Decoder : Créer des clés méta personnalisées à l'aide d'un feed personnalisé

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Cette rubrique fournit des informations sur la façon d'ajouter des clés méta personnalisées à l'aide d'un feed personnalisé dans le Log Decoder.

Vous pouvez créer des clés méta personnalisées pour récupérer des données, effectuer des recherches et des analyses dans des logs et des paquets. Les clés méta personnalisées vous permettent d’ajouter un contexte d’enrichissement pour les données de logs et de paquets. Ce document met en évidence les changements de configuration pour refléter les clés méta personnalisées dans le schéma des services Concentrator, ESA, Archiver, Warehouse Connector et Reporting Engine.

Voici un exemple de création de clé méta personnalisée dans le service Log Decoder. Dans ce scénario, une organisation veut suivre l'emplacement d'une ressource, telle qu'une imprimante. Donc, une clé méta personnalisée source location est ajoutée pour désigner l'emplacement de la ressource, par exemple Imprimante1, qui est située au « 5ème étage, aile A ». 

Remarque : Les clés méta personnalisées peuvent également être créées dans le Decoder. Sélectionnez le fichier index-decoder-custom.xml lorsque vous créez une clé méta personnalisée dans le Decoder.

Ajouter une clé méta personnalisée au Log Decoder

Pour ajouter des clés méta personnalisées à l'aide du feed personnalisé :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un service Log Decoder, puis cliquez sur Actions menu> Vue > Config > onglet Fichiers  > index-logdecoder-custom.xml.

<Language>
 <?xml version="1.0" encoding="utf-8"?>
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexNone" name="location.src" format="Text"/>
</Language>

  1. Redémarrez le service Log Decoder. Dans la vue Services, cliquez sur Actions menu > Redémarrer.

Déployer un feed Log Decoder dans Live

Pour déployer le feed dans l'environnement Live :

  1. Accédez à CONFIGURER > Contenu Live.
  2. Sélectionnez un groupe de ressources ou un package de ressources précédemment créé. Pour sélectionner une ressource ou un groupe de ressources :
    1. Dans la Vue Live Search, parcourez la ressource Live (par exemple, recherchez le type de ressource Log Collector).
    2. Dans le panneau Ressources correspondantes, sélectionnez Afficher les résultats > Grille.
    3. Cochez la case à gauche ou les ressources que vous souhaitez déployer.
      Matching Resources in the Resources list
    4. Dans la barre d'outils Ressources correspondantes, cliquez sur Deploy icon.
    1. Pour sélectionner un package de ressources à déployer :
    1. Dans la vue Live Search, dans la barre d'outils Ressources correspondantes, sélectionnez Package > Déployer  :
      La page Package de l'Assistant Déploiement du package de la ressource s'affiche.
      Resource Package Deploymeny dialog
    2. Cliquez sur Parcourir et sélectionnez un package sur votre réseau (par exemple, resourceBundle-FeedsParsersContent.zip).
      ResourceBundle3.PNG
    3. Cliquez sur Ouvrir.
      À ce stade, que vous déployiez un package ou un groupe de ressources, l’Assistant Déploiement s’ouvre et la page Ressources s’affiche.
  3. Cliquez sur Suivant.
    La page Services s'affiche et possède deux onglets, Services et Groupes, qui fournissent une liste de services et groupes de services qui sont configurés dans la vue Administration > Services. Les colonnes représentent un sous-ensemble des colonnes disponibles dans la vue Services.

    Remarque : Le serveur Live réagit de manière intelligente pour le déploiement des ressources vers les Services. Par exemple, il ne déploie pas de ressources disposant de paquets vers n’importe quel Log Decoder. Cela signifie que seul le contenu applicable est déployé vers chaque service.

  4. Sélectionnez les services au niveau desquels vous souhaitez déployer le contenu. Vous pouvez sélectionner une combinaison de services et de groupes de services.
    Utilisez l'onglet Services pour sélectionner chaque service, la liste des services et des groupes de services qui sont configurés dans la vue Services d’administration.
    Utilisez l'onglet Groupes pour sélectionner des groupes de services.
    DeploymentServices.png
  5. Cliquez sur Suivant.
    La page Révision s'affiche.
    DeploymentReview.png
    Veillez à sélectionner les ressources appropriées et les services au niveau desquels vous souhaitez effectuer le déploiement.
  6. Cliquez sur Déployer.
    La page Déployer s'affiche. La barre de progression devient verte lorsque vous avez réussi à déployer les ressources au niveau des services sélectionnés.
    DeploymentDeploy.png
    Si vous tentez de déployer des ressources et des services incompatibles, NetWitness Platform affiche les boutons Erreurs et Réessayer sur lesquels vous pouvez cliquer pour réviser les erreurs et essayer à nouveau d'effectuer le déploiement.
    DeployErrorsRetry2.png
  7. Cliquez sur Fermer.

Remarque : L'adresse IP source doit être indexée en sélectionnant le type 'IP' car  ip.src. et ip.dst sont au format IPv4. 

Dans ce scénario, une clé méta personnalisée location.src (source de localisation) est ajoutée par l'indexation du nom d'hôte (alias.host). Dans cet exemple, le nom d'hôte de l'imprimante est renseigné dans la clé méta 'alias.host'. Sélectionnez alias.host comme clé de rappel et le type d’index comme 'Non IP' dans l’Assistant Feed, comme indiqué ci-dessous. Dans la section Définissez les valeurs, sélectionnez la clé méta personnalisée dans le menu déroulant.

