualisation 397 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D finition des param tres de paravirtualisation et de ressources Apr s l importation du mod le OVF d finissez manuellement les param tres de paravirtualisation et de ressource pour am liorer les performances du serveur CA Enterprise Log Manager provisionn Remarque V rifiez que le lecteur de CD DVD est d fini sur Client Device Unit s du client Pour d finir Les param tres de paravirtualisation et de ressources 1 Cliquez avec le bouton droit de la souris sur le nouveau dispositif virtuel CA Enterprise Log Manager situ dans le volet gauche et cliquez sur Edit Settings Modifier les param tres La fen tre lt CA Enterprise Log Manager Virtual Appliance name gt Virtual Machine Properties Propri t s de l ordinateur virtuel lt CA Enterprise Log Manager no
425. roupes globaux sont charg s depuis CA SiteMinder vers le magasin d utilisateurs CA Enterprise Log Manager Les utilisateurs sont authentifi s par leur nom d utilisateur et leur mot de passe r f renc s Vous pouvez affecter le groupe global une strat gie nouvelle ou existante Vous ne pouvez pas cr er de nouveaux utilisateurs modifier les mots de passe ou configurer des strat gies de mots de passe R f rence partir du r pertoire LDAP Lightweight Directory Access Protocol Les noms d utilisateur et les mots de passe sont charg s depuis le r pertoire LDAP vers le magasin d utilisateurs CA Enterprise Log Manager Les utilisateurs sont authentifi s par leur nom d utilisateur et leur mot de passe r f renc s Les informations des comptes d utilisateur charg s cr ent des comptes d utilisateur globaux Vous pouvez affecter aux utilisateurs globaux un r le d utilisateur correspondant l acc s que vous souhaitez lui attribuer dans CA Enterprise Log Manager Vous ne pouvez pas cr er de nouveaux utilisateurs ou configurer des strat gies de mots de passe Important Nous vous recommandons de sauvegarder les strat gies d acc s pr d finies fournies avec CA Enterprise Log Manager avant que vous ou tout autre administrateur ne commence travailler dessus Pour plus de d tails consultez le Manuel d administration CA Enterprise Log Manager Informations compl mentaires Acceptation du magasin d utilisateurs par d faut
426. rs vos cl s URL de CA Embedded Entitlements Manager L URL de CA Embedded Entitlements Manager CA EEM est https lt adresse_ip gt 5250 spin eiam Pour ouvrir une session s lectionnez CAELM comme application et saisissez le mot de passe associ au nom d utilisateur EiamAdmin Glossary 433 URL de CA Enterprise Log Manager L URL de CA Enterprise Log Manager est https lt adresse_ip gt 5250 spin calm Pour ouvrir une session saisissez le nom d utilisateur d fini pour votre compte par l administrateur puis le mot de passe associ Vous pouvez galement saisir le nom de superutilisateur par d faut EiamAdmin puis entrer le mot de passe associ URL du flux RSS pour l abonnement L URL du flux RSS pour l abonnement est un lien pr configur utilis par les serveurs proxy d abonnement en ligne lors de la r cup ration des mises jour d abonnement Cette URL est destin e au serveur d abonnement CA URL du flux RSS pour les alertes d action L URL du flux RSS pour les alertes d action est https nomh teelm 5250 spin calm getActionQueryRssFeeds csp A partir de cette URL vous pouvez afficher les alertes d action soumises la configuration d finie en termes de quantit et d anciennet maximales utilisateur d application utilisateur EEM utilisateur global Un utilisateur d application est un utilisateur global auquel ont t attribu s des d tails au niveau de l application Les d tails d u
427. rs vos proxys hors ligne Vous pourrez alors s lectionner les modules t l charger et installer En revanche les clients d abonnement hors ligne re oivent automatiquement toutes les mises jour qui sont install es manuellement sur leur proxy hors ligne quels que soient les modules s lectionn s pour le client au niveau local Pour t l charder et s lectionner des modules d abonnement hors Ligne 1 Sur un syst me disposant d un acc s Internet ou FTP acc dez au site d abonnement hors ligne FTP ftp ftp ca com pub elm connectors ftp outgoing pub elm ELM_ Offline _ Subscription L index de r pertoires contient un dossier pour chaque version majeure de CA Enterprise Log Manager 2 T l chargez le fichier zip correspondant la mise jour que vous voulez effectuer Remarque Le dossier de la version r12 5 de CA Enterprise Log Manager contient un sous dossier ainsi qu un fichier zip Le sous dossier contient des modules de mise niveau partir d une version ant rieure la version r12 5 Le fichier zip contient les modules permettant d effectuer des mises jour de routine et r guli res vers la version r12 5 Si vous utilisez l abonnement hors ligne pour la mise niveau partir d une version ant rieure r12 5 reportez vous la section Mise a niveau vers CA Enterprise Log Manager des Notes de parution Si vous effectuez une mise jour de routine s lectionnez le fichier zip Chapitre 5 C
428. rts associ dans la planification configur e Important Lorsque des serveurs sont d di s s par ment la collecte et la g n ration de rapports configurez l authentification non interactive et l archivage automatique par heure du serveur de collecte au serveur de g n ration de rapports Tenez compte du volume d v nements g n r par vos sources d v nement lorsque vous choisissez de d dier ou non des serveurs la collecte et l ajustement d v nements Tenez galement compte du nombre de serveurs de collecte qui doivent archiver automatiquement leurs donn es sur un seul serveur de g n ration de rapports 22 Manuel d impl mentation Planification des serveurs Serveur de corr lation Dans un syst me serveur unique le serveur de gestion assume le r le de serveur de corr lation Dans un syst me plusieurs serveurs il est recommand d utiliser serveur de corr lation d di Un serveur de corr lation r alise les fonctions d crites ci dessous Prend en charge la configuration et l application des r gles de corr lation et des notifications Accepte les journaux d v nements entrants issus des serveurs de collecte Filtre les v nements entrants et cr e des incidents en fonction des conditions des r gles de corr lation Stocke les incidents dans la base de donn es des incidents et les v nements de leurs composants dans la base de donn es des v nements d incident
429. rveur CA ELM distant Oui Non Les options d archivage automatique de cet exemple d placent les fichiers d archive fichiers de base de donn es ti des du serveur de collecte au serveur de rapports toutes les heures Cela permet de lib rer de l espace disque pour les v nements entrants Les deux serveurs utilisent une sauvegarde incr mentielle pour ne pas avoir a d placer des volumes importants de donn es en une fois Lorsqu une base de donn es ti de est d plac e vers le serveur de rapports elle est automatiquement supprim e du serveur de collecte Remarque La valeur 0 pour l Heure de d but n a aucun effet lorsque la fr quence de sauvegarde est param tr e sur Toutes les heures Pour l Utilisateur EEM et le Mot de passe EEM vous sp cifiez les informations d identifications d un utilisateur CA Enterprise Log Manager dot du r le Administrator pr d fini ou d un r le personnalis associ une strat gie personnalis e offrant la possibilit d effectuer l action Modifier sur la ressource de la base de donn es Pour le serveur de rapports sp cifiez opt CA LogManager comme Emplacement distant et caelmservice comme Utilisateur distant en cas d archivage automatique du serveur de rapports vers le serveur de stockage distant Vous cr ez ce chemin et cet utilisateur lorsque vous configurez une authentification non interactive entre ces serveurs 182 Manuel d impl mentation Configuration du magasin de journaux d v
430. s Vous pouvez ensuite utiliser les requ tes et rapports pr d finis pour collecter des informations sur vos v nements stock s Importation partir d une table SEOSDATA en temps r el L ex cution de l utilitaire LMSeosimport sur une table SEOSDATA en temps r el n est pas recommand e mais elle peut parfois tre in vitable Si vous devez ex cuter l utilitaire sur une table en temps r el celui ci importe uniquement une certaine section de donn es En effet les v nements ajout s la base de donn es apr s le lancement de l utilitaire LMSeosimport ne sont pas import s au cours de cette session d importation 262 Manuel d impl mentation Importation des donn es d une table SEOSDATA Par exemple si vous ne sp cifiez pas les param tres minid et maxid dans la ligne de commande lorsque l utilitaire d marre il envoie une requ te la base de donn es pour trouver les ID d entr e minimal et maximal existants Par la suite l utilitaire se sert de ses requ tes et importe les activit s en fonction de ces valeurs Les v nements ins r s dans la base de donn es apr s le d marrage de l utilitaire sont dot s d ID d entr e en dehors de cette plage et ne sont donc pas import s Une fois la session d importation termin e l utilitaire affiche le dernier ID d entr e trait Vous devrez peut tre ex cuter plusieurs sessions d importation pour obtenir tous vos v nements Vous pouvez galement choisir d attendr
431. s ainsi que des instructions d taill es pour installer CA Enterprise Log Manager et v rifier l installation Configuration des utilisateurs de base Fournit des instructions pour identifier un magasin et des acc s d utilisateurs et cr er l utilisateur administratif initial afin de configurer d autres informations sur les utilisateurs et les acc s 16 Manuel d impl mentation Section Configuration des services Configuration de la collecte d v nements Cr ation de f d rations Utilisation de la biblioth que d ajustement d v nement Remarques pour les utilisateurs de CA Audit Remarques pour les utilisateurs de CA Access Control Remarques sur CA IT PAM R cup ration apr s sinistre CA Enterprise Log Manager et virtualisation propos de ce manuel Description Fournit des instructions pour configurer des services notamment les filtres globaux et locaux le magasin de journaux d v nements le serveur de rapports et les options d abonnement Fournit des concepts et des instructions pour utiliser ou configurer les composants de la biblioth que d ajustement d v nement y compris les fichiers de mappage et d analyse ainsi que les adaptateurs CA D crit diff rents types de f d rations et fournit des instructions pour cr er des relations f d r es entre les serveurs CA Enterprise Log Manager et afficher un graphique de f d ration Apporte des informations int ressantes sur l utilis
432. s consultez la section Configuration d une authentification non interactive dans le Manuel d impl mentation Veillez bien suivre les instructions d crites dans la section D finition de la propri t du fichier de cl sur un h te distant Chapitre 5 Configuration des services 175 Configuration du magasin de journaux d v nements Dans le cadre du pr sent sc nario imaginons que vous tes administrateur CA Enterprise Log Manager d un centre de donn es situ New York et dot d un r seau de serveurs CA Enterprise Log Manager chacun poss dant un r le d di plus un serveur distant disposant d une capacit de stockage importante Les noms des serveurs utilis s pour l archivage automatique sont les suivants NY Collecte ELM NY Rapports ELM m NY Serv Stockage Remarque Cet exemple suppose l existence d un serveur de gestion d di a l administration du syst me de serveurs CA Enterprise Log Manager Ce serveur n est pas d crit ici car il n a pas de fonction directe dans la proc dure d archivage automatique NY Collecte ELM NY Rapports ELM NY Serv Stockage 176 Manuel d impl mentation Configuration du magasin de journaux d v nements Pour configurer l archivage automatique entre un serveur de collecte et un serveur de rapports puis entre ce dernier et un serveur de stockage distant basez vous sur l exemple suivant 1 S lectionnez l onglet Administration puis le sous onglet Collecte de
433. s locaux s ex cutant sous safetynet sur le serveur CA Enterprise Log Manager Ce processus peut s ex cuter sous safetynet Processus CA Enterprise Log Manager qui g re la g n ration d incident et la configuration de la journalisation en traitant les informations du service de corr lation lorsqu une r gle de corr lation se d clenche Processus du magasin de journaux d v nements CA Enterprise Log Manager qui g re le stockage des v nements la cr ation de fichiers d archive et d autres fonctions Ce processus peut s ex cuter sous safetynet Processus CA Enterprise Log Manager qui g re la configuration et la gestion des requ tes Processus CA Enterprise Log Manager qui g re la configuration et la gestion des rapports planifi s les exportations de rapports et les alertes d action Processus CA Enterprise Log Manager qui g re les tests de r gle effectu s avec une fr quence ad hoc Il s agit du processus du service de collecteur SAPI Ce processus peut s ex cuter sous safetynet Nom du processus Port par d faut caelm sapirouter caelm systemstatus dxadmind dxserver igateway 5250 courtier de messages oaserver 17002 safetynet ssid Configurations initiales du serveur CA Enterprise Log Manager Description Il s agit du processus du service de routeur SAPI Ce processus peut s ex cuter sous safetynet Ce processus collecte l tat du syst me afficher dans l inter
434. s agents Apr s installation les agents fonctionnent comme un service ou un d mon et ce sont des composants de produit facultatifs utilis s dans une ou plusieurs des situations num r es ci dessous Un petit site distant doit collecter des donn es d v nement mais il n a pas besoin d un dispositif logiciel CA Enterprise Log Manager complet Vous devez filtrer les donn es la source des v nements pour r duire le trafic r seau ou la quantit de donn es stock es m Vous devez assurer la remise d v nement vers le magasin de journaux d v nements pour des raisons de conformit Vous devez s curiser la transmission des journaux sur le r seau gr ce au chiffrement des donn es Les agents agissent comme des gestionnaires de processus pour les connecteurs qui collectent des donn es d v nement provenant d applications de syst mes d exploitation ou de bases de donn es sp cifiques Les agents disposent de commandes de gestion de connecteur telles que D marrer Arr ter et Red marrer partir de l interface de l Explorateur d agent dans CA Enterprise Log Manager Les agents appliquent galement les modifications de configuration des connecteurs et les mises jour des fichiers binaires Vous pouvez installer des agents sur des sources individuelles d v nement mais aussi sur des serveurs h tes distants pour collecter des v nements provenant de plusieurs sources L installation du serveur CA Ent
435. s de votre source d v nement Les int grations les fichiers d analyse et de mappage ainsi que les r gles de suppression et de r capitulation sont voqu s plus pr cis ment dans le Manuel d administration CA Enterprise Log Manager et dans l aide en ligne Fichiers de mappade et d analyse Lors du fonctionnement CA Enterprise Log Manager lit les v nements entrants et les r partit en sections au cours d une action appel e analyse Il s agit de fichiers d analyse de message distincts pour diff rents syst mes d exploitation unit s applications et bases de donn es Une fois les v nements entrants analys s par paires nom valeur les donn es traversent un module de mappage qui place les donn es d v nement dans les champs de la base de donn es Le module de mappage utilise des fichiers de mappage de donn es cr s pour des sources d v nement sp cifiques similaires aux fichiers d analyse de message Le sch ma de base de donn es est la grammaire commune aux v nements l une des fonctions centrales de CA Enterprise Log Manager R unis l analyse et le mappage constituent le moyen de normaliser les donn es et de les stocker dans une base de donn es commune quel que soit le type d v nement ou le format de message 240 Manuel d impl mentation Fichiers de mappage et d analyse L Assistant d int gration et certains modules d adaptateurs CA impliquent que vous configuriez les fichiers de mappage et d analy
436. s la forme d interruptions SNMP depuis CA Enterprise Log Manager La MIB indique l origine de chaque identificateur d objet num rique OID utilis dans un message d interruption SNMP accompagn e d une description de l objet de donn es ou de l l ment de r seau en question Dans la MIB pour les interruptions SNMP envoy es par CA Enterprise Log Manager la description de chaque objet de donn es est destin e au champ CEG associ La MIB permet de s assurer que toutes les paires nom valeur transmises dans une interruption SNMP sont correctement interpr t es au niveau de la destination 422 Manuel d impl mentation MIB personnalis e Une MIB personnalis e est une MIB cr e pour une alerte d action envoy e vers une destination d interruption SNMP par exemple CA NSM L ID d interruption personnalis e sp cifi dans l alerte d action implique l existence d une MIB personnalis e associ e d finissant les champs CEG s lectionn s envoy s sous forme d interruption mises jour d abonnement Les mises jour d abonnement correspondent aux fichiers binaires et non binaires mis disposition par le serveur d abonnement CA Les fichiers binaires sont des mises jour du module produit g n ralement install es sur les syst mes CA Enterprise Log Manager Les fichiers non binaires ou mises jour de contenu sont enregistr s sur le serveur de gestion mises jour du contenu Les mises jour de contenu constituent la parti
