ESM : Onglet Règles des analyseurs de logs

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

IMPORTANT : Les informations de cette rubrique s'appliquent à RSA NetWitness® Platform version 11.1 uniquement. Concernant la version 11.2, cet onglet a été redessiné et déplacé vers CONFIGURER. Pour plus d'informations, voir Onglet Règles des analyseurs de logs dans NetWitness 11.2.

L'onglet Règles des analyseurs de logs affiche des informations sur les analyseurs de logs individuels, ainsi que l'analyseur par défaut « analyser tout » qui permet d’analyser les journaux non associés à un analyseur de journal particulier.

Pour accéder à cet onglet, accédez à ADMIN > Sources d'événements > Règles des analyseurs de logs.

Cet onglet contient les informations suivantes :

  • Vous pouvez afficher les règles pour un type de source d'événement particulier, y compris l'analyseur par défaut.
  • Vous pouvez afficher les noms, les valeurs littérales et les méta pour chaque analyseur de log configuré.

Workflow

Ce workflow se distingue de l'ensemble du processus de configuration des sources d'événements.

Que voulez-vous faire ?

                                 
RôleJe souhaite...Documentation

Administrateur

Afficher et modifier les sources d'événements.

Gestion des groupes de sources d'événements

Administrateur

Reconnaître et mapper les sources d'événements

Acquittement et adressage des sources d’événement

Administrateur

Ajouter et configurer des mappages d'analyseur pour un Log Decoder.

Gérer les mappages d'analyseurs

Administrateur

Résoudre les problèmes de gestion de source d’événements

Dépannage ESM et annexe

*Vous pouvez effectuer cette tâche ici.

Rubriques connexes

Création de groupes de sources d'événements

Création d’une source d'événement et modification des attributs

Affichage des logs à partir des versions de Log Decoder antérieures à 11.0

Aperçu rapide

Remarque : La liste des analyseurs de logs est basée sur le premier Log Decoder qui est installé ou enregistré par le serveur d'orchestration. Si vous avez plusieurs Log Decoder, cet onglet répertorie uniquement les analyseurs de logs qui ont été configurés sur le premier.

L'onglet Règles des analyseurs de logs affiche des informations sur les analyseurs de logs configurés dans votre système. Cet onglet comporte trois panneaux : Liste des analyseurs de logs, détails de l'analyseur de journal sélectionné et règles pour l'analyseur de journal sélectionné.

         

Panneau Liste des analyseurs de logs

Le panneau des analyseurs de logs répertorie les analyseurs de logs configurés. Sélectionnez un analyseur de journal spécifique pour afficher ses détails dans les panneaux Détails et Règles.

Panneau Détails

Le panneau Détails affiche la correspondance des jetons, la correspondance des valeurs et les informations d’adressage pour l'analyseur de journal sélectionné. En outre, il démontre comment un exemple de message de journal est analysé.

                         
1

Affiche le nom de l'analyseur de journal sélectionné et la règle actuellement sélectionnée. Cette valeur change lorsque vous sélectionnez une règle différente pour cet analyseur.

2

Affiche la correspondance de jeton pour l'analyseur de journal sélectionné. Les valeurs ici sont déterminées par la règle sélectionnée.

3

Affiche le type et le modèle de la correspondance de valeur pour l'analyseur sélectionné. Les valeurs ici sont déterminées par la règle sélectionnée.

4

Affiche le méta NetWitness auquel la règle sélectionnée mappe les jetons correspondants. Les valeurs ici sont déterminées par la règle sélectionnée.

5

Affiche un exemple de message de journal et met en surbrillance les chaînes qui correspondent aux jetons dans l'analyseur de journal sélectionné. Vous pouvez modifier ce champ et ajouter dans vos propres journaux pour prévisualiser la façon dont l'analyseur sélectionné analysera vos journaux.

Considérons le scénario suivant :

  • L'analyseur par défaut est sélectionné.
  • La règle Tout domaine est sélectionnée.
  • La liste des jetons correspondant affiche tous les jetons qui sont appariés lorsqu'ils sont trouvés dans un message de journal : Domaine, Nom de domaine, domaine, ADMIN_DOMAIN, etc.
  • La liste Meta affiche le méta NetWitness auquel la valeur du jeton est mappée : domain

Donc, supposons que la zone de message du journal comporte le texte suivant :

       

Below are sample log messages:

May 5 2010 15:55:49 switch : %ACE-4-400000: IDS:1000 IP Option Bad Option List by user admin@test.com from 10.100.229.59 to 224.0.0.22 on port 12345.

Apr 29 2010 03:15:34 pvg1-ace02: %ACE-3-251008: Health probe failed for server 218.83.175.75:81, connectivity error: server open timeout (no SYN ACK) domain google.com with mac 06-00-00-00-00-00.

Dans ce cas, la zone Exemple de message de journal se présente comme suit :

Notez que certaines chaînes sont mises en surbrillance et qu'il existe deux « paires » de couleurs de surbrillance :

  • Les mises en surbrillance bleu foncé et bleu clair sont appliquées aux chaînes qui correspondent à la règle actuellement sélectionnée.

    • Les chaînes en surbrillance bleu foncé correspondent à un jeton dans la règle sélectionnée. Dans ce cas, domain est le jeton qui correspond à la règle n'importe quel domaine.
    • Les chaînes en surbrillance bleu clair sont les valeurs qui correspondent aux jetons bleu foncé. Par exemple, google.com est mis en surbrillance en bleu clair, car il correspond au jeton domain.
  • La mise en surbrillance orange et jaune est appliquée aux chaînes qui correspondent aux règles de correspondance de l'analyseur actuel qui ne sont pas actuellement sélectionnées.

    • Les chaînes en surbrillance orange correspondent à un jeton d’une règle qui n'est pas actuellement sélectionnée.
    • Les chaînes jaunes en surbrillance sont les valeurs qui correspondent aux jetons en orange. Par exemple, le jeton user correspond à la règle Username (qui n'est pas actuellement sélectionnée).

Dans cet exemple, le méta domain se voit assigner une valeur de google.com pour ce message de journal, s'il a été analysé à l'aide de l'analyseur de journal par défaut.

Panneau Règles

Le panneau Règles affiche la liste des règles utilisées par l'analyseur de journal sélectionné. Lorsque vous sélectionnez une règle, vous modifiez les valeurs affichées dans les zones de Jetons et Valeurs du panneau.

         

Notez les règles en surbrillance :

  • La règle actuellement sélectionnée est mise en surbrillance en bleu.
  • D'autres règles qui correspondent aux jetons dans la zone de message de l’exemple de journal sont mises en surbrillance en orange.
Previous Topic:Onglet Paramètres
You are here
Table of Contents > Références  > Onglet Règles des analyseur de logs (version 11.1 uniquement)

Attachments

    Outcomes