1

HP Arcsight Logger.
Contenidos:
1) Ingreso WEB HP Arcsight logger.
2) Login .
3) Sumary.
4) Visualizador de eventos en tiempo real.
5) Editar un Device.
6) Creacin de un Device Group.
7) Bsqueda histrica de eventos.
8) Ejemplo bsqueda histrica.
Pre-requisitos
Puerto UDP 514 abierto en el host, para el UDP receiver.
Puerto HTTPS 443 abierto en el host, para acceso web remoto.
Adobe flash player instalado.
Admite web browsers como Mozilla Firefox, Internet Explorer y Google Chrome.
Java Script y cookies deben estar habilitados.
1) Ingreso WEB HP Arcsight logger.
Dentro de un web browser, como se menciono anteriormente, se ingresa la direccin IP
(10.98.1.7) del servidor logger 4200-NS-004, como se aprecia en la Figura 1.
Figura 1: Ingreso Web
2) Login.
Hecho el ingreso web al servidor logger, se debe autentificar mediante username y
password ya predefinidos. Figura 2.
Username: admin
Password: Sierragorda1
Figura 2: Pantalla de Login.
2
3) Sumary.
La ventana Sumary, corresponde a la pantalla por defecto al iniciar Arcsight logger. Presenta
cuatro dashboards que no son editables, siendo el de mayor relevancia el dashboard Device, que
corresponde a todas las fuentes que originen eventos (Syslog). Dichas fuentes o devices, quedaran
registradas segn su direccin IP o nombre de host.
Figura 3: Ventana Sumary
En la figura 4 se pueden apreciar distintos device que han enviado eventos (Syslog) al
Arcsight logger y han sido identificados segn su direccin IP, indicando la cantidad total de eventos
recibidos por cada device y la hora/fecha en la que fue recibido el ultimo evento.
Figura 4: Dashboard Device de la ventana Sumary.
3
4) Visualizador de eventos en tiempo real.
En la pestaa Analyze>Live Event Viewer, se puede ingresar al visualizador de eventos en
tiempo real, es decir, podremos ver como Arcsight logger va recibiendo Syslog de los distintos device
de la red.
Para dar inicio al Live Event Viewer, se dispone de una serie de herramientas que permiten
personalizar la visualizacin de los eventos. Figura 5.
1. Este campo permite cargar filtros de bsqueda predefinidos por Arcsigth logger y crear filtros
personalizados de bsqueda.
2. En este campo podemos incorporar o excluir palabras claves de syslog que queramos
observar o simplemente que sean omitidas. En la imagen podemos ver que Exclude From
Search, nos permitir tener un monitoreo en tiempo real omitiendo todo evento proveniente
desde el mismo host Arsight logger, que en su gran mayora representan la performance del
sistema, y priorizar la visualizacin de eventos desde los Devices de la red.
3. Este campo permite que solo sean mostrados eventos provenientes desde un Device en
particular o desde un Device Group, segn se desee.
Figura 5: Personalizar recepcin de syslog.
Como se menciono en el punto anterior, el monitoreo puede personalizarse tanto como para
Device Groups (Core, Firewalls, Servidores, Switch de acceso), o por Device, es decir, uno o ms
equipos de la red. Figura 6.
4
Figura 6: Devices y Device Groups.
Configurado los trminos de monitoreo, se desprende una pantalla similar a la de la Figura 7,
donde los eventos recibidos indicaran la fecha/hora de recibimiento, el Host/IP del Device e
informacin sobre el tipo de evento y el grado de severidad de este.
Nota: Para equipamiento Cisco, un evento de severidad 7, representa la ms baja, y un evento con
severidad 1, la ms alta o crtica.
5
Figura 7: Visualizacin de eventos en tiempo real
5) Editar un Device.
Accediendo a la pestaa Configuration>Devices, Figura 8, se puede observar todas las
fuentes de eventos que en este caso son los Devices, de los cuales Arcsight logger ha recibido
eventos Syslog.
Figura 8: Men Configuration.
6
La forma en que son presentados, es como se observa en la Figura 9, a travs de su nombre
de Host/IP, la direccin IP del Device desde donde proviene el evento, y el tipo de Receiver
configurado para recibir el Syslog, que en este caso est configurado como UDP Receiver (puerto
514).
Figura 9: Devices emisores de Syslog.
Cada que Device que emite un evento queda registrado en la base de datos de Arcsight
Logger, estos Devices, pueden ser administrados por el usuario para una fcil identificacin, es ms
fcil identificar un equipo por su nombre de Host que por su direccin IP.
Se puede observar en la Figura 10, que es posible modificar el nombre del Device que por
defecto va asociado a su direccin IP, y puede ser modificado por su nombre de Host o TAG.
Figura 10: Editando un Device.
6) Creacin de un Device Group.
Un Device Group, como su nombre lo indica, es agrupar Devices segn su funcionalidad en la
red. Como se observa en la Figura 11, se han creado 4 grupos representativos que representan la
arquitectura de la red: Core, Firewalls, Servidores y Switch de Acceso, donde se irn incorporando los
distintos Devices.
7
Figura 11: Creando un Device Group.
Para poder asignar Devices a un Device Group, solo se debe hacer click en l, y
posteriormente seleccionar los Devices que se desean asociar. Figura 12.
Figura 12: Organizando un Device Group.
7) Bsqueda histrica de eventos.
La bsqueda histrica de eventos en la pestaa Analyze>Search (Figura 13), permitir
realizar una bsqueda total o personalizada de todos los eventos recibidos por Arsight Logger. Dicha
bsqueda puede ayudar para realizar un anlisis forense, y saber en qu periodo de tiempo o en que
Device se hay producido un evento de severidad alta, que ha provocado un fallo en la red.
Figura 13: Bsqueda histrica de eventos.
8
Archsight Logger permite ajustar el periodo de bsqueda temporal en los ltimos minutos,
horas, das, semanas, das pasados, e incluso personalizar un periodo de bsqueda (Figura 14),
Figura 14: Personalizacin del tiempo de bsqueda.
8) Ejemplo bsqueda histrica.
Como se menciono anteriormente el tiempo de bsqueda se puede ajustar segn necesidad o
requerimiento, en este caso, por fecha y hora. Figura 15.
Figura 15: Rango de tiempo personalizado.
La Figura 16 corresponde a una representacin estadstica entregada por Arcsight Logger,
que muestra grficamente en el rango de tiempo personalizado, en que momentos y la cantidad de
eventos fueron recibidos.
Figura 16: Estadsticas de bsqueda.
9
Figura 17: Resultados de la bsqueda.