Ce chapitre traite des sujets suivants : Installation d'agents (page 195)
Utilisation de l'Explorateur d'agent (page 196) Configuration de l'agent par défaut (page 197)
Exemple : Activation de la collecte directe à l'aide du détecteur ODBCLogSensor (page 200)
Exemple : Activation de la collecte directe à l'aide du détecteur WinRMLinuxLogSensor (page 206)
Affichage et contrôle de l'état d'un agent ou d'un connecteur (page 212)
Installation d'agents
Grâce aux installations distinctes pour des plates-formes spécifiques, les agents CA Enterprise Log Manager apportent la couche transport qui permet de transmettre les événements des sources d'événement au magasin de journaux d'événements du serveur CA Enterprise Log Manager. Les agents utilisent des connecteurs pour collecter des journaux d'événements provenant de différentes sources d'événement. Le diagramme qui suit illustre les
interactions entre les agents et le serveur CA Enterprise Log Manager.
196 Manuel d'implémentation
Après avoir installé un agent sur une source d'événement, vous pouvez configurer un ou plusieurs connecteurs pour collecter des événements
provenant de sources d'événement telles que des unités, des applications, des systèmes d'exploitation et des bases de données. Les exemples du diagramme incluent des connecteurs pour CA Access Control et une base de données Oracle. En général, vous installez un seul agent par serveur hôte ou source d'événement, mais vous pouvez configurer plusieurs types de connecteurs sur cet agent. Vous pouvez utiliser l'Explorateur d'agent, qui fait partie du serveur CA Enterprise Log Manager, pour contrôler les agents ainsi que pour configurer et contrôler des connecteurs sur un agent. L'Explorateur d'agent vous permet également de créer des groupes d'agents, pour simplifier la gestion et le contrôle.
Vous fondez votre configuration d'un connecteur sur une intégration ou sur un écouteur, qui sont des modèles pouvant comprendre des fichiers d'accès aux données, d'analyse de message et de mappage de données. CA Enterprise Log Manager propose un certain nombre d'intégrations prêtes à l'emploi pour les sources d'événement courantes.
Vous trouverez plus d'informations et les procédures d'installation des agents dans le Manuel d'installation des agents CA Enterprise Log Manager.
Informations complémentaires :
Affichage et contrôle de l'état d'un agent ou d'un connecteur (page 212)
Utilisation de l'Explorateur d'agent
Juste après l'installation d'un serveur CA Enterprise Log Manager, un agent par défaut s'affiche dans l'Explorateur d'agent. Cet agent est installé en même temps que le serveur CA Enterprise Log Manager et vous l'utilisez pour la collecte directe d'événements Syslog.
L'Explorateur d'agent suit et répertorie les agents lorsque vous les installez sur votre réseau ; il constitue également une place centrale pour la configuration, les commandes et le contrôle des agents et des connecteurs. Les agents s'enregistrent auprès du serveur CA Enterprise Log Manager spécifié lorsque vous les démarrez pour la première fois. Après cet enregistrement, le nom de l'agent s'affiche dans l'Explorateur d'agent et vous pouvez configurer un connecteur pour commencer la collecte des journaux d'événements. Les connecteurs collectent les journaux d'événements et les envoient au serveur CA Enterprise Log Manager. Un agent peut contrôler plusieurs connecteurs.
Chapitre 6 : Configuration de la collecte d'événements 197 L'utilisation de l'Explorateur d'agent pour installer, configurer et contrôler des connecteurs et des agents implique les étapes de base ci-après.
1. Téléchargez les fichiers binaires de l'agent.
2. Créez un ou plusieurs groupes d'agents (facultatif).
3. Créez et configurez un connecteur, notamment en créant ou en appliquant des règles de suppression et de récapitulation.
4. Affichez l'état des agents ou des connecteurs.
Reportez-vous au Manuel d'administration CA Enterprise Log Manager pour plus d'informations sur la création et l'utilisation des groupes d'agents et des connecteurs, ainsi que sur l'application de règles de suppression aux agents.
Informations complémentaires : A propos des agents (page 68)
A propos des groupes d'agents (page 68) A propos des connecteurs (page 70)
A propos des détecteurs de journaux (page 71) Effets des règles de suppression (page 73)
Configuration de l'agent par défaut
L'installation de CA Enterprise Log Manager crée sur le serveur CA Enterprise Log Manager un agent par défaut dotés de deux connecteurs prêts à l'emploi, un connecteur Syslog et un connecteur Linux_local. Le connecteur Syslog permet de collecter les événements Syslog transmis au serveur CA Enterprise Log Manager. Le connecteur Linux_local permet de collecter les événements au niveau du système d'exploitation à partir du serveur physique CA
Enterprise Log Manager ou d'un fichier Syslog.
