CSAP-SA-V 审计日志

Agent日志采集代理，用于采集不能主动外发日志的主机、服务、中间件等产生的日志信息。例如，一些基于Windows、Linux系统的主机或部署在主机上的数据库、中间件等服务不支持以syslog方式发送系统日志，此时， 可以通过在主机上安装Agent采集代理，Agent将采集这些主机、数据库、中间件产生的日志（包括操作系统运行状态日志，如CPU利用率、磁盘利用率等），并以syslog方式发给日志采集器，采集器再上报到本平台进行分析和展示。

Agent管理

功能简介

该功能用于管理Agent采集代理，包括修改Agent信息及启用状态、配置Agent关联的采集对象信息及删除Agent。

操作步骤

1.        选择“配置 > 数据来源 > Agent管理 > Agent管理”页签，进入Agent管理页面。

图-38 Agent管理页面

2.        查看Agent信息：支持按Agent名称、部署主机IP、Agent状态等信息检索Agent信息，输入查询条件后单击<查询>按钮可查看满足条件的Agent信息，单击<重置>按钮可重置查询条件。

3.        启用日志采集功能：选择一个或多个采集状态为“停用”的Agent，单击<启用采集>按钮批量启用Agent日志采集功能。

4.        停用日志采集功能：选择一个或多个采集状态为“启用”的Agent，单击<停用采集>按钮批量停用Agent采集功能，停用采集后，Agent将不再采集和上报日志。

5.        开启自动升级功能：选择一个或多个自动升级状态为“停用”的Agent，单击<启用自动升级>按钮批量开启Agent版本自动升级功能。

6.        关闭自动升级功能：选择一个或多个自动升级状态为“启用”的Agent，单击<停用自动升级>按钮批量关闭Agent版本自动升级功能。

7.        手动升级Agent：对于未升级或升级失败的Agent，单击<手动升级>按钮立即升级Agent的软件版本。

8.        修改Agent信息：单击操作列按钮，可以修改当前Agent的名称。

9.        配置Agent关联的采集对象信息：单击操作列按钮进入配置Agent管理页面，可新增或修改Agent关联的采集对象的配置信息。

10.     删除Agent：选择一个或多个Agent，单击<删除>按钮批量删除Agent；单击操作列按钮删除一个Agent。

参数说明

·            Agent名称：Agent注册成功后平台给该Agent分配的名称，格式为“安装该Agent代理的主机IP地址_编号”，例如“1.1.1.1_0”。

·            部署主机IP：部署安装Agent代理软件的主机IP地址。

·            部署主机系统：部署安装Agent代理软件的主机操作系统类型。

·            Agent状态：标识Agent是否在线。

·            采集器IP：Agent关联的采集器IP地址，Agent采集到的日志将发送给该采集器。

·            注册时间：Agent首次注册到平台的时间。

·            软件版本：Agent当前软件版本号。

·            采集状态：标识Agent是否启用。只有处于启用状态的Agent才能采集日志。

·            自动升级：标识Agent自动升级功能是否启用。只有处于启用状态的Agent才能自动升级。

·            升级状态：Agent版本升级结果。

注意事项

·            仅Agent 1.0.15及以后版本支持自动升级功能。如需使用Agent自动升级功能，请先手动卸载老版本Agent，然后在“Agent下载”页面下载并安装最新版本Agent。

配置Agent管理

功能简介

该功能用于管理Agent关联的采集对象的配置信息。只有“在线”状态的Agent可以新增或修改采集对象配置信息。

Agent可采集目标主机上关键注册表、关键文件的操作日志、自定义文件中的日志信息，以及部署在主机上的数据库（MySQL、Oracle等）的运行日志。

Agent采集对象

数据库

该功能用于配置Agent关联的数据库。配置数据库相关参数后，Agent将定时采集该数据库的日志信息。一个Agent可关联多种类型的数据库，但每种类型数据库仅支持关联一个。

参数说明如下：

·            数据库类型：需要采集日志的数据类型。

·            端口号：数据库的端口号。

·            用户名：Agent连接数据库使用的用户名。

·            密码：Agent连接数据库使用的密码。

·            数据库名：需要采集日志的数据库的名称，MongoDB、DB2、Oracle类型的数据需要配置该参数。

·            数据库权限：Agent连接数据库使用的账号权限，只有Oracle类型的数据需要配置该参数。

·            慢查询时间：指定慢查询日志的时间，SQLServer、MongoDB、DB2、Oracle类型的数据需要配置该参数。

·            认证协议：Agent连接数据库时的验证协议，只有MongoDB类型的数据需要配置该参数。

·            登录触发器：选择是否采集用户登录日志，SQLServer、Oracle类型的数据需要配置该参数。

关键文件

该功能用于配置Agent关联的关键文件路径。配置关键文件路径后，Agent将定时采集该路径下的文件操作日志。一个Agent最多可配置50个关键文件路径。

参数说明如下：

·            文件路径：目标日志文件路径，可填写到文件夹或具体到文件名，例如，/home、/home/file.txt，采集范围包括该路径下所有文件和子目录的文件。对于linux版本agent采集代理，该路径下包含的子目录数不能超过500个，否则无法保存配置。

关键注册表

该功能用于配置Agent关联的关键注册表路径，配置关键注册表路径后，Agent将定时采集该路径下注册表操作日志。一个Agent最多可配置50个关键注册表路径。

参数说明如下：

·            文件路径：关键注册表路径，支持填写到具体注册表项，如：HKEY_CURRENT_CONFIG\Software。采集范围包括该路径下所有文件和子目录。

自定义文件

该功能用于配置Agent关联的自定义日志文件路径。配置自定义文件的存放路径后，Agent将定时采集该文件中新增的日志信息。一个Agent最多可配置50个自定义文件路径。

仅支持UTF-8编码格式的日志文件。

参数说明如下：

·            文件路径：自定义日志文件存放路径，可填写到文件夹或具体到文件名，例如/home/*、/home/file.txt。采集范围为该路径下所有文件（不包括子目录）中的日志信息。 如需采集某个文件夹下所有文件中的日志，路径必须以*结尾，如/home/*，若只配置文件夹路径，未以*结尾，Agent将不进行日志采集。

·            读取方式：支持追加读取和从头读取，追加读取表示只采集该文件中新增信息；从头读取表示采集该文件中所有信息（已采集的信息不会重复采集）。

Agent下载

功能简介

该功能用于下载最新版本Agent采集代理软件，并支持在线预览Agent安装指导。

操作步骤

1.        选择“配置 >数据来源 > Agent管理 > Agent下载”页签，单击进入Agent下载页面，可执行如下操作：

2.        下载帮助文档：提供Agent采集代理软件安装指导在线预览和下载功能，用于指导用户安装Agent软件。

3.        下载Agent：单击对应版本即可下载相应版本Agent采集代理软件。

图-39 Agent下载