Pré-requisitos
- Um conhecimento básico de um cluster MWG.
- A appliance de MWG a ser usada na coleta de registros deve estar ativa e alcançável durante a configuração da origem de log.
- CSR coleta logs do MWG pela interface REST. Verifique se você ativou a interface REST no appliance MWG. Para obter mais informações sobre como ativar a interface REST, consulte a documentação do MWG.
Para obter documentos de produtos da McAfee, acesse o portal de Documentação de produtos para empresas em
https://docs.mcafee.com.
Configuração
Uma única origem de log de MWG pode coletar logs de um único MWG appliance. Se você usar o CSR para coletar logs de vários appliances MWG em um cluster, deverá configurar uma origem de log por appliance no cluster.
Para configurar uma origem de log do MWG no CSR:
- Ir para Configurações do servidor de relatório, Origens de log, Ações.
- Na guia Ações menu, clique em Novo.
- Digite um nome para a origem de log.
- Para que o Modo, selecione Coletar arquivos de log de, e selecione McAfee Web Gateway na lista suspensa.
- Deixar o Formato do log momento McAfee Web Gateway (webarruela)-descoberta automática.
OBSERVAÇÃO: Agora, você verá o painel de configuração da origem de log na Origem na. Você deve concluir Todos campos nesta seção para que a origem de log seja salva.
- Endereço do dispositivo
O nome do host ou o endereço IP do appliance do MWG que CSR contatos para coletar registros. Se você tiver um cluster MWG, poderá coletar logs de outros appliances no cluster usando o único Endereço do dispositivo, embora seja necessário configurar uma origem de log por MWG appliance. A McAfee recomenda que você use o endereço appliance que normalmente é usado para acessar a GUI do MWGs para o gerenciamento de configuração. As mesmas regras que se aplicam à interface do usuário do MWG também se aplicam à interface REST. Portanto, você pode ter somente um nó que tenha uma GUI anexada em um cluster em um determinado momento.
- Porta
A porta da interface REST que está ativada no appliance do MWG. No momento em que este artigo foi escrito, a interface REST está na mesma porta que a interface de usuário regular. Você verá a opção Conectar usando SSL/TLS Siga este campo. Essa opção é usada para ditar se CSR tentará se comunicar com o MWG na porta especificada por meio de um canal seguro.
- Nome de logon
O nome de logon de um usuário MWG que tem as permissões ' REST-interface acessível '.
- senha
A senha do usuário MWG com permissões REST.
- Nome do Appliance (UUID)
CSR requer o UUID de appliance do MWG para coletar logs desse appliance. Preencha os campos anteriores e clique em Localização. Em seguida, entre no MWG appliance especificado para retornar uma lista de appliances e se CSR pode coletar logs de. Selecione a appliance e clique em OK.
- Nome base do arquivo de registro
O registro padrão arquivo nome base dos logs de acesso no MWG é 'Access. log', mas MWG 7.x permite renomear os arquivos de registro do Access, se necessário.
OBSERVAÇÃO: O MWG adiciona um carimbo de data/hora ao nome do arquivo quando um log é girado. CSR ainda coleta arquivos de registro com o carimbo de data/hora no nome do arquivo, contanto que o nome da base de arquivo de registro corresponda ao especificado.
- Coletar automaticamente os logs do nó com a GUI ativa
Como observado anteriormente, um cluster MWG pode ter apenas uma appliance anexada à GUI em um cluster em um determinado momento. Você pode conectar várias GUIs a uma appliance anexada à GUI por vez. Mas é impossível acessar a GUI de outro appliance em um cluster quando uma já está conectada em algum outro lugar.
Esse recurso CSR para coletar automaticamente logs do nó com a GUI ativa é destinado a evitar falhas na coleta de registros. Uma falha pode ocorrer se uma tentativa de coleta de log for feita quando uma GUI for anexada a um appliance no cluster diferente do especificado em Endereço do dispositivo. Se você selecionar essa opção e houver uma GUI conectada em algum outro local quando os logs forem coletados, o CSR usará as informações fornecidas pela resposta de erro do MWG para determinar onde a GUI está conectada. Em seguida, o CSR tenta efetuar logon no appliance anexado à GUI para coletar logs para o appliance especificado em Nome do Appliance (UUID) para essa origem de log. Essa opção é melhor usada como um mecanismo de segurança em vez de algo usado como um recurso operacional diário.
Observe também que CSR não faz downgrade da segurança da coleta de registros. Portanto, se você tiver configurado sua origem de log para usar SSL/TLS e o MWG fornecer um local não seguro para o nó conectado à GUI, o CSR não tentará coletar logs por meio do appliance em que a GUI está conectada.
Para determinar se um arquivo de log pode ser lida usando as configurações especificadas para essa origem de log, clique em File.
OBSERVAÇÃO: File não testa a opção para Coletar automaticamente os logs do nó com a GUI ativa.
Solução
O log do servidor do CSR é o melhor local para procurar problemas que possam ser encontrados com a coleta de registros do MWG. O File a função fornece um meio para comentários úteis em várias situações, mas, em geral, as mensagens de registro do servidor contêm informações mais detalhadas. Os exemplos a seguir mostram entradas do registro do servidor e o que elas significam:
- 2012-12-30 01:35:28,236 ERROR [com.mcafee.mesa.logparsing.frontends.webgateway7getter.WebGateway7Getter] The MWG 7 redirect was not followed because it is not a secure redirect and SSL/TLS is enabled for this log source.
Esta mensagem indica que o Coletar automaticamente os logs do nó com a GUI ativa opção está selecionada. Ele também indica que alguém efetuou logon em um nó durante uma coleta de log que seja diferente da especificada no CSR Endereço do dispositivo Configurações. O problema aqui ocorre porque a origem de log foi configurada em CSR para coletar logs usando SSL/TLS e o redirecionamento do MWG era para um endereço HTTP. A CSR não fará downgrade da opção de segurança e, além disso, não terá informações sobre como alcançar a porta REST segura. O resultado é que o redirecionamento não é seguido e a coleta de log falha.
- 2012-12-30 14:54:17086 erro [com. McAfee. mesa. logparsing. frontends. webgateway7getter. WebGateway7Getter] falha na tentativa de login para MWG 7 com código de status HTTP 403. Motivo detalhado: o administrador do usuário não tem direitos de acesso à interface REST
O admin do usuário, nesse caso, não tem direitos de interface REST e, portanto, não pode acessar a interface REST para coleta de log. Para obter informações sobre como configurar uma conta de usuário para ter a referência aos direitos da interface REST, consulte a documentação do MWG.