437. s souhaitez vous connecter Entrez les informations d identification dans les champs User name nom d utilisateur et Password mot de passe Cliquez sur Logon connexion La fen tre de l application s ouvre S lectionnez l emplacement o vous voulez effectuer le provisionnement d un serveur CA Enterprise Log Manager sous un centre de donn es dans le volet gauche Cliquez sur File Fichier puis sur Deploy OVF Template D ployer le mod le OVF La fen tre Deploy OVF Template D ployer le mod le OVF s affiche Par d faut cette fen tre affiche la page Source Saisissez l emplacement du mod le OVF dans cette page Remarque Les pages affich es dans la fen tre Deploy OVF Template peuvent varier selon la version de Client VMware vSphere et des param tres utilis s Pour plus d informations sur le d ploiement d un mod le OVF visitez le site Web www vmware com S lectionnez l option Deploy from file D ployer partir du fichier et cliquez sur Parcourir pour s lectionner l emplacement du mod le OVF Acc dez l emplacement du mod le OVF partir de la bo te de dialogue Open Ouvrir s lectionnez le mod le OVF et cliquez sur Open Annexe E CA Enterprise Log Manager et virtualisation 343 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Le chemin d acc s de l emplacement du mod le OVF s affiche dans le champ Deploy from file D ployer partir du fichier De
438. s succ s 26 11 2009 18 04 53 Microsoft Windows security auditir Q Audit des succ s 26 11 2009 18 00 54 Microsoft Windows security auditir w Ev nement 4776 Microsoft Windows security auditing x Pour activer la collecte directe d v nements partir de sources d v nement Windows 1 S lectionnez l onglet Administration puis le sous onglet Collecte de journaux 2 Dans l Explorateur de collecte de journaux d veloppez Explorateur d agent ainsi que le groupe d agents contenant l agent par d faut CA Enterprise Log Manager 3 S lectionnez un agent par d faut c est dire un agent portant le nom d un serveur CA Enterprise Log Manager D autres connecteurs peuvent tre d ploy s sur l agent par d faut Chapitre 6 Configuration de la collecte d v nements 225 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor 4 Cliquez sur Cr er un connecteur Explorateur de collecte de journaux En wa D e E gt 3 Adaptateurs CA l J a La Biblioth que d ajustement d v nement Afficher l tat de Agen cr er un connecteur Expl te d t re z Y Gp Explorateur d agen D tails de l tat de l agent v Default Agent Group Y etr851l1 bladez ca com 2 S lectionnez les agents en cours d ex cution pour le red marrage e Agent_stop S lectionner et Red marrer D Syslog_Connector z I I 1 1 L assistant Cr ation d un connecteur appara t l
439. s sur l utilisation du service d abonnement pour mettre niveau les serveurs et les agents CA Enterprise Log Manager reportez vous la section du Manuel d administration sur les abonnements 2 Proc dez la mise niveau de tous les autres serveurs CA Enterprise Log Manager de la f d ration vers la version 12 1 SP1 3 Proc dez galement la mise a niveau de tous les agents vers la version 12 1 SP1 puis la mise jour des d tecteurs de journal de connecteur selon vos besoins Important Si vous avez d ploy un connecteur qui utilise le d tecteur de journaux Syslog sur un h te Windows proc dez la mise jour de toutes les configurations de ce connecteur Si le mode d ex cution choisi est FIPS vous pouvez utiliser le dernier d tecteur Syslog pour cette version Pour obtenir la derni re liste des int grations qui utilisent le d tecteur de journaux Syslog consultez la Matrice d int gration de produit https support ca com irj portal anonymous phpdocs filePath 0 8238 82 38_ integration _certmatrix html de CA Enterprise Log Manager 4 D sactivez l acc s d ODBC et de JDBC au magasin de journaux d v nements 5 Activez le mode FIPS sur tous les serveurs CA Enterprise Log Manager secondaires de la f d ration Les agents d tectent automatiquement le mode d exploitation du serveur CA Enterprise Log Manager qui les g re 6 Activez le mode FIPS sur le serveur principal ou de gestion 7 A l aide
440. s114 jar Copiez les fichiers jar dans le r pertoire de votre choix sur le serveur de destination et notez cet emplacement Pour JDBC sous UNIX ex cutez manuellement la commande ci dessous ou une commande similaire partir du r pertoire d installation une fois le client JDBC install chmod R ugo x emplacement fichier Remplacez emplacement_fichier par le r pertoire d installation du client JDBC Cette tape vous permet d ex cuter les scripts shell fournis avec le client install Chapitre 3 Installation de CA Enterprise Log Manager 125 Installation du client JDBC Param tres de connexion JDBC Certaines applications n cessitent des param tres de connexion particuliers pour utiliser le pilote du client JDBC Les param tres courants sont les suivants m Cha ne ou URL de connexion Nom de classe Le format de la cha ne ou de l URL de connexion JDBC est le suivant jdbc ca elm CA ELM host name ODBC JDBCport ServerDataSource Default Le nom de classe du pilote JDBC est com ca jdbc openaccess OpenAccessDriver Consid rations sur les URL JDBC jdbc ca Pour acc der aux donn es d v nements stock es dans CA Enterprise Log Manager avec le client JDBC vous avez besoin du chemin de classes JDBC et d une URL JDBC Le chemin de classes JDBC correspond aux emplacements des fichiers JAR du pilote L URL JDBC d finit les param tres utilis s par les classes des fichiers JAR lors du chargement
441. sateur par d faut caelmadmin qui dispose uniquement de la fonction de connexion sans autres droits 110 Manuel d impl mentation Configurations initiales du serveur CA Enterprise Log Manager Pour un acc s de niveau root au serveur CA Enterprise Log Manager vous pouvez acc der au serveur avec ce compte puis passer a l utilisateur root pour acc der aux outils d administration Cela signifie que vous devez conna tre les mots de passe caelmadmin et root pour pouvoir acc der au syst me en tant qu utilisateur root Aucun autre logiciel de s curit sp cifique n est install avec CA Enterprise Log Manager Pour conserver d excellentes performances n installez pas d autres applications sur le serveur CA Enterprise Log Manager Affectations de ports par d faut Port 53 Le serveur CA Enterprise Log Manager est configur par d faut pour couter sur le port 5250 et sur les ports 80 et 443 pour le protocole HTTPS Les processus et d mons CA Enterprise Log Manager ne s ex cutent pas sous le compte root ils ne peuvent donc pas ouvrir de ports inf rieurs au port 1024 Par cons quent l installation cr e automatiquement une redirection par le biais de tables IP vers le port 5250 pour les demandes entrantes de l interface utilisateur sur les ports 80 et 443 Le d mon Syslog du syst me d exploitation local du serveur CA Enterprise Log Manager n est pas configur car CA Enterprise Log Manager utilise ses v nements d auto
442. sation consultez le Manuel de pr sentation Pour plus de d tails sur l utilisation et la maintenance du produit consultez le Manuel d administration Pour obtenir de l aide quant l utilisation d une page CA Enterprise Log Manager consultez l aide en ligne 18 Manuel d impl mentation Chapitre 2 Planification de votre environnement Ce chapitre traite des sujets suivants Planification des serveurs page 20 Planification de la collecte de journaux page 29 Planification de f d ration page 34 Planification des utilisateurs et des acc s page 42 Planification des mises jour d abonnement page 50 Planification d agent page 63 Chapitre 2 Planification de votre environnement 19 Planification des serveurs Planification des serveurs La premi re tape de la planification de votre environnement consiste d terminer le nombre de serveurs CA Enterprise Log Manager n cessaires et le r le assum par chaque serveur Les r les sont r pertori s ci dessous Gestion Le serveur stocke des configurations et des contenus pr d finis et d finis par l utilisateur Il authentifie galement les utilisateurs et autorise l acc s aux fonctions Collecte Le serveur re oit les journaux d v nements de ses agents et ajuste les v nements Corr lation Le serveur re oit les journaux d v nements des agents ou des serveurs de collecte Il filtre les v nements et cr e des incidents en fonction des r
443. se qui d crivent le mieux les genres de donn es d v nement cout es par un connecteur ou un adaptateur Dans les panneaux de configuration o apparaissent ces contr les l ordre des fichiers d analyse de message doit refl ter le nombre relatif d v nements re us du m me type L ordre des fichiers de mappage des donn es doit galement refl ter la quantit d v nements re us en provenance d une source donn e Par exemple si le module de l couteur Syslog pour un serveur CA Enterprise Log Manager sp cifique re oit principalement des v nements du pare feu Cisco PIX vous devez placer les fichiers CiscoPIXFW XMPS et CiscoPIXFW DMS en premier dans leurs listes respectives Chapitre 8 Utilisation de la biblioth que d ajustement d v nement 241 Annexe A Remarques pour les utilisateurs de CA Audit Ce chapitre traite des sujets suivants Pr sentation des diff rences entre les architectures page 243 Configuration d adaptateurs CA page 251 Envoi d v nements CA Audit CA Enterprise Log Manager page 256 Quand importer des v nements page 261 Importation des donn es d une table SEOSDATA page 263 Pr sentation des diff rences entre les architectures Lorsque vous planifiez l utilisation conjointe de CA Audit et de CA Enterprise Log Manager vous devez au pr alable comprendre les diff rences entre les architectures et leurs effets sur la structure de votre r seau CA Enterprise Log Manage
444. serv es pendant le nombre d heures configur pour la strat gie d exportation Vous pouvez effectuer des requ tes sur des journaux d v nements dans les bases de donn es chaudes ti des et d givr es tat froid d une base de donn es L tat froid s applique une base de donn es ti de lorsqu un administrateur ex cute l utilitaire LMArchive pour avertir CA Enterprise Log Manager que la base de donn es a t sauvegard e Les administrateurs doivent sauvegarder les bases de donn es ti des et ex cuter cet utilitaire avant que ces bases de donn es ne soient supprim es En effet une base de donn es ti de est automatiquement supprim e lorsque son anciennet d passe la valeur Nbre max de jours d archivage d finie ou lorsque le seuil Espace disque d archivage est atteint d s que l une de ces deux conditions est remplie Vous pouvez interroger la base de donn es d archivage pour identifier les bases de donn es dont l tat est ti de ou froid tat ti de d une base de donn es L tat ti de correspond une base de donn es chaude de journaux d v nements qui est d plac e lorsque sa taille atteint la limite maximale sp cifi e Nombre maximum de lignes ou lorsqu un recatalogage est effectu apr s restauration d une base de donn es froide dans un nouveau magasin de journaux d v nements Les bases de donn es ti des sont conserv es dans le magasin de journaux d v nements jusqu ce que leur anciennet e
445. serveurs CA Enterprise Log Manager r12 1 SP1 peuvent communiquer avec des agents r12 1 mais la norme FIPS n est pas prise en charge au niveau des agents tant que la mise niveau vers la version 12 1 SP1 n est pas effectu e Lorsque vous activez le mode FIPS seuls les agents r12 1 SP1 et sup rieurs en mode FIPS peuvent communiquer avec le serveur CA Enterprise Log Manager Lorsque vous activez le mode non FIPS le serveur CA Enterprise Log Manager est compl tement r trocompatible avec des agents plus anciens mais les op rations en mode FIPS ne sont pas disponibles Nous vous recommandons d installer uniquement les agents r12 1 SP1 apr s avoir mis niveau vos serveurs CA Enterprise Log Manager vers la version 12 1 SP1 Les agents associ s un serveur CA Enterprise Log Manager d tectent automatiquement les modifications de mode du serveur et red marrent en mode correspondant L ajout d un nouveau serveur CA Enterprise Log Manager une f d ration existante ex cut e en mode FIPS suppose un traitement sp cial Pour plus d informations sur l ajout d un nouveau serveur CA Enterprise Log Manager une f d ration existante consultez la section du Manuel d impl mentation correspondante Chapitre 3 Installation de CA Enterprise Log Manager 93 Mise niveau des serveurs et des agents CA Enterprise Log Manager existants pour la prise en charge de la norme FIPS Mise a niveau d un serveur CA EEM distant Si vous utilisez u
446. sf re sur le serveur de rapports CA Enterprise Log Manager NY Rapports ELM Les bases de donn es ti des sont supprim es du serveur NY Collecte ELM lors du d placement NY Rapports ELM conserve les bases de donn es pouvant faire l objet de requ tes tant que le d lai d fini par le param tre Nbre max de jours d archivage n est pas coul L archivage automatique tant planifi tous les jours le syst me d place quotidiennement les bases de donn es ti des et les transf re sur NY Serv Stockage en tant que bases de donn es froides Ces derni res peuvent tre conserv es sur le serveur de stockage pendant une longue p riode Pour conserver les bases de donn es froides pendant le nombre d ann es requis transf rez les depuis NY Serv Stockage sur le r seau jusqu un syst me de stockage long terme hors site La fonction de l archivage est de garder les journaux d v nements disposition des fins de restauration Les bases de donn es froides peuvent tre restaur es si n cessaire afin d tudier des v nements consign s dans les journaux Le d placement manuel des bases de donn es archiv es entre le serveur de stockage sur site et le syst me de stockage long terme hors site est illustr dans le sch ma suivant NY Serv Stockage Stockage long terme hors site Chapitre 5 Configuration des services 179 Configuration du magasin de journaux d v nements 4 Imaginez une situation o
447. si une table SEOSDATA contient des v nements CA Access Control et d cider de la m thode d importation vous devez ex cuter un rapport d v nements Le nom de journal pour les v nements CA Access Control est eTrust Access Control Le rapport r pertorie tous les v nements contenus dans la base de donn es s par s par leurs noms de journaux La m thode la plus simple pour importer des v nements CA Access Control consiste les importer en fonction de leur nom de journal 290 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Pour cr er un rapport d v nements 1 Cr ez un rapport d v nements pour pouvoir visualiser les v nements CA Access Control pr sents dans la table SEOSDATA LMSeosImport dsn Mon DSN Audit user sa password sa report Apr s traitement l utilitaire affiche un rapport qui ressemble a ce qui suit Importation d but e le Ven Jan 2 15 20 30 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon DSN Audit DUREE minimale DUREE maximale 2008 05 27 2009 01 02 Unix 12 804 ACF2 1 483 eTrust AC 143 762 com ca iTechnology iSponsor 66 456 NT Application 5 270 CISCO PIX Firewall 5 329 MS IIS 6 765 Netscape 530 RACF 14 Apache 401 S 0 28 222 SNMP recorder 456 Check Point FW 1 1 057 EiamSdk 2 790
448. sion d anciennes donn es dans les rapports actuels en n int grant pas ce serveur dans votre f d ration Dans cet exemple le serveur de collecte et le serveur de rapports repr sentent une configuration dot e d exigences de traitement exceptionnellement lev es Ces serveurs sont f d r s dans une configuration hi rarchique o le serveur de collecte est l enfant du serveur de rapports Les deux serveurs agissant tous les deux comme serveurs de collecte et de rapports constituent une configuration dot e de volumes d v nements et de rapports planifi s normaux Ils sont f d r s entre eux et avec le serveur de rapports d di dans une f d ration maill e ces trois serveurs sont donc des pairs Le but de la f d ration de serveurs consiste accro tre la possibilit d obtenir des r sultats de requ te provenant des serveurs f d r s Une requ te f d r e provenant d un des serveurs maill s renvoie des v nements de ce serveur et des trois autres serveurs de la f d ration Remarque Si vous souhaitez ex cuter des rapports consolid s sur des v nements d autosurveillance int grez le serveur de gestion dans la f d ration Chapitre 2 Planification de votre environnement 61 Planification des mises jour d abonnement Dans ce sc nario la solution recommand e consiste configurer le point de restauration sur le proxy d abonnement en ligne car c est le serveur le moins actif Configurez ensuite chaq
