当前位置:   article > 正文

【Solarwinds SEM 日志管理服务器开局指南】_solarwinds security event manager

solarwinds security event manager

solarwinds sem 系列文章目录

前言

最近接触了solarwinds SEM 日志管理软件,虽然是开箱可用的分发形式,作为新手,依然遇到了一些问题,在这里记录,也分享给需要的朋友。

一、Solarwinds SEM是什么?

Solarwinds SEM (security events manager) 安全事件管理器是业内著名的Solarwinds出产的一款强大而容易上手的日志管理软件。Soarwinds 有丰富的各种其他的IT软件。
虽然说其补丁管理软件出过问题,瑕不掩瑜,其各软件在Garterner有一席之地。

二、下载和安装

2.1下载

https://www.solarwinds.com/security-event-manager
下载需要提供一些信息,比如公司邮箱,个人邮箱可能不接受。
测试版提供30天的全功能测试期。作为学习测试足够了。

2. 2安装

SEM 以虚拟机的形式提供,有Hyper-V和Vmware 、云方式等。仅支持Hyper-V server, Vmware Esxi 等方式,不支持Workstation级别。
安装方式是开箱即用型,在虚拟机管理界面直接注册新虚拟机即可。
虚拟机启动后,需要一些基础配置:

2.3 基础配置

sem管理后台初次启动后是没有ip地址的。需要手工配置一下。

选择“advanced configuration” 进入配置界面
时区也需要配置下,略过。

2.3.1 网络配置

appliance
使用命令
cmc::appliance>appliance
cmc::appliance>netconfig
按照提示,选择 static, 输入IP地址、子网掩码、网关、dns等信息。
重启后软件将可以登录到你刚才设定IP地址的一个web用户界面.
初次登陆按照提示更改admin用户密码。
在这里插入图片描述

2.3.2 浏览器访问提示证书不安全

该软件支持https 访问。
需要给你的客户端的主机证书安装该网站的证书。
在服务器后台命令行界面:
cmc> manager
cmc::>mananger>exportcert
按照提示,输入导出路径,网络共享存储url地址。
exportcert
在客户端浏览器的主机上,双击安装该导出的.crt 格式证书文件。
打开即可正常使用https 方式浏览。

2.4 客户端主机的监视

2.4.1 客户端类型

SEM 支持各种客户端的监视,分为 agent 和agentless。
Windows 当然也支持,属于agent 类别。
windows 版的agent 有两种模式:remoteinstall 和localinstaller。
顾名思义,若是计划批量安装,需要使用remoteinstaller,localinstaller 是只支持单台主机的安装。
值得注意的是agent的版本要和SEM manager 的版本一致或接近,某些早期版本的agent可能和SEM manager 不能通讯。
下载地址:
在web网站 工具栏 configure 下拉菜单中 nodes ,点击 “add agent node" , 可弹出一个窗口,显示各种需要agent 的操作系统的agent软件下载链接。
下载后安装,按照提示即可。
安装过程中需要输入 SEM 管理网站的IP 地址。
agent 主机列表可提前用文本编辑器编辑一个列表,批量安装整个网络中的agent软件。
在域环境下比较方便。

SEM 也支持syslog 协议的无客户端方式通讯,比如防火墙、交换机等设别。
需要在交换机设备配置syslog 功能。

2.4.2 connector 配置

SEM 作为一个商业软件,提供了数百个connector 这个强大的日志解析器,通过对应connector,可以对每个特定型号的设备、软件的日志提供范式化的解析和显示。
connector

点击 web页面 configure- manager connectors进入connector 管理界面。
windows 有关的connector 有 4个,对应windows event 三个分类和一个actor :分别是: WindowsApplicationSyslog, windowsSecuritSyslog,WindowSystemSyslog, WindowsActiveReponse

其他的厂家的connector请使用搜索方法查找对应的connector。比如cisco, PaloAuto 等。

Connector的使用主要有两个步骤:
1.找到自己可用的connector, 选中前面的复选框,点” add connector" 按钮添加。
2. 选中已经添加的connector , 点“ start” 开始进行解析。

3 总结

至此,您应该已经看到了客户端日志在 live Events 标签界面刷屏了。恭喜您正确开局。
以上就是今天要讲的内容,本文仅仅简单介绍了Solarwinds SEM的快速入门上手使用,而SEM 还提供了强大的过滤(Filter, ) 主动干预 (Rule) 等强大的功能。请等待后续更新。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Gausst松鼠会/article/detail/678365
推荐阅读
相关标签
  

闽ICP备14008679号