Sophos Reporting Log Writer Guía de usuario Sophos Enterprise Console 5.1 o posterior Versión: 5.1 Edición: enero de 2013 Contenido 1 Acerca de esta guía..............................................................................................................................3 2 Acerca de Sophos Reporting Log Writer............................................................................................4 3 Instalar Sophos Reporting Log Writer...............................................................................................5 4 Configurar Log Writer........................................................................................................................8 5 Fuentes de datos de Log Writer........................................................................................................11 6 Desinstalar Sophos Reporting Log Writer.......................................................................................15 7 Soporte técnico.................................................................................................................................16 8 Aviso legal..........................................................................................................................................17 2 Guía de usuario 1 Acerca de esta guía En esta guía se describe Sophos Reporting Log Writer, que permite utilizar herramientas de monitorización de registros de terceros para generar informes con los datos de Sophos Enterprise Console. Esta guía está dirigida al administrador de sistemas o al administrador de bases de datos. Se asume que ya conoce el uso de Sophos Enterprise Console (SEC) versión 5.1 o posterior. Si desea utilizar herramientas de terceros para la creación de informes, como Crystal Reports o SQL Reporting Services, puede emplear la herramienta Sophos Reporting Interface. Para más información, consulte la Guía de usuario de Sophos Reporting Interface. La documentación de Sophos se encuentra en http://www.sophos.com/es-es/support/documentation.aspx. 3 Sophos Reporting Log Writer 2 Acerca de Sophos Reporting Log Writer Sophos Reporting Log Writer es una herramienta que exporta datos para el uso de aplicaciones, como Splunk, que obtienen datos en archivos de texto en vez de acceder a la base de datos. Sophos Reporting Log Writer se puede instalar en un equipo con SEC o en cualquier otro equipo con acceso a la base de datos de Enterprise Console. Importante: Sophos Reporting Log Writer permite utilizar los datos de Entreprise Console en aplicaciones de terceros. Al instalar esta herramienta, debe asumir la responsabilidad de proteger los datos mencionados, incluyendo el uso de dichos datos por usuarios autorizados. 4 Guía de usuario 3 Instalar Sophos Reporting Log Writer Nota: los datos obtenidos por Log Writer pueden contener información confidencial sobre usuarios y ordenadores administrados desde SEC. Debe restringir el acceso a dicha información. Se recomienda restringir el acceso a la carpeta de instalación, a los archivos de formato de datos y a los archivos de registro. Además, dado que los datos de Sophos Reporting Interface en los archivos de registro no está cifrados, dichos datos sólo se deben utilizar en el equipo donde se crean y no compartirlos en una red insegura (por ejemplo, mediante unidades compartidas SAMBA/CIFS). 3.1 Comprobar los requisitos del sistema Compruebe que dispone de: ■ .NET Framework 3.5. ■ Los permisos necesarios para instalar un servicio en el equipo donde instale Log Writer. 3.2 Recomendaciones Se recomienda que Log Writer se instale en el equipo con el servidor de administración. También se puede instalar en cualquier otro equipo con acceso a la base de datos de Sophos Enterprise Console. Por defecto, el servicio de Log Writer se instalará bajo la cuenta LocalSystem, que dispone de acceso completo en el servidor local. Se recomienda reasignar el servicio a una cuenta con acceso restringido tras la instalación. Si el servicio en otro equipo que no sea el que tiene el servidor de administración, deberá utilizar una cuenta con acceso remoto a la base de datos de SEC. Por esta razón, la cuenta debe estar asignada al inicio de sesión SQL con los permisos SELECT y EXECUTE dentro del esquema de Sophos LogWriter. Nota: asegúrese de que el equipo con Log Writer y el equipo con la base de datos tienen configurados correctamente la ubicación, la zona horaria y el reloj. 