PDF

Inhaltsverzeichnis anzeigen

Produktanforderungen

Alle ExtraHop-Systeme

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

War dieses Thema hilfreich?

Ja Nein

Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?

Wie können wir uns verbessern?

Need more help?

Ask the Community

Exportieren von Protokollen für Machine-Learning-Dienst-API-Interaktionen

Sie können Sensoren und Konsolen so konfigurieren, dass sie Protokolle von API-Interaktionen mit dem ExtraHop Machine Learning Service exportieren. Das ExtraHop-System exportiert API-Protokolle über HTTPS-POST-Anfragen. Jeder HTTP-Server kann die Protokolle empfangen, sofern der Server für das ExtraHop-System erreichbar ist und auf dem Server ein TLS-Zertifikat installiert ist.

Konfigurieren Sie einen HTTP-Server für den Empfang der Protokolle

Bevor Sie das ExtraHop-System für den Export von API-Protokollen konfigurieren, müssen Sie einen HTTP-Server für den Empfang und die Datensatz der Protokolle konfigurieren. In diesem Thema wird gezeigt, wie Sie eine Go-Beispielanwendung konfigurieren, die in der GitHub-Repository mit ExtraHop-Codebeispielen .

Before you begin

Sie müssen Go auf Ihrem Computer installieren. Weitere Informationen finden Sie in der Go-Dokumentation unter https://go.dev/learn/.

Generieren Sie ein Serverzertifikat für den HTTP-Server.

Hinweis: Wenn Sie bereits über ein Zertifikat verfügen, können Sie diesen Schritt überspringen.
1. Führen Sie den folgenden Befehl aus, um den Zertifizierungsstellen-Schlüssel (CA) zu generieren:
```
openssl genrsa -aes256 -out serverca.key 4096
```
2. Führen Sie den folgenden Befehl aus, um das CA-Zertifikat zu generieren:
```
openssl req -new -key serverca.key -x509 -out serverca.crt -days 3650
```
3. Führen Sie den folgenden Befehl mit Ihren Variablen aus, um eine Zertifikatsignieranforderung zu generieren:
```
openssl req -new \
    -nodes \
    -newkey rsa:4096 \
    -keyout server.key \
    -out server.req \
    -batch \
    -subj "/C=US/ST=WA/L=Seattle/O=ORGANIZATION_NAME/OU=router/CN=SERVER_URL" \
    -reqexts SAN \
    -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:SERVER_URL,IP:SERVER_IP_ADDRESS"))
```
  Ersetzen Sie die folgenden Variablen im obigen Befehl:
  
  SERVER-IP-ADRESSE: Die IP-Adresse Ihres Server.
  
  SERVER-URL: Die URL Ihres Server.
  
  NAME DER ORGANISATION: Der Name Ihrer Organisation.
4. Führen Sie den folgenden Befehl mit Ihren Variablen aus, um das Serverzertifikat zu generieren:
```
openssl x509 -req \
    -in server.req \
    -CA serverca.crt \
    -CAkey serverca.key \
    -CAcreateserial \
    -out server.crt \
    -days 3650 \
    -sha256 \
    -extfile <(printf "subjectAltName=DNS:SERVER_URL,IP:SERVER_IP_ADDRESS")
```
  Ersetzen Sie die folgenden Variablen im obigen Befehl:
  
  SERVER-IP-ADRESSE: Die IP-Adresse Ihres Server.
  
  SERVER-URL: Die URL Ihres Server.
5. Führen Sie den folgenden Befehl aus, um ein Zertifikat in einem Format zu erstellen, das Sie auf den Sensor oder die Konsole hochladen.
```
cat server.key server.crt serverca.crt > trusted-server.pem
```
Gehe zum GitHub-Repository mit ExtraHop-Codebeispielen und laden Sie die ml_api_logger/ml_api_logger.go Datei auf Ihrem lokalen Computer.
Führen Sie den folgenden Befehl aus und ersetzen Sie CERT_PATH mit dem Pfad des TLS-Zertifikats, das Sie für den Server generiert haben:
```
export LOGGER_CERT=CERT_PATH
```
Führen Sie den folgenden Befehl aus und ersetzen Sie KEY_PATH mit dem Pfad des Schlüssels, mit dem Sie das Zertifikat signiert haben:
```
export LOGGER_KEY=KEY_PATH
```
Führen Sie den folgenden Befehl aus und ersetzen Sie PORT durch den Port, den der Server überwacht :
```
export LOGGER_PORT=PORT
```
Beschränken Sie den Logger so, dass er nur Pakete auf einer bestimmten Server-IP-Adresse empfängt.
Standardmäßig empfängt die Go-Anwendung Protokolle über alle für den Server konfigurierten IP-Adressen. Um die Anwendung auf eine einzige IP-Adresse zu beschränken, führen Sie den folgenden Befehl aus und ersetzen Sie IP durch die IP-Adresse:
```
export LOGGER_IP=IP
```
Führen Sie im Verzeichnis ml_api_logger den folgenden Befehl aus, um den Go-Code zu kompilieren:
```
go build ml_api_logger.go
```
Führen Sie den folgenden Befehl aus, um den Server zu starten und die API-Protokolle zu speichern extrahop-ade-log.json:
```
ml_api_logger > extrahop-ade-log.json
```

Konfigurieren Sie den Sensor oder die Konsole

Sie müssen den Sensor oder die Konsole so konfigurieren, dass Protokolle auf den von Ihnen konfigurierten Server exportiert werden.

