SAFE3.0 資料來源分為以下五類進行管理:

(1) 一般:一般資料來源,供一般設備使用,如:防火牆、IPS等實體設備,或者Windows 、Linux等作業系統。

(2) JDBC:透過 JDBC 連線,收取存放於資料庫內的資料。

(3) SNMP:透過 SNMP 接收到的訊息,能即時發現並解決網路問題,或協助其規劃網路資源的運用。

(4) 解析規則:SAFE3.0 對收容的設備日誌解析編輯設定/針對欄位及欄位屬性進行設定/關鍵字濾除設定。

(5) Log轉拋:可依據使用者設定將SAFE3.0接收的Client端Log轉拋至另一台主機。


一般

syslog.png

1. 列表頁

皆可點擊欄位右側排序 icon 變更排序規則;亦可利用搜尋輸入框進行模糊關鍵字搜尋。點選左側目錄「資料來源」→「SYSLOG」,可顯示設備IP、設備名稱 (使用者可自行編輯)、類別 (使用者可自行新增編輯)。

2. 編輯設備資訊

點擊編輯 icon進入編輯頁。

  • 名稱:必填欄位,最多輸入 40 字元。
  • 角色:必選欄位,下拉式選單選擇系統角色群組,可指定哪些角色群組使用者可以使用查看此設備日誌。
  • 類別:下拉式選單選擇設定日誌類別,預設類別為:未分類/不使用,使用者也可自行新增類別。
  • 紀錄接收檢查:開啟switch後,點擊輸入框空白處開啟下拉選單選擇紀錄接收檢查頻率(10分鐘/1小時/12小時/24小時/72小時),並選擇收信角色。
3. 類別
  • 點擊類別 icon,進入類別管理頁,可查看已有的分類類別,預設類別(未分類/不使用)不可刪除,自行新增的類別則可點擊刪除 icon進行刪除。

  • 點擊新增  safe3089icon,開啟新增類別視窗,輸入欲設定的類別名稱,最多僅能輸入 40 字元,輸入完畢後點擊儲存完成設定。

safe3148

  • 點擊編輯icon,開啟設定IP視窗,勾選欲設定IP check box,勾選完畢後點擊儲存完成設定。

  • 類別設定後可於進階搜尋利用safe_tag欄位進行搜尋。

  • 重整:點擊重整icon,可手動刷新 SYSLOG 設備日誌資訊。
  • 檔案上傳:點擊icon,開啟檔案上傳頁,支援JSON及CSV檔。

  • 匯出:點擊export.png將來源清單匯出csv格式檔。


JDBC連線設定

1. 新增 JDBC 連線

safe3097

  • IP:必填欄位,資料庫主機IP。
  • 名稱:必填欄位,使用者可自訂該JDBC連線名稱,最多僅能輸入 45 個字元。
  • 角色:必填欄位,下拉式選單選擇,指定哪些使用者可以使用該設備日誌。
  • 資料庫類型:必填欄位,下拉式選單選擇,目前支援 Microsoft SQL Server/MySQL/MySQL8.0/PostgreSQL。
  • 連接埠:必填欄位,Microsoft SQL Server 預設為 1433 port / MySQL 預設為 3306 port / PostgreSQL 預設為 5432 port。
  • 資料庫名稱:必填欄位,要讀取的資料庫名稱。
  • 使用者名稱:必填欄位,讀取資料庫的使用者名稱,因維護資訊安全,建議不要使用 DB Super Admin 的帳號密碼,應使用至少含有可讀取權限之帳號。
  • 密碼:必填欄位,使用者帳號密碼。
  • 資料表名稱:必填欄位,要讀取的資料表名稱。
  • 查詢語法:必填欄位,讀取資料的語法,不支援Group By,Order By 與 WHERE 等資料篩選、排序指令。
  • 追蹤欄位:必填欄位,資料更新參考欄位,通常為時間或流水號欄位。
  • 排程類型:必填欄位,資料讀取間隔(秒、分、時)。
  • 時區:必填欄位,資料所屬時區。
  • 所有欄位填寫完畢後點擊「測試」,測試通過後才能點擊儲存完成新增作業。

設定SNMP

SNMP編輯夜.png

1. 於左側目錄點擊「SNMP」進入編輯管理頁。

2. 點擊 safe3089icon,開啟新增SNMP頁面。

SNMP新增.png

(1) SNMP版本選擇,支援版本為:

  • SNMP v1
  • SNMP v2c
  • SNMP v3
  • SNMP Trap

(2) 設定IP、角色權限、端口(Port)、SNMP版本與社區(Community)等必填資訊。

(3) 點擊「掃描」。

(4) 依據掃描結果勾選checkbox選擇要儲存的資料。

(5) 若欲收集 SNMP trap日誌,需點擊 SNMP_Trap_icon.png icon 開啟 Trap 啟編輯頁面,輸入community後點擊「儲存」將詢問是否重啟日誌收容服務,請選擇「是」。

trap_編輯.png    snmp_trap成功.png  trap重啟.png

3. SNMP Trap資料剖析

使用者可自行於編輯MIB檔頁面上傳MIB檔以進行SNMP Trap日誌資料剖析。

使用者可自行新增MIB OID進行編譯。


解析規則

解析規則.png

於左側目錄點擊「資料來源」->「解析規則」列表頁。

  • 列表列出功能/名稱/類別欄位,除功能欄位外,其餘皆可利用排序icon變更排序規則。
  • 類別為SAFE(官方)/自訂兩種。

解析分為官方解析及自訂解析,除自訂解析可於解析規則列表頁新增外,官方解析須從「系統」->「套件上傳」進行檔案上傳作業。

1. 官方解析

點擊編輯,進入編輯解析頁面,可查看該解析說明,並可至 Step2 設定套用IP。

(1) 解析套用:

