Guida rapida di Log Manager
1.Connessione dell'apparato
Per interconnettere l’appliance alla propria LAN effettuare i seguenti passaggi:
– collegare l’appliance alla rete LAN aziendale tramite la porta ethernet usando un cavo UTP;
– collegare il cavo di alimentazione fornito alla presa elettrica a muro ed al dispositivo e portare l’interruttore in posizione I, dopodichè premere il tasto di accensione.
Alcune versioni sono sprovviste di tasto di accensione, in questi casi è sufficiente portare l’interruttore in posizione I;
– dopo circa due minuti l’appliance sarà disponibile in rete.
2.Prima configurazione
Per effettuare una prima configurazione corretta del Log Manager è necessario effettuare tutti i passaggi presenti nel capitolo 2.
Di seguito sono riportate le configurazioni di default del sistema utili per il primo acceso.
2.1.Impostazioni di default
- Indirizzo IP: 192.168.4.1
- Nome Utente: Admin
- Password: riportata sull’etichetta o inviata tramite email con la licenza
- Gateway 192.168.4.2
- DNS: 8.8.8.8
- Time Server: time.nist.gov
Una volta collegato l’apparato alla porta rete:
– collegare un computer con IP statico nella classe di rete dell’appliance (ad es. 192.168.4.5) in modo da poter raggiungere l’interfaccia web della macchina;
– lanciare il proprio browser e inserire nella barra degli indirizzi l’IP dell’appliance;
– procedere autenticandosi utilizzando le credenziali di default riportare al punto 2.1;
2.2.Creazione volume di home
Se sull’apparato non è presente il volume di home (ad esempio sulle macchine virtualizzate), dopo la login, l’interfaccia web proporrà la schermata per la gestione dei volumi.
Nel riquadro a destra sono visibili partizioni non in uso dei dischi, trascinare una alla volta le partizioni che dovranno compore il volume di home nel riquadro a sinistra.
Indicare la tipologia di raid tra quelle proposte.
Selezionare ZFS come Filesystem.
Procedere alla creazione del volume e al riavvio quando richiesto dall’interfaccia di gestione.
2.3.Configurazione indirizzo IP e gateway
Eseguire l’accesso all’interfaccia web di gestione come indicato al punto 2.1;
– una volta effettuata la login dal menù selezionare la voce Networking e poi la voce di sotto menù Interfacce di Rete.
Dall’elenco delle disponibili interfacce selezionare eth0;
– compilare tutti i campi richiesti in base alla propria LAN:
Indirizzo IP: inserire un indirizzo IP libero appartenente alla propria LAN
Maschera di rete: inserire la subnetmask della propria LAN
Gateway: inserire il gateway della rete LAN
Time server: inserire il ServerNTP dal quel l’apparato ricava l’orario di sistema
– salvare le impostazioni e riavviare l’apparato (par 2.6) che sarà poi raggiungibile all’indirizzo IP configurato.
2.4.Configurazione DNS e nome host
Dal menù Networking selezionare Interfaccia di Rete, poi il bottone Host;
– cliccare su modifica nome host e compilare i campi come segue:
Nome Host: inserire il nome macchina che si intende assegnare al dispositivo
DNS primario e secondario: inserire gli indirizzi IP del DNS del provider oppure dei DNS generici;
– salvare la configurazione e riavviare la macchina (par. 2.6) per applicare le modifiche.
2.5.Configurazione SMART HOST
Per permettere all’appliance di inviare mail è necessario impostare lo SMART HOST ovvero il server si posta in uscita (SMTP) da utilizzare per l’invio della posta
Questa voce si trova in
NETWORKING -> Smart Host
Compilare i seguenti campi in base alle impostazioni del proprio server di posta in uscita:
Smarthost: Indirizzo o nome del vostro server / account di posta in uscita
Porta: la porta TCP su cui risponde il vostro server di posta in uscita normalmente e di default è la porta 25
Autenticazione: nel caso il vostro server/account richieda autenticazione selezionare “con autenticazione” e di conseguenza compilare i campi nome utente e password
Postmaster: inserire l’indirizzo che si intende utilizzare come mittente di default e sul quale si voglio ricevere i messaggi non andati a buon fine
email Assistenza: inserire l’indirizzo email sul quale si vogliono ricevere i messaggi relativi alla configurazione delle vostra appliance, errori di tipo hardware e software ed il backup della configurazione.
