Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Basi di dati

manuale utente di Sophos Reporting Log Writer

Sophos Reporting Log
Writer
guida per utenti
Sophos Enterprise Console 5.1 o successivo
Versione prodotto: 5.1
Data documento: agosto 2013
Sommario
1 Informazioni sulla guida....................................................................................................................3
2 Info su Sophos Reporting Log Writer................................................................................................4
3 Installazione del Sophos Reporting Log Writer................................................................................5
4 Configurazione del Log Writer..........................................................................................................8
5 Fonti dati del Log Writer..................................................................................................................11
6 Disinstallazione di Sophos Reporting Log Writer...........................................................................15
7 Supporto tecnico..............................................................................................................................16
8 Note legali.........................................................................................................................................17
2
guida per utenti
1 Informazioni sulla guida
Questa guida descrive Sophos Reporting Log Writer che consente di utilizzare software per il
monitoraggio dei log prodotti da terzi per generare report sui dati relative a minacce ed eventi
in Sophos Enterprise Console. È stata scritta per amministratori di sistema e di database.
Si presuppone che si conosca o si abbia già utilizzato Sophos Enterprise Console (SEC) versione
5.1 o successiva.
Se si desidera utilizzare applicazioni per la reportistica prodotte da terzi, quali Crystal Reports
o SQL Reporting Services, è possibile farlo con Sophos Reporting Interface. Per ulteriori
informazioni, consultare il Manuale utente di Sophos Reporting Interface.
La documentazione di Sophos è pubblicata alla pagina web
http://www.sophos.com/it-it/support/documentation.aspx.
3
Sophos Reporting Log Writer
2 Info su Sophos Reporting Log Writer
Sophos Reporting Log Writer è un'applicazione specializzata che consente di utilizzare
applicazioni prodotte da terzi per il monitoraggio dei log, per esempio Splunk, che recupera
i dati dai file di testo piuttosto che direttamente dal database.
Sophos Reporting Log Writer può essere installato nel computer eseguendo una procedura
di installazione di SEC autonoma, o in un qualsiasi computer che può accedere al database di
Enterprise Console.
Importante: Sophos Reporting Log Writer mette a disposizione di applicazioni prodotte da
terzi i dati di Enterprise Console. Installandolo ci si assume la responsabilità della sicurezza
dei dati resi accessibili; ciò significa accertarsi che solo utenti autorizzati possano accedere a
tali dati.
4
guida per utenti
3 Installazione del Sophos Reporting Log Writer
Nota: I dati rilevati dal Log Writer potrebbero includere informazioni di tipo confidenziale
relative a utenti e computer gestiti da SEC. Sarà quindi necessario gestire l'accesso. Consentire
solo a determinati account di accedere alla cartella di installazione, ai file sulla formattazione
dei dati e quelli di log. Dal momento che i dati trasferiti da Sophos Reporting Interface ai file
di log non sono cifrati, sarà inoltre necessario trascrivere tali file solo in computer locali,
evitando di utilizzare trasporti di rete non cifrati, quali condivisioni SAMBA/CIFS.
3.1 Verifica dei requisiti
Verificare che:
■
.NET Framework 3.5 sia installato.
■
Si possiedano diritti sufficienti per installare un nuovo servizio nel computer in cui verrà
installato il Log Writer.
3.2 Consigli
Si consiglia di installare il Log Writer nel computer in cui è installato il server di gestione. È
comunque possibile installarlo in qualsiasi server che abbia accesso al database di Sophos
Enterprise Console.
Per impostazione predefinita, il Log Writer sarà installato nell'account LocalSystem, avente
privilegi di accesso al server locale completi. Una volta eseguita l'installazione, si consiglia
caldamente di riassegnare questo servizio a un account che abbia meno privilegi di accesso. È
però necessario che l'account disponga dell'autorizzazione di scrittura per la cartella destinata
agli output del log (per impostazione predefinita, C:\Program Files\Sophos\Reporting
Interface\Log Files).
