ESM: Pestaña Reglas de analizadores de registros

Document created by RSA Information Design and Development on Apr 22, 2019Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

IMPORTANTE: La información de este tema se aplica únicamente a RSA NetWitness® Platform versión 11.1. Para la versión 11.2, esta pestaña se rediseñó y se transfirió a CONFIGURAR. Para obtener detalles, consulte Pestaña Reglas de analizadores de registros en NetWitness 11.2.

La pestaña Reglas de analizadores de registros muestra información acerca de analizadores de registros individuales, así como el analizador “analizar todo” predeterminado que puede analizar registros que no están asociados con un determinado analizador de registros.

Para acceder a esta pestaña, vaya a ADMINISTRAR > Orígenes de eventos > Reglas de analizadores de registros.

Esta pestaña contiene la siguiente información:

  • Puede ver las reglas de un tipo de origen de evento específico, incluido el analizador predeterminado.
  • Puede ver los nombres, los literales, los patrones y los metadatos de cada analizador de registros configurado.

Flujo de trabajo

Este flujo de trabajo es aparte del proceso general de configuración de orígenes de eventos.

¿Qué desea hacer?

                                 
FunciónDeseo…Documentación

Administrador

Ver y modificar orígenes de eventos.

Administración de grupos de orígenes de eventos

Administrador

Confirmar y mapear orígenes de eventos.

Confirmación y mapeo de orígenes de eventos

Administrador

Agregar y configurar mapeos de analizadores para Log Decoder.

Administrar mapeos de analizadores

Administrador

Solucionar problemas de la administración de orígenes de eventos.

Solución de problemas y apéndice de ESM

*Puede realizar esta tarea aquí.

Temas relacionados

Creación de grupos de orígenes de eventos

Creación de un origen de eventos y edición de los atributos

Visualización de registros de Log Decoder anterior a 11.0

Vista rápida

Nota: La lista de analizadores de registros se basa en el primer Log Decoder que instala o registra el servidor de Orchestration. Si tiene más de un Log Decoder, esta pestaña enumera únicamente los analizadores de registros que se configuraron en el primero.

La pestaña Reglas de analizadores de registros organiza y muestra información sobre los analizadores de registros configurados en el sistema. Esta pestaña consta de tres paneles: Lista de analizadores de registros, detalles del analizador de registros seleccionado y reglas del analizador de registros seleccionado.

         

Panel Lista de analizadores de registros

El panel Analizadores de registros enumera los analizadores de registros configurados. Seleccione un analizador de registros específico para ver sus detalles en los paneles Detalles y Reglas.

Panel Detalles

El panel de detalles muestra la coincidencia con tokens, la coincidencia con valores y la información de mapeo del analizador de registros seleccionado. Además, muestra cómo se analiza un mensaje de registro de ejemplo.

                         
1

Muestra el nombre del analizador de registros seleccionado y la regla seleccionada actualmente. Este valor cambia cuando se selecciona una regla diferente para este analizador.

2

Muestra la coincidencia con tokens para el analizador de registros seleccionado. La regla seleccionada determina los valores que aparecen aquí.

3

Muestra el tipo y el patrón de la coincidencia con valores para el analizador seleccionado. La regla seleccionada determina los valores que aparecen aquí.

4

Muestra los metadatos de NetWitness a los que la regla seleccionada mapea los tokens coincidentes. La regla seleccionada determina los valores que aparecen aquí.

5

Muestra un mensaje de registro de ejemplo y destaca las cadenas que coinciden con los tokens en el analizador de registros seleccionado. Puede editar este campo y agregar sus propios registros para obtener una vista previa de la manera en que el analizador seleccionado analizará los registros.

Por ejemplo, considere el siguiente escenario:

  • El analizador predeterminado está seleccionado.
  • La regla Cualquier dominio está seleccionada.
  • La lista de coincidencias con tokens muestra todos los tokens que coinciden cuando se encuentran en un mensaje de registro: Domain, Domain Name, domain, ADMIN_DOMAIN, etc.
  • La lista de metadatos muestra los metadatos de NetWitness a los que se mapea el valor para el token: domain.

Por lo tanto, supongamos que el área del mensaje de registro de ejemplo tiene el siguiente texto:

       

Below are sample log messages:

May 5 2010 15:55:49 switch : %ACE-4-400000: IDS:1000 IP Option Bad Option List by user admin@test.com from 10.100.229.59 to 224.0.0.22 on port 12345.

Apr 29 2010 03:15:34 pvg1-ace02: %ACE-3-251008: Health probe failed for server 218.83.175.75:81, connectivity error: server open timeout (no SYN ACK) domain google.com with mac 06-00-00-00-00-00.

En este caso, el área del mensaje de registro de ejemplo se ve de la siguiente manera:

Tenga en cuenta que se destacan algunas cadenas y que para esto se usan dos “pares” de colores:

  • El azul oscuro y el azul claro se usan para destacar las cadenas que coinciden con la regla seleccionada actualmente.

    • Las cadenas destacadas en azul oscuro coinciden con un token de la regla seleccionada. En este caso, domain es el token que coincide con la regla Cualquier dominio.
    • Las cadenas destacadas en azul claro son los valores que corresponden a los tokens en azul oscuro. Por ejemplo, google.com se destaca en azul claro, porque corresponde al token domain.
  • El naranja y el amarillo se usan para destacar las cadenas que coinciden con las reglas del analizador actual que no está seleccionado en este momento.

    • Las cadenas destacadas en naranja coinciden con un token de una regla que no está seleccionada actualmente.
    • Las cadenas destacadas en amarillo son los valores que corresponden a los tokens en naranja. Por ejemplo, el token user coincide con la regla Nombre de usuario (que no está seleccionada actualmente).

En este ejemplo, a los metadatos domain se les asignaría un valor de google.com para este mensaje de registro si se analizaran con el analizador de registros predeterminado.

Panel Reglas

El panel Reglas muestra la lista de reglas que usa el analizador de registros seleccionado. Cuando se selecciona una regla, se cambian los valores que se muestran en las áreas Tokens y Valores del panel.

         

Observe las reglas destacadas:

  • La regla seleccionada actualmente se destaca en azul.
  • Otras reglas que coinciden con tokens en el área de mensajes de registro de ejemplo se destacan en naranja.
You are here
Table of Contents > Referencias > Pestaña Reglas de analizadores de registros (solamente versión 11.1)

Attachments

    Outcomes