Ajouter l'entrée de la clé méta personnalisée dans le fichier d'index personnalisé du Concentrator

Pour l'entrée de la clé méta personnalisée dans le fichier d'index personnalisé du Concentrator :

  1. Accédez à ADMINServices > Concentrator.
  2. Cliquez sur The actions menu > Vue > Config > onglet Fichiers > index-concentrator-custom.xml.
  3. Ajouter l'entrée de la clé méta personnalisée au fichier d'index du service Concentrator.

 <Language>
  <?xml version="1.0" encoding="utf-8"?>
  <Language level="IndexNone" defaultAction="Auto">
  <!-- Reserved Meta key for Feed -->
  <Key description="Source Location"  level="IndexValues" name="location.src" format="Text"                 valueMax="10000" defaultAction="Open"/>
 </Language>

  1. Pour redémarrer le service Concentrator, dans la vue Services, cliquez sur The actions menu > Redémarrer.

Remarque : Dans le cas du service Broker, ce dernier récupère son index du service Concentrator à partir duquel il effectue l'agrégation. Vous n'avez donc pas besoin de créer un méta personnalisé dans le service Broker. Si vous n'avez pas indexé la clé méta dans le service Concentrator, le service Broker ne sera pas affiché sous Investigation.

Effectuer une recherche de clé méta personnalisée

Remarque : Vous devez vous déconnecter et vous reconnecter à partir de l'interface utilisateur de NetWitness Platform, pour pouvoir afficher la clé méta personnalisée dans Investigation.

Pour effectuer la recherche de la clé méta personnalisée : 

  1. Accédez à ENQUÊTER. Une boîte de dialogue qui fournit des services à sélectionner s'affiche.
  2. Sélectionnez un service Concentrator, puis cliquez sur Naviguer

    This is the investigation output.

Voici un exemple de rapport exécuté sur le service Concentrator.

This is the Concentrator output.

Procédures supplémentaires

Les procédures suivantes doivent être exécutées si vous avez configuré les services Warehouse Connector, Archiver, Reporting Engine et ESA.

Mettre à jour le schéma dans ESA 

Avant de mettre à jour le schéma dans ESA, la clé méta personnalisée doit être indexée dans le service Concentrator.

Pour mettre à jour les règles ESA du schéma et pouvoir utiliser les nouvelles clés méta personnalisées :

  1. Accédez à ADMIN > Services > ESA- Event Stream Analysis > Vue > Config.
  2. Modifiez la source de données Concentrator.
  3. Cliquez sur Tester la connexion.

This is the Edit Service dialog with a successful test connection.

  1. Cliquez sur Enregistrer une fois la connexion établie.
  2. Cliquez sur Appliquer.
  3. Naviguez jusqu'à Configurer > Règles ESAparamètres.

This is an example of the Settings tab.

  1. Cliquez sur l'onglet Rechercher puis recherchez le nom de la clé méta personnalisée.
    Le nom et le type de la clé méta personnalisée apparaissent.

Example of custom meta key name and type.

Mettre à jour le schéma dans Archiver

Si vous souhaitez configurer Archiver, à l'aide des clés méta personnalisées, vous devez mettre à jour le schéma Archiver dans le Reporting Engine. Pour mettre à jour le schéma Archiver dans Reporting Engine :

  1. Accédez à ADMIN > Services > Archiver.
  2. Sélectionnez The actions menu> Vue > Config > Fichiers > index-archiver-custom.xml.
  3. Ajoutez l’entrée de clé méta personnalisée dans le fichier d'index Archiver.

<Language>
 <?xml version="1.0" encoding="utf-8"?> 
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexValues" name="location.src" format="Text"
 valueMax="10000" defaultAction="Open"/>
</Language>

  1. Pour redémarrer le service Archiver, cliquez sur The actions menu > Redémarrer.
    Le schéma Archiver est mis à jour avec la clé méta personnalisée.

Mettre à jour le schéma dans Warehouse Connector

Si vous souhaitez configurer Warehouse Connector avec la métadonnée personnalisée et l'utiliser dans le rapport Warehouse Connector, vous devez mettre à jour le schéma Warehouse Connector dans le Reporting Engine.

Si le service Log Decoder ou Decoder, où la clé méta personnalisée est ajoutée, représente l'une des sources du flux Warehouse Connector, vous devrez mettre à jour le schéma dans Warehouse Connector.

Pour mettre à jour le schéma Warehouse Connector dans Reporting Engine :

  1. Accédez à ADMIN > Services Warehouse Connector.
  2. Cliquez sur The actions menu > Vue > Config > onglet Fichiers > index-logdecoder-custom.xml.
  3. Sélectionnez le flux, puis cliquez sur Recharger.
    Le service Warehouse Connector extrait le schéma des périphériques en aval (Log Decoder/Decoder).
    Warehouse Connector Streams tab

Pour plus d’informations sur les flux, reportez-vous à la rubrique « Configurer les flux » dans le Guide de configuration de Warehouse Connector.

Mettre à jour le schéma dans Reporting Engine

Pour mettre à jour le schéma dans Reporting Engine :

  1. Accédez à ADMIN > Services Reporting Engine.
  2. Cliquez sur The actions menu > Redémarrer.

Remarque : Redémarrez le Reporting Engine ou patientez trente minutes pour que le schéma se mette à jour.

Pour afficher la clé méta personnalisée :

  1. Accédez à Moniteur > Rapports > Règles.
  2. Dans la barre d'outils, cliquez sur The add icon.
  3. Sélectionnez Base de données Warehouse.
  4. Sur l’onglet Élaborer une règle, recherchez le méta personnalisé dans le panneau droit de la page.
    La clé méta personnalisée s'affiche.

This is an example of the Build Rule tab.

You are here
Table of Contents > Configurer les feeds et les parsers > Créez des clés méta personnalisées à l'aide d'un feed personnalisé

Attachments

    Outcomes