Se viene installato in un computer diverso dal server di gestione, dovrà essere eseguito
utilizzando un account utente con adeguate autorizzazioni di accesso remoto al database di
SEC. L'account dovrebbe quindi essere mappato all'accesso di SQL, avente le autorizzazioni
SELECT e EXECUTE concesse dal Sophos LogWriter.
Nota: Verificare che il computer del Log Writer e quello del database abbiano percorso
computer, fuso orario e orologio impostati in modo corretto, in base a dove si trovino.
3.3 Installazione
3.3.1 Download del programma di installazione
In questa sezione si presuppone che si sia in possesso di un account MySophos a cui sono
collegate le credenziali della licenza in possesso. In caso si richieda supporto, consultare
l'articolo www.sophos.com/it-it/support/knowledgebase/111195.aspx.
5
Sophos Reporting Log Writer
Per scaricaer il programma di installazione
1. Andare a www.sophos.com/it-it/support/downloads.aspx.
2. Digitare il proprio nome utente e password MySophos.
Viene visualizzata una pagina web in cui vengono mostrate le licenze in possesso.
3. Sotto il nome delle licenza si trovano i link per i download della Console. Scaricare il
programma di installazione di Sophos Reporting Interface.
3.3.2 Installazione di Log Writer
Per installare il Log Writer:
1. Cercare il programma di installazione di Sophos Reporting Interface scaricato in precedenza
e cliccarvi due volte.
2. Se lo si desidera cambiare la cartella di destinazione in cui copiare i file di installazione,
quindi cliccare su Install.
I file di installazione vengono copiati nel computer.
3. Cercare il programma di installazione Sophos Reporting Log Writer.msi. Effettuare una
delle seguenti operazioni:
■
Se si desidera generare un file di log dettagliato durante l'installazione del Log Writer,
utilizzare il seguente comando:
msiexec /l*v logfile.txt /i "Sophos Reporting Log
Writer.msi
Il file di log verrà creato nella cartella in cui è stato estratto il comando.
■
Se non si desidera generare alcun file di log, cliccare due volte sul programma di
installazione.
Viene avviata la procedura guidata per l'impostazione di Sophos Reporting Log Writer
che accompagnerà nell'installazione.
4. Una volta portata a termine l'installazione, cliccare su Fine. Se la casella di spunta Show
configuration file è selezionata, il file di configurazione predefinito
SophosLogWriterConfig.xml viene visualizzato in Windows Explorer.
■
Se si desidera utilizzare la configurazione predefinita, fornita col Log Writer, eseguire
il passaggio riportato qui di seguito e avviare il servizio Log Writer. Per informazioni
sulla configurazione predefinita, consultare la sezione Configurazione predefinita del
writer del log a pagina 7.
■ Per modificare il file di configurazione del Log Writer, consultare la sezione
Configurazione del Log Writer a pagina 8.
5. Per avviare il servizio Log Writer:
a) Aprire il Pannello di controllo e cliccare due volte su Strumenti di amministrazione.
b) Nella finestra di dialogo Administrative Tools, cliccare due volte su Serviz.
6
guida per utenti
Viene visualizzato l'elenco dei servizi disponibili.
c) Selezionare Sophos Reporting Log Writer e cliccare su Avvia.
Quando avviato per la prima volta, Log Writer legge il file di configurazione, mentre richiede
il riavvio ogni qual volta vengano apportati cambiamenti alla configurazione.
3.4 Configurazione predefinita del Log Writer
Il file di configurazione predefinito contiene due feed di dati. Il primo feed di dati scriverà sul
file di log, DefaultCommonEvents.log. Questo feed estrae i dati degli eventi comuni utilizzando
la fonte dei dati EventsCommonData. Il secondo feed di dati scriverà sul file di log,
DefaultThreats.log. Questo feed estrae i dati degli eventi delle minacce utilizzando la fonte dei
dati ThreatEventData.
