CA Enterprise Log Manager - Manuel d
Contents
1. 173 F d rationsimaill s 2 454 24aanstnta nadia rate nana nee nent 174 Exemple de f d ration maill e 175 Configuration d une f d ration CA Enterprise Log Manager 175 Configuration d un serveur CA Enterprise Log Manager en tant que serveur enfant 176 Affichage du graphique de f d ration et du contr leur de l tat du serveur 177 Chapitre 8 Utilisation de la biblioth que d ajustement d v nement 179 A propos de la biblioth que d ajustement d v nement 179 Prise en charge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement 180 Fichiers de mappage et d analyse 180 Annexe A Remarques pour les utilisateurs de CA Audit 183 Pr sentation des diff rences entre les architectures 2220 183 Architecture CA Audit 2444 dre dure et ne mn dd de RE s 185 Architecture CA Enterprise Log Manager 2 186 Architecture int gr ee 2 2 24220t2 002 dinde ne de med iescide a E 188 Configuration d adaptateurs CA 444444 444444 esse eee eue 189 A propos du routeur et du collecteur SAPI 2 190 A prop2. 68 Feuille de calcul du serveur CA Enterprise Log Manager 69 Installation de CA Enterprise Log Manager 2 74 V rifier que le processus iGateway s ex cute 75 V rification de l installation du serveur CA Enterprise Log Manager 78 Affichage des v nements d autosurveillance 22220 79 Configurations initiales du serveur CA Enterprise Log Manager 80 Comptes d utilisateur par d faut 00002222222 80 Structure des r pertoires par d faut 2 81 Image du syst me d exploitation personnalis 81 Affectations de ports par d faut 444444eeeeeeeeeeeeeee 82 Liste d s processus S 45205 tetes saisis soso 84 Redirection des ports du pare feu pour les v nements Syslog 85 Installation du client ODBC resis issis aa aa den nada E DE en av ns es A ms 86 Configuration requise 4 esse 87 Configuration du service Serveur ODBC 4444eseeseeseesee 87 Installation du client ODBC sur les syst mes Windows 88 Cr ation d
3. 100 Importation de fichiers d analyse de message CA Enterprise Log Manager 101 Importation de fichiers de grammaire commune aux v nements 102 Importation de fichiers de gestion commune des agents 103 Importation de fichiers de configuration CA Enterprise Log Manager 103 Importation des fichiers de suppression et de r capitulation 104 Importation des fichiers de jetons d analyse 105 8 Manuel d impl mentation Importation des fichiers de l interface utilisateur CA Enterprise Log Manager 105 Chapitre 4 Configuration des utilisateurs de base et des acc s 107 A propos des utilisateurs de base et des acc s 107 Configuration du magasin d utilisateurs 108 Acceptation du magasin d utilisateurs par d faut 108 R f rence un r pertoire LDAP 44444 eee 109 R f rence CA SiteMinder comme magasin d utilisateurs 110 Configuration des strat gies de mots de passe 111 Conservation des strat gies d acc s pr d finies 113 Cr a
4. Sp cifie le nom affect du magasin Chapitre 2 Planification de voire environnement 39 Planification des utilisateurs et des acc s Informations requises Valeur Commentaires d autorisations d utilisateurs r f renc dans le champ Type de magasin d autorisations Utilisateurs ayant le r le Administrator Seuls les utilisateurs affichant le r le Administrator peuvent configurer les composants CA Enterprise Log Manager Une fois le premier CA Enterprise Log Manager install vous acc dez au CA Enterprise Log Manager par le biais d un navigateur vous vous connectez avec vos informations d identification EiamAdmin et vous configurez le magasin d utilisateurs L tape suivante consiste affecter le groupe d applications Administrator au compte de l utilisateur qui doit effectuer la configuration Si vous avez configur le magasin d utilisateurs comme le magasin d utilisateurs CA Enterprise Log Manager par d faut vous cr ez un nouveau compte d utilisateur et vous lui affectez le r le Administrator Si vous avez r f renc un magasin d utilisateurs externe vous ne pouvez pas cr er de nouvel utilisateur Dans ce cas recherchez l enregistrement d utilisateur de la personne qui doit tre l administrateur puis ajoutez le groupe d applications Administrator au compte de cet utilisateur Planification de la strat gie de mots de passe Si vous acceptez le magasin d utilisateurs par d faut vous d finissez de nouveaux
5. Remarques sur le serveur de rapports Chiffrement SSL Indique si le chiffrement doit tre utilis pour les communications entre le client ODBC et le serveur CA Enterprise Log Manager La valeur par d faut active le chiffrement SSL Le serveur CA Enterprise Log Manager refuse les tentatives de connexion lorsque la valeur correspondante dans la source de donn es Windows ou dans l URL JDBC est diff rente de ce param tre D lai d expiration de la session en minutes Sp cifie le nombre de minutes pendant lequel une session inactive reste ouverte avant d tre automatiquement ferm e Niveau de journal D finit le type et le niveau de d tail enregistr s dans le fichier journal La liste d roulante est class e dans l ordre croissant du niveau de d tail Appliquer tous les enregistreurs D termine si le param tre Niveau de journal crase tous les param tres de journal issus du fichier des propri t s du journal Ce r glage s applique uniquement lorsque le param tre Niveau de journal est inf rieur plus d taill au param tre par d faut Remarques sur le serveur de rapports Le serveur de rapports contr le l administration des rapports diffus s de mani re automatique leur aspect au format PDF ainsi que la conservation des alertes d action et des rapports Vous pouvez effectuer les t ches suivantes depuis la zone de configuration du serveur de rapports m Cr er des listes d finies par l utilisateur L
6. adresses IPv4 ou IPv6 correspondantes Liste des serveurs DNS 70 Manuel d impl mentation Commentaires les h tes Les normes du secteur recommandent les lettres de A Z insensibles la casse les chiffres de 0 9 et le tiret avec une lettre en premier caract re et un caract re alphanum rique en derni re position N utilisez pas le caract re de soulignement dans un nom d h te Remarque N ajoutez pas de nom de domaine cette valeur de nom d h te S lectionnez le nom de l adaptateur r seau utiliser pour les collectes de journaux d v nements et les communications Appuyez sur la barre d espacement pour entrer la configuration d une unit Entrez une adresse IP valide pour ce serveur Entrez un masque de sous r seau valide et une passerelle par d faut utiliser avec ce serveur Entrez le nom de domaine complet au sein duquel op re le serveur par exemple mycompany com Remarque Le nom de domaine doit tre enregistr aupr s du serveur DNS Domain Name Server de votre r seau pour permettre la r solution du nom d h te vers l adresse IP Entrez une ou plusieurs adresses IP de serveur DNS utiliser sur votre r seau La liste est s par e par des virgules sans espace entre les entr es Informations CA Enterprise Log Manager Date et heure syst me Update Time through NTP Nom ou adresse du serveur NTP Contrat de licence du kit de d veloppement Sun
7. jour de contenu aupr s d un autre serveur CA Enterprise Log Manager appel serveur proxy d abonnement Les clients d abonnement interrogent le serveur proxy d abonnement configur de mani re r guli re et planifi e et ils r cup rent les nouvelles mises jour disponibles le cas ch ant Apr s r cup ration des mises jour le client installe les composants t l charg s Pour configurer un client d abonnement 1 Cliquez sur l onglet Administration puis sur Services d veloppez le Module d abonnement et s lectionnez le serveur configurer La Configuration du service du Module d abonnement s affiche pour le serveur CA Enterprise Log Manager s lectionn 2 Identifiez le serveur s lectionn comme un client en d s lectionnant les deux cases cocher li es aux proxies d abonnement L Proxy d abonnement Proxy d abonnement hors ligne 150 Manuel d impl mentation Configuration de l abonnement 3 Cliquez sur le bouton de basculement global local pour acc der la configuration locale du service des Proxies d abonnement pour le client puis s lectionnez les proxies d abonnement que ce client doit contacter de mani re circulaire pour obtenir les mises jour du produit et du syst me d exploitation Subscription Proxy s for Client s La configuration locale du service est appliqu e Pour Disponible s basculer vers la configuration globale du service cliquez ici 4 Siles mod
8. Cliquez sur Etat et commande Le panneau d tat s affiche S lectionnez Agents ou Connecteurs Le panneau de recherche d agents ou de connecteurs s affiche S lectionnez les crit res de recherche de mise jour d agent ou de connecteur facultatif Si vous n entrez aucun terme de recherche toutes les mises jour disponibles s affichent Vous pouvez s lectionner un ou plusieurs crit res ci dessous pour restreindre votre recherche m Groupe d agents renvoie uniquement les agents et les connecteurs affect s au groupe s lectionn m Plate forme renvoie uniquement les agents et les connecteurs s ex cutant sur le syst me d exploitation s lectionn a Sch ma de nom de l agent renvoie uniquement les agents et les connecteurs contenant le sch ma sp cifi a Int gration connecteurs uniquement renvoie uniquement les connecteurs qui utilisent l int gration s lectionn e Chapitre 6 Configuration de la collecte d v nements 169 Affichage et contr le de l tat d un agent ou d un connecteur 6 Cliquez sur Afficher l tat Le graphique de d tails qui s affiche indique les agents ou les connecteurs correspondant votre recherche comme les exemples ci dessous Total 10 Ex cution en cours 8 En attente 1 Arr t 1 Aucune r ponse 0 7 Cliquez sur l tat pour afficher les d tails dans le volet Etat au bas du graphique facultatif Remarque Vous pouvez cliquer sur le bouton A la dem
9. Il est possible d ex cuter un syst me de serveurs CA Enterprise Log Manager d pourvus d acc s Internet Pour cette exception le premier serveur install automatiquement configur comme proxy d abonnement par d faut n a pas d acc s en ligne Cela signifie qu il n y a aucun serveur proxy en ligne Dans ce cas vous pouvez cr er un chemin de r pertoire sur un serveur distant qui ressemble celui du proxy d abonnement t l charger manuellement les mises jour dans les dossiers requis et copier les fichiers du serveur distant vers un ou plusieurs proxies d abonnement hors ligne Les clients d abonnement contactent ensuite leur proxy d abonnement hors ligne selon la planification puis ils t l chargent et installent les mises jour requises ss Le serveur de gestion CA Enterprise Log Manager Utilisateur sur un serveur distant dot d une connexion Internet Proxy d abonnement hors ligne Clients d abonnement CA Enterprise Log Manager CA Enterprise Log Manager Le processus repr sent par les fl ches num rot es est d crit ci dessous 1 A partir d un serveur distant dot d une connexion Internet vous cr ez un chemin de t l chargement pour enregistrer les fichiers des mises jour d abonnement Vous acc dez au flux RSS et vous t l chargez les mises jour de contenu dont vous avez besoin ainsi que les mises jour du produit et du syst me d exploitation Vous cr ez manuellement le fichier XML
10. Planification de votre environnement 31 Planification de f d ration Vous trouverez ci dessous un exemple de carte de f d ration qui vous permet d atteindre ces objectifs de g n ration de rapports LEGENDE R le du serveur Serveur de gestion Parent CD Serveur de collecte Enfant MR Serveur de rapports hi rarchie maillage Pour impl menter la conception de cette carte de f d ration effectuez les actions num r es ci dessous m Cr ez une f d ration hi rarchique du serveur de gestion vers un serveur de collecte li chaque serveur de rapports pour laquelle le serveur de gestion est le parent et chaque serveur de collecte est l enfant m Cr ez une f d ration totalement maill e entre les serveurs de collecte pour chaque serveur de rapports m Cr ez une f d ration hi rarchique de chaque serveur de collecte vers son serveur de rapports pour laquelle le serveur de collecte est le parent et le serveur de rapports est l enfant m Cr ez une f d ration totalement maill e entre les serveurs de rapports 32 Manuel d impl mentation Planification de f d ration Pour atteindre un objectif donn de g n ration de rapports il est important d ex cuter le rapport depuis un serveur repr sent par un emplacement pr cis sur votre carte de f d ration Vous trouverez plusieurs exemples ci dessous m Pour g n rer un rapport syst me sur des v nements d autosurveillance qui se produisent s
11. automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers CEG Pour importer les fichiers CEG 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous Su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMCEG sh Le script shell importe les fichiers de grammaire commune aux v nements 102 Manuel d impl mentation D pannage de l installation Importation de fichiers de gestion commune des agents Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de gestion commune des agents Vous ne pouvez pas g rer les agents dans l interface utilisateur CA Enterprise Log Manager sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de gestion des agents Pour importer des fichiers de gestion commune des agents 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous Su
12. de l utilisateur root A propos des int grations L ensemble des int grations pr tes l emploi est pour l essentiel une biblioth que de mod les Ces mod les fournissent le code sp cifique la collecte d v nements provenant d un type pr cis de source de journaux Une int gration devient un connecteur lorsqu elle est choisie dans la biblioth que et configur e avant d tre appliqu e une source d v nement Les int grations contiennent les types d informations ci dessous m Fichier d acc s aux donn es avec les informations li es un type pr cis de source d v nement Fichier d analyse de message qui cr e des paires nom valeur partir des journaux d v nements collect s m Fichier de mappage de donn es qui mappe les paires nom valeur analys es vers la grammaire commune aux v nements qui forme le sch ma de base de donn es pour le magasin de journaux d v nements du serveur CA Enterprise Log Manager CA Enterprise Log Manager propose diverses int grations pour les sources d v nement courantes et communes notamment les produits CA mais aussi les pare feu bases de donn es syst mes d exploitation applications etc courants Vous pouvez obtenir d autres int grations comme indiqu ci apr s m Les mises jour d abonnement incluent de nouvelles int grations ou de nouvelles versions d int grations existantes m L assistant fourni permet de cr er des int grations personnalis
13. l ments ci dessous pour les configurations et les param tres m Configurations globales m Param tres et filtres globaux m Param tres du magasin de journaux d v nements m Param tres du serveur ODBC m Param tres du serveur de rapports m Configuration du module d abonnement m Panneau Etat du syst me Chapitre 5 Configuration des services 119 Modification de configurations globales Les configurations des services peuvent tre globales c est dire qu elles affectent tous les serveurs CA Enterprise Log Manager install s sous un seul nom d instance d application sur le serveur de gestion Les configurations peuvent galement tre locales et n affecter qu un serveur s lectionn Les configurations sont stock es dans le serveur de gestion avec une copie locale sur le serveur CA Enterprise Log Manager de collecte Ainsi si le r seau perd sa connectivit ou si le serveur de gestion s arr te pour une raison quelconque la journalisation des v nements continue sans interruption sur les serveurs de collecte Le panneau Etat du syst me contient des outils pour g rer les serveurs CA Enterprise Log Manager et leurs services ainsi que pour collecter des informations des fins d assistance Le manuel d administration et l aide en ligne contiennent des informations compl mentaires sur le sujet Modification de configurations globales Vous pouvez d finir des configurations globales pour l ensemble des services S
14. partir de la source d v nement cible 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ tes s affiche 2 D veloppez Invites dans la Liste de requ tes puis s lectionnez Connecteur 3 Saisissez le nom du connecteur puis cliquez sur OK Les v nements collect s s affichent Les deux premiers v nements sont des v nements internes Les v nements suivants sont ceux collect s partir de la table de trace MS SQL que vous avez configur e Remarque Si les v nements attendus ne s affichent pas cliquez sur Param tres et filtres globaux dans la barre d outils principale param trez la P riode sur Aucune limite puis enregistrez le param tre 4 S lectionnez Afficher les v nements bruts et examinez la cha ne de r sultat des deux premiers v nements facultatif La cha ne de r sultat appara t dans l v nement brut Les valeurs suivantes indiquent que le d marrage a abouti m result_string ODBCSource initiated successfully MSSQL_TRACE m result _string lt nom du connecteur gt Connector Started Successfully Chapitre 6 Configuration de la collecte d v nements 163 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor Vous pouvez activer la collecte directe d v nements g n r s par des applications Windows ou le syst me d exploitation Window
15. t retourn es CA ou qu elles ont bien t d truites SOUS RESERVE DES DISPOSITIONS PREVUES PAR LA LOI APPLICABLE CA FOURNIT LA PRESENTE DOCUMENTATION TELLE QUELLE SANS AUCUNE GARANTIE EXPRESSE OU IMPLICITE NOTAMMENT AUCUNE GARANTIE DE LA QUALITE MARCHANDE D UNE QUELCONQUE ADEQUATION A UN USAGE PARTICULIER OU DE NON INFRACTION EN AUCUN CAS CA NE POURRA ETRE TENU POUR RESPONSABLE EN CAS DE PERTE O DE DOMMAGE DIRECT O INDIRECT SUBI PAR L UTILISATEUR FINAL O PAR UN TIERS ET RESULTANT DE L UTILISATION DE CETTE DOCUMENTATION NOTAMMENT TOUTE PERTE DE PROFITS OU D INVESTISSEMENTS INTERRUPTION D ACTIVITE PERTE DE DONNEES O DE CLIENTS ET CE MEME DANS L HYPOTHESE OU CA AURAIT ETE EXPRESSEMENT INFORME DE LA POSSIBILITE DE LA SURVENANCE DE TELS DOMMAGES O PERTES L utilisation de tout produit logiciel mentionn dans la Documentation est r gie par le contrat de licence applicable ce dernier n tant en aucun cas modifi par les termes de la pr sente CA est le fabricant de la pr sente Documentation La pr sente Documentation tant dit e par une soci t am ricaine vous tes tenu de vous conformer aux lois en vigueur du Gouvernement des Etats Unis et de la R publique fran aise sur le contr le des exportations des biens double usage et aux autres r glementations applicables et ne pouvez pas exporter ou r exporter la documentation en violation de ces lois ou de toute autre r glementation ventuellement applica
16. un compte d utilisateur existant r cup r dans CA Enterprise Log Manager Utilisez le processus ci dessous 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur par d faut EiamAdmin 2 Cr ez le premier administrateur La m thode utilis e pour cr er le premier administrateur CA Enterprise Log Manager d pend de votre configuration de magasin d utilisateurs ma Si vous configurez CA Enterprise Log Manager pour qu il utilise le magasin d utilisateurs interne vous cr ez un nouveau compte d utilisateur avec le r le Administrator ma Si vous configurez CA Enterprise Log Manager pour qu il utilise un magasin d utilisateurs externe vous utilisez un utilisateur LDAP existant pour le lier au r pertoire Une fois le lien avec un r pertoire externe tabli vous r cup rez partir du magasin d utilisateurs externe le compte de l utilisateur auquel vous souhaitez affecter un r le CA Enterprise Log Manager Les comptes d utilisateur provenant de magasins d utilisateurs externes sont r cup r s sous forme d utilisateurs globaux Vous ne pouvez pas modifier les informations des comptes d utilisateur existants mais vous pouvez ajouter un nouveau groupe d utilisateurs d applications ou r le CAELM Vous affectez le r le Administrator au premier utilisateur Remarque Vous ne pouvez pas cr er de nouveaux utilisateurs partir de CA Enterprise Log Manager si vous configurez un magasin d utilisateurs
17. v nements et la g n ration de rapport Un sixi me serveur constitue un point de restauration d di pour rechercher des v nements provenant de bases de donn es restaur es Disposer d un point de restauration d di pr sente un avantage certain vous pouvez ainsi emp cher l inclusion d anciennes donn es dans les rapports actuels en n int grant pas ce serveur dans votre f d ration Dans cet exemple le serveur de collecte et le serveur de rapports repr sentent une configuration dot e d exigences de traitement exceptionnellement lev es Ces serveurs sont f d r s dans une configuration hi rarchique o le serveur de collecte est l enfant du serveur de rapports Les deux serveurs agissant tous les deux comme serveurs de collecte et de rapports constituent une configuration dot e de volumes d v nements et de rapports planifi s normaux Ils sont f d r s entre eux et avec le serveur de rapports d di dans une f d ration maill e ces trois serveurs sont donc des pairs Le but de la f d ration de serveurs consiste accro tre la possibilit d obtenir des r sultats de requ te provenant des serveurs f d r s Une requ te f d r e provenant d un des serveurs maill s renvoie des v nements de ce serveur et des trois autres serveurs de la f d ration Remarque Si vous souhaitez ex cuter des rapports consolid s sur des v nements d autosurveillance int grez le serveur de gestion dans la f d ratio
18. Colector nuter amie Nom d h te ou adresse IP Ca ELM Collector Nom de l h te secondaire CA ELM Management Description ca Enterprise Log Manager action F Effectuer cette action sur un serveur distant Le serveur est d fini par le groupe de NA Le serveur est Dans le cas d une impl mentation CA Enterprise Log Manager comptant plusieurs serveurs vous pouvez entrer un nom d h te ou une adresse IP CA Enterprise Log Manager diff rente dans le champ Autre nom d h te Cela permet de b n ficier de la fonction de basculement automatique de CA Audit Si le premier serveur CA Enterprise Log Manager n est pas disponible CA Audit envoie automatiquement les v nements au serveur nomm dans le champ Autre nom d h te 222 Manuel d impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 9 Entrez le nom du serveur CA Enterprise Log Manager de gestion dans le champ Autre nom d h te puis cr ez une description pour cette nouvelle action de r gle 10 Si la case cocher Effectuer cette action sur un serveur distant est s lectionn e d s lectionnez la 11 Cliquez sur Ajouter pour enregistrer la nouvelle action de r gle puis sur Terminer dans la fen tre de l assistant Remarque Vous devez ensuite v rifier et activer la strat gie ne vous d connectez donc pas du gestionnaire de strat gies CA Audit Informations compl mentaires
19. Modification d une strat gie r8 SP2 pour envoyer des v nements CA Enterprise Log Manager page 197 V rification et activation de la strat gie modifi e Apr s avoir modifi une strat gie existante pour ajouter une action de r gle v rifiez la compilez la puis activez la Pour v rifier et activer une strat gie CA Access Control 1 S lectionnez l onglet R gles dans le volet inf rieur droit puis s lectionnez une r gle v rifier R gles Groupes de n uds Journal d activation M ac netver u sactiver v ntier tes r gles miae Voici un aper u au niveau du dossier de la s lection en cours dans Mes politiques Utilisez cette section pour activer et d sactiver des r gles et v rifiez que les politiques ne comportent pas d erreur E Contenu de AC I eTrust Access Control Policy amp Suspicious Events Network Access Outgoing Communication Successful amp Outgoing Communication Failed amp Incoming Communication Successful JIncoming Communication Failed 696666 Security System Annexe B Remarques pour les Utilisateurs de CA Access Control 223 Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager 2 Cliquez sur V rifier les strat gies pour v rifier la r gle modifi e avec les nouvelles actions et vous assurer de sa compilation ad quate Apportez les modifications n cessaires la r gle et assurez vous
20. Par exemple envisagez le sc nario pour lequel vous souhaitez des donn es consolid es l aide de deux types de groupements de serveurs m Serveur de gestion rapports uniquement Pour la plupart des rapports lorsque vous souhaitez examiner les v nements r cemment archiv s ti des tout en vitant que les requ tes des nouveaux v nements chauds soient trait es par vos serveurs de collecte Remarque Les v nements sont g n ralement archiv s depuis les serveurs de collecte branches vers le serveur de rapports centre toutes les heures m Tous les serveurs Pour les rapports syst me sur les v nements d autosurveillance lorsque vous voulez valuer l tat de sant de tous vos serveurs CA Enterprise Log Manager en une seule op ration Pour les alertes lorsqu il est important de rechercher les v nements partir de tous les serveurs de collecte Chapitre 2 Planification de votre environnement 33 Planification de f d ration Vous trouverez ci dessous un exemple de carte de f d ration qui vous permet d atteindre ces objectifs de g n ration de rapports LEGENDE R le du serveur gt Serveur de collecte Serveur de rapports et de gestion Type de f d ration lt Parent Enfant hi rarchique maill e Pour impl menter la conception de cette carte de f d ration effectuez les actions num r es ci dessous m Cr ez une f d ration totalement maill e entre l
21. Program Files CA SharedComponents iTechnology Remarque Vous pouvez copier ce fichier dans l emplacement de votre choix Vous s lectionnez ce fichier dans son emplacement lors de l installation du domaine CA IT PAM Annexe C Remarques sur CA IT PAM 243 D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis L ex cution de la commande safex cr e les l ments suivants m Des groupes de s curit IT PAM m ITPAMAdmins m ITPAMUsers m Utilisateurs IT PAM a itpamadmin avec un mot de passe par d faut a itpamuser avec un mot de passe par d faut Vous devez r initialiser le mot de passe pour les deux utilisateurs IT PAM pr d finis Pour r initialiser les mots de passe des comptes itpamadmin et itpamuser dans l application IT PAM sur CA EEM 1 Acc dez l URL suivante https lt nomh te ELM gt 5250 spin eiam L cran d acc s CA EEM s affiche La liste d roulante de l application inclut lt Global gt CAELM et ITPAM 2 Connectez vous l application IT PAM a S lectionnez ITPAM comme application b Saisissez EiamAdmin comme nom d utilisateur c Saisissez le mot de passe du compte d utilisateur EiamAdmin d Cliquez sur Connexion 3 Cliquez sur l onglet G rer identit s 4 Dans la bo te de dialogue Rechercher des utilisateurs saisissez itpam pour la Valeur et cliquez sur OK Les utilisateu
22. Utilisation de la biblioth que d ajustement d v nement Remarques pour les utilisateurs de CA Audit Remarques pour les utilisateurs de CA Access Control Remarques sur CA IT PAM R cup ration apr s sinistre 14 Manuel d impl mentation Description Fournit des feuilles de calcul pour collecter les informations requises ainsi que des instructions d taill es pour installer CA Enterprise Log Manager et v rifier l installation Fournit des instructions pour identifier un magasin d utilisateurs et cr er l utilisateur administratif initial afin de configurer d autres informations sur les utilisateurs et les acc s Fournit des instructions pour configurer des services notamment les filtres globaux et locaux le magasin de journaux d v nements le serveur de rapports et les options d abonnement Fournit des concepts et des instructions pour utiliser ou configurer les composants de la biblioth que d ajustement d v nement y compris les fichiers de mappage et d analyse ainsi que les adaptateurs CA D crit diff rents types de f d rations et fournit des instructions pour cr er des relations f d r es entre les serveurs CA Enterprise Log Manager et afficher un graphique de f d ration Apporte des informations int ressantes sur l utilisation des fichiers d analyse de message et des fichiers de mappage de donn es D crit les interactions que vous pouvez impl menter entre CA Enterprise Log Manager et
23. Vous pouvez pr voir de configurer le param tre du proxy pour les serveurs que vous envisagez d affecter comme proxies d abonnement en ligne ou hors ligne avant de configurer les param tres d abonnement globaux Ce param tre renseigne les listes globales des proxies disponibles pour les clients et des proxies disponibles pour les mises jour de contenu Pour configurer les param tres d abonnement globaux 1 Cliquez sur l onglet Administration Services puis sur Module d abonnement examinez ensuite les param tres du service Configuration globale du service Module d abonnement dans le volet droit 2 Acceptez ou modifiez le param tre du proxy d abonnement par d faut Le proxy d abonnement par d faut est g n ralement le serveur CA Enterprise Log Manager install en premier il peut galement s agir du serveur CA Enterprise Log Manager de gestion C est le serveur contact par chaque client d abonnement en ligne qui ne dispose pas d une liste de proxies d abonnement configur e Si une telle liste existe mais qu elle est puis e lors de la recherche le client obtient les mises jour par le biais de ce serveur Remarque Ce param tre ne peut pas tre cras au niveau local Les informations sp cifi es ici s appliquent tous les serveurs CA Enterprise Log Manager utilisant le m me serveur CA Enterprise Log Manager de gestion 140 Manuel d impl mentation 3 Configuration de l abonnement D finissez la
24. couteurs qui re oit des v nements provenant de composants CA Audit tels que les clients CA Audit les iRecorders et les SAPI Recorders ainsi que les sources qui transmettent des v nements de mani re native via iTechnology Un agent est un service g n rique configur avec des connecteurs charg s de collecter les v nements bruts partir d une source d v nement unique puis de les envoyer CA Enterprise Log Manager pour traitement Chaque CA Enterprise Log Manager dispose d un agent int gr De plus vous pouvez installer un agent sur un point de collecte distant et collecter des v nements sur des h tes o l installation d agents est impossible Vous pouvez galement installer un agent sur l h te o s ex cutent les sources d v nement et b n ficier des possibilit s d application de r gles de suppression et de chiffrement des transmissions vers CA Enterprise Log Manager L agent par d faut est l agent int gr install avec le serveur CA Enterprise Log Manager Vous pouvez le configurer pour collecter directement des v nements Syslog ainsi que des v nements provenant de diff rentes sources non Syslog par exemple CA Access Control r12 SP1 le service de certificats Microsoft Active Directory et les bases de donn es Oracle9i Glossaire 273 ajustement d v nement alerte d action analyse L ajustement d v nement est le processus par lequel une cha ne d v nement brut collect est analys
25. dure D finition de la propri t du fichier de cl sur ce serveur Pour d placer le fichier de cl publique vers le bon emplacement sur le serveur de stockage distant et d finir la propri t du fichier 1 Connectez vous au serveur de stockage distant en tant qu utilisateur root via ssh 2 Cr ez un nouvel utilisateur appel caelmadmin 3 Cr ez un groupe appel caelmservice puis cr ez un nouvel utilisateur appel caelmservice 4 Cr ez le r pertoire opt CA LogManager 5 Transformez le r pertoire de base de l utilisateur caelmservice en opt CA LogManager l aide de la commande ci dessous usermod d opt CA LogManager caelmservice 6 D finissez les autorisations de fichier pour le compte caelmservice l aide de la commande ci dessous chown R caelmservice caelmservice opt CA LogManager 7 Modifiez le r pertoire opt CA LogManager 8 Cr ez le r pertoire ssh 9 Octroyez la propri t du dossier ssh au groupe et l utilisateur caelmservice l aide de la commande ci dessous chown caelmservice caelmservice ssh Chapitre 5 Configuration des services 131 Configuration du magasin de journaux d v nements 10 11 12 13 Transformez le r pertoire en dossier ssh Copiez le fichier authorized_keys depuis le dossier tmp l aide de la commande ci dessous cp mp authorized keys Modifiez la propri t du fichier de cl s autoris es l aide de la commande ci dess
26. e en champs d v nement et mapp e vers des champs CEG Les utilisateurs peuvent ex cuter des requ tes afin d afficher les donn es d v nement ajust ainsi obtenues L ajustement d v nement est l tape qui suit la collecte des v nements et qui pr c de leur stockage Une alerte d action est un job de requ te planifi qui peut tre utilis pour d tecter les violations de strat gie les tendances d utilisation les sch mas de connexion et d autres actions d v nement n cessitant une attention court terme Par d faut lorsque les requ tes d une alerte renvoient des r sultats ces derniers sont affich s sur la page Alertes CA Enterprise Log Manager et ajout s un flux RSS Lorsque vous planifiez une alerte vous pouvez indiquer des destinations suppl mentaires y compris une adresse lectronique un processus de sortie d v nement d alerte CA IT PAM et des interruptions SNMP Le terme analyse parfois analyse de message ou d composition d signe le processus d extraction de donn es d unit s brutes et de conversion en paires de valeurs cl s L analyse s effectue sur la base d un fichier XMP Cette tape qui pr c de le mappage de donn es fait partie du processus d int gration qui convertit les v nements bruts collect s aupr s d une source d v nement en v nements ajust s que vous pouvez consulter analyse d composition d un journal L analyse d composition d un journal est le processus
27. eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 preview La commande modifi e affiche les informations ci dessous Importation d but le Ven Jan 2 15 41 23 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon DSN Audit Aucun ENTRYID de d but sp cifi utilisation de l ENTRYID minimal de 1 Importation pr visualisation en cours veuillez patienter Importation pr visualisation termin e 143 762 enregistrements en 4 minutes 37 secondes Ev nements import s pr visualisation par journal eTrust AC 2349 Dernier Entryld trait 5 167 810 102 D connexion r ussie de la source Mon DSN Audit Sortie de l importation Cette pr visualisation d importation indique que la plage de dates cr e un sous ensemble moins important d v nements importer Vous pouvez d s lors ex cuter la v ritable importation Informations compl mentaires Pr sentation de la ligne de commande LMSeosImport page 202 Pr visualisation des r sultats de l importation page 206 234 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Importation d v nements CA Access Control Apr s avoir ex cut le rapport d v nements et une pr visualisation de l importation vous tes pr t importer les v nements CA Access Control partir d
28. er de nouveaux utilisateurs Vous pouvez uniquement ajouter des groupes d applications ou r les pr d finis ou d finis par l utilisateur aux enregistrements d utilisateurs globaux en lecture seule Vous devez ajouter les nouveaux utilisateurs dans le magasin d utilisateurs externe puis ajouter les droits CA Enterprise Log Manager aux enregistrements d utilisateurs globaux Acceptation du magasin d utilisateurs par d faut Vous n avez pas besoin de configurer le magasin d utilisateurs si vous acceptez le magasin par d faut savoir le magasin de donn es interne Cela s applique s il n existe aucun magasin d utilisateurs externe auquel faire r f rence Pour v rifier que le r f rentiel par d faut est configur comme le magasin d utilisateurs 1 Connectez vous un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits Administrator ou avec le nom d utilisateur EiamAdmin et le mot de passe associ 2 Cliquez sur l onglet Administration Si vous vous connectez en tant qu utilisateur EiamAdmin cet onglet s affiche automatiquement 108 Manuel d impl mentation Configuration du magasin d utilisateurs 3 S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur le bouton Magasin d utilisateurs dans le volet gauche La configuration du serveur EEM pour les utilisateurs globaux groupes globaux s affiche 4 V rifiez que l option Stocker dans le magasin de donn es interne
29. es Vous utilisez les int grations pour pr ciser le type de collecte d v nements effectuer lorsque vous configurez des connecteurs 60 Manuel d impl mentation Planification d agent A propos des connecteurs Les connecteurs coutent les v nements mais ils envoient aussi des v nements d tat l agent de mani re p riodique pour les transmettre au serveur CA Enterprise Log Manager Un connecteur est un processus qui utilise un d tecteur de journaux et une int gration pour cr er une configuration permettant de collecter des v nements provenant d un type pr cis de source d v nement Sauf pour Syslog un connecteur utilise une int gration comme mod le de configuration Les connecteurs Syslog reposent sur des couteurs Les agents utilisent des connecteurs pour collecter les v nements Apr s avoir install un agent vous pouvez utiliser l Explorateur d agent sur n importe quel serveur CA Enterprise Log Manager pour configurer un ou plusieurs connecteurs sur cet agent Les serveurs CA Enterprise Log Manager doivent tre enregistr s aupr s du m me serveur de gestion ou du m me serveur CA EEM externe avec le m me nom d instance d application pour configurer des agents de cette fa on En g n ral chaque source d v nement sur le r seau est dot e d un connecteur Pour les v nements Syslog un connecteur peut tre li plusieurs sources d v nement en fonction de vos choix de configurat
30. es Les utilisateurs Auditor peuvent afficher les rapports la liste des mod les de rapport la liste des jobs de rapports planifi s et la liste des rapports g n r s Les utilisateurs Auditor peuvent planifier et annoter des rapports Ils n ont pas acc s aux flux RSS Rich Site Summary moins qu aucune authentification ne soit requise pour l affichage des alertes d action Un r le d utilisateur peut tre un groupe d utilisateurs d applications pr d fini ou un groupe d applications d fini par l utilisateur Des r les d utilisateur personnalis s sont n cessaires lorsque les groupes d applications pr d finis Administrator Analyst et Auditor ne sont pas suffisamment affin s pour refl ter les attributions de t ches Les r les d utilisateur personnalis s n cessitent des strat gies d acc s personnalis es et une modification des strat gies pr d finies pour inclure le nouveau r le Le routeur SAPI est un adaptateur CA qui re oit les v nements provenant des int grations de type Mainframe et les renvoie au routeur CA Audit SafeObject est une classe de ressource pr d finie dans CA EEM Il s agit de la classe de ressource laquelle appartient AppObjects stock e dans la port e de l application Les utilisateurs d finissant des strat gies et des filtres permettant d acc der aux AppObjects se r f rent cette classe de ressource SAPI Recorder tait la technologie utilis e pour envoyer les donn es CA
31. les fonctionnels tels que la gestion la collecte ou la g n ration de rapports Si vous installez un serveur de gestion CA Enterprise Log Manager ne l utilisez pas pour recevoir des journaux d v nements ou pour ex cuter des requ tes et des rapports Installez des serveurs CA Enterprise Log Manager virtuels distincts pour faire office de serveurs de rapports et de collecte afin d obtenir les meilleures performances possibles Examinez les instructions d installation normale avant d installer CA Enterprise Log Manager dans un environnement virtuel La feuille de calcul d installation vous permet de collecter les informations n cessaires Pour installer CA Enterprise Log Manager sur un ordinateur virtuel 1 Chargez votre disque d installation du SE CA Enterprise Log Manager dans le lecteur physique de DVD ROM ou recherchez le r pertoire dans lequel vous avez copi l image de l installation 2 Mettez votre ordinateur virtuel en surbrillance dans la liste d inventaire des ordinateurs virtuels cliquez dessus avec le bouton droit et s lectionnez D marrage Poursuivez l installation normale de CA Enterprise Log Manager 4 Configurez le serveur CA Enterprise Log Manager install pour le r le fonctionnel souhait en utilisant les informations de la section traitant de l installation d un serveur CA Enterprise Log Manager Informations compl mentaires Installation d un serveur CA Enterprise Log Manager page 68 Installat
32. publique RSA sur le serveur de stockage distant et d finissez la propri t du fichier de cl sur le serveur de stockage distant D finition de la propri t du fichier de cl Utilisez la proc dure suivante pour d placer le fichier de cl publique RSA dans le bon r pertoire et pour octroyer la propri t du fichier au compte caelmservice Cette proc dure est toujours utilis e pour le serveur de rapports sur lequel le fichier de cl publique a t copi partir d un serveur de collecte Remarque Cette proc dure peut galement tre utilis e pour le serveur sur lequel le fichier de cl publique a t copi partir du serveur de rapports si cet h te distant est galement un serveur CA Enterprise Log Manager Dans ce cas vous vous connectez l h te distant lors de l tape 1 Pour d placer le fichier de cl publique vers le bon emplacement sur le serveur de rapports et d finir la propri t du fichier 1 Connectez vous au serveur CA Enterprise Log Manager de rapports via ssh en tant qu utilisateur caelmadmin 2 Basculez sur le compte d utilisateur root su root 3 Acc dez au r pertoire CA Enterprise Log Manager l aide de la commande ci dessous cd opt CA LogManager 4 Cr ez le dossier ssh avec la commande ci dessous mkdir ssh 5 Octroyez la propri t du nouveau dossier au groupe et l utilisateur caelmservice l aide de la commande ci dessous chown caelmservice caelmserv
33. rapports que vous g n rez les alertes que vous planifiez et les r sultats de requ te que vous affichez Une fois cr le profil de votre choix vous pouvez le configurer de mani re ce qu il soit appliqu d s que vous vous connectez au syst me Si vous cr ez plusieurs profils vous pouvez appliquer un profil diff rent diff rentes activit s lors d une m me session Des filtres pr d finis sont livr s avec les mises jour d abonnement proxies d abonnement pour le client Les proxies d abonnement pour le client d finissent la liste des proxies d abonnement que le client contacte de mani re circulaire pour obtenir les mises jour du syst me d exploitation et du logiciel CA Enterprise Log Manager Si un proxy est occup le suivant sur la liste est contact Si tous les proxies sont indisponibles et que le client est en ligne le proxy d abonnement par d faut est utilis proxies d abonnement pour les mises jour de contenu Les proxies d abonnement pour les mises jour de contenu sont les proxies d abonnement choisis pour mettre jour le serveur de gestion CA Enterprise Log Manager avec les mises jour de contenu t l charg es sur le serveur d abonnement CA Il est recommand de configurer plusieurs proxies des fins de redondance 292 Manuel d impl mentation proxy d abonnement en ligne Un proxy d abonnement en ligne est un serveur CA Enterprise Log Manager dot d un acc s Internet e
34. s d identit Une liste de contr le d acc s d identit vous permet de sp cifier diff rentes actions que chaque identit s lectionn e peut ex cuter sur les ressources indiqu es Par exemple avec une liste de contr le d acc s d identit vous pouvez pr ciser qu une identit donn e peut cr er des rapports et qu une autre peut planifier et annoter des rapports La liste de contr le d acc s d identit diff re de la liste de contr le d acc s classique dans le sens o elle est centr e sur l identit et non sur la ressource magasin de journaux d v nements Le magasin de journaux d v nements est un composant du serveur CA Enterprise Log Manager dans lequel les v nements entrants sont stock s dans des bases de donn es Les bases de donn es du magasin de journaux d v nements doivent tre sauvegard es et d plac es manuellement vers un syst me de stockage distant de journaux avant le d lai de suppression configur Les bases de donn es archiv es peuvent tre restaur es dans un magasin de journaux d v nements magasin d utilisateurs Un magasin d utilisateurs est le r f rentiel contenant les informations et strat gies de mots de passe d utilisateurs globaux Par d faut le magasin d utilisateurs CA Enterprise Log Manager est le r f rentiel local mais il peut tre configur pour faire r f rence CA SiteMinder ou un r pertoire LDAP pris en charge comme Microsoft Active Directory Sun
35. tail de l activit de la ressource d administration i R capitulatif de l activit de la ressource d administratio B Tendance de l activit de la ressource d administration 3 Activit d acc s aux fichiers EPHI par action Activit d acc s aux fichiers EPHI par h te Si Ko Ko Activit d acc s aux fichiers EPHI par ex cutant gt D tail de l activit d acc s aux fichiers EPHI i R capitulatif de l activit d acc s aux fichiers EPHI ia Tendance de l activit d acc s aux fichiers EPHI i Activit de contr le d acc s aux fichiers EPHI par compte i Activit de contr le d acc s aux fichiers EPHI par action K Activit de contr le d acc s aux fichiers EPHI par h te d D tail de l activit de contr le d acc s aux fichiers EPHI 7 Annexe B Remarques pour les utilisateurs de CA Access Control 237 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit 4 S lectionnez une requ te pour afficher les donn es d v nement Pour acc der aux rapports CA Access Control 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur autoris afficher les requ tes et rapports 2 Dans l onglet Requ tes et rapports acc dez au sous onglet Rapports s il n est pas d j affich Fittre de balise de rapport 2 elsje Rechercher OIE lAction Alerts 2 Basel 11 89 I cA Access Control 60 QI CA Identity Manager 47 I cA
36. uniquement au magasin de journaux d v nements CA Enterprise Log Manager nomm s Les iRecorders install s sur le m me ordinateur qu un client CA Audit envoient des v nements directement au client Pour ces serveurs vous devez modifier une strat gie CA Audit existante pour ajouter des actions de r gle puis configurer les adaptateurs de collecteur ou de routeur SAPI CA Enterprise Log Manager Pour configurer iRecorder pour envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur h bergeant iRecorder en tant qu utilisateur dot des droits Administrator ou root 2 Acc dez au dossier de votre syst me d exploitation m UNIX ou Linux opt CA SharedComponents iTechnology a Windows Program Files CA SharedComponents iTechnology 226 Manuel d impl mentation Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager 3 Arr tez le d mon ou le service iGateway avec la commande ci apr s m UNIX ou Linux S99igateway stop a Windows net stop igateway 4 Modifiez le fichier iControl conf Vous trouverez ci dessous un exemple de fichier iControl dans lequel les sections que vous devez modifier apparaissent en gras lt xml version 1 0 encoding UTF 8 standalone no gt lt iSponsor gt lt Names gt iControl lt Name gt lt ImageNamez gt iControl lt ImageName gt lt Version gt 4 5 0 2 lt Version gt lt DispatchEP gt iDispatch lt Dis
37. 180 Fichiers de mappage et d analyse page 180 A propos de la biblioth que d ajustement d v nement La biblioth que d ajustement d v nement fournit les outils permettant de cr er de nouveaux fichiers d analyse et de mappage ou encore de modifier des copies de fichiers pour prendre en charge de nouvelles unit s applications etc La biblioth que comprend les options ci dessous m Int grations m Ecouteurs m Fichiers de mappage et d analyse m R gles de suppression et de r capitulation Les r gles de suppression emp chent la collecte des donn es ou l insertion des donn es dans le magasin de journaux d v nements Les r gles de r capitulation vous permettent de cumuler des v nements afin de r duire le nombre d insertions de types d v nements ou d actions similaires Il s agit de la partie de la biblioth que la plus fr quemment utilis e car les r gles de suppression et de r capitulation peuvent permettre de r gler les performances du r seau et de la base de donn es Vous pouvez utiliser la zone des int grations pour afficher les int grations pr d finies et cr er de nouvelles int grations pour vos unit s applications bases de donn es ou fichiers personnalis s ou propri taires Vous trouverez plus d informations dans le Manuel d administration CA Enterprise Log Manager et dans l aide en ligne Chapitre 8 Utilisation de la biblioth que d ajustement d v nement 179 Prise en c
38. 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImpotCALMAgentContent sh Le script shell importe les fichiers de gestion commune des agents Importation de fichiers de configuration CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de configuration Vous pouvez d marrer CA Enterprise Log Manager mais il manque certains param tres et certaines valeurs dans les zones de configuration des services et vous ne pouvez pas configurer de mani re centralis e les h tes sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de configuration Chapitre 3 Installation de CA Enterprise Log Manager 103 D pannage de l installation Pour importer les fichiers de configuration 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous Su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMConfig sh Le script shell importe les fichiers de configuration Importation des fichiers de suppression et de r capitulation Sympt me Lors
39. CA Audit 7 8 Enregistrez et fermez le fichier Red marrez le d mon ou le service iGateway avec la commande ci apr s m UNIX ou Linux S99igateway start a Windows net start igateway Cette action oblige iRecorder utiliser les nouveaux param tres et lance le flux d v nements depuis iRecorder vers le serveur CA Enterprise Log Manager Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Le processus d importation d v nements CA Access Control partir d une table SEOSDATA existante inclut les tapes ci apr s 1 Copiez l utilitaire LMSeosImport sur le serveur d outils de donn es CA Audit Cr ez un rapport d v nements pour d terminer si les v nements CA Access Control sont pr sents dans la base de donn es Ex cutez un aper u de l importation avec les param tres sp cifiques CA Access Control Importez les v nements CA Access Control Ex cutez les requ tes et rapports CA Enterprise Log Manager sur les v nements import s T ches requises avant l importation d v nements CA Access Control Avant d utiliser l utilitaire LMSeosImport suivez les tapes ci dessous Obtenez un compte d utilisateur de bases de donn es dot au minimum de l acc s en lecture la table SEOSDATA de CA Audit Copiez l utilitaire LMSeosImport sur le serveur d outils de donn es CA Audit Acc dez une invite de commande sur le serveur d outils
40. CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de mappage de donn es Vous devez disposer des fichiers de mappage de donn es pour mapper les donn es d v nements entrants dans le magasin de journaux d v nements Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de mappage de donn es 100 Manuel d impl mentation D pannage de l installation Pour importer les fichiers de mappage de donn es 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous Su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous JImportCALMDM sh Le script shell importe les fichiers de mappage de donn es depuis le serveur CA EEM Importation de fichiers d analyse de message CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers d analyse de message XMP Les fichiers d analyse de message constituent un contenu n cessaire pour traiter les journaux d v nements provenant de diverses sources d v nement sur l ensemble de votre r seau Vous dev
41. Cliquez sur l option Ecouteurs et indiquez un nom pour ce connecteur Appliquez ou cr ez des r gles de suppression selon vos besoins dans la deuxi me page de l assistant S lectionnez une ou plusieurs int grations Syslog cibl es dans la liste Disponible s pour les utiliser avec ce connecteur puis d placez les dans la liste S lectionn e s Param trez les valeurs des ports UDP et TCP si vous n utilisez pas les param tres par d faut puis fournissez une liste d h tes fiables si votre impl mentation les utilise Remarque Lorsqu un agent CA Enterprise Log Manager ne s ex cute pas en tant que root il ne peut pas ouvrir de port en de de 1024 C est pourquoi le connecteur Syslog par d faut utilise le port UDP 40514 L installation applique une r gle de pare feu au serveur CA Enterprise Log Manager pour rediriger le trafic du port 514 vers le port 40514 S lectionnez un fuseau horaire Cliquez sur Enregistrer puis sur Fermer pour terminer la cr ation du connecteur Le connecteur commence collecter les v nements Syslog correspondant aux int grations s lectionn es sur les ports sp cifi s V rification de la r ception des v nements Syslog par le serveur CA Enterprise Log Manager Vous pouvez v rifier que le connecteur de l agent par d faut collecte les v nements Syslog gr ce la proc dure ci dessous Pour v rifier la r ception d v nements Syslog 1 Connectez vous CA Enter
42. Enterprise Log Manager 254 Annexe E CA Enterprise Log Manager et virtualisation 255 Hypoth ses d d ploiement 2 21 20240444t44888uetaun a entente neue tenu 255 Considerations ei eirs seph G I sa T ne m dium ne Mn Rd a id en 255 Cr ation de serveurs CA Enterprise Log Manager virtuels 256 Ajout de serveurs virtuels votre environnement 257 Cr ation d un environnement compl tement virtuel 261 D ploiement rapide de serveurs CA Enterprise Log Manager virtuels 265 Glossaire 273 Index 303 12 Manuel d impl mentation Chapitre 1 Introduction Ce chapitre traite des sujets suivants A propos de ce manuel page 13 A propos de ce manuel Section Planification de votre environnement Manuel d impl mentation CA Enterprise Log Manager vous donne les instructions n cessaires pour planifier installer et configurer CA Enterprise Log Manager afin qu il re oive des journaux d v nements provenant des sources d v nement de votre r seau Le manuel est organis de telle sorte que les t ches d butent avec une description du processus et de ses objectifs Les processus sont g n ralement suivis par les concepts correspondants puis par une ou plusieurs proc dures permettant d atteindre l objectif Manuel d impl mentation CA E
43. Enterprise Log Manager avec la fonctionnalit CA EEM int gr e Dans ce cas vous devez galement importer manuellement les fichiers de contenu CEG et de gestion des agents Reportez vous la section traitant du d pannage de l installation pour plus d informations et d instructions Chapitre 3 Installation de CA Enterprise Log Manager 73 Installation d un serveur CA Enterprise Log Manager Informations compl mentaires Importation de fichiers de gestion commune des agents page 103 Importation de fichiers de grammaire commune aux v nements page 102 Importation de fichiers d analyse de message CA Enterprise Log Manager page 101 Importation de fichiers de mappage de donn es CA Enterprise Log Manager page 100 Importation de rapports CA Enterprise Log Manager page 100 Acquisition de certificats aupr s du serveur CA EEM page 99 Enregistrement du serveur CA Enterprise Log Manager aupr s du serveur CA EEM page 98 Installation de CA Enterprise Log Manager Utilisez la proc dure suivante pour installer un serveur CA Enterprise Log Manager Pour installer le logiciel CA Enterprise Log Manager 1 D marrez le serveur avec le DVD d installation du SE L installation du syst me d exploitation d marre automatiquement 2 R pondez aux invites l aide des informations collect es dans la feuille de calcul du serveur CA Enterprise Log Manager Tout refus du contrat de licence interrompt l i
44. Exemple Carte de f d ration pour une grande entreprise Lors de la cr ation d une carte de f d ration tenez compte des types de rapports pour lesquels vous souhaitez diff rents ensembles de donn es consolid es Par exemple envisagez le sc nario pour lequel vous souhaitez des donn es consolid es l aide de trois types de groupements de serveurs Tous les serveurs Pour obtenir des rapports syst me sur les v nements d autosurveillance l inclusion de tous les serveurs vous permet d valuer simultan ment la sant de l ensemble de votre r seau CA Enterprise Log Manager de serveurs Tous les serveurs de rapports Pour les rapports r capitulatifs et de tendances dans lesquels vous souhaitez examiner les donn es collect es par tous les agents qui envoient des donn es tous les serveurs de collecte tout en veillant ce que vos serveurs de collecte ne traitent pas les requ tes sur les nouveaux v nements non compress s vous devez ex cuter des rapports f d r s qui incluent uniquement les serveurs de rapports Un ensemble de serveurs de collecte avec leur serveur de rapports Pour les rapports dont vous souhaitez limiter les donn es un param tre local avec un serveur de rapports tout en souhaitant que ce rapport inclut les v nements qui n ont pas encore t envoy s ce serveur par ses serveurs de collecte vous devez ex cuter des rapports f d r s sur ce sous ensemble de serveurs Chapitre 2
45. IT PAM avec un CA EEM partag Vous pouvez enregistrer CA IT PAM avec le CA EEM int gr au serveur de gestion CA Enterprise Log Manager L enregistrement aupr s d un CA EEM ajoute des objets de s curit CA IT PAM Les objets de s curit CA IT PAM ajout s CA EEM lors de l enregistrement sont les suivants L instance d application ITPAM Les strat gies li es l acc s CA IT PAM Les groupes et utilisateurs notamment les comptes pr d finis ITPAMAdmins ITPAMUsers itpamadmin et itpamuser Le certificat itpamcert p12 Vous pouvez cr er les objets CA IT PAM sur le serveur de gestion CA Enterprise Log Manager Avant de commencer obtenez le mot de passe caelmadmin si vous ne le connaissez pas Pour enregistrer CA IT PAM avec CA EEM sur le serveur de gestion CA Enterprise Log Manager 1 Connectez vous au dispositif CA Enterprise Log Manager au moyen de ssh en tant qu utilisateur caelmadmin Basculez sur le compte d utilisateur root Su Modifiez les r pertoires par le chemin cible et dressez la liste du contenu cd opt CA SharedComponents iTechnology Is V rifiez que les fichiers suivants sont r pertori s m ITPAM_eem xml m Safex Ex cutez la commande ci dessous Jsafex h lt ELM_nomh te gt u EiamAdmin p lt motdepasse gt f ITPAM_eem xml Ce processus cr e l application CA IT PAM dans le serveur de gestion CA Enterprise Log Manager ajoute les utilisateurs par d faut et g n re le cert
46. Il re oit les bases de donn es restaur es provenant d un serveur de stockage distant qui d tient toutes les bases de donn es froides a Il retraite le catalogue d archive pour ajouter les bases de donn es restaur es ses enregistrements a Il conserve les enregistrements pendant des dur es diff rentes en fonction de la m thode de restauration Disposer d un point de restauration d di pr sente un avantage vous pouvez exclure ce serveur de votre f d ration pour vous assurer qu aucun rapport f d r ne contient d anciennes donn es restaur es Tous les rapports g n r s sur le serveur de point de restauration refl tent uniquement les donn es d v nement provenant des bases de donn es restaur es m Serveur de stockage distant Un serveur de stockage distant qui n est pas un serveur CA Enterprise Log Manager r alise les fonctions ci dessous m Il re oit les bases de donn es archiv es automatiquement et fortement compress es en provenance des serveurs de rapports selon des intervalles configur s avant de pouvoir supprimer ces bases de donn es en fonction de l anciennet ou du manque d espace disque disponible La configuration de l archivage automatique vous vite de d placer manuellement les bases de donn es a Il stocke en local les bases de donn es froides Vous pouvez galement d placer ou copier ces bases de donn es vers un emplacement hors site des fins de stockage long terme Les b
47. Manager et virtualisation 259 Cr ation de serveurs CA Enterprise Log Manager virtuels Red marrez l instance ESX Server pour que les changements entrent en vigueur Pour plus d informations sur cette commande et sur d autres commandes consultez la documentation VMware ESX Server Cliquez sur Suivant pour afficher la bo te de dialogue Sp cifier les options avanc es 9 Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant La bo te de dialogue Pr t terminer s affiche 10 Cliquez sur Terminer pour stocker vos modifications sur cet ordinateur virtuel Cette action vous renvoie la bo te de dialogue du client VMware Infrastructure Installation de CA Enterprise Log Manager sur l ordinateur virtuel Utilisez la proc dure suivante pour installer CA Enterprise Log Manager sur un ordinateur virtuel pr c demment cr Vous pouvez configurez un serveur CA Enterprise Log Manager virtuel ou d di apr s l installation pour qu il affiche l un des nombreux r les fonctionnels tels que la gestion la collecte ou la g n ration de rapports Si vous installez un serveur de gestion CA Enterprise Log Manager ne l utilisez pas pour recevoir des journaux d v nements ou pour ex cuter des requ tes et des rapports Installez des serveurs CA Enterprise Log Manager virtuels distincts pour faire office de serveurs de rapports et de collecte afin d obtenir les meilleures performances possibles Examinez les in
48. PAM 239 Processus d impl mentation de l authentification CA IT PAM Processus d impl mentation de l authentification CA IT PAM Le processus d impl mentation de l authentification CA IT PAM utilisant CA EEM sur le serveur de gestion CA Enterprise Log Manager est le suivant 1 Pr parez l impl mentation de l authentification CA IT PAM a Chargez le module d installation CA IT PAM sur le serveur Windows dans lequel vous comptez installer CA IT PAM b Modifiez le mot de passe par d faut du certificat itpamcert p12 facultatif 2 Copiez le fichier ITPAM_eem xml partir de l h te o vous comptez installer CA IT PAM vers le dispositif CA Enterprise Log Manager qui inclut CA EEM 3 Enregistrez ITPAM comme instance d application sur le m me CA EEM qui utilise CA Enterprise Log Manager L ex cution de la commande safex g n re le certificat itpamcert p12 et l instance d application ITPAM avec deux comptes d utilisateur itpamadmin et itpamuser 4 Copiez le fichier itpmacert p12 partir du dispositif CA Enterprise Log Manager vers l h te Windows o vous comptez installer le domaine CA IT PAM 5 Naviguez jusqu l application ITPAM et r initialisez les mots de passe des comptes itpamadmin et itpamuser 6 Connectez vous au serveur Windows et installez les composants tiers en utilisant les proc dures d crites dans le Manuel d installation de CA IT Process Automation Manager 7 Installez le domaine CA IT PAM
49. Pour acc der aux fonctions CA Enterprise Log Manager via l interface Administrator d Audit r8 SP2 1 Ouvrez un navigateur Web et saisissez l URL de l application Web Administrator d Audit 2 Connectez vous au gestionnaire de strat gies r8 SP2 Remarquez le nouvel onglet Log Manager sur la page principale de l interface Administrator d Audit 3 Cliquez sur l onglet pour acc der au serveur CA Enterprise Log Manager D sinstallation du package CAELM4Audit sous Windows Utilisez la proc dure suivante pour supprimer le package d int gration de CA Enterprise Log Manager pour CA Audit r8 SP2 sur un serveur gestionnaire de strat gies Windows Remarque D sinstallez le package de prise en charge de CAELM4Audit avant de d sinstaller le gestionnaire de strat gies Annexe A Remarques pour les utilisateurs de CA Audit 211 Int gration CA Audit r8 SP2 Pour d sinstaller le package d int gration sous Windows 1 Connectez vous au serveur gestionnaire de strat gies Windows en tant qu utilisateur dot des droits d administration 2 Acc dez au Panneau de configuration et s lectionnez l utilitaire Ajout Suppression de programmes Double cliquez sur l entr e Interface d audit CA Enterprise Log Manager 4 Cliquez sur Supprimer D sinstallation du package CAELM4Audit sous Solaris Utilisez la proc dure suivante pour supprimer le package d int gration de CA Enterprise Log Manager pour CA Audit r8 SP2 sur un serveur
50. contenus d finis par l utilisateur et de communiquer avec les agents Ce serveur ne re oit pas les journaux d v nements et ne g re pas les requ tes et les rapports m Dans un environnement mixte installez le serveur CA Enterprise Log Manager de gestion sur un mat riel certifi m Chaque h te d ordinateur virtuel compte quatre processeurs d di s nombre maximal autoris par VMware ESX Server 3 5 Considerations Un serveur CA Enterprise Log Manager d di affiche des performances optimales avec huit processeurs au minimum VMware ESX Server autorise quatre processeurs au maximum pour un seul ordinateur virtuel Pour obtenir des performances similaires un serveur d di affichant huit processeurs installez CA Enterprise Log Manager sur plusieurs ordinateurs virtuels puis f d rez les pour g n rer des rapports consolid s Annexe E CA Enterprise Log Manager et virtualisation 255 Cr ation de serveurs CA Enterprise Log Manager virtuels Deux serveurs CA Enterprise Log Manager fonctionnant comme des invit s sous VMware ESX Server v3 5 se rapprochent de la capacit d un seul serveur CA Enterprise Log Manager d di Utilisez le tableau suivant pour planifier votre r seau virtuel CA Enterprise Log Nombre de processeurs M moire M moire totale Manager R le du minimum par UC configuration serveur minimale Gestion 4 2 8 G n ration de rapport 4 2 8 Collecte 4 2 8 Nous vous recommandons d installer
51. curit des ordinateurs grammaire commune aux v nements CEG groupe d agents La grammaire commune aux v nements est le cadre qui propose un format standard utilis par CA Enterprise Log Manager pour convertir les v nements l aide de fichiers d analyse et de mappage avant de les stocker dans le magasin de journaux d v nements La CEG utilise des champs communs et normalis s pour d finir les v nements de s curit provenant de plates formes et de produits diff rents Les v nements ne pouvant faire l objet d une analyse ou d un mappage sont stock s en tant qu v nements bruts Un groupe d agents est une balise que les utilisateurs peuvent appliquer aux agents s lectionn s qui permet d appliquer simultan ment une configuration plusieurs agents et de r cup rer les rapports bas s sur les groupes Un agent donn peut appartenir un seul groupe la fois Les groupes d agents sont bas s sur des crit res d finis par l utilisateur comme la r gion g ographique ou l importance 286 Manuel d impl mentation groupe d applications groupe d utilisateurs Un groupe d applications est un groupe sp cifique un produit pouvant tre affect un utilisateur global Les groupes d applications ou r les pr d finis pour CA Enterprise Log Manager sont Administrator Analyst et Auditor Ces groupes d applications sont disponibles uniquement pour les utilisateurs CA Enterprise Log Manager ils ne peu
52. data subscription Seuls les administrateurs peuvent configurer les proxies d abonnement Pour configurer un proxy d abonnement hors ligne 1 Cliquez sur l onglet Administration puis sur Services d veloppez le Module d abonnement et s lectionnez le serveur configurer La Configuration du service du Module d abonnement s affiche pour le serveur CA Enterprise Log Manager s lectionn S lectionnez Proxy d abonnement hors ligne Proxy d abonnement V Proxy d abonnement hors ligne Chapitre 5 Configuration des services 149 Configuration de l abonnement 3 Cliquez sur Enregistrer Vous pouvez d sormais configurer ce proxy d abonnement hors ligne comme indiqu ci apr s a Ajoutez le au param tre global pour les Proxies d abonnement pour les mises jour de contenu a Ajoutez le au param tre global et ou tout param tre de client local pour les Proxies d abonnement pour le client Informations compl mentaires Evaluation du besoin d un proxy d abonnement hors ligne page 47 Configuration d un client d abonnement Par d faut tous les serveurs CA Enterprise Log Manager qui ne sont pas des proxies d abonnement sont configur s comme des clients Vous n avez pas besoin de configurer les clients d abonnement sauf si vous souhaitez craser la liste des proxies s lectionn s d finie au niveau global Un client d abonnement est un serveur CA Enterprise Log Manager qui r cup re les mises