Dopo aver confermato tramite il pulsante Salva, eseguire un test di invio compilando le opzioni disponibili nel tab SMTP test per verificare il corretto funzionamento delle nuove impostazioni.
2.6.Generare un certificato
Durante la prima configurazione è necessario generare un certificato valido per un corretto funzionamento dell’apparato.
– Dal menù Setup selezionare la voce Certification Authority;
– Verificare che sia presente il messaggio “Server Verisign Disponibile”, diversamente non sarà possibile applicare la marcatura temporale.
Per una corretta configurazione di rete fare riferimento ai paragrafi 2.2 e 2.3;
– al primo accesso verrà visualizzato un certificato denominato host scaduto;
– cliccando sul nome comparirà un form da compilare con i propri dati aziendali;
– una volta compilato il form cliccare su Genera per procedere alla creazione di un nuovo certificato.
2.7.Riavviare il sistema
Per riavviare il LogManager cliccare sul pulsante Riavvia situato nella parte inferione del menù laterale (a destra rispetto al simbolo di power ) per riavviare il sistema.
Per procedere con l’operazione selezionare il tasto Riavvia il sistema per confermare.
L’appliance sarà di nuovo disponibile e raggiungibile via rete dopo pochi minuti.
3.Gestione dei Log
Il sistema Log Manager registra e archivia i log che gli vengono inviati da altri sistemi opportunamente configurati.
Una volta ricevuti i log è possibile consultarli, effettuare verifiche, effettuare ricerche mirate ed esportarli sia come archivio firmato digitalmente sia come file xls.
3.1.Registrazione dei log
La configurazione dei sistemi che devono inviare i log al LogManager varia in base alla tipologia di sistema operativo.
Per sistemi Windows, Mac OS X e alcuni sistemi Linux sono disponibili per il download dall’interfaccia dell’appliance dei client specifici.
Per le altre macchine Unix è necessario configurare opportunamente syslog.
Sono compatibili anche tutti quegli apparati che supportano syslog come alcuni router, switch, firewall ecc e tutti gli apparati Gigasys.
Per scaricare i client dedicati a Windows, Mac OS X e Linux procedere come segue:
– Una volta effettuata la Login sull’appliance dal menù selezionare Downloads, nel sottomenù selezionare Software Clients
– Scaricare ed installare il client compatibile con il sistema operativo installato sull’host che si desidera registrare.
3.2.Endpoint Client
Le appliance Log Manager sono dotate di un client avanzato per la registrazione dei log, compatibile con Microsoft Windows Vista o superiore 64 Bit.
Le principali caratteristiche del client avanzato sono:
Agent setup con OnLine e OffLine logging:
Registrazione dei log della macchina client anche nel caso in cui l’appliance log manager non dovesse essere disponibile.
I log verranno crittografati e salvati sul client in locale e nel momento in cui l’appliance log manager sarà nuovamente disponibile verranno inviati e registrati tramite connessione sicura TCP/SSL.
Per la consultazione o la ricerca dei log registrati fare riferimento al punto 3.3 e 3.4
Inventario Hw/Sw:
Collezione di tutte le informazioni hardware e software della macchina client, la richiesta di aggiornamento inventario si può fare direttamente dall’interfaccia di gestione del log manager.
Per la consultazione delle informazioni Hw/Sw fare riferimento al punto 3.3
Patch & Performance Monitor:
Verifica delle patch mancanti con possibilità di installazione direttamente da interfaccia web dell’appliance. Monitor delle prestazioni dell’assett se l’opzione è abilitata nel profilo di logging.
Aggiornamento automatizzato:
Aggiornamento automatico del client avanzato qualora siano disponibili nuovi aggiornamenti.
Tutti i log e tutte le informazioni Hw e Sw vengono inviate al log manager in connessione sicura TCP/SSL.
Per scaricare Endpoint Client procedere come segue:
Una volta effettuata la Login sull’appliance dal menù selezionare Downloads, nel sottomenù selezionare Software Clients, infine cliccare sull’icona di download relativa a Endpoint Client.
3.2.1.Endpoint Client Management
Per gestire i dispositivi autorizzati all’utilizzo di Endpoint Client dal menù del log manager selezionare Management e successivamente selezionare Endpoint Clients.
