以下部分概述了启用“审计数据导出”的步骤。如果您要进行配置以将审计数据导出到 Splunk™ 服务器,请确保您具有 Splunk HTTP 事件收集器 (HEC) 主机和令牌信息。有关在 Splunk 上配置 HTTP 事件收集器的详细信息,请参阅 Splunk 文档。
注意:
- 只能在 Address Manager v9.5.0 上配置到 Kafka 集群和 Elasticsearch 服务器的输出。
- 从 Address Manager v9.5.0 开始,审计数据导出服务已更新为将数据输出为有效的 JSON,其中包括 Address Manager 服务器的主机名。这允许日志管理工具(例如 Splunk 服务器)将数据正确解析为 JSON,并帮助用户在具有多个 Address Manager 服务器的环境中识别数据源。警告: 具有审计数据导出配置的用户在升级到 v9.5.0 后可能需要更新其日志管理工具(数据接收器)的设置,以确保继续接收到消息。如果升级后不再收到消息,请确保将源和接收器类型设置为 JSON 并重新启动日志工具。
- 审计数据导出服务在将事件数据导出到 HTTP、Splunk、Kafka 或 Elasticsearch 端点前,先将其存储在缓冲区中。如果该服务无法将数据导出到端点,事件数据可能会丢失。如果该服务已启用,但不能正常工作,它将使用额外的磁盘空间将审计数据保存到 BAM 数据库,直到成功导出到外部数据库。
- 从 Address Manager v9.5.0 开始,每个事件发送的 Address Manager 数据库行的默认数量已经从 20 个减少到 5 个,以确保不超过 Splunk 的默认设置。但是,如果 Address Manager 数据库表超过默认值,则每个事件发送的行数会相应增加以匹配表的大小。这意味着大型数据库仍然可能会超出默认的 Splunk 限制。建议客户监控审计数据导出输出,以确保 Splunk 设置允许导出大量数据。可以修改以下 Splunk 设置以支持处理大型审计数据导出事件:也可以在 Address Manager 服务器上配置参数以指定每个事件发送的确切行数,请参阅下一个列表项,了解更多详细信息。
TRUNCATE 定义每行的字符数,在达到该字符数之后,超出的字符将被丢弃。 MAX_EVENTS 定义每个多行事件的最大行数。达到该行数后,事件就会中断,而超出的行则会被解释为新事件(有时会导致新的时间戳检测)。 - 从 Address Manager v9.5.0 开始,可以在 Address Manager 服务器上配置一个新属性,用于指定每个事件要发送的数据库表行的确切数量,从而禁用自动增加。如果需要通过此配置来避免超出接收器设置,请联系客户服务中心,以获取配置此服务器属性方面的帮助。警告: 配置此属性后,如果系统忙碌,则在数据进入接收器之前用于保存数据的队列可能会增加,从而导致忙碌系统中的磁盘空间使用量增加。如果使用此选项,建议用户仔细监控磁盘空间。
- 复制数据库以进行灾难恢复时,请在配置复制前确保在所有 BAM 上启用审计数据导出服务。在所有 BAM 上启用审计数据导出可确保用于复制的所有 BAM 中均具有审计数据导出服务及其设置,使故障切换能够正常进行。这样还能确保故障切换不会导致审计数据丢失。
- 如果在配置审计数据导出前已启用数据库复制,请联系 BlueCat 客户服务中心获取有关在现有复制环境中配置审计数据导出的帮助。
要启用审计数据导出:
启用审计数据导出并在 BAM 中生成会话和事件日志后,登录到接收服务器以查看详细的事件信息。
注: BAM UI 会在完全连接到 SIEM 解决方案前完成。因此,用户应通过查看 BAM 内的事件日志中是否存在任何失败来验证导出是否正常进行。建议设置监控服务以获取 SNMP 或接收事件电子邮件。