53. de commande sur le serveur d outils de donn es CA Audit Acc dez au r pertoire Program Files CA Shared Components iTechnology Lancez l utilitaire d importation l aide de la syntaxe de commande ci apr s LMSeosimport exe dsn lt nom dsn gt user lt UID gt password lt mot_ de passe gt target lt nom h te _cible gt lt indicateurs facultatifs gt Annexe A Remarques pour les Utilisateurs de CA Audit 207 Int gration CA Audit r8 SP2 Importation d v nements provenant d une base de donn es de collecteur Solaris Vous pouvez utiliser cette proc dure pour importer des donn es d v nement provenant d une base de donn es du collecteur qui se trouve sur un serveur d outils de donn es Solaris Pour importer des v nements provenant d une table SEOSDATA sur un serveur Solaris 1 Localisez le nom du serveur sur lequel se trouve la table SEOSDATA 2 Assurez vous de disposer des informations d identification d acc s utilisateur pour ce serveur avec au minimum un acc s en lecture la table SEOSDATA 3 Ouvrez une invite de commande sur le serveur d outils de donn es CA Audit 4 Acc dez au r pertoire opt CA SharedComponents iTechnology 5 Lancez l utilitaire d importation l aide de la syntaxe de commande ci apr s JLMSeosimport dsn lt nom_dsn gt user lt UID gt password lt mot de passe gt target lt nom_h te cible gt lt indicateurs facultatifs gt Int gration CA Audit r8
54. de crit res que vous pouvez sp cifier pour limiter les l ments pr sent s dans tous les rapports Par exemple un filtre global pour les 7 derniers jours renvoie les v nements g n r s au cours des sept derniers jours coul s Un filtre local est un ensemble de crit res que vous pouvez sp cifier lors de la consultation d un rapport pour limiter les donn es affich es dans ce rapport en cours La gestion des agents est le processus logiciel qui contr le l ensemble des agents associ s l ensemble de CA Enterprise Log Manager f d r s Ce processus authentifie les agents avec lesquels il communique La gestion des droits est la m thode qui permet de contr ler ce que les utilisateurs sont autoris s faire une fois authentifi s et connect s l interface CA Enterprise Log Manager Ceci implique des strat gies d acc s associ es des r les affect s aux utilisateurs Ces r les ou groupes d utilisateurs d applications et strat gies d acc s peuvent tre pr d finis ou d finis par l utilisateur La gestion des droits est assur e par le magasin d utilisateurs interne du syst me CA Enterprise Log Manager gestion des journaux de s curit informatique La gestion des journaux de s curit informatique est d finie par le National Institute of Standards and Technology NIST comme tant le processus permettant de g n rer de transmettre de stocker d analyser et d liminer les donn es des journaux de s
55. de donn es et recherchez le r pertoire ad quat Solaris opt CA SharedComponents iTechnology Windows Program Files CA SharedComponents iTechnology 228 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Copie de l utilitaire d importation sur un serveur d outils de donn es Windows Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosImport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Windows Remarque L utilitaire LMSeosImport n cessite la pr sence des biblioth ques de liens dynamiques etsapi et etbase Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosImport assurez vous que le r pertoire Program Files CA eTrust Audit bin est inclus dans votre instruction PATH syst me Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Windows 2 Ins rez le DVD ROM d installation de l application CA Enterprise Log Manager 3 Acc dez au r pertoire CA ELM Windows 4 Copiez l utilitaire LMSeosImport exe dans le r pertoire iTechnology du serveur d outils de donn es CA Audit lt lecteur gt Program Files CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t cop
56. de l installation le serveur CA EEM n a pas import correctement les fichiers de suppression et de r capitulation Vous ne pouvez pas utiliser les r gles de suppression et de r capitulation pr tes l emploi dans l interface utilisateur CA Enterprise Log Manager sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de suppression et de r capitulation Pour importer les fichiers de suppression et de r capitulation 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous Su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous JImportCALMSAS sh Le script shell importe les fichiers de suppression et de r capitulation 104 Manuel d impl mentation D pannage de l installation Importation des fichiers de jetons d analyse Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de jetons d analyse Vous ne pouvez pas utiliser les jetons d analyse pr ts l emploi dans l assistant d analyse de message sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoi
57. de modification de r gle s affiche Utilisez l assistant de modification de r gle pour modifier la r gle afin qu elle envoie les v nements au serveur CA Enterprise Log Manager en plus des destinations actuelles ou la place de celles ci puis cliquez sur Terminer une fois la modification termin e V rifiez et validez la strat gie en tant qu utilisateur Maker pour qu elle puisse tre approuv e par un utilisateur dot d un r le Checker D connectez vous puis reconnectez vous au serveur gestionnaire de strat gies en tant qu utilisateur dot du r le Checker si votre entreprise pratique la s paration des fonctions Examinez et approuvez le dossier contenant la strat gie et la r gle modifi es Une fois la strat gie approuv e les param tres du serveur de distribution du gestionnaire de strat gies d terminent quel moment la nouvelle strat gie est distribu e aux noeuds d audit Vous pouvez examiner le journal d activation pour v rifier l tat d activation d une strat gie R p tez cette proc dure pour chaque r gle et strat gie portant sur les v nements collect s envoyer CA Enterprise Log Manager Quand importer des v nements Si vous disposez d un serveur d outils de donn es CA Audit avec une base de donn es de collecteur vous disposez d une table SEOSDATA contenant des donn es d v nement Pour ex cuter vos syst mes CA Audit et CA Enterprise Log Manager en parall le et afficher des
58. des architectures 183 Quand importer des v nements 198 int grations A propos de 60 M magasin de journaux d v nements A propos de 126 A propos des fichiers d archive 126 authentification non interactive 128 configuration 125 135 param tres de base 133 magasin d utilisateurs configuration comme CA MDB 108 Feuille de calcul CA SiteMinder 39 Feuille de calcul du r pertoire LDAP externe 37 planification 36 r f rence CA SiteMinder 110 r f rence un r pertoire LDAP 109 module d extension module d extension d v nements iTechnology 193 module d extension d v nements module d extension d v nements iTechnology 193 P param tres globaux services 120 planification dimensionnement 63 espace disque 26 45 f d ration 28 int gration CA Audit 183 magasin d utilisateurs 36 mises jour d abonnement 42 r cup ration apr s sinistre 249 strat gies de mots de passe 40 ports adaptateur r seau 97 Affectations de ports par d faut 82 pare feu pour les v nements Syslog 85 pour les mises jour d abonnement 43 processus iGateway compte d utilisateur pour le contr le 80 contr le 75 R r cup ration apr s sinistre planification 249 remplacement d un serveur CA Enterprise Log Manager 254 restauration d un serveur CA Embedded Entitlements Manager 252 restauration d un serveur CA Enterprise Log Manager 253 sauvegarde d un s
59. des journaux d v nements strat gie d acc s Le stockage des journaux d v nements est le r sultat du processus d archivage lorsque l utilisateur sauvegarde une base de donn es ti de avertit CA Enterprise Log Manager en ex cutant l utilitaire LMArchive et d place la base de donn es sauvegard e depuis le magasin de journaux d v nements jusqu l emplacement de stockage long terme Une strat gie d acc s est une r gle qui accorde ou refuse une identit utilisateur ou groupe d utilisateurs des droits d acc s une ressource d application CA Enterprise Log Manager d termine si les strat gies s appliquent l utilisateur concern en faisant correspondre les identit s les ressources les classes de ressources et en valuant les filtres strat gie d acc s aux applications CALM La strat gie d acc s aux applications CALM est une strat gie de port e de type Liste de contr le d acc s qui d termine qui peut se connecter au serveur CA Enterprise Log Manager Par d faut la connexion est autoris e pour les r les Administrator Groupe Analyst Groupe et Auditor Groupe strat gie de d l gation strat gie de port e Une strat gie de d l gation est une strat gie d acc s qui permet un utilisateur de d l guer son autorit un autre utilisateur groupe d applications groupe global ou groupe dynamique Vous devez supprimer explicitement les strat gies de d l gation cr es par un ut
60. dynamiques est l une des trois m thodes qui vous permettent d ajouter des valeurs vos cl s URL de CA Embedded Entitlements Manager L URL de CA Embedded Entitlements Manager CA EEM est https lt adresse_ip gt 5250 spin eiam Pour ouvrir une session s lectionnez CAELM comme application et saisissez le mot de passe associ au nom d utilisateur EiamAdmin URL de CA Enterprise Log Manager L URL de CA Enterprise Log Manager est https lt adresse_ip gt 5250 spin calm Pour ouvrir une session saisissez le nom d utilisateur d fini pour votre compte par l administrateur puis le mot de passe associ Vous pouvez galement saisir le nom de superutilisateur par d faut EiamAdmin puis entrer le mot de passe associ URL du flux RSS pour l abonnement L URL du flux RSS pour l abonnement est un lien pr configur utilis par les serveurs proxy d abonnement en ligne lors de la r cup ration des mises jour d abonnement Cette URL est destin e au serveur d abonnement CA URL du flux RSS pour les alertes d action L URL du flux RSS pour les alertes d action est https nomh teelm 5250 spin calm getActionQueryRssFeeds csp A partir de cette URL vous pouvez afficher les alertes d action soumises la configuration d finie en termes de quantit et d anciennet maximales 300 Manuel d impl mentation utilisateur d application utilisateur EEM utilisateur global utilitaire LMArchive Un utilisateur d applicatio
61. envisagez de remplacer la valeur de dur e de conservation des mises jour t l charg es d finie par d faut sur 30 jours par un intervalle permettant tous les serveurs CA Enterprise Log Manager planifi s d tre install s et mis jour avant la r alisation du premier nettoyage Tout nouveau serveur ajout en tant que client d abonnement apr s la r alisation d un ou de plusieurs nettoyages ne disposera pas des mises jour rendues disponibles avant le nettoyage Si vous installez de nouveaux serveurs apr s un nettoyage configurez les comme leurs propres proxies d abonnement pour pouvoir appliquer toutes les mises jour disponibles sur le serveur d abonnement CA Vous pouvez ensuite reconfigurer les nouveaux serveurs comme des clients d abonnement Planification d espace disque Il est recommand de v rifier fr quemment l espace disque pour pouvoir conserver un espace suffisant pour t l charger les mises jour d abonnement Si l espace disque utilis sur un serveur CA Enterprise Log Manager configur en tant que client d abonnement d passe 90 lorsque le moteur d abonnement tente la mise jour le service d abonnement met un v nement d autosurveillance et suspend le processus de t l chargement Vous pouvez planifier une alerte d action bas e sur la requ te Espace disque disponible faible Remarque Pour obtenir un exemple consultez la section traitant des alertes d action dans le Manuel d administratio
62. es CA Enterprise Log Manager s int gre CA Audit jusqu un certain niveau mais du fait de sa conception n est pas compl tement int rop rable CA Enterprise Log Manager est une infrastructure de serveur nouvelle et distincte qui peut fonctionner en parall le de CA Audit en tenant compte des ph nom nes ci dessous en mati re de gestion d v nements CA Enterprise Log Manager peut CA Enterprise Log Manager ne peut pas Recevoir des journaux d v nements envoy s Acc der directement aux journaux d v nements par des clients CA Audit et des iRecorders stock s dans la base de donn es du collecteur utilisant des couteurs configurables CA Audit Proposer un utilitaire pour importer les donn es des journaux d v nements stock es dans la base de donn es du collecteur CA Audit table SEOSDATA Annexe A Remarques pour les Utilisateurs de CA Audit 183 Pr sentation des diff rences entre les architectures CA Enterprise Log Manager peut Utiliser des agents pour envoyer des journaux d v nements la seule infrastructure du serveur CA Enterprise Log Manager Autoriser les agents CA Enterprise Log Manager et les clients CA Audit dot s d iRecorders fonctionner sur le m me h te physique Utiliser son Explorateur d agent int gr pour g rer uniquement des agents CA Enterprise Log Manager Lors du fonctionnement c te c te des deux syst mes CA Audit utilise son gestionnaire de strat gies u
63. est donc unilat rale Une f d ration hi rarchique peut poss der de nombreux niveaux de relation parent enfant et un seul serveur parent peut avoir de nombreux serveurs enfants Une requ te f d r e renvoie ses r sultats depuis le serveur s lectionn et ses enfants 284 Manuel d impl mentation f d ration maill e Une f d ration maill e de serveurs CA Enterprise Log Manager est une topologie qui tablit une relation de parit entre les serveurs Dans sa forme la plus simple le serveur 2 est un enfant du serveur 1 et le serveur 1 est un enfant du serveur 2 Une paire de serveurs maill e a une relation bilat rale Une f d ration maill e peut tre d finie pour qu un grand nombre de serveurs soient les pairs les uns des autres Une requ te f d r e renvoie ses r sultats depuis le serveur s lectionn et tous ses pairs fichier d analyse de message XMP Message Parsing File Un fichier d analyse de message XMP est un fichier XML associ un type de source d v nement sp cifique qui applique des r gles d analyse Les r gles d analyse d composent les donn es pertinentes d un v nement brut collect afin d obtenir des paires nom valeur qui sont ensuite transmises au fichier de mappage de donn es des fins de traitement Ce type de fichier est utilis dans toutes les int grations ainsi que dans les connecteurs qui sont eux m mes bas s sur des int grations Dans le cas d adaptateurs CA les fichi
64. est facultatif Si le nom du journal contient des espaces il doit tre plac entre guillemets doubles transport lt sapi itech gt Sp cifie la m thode de transport qui doit tre utilis e entre l utilitaire d importation et CA Enterprise Log Manager La m thode de transport par d faut est sapi chunk nnnn Sp cifie le nombre d enregistrements d v nements s lectionner dans la table SEOSDATA chaque passage La valeur par d faut est 5 000 v nements lignes Ce param tre est facultatif preview Sort les r sultats des s lections d enregistrements d v nements vers STDOUT mais n importe pas r ellement les donn es Ce param tre est facultatif port Sp cifie le num ro de port utiliser si vous d finissez l option de transport sur SAPI et que vous avez configur le routeur SAPI CA Enterprise Log Manager pour utiliser une valeur de port fixe sans utiliser le mappeur de ports verbose Sp cifie que l utilitaire envoie des messages de traitement d taill s STDOUT Ce param tre est facultatif delay Sp cifie le nombre de secondes de pause entre le traitement de deux v nements Ce param tre est facultatif report Affiche un rapport sur la p riode la plage ENTRYID et le nombre de journaux dans la table SEOSDATA Ce param tre est facultatif 204 Manuel d impl mentation Importation des donn es d une table SEOSDATA retry Sp cifie le nombre total de secondes a
65. et g n rer des rapports sur elles CA Enterprise Log Manager prend en charge les f d rations hi rarchiques et maill es ainsi que les configurations qui associent les deux types Tous les serveurs CA Enterprise Log Manager que vous souhaitez f d rer doivent utiliser le m me nom d instance d application dans CA EEM Chaque installation de serveur CA Enterprise Log Manager s enregistre automatiquement aupr s du serveur CA EEM l aide d un nom d instance d application 28 Manuel d impl mentation Planification de f d ration Vous pouvez configurer une f d ration tout moment apr s avoir install votre premier serveur CA Enterprise Log Manager et au moins un serveur suppl mentaire Toutefois vous obtiendrez de meilleurs r sultats en planifiant votre f d ration avant l installation La cr ation d une carte de f d ration d taill e vous permet d effectuer les t ches de configuration en alliant rapidit et pr cision Au niveau du r seau le fait de disposer de plusieurs serveurs CA Enterprise Log Manager vous permet de traiter des volumes d v nements plus lev s Du point de vue des rapports l utilisation d une f d ration vous permet de contr ler les personnes pouvant acc der aux donn es d v nement et la quantit de donn es qu elles peuvent afficher Dans un environnement de base comprenant deux serveurs le serveur de gestion assume le r le de serveur de rapports Sur le serveur CA Enterprise Log Mana
66. et versions ult rieures Vous pouvez installer le client JDBC sur des syst mes Windows ou UNIX Les utilisateurs de cette fonctionnalit doivent appartenir un groupe d utilisateurs CA Enterprise Log Manager dot de droits dataaccess acc s aux donn es dans la strat gie par d faut d acc s aux donn es dans les strat gies d acc s CALM Pour plus d informations sur les strat gies d acc s reportez vous au Manuel d administration CA Enterprise Log Manager r12 1 92 Manuel d impl mentation Installation du client JDBC Pour un client JDBC les conditions ci dessous doivent tre remplies Vous devez disposer des droits d administrateur pour installer le client JDBC sur un serveur Windows Dans la fen tre de configuration du serveur ODBC assurez vous que la case Activer le service est coch e Vous devez tre habilit cr er des fichiers dans le r pertoire d installation du client sur les syst mes UNIX et Linux Pour les applications qui s ex cutent sous J2SE v 1 4 2 x configurez les connexions la base de donn es par programmation comme d fini dans une application sp cifique Pour les applications qui s ex cutent sous J2EE 1 4 2 x et versions ult rieures utilisez un serveur d applications Web tel que BEA WebLogic ou Red Hat JBoss pour configurer la gestion des pools de configurations Pour plus d informations sur les plates formes compatibles avec les clients ODBC et JDBC reportez vous la matric
67. gestionnaire de strat gies Solaris Remarque D sinstallez le package de prise en charge de CAELM4Audit avant de d sinstaller le gestionnaire de strat gies Pour d sinstaller le package d int gration sous Solaris 1 Connectez vous au serveur gestionnaire de strat gies Solaris en tant qu utilisateur root 2 Ex cutez la commande suivante pkgrm caelm4Audit 212 Manuel d impl mentation Annexe B Remarques pour les utilisateurs de CA Access Control Ce chapitre traite des sujets suivants Int gration avec CA Access Control page 213 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager page 215 Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager page 224 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit page 228 Int gration avec CA Access Control Vous pouvez int grer CA Enterprise Log Manager avec CA Access Control en utilisant l un des diff rents niveaux de version L approche g n rale est indiqu e ci dessous Pour les versions de CA Access Control qui utilisent un serveur de messages TIBCO pour le routage des v nements suivez la proc dure ci dessous m Installez un agent CA Enterprise Log Manager m Configurez un connecteur utilisant le connecteur AccessControl_R12SP1_ TIBCO_ Connector Pour CA Access Control r12 5 re
68. install mais que vous souhaitez vous servir d un iRecorder CA pour collecter les v nements provenant d une source d v nement prise en charge Ce processus inclut les tapes ci dessous m Configuration du module d extension d v nements iTechnology m Configuration du produit iRecorder ou iTechnology pour envoyer les v nements directement au serveur CA Enterprise Log Manager A propos du routeur et du collecteur SAPI Les services SAPI sont g n ralement utilis s pour recevoir des v nements provenant de clients CA Audit et produits int gr s CA Enterprise Log Manager utilise deux instances d un service d couteur SAPI l une install e en tant que collecteur SAPI l autre en tant que routeur SAPI Les modules SAPI utilisent le d mon iGateway pour les commandes et les contr les Les modules agissent comme un routeur SAPI et un collecteur SAPI ils utilisent des ports statiques ou dynamiques par le biais du mappeur de ports 190 Manuel d impl mentation Configuration d adaptateurs CA Utilisez le collecteur SAPI lors de l envoi d v nements provenant de clients CA Audit de telle sorte que vous puissiez utiliser la prise en charge int gr e du basculement dans l action du collecteur d Audit Utilisez le routeur SAPI lors de l envoi d v nements provenant de clients CA Audit l aide de l action de routage ou lors de l envoi d v nements provenant de SAPI Recorders ou d int grations qui prennent en charge l e
69. l onglet Administration puis le sous onglet Collecte de journaux 2 Dans l Explorateur de collecte de journaux d veloppez Explorateur d agent ainsi que le groupe d agents contenant l agent par d faut CA Enterprise Log Manager 3 S lectionnez un agent par d faut c est dire un agent portant le nom d un serveur CA Enterprise Log Manager D autres connecteurs peuvent tre d ploy s sur l agent par d faut 4 Cliquez sur Cr er un connecteur Explorateur de collecte de journaux PAIE a TE 2E ale eela E gt 3 Adaptateurs CA A LE gt 0 Biblioth que d ajustement d v nement Afficher l tat de 2 Agen Cr er un connecteur v Explorateur d agent D tails de l tat de l agent v Default Agent Group Y lt tr85111 blade2 ca com 2 G S lectionnez les agents en cours d ex cution pour le red marrage E Agent_stop S lectionner et Red marrer Q Syslog_Connector I 1 I Il L assistant Cr ation d un connecteur appara t l tape D tails du connecteur est s lectionn e 5 S lectionnez une int gration qui utilise le d tecteur de journaux WinRM dans la liste d roulante Int gration Par exemple WinRM Cr ation de connecteur g Indiquez les informations requises Type Int grations Ecouteurs Int gration WinRM Y Nom du connecteur winRM_Connecteur Version de la plate forme RHELS Omettre la v rification de la version de plate forme Cette s le
70. les rapports f d r s Cela permet de garantir la disponibilit des donn es pour les requ tes et les rapports Le stockage en dehors du syst me est appel stockage sauvegard Vous pouvez restaurer les fichiers d plac s vers le stockage sauvegard pour effectuer des requ tes et des rapports Le script monitor ex cute automatiquement le script backup l aide des param tres sp cifi s dans la partie archivage automatique de la configuration du service du magasin de journaux d v nements Configuration de l authentification non interactive Les scripts backup restore et monitor supposent qu avant toute utilisation vous avez configur l authentification ssh non interactive l aide de paires de cl s RSA Vous utiliserez deux serveurs pour cette configuration Non interactive signifie qu un serveur peut d placer des fichiers vers un autre serveur sans n cessiter de mot de passe Vous pouvez utiliser cette configuration avec les serveurs CA Enterprise Log Manager de collecte et de rapports Vous pouvez galement utiliser cette configuration pour le serveur de rapports et un serveur UNIX ou Linux normal d di au stockage des sauvegardes Pour activer l authentification non interactive proc dez comme suit 1 Connectez vous au serveur de collecte et g n rez une paire de cl s RSA en tant qu utilisateur caelmservice Copiez la cl publique dans le r pertoire tmp authorized_keys sur le serveur de rapports 2 Connect
71. magasins de journaux d v nements pour ce serveur Ce premier groupe de serveurs enfants forme la deuxi me couche ou niveau de la f d ration si vous configurez une f d ration hi rarchique 5 Affichez le graphique de f d ration pour v rifier que la structure entre les serveurs pour les niveaux parents et enfants est configur e selon vos souhaits Configuration d un serveur CA Enterprise Log Manager en tant que serveur enfant La configuration d un serveur CA Enterprise Log Manager en tant qu enfant d un autre serveur constitue l tape essentielle de la cr ation d une f d ration Utilisez la proc dure suivante pour ajouter des serveurs votre f d ration tout moment Vous devez installer tous les serveurs CA Enterprise Log Manager que vous souhaitez f d rer sous le m me nom d instance d application enregistr avant d effectuer cette partie de la configuration Lorsque vous installez chaque nouveau serveur son nom s affiche dans la liste des serveurs disponibles pour la f d ration Vous pouvez effectuer cette proc dure autant de fois que n cessaire pour cr er la structure f d r e souhait e Pour configurer un serveur CA Enterprise Log Manager en tant que serveur enfant 1 Connectez vous n importe quel serveur CA Enterprise Log Manager enregistr sous le m me nom d instance d application que les autres dans la f d ration que vous envisagez 2 Cliquez sur l onglet Administration et s lectionnez
72. mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 3 S lectionnez le service Collecteur SAPI Configuration globale du service CA Audit SAPI Collector Administration Ev nements d autosurveillance L ns anus Utiliser les valeurs par d faut Configuration globale du service CA Audit SAPI Collector G Affichez ou modifiez les d tails de cette configuration Requis V Activer l couteur Port SAPI 0 V Register Cl de chiffrement Classement des v nements R gulation des v nements 100 Nombre de threads par file d attente 1 B Chiffres Aes256 A Aes128 6 3Des Des a es ga Annexe B Remarques pour les utilisateurs de CA Access Control 217 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 4 Cochez la case Activer l couteur et entrez dans le champ Port SAPI le m me num ro de port que celui utilis par CA Audit La valeur CA Enterprise Log Manager par d faut 0 correspond l utilisation du service du mappeur de ports pour mapper les ports Si un port est d fini dans CA Audit utilisez son num ro ici 5 Acceptez les valeurs par d faut des autres champs et faites d filer l affichage jusqu la liste des Fichiers de mappage Si vous cochez la case Enregistrer vous devez sp cifier un num ro de port SAPI 6 Ajoutez l entr e du fichier de map
73. niveau du syst me d exploitation partir du serveur physique CA Enterprise Log Manager ou d un fichier Syslog Dans l environnement de base comprenant deux serveurs configurez un ou plusieurs connecteurs Syslog sur le serveur de collecte pour recevoir des v nements Le processus d utilisation de l agent par d faut inclut les tapes ci dessous 1 Examinez les int grations et couteurs Syslog facultatif 2 Cr ez un connecteur Syslog 3 V rifiez que le serveur CA Enterprise Log Manager re oit les v nements Syslog Chapitre 6 Configuration de la collecte d v nements 155 Configuration de l agent par d faut Examen des int grations et couteurs Syslog Vous pouvez examiner les int grations et couteurs Syslog par d faut avant de cr er un connecteur Les couteurs sont pour l essentiel un mod le pour vos connecteurs Syslog qui utilisent des int grations sp cifiques fournies comme du contenu pr t l emploi avec votre serveur CA Enterprise Log Manager Pour examiner les int grations Syslog 1 Connectez vous CA Enterprise Log Manager et acc dez l onglet Administration D veloppez le noeud Biblioth que d ajustement d v nement dans le volet de navigation sur la gauche D veloppez le noeud Int grations et le noeud Abonnement S lectionnez une int gration dont le nom se termine par _Syslog Les d tails de l int gration s affichent dans la fen tre de droite Vous pouvez examin
74. page 245 Installation du domaine CA IT PAM page 246 D marrez le service du serveur CA ITPAM page 247 Lancez la console du serveur CA IT PAM et connectez vous page 248 Sc nario Utilisation de CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM Cette annexe a t r dig e pour ajouter les proc dures d crites dans le manuel d installation de CA IT Process Automation pour un sc nario sp cifique Le sc nario est celui dans lequel vous comptez installer CA IT PAM sur un serveur Windows et utiliser CA EEM sur le serveur CA Enterprise Log Manager pour l authentification Si vous comptez installer CA IT PAM sur un serveur UNIX ou utiliser LDAP ou un CA EEM local pour l authentification la documentation de cette annexe ne vous concerne pas Pour tous les sc narios d installation t l chargez le manuel d installation pour CA IT Process Automation Manager r2 1 SP03 partir du support en ligne T l chargez galement Adobe Acrobat Reader pour pouvoir ouvrir le fichier pdf Le processus qui vous permet d utiliser CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM implique deux tapes manuelles Vous copiez un fichier partir du serveur Windows vers le dispositif et un autre fichier partir du dispositif vers le serveur Windows Cette annexe aborde ces tapes La documentation de CA IT PAM n aborde pas ces tapes Annexe C Remarques sur CA IT
75. planification pour que le proxy par d faut et les proxies en ligne contactent le serveur d abonnement CA afin d obtenir les mises jour Les clients contactent les proxies pour obtenir des mises jour apr s que le proxy a t l charg la mise jour partir du serveur d abonnement CA a Dans le champ Fr quence de mise jour sp cifiez la fr quence en heures laquelle le proxy par d faut doit contacter le serveur d abonnement CA pour obtenir les mises jour b Proc dez comme suit pour d finir l Heure de d but de la mise jour a Si vous sp cifiez une valeur inf rieure 24 pour la Fr quence de mise jour ne faites aucune s lection l aide du bouton fl ch Heure de d but de la mise jour Les mises jour d abonnement d marrent lors du lancement d iGateway a Si vous sp cifiez une valeur gale ou sup rieure 24 pour la Fr quence de mise jour sp cifiez l heure au format 24 heures laquelle vous souhaitez que la mise jour commence Acceptez l URL du flux RSS pr configur e qui fait la liaison avec le serveur d abonnement CA Cette URL permet de renseigner les modules disponibles pour le t l chargement Acceptez la cl publique affich e ou s lectionnez la version ad quate Comme cette cl est utilis e par tous les proxies d abonnement elle ne peut pas tre modifi e au niveau du serveur local Important Ne modifiez pas cette valeur sauf sous le contr le du support
76. qui permet d extraire les donn es d un journal pour que les valeurs ainsi analys es d compos es puissent tre utilis es lors des tapes suivantes du processus de gestion du journal analyse de fichiers XMP analyse de mappage L analyse de fichiers XMP est le processus r alis par l utilitaire d analyse de message pour rechercher tous les v nements contenant chaque cha ne pr associ e pour chaque v nement associ en d composant l v nement en jetons l aide du premier filtre trouv qui utilise la m me cha ne pr associ e L analyse de mappage est une tape de l Assistant de fichier de mappage qui vous permet de tester et de modifier un fichier de mappage de donn es Des exemples d v nement sont test s par rapport au fichier de mappage de donn es et les r sultats sont valid s avec la CEG 274 Manuel d impl mentation analyse de message L analyse de message est le processus consistant appliquer des r gles l analyse d un journal d v nements bruts afin d obtenir des informations pertinentes telles que l horodatage l adresse IP et le nom d utilisateur Les r gles d analyse utilisent la correspondance de caract res pour localiser un texte d v nement sp cifique et le relier aux valeurs s lectionn es analyse des journaux AppObjects L analyse des journaux est l tude des entr es de journal qui permet d identifier les v nements pertinents Si les journaux ne sont pas a
77. rapports sur les donn es d j collect es vous souhaitez peut tre importer des donn es provenant de votre table SEOSDATA 198 Manuel d impl mentation Quand importer des v nements Vous pouvez ex cuter l utilitaire d importation SEOSDATA pour effectuer une importation des donn es d v nement de votre base de donn es de collecteur vers un magasin de journaux d v nements CA Enterprise Log Manager En g n ral vous importez des donn es d v nement imm diatement apr s avoir d ploy un serveur CA Enterprise Log Manager Si vous int grez les deux syst mes vous pouvez d cider d effectuer l importation des donn es plusieurs reprises en fonction de votre utilisation et de la configuration du r seau Remarque L importation de donn es provenant de la table SEOSDATA ne supprime pas ou ne modifie pas les donn es stock es dans la table La proc dure d importation copie les donn es les analyse et les mappe vers le magasin de journaux d v nements CA Enterprise Log Manager A propos de l utilitaire d importation SEOSDATA L utilitaire d importation LMSeosImport utilise une interface de ligne de commande et prend en charge les syst mes d exploitation Windows et Solaris L utilitaire effectue les actions ci dessous m I se connecte la table SEOSDATA pour extraire les v nements de la mani re sp cifi e m I analyse les v nements SEOSDATA s lectionn s par paires nom valeur m I envoie les v
78. re toutes les communications vers CA EEM pour les sponsors locaux s ex cutant sous safetynet sur le serveur CA Enterprise Log Manager Ce processus peut s ex cuter sous safetynet caelm logdepot 17001 Processus du magasin de journaux d v nements CA Enterprise Log Manager qui g re le stockage des v nements la cr ation de fichiers d archive et d autres fonctions Ce processus peut s ex cuter sous safetynet caelm sapicollector Il s agit du processus du service de collecteur SAPI 84 Manuel d impl mentation Configurations initiales du serveur CA Enterprise Log Manager Nom du processus Port par d faut caelm sapirouter caelm systemstatus dxadmind dxserver igateway 5250 courtier de messages oaserver 17002 safetynet ssld Description Ce processus peut s ex cuter sous safetynet Il s agit du processus du service de routeur SAPI Ce processus peut s ex cuter sous safetynet Ce processus collecte l tat du syst me afficher dans l interface utilisateur CA Enterprise Log Manager Ce processus peut s ex cuter sous safetynet Processus CA Directory qui s ex cute sur le serveur o est install CA EEM Processus CA Directory qui s ex cute sur le serveur o est install CA EEM Processus CA Enterprise Log Manager principal qui doit tre en cours d ex cution pour collecter et stocker des v nements Processus CA Enterprise Log Manager qui communique entre l agent et le
79. renvoyer 5 000 lignes de donn es au maximum Tout utilisateur dot d un r le pr d fini peut ex cuter une requ te Seuls les analystes et les administrateurs peuvent planifier une requ te pour diffuser une alerte d action cr er un rapport en s lectionnant les requ tes inclure ou encore cr er une requ te personnalis e l aide de l assistant de conception de requ te Voir galement requ te d archivage Une requ te d action est une requ te prenant en charge une alerte d action Elle est ex cut e de mani re planifi e et r currente pour tester les conditions d finies par l alerte d action laquelle elle est associ e Une requ te d archivage est une requ te du catalogue utilis e pour identifier les bases de donn es froides devant tre restaur es et d givr es des fins de requ te Une requ te d archivage diff re d une requ te normale dans le sens o elle cible les bases de donn es froides tandis que les requ tes normales ciblent uniquement les bases chaudes ti des et d givr es Les administrateurs peuvent mettre une requ te d archivage gr ce l option Requ te de catalogue d archive du sous onglet Collecte de journaux dans l onglet Administration ressource d application ressource globale Le terme ressource d application correspond toutes les ressources sp cifiques CA Enterprise Log Manager sur lesquelles les strat gies d acc s CALM autorisent ou interdisent des identit s do
80. s Internet Si elle est coch e la case Proxy d abonnement doit tre d s lectionn e Cette valeur est uniquement disponible en tant que param tre local Remarque Si les deux cases cocher de proxy d abonnement sont d s lectionn es le serveur est un client d abonnement Heure de d but de la mise jour Applicable uniquement lorsque la fr quence de mise jour est sup rieure ou gale 24 D finit l heure laquelle commencer la premi re recherche de mises jour heures justes en fonction de l heure locale du serveur La valeur est au format 24 heures Cette valeur s applique la recherche initiale de mises jour L option Fr quence de mise jour contr le la programmation de toutes les recherches de mises jour suivantes Ce param tre s applique uniquement au service de proxy d abonnement Limites 0 23 o 0 correspond minuit et 23 23 h 00 Fr quence de mise jour D finit la fr quence en heures laquelle le proxy en ligne contacte le serveur d abonnement CA ainsi que la fr quence laquelle le client d abonnement contacte le proxy Ce param tre s applique uniquement au service de proxy d abonnement Exemples 5 signifie toutes les 30 minutes 48 signifie un jour sur deux Actualiser Cliquez sur ce bouton pour d marrer imm diatement un cycle de mise jour la demande pour le serveur s lectionn Vous pouvez effectuer une mise jour la demande pour un seul serv
81. s d un groupe de quatre processeurs au minimum pour installer chacun des serveurs CA Enterprise Log Manager souhait s Installez un serveur CA Enterprise Log Manager comme serveur de gestion Lors de la configuration n envoyez pas les journaux d v nements ce serveur et ne l utilisez pas pour g n rer des rapports En configurant ainsi votre environnement vous conservez le d bit de collecte des journaux d v nements requis par la production d une entreprise En g n ral vous installez deux serveurs CA Enterprise Log Manager dot s de quatre processeurs en lieu et place de chacun des serveurs de dispositifs normalement install s en cas d utilisation de mat riel certifi les serveurs de dispositifs comptent huit processeurs au minimum Le processus que vous suivez pour cr er un environnement virtuel comprend les proc dures ci apr s 1 Cr ez un nouvel ordinateur virtuel pour chaque serveur CA Enterprise Log Manager que vous envisagez d installer 2 Ajoutez des lecteurs de disques virtuels 3 Sur l un des h tes d ordinateurs virtuels installez un serveur CA Enterprise Log Manager virtuel pour les fonctions de gestion 4 Installez plusieurs serveurs CA Enterprise Log Manager pour la collecte et la g n ration de rapports 5 Configurez les serveurs CA Enterprise Log Manager conform ment la section traitant de l installation d un serveur CA Enterprise Log Manager Annexe E CA Enterprise Log Manager et vi
82. s par un connecteur Les r gles de suppression sont toujours li es un connecteur Vous pouvez appliquer des r gles de suppression au niveau de l agent ou du groupe ou encore au niveau du serveur CA Enterprise Log Manager lui m me L effet obtenu change en fonction de l emplacement choisi m Les r gles de suppression appliqu es au niveau de l agent ou du groupe emp chent les v nements d tre collect s et r duisent ainsi le volume de trafic r seau envoy au serveur CA Enterprise Log Manager m Les r gles de suppression appliqu es au niveau du serveur CA Enterprise Log Manager emp chent les v nements d tre ins r s dans la base de donn es et r duisent ainsi le volume d informations stock es Chapitre 2 Planification de votre environnement 63 Planification d agent Appliquer des r gles de suppression des v nements apr s leur arriv e sur le serveur CA Enterprise Log Manager peut avoir des effets sur les performances surtout si vous cr ez plusieurs r gles de suppression ou si le flux d v nements est lev Par exemple imaginons que vous souhaitiez supprimer certains des v nements issus d un pare feu ou de serveurs Windows qui g n rent des v nements dupliqu s pour la m me action La non collecte de ces v nements peut acc l rer le transport des journaux d v nements que vous souhaitez conserver et permet d conomiser le temps de traitement sur le serveur CA Enterprise Log Manager D
83. seau l aide de son serveur CA EEM local En fonction de la taille de votre r seau et de son volume d v nements vous pouvez choisir d installer plusieurs serveurs de gestion et de cr er des f d rations de serveurs de collecte pour chaque serveur Vous pouvez galement d dier plusieurs serveurs aux rapports lorsque tous les serveurs de rapports s enregistrent aupr s de votre unique serveur de gestion Dans ce sc nario le flux d v nements passe des sources d v nement au serveur de collecte configur puis au serveur de rapports configur m Un ou plusieurs serveurs CA Enterprise Log Manager de collecte traitent et stockent les v nements entrants m Les v nements circulent sur votre r seau de collecte de journaux depuis diff rentes sources d v nement apr s la configuration des connecteurs et adaptateurs correspondants Informations compl mentaires Planification des serveurs page 17 Cr ation des DVD d installation Le logiciel CA Enterprise Log Manager est disponible sous forme d images ISO compress es et t l chargeables Apr s avoir t l charg le logiciel vous devez cr er des DVD avant de pouvoir l installer Utilisez la proc dure suivante pour t l charger les images ISO et cr er les disques d installation Chapitre 3 Installation de CA Enterprise Log Manager 67 Installation d un serveur CA Enterprise Log Manager Pour cr er les DVD d installation 1 A partir d un ordinat
84. stockage distant m Le serveur source est le serveur de rapports a Le serveur de destination est le serveur de stockage distant Pour g n rer une paire de cl s RSA sur le serveur source et copier la cl publique sur le serveur de destination 1 Connectez vous au serveur CA Enterprise Log Manager source via ssh en tant qu utilisateur caelmadmin Basculez sur le compte d utilisateur root su Basculez sur le compte d utilisateur caelmservice su caelmservice G n rez la paire de cl s RSA l aide de la commande ci dessous ssh keygen rsa Acceptez toutes les valeurs par d faut et ne saisissez aucune phrase de passe Si vous entrez une phrase de passe la paire de cl s n est pas valide pour une utilisation non interactive Modifiez les autorisations du r pertoire ssh l aide de la commande ci dessous chmod 755 ssh Naviguez jusqu au r pertoire ssh cd ssh Copiez le fichier id_rsa pub sur le serveur CA Enterprise Log Manager de destination l aide de la commande ci dessous scpid_rsa pub caelmadmin lt nom h te CA ELMS Amp authorized keys Chapitre 5 Configuration des services 129 Configuration du magasin de journaux d v nements Apr s avoir utilis cette proc dure pour copier la cl publique RSA sur le serveur de rapports d finissez la propri t du fichier de cl sur le serveur de rapports Si le serveur de destination est un serveur de stockage distant copiez la cl
85. table ci dessous Une fois la feuille de calcul renseign e vous pouvez l utiliser lors de votre travail pour r pondre aux invites de l installation Vous pouvez imprimer et renseigner une feuille de calcul distincte pour chaque serveur CA Enterprise Log Manager que vous envisagez d installer Informations CA Enterprise Log Manager Disque du SE Type de clavier Valeur valeur ad quate Commentaires Sp cifiez le type de clavier que S lection du fuseau horaire vous souhaitez utiliser gr ce son param tre de langue La valeur par d faut utilise les param tres mat riels du clavier connect au serveur lorsque ce dernier d marre S lectionnez le fuseau horaire le fuseau horaire que vous souhaitez dont d pend ce serveur Cr ez et confirmez un nouveau Mot de passe root nouveau mot de passe root mot de passe root pour ce serveur Disque de l application Nouveau nom d h te nom d h te de ce serveur Sp cifiez le nom d h te de ce CA Enterprise Log Manager Par exemple serveur en utilisant uniquement les caract res pris en charge par Chapitre 3 Installation de CA Enterprise Log Manager 69 Installation d un serveur CA Enterprise Log Manager Informations CA Enterprise Valeur Log Manager CA ELM1 S lection d une unit nom de l unit Adresse IP masque de sous r seau et passerelle par d faut valeurs IP correspondantes Nom de domaine votre nom de domaine
86. tes s affiche 2 D veloppez Invites dans la Liste de requ tes puis s lectionnez Connecteur Saisissez le nom du connecteur puis cliquez sur OK 4 Visualisez les v nements collect s 168 Manuel d impl mentation Affichage et contr le de l tat d un agent ou d un connecteur Affichage et contr le de l tat d un agent ou d un connecteur Dans votre environnement vous pouvez surveiller l tat d agents ou de connecteurs red marrer les agents ou encore d marrer arr ter et red marrer les connecteurs le cas ch ant Vous pouvez afficher les agents ou les connecteurs des diff rents niveaux de la hi rarchie de dossiers de l Explorateur d agent Chaque niveau restreint l affichage disponible en cons quence Depuis le dossier Explorateur d agent vous pouvez afficher tous les agents ou connecteurs affect s au serveur CA Enterprise Log Manager actuel Depuis le dossier d un groupe d agents sp cifique vous pouvez afficher les agents et connecteurs affect s ce groupe d agents Depuis un agent sp cifique vous pouvez afficher cet agent uniquement et les connecteurs qui lui sont affect s Pour afficher l tat d un agent ou d un connecteur 1 Cliquez sur l onglet Administration puis sur le sous onglet Collecte de journaux La liste du dossier Collecte de journaux s affiche S lectionnez le dossier de l Explorateur d agent Les boutons de gestion des agents s affichent dans le volet D tails
87. un CA EEM partag 241 Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager 241 Enregistrez CA IT PAM avec un CA EEM partag 242 Copie du certificat dans le serveur CA IT PAM 4444444444eeeeeee 243 D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis 244 Installation de composants tiers requis par CA IT PAM 245 Installation du domaine CA IT PAM 44444 4444 esse esse 246 Table des mati res 11 D marrez le service du serveur CA ITPAM ceeec eee eee 247 Lancez la console du serveur CA IT PAM et connectez vous 248 Annexe D R cup ration apr s sinistre 249 Planification de la r cup ration apr s sinistre 249 A propos de la sauvegarde du serveur CA EEM 4444e eue 250 Sauvegarde d une instance d application CA EEM 444444440 251 Restauration d un serveur CA EEM pour l utiliser avec CA Enterprise Log Manager 252 Sauvegarde d un serveur CA Enterprise Log Manager 252 Restauration d un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde 253 Remplacement d un serveur CA
88. un serveur CA Enterprise Log Manager Arr t du d mon ou service de l agent CA Enterprise Log Manager Le d mon ou service de l agent CA Enterprise Log Manager est le processus qui g re les connecteurs envoyant les v nements collect s un serveur CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que les connecteurs puissent collecter des v nements Utilisez la proc dure suivante pour arr ter le processus de l agent CA Enterprise Log Manager Normalement les commandes de d marrage et d arr t sont mises depuis l Explorateur d agent sur n importe quel serveur CA Enterprise Log Manager Vous pouvez utiliser cette commande pour vous pr parer red marrer un processus d agent et tous ses connecteurs Pour arr ter le d mon ou service de l agent CA ELM 1 Connectez vous en tant qu utilisateur root ou administrateur Windows 2 Acc dez une invite de commande puis entrez la commande ci apr s Linux UNIX Solaris opt CA ELMAgent bin S99elmagent stop Windows net stop ca elmagent V rification de l installation du serveur CA Enterprise Log Manager Vous pouvez v rifier l installation du serveur CA Enterprise Log Manager l aide d un navigateur Web Vous pouvez effectuer une v rification initiale de l installation en vous connectant sur le serveur CA Enterprise Log Manager Remarque Lorsque vous vous connectez l application CA Enterprise Log Manager pour la premi re fois vous devez
89. utilisateur caelmservice su caelmservice 4 Entrez la commande suivante ssh caelmservice nonELM hostname Param tres du magasin de journaux d v nements dans l environnement de base Dans un environnement o des serveurs CA Enterprise Log Manager distincts assument les r les de serveur de collecte et de serveur de rapports vous devriez configurer individuellement les magasins de journaux d v nements comme des configurations locales Si vous choisissez galement d utiliser le serveur de rapports pour g rer le trafic de basculement vous souhaiterez peut tre d finir une valeur plus lev e pour le champ Nombre maximum de lignes que celle affich e dans la table Si vous utilisez votre serveur de gestion comme serveur de rapports n oubliez pas que le serveur de gestion lui m me g n re certaines informations d v nement sous la forme d v nements d autosurveillance Remarque Vous devez configurer chaque paire de serveurs participant l archivage automatique pour l authentification non interactive pour que la configuration de l archivage automatique fonctionne correctement La table ci dessous pr sente un exemple Le serveur CA Enterprise Log Manager de collecte s appelle CollSrvr 1 Le serveur CA Enterprise Log Manager de rapports s appelle RptSrvr 1 Pour cet exemple un serveur de stockage distant appel RemoteStore 1 stocke les fichiers de base de donn es froides situ s dans le r pertoire CA ELM_cold_
90. utilisateurs et d finissez des strat gies de mots de passe pour ces comptes d utilisateur partir de CA Enterprise Log Manager L utilisation de mots de passe s rs vous permet de prot ger vos ressources informatiques Les strat gies de mots de passe permettent la mise en oeuvre de la cr ation de mots de passe s rs et peuvent permettre d viter l utilisation de mots de passe non s curis s Les strat gies de mots de passe par d faut fournies avec CA Enterprise Log Manager offrent une forme tr s l g re de protection par mot de passe Par exemple la strat gie par d faut permet aux utilisateurs de se servir de leur nom d utilisateur comme mot de passe et de d verrouiller les mots de passe Elle autorise les mots de passe ne jamais expirer et n effectue aucun verrouillage li aux checs de tentatives de connexion Les options par d faut sont intentionnellement d finies sur un niveau tr s faible de s curit des mots de passe pour vous permettre de cr er vos propres strat gies personnalis es Important Vous devez modifier les strat gies de mots de passe par d faut pour qu elles correspondent aux restrictions de mot de passe en vigueur dans 40 Manuel d impl mentation Planification des utilisateurs et des acc s votre entreprise Il n est pas recommand d ex cuter CA Enterprise Log Manager dans des environnements de production avec les strat gies de mots de passe par d faut Pour votre strat gie de mots de p
91. utiliser les informations d identification de l utilisateur EiamAdmin avec lesquelles vous avez install le serveur CA Enterprise Log Manager Une fois connect avec ce compte d utilisateur vous pouvez afficher et utiliser uniquement des fonctions sp cifiques de gestion des utilisateurs et des acc s Vous devez ensuite configurer votre magasin d utilisateurs et cr er un nouveau compte d utilisateur CA Enterprise Log Manager pour acc der aux autres fonctionnalit s CA Enterprise Log Manager 78 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager Pour v rifier l installation du serveur CA Enterprise Log Manager 1 Ouvrez un navigateur Web et entrez l URL ci dessous https lt adresse IP_serveur 5250 spin calm L cran de connexion CA Enterprise Log Manager s affiche 2 Connectez vous en tant qu utilisateur administratif EiamAdmin Le sous onglet Gestion des utilisateurs et des acc s de l onglet Administration s affiche Vous pouvez consid rer l installation comme r ussie si vous pouvez vous connecter au serveur CA Enterprise Log Manager Remarque Vous devez configurer un ou plusieurs services de sources d v nement avant de pouvoir recevoir des donn es d v nement et afficher des rapports Affichage des v nements d autosurveillance Vous pouvez utiliser les v nements d autosurveillance pour v rifier que le serveur CA Enterprise Log Manager est correctement install M me si vous d
92. virtuel et cliquez sur Suivant Sp cifiez les param tres de stockage pour votre ordinateur virtuel puis cliquez sur Suivant V rifiez que vos param tres de stockage sont suffisamment importants pour votre serveur CA Enterprise Log Manager Nous recommandons un espace minimal de 500 Go Remarque La configuration de lecteurs de disques virtuels suppl mentaires pour stocker les journaux d v nements collect s fait l objet d une autre proc dure S lectionnez Red Hat Enterprise Linux 5 32 bits comme Syst me d exploitation invit et cliquez sur Suivant S lectionnez 4 comme nombre de processeurs virtuels dans la liste d roulante Nombre de processeurs virtuels Votre serveur h te physique doit tre capable de consacrer quatre UC physiques exclusivement cette instance CA Enterprise Log Manager Cliquez sur Suivant Configurez la taille de la m moire de l ordinateur virtuel et cliquez sur Suivant La taille minimale acceptable de la m moire pour CA Enterprise Log Manager est 8 Go ou 8 192 Mo Configurez votre contr leur d interface r seau NIC CA Enterprise Log Manager n cessite au moins une connexion r seau S lectionnez NIC x dans la liste de NIC disponibles et param trez la valeur Adaptateur sur Flexible Remarque Vous n avez pas besoin de configurer un NIC s par pour chaque serveur CA Enterprise Log Manager h berg sur ce serveur physique Toutefois vous devez allouer et affecter une adresse IP s
93. vous avez cr e pour cette connexion ODBC la base de donn es Si les param tres de connexion sont corrects un message de retour semblable au message ci dessous s affiche SQL connecting to database nom DSN Elapsed time 37 ms Test de la r cup ration du serveur partir de la base de donn es Utilisez cette requ te de test pour d terminer si une application cliente ODBC est capable de r cup rer des donn es partir d un magasin de journaux d v nements CA Enterprise Log Manager via la connexion la base de donn es Cette proc dure requiert l utilisation du m me utilitaire iSQL que celui utilis pour tester la connexion ODBC Remarque Ne copiez pas et n utilisez pas les requ tes SQL fournies dans les requ tes et les rapports CA Enterprise Log Manager pour tester la connexion ODBC Ces instructions SQL sont destin es uniquement tre utilis es par le serveur CA Enterprise Log Manager avec le magasin de journaux d v nements Cr ez vos requ tes SQL ODBC conform ment la norme SQL ANSI Pour tester la r cup ration des donn es du serveur 1 Ouvrez une invite de commande et acc dez au r pertoire o vous voulez installer le client ODBC 2 D marrez l utilitaire iSQL odbcisql exe Chapitre 3 Installation de CA Enterprise Log Manager 91 Installation du client JDBC 3 Entrez l instruction SELECT suivante pour tester la r cup ration partir du magasin de journaux d v nements sel
94. vous choisissez d utiliser un port non standard vous devez alors reconfigurer chaque source d v nement pour qu elle envoie ses v nements sur ce port Pour rediriger le trafic d v nements via un pare feu 1 2 3 Connectez vous en tant qu utilisateur root Acc dez une invite de commande Entrez une commande afin de rediriger les ports pour votre pare feu sp cifique L exemple ci dessous illustre les entr es de ligne de commande pour l outil de filtrage de paquets netfilter iptables sur un syst me d exploitation Red Hat Linux chkconfig level 345 iptables on iptables t nat A PREROUTING p udp dport 514 j REDIRECT to lt votre nouveau port gt service iptables save Remplacez la valeur de la variable lt votre_nouveau_port gt par un num ro de port disponible et sup rieur 1024 Pour d autres impl mentations reportez vous aux instructions de gestion des ports propos es par le fournisseur de votre pare feu Installation du client ODBC L installation d un client ODBC sur des syst mes Windows implique les tapes ci dessous 1 V rifiez que vous disposez des autorisations requises et obtenez une cl de licence pour le pilote du client ODBC conditions requises Installez le client ODBC Cr ez une source de donn es l aide de l utilitaire Sources de donn es ODBC de Windows Configurez la connexion du client ODBC Testez la connexion la base de donn es 86 Manuel d impl
95. 143 762 com ca iTechnology iSponsor 66 456 NT Application 5 270 Pr visualisation de l importation d v nements CA Access Control Vous pouvez utiliser la pr visualisation de l importation pour affiner le r glage de vos param tres d importation Cet exemple illustre deux passages de pr visualisation bas s sur la n cessit d importer des v nements partir d une p riode sp cifique L exemple suppose les l ments ci dessous Le serveur d outils de donn es CA Audit se trouve sur un ordinateur Windows Le nom de base de donn es de la table SEOSDATA est Mon_DSN_ Audit Le nom d utilisateur de la base de donn es est sa et le mot de passe est galement sa La pr visualisation de l importation utilise uniquement le nom de journal comme crit re de recherche et d importation Le r sultat de la commande avec l option preview envoie un chantillon de r sultats d importation STDOUT cet exemple utilise la valeur Mon_serveur_CA ELM pour repr senter un nom de serveur CA Enterprise Log Manager 232 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Pour pr visualiser l importation 1 Pr visualisez votre importation d v nements CA Access Control avec la commande ci apr s LMSeosimport exe dsn Mon DSN Audit user sa password sa target Mon_ serveur _CA ELM log eTrust Access Control preview La commande preview affiche l
96. 2 45 Evaluation du besoin d un proxy HTTP 2422222222 46 V rification de l acc s au flux RSS pour l abonnement 46 Evaluation du besoin d un proxy d abonnement hors ligne 47 Evaluation du besoin d une liste de proxies 52 Exemple Configuration d abonnement avec six serveurs 53 Planification d agent sorrsesressisnaie ns AREE EEREN EE EEEE disait EA EEEE DA ERAI EE OE EARNE DERAN 56 A propos de la collecte d v nements Syslog 56 Les agents et le certificat d agent 222 58 A propos A S ATRNES Te AR e e a E EEEE A a a Y 58 A propos des int grations 60 A propos des connecteurs 4444444eseeseeseeseeseesee 61 Dimensionnement de votre r seau CA Enterprise Log Manager 63 Table des mati res 7 Chapitre 3 Installation de CA Enterprise Log Manager 65 Pr sentation de l environnement CA Enterprise Log Manager 65 Cr ation des DVD d installation 67 Installation d un serveur CA Enterprise Log Manager
97. 4audit all pkg sur le serveur du Gestionnaire de strat gies 5 D marrez l installation l aide de la commande ci dessous NONABL SCRIPTS TRUE pkgadd d caelm4audit all pkg 6 R pondez aux invites l aide des informations collect es lors de l tape 1 Le processus d installation d marre et arr te automatiquement iGateway il modifie galement un fichier de configuration XML sp cifique IGW_LOC AuditAdminConfig xml Une fois l installation termin e vous constatez un nouvel onglet Log Manager dans l interface utilisateur Administrator d Audit et la r organisation des onglets existants 7 Utilisez la commande ci dessous pour v rifier rapidement la r ussite de l installation pkginfo grep caelm4Audit L utilitaire doit renvoyer le nom du package si celui ci s est install correctement Installation de l int gration de CA Enterprise Log Manager utiliser avec CA Audit sur les serveurs Windows Vous pouvez suivre ces instructions pour installer la prise en charge de CA Enterprise Log Manager dans un environnement CA Audit existant Cette installation utilise le packaging InstallShield Windows L installation silencieuse n est pas disponible pour ce composant lorsqu il est install sur un serveur Remarque Si le service iGateway g re le traitement d un grand nombre de modules d extension l ach vement de cette installation peut durer un certain temps Pour installer la prise en charge de CA Enterprise Log Ma
98. 53 F f d ration propos des requ tes et des rapports dans 171 carte de f d ration 30 configuration 175 exemple de mappage de f d rations pour une grande entreprise 31 exemple de mappage de f d rations pour une moyenne entreprise 33 hi rarchique 172 maill e 174 planification 28 s lection de requ tes f d r es 123 feuilles de calcul CA SiteMinder 39 r pertoire LDAP externe 37 filtres globaux et locaux 122 124 G gestion de l abonnement avec des clients en ligne 148 avec des clients hors ligne 149 composants 43 configuration 143 147 exemple de configuration 53 flux RSS 46 liste de proxies 52 planification 42 quand configurer 45 serveur proxy HTTP 46 gestion des utilisateurs et des acc s configuration du magasin d utilisateurs 108 importation v nements SEOSDATA provenant de CA Audit 200 207 208 installation Affectations de ports par d faut 82 cr er des DVD d installation 67 d agents 153 de CA Enterprise Log Manager 74 d pannage 96 304 Manuel d impl mentation Image du syst me d exploitation personnalis 81 Structure des r pertoires par d faut 81 v rifier le serveur CA Enterprise Log Manager 78 int gration CA Audit Configuration d adaptateurs CA 189 Envoi d v nements CA Audit CA Enterprise Log Manager 194 importation d v nements SEOSDATA 200 int gration la version r8 SP2 208 pr sentation
99. Audit avant l apparition d iTechnology SAPI signifie Submit API Application Programming Interface ou API de soumission Les enregistreurs CA Audit pour CA ACF2 CA Top Secret RACF Oracle Sybase et DB2 sont des exemples de SAPI Recorders 296 Manuel d impl mentation serveur d abonnement CA serveur d alerte serveur de collecte serveur de gestion Le serveur d abonnement CA est la source des mises jour d abonnement de CA Le serveur d alerte sert stocker les alertes d action et les jobs d alerte d action Le serveur de collecte est un r le attribu un serveur CA Enterprise Log Manager Le serveur de collecte ajuste les journaux d v nement entrants les int gre la base de donn es chaude compresse celle ci et en effectue un archivage automatique ou bien la copie sur le serveur de rapports associ Le serveur de collecte compresse la base de donn es chaude lorsqu elle atteint la taille maximale pr d finie et effectue un archivage automatique selon le planning indiqu Le serveur de gestion est un r le attribu au premier serveur CA Enterprise Log Manager install Ce serveur CA Enterprise Log Manager contient le r f rentiel charg de stocker le contenu de tous ses serveurs CA Enterprise Log Manager notamment les strat gies Ce serveur correspond g n ralement au proxy d abonnement par d faut Bien que cela ne soit pas recommand dans la plupart des environnements de production le serveur de gesti
100. CA Audit comment configurer les iRecorders et les strat gies et comment importer des donn es depuis votre base de donn es de collecteur CA Audit D crit l int gration aupr s de CA Access Control la modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager la configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager et l importation d v nements CA Access Control partir d une base de donn es de collecteur CA Audit D crit le processus d installation de CA IT PAM de sorte que le composant EEM situ sur le serveur de gestion CA Enterprise Log Manager handles authentication D crit les proc dures de sauvegarde de restauration et de remplacement visant garantir la r cup ration de votre solution de gestion des journaux en cas de sinistre Section A propos de ce manuel Description CA Enterprise Log Manager et D crit le processus suivre pour cr er et configurer un virtualisation ordinateur virtuel contenant un serveur CA Enterprise Log Manager Remarque Pour plus de d tails sur la prise en charge des syst mes d exploitation ou la configuration syst me requise consultez les Notes de parution Pour une pr sentation de base de CA Enterprise Log Manager et un sc nario classique d utilisation consultez le Manuel de pr sentation Pour plus de d tails sur l utilisation et la maintenance du produit consultez le M
101. CA Enterprise Log Manager Manuel d impl mentation r12 1 La pr sente documentation ainsi que tout programme d aide informatique y aff rant ci apr s nomm s Documentation vous sont exclusivement fournis titre d information et peuvent tre tout moment modifi s ou retir s par CA La pr sente Documentation ne peut tre copi e transf r e reproduite divulgu e modifi e ou dupliqu e en tout ou partie sans autorisation pr alable et crite de CA La pr sente Documentation est confidentielle et demeure la propri t exclusive de CA Elle ne peut pas tre utilis e ou divulgu e sauf si un autre accord de confidentialit entre vous et CA stipule le contraire Nonobstant ce qui pr c de si vous tes titulaire de la licence du ou des produits logiciels d crits dans la Documentation vous pourrez imprimer un nombre raisonnable de copies de la Documentation relative ces logiciels pour une utilisation interne par vous m me et par vos employ s condition que les mentions et l gendes de copyright de CA figurent sur chaque copie Le droit de r aliser des copies de la Documentation est limit la p riode pendant laquelle la licence applicable du logiciel demeure pleinement effective Dans l hypoth se o le contrat de licence prendrait fin pour quelque raison que ce soit vous devrez renvoyer CA les copies effectu es ou certifier par crit que toutes les copies partielles ou compl tes de la Documentation ont
102. CA Enterprise Log Manager sur un serveur de gestion uniquement si vous devez installer un environnement totalement virtuel Cr ation de serveurs CA Enterprise Log Manager virtuels Vous pouvez cr er des serveurs CA Enterprise Log Manager virtuels pour votre environnement de collecte de journaux d v nements l aide des sc narios ci dessous m Ajout de serveurs virtuels un environnement CA Enterprise Log Manager existant cr ation d un environnement mixte m Cr ation d un environnement virtuel de collecte de journaux m Clonage et d ploiement de serveurs CA Enterprise Log Manager virtuels pour une volutivit rapide de l environnement 256 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager virtuels Ajout de serveurs virtuels votre environnement Si vous disposez d j d une impl mentation CA Enterprise Log Manager vous pouvez ajouter des serveurs de collecte CA Enterprise Log Manager virtuels pour g rer un volume d v nements accru sur votre r seau Ce sc nario suppose que vous avez d j install un serveur de gestion CA Enterprise Log Manager et un ou plusieurs serveurs CA Enterprise Log Manager pour la collecte et la g n ration de rapports Remarque Pour obtenir les meilleures performances possibles installez CA Enterprise Log Manager sur des serveurs virtuels pour g rer uniquement les t ches de collecte et de g n ration de rapports Le processus d ajout de serveurs de coll
103. Enterprise Log Manager appel serveur proxy d abonnement Les clients d abonnement interrogent le serveur proxy d abonnement configur de mani re r guli re et planifi e et ils r cup rent les nouvelles mises jour disponibles le cas ch ant Apr s r cup ration des mises jour le client installe les composants t l charg s collecte d v nements La collecte d v nements est un processus permettant de lire la cha ne d v nement brut partir d une source d v nement et de l envoyer au CA Enterprise Log Manager configur La collecte est suivie d un ajustement d v nement collecte directe de journaux La collecte directe de journaux est la technique de collecte de journaux sans agent interm diaire entre la source d v nement et le logiciel CA Enterprise Log Manager collecteur SAPI Le collecteur SAPI est un adaptateur CA qui re oit des v nements provenant de clients CA Audit Les envois des clients CA Audit reposent sur l action Collecteur qui propose le basculement int gr Les administrateurs configurent le collecteur SAPI CA Audit avec par exemple les fichiers de mappage de donn es et les chiffres s lectionn s composants de visualisation Les composants de visualisation sont des options disponibles pour l affichage des donn es de rapport par exemple une table un graphique en courbes barres colonnes secteurs ou une visionneuse d v nements compte Un compte est un utilisate