Il file di log predefinito si troverà nella cartella "File di log" e utilizzerà i file di formattazione
dei dati predefiniti, presenti nella cartella locale "Configuration Files", localizzata nella cartella
di installazione del writer di log. Quando il servizio, con la configurazione predefinita, viene
avviato per la prima volta, vengono estratti i dati relativi agli ultimi 7 giorni.
7
Sophos Reporting Log Writer
4 Configurazione del Log Writer
La cartella dei file di configurazione si trova nella cartella di installazione del Log Writer. Nella
cartella è presente un file di configurazione delle fonti dei dati disponibili come esempio. A
seconda delle esigenze è possibile personalizzarli.
Per impostazione predefinita, il file di configurazione si trova nel seguente percorso:
C:\Program Files\Sophos\Reporting Interface\SophosLogWriterConfig.xml.
Per consultare un elenco delle fonti dei dati per il Log Writer, andare alla sezione Fonti dei
dati di Log Writer a pagina 11.
Per apportare modifiche al file di configurazione del Log Writer:
1. Modificare l'elemento <connectionString> delle impostazioni di connessione che stabilisce
in che modo il Log Writer si collega al database di Enterprise Console:
Nel file di configurazione predefinito, l'elemento <connectionString> include commenti
(racchiuso fra le tag "<!--" e "-->"). Se questo elemento include commenti o non è presente
nel file di configurazione, il servizio cercherà di trovare le impostazioni adeguate
sottoponendo a scansione il registro, alla ricerca della stringa di connessione del servizio
di gestione di SEC. Se però il Log Writer è installato in un computer diverso da quello in
cui si trova il servizio di gestione, sarà invece necessario indicare una stringa di connessione.
Per installazioni ordinarie, è necessario modificare solo il nome del server del database e
l'istanza. Se l'impostazione del database non è standard, sarà possibile trovare le istruzioni
necessarie su come modificare i parametri di connessione nel sito web di Microsoft, alla
seguente pagina:
http://msdn.microsoft.com/it-it/library/system.data.sqlclient.sqlconnection.connectionstring.aspx
Nota:
■
Se l'elemento <connectionString> è presente, ma riporta una stringa di connessione
errata o vuota (quale DataSource=""), il servizio non riuscirà a cercare e rilevare valori
di registro.
■
Se è stata specificata la connessione al database, l'elemento <noOfDays> deve essere
definito, indicando dopo quanti giorni rimuovere i dati dalla cronologia.
■
L'elemento <commandTimeout> indica quanto deve attendere il server SQL prima di
considerare scaduta l'esecuzione di un comando. Si tratta di un'impostazione opzionale,
che se non specificata porterà il server ad attendere a tempo indeterminato.
<?xml version=”1.0” encoding=”utf-8” ?>
<SophosDatafeed xmlns=
”http://www.sophos.com/it-it/msys/LogWriterConfig.xsd”>
<connection>
<connectionString>
Integrated Security = SSPI;
Persist Security Info = False;
Initial Catalog = Sophos[SECVersion];
Data Source = [SERVER]\[INSTANCE]
8
guida per utenti
</connectionString>
<commandTimeout>[TIMEOUT IN SECONDS] </commandTimeout>
</connection>
<noOfDays> [AGE OF HISTORICAL DATA]</noOfDays>
2. Definire feed dati personalizzati per poter estrarre informazioni dal database. È consigliabile
aggiungere un feed alla volta; in questo modo la risoluzione di eventuali problemi avverrà
in modo più rapido e il database non sarà sottoposto a carico eccessivo. La definizione del
feed dei dati è la seguente:
Nota:
■
Ogni feed dati deve specificare un solo <tick> e l'elemento <logFile>. Indicano la
frequenza con cui verificare il database alla ricerca di dati nuovi e del percorso in cui
salvarli.
■
L'elemento <applyLogFormat> prende in considerazione i valori true o false e specifica
se aggiungere un prefisso a ogni riga, indicante data e ora in cui la riga è stata trascritta
nel file di log. Ciò può essere utili se viene utilizzato un tool prodotto da terzi, quale
Splunk, che rileva automaticamente la prima data presente in ogni riga del file di log.
