Protokollinspektion konfigurieren | Trend Micro Service Central

Ansichten:

Konfigurieren Sie das Modul zur Protokollinspektion, um sein Verhalten für eine Richtlinie festzulegen. Verwenden Sie bei der Gestaltung des Modulverhaltens und der Implementierung über die API die gleichen Hintergrundinformationen und Anleitungen, die in Über die Protokollinspektion bereitgestellt werden.

Richtlinienobjekte enthalten zwei Objekte, die Sie zur Konfiguration des Protokollinspektionsmoduls verwenden:

LogInspectionPolicyExtension: Steuert den Modulstatus (ein oder aus) und identifiziert die angewendeten Log-Inspektionsregeln.
PolicySettings: Richtlinieneinstellungen umfassen Protokollinspektionsbezogene Einstellungen, die das Laufzeitverhalten des Moduls steuern, wie die automatische Anwendung von Empfehlungsscans sowie die Ereignisweiterleitung und -speicherung. (Siehe Richtlinien und Standardrichtlinieneinstellungen konfigurieren.)

Nachdem Sie diese Objekte erstellt und sie einem Policy-Objekt hinzugefügt haben, verwenden Sie die PoliciesApi-Klasse, um eine bestehende Richtlinie basierend auf dem Policy-Objekt zu ändern.

Das folgende JSON stellt die Datenstruktur eines LogInspectionPolicyExtension-Objekts dar:

{
    "state": "on",
    "moduleStatus": {...},
    "ruleIDs": [...]
}

Die moduleStatus-Eigenschaft ist schreibgeschützt. Sie liefert den Laufzeitstatus des Log-Inspektionsmoduls. (Siehe Bericht über den Computerstatus.)

Allgemeine Schritte

Verwenden Sie die folgenden Schritte, um das Protokollinspektionsmodul zu konfigurieren:

Erstellen Sie ein LogInspectionPolicyExtension-Objekt und legen Sie die Eigenschaften fest.
Erstellen Sie ein PolicySettings-Objekt, um die Laufzeiteinstellungen des Moduls zu konfigurieren. (Siehe Richtlinie und Standardrichtlinie konfigurieren.)
Erstellen Sie ein Policy-Objekt und fügen Sie die LogInspectionPolicyExtension- und PolicySettings-Objekte hinzu.
Verwenden Sie ein PoliciesApi-Objekt, um die Richtlinie auf Server- und Workload Protection hinzuzufügen oder zu aktualisieren.

Erstellen Sie ein LogInspectionPolicyExtension object, um den Modulstatus festzulegen und Regeln zuzuweisen:

policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"
policy_config_log_inspection.rule_ids = li_rules

Fügen Sie die Protokollinspektionsrichtlinienerweiterung zu einem Richtlinienobjekt hinzu und verwenden Sie dann ein PoliciesApi-Objekt, um eine Richtlinie auf Server- und Workload Protection zu ändern.

policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

Der policy_id (oder policyID) Parameter von modifyPolicy identifiziert die tatsächliche Richtlinie auf Server- und Workload Protection, die geändert werden soll. Diese Richtlinie wird gemäß dem Richtlinienobjekt geändert, das als policy Parameter verwendet wird. Alle Eigenschaften des policy Parameters, die nicht festgelegt sind, bleiben in der tatsächlichen Richtlinie unverändert.

Beispiel

Das folgende Beispiel aktiviert die Protokollinspektion und fügt eine Protokollinspektionsregel für eine Richtlinie hinzu.

Quellcode anzeigen

# Set the state
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"

# Add the rules
policy_config_log_inspection.rule_ids = li_rules

# Add to a policy
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

# Modify the policy on Server- und Workload Protection
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
return modified_policy.id

Tipp

Siehe auch die Richtlinie ändern-Operation in der API-Referenz.

Tipp

Wenn Sie nur Log-Inspektionsregeln für eine Richtlinie hinzufügen, entfernen oder auflisten müssen, verwenden Sie die PolicyLogInspectionRuleAssignmentsApi-Klasse. Das vorherige Beispiel verwendet die LogInspectionPolicyExtension-, Policy- und PoliciesApi-Klassen, um Log-Inspektionsregeln hinzuzufügen, aber dies kann auch nur mit der PolicyLogInspectionRuleAssignmentsApi-Klasse erfolgen. Für weitere Informationen siehe Richtlinien-Log-Inspektionsregelzuweisungen und Empfehlungen im Abschnitt Richtlinien des API-Referenzhandbuchs.

Weitere Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.

Erstellen Sie eine Protokollinspektionsregel

Im Allgemeinen führen Sie die folgenden Schritte aus, um eine Protokollinspektionsregel zu erstellen:

Prozedur

Erstellen Sie ein IntegrityMonitoringRule-Objekt.
Konfigurieren Sie die Eigenschaften der Regel, um den Namen, die Beschreibung und die zu überprüfende Protokolldatei festzulegen. Eigenschaften werden in Unterregeln beschrieben.
Verwenden Sie ein IntegrityMonitoringRulesApi-Objekt, um die Regel zu Server- und Workload Protection hinzuzufügen.

Nächste Schritte

Setzen Sie die Template-Eigenschaft des Regelobjekts, um anzugeben, wie Sie die Regel definieren:

Basic: Eine einzelne Protokollinspektionsregel innerhalb einer einzelnen Regelgruppe. Sie geben Werte für jede Eigenschaft der Regel an.
Benutzerdefiniert: Eine einzelne oder mehrere Regeln unter einer einzelnen Gruppe oder mehreren Gruppen. Sie stellen XML (base64-codiert) bereit, das die Regel oder Regeln definiert. Setzen Sie den Wert der CustomXML-Eigenschaft auf das benutzerdefinierte XML.

Hinweis

Konfigurationsoptionen der Regeln für Eindringungsschutz, Integritätsüberwachung und Protokollinspektion sind über die API nicht zugänglich. Um diese Optionen zu ändern, öffnen Sie in der Server- und Workload Protection-Konsole die Eigenschaften der Regel und klicken Sie auf die Registerkarte Konfiguration.

Um die API zu verwenden, um eine Log-Inspektionsregel zu erstellen, senden Sie eine POST-Anfrage an den the loginspectionrules-Endpunkt. (Siehe die Erstellen einer Log-Inspektionsregel-Operation im API-Referenz.)

Erstellen Sie eine grundlegende Protokollinspektionsregel

Das folgende Beispiel konfiguriert eine grundlegende Protokollinspektionsregel und erstellt sie auf Server- und Workload Protection.

Quelle anzeigen

# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="basic-rule"
li_rule.pattern = pattern
li_rule.pattern_type = "string"
li_rule.rule_description = "Rule for " + path + " and pattern " + pattern
li_rule.groups = [group]

# Add the rule to Server- und Workload Protection
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)

Weitere Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.

Erstellen Sie eine Protokollinspektionsregel mit XML

Das folgende Beispiel erstellt eine Log-Inspektionsregel aus XML und fügt die Regel zu Server- und Workload Protection hinzu.

Quelle anzeigen

# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="custom"
li_rule.XML = xml

# Add the rule to Server- und Workload Protection
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)

Weitere Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.