104. Enterprise Log Manager enfants Chaque serveur CA Enterprise Log Manager enfant effectue des requ tes sur le magasin de journaux d v nements actif et sur le catalogue d archive ainsi que sur l ensemble de ses serveurs CA Enterprise Log Manager enfants Chaque serveur CA Enterprise Log Manager enfant cr e ensuite un seul jeu de r sultats envoyer au serveur CA Enterprise Log Manager parent l origine de la requ te Pour permettre les configurations maill es CA Enterprise Log Manager dispose d une protection int gr e contre les requ tes circulaires Une impl mentation classique de CA Enterprise Log Manager en entreprise comporte un cinq serveurs Une impl mentation dans une grande entreprise peut comprendre dix serveurs et plus La fa on dont vous configurez votre f d ration contr le la quantit d informations visibles par le serveur CA Enterprise Log Manager l origine de la requ te Le type de requ te le plus simple provient du serveur CA Enterprise Log Manager principal et renvoie des informations provenant de tous les serveurs enfants configur s en dessous de celui ci Chapitre 7 Cr ation de f d rations 171 F d rations hi rarchiques Lorsque vous effectuez une requ te sur la f d ration partir d un serveur enfant les r sultats affich s d pendent de la configuration de votre f d ration Dans une f d ration hi rarchique tous les serveurs configur s comme les enfants d un serveur renvoient les
105. EventGrouping Int gration et Rapport Les actions autoris es pour cette ressource sont Annotation Rapports Cr ation Alerte calmTag EventGrouping Int gration et Rapport Dataaccess Donn es Ex cution ArchiveQuery et Planification Alerte Rapport Glossaire 277 calmTag catalogue catalogue d archive calmTag est un attribut nomm de l AppObject utilis lors de la cr ation d une strat gie de port e afin de limiter l acc s aux requ tes et rapports appartenant certaines balises Tous les rapports et requ tes sont des objets d application AppObjects et ont calmTag comme attribut ne pas confondre avec la balise de ressource Le catalogue est la base de donn es stock e sur chaque CA Enterprise Log Manager qui consigne l tat des bases de donn es archiv es et joue le r le d index de haut niveau pour l ensemble des bases de donn es Les informations d tat ti de froid ou d givr sont conserv es pour toutes les bases de donn es ayant jamais transit par ce CA Enterprise Log Manager ainsi que toutes celles ayant t restaur es sur ce CA Enterprise Log Manager en tant que base de donn es d givr e La fonction d indexation s tend toutes les bases de donn es chaudes et ti des contenues dans le magasin de journaux d v nements de ce CA Enterprise Log Manager Voir catalogue cat gories d v nement Certificats Champs CEG Les cat gories d v nement sont les balises uti
106. Fichiers li s iTechnology iGateway opt CA SharedComponents iTechnology Fichiers li s au serveur CA Enterprise Log Manager opt CA LogManager EEM EEM Fichiers li s l installation de CA Enterprise Log opt CA LogManager install Manager Fichiers de donn es liens vers data en cas de opt CA LogManager data lecteurs multiples Fichiers journaux opt CA SharedComponents iTechnology Dans des circonstances normales vous ne devez pas avoir besoin d acc der l utilitaire ssh sur le serveur CA Enterprise Log Manager hormis pour d placer des fichiers d archive des fins de sauvegarde et de stockage long terme ou encore pour ajouter des lecteurs de disque Image du syst me d exploitation personnalis Le processus d installation personnalise le syst me d exploitation en cr ant une image minimale et en limitant l acc s cette image tr s peu de canaux Les services non essentiels ne sont pas install s Le serveur CA Enterprise Log Manager coute sur un petit nombre de ports et d sactive sp cifiquement les ports inutilis s Chapitre 3 Installation de CA Enterprise Log Manager 81 Configurations initiales du serveur CA Enterprise Log Manager Lors de l installation du syst me d exploitation vous cr ez un mot de passe pour le compte root Une fois l installation de CA Enterprise Log Manager termin e le compte root est restreint et ne permet aucune autre connexion L installation de CA Enterprise Log M
107. Java JDK Contrat de licence CA Serveur CA Embedded Entitlements Manager local ou distant Installation d un serveur CA Enterprise Log Manager Valeur date et heure locales Oui recommand ou Non nom d h te ou adresse IP correspondant Oui Oui Local pour le premier serveur install serveur de gestion Distant pour chaque serveur suppl mentaire Commentaires Si vos serveurs DNS utilisent l adressage IPV6 entrez ces adresses avec ce format Entrez de nouvelles date et heure syst me le cas ch ant Indiquez si vous souhaitez configurer le serveur CA Enterprise Log Manager pour qu il mette jour ses date et heure partir d un serveur NTP Network Time Protocol tabli Remarque La synchronisation de l heure permet de vous assurer que les alertes contiennent des donn es compl tes Entrez le nom d h te ou l adresse IP valide du serveur NTP aupr s duquel ce serveur CA Enterprise Log Manager obtient des informations de date et d heure Lisez le contrat de licence en parcourant les pages jusqu atteindre la question Acceptez vous les termes du contrat de licence ci dessus oui ou non Lisez le contrat de licence CA en parcourant les pages jusqu atteindre la question Acceptez vous les termes du contrat de licence ci dessus oui ou non Indiquez si vous pr voyez d utiliser un serveur CA EEM local ou distant Pour un serveur CA Enterprise Log Manager de g
108. Manager OU Utilisateur sur un serveur distant ic HORS LIGNE gt 2 Proxy d abonnement Clients d abonnement hors ligne CA Enterprise CA Enterprise Log Manager Log Manager dot d une connexion Internet Informations compl mentaires Configuration d un proxy d abonnement hors ligne page 149 Chapitre 2 Planification de voire environnement 47 Planification des mises jour d abonnement Fonctionnement de l abonnement avec des clients en ligne Le proxy d abonnement en ligne par d faut et les autres proxies d abonnement configur s obtiennent les mises jour d abonnement aupr s du serveur d abonnement CA Ils contournent le serveur proxy HTTP si configur L illustration ci dessous d crit un sc nario en ligne simple avec le serveur d abonnement CA le proxy d abonnement en ligne par d faut le serveur de gestion CA Enterprise Log Manager et quelques clients d abonnement Serveur d abonnement ca Serveur de gestion CA Enterprise Log Manager A a f he Clients Serveur d abonnement proxy Serveur proxy CA Enterprise HTTP d abonnement en ligne Log Manager local CA Enterprise Log Manager Vous trouverez ci dessous une description du processus illustr par les fl ches num rot es 1 Lorsque l administrateur configure initialement le service Configuration globale du service Module d abonnement et qu il sp cifie l URL du flux RSS le proxy d abonnement acc de au serveur d abonneme
109. Manuel d administration CA Enterprise Log Manager 36 Manuel d impl mentation Planification des utilisateurs et des acc s Informations compl mentaires Acceptation du magasin d utilisateurs par d faut page 108 R f rence un r pertoire LDAP page 109 R f rence CA SiteMinder comme magasin d utilisateurs page 110 Feuille de calcul du r pertoire LDAP externe Avant de r f rencer un r pertoire LDAP externe collectez les informations de configuration ci apr s Informations requises Valeur Commentaires Type Notez le type de r pertoire utilis CA Enterprise Log Manager prend en charge plusieurs r pertoires diff rents dont Microsoft Active Directory et Sun ONE Directory Reportez vous l interface utilisateur pour obtenir la liste compl te des r pertoires pris en charge H te Enregistrez le nom d h te du serveur pour le magasin d utilisateurs ou le r pertoire externe Port Enregistrez le num ro de port pour l coute du serveur du magasin d utilisateurs o du r pertoire externe Le port 389 est le port r serv LDAP Lightweight Directory Access Protocol Si votre serveur de registre n utilise pas le port 389 enregistrez le num ro de port ad quat Nom relatif de base Enregistrez le nom relatif LDAP servant de base Le nom relatif est un identifiant unique pour une entr e dans l arborescence du r pertoire LDAP Aucun espace n est permis dans le nom relatif de base Seuls l
110. One ou Novell eDirectory Quelle que soit la configuration du magasin d utilisateurs le r f rentiel local sur le serveur de gestion contient des informations sp cifiques aux applications concernant les utilisateurs comme leur r le et les strat gies d acc s associ es mappage de donn es Le mappage de donn es est un processus consistant mapper les paires de valeurs cl s vers la CEG Le mappage de donn es s effectue sur la base d un fichier de mappage de donn es Glossaire 289 mappages de fonctions Les mappages de fonctions constituent une partie facultative du fichier de mappage de donn es pour une int gration produit Ils servent renseigner un champ de la grammaire commune aux v nements lorsque la valeur requise ne peut tre extraite directement de la source d v nement Tous les mappages de fonctions se composent d un nom de champ CEG d une valeur de champ de classe ou pr d finie ainsi que de la fonction utilis e pour obtenir ou calculer la valeur MIB base de donn es d informations de gestion La MIB base de donn es d informations de gestion pour CA Enterprise Log Manager CA ELM MIB doit tre import e et compil e par chaque produit devant recevoir des alertes sous la forme d interruptions SNMP depuis CA Enterprise Log Manager La MIB indique l origine de chaque identificateur d objet num rique OID utilis dans un message d interruption SNMP accompagn e d une description de l objet de donn es o
111. Proxy d abonnement en ligne par d faut CA Enterprise Log Manager Les clients d abonnement dune autre r gion sont configur s avec une Este diff rente de proxies d abonnement Les chents d abonnement d une r gion sont configur s avec une liste de proxies d abonnement Exemple Configuration d abonnement avec six serveurs Lorsque vous abordez la configuration de l abonnement tenez compte des autres r les assum s par les serveurs avant de d cider de leur r le d abonnement Par d faut le serveur de gestion premier serveur install est le proxy d abonnement par d faut Tous les autres serveurs sont des clients d abonnement du proxy d abonnement par d faut M me si cette situation est acceptable il est pr f rable de configurer un proxy d abonnement en ligne et de laisser le proxy par d faut agir comme proxy de basculement ou proxy redondant Il est recommand d affecter le r le de proxy en ligne au serveur le moins actif Chapitre 2 Planification de votre environnement 53 Planification des mises jour d abonnement Exemple Six serveurs parmi lesquels le serveur le moins occup est le proxy d abonnement en ligne Envisagez un sc nario comportant six serveurs CA Enterprise Log Manager Le serveur de gestion est d di l authentification et l autorisation des utilisateurs lors de la connexion ainsi qu au stockage du contenu d applications Quatre serveurs f d r s g rent le traitement des
112. Remarques pour les utilisateurs de CA Access Control 219 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 3 Cliquez sur la strat gie pour afficher ses informations de base dans le volet D tails sur la droite D tails Nom Suspicious Events Type Rule Description Suspicious Events 4 Dans le volet D tails cliquez sur Modifier pour faire un ajout aux r gles de la strat gie L assistant de r gles d marre Modifier une r gle Information Modifier les o Modifier les informations D Modifier le script D actions Informations relatives la r gle Aide rapide Modifier le nom et la description de la r gle e Modifier le nom et la description de la Nom de r gle r gle Suspicious Events Description de r gle Suspicious Events 220 Manuel d impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 5 Cliquez sur Modifier les actions en regard de la fl che correspondant l tape 3 La page des actions de r gles s affiche Modifier une r gle Actions J Suivant rerminer annuter aide Modifier les Fi 2 Modifier les D APEE FA D Modifier le script Ve Parcourir les actions Aide Parcourez la liste des actions et cr ez en de nouvelles ajouter la r gle Collector A E mail Gesce Status Monitor external Program Mie route i Screen Blsecu
113. S lectionnez l l ment Exporter l application dans le volet de navigation sur la gauche S lectionnez toutes les options l exception de la case cocher Remplacer la taille maximale de la recherche Remarque Si vous utilisez un r pertoire externe ne s lectionnez pas les options Utilisateurs Globaux Groupes globaux et Dossiers globaux Cliquez sur Exporter pour cr er un fichier d exportation XML pour l instance d application La bo te de dialogue T l chargement de fichier affiche le nom du fichier lt Nom_Instance_App gt xml gz par exemple CAELM xml gz et un bouton Enregistrer Cliquez sur Enregistrer et s lectionnez votre emplacement de sauvegarde sur un serveur distant mapp Vous pouvez galement enregistrer le fichier en local puis le copier ou le d placer vers votre emplacement de sauvegarde sur un autre serveur Annexe D R cup ration apr s sinistre 251 Restauration d un serveur CA EEM pour l utiliser avec CA Enterprise Log Manager Restauration d un serveur CA EEM pour l utiliser avec CA Enterprise Log Manager Vous pouvez restaurer une instance d application CA Enterprise Log Manager vers un serveur de gestion La restauration de la fonctionnalit CA EEM du serveur de gestion implique l ex cution de l utilitaire safex qui importe l instance d application sauvegard e Pour restaurer la fonctionnalit CA EEM du serveur de gestion partir d une sauvegarde 1 Installez le dispositif l
114. SP2 Le package sp cial de prise en charge d CA Audit r8 SP2 CAELM4Audit ajoute l interface utilisateur CA Enterprise Log Manager la structure de l onglet Administration du gestionnaire de strat gies Audit r8 SP2 Le package prend en charge les plates formes ci dessous m Windows 2000 Windows 2003 m Solaris SPARC 9 Solaris SPARC 10 Le processus d installation du package de prise en charge est indiqu ci apr s 1 Installez un ou plusieurs serveurs CA Enterprise Log Manager pointant vers un serveur CA EEM partag avec le gestionnaire de strat gies CA Audit r8 SP2 2 Installez le package de prise en charge sur le serveur du gestionnaire de strat gies CA Audit r8 SP2 3 Ajoutez des actions vos r gles de strat gie pour envoyer des v nements au serveur CA Enterprise Log Manager ainsi qu la base de donn es du collecteur et d autres destinations 208 Manuel d impl mentation Int gration CA Audit r8 SP2 L ajout de l onglet Log Manager l interface du gestionnaire de strat gies cr e une fonction d authentification unique entre le gestionnaire de strat gies et CA Enterprise Log Manager si les conditions suivantes sont r unies m Le serveur du gestionnaire de strat gie et le serveur CA Enterprise Log Manager utilisent un serveur CA EEM commun m Le m me ID d utilisateur existe sur le serveur du gestionnaire de strat gies CA Audit r8 SP2 et sur le serveur CA Enterprise Log Manager m Le gestionna
115. Server 2003 o vous comptez installer CA IT PAM 2 Modifiez le mot de passe par d faut du certificat IT PAM facultatif a Acc dez au dossier lt install path gt eem b Ouvrez le fichier ITPAM_eem xml c Remplacez itpamcertpass dans la ligne suivante lt Register certfile itpamcert p12 password tpamcertpass gt d Enregistrez le fichier Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager La commande safex g n re des objets de s curit CA IT PAM partir du fichier ITPAM_eem xml Vous devez copier ce fichier dans le dispositif CA Enterprise Log Manager o il sera accessible lors du traitement safex Pour copier le fichier ITPAM_eem xmil partir du serveur Windows vers le dispositif CA Enterprise Log Manager Copiez le fichier ITPAM_eem xml partir de l h te o vous comptez installer CA IT PAM vers le dispositif CA Enterprise Log Manager qui inclut CA EEM m Fichier source sur le serveur Windows C Program Files CA SharedComponents Technology TPAM_eem xmil Remarque Utilisez la recherche Windows pour localiser ce fichier XML si le chemin indiqu ici n existe pas m Chemin de destination sur le serveur de gestion CA Enterprise Log Manager loptCA SharedComponents iTechnology Remarque Dans le serveur Windows utilisez Winscp et copiez le r pertoire tmp du dispositif Annexe C Remarques sur CAIT PAM 241 Enregistrez CA IT PAM avec un CA EEM partag Enregistrez CA
116. SiteMinder 41 I coBIT 22 I Configuration Management 7 I TL 3 Cliquez sur la balise de rapport CA Access Control pour afficher gauche la liste des rapports disponibles Liste de rapports Options ej Rechercher v Abonnement i Activit de la ressource d administration B Activit d acc s aux fichiers EPHI B Activit de contr le d acc s aux fichiers EPHI B Acc s aux ressources par action B Acc s aux ressources par h tes strat giques B Acc s aux ressources par h te B Acc s aux ressources par nom de journal B Acc s aux ressources par ex cutant Acc s aux ressources par nom de ressource 4 S lectionnez un rapport pour afficher les donn es d v nement 238 Manuel d impl mentation Annexe C Remarques sur CA IT PAM Ce chapitre traite des sujets suivants Sc nario Utilisation de CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM page 239 Processus d impl mentation de l authentification CA IT PAM page 240 Pr paration de l impl mentation de l authentification CA IT sur un CA EEM partag page 241 Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager page 241 Enregistrez CA IT PAM avec un CA EEM partag page 242 Copie du certificat dans le serveur CA IT PAM page 243 D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis page 244 Installation de composants tiers requis par CA IT PAM
117. Terminer pour stocker vos modifications sur cet ordinateur virtuel Cette action vous renvoie la bo te de dialogue du client VMware Infrastructure Installation de CA Enterprise Log Manager sur l ordinateur virtuel Utilisez la proc dure suivante pour installer CA Enterprise Log Manager sur un ordinateur virtuel pr c demment cr Vous pouvez configurez un serveur CA Enterprise Log Manager virtuel ou d di apr s l installation pour qu il affiche l un des nombreux r les fonctionnels tels que la gestion la collecte ou la g n ration de rapports Si vous installez un serveur de gestion CA Enterprise Log Manager ne l utilisez pas pour recevoir des journaux d v nements ou pour ex cuter des requ tes et des rapports Installez des serveurs CA Enterprise Log Manager virtuels distincts pour faire office de serveurs de rapports et de collecte afin d obtenir les meilleures performances possibles Examinez les instructions d installation normale avant d installer CA Enterprise Log Manager dans un environnement virtuel La feuille de calcul d installation vous permet de collecter les informations n cessaires 264 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager virtuels Pour installer CA Enterprise Log Manager sur un ordinateur virtuel 1 Chargez votre disque d installation du SE CA Enterprise Log Manager dans le lecteur physique de DVD ROM ou recherchez le r pertoire dans lequel vous avez copi l ima
118. Un agent peut contr ler plusieurs connecteurs 154 Manuel d impl mentation Configuration de l agent par d faut L utilisation de l Explorateur d agent pour installer configurer et contr ler des connecteurs et des agents implique les tapes de base ci apr s 1 T l chargez les fichiers binaires de l agent 2 Cr ez un ou plusieurs groupes d agents facultatif 3 Cr ez et configurez un connecteur notamment en cr ant ou en appliquant des r gles de suppression et de r capitulation 4 Affichez l tat des agents ou des connecteurs Reportez vous au Manuel d administration CA Enterprise Log Manager pour plus d informations sur la cr ation et l utilisation des groupes d agents et des connecteurs ainsi que sur l application de r gles de suppression aux agents Informations compl mentaires A propos des agents page 58 A propos des groupes d agents page 59 A propos des connecteurs page 61 A propos des d tecteurs de journaux page 61 Effets des r gles de suppression page 63 Configuration de l agent par d faut L installation de CA Enterprise Log Manager cr e sur le serveur CA Enterprise Log Manager un agent par d faut dot s de deux connecteurs pr ts l emploi un connecteur Syslog et un connecteur Linux_local Le connecteur Syslog permet de collecter les v nements Syslog transmis au serveur CA Enterprise Log Manager Le connecteur Linux_local permet de collecter les v nements au
119. Vous pouvez encore r duire le trafic Internet en cr ant des serveurs proxy hors ligne qui stockent les informations de mise jour au niveau local et les fournissent aux clients lorsqu ils les contactent Prenez en charge les serveurs proxy hors ligne en copiant manuellement l int gralit du contenu partir du chemin de t l chargement du proxy en ligne vers le chemin de t l chargement du proxy hors ligne Des serveurs proxy hors ligne doivent tre configur s dans les environnements contenant des serveurs CA Enterprise Log Manager qui ne peuvent pas acc der Internet ou un serveur connect Internet Lors de la configuration du service d abonnement tenez compte des l ments suivants concernant certains param tres et leurs interactions Proxy d abonnement par d faut D finit le serveur proxy par d faut pour le service d abonnement Le proxy d abonnement par d faut doit disposer d un acc s Internet Si aucun autre proxy d abonnement n est d fini ce serveur obtient les mises jour d abonnement du serveur d abonnement CA t l charge les mises jour binaires sur tous les clients et distribue les mises jour de contenu Si d autres proxies sont d finis les clients contactent ce serveur pour obtenir les mises jour lorsqu aucune liste de proxies d abonnement n est configur e ou lorsque la liste configur e est puis e La valeur par d faut est le premier serveur install dans votre environnement Cette vale
120. a collecte de journaux 24 Planification d espace disque 26 Apropos du serveur CA EEM 5223532435 saubamnbrnes antenne ramasse esse 27 Consignes de collecte de journaux 22 28 Planification de f d ration 444444444 44e eee eee 28 Cr ation d une carte de f d ration 2 30 Exemple Carte de f d ration pour une grande entreprise 31 Exemple Carte de f d ration pour une PME 33 Planification des utilisateurs et des acc s 444444444444 35 Planification du magasin d utilisateurs 222 36 Utilisateurs ayant le r le Administrator 40 Planification de la strat gie de mots de passe 40 Planification des mises jour d abonnement 42 Composants et ports d abonnement 2 43 Quand configurer l abonnement 4444444444eseessessesse 45 Planification d espace disque 2
121. a configuration un fichier d acc s aux donn es un ou plusieurs fichiers d analyse de message XMP et un ou plusieurs fichiers de mappage de donn es enregistrement de journal Un enregistrement de journal est un enregistrement d audit individuel enregistrements d audit entr e de journal Les enregistrements d audit contiennent les v nements de s curit de type tentatives d authentification acc s aux fichiers et modifications apport es aux strat gies de s curit comptes d utilisateur ou droits d utilisateur Les utilisateurs Administrator sp cifient les types d v nement auditer et ce qui doit tre journalis Une entr e de journal est dans un journal l emplacement contenant des informations sur un v nement sp cifique qui s est produit sur un syst me ou un r seau donn tat chaud d une base de donn es L tat chaud correspond une base de donn es du magasin de journaux d v nements o sont ins r s de nouveaux v nements Lorsqu une base de donn es chaude atteint sa taille maximale pr d finie sur le serveur de collecte elle est compress e catalogu e et d plac e sur un syst me de stockage non compress sur le serveur de rapports De plus tous les serveurs stockent les nouveaux v nements d autosurveillance dans une base de donn es chaude Glossaire 281 tat d givr d une base de donn es tat froid d une base L tat d givr est l tat qualifiant une base de d
122. a source Security Nom du canal ou du journal Security Chapitre 6 Configuration de la collecte d v nements 167 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor 9 Cliquez sur Enregistrer et fermer 10 Le nouveau nom du connecteur s affiche sous l agent dans l Explorateur d agent Explorateur de collecte de journaux gt a Adaptateurs CA gt a Biblioth que d ajustement d v nement gt Ca ca elm 6 gt Ca ca elm 6 v Explorateur d agent v Default Agent Group v D a elm 2 P Linux_localsyslog_Connector E Syslog_Connector EP winrM_Connecteur 11 Cliquez sur WinRM_Connector pour afficher les d tails de l tat Au d but l tat indique Configuration en attente Attendez jusqu ce que l tat affiche Ex cution en cours D tails de l tat Red marrer D marrer Arr ter Connecteur Agent Groupe d agents Plate forme Int gration Etat WinRM_Connettore Ex cution en cours ca elm Det Agent Group La 2 K 12 Cliquez sur Ex cution en cours pour obtenir des donn es telles que les EPS v nements par seconde Etat Pourcentage de l UC 0 0 Utilisation de la m moire en Mo 19 2 Moyenne d v nements par seconde 0 Nombre d v nements filtr s 0 Pour v rifier que l agent par d faut collecte des v nements partir de la source d v nement cible 1 S lectionnez l onglet Requ tes et rapports Le sous onglet Requ
123. acc der Le num ro de port correspond au port utiliser pour les communications il doit tre identique celui d fini dans le panneau de configuration du service ODBC CA Enterprise Log Manager Si les num ros de port sont diff rents la tentative de connexion choue encrypted 0 1 Indique si le chiffrement SSL est utilis pour les communications entre le client JDBC et le serveur CA Enterprise Log Manager La valeur par d faut est 0 pas de chiffrement il n est pas n cessaire de la pr ciser dans l URL Pour activer le chiffrement sp cifiez encrypted 1 dans l URL Le chiffrement de la connexion doit tre activ explicitement De plus ce param tre doit correspondre celui que vous avez configur dans la bo te de dialogue Service ODBC CA Enterprise Log Manager faute de quoi la tentative de connexion choue ServerDataSource Default Sp cifie le nom de la source de donn es D finissez cette valeur sur Default pour acc der au magasin de journaux d v nements CA Enterprise Log Manager CustomProperties x y z Ces propri t s sont identiques aux propri t s ODBC personnalis es Si vous ne les sp cifiez pas explicitement les valeurs par d faut de l exemple d URL sont appliqu es Informations compl mentaires Consid rations sur les sources de donn es ODBC page 89 Chapitre 3 Installation de CA Enterprise Log Manager 95 D pannage de l installation D pannage de l installation Vous pou
124. activation de la fonction Gestion distance de Windows sur le serveur cible Remarque Une partie de ce processus consiste cr er le nom d utilisateur et le mot de passe que vous devez saisir lors de la configuration du connecteur Ces informations de connexion permettent l authentification requise pour tablir une connectivit entre la source d v nement et CA Enterprise Log Manager V rifiez la journalisation a Ouvrez eventvwr dans la bo te de dialogue Ex cuter La visionneuse d v nements appara t b D veloppez Journaux Windows et cliquez sur S curit Une fen tre semblable la suivante s affiche et indique que la journalisation est en cours S curit 1 246 v nement s Mots cl s Date et heure Source ooo ol a Audit des succ s 26 11 2009 18 18 53 Microsoft Windows security auditi a Audit des succ s 26 11 2009 18 18 53 Microsoft Windows security auditir qA Audit des succ s 26 11 2009 18 18 52 Microsoft Windows security auditir A Audit des succ s 26 11 2009 18 04 53 Microsoft Windows security auditir a Audit des succ s 26 11 2009 18 00 54 Microsoft Windows security auditir w v nement 4776 Microsoft Windows security auditing x Chapitre 6 Configuration de la collecte d v nements 165 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor Pour activer la collecte directe d v nements partir de sources d v nement Windows 1 S lectionnez
125. age distant est un r le attribu un serveur qui re oit les bases de donn es archiv es automatiquement en provenance d un ou plusieurs serveurs de rapports Le serveur de stockage distant conserve les bases de donn es froides pendant le nombre d ann es requis L h te distant utilis pour le stockage ne dispose g n ralement pas d un syst me CA Enterprise Log Manager ou autre Pour l archivage automatique configurez une authentification non interactive Le serveur ODBC est le service configur qui d finit le port utilis pour les communications entre le client ODBC ou JDBC et le serveur CA Enterprise Log Manager et d termine si le chiffrement SSL est activ ou non Un serveur proxy HTTP est un serveur proxy qui joue le r le de pare feu et emp che le trafic Internet de p n trer dans l entreprise ou de la quitter hormis via le proxy Le trafic sortant peut sp cifier un ID et un mot de passe pour contourner le serveur proxy L utilisation d un serveur proxy HTTP local dans la gestion de l abonnement est configurable serveurs de f d ration services Les serveurs de f d ration sont des serveurs CA Enterprise Log Manager connect s les uns aux autres sur un r seau afin de r partir la collecte des donn es de journal tout en cumulant les donn es collect es des fins de g n ration de rapports Les serveurs de f d ration peuvent tre connect s selon une topologie hi rarchique ou maill e Les rapports de donn e
126. ager Le serveur CA EEM interne install sur le serveur de gestion dispose galement de ses processus de configuration du basculement pour assurer la continuit du fonctionnement processus voqu s en d tail dans le Manuel de mise en oeuvre de CA EEM A propos de la sauvegarde du serveur CA EEM La configuration de chaque serveur agent et connecteur CA Enterprise Log Manager tout comme celle des requ tes rapports alertes etc est conserv e s par ment dans le r f rentiel CA EEM du serveur CA Enterprise Log Manager de gestion Pour effectuer une r cup ration correcte du serveur il est essentiel de conserver des sauvegardes r guli res des informations stock es dans l instance d application CA Enterprise Log Manager Une instance d application est un espace commun dans le r f rentiel CA EEM o sont stock es les informations ci apr s Utilisateurs groupes et strat gies d acc s m Agent int gration couteur connecteur et configurations enregistr es m Requ tes rapports et r gles de suppression et de r capitulation personnalis s Relations de f d ration m Informations de gestion du code binaire m Cl s de chiffrement Vous pouvez effectuer la proc dure de sauvegarde de CA EEM depuis l interface du navigateur Web CA EEM En g n ral tous les serveurs CA Enterprise Log Manager d une entreprise utilisent la m me instance d application La valeur de l instance d application CA Enterprise Log Man
127. ager par d faut est CAELM Vous pouvez installer des serveurs CA Enterprise Log Manager avec diff rentes instances d application mais vous pouvez uniquement f d rer les serveurs partageant la m me instance d application Les serveurs configur s pour utiliser le m me serveur CA EEM avec diff rentes instances d application partagent uniquement le magasin d utilisateurs les strat gies de mots de passe et les groupes globaux Le Manuel de mise en oeuvre de CA EEM contient plus d informations sur les op rations de sauvegarde et de restauration 250 Manuel d impl mentation Sauvegarde d une instance d application CA EEM Sauvegarde d une instance d application CA EEM Vous pouvez effectuer une sauvegarde d une instance d application CA Enterprise Log Manager depuis le serveur CA EEM interne sur le serveur de gestion Pour sauvegarder une instance d application 1 Acc dez au serveur CA EEM l aide de l URL ci dessous https lt nom _serveur 5250 spin eiam Dans la page de connexion d veloppez la liste Application et s lectionnez le nom de l instance d application utilis lors de l installation de vos serveurs CA Enterprise Log Manager Le nom d instance d application par d faut pour CA Enterprise Log Manager est CAELM Connectez vous en tant qu utilisateur EiamAdmin ou en tant qu utilisateur dot du r le Administrator de CA EEM Acc dez l onglet Configuration et s lectionnez le sous onglet Serveur EEM
128. aire 0 KZ Minutes de d calage horaire 0 Le Nom du journal d v nements M5 5QL Server Mise jour du taux d ancrage 10 Intervalle d interrogation 10 Nombre maximum d v nements par seconde 1000 Ce Eee Ce Lecture partir du d but 10 Cliquez sur Enregistrer et fermer Le nouveau nom du connecteur s affiche sous l agent dans l Explorateur d agent Explorateur de collecte de journaux gt 3 Adaptateurs CA gt 3 Biblioth que d ajustement d v nement Y E Explorateur d agent v Default Agent Group v Q tr85111 bladez cs com E2 E Agent_stop E Syslog_Connector 11 Cliquez sur MS_SQL_Server_2005_ Connector pour afficher les d tails de l tat Au d but l tat indique Configuration en attente Attendez jusqu ce que l tat affiche Ex cution en cours Connecteur Agent Groupe d agents Plate forme Int gration Etat MS_SQL_Server_2005_7 94 ca elm Default Agent Group Linux_X86_32 MS _ SQL Server 2005 Ex cution en cours 162 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur ODBCLog Sensor 12 S lectionnez le connecteur et cliquez sur Ex cution en cours pour afficher les d tails de la collecte d v nements Remarque Vous pouvez galement ex cuter un rapport pour afficher des donn es partir de cette base de donn es Pour v rifier que l agent par d faut collecte des v nements
129. aisissez le mot de passe de l utilisateur EiamAdmin Le nom d utilisateur et le mot de passe caelmadmin sont les informations d identification n cessaires pour acc der au syst me d exploitation du dispositif logiciel L ID d utilisateur caelmadmin est cr lors de l installation de ce syst me d exploitation Durant l installation du composant logiciel l installateur doit sp cifier le mot de passe du compte de superutilisateur CA EEM EiamAdmin Le m me mot de passe est affect au compte caelmadmin Nous recommandons que l administrateur du serveur se connecte via ssh en tant qu utilisateur caelmadmin et modifie ce mot de passe par d faut Bien que l administrateur ne puisse pas se connecter via ssh en tant que root il peut basculer sur le compte root su root si n cessaire caelmservice est un compte de service qui permet d ex cuter iGateway et les services CA EEM locaux en tant qu utilisateur non root Le compte caelmservice est utilis pour installer les mises jour du syst me d exploitation t l charg es avec les mises jour d abonnement Un calendrier est un moyen de limiter la dur e d application d une strat gie d acc s Une strat gie permet aux identit s sp cifi es d effectuer les actions indiqu es sur la ressource sp cifi e durant le laps de temps d termin CALM est une classe de ressource pr d finie qui inclue les ressources CA Enterprise Log Manager suivantes Alerte ArchiveQuery calmTag Donn es
130. aitez et quittez l interface 6 Red marrez les services r seau l aide de la commande ci apr s pour que vos modifications prennent effet service network restart Chapitre 3 Installation de CA Enterprise Log Manager 97 D pannage de l installation V rifier que le package RPM est install Vous pouvez effectuer un contr le rapide de l installation en v rifiant que le package RPM ad quat est install Pour v rifier le package RPM 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su root 4 V rifiez que le package ca elm lt version gt i386 rpm est install l aide des commandes ci apr s rpm q ca elm rpm q ca elmagent Le syst me d exploitation renvoie le nom complet du package s il est install Enregistrement du serveur CA Enterprise Log Manager aupr s du serveur CA EEM Sympt me Lors de l installation l application CA Enterprise Log Manager ne s est pas enregistr e correctement aupr s du serveur CA EEM L application CA Enterprise Log Manager d pend du serveur CA EEM pour la gestion des comptes d utilisateur et des configurations de services Si l application CA Enterprise Log Manager n est pas enregistr e le logiciel ne fonctionne pas correctement Le script shell mentionn dans la proc dure qui
131. al et la plage d ID d entr e Vous pouvez utiliser les valeurs affich es dans le rapport pour affiner vos options de ligne de commande concernant une commande ant rieure ou la commande d importation r elle Annexe A Remarques pour les Utilisateurs de CA Audit 205 Importation des donn es d une table SEOSDATA Pour afficher un rapport des informations d v nements SEOSDATA actuels sous Windows 1 Ouvrez une invite de commande sur le serveur d outils de donn es CA Audit 2 Acc dez au r pertoire Program Files CA SharedComponents iTechnology 3 Entrez la ligne de commande ci dessous LMSeosimport dsn eAudit_ DSN user sa password sa target lt nom h te Log Manager gt report L affichage du rapport g n r est similaire l exemple qui suit SEOSProcessor initOdbc liaison r ussie la source eAudit_DSN P riode d v nement SEOSDATA DUREE minimale 2007 08 27 DUREE maximale 2007 10 06 Ru Nombre d v nements par journal com ca iTechnology iSponsor 3 052 EiamSdk 1 013 NT Application 776 NT System 900 ous Plage EntryID SEOSDATA ENTRYID minimal 1 ENTRYID maximal 5 741 Rapport termin Pr visualisation des r sultats de l importation Vous pouvez ex cuter une importation test avec une sortie vers STDOUT pour pr visualiser les r sultats d importation sans r ellement importer ou migrer les donn es Il s agit l d un test efficace des param tres d
132. anager 3 Acc dez au r pertoire CA ELM Solaris_sparc 4 Copiez l utilitaire LMSeosImport dans le r pertoire iTechnology du serveur d outils de donn es CA Audit opt CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t copi dans le r pertoire d sign et une fois les variables d environnement requises d finies Il n existe aucune installation distincte ex cuter Cr ation d un rapport d v nements SEOSDATA sur des v nements CA Access Control Pour d terminer si une table SEOSDATA contient des v nements CA Access Control et d cider de la m thode d importation vous devez ex cuter un rapport d v nements Le nom de journal pour les v nements CA Access Control est eTrust Access Control Le rapport r pertorie tous les v nements contenus dans la base de donn es s par s par leurs noms de journaux La m thode la plus simple pour importer des v nements CA Access Control consiste les importer en fonction de leur nom de journal 230 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Pour cr er un rapport d v nements 1 Cr ez un rapport d v nements pour pouvoir visualiser les v nements CA Access Control pr sents dans la table SEOSDATA LMSeosimport dsn Mon DSN Audit user sa password sa report Apr s traitement l utilitaire affiche un rapport qui ressemble ce q
133. anager cr e un utilisateur par d faut caelmadmin qui dispose uniquement de la fonction de connexion sans autres droits Pour un acc s de niveau root au serveur CA Enterprise Log Manager vous pouvez acc der au serveur avec ce compte puis passer l utilisateur root pour acc der aux outils d administration Cela signifie que vous devez conna tre les mots de passe caelmadmin et root pour pouvoir acc der au syst me en tant qu utilisateur root Aucun autre logiciel de s curit sp cifique n est install avec CA Enterprise Log Manager Pour conserver d excellentes performances n installez pas d autres applications sur le serveur CA Enterprise Log Manager Affectations de ports par d faut Port 80 111 443 Le serveur CA Enterprise Log Manager est configur par d faut pour couter sur le port 5250 et sur les ports 80 et 443 pour le protocole HTTPS Les processus et d mons CA Enterprise Log Manager ne s ex cutent pas sous le compte root ils ne peuvent donc pas ouvrir de ports inf rieurs au port 1024 Par cons quent l installation cr e automatiquement une redirection par le biais de tables IP vers le port 5250 pour les demandes entrantes de l interface utilisateur sur les ports 80 et 443 Le d mon Syslog du syst me d exploitation local du serveur CA Enterprise Log Manager n est pas configur car CA Enterprise Log Manager utilise ses v nements d autosurveillance pour suivre l tat du syst me Vous pouvez aff
134. ande d un agent ou d un connecteur pour actualiser l affichage de l tat 8 Si vous affichez des connecteurs s lectionnez l un d entre eux et cliquez sur Red marrer D marrer ou Arr ter facultatif Si vous affichez des agents s lectionnez n importe quel agent et cliquez sur Red marrer 170 Manuel d impl mentation Chapitre 7 Cr ation de f d rations Ce chapitre traite des sujets suivants Requ tes et rapports dans un environnement f d r page 171 F d rations hi rarchiques page 172 F d rations maill es page 174 Configuration d une f d ration CA Enterprise Log Manager page 175 Requ tes et rapports dans un environnement f d r Un seul serveur CA Enterprise Log Manager renvoie les donn es de sa base de donn es interne d v nements pour r pondre aux requ tes et renseigner les rapports Si vous disposez d une f d ration de serveurs CA Enterprise Log Manager vous pouvez contr ler la mani re dont les requ tes et les rapports renvoient des informations d v nements en fonction de la configuration des relations de votre f d ration Vous pouvez galement conserver les r sultats des requ tes provenant des serveurs seuls en d sactivant le param tre global Utiliser les requ tes f d r es Le param tre global Utiliser les requ tes f d r es est activ par d faut Il permet d envoyer les requ tes d un serveur CA Enterprise Log Manager parent tous les serveurs CA
135. ans ce cas vous pouvez appliquer une ou plusieurs r gles de suppression appropri es sur les composants d agents Si vous souhaitez supprimer tous les v nements d un type donn issus de diverses plates formes ou de l ensemble de votre environnement appliquez une ou plusieurs r gles de suppression appropri es au niveau du serveur CA Enterprise Log Manager La n cessit de supprimer les v nements est valu e leur arriv e sur le serveur CA Enterprise Log Manager Appliquer un grand nombre de r gles de suppression au niveau du serveur peut ralentir les performances tant donn que l application des r gles de suppression s ajoute l insertion des v nements dans le magasin de journaux d v nements sur le serveur Dans le cas d impl mentations moins importants la suppression peut tre r alis e sur le serveur CA Enterprise Log Manager Vous pouvez galement choisir d appliquer la suppression au niveau du serveur dans les d ploiements utilisant la r capitulation agr gation En revanche si vous ins rez uniquement certains des v nements issus d une source d v nement g n rant des volumes importants d informations d v nement vous pouvez choisir de supprimer les v nements ind sirables au niveau de l agent ou du groupe d agents pour conomiser du temps de traitement sur le serveur CA Enterprise Log Manager 64 Manuel d impl mentation Chapitre 3 Installation de CA Enterprise Log Manager Ce
136. ant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel et cliquez sur Suivant Annexe E CA Enterprise Log Manager et virtualisation 263 Cr ation de serveurs CA Enterprise Log Manager virtuels 8 Sp cifiez la taille de votre nouveau disque et s lectionnez l option Sp cifier un magasin de donn es pour param trer son emplacement CA Enterprise Log Manager d tecte ce lecteur suppl mentaire au cours de l installation et l affecte au magasin de donn es Nous vous recommandons d optimiser l espace de stockage que vous pouvez mettre disposition de CA Enterprise Log Manager Remarque Le param tre de taille de bloc par d faut du serveur VMware ESX Server est 1 Mo ce qui limite 256 Go l espace disque maximal que vous pouvez cr er Si vous avez besoin d espace suppl mentaire jusqu 512 Go augmentez le param tre de taille de bloc 2 Mo gr ce la commande ci dessous Vmkistools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Red marrez l instance ESX Server pour que les changements entrent en vigueur Pour plus d informations sur cette commande et sur d autres commandes consultez la documentation VMware ESX Server Cliquez sur Suivant pour afficher la bo te de dialogue Sp cifier les options avanc es 9 Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant La bo te de dialogue Pr t terminer s affiche 10 Cliquez sur
137. ant afin d impl menter les relations entre eux F d rations maill es Une f d ration maill e est similaire une f d ration hi rarchique car elle peut afficher des niveaux La principale diff rence repose sur la configuration des connexions entre les serveurs Une f d ration maill e peut permettre n importe quel serveur CA Enterprise Log Manager sur le r seau d effectuer des requ tes et de g n rer des rapports sur les donn es de tous les autres serveurs CA Enterprise Log Manager Les capacit s de g n ration de rapport d pendent des relations cr es entre les serveurs Par exemple dans une f d ration maill e les serveurs peuvent tre interconnect s uniquement au sein d une branche verticale Cela signifie que tous les serveurs CA Enterprise Log Manager de cette branche peuvent avoir acc s tous les autres serveurs CA Enterprise Log Manager de la m me branche Cette situation est en opposition directe avec celle d un serveur CA Enterprise Log Manager d une f d ration hi rarchique qui peut produire des rapports uniquement sur les serveurs hi rarchiquement inf rieurs Dans une formation en anneau ou en toile chaque serveur CA Enterprise Log Manager est configur pour tre l enfant de tous les autres serveurs Lorsque vous demandez des donn es de rapports partir d un serveur CA Enterprise Log Manager vous affichez les donn es de tous les serveurs CA Enterprise Log Manager du r seau La f d
138. anuel d administration Pour obtenir de l aide quant l utilisation d une page CA Enterprise Log Manager consultez l aide en ligne Chapitre 1 Introduction 15 Chapitre 2 Planification de votre environnement Ce chapitre traite des sujets suivants Planification des serveurs page 17 Planification de la collecte de journaux page 24 Planification de f d ration page 28 Planification des utilisateurs et des acc s page 35 Planification des mises jour d abonnement page 42 Planification d agent page 56 Planification des serveurs La premi re tape de la planification de votre environnement consiste d terminer le nombre de serveurs CA Enterprise Log Manager n cessaires et le r le assum par chaque serveur Les r les sont r pertori s ci dessous m Gestion Le serveur stocke des configurations et des contenus pr d finis et d finis par l utilisateur Il authentifie galement les utilisateurs et autorise l acc s aux fonctions m Collecte Le serveur re oit les journaux d v nements de son agent et il ajuste les v nements m G n ration de rapport Le serveur traite les requ tes sur les v nements collect s les requ tes et rapports la demande ainsi que les alertes et rapports planifi s m Point de restauration Le serveur re oit les bases de donn es restaur es de journaux d v nements des fins d examen d v nements pass s Le premier serveur ins
139. aque cycle de mise jour Mises jour du contenu et de la configuration comme celles qui suivent qui sont envoy es au serveur de gestion a Requ tes de rapport m Rapports a Fichiers de mappage de donn es et d analyse de message XMP m Ecouteurs connecteurs et autres services 42 Manuel d impl mentation Planification des mises jour d abonnement a Int grations a Mises jour de la configuration des modules CA Enterprise Log Manager a Mises jour des cl s publiques Mises jour destin es aux agents Remarque Mettez jour vos serveurs CA Enterprise Log Manager avant de mettre jour les agents Les serveurs CA Enterprise Log Manager prennent en charge les agents leur num ro de version actuel ou pr c dent Pour que le stockage des v nements collect s s effectue correctement lors de la configuration ou de la mise jour des agents v rifiez que l agent envoie les v nements uniquement aux serveurs CA Enterprise Log Manager de m me niveau que l agent ou de niveau sup rieur Le premier serveur CA Enterprise Log Manager install est le proxy d abonnement en ligne par d faut pour les mises jour d abonnement Les autres serveurs CA Enterprise Log Manager sont install s comme des clients d abonnement Si besoin vous pouvez configurer n importe quel serveur CA Enterprise Log Manager pour qu il agisse comme un proxy d abonnement hors ligne Vous pouvez galement configurer d autres proxies d abon
140. artir d une application externe telle que BusinessObjects Crystal Reports Le serveur ODBC contr le les param tres utilis s lors de l acc s aux donn es d v nement du serveur CA Enterprise Log Manager partir d une application externe utilisant un client ODBC ou JDBC Vous pouvez effectuer les t ches suivantes depuis cette zone de configuration a Configurez le port de service utilis pour les communications entre le client ODBC ou JDBC et le serveur CA Enterprise Log Manager m Sp cifiez si les communications entre le client ODBC ou JDBC et le serveur CA Enterprise Log Manager sont crypt es Les descriptions des champs sont les suivantes Activer le service Indique si les clients ODBC et JDBC peuvent acc der aux donn es dans le magasin de journaux d v nements S lectionnez cette case cocher pour activer l acc s externe aux v nements D s lectionnez la case cocher pour d sactiver l acc s externe La valeur par d faut de cette option active l acc s aux v nements ODBC et JDBC Port d coute du serveur Sp cifie le num ro de port sur lequel une application cliente envoie des requ tes ODBC ou JDBC et re oit des r sultats du serveur CA Enterprise Log Manager La valeur par d faut est 17002 Le serveur CA Enterprise Log Manager refuse les tentatives de connexion lorsqu une valeur diff rente est sp cifi e dans la source de donn es Windows ou dans la cha ne URL JDBC 136 Manuel d impl mentation
141. ases de donn es froides sont g n ralement conserv es pendant le nombre d ann es stipul par les agences r glementaires gouvernementales Les serveurs de stockage distants ne font jamais partie d une f d ration CA Enterprise Log Manager Toutefois ils m ritent votre consid ration lorsque vous pr voyez votre architecture 20 Manuel d impl mentation Planification des serveurs D dier un serveur un r le donn ne signifie pas que vous ne pouvez pas effectuer des fonctions associ es d autres r les partir de ce serveur Envisagez un environnement comprenant des serveurs de collecte d di s et un serveur de rapports Vous avez galement la possibilit de planifier une alerte afin de rechercher une condition sur un serveur de collecte si vous devez imp rativement en tre inform le plus vite possible Exemple Architectures r seau L architecture CA Enterprise Log Manager la plus simple est un syst me un seul serveur dans lequel un serveur CA Enterprise Log Manager assume tous les r les m Le CA Enterprise Log Manager de gestion de collecte et de g n ration de rapport s occupe de la gestion de la configuration du contenu de la collecte d composition des v nements des requ tes et des rapports Remarque Un serveur distant non CA Enterprise Log Manager stocke les bases de donn es archiv es des journaux d v nements Cette configuration convient pour le traitement d un volume d v nements
142. asins d v nements stock s n cessite une manipulation soigneuse des sauvegardes et des fichiers restaur s La configuration du service du magasin de journaux d v nements constitue une position centrale pour configurer et r gler la taille et la conservation de la base de donn es interne et pour d finir les options d archivage automatique CA Enterprise Log Manager fournit les scripts ci dessous pour vous permettre d effectuer ces t ches m backup ca elm sh m restore ca elm sh m monitor backup ca elm sh Remarque L utilisation de ces scripts suppose que vous avez tabli une authentification non interactive entre les deux serveurs l aide de cl s RSA Chapitre 5 Configuration des services 127 Configuration du magasin de journaux d v nements Les scripts backup et restore se servent de l utilitaire LMArchive pour simplifier la copie de bases de donn es ti des depuis et vers les h tes distants Ces scripts mettent automatiquement jour les fichiers de catalogue ad quats lorsque les t ches s ach vent Vous pouvez faire une copie vers des serveurs distants ou vers d autres serveurs CA Enterprise Log Manager Si l h te distant auquel vous envoyez des fichiers est un serveur CA Enterprise Log Manager les scripts mettent galement jour automatiquement les fichiers de catalogue sur le serveur de r ception Les scripts suppriment galement les fichiers d archive de l ordinateur local pour viter la duplication dans
143. asse personnalis e vous pouvez refuser ces activit s appliquer des strat gies sur les attributs du mot de passe tels que la longueur le type de caract re l anciennet et la r utilisation ou encore tablir une strat gie de verrouillage bas e sur un nombre configurable d checs de tentatives de connexion Informations compl mentaires Configuration des strat gies de mots de passe page 111 Nom d utilisateur comme moi de passe Pour que les mots de passe soient s rs les meilleures pratiques de s curit stipulent que les mots de passe ne doivent pas contenir le nom d utilisateur ou correspondre celui ci La strat gie de mots de passe par d faut active cette option M me si cette option peut para tre utile lors du param trage d un mot de passe temporaire pour de nouveaux utilisateurs mieux vaut d s lectionner cette strat gie de mots de passe Ainsi vous emp chez les utilisateurs d utiliser ce genre de mots de passe non s curis s Anciennet et r utilisation du mot de passe Observez les consignes ci dessous lorsque vous d cidez des strat gies d anciennet et de r utilisation m La strat gie de r utilisation du mot de passe peut garantir qu un mot de passe donn n est pas r utilis fr quemment Cette strat gie cr e un historique des mots de passe Un param tre 0 indique que l historique des mots de passe n est pas appliqu Un param tre sup rieur 0 sp cifie le nombre de mots de passe e
144. au r pertoire CA ELM Windows 4 Copiez l utilitaire LMSeosImport exe dans le r pertoire iTechnology du serveur d outils de donn es CA Audit lt lecteur gt Program Files CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t copi dans le r pertoire d sign Il n existe aucune installation distincte ex cuter ligne de commande LMSeosimport L utilitaire LMSeosImport propose de nombreux arguments de ligne de commande qui vous permettent de contr ler les v nements migr s Chaque v nement de la table SEOSDATA compose une ligne et dispose d un ID d entr e unique pour l identifier Vous pouvez utiliser l utilitaire d importation pour r cup rer un rapport r pertoriant plusieurs types diff rents d informations utiles Le rapport r pertorie le nombre d v nements dans la table SEOSDATA nombre d ID d entr e les nombres d v nements par type de journal et les plages de dates des v nements L utilitaire propose une option de reprise en cas d erreur au cours de l importation d un v nement Vous pouvez galement ex cuter un job d aper u pour conna tre les r sultats de l importation avec une structure de commande sp cifique Les jobs d aper u n importent pas r ellement les donn es Cela vous permet d ajuster vos options de ligne de commande avant la migration r elle Vous pouvez ex cuter plusieurs fois l utilitaire de migration en utilisant diff rents param tres p
145. ble au sein de l Union Europ enne Copyright 2009 CA Tous droits r serv s Tous les noms et marques d pos es d nominations commerciales ainsi que tous les logos r f renc s dans le pr sent document demeurent la propri t de leurs d tenteurs respectifs Produits CA r f renc s Ce document fait r f rence aux produits CA suivants CA Access Control CA Audit CA ACF2 CA Directory CA Embedded Entitlements Manager CA EEM CA Enterprise Log Manager CA Identity Manager CA IT Process Automation Manager CA IT PAM CA NSM CA Security Command Center CA SCC CA Security Compliance Manager CA SCM CA Service Desk CA SiteMinder CA Spectrum CA Top Secret Support technique Pour une assistance technique en ligne et une liste compl te des sites horaires d ouverture et num ros de t l phone contactez le support technique l adresse http www ca com worldwide Modifications de la documentation Les actualisations majeures suivantes ont t r alis es depuis la derni re version de la pr sente documentation m Acc s ODBC et JDBC CA Enterprise Log Manager cette nouvelle section d crit l installation d un client ODBC ou JDBC pour acc der aux informations de journal collect es dans le magasin de journaux d v nements m CA Enterprise Log Manager et virtualisation cette nouvelle annexe d crit la cr ation d ordinateurs virtuels VMware et l installation de serveurs CA Enterpris
146. bonnement hors ligne m Client d abonnement Les proxies d abonnement en ligne et hors ligne installent automatiquement les mises jour et agissent comme leur propre client Tous les serveurs CA Enterprise Log Manager qui ne sont pas des proxies d abonnement doivent tre configur s comme des clients Chapitre 5 Configuration des services 147 Configuration de l abonnement Le proxy d abonnement par d faut est un proxy d abonnement sp cial Le premier serveur CA Enterprise Log Manager install s enregistre aupr s du magasin d utilisateurs CA Enterprise Log Manager comme proxy d abonnement par d faut mais ce param tre peut tre modifi au niveau global Dans un environnement en ligne tous les clients t l chargent des mises jour d abonnement partir du proxy d abonnement par d faut si les autres proxies ne sont pas configur s ou s ils ne sont pas disponibles Informations compl mentaires Exemple Configuration d abonnement avec six serveurs page 53 Configuration d un proxy d abonnement en ligne page 148 Configuration d un proxy d abonnement hors ligne page 149 Configuration d un proxy d abonnement en ligne Vous pouvez utiliser le serveur par d faut comme unique serveur d abonnement en ligne Dans ce cas tous les autres serveurs CA Enterprise Log Manager rivalisent pour t l charger des mises jour d abonnement provenant de ce serveur unique Cette configuration convient aux petites installati
147. ce sens en ligne signifie pouvant faire l objet d une recherche imm diate G n ralement vous disposez seulement de 30 90 jours de mise en ligne des donn es Chaque r seau dispose de ses propres volumes d v nements en fonction du nombre d unit s des types d unit s et du degr de r glage des unit s et applications r seau telles que les pare feu pour r pondre aux besoins d informations sur les v nements de l entreprise Par exemple en fonction de leur configuration certains pare feu peuvent g n rer d normes volumes d v nements inutiles Nous vous recommandons de planifier votre collecte d v nements pour que votre volume total d v nements soit uniform ment r parti sur vos serveurs CA Enterprise Log Manager sans forcer l un d entre eux d passer le niveau normal d utilisation constante Pour conserver d excellentes performances avec les volumes d v nements d une entreprise nous vous recommandons d installer au moins deux serveurs CA Enterprise Log Manager f d r s Un serveur CA Enterprise Log Manager de rapports traite les requ tes et les rapports les alertes et la gestion de celles ci les mises jour d abonnement ainsi que l authentification et l autorisation des utilisateurs m Un ou plusieurs serveurs CA Enterprise Log Manager de collecte sont sp cifiquement configur s pour optimiser les insertions dans la base de donn es 24 Manuel d impl mentation Planification de la collecte d
148. chapitre traite des sujets suivants Pr sentation de l environnement CA Enterprise Log Manager page 65 Cr ation des DVD d installation page 67 Installation d un serveur CA Enterprise Log Manager page 68 Configurations initiales du serveur CA Enterprise Log Manager page 80 Installation du client ODBC page 86 Installation du client JDBC page 92 D pannage de l installation page 96 Pr sentation de l environnement CA Enterprise Log Manager CA Enterprise Log Manager est con u pour s installer et fonctionner rapidement entre le d but de l installation et le moment o le produit collecte des informations de journaux et g n re des rapports Vous devez installer le dispositif logiciel CA Enterprise Log Manager sur un syst me d di Important Comme le serveur CA Enterprise Log Manager est d di la collecte hautes performances de journaux d v nements vous ne devez pas installer d autres applications sur le serveur l h bergeant Sans quoi vous risquez un effet n gatif sur les performances Vous disposez de nombreuses fa ons de configurer votre environnement Nous vous recommandons la configuration sp cifique qui suit afin de garantir la gestion de volumes lev s d v nements dans les environnements d entreprise Chapitre 3 Installation de CA Enterprise Log Manager 65 Pr sentation de l environnement CA Enterprise Log Manager Pour un environnement de production de base au niveau
149. collecteur Windows 207 10 Manuel d impl mentation Importation d v nements provenant d une base de donn es de collecteur Solaris 208 Int gration CA Audit r8 SP2 444 eee 208 Installation de l int gration de CA Enterprise Log Manager utiliser avec CA Audit sur les serveurs Solaris 22 24 ane uses serre miss ide desde be ETa rro a dore dore 209 Installation de l int gration de CA Enterprise Log Manager utiliser avec CA Audit sur les serveurs Windows 44 eeeeeeeeee 210 Acc s CA Enterprise Log Manager par le biais d Administrator d Audit 211 D sinstallation du package CAELM4Audit sous Windows 211 D sinstallation du package CAELM4Audit sous Solaris 212 Annexe B Remarques pour les utilisateurs de CA Access Control 213 Int gration avec CA Access Control 2 213 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager 215 Configuration de l adaptateur du collecteur SAPI pour recevoir des v nements CAACCESS COMBO a a dd de ae ee 216 Modification d une strat gie CA Audit existante pour envoyer des v nements CA Enterprise Log Manager 2 55 2eme anti ssenisanentienni en enter anse 218 V rification et activation de la strat
150. crit les actions communes Les types d action d v nement event_ action incluent par exemple Lancement d un processus Arr t d un processus et Erreur d application event_category est le champ de deuxi me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il permet une classification plus approfondie des v nements avec une valeur ideal_model sp cifique Les types de cat gories d v nement event_ category incluent S curit op rationnelle Gestion des identit s Gestion de la configuration Acc s aux ressources et Acc s au syst me event_ class est le champ de troisi me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il permet une classification plus approfondie des v nements avec une valeur event_ category sp cifique L Explorateur d agent est l espace de stockage qui contient les param tres de configuration d un agent Les agents peuvent tre install s sur un point de collecte ou sur un terminal o il existe des sources d v nement f d ration hi rarchique Une f d ration hi rarchique de serveurs CA Enterprise Log Manager est une topologie qui tablit une relation hi rarchique entre les serveurs Dans sa forme la plus simple le serveur 2 est un enfant du serveur 1 mais le serveur 1 n est pas un enfant du serveur 2 La relation
151. cteurs Par exemple vous pouvez d cider de regrouper les agents par r gion g ographique r elle Vous pouvez cr er des groupes et d placer les agents dans ces groupes gr ce l Explorateur d agent Si aucun groupe d agents n est d fini tous les agents se retrouvent dans un groupe par d faut cr lors de l installation de CA Enterprise Log Manager Les configurations d agents et les enregistrements de groupes d agents sont stock s sur le serveur de gestion A chaque nouvelle installation d agent le serveur de gestion rend cet agent disponible dans l Explorateur d agent pour tous les serveurs CA Enterprise Log Manager aupr s desquels il est enregistr sous le m me nom d instance d application Vous pouvez ainsi configurer et contr ler tous les agents depuis n importe quel serveur CA Enterprise Log Manager sur le r seau Chapitre 2 Planification de votre environnement 59 Planification d agent Droits des comptes d utilisateur des agents Les agents peuvent fonctionner avec des comptes d utilisateur avec peu de droits Vous devez cr er un compte d utilisateur du groupe et du service sur l h te cible avant d installer un agent Vous sp cifiez le nom d utilisateur au cours de l installation de l agent et le programme d installation d finit les droits en cons quence Pour les syst mes Linux l utilisateur de l agent poss de tous les fichiers binaires de l agent l exception du fichier binaire de surveillance propri t
152. ction renseigne le champ Nom du connecteur par WinRM_Connector 166 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor 6 Cliquez sur Appliquer les r gles de suppression et s lectionnez les r gles associ es des v nements pris en charge facultatif 7 Cliquez sur l tape Configuration du connecteur puis cliquez sur le lien Aide Les instructions incluent la configuration des d tecteurs CA Enterprise Log Manager WinRM 5 0 Configuration des d tecteurs CA Enterprise Log Manager WinRM 5 1 Param tre fixe 8 Suivez les instructions du manuel du connecteur pour configurer le d tecteur Saisissez l adresse IP plut t que le nom d h te de l h te sur lequel vous avez configur Gestion distance de Windows Le nom d utilisateur et le mot de passe saisis correspondent aux informations de connexion ajout es lors de la configuration de la Gestion distance de Windows Voici un exemple Configuration du connecteur E Indiquez les informations de configuration Configurations enregistr es S lectionner la configuration v Configuration des d tecteurs Nom de l ordinateur 172 24 36 107 Port 80 D Nom de l utilisateur ELMagent Mot de passe Nom du journal d v nements NT Security Intervalle d interrogation 10 E ET Mise jour du taux d ancrage 10 M Lecture partir du d but Nom de l
153. d un serveur CA Enterprise Log Manager en tant que serveur enfant page 176 Configuration de l intervalle global de mise jour Vous pouvez d finir l intervalle selon lequel les services CA Enterprise Log Manager recherchent des changements de configuration Apr s l installation la valeur par d faut est cinq minutes exprim e en secondes La d finition de cette valeur sur des intervalles tr s longs peut entra ner un retard des changements de configuration n cessaires dans leur application Pour configurer l intervalle de mise jour 1 Connectez vous au serveur CA Enterprise Log Manager et cliquez sur l onglet Administration 2 Cliquez sur l onglet Services puis sur le noeud du service Configuration globale 3 Entrez une nouvelle valeur pour l intervalle de mise jour La valeur par d faut et recommand e est 300 secondes A propos des filtres locaux Les filtres locaux agissent sur le rapport en temps r el lorsque vous l affichez et supplantent temporairement les param tres globaux Vous pouvez utiliser des filtres locaux pour affiner les donn es d un rapport afin de r soudre des probl mes de s curit ou de trouver un rapport sp cifique dans une liste de rapports g n r s Les t ches de configuration locales sont d crites ci dessous m D finir un nouveau filtre pour un rapport en temps r el lors de l affichage D finir un filtre de rapports g n r s pour afficher un sous ensemble de la liste en
154. d utilisateurs cliquez sur D tails de l utilisateur de l application puis sur OK b V rifiez que le nom du nouvel utilisateur de l application appara t bien dans les r sultats affich s 9 Cliquez sur Fermer Chapitre 4 Configuration des utilisateurs de base et des acc s 117 Chapitre 5 Configuration des services Ce chapitre traite des sujets suivants Sources d v nement et confiqurations page 119 Modification de configurations globales page 120 Utilisation des Param tres et filtres globaux page 122 Configuration du magasin de journaux d v nements page 125 Remarques sur le serveur ODBC page 136 Remarques sur le serveur de rapports page 137 Configuration de l abonnement page 139 Sources d v nement et configurations La plupart des r seaux disposent de p riph riques Windows et de p riph riques Syslog dont les journaux d v nements doivent tre collect s stock s surveill s et audit s Votre r seau peut galement disposer d autres types de p riph riques notamment des applications des bases de donn es des lecteurs de badges des unit s biom triques ou des enregistreurs et iRecorders CA Audit Les services adaptateurs agents et connecteurs CA Enterprise Log Manager repr sentent les configurations n cessaires pour se connecter ces sources d v nement afin de recevoir des donn es d v nement Les services CA Enterprise Log Manager incluent les