Wenn das integrierte Zertifikat auf dem Sensor dem Zertifikat für Ihren Server nicht vertraut, müssen Sie füge das Zertifikat hinzu zum Sensor oder zur Konsole.

Melden Sie sich bei den Administrationseinstellungen auf dem Sensor oder der Konsole an über https://<extrahop-hostname-or-IP-address>/admin.
Klicken Sie im Abschnitt Appliance-Einstellungen auf Konfiguration ausführen.
klicken Konfiguration bearbeiten.
In der hop_cloud Abschnitt, füge einen Eintrag hinzu, in dem sich der Schlüssel befindet api_logging_target und der Wert ist ein Objekt mit den folgenden Feldern:
aktiviert: Boolescher Wert

Gibt an, ob die API-Interaktionsprotokollierung aktiviert ist. Spezifizieren true.

Hostname: Schnur

Der Hostname des Server, den Sie für den Empfang von API-Interaktionsprotokollen konfiguriert haben.

Hafen: Zahl

Der Port, auf dem der Drittanbieter-Server lauscht.

Das aktualisierte hop_cloud Der Abschnitt sollte dem folgenden JSON ähneln:
```
   "hopcloud": {
        "api_logging_target": {
            "enabled": true 
            "hostname": "example.extrahop.com"
            "port": 100
        }
        "analysis_settings": {}
    }
```

API-Protokollformat

Die Protokolle werden im JSON-Format exportiert. Jedes Protokoll einer HTTPS-Anfrage an den Machine Learning Service enthält die folgenden Felder:

Reihenfolge: Zahl

Eine numerische ID, die Anfragen und Antworten korreliert. Wenn eine Anfrage beispielsweise die Sequenznummer 1 hat, hat das Antwortprotokoll auch die Sequenznummer 1.

Anfrage: Objekt

Ein Objekt, das Details zur Anfrage enthält. Das Objekt enthält die folgenden Felder:

Schliessen: Boolescher Wert: Gibt an, ob der Connection-Header auf Schließen eingestellt ist.
Länge des Inhalts: Zahl: Der Wert des ContentLength-Headers.
Kopfzeile: Objekt: Ein Objekt, das die HTTPS-Header enthält.
Gastgeber: Schnur: Der Hostname des Server.
Methode: Schnur: Die Methode der Anfrage.
Proto: Schnur: Das HTTP-Protokoll, mit dem die Anfrage gesendet wurde.
Remote-Addr: Schnur: Die IP-Adresse des Server.
URI der Anfrage: Schnur: Die URI der Anfrage.
TLS-Version: Schnur: Die TLS-Version, mit der die Anfrage verschlüsselt wurde.
Trailer: Schnur: Der Wert des Trailer-Headers.
Übertragungskodierung: Schnur: Der Wert des Transfer-Encoding-Headers.

Hauptteil der Anfrage: Objekt

Der JSON-Hauptteil von POST-, PUT- und PATCH-Anfragen.

Jedes Protokoll für eine HTTPS-Antwort vom Machine Learning Service enthält die folgenden Felder:

Reihenfolge: Zahl: Eine numerische ID, die Anfragen und Antworten korreliert. Wenn eine Anfrage beispielsweise die Sequenznummer 1 hat, hat das Antwortprotokoll auch die Sequenznummer 1.
Statuscode der Antwort: Zahl: Der Statuscode der Antwort.
response_headers: Objekt: Ein Objekt, das die HTTPS-Header enthält
Hauptteil der Antwort: Objekt: Der JSON-Hauptteil der Antwort.

Beispiel für eine Anfrage

Das folgende JSON-Objekt ist ein Beispiel für ein Protokoll für eine API-Anfrage:

{
    "sequence": 302,
    "request": {
        "Method": "POST",
        "Host": "appliance.example.extrahop.com",
        "RemoteAddr": "127.0.0.1:1234",
        "RequestURI": "/api/v1/metrics",
        "TLSVersion": "TLS1.2",
        "Proto": "HTTP/1.1",
        "ContentLength": 149,
        "TransferEncoding": null,
        "Header": {
            "Accept": [
                "application/json"
            ],
            "Content-Length": [
                "149"
            ],
            "Content-Type": [
                "application/json"
            ]
        },
        "Close": false,
        "Trailer": null
    },
    "request_body": {
        "metric_category": "net",
        "from": -1,
        "object_type": "capture",
        "object_ids": [
            0
        ],
        "until": 0,
        "metric_specs": [
            {
                "name": "pkts"
            }
        ],
        "cycle": "30sec"
    }
}

Beispiel für eine Antwort

Das folgende JSON-Objekt ist ein Beispiel für ein Protokoll für eine API-Antwort:

{
    "sequence": 302,
    "response_status_code": "200",
    "response_headers": {
        "Content-Type": [
            "application/json; charset=utf-8"
        ],
        "Vary": [
            "Accept-Encoding"
        ]
    },
    "response_body": {
        "cycle": "30sec",
        "node_id": 0,
        "clock": 1678150650000,
        "from": 1678150649999,
        "until": 1678150650000,
        "stats": [
            {
                "oid": 0,
                "time": 1678150650000,
                "duration": 30000,
                "values": [
                    1260
                ]
            }
        ]
    }
}

Last modified 2024-08-07

Documentation

Products

Differentiation

Solutions

Security Operations

Cloud-Native Security

Application Analytics

Network Performance

Customers

Community

Partners

Support

Training

Resources

More Resources

Company

Events and Information