Se questo elemento non viene impostato, la data non verrà inclusa come prefisso nel
file di log.
■
L'elemento <fileSize> limita le dimensioni del file di log corrente. L'elemento
<noOfBackupFiles> imposta il numero di backup dei file di log creati prima che i file
meno recenti vengano cancellati.
Esempio: se l'elemento <fileSize> viene impostato sul valore di 500KB e l'elemento
<noOfBackupFiles> su 2, la prima volta che il file di log raggiunge la dimensione
massima di 500KB, viene rinominato aggiungendo il prefisso ".1" e ne viene creato uno
nuovo che non include tale prefisso, al fine di raccogliere i log nuovi. Quando il nuovo
file di log raggiunge, a sua volta, le dimensioni di 500KB, il file a cui era stato aggiunto
il suffisso ".1" viene rinominato col suffisso ".2", mentre quello che ha raggiunto i 500KB
riceve il suffisso ".1". Viene creato un nuovo file di log senza suffissi per accogliere i log
nuovi. La prossima volta che si verificherà la medesima situazione, il file avente il suffisso
".2" verrà cancellato, mentre quello col suffisso ".1" verrà rinominato e includerà il
suffisso ".2".
■
Tutti i feed dati contengono uno o più elementi <call> identificati in modo distintivo
dall'attributo callID. Il Log Writer registra la data e l'ora di tutte le chiamate fatte nel
file "[CallID].last". Il callID deve essere unico.
<datafeeds>
<datafeed>
<tick> [POLL TIME IN SECONDS] </tick>
<applyLogFormat> TRUE </applyLogFormat>
<logFile>
<noOfBackupFiles> [NUMBER OF BACKUP FILES]
</noOfBackupFiles>
<fileSize> [MAX FILE SIZE KB/MB/GB] </fileSize>
<outputLocataion> [LOG FILE LOCATION] </outputLocation>
<outputFilename> [LOG FILE NAME] </outputFilename>
9
Sophos Reporting Log Writer
</logFile>
<call callID = ”[UNIQUE CALL NAME]”>
<dataSource> [DATA SOURCE TO USE] </dataSource>
<dataConfigurationLocation>[CALL DATA CONFIGFILE
LOCATION]</dataConfigurationLocation>
<dataConfigurationFile>[CALL DATA CONFIG
FILENAME]</dataConfigurationFile>
</call>
...
</datafeed>
...
</datafeeds>
</SophosDatafeed>
3. Se si desidera modificare le fonti dei dati, è possibile apportare tali modifiche all'elemento
<call>. Indica la fonte da cui estrarre i dati e la associa a un file di formattazione dei dati
in cui vengono determinate le colonne dei dati disponibili da salvare. Il file di formattazione
dei dati può essere organizzato come elenco ordinato di campi specifici, come mostrato
qui di seguito:
Nota:
■
L'attributo field name può utilizzare qualsiasi tipo di nome.
■
L'attributo link deve utilizzare un campo di Reporting Interface valido per la fonte dati
a cui si riferisce.
■
Per l'attributo enabled, il valore 0 indica che i dati non verranno estratti, mentre 1 indica
che verranno estratti.
<?xml version=”1.0” encoding=”utf-8” ?>
<LogFile>
<Events>
<field name=”[FIELDNAME]” link=”[FIELDNAME]” enabled=”1”
/>
...
</Events>
</LogFile>
4. Avviare il servizio Sophos Reporting Log Writer.
Nota:
10
■
Tutte le modifiche apportate alla configurazione richiedono di riavviare il servizio Log
Writer.
■
Prima di riavviare il servizio Log Writer per rendere effettiva una nuova configurazione,
si consiglia di bloccare il Sophos Management Service mentre il Log Writer crea nuovi
feed dati e scarica quelli già presenti dal database.
guida per utenti
5 Fonti dati del Log Writer
Le seguenti fonti dei dati sono disponibili per Log Writer.
Nota: Le lettere di fianco a ciascuna fonte dei dati vengono utilizzata nella tabella qui di seguito
a rappresentarne la disponibilità per quella voce.