3.3 Instalación 3.3.1 Descargar el programa de instalación En esta sección se asume que dispone de una cuenta de MySophos y que tiene su licencia asociada a dicha cuenta. Para más información, consulte www.sophos.com/es-es/support/knowledgebase/111195.aspx. Para descargar el programa de instalación: 1. Vsite www.sophos.com/es-es/support/downloads.aspx. 2. Introduzca su nombre de usuario y la contraseña de MySophos. Se mostrarán sus licencias. 5 Sophos Reporting Log Writer 3. Seleccione Consola: Descargue el programa de instalación de Sophos Reporting Interface. 3.3.2 Instalar Log Writer Para instalar Log Writer: 1. Haga doble clic en el programa de instalación de Sophos Reporting Interface que descargó anteriormente. 2. Revise la carpeta de instalación y haga clic en Instalar. Los archivos de instalación se copian en el equipo. 3. Localice el archivo Sophos Reporting Log Writer.msi. Escoja una de las siguientes opciones: ■ Si desea generar un registro detallada de la instalación, utilice el siguiente comando: msiexec /l*v registro.txt /i "Sophos Reporting Log Writer.msi" El archivo de registro se crea en el directorio donde se ejecuta el comando. ■ Si no desea generar un archivo de registro, haga doble clic en el archivo. Se iniciará el asistente de instalación de Sophos Reporting Log Writer. 4. Al completarse la instalación, haga clic en Finalizar. Si selecciona la opción Show configuration file, se mostrará el archivo predeterminado de configuración SophosLogWriterConfig.xml. ■ Si desea utilizar la configuración predeterminada de Log Writer, vaya al siguiente paso. Para más información sobre la configuración predeterminada, consulte Configuración predeterminada de Log Writer en la página 6. ■ Para modificar la configuración de Log Writer, consulte Configurar Log Writer en la página 8. 5. Para iniciar el servicio de Log Writer: a) Abra el Panel de control de Windows y haga doble clic en Herramientas administrativas. b) En la ventana Herramientas administrativas, haga doble clic en Servicios. Se mostrará la lista de servicios disponibles. c) Seleccione Sophos Reporting Log Writer y haga clic en Iniciar. Log Writer lee el archivo de configuración y se activa (si realiza cambios en la configuración, debe reiniciar el servicio). 3.4 Configuración predeterminada de Log Writer La configuración predeterminada contiene dos alimentadores de datos. El primero alimenta el archivo de registro DefaultCommonEvents.log. Los datos de eventos comunes se extraen 6 Guía de usuario desde la fuente de datos EventsCommonData. El segundo alimenta el archivo de registro DefaultThreats.log. Los datos de eventos de amenazas se extraen desde la fuente de datos ThreatEventData. El archivo predeterminado de registro se encuentra en la carpeta 'Log Files' y se utilizan los archivos predeterminados de formato de datos de la carpeta 'Configuration Files' en la carpeta de instalación de Log Writer. Por defecto, cuando se inicie el servicio por primera vez, se extraerán los datos de los últimos 7 días. 7 Sophos Reporting Log Writer 4 Configurar Log Writer Los archivos de configuración se encuentran en la carpeta de instalación de Log Writer. Podrá encontrar un ejemplo de configuración para cada tipo de fuente de datos disponible. Utilice estos archivos como base para su configuración. La carpeta predeterminada de los archivos de configuración es: C:\Archivos de programa\Sophos\Reporting Interface\SophosLogWriterConfig.xml. Para ver las fuentes de datos disponibles mediante Log Writer, consulte Fuentes de datos de Log Writer en la página 11. Para realizar la configuración de Log Writer: 1. Especifique el valor del elemento <connectionString> para determinar el modo de conexión de Log Writer con la base de datos de Enterprise Console database: Por defecto, el elemento <connectionString> no se encuentra activo (aparece entre etiquetas de comentario "<!--" y "-->"). En este caso, la conexión se intentará establecer mediante el valor del servicio de administración de SEC en el registro de Windows. Sin embargo, si Log Writer se encuentra en un equipo sin dicho servicio, deberá especificar la conexión de forma explícita. En una instalación predeterminada, sólo es necesario indicar el nombre del servidor de la base de datos y la instancia. En una instalación no estándar de la base de datos, consulte el siguiente artículo en la web de Microsoft para ver cómo indicar los parámetros de conexión: http://msdn.microsoft.com/es-es/library/system.data.sqlclient.sqlconnection.connectionstring.aspx Nota: ■ Si el elemento <connectionString> especifica una conexión incorrecta o vacía (como DataSource="") el servicio no se podrá iniciar y no se comprobará el valor de conexión en el registro de Windows. ■ Si se especifica una conexión a la base de datos, se debe definir el elemento <noOfDays> para determinar los días de los que se obtendrán los datos. ■ El elemento <commandTimeout> especifica el tiempo de espera de la conexión. Este elemento es opcional; si no se especifica, el tiempo de espera es indefinido. <?xml version=”1.0” encoding=”utf-8” ?