В этом разделе описывается порядок установки ArcSight Forwarding Connector.
ArcSight Forwarding Connector является компонентом HP ArcSight и не входит в состав Kaspersky CyberTrace. Это приложение можно получить одним из следующих способов:
Чтобы установить ArcSight Forwarding Connector, выполните следующие действия:
%ConnectorInstallDir%
).Добавление коннектора
Нажмите на кнопку Next.
Выбор типа коннектора
Нажмите на кнопку Next.
Хост ArcSight Source Manager.
Порт ArcSight Source Manager (по умолчанию 8443
).
Имя пользователя учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию FwdCyberTrace
).
Вместо FwdCyberTrace
можно указать другого пользователя. Для этого укажите собственного пользователя ArcSight в настройках ArcSight Forwarding Connector.
Пароль от учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию KasperskyLab!
).
Параметры ArcSight Source Manager
Если возникает ошибка аутентификации (неверное имя пользователя или пароль), рекомендуется проверить, присутствует ли пользователь FwdCyberTrace
в ArcSight Console. Если нет, создайте его вручную.
Нажмите на кнопку Next.
Импорт сертификата
Нажмите на кнопку Next.
Настройка формата события
Нажмите на кнопку Next.
IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace. По умолчанию в качестве IP-адреса и порта для получения событий от ArcSight используется 127.0.0.1:9999
.
Настройка назначения события
Нажмите на кнопку Next.
Подробные данные коннектора
Нажмите на кнопку Next.
Предупреждение о правах пользователя
Можно запустить мастер Connector Setup Wizard как root либо можно выполнить следующую команду как root:
%ConnectorInstallDir%/current/bin/arcsight agentsvc -i -u $username -sn $service_name
Параметры здесь имеют следующий смысл:
$username
— имя пользователя операционной системы, который будет запускать сервис.$service_name
— имя сервиса.Рекомендуется задать имя сервиса таким же, как имя коннектора.
Сообщения о процессе установки выводятся в файл журнала %ConnectorInstallDir%/current/logs/agent.log
.
Пропустите следующий шаг, описывающий указание параметров сервиса.
Выбор режима установки
Нажмите на кнопку Next.
Рекомендуется задать имя сервиса таким же, как имя коннектора.
Указание параметров сервиса
Нажмите на кнопку Next.
После этого мастер Connector Setup Wizard сообщит о том, что новый Forwarding Connector установлен.
/etc/init.d/arc_%FORWARDING% start
Здесь %FORWARDING%
соответствует имени коннектора.
Если Forwarding Connector отправляет в Kaspersky CyberTrace Service большое количество событий (более 1000 событий в секунду), рекомендуется сделать следующее: в файле %ConnectorInstallDir%/current/user/agentagent.wrapper.conf
задать в поле wrapper.java.maxmemory
значение 512
и перезапустить Forwarding Connector.