155. de CA Access Control 225 Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager T l chargement et installation d un iRecorder CA Access Control Vous pouvez collecter les v nements CA Access Control envoyer un serveur CA Enterprise Log Manager m me si vous n avez pas install CA Audit Lorsque vous collectez des v nements de cette mani re vous utilisez un iRecorder en mode autonome Vous pouvez obtenir un iRecorder sur le site Web du support CA Remarque Les iRecorders sont pris en charge uniquement par CA Access Control r8 et version ult rieure Pour t l charger et installer un iRecorder 1 Acc dez au site Web CA ci dessous https support ca com irj portal anonymous phpdocs filePath 0 154 cacirecr8 certmatrix htmlcaacirec en anglais 2 S lectionnez l iRecorder adapt votre version de CA Access Control 3 Affichez et suivez les instructions d installation disponibles gr ce au lien Manuel d int gration dans la matrice Configuration d un iRecorder CA Access Control autonome Utilisez la proc dure suivante pour configurer votre iRecorder pour qu il envoie des v nements CA Access Control CA Enterprise Log Manager Important Un iRecorder autonome peut envoyer ses v nements une seule destination Si vous configurez un iRecorder l aide de la proc dure qui suit tous les iRecorders install s sur ce syst me envoient leurs v nements
156. de l entreprise installez au moins deux serveurs CA Enterprise Log Manager sur votre r seau existant Les serveurs CA Enterprise Log Manager utilisent les serveurs DNS existants de votre r seau pour travailler avec des sources d v nement et des h tes de l agent nomm s Un serveur se concentre sur la collecte et l autre sur les rapports de journaux des v nements collect s Dans un environnement avec deux serveurs le serveur de gestion install en premier assume le r le de serveur de rapports En tant que serveur de gestion il effectue l authentification et l autorisation des utilisateurs ainsi que d autres fonctions de gestion L illustration ci dessous pr sente cet environnement de base avec certaines sources d v nement Gestion Collecte g n ration de rapports Magasin de journaux Magasin de journaux H te de l agent IRecorder Serveurs Windows Serveur UNIX Configuration et trafic de commande Sur ce diagramme les lignes pleines repr sentent le flux d v nements depuis les sources d v nement vers le serveur de collecte ou depuis un h te d agent vers le serveur de collecte Vous pouvez collecter directement des v nements Syslog gr ce l agent par d faut sur le serveur CA Enterprise Log Manager de collecte Vous pouvez galement configurer un ou plusieurs connecteurs sur un h te d agent distinct pour collecter des v nements provenant de plusieurs sources Syslog nonillustr sur ce d
157. de sa compilation ad quate avant de l activer 3 Cliquez sur Activer pour distribuer la strat gie v rifi e qui contient les nouvelles actions de r gle ajout es 4 R p tez cette proc dure pour chaque r gle et strat gie portant sur les v nements collect s envoyer CA Enterprise Log Manager Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager Vous pouvez configurer un iRecorder CA Access Control autonome pour qu il envoie directement les v nements qu il collecte au serveur CA Enterprise Log Manager des fins de stockage et de g n ration de rapport Ce processus inclut les tapes ci dessous 1 Configurez l couteur du module d extension d v nements iTech pour recevoir les informations d un iRecorder CA Access Control 2 T l chargez et installez un iRecorder CA Access Control 3 Configurez l iRecorder afin qu il envoie directement les v nements qu il a collect s CA Enterprise Log Manager 4 V rifiez que CALM re oit bien les v nements Remarque Les iRecorders peuvent envoyer leurs v nements une seule destination Si vous avez suivi cette proc dure pour la configuration la seule destination est le serveur CA Enterprise Log Manager nomm 224 Manuel d impl mentation Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager Configuration du module d extension d v nemen
158. directement les v nements en utilisant le module d extension iTech si vous avez configur des iRecorders afin qu ils envoient directement les v nements au serveur CA Enterprise Log Manager Les v nements collect s sont conserv s dans le magasin de journaux d v nements CA Enterprise Log Manager uniquement apr s l envoi de la strat gie aux clients et son activation Important Configurez les couteurs CA Enterprise Log Manager pour recevoir des v nements avant de modifier et d activer la strat gie Si vous n effectuez pas cette configuration en premier des erreurs de mappage d v nements risquent de se produire entre le moment o la strat gie devient active et celui o les couteurs peuvent mapper correctement les v nements Pour modifier une action d une r gle de strat gie afin d envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur gestionnaire de strat gies et acc dez l onglet Mes strat gies dans le volet gauche 2 D veloppez le dossier de la strat gie jusqu visualiser la strat gie souhait e Gestionnaire de r gles Mes politiques Biblioth que de politiques Biblioth que de mod les 5 Gac 5 eTrust Access Control Policy Suspicious Events H Network Access H Security System Account Management 6 Access violations E3 E amp Logon and Logoff Policy Change Collection Events Annexe B
159. dministrator d Audit L URL pour acc der l application Web du serveur du gestionnaire de strat gies de la s rie r8 SP2 est de la forme suivante https lt adresse IP gestionnaire strat gies CA Audit 5250 spin auditadmin m Configurez le service du collecteur SAPI ou du routeur SAPI CA Enterprise Log Manager en fonction de la m thode de cr ation d action de r gle que vous voulez appliquer Si vous envisagez de cr er une action Collecteur configurez le collecteur SAPI Si vous envisagez de configurer une action Acheminement configurez le routeur SAPI Remarque L exemple de cette section utilise l action Collecteur Rep rez et modifiez une strat gie CA Access Control existante pour envoyer des v nements CA Enterprise Log Manager m V rifiez et activez la strat gie modifi e pour la distribuer aux noeuds d audit R p tez ce processus pour ajouter de nouvelles actions de r gle d autres r gles de strat gies le cas ch ant Informations compl mentaires A propos du routeur et du collecteur SAPI page 190 Annexe B Remarques pour les Utilisateurs de CA Access Control 215 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager Configuration de l adaptateur du collecteur SAPI pour recevoir des v nements CA Access Control Utilisez la proc dure suivante pour configurer l adaptateur du collecteur SAPI pour recevoir des v nements CA Access Contro
160. donn es chaudes et un grand nombre de bases de donn es ti des Les serveurs de rapports doivent galement disposer d un espace suppl mentaire suffisant pour prendre en charge les fichiers restaur s pendant un certain temps Lorsque vous utilisez le stockage li direct les partitions sont automatiquement tendues pour offrir une plus grande capacit de stockage A propos du serveur CA EEM CA Enterprise Log Manager utilise le serveur CA Embedded Entitlements Manager CA EEM en interne pour g rer les configurations autoriser et authentifier les utilisateurs coordonner les mises jour d abonnement avec le contenu et les fichiers binaires ainsi que pour effectuer d autres fonctions de gestion Dans l environnement CA Enterprise Log Manager de base vous installez CA EEM lorsque vous installez le serveur CA Enterprise Log Manager de gestion D s lors CA EEM g re les configurations de tous les serveurs CA Enterprise Log Manager de collecte et de tous leurs agents et connecteurs Vous pouvez galement choisir d installer le serveur CA EEM sur un serveur distant l aide des packages d installation fournis sur le disque d installation de l application ou vous pouvez utiliser un serveur CA EEM existant utilis par d autres produits CA Le serveur CA EEM dispose de sa propre interface Web Toutefois la quasi totalit de vos activit s de configuration et de maintenance se d roulent dans l interface utilisateur CA Enterprise Log Ma
161. du syst me d exploitation CA Enterprise Log Manager Pour une entreprise plus importante ce param tre doit tre modifi au niveau local Envisagez de fournir la liste qui sera utilis e par la plupart des clients ou de fournir une superliste contenant les proxies partir desquels les configurations locales peuvent faire leur choix Remarque Ce param tre peut galement tre utilis pour cr er une architecture de proxies par niveau o un proxy d abonnement contacte les proxies d abonnement s lectionn s pour transmettre les mises jour aux clients au lieu de contacter directement le serveur d abonnement CA 142 Manuel d impl mentation Configuration de l abonnement 10 Parmi les proxies d abonnement disponibles pour les mises jour de contenu s lectionnez un ou plusieurs proxies devant envoyer les mises jour de fichiers non binaires au magasin d utilisateurs CA Enterprise Log Manager La s lection d un second proxy comme sauvegarde est fort utile pour garantir la distribution des mises jour en cas de panne du serveur qui est normalement charg d effectuer cette t che Les mises jour de fichiers non binaires comprennent les fichiers XMP les fichiers de mappage de donn es les int grations les mises jour de configuration pour les modules CA Enterprise Log Manager et les mises jour de cl publique Dans un environnement hors ligne vous pouvez s lectionner le proxy hors ligne qui envoie les mises jo
162. e d marrage de l utilitaire sont dot s d ID d entr e en dehors de cette plage et ne sont donc pas import s Une fois la session d importation termin e l utilitaire affiche le dernier ID d entr e trait Vous devrez peut tre ex cuter plusieurs sessions d importation pour obtenir tous vos v nements Vous pouvez galement choisir d attendre une p riode de moindre activit des v nements et du r seau pour ex cuter l utilitaire d importation Vous pouvez ex cuter d autres sessions d importation si n cessaire l aide de l ID d entr e de fin de la derni re session comme valeur minid de la nouvelle session Importation des donn es d une table SEOSDATA Utilisez ce processus pour importer des donn es provenant d une base de donn es de collecteur table SEOSDATA afin de garantir les meilleurs r sultats possibles 1 Copiez l utilitaire LMSeosImport dans le dossier iTechnology d un serveur d outils de donn es CA Audit Remarque L utilitaire LMSeosImport implique les biblioth ques de prise en charge etsapi et etbase fournies avec le client CA Audit 2 D couvrez les options et la ligne de commande LMSeosImport 3 Cr ez un rapport d v nements pour afficher les types d v nements leur nombre et les plages d ID d entr e 4 Pr visualisez les r sultats d importation gr ce aux param tres que vous envisagez d utiliser Vous pouvez d cider d ex cuter une nouvelle fois l importation pr visualis e
163. e Log Manager sur ceux ci afin de valoriser votre centre de donn es Configuration de la collecte d v nement cette section existante a t mise jour avec des exemples mettant en vidence la nouvelle fonctionnalit permettant aux agents install s sur des h tes Linux de collecter des v nements partir des sources d v nement Windows et de base de donn es Remarques sur CA IT PAM cette annexe d crit l installation de CA IT PAM afin d utiliser CA EEM sur le serveur de gestion CA Enterprise Log Manager pour l authentification des utilisateurs Informations compl mentaires Installation du client ODBC page 86 Installation du client JDBC page 92 CA Enterprise Log Manager et virtualisation page 255 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor page 164 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor page 158 Remarques sur CA IT PAM page 239 Table des mati res Chapitre 1 Introduction 13 A propos dece Manuels sisi sssires sisi ii Lei ii Lili Lili LAID ENEE ERN EE ions 13 Chapitre 2 Planification de votre environnement 17 Planification des Serveurs 422525222480 msn E EEEE E SIE EERE RE EEE REEERE EEEE DERRER SS 17 R les des serveurs 4444444 4444 18 Exemple Architectures r seau 21 Planification de l
164. e de certification de prise en charge CA Enterprise Log Manager disponible l adresse http wWww ca com Support Installation du client JDBC sur les syst mes Windows Utilisez cette proc dure pour installer le pilote du client JDBC sur un syst me Windows Pour installer le pilote JDBC 1 Recherchez dans le r pertoire CA ELM JDBC du DVD de l application ou de l image d installation les deux fichiers jar suivants LMic jar LMssl14 jar Copiez les fichiers jar dans le r pertoire de votre choix sur le serveur de destination et notez cet emplacement Chapitre 3 Installation de CA Enterprise Log Manager 93 Installation du client JDBC Installation du client JDBC sur les syst mes UNIX Utilisez cette proc dure pour installer le pilote du client JDBC sur un syst me UNIX Pour installer le pilote JDBC 1 Recherchez dans le r pertoire CA ELM JDBC du DVD de l application ou de l image d installation les deux fichiers jar suivants LMic jar LMssl14 jar 2 Copiez les fichiers jar dans le r pertoire de votre choix sur le serveur de destination et notez cet emplacement 3 Pour JDBC sous UNIX ex cutez manuellement la commande ci dessous ou une commande similaire partir du r pertoire d installation une fois le client JDBC install chmod R ugo x emplacement fichier Remplacez emplacement_fichier par le r pertoire d installation du client JDBC Cette tape vous permet d ex cuter les scripts shell fou
165. e de f d ration La cr ation d une carte de f d ration constitue une tape utile lors de la planification et de l impl mentation de la configuration de votre f d ration Plus votre r seau est important plus cette carte est utile lors des t ches r elles de configuration Vous pouvez utiliser un programme commercial de graphisme ou de dessin ou encore tracer la carte la main Plus vous fournissez de d tails sur votre carte plus vous pourrez terminer rapidement la configuration Pour cr er une carte de f d ration 1 Commencez votre carte avec les deux serveurs CA Enterprise Log Manager de base gestion et collecte et indiquez les d tails de chacun D cidez si vous avez besoin d autres serveurs de collecte et s ils repr sentent le sommet d une hi rarchie ou une unit dans un maillage D cidez quel type de f d ration hi rarchique ou maill e r pond le mieux vos besoins Identifiez les opportunit s de hi rarchies de branches ou d interconnexions en fonction de vos besoins professionnels en termes de rapports de conformit et de d bit d v nements Par exemple si votre entreprise a des bureaux sur trois continents vous pouvez d cider de cr er trois f d rations hi rarchiques Vous pouvez ensuite d cidez de mailler les hi rarchies un niveau sup rieur pour que les cadres dirigeants et les responsables de la s curit puissent produire des rapports couvrant l ensemble du r seau Vous deve
166. e des volumes d v nements importants Chaque serveur de collecte doit disposer d un espace disque suffisant pour pouvoir contenir sa part de charges de pointe et les volumes d v nements normaux Pour un serveur de rapports l espace disque est calcul en fonction du volume d v nements et de la p riode requise de conservation en ligne Les bases de donn es chaudes ne sont pas compress es Les bases de donn es ti des sont compress es Les bases de donn es chaudes et ti des sont consid r es comme tant en ligne Vous pouvez effectuer des recherches ou g n rer des rapports sur leurs donn es En g n ral vous disposez tout moment d un maximum de donn es couvrant 30 90 jours pour les rapports et la recherche imm diate Les enregistrements ant rieurs sont stock s sur un serveur distant Vous pouvez les restaurer selon vos besoins des fins de recherche et de g n ration de rapport Les serveurs de collecte prennent en charge aussi bien les bases de donn es chaudes que les bases de donn es ti des Comme la p riode de conservation d un serveur de collecte est tr s courte comprise entre 1 et 23 heures le stockage long terme n est pas un facteur important Il existe une base de donn es chaude sur le serveur de gestion pour l insertion des v nements d autosurveillance 26 Manuel d impl mentation Planification de la collecte de journaux Les serveurs de rapports prennent en charge de petites bases de
167. e gestion rapports n 1 pourrait tre situ dans vos bureaux du si ge et les serveurs de collecte pourraient se trouver dans des bureaux r gionaux ou de branches repr sent s par les serveurs de collecte n 1 et 2 Chaque branche pourrait obtenir des informations sur ses propres donn es mais pas les donn es de l autre branche A partir du serveur de collecte n 1 vous pouvez par exemple effectuer une requ te et g n rer des rapports sur les donn es de ce serveur uniquement Par contre partir du serveur de gestion rapports n 1 vous pouvez effectuer des requ tes et g n rer des rapports sur les donn es provenant de ce serveur mais galement des serveurs de collecte n 1 et 2 Serveur de gestion rapports n 1 Serveur de Serveur de collecten 1 collecte n 2 Chapitre 7 Cr ation de f d rations 173 F d rations maill es Dans une f d ration hi rarchique chaque serveur CA Enterprise Log Manager peut avoir un ou plusieurs enfants mais un seul parent Vous configurez ce type de f d ration selon une approche descendante en commen ant par le serveur de gestion Vous acc dez ensuite chaque couche inf rieure pour configurer les serveurs enfants de rapports et de collecte L aspect essentiel de la configuration d une f d ration consiste r aliser au pr alable une carte des serveurs et des relations souhait es Ensuite vous pouvez configurer un serveur CA Enterprise Log Manager comme serveur enf
168. e journaux L illustration ci dessous pr sente un exemple simple de ce type de r seau CA Enterprise Log Manager f d r Deux serveurs CA Enterprise Log Manager un pour les rapports et un pour la collecte g rent le trafic d v nements provenant de diff rentes sources d v nement Les deux serveurs peuvent partager des donn es pour les requ tes les rapports et les alertes Gestion g n ration de rapports Collecte Requ tes trafic d v nements Ev nements de basculement iTech et SAPI ga Le serveur de collecte g re principalement le trafic de journaux d v nements entrants et se concentre sur les insertions dans la base de donn es Il utilise une strat gie de conservation br ve des donn es au maximum 24 heures Un script automatis d place les journaux d v nements stock s vers un serveur de rapports chaque jour ou plus souvent en fonction du volume d v nements La f d ration et l utilisation de requ tes f d r es entre les deux serveurs vous garantissent de recevoir des rapports pr cis partir des journaux d v nements sur les deux serveurs O gt sources d v nement Le serveur de rapports r alise plusieurs fonctions Il traite les requ tes et les rapports Il planifie et g re les alertes Il d place les fichiers archiv s vers un serveur de stockage distant m Il permet la collecte par basculement d l ments collect s par des connecteurs pour le serveur de col
169. e la ligne de commande entr s pour une migration unique ou pour un job r gulier d importation en lot planifi e 206 Manuel d impl mentation Importation des donn es d une table SEOSDATA Pour ex cuter une importation test afin de pr visualiser les r sultats de l importation 1 Ouvrez une invite de commande sur le serveur d outils de donn es CA Audit Acc dez au r pertoire ad quat Solaris opt CA SharedComponents iTechnology Windows Program Files CA SharedComponents iTechnology Entrez la ligne de commande ci dessous Pour Solaris JLMSeosimport sh dsn eAudit DSN user sa password sa target lt nom h te ou IP Log Manager gt minid 1000 maxid 4000 preview Pour Windows LMSeosimport exe dsn eAudit DSN user sa password sa target lt nom h te ou IP Log Manager gt minid 1000 maxid 4000 preview Importation d v nements provenant d une base de donn es de collecteur Windows Vous pouvez utiliser cette proc dure pour importer des donn es d v nement provenant d une base de donn es du collecteur qui se trouve sur un serveur d outils de donn es Windows Pour importer des v nements provenant d une table SEOSDATA sur un serveur Windows 1 2 Localisez le nom du serveur sur lequel se trouve la table SEOSDATA Assurez vous de disposer des informations d identification d acc s utilisateur pour ce serveur avec au minimum un acc s en lecture la table SEOSDATA Ouvrez une invite
170. e la table SEOSDATA Pour importer des v nements CA Access Control Utilisez la commande de la pr visualisation sans l option preview pour r cup rer les v nements CA Access Control de la plage de dates nomm e LMSeosimport exe dsn Mon_DSN Audit user sa password sa target Mon serveur CA ELM log eTrust Access Control mintm 2008 11 01 maxtm 2009 12 31 L utilitaire affiche les r sultats ci apr s Importation d but le Ven Jan 2 15 41 23 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon DSN Audit Aucun ENTRYID de d but sp cifi utilisation de l ENTRYID minimal de 1 Importation en cours veuillez patienter Importation termin e 143 762 enregistrements en 5 minutes 18 secondes Ev nements import s pr visualisation par journal eTrust AC 2241 Dernier Entryld trait 5 167 810 102 D connexion r ussie de la source Mon DSN Audit Sortie de l importation Informations compl mentaires Pr sentation de la ligne de commande LMSeosImport page 202 Importation d v nements provenant d une base de donn es de collecteur Windows page 207 Importation d v nements provenant d une base de donn es de collecteur Solaris page 208 Annexe B Remarques pour les utilisateurs de CA Access Control 235 Importation d v nements CA Access Control provenant d une base de donn es de collecteu
171. e par l agent par d faut de la collecte avec agent lorsque l agent est install sur l h te avec la source d v nement ou de la collecte sans agent lorsque l agent est install sur un point de collecte distant des sources d v nement tenez compte des facteurs ci apr s m Prise en charge des plates formes Par exemple WMI fonctionne uniquement sous Windows pour le d tecteur de journaux Prise en charge des pilotes pour certains d tecteurs de journaux Par exemple vous avez besoin d un pilote ODBC pour faire fonctionner ODBC m Possibilit d acc der distance la source des journaux Par exemple pour les journaux bas s sur des fichiers vous avez besoin d un lecteur partag pour qu ils fonctionnent distance Planification de f d ration Pour CA Enterprise Log Manager une f d ration est un r seau de serveurs qui stockent g n rent des rapports et archivent des donn es d v nement Une f d ration vous permet de contr ler le regroupement et l examen de vos donn es sur un r seau Vous pouvez configurer les relations de vos serveurs entre eux ainsi que la mani re dont sont envoy es les requ tes d un serveur l autre De plus vous pouvez activer et d sactiver les requ tes f d r es sp cifiques selon vos besoins La d cision d utiliser une f d ration est fond e sur l association du volume d v nements requis et des vos besoins professionnels pour s parer les donn es des journaux
172. e s il s agissait d utilisateurs globaux puis ajouter des d tails au niveau de l application comme le groupe d utilisateurs de l application et le nom du r le d utilisateur 6 Examinez l tat affich pour v rifier que la liaison vers le r pertoire externe est effective et que les donn es sont charg es Si l tat affiche un avertissement cliquez sur Actualiser l tat Si l tat affiche une erreur corrigez la configuration cliquez sur Enregistrer et r it rez cette tape 7 Cliquez sur Fermer Informations compl mentaires Planification du magasin d utilisateurs page 36 Feuille de calcul CA SiteMinder page 39 Configuration des strat gies de mots de passe Vous pouvez d finir des strat gies de mots de passe pour vous assurer que les mots de passe cr s par les utilisateurs pour eux m mes r pondent aux normes tablies et qu ils sont modifi s selon la fr quence d finie D finissez des strat gies de mots de passe apr s avoir configur le magasin d utilisateurs interne Seul l utilisateur EiamAdmin ou un utilisateur disposant du r le Administrator peut d finir ou modifier des strat gies de mots de passe Remarque Les strat gies de mots de passe CA Enterprise Log Manager ne s appliquent pas aux comptes d utilisateur cr s dans un magasin d utilisateurs externe Chapitre 4 Configuration des utilisateurs de base et des acc s 111 Configuration des strat gies de mots de passe Pour conf
173. e soumet la biblioth que de mappage gr ce laquelle CA Enterprise Log Manager ins re l v nement mapp dans le magasin de journaux d v nements Configuration du module d extension d v nements iTechnology Utilisez la proc dure suivante pour configurer le module d extension d v nements iTechnology pour qu il puisse recevoir des informations provenant d iRecorders et d autres sources d v nement iTechnology Utilisez le module d extension iTechnology lorsque vous configurez un iRecorder autonome pour qu il envoie ses v nements un serveur CA Enterprise Log Manager Configurez ce service avant de configurer ou d installer un iRecorder pour vous assurer de ne perdre aucun v nement Pour configurer le module d extension d v nements iTechnology 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut 2 D veloppez l entr e Adaptateurs CA 3 S lectionnez le service Module d extension d v nements iTechnology 4 S lectionnez un ou plusieurs fichiers de mappage de donn es dans la liste Fichiers de mappage de donn es disponibles puis utilisez les fl ches pour les d placer vers la liste S lectionner les fichiers de mappage de donn es Le service du module d extension d v nements est pr configur pour inclure la plupart des principaux fichiers de mappage de donn es 5 Cliquez sur Enregistrer pour s
174. ect top 5 event_logname receiver_hostname SUM event_count as Count from view_event where event_time_gmt lt now and event_time_gmt gt timestampadd mi 15 now GROUP BY receiver_hostname event_logname Installation du client JDBC Le client JDBC offre via n importe quel applet application ou serveur d applications Java un acc s JDBC multiniveau point point hautes performances aux sources de donn es Le client est optimis pour l environnement Java ce qui vous permet d int grer la technologie Java et d tendre les fonctionnalit s et les performances de votre syst me Le client JDBC peut tre ex cut aussi bien sur les plates formes 32 bits que 64 bits Aucune modification des applications existantes n est requise pour qu elles s ex cutent sur les plates formes 64 bits L installation du client JDBC comprend les tapes ci dessous 1 Assurez vous qu un serveur d applications Web avec possibilit s de configuration des pools de connexions est install et fonctionne correctement 2 Obtenez la cl de licence pour le pilote du client JDBC 3 Installez le client JDBC 4 Configurez la connexion la base de donn es en utilisant les fonctions de gestion de pool de connexions de votre serveur d applications Web 5 Testez la connexion la base de donn es Configuration requise pour le client JDBC L acc s JDBC au magasin de journaux d v nements est disponible uniquement avec CA Enterprise Log Manager r12 1
175. ecte virtuels votre environnement inclut les proc dures ci dessous 1 Cr ez un nouvel ordinateur virtuel 2 Ajoutez des lecteurs de disques virtuels 3 Installez CA Enterprise Log Manager sur l ordinateur virtuel 4 Configurez le serveur CA Enterprise Log Manager en vous r f rant la section traitant de l installation Apr s avoir install le serveur de collecte virtuel vous pouvez l ajouter votre f d ration pour effectuer des requ tes et des rapports Cr ation d un nouvel ordinateur virtuel Utilisez la proc dure suivante pour cr er un nouvel ordinateur l aide du client VMware Infrastructure Utilisez quatre processeurs pour chaque serveur CA Enterprise Log Manager virtuel afin d obtenir des performances acceptables Pour cr er un nouvel ordinateur virtuel 1 Acc dez au client VMware Infrastructure 2 Cliquez avec le bouton droit sur l h te ESX dans le volet gauche puis s lectionnez Nouvel ordinateur virtuel pour appeler l assistant de cr ation d un ordinateur virtuel Cette action affiche une bo te de dialogue de type de configuration 3 S lectionnez la configuration Personnalis e et cliquez sur Suivant Une bo te de dialogue de nom et d emplacement s affiche Annexe E CA Enterprise Log Manager et virtualisation 257 Cr ation de serveurs CA Enterprise Log Manager virtuels 4 10 11 12 Entrez un nom pour le serveur CA Enterprise Log Manager installer sur cet ordinateur
176. ellement qui sont cr es stock es et transmises de mani re lectronique sont prot g es Glossaire 293 recatalogage Le recatalogage est une r vision forc e du catalogue Un recatalogage est requis uniquement lors de la restauration de donn es dans un magasin de journaux d v nements situ sur un serveur diff rent de celui sur lequel les donn es ont t g n r es Par exemple si vous avez d sign CA Enterprise Log Manager comme point de restauration pour l examen des donn es sauvegard es vous devez imposer un recatalogage de la base de donn es apr s l avoir restaur e depuis son point de restauration d sign Un recatalogage est ex cut automatiquement au red marrage d iGateway si n cessaire Recataloguer un seul fichier de base de donn es peut prendre plusieurs heures r gles de r capitulation Les r gles de r capitulation sont des r gles combinant certains v nements natifs d un m me type en un seul v nement ajust Par exemple une r gle de r capitulation peut tre configur e pour remplacer par un seul v nement de r capitulation jusqu 1 000 v nements dupliqu s dont les adresses IP et les ports source et de destination sont identiques De telles r gles simplifient l analyse des v nements et r duisent le trafic associ aux journaux r gles de suppression Les r gles de suppression sont des r gles que vous configurez pour viter que certains v nements ajust s n a
177. ements et de g n ration de rapports bas e sur la conformit Gestion g n ration de rapports Collecte Requ tes se Ev nements Windows configuration et contr le v nements Syslog agent v nements Mainframe a Serveurs Windows Outils de Strat gies donn es Clients Audit Gestionnaire de strat gies Surveillance de la s curit 188 Manuel d impl mentation Configuration d adaptateurs CA CA Enterprise Log Manager utilise un Explorateur d agent int gr un magasin de journaux d v nements int gr et une seule interface utilisateur pour centraliser et simplifier la collecte de journaux La technologie d agent CA Enterprise Log Manager associ e la grammaire commune aux v nements permet un d bit d v nements plus rapide vers le stockage tout en g rant un plus grand nombre de sources d v nement Un seul agent peut g rer plusieurs connecteurs reli s aux sources d v nement ce qui simplifie les t ches de gestion de l agent et permet de b n ficier des int grations pr d finies pour les sources courantes ou communes de journaux d v nements Dans cette impl mentation le serveur de collecte CA Enterprise Log Manager re oit directement les v nements Syslog iTechnology et SAPI Recorder Le serveur de collecte re oit des v nements provenant de sources d v nement Windows par le biais d un agent CA Enterprise Log Manager distinct pour Windows Plusieurs agents peuven
178. ensor Ce d tecteur de journaux lit les v nements partir d une source d v nement OPSEC Check Point SDEELogSensor Ce d tecteur de journaux lit les v nements partir des p riph riques Cisco Syslog Ce d tecteur de journaux coute les v nements Syslog TIBCOLogSensor Ce d tecteur de journaux lit les v nements partir d une file d attente du service de message d v nements EMS TIBCO dans les impl mentations CA Access Control W3CLogSensor Ce d tecteur de journaux lit les v nements partir d un fichier de format de journaux W3C WinRMLinuxLogSensor Ce d tecteur de journaux active l agent Linux par d faut sur le serveur CA Enterprise Log Manager pour collecter les v nements Windows WMiILogSensor Ce d tecteur de journaux collecte les v nements provenant de sources d v nement Windows l aide de l infrastructure de gestion Windows WMI Vous pouvez disposer d autres d tecteurs de journaux gr ce aux mises jour d abonnement Vous trouverez plus d informations sur la configuration des d tecteurs de journaux dans l aide en ligne et dans le Manuel d administration 62 Manuel d impl mentation Planification d agent Dimensionnement de voire r seau CA Enterprise Log Manager Lors de la planification du nombre d agents n cessaires envisagez d utiliser un sch ma de dimensionnement simple comme celui voqu ci apr s Tout d abord d terminez le nombre de connecteu
179. ent est renseign e cela indique un acc s r ussi Si la liste des modules disponibles pour le t l chargement n est pas renseign e et si votre serveur se trouve derri re un pare feu veillez configurer les param tres du proxy HTTP pour que les proxies en ligne puissent contacter le flux RSS 46 Manuel d impl mentation Planification des mises jour d abonnement Evaluation du besoin d un proxy d abonnement hors ligne Avant de configurer l abonnement d terminez si vous devez d signer des proxies d abonnement hors ligne Les proxies d abonnement hors ligne s av rent n cessaires lorsque les serveurs CA Enterprise Log Manager configur s comme des clients d abonnement n ont pas acc s un proxy d abonnement en ligne parce que des strat gies leur interdisent d acc der un serveur dot d une connexion Internet Vos strat gies peuvent m me tre telles qu aucun serveur CA Enterprise Log Manager ne puisse tre un proxy d abonnement en ligne Dans les deux cas vous avez besoin d un proxy d abonnement hors ligne La diff rence entre ces sc narios repose sur la mani re de r cup rer les mises jour d abonnement sur le serveur d abonnement CA dans un cas les mises jour sont r cup r es de mani re planifi e par un proxy en ligne dans l autre cas les mises jour sont r cup r es manuellement par une personne sur un serveur distant CA Serveur d abonnement Proxy d abonnement en ligne CA Enterprise Log
180. entrants analys s par paires nom valeur les donn es traversent un module de mappage qui place les donn es d v nement dans les champs de la base de donn es Le module de mappage utilise des fichiers de mappage de donn es cr s pour des sources d v nement sp cifiques similaires aux fichiers d analyse de message Le sch ma de base de donn es est la grammaire commune aux v nements l une des fonctions centrales de CA Enterprise Log Manager R unis l analyse et le mappage constituent le moyen de normaliser les donn es et de les stocker dans une base de donn es commune quel que soit le type d v nement ou le format de message 180 Manuel d impl mentation Fichiers de mappage et d analyse L Assistant d int gration et certains modules d adaptateurs CA impliquent que vous configuriez les fichiers de mappage et d analyse qui d crivent le mieux les genres de donn es d v nement cout es par un connecteur ou un adaptateur Dans les panneaux de configuration o apparaissent ces contr les l ordre des fichiers d analyse de message doit refl ter le nombre relatif d v nements re us du m me type L ordre des fichiers de mappage des donn es doit galement refl ter la quantit d v nements re us en provenance d une source donn e Par exemple si le module de l couteur Syslog pour un serveur CA Enterprise Log Manager sp cifique re oit principalement des v nements du pare feu Cisco PIX vous devez place
181. er des lecteurs de disques virtuels pour le stockage de journaux d v nements Utilisez les m mes param tres sans tenir compte du r le jou par un serveur CA Enterprise Log Manager sp cifique sur votre r seau Annexe E CA Enterprise Log Manager et virtualisation 267 Cr ation de serveurs CA Enterprise Log Manager virtuels Pour modifier les param tres 1 10 Cliquez avec le bouton droit sur votre ordinateur virtuel dans le client VMware Infrastructure et s lectionnez Modifier les param tres La bo te de dialogue Propri t s de l ordinateur virtuel s affiche Mettez en surbrillance les propri t s du lecteur de CD DVD 1 Cliquez sur le bouton d option Unit h te et s lectionnez votre lecteur de DVD ROM dans la liste d roulante S lectionnez l option Etat de l unit Connecter au d marrage Cliquez sur Ajouter pour lancer l assistant d ajout de mat riel et ajouter un deuxi me disque dur Mettez le disque dur en surbrillance dans la liste des unit s et cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel et cliquez sur Suivant Sp cifiez la taille de votre nouveau disque et s lectionnez l option Sp cifier un magasin de donn es pour param trer son emplacement CA Enterprise Log Manager d tecte ce lecteur suppl mentaire au cours de l installation et l affecte au magasin de donn es Nous vous recommandons d optimise
182. er des strat gies de mots de passe avant de configurer les autres composants CA Enterprise Log Manager Remarque Pour plus de d tails sur la cr ation d autres utilisateurs ou sur la cr ation de r les personnalis s et de strat gies d acc s personnalis es consultez le Manuel d administration CA Enterprise Log Manager Chapitre 4 Configuration des utilisateurs de base et des acc s 107 Configuration du magasin d utilisateurs Configuration du magasin d utilisateurs Le magasin d utilisateurs est le r f rentiel des informations g n rales des utilisateurs Vous pouvez configurer le magasin d utilisateurs d s que vous installez un serveur CA Enterprise Log Manager Seul l utilisateur EiamAdmin peut configurer le magasin d utilisateurs imm diatement apr s la premi re connexion en g n ral Configurez le magasin d utilisateurs de l une des mani res ci dessous m Acceptez l option par d faut Stocker dans le magasin de donn es internes Remarque L option par d faut peut tre affich e comme la base de donn es de gestion CA si lors de l installation vous avez point vers un CA EEM autonome m S lectionnez R f rencer partir d un r pertoire externe qui peut tre un r pertoire LDAP comme Microsoft Active Directory Sun One ou Novell CA Directory m S lectionnez R f rencer partir de CA SiteMinder Si vous configurez le magasin d utilisateurs comme un r pertoire externe vous ne pouvez pas cr
183. er les fichiers d analyse de message et de mappage de donn es utilis s par l int gration ainsi que d autres d tails comme la version et la liste des r gles de suppression Pour examiner un couteur Syslog 1 2 D veloppez le noeud Ecouteurs et le noeud Abonnement S lectionnez l couteur Syslog Les d tails de l couteur par d faut s affichent dans la fen tre de droite Vous pouvez examiner les d tails comme les versions la liste des r gles de suppression les ports par d faut sur lesquels couter la liste des h tes fiables et le fuseau horaire de l couteur Cr ation d un connecteur Syslog pour l agent par d faut Vous pouvez cr er un connecteur Syslog pour recevoir les v nements Syslog l aide de l agent par d faut sur le serveur CA Enterprise Log Manager Pour cr er un connecteur Syslog pour l agent par d faut 1 Connectez vous CA Enterprise Log Manager et acc dez l onglet Administration D veloppez l Explorateur d agent et un groupe d agents L agent par d faut est automatiquement install dans le groupe d agents par d faut Vous pouvez d placer cet agent vers un autre groupe 156 Manuel d impl mentation 10 Configuration de l agent par d faut S lectionnez le nom de l agent L agent par d faut porte le m me nom que celui attribu au serveur CA Enterprise Log Manager lors de l installation Cliquez sur Cr er un connecteur pour ouvrir l assistant du connecteur
184. erne Sp cifie si vous devez inclure des champs non synchronis s provenant du r pertoire LDAP Les attributs externes non mapp s peuvent tre utilis s pour la recherche et comme filtres Sp cifie s il faut stocker les utilisateurs globaux dans la m moire pour y acc der rapidement Cette s lection permet des recherches plus rapides au d triment de la modularit Pour un petit environnement de test cette s lection est recommand e Si vous choisissez de mettre en cache les utilisateurs globaux sp cifiez la fr quence en minutes de la mise jour des groupes et utilisateurs globaux mis en cache afin d inclure les nouveaux enregistrements et les modifications Si le type de r pertoire externe est Microsoft Active Directory cette option sp cifie que vous souhaitez cr er des groupes globaux avec les informations du groupe Microsoft Exchange Si cette option est s lectionn e vous pouvez crire des strat gies l encontre des membres des listes de distribution Feuille de calcul CA SiteMinder Planification des utilisateurs et des acc s Avant de r f rencer CA SiteMinder en tant que magasin d utilisateurs collectez les informations de configuration ci apr s Informations requises H te Nom d administrateur Mot de passe de l administrateur Nom de l agent Secret de l agent Cache des utilisateurs globaux Dur e de mise jour du cache Inclure les attributs non mapp s R cup rer l
185. erprise Log Manager 194 Int gration CA Audit r8 SP2 208 modification de la strat gie r8 SP1 CR2 existante 195 modification de la strat gie r8 SP2 existante 197 Quand importer des v nements 198 remarques pour les utilisateurs de 183 CA Embedded Entitlements Manager d finition 27 CA Enterprise Log Manager f d ration 28 installation 68 74 planification de l architecture 65 ports 82 processus 84 collecte de journaux instructions 28 planification 24 compte caelmadmin d finition 80 comptes d utilisateurs ajout d un groupe d utilisateurs d applications 116 configurations configurations initiales du serveur 80 modifier les configurations globales 120 sources d v nement et 119 connecteurs A propos de 61 A propos des d tecteurs de journaux 61 affichage de l tat 169 arr t et red marrage 169 D d lai d expiration d finition d une session 120 d sinstallation package CAELM4Audit sous Solaris 212 package CAELM4Audit sous Windows 211 d tecteurs de journaux A propos de 61 couteur d v nements iTechnology A propos de 193 configuration de l couteur 193 espace disque planification 26 planification de l abonnement 45 v nements d autosurveillance affichage 79 exemples collecte directe des journaux de base de donn es 158 collecte directe des journaux Windows 164 Index 303 configuration d abonnement avec six serveurs
186. erprise Log Manager install Le script se trouve dans le r pertoire opt CA LogManager Copiez le script Rename__ELM sh sur le serveur cible Modifiez les informations du serveur CA Enterprise Log Manager virtuel l aide de la commande ci dessous JRename ELM sh R pondez aux invites D marrez l ordinateur virtuel qui contient le serveur virtuel mis jour Annexe E CA Enterprise Log Manager et virtualisation 271 Glossaire acc s aux donn es Acc s ODBC et JDBC adaptateurs CA agent agent par d faut L acc s aux donn es est un type d autorisation octroy l ensemble de CA Enterprise Log Manager par le biais de la strat gie d acc s aux donn es par d faut pour la classe de ressource CALM Tous les utilisateurs ont acc s toutes les donn es hormis celles dont l acc s est restreint par des filtres L acc s ODBC et JDBC aux magasins de journaux d v nements CA Enterprise Log Manager prend en charge l utilisation des donn es d v nements par un grand nombre de produits tiers notamment la g n ration de rapports d v nements personnalis s l aide d outils de g n ration de rapports tiers la corr lation d v nements l aide de moteurs de corr lation et l valuation d v nements l aide de produits de d tection d intrusion et de programmes malveillants Les syst mes Windows utilisent ODBC les syst mes UNIX ou Linux utilisent JDBC Les adaptateurs CA constituent un groupe d
187. ers XMP peuvent galement tre appliqu s au serveur CA Enterprise Log Manager fichiers de mappage de donn es Les fichiers de mappage des donn es sont des fichiers XML utilisant la grammaire commune aux v nements CEG de CA pour transformer des v nements d un format source en un format conforme CEG pouvant tre stock des fins de rapport et d analyse dans le magasin de journaux d v nements Un fichier de mappage de donn es doit tre cr pour chaque nom de journal pour que les donn es d v nement puissent tre stock es L utilisateur peut modifier une copie du fichier de mappage de donn es et l appliquer un connecteur sp cifi filtrage d v nements filtre filtre d acc s Le filtrage d v nements est le processus de tri des v nements sur la base de filtres CEG Un filtre est un moyen permettant de limiter les requ tes sur le magasin de journaux d v nements Un filtre d acc s est un filtre que l administrateur peut d finir pour contr ler les donn es d v nement pouvant tre consult es par les utilisateurs ou groupes ne d tenant pas le r le Administrator Un filtre d acc s peut par exemple limiter les donn es que des identit s sp cifi es peuvent afficher dans un rapport Les filtres d acc s sont automatiquement convertis en strat gies d obligation Glossaire 285 filtre global filtre local gestion des agents gestion des droits Un filtre global est un ensemble
188. ertificat de sorte que CA IT PAM et CA EEM soient s curis s sur le serveur de gestion CA Enterprise Log Manager Conservez votre disposition les informations ci dessous Le mot de passe du fichier du certificat EEM itpamcert p12 Il se peut que vous ayez modifi la valeur par d faut dans le fichier ITPAM_eem xmil pendant l tape Pr paration de l impl mentation de l authentification CA IT PAM sur un CA EEM partag Le nom d h te du serveur de gestion CA Enterprise Log Manager Il s agit du serveur auquel vous vous tes connect pour l tape Enregistrement de CA IT PAM avec un CA EEM partag Le mot de passe itpamadmin d fini pendant l tape D finition des mots de passe pour les comptes d utilisateurs CA IT PAM pr d finis Le mot de passe du certificat utilis pour contr ler l acc s aux cl s utilis es pour chiffrer les mots de passe Il s agit d un nouveau param tre qui n existait pas auparavant Pour obtenir des instructions sur l installation du domaine CA IT PAM voir le manuel d installation de CA IT Process Automation Manager qui est fourni avec le logiciel Utilisez la proc dure suivante pour obtenir des instructions sur la configuration des param tres de s curit EEM Pour installer le domaine CA IT PAM 1 Si l assistant d installation IT PAM n est pas lanc suite l installation de composants tiers lancez CA_ITPAM_Domain_windows exe Suivez les instructions fournies dans votre documentati
189. ertoire LDAP externe page 37 R f rence CA SiteMinder comme magasin d utilisateurs Si vos comptes d utilisateur sont d j d finis sur CA SiteMinder r f rencez ce r pertoire externe lorsque vous configurez le magasin d utilisateurs Pour r f rencer CA SiteMinder comme magasin d utilisateurs 1 Connectez vous un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits d administrateur ou qu utilisateur EiamAdmin Cliquez sur l onglet Administration Si vous vous connectez en tant qu utilisateur EiamAdmin cet onglet s affiche automatiquement 110 Manuel d impl mentation Configuration des strat gies de mots de passe 3 S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur le bouton Magasin d utilisateurs dans le volet gauche La configuration du serveur CA EEM pour le magasin d utilisateurs s affiche 4 S lectionnez l option R f rencer partir de CA SiteMinder Les champs sp cifiques CA SiteMinder s affichent a Renseignez ces champs en fonction de la feuille de calcul SiteMinder b Pour afficher ou modifier les connexions et les ports utilis s par CA SiteMinder cliquez sur les points de suspension pour afficher le panneau Attributs de connexion 5 Cliquez sur Enregistrer L enregistrement de cette r f rence charge les informations des comptes d utilisateur dans CA EEM Vous pouvez alors acc der ces enregistrements d utilisateur comm
190. erveur CA Embedded Entitlements Manager 250 251 sauvegarde d un serveur CA Enterprise Log Manager 252 r gles de suppression effets 63 r les des serveurs dans les architectures r seau 21 dans les rapports f d r s 31 description 18 planification 17 r les d utilisateur attribution 116 S serveur proxy HTTP planification pour les mises jour d abonnement 46 services abonnement 143 modification de configurations globales 120 strat gies de mots de passe configuration 111 planification 40 Syslog collecte d finie 56 T t ches d administration magasin d utilisateurs 108 U utilitaire LMSeosImport propos de l utilitaire 199 copie sur le serveur d outils de donn es Solaris 201 copie sur le serveur d outils de donn es Windows 201 exemples de ligne de commande 205 importation partir du serveur d outils de donn es Solaris 208 Importation partir d une table SEOSDATA en temps r el 199 importation d v nements partir du serveur d outils de donn es Windows 207 options d importation 203 Quand importer des v nements 198 utilisation de la ligne de commande 202 Index 305
191. es utilisateurs et groupes globaux d tect s sous ce nom relatif sont mapp s et peuvent se voir affecter un r le ou un groupe d applications CA Enterprise Log Manager Mot de passe Entrez et confirmez le mot de passe de l utilisateur r pertori la ligne Nom relatif de l utilisateur Nom relatif de l utilisateur Entrez les informations d identification valides pour tout utilisateur valide dans le registre d utilisateurs o vous pouvez rechercher l enregistrement de l utilisateur Entrez le nom Chapitre 2 Planification de voire environnement 37 Planification des utilisateurs et des acc s Informations requises Valeur Utiliser Transport Layer Security TLS Inclure les attributs non mapp s Cache des utilisateurs globaux Dur e de mise jour du cache R cup rer les groupes d change sous forme de groupes d utilisateurs globaux 38 Manuel d impl mentation Commentaires relatif complet de l utilisateur Vous pouvez vous connecter avec n importe quel ID d utilisateur ayant un r le d administration Le nom relatif de l utilisateur et le mot de passe associ constituent les informations d identification utilis es pour la liaison avec l h te du r pertoire externe Sp cifie si votre magasin d utilisateurs doit utiliser le cadre d applications TSL pour prot ger les transmissions de texte en clair Lorsqu il est s lectionn TLS est utilis pour r aliser la connexion LDAP vers le r pertoire ext
192. es groupes d change sous forme de groupes d utilisateurs globaux Type de magasin d autorisations Nom du magasin Valeur Commentaires D finit le nom d h te ou l adresse IP du syst me CA SiteMinder r f renc Vous pouvez utiliser des adresses IPv4 ou IPV6 Nom d utilisateur du superutilisateur CA SiteMinder qui conserve les objets syst me et domaine Mot de passe du nom utilisateur associ Nom de l agent fourni au serveur de strat gies Ce nom n est pas sensible la casse Secret partag sensible la casse tel que d fini pour CA SiteMinder Le secret de l agent est sensible la casse Sp cifie s il faut mettre les utilisateurs globaux en cache dans la m moire ce qui permet des recherches plus rapides au d triment de la modularit Remarque Les groupes d utilisateurs globaux sont toujours mis en cache Intervalle en minutes apr s lequel le cache d utilisateurs est automatiquement mis jour Sp cifie s il faut inclure les attributs externes non mapp s pour les utiliser comme filtres ou dans des recherches Si le type de r pertoire externe est Microsoft Active Directory cette option sp cifie que vous souhaitez cr er des groupes globaux avec les informations du groupe Microsoft Exchange Si cette option est s lectionn e vous pouvez crire des strat gies l encontre des membres des listes de distribution D finit le type de magasin d utilisateurs en cours d utilisation
193. es informations ci dessous Importation d but le Ven Jan 2 15 35 37 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon _ DSN Audit Aucun ENTRYID de d but sp cifi utilisation de l ENTRYID minimal de 1 Importation pr visualisation en cours veuillez patienter Importation pr visualisation termin e 143 762 enregistrements en 4 minutes 12 secondes Ev nements import s pr visualisation par journal eTrust AC 143762 Dernier Entryld trait 101 234 500 D connexion r ussie de la source Mon DSN Audit Sortie de l importation Les r sultats de la pr visualisation indiquent un nombre assez important d v nements CA Access Control importer Supposons pour cet exemple que vous deviez importer uniquement les v nements qui se sont produits au cours d une p riode de deux mois Vous pouvez adapter la commande de pr visualisation pour importer un groupe moins important d v nements en fonction de la date Annexe B Remarques pour les Utilisateurs de CA Access Control 233 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit 2 Modifiez les param tres d importation pour inclure une plage de dates puis ex cutez nouveau la pr visualisation avec la commande ci dessous LMSeosimport exe dsn Mon DSN Audit user sa password sa target Mon_ serveur _CA ELM log
194. es par le contenu du fichier de sauvegarde Annexe D R cup ration apr s sinistre 253 Remplacement d un serveur CA Enterprise Log Manager 4 Acc dez au r pertoire opt CA SharedComponents iTechnology 5 D veloppez le contenu du fichier backupCerts tgz file l aide de la commande ci dessous tar xzvi backupCerts tgz Cette commande remplace les fichiers de certificats p12 du dossier actuel par les fichiers de certificats du fichier de sauvegarde 6 D marrez le processus iGateway Pour ce faire ex cutez la commande ci dessous JS99igateway start Remplacement d un serveur CA Enterprise Log Manager Utilisez la proc dure suivante pour remplacer un serveur CA Enterprise Log Manager de collecte apr s un sinistre ou une panne de grande ampleur Cette proc dure permet la r cup ration apr s un sinistre en cr ant un nouveau serveur CA Enterprise Log Manager pour reprendre la collecte d v nements la place du serveur en chec Remarque Cette proc dure ne r cup re pas les donn es d v nement qui se trouvent dans le magasin de journaux d v nements du serveur en chec Utilisez les techniques classiques de r cup ration des donn es pour r cup rer les donn es d v nement dans le magasin de journaux d v nements du serveur d faillant Pour effectuer une r cup ration partir d un serveur CA Enterprise Log Manager d sactiv 1 Installez le dispositif logiciel CA Enterprise Log Manager su
195. es serveurs de collecte Chaque serveur de collecte est la fois parent et enfant de tous les autres serveurs de collecte m Cr ez une f d ration hi rarchique de chaque serveur de collecte vers le serveur de gestion rapports dans laquelle le serveur de collecte est le parent et le serveur de gestion rapports est l enfant Pour atteindre un objectif donn il est important d ex cuter le rapport ou l alerte partir d un serveur repr sent par un emplacement pr cis de votre carte de f d ration et de sp cifier correctement si la f d ration est requise Vous trouverez plusieurs exemples ci dessous Pour planifier un rapport syst me sur des v nements d autosurveillance qui se produisent sur chaque CA Enterprise Log Manager de votre r seau ex cutez le rapport depuis le serveur de gestion rapports et s lectionnez l option F d r e Pour planifier un rapport sur des v nements r cents ti des ex cutez le rapport partir du serveur de gestion rapports et d s lectionnez l option F d r e Ce rapport contient les donn es archiv es r cemment collect es par tous les serveurs de collecte La f d ration n est pas requise 34 Manuel d impl mentation Planification des utilisateurs et des acc s m Pour planifier une alerte incluant les nouveaux v nements chauds de chaque serveur de collecte et les v nements archiv s ti des du serveur de gestion rapports ex cutez l alerte partir de n imp
196. essage XMP et de mappage de donn es Comme un seul connecteur Syslog peut recevoir des v nements provenant de plusieurs sources d v nement vous devez envisager d acheminer o non les v nements Syslog en fonction de leur type ou de leur source La taille et la complexit de votre environnement d terminent votre mani re d quilibrer la r ception de vos v nements Syslog Plusieurs types Syslog 1 connecteur Si un seul connecteur doit traiter des v nements provenant de diff rentes sources Syslog et que le volume d v nements est important le connecteur doit faire son analyse avec l ensemble des int grations fichiers XMP appliqu es jusqu ce qu il trouve une correspondance pour un v nement Les performances risquent d tre amoindries en raison de l importance de ce traitement Toutefois si le volume d v nements n est pas trop lev un seul connecteur sur l agent par d faut peut tre suffisant pour collecter tous les v nements requis pour le stockage 1 type Syslog 1 connecteur Si vous configurez une s rie de connecteurs uniques pour traiter les v nements provenant d un seul type Syslog vous pouvez all ger la charge de traitement en la r partissant sur plusieurs connecteurs Toutefois si vous avez beaucoup de connecteurs fonctionnant sur un seul agent vous risquez de perdre en performances car chaque connecteur est une instance distincte qui n cessite un traitement individuel Chapit
197. estaur e en tant que base de donn es ti de Destinations d une interruption SNMP Lorsque vous planifiez une alerte d action vous avez la possibilit d ajouter plusieurs destinations pour l interruption SNMP Chacune d entre elles est d finie par une adresse IP et un num ro de port G n ralement la destination est un NOC ou un serveur de gestion tel que CA Spectrum ou CA NSM Une interruption SNMP est envoy e aux destinations configur es lorsque les requ tes d un job d alerte planifi renvoient des r sultats 280 Manuel d impl mentation d tecteur de journaux dispositif logiciel dossier Un d tecteur de journaux est un composant d int gration con u pour lire un type de journal sp cifique comme une base de donn es Syslog un fichier ou SNMP Les d tecteurs de journaux peuvent tre r utilis s G n ralement les utilisateurs ne cr ent pas de d tecteur de journaux personnalis Le dispositif logiciel comprend un composant syst me d exploitation et le composant logiciel CA Enterprise Log Manager Un dossier est un emplacement de r pertoire que le serveur de gestion CA Enterprise Log Manager utilise pour stocker les types d objet CA Enterprise Log Manager Vous r f rencez des dossiers dans des strat gies de port e afin de permettre ou d interdire certains utilisateurs d acc der au type d objet sp cifi l ments d int gration Les l ments d int gration incluent un d tecteur une aide l
198. estion choisissez l option locale L installation vous invite cr er un mot de passe pour le compte d utilisateur EiamAdmin par d faut Pour chaque serveur suppl mentaire choisissez l option distante L installation vous invite Chapitre 3 Installation de CA Enterprise Log Manager 71 Installation d un serveur CA Enterprise Log Manager Informations CA Enterprise Valeur Log Manager Entrer le nom du serveur CA EEM adresse IP ou nom d h te Mot de passe de l administrateur mot de passe du compte du serveur CA EEM EiamAdmin 72 Manuel d impl mentation Commentaires indiquer le nom du serveur de gestion Que vous choisissiez l option locale ou distante vous devez utiliser l ID et le mot de passe du compte EiamAdmin lors de votre premi re connexion chaque serveur CA Enterprise Log Manager Cette invite s affiche uniquement si vous s lectionnez l option distante dans l invite du serveur local ou distant Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de gestion install en premier Le nom d h te doit tre enregistr aupr s du serveur DNS Enregistrez le mot de passe du compte d administrateur par d faut FiamAdmin Votre serveur CA Enterprise Log Manager doit disposer de ces informations d identification de compte pour la connexion initiale Si vous installez le serveur de gestion vous cr ez et confirmez ici un nouveau mot de passe EiamAdmin Notez ce m
199. et cliquez sur Suivant S lectionnez 4 comme nombre de processeurs virtuels dans la liste d roulante Nombre de processeurs virtuels Votre serveur h te physique doit tre capable de consacrer quatre UC physiques exclusivement cette instance CA Enterprise Log Manager Cliquez sur Suivant Configurez la taille de la m moire de l ordinateur virtuel et cliquez sur Suivant La taille minimale acceptable de la m moire pour CA Enterprise Log Manager est 8 Go ou 8 192 Mo Configurez votre contr leur d interface r seau NIC CA Enterprise Log Manager n cessite au moins une connexion r seau S lectionnez NIC x dans la liste de NIC disponibles et param trez la valeur Adaptateur sur Flexible Remarque Vous n avez pas besoin de configurer un NIC s par pour chaque serveur CA Enterprise Log Manager h berg sur ce serveur physique Toutefois vous devez allouer et affecter une adresse IP statique chaque serveur 262 Manuel d impl mentation 10 11 12 13 14 15 Cr ation de serveurs CA Enterprise Log Manager virtuels S lectionnez l option Connecter au d marrage et cliquez sur Suivant La bo te de dialogue Types d adaptateurs E S s affiche Select LSI Logic pour l adaptateur E S puis cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel puis cliquez sur Suivant La bo te de dialogue concernant la capacit et l emplace
200. eur la fois Mettez jour le serveur proxy d abonnement avant de mettre jour un client d abonnement URL du flux RSS D finit l URL du serveur d abonnement CA Les serveurs proxy d abonnement en ligne utilisent cette URL pour acc der au serveur d abonnement CA et t l charger les mises jour d abonnement Cette valeur est uniquement disponible en tant que param tre global Chapitre 5 Configuration des services 145 Configuration de l abonnement Serveur proxy HTTP D termine si ce serveur contacte le serveur d abonnement CA par l interm diaire d un proxy HTTP pour obtenir les mises jour plut t que directement Adresse proxy utiliser Sp cifie l adresse IP compl te du proxy HTTP Port Sp cifie le num ro de port utilis pour contacter le proxy HTTP ID d utilisateur du proxy HTTP Sp cifie l ID d utilisateur utilis pour contacter le proxy HTTP Mot de passe du proxy HTTP Sp cifie le mot de passe utilis pour contacter le proxy HTTP Cl publique D finit la cl utilis e pour tester et v rifier la signature utilis e pour signer les mises jour Ne mettez jamais cette valeur jour manuellement Lorsqu une paire de cl s publique priv e est mise jour le proxy t l charge la mise jour de la valeur de cl publique et met ensuite jour la cl publique Cette valeur est uniquement disponible en tant que param tre global Nettoyage des mises jour ant rieures D termine le n
201. eur connect Internet acc dez au serveur de t l chargement l adresse http ca com support en anglais Cliquez sur le lien Technical Support puis sur le lien Download Center Choisissez CA Enterprise Log Manager dans le champ Select a Product puis choisissez la version dans le champ Select a Release S lectionnez la case cocher Select all components puis cliquez sur Go La page Published Solutions Downloads s affiche S lectionnez le package de t l chargement La page de la documentation des solutions s affiche Utilisez le d filement pour acc der au bas de la page et s lectionnez le lien Download en regard du nom du package Le t l chargement du package d marre Remarque Le t l chargement peut durer un certain temps en fonction du d bit de votre connexion D compressez les deux images d installation Cr ez deux disques d installation distincts en gravant les images disque ISO du syst me d exploitation et de CA Enterprise Log Manager sur des DVD RW s par s Les deux disques d installation contiennent respectivement tous les composants du syst me d exploitation et du produit pour votre environnement CA Enterprise Log Manager Vous pouvez d cider d utiliser d autres composants comme des SAPI Recorders ou des iRecorders dans votre environnement Il s agit de t l chargements distincts disponibles sur le site Web du support CA Utilisez les disques que vous venez de cr er pour les in
202. evez terminer certaines t ches de configuration avant que CA Enterprise Log Manager ne puisse collecter des donn es de journaux d v nements et g n rer des rapports sur votre r seau vous pouvez afficher directement des v nements d autosurveillance g n r s par le serveur CA Enterprise Log Manager La connexion au serveur CA Enterprise Log Manager est le premier et le meilleur test d une installation r ussie Les v nements d autosurveillance constituent un autre moyen de v rifier l tat du serveur CA Enterprise Log Manager Diff rents types d v nements d autosurveillance sont disponibles Utilisez la proc dure suivante pour afficher des donn es d v nements suppl mentaires provenant d v nements g n r s par le serveur CA Enterprise Log Manager lui m me Pour afficher des v nements d autosurveillance 1 Connectez vous au serveur CA Enterprise Log Manager 2 Acc dez l onglet Rapports 3 Cliquez sur la balise Syst me et s lectionnez le rapport D tail des v nements d autosurveillance Le rapport des v nements d autosurveillance se charge 4 V rifiez que les v nements d autosurveillance pour votre connexion et d autres actions de configuration pr liminaires sont pr sents dans le rapport Chapitre 3 Installation de CA Enterprise Log Manager 79 Configurations initiales du serveur CA Enterprise Log Manager Configurations initiales du serveur CA Enterprise Log Manager L installat
203. externe 3 D connectez vous du serveur CA Enterprise Log Manager 4 Reconnectez vous au serveur CA Enterprise Log Manager avec les informations d identification du nouveau compte d utilisateur Vous tes d sormais pr t effectuer les t ches de configuration 114 Manuel d impl mentation Cr ation du premier administrateur Cr ation d un nouveau compte d utilisateur Vous pouvez cr er un compte d utilisateur pour chaque personne qui va utiliser CA Enterprise Log Manager Vous fournissez les informations d identification avec lesquelles l utilisateur doit se connecter pour la premi re fois et vous sp cifiez son r le Les trois r les pr d finis sont Administrator Analyst et Auditor Lorsqu un nouvel utilisateur affichant un r le Analyst ou Auditor se connecte CA Enterprise Log Manager authentifie l utilisateur gr ce aux informations d identification enregistr es et autorise l utilisation de diverses fonctionnalit s en fonction du r le affect Pour cr er un utilisateur 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur par d faut EiamAdmin L onglet Administration et le sous onglet Gestion des utilisateurs et des acc s s affichent 2 Cliquez sur Utilisateurs dans le volet gauche 3 Cliquez sur Nouvel utilisateur gauche du dossier Utilisateurs L cran des d tails du nouvel utilisateur s affiche du c t droit de la fen tre 4 Saisissez un nom d utilisateur dans le c
204. ez disposer des fichiers d analyse de message pour pouvoir ins rer des v nements dans le magasin de journaux d v nements CA Enterprise Log Manager Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers d analyse de message Pour importer des fichiers d analyse de message 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous SU Chapitre 3 Installation de CA Enterprise Log Manager 101 D pannage de l installation 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous importCALMMP sh Le script shell importe le contenu des fichiers d analyse de message depuis le serveur CA EEM Importation de fichiers de grammaire commune aux v nements Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de grammaire commune aux v nements CEG La CEG forme le sch ma de base de donn es sous jacent pour le magasin de journaux d v nements Vous ne pouvez pas stocker d v nements dans le magasin de journaux d v nements CA Enterprise Log Manager dans les fichiers CEG Le script shell mentionn dans la proc dure qui suit est copi
205. ez plusieurs r seaux CA Enterprise Log Manager chacun doit disposer de son propre serveur de gestion actif Serveur de collecte Dans un syst me un seul serveur le serveur de gestion assume le r le de serveur de collecte Dans un syst me plusieurs serveurs envisagez de disposer d un serveur de collecte d di Un serveur de collecte r alise les fonctions ci dessous ma Il prend en charge la configuration des connecteurs a Il accepte les journaux d v nements entrants provenant des connecteurs de ses agents a Il ajuste les journaux d v nements entrants ce qui implique d analyser chaque message et de mapper ses donn es au format CEG qui permet la pr sentation uniforme des donn es d v nement provenant de sources d v nement distinctes m Ilins re les journaux d v nements dans la base de donn es chaude et lorsque celle ci atteint la taille configur e il la transforme en base de donn es ti de a Il archive automatiquement la base de donn es ti de sur le serveur de rapports concern selon la planification configur e Tenez compte du volume d v nements g n r par vos sources d v nement lorsque vous choisissez de d dier ou non des serveurs la collecte et l ajustement d v nements Tenez galement compte du nombre de serveurs de collecte qui doivent archiver automatiquement leurs donn es sur un seul serveur de rapports Serveur de rapports Dans un syst me un ou deux serve