> <SophosDatafeed xmlns= ”http://www.sophos.com/es-es/msys/LogWriterConfig.xsd”> <connection> <connectionString> Integrated Security = SSPI; Persist Security Info = False; Initial Catalog = Sophos[versiónSEC]; Data Source = [SERVIDOR]\[INSTANCIA] </connectionString> <commandTimeout>[TIEMPO DE ESPERA EN SEGUNDOS] </commandTimeout> 8 Guía de usuario </connection> <noOfDays> [PERÍODO DE DATOS]</noOfDays> 2. Defina alimentadores de datos personalizados para extraer información de la base de datos. Se recomienda añadir sólo un alimentador cada vez para verificar el resultado y evitar sobrecarga en la base de datos. Para definir el alimentador de datos: Nota: ■ Especifique cada alimentador con los elementos <tick> y <logFile>, con los que podrá difinir la frecuencia con la que se obtienen datos nuevos y la ubicación donde se guardan los datos. ■ El elemento <applyLogFormat> toma el valor true o false, y permite especificar si se añadirá la fecha y hora de los datos como prefijo en cada línea. Esto puede ser útil si se utiliza una herramienta como Splunk que toma de forma automática la fecha inicial en cada línea del registro. Si no se especifica, por defecto no se añade la fecha. ■ El elemento <fileSize> limita el tamaño del archivo de registro. El elemento <noOfBackupFiles> establece el número de copias de seguridad del registro que se van creando; alcanzado el mismo, se borrará el más antiguo en cada ocasión. Ejemplo: Si establece el elemento <fileSize> con el valor 500KB y <noOfBackupFiles> con el valor 2, la primera vez que el registro alcance un tamaño de 500KB se guardará con el sufijo ".1" y se creará otro registro para los datos nuevos. Cuando el registro nuevo llegue a 500KB, el registro anterior se cambia de nombre con el sufijo ".2" y el registro más reciente se guarda con el sufijo ".1". Se crea otro registro para los datos nuevo. La siguiente vez que esto ocurre, el archivo con el sufijo ".2" se borrará y el archivo con el sufijo ".1" se cambiará de nombre con el sufijo ".2". ■ Cada alimentador de datos contiene uno o más elementos <call> a los que se asigna un identificador único callID. Log Writer hace un seguimiento de cada elemento call guardando la fecha en un archivo "[CallID].last". El identificador callID debe ser único. <datafeeds> <datafeed> <tick> [FRECUENCIA EN SEGUNDOS] </tick> <applyLogFormat> TRUE </applyLogFormat> <logFile> <noOfBackupFiles> [NÚMERO DE COPIAS DE SEGURIDAD] </noOfBackupFiles> <fileSize> [TAMAÑO MÁXIMO KB/MB/GB] </fileSize> <outputLocataion> [UBICACIÓN DEL REGISTRO] </outputLocation> <outputFilename> [NOMBRE DEL REGISTRO] </outputFilename> </logFile> <call callID = ”[IDENTIFICADOR ÚNICO]”> <dataSource> [FUENTE DE DATOS] </dataSource> <dataConfigurationLocation>[UBICACIÓN CONFIGURACIÓN CALL DATA]</dataConfigurationLocation> <dataConfigurationFile>[NOMBRE CONFIGURACIÓN CALL DATA]</dataConfigurationFile> 9 Sophos Reporting Log Writer </call> ... </datafeed> ... </datafeeds> </SophosDatafeed> 3. Si desea modificar las fuentes de datos, puede editar el elemento <call>, donde se especifica la fuente de datos y se asocia al archivo de formato que determina las columnas en que se ordenan los datos. El archivo de formato de datos se crea mediante una lista ordenada de campos, como se muestra a continuación: Nota: ■ El atributo field name puede tener cualquier nombre. ■ El atributo link debe contener el nombre de algún campo de Reporting Interface para la fuente de datos. ■ El atributo enabled puede tener el valor 1 ó 0 para indicar si los datos se extraen o no, respectivamente. <?xml version=”1.0” encoding=”utf-8” ?