Conditions requises
- Connaissances de base d’un cluster WG.
- L'appliance WG à utiliser dans la collecte des journaux doit être actif et accessible lors de la configuration de la source de journalisation.
- CSR collecte les journaux à partir de WG sur l’interface REST. Assurez-vous d’activer l’interface REST sur l'appliance WG. Pour plus d’informations sur l’activation de l’interface REST, reportez-vous à la documentation WG.
Configuration
Une seule source de journalisation WG peut collecter des journaux à partir d’un seul appliance WG. Si vous utilisez CSR pour collecter des journaux à partir de plusieurs Appliances WG d’un cluster, vous devez configurer une source de journalisation par appliance dans le cluster.
Pour configurer une source de journalisation WG dans CSR, procédez comme suit :
- Accédez aux paramètres du serveur de rapports, sources de journalisation, actions.
- Dans le menu actions , cliquez sur nouveau.
- Entrez un nom pour la source de journalisation.
- Pour le mode, sélectionnez collecter les fichiers journaux à partir de, puis sélectionnez McAfee Web Gateway dans la liste déroulante.
- Conservez le format de journal au McAfee Web Gateway (Webrondelle)-découverte automatique.
Remarque : Vous voyez à présent le panneau de configuration de la source de journalisation dans l’onglet source . Vous devez renseigner tous les champs de cette section pour que la source de journalisation soit enregistrée.
- Adresse
de l’équipement
Cette adresse représente le nom d’hôte ou l’adresse IP du appliance WG qui CSR contacts pour collecter des journaux. Si vous disposez d’un cluster WG, vous pouvez collecter des journaux à partir des autres Appliances du cluster à l’aide de l' adresse d’équipementunique, même si vous devez configurer une source de journalisation par WG appliance. Il est conseillé d’utiliser l’adresse appliance qui est généralement utilisée pour accéder à l’interface utilisateur graphique de WGs pour la gestion de la configuration. Les mêmes règles qui s’appliquent à l’interface utilisateur WG s’appliquent également à l’interface REST. Ainsi, vous ne pouvez disposer que d’un seul nœud associé à une interface utilisateur graphique dans un cluster à un moment donné.
- Port
Ce port représente le port de l’interface REST qui est activé sur l'appliance WG. Au moment de la rédaction de cet article, l’interface REST était sur le même port que celui de l’interface utilisateur standard. Vous voyez l’option se connecter en utilisant SSL/TLS suivre ce champ. Cette option permet de déterminer si CSR tente de communiquer avec WG sur le port spécifié sur un canal sécurisé.
- Nom de connexion
Nom de connexion d’un utilisateur WG disposant des autorisations « REST-interface accessible ».
- Mot de passe
Mot de passe de l’utilisateur WG disposant d’autorisations REST.
- Nom de l’appliance (UUID)
CSR requiert l’UUID appliance WG pour collecter des journaux à partir de cette appliance. Renseignez les champs précédents, puis cliquez sur Parcourir. Ensuite, connectez-vous au appliance WG qui a été spécifié pour renvoyer une liste de appliance et que CSR peut collecter des journaux à partir de. Sélectionnez la appliance, puis cliquez sur OK.
- Nom de base du fichier journal
Le nom de base du fichier journal par défaut des journaux d’accès sur WG est'Access. log', mais WG 7.x vous permet de renommer les fichiers journaux d’accès si nécessaire.
Remarque : WG ajoute un horodatage au nom de fichier lorsqu’un journal a fait l’autre rotation. CSR continue de collecter les fichiers journaux avec l’horodatage dans le nom de fichier, à condition que le nom de base du fichier journal corresponde à celui spécifié.
- Collecter automatiquement les journaux à partir d’un nœud avec une interface utilisateur graphique active
Comme indiqué précédemment, un cluster WG ne peut avoir qu’une seul'appliance d’interface utilisateur connectée à un moment donné. Vous pouvez joindre plusieurs interfaces utilisateur à l’interface graphique utilisateur connectée appliance à la fois. Cependant, il est impossible d’accéder à l’interface utilisateur graphique d’un autre appliance dans un cluster, si l’une d’entre elles est déjà attachée à un autre emplacement.
Cette fonctionnalité de CSR pour collecter automatiquement les journaux à partir du nœud avec l’interface utilisateur graphique active est destinée à éviter les échecs de collecte de journaux. Un échec peut se produire si une tentative de collecte de journaux est effectuée lorsqu’une interface utilisateur est connectée à un appliance dans le cluster autre que celui spécifié dans adresse de l' équipement. Si vous sélectionnez cette option et qu’une interface utilisateur graphique est jointe à un autre emplacement lors de la collecte des journaux, CSR prend les informations fournies par la réponse d’erreur WG pour déterminer où l’interface utilisateur graphique est connectée. CSR tente ensuite de se connecter à l’appliance de l’interface utilisateur connectée afin de collecter les journaux pour les appliance spécifiés dans le nom de l' Appliance (UUID) pour cette source de journalisation. Il est préférable d’utiliser cette option comme mécanisme de sécurité plutôt que d’utiliser une fonctionnalité opérationnelle quotidienne.
Notez également que CSR n’est pas mis à niveau vers une version antérieure à la sécurité de la collecte des journaux. Si vous configurez votre source de journalisation pour utiliser SSL/TLS et que WG fournit un emplacement non sécurisé pour le nœud de l’interface utilisateur graphique, CSR ne collecte pas les journaux via la appliance à laquelle l’interface utilisateur graphique est connectée.
Pour déterminer si un fichier journal peut être lu à l’aide des paramètres spécifiés pour cette source de journalisation, cliquez sur test.
Remarque : le test ne teste pas l’option de collecte automatique des journaux à partir d’un nœud à l’aide de l’interface utilisateur graphique active.
Résolution des problèmes
Le journal du serveur CSR est le meilleur endroit pour rechercher les problèmes qui peuvent être rencontrés avec la collecte de journaux WG. La fonction de test offre un moyen pratique commentaires dans plusieurs situations, mais en général, les messages du journal du serveur contiennent des informations plus détaillées. Les exemples suivants présentent les entrées de journal du serveur et leur signification :
- 2012-12-30 14:54:17,086 ERROR [com.mcafee.mesa.logparsing.frontends.webgateway7getter.WebGateway7Getter] Login attempt to MWG 7 failed with HTTP status code 403. Detailed reason: user admin has no rights to access the REST-Interface
Dans ce cas, l’utilisateur 'admin' ne dispose d’aucun droit d’interface REST et ne peut pas accéder à l’interface REST pour la collecte des journaux. Pour plus d’informations sur la configuration d’un compte d’utilisateur en vue de disposer de droits d’interface REST, consultez la documentation WG.