206. ez vous au serveur de rapports en tant que caelmadmin cr ez le r pertoire ssh d placez la cl publique du r pertoire tmp au r pertoire ssh et octroyez la propri t du fichier de cl caelmservice 3 Lorsque vous tes connect au serveur de rapports g n rez une nouvelle paire de cl s RSA en tant qu utilisateur caelmservice puis copiez la dans le r pertoire tmp authorized_keys sur le serveur de stockage distant 4 Connectez vous au serveur de stockage distant cr ez le compte caelmadmin le groupe et le compte d utilisateur caelmservice le chemin opt CA LogManager et enfin le r pertoire ssh D placez la cl publique du r pertoire tmp vers le r pertoire ssh et octroyez la propri t du fichier de cl caelmservice 5 Validez la configuration 128 Manuel d impl mentation Configuration du magasin de journaux d v nements Remarque Lorsque le serveur de r ception est galement un serveur CA Enterprise Log Manager vous devez alors utiliser le compte caelmservice sur cet ordinateur G n ration et copie de cl s RSA Utilisez la proc dure suivante deux reprises G n rez une paire de cl s RSA sur le serveur de collecte et copiez la cl publique sur le serveur de rapports m Le serveur source est le serveur de collecte a Le serveur de destination est le serveur de rapports G n rez une autre paire de cl s RSA sur le serveur de rapports et copiez la cl publique sur le serveur de
207. figuration du magasin de journaux d v nements Lorsque vous d terminez le param tre Nbre max de jours d archivage tenez compte de votre espace disque disponible sur le serveur de rapports Votre configuration de l espace disque d archivage d finit le seuil Si l espace disque disponible passe en dessous du pourcentage d fini les donn es des journaux d v nements sont supprim es pour lib rer de l espace m me si le Nbre max de jours d archivage n est pas coul pour ces donn es Si vous ne configurez pas l archivage automatique d un serveur de rapports vers un serveur de stockage distant vous devez sauvegarder manuellement les bases de donn es compress es et d placer manuellement la copie vers un emplacement de stockage distant selon une fr quence sup rieure au Nbre max de jours d archivage configur Sans quoi vous risquez de perdre des donn es Nous vous recommandons de sauvegarder quotidiennement les fichiers d archive pour viter tout risque de perte de donn es et conserver l espace disque appropri Le service du magasin de journaux d v nements g re son propre cache interne pour les requ tes sur les bases de donn es archiv es afin d am liorer les performances lors de l ex cution de requ tes r p t es ou tr s vastes Le Manuel d administration CA Enterprise Log Manager contient davantage d informations sur l utilisation des fichiers d archive A propos de l archivage automatique La gestion des mag
208. fonction de l heure et du type de rapport L aide en ligne contient plus d informations sur la d finition des filtres locaux lors de l affichage d un rapport ou d une liste de rapports 124 Manuel d impl mentation Configuration du magasin de journaux d v nements Configuration du magasin de journaux d v nements Le magasin de journaux d v nements est la base de donn es propri taire sous jacente qui contient les journaux d v nements collect s Les options de configuration d finies par vos soins pour le service du magasin de journaux d v nements peuvent tre globales ou locales et affecter le stockage et l archivage d v nements pour les serveurs CA Enterprise Log Manager Le processus de configuration du magasin de journaux d v nements suit les tapes ci dessous Comprendre le service du magasin de journaux d v nements m Comprendre comment le magasin de journaux d v nements g re les fichiers d archive m Configurer les valeurs globales et locales du magasin de journaux d v nements Cette tape inclut le param trage de la taille de la base de donn es des valeurs de base pour la conservation des fichiers d archive des r gles de r capitulation pour cumuler des v nements similaires des r gles de suppression pour emp cher le stockage d v nements sp cifiques dans la base de donn es des relations de f d ration et des options d archivage automatique CA Enterprise Log Manager ferme auto
209. g Manager CA Enterprise Log Manager est une solution qui vous permet de collecter des journaux partir de sources d v nement tr s dispers es et de diff rents types de contr ler la conformit avec les requ tes et les rapports et de conserver des enregistrements des bases de donn es de journaux compress s stock es long terme sur un syst me externe 276 Manuel d impl mentation CA IT PAM CA Spectrum CAELM caelmadmin caelmservice calendrier CALM CA IT PAM est l acronyme de CA IT Process Automation Manager Le r le de ce produit CA est d automatiser les processus que vous d finissez CA Enterprise Log Manager utilise deux processus la cr ation d un processus de sortie de l v nement de l alerte pour un produit local par exemple CA Service Desk et la g n ration dynamique de listes qui peuvent tre import es sous la forme de valeurs cl s L int gration requiert CA IT PAM r2 1 CA Spectrum est un produit de gestion des d faillances r seau qui peut tre int gr CA Enterprise Log Manager pour tre utilis comme destination des alertes envoy es sous la forme d interruptions SNMP CAELM est le nom de l instance d application que CA EEM utilise pour CA Enterprise Log Manager Pour acc der la fonctionnalit CA Enterprise Log Manager dans CA Embedded Entitlements Manager saisissez l URL https lt adresse_ip gt 5250 spin eiam eiam csp s lectionnez CAELM comme nom d application puis s
210. g Manager Lors de l installation du premier logiciel CA Enterprise Log Manager le programme d installation cr e un mot de passe pour ce compte de superutilisateur sauf si un serveur CA EEM distant existe d j Dans ce cas le programme d installation doit entrer le mot de passe existant Une fois le dispositif logiciel install le programme d installation ouvre un navigateur partir d une station de travail entre l URL de CA Enterprise Log Manager et se connecte en tant qu utilisateur EiamAdmin avec le mot de passe associ Ce premier utilisateur configure le magasin d utilisateurs cr e les strat gies de mots de passe et cr e le premier compte d utilisateur dot du r le Administrator L utilisateur EiamAdmin peut galement effectuer n importe quelle op ration contr l e par CA EEM OID identificateur d objet point de collecte L OID identificateur d objet est l identifiant num rique unique d un objet de donn es appari une valeur dans un message d interruption SNMP Chaque OID utilis dans une interruption SNMP envoy e par CA Enterprise Log Manager est mapp un champ CEG dans la MIB La syntaxe d un OID mapp un champ CEG est la suivante 1 3 6 1 4 1 791 9845 x x x o 791 est le num ro d entreprise de CA et 9845 est l identifiant produit de CA Enterprise Log Manager Un point de collecte est un serveur sur lequel un agent est install sur le r seau ce serveur est proche de tous les serveurs contenan
211. ge de l installation 2 Mettez votre ordinateur virtuel en surbrillance dans la liste d inventaire des ordinateurs virtuels cliquez dessus avec le bouton droit et s lectionnez D marrage 3 Poursuivez l installation normale de CA Enterprise Log Manager 4 Configurez le serveur CA Enterprise Log Manager install pour le r le fonctionnel souhait en utilisant les informations de la section traitant de l installation d un serveur CA Enterprise Log Manager Informations compl mentaires Installation d un serveur CA Enterprise Log Manager page 68 Installation de CA Enterprise Log Manager page 74 D ploiement rapide de serveurs CA Enterprise Log Manager virtuels Vous pouvez cloner un serveur CA Enterprise Log Manager virtuel pour cr er une image d ployable qui vous permettra de faire voluer rapidement votre environnement de collecte de journaux Remarque Pour des performances optimales il est recommand d installer CA Enterprise Log Manager sur des serveurs virtuels pour g rer uniquement des t ches de collecte Ne clonez pas un ordinateur virtuel qui contient un serveur de gestion CA Enterprise Log Manager Avant d effectuer cette op ration assurez vous de disposer d un environnement ad quat ou installez un serveur CA Enterprise Log Manager pour ex cuter les fonctions de gestion sur un serveur d di ou virtuel Vous devez galement disposer de la version appropri e du logiciel VMware pour prendre en cha
212. gent Syslog peut recevoir les deux types d v nements au m me moment l aide de l couteur Syslog fourni En g n ral la collecte d v nements est compos e de deux cat gories m CA Enterprise Log Manager coute les v nements Syslog sur les ports configurables m CA Enterprise Log Manager surveille les v nements d autres sources l aide de WMI par exemple pour collecter les v nements Windows 56 Manuel d impl mentation Planification d agent Plusieurs sources d v nement Syslog peuvent transmettre des v nements par le biais d un seul connecteur puisque l couteur re oit l ensemble du trafic sur un port sp cifi CA Enterprise Log Manager peut couter les v nements Syslog sur n importe quel port si vous ex cutez un agent en tant qu utilisateur non root l utilisation de ports inf rieurs au port 1024 peut faire l objet de restrictions Les ports standard peuvent recevoir un flux d v nements compos s de diff rents types d v nements Syslog Ceux ci peuvent inclure UNIX Linux Snort Solaris CiscoPIX Check Point Firewall 1 etc CA Enterprise Log Manager g re les v nements Syslog l aide d couteurs soit un type sp cialis de composant d int gration Vous cr ez des connecteurs Syslog fond s sur des couteurs et des int grations m L couteur fournit les informations de connexion telles que les ports ou les h tes fiables m L int gration d finit les fichiers d analyse de m
213. ger de gestion le serveur CA EEM interne g re les configurations de f d ration de mani re centrale et globale vous pouvez modifier les options de configuration depuis n importe quel serveur CA Enterprise Log Manager sur le r seau Vous configurez le serveur CA Enterprise Log Manager de collecte comme enfant du serveur de rapports pour que les requ tes et les rapports incluent les donn es les plus r centes Remarque Si vous disposez d un serveur CA EEM existant que vous pr voyez d utiliser avec CA Enterprise Log Manager configurez les serveurs CA Enterprise Log Manager de la m me mani re Le serveur CA EEM d di distant stocke ces configurations Vous pouvez galement d finir des options de configuration locales pour supplanter les configurations globales en permettant aux serveurs CA Enterprise Log Manager s lectionn s de fonctionner diff remment des autres Les exemples incluent l envoi de rapports et d alertes par courriel par le biais d un serveur de messagerie diff rent ou la planification de rapports propres une branche d un r seau divers moments Informations compl mentaires F d rations hi rarchiques page 172 F d rations maill es page 174 Requ tes et rapports dans un environnement f d r page 171 Configuration d une f d ration CA Enterprise Log Manager page 175 Chapitre 2 Planification de votre environnement 29 Planification de f d ration Cr ation d une cart
214. gie modifi e 223 Configuration d un iRecorder CA Access Control pour envoyer des v nements CA Enterprise Log Manager 4 4444 GAE G EEES EEEE eee eee 224 Configuration du module d extension d v nements iTech pour des v nements CA Access Control l ssseien ot pee E idee E EE E tea et EERE 225 T l chargement et installation d un iRecorder CA Access Control 226 Configuration d un iRecorder CA Access Control autonome 226 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CAA aaa a S 228 T ches requises avant l importation d v nements CA Access Control 228 Cr ation d un rapport d v nements SEOSDATA sur des v nements CA Access Control 230 Pr visualisation de l importation d v nements CA Access Control 232 Importation d v nements CA Access Control 235 Affichage de requ tes et de rapports sur des v nements CA Access Control 236 Annexe C Remarques sur CA IT PAM 239 Sc nario Utilisation de CA EEM sur CA Enterprise Log Manager pour l authentification CA IT PAM 239 Processus d impl mentation de l authentification CA IT PAM 240 Pr paration de l impl mentation de l authentification CA IT sur
215. gies d acc s pr d finies Si vous pr voyez d utiliser uniquement les groupes d utilisateurs d applications pr d finis ou r les avec les strat gies pr d finies associ es il peut y avoir un petit risque de suppression ou de corruption des strat gies pr d finies Toutefois si vos administrateurs pr voient de cr er des r les d finis par l utilisateur et des strat gies d acc s associ es les strat gies pr d finies seront accessibles modifiables et vuln rables aux modifications non souhait es Mieux vaut alors conserver une sauvegarde des strat gies pr d finies d origine que vous pouvez restaurer le cas ch ant Cr ez un fichier de sauvegarde contenant chaque type de strat gie pr d finie l aide de la fonction Exporter Vous pouvez copier ces fichiers sur un m dia externe ou les laisser sur le disque du serveur sur lequel l exportation a t r alis e Remarque Pour conna tre les proc dures de sauvegarde des strat gies pr d finies consultez le Manuel d administration CA Enterprise Log Manager Chapitre 4 Configuration des utilisateurs de base et des acc s 113 Cr ation du premier administrateur Cr ation du premier administrateur Le premier utilisateur cr doit se voir affecter le r le Administrator Seuls les utilisateurs affichant le r le Administrator peuvent effectuer la configuration Vous pouvez affecter un r le Administrator un nouveau compte d utilisateur que vous cr ez ou
216. hamp Nom Les noms d utilisateurs ne sont pas sensibles la casse 5 Cliquez sur Ajouter les d tails de l utilisateur de l application 6 S lectionnez le r le associ aux t ches que doit effectuer cet utilisateur Utilisez le contr le de d placement pour le d placer vers la liste Groupes d utilisateurs s lectionn s 7 Indiquez des valeurs pour les champs restants dans l cran selon vos besoins Vous devez indiquer un mot de passe sensible la casse avec une confirmation dans la zone du groupe d authentification 8 Cliquez sur Enregistrer puis sur Fermer Informations compl mentaires Affectation d un r le un utilisateur global page 116 Chapitre 4 Configuration des utilisateurs de base et des acc s 115 Cr ation du premier administrateur Affectation d un r le un utilisateur global Vous pouvez rechercher un compte d utilisateur existant et affecter le groupe d utilisateurs d applications pour le r le que l individu doit endosser Si vous faites r f rence un magasin d utilisateurs externe la recherche renvoie les enregistrements globaux charg s depuis ce magasin d utilisateurs Si votre magasin d utilisateurs configur est le magasin d utilisateurs CA Enterprise Log Manager la recherche renvoie les enregistrements cr s pour les utilisateurs dans CA Enterprise Log Manager Seuls les administrateurs peuvent modifier des comptes d utilisateurs Pour affecter un r le ou groupe d utilisa
217. harge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement Prise en charge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement Pour prendre en charge un p riph rique une application une base de donn es ou toute autre source d v nement qui n est pas encore prise en charge utilisez les Assistants de fichier de mappage et d analyse ainsi que l Assistant d int gration pour cr er les composants n cessaires Ce processus comprend les grandes tapes suivantes 1 Cr ation de fichiers d analyse pour collecter les donn es d v nement sous forme de paires nom valeur 2 Cr ation de fichiers de mappage pour mapper les paires nom valeur vers la grammaire commune aux v nements 3 Cr ation de nouvelles int grations et de nouveaux couteurs pour collecter les donn es de votre source d v nement Les int grations les fichiers d analyse et de mappage ainsi que les r gles de suppression et de r capitulation sont voqu s plus pr cis ment dans le Manuel d administration CA Enterprise Log Manager et dans l aide en ligne Fichiers de mappage et d analyse Lors du fonctionnement CA Enterprise Log Manager lit les v nements entrants et les r partit en sections au cours d une action appel e analyse Il s agit de fichiers d analyse de message distincts pour diff rents syst mes d exploitation unit s applications et bases de donn es Une fois les v nements
218. i dans le r pertoire d sign Il n existe aucune installation distincte ex cuter Copie de l utilitaire d importation d v nements sur un serveur d outils de donn es Solaris Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosImport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Solaris Remarque L utilitaire LMSeosImport n cessite la pr sence des biblioth ques etsapi et etbase Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosImport assurez vous que le r pertoire d installation d CA Audit est inclus dans votre instruction PATH syst me Le r pertoire par d faut est opt CA eTrustAudit bin Avant d ex cuter l utilitaire d finissez les variables d environnement ci apr s avec la commande env m ODBC_HOME lt r pertoire d installation des outils de donn es CA Audit gt odbc ODBCINI lt r pertoire d installation des outils de donn es CA Audit gt odbc odbc ini Annexe B Remarques pour les utilisateurs de CA Access Control 229 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Solaris 2 Ins rez le DVD ROM d installation de l application CA Enterprise Log M
219. i vous essayez d enregistrer des valeurs non comprises dans la plage autoris e CA Enterprise Log Manager est d fini par d faut sur la valeur minimale ou maximale selon le cas Plusieurs des param tres sont interd pendants Pour modifier des param tres globaux 1 Cliquez sur l onglet Administration et le sous onglet Services La Liste de services s affiche 2 Cliquez sur Configuration globale dans la Liste de services Le volet de d tails Configuration globale du service s ouvre 3 Vous pouvez changer les param tres de configuration suivants Intervalle de mise jour Sp cifie la fr quence en secondes laquelle les composants du serveur appliquent les mises jour de configuration Minimum 30 Maximum 86 400 D lai d expiration de la session Sp cifie la dur e maximale d une session inactive Si l actualisation automatique est activ e une session n expire jamais Minimum 10 Maximum 60 120 Manuel d impl mentation Modification de configurations globales Permettre l actualisation automatique Permet aux utilisateurs d actualiser automatiquement les rapports ou les requ tes Ce param tre permet aux administrateurs de d sactiver l actualisation automatique de mani re globale Fr quence d actualisation automatique Sp cifie l intervalle en minutes auquel les vues de rapport sont actualis es Ce param tre d pend de la s lection de Permettre l actualisation automatique Minimum 1 Maxi
220. iagramme La collecte d v nements Windows utilise l infrastructure de gestion Windows WMI pour surveiller les serveurs Windows et leurs v nements Cela implique que vous configuriez un connecteur WMI sur un agent install sur un h te Windows comme point de collecte d v nements Pour certains autres types d v nements vous pouvez d cider d utiliser un iRecorder CA autonome sur un serveur h te 66 Manuel d impl mentation Cr ation des DVD d installation Vous pouvez configurer et g rer les agents et les connecteurs de ces sources d v nement depuis n importe quel serveur CA Enterprise Log Manager sur le r seau Sur le diagramme les lignes pointill es repr sentent le trafic de configuration et de contr le entre le serveur et les agents de gestion d une part et chacun des autres serveurs CA Enterprise Log Manager d autres part Dans l environnement repr sent sur ce diagramme vous effectuez des configurations partir du serveur de gestion Cela permet au serveur de collecte de se concentrer sur le traitement des v nements L environnement de collecte de journaux dans lequel vous installez des serveurs CA Enterprise Log Manager dispose des caract ristiques num r es ci dessous m Le serveur CA Enterprise Log Manager de gestion traite l authentification et l autorisation des utilisateurs ainsi que la gestion des configurations de tous les serveurs agents et connecteurs CA Enterprise Log Manager sur votre r
221. ice ssh 6 Acc dez au r pertoire ssh l aide de la commande ci dessous cd ssh 7 Copiez le fichier authorized_keys du dossier tmp vers le dossier actuel l aide de la commande ci dessous cp Amp authorized keys 130 Manuel d impl mentation Configuration du magasin de journaux d v nements 8 Modifiez la propri t du fichier authorized_keys pour l octroyer au compte caelmservice l aide de la commande ci dessous chown caelmservice caelmservice authorized_ keys 9 Modifiez les autorisations de ce fichier l aide de la commande ci dessous chmod 644 authorized keys Vous achevez ainsi la configuration de l authentification sans mot de passe entre le serveur de collecte et le serveur de rapports D finition de la propri t du fichier de cl sur un h te distant Vous pouvez d finir la propri t et les autorisations du fichier de cl sur un serveur de stockage distant si vous avez g n r une paire de cl s sur le serveur de rapports et si vous avez copi la cl publique sur ce serveur de stockage distant Cette proc dure suppose que le serveur de stockage distant n est pas un serveur CA Enterprise Log Manager et que vous devez cr er de nouveaux utilisateurs un groupe et une structure de r pertoires refl tant ceux d un serveur CA Enterprise Log Manager Si vous avez copi la cl publique d une paire de cl s g n r e sur le serveur de rapports vers un h te CA Enterprise Log Manager utilisez la proc
222. ice de l ex cuteur pour couter les v nements des Chapitre 3 Installation de CA Enterprise Log Manager 83 Configurations initiales du serveur CA Enterprise Log Manager Port Composant Description de l ex cuteur connecteurs du client al atoire SAPI Ports UDP utilis s pour la collecte d v nements affect e par le mappeur de ports vous pouvez galement configurer le routeur et le collecteur SAPI pour utiliser n importe quel num ro de port fixe au del de 1024 Liste des processus li s La table suivante repr sente une liste des processus s ex cutant au sein d une impl mentation CA Enterprise Log Manager Cette liste n int gre pas les processus syst me li s au syst me d exploitation sous jacent Nom du processus Port par d faut Description caelmagent 6789 17001 Il s agit du processus de l agent CA Enterprise Log Manager caelmconnector D pend de ce qu il Il s agit du processus du connecteur CA coute ou de ce Enterprise Log Manager Un processus de quoi il est connect connecteur distinct s ex cute pour chaque connecteur configur sur un agent caelmdispatcher Ce processus CA Enterprise Log Manager g re la soumission d v nements et les informations d tat entre le connecteur et l agent caelmwatchdog Aucun Processus de surveillance CA Enterprise Log Manager qui surveille d autres processus pour assurer la continuit des op rations caelm eemsessionsponsor Processus CA EEM principal qui g
223. icher d autres v nements locaux et g n rer des rapports sur des actions entreprises sur le serveur CA Enterprise Log Manager local l aide des v nements d autosurveillance Vous trouverez ci dessous la liste des ports utilis s par l environnement CA Enterprise Log Manager Composant Description Serveur CA Enterprise Communications TCP avec l interface utilisateur du serveur Log Manager CA Enterprise Log Manager via HTTPS redirection automatique vers le port 5250 Mappeur de ports Communications des clients Audit avec le processus du mappeur de ports pour recevoir des affectations de ports dynamiques Serveur CA Enterprise Communications TCP avec l interface utilisateur du serveur 82 Manuel d impl mentation Port 514 1468 2123 5250 Composant Log Manager Syslog Syslog DXadmin Serveur CA Enterprise Log Manager Configurations initiales du serveur CA Enterprise Log Manager Description CA Enterprise Log Manager via HTTPS redirection automatique vers le port 5250 Port d coute Syslog UDP par d faut valeur du port configurable Le port est d fini par d faut sur 40514 et l installation applique une r gle de pare feu au serveur CA Enterprise Log Manager pour que l agent s ex cute en tant qu utilisateur non root Port d coute Syslog TCP par d faut valeur du port configurable Port DXadmin LDAP de CA Directory si vous utilisez un serveur CA EEM sur le m me serveur phy
224. ificat n cessaire pendant l installation d IT PAM Le certificat est g n r avec le mot de passe que vous avez sp cifi dans le fichier ITPAM_eem xml ou s il n est pas modifi Remarque Pour obtenir de l aide sur l utilisation de la commande safex saisissez safex 242 Manuel d impl mentation Copie du certificat dans le serveur CA IT PAM Dressez la liste du contenu des r pertoires et v rifiez que le certificat itpamcert p12 est pr sent Supprimez le fichier XML de configuration CA IT PAM Cela est conseill pour des raisons de s curit rm ITPAM _eem xmi Copie du certificat dans le serveur CA IT PAM Quand vous avez ex cut la commande safex dans CA Enterprise Log Manager pour enregistrer CA IT PAM avec son CA EEM ce processus a g n r le certificat itpamcert p12 Vous devez copier ce certificat sur le serveur Windows o vous comptez installer le domaine CA IT PAM Lors de l installation du domaine CA IT PAM acc dez ce fichier de certificat Pour copier le fichier itpamcert p12 partir du dispositif CA Enterprise Log Manager vers le serveur Windows cible Copiez le fichier itpmacert p12 partir du dispositif CA Enterprise Log Manager qui inclut CA EEM vers l h te o vous comptez installer CA IT PAM Fichier source sur le serveur de gestion CA Enterprise Log Manager loptCA SharedComponents iTechnology itpamcert log Chemin d acc s de la destination sur le serveur gt Windows cible Windows
225. igurer des strat gies de mots de passe 1 Connectez vous un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits Administrator ou qu utilisateur EiamAdmin Cliquez sur l onglet Administration Si vous vous connectez en tant qu utilisateur EiamAdmin cet onglet s affiche automatiquement S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur le bouton Strat gies de mots de passe dans le volet gauche Le panneau Strat gies de mots de passe s affiche Sp cifiez si vous souhaitez permettre les mots de passe identiques aux noms d utilisateur Sp cifiez si vous souhaitez appliquer des restrictions de longueur Sp cifiez si vous souhaitez appliquer des strat gies sur le nombre maximum de caract res r p t s ou sur le nombre minimum de caract res num riques Sp cifiez des strat gies d anciennet et de r utilisation V rifiez vos param tres puis cliquez sur Enregistrer Cliquez sur Fermer Les strat gies de mots de passe configur es s appliquent tous les utilisateurs CA Enterprise Log Manager Informations compl mentaires Planification de la strat gie de mots de passe page 40 Nom d utilisateur comme mot de passe page 41 Anciennet et r utilisation du mot de passe page 41 Longueur et format du mot de passe page 42 112 Manuel d impl mentation Conservation des strat gies d acc s pr d finies Conservation des strat
226. ilisateur supprim ou d sactiv Une strat gie de port e est un type de strat gie d acc s qui octroie ou interdit l acc s aux ressources stock es sur le serveur de gestion notamment les AppObjects les utilisateurs les groupes les dossiers et les strat gies Une strat gie de port e d finit les identit s pouvant acc der aux ressources sp cifi es Glossaire 299 strat gie d obligation Une strat gie d obligation est une strat gie g n r e automatiquement lorsque vous cr ez un filtre d acc s Vous ne pouvez pas cr er modifier ou supprimer directement une strat gie d obligation Vous devez plut t cr er modifier ou supprimer le filtre d acc s correspondant suppression La suppression est le processus de tri des v nements sur la base de filtres CEG La suppression s effectue sur la base de fichiers SUP traitement des valeurs dynamiques Un traitement des valeurs dynamiques est un processus CA IT PAM que vous pouvez invoquer pour renseigner ou mettre jour la liste de valeurs d une cl donn e utilis e dans des rapports ou des alertes Vous fournissez le chemin d acc s au traitement des valeurs dynamiques lors de la configuration de CA IT PAM dans la liste des services de serveurs de rapports de l onglet Administration Vous cliquez sur Importer la liste des valeurs dynamiques dans la section Valeur associ e aux valeurs cl s sur la m me page de l interface utilisateur L invocation du traitement des valeurs
227. iliser une int gration comme mod le Contenu d une interruption SNMP cumul d v nements d gel Une interruption SNMP se compose de paires nom valeur chaque nom tant un OID identificateur d objet et chaque valeur une valeur renvoy e par l alerte planifi e Les r sultats de requ te renvoy s par une alerte d action contiennent des champs CEG ainsi que leurs valeurs L interruption SNMP est renseign e en substituant un OID chaque champ CEG utilis pour le nom de la paire nom valeur Le mappage de chaque champ avec un OID est stock dans la MIB L interruption SNMP inclut uniquement les paires nom valeur des champs que vous avez s lectionn s lorsque de la configuration de l alerte Le cumul d v nements est le processus par lequel des entr es de journal similaires sont regroup es en une entr e unique contenant un compteur d occurrences d v nement Les r gles de r capitulation d finissent le regroupement des v nements Le d gel est le processus qui consiste faire passer une base de donn es de l tat froid l tat d givr Cette op ration est r alis e par CA Enterprise Log Manager lorsque l utilitaire LMArchive l avertit qu une base de donn es froide connue a t restaur e Si la base de donn es froide n est pas restaur e sur son CA Enterprise Log Manager original l utilitaire LMArchive n est pas utilis et aucun d gel n est requis la fonction de recatalogage ajoute la base de donn es r
228. ilisez la proc dure suivante pour installer le client ODBC sur un syst me Windows Remarque Un compte administrateur Windows est n cessaire pour installer le client ODBC Pour installer le client ODBC 1 Dans le DVD de l application ou l image d installation recherchez le r pertoire du client ODBC CA ELM ODBC Double cliquez sur l application setup exe Acceptez le contrat de licence et cliquez sur Suivant Le panneau S lection de l emplacement de destination appara t Entrez l emplacement de destination ou acceptez celui par d faut puis cliquez sur Suivant Le panneau S lection du dossier de programmes s affiche S lectionnez un dossier pour le programme ou acceptez celui par d faut puis cliquez sur Suivant Le panneau Lancement de la copie des fichiers appara t Cliquez sur Suivant pour d marrer la copie des fichiers Le panneau Etat d installation s affiche pour indiquer l tat d avancement de l installation Lorsque l installation a termin de copier les fichiers le panneau Assistant InstallShield termin appara t Cliquez sur Terminer afin de compl ter l installation 88 Manuel d impl mentation Installation du client ODBC Cr ation d une source de donn es ODBC sur les syst mes Windows Utilisez cette proc dure pour cr er la source de donn es ODBC requise sur les syst mes Windows Vous pouvez cr er la source de donn es en tant que DSN utilisateur ou DSN syst me Pour cr er la s
229. ion Vous pouvez cr er plusieurs connecteurs utilisant la m me int gration mais dot s de d tails de configuration l g rement diff rents pour acc der des sources d v nement diff rentes Certains connecteurs proposent des aides la configuration qui collectent les informations n cessaires pour acc der la source d v nement Si vous avez besoin d un connecteur pour lequel aucune int gration n est actuellement propos e vous pouvez cr er une int gration l aide de l Assistant d int gration A propos des d tecteurs de journaux Un d tecteur de journaux est le composant dans un connecteur qui sait comment acc der aux sources d v nement CA Enterprise Log Manager fournit des d tecteurs de journaux pour les diff rents types de sources d v nement et de formats de journaux r pertori s ci dessous ACLogsensor Ce d tecteur de journaux lit les v nements CA Access Control lorsque celui ci utilise selogrd pour le routage d v nements FileLogSensor Ce d tecteur de journaux lit les v nements partir d un fichier LocalSyslog Ce d tecteur de journaux collecte les v nements partir des fichiers Syslog local d un serveur UNIX Chapitre 2 Planification de votre environnement 61 Planification d agent ODBCLogSensor Ce d tecteur de journaux utilise ODBC pour se connecter une source d v nement de base de donn es et r cup rer des v nements partir de celle ci OPSECLogS
230. ion de CA Enterprise Log Manager page 74 Annexe E CA Enterprise Log Manager et virtualisation 269 Cr ation de serveurs CA Enterprise Log Manager virtuels Clonage d un serveur CA Enterprise Log Manager virtuel Cette proc dure vous permet de cloner un serveur CA Enterprise Log Manager virtuel Elle suppose que vous avez d j cr un nouvel ordinateur virtuel que vous y avez d j ajout des lecteurs de disque et que vous avez install CA Enterprise Log Manager Pour cloner un serveur virtuel 1 Acc dez VMware VirtualCenter et recherchez l ordinateur virtuel contenant CA Enterprise Log Manager 2 D sactivez le 3 S lectionnez Exporter et indiquez l emplacement d exportation de l ordinateur virtuel VMware ESX Server offre d autres m thodes de clonage des ordinateurs virtuels Pour plus d informations reportez vous la documentation VMware Importation d un ordinateur virtuel clon sur un serveur cible Utilisez la proc dure suivante pour importer un ordinateur virtuel clon sur un autre ordinateur afin de l activer Pour importer un ordinateur virtuel clon 1 V rifiez que vous avez acc s au serveur h te cible 2 Acc dez VMware VirtualCenter partir du serveur qui h berge VMware ESX 3 S lectionnez Importer et recherchez le serveur cible en r pondant aux invitations qui s affichent L importation d place l ordinateur virtuel clon vers le serveur cible Pour plus d info
231. ion du premier serveur CA Enterprise Log Manager cr e un nom d application dont la valeur par d faut est CAELM L installation enregistre ce nom aupr s du serveur CA EEM int gr Si les installations suivantes utilisent le m me nom d instance d application le serveur CA Enterprise Log Manager de gestion g re toutes les configurations sous ce m me nom d instance d application Une fois l installation termin e le serveur est dot d un syst me d exploitation et d un serveur CA Enterprise Log Manager Le syst me d exploitation 32 bits prend en charge le mat riel 32 bits et 64 bits Les configurations initiales affectent les domaines ci dessous m Comptes d utilisateur par d faut Structure des r pertoires par d faut m Image du syst me d exploitation personnalis m Affectations de ports par d faut Comptes d utilisateur par d faut L installation de CA Enterprise Log Manager cr e un utilisateur d administration par d faut caelmadmin qui poss de son propre mot de passe Si vous devez acc der directement au serveur h te vous devez utiliser ce compte pour vous connecter car la fonction de connexion du compte root est restreinte apr s l installation Le compte caelmadmin permet uniquement la connexion D s lors vous devez passer au compte root gr ce son mot de passe distinct pour pouvoir acc der aux utilitaires d administration syst me au niveau du SE Le mot de passe par d faut pour ce compte est identique au
232. iques pour atteindre la configuration qui r pond vos besoins Par exemple une configuration maill e au sein d une seule branche peut s av rer tr s utile pour les d ploiements globaux Vous pouvez obtenir une pr sentation globale des donn es partir des serveurs parents de rapports tout en conservant des clusters r gionaux branches ayant acc s leurs propres donn es uniquement Configuration d une f d ration CA Enterprise Log Manager Chaque serveur CA Enterprise Log Manager ajout une f d ration doit faire r f rence au m me nom d instance d application sur le serveur de gestion Ainsi le serveur de gestion peut stocker et g rer l ensemble des configurations comme des configurations globales Vous pouvez configurer la f d ration tout moment mais il vaut mieux le faire avant de commencer planifier des rapports si vous souhaitez des rapports consolid s La configuration d une f d ration implique les activit s r pertori es ci dessous 1 Cr ez une carte de f d ration 2 Installez le premier serveur CA Enterprise Log Manager savoir le serveur de gestion Chapitre 7 Cr ation de f d rations 175 Configuration d une f d ration CA Enterprise Log Manager 3 Installez un ou plusieurs serveurs suppl mentaires 4 Configurez les relations parents enfants Par exemple commencez par s lectionner les enfants de f d ration de serveurs du serveur de gestion partir des param tres des
233. ire de strat gies et le serveur CA Enterprise Log Manager disposent d instances d application diff rentes sur le serveur CA EEM et les utilisateurs doivent tre associ s aux deux instances Installation de l int gration de CA Enterprise Log Manager utiliser avec CA Audit sur les serveurs Solaris Vous pouvez suivre ces instructions pour installer la prise en charge de CA Enterprise Log Manager dans un environnement CA Audit r8 SP2 existant Cette installation repose sur le packaging Solaris natif L installation silencieuse n est pas disponible pour ce composant lorsqu il est install sur un serveur Remarque Si le service iGateway g re le traitement d un grand nombre de modules d extension l ach vement de cette installation peut durer un certain temps Pour installer la prise en charge de CA Enterprise Log Manager pour CA Audit sur un serveur Solaris 1 Collectez les informations ci dessous informations requises Valeur Nom ou adresse IP du serveur CA Enterprise Log Manager Nom du serveur CA EEM Mot de passe EiamAdmin 2 Acc dez au serveur sur lequel le Gestionnaire de strat gies est install puis au r pertoire d installation iGateway IGW_LOC Annexe A Remarques pour les utilisateurs de CA Audit 209 Int gration CA Audit r8 SP2 3 Ins rez le DVD de l application CA Enterprise Log Manager dans le lecteur et acc dez au r pertoire CA ELM Solaris_sparc 4 Copiez le package d installation caelm
234. ise Log Manager d une f d ration mais aussi d activer l actualisation automatique des rapports en cours d affichage 122 Manuel d impl mentation Utilisation des Param tres et filtres globaux Vous devez d finir des filtres globaux qui pourront tre utilis s dans plusieurs zones du rapport En d finissant des options limitant le filtre global vous pouvez contr ler la quantit de donn es affich es dans un rapport Vous trouverez ci dessous les t ches initiales li es aux param tres et filtres globaux m Configurer des filtres rapides globaux pour fournir une dur e initiale qui modifie les rapports affich s depuis ce serveur CA Enterprise Log Manager m S lectionner des requ tes f d r es dans l onglet Param tres pour afficher des donn es provenant des serveurs CA Enterprise Log Manager f d r s sous ce serveur m D cider de l actualisation automatique ou non des rapports m D finir l intervalle d actualisation des donn es dans les rapports Remarque La d finition d un filtre global trop restreint ou trop sp cifique peut emp cher l affichage des donn es dans certains rapports Vous trouverez davantage d informations sur les filtres globaux et leur utilisation dans l aide en ligne Informations compl mentaires Modification de configurations globales page 120 S lection de l utilisation des requ tes f d r es Vous pouvez choisir d ex cuter des requ tes sur les donn es f d r es si v
235. istes d finies par l utilisateur valeurs cl s Vous permet de cr er des regroupements pertinents utiliser dans les rapports et de contr ler les p riodes de temps auxquelles ils s appliquent Chapitre 5 Configuration des services 137 Remarques sur le serveur de rapports m D finir le serveur de messagerie de rapports le courriel de l administrateur le port SMTP et les informations d authentification dans la zone Param tres des courriels m Contr ler le nom et le logo de l entreprise les polices et d autres param tres des rapports au format PDF dans la zone Configurations des rapports m D finir le nombre total d alertes d action conserv es et le nombre de jours pendant lequel elles sont conserv es dans la zone Conservation d alerte Nombre maximum d alertes d action D finit le nombre maximal d alertes d action conserv es par le serveur de rapports en vue de leur examen Minimum 50 Maximum 1 000 Dur e de conservation des alertes d action D finit le nombre de jours maximal pendant lequel les alertes d action sont conserv es Minimum 1 Maximum 30 m D finir la strat gie de conservation pour chaque type de r currence de rapport planifi dans la zone Conservation de rapport m D terminer si l utilitaire de conservation doit rechercher les rapports supprimer automatiquement sur la base de ces strat gies et si oui quelle fr quence Par exemple si l utilitaire de conservation de rappor
236. l acheminement d v nements vers d autres destinations Vous pouvez galement rediriger les v nements SAPI Recorder pour les transmettre directement l couteur du routeur SAPI en modifiant leurs fichiers de configuration Configurez ce service avant de modifier les strat gies d audit ou les configurations SAPI Recorder pour vous assurer de ne perdre aucun v nement Pour configurer le service de routeur SAPI 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut D veloppez l entr e Adaptateurs CA S lectionnez le service Routeur SAPI Pour obtenir des descriptions de chaque champ reportez vous l aide en ligne Cliquez sur Enregistrer lorsque vous avez termin 192 Manuel d impl mentation Configuration d adaptateurs CA A propos du module d extension d v nements iTechnology Le module d extension d v nements iTechnology re oit les v nements envoy s par le m canisme de gestion des v nements iGateway Configurez le module d extension d v nements iTechnology si l une des conditions ci dessous se v rifie dans votre environnement m Vous disposez d iRecorders existants sur votre r seau et d pourvus de client CA Audit sur le m me syst me a Vous avez d autres produits comme CA EEM qui peuvent transf rer des v nements via iTechnology Apr s r ception d un v nement ce service l
237. l aide des instructions fournies dans cette annexe et des instructions d installation de CA IT PAM 8 Red marrez le service du serveur CA ITPAM 9 Lancez la console CA IT PAM et connectez vous Informations compl mentaires Pr paration de l impl mentation de l authentification CA IT sur un CA EEM partag page 241 Copiez un fichier XML dans le serveur de gestion CA Enterprise Log Manager page 241 Enregistrez CA IT PAM avec un CA EEM partag page 242 Copie du certificat dans le serveur CA IT PAM page 243 D finition des mots de passe pour les comptes d utilisateur CA IT PAM pr d finis page 244 Installation de composants tiers requis par CA IT PAM page 245 Installation du domaine CA IT PAM page 246 D marrez le service du serveur CA ITPAM page 247 Lancez la console du serveur CA IT PAM et connectez vous page 248 240 Manuel d impl mentation Pr paration de l impl mentation de l authentification CA IT sur un CA EEM partag Pr paration de l impl mentation de l authentification CA IT sur un CA EEM partag Une fois votre package d installation charg sur le serveur Windows o vous comptez installer le domaine CA IT PAM vous pouvez d finir un mot de passe pour le certificat itpamcert p12 Pour pr parer l impl mentation de l authentification de CA IT PAM sur le serveur de gestion CA Enterprise Log Manager 1 D compressez l image iso CA IT PAM dans l h te Windows
238. l collecte des v nements partir d une source d v nement du syst me d exploitation Windows Server 2008 La collecte d bute apr s la configuration des sources d v nement afin de consigner les v nements dans la Visionneuse d v nements Windows et d activer la fonction Gestion distance de Windows sur le serveur tel que sp cifi dans le manuel du connecteur associ cette int gration Pour configurer la source d v nements Windows Server 2008 1 S lectionnez l onglet Administration 2 D veloppez Biblioth que d ajustement d v nement Int grations Abonnement puis s lectionnez WinRM 164 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor La fen tre Afficher les d tails des int grations indique le nom du d tecteur savoir WinRMLinuxLogSensor Windows et Linux sont les deux plateformes prises en charge Cliquez sur le lien Aide de la fen tre Afficher les d tails de l int gration WinRM Le manuel du connecteur pour Microsoft Windows Server 2008 WinRM s affiche Pour configurer la source d v nement et v rifier la journalisation 1 3 Connectez vous l h te cible muni d un syst me d exploitation Windows Server 2008 Suivez les instructions figurant dans le manuel du connecteur CA pour Microsoft Windows Server 2008 pour vous assurer de l affichage des v nements dans la Visionneuse d v nements Windows et de l
239. l provenant d une impl mentation CA Audit Vous pouvez modifier les strat gies CA Audit utilisant des actions du collecteur pour envoyer des v nements un serveur CA Enterprise Log Manager en plus ou la place de l envoi d v nements la base de donn es du collecteur CA Audit Configurez ce service avant de modifier les strat gies CA Audit pour vous assurer de ne perdre aucun v nement Vous pouvez configurer un serveur de routeur SAPI de mani re similaire Si vous utilisez la fois les services de routeur et de collecteur assurez vous que les ports r pertori s sont diff rents ou qu ils sont contr l s par le service du mappeur de ports Pour configurer le service de collecteur SAPI 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur Administrator et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut 2 D veloppez l entr e Adaptateurs CA Requ tes et rapports Rapports planifi s Gestion des alertes Administration v Adaptateurs CA gt 0 Router SAPI gt 9 Profils gt 0 Collecteur SAPI de CA Audit gt Module d extension d v nements iTechnc gt 3 Biblioth que d ajustement d v nement gt 9 Explorateur d agent gt 9 Requ te de catalogue d archive Collecte de journaux gt Services gt Gestion des utilisateurs et des acc s Explorateur de collecte de journaux de CA Audit 216 Manuel d impl
240. la commande TAR ci dessous pour cr er une copie de sauvegarde des fichiers du serveur CA Enterprise Log Manager tar hzcvf backupData tgz data Cette commande cr e le fichier de sortie compress backupData tgz l aide des fichiers du r pertoire data Acc dez au r pertoire opt CA SharedComponents iTechnology Ex cutez la commande TAR ci dessous pour cr er une copie de sauvegarde des certificats num riques tous les fichiers ayant une extension p12 tar zcvi backupCerts tgz p12 Cette commande cr e le fichier de sortie compress backupCerts tgz tar hzcvi backupData tgz data Restauration d un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde Vous pouvez restaurer un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde apr s avoir install le dispositif logiciel CA Enterprise Log Manager sur le nouveau serveur Pour restaurer un serveur CA Enterprise Log Manager partir des sauvegardes 1 Arr tez le processus iGateway sur le nouveau serveur Pour ce faire acc dez au dossier opt CA SharedComponents iTechnology et ex cutez la commande ci dessous JS99igateway stop Copiez les fichiers backupData tgz et backupCerts tgz files dans le r pertoire opt CA LogManager sur le nouveau serveur D veloppez le contenu du fichier backupData tgz l aide de la commande ci dessous tar xzvi backupData tgz Cette commande remplace le contenu du dossier de donn
241. lant lorsque la base de donn es chaude atteint sa taille maximale auquel cas une compression au niveau des lignes est effectu e et la base passe de l tat chaud l tat ti de Les administrateurs peuvent sauvegarder manuellement les bases de donn es ti des avant que le d lai de suppression automatique ne soit coul puis ex cuter l utilitaire LMArchive pour enregistrer le nom des sauvegardes Ces informations sont alors disponibles la consultation via la requ te d archivage Glossaire 275 assistant de fichier d analyse L Assistant de fichier d analyse est une fonction CA Enterprise Log Manager que les administrateurs utilisent pour cr er modifier et analyser les fichiers d analyse de message extensibles XMP stock s sur le serveur de gestion CA Enterprise Log Manager Pour personnaliser l analyse des donn es d v nements entrants vous devez modifier les cha nes et filtres pr associ s Les nouveaux fichiers comme les fichiers modifi s s affichent dans l Explorateur de collecte de journaux la Biblioth que d ajustement d v nement les fichiers d analyse et le dossier Utilisateur balise Une balise est un terme ou une expression cl qui sert identifier les requ tes ou rapports appartenant au m me regroupement pertinent Les balises permettent d effectuer des recherches bas es sur les regroupements pertinents Le terme balise d signe galement le nom de ressource utilis dans une strat gie oct
242. le sous onglet Services 3 D veloppez le dossier du service Magasin de journaux d v nements puis s lectionnez le nom de serveur pour le serveur CA Enterprise Log Manager parent 4 Faites d filer vers le bas jusqu la liste Enfants de f d ration de serveurs 5 S lectionnez un ou plusieurs noms de serveur configurer comme enfants du serveur parent dans la liste Disponible s 6 Utilisez les boutons fl ch s pour d placer vos s lections vers la liste Serveurs s lectionn s Les serveurs CA Enterprise Log Manager s lectionn s et d plac s dans la liste sont d sormais des enfants f d r s du serveur parent 176 Manuel d impl mentation Configuration d une f d ration CA Enterprise Log Manager Informations compl mentaires S lection de l utilisation des requ tes f d r es page 123 Affichage du graphique de f d ration et du contr leur de l tat du serveur Vous pouvez afficher un graphique repr sentant les serveurs CA Enterprise Log Manager de votre environnement leurs relations de f d ration et leur tat Le graphique de f d ration vous permet d afficher la structure de f d ration actuelle et de visualiser l tat de chaque serveur Vous pouvez galement s lectionner le serveur local interrog au cours de cette session en le d finissant comme serveur parent Pour afficher le graphique de f d ration cliquez sur Afficher le graphique de f d ration et le contr leur de l ta
243. lecte Chapitre 2 Planification de votre environnement 25 Planification de la collecte de journaux Un script de sauvegarde automatis d place les donn es du serveur de rapports au serveur distant stockage sauvegard Si vous d cidez de restaurer des donn es partir du stockage sauvegard vous le faites g n ralement sur le serveur de rapports Si l espace est limit sur le serveur de rapports vous pouvez galement restaurer sur le serveur de collecte Comme le serveur de collecte ne stocke pas de grandes quantit s de donn es et qu il est f d r les r sultats des rapports sont les m mes De plus le serveur de rapports peut fonctionner comme r cepteur de basculement pour les v nements collect s par un connecteur sur un agent distant si le serveur de collecte cesse de recevoir les v nements pour une raison quelconque Vous pouvez configurer le basculement au niveau de l agent Le traitement par basculement envoie les v nements un ou plusieurs serveurs CA Enterprise Log Manager alternatifs La collecte d v nements par basculement n est pas disponible pour les v nements provenant de sources d v nement h rit es collect s par les couteurs SAPI et iTech Informations compl mentaires CA Enterprise Log Manager et virtualisation page 255 Planification d espace disque Lorsque vous planifiez votre environnement assurez vous de disposer d un espace disque suffisant pour prendre en charg
244. liquant une entit unique o la source et la destination de l v nement correspondent au m me ordinateur h te Un v nement local est de type 1 sur les quatre types d v nement utilis s dans la grammaire commune aux v nements Un v nement natif constitue l tat ou l action d clenchant un v nement brut Les v nements natifs sont re us et analys s mapp s le cas ch ant puis transmis en tant qu v nements bruts ou ajust s Un chec d authentification est un v nement natif Un v nement observ est un v nement impliquant une source une destination et un agent o l v nement est observ et enregistr par un agent de collecte d v nements Glossaire 283 v nement RSS v nements event_action event_category event_class explorateur d agent Un v nement RSS est un v nement g n r par CA Enterprise Log Manager pour transmettre une alerte d action des produits et utilisateurs tiers L v nement est un r capitulatif de chaque r sultat d alerte d action et un lien vers le fichier de r sultat La dur e d un flux RSS donn peut tre configur e Dans CA Enterprise Log Manager les v nements sont des enregistrements de journal g n r s par chaque source d v nement sp cifi e event_action est le champ de quatri me niveau et sp cifique l v nement utilis par la grammaire commune aux v nements CEG pour la normalisation des v nements Il d
245. lis es par CA Enterprise Log Manager pour classer les v nements selon leur fonction avant de les ins rer dans le magasin d v nements Les certificats pr d finis utilis s par CA Enterprise Log Manager sont CAELMCert p12 et CAELM_AgentCert p12 Tous les services CA Enterprise Log Manager utilisent CALEMCert p12 pour communiquer avec le serveur de gestion Tous les agents utilisent CAELM_AgentCert p12 pour communiquer avec leur serveur de collecte Les champs CEG sont des tiquettes utilis es pour normaliser la pr sentation des champs d v nements bruts provenant de sources d v nement h t rog nes Lors de l ajustement d v nement CA Enterprise Log Manager analyse les messages d v nements bruts dans une s rie de paires nom valeur puis mappe les noms des v nements bruts avec les champs CEG standard L ajustement cr e des paires nom valeur compos es des champs CEG et des valeurs issues de l v nement brut En d autres termes au cours de l ajustement des v nements bruts les diff rentes tiquettes utilis es dans les v nements bruts correspondant au m me objet de donn es ou l ment de r seau sont converties au m me nom de champ CEG Les champs CEG sont mapp s aux OID de la MIB utilis e pour les interruptions SNMP 278 Manuel d impl mentation client d abonnement Un client d abonnement est un serveur CA Enterprise Log Manager qui r cup re les mises jour de contenu aupr s d un autre serveur CA
246. matiquement les fichiers des bases de donn es actives et cr e des fichiers d archive lorsque les bases de donn es actives atteignent la capacit d finie pour ce service CA Enterprise Log Manager ouvre ensuite de nouveaux fichiers actifs pour poursuivre les op rations de journalisation des v nements Vous pouvez d finir des options d archivage automatique pour g rer ces fichiers mais uniquement sous la forme d une configuration locale pour chaque serveur CA Enterprise Log Manager Chapitre 5 Configuration des services 125 Configuration du magasin de journaux d v nements A propos du service du magasin de journaux d v nements Le service du magasin de journaux d v nements g re les interactions des bases de donn es comme celles r pertori es ci dessous m Insertion de nouveaux v nements dans la base de donn es actuelle chaude m R cup ration d v nements provenant de bases de donn es f d r es locales et distantes pour les requ tes et les rapports m Cr ation de nouvelles bases de donn es lorsque la base de donn es actuelle est pleine m Cr ation de fichiers d archive et suppression d anciens fichiers d archive m Gestion du cache de requ te d archive Application des r gles de r capitulation et de suppression s lectionn es Application des r gles de transfert d v nement s lectionn es D finition des serveurs CA Enterprise Log Manager qui agissent comme des enfants f d r s pou
247. ment du disque s affiche Pr cisez la capacit et l emplacement de votre disque puis cliquez sur Suivant Une bo te de dialogue d options avanc es s affiche Vous pouvez stocker ce disque avec votre ordinateur virtuel ou sp cifier un autre emplacement Nous recommandons un espace minimal de 500 Go Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant Confirmez vos param tres et cliquez sur Terminer pour cr er le nouvel ordinateur virtuel Ajout de lecteurs de disques virtuels Utilisez la proc dure suivante afin d ajouter des lecteurs de disques virtuels pour le stockage de journaux d v nements Utilisez les m mes param tres sans tenir compte du r le jou par un serveur CA Enterprise Log Manager sp cifique sur votre r seau Pour modifier les param tres 1 Cliquez avec le bouton droit sur votre ordinateur virtuel dans le client VMware Infrastructure et s lectionnez Modifier les param tres La bo te de dialogue Propri t s de l ordinateur virtuel s affiche Mettez en surbrillance les propri t s du lecteur de CD DVD 1 Cliquez sur le bouton d option Unit h te et s lectionnez votre lecteur de DVD ROM dans la liste d roulante S lectionnez l option Etat de l unit Connecter au d marrage Cliquez sur Ajouter pour lancer l assistant d ajout de mat riel et ajouter un deuxi me disque dur Mettez le disque dur en surbrillance dans la liste des unit s et cliquez sur Suiv
248. mentation Installation du client ODBC Configuration requise L acc s ODBC au magasin de journaux d v nements est disponible uniquement dans CA Enterprise Log Manager r12 1 et les versions ult rieures Pour plus d informations avant de proc der l installation reportez vous aux consid rations sur les sources de donn es ODBC Les utilisateurs de cette fonctionnalit doivent appartenir un groupe d utilisateurs dot de droits dataaccess acc s aux donn es dans la strat gie par d faut d acc s aux donn es dans les strat gies d acc s CALM Pour plus d informations sur les strat gies d acc s reportez vous au Manuel d administration CA Enterprise Log Manager r12 1 Pour un client ODBC les conditions ci dessous doivent tre remplies m Vous devez disposer des droits d administrateur pour installer le client ODBC sur un serveur Windows m L installation du client ODBC n cessite le service Microsoft Windows Installer Si celui ci est introuvable un message s affiche m Configurez le service Serveur ODBC dans CA Enterprise Log Manager et cochez la case Activer le service m Configurez une source de donn es ODBC pour syst mes Windows l aide de l utilitaire Sources de donn es ODBC accessible via le Panneau de configuration ma Vous devez tre habilit cr er des fichiers dans le r pertoire d installation du client sur les syst mes UNIX et Linux Pour plus d informations sur les plates formes com
249. mot de passe cr pour le compte EiamAdmin Nous recommandons de modifier le mot de passe du compte caelmadmin imm diatement apr s l installation L installation cr e galement un compte d utilisateur de service par d faut caelmservice que vous ne pouvez pas utiliser pour vous connecter au syst me Vous pouvez passer au compte de cet utilisateur pour d marrer et arr ter des processus le cas ch ant Le processus iGateway et le serveur CA EEM int gr s il est install sur le serveur CA Enterprise Log Manager s ex cutent sous ce compte d utilisateur pour offrir une couche suppl mentaire de s curit 80 Manuel d impl mentation Configurations initiales du serveur CA Enterprise Log Manager Le processus iGateway ne s ex cute pas sous un compte d utilisateur root Le transfert de port est automatiquement activ pour permettre aux demandes HTTPS sur les ports 80 et 443 d acc der l interface utilisateur CA Enterprise Log Manager en plus du port 5250 Structure des r pertoires par d faut L installation de CA Enterprise Log Manager place les fichiers binaires du logiciel sous la structure de r pertoires opt CA Si le syst me comporte un deuxi me lecteur de disque il est configur comme data L installation cr e un lien symbolique du r pertoire opt CA LogManager data vers le r pertoire data Vous trouverez ci dessous la structure de r pertoires d installation par d faut Types de fichiers R pertoire
250. mplacer ce certificat par un certificat personnalis nous vous conseillons de le faire avant d installer des agents Si vous impl mentez un certificat personnalis apr s l installation et l enregistrement des agents sur un serveur CA Enterprise Log Manager vous devez d sinstaller chaque agent supprimer l entr e de l agent dans l Explorateur d agent r installez l agent et reconfigurez les connecteurs A propos des agents Apr s installation les agents fonctionnent comme un service ou un d mon et ce sont des composants de produit facultatifs utilis s dans une ou plusieurs des situations num r es ci dessous Un petit site distant doit collecter des donn es d v nement mais il n a pas besoin d un dispositif logiciel CA Enterprise Log Manager complet m Vous devez filtrer les donn es la source des v nements pour r duire le trafic r seau ou la quantit de donn es stock es 58 Manuel d impl mentation Planification d agent a Vous devez assurer la remise d v nement vers le magasin de journaux d v nements pour des raisons de conformit m Vous devez s curiser la transmission des journaux sur le r seau gr ce au chiffrement des donn es Les agents agissent comme des gestionnaires de processus pour les connecteurs qui collectent des donn es d v nement provenant d applications de syst mes d exploitation ou de bases de donn es sp cifiques Les agents disposent de commandes de gestion de connec
251. mpte est g n ralement compris entre trois et cinq Longueur et format du mot de passe Observez les consignes ci dessous lorsque vous d cidez d appliquer ou non des restrictions de longueur En raison du mode de chiffrement les mots de passe les plus s rs comportent sept ou quatorze caract res Veillez ne pas d passer les restrictions de longueur de mot de passe impos es par les syst mes d exploitation les plus anciens sur votre r seau Observez les consignes ci dessous lorsque vous d cidez d appliquer ou non des strat gies sur le nombre maximum de caract res r p t s ou sur le nombre minimum de caract res num riques Les mots de passe s rs ne peuvent pas tre trouv s dans un dictionnaire Les mots de passe s rs incluent un ou plusieurs caract res provenant au minimum de trois des quatre jeux de caract res que sont les lettres minuscules les lettres majuscules les chiffres et les caract res sp ciaux Planification des mises jour d abonnement L actualisation de CA Enterprise Log Manager est automatis e par le biais de mises jour d abonnement fournies par le serveur d abonnement CA Les mises jour d abonnement peuvent contenir une ou plusieurs mises jour suivantes Mises jour du produit et du syst me d exploitation install es par tous les serveurs CA Enterprise Log Manager Remarque Vous pouvez choisir les mises jour du produit et du syst me d exploitation appliquer lors de ch
252. mum 600 Activer l actualisation automatique D finit l actualisation automatique dans l ensemble des sessions Par d faut l actualisation automatique n est pas activ e Pour afficher les alertes d action l authentification est requise Emp che les auditeurs ou les produits tiers d afficher les flux RSS des alertes d action Ce param tre est activ par d faut Rapport par d faut Sp cifie le rapport par d faut Activer le lancement du rapport par d faut Affiche le rapport par d faut lorsque vous cliquez sur l onglet Rapports Ce param tre est activ par d faut Vous pouvez changer les param tres de balise de rapport ou de requ te suivants Masquer les balises de rapport Emp che les balises sp cifi es d appara tre dans une liste de balises Masquer les balises de rapport rationalise l affichage des rapports disponibles Masquer les balises de requ te Vous permet de masquer les balises choisies Les balises masqu es n apparaissent plus dans la liste de requ tes principale ou dans la liste de requ tes de planification d alertes d action Masquer les balises de requ te personnalise l affichage des requ tes disponibles Chapitre 5 Configuration des services 121 Utilisation des Param tres et filtres globaux 5 Vous pouvez changer les param tres de profil suivants Activer le profil par d faut Vous permet de d finir le profil par d faut Profil par d faut Sp cifie le profil par d faut Masq
253. n 54 Manuel d impl mentation Planification des mises jour d abonnement Dans ce sc nario la solution recommand e consiste configurer le point de restauration sur le proxy d abonnement en ligne car c est le serveur le moins actif Configurez ensuite chaque client pour qu il pointe vers ce proxy en ligne afin que le proxy par d faut agisse comme sauvegarde lorsque le proxy en ligne est occup ou indisponible CA Serveur d abonnement i Serveur de point Serveur de collecte enfant Serveur de rapports parent Serveur de gestion de restauration es PA N N Client Proxy d abonnement Proxy y x N d abonnement par d faut d abonnement en ligne Client d abonnement Informations compl mentaires Configuration d une f d ration CA Enterprise Log Manager page 175 Configuration des serveurs CA Enterprise Log Manager pour l abonnement page 147 R les des serveurs page 18 Chapitre 2 Planification de votre environnement 55 Planification d agent Planification d agent Les agents utilisent des connecteurs pour collecter les v nements et les acheminer jusqu au serveur CA Enterprise Log Manager Vous pouvez configurer un connecteur sur l agent par d faut install avec le serveur CA Enterprise Log Manager mais vous pouvez galement installer un agent sur un serveur o sur une source d v nement de votre r seau La d cision d utiliser des agents externes d pend du volume d v
254. n Sp cifie le nom du serveur h te sur lequel se trouve la table SEOSDATA Ce param tre est obligatoire user Sp cifie un ID d utilisateur valide b n ficiant au minimum d un acc s en lecture la table SEOSDATA Ce param tre est obligatoire password Sp cifie le mot de passe du compte d utilisateur pr cis par le param tre user Ce param tre est obligatoire target Sp cifie le nom d h te ou l adresse IP du serveur CA Enterprise Log Manager pour recevoir les v nements migr s depuis la table SEOSDATA Ce param tre est obligatoire minid nnnn Indique l ENTRYID de d but utilis lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif maxid nnnn Indique l ENTRYID de fin utilis lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif Annexe A Remarques pour les Utilisateurs de CA Audit 203 Importation des donn es d une table SEOSDATA mintm AAAA MM JJ Indique l heure de d but au format AAAA MM JJ utilis e lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif maxtm AAAA MM JJ Indique l heure de fin au format AAAA MM JJ utilis e lors de la s lection d v nements dans la table SEOSDATA Ce param tre est facultatif log nom_journal Sp cifie que l utilitaire doit s lectionner uniquement les enregistrements d v nements avec le nom de journal sp cifi Ce param tre
255. n Configuration des d tecteurs Linux o l adresse est le nom d h te ou l adresse IP de la source d v nement et la base de donn es est la base de donn es SQL Server sous MSSQLSERVER_ TRACE DSN SQLServer Wire Protocol Address Adresse IP portDatabase nom base de donn es b Indique le nom de l utilisateur disposant de droits d acc s en lecture seule la collecte des v nements L utilisateur doit poss der les r les db_datareader et public pour disposer d un acc s en lecture seule c Saisissez le mot de passe du nom d utilisateur sp cifi d Sp cifiez le fuseau horaire de la base de donn es avec un d calage par rapport l heure GMT Remarque Sur un serveur Windows ces informations apparaissent dans l onglet Fuseau horaire des propri t s Date et heure Ouvrez l horloge dans la barre d tat syst me Chapitre 6 Configuration de la collecte d v nements 161 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor e S lectionnez ou d sactivez Lecture partir du d but si vous voulez que le d tecteur de journaux lise ou non les v nements partir du d but de la base de donn es Voici un exemple partiel Configuration des d tecteurs Cha ne de connexion DSN 8QLServer Wire Protocol Address 172 24 36 107 1433 Database master Nom de l utilisateur ELMsglagent Motde passer HR Signe pour le d calage horaire v Heures de d calage hor