> <LogFile> <Events> <field name=”[NOMBRE]” link=”[CAMPO]” enabled=”1” /> ... </Events> </LogFile> 4. Iniciar el servicio de Sophos Reporting Log Writer. Nota: 10 ■ Debe reiniciar el servicio de Log Writer para aplicar los cambios en la configuración. ■ Antes de iniciar el servicio de Log Writer con la configuración nueva, se recomienda detener el servicio Sophos Management Service mientras Log Writer inicializa las nuevas fuentes de datos y descarga los datos desde la base de datos. Guía de usuario 5 Fuentes de datos de Log Writer Log Writer tiene acceso a las siguientes fuentes de datos. Nota: la letra asignada a cada fuente de datos se utiliza en la siguiente tabla para indicar la disponibilidad del campo de datos. A. EventsApplicationControlData B. EventsCommonData C. EventsDataControlData D. EventsDeviceControlData (añadidos nuevos campos de datos) E. EventsFirewallData F. EventsTamperProtectionData G. EventsWebData (añadidos nuevos campos de datos) H. ThreatEventData I. ThreatInstances La siguiente tabla muestra los campos de datos disponibles en cada fuente de datos. Los datos del tipo datetime se ofrecen en hora universal UTC con el formato "aaaa-mm-dd hh:mi:ss" (24 horas). Los campos de datos nuevos añadidos en SEC 5.0 y posterior aparecen en negrita. Campos de datos Tipo Fuente de datos A B C D E F G H I EventID integer • • • • • • • • EventTime datetime • • • • • • • • EventTypeID integer • • • • • • • EventTypeName nvarchar • • • • • • • SubTypeID integer • • • • • SubTypeName nvarchar • • • • • InsertedAt datetime • • • • • • • • UserName nvarchar • • • • • • • • ComputerName nvarchar • • • • • • • • • ComputerDomain nvarchar • • • • • • • • • ComputerIPAddress nvarchar • • • • • • • • • • 11 Sophos Reporting Log Writer Campos de datos 12 Tipo Fuente de datos A B C D E F G Nombre nvarchar • • • • • • • ReportingName nvarchar • • • • • • • ActionID integer • • • • • • • ActionName nvarchar • • • • • • • ScanTypeID integer • • ScanTypeName nvarchar • • RuleName nvarchar • TrueFileType nvarchar • DestinationPath nvarchar • DestinationTypeID integer • DestinationTypeName nvarchar • SourcePath nvarchar • FileName nvarchar • DestinationValue nvarchar • FileSize (SEC 5.0 o posterior) long • DeviceTypeID integer • DeviceTypeName nvarchar • Model nvarchar • DeviceID nvarchar • Rol nvarchar • FilePath nvarchar • FileVersion nvarchar • FileChecksum nvarchar • CommandLine nvarchar • Session nvarchar • Desktop nvarchar • H I • • Guía de usuario Campos de datos Tipo Fuente de datos A B C D E F G H Location nvarchar • ProtocolID integer • ProtocolText nvarchar • DirectionID integer • DirectionText nvarchar • LocalAddress nvarchar • RemoteAddress nvarchar • LocalPort integer • RemotePort integer • Target nvarchar • TargetTypeID integer • TargetTypeText nvarchar • RuleID nvarchar • BlockedSite nvarchar • ReferringURL nvarchar • ReasonID (SEC 5.0 o posterior) integer • ReasonName (SEC 5.0 o posterior) nvarchar • CategoryID (SEC 5.0 o posterior) integer • CategoryName (SEC 5.0 o posterior) nvarchar • ActionTakenID integer • ActionTakenName nvarchar • ScannerTypeID integer • ScannerTypeName nvarchar • StatusID integer • I 13 Sophos Reporting Log Writer Campos de datos Tipo Fuente de datos A 14 B C D E F G H I StatusName nvarchar • ThreatID integer ThreatName nvarchar • • ThreatTypeID integer • • ThreatTypeName nvarchar • • ThreatSubTypeID integer • ThreatSubTypeName nvarchar • FullFilePath nvarchar CheckSum nvarchar • FirstDetectedAt datetime • Priority integer • • • • Guía de usuario 6 Desinstalar Sophos Reporting Log Writer Nota: al desinstalar Log Writer también se elimina el archivo de configuración. Realice una copia de seguridad de dicho archivo si desea instalar Log Writer de nuevo. Para desinstalar Log Writer: 1. Abra el Panel de control>Agregar o quitar programas. 2. En el cuadro de diálogo Agregar o quitar programas, seleccione Sophos Reporting Log Writer y haga clic en Eliminar. 3. En cuadro de mensaje Confirm Uninstall, haga clic en Sí. Aparece una barra de evolución. Espere hasta que se complete la desinstalación. 15 Sophos Reporting Log Writer 7 Soporte técnico Para obtener asistencia técnica sobre cualquier producto de Sophos, puede: 16 ■ Visitar el fórum SophosTalk en community.sophos.com/ para consultar casos similares. ■ Visitar la base de conocimiento de Sophos en www.sophos.com/es-es/support.aspx. ■ Descargar la documentación correspondiente desde www.sophos.com/es-es/support/documentation/. ■ Enviar un email a [email protected] indicando la versión del producto de Sophos, el sistema operativo y parches aplicados, y el texto exacto de cualquier mensaje de error. Guía de usuario 8 Aviso legal Copyright © 2013 Sophos Limited. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, mecánico, grabación, fotocopia o cualquier otro sin la correspondiente licencia del producto, bajo dichos términos, o sin la previa autorización escrita por parte del propietario. Sophos, Sophos Anti-Virus y SafeGuard son marcas registradas de Sophos Limited, Sophos Group o Utimaco Safeware AG, según corresponda. Otros productos y empresas mencionados son marcas registradas de sus propietarios. 17