Decoder : Configurer le transfert Syslog vers la destination

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

En plus de collecter des messages Syslog, vous pouvez configurer le Log Decoder pour transférer les messages Syslog vers un autre récepteur Syslog. NetWitness Platform transfère des messages Syslog après avoir analysé les messages et avant qu’il écrive les messages dans le Log Decoder.

Remarque : Vous devez configurer le transfert Syslog en suivant les étapes définies dans cette rubrique sous Procédure, à l'aide de la vue Explorer.

Le Log Decoder doit se trouver à l’état Démarré avant que vous puissiez configurer le transfert Syslog. Pour configurer le transfert Syslog :

  1. Configurez les règles de couche d'application Log Decoder (règles d'application) pour signaler les messages Syslog possédant des métadonnées indiquant à NetWitness Platform de transmettre les messages :
    1. Dans la vue Services, sélectionnez un Log Decoder, et dans la colonne Actions, sélectionnez Actions menu  > Vue > Explorer
    2. Accédez au nœud /decoder/config/rules/application, cliquez avec le bouton droit sur application, puis cliquez sur Propriétés.
    3. Dans la vue Propriétés, spécifiez la commande add avec les paramètres suivants :
      rule=<query> name=<name>
      Exemple 1 : rule=*name=receiver1
      Exemple 2 rule="device.type='winevent_nic'" name=receiver)
    4. Cliquez sur Envoyer.
      This is the result.
      NetWitness Platform crée la règle name=receiver1 rule=* order=<n>. NetWitness Platform insère le numéro d'ordre (par exemple, order=49) d'après le moment où vous définissez la règle.
      This is the parameter.
    5. Accédez au nœud /decoder/config/rules/application et cliquez sur la règle name=receiver1 rule=* order=49.
    6. Ajoutez les paramètres alert forward aux paramètres de la règle.
      These are the parameters.
      Tous les autres paramètres de règle possèdent la même signification que dans les autres règles d'application.

      L'exemple de règle Application suivant sélectionne tous les logs avec la règle *. Il crée une métadonnée d'alerte avec la valeur « receiver1 » et marque tout le log pour le transférer à la destination de transfert de syslog. Vous pouvez définir autant de règles de transfert que vous le souhaitez avec le même nom ou avec des noms uniques.
    1. Définissez les destinations de transfert Syslog et activez le transfert.
      1. Dans la vue Services, sélectionnez un Log Decoder et Actions menu  > Vue > Explorer.
      2. Les destinations de transfert syslog sont définies dans le nœud de configuration
        /decoder/config/logs.forwarding.destination.
        Ce nœud de configuration contient une ou plusieurs paires nom/valeur. Le nom correspond au paramètre de nom dans la règle d’application que vous avez utilisé pour appliquer des balises aux logs avec les métadonnées de transfert. La valeur est un triplet séparé par une virgule contenant le transport, l’hôte et le port, suivi par un paramètre facultatif de mise en forme.
        name=(udp|tcp|tls):host:port[:(retainsource|rfc3164)]
        Le premier paramètre indique le protocole de transport et doit être tls, tcp ou udp. Si vous spécifiez udp, les logs seront transférés via le protocole UDP Syslog RFC 3164 / RFC 5426. Si vous spécifiez tcp, les logs seront transférés via une connexion TCP avec une gestion des trames RFC 6587. Si vous spécifiez tls, les logs seront transférés conformément à RFC 5425.

        L’hôte est une adresse IPv4, une adresse IPv6 ou un nom d’hôte.

        Le port est le port auquel les logs sont envoyés. Il s’agit généralement du port 514 pour UDP syslog et du port 6514 pour les connexions TLS. Il n’existe pas de port standard attribué à syslog via TCP.

        Si vous le souhaitez, retainsource ou rfc3164 peuvent être spécifiés à la fin de la chaîne de destination pour indiquer d’inclure de la mise en forme et des informations supplémentaires avec chaque log transmis. Si vous spécifiez retainsource, des en-têtes z-connector seront intégrées au début du log et seront générées par les métadonnées time, device.(ip|ipv6|host) et lc.cid dont l’utilisation est idéale pour le transfert vers d’autres services log Decoder. L’option rfc3164 ajoutera un en-tête RFC3164 valide pour tous les événements transmis, constitués des métadonnées syslog.pri, time et device.(ip|ipv6|host). Dans les deux cas, le texte du log d’origine n’est pas modifié.

        Exemple de transfert de destination :

        gears=tls:gears.netwitness.local:6514

        Exemple de transfert via tcp sur blackout sur le port 514 avec en-têtes z-connector :

        fwdrule=tcp:blackout.netwitness.local:514:retainsour

      Dans le paramètre /decoder/config/logs.forwarding.destination, spécifiez la destination. Par exemple :
      Connexions TLS : receiver1=tls:receiver1.netwitness.local:6514
      Connexion UDP : receiver1=udp:receiver1.netwitness.local:514
      Connexions TCP : receiver1=tcp:receiver1.netwitness.local:514

      This is the logs.forwarding.destination setting.

Remarque :
Vous pouvez configurer :
    - Plusieurs règles pour transférer des logs vers la même destination.
    - Plusieurs règles pour transférer des logs vers plusieurs destinations.
Pour les connexions TLS, le certificat de la destination de transfert doit être validé. L'autorité de certification qui a signé le certificat de la destination doit être présent dans le magasin de certificats de confiance CA du Log Decoder et le certificat doit résider sur la destination ou le récepteur Syslog. Reportez-vous à la rubrique « Configurer les certificats » dans le Guide de configuration de Log Collection pour plus d'informations sur la manipulation du magasin de confiance CA du Log Decoder (Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.).

  1. Dans le paramètre /decoder/config/logs.forwarding.enabled, spécifiez true.
    This is the logs.forwarding.enabled setting.
You are here
Table of Contents > Procédures supplémentaires de Decoder et Log Decoder > Configurer le transfert Syslog vers la destination

Attachments

    Outcomes