Decoder : Activer le mappage des sources d'événements

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Cette rubrique indique aux administrateurs comment activer le mappage des sources d'événements sur un Log Decoder.

Le Log Collector découvre le type de source d'événement de chaque message. Si l’analyseur approprié n’est pas identifié pour la source d’événement, un faible pourcentage de logs peut être mal identifié. Les messages mal classés ne renseignent pas les règles et les alertes de sources d'événements, et les rapports ne disposent pas des données correctes. En outre, s'il y a plusieurs types de sources d'événements associés à une adresse IP, il peut être difficile pour les analyseurs d'identifier la source d'événement exacte à partir de laquelle les logs sont générés.

Si vous mappez une adresse IP à son type de source d'événement, le Log Decoder peut identifier la source d'événement à partir de laquelle le log est généré. Lorsque les messages sont remis au Log Decoder à partir d'une source d'événement mappée, les analyseurs affectés sont interrogés pour trouver les correspondances d'événements.

Vous pouvez attribuer des types de sources d'événements pour IPV4, IPV6, ou la valeur de nom d'hôte de la source d'événement. Vous pouvez également affecter plusieurs types de sources d'événements à une seule adresse IP. Vous pouvez aussi utiliser un ID Log Collector lorsque différentes sources d'événements avec la même adresse IP sont envoyées à différents services Log Collector.

Remarque : Vous pouvez également activer les fonctions de mappage de l’analyseur en accédant à ADMIN > Sources d’événements > Découverte.

Activer une adresse IP pour le mappage de sources d'événements

Pour activer une adresse IP pour le mappage de sources d'événements :

  1. Accédez à ADMIN > Services, puis sélectionnez un Log Decoder.
  2. Sélectionnez  > Vue > Config.
  3. Sur la page Configuration, sélectionnez l’onglet Mappages d’analyseur.
    L'onglet Mappages d'analyseur s'affiche dans la vue Configuration des services.
    This is an example of the Parser Mappings tab.

Mettre à jour une adresse IP pour le mappage de sources d'événements

Pour mettre à jour une adresse IP pour le mappage de sources d'événements :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un Log Decoder, puis dans la colonne Actions, sélectionnez Actions menu > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseur.
  4. Cliquez surThe add icon.

    L'Éditeur de mappage s'affiche.

  5. Les mappages suivants peuvent être définis :
  • Un hôte et un type de source d'événement
    Dans le champ Hôte saisissez le nom d'hôte.
    Par exemple :10.0.0.1
  • Dans le champ Source(s) d'événements, saisissez le type de source d'événement.
    Par exemple :apache
  • Un hôte et un ou plusieurs types de sources d'événements
    Dans le champ Hôte, saisissez le nom d'hôte.
    Par exemple : 10.0.0.1 
  • Dans le champ Source(s) d'événements, saisissez le type de source d'événement. 
    Par exemple :apache,sap,aix
  • Un hôte, un Log Collector et un type de source d'événement
    Dans le champ Hôte, saisissez le nom d'hôte et l'ID de Log Collector.
    Par exemple : 10.0.0.1,LC-1
  • Dans le champ Source(s) d'événements, saisissez le type de source d'événement.
    Par exemple : apache
  • Un hôte, un ID de Log Collector et un ou plusieurs types de sources d'événements
    Dans le champ Hôte, saisissez le nom d'hôte et l'ID de Log Collector.
    Par exemple : 10.0.0.1,LC-1
  • Dans le champ Source(s) d'événements, saisissez le type de source d'événement.
    Par exemple : apache,sap,aix

Remarque : Les types de sources d'événements sont traités dans l'ordre où vous saisissez les analyseurs et si un ou plusieurs analyseurs correspondent à un log, le premier analyseur de la liste est interrogé. L'hôte/l'adresse IP peut être de type IPv4, IPv6 ou un nom d'hôte.

  1. Cliquez sur OK.
    Le mappage des analyseurs est ajouté.
  1. Pour annuler la sélection des mappages d'analyseur, cliquez sur Annuler.

Lire l'adresse IP dans les mappages de types de sources d'événements

Pour lire l'adresse IP dans les mappages de types de sources d'événements :

  1. Accédez à ADMIN > Services, puis sélectionnez un service Log Decoder.
  2. Dans la colonne Actions, sélectionnez Actions menu  > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseur.
    Les mappages sont affichés.
    This is an example of the Parser Mappings tab.

