SAFE3.0 資料來源分為以下三類進行管理:
(1) 一般:一般資料來源,供一般設備使用,如:防火牆、IPS等實體設備,或者Windows 、Linux等作業系統。
(2) JDBC:透過 JDBC 連線,收取存放於資料庫內的資料。
(3) SNMP:透過 SNMP 接收到的訊息,能即時發現並解決網路問題,或協助其規劃網路資源的運用。
(4) 解析規則:SAFE3.0 對收容的設備日誌解析編輯設定頁。
(5) Log轉拋:可依據使用者設定將SAFE3.0接收的Client端Log轉拋至另一台主機。
一般
1. 列表頁
皆可點擊欄位右側排序 icon 變更排序規則;亦可利用搜尋輸入框進行模糊關鍵字搜尋。點選左側目錄「資料來源」→「SYSLOG」,可顯示設備IP、設備名稱 (使用者可自行編輯)、類別 (使用者可自行新增編輯)。
2. 編輯設備資訊
點擊編輯 icon進入編輯頁。
- 名稱:必填欄位,最多輸入 40 字元。
- 角色:必選欄位,下拉式選單選擇系統角色群組,可指定哪些角色群組使用者可以使用查看此設備日誌。
- 類別:下拉式選單選擇設定日誌類別,預設類別為:未分類/不使用,使用者也可自行新增類別。
- 紀錄接收檢查:開啟switch後,點擊輸入框空白處開啟下拉選單選擇紀錄接收檢查頻率(10分鐘/1小時/12小時/24小時/72小時),並選擇收信角色。
3. 類別
- 點擊類別 icon,進入類別管理頁,可查看已有的分類類別,預設類別(未分類/不使用)不可刪除,自行新增的類別則可點擊刪除 icon進行刪除。
- 點擊新增 icon,開啟新增類別視窗,輸入欲設定的類別名稱,最多僅能輸入 40 字元,輸入完畢後點擊儲存完成設定。
- 點擊編輯icon,開啟設定IP視窗,勾選欲設定IP check box,勾選完畢後點擊儲存完成設定。
- 類別設定後可於進階搜尋利用safe_tag欄位進行搜尋。
- 重整:點擊重整icon,可手動刷新 SYSLOG 設備日誌資訊。
- 檔案上傳:點擊icon,開啟檔案上傳頁,支援JSON及CSV檔。
JDBC連線設定
1. 新增 JDBC 連線
- IP:必填欄位,資料庫主機IP。
- 名稱:必填欄位,使用者可自訂該JDBC連線名稱,最多僅能輸入 45 個字元。
- 角色:必填欄位,下拉式選單選擇,指定哪些使用者可以使用該設備日誌。
- 資料庫類型:必填欄位,下拉式選單選擇,目前支援 Microsoft SQL Server/MySQL/MySQL8.0/PostgreSQL。
- 連接埠:必填欄位,Microsoft SQL Server 預設為 1433 port / MySQL 預設為 3306 port / PostgreSQL 預設為 5432 port。
- 資料庫名稱:必填欄位,要讀取的資料庫名稱。
- 使用者名稱:必填欄位,讀取資料庫的使用者名稱,因維護資訊安全,建議不要使用 DB Super Admin 的帳號密碼,應使用至少含有可讀取權限之帳號。
- 密碼:必填欄位,使用者帳號密碼。
- 資料表名稱:必填欄位,要讀取的資料表名稱。
- 查詢語法:必填欄位,讀取資料的語法,不支援Group By,Order By 與 WHERE 等資料篩選、排序指令。
- 追蹤欄位:必填欄位,資料更新參考欄位,通常為時間或流水號欄位。
- 排程類型:必填欄位,資料讀取間隔(秒、分、時)。
- 時區:必填欄位,資料所屬時區。
- 所有欄位填寫完畢後點擊「測試」,測試通過後才能點擊儲存完成新增作業。
設定SNMP
1. 於左側目錄點擊「SNMP」進入編輯管理頁。
2. 點擊 icon,開啟新增SNMP頁面。
(1) SNMP版本選擇,支援版本為:
- SNMP v1
- SNMP v2c
- SNMP v3
- SNMP Trap
(2) 設定IP、角色權限、端口(Port)、SNMP版本與社區(Community)等必填資訊。
(3) 點擊「掃描」。
(4) 依據掃描結果勾選checkbox選擇要儲存的資料。
(5) 若欲收集 SNMP trap日誌,需點擊 icon 開啟 Trap 啟編輯頁面,輸入community後點擊「儲存」將詢問是否重啟日誌收容服務,請選擇「是」。
3. SNMP Trap資料剖析
使用者可自行於編輯MIB檔頁面上傳MIB檔以進行SNMP Trap日誌資料剖析。
使用者可自行新增MIB OID進行編譯。
解析規則
於左側目錄點擊「資料來源」->「解析規則」列表頁。
- 列表列出功能/名稱/類別欄位,除功能欄位外,其餘皆可利用排序icon變更排序規則。
- 類別為SAFE(官方)/自訂兩種。
解析分為官方解析及自訂解析,除自訂解析可於解析規則列表頁新增外,官方解析須從「系統」->「套件上傳」進行檔案上傳作業。
1. 官方解析
點擊編輯,進入編輯解析頁面,可查看該解析說明,並可至 Step2 設定套用IP。
(1) 解析套用:
勾選日誌設備 check box ,設定解析套用至該日誌設備,點擊完成後返回列表頁。
於解析列表頁勾選欲套用解析 check box 後,點擊進行套用設定。
(2) 刪除官方解析
點擊刪除icon,刪除未被使用的官方解析。
2. 自訂解析
(1) 新增自訂解析:點擊icon,開啟新增自訂解析編輯頁面。
- 名稱:必填欄位,僅能輸入半型英文字母或數字,最多僅能輸入50字元。
- 描述:必填欄位,最多僅能輸入128字元。
- 正規表示式:解析的規則語法,一項解析只能有一條規則。
- 測試樣本:測試使用的日誌範例。
- 匹配資訊:點擊「測試」將測試欄位與正規表示式欄位進行模擬解析,若有匹配結果會列出解析的欄位與結果,若無則顯示為「No Match」。
(2) 匯入自訂解析:可利用左側目錄「系統」->「套件上傳」進行檔案上傳作業。
(3) 編輯自訂解析/設定IP:點擊編輯icon,進入編輯解析頁面,可編輯該解析描述及正規表示式,並可至 Step2 設定套用IP,其餘套用設定同官方解析。
(4) 刪除自訂解析:點擊刪除icon,刪除自訂解析。
(5) 匯出自訂解析:點擊匯出icon,匯出自訂解析des3檔。
Log 轉拋
1. 於左側目錄點擊「資料來源」->「Log轉拋」進入轉拋設定頁面。
- 列表列出IP/設備名稱/類別及轉拋目的IP,皆可利用排序icon變更排序規則。
- 僅支援SYSLOG(含SNMP)
2. 目標端設定:點擊開啟設定頁。
- 目的IP:於輸入框輸入轉拋目標主機IP。
- Port:於輸入框輸入轉拋目的Port。
- 點擊新增目標端設定輸入框;點擊將輸入框刪除。
- 輸入完畢後點擊「儲存」。
3. 來源端設定設定:點擊開啟設定頁。
- 轉拋目的IP:下拉選單選擇欲轉拋的目的主機IP。
- 來源主機轉拋設定:於左側來源主機清單點擊來源主機IP,將其加入右側已選主機清單。
- 點擊僅將設定儲存;若要啟用Log轉拋服務,需點擊,套用後會重啟Rsyslog服務,將會有短時間無法查詢日誌。