A. EventsApplicationControlData
B. EventsCommonData
C. EventsDataControlData
D. EventsDeviceControlData (aggiunti nuovi campi dati)
E. EventsFirewallData
F. EventsTamperProtectionData
G. EventsWebData (aggiunti nuovi campi dati)
H. ThreatEventData
I. ThreatInstances
I campi disponibili relativi ai dati per ciascuna di queste fonit dei dati sono elencati nella tabella
qui di seguito. Tutte le colonne della data e ora esprimono valori in Tempo universale
coordinato (UTC), nel formato "anno-mese-giorno hh:min:ss" (24 ore).
I nuovi campi dati disponibili nelle versioni SEC 5.0 o successiva sono evidenziati in grassetto.
Campo dati
Tipo di dati
Fonte dati
A
B
C
D
E
F
G
H
I
EventID
integer
•
•
•
•
•
•
•
•
EventTime
datetime
•
•
•
•
•
•
•
•
EventTypeID
integer
•
•
•
•
•
•
•
EventTypeName
nvarchar
•
•
•
•
•
•
•
SubTypeID
integer
•
•
•
•
•
SubTypeName
nvarchar
•
•
•
•
•
InsertedAt
datetime
•
•
•
•
•
•
•
•
UserName
nvarchar
•
•
•
•
•
•
•
•
ComputerName
nvarchar
•
•
•
•
•
•
•
•
•
ComputerDomain
nvarchar
•
•
•
•
•
•
•
•
•
ComputerIPAddress
nvarchar
•
•
•
•
•
•
•
•
•
•
11
Sophos Reporting Log Writer
Campo dati
12
Tipo di dati
Fonte dati
A
B
C
D
E
F
G
Nome
nvarchar
•
•
•
•
•
•
•
ReportingName
nvarchar
•
•
•
•
•
•
•
ActionID
integer
•
•
•
•
•
•
•
ActionName
nvarchar
•
•
•
•
•
•
•
ScanTypeID
integer
•
•
ScanTypeName
nvarchar
•
•
RuleName
nvarchar
•
TrueFileType
nvarchar
•
DestinationPath
nvarchar
•
DestinationTypeID
integer
•
DestinationTypeName
nvarchar
•
SourcePath
nvarchar
•
FileName
nvarchar
•
DestinationValue
nvarchar
•
FileSize (SEC 5.0 o
successiva)
long
•
DeviceTypeID
integer
•
DeviceTypeName
nvarchar
•
Model
nvarchar
•
DeviceID
nvarchar
•
Ruolo
nvarchar
•
FilePath
nvarchar
•
FileVersion
nvarchar
•
FileChecksum
nvarchar
•
CommandLine
nvarchar
•
Session
nvarchar
•
Desktop
nvarchar
•
Percorso
nvarchar
•
ProtocolID
integer
•
H
I
•
•
guida per utenti
Campo dati
Tipo di dati
Fonte dati
A
B
C
D
E
F
G
H
I
ProtocolText
nvarchar
•
DirectionID
integer
•
DirectionText
nvarchar
•
LocalAddress
nvarchar
•
RemoteAddress
nvarchar
•
LocalPort
integer
•
RemotePort
integer
•
Target
nvarchar
•
TargetTypeID
integer
•
TargetTypeText
nvarchar
•
RuleID
nvarchar
•
BlockedSite
nvarchar
•
ReferringURL
nvarchar
•
ReasonID (SEC 5.0 o
successiva)
integer
•
ReasonName (SEC 5.0 o
successiva)
nvarchar
•
CategoryID (SEC 5.0 o
successiva)
integer
•
CategoryName (SEC 5.0
o successiva)
nvarchar
•
ActionTakenID
integer
•
ActionTakenName
nvarchar
•
ScannerTypeID
integer
•
ScannerTypeName
nvarchar
•
StatusID
integer
•
StatusName
nvarchar
•
ThreatID
integer
ThreatName
nvarchar
•
•
ThreatTypeID
integer
•
•
•
13
Sophos Reporting Log Writer
Campo dati
Tipo di dati
Fonte dati
A
14
B
C
D
E
F
G
H
I
•
•
ThreatTypeName
nvarchar
ThreatSubTypeID
integer
•
ThreatSubTypeName
nvarchar
•
FullFilePath
nvarchar
CheckSum
nvarchar
•
FirstDetectedAt
datetime
•
Priority
integer
•
•
•
guida per utenti
6 Disinstallazione di Sophos Reporting Log Writer
Nota: Durante la disinstallazione del Log Writer, verrà cancellato il file di configurazione. Si
consiglia di eseguire il backup del file di configurazione, nel caso si pensi di installare di nuovo
il Log Writer.