256. n es du service Laissez ce champ vide sinon les tentatives de connexion chouent Chapitre 3 Installation de CA Enterprise Log Manager 89 Installation du client ODBC Chiffrement SSL Indique si le chiffrement des communications entre le client et le serveur CA Enterprise Log Manager doit tre utilis Par d faut le chiffrement SSL est activ La valeur que vous d finissez ici doit correspondre celle du service Serveur ODBC faute de quoi la connexion choue Propri t s personnalis es Indique les propri t s de connexion utiliser avec le magasin de journaux d v nements Les propri t s sont d limit es par un point virgule sans espace Les valeurs par d faut recommand es sont donn es ci dessous querytimeout Indique la dur e en seconde qui doit s couler sans qu aucune donn e ne soit renvoy e avant que la requ te soit ferm e Voici la syntaxe utilis e pour cette propri t querytimeout 300 queryfederated Indique si une requ te f d r e doit tre ex cut e Si vous d finissez cette valeur sur false la requ te est ex cut e uniquement sur le serveur CA Enterprise Log Manager avec lequel la connexion la base de donn es est tablie Voici la syntaxe utilis e pour cette propri t queryiederated true queryfetchrows Indique le nombre de lignes r cup rer chaque op ration d extraction si la requ te a r ussi La valeur minimale est 1 et la valeur maximale 5000 La
257. n CA Enterprise Log Manager Chapitre 2 Planification de votre environnement 45 Planification des mises jour d abonnement Evaluation du besoin d un proxy HTTP Avant de configurer les param tres d abonnement globaux d terminez si vous allez t l charger les mises jour d abonnement sur votre r seau interne par le biais d un serveur proxy HTTP Pour de nombreuses entreprises les connexions Internet sortantes doivent tre effectu es par le biais d un serveur proxy HTTP Vous pouvez sp cifier les informations d identification pour le serveur proxy HTTP comme faisant partie de la configuration d abonnement Ainsi lorsqu il tente de rechercher des mises jour provenant du serveur d abonnement CA le proxy d abonnement peut contourner le proxy HTTP Gr ce au contournement automatique le processus de mise jour d abonnement ne n cessite aucune pr sence Serveur d abonnement Serveur proxy Proxy d abonnement HTTP en ligne CA Enterprise local Log Manager Si vous utilisez un proxy HTTP ayez port e de main l adresse IP le num ro de port et les informations d identification lorsque vous d marrez cette configuration V rification de l acc s au flux RSS pour l abonnement Lorsque vous commencez configurer les param tres d abonnement globaux v rifiez que votre serveur proxy d abonnement par d faut peut acc der l URL du flux RSS pr d finie Si la liste des modules disponibles pour le t l chargem
258. n de caelmadmin sont requises pour le premier acc s au syst me d exploitation celles de EiamAdmin sont n cessaires pour le premier acc s au logiciel CA Enterprise Log Manager et pour l installation des agents instance d application int gration invite Une instance d application est un espace commun dans le r f rentiel CA EEM o sont stock s tous les utilisateurs groupes contenus strat gies d autorisation et configurations En g n ral tous les serveurs CA Enterprise Log Manager d une entreprise utilisent la m me instance d application par d faut CAELM Vous pouvez installer des serveurs CA Enterprise Log Manager avec diff rentes instances d application mais seuls les serveurs partageant la m me instance d application peuvent tre f d r s Les serveurs configur s pour utiliser le m me serveur CA EEM avec diff rentes instances d application partagent uniquement le magasin d utilisateurs les strat gies de mots de passe et les groupes globaux Les diff rents produits CA ont des instances d application par d faut diff rentes L int gration est une m thode permettant de traiter les v nements non class s en v nements ajust s pour pouvoir les afficher dans les requ tes et les rapports L int gration est mise en oeuvre avec un ensemble d l ments qui permettent un connecteur et un agent donn s de collecter les v nements partir d un ou de plusieurs types de source d v nement puis de les e
259. n du compte caelmadmin Passez l utilisateur root au moyen de la commande ci dessous Su Acc dez au r pertoire opt CA LogManager EEM Ex cutez la commande ci dessous J EMAcqCert sh Le script shell effectue le traitement requis pour acqu rir les certificats num riques n cessaire Chapitre 3 Installation de CA Enterprise Log Manager 99 D pannage de l installation Importation de rapports CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement le contenu des rapports depuis le serveur CA EEM Vous devez importer le contenu des rapports pour afficher les donn es d v nement apr s les avoir plac es dans le magasin de journaux d v nements Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement le contenu des rapports Pour importer le contenu des rapports 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous Su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMContent sh Le script shell t l charge le contenu des rapports depuis le serveur CA EEM Importation de fichiers de mappage de donn es
260. n est un utilisateur global auquel ont t attribu s des d tails au niveau de l application Les d tails d utilisateur d application CA Enterprise Log Manager incluent le groupe d utilisateurs et les ventuelles restrictions d acc s Si le magasin d utilisateurs est le r f rentiel local les d tails de l utilisateur d application incluent galement les informations d identification de connexion et les strat gies de mots de passe L utilisateur EEM configur dans la section Archivage automatique du Magasin de journaux d v nements sp cifie l utilisateur autoris ex cuter une requ te d archivage recataloguer la base de donn es d archivage ex cuter l utilitaire LMArchive et ex cuter le script shell restore ca elm pour restaurer les bases de donn es d archivage des fins d examen Cet utilisateur doit poss der le r le pr d fini Administrator ou un r le personnalis associ une strat gie personnalis e qui autorise l action Modifier sur la ressource Base de donn es Un utilisateur global se compose des informations de compte d utilisateur l exclusion des donn es propres aux applications Les d tails de l utilisateur global et les appartenances au groupe global sont partag s par l ensemble des applications CA int grant le magasin d utilisateurs par d faut Les d tails de l utilisateur global peuvent tre stock s dans le r f rentiel int gr o dans un r pertoire externe LMArchive est l
261. nager Vous n avez normalement pas besoin d interagir directement avec les fonctions du serveur CA EEM int gr sauf pour les configurations du basculement et les fonctions de restauration qui font partie de la r cup ration apr s sinistre Remarque L installation du serveur CA Enterprise Log Manager implique que vous utilisiez le mot de passe du compte d administration CA EEM par d faut EiamAdmin pour enregistrer correctement un serveur CA Enterprise Log Manager Lorsque vous installez le premier serveur CA Enterprise Log Manager de gestion vous cr ez ce nouveau mot de passe au cours de l installation Lorsque vous installez d autres serveurs CA Enterprise Log Manager avec le m me nom d instance d application vous cr ez automatiquement un environnement r seau dans lequel vous pouvez configurer ult rieurement des relations de f d ration entre les serveurs CA Enterprise Log Manager Chapitre 2 Planification de votre environnement 27 Planification de f d ration Consignes de collecte de journaux Observez les consignes de collecte de journaux suivantes lors de votre phase de planification m Le trafic de l agent au serveur CA Enterprise Log Manager est toujours chiffr que vous utilisiez la collecte de journaux sans agent ou avec agent m Envisagez d utiliser un m canisme local de collecte Syslog pour contourner des probl mes potentiels de remise garantie Lorsque vous d terminez l utilisation de la collecte direct
262. nager install Le serveur de gestion r alise les fonctions principales ci dessous a Il agit comme un r f rentiel commun pour tous les serveurs qui s enregistrent aupr s de lui Plus pr cis ment il stocke les utilisateurs d applications les groupes d applications r les les strat gies les calendriers et les AppObjects ma Si vous configurez le magasin d utilisateurs comme un magasin interne le serveur stocke les utilisateurs globaux les groupes globaux et les strat gies de mots de passe Si le magasin d utilisateurs configur fait r f rence un magasin d utilisateurs externe le serveur charge les d tails des comptes d utilisateurs globaux et les d tails des groupes globaux provenant du magasin d utilisateurs r f renc a Il g re les droits des utilisateurs avec un fichier mapp vers la m moire haut d bit Il authentifie les utilisateurs lors de la connexion en fonction de la configuration des utilisateurs et des groupes Il autorise les utilisateurs acc der diverses parties de l interface utilisateur en fonction des strat gies et des calendriers a Il re oit toutes les mises jour de contenu et de configuration t l charg es via l abonnement 18 Manuel d impl mentation Planification des serveurs Vous pouvez avoir un seul serveur de gestion actif sur un r seau de serveurs CA Enterprise Log Manager mais vous pouvez avoir galement un serveur de gestion de basculement inactif Si vous cr
263. nager pour CA Audit sur un serveur Windows 1 Collectez les informations ci dessous informations requises Valeur Nom ou adresse IP du serveur CA Enterprise Log Manager Nom du serveur CA EEM Mot de passe EiamAdmin 210 Manuel d impl mentation Int gration CA Audit r8 SP2 2 Acc dez au serveur sur lequel le Gestionnaire de strat gies est install puis au r pertoire iGateway 3 Ins rez le DVD de l application CA Enterprise Log Manager dans le lecteur et acc dez au r pertoire CA ELM Windows 4 Copiez le package d installation caelm4Audit exe sur le serveur du Gestionnaire de strat gies 5 D marrez l installation l aide de la commande ci dessous caelm4dAudit exe 6 R pondez aux invites l aide des informations collect es lors de l tape 1 Le processus d installation d marre et arr te automatiquement iGateway il modifie galement un fichier de configuration XML sp cifique AuditAdminConfig xml Remarque Une fois l installation termin e vous constatez un nouvel onglet Log Manager dans l interface utilisateur Administrator d Audit et la r organisation des onglets existants Acc s CA Enterprise Log Manager par le biais d Administrator d Audit Apr s avoir install le package CAELM4Audit utilisez la proc dure suivante pour acc der aux fonctions CA Enterprise Log Manager Il n existe aucune int gration de la sorte dans les versions d CA Audit ant rieures la version r8 SP2
264. nalys s opportun ment leur valeur est consid rablement r duite Les AppObjects Application Objects ou objets d application sont des ressources sp cifiques un produit ils sont stock s dans CA EEM sous l instance d application d un produit donn Pour l instance d application CAELM ces ressources incluent le contenu des rapports et requ tes les jobs planifi s pour les rapports et alertes les configurations et le contenu des agents les configurations de service d adaptateur et d int gration les fichiers de mappage de donn es et d analyse de message ainsi que les r gles de suppression et de r capitulation archivage automatique L archivage automatique est un processus configurable qui permet d automatiser le transfert des bases de donn es d archivage entre deux serveurs Lors de la premi re phase de l archivage automatique le serveur de collecte envoie les bases de donn es nouvellement archiv es au serveur de rapports la fr quence que vous avez pr d finie Lors de la seconde phase le serveur de rapports envoie les anciennes bases de donn es au serveur de stockage distant pour un stockage long terme ce qui vite d avoir effectuer la sauvegarde et le transfert manuellement Pour effectuer un archivage automatique vous devez configurer une authentification sans mot de passe entre le serveur source et le serveur de destination archivage de journaux L archivage de journaux est le processus se d rou
265. ne base de donn es est d plac e vers le stockage sauvegard sur le serveur distant elle est conserv e sur le serveur de rapports pendant le Nbre max de jours d archivage Si l archivage automatique n est pas activ les bases de donn es ti des sont conserv es en fonction des seuils configur s pour le Nbre max de jours d archivage et l Espace disque d archivage au premier des deux termes chu Les bases de donn es archiv es peuvent tre conserv es sur le serveur de rapports pendant 30 jours avant d tre supprim es sauf si l espace disque devient inf rieur 10 Dans ce cas le serveur de rapports g n re un v nement d autosurveillance et supprime les bases de donn es les plus anciennes jusqu ce que l espace disque disponible soit sup rieur 10 Vous pouvez cr er une alerte pour vous avertir de cette situation par courriel ou par flux RSS Lorsqu une base de donn es est restaur e d un serveur de stockage distant vers son serveur de rapports d origine elle est conserv e pendant 3 jours 72 heures Vous trouverez plus d informations sur chacun de ces champs et sur leurs valeurs dans l aide en ligne D finition des options des magasins de journaux d v nements La bo te de dialogue de configuration Magasin de journaux d v nements vous permet de d finir des options globales pour tous les serveurs CA Enterprise Log Manager Vous pouvez galement cliquer sur la fl che en regard de l entr e pour d
266. nement en ligne La planification de l abonnement implique les tapes ci dessous Evaluation du besoin d un proxy HTTP Evaluation du besoin d un proxy d abonnement hors ligne Evaluation du besoin d une liste de proxies Composants et ports d abonnement L abonnement implique les composants ci dessous Le serveur d abonnement CA Le proxy HTTP facultatif Chaque serveur CA Enterprise Log Manager qui peut tre configur de l une des mani res suivantes m Proxy d abonnement en ligne ma Client d abonnement m Proxy d abonnement hors ligne facultatif Le serveur CA Enterprise Log Manager de gestion g n ralement le proxy d abonnement par d faut Chapitre 2 Planification de votre environnement 43 Planification des mises jour d abonnement Le premier serveur CA Enterprise Log Manager install est g n ralement dot d une instance CA EEM locale et le premier CA Enterprise Log Manager install est par d faut le proxy d abonnement par d faut CA Enterprise Log Manager utilise un syst me de proxies ou clients et serveurs pour transmettre les mises jour des fichiers binaires et du contenu Le premier serveur CA Enterprise Log Manager install est automatiquement d fini comme votre proxy d abonnement par d faut Ce proxy d abonnement en ligne contacte p riodiquement le serveur d abonnement CA pour rechercher des mises jour Le contact peut se faire directement ou par le biais d un proxy HTTP Par d fau
267. nements De ce fait les requ tes et rapports risquent d afficher des informations n incluant pas les v nements mal mapp s ou m me d pourvues d v nements Configuration du service de collecteur SAPI Utilisez la proc dure suivante pour configurer le service de collecteur SAPI Vous pouvez modifier les strat gies CA Audit utilisant des actions du collecteur pour envoyer des v nements un serveur CA Enterprise Log Manager en plus ou la place de l envoi d v nements la base de donn es du collecteur CA Audit Configurez ce service avant de modifier les strat gies d audit pour vous assurer de ne perdre aucun v nement Annexe A Remarques pour les utilisateurs de CA Audit 191 Configuration d adaptateurs CA Pour configurer le service de collecteur SAPI 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut D veloppez l entr e Adaptateurs CA S lectionnez le service Collecteur SAPI Pour obtenir des descriptions de chaque champ reportez vous l aide en ligne Cliquez sur Enregistrer lorsque vous avez termin Configuration du service de routeur SAPI Utilisez la proc dure suivante pour configurer un service de routeur SAPI Vous pouvez modifier les strat gies CA Audit utilisant des actions du routeur pour envoyer des v nements un serveur CA Enterprise Log Manager en plus ou la place de
268. nements de l emplacement des agents des besoins en filtrage des donn es et d autres l ments La planification de l installation d agents implique les l ments ci dessous m Comprendre les relations entre les composants suivants a Int grations et couteurs m Agents m Connecteurs m Dimensionner votre r seau pour d cider du nombre d agents installer Vous devez installer des agents relativement proches des sources d v nement partir desquelles vous souhaitez collecter des journaux d v nements La plupart des connecteurs collectent les v nements partir d une seule et unique source d v nement Pour les v nements Syslog un seul couteur Syslog peut recevoir des v nements provenant de plusieurs types de sources d v nement Un agent peut contr ler et g rer le trafic d v nements provenant de plusieurs connecteurs A propos de la collecte d v nements Syslog CA Enterprise Log Manager peut recevoir des v nements provenant directement de sources Syslog La collecte Syslog diff re des autres m thodes de collecte car plusieurs sources de journaux diff rentes peuvent envoyer simultan ment des v nements CA Enterprise Log Manager Notez qu un routeur r seau et un concentrateur VPN sont deux sources d v nement possibles Ils peuvent tous deux envoyer des v nements directement CA Enterprise Log Manager l aide de Syslog mais les formats et structures des journaux sont diff rents Un a
269. nements aux CA Enterprise Log Manager par le biais du sponsor d v nements SAPI ou iTech pour les ins rer dans le magasin de journaux d v nements Les v nements sont mapp s vers la grammaire commune aux v nements CEG qui constitue la base des tables de base de donn es du magasin de journaux d v nements Vous pouvez ensuite utiliser les requ tes et rapports pr d finis pour collecter des informations sur vos v nements stock s Importation partir d une table SEOSDATA en temps r el L ex cution de l utilitaire LMSeosImport sur une table SEOSDATA en temps r el n est pas recommand e mais elle peut parfois tre in vitable Si vous devez ex cuter l utilitaire sur une table en temps r el celui ci importe uniquement une certaine section de donn es En effet les v nements ajout s la base de donn es apr s le lancement de l utilitaire LMSeosImport ne sont pas import s au cours de cette session d importation Annexe A Remarques pour les Utilisateurs de CA Audit 199 Importation des donn es d une table SEOSDATA Par exemple si vous ne sp cifiez pas les param tres minid et maxid dans la ligne de commande lorsque l utilitaire d marre il envoie une requ te la base de donn es pour trouver les ID d entr e minimal et maximal existants Par la suite l utilitaire se sert de ses requ tes et importe les activit s en fonction de ces valeurs Les v nements ins r s dans la base de donn es apr s l
270. nez Modifier les param tres La bo te de dialogue Propri t s de l ordinateur virtuel s affiche Mettez en surbrillance les propri t s du lecteur de CD DVD 1 Cliquez sur le bouton d option Unit h te et s lectionnez votre lecteur de DVD ROM dans la liste d roulante S lectionnez l option Etat de l unit Connecter au d marrage Cliquez sur Ajouter pour lancer l assistant d ajout de mat riel et ajouter un deuxi me disque dur Mettez le disque dur en surbrillance dans la liste des unit s et cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel et cliquez sur Suivant Sp cifiez la taille de votre nouveau disque et s lectionnez l option Sp cifier un magasin de donn es pour param trer son emplacement CA Enterprise Log Manager d tecte ce lecteur suppl mentaire au cours de l installation et l affecte au magasin de donn es Nous vous recommandons d optimiser l espace de stockage que vous pouvez mettre disposition de CA Enterprise Log Manager Remarque Le param tre de taille de bloc par d faut du serveur VMware ESX Server est 1 Mo ce qui limite 256 Go l espace disque maximal que vous pouvez cr er Si vous avez besoin d espace suppl mentaire jusqu 512 Go augmentez le param tre de taille de bloc 2 Mo gr ce la commande ci dessous Vmkistools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Annexe E CA Enterprise Log
271. niquement pour g rer les clients CA Audit 184 Manuel d impl mentation CA Enterprise Log Manager ne peut pas Autoriser les agents CA Enterprise Log Manager et les clients CA Audit dot s d iRecorders sur le m me h te acc der simultan ment aux m mes sources de journaux Migrer les donn es CA Audit contenues dans les collecteurs de tables les mod les de rapports ou les rapports personnalis s les strat gies d alerte les strat gies de collecte filtrage ou encore les strat gies de contr le d acc s bas es sur des r les Pr sentation des diff rences entre les architectures Architecture CA Audit L illustration qui suit montre une impl mentation CA Audit simplifi e Outils de donn es Surveillance de la s curit a i Gestionnaire de strat gies Clients Audit Dans certains d ploiements de CA Audit en entreprise les donn es d v nement sont stock es par le service du collecteur dans une base de donn es relationnelle qui s ex cute sur le serveur d outils de donn es Un administrateur de base de donn es surveille et entretient cette base de donn es il travaille galement avec un administrateur syst me pour mettre en place les strat gies ad quates afin de collecter les v nements souhait s et d exclure les v nements inutiles Sur ce diagramme les lignes pleines repr sentent les v nements transmis par les clients CA Audit l enregistreur et les h tes iRecorder au
272. nn es d effectuer certaines actions sp cifiques l application par exemple cr er planifier et modifier Rapport alerte et int gration sont des exemples de ressource d application Voir galement ressource globale Une ressource globale pour le produit CA Enterprise Log Manager est une ressource partag e avec les autres applications CA Vous pouvez cr er des strat gies de port e pour les ressources globales Utilisateur strat gie et calendrier sont des exemples de ressource globale Voir galement ressource d application Glossaire 295 r le Administrator r le Analyst r le Auditor r le d utilisateur routeur SAPI SafeObject SAPI Recorder Le r le Administrator accorde aux utilisateurs la possibilit d effectuer toutes les actions valides existantes sur l ensemble des ressources CA Enterprise Log Manager Seuls les utilisateurs Administrator sont autoris s configurer les services et la collecte de journaux ou encore g rer les utilisateurs les strat gies d acc s et les filtres d acc s Le r le Analyst accorde aux utilisateurs la possibilit de cr er et de modifier des requ tes et rapports personnalis s de modifier et d annoter les rapports de cr er des balises ou encore de planifier des rapports et alertes d action Les utilisateurs Analyst peuvent galement r aliser toutes les t ches du r le Auditor Le r le Auditor accorde aux utilisateurs l acc s aux rapports et leurs donn
273. nregistr s pour comparaison lors de la modification du mot de passe Une strat gie de mots de passe s rs doit emp cher les utilisateurs de r utiliser un mot de passe pendant un an au minimum a L anciennet maximale recommand e pour un mot de passe varie en fonction de la longueur et de la complexit du mot de passe Selon une r gle g n rale un mot de passe est acceptable lorsqu il ne peut pas tre r v l par une attaque en force en moins de temps que l anciennet maximale autoris e du mot de passe L anciennet maximale correcte est comprise entre 30 et 60 jours m Le param trage d une anciennet minimale emp che les utilisateurs de red finir plusieurs fois des mots de passe au cours d une seule session pour travailler sur une strat gie de restriction de r utilisation La meilleure pratique courante recommande 3 jours Chapitre 2 Planification de votre environnement 41 Planification des mises jour d abonnement Si vous d finissez une anciennet de mot de passe nous vous recommandons d avertir les utilisateurs pour qu ils r initialisent leur mot de passe Vous pouvez d finir l avertissement pour qu il se produise la moiti de l anciennet ou plus pr s de son expiration Vous devez verrouiller les comptes d utilisateur apr s un nombre raisonnable d checs de connexion Vous emp chez ainsi que les pirates ne parviennent deviner les mots de passe Le nombre de tentatives avant le verrouillage du co
274. nstallation et arr te le serveur 3 R pondez l invite de red marrage en retirant le m dia avant de cliquer sur Red marrer 4 A l invite ins rez le disque de l application CA Enterprise Log Manager et cliquez sur Entr e 5 R pondez aux invites l aide des informations collect es dans la feuille de calcul L installation se poursuit Lorsque le message Installation de CA Enterprise Log Manager termin e s affiche l installation est termin e Remarque Lorsque vous installez un autre serveur CA Enterprise Log Manager il se peut que vous remarquiez dans le journal d installation un message d erreur indiquant que le nom de l application que l installation a tent d enregistrer aupr s du serveur CA EEM existe d j Vous pouvez sans risque ignorer cette erreur car chaque installation de CA Enterprise Log Manager tente de cr er le nom de l application comme s il s agissait d une nouvelle application 74 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager Une fois l installation termin e vous devez configurer votre serveur CA Enterprise Log Manager avant de pouvoir recevoir des v nements Cela peut inclure la configuration d un connecteur sur l agent par d faut pour recevoir les v nements Syslog Informations compl mentaires D pannage de l installation page 96 Configuration de l agent par d faut page 155 V rifier que le processus iGateway s ex cute Si
275. nt CA par le biais de l URL du flux RSS pour obtenir la liste des modules pouvant tre t l charg s Lorsque l administrateur s lectionne les modules t l charger le syst me d termine les mises jour qui n ont pas encore t t l charg es vers le proxy en ligne Le proxy d abonnement en ligne t l charge les nouvelles mises jour d abonnement par le biais d un serveur proxy HTTP local si possible Les mises jour d abonnement incluent des mises jour du contenu ainsi que des mises jour du produit et du syst me d exploitation 48 Manuel d impl mentation Planification des mises jour d abonnement 2 Le proxy d abonnement en ligne envoie les mises jour du contenu et de la configuration au composant du serveur de gestion CA Enterprise Log Manager qui stocke ce type d informations pour l ensemble de CA Enterprise Log Manager de cet environnement 3 Les clients d abonnement interrogent le serveur proxy d abonnement Si de nouvelles mises jour sont disponibles les clients d abonnement les t l chargent Le t l chargement est un fichier ZIP contenant les mises jour du produit et du syst me d exploitation un script pour les installer et un fichier d informations sur les composants componentinfo xml Si n cessaire les clients d abonnement cr ent une sauvegarde de la derni re installation des mises jour du produit ainsi qu un script permettant de restaurer l tat des mises jour au cas o vous au
276. nterprise Log Manager est con u pour les administrateurs syst me responsables de l installation de la configuration et de la maintenance d une solution de collecte de journaux de la cr ation d utilisateurs et de l affectation ou de la d finition de leurs r les et acc s ainsi que de la conservation des donn es de sauvegarde Ce manuel soutient galement le personnel ayant besoin d informations sur la r alisation des t ches ci dessous m Configuration d un connecteur ou d un adaptateur pour collecter les donn es d v nements Configuration de services pour contr ler la g n ration de rapports ainsi que la conservation la sauvegarde et l archivage des donn es m Configuration d une f d ration de serveurs CA Enterprise Log Manager m Configuration de l abonnement pour obtenir les mises jour du contenu de la configuration et du syst me d exploitation Vous trouverez ci dessous un r capitulatif du contenu Description D crit les activit s de planification pour les domaines comme la collecte de journaux les agents la f d ration la gestion des utilisateurs et des acc s les mises jour de l abonnement et la r cup ration apr s sinistre Chapitre 1 Introduction 13 A propos de ce manuel Section Installation de CA Enterprise Log Manager Configuration des utilisateurs de base et des acc s Configuration des services Configuration de la collecte d v nements Cr ation de f d rations
277. nuel du connecteur pour Microsoft SQL Server s affiche 4 Consultez les sections concernant les l ments pr requis et la configuration de Microsoft SQL Server pour de plus amples instructions Pour configurer la source d v nement et v rifier la journalisation 1 Rassemblez les informations suivantes l adresse IP du serveur ODBC le nom de la base de donn es le nom d utilisateur et le mot de passe de l administrateur requis pour la connexion au serveur ainsi que les informations de connexion de l utilisateur faibles privil ges utilis pour l authentification SQL Server il s agit de l utilisateur d fini ayant un acc s en lecture seule la table de trace 2 Connectez vous au serveur ODBC en utilisant le nom d utilisateur et le mot de passe de l administrateur 3 Assurez la connectivit via TCP IP tel que sp cifi dans le manuel du connecteur pour Microsoft SQL Server 4 Configurez le serveur SQL et v rifiez que les v nements sont dirig s vers la table de trace tel que sp cifi dans le manuel du connecteur pour Microsoft SQL Server Remarque Conservez le nom de la base de donn es sur laquelle vous avez cr la table de trace Vous devez sp cifier ce nom de base de donn es dans la cha ne de connexion Par exemple master Chapitre 6 Configuration de la collecte d v nements 159 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor Pour cr er un connecteur su
278. nvoi d v nements directement un client CA Audit Dans ce cas vous pouvez configurer l exp diteur distant comme si le serveur CA Enterprise Log Manager tait le client CA Audit L couteur SAPI ouvre son propre port et coute passivement les nouveaux v nements qui lui sont envoy s Chaque instance du module SAPI dispose de sa propre configuration qui sp cifie les l ments ci dessous Port sur lequel couter Fichiers de mappage de donn es charger Biblioth ques de chiffrement utiliser Apr s r ception de l v nement le module le soumet la biblioth que de mappage puis CA Enterprise Log Manager l ins re dans la base de donn es Important La biblioth que de mappage de donn es peut contenir un ou plusieurs fichiers de mappage portant le m me nom mais des num ros de version diff rents Les diff rents fichiers prennent en charge diff rents niveaux de version de la m me source d v nement comme un syst me d exploitation une base de donn es etc Vous devez s lectionnez un seul fichier de mappage correspondant la version lorsque vous configurez le collecteur ou le routeur SAPI Si deux fichiers portant le m me nom sont pr sents dans la liste des fichiers de mappage s lectionn s le moteur de mappage utilise uniquement le premier fichier de la liste Si ce n est pas le fichier adapt au flux d v nements entrants le moteur de mappage ne peut pas mapper correctement les v
279. nvoyer CA Enterprise Log Manager Cet ensemble d l ments inclut le d tecteur de journaux ainsi que les fichiers XMP et de mappage de donn es con us pour tre lus partir d un produit sp cifique Les int grations permettant de traiter les v nements Syslog et les v nements WMI sont des exemples d int grations pr d finies Vous pouvez cr er des int grations personnalis es pour permettre le traitement d v nements non class s Une invite est un type de requ te sp cial qui affiche des r sultats en fonction de la valeur que vous saisissez et des champs CEG que vous s lectionnez Les lignes sont uniquement renvoy es pour les v nements dont la valeur saisie appara t dans au moins un des champs CEG s lectionn s 288 Manuel d impl mentation jeton d analyse de message ELM journal Un jeton d analyse de message est un mod le r utilisable servant la cr ation de la syntaxe d expression r guli re utilis e lors de l analyse de message CA Enterprise Log Manager A chaque jeton sont associ s un nom un type et une cha ne d expression r guli re Un journal est un enregistrement d audit ou message enregistr concernant un v nement ou un ensemble d v nements Un journal peut afficher diff rents types journal d audit journal de transaction journal d intrusion journal de connexion enregistrement des performances syst me journal des activit s utilisateur ou alerte liste de contr le d acc
280. oc dure qui suit CA Enterprise Log Manager collecte les v nements provenant de clients CA Audit l aide des couteurs du routeur SAPI CA Audit et du collecteur SAPI CA Audit Les v nements collect s sont conserv s dans le magasin de journaux d v nements CA Enterprise Log Manager uniquement apr s l envoi de la strat gie aux clients et son activation Important Vous devez configurer les couteurs CA Enterprise Log Manager pour recevoir des v nements avant de modifier et d activer la strat gie Si vous n effectuez pas cette configuration en premier vous constaterez peut tre des v nements mal mapp s entre le moment o la strat gie devient active et celui o les couteurs peuvent mapper correctement les v nements Annexe A Remarques pour les Utilisateurs de CA Audit 197 Quand importer des v nements Pour modifier une action d une r gle de strat gie r8 SP2 afin d envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur gestionnaire de strat gies en tant qu utilisateur dot du r le Maker Acc dez la r gle que vous souhaitez modifier en d veloppant son dossier dans le volet Strat gies et en choisissant la strat gie souhait e La strat gie s affiche accompagn e de ses r gles dans le volet D tails Cliquez sur la r gle que vous souhaitez modifier La r gle s affiche accompagn e de ses actions dans le volet D tails Cliquez sur Modifier L assistant
281. ogiciel CA Enterprise Log Manager sur un nouveau serveur mat riel Acc dez une invite de commande et recherchez le r pertoire opt CA LogManager EEM Copiez le fichier de sauvegarde lt Nom_Instance_App gt xml gz provenant de votre serveur de sauvegarde externe vers ce r pertoire Ex cutez la commande ci dessous pour r cup rer le fichier d exportation XML gunzip lt Nom_instance App gt xmi gz Ex cutez la commande ci dessous pour restaurer le fichier d exportation sur le nouveau serveur de gestion safex h nom h te serveur eem u EiamAdmin p mot_ passe f Nom instance App xml Acc dez au r pertoire opt CA ELMAgent bin Remplacez le fichier par d faut AgentCert p12 par le fichier sauvegard CAELM_AgentCert p12 pour garantir le bon d marrage de l agent Sauvegarde d un serveur CA Enterprise Log Manager Vous pouvez sauvegarder l ensemble d un serveur CA Enterprise Log Manager partir du dossier opt CA LogManager data Ce dossier de donn es est un lien symbolique vers le dossier de donn es du r pertoire racine data Pour sauvegarder un serveur CA Enterprise Log Manager 1 2 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur caelmadmin Acc dez au compte root l aide de l utilitaire su 252 Manuel d impl mentation Restauration d un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde Acc dez au r pertoire opt CA LogManager Ex cutez
282. ombre de jours pendant lequel le serveur proxy conserve les packages de mises jour Cette valeur est uniquement disponible en tant que param tre global Red marrage automatique apr s mise jour du SE D termine si CA Enterprise Log Manager red marre automatiquement apr s une mise jour du syst me d exploitation Cette valeur est uniquement disponible en tant que param tre global Modules t l charger Vous permet de s lectionner les modules qui s appliquent votre environnement d exploitation Les modules s lectionn s pour les serveurs proxy d terminent les modules t l charg s partir du serveur d abonnement CA dans le cadre des mises jour d abonnement Les modules s lectionn s pour les clients sont utilis s pour mettre jour les modules correspondants install s sur le client Vous pouvez s lectionner un module t l charger pour un client qui n est pas s lectionn pour son proxy Le proxy le conserve pour le client mais ne l installe pas sur son propre syst me Remarque Si ce champ n est pas rempli d finissez l URL du flux RSS Ce param tre permet au syst me de lire le flux RSS et au prochain intervalle de mise jour d afficher la liste des modules disponibles t l charger 146 Manuel d impl mentation Configuration de l abonnement Serveurs proxy d abonnement pour le client Vous permet de d finir les proxies contacter pour les mises jour des produits et du syst me d e
283. on Ensuite les clients d abonnement ex cutent le script d installation des mises jour du produit Evaluation du besoin d une liste de proxies Avant de configurer des clients d abonnement d terminez la source partir de laquelle les clients d abonnement r cup rent les mises jour de contenu Les clients d abonnement peuvent obtenir des mises jour directement depuis le proxy d abonnement par d faut mais vous pouvez galement configurer une liste de proxies interm diaires pour transf rer les requ tes de mise jour m Pour les entreprises dot es de quelques serveurs CA Enterprise Log Manager proximit les uns des autres sur le r seau nous recommandons que tous les clients d abonnement utilisent le proxy d abonnement par d faut Proxy d abonnement en ligne par d faut FAP CA Enterprise Log Manager Tous les clients d abonnement sont dessers per le proxy d abonnement par d faut 52 Manuel d impl mentation Planification des mises jour d abonnement m Pour les entreprises affichant un grand nombre de serveurs CA Enterprise Log Manager ou pour lesquelles les serveurs CA Enterprise Log Manager sont largement dispers s nous recommandons de configurer une liste de proxies d abonnement pour chaque client d abonnement Lorsqu une liste de proxies est configur e chaque client contacte les membres de la liste un par un ce n est qu en cas d chec qu il contacte le proxy d abonnement par d faut
284. on CA IT PAM jusqu ce que vous s lectionniez le type de serveur de s curit Quand la bo te de dialogue Select Security Server Type S lection du type de serveur de s curit s affiche s lectionnez EEM comme serveur de s curit et cliquez sur Suivant La page Param tres de s curit EEM s affiche 246 Manuel d impl mentation D marrez le service du serveur CA ITPAM Compl tez les param tres de s curit EEM comme suit a Saisissez le nom d h te du serveur de gestion CA Enterprise Log Manager dans le champ du serveur EEM b Saisissez ITPAM dans le champ de l application EEM c Cliquez sur Parcourir et acc dez au dossier iTechnology puis s lectionnez itpamcert p12 Son emplacement par d faut est le suivant C Program Files CA SharedComponents iTechnology tpamcert p12 d Renseignez le champ du mot de passe du certificat EEM de l une des fa ons suivantes Saisissez le mot de passe que vous avez remplac dans le fichier ITPAM_eem xmi lors de l tape de pr paration Saisissez itpamcertpass le mot de passe par d faut Cliquez sur Test EEM Settings Tester les param tres EEM Le message suivant s affiche Performing a test may take a few minutes Test en cours Cela peut prendre quelques minutes Cliquez sur OK La bo te de dialogue Verify EEM settings V rifier les param tres EEM s affiche Saisissez itpamadmin comme nom d utilisateur Saisissez le mot de passe que v
285. on peut prendre en charge tous les r les serveur de point de restauration serveur de rapports Le serveur de point de restauration est un r le attribu un serveur CA Enterprise Log Manager Pour tudier des v nements sauvegard s vous pouvez transf rer des bases de donn es depuis le serveur de stockage distant jusqu au serveur de point de restauration l aide d un utilitaire puis ajouter ces bases au catalogue et ex cuter les requ tes de votre choix Transf rer des bases de donn es froides vers un point de restauration d di est une alternative int ressante la restauration de ces bases sur le serveur de rapports original Le serveur de rapports est un r le attribu un serveur CA Enterprise Log Manager Le serveur de rapports re oit les bases de donn es ti des archiv es automatiquement en provenance d un ou plusieurs serveurs de collecte Il traite les requ tes les rapports ainsi que les alertes et les rapports planifi s Glossaire 297 serveur de rapports Le serveur de rapports est le service qui stocke les informations de configuration telles que le serveur de messagerie utiliser lors de l envoi des alertes par courriel l apparence des rapports enregistr s au format PDF ainsi que la conservation des strat gies pour les rapports enregistr s sur le serveur de rapports et les alertes envoy es au flux RSS serveur de stockage distant serveur ODBC serveur proxy HTTP Le serveur de stock
286. onn es qui a t restaur e dans le r pertoire d archivage apr s l ex cution de l utilitaire LMArchive par l administrateur pour indiquer CA Enterprise Log Manager que la base de donn es a t restaur e Les bases de donn es d givr es sont conserv es pendant le nombre d heures configur pour la strat gie d exportation Vous pouvez effectuer des requ tes sur des journaux d v nements dans les bases de donn es chaudes ti des et d givr es de donn es L tat froid s applique une base de donn es ti de lorsqu un administrateur ex cute l utilitaire LMArchive pour avertir CA Enterprise Log Manager que la base de donn es a t sauvegard e Les administrateurs doivent sauvegarder les bases de donn es ti des et ex cuter cet utilitaire avant que ces bases de donn es ne soient supprim es En effet une base de donn es ti de est automatiquement supprim e lorsque son anciennet d passe la valeur Nbre max de jours d archivage d finie ou lorsque le seuil Espace disque d archivage est atteint d s que l une de ces deux conditions est remplie Vous pouvez interroger la base de donn es d archivage pour identifier les bases de donn es dont l tat est ti de ou froid tat ti de d une base de donn es L tat ti de correspond une base de donn es chaude de journaux d v nements qui est d plac e lorsque sa taille atteint la limite maximale sp cifi e Nombre maximum de lignes ou lorsqu un recatalogage es
287. onnement globaux 140 Remarques sur l abonnement 2 2 2214 diurne AE EIOS EOE 143 Configuration des serveurs CA Enterprise Log Manager pour l abonnement 147 Chapitre 6 Configuration de la collecte d v nements 153 Installation d agents RU RE a ne G e a A e TR de ne 153 Utilisation de l Explorateur d agent 2 22 2222 154 Configuration de l agent par d faut 2 155 Examen des int grations et couteurs Syslog 156 Cr ation d un connecteur Syslog pour l agent par d faut 156 V rification de la r ception des v nements Syslog par le serveur CA Enterprise Log Manager 157 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor 158 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor 164 Table des mati res 9 Affichage et contr le de l tat d un agent ou d un connecteur 169 Chapitre 7 Cr ation de f d rations 171 Requ tes et rapports dans un environnement f d r 171 F d rations hi rarchiques 172 Exemple de f d ration hi rarchique
288. ons qui n ont pas besoin d autres proxies d abonnement en ligne Pour les installations plus importantes mieux vaut configurer d autres serveurs Si plusieurs serveurs sont configur s comme proxies d abonnement en ligne dans un environnement en ligne vous pouvez alors s lectionner les proxies pouvant tre interrog s par chaque client Lorsqu un client peut contacter plusieurs serveurs de mani re circulaire il est plus s r de pouvoir t l charger les mises jour d abonnement quand cela est n cessaire Le chemin de t l chargement pr configur est opt CA LogManager data subscription Seuls les administrateurs peuvent configurer les proxies d abonnement Pour configurer un proxy d abonnement en ligne 1 Cliquez sur l onglet Administration puis sur Services d veloppez le Module d abonnement et s lectionnez le serveur configurer La Configuration du service du Module d abonnement s affiche pour le serveur CA Enterprise Log Manager s lectionn 2 S lectionnez l option Proxy d abonnement et ne s lectionnez pas l option Hors ligne V Proxy d abonnement Proxy d abonnement hors ligne 148 Manuel d impl mentation Configuration de l abonnement 7 Pour supplanter un param tre global cliquez sur le bouton de basculement global local pour passer la configuration locale du service pour le champ s lectionn puis apportez les modifications n cessaires Remarque Si vous cliquez nouvea
289. oot au moyen de la commande ci dessous Su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImportCALMFlexFiles sh Le script shell importe les fichiers de l interface utilisateur 106 Manuel d impl mentation Chapitre 4 Configuration des utilisateurs de base et des acces Ce chapitre traite des sujets suivants A propos des utilisateurs de base et des acc s page 107 Configuration du magasin d utilisateurs page 108 Configuration des strat gies de mots de passe page 111 Conservation des strat gies d acc s pr d finies page 113 Cr ation du premier administrateur page 114 A propos des utilisateurs de base et des acc s La configuration commence par le param trage du magasin d utilisateurs la cr ation d un ou plusieurs utilisateurs dot du r le Administrator pr d fini et la configuration des strat gies de mots de passe En g n ral cette configuration est r alis e par l installateur qui peut se connecter CA Enterprise Log Manager avec les informations d identification EiamAdmin Une fois cette configuration termin e les utilisateurs d finis comme des administrateurs configurent CA Enterprise Log Manager Si la configuration du magasin d utilisateurs par d faut est accept e la configuration minimale devant tre atteinte par l utilisateur EiamAdmin est le compte pour le premier administrateur Le premier administrateur peut configur
290. orte quel serveur de collecte et s lectionnez l option F d r e Vous pouvez limiter la quantit d informations renvoy es aux serveurs de collecte en sp cifiant comme crit re de recherche une plage pr d finie par exemple au cours de la derni re heure Informations compl mentaires Configuration d un serveur CA Enterprise Log Manager en tant que serveur enfant page 176 R les des serveurs page 18 Planification des utilisateurs et des acc s Apr s avoir install le premier serveur CA Enterprise Log Manager et y avoir acc d en tant qu utilisateur EiamAdmin vous pouvez configurer le magasin d utilisateurs configurer un utilisateur en temps qu administrateur et d finir des strat gies de mots de passe La planification des utilisateurs et des acc s est limit e aux l ments ci dessous m D terminez si vous devez accepter le magasin d utilisateurs par d faut sur ce serveur CA Enterprise Log Manager ou configurer un magasin d utilisateurs externe Si la configuration est n cessaire enregistrez les valeurs requises dans les feuilles de calcul fournies m Identifiez l utilisateur qui agira comme le premier administrateur Seul un administrateur peut configurer des param tres CA Enterprise Log Manager m D finissez les strat gies de mots de passe en ayant pour objectif de promouvoir des mots de passe s rs pour les utilisateurs de CA Enterprise Log Manager Remarque Vous ne pouvez configurer des
291. os du module d extension d v nements iTechnology 193 Envoi d v nements CA Audit CA Enterprise Log Manager 194 Configuration d iRecorder pour envoyer des v nements CA Enterprise Log Manager 194 Modification d une strat gie CA Audit existante pour envoyer des v nements CA Ent erprise Log Manager seess caeiie ahaa aa Mesure a a a er ou 195 Modification d une strat gie r8 SP2 pour envoyer des v nements CA Enterprise Log Manager 197 Quand importer des v nements 2 198 A propos de l utilitaire d importation SEOSDATA 44 e4eee 199 Importation partir d une table SEOSDATA en temps r el 199 Importation des donn es d une table SEOSDATA 200 Copie de l utilitaire d importation d v nements sur un serveur d outils de donn es Solaris 201 Copie de l utilitaire d importation sur un serveur d outils de donn es Windows 201 Pr sentation de la ligne de commande LMSeosImport 202 Cr ation d un rapport d v nements 205 Pr visualisation des r sultats de l importation 206 Importation d v nements provenant d une base de donn es de
292. ot de passe car vous l utiliserez nouveau lors des installations d autres serveurs et agents CA Enterprise Log Manager Remarque Le mot de passe entr ici est galement le mot de passe initial du compte caelmadmin par d faut que vous utiliserez pour acc der directement au serveur CA Enterprise Log Manager via ssh Installation d un serveur CA Enterprise Log Manager Informations CA Enterprise Valeur Commentaires Log Manager Si vous le souhaitez vous pouvez cr er d autres comptes d administrateur pour acc der aux fonctions CA EEM apr s l installation Nom d instance d application CAELM Lorsque vous installez le premier serveur CA Enterprise Log Manager sur votre r seau vous cr ez une valeur d instance d application dans cette invite Les autres serveurs CA Enterprise Log Manager utilisent cette valeur pour s enregistrer aupr s du serveur de gestion Le nom d instance d application par d faut est CAELM Vous pouvez utiliser n importe quel nom pour cette valeur Notez ce nom d instance d application pour l utiliser lors d installations ult rieures de CA Enterprise Log Manager Remarque L installation vous permet d examiner et de modifier les d tails du serveur CA EEM avant qu il ne tente de se connecter Si le programme d installation est incapable de se connecter au serveur de gestion sp cifi et que vous d cidez de poursuivre l installation vous pouvez enregistrer manuellement le serveur CA
293. ouiller d autres comptes d utilisateur m R f rence partir de CA SiteMinder Les noms d utilisateur les mots de passe et les groupes globaux sont charg s depuis CA SiteMinder vers le magasin d utilisateurs CA Enterprise Log Manager Les utilisateurs sont authentifi s par leur nom d utilisateur et leur mot de passe r f renc s Vous pouvez affecter le groupe global une strat gie nouvelle ou existante Vous ne pouvez pas cr er de nouveaux utilisateurs modifier les mots de passe ou configurer des strat gies de mots de passe m R f rence partir du r pertoire LDAP Lightweight Directory Access Protocol Les noms d utilisateur et les mots de passe sont charg s depuis le r pertoire LDAP vers le magasin d utilisateurs CA Enterprise Log Manager Les utilisateurs sont authentifi s par leur nom d utilisateur et leur mot de passe r f renc s Les informations des comptes d utilisateur charg s cr ent des comptes d utilisateur globaux Vous pouvez affecter aux utilisateurs globaux un r le d utilisateur correspondant l acc s que vous souhaitez lui attribuer dans CA Enterprise Log Manager Vous ne pouvez pas cr er de nouveaux utilisateurs ou configurer des strat gies de mots de passe Important Nous vous recommandons de sauvegarder les strat gies d acc s pr d finies fournies avec CA Enterprise Log Manager avant que vous ou tout autre administrateur ne commence travailler dessus Pour plus de d tails consultez le
294. our CA EEM et pour CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que vous puissiez acc der l une ou l autre de ces applications Utilisez la proc dure suivante pour d marrer le processus iGateway s il ne fonctionne pas d j Remarque Si vous ne parvenez pas d marrer iGateway v rifiez que le dossier contient suffisamment d espace libre Un espace disque trop faible emp che le d marrage d iGateway Pour d marrer le d mon ou service iGateway 1 Connectez vous en tant qu utilisateur caelmadmin pour le serveur CA Enterprise Log Manager 2 Passez l utilisateur root au moyen de la commande ci dessous su 3 D marrez le processus iGateway l aide de la commande ci apr s IGW_LOC S99igateway start S99igateway est le script de d marrage du processus iGateway et il appartient au compte root Lorsque le processus iGateway d marre il s ex cute sous le compte d utilisateur caelmservice 76 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager Arr t du d mon ou service iGateway Le d mon ou service iGateway est le processus qui g re tous les appels adress s l interface utilisateur pour CA EEM et pour CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que vous puissiez acc der l une ou l autre de ces applications Utilisez la proc dure suivante pour arr ter le processus iGateway Vous pouvez agir ainsi pour vous pr pa
295. our importer diff rents types de donn es Par exemple vous pouvez choisir de migrer vos donn es en plusieurs sessions adapt es en fonction d une plage d ID d entr e du type de journal ou de plages de dates pr cises 202 Manuel d impl mentation Importation des donn es d une table SEOSDATA Remarque L utilitaire ne propose pas le suivi d importation des sessions ant rieures Il est possible de dupliquer les donn es dans votre base de donn es CA Enterprise Log Manager si vous ex cutez la commande plusieurs fois avec les m mes param tres Pour obtenir les meilleurs r sultats restreignez votre importation au type de journal l aide de l option log ou l ID d entr e l aide des options minid et maxid pour am liorer les performances de l importation Utilisez l option retry pour permettre la r cup ration apr s n importe quelle erreur pouvant survenir au cours de l importation d v nements L utilitaire utilise la valeur retry par d faut de 300 secondes afin d optimiser la r ussite de l importation Commande et options de l utilitaire d importation L utilitaire LMSeosImport prend en charge la syntaxe et les options de la ligne de commande r pertori es ci dessous LMSeosimport dsn nom _dsn user nom utilisateur password mot de passe target nom _cible sid nnn eid nnnn stm aaaa mm jj etm aaaa mm j Jog nom joumal transport sapilitech chunk nnnn pretend verbose delay report retry ds
296. ource de donn es 1 Dans le Panneau de configuration Windows s lectionnez Outils d administration Double cliquez sur l utilitaire Sources de donn es ODBC La fen tre Administrateur de sources de donn es ODBC s affiche Cliquez sur Ajouter pour afficher la fen tre Cr er une nouvelle source de donn es S lectionnez Pilote ODBC CA Enterprise Log Manager puis cliquez sur Terminer La fen tre Installation du pilote ODBC CA Enterprise Log Manager appara t Renseignez les champs tel que d crit dans la section sur les consid rations sur les sources de donn es ODBC puis cliquez sur OK Consid rations sur les sources de donn es ODBC Ci dessous sont d crits les champs de source de donn es ODBC en lien avec CA Enterprise Log Manager Nom de la source de donn es Nom de la source de donn es en question Les applications clientes qui souhaitent utiliser ces donn es utilisent ce nom pour se connecter la source de donn es H te du service Indique le nom du serveur CA Enterprise Log Manager auquel le client se connecte Vous pouvez utiliser aussi bien un nom d h te qu une adresse IPv4 Port du service Indique le num ro de port du service TCP sur lequel le serveur CA Enterprise Log Manager coute pour les connexions au client ODBC La valeur par d faut est 17002 La valeur que vous d finissez ici doit correspondre celle du service Serveur ODBC faute de quoi la connexion choue Source de don
297. ous chown caelmservice caelmservice authorized keys Modifiez les autorisations du fichier de cl s autoris es l aide de la commande ci dessous chmod 755 authorized_ keys L authentification non interactive est d sormais configur e entre un serveur de rapports CA Enterprise Log Manager et l h te distant utilis pour le stockage Validation de la configuration Vous pouvez valider la configuration de l authentification non interactive entre les serveurs source et de destination des deux phases de l archivage automatique Pour valider la configuration entre les serveurs de collecte et de rapports 1 Connectez vous au serveur CA Enterprise Log Manager de collecte via ssh en tant qu utilisateur caelmadmin 2 Basculez sur le compte d utilisateur root su 3 Basculez sur le compte d utilisateur caelmservice su caelmservice 4 Entrez la commande suivante ssh caelmsenice lt nom serveur _rapports gt hostname La commande doit s ex cuter sans authentification et renvoyer la sortie de la commande hostname sur le serveur de rapports distant Pour valider la configuration entre le serveur de rapports et le serveur de stockage distant 1 Connectez vous au serveur CA Enterprise Log Manager de collecte via ssh en tant qu utilisateur caelmadmin Basculez sur le compte d utilisateur root SU 132 Manuel d impl mentation Configuration du magasin de journaux d v nements 3 Basculez sur le compte d
298. ous le souhaitez Si vous envisagez d utiliser plusieurs serveurs CA Enterprise Log Manager sur un r seau f d r vous souhaiterez peut tre s lectionner la case cocher Utiliser les requ tes f d r es Cette option vous permet de collecter des donn es d v nement pour les rapports depuis l ensemble des serveurs CA Enterprise Log Manager f d r s agissant comme enfants de ce serveur CA Enterprise Log Manager Vous pouvez galement choisir de d sactiver les requ tes f d r es pour une requ te sp cifique si vous souhaitez afficher uniquement les donn es du serveur CA Enterprise Log Manager actuel Pour d finir l utilisation des requ tes f d r es 1 Connectez vous au serveur CA Enterprise Log Manager 2 Cliquez sur le bouton Afficher Modifier les filtres globaux Ce bouton se trouve droite du nom du serveur CA Enterprise Log Manager actuel juste au dessus des onglets principaux 3 Cliquez sur l onglet Param tres Chapitre 5 Configuration des services 123 Utilisation des Param tres et filtres globaux 4 Indiquez si vous souhaitez utiliser des requ tes f d r es Si vous d sactivez l option de s lection des requ tes f d r es les rapports affich s ne contiendront pas de donn es d v nement provenant des serveurs configur s comme tant les enfants de ce serveur Informations compl mentaires Configuration d une f d ration CA Enterprise Log Manager page 175 Configuration
299. ous avez d fini pour le compte d utilisateur itpamadmin puis cliquez sur OK Cliquez sur Suivant Suivez les instructions IT PAM fournies pour compl ter le reste de l assistant D marrez le service du serveur CA ITPAM D marrez le service du serveur CA ITPAM de sorte que vous m me et d autres utilisateurs puissiez lancer le serveur CA IT PAM Pour d marrer le service du serveur CA ITPAM 1 2 Connectez vous au serveur Windows o le domaine CA IT PAM est install Dans le menu D marrer s lectionnez Programmes Domaine ITPAM D marrer le service du serveur Remarque Si cette option de menu ne s affiche pas s lectionnez Outils d administration Services de composants Cliquez sur Services Serveur CA IT PAM puis sur D marrer le service Annexe C Remarques sur CA IT PAM 247 Lancez la console du serveur CA IT PAM et connectez vous Lancez la console du serveur CA IT PAM et connectez vous Vous pouvez lancer le serveur CA IT PAM partir d un navigateur sur n importe quel syst me o l API Java JRE 1 6 ou JDK 1 6 est install e et int gr e Pour lancer la console de gestion CA IT PAM 1 Saisissez l URL suivante dans la barre d adresse d un navigateur http lt nomh te serveur_itpam gt 8080 itpam L cran de connexion de l application CA IT Process Automation Manager s affiche 2 Saisissez itpamadmin dans le champ Connexion de l utilisateur 3 Saisissez le mot de passe attribu ce com
300. outes les heures Cela permet de lib rer de l espace disque pour les v nements entrants Les deux serveurs utilisent une sauvegarde incr mentielle pour ne pas avoir d placer des volumes importants de donn es en une fois Lorsqu une base de donn es ti de est d plac e vers le serveur de rapports elle est automatiquement supprim e du serveur de collecte Remarque La valeur 0 pour l Heure de d but n a aucun effet lorsque la fr quence de sauvegarde est param tr e sur Toutes les heures Pour l Utilisateur EEM et le Mot de passe EEM vous sp cifiez les informations d identifications d un utilisateur CA Enterprise Log Manager dot du r le Administrator pr d fini ou d un r le personnalis associ une strat gie personnalis e offrant la possibilit d effectuer l action Modifier sur la ressource de la base de donn es Pour le serveur de rapports sp cifiez opt CA LogManager comme Emplacement distant et caelmservice comme Utilisateur distant en cas d archivage automatique du serveur de rapports vers le serveur de stockage distant Vous cr ez ce chemin et cet utilisateur lorsque vous configurez une authentification non interactive entre ces serveurs 134 Manuel d impl mentation Configuration du magasin de journaux d v nements Les options d archivage automatique de cet exemple d placent les fichiers d archive du serveur de rapports vers le serveur de stockage distant tous les jours partir de 23 h 00 Lorsqu u
301. page pour Access Control si elle est absente puis supprimez les autres s lections de fichiers de mappage de la liste des fichiers de mappage S lectionn s Fichiers de mappage Disponible s S lectionn e s Hom a Version Fichier 4ccessControl 12 0 5004 0 AccessControl 12 0 5004 0 AccessControl 12 0 5008 0 ACF2 12 0 46 5 ACSelogrd 12 0 5006 0 AIxX_syslog 12 0 5003 0 amp pache_2059 1 12 0 5003 0 Apache 2059 1 12 0 5003 0 qaa 7 Cliquez sur Enregistrer Modification d une strat gie CA Audit existante pour envoyer des v nements CA Enterprise Log Manager Utilisez la proc dure suivante pour permettre un client CA Audit d envoyer des v nements a fois CA Enterprise Log Manager et la base de donn es du collecteur CA Audit En ajoutant une nouvelle cible aux actions Collecteur ou Acheminement d une r gle existante vous pouvez envoyer les v nements collect s aux deux syst mes Vous pouvez galement modifier des strat gies ou r gles sp cifiques pour envoyer des v nements uniquement au serveur CA Enterprise Log Manager 218 Manuel d impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager CA Enterprise Log Manager collecte les v nements provenant de clients CA Audit l aide des couteurs du routeur SAPI CA Audit et du collecteur SAPI CA Audit CA Enterprise Log Manager peut galement collecter
302. patchEP gt lt ISType gt DSP lt ISType gt lt Gated false lt Gated gt lt PreLoad gt true lt PreLoad gt lt RouteEvent false lt RouteEvent lt RouteEventHost localhost lt RouteEventHost lt EventsToCache 100 lt EventsToCache gt lt EventUseHttps gt true lt EventUseHttps gt lt EventUsePersistentConnections gt true lt EventUsePersistentConnections gt lt EventUsePipeline false lt EventUsePipeline gt lt StoreEventHost max 10000 gt localhost lt StoreEventHost lt RetrieveEventHost interval 60 localhost lt RetrieveEventHost lt UID gt ef1f44ef r8spicr3596a1052 abcd28 2 lt UID gt lt PublicKey gt Valeur cl publique lt PublicKey gt lt PrivateKey gt Valeur _cl priv e lt PrivateKey gt lt EventsToQueue gt 10 lt EventsToQueue gt lt Sponsor gt 5 Sp cifiez la valeur RouteEvent ci dessous lt RouteEvent gt true lt RouteEvent Cette entr e indique iGateway d envoyer ses v nements notamment tous les v nements iRecorder l h te nomm dans la paire de balises RouteEventHost 6 Sp cifiez la valeur RouteEventHost ci dessous lt RouteEventHost Votre nom h te CA Enterprise Log Manager lt RouteEventHost Cette entr e indique iGateway d envoyer ses v nements au serveur CA Enterprise Log Manager en utilisant son nom DNS Annexe B Remarques pour les Utilisateurs de CA Access Control 227 Importation d v nements CA Access Control provenant d une base de donn es de collecteur
303. patibles avec les clients ODBC et JDBC reportez vous la matrice de certification de prise en charge CA Enterprise Log Manager disponible l adresse http www ca com Support Configuration du service Serveur ODBC Cette proc dure vous permet de configurer un acc s ODBC et JDBC au magasin de journaux d v nements CA Enterprise Log Manager Pour configurer un acc s ODBC et JDBC 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur Administrator 2 Acc dez l onglet Administration puis cliquez sur le sous ongJlet Services Chapitre 3 Installation de CA Enterprise Log Manager 87 Installation du client ODBC Cliquez sur le service Serveur ODBC pour ouvrir les param tres globaux ou d veloppez le noeud pour s lectionner un serveur CA Enterprise Log Manager D finissez un num ro de port dans le champ Port du service si vous souhaitez utiliser un port autre que celui par d faut Indiquez si vous souhaitez activer SSL pour chiffrer les donn es transf r es entre le client ODBC et le serveur CA Enterprise Log Manager Remarque Les param tres Port du service et SSL activ doivent tre configur s de la m me mani re sur le serveur et sur le client ODBC Par d faut le num ro du port est 17002 et le chiffrement SSL est activ Si ces param tres ne correspondent pas ceux du client ODBC les tentatives de connexion chouent Installation du client ODBC sur les syst mes Windows Ut
304. peu lev et de rapports planifi s peu nombreux comme dans un syst me de test CA Enterprise Log Manager Serveur de gestion collecte rapports Serveur de stockage distant Chapitre 2 Planification de voire environnement 21 Planification des serveurs La deuxi me architecture la plus simple est un syst me comptant plusieurs serveurs dans lequel le premier CA Enterprise Log Manager install effectue la plupart des r les m CA Enterprise Log Manager de gestion et de g n ration de rapport s occupe de la gestion de la configuration du contenu ainsi que des requ tes et des rapports m CA Enterprise Log Manager de collecte s occupe de la collecte et de l ajustement d v nement Remarque Un serveur distant non CA Enterprise Log Manager est configur pour stocker les bases de donn es archiv es des journaux d v nements Cette architecture convient un r seau affichant un volume d v nements mod r Les fl ches indiquent que la fonctionnalit de gestion du serveur de gestion rapports conserve les param tres globaux qui s appliquent tous les serveurs Lorsqu il y a de nombreux serveurs de collecte cette architecture est appel e configuration en toile R seau CA Enterprise Log Manager Serveur de Serveur de gestion rapports stockage distant Serveur de collecte 22 Manuel d impl mentation Planification des serveurs Sur un r seau important qui g re un volume d v nemen
305. pitre 4 Configuration des utilisateurs de base et des acc s 109 Configuration du magasin d utilisateurs 8 Renseignez ces champs en fonction de la feuille de calcul du r pertoire externe Etudiez l exemple ci dessous pour la liaison vers les objets Active Directory avec la cha ne de liaison ci dessous D finissez objUser Get Object LDAP cn Bob cn Users ou Sales dc MyDomain dc com o cn est le nom commun ou est l unit organisationnelle et dc est constitu de deux composants de domaine formant le nom DNS complet Pour le DN utilisateur vous pouvez entrer cn Bob cn Users ou Sales dc MyDomain dc com Cliquez sur Enregistrer L enregistrement de cette r f rence charge les informations des comptes d utilisateur dans CA EEM Vous pouvez alors acc der ces enregistrements d utilisateur comme s il s agissait d utilisateurs globaux puis ajouter des d tails au niveau de l application comme le groupe d utilisateurs de l application et le nom du r le d utilisateur Examinez l tat affich pour v rifier que la liaison vers le r pertoire externe est effective et que les donn es sont charg es Si l tat affiche un avertissement cliquez sur Actualiser l tat Si l tat affiche une erreur corrigez la configuration cliquez sur Enregistrer et r it rez cette tape Cliquez sur Fermer Informations compl mentaires Planification du magasin d utilisateurs page 36 Feuille de calcul du r p