Modifier l'adresse IP dans le mappage de types de sources d'événements

Pour modifier l'adresse IP dans le mappage de types de sources d'événements :

  1. Accédez à ADMIN > Services, puis sélectionnez un service Log Decoder.
  2. Dans la colonne Actions, sélectionnez Actions menu  > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseurs.
  4. Sélectionnez le mappage que vous souhaitez modifier.
    Remarque : Vous ne pouvez modifier qu'une seule liste à la fois.
  5. Cliquez sur The edit icon
  6. Dans le champ Source(s) d'événement(s) , saisissez la ou les sources d'événements.
    Remarque : L’hôte n’est pas modifiable et le champ est désactivé.
  7. Cliquez sur OK pour accepter la source d'événement modifiée.
  8. Pour annuler les modifications, cliquez sur Annuler.

Supprimer l'adresse IP dans le mappage de types de sources d'événements

Pour supprimer l'adresse IP dans le mappage de types de sources d'événements :

  1. Accédez à ADMIN > Services, puis sélectionnez un service Log Decoder.
  2. Dans la colonne Actions, sélectionnez Actions menu  > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseurs.
  4. Sélectionnez le mappage que vous souhaitez supprimer.
  5. Cliquez sur The delete icon.
    Le mappage est supprimé et la grille est actualisée.
  6. Pour annuler les modifications, cliquez sur Annuler.

Trier le nom d'hôte ou le type de source d'événement

Pour trier le nom d'hôte ou le type de source d'événement :

  1. Accédez à ADMIN > Services, puis sélectionnez un service Log Decoder.
  2. Dans la colonne Actions, sélectionnez Actions menu  > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseurs.
  4. Pour trier une colonne, cliquez sur
    sur l'en-tête de cette colonne.Le ou les types de source d’événement sont appliqués à l’adresse IP sélectionnée. Les fichiers log sont analysés par rapport aux analyseurs dans l’ordre dans lequel ils sont répertoriés.

Importer une adresse IP pour les entrées de mappage de sources d'événements

Pour importer une adresse IP pour les entrées de mappage de sources d'événements :

  1. Accédez à ADMIN > Services, puis sélectionnez un service Log Decoder.
  2. Dans la colonne Actions, sélectionnez Actions menu  > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseurs.
  4. Sélectionnez Actions > Importer.
    La boîte de dialogue Importer s'affiche.

    This is an example of the Import dialog.
  5. Cliquez sur The add icon.
  6. Sélectionnez le fichier à importer, puis cliquez sur OK.
  7. Pour charger l'analyseur, cliquez sur Importer.

Remarque : Vous ne pouvez importer qu'un seul fichier .csv à la fois.

Exporter une adresse IP pour les entrées de mappage de sources d'événements

Pour exporter une adresse IP pour les entrées de mappage de sources d'événements :

  1. Accédez à ADMIN > Services, puis sélectionnez un service Log Decoder.
  2. Dans la colonne Actions, sélectionnez Actions menu  > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseurs.
  4. Sélectionnez les mappages à exporter.
  5. Sélectionnez Actions > Exporter > Sélection.
    La boîte de dialogue Sélections pour l'exportation s'affiche.
    This is an example of the Export Selection dialog.
  6. Saisissez un nouveau nom et cliquez sur Exporter.

Rechercher une adresse IP pour les entrées de mappage de sources d'événements

Pour rechercher une adresse IP pour les entrées de mappage de sources d'événements

  1. Accédez à ADMIN > Services, puis sélectionnez un service Log Decoder.
  2. Dans la colonne Actions, sélectionnez Actions menu  > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseurs.
  4. Dans la barre d'outils Mappage d'analyseurs, saisissez l'hôte ou la source d'événement dans le champ Filtrer.
  5. Cliquez sur Entrée.
    Les hôtes ou les sources d'événements qui correspondent aux noms saisis dans le champ Filtrer s'affichent.

You are here
Table of Contents > Procédures supplémentaires de Decoder et Log Decoder > Activer le mappage des sources d'événements

Attachments

    Outcomes