449. site la pr sence des biblioth ques de liens dynamiques etsapi et etbase Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosimport assurez vous que le r pertoire Program Files CA eTrust Audit bin est inclus dans votre instruction PATH syst me Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Windows 2 Ins rez le DVD ROM d installation de l application CA Enterprise Log Manager 3 Acc dez au r pertoire CA ELM Windows 4 Copiez l utilitaire LMSeosimport exe dans le r pertoire iTechnology du serveur d outils de donn es CA Audit lt lecteur gt Program Files CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t copi dans le r pertoire d sign Il n existe aucune installation distincte ex cuter 288 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Copie de l utilitaire d importation d v nements sur un serveur d outils de donn es Solaris Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosimport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Solaris Remarque L utilitaire LMSeosimport n cessite la pr sence des biblioth ques etsapi et etbase
450. souhaitez afficher uniquement les donn es du serveur CA Enterprise Log Manager actuel Pour d finir l utilisation des requ tes f d r es 1 Connectez vous au serveur CA Enterprise Log Manager 2 Cliquez sur le bouton Afficher Modifier les filtres globaux Ce bouton se trouve droite du nom du serveur CA Enterprise Log Manager actuel juste au dessus des onglets principaux 3 Cliquez sur l onglet Param tres 4 Indiquez si vous souhaitez utiliser des requ tes f d r es Si vous d sactivez l option de s lection des requ tes f d r es les rapports affich s ne contiendront pas de donn es d v nement provenant des serveurs configur s comme tant les enfants de ce serveur Informations compl mentaires Configuration d une f d ration CA Enterprise Log Manager page 235 Configuration d un serveur CA Enterprise Log Manager en tant que serveur enfant page 236 Configuration de l intervalle global de mise jour Vous pouvez d finir l intervalle selon lequel les services CA Enterprise Log Manager recherchent des changements de configuration Apr s l installation la valeur par d faut est cinq minutes exprim e en secondes La d finition de cette valeur sur des intervalles tr s longs peut entra ner un retard des changements de configuration n cessaires dans leur application 156 Manuel d impl mentation Configuration du magasin de journaux d v nements Pour configurer l intervalle de mise jour
451. sse IP _serveur gt 5250 spin calm L cran de connexion CA Enterprise Log Manager s affiche 2 Connectez vous en tant qu utilisateur administratif EiamAdmin Le sous onglet Gestion des utilisateurs et des acc s de l onglet Administration s affiche Vous pouvez consid rer l installation comme r ussie si vous pouvez vous connecter au serveur CA Enterprise Log Manager Remarque Vous devez configurer un ou plusieurs services de sources d v nement avant de pouvoir recevoir des donn es d v nement et afficher des rapports Affichade des v nements d autosurveillance Vous pouvez utiliser les v nements d autosurveillance pour v rifier que le serveur CA Enterprise Log Manager est correctement install M me si vous devez terminer certaines t ches de configuration avant que CA Enterprise Log Manager ne puisse collecter des donn es de journaux d v nements et g n rer des rapports sur votre r seau vous pouvez afficher directement des v nements d autosurveillance g n r s par le serveur CA Enterprise Log Manager La connexion au serveur CA Enterprise Log Manager est le premier et le meilleur test d une installation r ussie Les v nements d autosurveillance constituent un autre moyen de v rifier l tat du serveur CA Enterprise Log Manager Diff rents types d v nements d autosurveillance sont disponibles Utilisez la proc dure suivante pour afficher des donn es d v nements suppl mentaires provenant d v
452. sse de ce compte dans les champs Nouveau mot de passe et Confirmer le mot de passe d Cliquez sur Enregistrer 7 Cliquez sur D connexion Installation de composants tiers requis par CA IT PAM JDK 1 6 ou une version ult rieure doit tre install e sur votre syst me avant d installer les composants tiers Ex cutez Third_Party_Installer_windows exe sur le serveur Windows ou vous comptez installer CA IT PAM Consultez le manuel d installation de CA IT Process Automation Manager pour de plus amples d tails Annexe C Remarques sur CA IT PAM 307 Installation du domaine CA IT PAM Installation du domaine CA IT PAM L ex cution de l assistant CA IT PAM avec les sp cifications d crites ici relie le certificat de sorte que CA IT PAM et CA EEM soient s curis s sur le serveur de gestion CA Enterprise Log Manager Conservez votre disposition les informations ci dessous Le mot de passe du fichier du certificat EEM itpamcert p12 Il se peut que vous ayez modifi la valeur par d faut dans le fichier ITPAM_eem xml pendant l tape Pr paration de l impl mentation de l authentification CA IT PAM sur un CA EEM partag Le nom d h te du serveur de gestion CA Enterprise Log Manager Il s agit du serveur auquel vous vous tes connect pour l tape Enregistrement de CA IT PAM avec un CA EEM partag Le mot de passe itpamadmin d fini pendant l tape D finition des mots de passe pour les comptes d utilisateurs CA IT PAM pr
453. ssurer de ne perdre aucun v nement Remarque Si vous voulez envoyer des v nements partir d un client externe vers l couteur du module d extensation d v nements iTechnology envoyez ces v nements uniquement au serveur CA Enterprise Log Manager secondaire Pour configurer le module d extension d v nements iTechnology 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut 2 D veloppez l entr e Adaptateurs CA Annexe A Remarques pour les utilisateurs de CA Audit 255 Envoi d v nements CA Audit CA Enterprise Log Manager 3 S lectionnez le service Module d extension d v nements iTechnology 4 S lectionnez un ou plusieurs fichiers de mappage de donn es dans la liste Fichiers de mappage de donn es disponibles puis utilisez les fl ches pour les d placer vers la liste S lectionner les fichiers de mappage de donn es Le service du module d extension d v nements est pr configur pour inclure la plupart des principaux fichiers de mappage de donn es 5 Cliquez sur Enregistrer pour stocker les modifications apport es aux fichiers de configuration du serveur de gestion Envoi d v nements CA Audit CA Enterprise Log Manager Vous pouvez int grer CA Enterprise Log Manager dans votre impl mentation CA Audit de l une des mani res ci dessous Reconfigurez un iRecorder ne se trouvant pas
454. stallation termin e Si vous rencontrez des erreurs lors de l installation il est possible que vous souhaitiez effectuer une ou plusieurs actions ci dessous pour achever votre installation Chacune de ces actions implique de se connecter au serveur CA Enterprise Log Manager l aide du compte par d faut caelmadmin puis de passer l utilisateur root m R soudre une erreur de configuration de l interface r seau V rifier que le package RPM est install V rifier que le d mon iGateway s ex cute Enregistrer l application CA Enterprise Log Manager aupr s du serveur CA EEM Obtenir des certificats num riques Importer des rapports CA Enterprise Log Manager Importer des fichiers de mappage de donn es Importer des fichiers d analyse de message Importer des fichiers de grammaire commune aux v nements CEG Importer des fichiers de gestion commune des agents 128 Manuel d impl mentation D pannage de l installation R soudre une erreur de configuration de l interface r seau Apr s l installation si vous ne parvenez pas acc der l interface utilisateur du serveur CA Enterprise Log Manager vous rencontrez peut tre une erreur de configuration de l interface r seau Vous avez deux options pour r soudre l erreur a D branchez le c ble r seau physique et branchez le sur un autre port Reconfigurez les adaptateurs logiques de l interface r seau partir d une ligne de commande Pour
455. stauration d un serveur CA Enterprise Log Manager suite une mise jour d abonnement Restauration d un serveur CA Enterprise Log Manager suite une mise jour d abonnement Vous pouvez restaurer un serveur CA Enterprise Log Manager apr s l chec d une mise jour d abonnement ou dans le cas d une mise jour non n cessaire pour quelque raison que ce soit Lors de chaque t l chargement d abonnement des fichiers de sauvegarde sont cr s avec la date de la sauvegarde Cette proc dure permet de restaurer uniquement le serveur de gestionnaire de journaux m me mais pas les autres composants comme EEM Pour restaurer un serveur suite une mise jour d abonnement 1 Arr tez le processus iGateway sur le nouveau serveur Pour ce faire acc dez au dossier opt CA SharedComponents iTechnology et ex cutez la commande ci dessous S99igateway stop 2 Acc dez au r pertoire opt CA SharedComponents iTechnology 3 Entrez la commande suivante sh restore sh lt backupdate gt lt backupversion gt Exemple sh restore sh 22 Sep 2010 12 0 45 10 4 Acc dez au r pertoire opt CA SharedComponents iTechnology 5 D marrez le processus iGateway Pour ce faire ex cutez la commande ci dessous S99igateway start Remplacement d un serveur CA Enterprise Log Manager Utilisez la proc dure suivante pour remplacer un serveur CA Enterprise Log Manager de collecte apr s un sinistre ou une panne de grande ampleur Cette
456. stock es dans la base de donn es du collecteur CA Audit table SEOSDATA Utiliser des agents pour envoyer des journaux d v nements la seule infrastructure du serveur CA Enterprise Log Manager Autoriser les agents CA Enterprise Log Manager et les clients CA Audit dot s d iRecorders fonctionner sur le m me h te physique Utiliser son Explorateur d agent int gr pour g rer uniquement des agents CA Enterprise Log Manager Lors du fonctionnement c te c te des deux syst mes CA Audit utilise son gestionnaire de strat gies uniquement pour g rer les clients CA Audit 244 Manuel d impl mentation CA Enterprise Log Manager ne peut pas Autoriser les agents CA Enterprise Log Manager et les clients CA Audit dot s d iRecorders sur le m me h te acc der simultan ment aux m mes sources de journaux Migrer les donn es CA Audit contenues dans les collecteurs de tables les mod les de rapports ou les rapports personnalis s les strat gies d alerte les strat gies de collecte filtrage ou encore les strat gies de contr le d acc s bas es sur des r les Pr sentation des diff rences entre les architectures Architecture CA Audit L illustration qui suit montre une impl mentation CA Audit simplifi e Outils de donn es Surveillance de la s curit Strat gies ges Pa i Gestionnaire de strat gies Clients Audit Dans certains d ploiements de CA Audit en entreprise les donn es
457. strat gies de mots de passe configur es s appliquent tous les utilisateurs CA Enterprise Log Manager 144 Manuel d impl mentation Conservation des strat gies d acc s pr d finies Informations compl mentaires Planification de la strat gie de mots de passe page 47 Nom d utilisateur comme mot de passe page 48 Anciennet et r utilisation du mot de passe page 49 Longueur et format du mot de passe page 49 Conservation des strat gies d acc s pr d finies Si vous pr voyez d utiliser uniquement les groupes d utilisateurs d applications pr d finis ou r les avec les strat gies pr d finies associ es il peut y avoir un petit risque de suppression ou de corruption des strat gies pr d finies Toutefois si vos administrateurs pr voient de cr er des r les d finis par l utilisateur et des strat gies d acc s associ es les strat gies pr d finies seront accessibles modifiables et vuln rables aux modifications non souhait es Mieux vaut alors conserver une sauvegarde des strat gies pr d finies d origine que vous pouvez restaurer le cas ch ant Cr ez un fichier de sauvegarde contenant chaque type de strat gie pr d finie l aide de la fonction Exporter Vous pouvez copier ces fichiers sur un m dia externe ou les laisser sur le disque du serveur sur lequel l exportation a t r alis e Remarque Pour conna tre les proc dures de sauvegarde des strat gies pr d finies consultez le Manue
458. support VMware Tools Shut Down Power Management Standby Advanced Vv General Normal CPUID Mask Expose Nx flagto Boot Options Delay 0 ms Paravirtualization Enabled Fibre Channel NPIV None CPU MMU Virtualization Automatic Swapfile Location Use default settings Help OK Cancel Annexe E CA Enterprise Log Manager et virtualisation 387 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 4 Cliquez sur l onglet Resources Ressources dans la fen tre 5 S lectionnez l option CPU UC sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev Example CA Enterprise Log Manager Yirtual Machine Properties OMR OMB Normal HT Sharing Any 388 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 6 S lectionnez l option Memory M moire sous la colonne Settings Param tres puis dans la liste d roulante Shares Partages situ e dans la section Resource Allocation Allocation de ressources s lectionnez High Elev Example CA Enterprise Log Manager Virtual Machine Properties 7 Cliquez sur OK 8 Remarque Pour plus d informations sur la paravirtualization visite le site Web www vmware com Annexe E CA Enterprise Log Manager et vir
459. sur Suivant Une bo te de dialogue d options avanc es s affiche Vous pouvez stocker ce disque avec votre ordinateur virtuel ou sp cifier un autre emplacement Nous recommandons un espace minimal de 500 Go Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant Confirmez vos param tres et cliquez sur Terminer pour cr er le nouvel ordinateur virtuel Ajout de lecteurs de disques virtuels Utilisez la proc dure suivante afin d ajouter des lecteurs de disques virtuels pour le stockage de journaux d v nements Utilisez les m mes param tres sans tenir compte du r le jou par un serveur CA Enterprise Log Manager sp cifique sur votre r seau Annexe E CA Enterprise Log Manager et virtualisation 327 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Pour modifier Les param tres 1 Cliquez avec le bouton droit sur votre ordinateur virtuel dans le client VMware Infrastructure et s lectionnez Modifier les param tres La bo te de dialogue Propri t s de l ordinateur virtuel s affiche 2 Mettez en surbrillance les propri t s du lecteur de CD DVD 1 3 Cliquez sur le bouton d option Unit h te et s lectionnez votre lecteur de DVD ROM dans la liste d roulante 4 S lectionnez l option Etat de l unit Connecter au d marrage 5 Cliquez sur Ajouter pour lancer l assistant d ajout de mat riel et ajouter un deuxi me disque dur 6 Mettez le disque dur en su
460. sur le m me h te qu un client CA Audit pour envoyer les v nements CA Enterprise Log Manager Modifiez une strat gie CA Audit existante pour envoyer des v nements CA Audit et CA Enterprise Log Manager Configuration d iRecorder pour envoyer des v nements CA Enterprise Log Manader CA Enterprise Log Manager re oit des v nements provenant d iRecorders par le biais de l couteur du module d extension d v nements iTech Vous devez configurer l couteur avant de modifier la configuration d iRecorder Sans quoi vous risquez de perdre des donn es d v nement Apr s avoir configur l couteur utilisez cette proc dure pour configurer l iRecorder afin qu il envoie les v nements au serveur CA Enterprise Log Manager Les iRecorders install s sur le m me ordinateur qu un client CA Audit envoient des v nements directement au client Pour ces ordinateurs vous devez utiliser des adaptateurs de collecteur ou de routeur SAPI Important Un iRecorder autonome peut envoyer ses v nements une seule destination Si vous reconfigurez un iRecorder l aide de la proc dure qui suit les v nements sont stock s uniquement dans le magasin de journaux d v nements CA Enterprise Log Manager Si vous devez conserver des v nements dans le magasin de journaux d v nements et dans la base de donn es du collecteur CA Audit modifiez une action de r gle dans une strat gie existante o cr ez une nouvelle s
461. surveillance pour suivre l tat du syst me Vous pouvez afficher d autres v nements locaux et g n rer des rapports sur des actions entreprises sur le serveur CA Enterprise Log Manager local l aide des v nements d autosurveillance Vous trouverez ci dessous la liste des ports utilis s par l environnement CA Enterprise Log Manager Composant Description Serveur CA Enterprise Port TCP UDP qui doit tre disponible dans le cadre des Log Manager communications DNS pour permettre la r solution des noms d h te et des adresses IP des serveurs tels que les serveurs CA Enterprise Log Manager le serveur CA EEM distant s il est configur et le serveur NTP si la synchronisation NTP a t s lectionn e lors de l installation Les communications DNS ne sont pas n cessaire si vous mappez des noms d h te aux adresses IP du fichier local etc hosts Chapitre 3 Installation de CA Enterprise Log Manager 111 Configurations initiales du serveur CA Enterprise Log Manager Port 80 111 443 514 1468 2123 5250 6789 17001 Composant Serveur CA Enterprise Log Manager Mappeur de ports SAPI Serveur CA Enterprise Log Manager Syslog Syslog DXadmin Serveur CA Enterprise Log Manager Agent Agent 112 Manuel d impl mentation Description Communications TCP avec l interface utilisateur du serveur CA Enterprise Log Manager via HTTPS redirection automatique vers le port 5250 Communic