Dans l'environnement de base comprenant deux serveurs, configurez un ou plusieurs connecteurs Syslog sur le serveur de collecte pour recevoir des événements.
Le processus d'utilisation de l'agent par défaut inclut les étapes ci-dessous.
1. Examinez les intégrations et écouteurs Syslog (facultatif).
2. Créez un connecteur Syslog.
3. Vérifiez que le serveur CA Enterprise Log Manager reçoit les événements Syslog.
198 Manuel d'implémentation
Examen des intégrations et écouteurs Syslog
Vous pouvez examiner les intégrations et écouteurs Syslog par défaut avant de créer un connecteur. Les écouteurs sont pour l'essentiel un modèle pour vos connecteurs Syslog qui utilisent des intégrations spécifiques fournies comme du contenu prêt à l'emploi avec votre serveur CA Enterprise Log Manager.
Pour examiner les intégrations Syslog
1. Connectez-vous à CA Enterprise Log Manager et accédez à l'onglet Administration.
2. Développez le noeud Bibliothèque d'ajustement d'événement dans le volet de navigation, sur la gauche.
3. Développez le noeud Intégrations et le noeud Abonnement.
4. Sélectionnez une intégration dont le nom se termine par ..._Syslog.
Les détails de l'intégration s'affichent dans la fenêtre de droite. Vous pouvez examiner les fichiers d'analyse de message et de mappage de données utilisés par l'intégration, ainsi que d'autres détails, comme la version et la liste des règles de suppression.
Pour examiner un écouteur Syslog
1. Développez le noeud Ecouteurs et le noeud Abonnement.
2. Sélectionnez l'écouteur Syslog.
Les détails de l'écouteur par défaut s'affichent dans la fenêtre de droite.
Vous pouvez examiner les détails comme les versions, la liste des règles de suppression, les ports par défaut sur lesquels écouter, la liste des hôtes fiables et le fuseau horaire de l'écouteur.
Création d'un connecteur Syslog pour l'agent par défaut
Vous pouvez créer un connecteur Syslog pour recevoir les événements Syslog à l'aide de l'agent par défaut sur le serveur CA Enterprise Log Manager.
Pour créer un connecteur Syslog pour l'agent par défaut
1. Connectez-vous à CA Enterprise Log Manager et accédez à l'onglet Administration.
2. Développez l'Explorateur d'agent et un groupe d'agents.
L'agent par défaut est automatiquement installé dans le groupe d'agents par défaut. Vous pouvez déplacer cet agent vers un autre groupe.
Chapitre 6 : Configuration de la collecte d'événements 199 3. Sélectionnez le nom de l'agent.
L'agent par défaut porte le même nom que celui attribué au serveur CA Enterprise Log Manager lors de l'installation.
4. Cliquez sur Créer un connecteur pour ouvrir l'assistant du connecteur.
5. Cliquez sur l'option Ecouteurs et indiquez un nom pour ce connecteur.
6. Appliquez ou créez des règles de suppression, selon vos besoins, dans la deuxième page de l'assistant.
7. Sélectionnez une ou plusieurs intégrations Syslog ciblées dans la liste Disponible(s) pour les utiliser avec ce connecteur, puis déplacez-les dans la liste Sélectionné(e)(s).
8. Paramétrez les valeurs des ports UDP et TCP si vous n'utilisez pas les paramètres par défaut, puis fournissez une liste d'hôtes fiables si votre implémentation les utilise.
Remarque : Lorsqu'un agent CA Enterprise Log Manager ne s'exécute pas en tant que root, il ne peut pas ouvrir de port en deçà de 1024. C'est pourquoi le connecteur Syslog par défaut utilise le port UDP 40514.
L'installation applique une règle de pare-feu au serveur CA Enterprise Log Manager pour rediriger le trafic du port 514 vers le port 40514.
9. Sélectionnez un fuseau horaire.
10. Cliquez sur Enregistrer, puis sur Fermer pour terminer la création du connecteur.
Le connecteur commence à collecter les événements Syslog correspondant aux intégrations sélectionnées sur les ports spécifiés.
Vérification de la réception des événements Syslog par le serveur CA Enterprise Log Manager
Vous pouvez vérifier que le connecteur de l'agent par défaut collecte les événements Syslog grâce à la procédure ci-dessous.
Pour vérifier la réception d'événements Syslog
1. Connectez-vous à CA Enterprise Log Manager et accédez à l'onglet Requêtes et rapports.
2. Sélectionnez l'onglet des requêtes du système et ouvrez la requête Détail de tous les événements du système.
Vous devez visualiser les événements répertoriés pour l'agent par défaut, si vous avez configuré correctement le connecteur et si la source
d'événement envoie activement des événements.