  • 勾選日誌設備 check box ,設定解析套用至該日誌設備,點擊完成後返回列表頁。

  • 於解析列表頁勾選欲套用解析 check box 後,點擊safe3 1 227進行套用設定

(2) 刪除官方解析:點擊刪除icon,刪除未被使用的官方解析。

2. 自訂解析

(1) 新增自訂解析:點擊icon,開啟新增自訂解析編輯頁面。

  • 名稱:必填欄位,僅能輸入半型英文字母或數字,最多僅能輸入50字元。

  • 描述:必填欄位,最多僅能輸入128字元。

  • 正規表示式:解析的規則語法,一項解析只能有一條規則。

  • 測試樣本:測試使用的日誌範例。

  • 匹配資訊:點擊「測試」將測試欄位與正規表示式欄位進行模擬解析,若有匹配結果會列出解析的欄位與結果,若無則顯示為「No Match」。

(2) 匯入自訂解析:可利用左側目錄「系統」->「套件上傳」進行檔案上傳作業。

(3) 編輯自訂解析/設定IP:點擊編輯icon,進入編輯解析頁面,可編輯該解析描述及正規表示式,並可至 Step2 設定套用IP,其餘套用設定同官方解析。

(4) 刪除自訂解析:點擊刪除icon,刪除自訂解析。

(5) 匯出自訂解析:點擊匯出icon,匯出自訂解析des3檔。

3. 欄位設定

欄位設定.png

(1) 點擊「欄位設定」icon開啟欄位設定頁。

  • 新增欄位設定:

新增欄位設定.png

  • 點擊「新增」,開啟新增欄位設定頁。

    • Index欄位:必填欄位,輸入欲變更的欄位名稱。

    • 原始Log欄位:必填欄位,下拉選單選擇原始欄位。

    • 說明:選填欄位,針對欄位的說明。

    • 類別:選填欄位,針對欄位類別說明。

  • 點擊「儲存」將僅儲存其設定。

  • 須於解析編輯頁點擊「套用」,才會將設定寫入系統設定檔。

(2) 編輯欄位設定:點擊編輯icon.pngicon,開啟編輯欄位設定頁,若要將編輯的設定寫入系統設定檔,須於解析編輯頁點擊「套用」。

(3) 刪除欄位設定:點擊刪除icon.pngicon,將欄位設定刪除,若要將編輯的設定寫入系統設定檔,須於解析編輯頁點擊「套用」。

4. 欄位屬性設定
 欄位屬性設定.png欄位屬性nonbeats.png

(1) 點擊「欄位屬性設定」icon開啟欄位屬性設定頁;設定頁分為Beats欄位及Non-Beats欄位頁籤。

(2) 屬性設定:點擊屬性開啟設定頁。於下拉選單選擇欲設定的顯示格式(百分比/數字/bytes/字符串)。儲存後即完成屬性設定。

欄位屬性設定.png欄位屬性設定格是.png

5. 關鍵字濾除

(1) 點擊「關鍵字濾除」icon開啟關鍵字濾除設定頁。

關鍵字濾除.png

(2) 新增濾除設定

關鍵字濾除2.png

  • 點擊icon.pngicon新增欄位設定。
  • 可於欄位下拉選單選擇Beats欄位名稱/host/rawlog進行設定。
  • 關鍵字欄位輸入欲濾除的關鍵字。
    • EX. 欄位選擇【rawlog】;關鍵字輸入【just for test】將濾除與【rawlog:"just for test"】關鍵字相符合的日誌。
    • EX. 欄位選擇【host】;關鍵字輸入【10.16.6.199】將濾除與【host:"10.16.6.199"】關鍵字相符合的日誌。
  •  將設定儲存後選擇套用關鍵字濾除,系統將重啟服務將設定寫入系統設定檔;反之若取消套用關鍵字濾除,將僅儲存檔案設定內容。
 套用濾除.png

Log 轉拋

1. 於左側目錄點擊「資料來源」->「Log轉拋」進入轉拋設定頁面。

  • 列表列出IP/設備名稱/類別及轉拋目的IP,皆可利用排序icon變更排序規則。
  • 僅支援SYSLOG(含SNMP)

2. 目標端設定:點擊safe3149開啟設定頁。

safe3150

  • 目的IP:於輸入框輸入轉拋目標主機IP。
  • Port:於輸入框輸入轉拋目的Port。
  • 點擊safe3151新增目標端設定輸入框;點擊safe3152將輸入框刪除。
  • 輸入完畢後點擊「儲存」。

3. 來源端設定設定:點擊safe3153開啟設定頁。

  • 轉拋目的IP:下拉選單選擇欲轉拋的目的主機IP。 safe3154
  • 來源主機轉拋設定:於左側來源主機清單點擊來源主機IP,將其加入右側已選主機清單。

 safe3155

 safe3156

  •  點擊safe3 1 246僅將設定儲存;若要啟用Log轉拋服務,需點擊safe3 1 238,套用後會重啟Rsyslog服務,將會有短時間無法查詢日誌。