SAFE3.0 資料來源分為以下五類進行管理:
(1) 一般:一般資料來源,供一般設備使用,如:防火牆、IPS等實體設備,或者Windows 、Linux等作業系統。
(2) JDBC:透過 JDBC 連線,收取存放於資料庫內的資料。
(3) SNMP:透過 SNMP 接收到的訊息,能即時發現並解決網路問題,或協助其規劃網路資源的運用。
(4) 解析規則:SAFE3.0 對收容的設備日誌解析編輯設定/針對欄位及欄位屬性進行設定/關鍵字濾除設定。
(5) Log轉拋:可依據使用者設定將SAFE3.0接收的Client端Log轉拋至另一台主機。
一般
1. 列表頁
皆可點擊欄位右側排序 icon 變更排序規則;亦可利用搜尋輸入框進行模糊關鍵字搜尋。點選左側目錄「資料來源」→「SYSLOG」,可顯示設備IP、設備名稱 (使用者可自行編輯)、類別 (使用者可自行新增編輯)。
2. 編輯設備資訊
點擊編輯 icon進入編輯頁。
- 名稱:必填欄位,最多輸入 40 字元。
- 角色:必選欄位,下拉式選單選擇系統角色群組,可指定哪些角色群組使用者可以使用查看此設備日誌。
- 類別:下拉式選單選擇設定日誌類別,預設類別為:未分類/不使用,使用者也可自行新增類別。
- 紀錄接收檢查:開啟switch後,點擊輸入框空白處開啟下拉選單選擇紀錄接收檢查頻率(10分鐘/1小時/12小時/24小時/72小時),並選擇收信角色。
3. 類別
- 點擊類別 icon,進入類別管理頁,可查看已有的分類類別,預設類別(未分類/不使用)不可刪除,自行新增的類別則可點擊刪除 icon進行刪除。
- 點擊新增 icon,開啟新增類別視窗,輸入欲設定的類別名稱,最多僅能輸入 40 字元,輸入完畢後點擊儲存完成設定。
- 點擊編輯icon,開啟設定IP視窗,勾選欲設定IP check box,勾選完畢後點擊儲存完成設定。
- 類別設定後可於進階搜尋利用safe_tag欄位進行搜尋。
- 重整:點擊重整icon,可手動刷新 SYSLOG 設備日誌資訊。
- 檔案上傳:點擊icon,開啟檔案上傳頁,支援JSON及CSV檔。
-
匯出:點擊將來源清單匯出csv格式檔。
JDBC連線設定
1. 新增 JDBC 連線
- IP:必填欄位,資料庫主機IP。
- 名稱:必填欄位,使用者可自訂該JDBC連線名稱,最多僅能輸入 45 個字元。
- 角色:必填欄位,下拉式選單選擇,指定哪些使用者可以使用該設備日誌。
- 資料庫類型:必填欄位,下拉式選單選擇,目前支援 Microsoft SQL Server/MySQL/MySQL8.0/PostgreSQL。
- 連接埠:必填欄位,Microsoft SQL Server 預設為 1433 port / MySQL 預設為 3306 port / PostgreSQL 預設為 5432 port。
- 資料庫名稱:必填欄位,要讀取的資料庫名稱。
- 使用者名稱:必填欄位,讀取資料庫的使用者名稱,因維護資訊安全,建議不要使用 DB Super Admin 的帳號密碼,應使用至少含有可讀取權限之帳號。
- 密碼:必填欄位,使用者帳號密碼。
- 資料表名稱:必填欄位,要讀取的資料表名稱。
- 查詢語法:必填欄位,讀取資料的語法,不支援Group By,Order By 與 WHERE 等資料篩選、排序指令。
- 追蹤欄位:必填欄位,資料更新參考欄位,通常為時間或流水號欄位。
- 排程類型:必填欄位,資料讀取間隔(秒、分、時)。
- 時區:必填欄位,資料所屬時區。
- 所有欄位填寫完畢後點擊「測試」,測試通過後才能點擊儲存完成新增作業。
設定SNMP
1. 於左側目錄點擊「SNMP」進入編輯管理頁。
2. 點擊 icon,開啟新增SNMP頁面。
(1) SNMP版本選擇,支援版本為:
- SNMP v1
- SNMP v2c
- SNMP v3
- SNMP Trap
(2) 設定IP、角色權限、端口(Port)、SNMP版本與社區(Community)等必填資訊。
(3) 點擊「掃描」。
(4) 依據掃描結果勾選checkbox選擇要儲存的資料。
(5) 若欲收集 SNMP trap日誌,需點擊 icon 開啟 Trap 啟編輯頁面,輸入community後點擊「儲存」將詢問是否重啟日誌收容服務,請選擇「是」。
3. SNMP Trap資料剖析
使用者可自行於編輯MIB檔頁面上傳MIB檔以進行SNMP Trap日誌資料剖析。