462. t une r gle existante Si vous cr ez une action Collecteur pour une r gle d une strat gie CA Audit existante configurez l adaptateur CA du collecteur SAPI pour recevoir les v nements m Si vous cr ez une action Acheminement pour une r gle d une strat gie CA Audit existante configurez l adaptateur CA du routeur SAPI pour recevoir les v nements Pour obtenir les instructions de reconfiguration pour l envoi direct d v nements CA Enterprise Log Manager consultez la documentation des sources SAPI Si vous envisagez d installer un iRecorder autonome ou d utiliser un iRecorder existant configurez le module d extension d v nements iTech pour recevoir les v nements Vous pouvez par exemple utiliser cette approche si CA Audit n est pas install mais que vous souhaitez vous servir d un iRecorder CA pour collecter les v nements provenant d une source d v nement prise en charge Ce processus inclut les tapes ci dessous Configuration du module d extension d v nements iTechnology Configuration du produit iRecorder ou iTechnology pour envoyer les v nements directement au serveur CA Enterprise Log Manager A propos du routeur et du collecteur SAPI Les services SAPI sont g n ralement utilis s pour recevoir des v nements provenant de clients CA Audit et produits int gr s CA Enterprise Log Manager utilise deux instances d un service d couteur SAPI l une install e en tant que collecteur SAPI
463. t d envoyer la cl du serveur de g n ration de rapports car vous utilisez le compte caelmadmin cr pour communiquer avec le serveur de g n ration de rapports Pour cr er une structure de fichier et d finir Les droits de propri t du fichier sur Le serveur de stockade distant 1 Connectez vous au serveur de stockage distant RSS via ssh en tant qu utilisateur root Cr ez un nouvel utilisateur appel caelmadmin Cr ez un groupe appel caelmservice puis cr ez un nouvel utilisateur appel caelmservice Cr ez le r pertoire qui servira d emplacement distant celui par d faut tant opter CA LogManager Remarque Pour utiliser un r pertoire diff rent indiquez le lorsque vous configurez l emplacement distant pour l archivage automatique Remplacez le r pertoire de base de caelmservice par opter CA LogManager ou par le r pertoire d emplacement distant pr vu Le r pertoire par d faut est utilis dans l exemple suivant usermod d opt CA LogManager caelmservice D finissez les autorisations du fichier pour caelmservice Le r pertoire Emplacement distant par d faut est utilis dans l exemple suivant chown R caelmservice caelmservice opt CA LogManager Remplacez les r pertoires par opter CA LogManager ou par l emplacement distant Cr ez le dossier ssh Remplacez le propri taire du dossier ssh par le groupe et l utilisateur caelmservice chown caelmservice caelmservice ssh 10
464. t l autorisation des utilisateurs ainsi que la gestion des configurations de tous les serveurs agents et connecteurs CA Enterprise Log Manager sur votre r seau l aide de son serveur CA EEM local En fonction de la taille de votre r seau et de son volume d v nements vous pouvez choisir d installer plusieurs serveurs de gestion et de cr er des f d rations de serveurs de collecte pour chaque serveur Vous pouvez galement d dier plusieurs serveurs aux rapports lorsque tous les serveurs de rapports s enregistrent aupr s de votre unique serveur de gestion Dans ce sc nario le flux d v nements passe des sources d v nement au serveur de collecte configur puis au serveur de rapports configur Un ou plusieurs serveurs CA Enterprise Log Manager de collecte traitent et stockent les v nements entrants m Les v nements circulent sur votre r seau de collecte de journaux depuis diff rentes sources d v nement apr s la configuration des connecteurs et adaptateurs correspondants Cr ation des DVD d installation Le logiciel CA Enterprise Log Manager est disponible sous forme d images ISO compress es et t l chargeables Apr s avoir t l charg le logiciel vous devez cr er des DVD avant de pouvoir l installer Utilisez la proc dure suivante pour t l charger les images ISO et cr er les disques d installation Chapitre 3 Installation de CA Enterprise Log Manager 75 Installation d un serveur CA Enterprise
465. t s qui fait g n ralement partie ou est g r par le serveur d outils de donn es qui produit galement certains rapports Toutefois vous devez disposer de capacit s suppl mentaires pour chelonner votre solution afin de g rer rapidement les volumes croissants d v nements Vous devez g n rer des rapports attestant de la conformit avec diverses r glementations f d rales et internationales Vous devez galement pouvoir retrouver rapidement et facilement ces rapports 246 Manuel d impl mentation Pr sentation des diff rences entre les architectures Architecture CA Enterprise Log Manager L illustration ci dessous repr sente une impl mentation CA Enterprise Log Manager de base comprenant deux serveurs Gestion g n ration de rapports Collecte v nements configuration et contr le 4 v nements Syslog H te de l agent v nements Serveur UNIX Linux Lecteur de cartes Windows Annexe A Remarques pour les utilisateurs de CA Audit 247 Pr sentation des diff rences entre les architectures Un syst me CA Enterprise Log Manager peut comprendre un ou plusieurs serveurs et le premier serveur install est le serveur de gestion Un syst me ne peut comprendre qu un seul serveur de gestion mais vous pouvez avoir plusieurs syst mes Le serveur de gestion conserve le contenu et la configuration de tous les serveurs CA Enterprise Log Manager et il effectue l autorisation et
466. t bas e sur le nombre d unit s de votre r seau et sur le volume d v nements g n r s D cidez du nombre de couches de serveurs f d r s n cessaires Ce nombre est fond en partie sur les d cisions prises lors des tapes 2 et 3 Identifiez les types d v nements re us par chaque serveur CA Enterprise Log Manager de la f d ration Si votre r seau compte un grand nombre d unit s Syslog et seulement quelques serveurs Windows vous pouvez d cider d affecter express ment un serveur CA Enterprise Log Manager la collecte d v nements Windows Vous pouvez avoir besoin de plusieurs serveurs pour g rer le trafic des v nements Syslog En planifiant l avance quels serveurs CA Enterprise Log Manager re oivent quels types d v nements vous simplifiez la configuration des couteurs et services locaux Tracez une carte de ce r seau pour l utiliser lors de la configuration des serveurs CA Enterprise Log Manager f d r s enfants Si vous les connaissez incluez les noms DNS et les adresses IP sur votre carte Vous utiliserez les noms DNS des serveurs CA Enterprise Log Manager pour configurer les relations de f d ration entre eux 36 Manuel d impl mentation Planification de f d ration Exemple Carte de f d ration pour une grande entreprise Lors de la cr ation d une carte de f d ration tenez compte des types de rapports pour lesquels vous souhaitez diff rents ensembles de donn es consolid es Par
467. t d un agent ou d un connecteur page 229 Installation d agents Gr ce auxinstallations distinctes pour des plates formes sp cifiques les agents CA Enterprise Log Manager apportent la couche transport qui permet de transmettre les v nements des sources d v nement au magasin de journaux d v nements du serveur CA Enterprise Log Manager Les agents utilisent des connecteurs pour collecter des journaux d v nements provenant de diff rentes sources d v nement Le diagramme qui suit illustre les interactions entre les agents et le serveur CA Enterprise Log Manager Serveur CA Enterprise Explorateur d agent Connecteur pour 9 CA Access Control Service du Connecteur pour magasin de journaux d v nements Magasin de journaux d v nements Flux d v nements Messages de commandes et de contr les Chapitre 6 Configuration de la collecte d v nements 211 Utilisation de l Explorateur d agent Apr s avoir install un agent sur une source d v nement vous pouvez configurer un ou plusieurs connecteurs pour collecter des v nements provenant de sources d v nement telles que des unit s des applications des syst mes d exploitation et des bases de donn es Les exemples du diagramme incluent des connecteurs pour CA Access Control et une base de donn es Oracle En g n ral vous installez un seul agent par serveur h te ou source d v nement mais vous pouvez configurer plusieurs
468. t jour de la semaine 4 Facultatif Cliquez sur Modifier en haut du volet pour modifier les param tres de filtre si n cessaire Par exemple vous pouvez changer les heures de travail habituelles et les ajuster aux sp cifications r gionales L assistant de gestion des r gles s ouvre et affiche les informations d taill es de la r gle 5 Ajoutez tous les d tails de notification n cessaires dans le l assistant de gestion des r gles Les d tails de notification fournissent le contenu du message d livr aux destinations de notification 186 Manuel d impl mentation Configuration du service de corr lation Apr s avoir pr par la r gle cliquez sur Enregistrer et fermer dans l assistant Lorsque vous modifiez et enregistrez une r gle de corr lation pr d finie CA Enterprise Log Manager cr e automatiquement une nouvelle version en conservant la version originale Cliquez sur le sous onglet Services puis d veloppez le noeud Service de corr lation S lectionnez le serveur sur lequel vous voulez appliquer la r gle Si vous avez identifi un serveur de corr lation s lectionnez le Cliquez sur Appliquer dans la zone Configuration de la r gle et s lectionnez la nouvelle version de la r gle Cr ation de comptes en dehors des heures habituelles de bureau ainsi que la destination de notification que vous voulez associer 10 Cliquez sur OK pour fermer la bo te de dialogue et activez la r gle Exemple s
469. t un proxy hors ligne un proxy en ligne ou un client d abonnement Glossary 423 module d extension d v nements iTech NIST Le module d extension d v nements iTech est un adaptateur CA qu un administrateur peut configurer l aide de fichiers de mappage s lectionn s Il re oit des v nements provenant d iRecorders de CA EEM d iTechnology ou de tout produit capable d envoyer des v nements via Technology Le National Institute of Standards and Technology NIST est l agence technologique f d rale am ricaine qui propose des recommandations dans une publication intitul e Special Publication 800 92 Guide to Computer Security Log Management en anglais qui ont servi de base pour CA Enterprise Log Manager nom d utilisateur EiamAdmin Norme FIPS 140 2 EiamAdmin est le nom de superutilisateur par d faut affect au programme d installation des serveurs CA Enterprise Log Manager Lors de l installation du premier logiciel CA Enterprise Log Manager le programme d installation cr e un mot de passe pour ce compte de superutilisateur sauf si un serveur CA EEM distant existe d j Dans ce cas le programme d installation doit entrer le mot de passe existant Une fois le dispositif logiciel install le programme d installation ouvre un navigateur partir d une station de travail entre l URL de CA Enterprise Log Manager et se connecte en tant qu utilisateur EiamAdmin avec le mot de passe associ Ce premier utilisateur
470. taires de la section blacklist pour tous les p riph riques La section blacklist permet d activer le multi acheminement sur les p riph riques par d faut blacklist devnode ram raw loop fd md dm sr scd st 0 9 devnode hd a z devnode cciss c 0 9 d 0 9 c Enregistrez et fermez le fichier multipath conf V rifiez que l option de multi acheminement est activ e et que les LUN sont r pertori s l aide de la commande suivante multipath l Remarque Les chemins d acc s sont affich s comme mpath0O et mpath1 Si les LUN ne sont pas affich s red marrez et ex cutez le multi acheminement nouveau Affichez les lecteurs disponibles fdisk l R pertoriez les partitions disponibles et v rifiez que mpathO et mpath1 y sont inclus ls la dev mapper Mappez la premi re partition comme suit kpartx a dev mapper mpath0 Mappez la seconde partition comme suit kpartx a dev mapper mpath1 Chapitre 3 Installation de CA Enterprise Log Manager 103 Remarques concernant l installation d un syst me disposant de lecteurs SAN Cr ation d un volume logique Vous pouvez utiliser un gestionnaire de volumes pour combiner plusieurs LUN dans un volume logique pour permettre CA Enterprise Log Manager d y acc der Le gestionnaire de volumes logiques LVM g re des lecteurs de disque et des p riph riques de stockage de masse similaires sur Linux Les colonnes de stockage cr es avec le LV
471. tallez CA Enterprise Log Manager sur l ordinateur virtuel 4 Configurez le serveur CA Enterprise Log Manager en vous r f rant la section traitant de l installation Apr s avoir install le serveur de collecte virtuel vous pouvez l ajouter votre f d ration pour effectuer des requ tes et des rapports Cr ation d un nouvel ordinateur virtuel Utilisez la proc dure suivante pour cr er un nouvel ordinateur l aide du client VMware Infrastructure Utilisez quatre processeurs pour chaque serveur CA Enterprise Log Manager virtuel afin d obtenir des performances acceptables Pour cr er un nouvel ordinateur virtuel 1 Acc dez au client VMware Infrastructure 2 Cliquez avec le bouton droit sur l h te ESX dans le volet gauche puis s lectionnez Nouvel ordinateur virtuel pour appeler l assistant de cr ation d un ordinateur virtuel Cette action affiche une bo te de dialogue de type de configuration 3 S lectionnez la configuration Personnalis e et cliquez sur Suivant Une bo te de dialogue de nom et d emplacement s affiche Annexe E CA Enterprise Log Manager et virtualisation 321 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels 4 10 11 12 Entrez un nom pour le serveur CA Enterprise Log Manager a installer sur cet ordinateur virtuel et cliquez sur Suivant Sp cifiez les param tres de stockage pour votre ordinateur virtuel puis cliquez sur Suivant V rifiez q
472. tation du mod le OVF Cette page contient le centre de donn es s lectionn et ses clusters disponibles Sp cifiez l emplacement des clusters sous le centre de donn es o vous voulez effectuer le provisionnement du serveur CA Enterprise Log Manager 15 S lectionnez un cluster sous le centre de donn es puis cliquez sur Suivant Deploy O F Template E lol x Host Cluster On which host or cluster do you want to run the deployed template Source Fa ELMQA SP2 vApp Datacenter OVE Template Details End User License Agreement g 1010019 Name and Location Deployment Configuration Host Cluster Properties Ready to Complete Compatibility Validation not applicable this time Help lt Back Lez Cancel Annexe E CA Enterprise Log Manager et virtualisation 349 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels La page Properties Propri t s s ouvre Cette page contient les param tres de l h te et de CA Enterprise Log Manager 16 Indiquez des valeurs dans chaque champ relatives aux informations collect es dans la feuille de calcul Installation puis cliquez sur Suivant Deploy OYF Template E E et x Properties Customize the software solution for this deployment Source OVE Template Details End User License Agreement i End User License Agreement A Host Settings Name and Location Deployment Configuration A Host Name Host Cluster Ent
473. tativement utiliser des biblioth ques cryptographiques conformes la FIPS et des algorithmes pour chiffrer et d chiffrer des donn es sensibles CA Enterprise Log Manager est un produit de collecte de journaux compatible avec la FIPS car vous pouvez choisir d ex cuter en mode FIPS ou en mode non FIPS composants de visualisation Les composants de visualisation sont des options disponibles pour l affichage des donn es de rapport par exemple une table un graphique en courbes barres colonnes secteurs ou une visionneuse d v nements compte Un compte est un utilisateur global qui est galement un utilisateur d applications CALM Une m me personne peut poss der plusieurs comptes chacun disposant d un r le personnalis diff rent configuration enregistr e Une configuration enregistr e est une configuration stock e avec les valeurs d attributs d acc s aux donn es provenant d une int gration pouvant tre utilis e comme mod le lors de la cr ation d une nouvelle int gration configuration globale La configuration globale est un ensemble de param tres qui s appliquent tous les serveurs CA Enterprise Log Manager utilisant le m me serveur de gestion Conformit la norme FIPS 140 2 L expression conforme la FIPS 140 2 d signe un produit qui par d faut utilise uniquement des algorithmes de chiffrement certifi s par un laboratoire accr dit de test des modules cryptographiques CMT CA Enterprise Lo