306. plusieurs connecteurs pour collecter simultan ment de nombreux types d v nements diff rents Cela signifie qu un seul agent d ploy sur une source individuelle d v nement peut collecter diff rents types d informations Le serveur CA Enterprise Log Manager dispose galement d couteurs qui permettent de collecter les v nements provenant d autres applications CA gr ce des iRecorder et SAPI Recorders sur votre r seau CA Audit Annexe A Remarques pour les Utilisateurs de CA Audit 187 Pr sentation des diff rences entre les architectures Vous pouvez f d rer les serveurs CA Enterprise Log Manager pour chelonner votre solution et partager les donn es de rapports sans qu elles soient transport es hors limites Vous disposez ainsi d une vue r seau de la conformit tout en respectant toujours les r glementations concernant la conservation des emplacements physiques des donn es Les mises jour d abonnement pour les requ tes et rapports pr d finis signifient que vous n avez plus besoin de conserver manuellement les requ tes et les rapports Les assistants fournis vous permettent de cr er vos propres int grations personnalis es pour les unit s et applications tierces qui ne sont pas encore prises en charge Architecture int gr e Le diagramme qui suit illustre un r seau CA Audit classique avec l ajout de CA Enterprise Log Manager pour b n ficier de ses capacit s de gestion de volumes lev s d v n
307. portez vous au Manuel d impl mentation CA Access Control r12 5 et au Manuel du connecteur CA Enterprise Log Manager CA Access Control Pour CA Access Control r12 SP1 reportez vous au Manuel d impl mentation CA Access Control r12 SP1 3e dition et au Manuel du connecteur CA Enterprise Log Manager pour CA Access Control Remarque Ces impl mentations utilisent les composants inclus dans CA Access Control Premium Edition Annexe B Remarques pour les Utilisateurs de CA Access Control 213 Int gration avec CA Access Control Pour les versions de CA Access Control qui utilisent selogrd pour le routage des v nements suivez la proc dure ci dessous m Installez un agent CA Enterprise Log Manager m Configurez un connecteur utilisant l int gration ACSelogrd Vous trouverez plus d informations sur la configuration d un connecteur pour collecter les v nements CA Access Control dans le Manuel du connecteur CA Access Control r8 SPi Si vous envoyez actuellement les v nements CA Access Control CA Audit appliquez l une des m thodes suivantes pour transmettre les v nements CA Enterprise Log Manager m Modifiez une strat gie CA Audit existante pour envoyer les v nements CA Audit et CA Enterprise Log Manager si vous utilisez un iRecorder CA Audit pour collecter des v nements Si vous le souhaitez vous pouvez modifier la strat gie pour que les v nements soient envoy s uniquement au serveur CA Enterpri
308. pour ajuster les options de la ligne de commande le cas ch ant 5 Importez des v nements d une base de donn es de collecteur l aide des options ajust es de la ligne de commande 200 Manuel d impl mentation Importation des donn es d une table SEOSDATA Copie de l utilitaire d importation d v nements sur un serveur d outils de donn es Solaris Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosImport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Solaris Remarque L utilitaire LMSeosImport n cessite la pr sence des biblioth ques etsapi et etbase Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosImport assurez vous que le r pertoire d installation d CA Audit est inclus dans votre instruction PATH syst me Le r pertoire par d faut est opt CA eTrustAudit bin Avant d ex cuter l utilitaire d finissez les variables d environnement ci apr s avec la commande env m ODBC_HOME lt r pertoire d installation des outils de donn es CA Audit gt odbc ODBCINI lt r pertoire d installation des outils de donn es CA Audit gt odbc odbc ini Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Solaris 2 Ins rez le DVD ROM d installation de l application CA Enterp
309. pparaissent dans vos rapports Vous pouvez cr er des r gles de suppression permanentes afin de supprimer des v nements de routine sans rapport avec des probl mes de s curit vous pouvez galement cr er des r gles temporaires afin de supprimer la journalisation d v nements planifi s tels que la cr ation de nombreux utilisateurs r gles de transfert d v nement Les r gles de transfert d v nement stipulent que les v nements s lectionn s sont transf r s des produits tiers par exemple ceux qui mettent les v nements en corr lation apr s leur sauvegarde dans le magasin des journaux d v nements 294 Manuel d impl mentation requ te requ te d action requ te d archivage Une requ te est un ensemble de crit res utilis s pour effectuer une recherche dans les magasins de journaux d v nements du serveur CA Enterprise Log Manager actif et le cas ch ant de ses serveurs f d r s Une requ te cible les bases de donn es chaudes ti des ou d givr es sp cifi es dans la clause where de la requ te Par exemple si la clause where limite la requ te aux v nements pour lesquels source_username myname sur une p riode donn e et que seules dix des 1 000 bases de donn es contiennent des enregistrements r pondant ces crit res sur la base des informations fournies dans la base de donn es de catalogue la requ te sera ex cut e uniquement sur ces dix bases de donn es Une requ te peut
310. ppeler l assistant de cr ation d un ordinateur virtuel Cette action affiche une bo te de dialogue de type de configuration S lectionnez la configuration Personnalis e et cliquez sur Suivant Une bo te de dialogue de nom et d emplacement s affiche Entrez un nom pour le serveur CA Enterprise Log Manager installer sur cet ordinateur virtuel et cliquez sur Suivant Sp cifiez les param tres de stockage pour votre ordinateur virtuel puis cliquez sur Suivant V rifiez que vos param tres de stockage sont suffisamment importants pour votre serveur CA Enterprise Log Manager Nous recommandons un espace minimal de 500 Go Remarque La configuration de lecteurs de disques virtuels suppl mentaires pour stocker les journaux d v nements collect s fait l objet d une autre proc dure S lectionnez Red Hat Enterprise Linux 5 32 bits comme Syst me d exploitation invit et cliquez sur Suivant 266 Manuel d impl mentation 10 11 12 13 14 15 Cr ation de serveurs CA Enterprise Log Manager virtuels S lectionnez 4 comme nombre de processeurs virtuels dans la liste d roulante Nombre de processeurs virtuels Votre serveur h te physique doit tre capable de consacrer quatre UC physiques exclusivement cette instance CA Enterprise Log Manager Cliquez sur Suivant Configurez la taille de la m moire de l ordinateur virtuel et cliquez sur Suivant La taille minimale acceptable de la m moire pour CA En
311. pr sente une impl mentation CA Enterprise Log Manager de base comprenant deux serveurs Gestion g n ration de rapports Collecte Requ tes v nements configuration et contr le 4 v nements H te de l agent v nements Serveur UNIX Linux ED Lecteur de cartes Windows 186 Manuel d impl mentation Pr sentation des diff rences entre les architectures Un syst me CA Enterprise Log Manager peut comprendre un ou plusieurs serveurs et le premier serveur install est le serveur de gestion Un syst me ne peut comprendre qu un seul serveur de gestion mais vous pouvez avoir plusieurs syst mes Le serveur de gestion conserve le contenu et la configuration de tous les serveurs CA Enterprise Log Manager et il effectue l autorisation et l authentification des utilisateurs Dans une impl mentation de base comprenant deux serveurs le serveur de gestion assume galement le r le de serveur de rapports Un serveur de rapports re oit les v nements ajust s d un ou plusieurs serveurs de collecte Le serveur de rapports g re les requ tes et rapports la demande ainsi que les alertes et rapports planifi s Le serveur de collecte ajuste les v nements collect s Chaque serveur CA Enterprise Log Manager dispose de sa propre base de donn es interne de magasin de journaux d v nements Le magasin de journaux d v nements est une base de donn es propri taire qui utilise la compression po
312. prise Log Manager et acc dez l onglet Requ tes et rapports S lectionnez l onglet des requ tes du syst me et ouvrez la requ te D tail de tous les v nements du syst me Vous devez visualiser les v nements r pertori s pour l agent par d faut si vous avez configur correctement le connecteur et si la source d v nement envoie activement des v nements Chapitre 6 Configuration de la collecte d v nements 157 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor Vous pouvez activer la collecte directe des v nements g n r s par des bases de donn es sp cifiques et les produits CA l aide du d tecteur ODBCLogSensor Pour y parvenir cr ez un connecteur sur l agent par d faut bas sur une int gration qui utilise le d tecteur ODBCLogSensor De nombreuses int grations utilisent ce d tecteur par exemple CA_Federation_Manager CAldentityManager Oraclei0g Oracle9i et MS_SQL_Server_2005 Vous trouverez ci dessous une liste partielle des produits qui g n rent des v nements pouvant tre collect s directement par l agent par d faut sur un serveur CA Enterprise Log Manager Un connecteur unique est utilis pour chaque produit chaque connecteur utilise le d tecteur ODBCLogSensor m CA Federation Manager m CA SiteMinder m CA Identity Manager m Oracle lt nbs gt 9i et 10g m Micro
313. pte dans le champ Mot de passe 4 Cliquez sur Connexion Le serveur CA EEM sur le dispositif CA Enterprise Log Manager authentifie vos informations de connexion et ouvre CA IT Process Automation Manager Pour plus de d tails sur l int gration et l utilisation de CA IT PAM avec CA Enterprise Log Manager voir la section Utilisation des processus de l v nement de sortie CA IT PAM du chapitre Alertes d action dans le manuel d administration CA Enterprise Log Manager 248 Manuel d impl mentation Annexe D R cup ration apr s sinistre Ce chapitre traite des sujets suivants Planification de la r cup ration apr s sinistre page 249 A propos de la sauvegarde du serveur CA EEM page 250 Sauvegarde d une instance d application CA EEM page 251 Restauration d un serveur CA EEM pour l utiliser avec CA Enterprise Log Manager page 252 Sauvegarde d un serveur CA Enterprise Log Manager page 252 Restauration d un serveur CA Enterprise Log Manager partir des fichiers de sauvegarde page 253 Remplacement d un serveur CA Enterprise Log Manager page 254 Planification de la r cup ration apr s sinistre La planification de la r cup ration apr s sinistre fait partie int grante de tout bon plan d administration r seau La planification de la r cup ration apr s sinistre CA Enterprise Log Manager est relativement simple et directe La r ussite de la r cup ration apr s sinistre pour CA En
314. r sultats des requ tes ce serveur Dans une f d ration maill e tous les serveurs interconnect s renvoient les donn es au serveur l origine de la requ te F d rations hi rarchiques Les f d rations hi rarchiques utilisent une structure pyramidale descendante pour diffuser largement les charges de collecte d v nements Cette structure est similaire un organigramme Il n existe aucun nombre d fini de niveaux cr er vous pouvez cr er les niveaux qui correspondent le mieux vos besoins professionnels Dans une f d ration hi rarchique vous pouvez vous connecter n importe quel serveur CA Enterprise Log Manager pour afficher des rapports sur ses donn es d v nements et sur les donn es provenant de ses serveurs enfants La port e des donn es auxquelles vous pouvez acc der est limit e en fonction de votre position de d part dans la hi rarchie Si vous commencez au milieu de la hi rarchie vous pouvez seulement consulter les donn es de ce serveur ainsi que celles de tous ses serveurs enfants Plus vous montez dans une f d ration hi rarchique plus la port e des donn es r seau est importante Au plus haut niveau vous avez acc s aux donn es de l ensemble du d ploiement Les f d rations hi rarchiques sont utiles pour les d ploiements r gionaux par exemple Supposons que vous souhaitiez que les ressources locales puissent acc der aux donn es d v nement au sein d une certaine hi rarchie o
315. r unis dans un m me module toutes les mises jour de fichier binaire de sponsor sont regroup es dans un autre module CA d finit le contenu de chaque module 290 Manuel d impl mentation module d abonnement Le module d abonnement est le service qui permet de t l charger automatiquement les mises jour d abonnement partir du serveur d abonnement CA et de les distribuer tous les serveurs et agents CA Enterprise Log Manager Les param tres globaux s appliquent aux serveurs CA Enterprise Log Manager locaux les param tres locaux indiquent notamment si le serveur est un proxy hors ligne un proxy en ligne ou un client d abonnement module d extension d v nements iTech NIST Le module d extension d v nements iTech est un adaptateur CA qu un administrateur peut configurer l aide de fichiers de mappage s lectionn s Il re oit des v nements provenant d iRecorders de CA EEM d iTechnology ou de tout produit capable d envoyer des v nements via iTechnology Le National Institute of Standards and Technology NIST est l agence technologique f d rale am ricaine qui propose des recommandations dans une publication intitul e Special Publication 800 92 Guide to Computer Security Log Management en anglais qui ont servi de base pour CA Enterprise Log Manager nom d utilisateur EijamAdmin EiamAdmin est le nom de superutilisateur par d faut affect au programme d installation des serveurs CA Enterprise Lo
316. r CA Audit Affichage de requ tes et de rapports sur des v nements CA Access Control CA Enterprise Log Manager propose un certain nombre de requ tes et de rapports pour examiner les v nements collect s partir de CA Access Control Suivez la proc dure ci dessous pour acc der aux requ tes et aux rapports CA Access Control Pour acc der aux requ tes CA Access Control 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur autoris afficher les requ tes et rapports 2 Dans l onglet Requ tes et rapports acc dez au sous onglet Requ tes s il n est pas d j affich Requ tes et rapports Rapports planifi s B Requ tes gt Rapports gt Favoris Filtre de balise de requ te 2d JA Rechercher ela Action Alerts 45 a ICA Access Control 200 GI CA Identity Manager 140 GI CA SiteMinder 138 Configuration Management 43 QI Content Security 6 IData Access 113 236 Manuel d impl mentation Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit 3 Cliquez sur la balise de requ te CA Access Control pour afficher gauche la liste des requ tes disponibles Liste de requ tes Options T e Rechercher v Abonnement a i Activit de la ressource d administration par action i Activit de la ressource d administration par h te FE Activit de la ressource d administration par r sultat l D
317. r ce serveur CA Enterprise Log Manager A propos des fichiers d archive Le serveur CA Enterprise Log Manager cr e automatiquement des fichiers de base de donn es compress e appel s fichiers d archive lorsqu une base de donn es chaude atteint le param tre Nombre maximum de lignes sp cifi dans le service du magasin de journaux d v nements Les fichiers de base de donn es chaude ne sont pas compress s Lorsque vous configurez l archivage automatique d un serveur de collecte vers un serveur de rapports les bases de donn es compress es du serveur de collecte sont supprim es apr s qu elles ont t copi es sur le serveur de rapports Le param tre Nbre max de jours d archivage ne s applique pas ici Lorsque vous configurez l archivage automatique d un serveur de rapports vers un serveur de stockage distant les bases de donn es compress es du serveur de rapports ne sont pas supprim es apr s avoir t copi es sur le serveur de stockage distant Ces bases de donn es ti des sont plut t conserv es sur le serveur de rapports jusqu ce que la valeur Nbre max de jours d archivage soit atteinte Ensuite elles sont supprim es Toutefois un enregistrement de ces bases de donn es froides supprim es est conserv pour que vous puissiez effectuer des requ tes de d tails sur la base de donn es d archive au cas o vous auriez besoin de cette information pour effectuer une restauration 126 Manuel d impl mentation Con
318. r l agent par d faut afin de r cup rer des v nements g n r s par une base de donn es SQL Server sur un serveur ODBC 1 S lectionnez l onglet Administration puis le sous onglet Collecte de journaux 2 D veloppez Explorateur d agent puis le groupe d agents qui contient l agent par d faut CA Enterprise Log Manager 3 S lectionnez un agent par d faut c est dire un agent portant le nom d un serveur CA Enterprise Log Manager D autres connecteurs peuvent tre d ploy s sur l agent par d faut 4 Cliquez sur Cr er un connecteur Explorateur de collecte de journaux r2 E E le eci 5 gt 3 Adaptateurs CA gt 3 Biblioth que d ajustement d v nement v Explorateur d agent v Default Agent Group Afficher l tat de 2 Agen Cr er un connecteur D tails de l tat de l agent Y lt tr85111 bladez ca com 2 S lectionnez les agents en cours d ex cution pour le red marrage e Agent_stop S lectionner et Red marrer Syslog_Connector 2 l l l l L assistant Cr ation d un connecteur appara t l tape D tails du connecteur est s lectionn e Dans la liste d roulante Int gration s lectionnez l int gration MS_SQL_Server_2005 Cette s lection renseigne le champ Nom du connecteur avec la valeur MS_SQL_Server_2005_Connector Remplacez le nom par d faut par un autre permettant d identifier le connecteur plus facilement facultatif Pensez fournir un nom uniq
319. r l espace de stockage que vous pouvez mettre disposition de CA Enterprise Log Manager Remarque Le param tre de taille de bloc par d faut du serveur VMware ESX Server est 1 Mo ce qui limite 256 Go l espace disque maximal que vous pouvez cr er Si vous avez besoin d espace suppl mentaire jusqu 512 Go augmentez le param tre de taille de bloc 2 Mo gr ce la commande ci dessous Vmkistools createfs vmfs3 blocksize 2M vmhba0 0 0 3 Red marrez l instance ESX Server pour que les changements entrent en vigueur Pour plus d informations sur cette commande et sur d autres commandes consultez la documentation VMware ESX Server Cliquez sur Suivant pour afficher la bo te de dialogue Sp cifier les options avanc es Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant La bo te de dialogue Pr t terminer s affiche Cliquez sur Terminer pour stocker vos modifications sur cet ordinateur virtuel Cette action vous renvoie la bo te de dialogue du client VMware Infrastructure 268 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager virtuels Installation de CA Enterprise Log Manager sur l ordinateur virtuel Utilisez la proc dure suivante pour installer CA Enterprise Log Manager sur un ordinateur virtuel pr c demment cr Vous pouvez configurez un serveur CA Enterprise Log Manager virtuel ou d di apr s l installation pour qu il affiche l un des nombreux r
320. r les fichiers CiscoPIXFW XMPS et CiscoPIXFW DMS en premier dans leurs listes respectives Chapitre 8 Utilisation de la biblioth que d ajustement d v nement 181 Annexe A Remarques pour les Utilisateurs de CA Audit Ce chapitre traite des sujets suivants Pr sentation des diff rences entre les architectures page 183 Configuration d adaptateurs CA page 189 Envoi d v nements CA Audit CA Enterprise Log Manager page 194 Quand importer des v nements page 198 Importation des donn es d une table SEOSDATA page 200 Int gration CA Audit r8 SP2 page 208 Pr sentation des diff rences entre les architectures Lorsque vous planifiez l utilisation conjointe de CA Audit et de CA Enterprise Log Manager vous devez au pr alable comprendre les diff rences entre les architectures et leurs effets sur la structure de votre r seau CA Enterprise Log Manager utilise un magasin de journaux d v nements int gr et dispose d un Explorateur d agent pour configurer et g rer les agents La nouvelle technologie associ e une grammaire commune aux v nements permet un d bit d v nements plus rapide vers le stockage tout en prenant en charge un plus grand nombre de sources d v nement Gr ce la grammaire commune aux v nements CA Enterprise Log Manager peut normaliser les v nements provenant de nombreuses sources d v nement diff rentes pour obtenir un seul sch ma de base de donn
321. r un autre serveur en utilisant le nom d h te affect au serveur d faillant Lorsque l installation demande le nom de l instance d application CA EEM assurez vous d utiliser la m me instance d application que celle utilis e par l ancien serveur Cet enregistrement r ussi permet au serveur CA EEM de synchroniser la configuration 2 D marrez le nouveau serveur CA Enterprise Log Manager et connectez vous en tant qu utilisateur d administration par d faut EiamAdmin Lorsque le nouveau serveur CA Enterprise Log Manager d marre il se connecte automatiquement au serveur CA EEM qui t l charge ensuite les fichiers de configuration Apr s avoir re u les fichiers de configuration le nouveau serveur CA Enterprise Log Manager reprend la collecte de journaux 254 Manuel d impl mentation Annexe E CA Enterprise Log Manager et virtualisation Ce chapitre traite des sujets suivants Hypoth ses de d ploiement page 255 Cr ation de serveurs CA Enterprise Log Manager virtuels page 256 Hypoth ses de d ploiement L utilisation de CA Enterprise Log Manager dans un environnement virtuel ou dans un environnement mixte incluant des serveurs virtuels et de dispositifs suppose les l ments ci apr s m Dans un environnement totalement virtuel installez au moins un serveur CA Enterprise Log Manager en tant que serveur de gestion Celui ci a pour r le de g rer les configurations les contenus des abonnements et les
322. ration maill e affecte plusieurs serveurs CA Enterprise Log Manager comme serveurs principaux et elle utilise les serveurs en f d ration sans tenir compte de leur position sur le r seau Les serveurs configur s comme enfants sont galement configur s pour afficher les enfants de la m me branche ou d autres branches f d r es ces serveurs Par exemple si vous disposez de deux serveurs CA Enterprise Log Manager A et B vous pouvez cr er une f d ration maill e en d signant B comme l enfant de A et A comme l enfant de B Il s agit de la configuration attendue lorsque vous utilisez plusieurs serveurs de gestion 174 Manuel d impl mentation Configuration d une f d ration CA Enterprise Log Manager Exemple de f d ration maill e Etudiez l illustration suivante d une f d ration totalement maill e Dans la f d ration maill e illustr e dans ce diagramme quatre serveurs de collecte sont f d r s les uns aux autres ainsi qu aux deux serveurs de rapports Chaque serveur est la fois un parent et un enfant pour chaque autre serveur de la f d ration Ce d ploiement pr sente un avantage potentiel par rapport la f d ration hi rarchique stricte vous pouvez acc der aux donn es depuis n importe quel point du maillage et obtenir des r sultats depuis tous les autres serveurs CA Enterprise Log Manager de ce maillage sans tenir compte d une hi rarchie Vous pouvez associer les f d rations maill es et hi rarch
323. re 2 Planification de voire environnement 57 Planification d agent Quelques types Syslog 1 connecteur Si votre environnement affiche un volume d v nements plus lev pour certains types d v nements Syslog vous pouvez configurer un connecteur pour collecter uniquement ce type d v nements Vous pouvez ensuite configurer un ou plusieurs autres connecteurs pour collecter plusieurs types d v nements Syslog affichant un volume d v nements moins important dans votre environnement De ce fait vous pouvez quilibrer la charge de collecte d v nements Syslog gr ce un petit nombre de connecteurs gagnant ainsi en performances Vous ne devez pas n cessairement cr er vos propres couteurs Syslog mais vous pouvez le faire le cas ch ant Vous pouvez cr er des couteurs Syslog distincts avec des valeurs par d faut diff rentes pour les ports les h tes fiables etc Vous pouvez ainsi simplifier la cr ation des connecteurs notamment si vous devez cr er plusieurs connecteurs pour chaque type d v nement Syslog Informations compl mentaires Comptes d utilisateur par d faut page 80 Affectations de ports par d faut page 82 Redirection des ports du pare feu pour les v nements Syslog page 85 Les agents et le certificat d agent Le certificat CAELM_AgentCert p12 pr d fini est utilis par tous les agents pour communiquer avec leur serveur CA Enterprise Log Manager Si vous choisissez de re
324. re nomm lors de l installation Solution Importez manuellement les fichiers de jetons d analyse Pour importer des fichiers de jetons d analyse 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous Su 4 Acc dez au r pertoire opt CA LogManager EEM content 5 Ex cutez la commande ci dessous ImpotCALMTOK sh Le script shell importe les fichiers de jetons d analyse Importation des fichiers de l interface utilisateur CA Enterprise Log Manager Sympt me Lors de l installation le serveur CA EEM n a pas import correctement les fichiers de l interface utilisateur Vous ne pouvez pas afficher ou utiliser les valeurs des champs d roulants de la plage de temps dynamique sans ces fichiers Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Importez manuellement les fichiers de l interface utilisateur Chapitre 3 Installation de CA Enterprise Log Manager 105 D pannage de l installation Pour importer les fichiers de l interface utilisateur 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur r
325. requis qui d crit le t l chargement Chapitre 2 Planification de votre environnement 51 Planification des mises jour d abonnement 2 Vous copiez l ensemble du chemin de t l chargement du serveur distant dans le chemin de t l chargement du proxy hors ligne L utilitaire scp copie s curis e est fourni dans ce but Vous pouvez galement utiliser sftp Le contenu copi inclut les mises jour du contenu ainsi que les mises jour des fichiers binaires du produit et du syst me d exploitation Apr s la copie modifiez la propri t des fichiers pour l attribuer l utilisateur caelmservice 3 Le serveur proxy d abonnement hors ligne envoie les mises jour du contenu au r f rentiel sur le serveur de gestion CA Enterprise Log Manager 4 Les clients d abonnement interrogent le serveur proxy d abonnement hors ligne Si de nouvelles mises jour sont disponibles les clients d abonnement les t l chargent Le t l chargement est un fichier ZIP contenant les mises jour du produit et du syst me d exploitation un script pour les installer et un fichier d informations sur les composants componentinfo xml Si n cessaire les clients d abonnement cr ent une sauvegarde de la derni re installation des mises jour du produit ainsi qu un script permettant de restaurer l tat des mises jour au cas o vous auriez besoin d annuler des modifications la sauvegarde n inclut pas les mises jour du syst me d exploitati
326. rer red marrer le processus ou lors du retrait d un serveur CA Enterprise Log Manager du r seau Pour arr ter le d mon ou service iGateway 1 Connectez vous en tant qu utilisateur caelmadmin pour le serveur CA Enterprise Log Manager 2 Passez l utilisateur root au moyen de la commande ci dessous Su 3 Arr tez le processus iGateway l aide de la commande suivante SIGW_LOC S99igateway stop S99igateway est le script d arr t du processus iGateway et il appartient au compte root Lorsque le processus iGateway d marre il s ex cute sous le compte d utilisateur caelmservice D marrage du d mon ou service de l agent CA Enterprise Log Manager Le d mon ou service de l agent CA Enterprise Log Manager est le processus qui g re les connecteurs envoyant les v nements collect s un serveur CA Enterprise Log Manager Ce processus doit tre en cours d ex cution pour que les connecteurs puissent collecter des v nements Utilisez la proc dure suivante pour d marrer le processus de l agent CA Enterprise Log Manager s il ne fonctionne pas d j Pour d marrer le d mon ou service de l agent CA ELM 1 Connectez vous en tant qu utilisateur root ou administrateur Windows 2 Acc dez une invite de commande puis entrez la commande ci apr s Linux UNIX Solaris opt CA ELMAgent bin S99elmagent start Windows net start ca elmagent Chapitre 3 Installation de CA Enterprise Log Manager 77 Installation d
327. rge la fonction de clonage La proc dure de cr ation et de clonage d un serveur CA Enterprise Log Manager virtuel des fins de collecte comporte les tapes ci apr s 1 Cr ez un nouvel ordinateur virtuel 2 Ajoutez des lecteurs de disques virtuels 3 Installez un serveur CA Enterprise Log Manager sur l ordinateur virtuel Annexe E CA Enterprise Log Manager et virtualisation 265 Cr ation de serveurs CA Enterprise Log Manager virtuels Clonez l ordinateur virtuel contenant le nouveau serveur CA Enterprise Log Manager en suivant les instructions du fournisseur Remarque Vous devez cr er une image clone compl te N utilisez pas de clones li s avec CA Enterprise Log Manager Importez l ordinateur virtuel clon sur un serveur physique cible Mettez jour l ordinateur virtuel clon avant de le connecter au r seau Configurez le serveur CA Enterprise Log Manager conform ment la proc dure d crite dans le Manuel d impl mentation Cr ation d un nouvel ordinateur virtuel Utilisez la proc dure suivante pour cr er un nouvel ordinateur l aide du client VMware Infrastructure Utilisez quatre processeurs pour chaque serveur CA Enterprise Log Manager virtuel afin d obtenir des performances acceptables Pour cr er un nouvel ordinateur virtuel 1 2 Acc dez au client VMware Infrastructure Cliquez avec le bouton droit sur l h te ESX dans le volet gauche puis s lectionnez Nouvel ordinateur virtuel pour a
328. riez besoin d annuler des modifications la sauvegarde n inclut pas les mises jour du syst me d exploitation Ensuite les clients d abonnement ex cutent le script d installation des mises jour du produit Fonctionnement de l abonnement avec des clients hors ligne L illustration ci dessous pr sente un sc nario hors ligne simple avec le serveur d abonnement CA le proxy d abonnement en ligne par d faut un proxy d abonnement hors ligne un serveur de gestion avec le magasin d utilisateurs CA Enterprise Log Manager et quelques clients d abonnement HORS LIGNE Le serveur de gestion CA Enterprise Log Manager Serveur proxy HTTP Proxy d abonnement d local ex riche de Vs Clients d abonnement CA Ent Manager Log Manager CA Enterprise erprise Log Manag Log Manager Chapitre 2 Planification de voire environnement 49 Planification des mises jour d abonnement Le processus repr sent par les fl ches num rot es est d crit ci dessous 1 Le proxy d abonnement en ligne acc de au serveur d abonnement CA et t l charge les mises jour du contenu ainsi que les mises jour du produit et du syst me d exploitation par le biais d un serveur HTTP local si possible Les mises jour du produit t l charg es sont bas es sur les modules s lectionn s t l charger configur s dans le service Configuration globale du service Module d abonnement Vous copiez l ensemble du chemin de t l chargement du prox
329. rise Log Manager 3 Acc dez au r pertoire CA ELM Solaris_sparc 4 Copiez l utilitaire LMSeosImport dans le r pertoire iTechnology du serveur d outils de donn es CA Audit opt CA SharedComponents iTechnology L utilitaire est pr t tre utilis apr s avoir t copi dans le r pertoire d sign et une fois les variables d environnement requises d finies Il n existe aucune installation distincte ex cuter Copie de l utilitaire d importation sur un serveur d outils de donn es Windows Avant de pouvoir importer des donn es partir de votre table SEOSDATA vous devez copier l utilitaire LMSeosImport depuis le DVD ROM d installation de l application CA Enterprise Log Manager vers votre serveur d outils de donn es Windows Remarque L utilitaire LMSeosImport n cessite la pr sence des biblioth ques de liens dynamiques etsapi et etbase Ces fichiers font partie de l installation de base du serveur d outils de donn es Avant d essayer d utiliser l utilitaire LMSeosImport assurez vous que le r pertoire Program Files CA eTrust Audit bin est inclus dans votre instruction PATH syst me Annexe A Remarques pour les utilisateurs de CA Audit 201 Importation des donn es d une table SEOSDATA Pr sentation de la Pour copier l utilitaire 1 Ouvrez une invite de commande sur le serveur d outils de donn es Windows 2 Ins rez le DVD ROM d installation de l application CA Enterprise Log Manager 3 Acc dez
330. rity Monitor E snmp unicenter 6 Cliquez sur l action Collecteur dans le volet Parcourir les actions pour afficher la liste des actions droite Modierune r gle Actions Modifier les Fe Modifier les Modifier le script D informations B gt p actions Parcourir les actions Liste des actions Parcourez la liste des actions et cr ez en de nouvelles ajouter la r gle Nom d h te ou adresse Utiliser le serveur Param tres IP distant optionnels pescui Collector 8 E mail amp eSCC Status Monitor external Program Brie Annexe B Remarques pour les utilisateurs de CA Access Control 221 Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager Vous pouvez galement utiliser l action Routage mais l action Collecteur offre l avantage de proposer un autre nom d h te pour le traitement de base du basculement Cliquez sur Nouveau pour ajouter une nouvelle r gle Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de collecte Modifier une r gle Actions Suivant Terminer Annuler Aide D Parcourir les actions Aide Parcourez la liste des actions et cr ez en de nouvelles ajouter la r gle Collector W E mail Gesce Status Monitor External Program frie koute Qi Screen Blsecurity Monitor E snmp Unicenter Modifier les informations Modifier les actions D Modifier le script
331. rmations consultez la documentation de VMware ESX Mise jour d un serveur CA Enterprise Log Manager clon avant le d ploiement Utilisez la proc dure suivante pour mettre jour un serveur CA Enterprise Log Manager virtuel clon Un serveur CA Enterprise Log Manager virtuel clon conserve le nom d h te que vous lui avez attribu au cours de l installation Cependant le nom d h te de chaque serveur CA Enterprise Log Manager actif doit tre unique au sein de votre impl mentation de collecte de journaux C est pourquoi avant d activer un serveur virtuel clon vous devez modifier le nom d h te et l adresse IP du serveur avec le script Rename_ELM sh 270 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager virtuels Le script de mise jour effectue notamment les actions ci dessous Arr t et red marrage automatique de l agent par d faut Arr t et red marrage automatique du service iGateway Invitation modifier le nom d h te et les adresses IP et DNS IP Mise jour automatique des fichiers de configuration avec des mots de passe chiffr s pour les diff rents certificats Pour mettre jour un serveur CA Enterprise Log Manager virtuel clon 1 2 Connectez vous au serveur physique cible en tant qu utilisateur root Acc dez l image ISO ou au DVD de l application puis au r pertoire CA Linux_x86 Vous trouverez galement le script dans le syst me de fichiers d un serveur CA Ent
332. rnis avec le client install Param tres de connexion JDBC Certaines applications n cessitent des param tres de connexion particuliers pour utiliser le pilote du client JDBC Les param tres courants sont les suivants m Cha ne ou URL de connexion m Nom de classe Le format de la cha ne ou de l URL de connexion JDBC est le suivant jdbc ca elm CA ELM_host_name ODBCAJDBCpori ServerDataSource Default Le nom de classe du pilote JDBC est com ca jdbc openaccess OpenAccessDriver Consid rations sur les URL JDBC Pour acc der aux donn es d v nements stock es dans CA Enterprise Log Manager avec le client JDBC vous avez besoin du chemin de classes JDBC et d une URL JDBC Le chemin de classes JDBC correspond aux emplacements des fichiers JAR du pilote L URL JDBC d finit les param tres utilis s par les classes des fichiers JAR lors du chargement 94 Manuel d impl mentation Installation du client JDBC Voici un exemple d URL JDBC compl te jdbc ca elm 127 0 0 1 17002 encrypted 1 ServerDataSource Default CustomProperties querytimeout 600 queryfederated true queryfet chrows 1000 offsetmins 0 suppressNoncriticalErrors false Les diff rentes parties de l URL sont expliqu es ci dessous jdbc ca elm D finit la cha ne protocole sous protocole qui d signe le pilote JDBC fourni avec CA Enterprise Log Manager adresse IP port Indique l adresse IP du serveur CA Enterprise Log Manager auquel vous voulez
333. royant l utilisateur le droit de cr er une balise bases de donn es archiv es Les bases de donn es archiv es sur un serveur CA Enterprise Log Manager donn incluent toutes les bases de donn es ti des disponibles pour requ te mais n cessitant une sauvegarde manuelle avant expiration toutes les bases de donn es froides toutes les bases de donn es enregistr es comme restaur es partir d une sauvegarde biblioth que d ajustement d v nement La biblioth que d ajustement d v nement est l espace de stockage qui contient les int grations les fichiers de mappage et d analyse ainsi que les r gles de suppression et de r capitulation pr d finis et d finis par l utilisateur biblioth que d analyse de message La biblioth que d analyse de message est une biblioth que qui accepte les v nements provenant des files d attente d couteur et qui utilise des expressions r guli res pour marquer les cha nes en paires nom valeur biblioth que de la requ te La biblioth que de la requ te est la biblioth que dans laquelle sont stock es toutes les requ tes les balises de requ te et les filtres d invite pr d finis et d finis par l utilisateur biblioth que de rapports La biblioth que de rapports est la biblioth que dans laquelle sont stock s tous les rapports les balises de rapports les rapports g n r s et les jobs de rapports planifi s pr d finis et d finis par l utilisateur CA Enterprise Lo
334. rs n cessaires Vous n avez pas besoin d installer un agent sur chaque source d v nement Toutefois vous devez configurer un connecteur pour chaque source d v nement non Syslog partir de laquelle vous envisagez de collecter des v nements Vous pouvez collecter des v nements WMI sur un seul connecteur partir de plusieurs sources d v nement en ajoutant un d tecteur de journaux chaque source d v nement Pensez regrouper les volumes d v nements lorsque vous configurez un connecteur de cette mani re Vous pouvez configurer des connecteurs Syslog de diverses mani res Vous pouvez par exemple configurer un seul connecteur Syslog pour recevoir tous les v nements Syslog quel que soit leur type Il est toutefois recommand de fonder vos connecteurs Syslog sur les volumes d v nements provenant de sources d v nements Syslog sp cifiques Vous pouvez installer des agents sur chaque source d v nement Nous recommandons cette approche lorsque le nombre d v nements provenant de cette source est lev Votre planification doit diff rencier les agents d une source d v nement des agents d un h te agissant en tant que collecteur de diff rents types d v nements Effets des r gles de suppression Pendant la phase de planification r fl chissez l utilisation de r gles de suppression qui emp chent certains v nements d tre ins r s dans le magasin de journaux d v nements ou d tre collect
335. rs suivants apparaissent dans la liste m itpamadmin m itpamuser 244 Manuel d impl mentation Installation de composants tiers requis par CA IT PAM 5 R initialisez le mot de passe du compte itpamadmin a S lectionnez itpamadmin dans la liste et acc dez Authentification dans le panneau de droite b S lectionnez R initialiser le mot de passe c Saisissez le mot de passe de ce compte dans les champs Nouveau mot de passe et Confirmer le mot de passe d Cliquez sur Enregistrer 6 R initialisez le mot de passe du compte itpamuser a S lectionnez itpamuser dans la liste et acc dez Authentification dans le panneau de droite b S lectionnez R initialiser le mot de passe c Saisissez le mot de passe de ce compte dans les champs Nouveau mot de passe et Confirmer le mot de passe d Cliquez sur Enregistrer 7 Cliquez sur D connexion Installation de composants tiers requis par CA IT PAM JDK 1 6 ou une version ult rieure doit tre install e sur votre syst me avant d installer les composants tiers Ex cutez Third_Party_Installer_windows exe sur le serveur Windows o vous comptez installer CA IT PAM Consultez le manuel d installation de CA IT Process Automation Manager pour de plus amples d tails Annexe C Remarques sur CAIT PAM 245 Installation du domaine CA IT PAM Installation du domaine CA IT PAM L ex cution de l assistant CA IT PAM avec les sp cifications d crites ici relie le c
336. rtualisation 261 Cr ation de serveurs CA Enterprise Log Manager virtuels Cr ation d un nouvel ordinateur virtuel Utilisez la proc dure suivante pour cr er un nouvel ordinateur l aide du client VMware Infrastructure Utilisez quatre processeurs pour chaque serveur CA Enterprise Log Manager virtuel afin d obtenir des performances acceptables Pour cr er un nouvel ordinateur virtuel 1 2 Acc dez au client VMware Infrastructure Cliquez avec le bouton droit sur l h te ESX dans le volet gauche puis s lectionnez Nouvel ordinateur virtuel pour appeler l assistant de cr ation d un ordinateur virtuel Cette action affiche une bo te de dialogue de type de configuration S lectionnez la configuration Personnalis e et cliquez sur Suivant Une bo te de dialogue de nom et d emplacement s affiche Entrez un nom pour le serveur CA Enterprise Log Manager installer sur cet ordinateur virtuel et cliquez sur Suivant Sp cifiez les param tres de stockage pour votre ordinateur virtuel puis cliquez sur Suivant V rifiez que vos param tres de stockage sont suffisamment importants pour votre serveur CA Enterprise Log Manager Nous recommandons un espace minimal de 500 Go Remarque La configuration de lecteurs de disques virtuels suppl mentaires pour stocker les journaux d v nements collect s fait l objet d une autre proc dure S lectionnez Red Hat Enterprise Linux 5 32 bits comme Syst me d exploitation invit
337. s v nements une seule destination Si vous reconfigurez un iRecorder l aide de la proc dure qui suit les v nements sont stock s uniquement dans le magasin de journaux d v nements CA Enterprise Log Manager Si vous devez conserver des v nements dans le magasin de journaux d v nements et dans la base de donn es du collecteur CA Audit modifiez une action de r gle dans une strat gie existante ou cr ez une nouvelle strat gie pour un client CA Audit client Pour configurer iRecorder pour envoyer des v nements CA Enterprise Log Manager 1 Connectez vous au serveur h bergeant iRecorder en tant qu utilisateur dot des droits d administrateur 2 Acc dez au dossier de votre syst me d exploitation m UNIX ou Linux opt CA SharedComponents iTechnology m Windows Program Files CA SharedComponents iTechnology 3 Arr tez le d mon ou le service iGateway avec la commande ci apr s m UNIX ou Linux S99igateway stop a Windows net stop igateway 194 Manuel d impl mentation Envoi d v nements CA Audit CA Enterprise Log Manager 4 Modifiez le fichier iControl conf 5 Sp cifiez la valeur RouteEvent ci dessous lt RouteEvent true lt RouteEvent Cette entr e indique iGateway d envoyer ses v nements notamment tous les v nements iRecorder l h te nomm dans la paire de balises RouteHost 6 Sp cifiez la valeur RouteHost ci dessous lt RouteHost nom h te CA ELW RouteHost gt Ce
338. s Server 2008 l aide du d tecteur WinRMLinuxLogSensor Pour y parvenir cr ez un connecteur sur l agent par d faut bas sur une int gration qui utilise le d tecteur WinRMLinuxLogSensor De nombreuses int grations utilisent ce d tecteur par exemple Active_Directory_Certificate_Services Forefront_Security_for_Exchange_Server Hyper V MS_OCS et WinRM L application et le syst me d exploitation Microsoft Windows qui g n rent des v nements pouvant tre r cup r s via le d tecteur WinRMLinuxLogSensor sont ceux pour lesquels la fonction Gestion distance de Windows a t activ e Vous trouverez ci dessous une liste partielle des produits qui g n rent des v nements pouvant tre collect s directement par l agent par d faut sur un serveur CA Enterprise Log Manager Un connecteur unique est utilis pour chaque produit chaque connecteur utilise le d tecteur WinRMLinuxLogSensor m Services de certificat Microsoft Active Directory m Microsoft Forefront Security pour Exchange Server m Microsoft Forefront Security pour SharePoint Server m Microsoft Hyper V Server 2008 m Microsoft Office Communication Server m Microsoft Windows Server 2008 Pour obtenir une liste compl te consultez la Matrice d int gration de produits sur le support en ligne Cet exemple d crit l activation de la collecte directe des v nements l aide d un connecteur fond sur l int gration WinRM Quand un tel connecteur est d ploy i
339. s est s lectionn e 5 Cliquez sur Enregistrer puis sur Fermer Remarque Lorsque le magasin d utilisateurs par d faut est d fini vous pouvez cr er de nouveaux utilisateurs d finir des mots de passe temporaires et tablir des strat gies de mots de passe Informations compl mentaires Planification du magasin d utilisateurs page 36 R f rence un r pertoire LDAP Configurez le magasin d utilisateurs comme une r f rence un r pertoire LDAP lorsque les d tails des utilisateurs globaux sont stock s dans Microsoft Active Directory Sun One ou Novell Directory Remarque Les d tails des applications sont stock s dans le r f rentiel par d faut La r f rence un magasin d utilisateurs externe ne met pas jour ce magasin Pour r f rencer un r pertoire LDAP en tant que magasin d utilisateurs 1 Connectez vous un serveur CA Enterprise Log Manager en tant qu utilisateur dot des droits d administrateur ou qu utilisateur EiamAdmin 2 Cliquez sur l onglet Administration Si vous vous connectez en tant qu utilisateur EilamAdmin cet onglet s affiche automatiquement 3 S lectionnez le sous onglet Gestion des utilisateurs et des acc s puis cliquez sur Magasin d utilisateurs dans le volet gauche La configuration du serveur CA EEM pour le magasin d utilisateurs s affiche 4 S lectionnez R f rencer partir d un r pertoire externe Les champs de la configuration LDAP s affichent Cha
340. s f d r es incluent celles provenant du serveur cible ainsi que de ses enfants ou pairs le cas ch ant Les services CA Enterprise Log Manager sont le magasin de journaux d v nements le serveur de rapports et l abonnement Les administrateurs configurent ces services au niveau global o tous les param tres s appliquent l ensemble de CA Enterprise Log Manager par d faut La plupart des param tres globaux de services peuvent tre remplac s au niveau local pour CA Enterprise Log Manager donn 298 Manuel d impl mentation SNMP source d v nement SNMP est l acronyme de Simple Network Management Protocol protocole simple de gestion de r seau une norme ouverte de transmission de messages d alerte sous la forme d interruptions SNMP depuis un agent vers un ou plusieurs syst mes de gestion Une source d v nement est l h te partir duquel un connecteur collecte des v nements bruts Une source d v nement peut contenir plusieurs magasins de journaux tous accessibles via un connecteur diff rent En g n ral le d ploiement d un nouveau connecteur implique la configuration de la source d v nement de sorte que l agent puisse y acc der et lire les v nements bruts partir de l un de ses magasins de journaux Les v nements bruts du syst me d exploitation des bases de donn es diff rentes et une vari t d applications de s curit sont stock s s par ment sur la source d v nement stockage
341. se Log Manager m Configurez le fichier control conf afin qu un iRecorder envoie les v nements directement CA Enterprise Log Manager Remarque Si vous disposez d une version d eTrust Access Control qui ne prend pas en charge les iRecorders vous pouvez envoyer les v nements directement au routeur CA Audit Pour plus d informations reportez vous aux informations d int gration de CA Audit contenues dans le Manuel d administration d eTrust Access Control r5 3 Dans les instructions qui suivent la s rie r8 SP2 est utilis e pour l interface utilisateur du gestionnaire de strat gies Les proc dures g n rales sont les m mes si vous utilisez une versions pr c dente de CA Audit bien que l interface utilisateur soit diff rente 214 Manuel d impl mentation Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager Modification des strat gies CA Audit pour envoyer des v nements CA Enterprise Log Manager Le processus de modification d une strat gie CA Audit existante pour envoyer des v nements CA Enterprise Log Manager implique les tapes ci dessous m Collectez les informations n cessaires a Assurez vous de disposer des informations d identification d utilisateur du gestionnaire de strat gies CA Audit avec l autorisation de cr er v rifier et activer des strat gies a Obtenez l adresse IP ou le nom d h te n cessaire pour acc der l interface utilisateur A
342. serveur CA Enterprise Log Manager pour envoyer des v nements Processus CA Enterprise Log Manager qui s ex cute pour g rer le traitement c t serveur des demandes d acc s ODBC et JDBC au magasin de journaux d v nements Cadre d applications de processus CA Enterprise Log Manager qui s ex cute pour assurer la continuit des op rations Processus CA Directory qui s ex cute sur le serveur o est install CA EEM Redirection des ports du pare feu pour les v nements Syslog Vous pouvez rediriger le trafic des ports standard vers d autres ports si vous utilisez un pare feu entre un agent et le serveur CA Enterprise Log Manager Les meilleures pratiques de s curit indiquent les droits d utilisateur minimaux n cessaires pour ex cuter les processus et d mons d applications Les d mons UNIX et Linux fonctionnant sur des comptes non root ne peuvent pas ouvrir de ports inf rieurs 1024 Le port Syslog UDP standard est 514 Cela peut poser probl me pour les unit s comme les routeurs et les commutateurs qui ne peuvent pas utiliser de ports non standard Chapitre 3 Installation de CA Enterprise Log Manager 85 Installation du client ODBC Pour r soudre ce probl me vous pouvez configurer le pare feu pour qu il coute le trafic entrant sur le port 514 et qu il effectue ses envois au serveur CA Enterprise Log Manager sur un autre port La redirection se produit sur le m me h te sous forme d couteur Syslog Si
343. serveur d outils de donn es ou dans certains cas une console facultative de surveillance de la s curit Une ligne pointill e repr sente le flux de contr le entre le serveur du gestionnaire de strat gies et les clients utilisant des strat gies Annexe A Remarques pour les utilisateurs de CA Audit 185 Pr sentation des diff rences entre les architectures Le serveur d outils de donn es dispose d utilitaires de base pour la g n ration de rapports la visualisation et le stockage d v nements La cr ation et la conservation des requ tes et rapports personnalis s qui constituent la norme des impl mentations d entreprise sont des op rations qui prennent du temps Cette topologie de r seau permet la collecte de divers types d v nements provenant de diff rentes unit s applications et bases de donn es Vous disposez du stockage central des v nements collect s qui fait g n ralement partie ou est g r par le serveur d outils de donn es qui produit galement certains rapports Toutefois vous devez disposer de capacit s suppl mentaires pour chelonner votre solution afin de g rer rapidement les volumes croissants d v nements Vous devez g n rer des rapports attestant de la conformit avec diverses r glementations f d rales et internationales Vous devez galement pouvoir retrouver rapidement et facilement ces rapports Architecture CA Enterprise Log Manager L illustration ci dessous re
344. sique que le serveur CA Enterprise Log Manager serveur de gestion Communications TCP avec l interface utilisateur du serveur CA Enterprise Log Manager via iGateway Communications TCP entre a le serveur CA Enterprise Log Manager et le serveur CA EEM a des serveurs CA Enterprise Log Manager f d r s un agent et le serveur CA Enterprise Log Manager pour les mises jour d tat 6789 17001 17002 17003 57000 57001 Agent Agent ODBC JDBC Agent Ecouteur SME de l ex cuteur Ecouteur d v nement Port d coute du contr le et des commandes de l agent Remarque Si vous n autorisez pas le trafic sortant vous devez ouvrir ce port pour permettre le bon fonctionnement Port TCP pour les communications s curis es de l agent avec le serveur CA Enterprise Log Manager num ro de port configurable Remarque Si vous n autorisez pas le trafic sortant vous devez ouvrir ce port pour permettre le bon fonctionnement Port TCP par d faut utilis pour les communications entre le pilote ODBC ou JDBC et le magasin de journaux d v nements CA Enterprise Log Manager Port TCP utilis pour les communications par le bus de messages Qpid pour les agents r12 1 Port TCP utilis par le service de l ex cuteur sur l h te local de l agent pour couter les v nements d autosurveillance entre les processus de l agent Port TCP compatible avec SSL en utilisant ETPKI utilis par le serv
345. soft SQL Server 2005 Pour obtenir une liste compl te consultez la Matrice d int gration de produits sur le support en ligne 158 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor Cet exemple d crit l activation de la collecte directe des v nements partir d une base de donn es Microsoft SQL Server Le connecteur d ploy sur l agent par d faut est fond sur l int gration MS_SQL_Server_2005 Dans cet exemple la base de donn es SQL Server se trouve sur un serveur ODBC Le connecteur d ploy dans l agent CA Enterprise Log Manager collecte des v nements partir de la table MSSQL_TRACE Une partie de l activation de la collecte d v nements partir d une base de donn es Microsoft SQL Server consiste diriger des v nements s lectionn s vers cette table de trace Vous trouverez des instructions explicites pour y parvenir dans le manuel du connecteur CA pour Microsoft SQL Server Pour configurer la source d v nement Microsoft SQL Server 1 S lectionnez l onglet Administration 2 D veloppez Biblioth que d ajustement d v nement Int grations Abonnement puis s lectionnez WinRM La fen tre Afficher les d tails de l int gration indique le nom du d tecteur savoir ODBCLogSensor Windows et Linux sont les deux plateformes prises en charge 3 Cliquez sur le lien Aide de la fen tre Afficher les d tails de l int gration WinRM Le ma
346. sont des mod les pouvant comprendre des fichiers d acc s aux donn es d analyse de message et de mappage de donn es CA Enterprise Log Manager propose un certain nombre d int grations pr tes l emploi pour les sources d v nement courantes Vous trouverez plus d informations et les proc dures d installation des agents dans le Manuel d installation des agents CA Enterprise Log Manager Informations compl mentaires Affichage et contr le de l tat d un agent ou d un connecteur page 169 Utilisation de l Explorateur d agent Juste apr s l installation d un serveur CA Enterprise Log Manager un agent par d faut s affiche dans l Explorateur d agent Cet agent est install en m me temps que le serveur CA Enterprise Log Manager et vous l utilisez pour la collecte directe d v nements Syslog L Explorateur d agent suit et r pertorie les agents lorsque vous les installez sur votre r seau il constitue galement une place centrale pour la configuration les commandes et le contr le des agents et des connecteurs Les agents s enregistrent aupr s du serveur CA Enterprise Log Manager sp cifi lorsque vous les d marrez pour la premi re fois Apr s cet enregistrement le nom de l agent s affiche dans l Explorateur d agent et vous pouvez configurer un connecteur pour commencer la collecte des journaux d v nements Les connecteurs collectent les journaux d v nements et les envoient au serveur CA Enterprise Log Manager
347. stallations Installation d un serveur CA Enterprise Log Manager Ce processus d installation comprend les tapes suivantes Remplissez la feuille de calcul du serveur CA Enterprise Log Manager Installez le serveur de gestion CA Enterprise Log Manager Installez un ou plusieurs serveurs de collecte CA Enterprise Log Manager Installez un ou plusieurs serveurs de rapports facultatif Remarque Si vous n installez pas un serveur d di la g n ration de rapport vous pouvez utiliser le serveur de gestion pour ce r le 68 Manuel d impl mentation Installation d un serveur CA Enterprise Log Manager m Installez un serveur de point de restauration facultatif m V rifiez l installation m Affichez les v nements d autosurveillance Important Configurez vos disques de stockage dans une baie RAID avant de commencer l installation de CA Enterprise Log Manager Configurez les deux premiers disques comme la baie RAID 1 et d finissez la comme la baie de d marrage Configurez les disques restants comme une seule baie RAID 5 Si vous ne configurez pas la baie RAID vous risquez de perdre des donn es Pour la s curit g n rale du serveur CA Enterprise Log Manager lui m me lors de l installation l utilitaire Grand Unified Boot loader GRUB est prot g par un mot de passe Feuille de calcul du serveur CA Enterprise Log Manager Avant d installer un serveur CA Enterprise Log Manager collectez les informations de la
348. storage Valeurs du serveur de Valeurs du serveur de Champ Magasin de journaux d v nements collecte rapports Nombre maximum de lignes Nbre max de jours d archivage Espace disque d archivage Exportation d une strat gie Port de service s curis Options d archivage automatique Activ e 2 000 000 par d faut 1 non applicable pour l archivage automatique 10 24 17001 Oui Non applicable pour l archivage automatique 30 applicable pour l archivage automatique et lorsque celui ci n est pas configur 10 72 17001 Oui Chapitre 5 Configuration des services 133 Configuration du magasin de journaux d v nements Champ Magasin de journaux d v nements Type de sauvegarde Fr quence Heure de d but Utilisateur EEM Mot de passe EEM Serveur distant Utilisateur distant Emplacement distant Serveur CA ELM distant Valeurs du serveur de collecte Incr mentiel Toutes les heures 0 lt Administrateur_CA Enterprise Log Manager gt lt mot_passe gt RptSrvr 1 caelmservice opt CA LogManager Oui Valeurs du serveur de rapports Incr mentiel Tous les jours 23 lt Administrateur_CA Enterprise Log Manager gt lt mot_passe gt RemoteStore 1 user_X CA ELM_cold_ storage Non Les options d archivage automatique de cet exemple d placent les fichiers d archive fichiers de base de donn es ti des du serveur de collecte au serveur de rapports t
349. strat gies de mots de passe que lorsque vous configurez le magasin d utilisateurs sur ce CA Enterprise Log Manager Informations compl mentaires Feuille de calcul du r pertoire LDAP externe page 37 Feuille de calcul CA SiteMinder page 39 Chapitre 2 Planification de votre environnement 35 Planification des utilisateurs et des acc s Planification du magasin d utilisateurs Apr s avoir install le premier serveur CA Enterprise Log Manager connectez vous CA Enterprise Log Manager et configurez le magasin d utilisateurs Le magasin d utilisateurs configur est l emplacement de stockage des noms d utilisateur et des mots de passe utilis s pour l authentification ainsi que d autres d tails d ordre g n ral Avec toutes les options du magasin d utilisateurs les d tails des utilisateurs de l application sont stock s dans le magasin d utilisateurs CA Enterprise Log Manager Ils incluent notamment des informations comme les r les les favoris des utilisateurs et la derni re connexion Tenez compte des l ments ci dessous lors de la planification du magasin d utilisateurs configurer m Utilisation du magasin d utilisateurs CA Enterprise Log Manager par d faut Les utilisateurs sont authentifi s par leur nom d utilisateur et leur mot de passe cr s dans CA Enterprise Log Manager Vous configurez des strat gies de mots de passe Les utilisateurs peuvent modifier leurs propres mots de passe et d verr
350. structions d installation normale avant d installer CA Enterprise Log Manager dans un environnement virtuel La feuille de calcul d installation vous permet de collecter les informations n cessaires Pour installer CA Enterprise Log Manager sur un ordinateur virtuel 1 Chargez votre disque d installation du SE CA Enterprise Log Manager dans le lecteur physique de DVD ROM ou recherchez le r pertoire dans lequel vous avez copi l image de l installation 2 Mettez votre ordinateur virtuel en surbrillance dans la liste d inventaire des ordinateurs virtuels cliquez dessus avec le bouton droit et s lectionnez D marrage Poursuivez l installation normale de CA Enterprise Log Manager 4 Configurez le serveur CA Enterprise Log Manager install pour le r le fonctionnel souhait en utilisant les informations de la section traitant de l installation d un serveur CA Enterprise Log Manager Informations compl mentaires Installation d un serveur CA Enterprise Log Manager page 68 Installation de CA Enterprise Log Manager page 74 260 Manuel d impl mentation Cr ation de serveurs CA Enterprise Log Manager virtuels Cr ation d un environnement compl tement virtuel Si vous n avez pas encore impl ment un environnement CA Enterprise Log Manager vous pouvez cr er un environnement enti rement virtuel de collecte de journaux Ce sc nario suppose de disposer d un nombre suffisant de serveurs physiques disponibles tous dot
351. suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Enregistrez manuellement l application CA Enterprise Log Manager aupr s du serveur CA EEM Pour enregistrer l application CA Enterprise Log Manager 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 98 Manuel d impl mentation D pannage de l installation Passez l utilisateur root au moyen de la commande ci dessous Su Acc dez au r pertoire opt CA LogManager EEM Ex cutez la commande ci dessous JEEMRegjister sh Le script shell enregistre l application CA Enterprise Log Manager aupr s du serveur CA EEM Acquisition de certificats aupr s du serveur CA EEM Sympt me Lors de l installation les certificats num riques n ont pas t correctement acquis aupr s du serveur CA EEM Les certificats num riques sont n cessaires pour d marrer et ex cuter l application CA Enterprise Log Manager Le script shell mentionn dans la proc dure qui suit est copi automatiquement dans le r pertoire nomm lors de l installation Solution Effectuez une acquisition manuelle des certificats aupr s du serveur CA EEM Pour acqu rir les certificats num riques 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager Connectez vous en utilisant les informations d identificatio
352. t tre d ploy s sur votre r seau et chacun d entre eux peut collecter de nombreux types diff rents de donn es d v nement via leurs connecteurs Cela permet de r duire le trafic d v nements vers la base de donn es SEOSDATA et de profiter des requ tes et rapports disponibles dans CA Enterprise Log Manager Une simple modification de la r gle de strat gie permet aux clients CA Audit d envoyer les v nements collect s au serveur d outils de donn es et au serveur CA Enterprise Log Manager Outre un d bit plus lev CA Enterprise Log Manager propose des requ tes et rapports pr ts l emploi qui vous permettent de prouver votre conformit l gard de nombreuses normes telles que PCI DSS et SOX En associant les requ tes et rapports pr d finis votre impl mentation CA Audit et CA Security Command Center existante vous pouvez tirer profit des investissements dans vos solutions personnalis es tout en b n ficiant des rapports et du d bit plus lev de CA Enterprise Log Manager Configuration d adaptateurs CA Les adaptateurs CA constituent un groupe d couteurs recevant des v nements de composants h rit s comme les clients CA Audit les iRecorders et les SAPI recorders ainsi que de sources d v nement qui transmettent les v nements de mani re native par le biais d iTechnology Param trez les options de configuration des adaptateurs CA avant de modifier les configurations des strat gies CA Audit o
353. t en haut de l cran La fen tre qui s affiche montre un graphique de tous les h tes de magasins d v nements enregistr s aupr s du serveur de gestion actuel m Les magasins d v nements avec des enfants de f d ration de serveurs s affichent en bleu clair avec des lignes de connexion noires mat rialisant la relation de f d ration m Les magasins d v nements sans enfant de f d ration de serveurs s affichent en vert clair Vous avez la possibilit de s lectionner un serveur local des fins de requ te Vous pouvez galement visualiser l tat de tous les serveurs affich s Cliquez sur un serveur du graphique de f d ration pour afficher diverses informations d tat ma Pourcentage d utilisation de l UC a Pourcentage d utilisation de la m moire disponible a Pourcentage d utilisation de l espace disque disponible a Ev nements re us par seconde Graphique principal de l tat du magasin de journaux d v nements Informations compl mentaires Exemple Carte de f d ration pour une PME page 33 Exemple Carte de f d ration pour une grande entreprise page 31 Chapitre 7 Cr ation de f d rations 177 Chapitre 8 Utilisation de la biblioth que d ajustement d v nement Ce chapitre traite des sujets suivants A propos de la biblioth que d ajustement d v nement page 179 Prise en charge de nouvelles sources d v nement avec la biblioth que d ajustement d v nement page
354. t tous les autres serveurs CA Enterprise Log Manager sont des clients d abonnement du proxy d abonnement par d faut Les clients d abonnement contactent le proxy d abonnement par d faut pour les mises jour Les clients et les proxies installent automatiquement les modules n cessaires Le magasin d utilisateurs CA Enterprise Log Manager re oit les mises jour de contenu et de configuration il stocke galement toutes les configurations du service d abonnement Le port 80 r serv au protocole HTTP est utilis pour les demandes adress es au serveur d abonnement CA par le biais d Internet Le port 5250 sert au trafic interne entre les serveurs CA Enterprise Log Manager Le port de transfert du proxy d abonnement en ligne au proxy HTTP est configur avec les autres informations du proxy HTTP CA Serveur d abonnement1 Port 80 7 Serveur de Pa gestion Ay Fos par l utilisateur Proxy HTTP Proxy d abonnement en ligne local Client d abonnement Informations compl mentaires Configuration d un proxy d abonnement en ligne page 148 Affectations de ports par d faut page 82 44 Manuel d impl mentation Planification des mises jour d abonnement Quand configurer l abonnement Il est recommand de reporter la configuration de l abonnement jusqu ce que vous ayez install tous les serveurs CA Enterprise Log Manager planifi s Si vous pr f rez obtenir directement les mises jour d abonnement
355. t charg de r cup rer les mises jour d abonnement aupr s du serveur d abonnement CA de mani re r guli re et planifi e Un proxy d abonnement en ligne donn peut tre inclus dans la liste des proxies pour un ou plusieurs clients qui contactent les proxies r pertori s de mani re circulaire afin de demander les mises jour de fichiers binaires S il est configur pour le faire un proxy en ligne donn peut envoyer les nouvelles mises jour de contenu et de configuration au serveur de gestion sauf si cela a d j t fait par un autre proxy Le r pertoire des mises jour d abonnement d un proxy en ligne s lectionn est utilis comme source pour copier les mises jour sur les proxies d abonnement hors ligne proxy d abonnement hors ligne Un proxy d abonnement hors ligne est un serveur CA Enterprise Log Manager qui obtient les mises jour d abonnement par une copie de r pertoire manuelle l aide de scp depuis un proxy d abonnement en ligne Les proxies d abonnement hors ligne peuvent tre configur s pour t l charger les mises jour de fichiers binaires sur les clients qui les demandent et pour envoyer la derni re version des mises jour de contenu au serveur de gestion si celui ci ne l a pas d j re ue Les proxies d abonnement hors ligne n ont pas besoin d acc s Internet proxy d abonnement par d faut rapport rapports EPHI Le proxy d abonnement par d faut est g n ralement le serve
356. t effectu apr s restauration d une base de donn es froide dans un nouveau magasin de journaux d v nements Les bases de donn es ti des sont conserv es dans le magasin de journaux d v nements jusqu ce que leur anciennet en jours d passe la valeur configur e pour le param tre Nbre max de jours d archivage Vous pouvez effectuer des requ tes sur des journaux d v nements dans les bases de donn es chaudes ti des et d givr es tats de base de donn es v nement ajust Les tats d une base de donn es incluent chaude pour une base de donn es de nouveaux v nements ti de pour une base de donn es d v nements compress s froide pour une base de donn es sauvegard e et d givr e pour une base de donn es restaur e dans le magasin de journaux d v nements o elle avait t sauvegard e Vous pouvez lancer une requ te sur les bases de donn es chaudes ti des et d givr es Toutes les requ tes d archivage affichent les informations relatives aux bases de donn es froides Un v nement ajust contient les donn es d v nements mapp s ou analys s d riv es d v nements bruts ou r capitul s CA Enterprise Log Manager r alise le mappage et l analyse pour permettre les recherches sur les donn es stock es 282 Manuel d impl mentation v nement brut Un v nement brut correspond aux informations d clench es par un v nement natif envoy par un agent de surveillance a