Tramite questa pagina di gestione è possibile concedere o negare l’autorizzazione automatica dei nuovi clients:
– Impostando l’opzione su “Sì” i clients su cui verrà installato Endpoint Client verranno autorizzati automaticamente all’utilizzo di Endpoint Client
– Impostando l’opzione su “No” i clients su cui verrà installato Endpoint Client non saranno autorizzati all’utilizzo di Endpoint Client e dovranno essere aggiunti manualmente.
In questa pagina è presente una lista dove viene mostrato il nome, la localizzazione, la data di autorizzazione e il MAC Address di ogni dispositivo autorizzato con relativo stato indicato con un pallino verde • se online, arancio • se l’ultimo log è tra i 15 e i 60 minuti precedenti, rosso • se più vecchio di 60 minuti . Il pallino nero • indica che l’asset è registrato ma non ci sono log o l’informazione non è disponibile.
Rimozione dispositivo:
È possibile rimuovere un dispositivo cliccando sul pulsante rimuovi relativo al dispositivo.
Il dispositivo rimosso non sarà più autorizzato all’utilizzo di Endpoint Client e necessiterà di una nuova registrazione effettuabile tramite riavvio del servizio Endpoint Client.
È possibile revocare temporaneamente l’autorizzazione all’utilizzo di Endpoint Client per un dispositivo registrato.
Cliccando sul pulsante “Autorizzato” con icona verde, verrà rimossa l’autorizzazione del dispositivo e il pulsante diventerà “Non autorizzato” di colore rosso.
Per autorizzare un dispositivo non autorizzato cliccare sul pulsante con icona rossa “Non Autorizzato”
Per aggiungere e quindi autorizzare un dispositivo cliccare su Aggiungi Dispositivo compilare il campo Nome Dispositivo e MAC Address e successivamente cliccare su Aggiungi.
3.2.2.Profile Management
Per gestire i profili di logging di Endpoint Client dal menù del log manager selezionare Management e successivamente selezionare Endpoint Client.
Spostarsi sul tab Profili per personalizzare la configurazione dei profili esistenti o crearne nuovi.
Selezionare il profilo da modificare o nuovo per crearlo.
Selezionare le voci che devono essere loggate per quel profilo.
È possibile loggare:
- login/logout;
- esecuzione dei programmi come utente locale e/o con privilegi amministrativi;
- audit sulle operazioni in active directory
- audit sui file locali ( creazione, modifica, cancellazione, rinomina, errori);
- audit sulle cartelle condivise;
- inserimento e/o rimozione delle chiavette USB.
Oltre a questo è possibile :
- disabilitare il performance monitor;
- automatizzare gli inventari hardware e software, verificare gli aggiornamenti software e l’installazione deglu aggiornamenti mancanti.
Spostarsi sul tab Lista Dispositivi per visualizzare tutti i dispositivi registrati e autorizzati a cui viene assegnato il profilo di Default che registra tutti i principali log di windows: Security-Auditing, Login e Logout, Programmi eseguiti come utente normale, Programmi eseguiti come amministratore.
Per impostare un nuovo profilo ad un dispositivo, è possibile selezionare sotto la colonna “Profilo“, tramite apposito input di selezione, il profilo desiderato.
Al click sul profilo desiderato, esso verrà automaticamente salvato e associato al client e verrà attivato al successivo log che Endpoint Client invierà al Log Manager.
3.2.3.USB Management
Per gestire i dispositivi USB autorizzati dal menù del log manager selezionare Management e successivamente selezionare Endpoint Client Management.
È possibile accedere alla pagina di USB Management cliccando sul pulsante “Gestione USB” presente nella colonna USB mgmt relativa al dispositivo client che si vuole gestire.
È possibile permettere l’inserimento di qualunque dispositivo USB selezionando “Sì” oppure specificare manualmente quali dispositivi USB autorizzare o quali no selezionando “No”
Selezionando “No” verranno mostrati tutti i dispositivi registrati autorizzati e non, tramite i pulsanti “Aggiungi” e “Rimuovi” è possibile autorizzare o non autorizzare uno o più dispositivi selezionandoli dai rispettivi input di selezione.
