Для установки ArcSight Forwarding Connector вместо установщика с графическим интерфейсом пользователя можно воспользоваться консолью.
Чтобы установите ArcSight Forwarding Connector с помощью консоли, выполните следующие действия:
%ConnectorInstallDir%
).По умолчанию задан каталог /root/ArcSightSmartConnectors
1
(что соответствует варианту Typical
).Рекомендуется выбрать вариант Don't create links
.
После установки ArcSight Forwarding Connector в консоли выводится следующая информация:
Installation Complete
---------------------
The core components of the ArcSight SmartConnector have been successfully installed to:
%ConnectorInstallDir%
To finish the configuration of the SmartAgent, please go to the folder:
%ConnectorInstallDir%/current/bin/
and execute the script:
./runagentsetup.sh
%ConnectorInstallDir%/current/bin/runagentsetup.sh
.Add a Connector
.ArcSight Forwarding Connector
.Рекомендуется указать yes
.
Хост ArcSight Source Manager.
Порт ArcSight Source Manager (по умолчанию 8443
).
Имя пользователя учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию FwdCyberTrace
).
Вместо FwdCyberTrace
можно указать другого пользователя. Для этого укажите собственного пользователя ArcSight в настройках ArcSight Forwarding Connector.
Пароль от учетной записи, которую должен использовать ArcSight Forwarding Connector (по умолчанию KasperskyLab!
).
Import the certificate to connector from destination
.CEF Syslog
.IP-адрес, который Kaspersky CyberTrace Service прослушивает для получения событий.
Порт на котором Kaspersky CyberTrace Service получает события. По умолчанию это 9999
.
Укажите Raw TCP
.
IP-адрес и порт совпадают с указанными в разделе Connection settings на вкладке Service в веб-интерфейсе Kaspersky CyberTrace.
Можно указать произвольное значение.
Можно указать произвольное значение.
Можно указать произвольное значение.
Можно указать произвольное значение.
После этого коннектор регистрируется.
Install as a service
.Задает, должен ли сервис запускаться при запуске системы. Рекомендуется указать yes
.
Выполняется установка коннектора как сервиса.
/etc/init.d/arc_%FORWARDING% start
Здесь %FORWARDING%
соответствует имени коннектора.
Если Forwarding Connector отправляет в Kaspersky CyberTrace Service большое количество событий (более 1000 событий в секунду), рекомендуется сделать следующее: в файле %ConnectorInstallDir%/current/user/agentagent.wrapper.conf
задать в поле wrapper.java.maxmemory
значение 512
и перезапустить Forwarding Connector.