使用者可自行新增MIB OID進行編譯。
解析規則
於左側目錄點擊「資料來源」->「解析規則」列表頁。
- 列表列出功能/名稱/類別欄位,除功能欄位外,其餘皆可利用排序icon變更排序規則。
- 類別為SAFE(官方)/自訂兩種。
解析分為官方解析及自訂解析,除自訂解析可於解析規則列表頁新增外,官方解析須從「系統」->「套件上傳」進行檔案上傳作業。
1. 官方解析
點擊編輯,進入編輯解析頁面,可查看該解析說明,並可至 Step2 設定套用IP。
(1) 解析套用:
- 勾選日誌設備 check box ,設定解析套用至該日誌設備,點擊完成後返回列表頁。
- 於解析列表頁勾選欲套用解析 check box 後,點擊進行套用設定
(2) 刪除官方解析:點擊刪除icon,刪除未被使用的官方解析。
2. 自訂解析
(1) 新增自訂解析:點擊icon,開啟新增自訂解析編輯頁面。
-
名稱:必填欄位,僅能輸入半型英文字母或數字,最多僅能輸入50字元。
-
描述:必填欄位,最多僅能輸入128字元。
-
正規表示式:解析的規則語法,一項解析只能有一條規則。
-
測試樣本:測試使用的日誌範例。
-
匹配資訊:點擊「測試」將測試欄位與正規表示式欄位進行模擬解析,若有匹配結果會列出解析的欄位與結果,若無則顯示為「No Match」。
(2) 匯入自訂解析:可利用左側目錄「系統」->「套件上傳」進行檔案上傳作業。
(3) 編輯自訂解析/設定IP:點擊編輯icon,進入編輯解析頁面,可編輯該解析描述及正規表示式,並可至 Step2 設定套用IP,其餘套用設定同官方解析。
(4) 刪除自訂解析:點擊刪除icon,刪除自訂解析。
(5) 匯出自訂解析:點擊匯出icon,匯出自訂解析des3檔。
3. 欄位設定
(1) 點擊「欄位設定」icon開啟欄位設定頁。
- 新增欄位設定:
-
點擊「新增」,開啟新增欄位設定頁。
-
Index欄位:必填欄位,輸入欲變更的欄位名稱。
-
原始Log欄位:必填欄位,下拉選單選擇原始欄位。
-
說明:選填欄位,針對欄位的說明。
-
類別:選填欄位,針對欄位類別說明。
-
-
點擊「儲存」將僅儲存其設定。
-
須於解析編輯頁點擊「套用」,才會將設定寫入系統設定檔。
(2) 編輯欄位設定:點擊icon,開啟編輯欄位設定頁,若要將編輯的設定寫入系統設定檔,須於解析編輯頁點擊「套用」。
(3) 刪除欄位設定:點擊icon,將欄位設定刪除,若要將編輯的設定寫入系統設定檔,須於解析編輯頁點擊「套用」。
4. 欄位屬性設定
(1) 點擊「欄位屬性設定」icon開啟欄位屬性設定頁;設定頁分為Beats欄位及Non-Beats欄位頁籤。
(2) 屬性設定:點擊屬性開啟設定頁。於下拉選單選擇欲設定的顯示格式(百分比/數字/bytes/字符串)。儲存後即完成屬性設定。
5. 關鍵字濾除
(1) 點擊「關鍵字濾除」icon開啟關鍵字濾除設定頁。
(2) 新增濾除設定
- 點擊icon新增欄位設定。
- 可於欄位下拉選單選擇Beats欄位名稱/host/rawlog進行設定。
- 關鍵字欄位輸入欲濾除的關鍵字。
- EX. 欄位選擇【rawlog】;關鍵字輸入【just for test】將濾除與【rawlog:"just for test"】關鍵字相符合的日誌。
- EX. 欄位選擇【host】;關鍵字輸入【10.16.6.199】將濾除與【host:"10.16.6.199"】關鍵字相符合的日誌。
- 將設定儲存後選擇套用關鍵字濾除,系統將重啟服務將設定寫入系統設定檔;反之若取消套用關鍵字濾除,將僅儲存檔案設定內容。
Log 轉拋
1. 於左側目錄點擊「資料來源」->「Log轉拋」進入轉拋設定頁面。
- 列表列出IP/設備名稱/類別及轉拋目的IP,皆可利用排序icon變更排序規則。
- 僅支援SYSLOG(含SNMP)
2. 目標端設定:點擊開啟設定頁。
- 目的IP:於輸入框輸入轉拋目標主機IP。
- Port:於輸入框輸入轉拋目的Port。
- 點擊新增目標端設定輸入框;點擊將輸入框刪除。
- 輸入完畢後點擊「儲存」。
3. 來源端設定設定:點擊開啟設定頁。
- 轉拋目的IP:下拉選單選擇欲轉拋的目的主機IP。
- 來源主機轉拋設定:於左側來源主機清單點擊來源主機IP,將其加入右側已選主機清單。
- 點擊僅將設定儲存;若要啟用Log轉拋服務,需點擊,套用後會重啟Rsyslog服務,將會有短時間無法查詢日誌。