3.3.Consultare i log
Per consultare i log direttamente dall’interfaccia web del Log Manager procedere come segue:
– Una volta effettuata la login ci viene proposta la Dashboard che contiene la lista di tutti i client che registrano i log sul sistema. Per tornare alla Dashboard dal menù selezionare Query e successivamente Dashboard;
Per ogni host registrato vengono mostrati tutti i record associati separati per tipologia che potranno essere: tutti, errori, notice, information, alert, debug.
Verrà inoltre indicato il numero di log relativi a quella categoria.
Selezionando una determinata categoria verranno mostrati solo i log di quel tipo.
Per consultare le informazioni Hw e Sw dal menù selezionare Query e successivamente Consulta Inventario. Questa caratteristica è disponibile solo per macchine Windows e richiede l’installazione di Endpoint Client.
Per informazioni su come installare Endpoint Client fare riferimento al punto 3.2.
3.4.Ricerca dei log
È possibile effettuare vari tipi ricerca dei log registrati.
Una volta effettuata la login dal menù selezionare Query e successivamente la tipologia di ricerca desidertata tra:
– Ricerca libera: permette di cercare all’interno di tutti i log registrati sul Log Manager con la possibilità di applicare dei filtri personalizzati ad esempio per host, per tipologia di log, per data;
– Ricerca Login/Logout: permette di cercare tutti i log registrati che contengono informazioni relative alle login e logout con la possibilità di effettuare ricerche personalizzate;
– Ricerca File Audit: permette di cercare tutti i log generati dal servizio Auditing di Windows con la possibilità di applicare dei filtri personalizzati
Per ogni tipologia di ricerca è possibile salvare i parametri come Template per le ricerche più frequenti, per agevolare il compito dell’incaricato.
3.5.Esportare i log della ricerca
È possibile esportare il risultato di una ricerca all’interno dei log registrati in formato xls o csv.
Una volta effettuata una ricerca (par 3.3) selezionare dal tasto Opzioni di esportazione posto in cima al risultato della ricerca la tipologia di esportazione desiderata tra XLS o CSV per avviare il download del file.
Il file scaricato non è firmato digitalmente, è da intendersi quindi per un uso di sola consultazione.
3.6.Archiviare i log con firma digitale
L’apparato effettua l’archiviazione dei log e la firma digitale dell’archivio che ne attesta l’integrità.
Per il corretto funzionamento dell’archiviazione seguire attentamente le istruzioni ai punti 2.2, 2.3, 2.5.
Una volta effettuata la login dal menù Scheduler, nel sotto menù selezionare Archiviazione Programmata.
Compilare come segue:
– Mantieni i log online per: permette di definire per quanto tempo i log rimangono consultabili dall’interfaccia web, trascorso il tempo limite saranno consultabili solo utilizzando gli archivi firmati.
L’intervallo minimo è di 6 mesi.
– Crea archivio dei Log: permette di impostare la frequenza di esportazione dei log in archivio compresso firmato digitalmente;
-Mantieni gli archivi log per: impostare un eventuale tempo limite per il mantenimento dei file contenenti gli archivi dei log. Il periodo minimo è 12 mesi. Per la configurazione della copia automatizzata degli archivi fare riferimento al seguente link.
Salvare per applicare le modifiche.
3.7.Utilizzare gli archivi firmati
Gli archivi firmati contengono i log in formato json.
Si presentano come dei file .exe, per aprirli è sufficiente un programma per la gestione degli archivi compressi.
È possibile verificare la validità del certificato da qualunque macchina windows dalle proprietà del file .exe.
Per scaricare gli archivi dal Log Manager procedere come segue:
– Una volta effettuata la login, dal menù Downloads selezionare il sotto menù Log Archiviati;
– Nella lista proposta selezionare il download relativo all’archivio che intendiamo scaricare, questo darà il via al download del file.
3.8.Firma Generica
La firma generica è necessaria qualora alcuni log vengano inviati al Log Manager tramite FTP. Il Log Manager si occuperà di firmare qualunque tipo di file inviatogli. Creando l’utente verrà creata un’area FTP personale, tutti i tipi di file caricati verranno compressi e firmati.
Per creare un utente effettuare la login dal menù Firma & Archivio e selezionare Firma Generica.
Selezionare Nuovo Utente e inserire le credenziali di accesso che verranno utilizzate per la transazione FTP.
4.Altro
Altre indicazioni sulle possibili configurazioni o sui moduli del logmanager sono disponibili alla pagina di supporto https://gigasys.it/support