474. te proc dure pour cr er la source de donn es ODBC requise sur les syst mes Windows Vous pouvez cr er la source de donn es en tant que DSN utilisateur ou DSN syst me Pour cr er la source de donn es 1 Dans le Panneau de configuration Windows s lectionnez Outils d administration 2 Double cliquez sur l utilitaire Sources de donn es ODBC La fen tre Administrateur de sources de donn es ODBC s affiche 3 Cliquez sur Ajouter pour afficher la fen tre Cr er une nouvelle source de donn es 4 S lectionnez Pilote ODBC CA Enterprise Log Manager puis cliquez sur Terminer La fen tre Installation du pilote ODBC CA Enterprise Log Manager appara t 5 Renseignez les champs tel que d crit dans la section sur les consid rations sur les sources de donn es ODBC puis cliquez sur OK Consid rations sur les sources de donn es ODBC Ci dessous sont d crits les champs de source de donn es ODBC en lien avec CA Enterprise Log Manager Nom de la source de donn es Nom de la source de donn es en question Les applications clientes qui souhaitent utiliser ces donn es utilisent ce nom pour se connecter a la source de donn es Hote du service Indique le nom du serveur CA Enterprise Log Manager auquel le client se connecte Vous pouvez utiliser aussi bien un nom d h te qu une adresse IPv4 120 Manuel d impl mentation Installation du client ODBC Port du service Indique le num ro de port du service TCP sur lequ
475. terminez l installation en suivant les instructions 100 Manuel d impl mentation Remarques concernant l installation d un syst me disposant de lecteurs SAN Installation avec des lecteurs SAN d sactiv s CA Enterprise Log Manager est actuellement pris en charge sur des configurations mat rielles fixes fournies par Dell IBM et HP La configuration mat rielle suppos e dans l exemple ci dessous est la suivante serveurs HP Blade Servers utilisant une carte QLogic Fiber Channel permettant la connexion au r seau SAN pour l archivage de donn es Les serveurs HP Blade Servers disposent de disques durs SATA configur s en RAID 1 en mode miroir Pour utiliser le fichier de d marrage kickstart directement veillez d sactiver les lecteurs SAN avant de commencer l installation Lancez le processus d installation au moyen du DVD OSS et suivez les instructions pour terminer l installation Remarque Si lorsque vous lancez l installation les lecteurs SAN ne sont pas d sactiv s CA Enterprise Log Manager est install sur le lecteur SAN Dans ce cas une fen tre rouge s affiche apr s le red marrage de CA Enterprise Log Manager avec le message Illegal Opcode Utilisez les proc dures suivantes pour installer un dispositif CA Enterprise Log Manager sur un syst me disposant de lecteurs SAN Les lecteurs SAN doivent tre d sactiv s avant de lancer l installation du syst me d exploitation D sactivez les lecteurs SAN Installez
476. teur Si un seul connecteur doit traiter des v nements provenant de diff rentes sources Syslog et que le volume d v nements est important le connecteur doit faire son analyse avec l ensemble des int grations fichiers XMP appliqu es jusqu ce qu il trouve une correspondance pour un v nement Les performances risquent d tre amoindries en raison de l importance de ce traitement Toutefois si le volume d v nements n est pas trop lev un seul connecteur sur l agent par d faut peut tre suffisant pour collecter tous les v nements requis pour le stockage 64 Manuel d impl mentation Planification d agent 1 type Syslog 1 connecteur Si vous configurez une s rie de connecteurs uniques pour traiter les v nements provenant d un seul type Syslog vous pouvez all ger la charge de traitement en la r partissant sur plusieurs connecteurs Toutefois si vous avez beaucoup de connecteurs fonctionnant sur un seul agent vous risquez de perdre en performances car chaque connecteur est une instance distincte qui n cessite un traitement individuel Quelques types Syslog 1 connecteur Si votre environnement affiche un volume d v nements plus lev pour certains types d v nements Syslog vous pouvez configurer un connecteur pour collecter uniquement ce type d v nements Vous pouvez ensuite configurer un ou plusieurs autres connecteurs pour collecter plusieurs types d v nements Syslog affichant un volume d v
477. teurs SAN Installation avec des lecteurs SAN activ s La rubrique Exemple Configuration du stockage SAN pour CA Enterprise Log Manager inclut la recommandation de d sactiver les lecteurs SAN LUN avant d installer le syst me d exploitation sur le dispositif CA Enterprise Log Manager Une alternative vous permet de conserver les lecteurs SAN activ s Pour cela le fichier kickstart ca elm ks cfg doit tre modifi l aide d un outil d dition ISO une fois que l installation du syst me d exploitation a t lanc e Ces modifications vous garantissent que l installation et le d marrage sont effectu s partir du disque dur local et non partir du SAN Pour d marrer partir du disque local et non partir du SAN 1 D marrez le serveur avec le DVD d installation du SE 2 R pondez la premi re invite de saisie clavier 3 Pour afficher l invite Anaconda Kickstart appuyez sur Maj F2 4 Saisissez la commande suivante list hardrives Une liste des lecteurs disponibles similaire la liste ci dessous s affiche cciss cOd 68GB RAID 1 cciss est un lecteur HP Smart Array Sda 500GB SAN sda h correspondent au SAN multiachemin Sdb 500GB SAN Sdc 500GB SAN Sdd 500GB SAN Sde 500GB SAN Sdf 500GB SAN Sdg 500GB SAN Sdh 500GB SAN 5 Identifiez le disque dur local Dans ce cas il s agit de cciss cOdO Chapitre 3 Installation de CA Enterprise Log Manager 107 Configurat
478. tez installer le domaine CA IT PAM Lors de l installation du domaine CA IT PAM acc dez ce fichier de certificat Pour copier le certificat partir du dispositif CA Enterprise Log Manager vers le serveur Windows cible Copiez le fichier itpamcert p12 partir du dispositif CA Enterprise Log Manager qui inclut CA EEM vers l h te o vous comptez installer CA IT PAM m Fichier source sur le serveur de gestion CA Enterprise Log Manager opt CA SharedComponents iTechnology itpamcert log Chemin d acc s de la destination sur le serveur gt Windows cible lt chemin_installation gt Remarque Vous pouvez copier ce fichier dans l emplacement de votre choix Vous s lectionnez ce fichier dans son emplacement lors de l installation du domaine CA IT PAM D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis L ex cution de la commande safex cr e les l ments suivants m Des groupes de s curit IT PAM ITPAMAdmins ITPAMUsers Utilisateurs IT PAM itpamadmin avec un mot de passe par d faut itpamuser avec un mot de passe par d faut Vous devez r initialiser le mot de passe pour les deux utilisateurs IT PAM pr d finis Annexe C Remarques sur CA IT PAM 305 D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis Pour r initialiser Les mots de passe des comptes itpamadmin et itpamuser dans l application IT PAM sur CA EEM 1 Acc dez l
479. tilisateur d application CA Enterprise Log Manager incluent le groupe d utilisateurs et les ventuelles restrictions d acc s Si le magasin d utilisateurs est le r f rentiel local les d tails de l utilisateur d application incluent galement les informations d identification de connexion et les strat gies de mots de passe L utilisateur EEM configur dans la section Archivage automatique du Magasin de journaux d v nements sp cifie l utilisateur autoris ex cuter une requ te d archivage recataloguer la base de donn es d archivage ex cuter l utilitaire LMArchive et ex cuter le script shell restore ca elm pour restaurer les bases de donn es d archivage des fins d examen Cet utilisateur doit poss der le r le pr d fini Administrator ou un r le personnalis associ une strat gie personnalis e qui autorise l action Modifier sur la ressource Base de donn es Un utilisateur global se compose des informations de compte d utilisateur l exclusion des donn es propres aux applications Les d tails de l utilisateur global et les appartenances au groupe global sont partag s par l ensemble des applications CA int grant le magasin d utilisateurs par d faut Les d tails de l utilisateur global peuvent tre stock s dans le r f rentiel int gr ou dans un r pertoire externe 434 Manuel d impl mentation utilitaire LMArchive LMArchive est l utilitaire de ligne de commande qui suit la sauvegarde et l
480. tion Pour d marrer un serveur CA Enterprise Log Manager 1 S lectionnez le nouveau serveur CA Enterprise Log Manager dans le volet gauche de la fen tre de l application VMware 2 Cliquez sur l option Power On D marrage situ e sous l onglet Basic Tasks of the Getting Started T ches de base du d marrage dans le volet droit Le serveur CA Enterprise Log Manager est d marr Remarque V rifiez qu un serveur CA Enterprise Log Manager principal est ex cut avant de d marrer un serveur CA Enterprise Log Manager secondaire V rification de l installation d un serveur CA Enterprise Log Manager virtuel Lors du d marrage du serveur CA Enterprise Log Manager provisionn une URL permettant d acc der CA Enterprise Log Manager s affiche dans l onglet Console de la fen tre Client VMware vSphere Utilisez cette URL et les informations d identification par d faut suivantes pour acc der CA Enterprise Log Manager Nom de l utilisateur par d faut EiamAdmin Mot de passe par d faut mot de passe saisi lors de la proc dure d installation du serveur CA Enterprise Log Manager Informations compl mentaires Ajout de serveurs virtuels votre environnement page 341 Cr ation d un environnement compl tement virtuel page 365 D ploiement rapide de serveurs virtuels page 391 T ches de post installation Apr s le d marrage d un serveur CA Enterprise Log Manager vous pouvez effectuer les op rations suiva
481. tion ACSelogrd Vous trouverez plus d informations sur la configuration d un connecteur pour collecter les v nements CA Access Control dans le Manuel du connecteur CA Access Control r8 SP1 Si vous envoyez actuellement les v nements CA Access Control CA Audit appliquez l une des m thodes suivantes pour transmettre les v nements CA Enterprise Log Manager Modifiez une strat gie CA Audit existante pour envoyer les v nements CA Audit et CA Enterprise Log Manager si vous utilisez un iRecorder CA Audit pour collecter des v nements Si vous le souhaitez vous pouvez modifier la strat gie pour que les v nements soient envoy s uniquement au serveur CA Enterprise Log Manager Configurez le fichier control conf afin qu un iRecorder envoie les v nements directement CA Enterprise Log Manager Remarque Si vous disposez d une version d eTrust Access Control qui ne prend pas en charge les iRecorders vous pouvez envoyer les v nements directement au routeur CA Audit Pour plus d informations reportez vous aux informations d int gration de CA Audit contenues dans le Manuel d administration d eTrust Access Control r5 3 Dans les instructions qui suivent la s rie r8 SP2 est utilis e pour l interface utilisateur du gestionnaire de strat gies Les proc dures g n rales sont les m mes si vous utilisez une versions pr c dente de CA Audit bien que l interface utilisateur soit diff rente 274 Manuel d
482. tion d un environnement virtuel de collecte de journaux Clonage et d ploiement de serveurs CA Enterprise Log Manager virtuels pour une volutivit rapide de l environnement a Cr ation de serveurs CA Enterprise Log Manager a l aide d ordinateurs virtuels Informations compl mentaires Ajout de serveurs virtuels votre environnement page 341 Cr ation d un environnement compl tement virtuel page 365 D ploiement rapide de serveurs virtuels page 391 320 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Ajout de serveurs virtuels votre environnement Si vous disposez d j d une impl mentation CA Enterprise Log Manager vous pouvez ajouter des serveurs de collecte CA Enterprise Log Manager virtuels pour g rer un volume d v nements accru sur votre r seau Ce sc nario suppose que vous avez d j install un serveur de gestion CA Enterprise Log Manager et un ou plusieurs serveurs CA Enterprise Log Manager pour la collecte et la g n ration de rapports Remarque Pour obtenir les meilleures performances possibles installez CA Enterprise Log Manager sur des serveurs virtuels pour g rer uniquement les t ches de collecte et de g n ration de rapports Le processus d ajout de serveurs de collecte virtuels votre environnement inclut les proc dures ci dessous 1 Cr ez un nouvel ordinateur virtuel 2 Ajoutez des lecteurs de disques virtuels 3 Ins
483. tion de votre environnement 53 Planification des mises jour d abonnement Planification des mises jour d abonnement La planification de l architecture de mises jour d abonnement pour votre environnement CA Enterprise Log Manager permet d assurer que tous les serveurs re oivent les mises jour s lectionn es en temps voulu et de fa on s curis e Pour planifier des mises jour d abonnement pour votre environnement CA Enterprise Log Manager suivez le processus suivant Pour plus d informations reportez vous aux proc dures associ es 1 Tout d abord laborez une structure de clients proxys pour vos serveurs CA Enterprise Log Manager Choisissez des serveurs qui serviront de proxys et ceux qui serviront de clients tout en tenant compte du r le de chaque serveur et des l ments relatifs au trafic r seau Prenez en compte les restrictions d acc s Internet dans votre environnement et choisissez un ou plusieurs proxys hors ligne en fonction de vos besoins Prenez en compte les probl mes li s a la s curit Internet et au trafic et choisissez d inclure ou non un proxy HTTP local dans votre architecture d abonnement Les proxys d abonnement en ligne peuvent contacter le serveur d abonnement CA directement ou l aide de votre proxy HTTP local Choisissez de t l charger ou non toutes les mises a jour automatiquement selon la planification d abonnement d finie ou s lectionnez en a t l charger manuelleme
484. tion indique que la plage de dates cr e un sous ensemble moins important d v nements importer Vous pouvez d s lors ex cuter la v ritable importation Informations compl mentaires Pr sentation de la ligne de commande LMSeosimport page 265 Pr visualisation des r sultats de l importation page 270 294 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Importation d v nements CA Access Control Apr s avoir ex cut le rapport d v nements et une pr visualisation de l importation vous tes pr t importer les v nements CA Access Control partir de la table SEOSDATA Pour importer des v nements CA Access Control Utilisez la commande de la pr visualisation sans l option preview pour r cup rer les v nements CA Access Control de la plage de dates nomm e LMSeosImport exe dsn Mon DSN Audit user sa password sa target Mon serveur CA ELM log eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 L utilitaire affiche les r sultats ci apr s Importation d but le Ven Jan 2 15 41 23 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon DSN Audit Aucun ENTRYID de d but sp cifi utilisation de L ENTRYID minimal de 1 Importation en cours veuillez patienter eTrust AC 2 241 Dernier Entryld trait 5 167 810 102
485. tionn s s affichent dans la liste Modules s lectionn s pour le t l chargement 208 Manuel d impl mentation Configuration de l abonnement 11 Cliquez sur Enregistrer Les clients d abonnement hors ligne peuvent d sormais t l charger automatiquement ces modules en fonction de la planification d abonnement d finie ou la demande lors du lancement d une mise jour manuelle 12 facultatif Cliquez sur Mettre jour Le serveur proxy hors ligne effectue lui m me sa mise jour avec les modules s lectionn s Remarque M me si vous pouvez autoriser la mise jour par le proxy hors ligne en fonction de la planification de l abonnement d finie il est recommand d effectuer une mise jour manuelle lors du transfert de nouveaux fichiers Cela permet d assurer que les mises jour sont disponibles lorsque les clients d abonnement hors ligne en font la demande Informations compl mentaires Configuration de l abonnement page 198 Modules t l charger page 203 D finition d une planification d abonnement Vous pouvez d finir une planification d abonnement pour d terminer la date et la fr quence des mises jour automatiques qui seront effectu es par le service d abonnement Vous pouvez d finir une planification d abonnement au niveau global pour l ensemble de votre environnement CA Enterprise Log Manager ou d finir une planification personnalis e pour des proxys d abonnement et des clients parti
486. tique sur trois serveurs page 175 A propos de l archivage automatique La gestion des magasins d v nements stock s n cessite une manipulation soigneuse des sauvegardes et des fichiers restaur s La configuration du service du magasin de journaux d v nements constitue une position centrale pour configurer et r gler la taille et la conservation de la base de donn es interne et pour d finir les options d archivage automatique CA Enterprise Log Manager fournit les scripts ci dessous pour vous permettre d effectuer ces t ches backup ca elm sh m restore ca elm sh monitor backup ca elm sh Chapitre 5 Configuration des services 159 Configuration du magasin de journaux d v nements Remarque L utilisation de ces scripts suppose que vous avez tabli une authentification non interactive entre les deux serveurs l aide de cl s RSA Les scripts backup et restore se servent de l utilitaire LMArchive pour simplifier la copie de bases de donn es ti des depuis et vers les h tes distants Ces scripts mettent automatiquement jour les fichiers de catalogue ad quats lorsque les t ches s ach vent Vous pouvez faire une copie vers des serveurs distants ou vers d autres serveurs CA Enterprise Log Manager Si l h te distant auquel vous envoyez des fichiers est un serveur CA Enterprise Log Manager les scripts mettent galement jour automatiquement les fichiers de catalogue sur le serveur de r ception Les scripts suppri