357. t fonctionne quotidiennement il supprime chaque jour les rapports qui d passent l anciennet sp cifi e m D finition des param tres du processus CA IT PAM m D finition des param tres des interruptions SNMP 138 Manuel d impl mentation Configuration de l abonnement Configuration de l abonnement Le module d abonnement est similaire aux autres services car il dispose des param tres globaux et locaux Le module d abonnement diff re des autres services au niveau des l ments ci dessous Les param tres globaux n cessitant la s lection de proxies d pendent des param tres d finis au niveau local Vous d finissez des proxies d abonnement pour les mises jour de contenu au niveau global mais la liste des proxies disponibles n est pas remplie tant que les proxies ne sont pas configur s Vous configurez les serveurs devant agir comme des proxies au niveau local en tant que proxy ou proxy hors ligne Tous les serveurs CA Enterprise Log Manager locaux ne sont pas identiques quant leurs besoins de configuration Diff rents serveurs ont diff rents r les Le r le du serveur impose les param tres devant tre configur s L applicabilit des param tres globaux d abonnement varie comme indiqu ci dessous Vous trouverez ci dessous les param tres qui ne peuvent pas tre supplant s au niveau local param tres globaux uniquement Proxy d abonnement par d faut a URL du flux RSS utilis e par tous les pro
358. t les sources d v nements associ es aux connecteurs de son agent Glossaire 291 pozFolder pozFolder est un attribut d AppObject dont la valeur correspond l emplacement parent de l AppObject L attribut et la valeur pozFolder sont utilis s dans les filtres de strat gies d acc s qui restreignent l acc s aux ressources telles que les rapports les requ tes et les configurations processus de sortie de l v nement de l alerte profil Le processus de sortie de l v nement de l alerte est un processus CA IT PAM qui invoque un produit tiers pour r pondre aux donn es d alerte configur es dans CA Enterprise Log Manager Vous pouvez s lectionner Processus CA IT PAM comme destination lorsque vous planifiez un job d alerte Lorsqu une alerte d clenche l ex cution du processus CA IT PAM CA Enterprise Log Manager envoie les donn es d alerte CA IT PAM lesquelles sont ensuite transf r es par CA IT PAM avec leurs propres param tres de traitement au produit tiers dans le cadre du processus de sortie de l v nement de l alerte Un profil est un ensemble facultatif et configurable de filtres de donn es et de balises qui peut tre sp cifique un produit une technologie ou une cat gorie donn e Le filtre de balise d un produit par exemple limite les balises r pertori es la balise du produit s lectionn Les filtres de donn es d un produit affichent uniquement les donn es pour le produit sp cifi dans les
359. t s lectionn les utilisateurs sont avertis par un v nement d autosurveillance qu ils doivent red marrer le syst me manuellement a Sp cifiez Oui pour vous assurer que le serveur CA Enterprise Log Manager est automatiquement arr t et red marr apr s chaque installation de patchs du syst me d exploitation qui n cessite un red marrage pour prendre effet 8 S lectionnez parmi les Modules t l charger disponibles ceux qui s appliquent votre environnement d exploitation Par exemple si aucun de vos serveurs CA Enterprise Log Manager n ex cute une application ou un syst me d exploitation donn e vous ne s lectionnerez pas le module t l charger correspondant Remarque La liste disponible est renseign e selon le cycle de mise jour suivant votre saisie d une URL du flux RSS valide Le moment auquel cela se produit est d termin par l heure et la fr quence de mise jour sp cifi es Si l URL du flux RSS est d finie et que l option Modules t l charger n est pas renseign e v rifiez la validit de l URL Si votre r seau se trouve derri re un pare feu assurez vous que le param tre du proxy HTTP est activ et que les param tres associ s sont corrects pour le proxy d abonnement en ligne 9 Dans la liste des proxies d abonnement disponible pour les clients s lectionnez un ou plusieurs proxies que les clients doivent contacter de mani re circulaire pour obtenir les mises jour du logiciel et
360. tall est le serveur de gestion ce serveur peut galement assumer d autres r les Vous pouvez disposer d un seul serveur de gestion sur un r seau CA Enterprise Log Manager unique Chaque r seau CA Enterprise Log Manager doit disposer d un serveur de gestion Chapitre 2 Planification de votre environnement 17 Planification des serveurs Les architectures possibles sont r pertori es ci dessous Syst me un seul serveur dans lequel le serveur de gestion assume tous les autres r les Syst me deux serveurs dans lequel le serveur de gestion assume tous les r les sauf la collecte Celle ci est effectu e par un serveur d di ce r le Syst me comptant plusieurs serveurs dans lequel chaque serveur est d di un seul r le Vous trouverez ci apr s des d tails sur les r les des serveurs et les architectures R les des serveurs Un syst me CA Enterprise Log Manager peut poss der un ou plusieurs serveurs En d diant diff rents serveurs diff rents r les vous optimisez les performances Mais vous pouvez choisir d utiliser un serveur pour effectuer plusieurs r les ou tous les r les Tenez compte du poids du traitement li chaque r le de serveur par rapport aux autres facteurs importants dans votre environnement lorsque vous d terminez comment d dier chaque serveur install Serveur de gestion Par d faut le r le du serveur de gestion est tenu par le premier serveur CA Enterprise Log Ma
361. tatique chaque serveur S lectionnez l option Connecter au d marrage et cliquez sur Suivant La bo te de dialogue Types d adaptateurs E S s affiche Select LSI Logic pour l adaptateur E S puis cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel puis cliquez sur Suivant La bo te de dialogue concernant la capacit et l emplacement du disque s affiche 258 Manuel d impl mentation 13 14 15 Cr ation de serveurs CA Enterprise Log Manager virtuels Pr cisez la capacit et l emplacement de votre disque puis cliquez sur Suivant Une bo te de dialogue d options avanc es s affiche Vous pouvez stocker ce disque avec votre ordinateur virtuel ou sp cifier un autre emplacement Nous recommandons un espace minimal de 500 Go Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant Confirmez vos param tres et cliquez sur Terminer pour cr er le nouvel ordinateur virtuel Ajout de lecteurs de disques virtuels Utilisez la proc dure suivante afin d ajouter des lecteurs de disques virtuels pour le stockage de journaux d v nements Utilisez les m mes param tres sans tenir compte du r le jou par un serveur CA Enterprise Log Manager sp cifique sur votre r seau Pour modifier les param tres 1 Cliquez avec le bouton droit sur votre ordinateur virtuel dans le client VMware Infrastructure et s lection
362. technique Lorsqu une cl doit tre modifi e pour un t l chargement donn ce champ est mis jour automatiquement avant le d but du t l chargement Sp cifiez une valeur en jours ou acceptez la valeur par d faut 30 pour la dur e de conservation des mises jour t l charg es sur le syst me Octroyez suffisamment de temps pour que le r pertoire de t l chargement soit copi d un proxy d abonnement source vers tous les proxies d abonnement hors ligne et pour que toutes les mises jour soient t l charg es et install es par tous les clients Remarque Le param tre de nettoyage des mises jour s applique tous les proxies d abonnement et tous les proxies d abonnement hors ligne il ne peut pas tre modifi au niveau local Chapitre 5 Configuration des services 141 Configuration de l abonnement 7 Tenez compte des l ments ci dessous lors de la configuration du Red marrage automatique apr s mise jour du SE qui s applique toutes les instances CA Enterprise Log Manager lorsqu une mise jour du syst me d exploitation est t l charg e et install e a Acceptez le param tre Non par d faut pour ne sp cifier aucun red marrage automatique du serveur CA Enterprise Log Manager lorsque les mises jour des fichiers binaires incluent l installation sur le syst me d exploitation de patchs n cessitant le red marrage du serveur pour que la mise jour prenne effet Lorsque le param tre Non es
363. terprise Log Manager est 8 Go ou 8 192 Mo Configurez votre contr leur d interface r seau NIC CA Enterprise Log Manager n cessite au moins une connexion r seau S lectionnez NIC x dans la liste de NIC disponibles et param trez la valeur Adaptateur sur Flexible Remarque Vous n avez pas besoin de configurer un NIC s par pour chaque serveur CA Enterprise Log Manager h berg sur ce serveur physique Toutefois vous devez allouer et affecter une adresse IP statique chaque serveur S lectionnez l option Connecter au d marrage et cliquez sur Suivant La bo te de dialogue Types d adaptateurs E S s affiche Select LSI Logic pour l adaptateur E S puis cliquez sur Suivant La bo te de dialogue S lectionner un disque s affiche S lectionnez l option Cr er un nouveau disque virtuel puis cliquez sur Suivant La bo te de dialogue concernant la capacit et l emplacement du disque s affiche Pr cisez la capacit et l emplacement de votre disque puis cliquez sur Suivant Une bo te de dialogue d options avanc es s affiche Vous pouvez stocker ce disque avec votre ordinateur virtuel ou sp cifier un autre emplacement Nous recommandons un espace minimal de 500 Go Acceptez les valeurs par d faut des options avanc es et cliquez sur Suivant Confirmez vos param tres et cliquez sur Terminer pour cr er le nouvel ordinateur virtuel Ajout de lecteurs de disques virtuels Utilisez la proc dure suivante afin d ajout
364. terprise Log Manager repose sur la conservation de sauvegardes r guli res Vous devez effectuer les sauvegardes des informations ci dessous m Instance d application CA Enterprise Log Manager sur le serveur de gestion m Dossier opt CA LogManager data sur chaque serveur CA Enterprise Log Manager m Fichiers de certificat dans le dossier opt CA SharedComponents iTechnology sur chaque serveur CA Enterprise Log Manager Si votre impl mentation repose sur la conservation de niveaux lev s de d bit vous pouvez choisir de disposer d un serveur de r serve dot des m mes caract ristiques mat rielles que celui sur lequel vous installez vos autres serveurs CA Enterprise Log Manager Si un serveur CA Enterprise Log Manager est d sactiv vous pouvez installer un autre serveur en utilisant exactement le m me nom Lorsque le nouveau serveur d marre il re oit les fichiers de configuration n cessaires de la part du serveur de gestion Si ce niveau de performances n est pas critique pour votre impl mentation vous pouvez installer un serveur CA Enterprise Log Manager sur n importe quel serveur vide capable d h berger le syst me d exploitation de base et r pondant aux exigences minimales de m moire et de disque dur Annexe D R cup ration apr s sinistre 249 A propos de la sauvegarde du serveur CA EEM Vous trouverez plus d informations sur les exigences mat rielles et logicielles dans les Notes de parution CA Enterprise Log Man
365. teur telles que D marrer Arr ter et Red marrer partir de l interface de l Explorateur d agent dans CA Enterprise Log Manager Les agents appliquent galement les modifications de configuration des connecteurs et les mises jour des fichiers binaires Vous pouvez installer des agents sur des sources individuelles d v nement mais aussi sur des serveurs h tes distants pour collecter des v nements provenant de plusieurs sources L installation du serveur CA Enterprise Log Manager installe automatiquement son propre agent Vous pouvez utiliser cet agent par d faut pour la collecte directe des v nements Syslog Vous pouvez galement afficher l tat d un agent dans l Explorateur d agent sur n importe quel serveur CA Enterprise Log Manager du r seau Les agents sont dot s d un service de surveillance qui red marre l agent si ce dernier s arr te inopin ment et qui surveille les mises jour des fichiers binaires des agents et connecteurs Les agents envoient galement des v nements d autosurveillance au magasin de journaux d v nements pour le suivi des modifications et de l tat A propos des groupes d agents Vous pouvez galement cr er des groupes d agents qui constituent des regroupements logiques d agents afin de faciliter la gestion de ces derniers Apr s avoir int gr un agent dans un groupe d agents vous pouvez modifier les configurations mais aussi d marrer et arr ter simultan ment tous les conne
366. teurs d applications un utilisateur existant 1 Cliquez sur l onglet Administration et sur le sous onglet Gestion des utilisateurs et des acc s Cliquez sur Utilisateurs dans le volet gauche Les volets Recherche d utilisateurs et Utilisateurs apparaissent S lectionnez Utilisateurs globaux entrez des crit res de recherche et cliquez sur OK Si la recherche porte sur les comptes d utilisateurs charg s le volet Utilisateurs affiche le chemin d acc s et les tiquettes de chemin d acc s refl tent le r pertoire externe r f renc Important Entrez toujours des crit res lors des recherches pour viter d afficher toutes les entr es d un magasin d utilisateurs externe S lectionnez un utilisateur global n ayant aucune appartenance un groupe d applications CA Enterprise Log Manager La page Utilisateur s affiche avec le nom du dossier les d tails de l utilisateur global et le cas ch ant l appartenance un groupe global Cliquez sur Ajouter les d tails de l utilisateur de l application Le volet des d tails de l utilisateur CAELM se d veloppe S lectionnez le groupe souhait dans la liste des groupes d utilisateurs disponibles et cliquez sur la fl che de droite Le groupe s lectionn appara t dans la zone Groupes d utilisateurs s lectionn s Cliquez sur Enregistrer 116 Manuel d impl mentation Cr ation du premier administrateur 8 V rifiez l ajout a Dans le volet Recherche
367. tion CA Enterprise Log Manager pour que vous puissiez transf rer les fichiers de mise jour d abonnement depuis le proxy d abonnement en ligne jusqu au proxy d abonnement hors ligne Les valeurs cl s sont des valeurs d finies par l utilisateur et affect es une liste d finie par l utilisateur groupe cl Lorsqu une requ te utilise un groupe cl les r sultats de la recherche incluent les correspondances avec toutes les valeurs cl s du groupe Il existe plusieurs groupes cl s pr d finis certains contiennent des valeurs cl s pr d finies utilis es dans les requ tes et rapports pr d finis 302 Manuel d impl mentation Index A adaptateurs CA configuration pour l utilisation avec CA Audit 189 193 agent par d faut configuration d un connecteur l aide du d tecteur de journal OBDC 158 configuration d un connecteur l aide du d tecteur de journal WinRM 164 agents A propos de 58 A propos des groupes d agents 59 affichage de l tat 169 agent par d faut 155 droits des comptes d utilisateur 60 installation 153 planification pour 56 archivage A propos des fichiers d archive 126 base de donn es de gestion CA CA MDB magasin d utilisateurs 108 biblioth que d ajustement d v nement A propos de 179 prise en charge de nouvelles sources d v nement 180 C CA Audit Configuration d adaptateurs CA 189 diff rences d architecture 183 envoi d v nements CA Ent
368. tion du premier administrateur 444 2 114 Cr ation d un nouveau compte d utilisateur 115 Affectation d un r le un utilisateur global 116 Chapitre 5 Configuration des services 119 Sources d v nement et configurations 119 Modification de configurations globales 120 Utilisation des Param tres et filtres globaux 122 S lection de l utilisation des requ tes f d r es 123 Configuration de l intervalle global de mise jour 124 A propos es MIER S AOC de ae a te er 124 Configuration du magasin de journaux d v nements 125 A propos du service du magasin de journaux d v nements 126 D finition des options des magasins de journaux d v nements 135 Remarques sur le serveur ODBC 44444 44444 esse esse eue 136 Remarques sur le serveur de rapports 2 137 Configuration de l abonnement 4 44444444444ee 139 Configuration des param tres d ab
369. tocker les modifications apport es aux fichiers de configuration du serveur de gestion Annexe A Remarques pour les utilisateurs de CA Audit 193 Envoi d v nements CA Audit CA Enterprise Log Manager Envoi d v nements CA Audit CA Enterprise Log Manager Vous pouvez int grer CA Enterprise Log Manager dans votre impl mentation CA Audit de l une des mani res ci dessous Reconfigurez un iRecorder ne se trouvant pas sur le m me h te qu un client CA Audit pour envoyer les v nements CA Enterprise Log Manager ma Modifiez une strat gie CA Audit existante pour envoyer des v nements CA Audit et CA Enterprise Log Manager Configuration d iRecorder pour envoyer des v nements CA Enterprise Log Manager CA Enterprise Log Manager re oit des v nements provenant d iRecorders par le biais de l couteur du module d extension d v nements iTech Vous devez configurer l couteur avant de modifier la configuration d iRecorder Sans quoi vous risquez de perdre des donn es d v nement Apr s avoir configur l couteur utilisez cette proc dure pour configurer l iRecorder afin qu il envoie les v nements au serveur CA Enterprise Log Manager Les iRecorders install s sur le m me ordinateur qu un client CA Audit envoient des v nements directement au client Pour ces ordinateurs vous devez utiliser des adaptateurs de collecteur ou de routeur SAPI Important Un iRecorder autonome peut envoyer se
370. ts lev de nombreux rapports planifi s et alertes ainsi que la personnalisation continue vous pouvez d dier un ou plusieurs serveurs CA Enterprise Log Manager des r les uniques m CA Enterprise Log Manager de gestion s occupe de la gestion de la configuration du contenu m CA Enterprise Log Manager de rapports g re les requ tes et les rapports m CA Enterprise Log Manager de collecte s occupe de la collecte et de l ajustement d v nement m CA Enterprise Log Manager de point de restauration g re ventuellement l examen des v nements partir des bases de donn es d archive restaur es Remarque Un serveur distant non CA Enterprise Log Manager est configur pour stocker les bases de donn es archiv es des journaux d v nements Cette configuration est id ale pour les tr s grands r seaux Les fl ches indiquent que le serveur de gestion conserve les param tres globaux qui s appliquent tous les serveurs R seau CA Enterprise Log Manager Serveur de gestion Serveur de rapports Serveur de rapports Serveur de collecte Chapitre 2 Planification de voire environnement 23 Planification de la collecte de journaux Planification de la collecte de journaux La planification de la collecte de journaux pour votre r seau est bas e sur le nombre d v nements par seconde que vous devez traiter des fins de stockage et la dur e pendant laquelle vous devez conserver les donn es en ligne dans
371. ts iTech pour des v nements CA Access Control Avant de reconfigurer un iRecorder pour envoyer les v nements directement CA Enterprise Log Manager vous devez configurer un couteur pour recevoir ces v nements Pour configurer l couteur 1 Connectez vous au serveur CA Enterprise Log Manager en tant qu utilisateur dot du r le Administrator 2 Acc dez l onglet Administration puis d veloppez le noeud Adaptateurs CA Requ tes et rapports Rapports planifi s Gestion des alertes Administration Collecte de journaux gt Services gt Gestion des utilisateurs et des acc s v Adaptateurs CA gt 9 Explorateur d agent gt O Profils gt 0 Collecteur SAPI de CA Audit gt Router SAPI de CA Audit gt Module d extension d v nements iTechnc gt 3 Biblioth que d ajustement d v nement gt 0 Requ te de catalogue d archive Explorateur de collecte de journaux D veloppez le noeud du module d extension d v nements iTechnology S lectionnez le serveur CA Enterprise Log Manager actuel pour afficher les param tres locaux Veillez ce que le fichier de mappage AccessControl soit le premier de la liste des fichiers de mappage S lectionn s afin de garantir des op rations tr s efficaces V rifiez que la valeur Niveau de journal est param tr e sur NOTSET pour collecter tous les niveaux d v nements Cliquez sur Enregistrer Annexe B Remarques pour les Utilisateurs
372. tte entr e indique iGateway d envoyer ses v nements au serveur CA Enterprise Log Manager en utilisant son nom DNS 7 Red marrez le d mon ou le service iGateway avec la commande ci apr s m UNIX ou Linux S99igateway start a Windows net start igateway Cette action oblige iRecorder utiliser les nouveaux param tres et lance le flux d v nements depuis iRecorder vers le serveur CA Enterprise Log Manager Informations compl mentaires A propos du routeur et du collecteur SAPI page 190 Configuration du service de collecteur SAPI page 191 Configuration du service de routeur SAPI page 192 Modification d une strat gie CA Audit existante pour envoyer des v nements CA Enterprise Log Manager Utilisez la proc dure suivante pour permettre un client CA Audit d envoyer des v nements a fois CA Enterprise Log Manager et la base de donn es du collecteur CA Audit En ajoutant une nouvelle cible aux actions Collecteur ou Acheminement d une r gle existante vous pouvez envoyer les v nements collect s aux deux syst mes Vous pouvez galement modifier des strat gies ou r gles sp cifiques pour envoyer des v nements uniquement au serveur CA Enterprise Log Manager CA Enterprise Log Manager collecte les v nements provenant de clients CA Audit l aide des couteurs du routeur SAPI CA Audit et du collecteur SAPI CA Audit Les v nements collect s sont conserv s dans le magasin de jo
373. u branche du r seau mais pas aux donn es d v nement dans d autres branches parall les Vous pouvez cr er une f d ration hi rarchique avec plusieurs branches parall les pour contenir les donn es de chaque r gion Chaque branche peut transmettre des rapports un serveur CA Enterprise Log Manager de gestion situ dans les bureaux du si ge pour afficher tous les rapports de journaux d v nements de mani re descendante 172 Manuel d impl mentation F d rations hi rarchiques Exemple de f d ration hi rarchique Dans la carte de f d ration illustr e par le diagramme ci apr s le r seau utilise le serveur CA Enterprise Log Manager de gestion comme serveur de rapports et plusieurs serveurs de collecte dans une configuration similaire un organigramme Le serveur de gestion rapports agit comme un serveur CA Enterprise Log Manager parent et dispose de fonctions d authentification d autorisation et de gestion majeure des utilisateurs ainsi que de fonctions de g n ration de rapports li es la gestion des requ tes rapports et alertes Dans cet exemple les serveurs de collecte sont les enfants du serveur de gestion rapports n 1 Vous pouvez organiser d autres niveaux dans la hi rarchie Toutefois il ne peut y avoir plusieurs serveurs de gestion Les niveaux suppl mentaires sont compos s de serveurs de rapports l tat de parents des serveurs de collecte Pour illustrer ce style de f d ration le serveur d
374. u collecteur Log Manager L v nement brut est souvent pr sent sous la forme d une cha ne Syslog ou d une paire nom valeur Il est possible d examiner un v nement sous sa forme brute dans CA Enterprise Log Manager v nement d autosurveillance v nement distant Un v nement d autosurveillance est un v nement journalis par CA Enterprise Log Manager Ce type d v nement est automatiquement g n r sur la base d actes effectu s par l utilisateur et de fonctions r alis es par diff rents modules tels que les services et les couteurs Pour consulter le rapport pr cisant les d tails des v nements d autosurveillance des op rations SIM s lectionnez un serveur de rapports et ouvrez l onglet Ev nements d autosurveillance Un v nement distant est un v nement impliquant deux ordinateurs h tes distincts la source et la destination Un v nement distant est de type 2 sur les quatre types d v nement utilis s dans la grammaire commune aux v nements v nement enregistr v nement local v nement natif v nement observ Un v nement enregistr contient les donn es d un v nement brut ou ajust apr s son int gration dans la base de donn es Les v nements bruts sont toujours enregistr s sauf s ils sont supprim s ou r capitul s comme des v nements ajust s Ces informations sont stock es et peuvent tre interrog es Un v nement local est un v nement imp
375. u cours desquelles des tentatives de reprise sont effectu es chaque fois qu une erreur se produit au cours de l importation d un v nement Le traitement continue lorsque l envoi de cet v nement est nouveau r ussi L utilitaire utilise automatiquement une valeur par d faut de 300 secondes Vous n avez pas entrer le param tre sauf si vous souhaitez sp cifier une valeur diff rente Les messages li s l tat de la reprise sont envoy s STDOUT Exemples de la ligne de commande LMSeosimport Vous pouvez utiliser les exemples suivants de ligne de commande pour cr er votre commande personnalis e lors de l utilisation de l utilitaire d importation SEOSDATA Pour ex cuter l importation d enregistrements entre les ENTRYID 1 000 et 4 000 Entrez la ligne de commande ci dessous LMSeosimport dsn eAudit_ DSN user sa password sa target 130 200 137 192 minid 1000 maxid 4000 Pour ex cuter l importation d enregistrements pour des v nements d applications Windows NT uniquement Entrez la ligne de commande ci dessous LMSeosimport dsn eAudit_ DSN user sa password sa target 130 200 137 192 log NT Application Cr ation d un rapport d v nements L ex cution d un rapport d v nements SEOSDATA avant l importation r elle des donn es vous fournit les informations n cessaires concernant les v nements de la table Le rapport indique la p riode de l v nement le nombre d v nements par type de journ
376. u de l l ment de r seau en question Dans la MIB pour les interruptions SNMP envoy es par CA Enterprise Log Manager la description de chaque objet de donn es est destin e au champ CEG associ La MIB permet de s assurer que toutes les paires nom valeur transmises dans une interruption SNMP sont correctement interpr t es au niveau de la destination mises jour d abonnement Les mises jour d abonnement correspondent aux fichiers binaires et non binaires mis disposition par le serveur d abonnement CA Les fichiers binaires sont des mises jour du module produit g n ralement install es sur les syst mes CA Enterprise Log Manager Les fichiers non binaires ou mises jour de contenu sont enregistr s sur le serveur de gestion mises jour du contenu Les mises jour de contenu constituent la partie non binaire des mises jour d abonnement et elles sont enregistr es sur le serveur de gestion CA Enterprise Log Manager Les mises jour de contenu incluent les fichiers XMP les fichiers de mappage de donn es les mises jour de configuration pour les modules CA Enterprise Log Manager et les mises jour de cl publique module t l charger Un module est un groupement logique de mises jour de composant mis disposition des utilisateurs en t l chargement sur la base d un abonnement Un module peut contenir des mises jour de fichier binaire de contenu ou les deux Par exemple tous les rapports sont
377. u des iRecorders Vous vous assurez ainsi du bon fonctionnement des processus d couteurs avant l arriv e des v nements et vitez les donn es d v nement ayant un mappage incorrect Annexe A Remarques pour les utilisateurs de CA Audit 189 Configuration d adaptateurs CA Si vous envoyez des v nements CA Audit via iRecorder ou si vous utilisez un client CA Audit avec iRecorder vous utilisez des adaptateurs SAPI CA Enterprise Log Manager pour recevoir les v nements Pour envoyer des v nements CA Enterprise Log Manager vous modifiez une strat gie CA Audit existante pour les v nements CA Access Control Vous pouvez ajouter une action Collecteur ou Acheminement une r gle existante m Si vous cr ez une action Collecteur pour une r gle d une strat gie CA Audit existante configurez l adaptateur CA du collecteur SAPI pour recevoir les v nements m Si vous cr ez une action Acheminement pour une r gle d une strat gie CA Audit existante configurez l adaptateur CA du routeur SAPI pour recevoir les v nements Pour obtenir les instructions de reconfiguration pour l envoi direct d v nements CA Enterprise Log Manager consultez la documentation des sources SAPI Si vous envisagez d installer un iRecorder autonome ou d utiliser un iRecorder existant configurez le module d extension d v nements iTech pour recevoir les v nements Vous pouvez par exemple utiliser cette approche si CA Audit n est pas
378. u serveur CA EEM m Obtenir des certificats num riques m Importer des rapports CA Enterprise Log Manager m Importer des fichiers de mappage de donn es m Importer des fichiers d analyse de message m Importer des fichiers de grammaire commune aux v nements CEG m Importer des fichiers de gestion commune des agents 96 Manuel d impl mentation D pannage de l installation R soudre une erreur de configuration de l interface r seau Apr s l installation si vous ne parvenez pas acc der l interface utilisateur du serveur CA Enterprise Log Manager vous rencontrez peut tre une erreur de configuration de l interface r seau Vous avez deux options pour r soudre l erreur m D branchez le c ble r seau physique et branchez le sur un autre port m Reconfigurez les adaptateurs logiques de l interface r seau partir d une ligne de commande Pour reconfigurer les ports d adaptateurs r seau partir d une ligne de commande 1 Connectez vous au dispositif logiciel en tant qu utilisateur caelmadmin et acc dez une invite de commande 2 Basculez sur le compte d utilisateur root l aide de la commande ci dessous SU 3 Entrez le mot de passe de l utilisateur root pour confirmer l acc s au syst me 4 Entrez la commande suivante system config network L interface utilisateur permettant de configurer les adaptateurs r seau s affiche 5 Param trez les configurations de ports comme vous le souh
379. u sur le bouton de basculement pour verrouiller le champ et utiliser le param tre global la valeur est modifi e pour prendre la valeur globale lors du prochain Intervalle de mise jour tel que d fini dans la Configuration globale Vous pouvez envisager d accepter les param tres globaux pour l Heure de d but de la mise jour et la Fr quence de mise jour Si ce serveur doit t l charger des mises jour d abonnement via un serveur proxy HTTP diff rent du serveur h rit passez en configuration locale et modifiez les cinq champs qui configurent le proxy HTTP Si les modules n cessaires au t l chargement des mises jour du produit CA Enterprise Log Manager ou du syst me d exploitation diff rent des param tres h rit s passez en configuration locale et apportez les modifications n cessaires Cliquez sur Enregistrer Informations compl mentaires Remarques sur l abonnement page 143 Configuration d un proxy d abonnement hors ligne Lorsqu aucun serveur CA Enterprise Log Manager n est connect Internet vous devez configurer un ou plusieurs serveurs CA Enterprise Log Manager comme des proxies d abonnement hors ligne partir desquels d autres serveurs clients hors ligne pourront obtenir les mises jour d abonnement Un administrateur doit copier les mises jour d abonnement depuis un proxy en ligne vers des proxies hors ligne Le chemin de t l chargement pr configur est opt CA LogManager
380. uche La liste des actions s affiche sur la droite Vous pouvez galement utiliser l action Acheminement pour cr er une r gle permettant d envoyer des v nements un serveur CA Enterprise Log Manager Cliquez sur Nouveau pour ajouter une nouvelle r gle Entrez l adresse IP ou le nom d h te du serveur CA Enterprise Log Manager de collecte Pour les impl mentations CA Enterprise Log Manager comptant plusieurs serveurs vous pouvez entrer un autre nom d h te ou adresse IP CA Enterprise Log Manager dans le champ Autre nom d h te pour b n ficier de la fonction de basculement automatique de lt Aus gt Si le premier serveur CA Enterprise Log Manager n est pas disponible CA Audit envoie automatiquement les v nements au serveur nomm dans le champ Autre nom d h te Entrez le nom du serveur CA Enterprise Log Manager de gestion dans le champ Autre nom d h te puis cr ez une description pour cette nouvelle action de r gle Si la case cocher Effectuer cette action sur un serveur distant est s lectionn e d s lectionnez la Cliquez sur Ajouter pour enregistrer la nouvelle action de r gle puis sur Terminer dans la fen tre de l assistant 196 Manuel d impl mentation Envoi d v nements CA Audit CA Enterprise Log Manager 12 S lectionnez l onglet R gles dans le volet inf rieur droit puis s lectionnez une r gle v rifier 13 Cliquez sur V rifier les strat gies pour v rifier la r gle modifi e a
381. ue si vous surveillez plusieurs bases de donn es SQL Server ayant le m me agent Cr ation de connecteur S Indiquez les informations requises Type Int grations Ecouteurs Int gration MS_SQL_Server_2005 v Nom du connecteur MS 5QL_Server_2005_Connecteur Version de la plate forme rHeLs v Omettre la v rification de la version de plate forme Cliquez sur Appliquer les r gles de suppression et s lectionnez les r gles associ es aux v nements pris en charge facultatif Par exemple s lectionnez MSSQL_2005_Authorization 12 0 44 12 160 Manuel d impl mentation Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor 8 Cliquez sur l tape Configuration du connecteur puis cliquez sur le lien Aide Les Instructions incluent les l ments requis pour la configuration des d tecteurs CA Enterprise Log Manager pour Windows et Linux 5 0 Configuration requise pour les d tecteurs CA Enterprise Log Manager 5 1 Configuration des d tecteurs CA Enterprise Log Manager Windows 5 1 1 Exemples Cha ne de connexion Windows 5 2 Configuration des d tecteurs Linux 5 2 1 Exemples Cha ne de connexion Linux 5 3 Param tre fixe 9 Consultez les tapes pour Linux la plateforme de l agent par d faut puis configurez la Cha ne de connexion et les autres champs tel que sp cifi a Saisissez la cha ne de connexion tel que sp cifi dans la sectio
382. uel utilisateur peut tre affect un ou plusieurs groupes globaux Des strat gies d acc s peuvent tre d finies avec les groupes globaux en tant qu identit s afin d autoriser ou d interdire ces derni res d effectuer certaines actions sur les ressources s lectionn es ideal_model correspond la technologie exprimant l v nement Il s agit du premier champ de la grammaire commune aux v nements CEG dans la hi rarchie des champs utilis s pour la normalisation et la classification des v nements Les types de mod les id aux ideal_model incluent Antivirus DBMS Pare feu Syst me d exploitation et Serveur Web Les produits de pare feu Check Point Cisco PIX et Netscreen Juniper peuvent tre normalis s en saisissant la valeur Pare feu dans le champ ideal_model Glossaire 287 identit installateur Dans CA Enterprise Log Manager une identit est un utilisateur ou un groupe autoris acc der l instance d application CAELM et ses ressources Pour tout produit CA une identit peut tre un utilisateur global un utilisateur d applications un groupe global un groupe d applications ou un groupe dynamique L installateur est la personne qui se charge d installer le dispositif logiciel et les agents Lors de la proc dure d installation les noms d utilisateur caelmadmin et EiamAdmin sont cr s et le mot de passe sp cifi pour EiamAdmin est affect caelmadmin Les informations d identificatio
383. uer les profils Vous permet de masquer les profils choisis Lorsque l interface s actualise ou que l intervalle de mise jour expire les profils masqu s n apparaissent plus Masquer les profils personnalise l affichage des profils disponibles Remarque Cliquez sur R initialiser pour restaurer les derni res valeurs enregistr es Vous pouvez r initialiser un ou plusieurs changements jusqu leur enregistrement Une fois ces changements enregistr s r initialisez les un par un 6 Cliquez sur Enregistrer Utilisation des Param tres et filtres globaux Vous pouvez d finir les filtres et param tres globaux lors de la configuration de votre serveur CA Enterprise Log Manager Les param tres globaux sont enregistr s pour la session en cours uniquement ils ne persistent pas apr s votre d connexion du serveur sauf si vous s lectionnez l option Utiliser par d faut Un filtre rapide global contr le l intervalle de temps initial suivant lequel g n rer des rapports propose le filtrage du texte correspondant et vous permet d utiliser des champs sp cifiques et leurs valeurs pour modifier les donn es affich es dans un rapport Un filtre avanc global vous permet d utiliser la syntaxe et les op rateurs SQL pour accro tre la port e de vos donn es de rapport Les param tres globaux vous permettent de d finir un fuseau horaire et d utiliser des requ tes sp ciales qui r cup rent les donn es d autres serveurs CA Enterpr
384. ui suit Importation d but e le Ven Jan 2 15 20 30 2009 Aucun transport sp cifi SAPI par d faut Pr paration des connexions ODBC Liaison r ussie la source Mon DSN Audit P riode d v nement SEOSDATA DUREE minimale 2008 05 27 DUREE maximale 2009 01 02 E Nombre d v nements par journal Unix 12 804 ACF2 1 483 eTrust AC 143 762 com ca iTechnology iSponsor 66 456 NT Application 5 270 CISCO PIX Firewall 5 329 MS IIS 6 765 Netscape 530 RACF 14 Apache 401 S O 28 222 SNMP recorder 456 Check Point FW 1 1057 EiamSdk 2 790 MS ISA 609 ORACLE 2 742 eTrust PCM 247 NT System 680 eTrust Audit 513 NT Security 14 714 Unit CISCO 41 436 SNORT 1 089 m Plage EntryID SEOSDATA ENTRYID minimal 1 Annexe B Remarques pour les utilisateurs de CA Access Control 231 Importation d v nements CA Access Control provenant d une base de donn es de collecteur CA Audit ENTRYID maximal 10 000 010 243 Rapport termin D connexion r ussie de la source Mon DSN Audit Sortie de l importation Examinez le rapport pour v rifier la pr sence des v nements provenant de CA Access Control La ligne en gras dans cet extrait du rapport indique que la table SEOSDATA contient des v nements CA Access Control Nombre d v nements par journal Unix 12 804 ACF2 1 483 eTrust AC
385. ules n cessaires au t l chargement des mises jour du produit ou du syst me d exploitation diff rent des param tres h rit s passez en configuration locale et apportez les modifications n cessaires En tant que client vous pouvez t l charger des modules non s lectionn s par votre proxy 5 Cliquez sur Enregistrer Informations compl mentaires Evaluation du besoin d une liste de proxies page 52 Remarques sur l abonnement page 143 Chapitre 5 Configuration des services 151 Chapitre 6 Configuration de la collecte d v nements Ce chapitre traite des sujets suivants Installation d agents page 153 Utilisation de l Explorateur d agent page 154 Configuration de l agent par d faut page 155 Exemple Activation de la collecte directe l aide du d tecteur ODBCLogSensor page 158 Exemple Activation de la collecte directe l aide du d tecteur WinRMLinuxLogSensor page 164 Affichage et contr le de l tat d un agent ou d un connecteur page 169 Installation d agents Gr ce aux installations distinctes pour des plates formes sp cifiques les agents CA Enterprise Log Manager apportent la couche transport qui permet de transmettre les v nements des sources d v nement au magasin de journaux d v nements du serveur CA Enterprise Log Manager Les agents utilisent des connecteurs pour collecter des journaux d v nements provenant de diff rentes sources d
386. une source de donn es ODBC sur les syst mes Windows 89 Test de la connexion du client ODBC la base de donn es 91 Test de la r cup ration du serveur partir de la base de donn es 91 Installation d client 1JDBGC 2 52s5250rmrumershenssen intuitive vhs sue 92 Configuration requise pour le client JDBC 2 92 Installation du client JDBC sur les syst mes Windows 93 Installation du client JDBC sur les syst mes UNIX 94 Param tres de connexion JDBC 4444444 eee 94 Consid rations sur les URL JDBC 444444ee 94 D pannage de l installation 42 4 2a42au4iasauauuuasauanauanratauadratauedeaataua 96 R soudre une erreur de configuration de l interface r seau 97 V rifier que le package RPM est install 98 Enregistrement du serveur CA Enterprise Log Manager aupr s du serveur CA EEM 98 Acquisition de certificats aupr s du serveur CA EEM 444444444442 22 99 Importation de rapports CA Enterprise Log Manager 100 Importation de fichiers de mappage de donn es CA Enterprise Log Manager
387. ur CA Enterprise Log Manager install en premier il peut galement s agir du serveur CA Enterprise Log Manager principal Ce serveur sert galement de proxy d abonnement en ligne et doit par cons quent tre dot d un acc s Internet Si aucun autre proxy d abonnement en ligne n est d fini ce serveur obtient les mises jour d abonnement aupr s du serveur d abonnement CA puis t l charge les mises jour de fichiers binaires sur tous les clients et envoie les mises jour de contenu CA EEM Si d autres proxies sont d finis le serveur obtient tout de m me les mises jour d abonnement mais il est contact par les clients uniquement lorsque aucune liste de proxies d abonnement n est configur e ou lorsque la liste configur e est puis e Un rapport est une repr sentation graphique ou tabulaire des donn es de journal d v nements qui est g n r e en ex cutant des requ tes pr d finies ou personnalis es l aide de filtres Les donn es peuvent tre issues de bases de donn es chaudes ti des et d givr es dans le magasin de journaux d v nements du serveur s lectionn et sur demande de ses serveurs f d r s Les rapports EPHI Electronic Protected Health Information sont des rapports relatifs la s curit HIPAA Health Insurance Portability and Accountability Act Ces rapports peuvent vous aider d montrer que toutes les informations m dicales associ es aux patients et identifiables individu
388. ur am liorer la capacit de stockage et pour autoriser les requ tes sur les fichiers des bases de donn es actives les fichiers marqu s pour archivage et les fichiers d givr s Aucun package SGBD relationnel n est n cessaire pour le stockage d v nements Le serveur CA Enterprise Log Manager de collecte peut recevoir directement les v nements l aide de son agent par d faut ou partir d un agent se trouvant sur la source d v nement Les agents peuvent galement se trouver sur un h te qui agit en tant que collecteur pour d autres sources d v nement sur le r seau comme un concentrateur VPN ou un h te de routeur Sur ce diagramme les lignes pleines repr sentent les flux d v nements depuis les sources d v nement vers les agents puis vers le serveur de collecte et enfin vers le r le de rapports du serveur de gestion rapports Les lignes pointill es repr sentent le trafic de configuration et de contr le entre les serveurs CA Enterprise Log Manager ainsi qu entre le r le de gestion du serveur de gestion rapports et les agents Sur le r seau vous pouvez utiliser un serveur CA Enterprise Log Manager pour contr ler n importe quel agent si lors de l installation les serveurs CA Enterprise Log Manager ont bien t enregistr s aupr s du serveur de gestion avec le m me nom d instance d application Les agents utilisent des connecteurs non illustr s pour collecter les v nements Un seul agent peut g rer
389. ur au magasin d utilisateurs CA Enterprise Log Manager 11 Si votre r seau est derri re un pare feu et que vous disposez d un serveur proxy HTTP modifiez le param tre pour choisir Oui et compl tez les quatre champs correspondants Cliquez sur Tester le proxy pour v rifier la connectivit Ces param tres peuvent tre supplant s par des serveurs configur s en tant que proxies d abonnement en ligne 12 Cliquez sur Enregistrer Informations compl mentaires Remarques sur l abonnement page 143 Evaluation du besoin d un proxy HTTP page 46 V rification de l acc s au flux RSS pour l abonnement page 46 Composants et ports d abonnement page 43 Remarques sur l abonnement Un syst me de serveur proxy client est utilis pour la distribution des mises jour Le premier serveur install est d fini en tant que Proxy d abonnement par d faut il contacte le serveur d abonnement CA r guli rement pour v rifier la disponibilit de mises jour Les installations suivantes sont configur es en tant que clients de ce serveur proxy qu ils contactent pour obtenir les mises jour Le syst me par d faut r duit le trafic r seau en liminant la n cessit pour chaque serveur de contacter directement le serveur d abonnement CA tout en tant enti rement configurable Vous pouvez ajouter autant de serveurs proxy que n cessaire Chapitre 5 Configuration des services 143 Configuration de l abonnement
390. ur chaque CA Enterprise Log Manager de votre r seau ex cutez le rapport depuis le serveur de gestion m Pour g n rer des rapports r capitulatifs et de tendances depuis tous les serveurs de rapports de votre r seau ex cutez le rapport depuis n importe quel serveur de rapports m Pour g n rer un rapport sur des donn es se trouvant sur un serveur de rapports et sur ses serveurs de collecte ex cutez le rapport depuis l un de ces serveurs de collecte Exemple Carte de f d ration pour une PME Avant de cr er une carte de f d ration vous devez d terminer le nombre de serveurs que vous voulez affecter chaque r le Dans l exemple suivant un serveur est d di la gestion et la g n ration de rapport et les autres serveurs sont d di s la collecte Cette configuration est recommand e pour les environnements de taille moyenne Vous pouvez consid rer l architecture constitu e par le serveur de gestion de rapports et les serveurs de collecte comme tant une configuration en toile dans laquelle le centre est le serveur de gestion de rapports Le diagramme de la carte de f d ration ne repr sente pas cette configuration mais indique les niveaux afin que vous puissiez facilement distinguer les paires f d r es hi rarchiquement des paires maill es Lors de la cr ation d une carte de f d ration tenez compte des rapports et des alertes pour lesquels vous souhaitez diff rents ensembles de donn es consolid es
391. ur est uniquement disponible en tant que param tre global Proxy d abonnement D termine si le serveur local est un proxy d abonnement Un proxy d abonnement en ligne utilise son acc s Internet pour obtenir les mises jour d abonnement du serveur d abonnement CA Les serveurs proxy d abonnement en ligne peuvent tre configur s pour t l charger les mises jour binaires sur les clients et pour envoyer automatiquement les mises jour de contenu au serveur de gestion Un proxy en ligne peut galement tre utilis en tant que source de copie des mises jour vers les serveurs proxy d abonnement hors ligne Si elle est s lectionn e la case Proxy d abonnement hors ligne doit tre d s lectionn e Cette valeur est uniquement disponible en tant que param tre local Remarque Si les deux cases de proxy d abonnement sont d s lectionn es le serveur est un client d abonnement 144 Manuel d impl mentation Configuration de l abonnement Proxy d abonnement hors ligne D termine si le serveur local est un proxy d abonnement hors ligne Un proxy d abonnement hors ligne est un serveur qui obtient les mises jour d abonnement par une copie de r pertoire manuelle l aide de scp partir d un proxy d abonnement en ligne Les serveurs proxy d abonnement hors ligne peuvent tre configur s pour t l charger les mises jour des fichiers binaires sur les clients Les proxies d abonnement hors ligne n ont pas besoin d acc
392. ur global qui est galement un utilisateur d applications CALM Une m me personne peut poss der plusieurs comptes chacun disposant d un r le personnalis diff rent configuration enregistr e Une configuration enregistr e est une configuration stock e avec les valeurs d attributs d acc s aux donn es provenant d une int gration pouvant tre utilis e comme mod le lors de la cr ation d une nouvelle int gration configuration globale La configuration globale est un ensemble de param tres qui s appliquent tous les serveurs CA Enterprise Log Manager utilisant le m me serveur de gestion Glossaire 279 connecteur Un connecteur est une int gration ciblant une source d v nement sp cifique configur e sur un agent donn Un agent peut charger en m moire plusieurs connecteurs similaires ou non Le connecteur permet de collecter les v nements bruts partir d une source d v nement et d effectuer une transmission r gul e sur r gle des v nements convertis vers un magasin de journaux d v nements o ils seront ins r s dans la base de donn es chaude Les int grations pr tes l emploi permettent une collecte optimis e partir d une large gamme de sources d v nement notamment des syst mes d exploitation des bases de donn es des serveurs Web des pare feu et de nombreux types d applications de s curit Vous pouvez d finir enti rement un connecteur pour une source d v nement interne ou ut
393. urnaux d v nements CA Enterprise Log Manager uniquement apr s l envoi de la strat gie aux clients et son activation Annexe A Remarques pour les Utilisateurs de CA Audit 195 Envoi d v nements CA Audit CA Enterprise Log Manager Important Vous devez configurer les couteurs CA Enterprise Log Manager pour recevoir des v nements avant de modifier et d activer la strat gie Si vous n effectuez pas cette configuration en premier vous constaterez peut tre des v nements mal mapp s s ils se produisent entre le moment o la strat gie devient active et celui o les couteurs peuvent mapper correctement les v nements Pour modifier une action d une r gle de strat gie afin d envoyer des v nements CA Enterprise Log Manager 1 10 11 Connectez vous au serveur gestionnaire de strat gies et acc dez l onglet Mes strat gies dans le volet gauche D veloppez le dossier de la strat gie jusqu visualiser la strat gie souhait e Cliquez sur la strat gie pour afficher ses informations de base dans le volet D tails sur la droite Dans le volet D tails cliquez sur Modifier pour faire un ajout aux r gles de la strat gie L assistant de r gles d marre Cliquez sur Modifier les actions en regard de la fl che correspondant l tape 3 de l assistant La page des actions de r gles de l assistant s affiche Cliquez sur l action Collecteur dans le volet Parcourir les actions sur la ga
394. urs le serveur de gestion assume le r le de serveur de rapports Dans un syst me comptant de nombreux serveurs envisagez de d dier un ou plusieurs serveurs la g n ration de rapports Un serveur de rapports r alise les fonctions ci dessous a Si l archivage automatique est configur il re oit de nouvelles bases de donn es d v nements ajust s provenant de ses serveurs de collecte a litraite les invites requ tes et rapports la demande a Iltraite les alertes et rapports planifi s a Il prend en charge les assistants de cr ation de requ tes et rapports personnalis s a Si l archivage automatique est configur il envoie les anciennes bases de donn es un serveur de stockage distant Chapitre 2 Planification de votre environnement 19 Planification des serveurs Si vous pr voyez de g n rer de nombreux rapports et alertes complexes sur un serveur ayant un volume important d activit la demande envisagez de d dier un serveur la g n ration de rapports m Serveur de point de restauration En g n ral les serveurs de rapports agissent comme des serveurs de point de restauration pour les bases de donn es qu ils ont stock es auparavant Si vous disposez d un r seau de grande taille envisagez de d dier un serveur CA Enterprise Log Manager ce r le Un serveur de point de restauration r alise les fonctions ci dessous Il est utilis pour tudier les journaux d anciens v nements a
395. utilitaire de ligne de commande qui suit la sauvegarde et la restauration des bases de donn es d archive vers le magasin de journaux d v nements d un serveur CA Enterprise Log Manager Utilisez LMArchive pour effectuer une requ te sur la liste des fichiers de bases de donn es ti des pr ts tre archiv s Apr s avoir sauvegard la base de donn es r pertori e et l avoir transf r e sur un stockage long terme froid utilisez LMArchive pour cr er un enregistrement sur CA Enterprise Log Manager indiquant que cette base de donn es a t sauvegard e Suite la restauration d une base de donn es froide sur son CA Enterprise Log Manager d origine utilisez LMArchive pour notifier CA Enterprise Log Manager qui place alors les fichiers de bases de donn es dans un tat d givr accessible aux requ tes utilitaire LMSEOSImport LMSEOSImport est un utilitaire de ligne de commande utilis pour importer SEOSDATA ou des v nements existants dans CA Enterprise Log Manager dans le cadre de la migration depuis le g n rateur de rapports la visionneuse ou le collecteur d Audit L utilitaire est pris en charge uniquement par Microsoft Windows et Sun Solaris Sparc Glossaire 301 utilitaire scp valeurs cl s La copie s curis e scp programme de copie de fichiers distance est un utilitaire UNIX qui permet de transf rer des fichiers entre les ordinateurs UNIX d un r seau Cet utilitaire est fourni lors de l installa
396. v nement Le diagramme qui suit illustre les interactions entre les agents et le serveur CA Enterprise Log Manager Serveur CA Enterprise Log Manager Source d v nement Explorateur d agent Connecteur pour g CA Access Control Service du Connecteur pour magasin de la base de journaux A donn es Oracle F d v nements Flux d v nements Messages de commandes et de contr les Chapitre 6 Configuration de la collecte d v nements 153 Utilisation de l Explorateur d agent Apr s avoir install un agent sur une source d v nement vous pouvez configurer un ou plusieurs connecteurs pour collecter des v nements provenant de sources d v nement telles que des unit s des applications des syst mes d exploitation et des bases de donn es Les exemples du diagramme incluent des connecteurs pour CA Access Control et une base de donn es Oracle En g n ral vous installez un seul agent par serveur h te ou source d v nement mais vous pouvez configurer plusieurs types de connecteurs sur cet agent Vous pouvez utiliser l Explorateur d agent qui fait partie du serveur CA Enterprise Log Manager pour contr ler les agents ainsi que pour configurer et contr ler des connecteurs sur un agent L Explorateur d agent vous permet galement de cr er des groupes d agents pour simplifier la gestion et le contr le Vous fondez votre configuration d un connecteur sur une int gration ou sur un couteur qui
397. valeur par d faut est 1000 Voici la syntaxe utilis e pour cette propri t queryfetchrows 1000 offsetmins Indique le d calage horaire correspondant au fuseau horaire du client ODBC La valeur 0 correspond l heure GMT Utilisez ce champ pour d finir votre propre d calage horaire par rapport l heure GMT Voici la syntaxe utilis e pour cette propri t offsetmins 0 suppressNoncriticalErrors Indique le comportement du fournisseur d interface en cas d erreur non critique par exemple si une base de donn es ou un h te ne r pond pas Voici la syntaxe utilis e pour cette propri t suppressNoncriticalErrors false 90 Manuel d impl mentation Installation du client ODBC Test de la connexion du client ODBC la base de donn es Le client ODBC est install l aide de l outil de requ te SQL interactif en ligne de commande iSQL Vous pouvez utiliser cet outil pour tester les param tres de configuration et la connectivit entre le client ODBC et le magasin de journaux d v nements CA Enterprise Log Manager Pour tester la connexion du client la base de donn es 1 Ouvrez une invite de commande et acc dez au r pertoire o vous voulez installer le client ODBC 2 D marrez l utilitaire iSQL odbcisql exe 3 Entrez la commande suivante pour tester la connexion du client la base de donn es connect Utilisateur Mot de passe nom DSN Remplacez nom_DSN par le nom de la source de donn es que
398. vec les nouvelles actions et vous assurer de sa compilation ad quate Apportez les modifications n cessaires la r gle et assurez vous de sa compilation ad quate avant de l activer 14 Cliquez sur Activer pour distribuer la strat gie v rifi e qui contient les nouvelles actions de r gle ajout es 15 R p tez cette proc dure pour chaque r gle et strat gie portant sur les v nements collect s envoyer CA Enterprise Log Manager Informations compl mentaires A propos du routeur et du collecteur SAPI page 190 Configuration du service de collecteur SAPI page 191 Configuration du service de routeur SAPI page 192 Modification d une strat gie r8 SP2 pour envoyer des v nements CA Enterprise Log Manager Utilisez la proc dure suivante pour permettre un client CA Audit r8 SP2 d envoyer des v nements CA Enterprise Log Manager et la base de donn es du collecteur CA Audit En ajoutant une nouvelle cible aux actions Collecteur ou Acheminement d une r gle existante vous pouvez envoyer les v nements collect s aux deux syst mes Vous pouvez galement modifier des strat gies ou r gles sp cifiques pour envoyer des v nements uniquement au serveur CA Enterprise Log Manager Vous trouverez plus d informations sur l utilisation des strat gies dans le Manuel d impl mentation CA Audit r8 SP2 Reportez vous cette ressource pour plus de d tails sur la r alisation des tapes de la pr
399. velopper le noeud Magasin de journaux d v nements Vous affichez ainsi les serveurs CA Enterprise Log Manager individuels de votre r seau En cliquant sur les noms de ces serveurs vous pouvez d finir des options de configuration locales sp cifiques chaque serveur si vous le souhaitez Les utilisateurs dot s du r le Administrator peuvent configurer n importe quel serveur CA Enterprise Log Manager partir de n importe quel autre serveur CA Enterprise Log Manager Pour d finir les options des magasins de journaux d v nements 1 Connectez vous au serveur CA Enterprise Log Manager et s lectionnez l onglet Administration Le sous onglet Collecte de journaux s affiche par d faut 2 Cliquez sur le sous onglet Services Chapitre 5 Configuration des services 135 Remarques sur le serveur ODBC 3 S lectionnez l entr e Magasin de journaux d v nements Les options par d faut offrent une bonne configuration de d part pour un r seau de taille moyenne dot d un d bit mod r Vous trouverez d autres informations sur chaque champ dans l aide en ligne Remarque Les tables Enfants de f d ration de serveurs et Archivage automatique s affichent uniquement lorsque vous affichez les options locales d un serveur CA Enterprise Log Manager individuel Remarques sur le serveur ODBC Vous pouvez installer un client ODBC ou un client JDBC pour acc der au magasin de journaux d v nements CA Enterprise Log Manager p
400. vent pas tre affect s aux utilisateurs d autres produits enregistr s sur le m me serveur CA EEM Des groupes d applications d finis par l utilisateur doivent tre ajout s la strat gie d acc s aux applications CALM par d faut pour que les utilisateurs de ces groupes puissent acc der CA Enterprise Log Manager Un groupe d utilisateurs peut tre un groupe d applications un groupe global ou un groupe dynamique Les groupes d applications CA Enterprise Log Manager pr d finis sont les r les Administrator Analyst et Auditor Les utilisateurs CA Enterprise Log Manager peuvent faire partie des groupes globaux par le biais d appartenances distinctes de CA Enterprise Log Manager Les groupes dynamiques sont d finis par l utilisateur et cr s via une strat gie de groupe dynamique groupe d utilisateurs dynamique groupe global ideal_model Un groupe d utilisateurs dynamique est compos d utilisateurs globaux qui partagent un ou plusieurs attributs communs Un groupe d utilisateurs dynamique est cr par le biais d une strat gie de groupe d utilisateurs dynamique particuli re dans laquelle le nom de la ressource est le nom du groupe d utilisateurs dynamique et l appartenance repose sur un ensemble de filtres configur s sur les attributs d utilisateur et de groupe Un groupe global est un groupe partag sur les instances d application enregistr es aupr s du m me serveur de gestion CA Enterprise Log Manager N importe q
401. vez examiner les fichiers journaux d installation ci dessous pour commencer d panner votre installation Produit Emplacement du fichier journal CA Enterprise Log Manager tmp pre install_ca elm log tmp install_ca elm lt horodatage gt log tmp install_ca elmagent lt horodatage gt log CA Embedded Entitlements opt CA SharedComponents EmbeddedIAM eiam install log Manager CA Directory tmp etrdir_install log L installation de CA Enterprise Log Manager copie les fichiers de contenu et autres sur le serveur CA EEM des fins de gestion Du point de vue du serveur CA EEM les rapports et autres fichiers CA Enterprise Log Manager sont import s Si l installation ne peut pas se connecter au serveur CA EEM l installation de CA Enterprise Log Manager se poursuit sans importer les fichiers de contenu Vous pouvez importer les fichiers de contenu manuellement une fois l installation termin e Si vous rencontrez des erreurs lors de l installation il est possible que vous souhaitiez effectuer une ou plusieurs actions ci dessous pour achever votre installation Chacune de ces actions implique de se connecter au serveur CA Enterprise Log Manager l aide du compte par d faut caelmadmin puis de passer l utilisateur root R soudre une erreur de configuration de l interface r seau m V rifier que le package RPM est install m V rifier que le d mon iGateway s ex cute m Enregistrer l application CA Enterprise Log Manager aupr s d
402. vous ne parvenez pas acc der l interface Web du serveur CA Enterprise Log Manager apr s l installation et que vous tes s r que les ports de l interface r seau sont correctement configur s il se peut que le processus iGateway ne s ex cute pas Vous pouvez effectuer un contr le rapide de l tat du processus iGateway l aide de la proc dure qui suit Le processus iGateway doit tre en cours d ex cution pour que le serveur CA Enterprise Log Manager collecte les v nements et pour que l interface utilisateur soit accessible Pour v rifier le d mon iGateway 1 Acc dez une invite de commande sur le serveur CA Enterprise Log Manager 2 Connectez vous en utilisant les informations d identification du compte caelmadmin 3 Passez l utilisateur root au moyen de la commande ci dessous su root 4 Utilisez la commande ci apr s pour v rifier que le processus iGateway s ex cute ps ef grep igateway Le syst me d exploitation renvoie les informations sur le processus iGateway ainsi qu une liste des processus s ex cutant sous iGateway Informations compl mentaires R soudre une erreur de configuration de l interface r seau page 97 Chapitre 3 Installation de CA Enterprise Log Manager 75 Installation d un serveur CA Enterprise Log Manager D marrage du d mon ou service iGateway Le d mon ou service iGateway est le processus qui g re tous les appels adress s l interface utilisateur p
403. xies en ligne a Cl publique utilis e par tous les proxies en ligne Important Ne mettez pas ce param tre jour manuellement a Nettoyage des mises jour ant rieures en jours s applique tous les proxies en ligne et hors ligne a Red marrage automatique apr s mise jour du SE s applique tous les clients Remarque Toutes les instances CA Enterprise Log Manager sont des clients y compris les proxies et les proxies hors ligne a Serveurs proxy d abonnement pour les mises jour de contenu Vous trouverez ci dessous les param tres configur s au niveau local uniquement m Proxy d abonnement m Proxy d abonnement hors ligne Chapitre 5 Configuration des services 139 Configuration de l abonnement Pour les param tres configur s au niveau global mais qui peuvent tre supplant s au niveau local cette possibilit d pend de la d finition du serveur comme proxy en ligne ou comme client telle que d taill e ci dessous m Voici les param tres qui s appliquent aux proxies en ligne pouvant tre supplant s a Cinq param tres li s au proxy HTTP a Modules t l charger m Voici les param tres qui s appliquent aux clients d abonnement pouvant tre supplant s m Serveurs proxy d abonnement pour le client Configuration des param tres d abonnement globaux Vous pouvez configurer les param tres d abonnement globaux d s que vous avez install tous les serveurs CA Enterprise Log Manager
404. xploitation par l ensemble des clients ou par le client s lectionn Utilisez les fl ches haut bas pour d finir l ordre dans lequel le client contacte les serveurs proxy d abonnement Le client t l charge les mises jour partir du premier proxy auquel il parvient acc der Si aucun des serveurs proxy configur s n est disponible le client contacte le proxy d abonnement par d faut Serveurs proxy d abonnement pour les mises jour de contenu Vous permet de s lectionner les serveurs proxy utilis s pour distribuer les mises jour de contenu au magasin d utilisateurs Vous pouvez s lectionner des serveurs proxy hors ligne ou en ligne Cette valeur est uniquement disponible en tant que param tre global Remarque Nous vous recommandons de s lectionner plusieurs proxies des fins de redondance Informations compl mentaires Planification des mises jour d abonnement page 42 Configuration des serveurs CA Enterprise Log Manager pour l abonnement Un ou plusieurs serveurs CA Enterprise Log Manager sont r pertori s dans le Module d abonnement Chaque serveur h rite des param tres d abonnement globaux Lors de l affichage initial tous les param tres sont d sactiv s Pour craser un param tre vous devez cliquer sur le bouton de basculement global local pour modifier le champ Chaque serveur r pertori doit tre configur de l une des mani res ci dessous m Proxy d abonnement en ligne m Proxy d a
405. y en ligne dans le chemin de t l chargement du proxy hors ligne L utilitaire scp copie s curis e est fourni dans ce but Vous pouvez galement utiliser sftp Le contenu copi inclut les mises jour du contenu ainsi que les mises jour des fichiers binaires du produit et du syst me d exploitation Apr s la copie modifiez la propri t des fichiers pour l attribuer l utilisateur caelmservice Le serveur proxy d abonnement hors ligne envoie les mises jour du contenu au serveur de gestion CA Enterprise Log Manager Les clients d abonnement interrogent le serveur proxy d abonnement hors ligne Si de nouvelles mises jour sont disponibles les clients d abonnement les t l chargent Le t l chargement est un fichier ZIP contenant les mises jour du produit et du syst me d exploitation un script pour les installer et un fichier d informations sur les composants componentinfo xml Si n cessaire les clients d abonnement cr ent une sauvegarde de la derni re installation des mises jour du produit ainsi qu un script permettant de restaurer l tat des mises jour au cas o vous auriez besoin d annuler des modifications la sauvegarde n inclut pas les mises jour du syst me d exploitation Ensuite les clients d abonnement ex cutent le script d installation des mises jour du produit 50 Manuel d impl mentation Planification des mises jour d abonnement Fonctionnement de l abonnement sans proxy en ligne
406. z au minimum f d rer les serveurs CA Enterprise Log Manager d insertion et de requ te de l environnement de base D cidez combien de serveurs CA Enterprise Log Manager vous devez d ployer au total Cette valeur est bas e sur le nombre d unit s de votre r seau et sur le volume d v nements g n r s D cidez du nombre de couches de serveurs f d r s n cessaires Ce nombre est fond en partie sur les d cisions prises lors des tapes 2 et 3 Identifiez les types d v nements re us par chaque serveur CA Enterprise Log Manager de la f d ration Si votre r seau compte un grand nombre d unit s Syslog et seulement quelques serveurs Windows vous pouvez d cider d affecter express ment un serveur CA Enterprise Log Manager la collecte d v nements Windows Vous pouvez avoir besoin de plusieurs serveurs pour g rer le trafic des v nements Syslog En planifiant l avance quels serveurs CA Enterprise Log Manager re oivent quels types d v nements vous simplifiez la configuration des couteurs et services locaux 30 Manuel d impl mentation Planification de f d ration Tracez une carte de ce r seau pour l utiliser lors de la configuration des serveurs CA Enterprise Log Manager f d r s enfants Si vous les connaissez incluez les noms DNS et les adresses IP sur votre carte Vous utiliserez les noms DNS des serveurs CA Enterprise Log Manager pour configurer les relations de f d ration entre eux
Download Pdf Manuals
Related Search