Per disinstallare il Log Writer:
1. Aprire Pannello di controllo>Installazione applicazioni.
2. Nella finestra di dialogo Installazione applicazioni, selezionare Sophos Reporting Log
Writer e cliccare su Rimuovi.
3. Nel casella del messaggio Confirm Uninstall, cliccare su Sì.
Viene visualizzata una barra di avanzamento. Attendere che la disinstallazione si concluda.
15
Sophos Reporting Log Writer
7 Supporto tecnico
È possibile ricevere supporto tecnico per i prodotti Sophos in uno dei seguenti modi:
16
■
Visitando la community SophosTalk su community.sophos.com/ e cercando altri utenti con
lo stesso problema.
■
Visitando la knowledge base del supporto Sophos su www.sophos.com/it-it/support.aspx.
■
Scaricando la documentazione del prodotto su www.sophos.com/it-it/support/documentation/.
■
Inviando un'e-mail a [email protected], indicando il o i numeri di versione del software
Sophos in vostro possesso, i sistemi operativi e relativi livelli di patch, ed il testo di ogni
messaggio di errore.
guida per utenti
8 Note legali
Copyright © 2013 Sophos Limited. All rights reserved. Nessuna parte di questa pubblicazione
può essere riprodotta, memorizzata in un sistema di recupero informazioni, o trasmessa, in
qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusi le fotocopie, la
registrazione e altri mezzi, salvo che da un licenziatario autorizzato a riprodurre la
documentazione in conformità con i termini della licenza, oppure previa autorizzazione scritta
del titolare dei diritti d'autore.
Sophos, Sophos Anti-Virus e SafeGuard sono marchi registrati di Sophos Limited, Sophos
Group e Utimaco Safeware AG. Tutti gli altri nomi citati di società e prodotti sono marchi o
marchi registrati dei rispettivi titolari.
17
Documenti correlati
1. Si enunci il teorema fondamentale del calcolo integrale. 2. Si
1. Si enunci il teorema fondamentale del calcolo integrale. 2. Si
Politecnico di Bari - Corsi Ingegneria Gestionale e Architettura
Politecnico di Bari - Corsi Ingegneria Gestionale e Architettura
5sez - Il Sole 24 Ore
5sez - Il Sole 24 Ore
Ministero dell`istruzione, dell`università e della ricerca Istituto
Ministero dell`istruzione, dell`università e della ricerca Istituto
Traccia Appello del 26 Settembre 2013
Traccia Appello del 26 Settembre 2013
Diapositiva 1 - Gruppo Astrofili Lomellini
Diapositiva 1 - Gruppo Astrofili Lomellini
1 Tema d`Esame di Calcolo I Ing. Aerospaziale 15-06
1 Tema d`Esame di Calcolo I Ing. Aerospaziale 15-06
classi quarte fac-simile PROVA di MATEMATICA Semplificare la
classi quarte fac-simile PROVA di MATEMATICA Semplificare la
febbr 2014 - Dipartimento di Matematica
febbr 2014 - Dipartimento di Matematica
Soluzione - Dipartimento di Matematica
Soluzione - Dipartimento di Matematica
Verifica Finale Classi Seconde
Verifica Finale Classi Seconde
Problema 2 - ITIS Mattei
Problema 2 - ITIS Mattei
Scarica