487. tonome Les processus pour ajouter un serveur un r seau existant d pendent de l emplacement du serveur CA EEM de gestion 98 Manuel d impl mentation Ajout de serveurs CA Enterprise Log Manager une f d ration en mode FIPS existante Le flux de travaux ci dessous d crit l approche suivre Ajout d un serveur ELM une f d ration en mode FIPS uniquement No Serveur CA EEM distant Activation du mode non FIPS Activation du sur le serveur de mode non FIPS gestion CA sur le serveur CA Enterprise Log EEM distant Manager Installation de nouveaux serveurs CA Enterprise Log Manager Mise niveau des nouveaux serveurs vers la version r12 1 SP1 Activation du mode FIPS sur les nouveaux serveurs Activation du mode FIPS sur le serveur de gestion CA Enterprise Log Manager Activation du mode non FIPS sur le serveur CA EEM distant Chapitre 3 Installation de CA Enterprise Log Manager 99 Remarques concernant l installation d un syst me disposant de lecteurs SAN Le processus pour ajouter un nouveau serveur inclut les tapes suivantes 1 Activez le mode FIPS sur le serveur de gestion CA Enterprise Log Manager ou sur le serveur CA EEM distant 2 L image ISO ou les DVD de CA Enterprise Log Manager 12 1 SP1 ou versions ult rieures permettent d installer un ou plusieurs serveurs CA Enterprise Log Manager secondaires Important Vous devez activer le mode FIPS lors de l installation Si vous ne l
488. trat gie pour un client CA Audit client 256 Manuel d impl mentation Envoi d v nements CA Audit CA Enterprise Log Manager Pour configurer iRecorder pour envoyer des v nements CA Enterprise Log Manader 1 Connectez vous au serveur h bergeant iRecorder en tant qu utilisateur dot des droits d administrateur Acc dez au dossier de votre syst me d exploitation a UNIX ou Linux opt CA SharedComponents iTechnology a Windows Program Files CA SharedComponents iTechnology Arr tez le d mon ou le service iGateway avec la commande ci apr s a UNIX ou Linux S99igateway stop Windows net stop igateway Modifiez le fichier iControl conf Sp cifiez la valeur RouteEvent ci dessous lt RouteEvent gt t rue lt RouteEvent gt Cette entr e indique a iGateway d envoyer ses v nements notamment tous les v nements iRecorder l h te nomm dans la paire de balises RouteHost Sp cifiez la valeur RouteHost ci dessous lt RouteHost gt nom h te CA ELM lt RouteHost gt Cette entr e indique iGateway d envoyer ses v nements au serveur CA Enterprise Log Manager en utilisant son nom DNS Red marrez le d mon ou le service iGateway avec la commande ci apr s a UNIX ou Linux S99igateway start a Windows net start igateway Cette action oblige iRecorder utiliser les nouveaux param tres et lance le flux d v nements depuis iRecorder vers le serveur CA Enterprise Log Manager Informatio
489. trements d v nements s lectionner dans la table SEOSDATA chaque passage La valeur par d faut est 5 000 v nements lignes Ce param tre est facultatif preview Sort les r sultats des s lections d enregistrements d v nements vers STDOUT mais n importe pas r ellement les donn es Ce param tre est facultatif Annexe A Remarques pour les utilisateurs de CA Audit 267 Importation des donn es d une table SEOSDATA port Sp cifie le num ro de port utiliser si vous d finissez l option de transport sur SAPI et que vous avez configur le routeur SAPI CA Enterprise Log Manager pour utiliser une valeur de port fixe sans utiliser le mappeur de ports verbose Sp cifie que l utilitaire envoie des messages de traitement d taill s STDOUT Ce param tre est facultatif delay Sp cifie le nombre de secondes de pause entre le traitement de deux v nements Ce param tre est facultatif report Affiche un rapport sur la p riode la plage ENTRYID et le nombre de journaux dans la table SEOSDATA Ce param tre est facultatif retry Sp cifie le nombre total de secondes au cours desquelles des tentatives de reprise sont effectu es chaque fois qu une erreur se produit au cours de l importation d un v nement Le traitement continue lorsque l envoi de cet v nement est nouveau r ussi L utilitaire utilise automatiquement une valeur par d faut de 300 secondes Vous n avez pas entrer le
490. ts CA Access Control 292 Importation d v nements CA Access Control 295 Affichage de requ tes et de rapports sur des v nements CA Access Control 296 Annexe C Remarques sur CA IT PAM 299 Sc nario Utilisation de CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM 3235556444 toire dans 4544 95459844494 4440 5458 iii ideondeuriiiiienedisii de S444 ES 300 Processus d impl mentation de l authentification CA IT PAM 300 Pr paration de l impl mentation de l authentification CA IT sur un CA EEM partag 302 Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager 303 Enregistrez CA IT PAM avec un CA EEM partag 303 Copie du certificat dans le serveur CA IT PAM 305 D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis 305 Installation de composants tiers requis par CA IT PAM 4 307 Installation du domaine CA IT PAM 44444444 44e 308 D marrez le service du serveur CA ITPAM 444444 022422 309 12 Manuel d impl mentation Lancez la console du serveur CA IT PAM et connectez Vous
491. tualisation 389 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels D marrez le serveur CA Enterprise Log Manager provisionn Ceci est n cessaire a son ex cution Pour d marrer un serveur CA Enterprise Log Manager 1 S lectionnez le nouveau serveur CA Enterprise Log Manager dans le volet gauche de la fen tre de l application VMware 2 Cliquez sur l option Power On D marrage situ e sous l onglet Basic Tasks of the Getting Started T ches de base du d marrage dans le volet droit Le serveur CA Enterprise Log Manager est d marr Remarque V rifiez qu un serveur CA Enterprise Log Manager principal est ex cut avant de d marrer un serveur CA Enterprise Log Manager secondaire V rification de l installation d un serveur CA Enterprise Log Manager virtuel Lors du d marrage du serveur CA Enterprise Log Manager provisionn une URL permettant d acc der CA Enterprise Log Manager s affiche dans l onglet Console de la fen tre Client VMware vSphere Utilisez cette URL et les informations d identification par d faut suivantes pour acc der CA Enterprise Log Manager Nom de l utilisateur par d faut EiamAdmin Mot de passe par d faut mot de passe saisi lors de la proc dure d installation du serveur CA Enterprise Log Manager Informations compl mentaires Ajout de serveurs virtuels votre environnement page 341 Cr ation d un environnement compl tement virtuel page
492. tuer plusieurs r les ou tous les r les Tenez compte du poids du traitement li chaque r le de serveur par rapport aux autres facteurs importants dans votre environnement lorsque vous d terminez comment d dier chaque serveur install Serveur de gestion Par d faut le r le du serveur de gestion est tenu par le premier serveur CA Enterprise Log Manager install Le serveur de gestion r alise les fonctions principales ci dessous Il agit comme un r f rentiel commun pour tous les serveurs qui s enregistrent aupr s de lui Plus pr cis ment il stocke les utilisateurs d applications les groupes d applications r les les strat gies les calendriers et les objets d application Si vous configurez le magasin d utilisateurs comme un magasin interne le serveur stocke les utilisateurs globaux les groupes globaux et les strat gies de mots de passe Si le magasin d utilisateurs configur fait r f rence un magasin d utilisateurs externe le serveur charge les d tails des comptes d utilisateurs globaux et les d tails des groupes globaux provenant du magasin d utilisateurs r f renc Il g re les droits des utilisateurs avec un fichier mapp vers la m moire haut d bit Il authentifie les utilisateurs lors de la connexion en fonction de la configuration des utilisateurs et des groupes II autorise les utilisateurs acc der diverses parties de l interface utilisateur en fonction des strat gies et des cal
493. u contr leur de l tat du serveur 237 Chapitre 8 Utilisation de la biblioth que d ajustement d v nement 239 A propos de la biblioth que d ajustement d v nement 239 Prise en charge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement co vaunted stan iE aE EE E EE EE bode eed EE EEEIEE tees twhe ded eawdweese te states 240 Fichiers de mappage et d analyse 240 Annexe A Remarques pour les utilisateurs de CA Audit 243 Pr sentation des diff rences entre les architectures 243 Architecture CA Audit 44444444 44e eee de eee eee 245 Architecture CA Enterprise Log Manager 247 Architecture int gr e 444444 esse esse eee 250 Configuration d adaptateurs CA 251 A propos du routeur et du collecteur SAPI 2 252 A propos du module d extension d v nements iTechnology 255 Envoi d v nements CA Audit CA Enterprise Log Manager 256 Configuration d iRecorder pour envoyer des v nements CA Enterprise Log Manager 256 Modification d une strat gie CA Audit existante pour e
494. u utilisateur Maker pour qu elle puisse tre approuv e par un utilisateur dot d un r le Checker D connectez vous puis reconnectez vous au serveur gestionnaire de strat gies en tant qu utilisateur dot du r le Checker si votre entreprise pratique la s paration des fonctions Examinez et approuvez le dossier contenant la strat gie et la r gle modifi es Une fois la strat gie approuv e les param tres du serveur de distribution du gestionnaire de strat gies d terminent quel moment la nouvelle strat gie est distribu e aux noeuds d audit Vous pouvez examiner le journal d activation pour v rifier l tat d activation d une strat gie R p tez cette proc dure pour chaque r gle et strat gie portant sur les v nements collect s envoyer CA Enterprise Log Manager Quand importer des v nements Si vous disposez d un serveur d outils de donn es CA Audit avec une base de donn es de collecteur vous disposez d une table SEOSDATA contenant des donn es d v nement Pour ex cuter vos syst mes CA Audit et CA Enterprise Log Manager en parall le et afficher des rapports sur les donn es d j collect es vous souhaitez peut tre importer des donn es provenant de votre table SEOSDATA Annexe Remarques pour les utilisateurs de CA Audit 261 Quand importer des v nements Vous pouvez ex cuter l utilitaire d importation SEOSDATA pour effectuer une importation des donn es d v nement de votre bas
495. ue client pour qu il pointe vers ce proxy en ligne afin que le proxy par d faut agisse comme sauvegarde lorsque le proxy en ligne est occup ou indisponible CA Serveur d abonnement Serveur de point Serveur de collecte enfant Serveur de rapports parent Serveur de gestion de restauration Des Proxy d abonnement Proxy par d faut d abonnement en ligne d abonnement d abonnement Informations compl mentaires Configuration d une f d ration CA Enterprise Log Manager page 235 62 Manuel d impl mentation Planification d agent Planification d agent Les agents utilisent des connecteurs pour collecter les v nements et les acheminer jusqu au serveur CA Enterprise Log Manager Vous pouvez configurer un connecteur sur l agent par d faut install avec le serveur CA Enterprise Log Manager mais vous pouvez galement installer un agent sur un serveur ou sur une source d v nement de votre r seau La d cision d utiliser des agents externes d pend du volume d v nements de l emplacement des agents des besoins en filtrage des donn es et d autres l ments La planification de l installation d agents implique les l ments ci dessous Comprendre les relations entre les composants suivants a Int grations et couteurs m Agents Connecteurs Dimensionner votre r seau pour d cider du nombre d agents installer Vous devez installer des agents relativement proches des sources d v nement
496. ue vos param tres de stockage sont suffisamment importants pour votre serveur CA Enterprise Log Manager Nous recommandons un espace minimal de 500 Go Remarque La configuration de lecteurs de disques virtuels suppl mentaires pour stocker les journaux d v nements collect s fait l objet d une autre proc dure S lectionnez Red Hat Enterprise Linux 5 32 bits comme Syst me d exploitation invit et cliquez sur Suivant S lectionnez 4 comme nombre de processeurs virtuels dans la liste d roulante Nombre de processeurs virtuels Votre serveur h te physique doit tre capable de consacrer quatre UC physiques exclusivement cette instance CA Enterprise Log Manager Cliquez sur Suivant Configurez la taille de la m moire de l ordinateur virtuel et cliquez sur Suivant La taille minimale acceptable de la m moire pour CA Enterprise Log Manager est 8 Go ou 8 192 Mo Configurez votre contr leur d interface r seau NIC CA Enterprise Log Manager n cessite au moins une connexion r seau S lectionnez NIC x dans la liste de NIC disponibles et param trez la valeur Adaptateur sur Flexible Remarque Vous n avez pas besoin de configurer un NIC s par pour chaque serveur CA Enterprise Log Manager h berg sur ce serveur physique Toutefois vous devez allouer et affecter une adresse IP statique chaque serveur S lectionnez l option Connecter au d marrage et cliquez sur Suivant La bo te de dialogue Types d adaptateurs E S
497. uel Cette action vous renvoie la bo te de dialogue du client VMware Infrastructure 328 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Installation de CA Enterprise Log Manager sur l ordinateur virtuel Utilisez la proc dure suivante pour installer CA Enterprise Log Manager sur un ordinateur virtuel pr c demment cr Vous pouvez configurez un serveur CA Enterprise Log Manager virtuel ou d di apr s l installation pour qu il affiche l un des nombreux r les fonctionnels tels que la gestion la collecte ou la g n ration de rapports Si vous installez un serveur de gestion CA Enterprise Log Manager ne l utilisez pas pour recevoir des journaux d v nements ou pour ex cuter des requ tes et des rapports Installez des serveurs CA Enterprise Log Manager virtuels distincts pour faire office de serveurs de rapports et de collecte afin d obtenir les meilleures performances possibles Examinez les instructions d installation normale avant d installer CA Enterprise Log Manager dans un environnement virtuel La feuille de calcul d installation vous permet de collecter les informations n cessaires Pour installer CA Enterprise Log Manager sur un ordinateur virtuel 1 Chargez votre disque d installation du SE CA Enterprise Log Manager dans le lecteur physique de DVD ROM ou recherchez le r pertoire dans lequel vous avez copi l image de l installation 2 Mettez votre or
498. uez sur Enregistrer et fermer 194 Manuel d impl mentation Remarques sur le service d incidents Remarques sur le service d incidents Vous pouvez contr ler la mani re dont le service d incidents stocke les v nements et cr e les incidents pour un serveur CA Enterprise Log Manager s lectionn Vous pouvez d finir les valeurs suivantes P riode d expiration Sp cifie le nombre de jours de conservation des incidents dans la base de donn es d incidents Si la valeur est d finie sur 0 les v nements ne seront jamais supprim s Les incidents expir s ne sont pas affich s Valeurs de limite de g n ration d incidents Indique la fr quence laquelle une r gle de corr lation unique peut cr er des incidents pour vous permettre de r duire les incidents multiples superflus Pour limiter la g n ration d incidents les diff rentes versions d une r gle sont consid r es comme des r gles part Si vous avez appliqu plusieurs versions de r gle l environnement une limite sera fix e pour chaque r gle Les valeurs de limite incluent Activ Indique si les limites de g n ration d incidents sont appliqu es Nombre D finit une limite de nombre d incidents g n r s par une r gle unique Cette valeur utilise la valeur d finie pour les heures si cette valeur est sup rieure 0 Si ces nombres sont atteints le service d incidents applique la limite d finie pour la Dur e du blocage Si vous avez d fini l
499. une instance d application CA Enterprise Log Manager depuis le serveur CA EEM interne sur le serveur de gestion Pour sauvegarder une instance d application 1 Acc dez au serveur CA EEM l aide de l URL ci dessous https lt nom_serveur gt 5250 spin eiam 2 Dans la page de connexion d veloppez la liste Application et s lectionnez le nom de l instance d application utilis lors de l installation de vos serveurs CA Enterprise Log Manager Le nom d instance d application par d faut pour CA Enterprise Log Manager est CAELM 3 Connectez vous en tant qu utilisateur EiamAdmin ou en tant qu utilisateur dot du r le Administrator de CA EEM 4 Acc dez l onglet Configuration et s lectionnez le sous onglet Serveur EEM 5 S lectionnez l l ment Exporter l application dans le volet de navigation sur la gauche 6 S lectionnez toutes les options l exception de la case cocher Remplacer la taille maximale de la recherche Remarque Si vous utilisez un r pertoire externe ne s lectionnez pas les options Utilisateurs Globaux Groupes globaux et Dossiers globaux Annexe D R cup ration apr s sinistre 313 Restauration d un serveur CA EEM pour l utiliser avec CA Enterprise Log Manager 7 Cliquez sur Exporter pour cr er un fichier d exportation XML pour l instance d application La bo te de dialogue T l chargement de fichier affiche le nom du fichier lt Nom_Instance_App gt xml gz par exemple CAELM x
500. uniquement Pour la plupart des rapports lorsque vous souhaitez examiner les v nements r cemment archiv s ti des tout en vitant que les requ tes des nouveaux v nements chauds soient trait es par vos serveurs de collecte Remarque Les v nements sont g n ralement archiv s depuis les serveurs de collecte branches vers le serveur de rapports centre toutes les heures Tous les serveurs Pour les rapports syst me sur les v nements d autosurveillance lorsque vous voulez valuer l tat de sant de tous vos serveurs CA Enterprise Log Manager en une seule op ration Pour les alertes lorsqu il est important de rechercher les v nements partir de tous les serveurs de collecte Chapitre 2 Planification de votre environnement 39 Planification de f d ration Vous trouverez ci dessous un exemple de carte de f d ration qui vous permet d atteindre ces objectifs de g n ration de rapports LEGENDE R le du serveur Type de f d ration D Serveur de collecte Parent Enfant Serveur de rapports et de gestion hi rarchique Pour impl menter la conception de cette carte de f d ration effectuez les actions num r es ci dessous Cr ez une f d ration totalement maill e entre les serveurs de collecte Chaque serveur de collecte est la fois parent et enfant de tous les autres serveurs de collecte m Cr ez une f d ration hi rarchique de chaque serveur de collecte vers le
501. unit s et applications r seau telles que les pare feu pour r pondre aux besoins d informations sur les v nements de l entreprise Par exemple en fonction de leur configuration certains pare feu peuvent g n rer d normes volumes d v nements inutiles Nous vous recommandons de planifier votre collecte d v nements pour que votre volume total d v nements soit uniform ment r parti sur vos serveurs CA Enterprise Log Manager sans forcer l un d entre eux d passer le niveau normal d utilisation constante Pour conserver d excellentes performances avec les volumes d v nements d une entreprise nous vous recommandons d installer au moins deux serveurs CA Enterprise Log Manager f d r s m Un serveur CA Enterprise Log Manager de rapports traite les requ tes et les rapports les alertes et la gestion de celles ci les mises jour d abonnement ainsi que l authentification et l autorisation des utilisateurs m Un ou plusieurs serveurs CA Enterprise Log Manager de collecte sont sp cifiquement configur s pour optimiser les insertions dans la base de donn es Chapitre 2 Planification de votre environnement 29 Planification de la collecte de journaux L illustration ci dessous pr sente un exemple simple de ce type de r seau CA Enterprise Log Manager f d r Deux serveurs CA Enterprise Log Manager un pour les rapports et un pour la collecte g rent le trafic d v nements provenant de diff rentes sources d v
502. uppression permanentes afin de supprimer des v nements de routine sans rapport avec des probl mes de s curit vous pouvez galement cr er des r gles temporaires afin de supprimer la journalisation d v nements planifi s tels que la cr ation de nombreux utilisateurs Glossary 427 r gles de transfert d v nement requ te requ te d action requ te d archivage ressource d application Les r gles de transfert d v nement stipulent que les v nements s lectionn s sont transf r s des produits tiers par exemple ceux qui mettent les v nements en corr lation apr s leur sauvegarde dans le magasin des journaux d v nements Une requ te est un ensemble de crit res utilis s pour effectuer une recherche dans les magasins de journaux d v nements du serveur CA Enterprise Log Manager actif et le cas ch ant de ses serveurs f d r s Une requ te cible les bases de donn es chaudes ti des ou d givr es sp cifi es dans la clause where de la requ te Par exemple si la clause where limite la requ te aux v nements pour lesquels source _username myname sur une p riode donn e et que seules dix des 1 000 bases de donn es contiennent des enregistrements r pondant ces crit res sur la base des informations fournies dans la base de donn es de catalogue la requ te sera ex cut e uniquement sur ces dix bases de donn es Une requ te peut renvoyer 5 000 lignes de donn es au maximum Tout ut
503. ur Entrez un masque de sous r seau valide a utiliser avec ce serveur Entrez un masque de sous r seau valide et une passerelle par d faut a utiliser avec ce serveur Entrez une ou plusieurs adresses IP de serveur DNS a utiliser sur votre r seau La liste est s par e par des virgules sans espace entre les entr es Si vos serveurs DNS utilisent l adressage IPV6 entrez ces adresses avec ce format Entrez le nom de domaine complet au sein duquel op re le serveur par exemple mycompany com Remarque Le nom de domaine doit tre enregistr aupr s du serveur DNS Domain Name Server de votre r seau pour permettre la r solution du nom d h te vers l adresse IP Acceptez le contrat de licence de CA pour poursuivre le provisionnement du serveur CA Enterprise Log Manager Annexe E CA Enterprise Log Manager et virtualisation 357 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Informations requises deploymentOption TIMEZONE Valeur moyen ou grand le fuseau horaire que vous souhaitez Param tres sp cifiques aux applications LOCAL_REMOTE_EEM REMOTE_EEM_LOCATION 358 Manuel d impl mentation Local pour le premier serveur install serveur de gestion Distant pour chaque serveur suppl mentaire adresse IP ou nom d h te Commentaires Si vous s lectionnez Moyenne VMware indique 4 UC de 8 Go de m moire RAM chacune Si vous s lectionnez Large VMw
504. ur CA Enterprise Log Manager parent et dispose de fonctions d authentification d autorisation et de gestion majeure des utilisateurs ainsi que de fonctions de g n ration de rapports li es la gestion des requ tes rapports et alertes Dans cet exemple les serveurs de collecte sont les enfants du serveur de gestion rapports n 1 Vous pouvez organiser d autres niveaux dans la hi rarchie Toutefois il ne peut y avoir plusieurs serveurs de gestion Les niveaux suppl mentaires sont compos s de serveurs de rapports l tat de parents des serveurs de collecte Pour illustrer ce style de f d ration le serveur de gestion rapports n 1 pourrait tre situ dans vos bureaux du si ge et les serveurs de collecte pourraient se trouver dans des bureaux r gionaux ou de branches repr sent s par les serveurs de collecte n 1 et 2 Chaque branche pourrait obtenir des informations sur ses propres donn es mais pas les donn es de l autre branche A partir du serveur de collecte n 1 vous pouvez par exemple effectuer une requ te et g n rer des rapports sur les donn es de ce serveur uniquement Par contre partir du serveur de gestion rapports n 1 vous pouvez effectuer des requ tes et g n rer des rapports sur les donn es provenant de ce serveur mais galement des serveurs de collecte n 1 et 2 Serveur de gestion rapports n 1 TA Serveur de Serveur de collecte n 1 collecte n 2 Chapitre 7 Cr ation de f
505. ur arr ter Le d mon ou service de l agent CA ELM 1 Connectez vous en tant qu utilisateur root ou administrateur Windows 2 Acc dez une invite de commande puis entrez la commande ci apr s Linux UNIX Solaris opt CA ELMAgent bin S99elmagent stop Windows net stop ca elmagent V rification de l installation du serveur CA Enterprise Log Manager Vous pouvez v rifier l installation du serveur CA Enterprise Log Manager l aide d un navigateur Web Vous pouvez effectuer une v rification initiale de l installation en vous connectant sur le serveur CA Enterprise Log Manager Remarque Lorsque vous vous connectez l application CA Enterprise Log Manager pour la premi re fois vous devez utiliser les informations d identification de l utilisateur EiamAdmin avec lesquelles vous avez install le serveur CA Enterprise Log Manager Une fois connect avec ce compte d utilisateur vous pouvez afficher et utiliser uniquement des fonctions sp cifiques de gestion des utilisateurs et des acc s Vous devez ensuite configurer votre magasin d utilisateurs et cr er un nouveau compte d utilisateur CA Enterprise Log Manager pour acc der aux autres fonctionnalit s CA Enterprise Log Manager Chapitre 3 Installation de CA Enterprise Log Manager 87 Installation d un serveur CA Enterprise Log Manager Pour v rifier l installation du serveur CA Enterprise Log Manager 1 Ouvrez un navigateur Web et entrez l URL ci dessous https lt adre
506. ur votre charge et indiquez si vous souhaitez regrouper le traitement en une fois ou le r partir sur la journ e Lorsque la copie des bases de donn es s effectue via un archivage automatique partir d un serveur de collecte vers son serveur de rapports les bases sont supprim es du serveur de collecte Apr s avoir identifi un serveur local disposant d un espace de stockage suffisant vous pouvez configurer l archivage automatique du serveur de rapports vers ce serveur de stockage distant Lorsque la copie des bases de donn es s effectue via l archivage automatique partir d un serveur de rapports vers un serveur de stockage distant les bases restent intactes sur le serveur de rapports jusqu ce que le d lai d fini par le param tre Nbre max de jours d archivage soit coul ce moment seulement elles sont supprim es L avantage de cette phase d archivage automatique est qu elle vite la perte des bases de donn es archiv es si celles ci ne sont pas d plac es manuellement jusqu l emplacement de stockage long terme avant leur suppression automatique Remarque Avant de configurer un serveur distant pour recevoir les bases de donn es archiv es automatiquement vous devez cr er une structure de r pertoires sur le serveur de destination identique celle existant sur le serveur CA Enterprise Log Manager source puis affecter des droits de propri t s et des autorisations pour l authentification Pour plus de d tail
507. urs de collecte et le serveur de g n ration de rapports Validation de l authentification non interactive entre Les serveurs de collecte et de g n ration de rapports Vous pouvez valider la configuration de l authentification non interactive entre les serveurs source et de destination des deux phases de l archivage automatique Pour valider la configuration entre les serveurs de collecte et de rapports 1 Connectez vous au serveur de collecte ELM C1 via ssh en tant que caelmadmin Basculez sur le compte d utilisateur root Basculez sur le compte d utilisateur caelmservice su caelmservice Entrez la commande suivante ssh caelmservice ELM RPT La connexion a ELM RPT sans saisie de phrase secr te confirme l authentification non interactive entre le ELM C1 et ELM RPT Connectez vous ELM C2 et r p tez l op ration Connectez vous a ELM C3 et r p tez l op ration Connectez vous a ELM C4 et r p tez l op ration Chapitre 5 Configuration des services 169 Configuration du magasin de journaux d v nements Cr ation d une structure de r pertoires avec des droits de propri t sur Le serveur de stockage distant Cette proc dure suppose que le serveur de stockage distant n est pas un serveur CA Enterprise Log Manager et que vous devez cr er de nouveaux utilisateurs un groupe et une structure de r pertoires refl tant ceux d un serveur CA Enterprise Log Manager Vous devez effectuer cette proc dure avan
508. urs types de source d v nement puis de les envoyer CA Enterprise Log Manager Cet ensemble d l ments inclut le d tecteur de journaux ainsi que les fichiers XMP et de mappage de donn es con us pour tre lus partir d un produit sp cifique Les int grations permettant de traiter les v nements Syslog et les v nements WMI sont des exemples d int grations pr d finies Vous pouvez cr er des int grations personnalis es pour permettre le traitement d v nements non class s Une invite est un type de requ te sp cial qui affiche des r sultats en fonction de la valeur que vous saisissez et des champs CEG que vous s lectionnez Les lignes sont uniquement renvoy es pour les v nements dont la valeur saisie appara t dans au moins un des champs CEG s lectionn s jeton d analyse de message ELM journal Liaison de variable Un jeton d analyse de message est un mod le r utilisable servant la cr ation de la syntaxe d expression r guli re utilis e lors de l analyse de message CA Enterprise Log Manager A chaque jeton sont associ s un nom un type et une cha ne d expression r guli re Un journal est un enregistrement d audit ou message enregistr concernant un v nement ou un ensemble d v nements Un journal peut afficher diff rents types journal d audit journal de transaction journal d intrusion journal de connexion enregistrement des performances syst me journal des activit s utilisateur
509. ursuivent normalement l aide de clients d abonnement qui t l chargent et installent des mises jour partir de ce proxy hors ligne Remarque Par d faut le service d abonnement n est pas configur pour effectuer des mises jour automatiques Pour utiliser le service d abonnement configurez des param tres par exemple choisissez des modules et d finissez une planification de mises jour Chapitre 2 Planification de votre environnement 51 Planification des mises jour d abonnement Fonctionnement de l abonnement L abonnement implique les composants ci dessous Serveur d abonnement CA m Serveur proxy HTTP facultatif Un ou plusieurs serveurs proxys d abonnement CA Enterprise Log Manager Serveur de gestion CA Enterprise Log Manager a Un ou plusieurs clients d abonnement CA Enterprise Log Manager Vous pouvez configurer les mises jour d abonnement pour qu elles s effectuent automatiquement selon une planification d abonnement d finie Vous pouvez galement effectuer des mises jour d abonnement la demande pour ce faire lancez manuellement le processus de mise jour Le diagramme suivant illustre le processus du service d abonnement en d tail Serveur d abonnement ca Serveur de gestion CA Enterprise Log Manager Clients Serveur d abonnement proxy Serveur proxy CA Enterprise HTTP d abonnement en ligne Log Manager local CA Enterprise Log Manager 52 Manuel d impl ment
510. us assurer de ne perdre aucun v nement Pour configurer le service de collecteur SAPI 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut 2 D veloppez l entr e Adaptateurs CA 3 S lectionnez le service Collecteur SAPI 4 Pour obtenir des descriptions de chaque champ reportez vous l aide en ligne 5 Cliquez sur Enregistrer lorsque vous avez termin Configuration du service de routeur SAPI Utilisez la proc dure suivante pour configurer un service de routeur SAPI Vous pouvez modifier les strat gies CA Audit utilisant des actions du routeur pour envoyer des v nements un serveur CA Enterprise Log Manager en plus ou la place de l acheminement d v nements vers d autres destinations Vous pouvez galement rediriger les v nements SAPI Recorder pour les transmettre directement l couteur du routeur SAPI en modifiant leurs fichiers de configuration Configurez ce service avant de modifier les strat gies d audit ou les configurations SAPI Recorder pour vous assurer de ne perdre aucun v nement Pour configurer le service de routeur SAPI 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut 2 D veloppez l entr e Adaptateurs CA 254 Manuel d impl mentation Configuration d adaptateurs CA
511. uter les v nements pour la corr lation dans un environnement multiserveur La d finition de serveurs de collecte permet d administrer et d ex cuter les r gles de corr lation sur un serveur de corr lation d di ou avec des r les partag s Vous pouvez alors afficher des incidents partir de tous les serveurs de collecte s lectionn s Pour d finir des serveurs de collecte 1 Cliquez sur Administration puis sur le sous onglet Services et d veloppez le noeud Service de corr lation 2 S lectionnez le serveur CA Enterprise Log Manager vers lequel vous voulez router les v nements pour la corr lation Si vous utilisez un serveur de corr lation d di s lectionnez le Les informations du serveur de corr lations s affichent dans le volet droit 3 Pour s lectionner les serveurs que vous voulez utilisez le contr le de d placement de serveurs de collecte V rifiez que tous les serveurs qui collectent des v nements pour la corr lation apparaissent dans la colonne S lectionn s Conception et application des notifications d incidents Vous pouvez configurer des notifications pour les r gles de corr lation Les notifications permettent de transf rer des informations cl s sur les incidents d tect s au personnel sp cifi ou de cr er des tickets pour le centre de services de CA IT PAM automatiquement Utilisez le processus suivant pour concevoir et d clencher des notifications dans votre environnement
512. utez la commande ci dessous ImportCALMSAS sh Le script shell importe les fichiers de suppression et de r capitulation Importation des fichiers de jetons d analyse Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de jetons d analyse Vous ne pouvez pas utiliser les jetons d analyse pr ts l emploi dans l assistant d analyse de message sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de jetons d analyse Pour importer des fichiers de jetons d analyse 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su Chapitre 3 Installation de CA Enterprise Log Manager 137 D pannage de l installation 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMTOK sh Le script shell importe les fichiers de jetons d analyse Importation des fichiers de l interface utilisateur CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de l interface utilisateur Vous ne pouvez pas afficher ou utiliser les valeurs des champs d rou
513. utiliser l action Routage mais l action Collecteur offre l avantage de proposer un autre nom d h te pour le traitement de base du basculement 7 Cliquez sur Nouveau pour ajouter une nouvelle r gle 8 Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de collecte Modifier une r gle Actions Pr c dent Suivant Terminer Annuler Aide gt Modifier les N ne i a Modifier les 1 2 gt Modifier le script informations d x actions Parcourir les actions Aide Collector l ajouter Annuler Parcourez la liste des actions et cr ez en de nouvelles ajouter la r gle F Nom d h te ou adresse IP CA ELM Collector Collector Nom de l h te secondaire CA ELM Management E e mail Fesce Status Monitor Description CA Enterprise Log Manager action External Program Mie Route I Effectuer cette action sur un serveur distant Gs Le serveur est d fini par le groupe de NA Screen G Q security Monitor Lelserveurest Bsomp unicenter Dans le cas d une impl mentation CA Enterprise Log Manager comptant plusieurs serveurs vous pouvez entrer un nom d h te ou une adresse IP CA Enterprise Log Manager diff rente dans le champ Autre nom d h te Cela permet de b n ficier de la fonction de basculement automatique de CA Audit Si le premier serveur CA Enterprise Log Manager n est pas disponible CA Audit envoie automatiquement les v nements
514. utre proxy n est configur ou disponible le proxy d abonnement en ligne par d faut t l charge les mises jour vers des clients d abonnement Apr s l installation le premier serveur CA Enterprise Log Manager install est automatiquement d fini comme proxy d abonnement par d faut Toutefois vous pouvez sp cifier un proxy en ligne comme proxy d abonnement par d faut Vous pouvez configurer le proxy d abonnement par d faut uniquement au niveau global Pour configurer un proxy d abonnement en ligne 1 Cliquez sur l onglet Administration et le sous onglet Services 2 Cliquez sur Service d abonnement La fen tre Configuration globale du service d abonnement s affiche Remarque Pour sp cifier un proxy d abonnement par d faut diff rent de celui configur dans l installation cliquez sur Administration et introduisez le nom de serveur dans le champ Proxy d abonnement par d faut 3 Dans la Liste Services d veloppez le service d abonnement et s lectionnez le serveur configurer La Configuration du service d abonnement s affiche pour le serveur CA Enterprise Log Manager s lectionn 4 Cliquez sur l onglet Administration 5 D sactivez la case cocher Proxy d abonnement et s lectionnez Proxy d abonnement en ligne 6 Confirmez que l URL du flux RSS pour les mises jour d abonnement est correcte Si vous voulez que ce proxy utilise un flux RSS diff rent du param tre global basculez vers la configuration locale
515. ux r les fonctionnels tels que la gestion la collecte ou la g n ration de rapports Si vous installez un serveur de gestion CA Enterprise Log Manager ne l utilisez pas pour recevoir des journaux d v nements ou pour ex cuter des requ tes et des rapports Installez des serveurs CA Enterprise Log Manager virtuels distincts pour faire office de serveurs de rapports et de collecte afin d obtenir les meilleures performances possibles Examinez les instructions d installation normale avant d installer CA Enterprise Log Manager dans un environnement virtuel La feuille de calcul d installation vous permet de collecter les informations n cessaires Annexe E CA Enterprise Log Manager et virtualisation 333 Cr ation de serveurs CA Enterprise Log Manager l aide d ordinateurs virtuels Pour installer CA Enterprise Log Manager sur un ordinateur virtuel 1 Chargez votre disque d installation du SE CA Enterprise Log Manager dans le lecteur physique de DVD ROM ou recherchez le r pertoire dans lequel vous avez copi l image de l installation Mettez votre ordinateur virtuel en surbrillance dans la liste d inventaire des ordinateurs virtuels cliquez dessus avec le bouton droit et s lectionnez D marrage Poursuivez l installation normale de CA Enterprise Log Manager Configurez le serveur CA Enterprise Log Manager install pour le r le fonctionnel souhait en utilisant les informations de la section traitant de l installation d
516. vec un serveur distant comme destination de stockage Entrez les informations d identification d un compte d utilisateur dot d un r le d administrateur Vous pouvez galement cr er une strat gie d acc s CALM avec l action de modification sur les ressources de base de donn es et affecter un utilisateur comme identit Dans ce cas entrez les informations d identification d un utilisateur disposant de peu de droits Auto Archive Type de sauveges Heure de d but Cau format 24 h gt Utilisateur EEM Mot de passe BEM Serveur distant Utilisateur distant Emplacement distant Les num ros figurant sur le diagramme suivant repr sentent deux configurations d archivage automatique une entre le serveur de collecte et le serveur de rapports et une autre entre le serveur de rapports et un serveur distant du r seau NY Collecte ELM NY Rapports ELM NY Serv Stockage 178 Manuel d impl mentation Configuration du magasin de journaux d v nements Dans une telle configuration la proc dure automatique fonctionne comme suit 1 NY Collecte ELM serveur de collecte CA Enterprise Log Manager collecte et ajuste les v nements et les int gre la base de donn es chaude Lorsque la base de donn es chaude atteint le nombre d enregistrements configur elle est compress e L archivage automatique tant planifi toutes les heures le syst me copie les bases de donn es ti des une fois par heure et les tran
517. veur CA Enterprise Log Manager avec le magasin de journaux d v nements Cr ez vos requ tes SQL ODBC conform ment la norme SQL ANSI Pour tester la r cup ration des donn es du serveur 1 Ouvrez uneinvite de commande et acc dez au r pertoire o vous voulez installer le client ODBC 2 D marrez l utilitaire iSQL odbcisql exe 3 Entrez l instruction SELECT suivante pour tester la r cup ration partir du magasin de journaux d v nements select top 5 event logname receiver hostname SUM event count as Count from view event where event time gmt lt now and event time gmt gt timestampadd mi 15 now GROUP BY receiver hostname event logname Installation du client JDBC Le client JDBC offre via n importe quel applet application ou serveur d applications Java un acc s JDBC multiniveau point point hautes performances aux sources de donn es Le client est optimis pour l environnement Java ce qui vous permet d int grer la technologie Java et d tendre les fonctionnalit s et les performances de votre syst me Le client JDBC peut tre ex cut aussi bien sur les plates formes 32 bits que 64 bits Aucune modification des applications existantes n est requise pour qu elles s ex cutent sur les plates formes 64 bits Chapitre 3 Installation de CA Enterprise Log Manager 123 Installation du client JDBC L installation du client JDBC comprend les tapes ci dessous 1 Assurez vous qu un serveur
518. visibles par le serveur CA Enterprise Log Manager l origine de la requ te Le type de requ te le plus simple provient du serveur CA Enterprise Log Manager principal et renvoie des informations provenant de tous les serveurs enfants configur s en dessous de celui ci Chapitre 7 Cr ation de f d rations 231 F d rations hi rarchiques Lorsque vous effectuez une requ te sur la f d ration partir d un serveur enfant les r sultats affich s d pendent de la configuration de votre f d ration Dans une f d ration hi rarchique tous les serveurs configur s comme les enfants d un serveur renvoient les r sultats des requ tes ce serveur Dans une f d ration maill e tous les serveurs interconnect s renvoient les donn es au serveur l origine de la requ te F d rations hi rarchiques Les f d rations hi rarchiques utilisent une structure pyramidale descendante pour diffuser largement les charges de collecte d v nements Cette structure est similaire un organigramme II n existe aucun nombre d fini de niveaux cr er vous pouvez cr er les niveaux qui correspondent le mieux vos besoins professionnels Dans une f d ration hi rarchique vous pouvez vous connecter n importe quel serveur CA Enterprise Log Manager pour afficher des rapports sur ses donn es d v nements et sur les donn es provenant de ses serveurs enfants La port e des donn es auxquelles vous pouvez acc der est limit e en fo
519. voie le nom complet du package s il est install Enregistrement du serveur CA Enterprise Log Manager aupr s du serveur CA EEM Sympt me Lors de l installation l application CA Enterprise Log Manager ne s est pas enregistr e correctement aupr s du serveur CA EEM L application CA Enterprise Log Manager d pend du serveur CA EEM pour la gestion des comptes d utilisateur et des configurations de services Si l application CA Enterprise Log Manager n est pas enregistr e le logiciel ne fonctionne pas correctement Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation 130 Manuel d impl mentation D pannage de l installation Solution Enregistrez manuellement l application CA Enterprise Log Manager aupr s du serveur CA EEM Pour enregistrer l application CA Enterprise Log Manager 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su 4 Acc dez au r pertoire opt CA LogManager EEM 5 Ex cutez la commande ci dessous EEMRegister sh Le script shell enregistre l application CA Enterprise Log Manager aupr s du serveur CA EEM Acquisition de certificats aupr s du serveur CA EEM Sympt me Lors de l installation les certificats num riques n ont
520. x et une int gration pour cr er une configuration permettant de collecter des v nements provenant d une source d v nement sp cifique Sauf pour Syslog un connecteur utilise une int gration comme mod le de configuration Les connecteurs Syslog reposent sur des couteurs Les agents utilisent des connecteurs pour collecter les v nements Apr s avoir install un agent vous pouvez utiliser l Explorateur d agent sur n importe quel serveur CA Enterprise Log Manager pour configurer un ou plusieurs connecteurs sur cet agent Les serveurs CA Enterprise Log Manager doivent tre enregistr s aupr s du m me serveur de gestion ou du m me serveur CA EEM externe avec le m me nom d instance d application pour configurer des agents de cette fa on Remarque Bien qu en th orie il soit possible de configurer jusqu 256 connecteurs sur un agent sp cifique un nombre lev de connecteurs entra ne une baisse des performances Nous recommandons de configurer 70 connecteurs maximum par agent pour obtenir des performances optimales 68 Manuel d impl mentation Planification d agent En g n ral chaque source d v nement sur le r seau est dot e d un connecteur Pour les v nements Syslog un connecteur peut tre li plusieurs sources d v nement en fonction de vos choix de configuration Vous pouvez cr er plusieurs connecteurs utilisant la m me int gration mais dot s de d tails de configuration l g rement diff
521. xemple Configuration du connecteur E Indiquez les informations de configuration Configurations enregistr es s lectionner la configuration v Configuration des d tecteurs Nom de l ordinateur 172 24 36 107 Port 30 D Nom de l utilisateur ELMagent Mot de passe ikrek Nom du journal d v nements NT Security Intervalle d interrogation 10 EP ET Mise jour du taux d ancrage 10 V Lecture partir du d but Nom de la source Security Nom du canal ou du journal Security 9 Cliquez sur Enregistrer et fermer 10 Le nouveau nom du connecteur s affiche sous l agent dans l Explorateur d agent Explorateur de collecte de journaux gt 59 Adaptateurs CA gt a Biblioth que d ajustement d v nement gt ca elm 6 gt Ca ca elm 6 v Es Explorateur d agent v amp gt Default Agent Group v lt s elm 3 Linux_localsyslog_Connector E Syslog_Connector wWwinRM_Connecteur Chapitre 6 Configuration de la collecte d v nements 227 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor 11 Cliquez sur WinRM_Connector pour afficher les d tails de l tat Au d but l tat indique Configuration en attente Attendez jusqu ce que l tat affiche Ex cution en cours D tails de l tat Red marrer D marrer Arr ter Connecteur Agent Groupe d agents Plate forme Int gration Etat Linux
522. xemple au cours de la derni re heure Informations compl mentaires Configuration d un serveur CA Enterprise Log Manager en tant que serveur enfant page 236 Exemple Archivage automatique sur trois serveurs page 175 Chapitre 2 Planification de votre environnement 41 Planification des utilisateurs et des acc s Planification des utilisateurs et des acc s Apr s avoir install le premier serveur CA Enterprise Log Manager et y avoir acc d en tant qu utilisateur EiamAdmin vous pouvez configurer le magasin d utilisateurs configurer un utilisateur en temps qu administrateur et d finir des strat gies de mots de passe La planification des utilisateurs et des acc s est limit e aux l ments ci dessous m D terminez si vous devez accepter le magasin d utilisateurs par d faut sur ce serveur CA Enterprise Log Manager ou configurer un magasin d utilisateurs externe Si la configuration est n cessaire enregistrez les valeurs requises dans les feuilles de calcul fournies Identifiez l utilisateur qui agira comme le premier administrateur Seul un administrateur peut configurer des param tres CA Enterprise Log Manager m D finissez les strat gies de mots de passe en ayant pour objectif de promouvoir des mots de passe s rs pour les utilisateurs de CA Enterprise Log Manager Remarque Vous ne pouvez configurer des strat gies de mots de passe que lorsque vous configurez le magasin d utilisateurs sur ce CA Enterpr
523. ys d abonnement en ligne et hors ligne n incluez aucun proxy hors ligne dans la liste de proxys pour un client d abonnement en ligne Dans le cas contraire le client d abonnement en ligne recevra automatiquement toutes les mises jour manuellement install es sur le serveur proxy hors ligne au lieu des modules s lectionn s Cliquez sur Enregistrer Informations compl mentaires Configuration de l abonnement page 198 Modules t l charger Type de module Contenu Les mises a jour sont mises en package dans des modules t l charg s via le serveur d abonnement CA Vous pouvez acc der a la liste des modules disponibles via l URL d un flux RSS fournie par CA ou dans le cas d un abonnement hors ligne via un site FTP de CA CA d termine le contenu de chaque module Le tableau suivant d crit chaque module sa fonction et la fr quence a laquelle CA met a disposition des mises a jour Description Fr quence Met a jour la liste de requ tes la liste de rapports et les Tous les mois r gles de corr lation avec le nouveau contenu Le serveur proxy de mise a jour du contenu envoie automatiquement ce contenu au niveau du r f rentiel du serveur de gestion Chapitre 5 Configuration des services 203 Configuration de l abonnement Type de module Int grations Syst me d exploitation Agents Service Pack du Description Fr quence Met jour les connecteurs lorsque vous ex cutez l Assistant Tous les mo
524. z cette section pour activer et d sactiver des r gles et v rifiez que les politiques ne comportent pas d erreur C Contenu de AC I eTrust Access Control Policy 5 Suspicious Events Network Access amp Outgoing Communication Successful 4 Outgoing Communication Failed JIncoming Communication Successful amp Incoming Communication Failed 6666661 E Security System 282 Manuel d impl mentation Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager Cliquez sur V rifier les strat gies pour v rifier la r gle modifi e avec les nouvelles actions et vous assurer de sa compilation ad quate Apportez les modifications n cessaires la r gle et assurez vous de sa compilation ad quate avant de l activer Cliquez sur Activer pour distribuer la strat gie v rifi e qui contient les nouvelles actions de r gle ajout es R p tez cette proc dure pour chaque r gle et strat gie portant sur les v nements collect s envoyer CA Enterprise Log Manager Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager Vous pouvez configurer un iRecorder CA Access Control autonome pour qu il envoie directement les v nements qu il collecte au serveur CA Enterprise Log Manager des fins de stockage et de g n ration de rapport Ce processus inclut les tapes ci dessous 1 4 Configurez l couteur du
Download Pdf Manuals
Related Search