Archiver : Définir les règles de rétention

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions aux administrateurs sur la façon de définir et de classer les règles de rétention pour les collections de stockage de log sur un Archiver.

Les règles de rétention spécifient le type de logs à stocker dans la collection. Pour que vos collections de logs recueillent et stockent des données des fichiers log, vous devez les associer à au moins une règle de rétention. Lorsque vous configurez une règle de rétention, vous spécifiez une condition et une collection pour cette règle. La condition (définition de règle) détermine le type de logs stockés dans cette collection.

En ce qui concerne la condition, vous pouvez utiliser tout ce qui fonctionne dans une clause where de requête classique.

Remarque : Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets.

Par exemple, pour obtenir les logs des services de conformité, vous pouvez utiliser la condition suivante : 

device.group='PCI Devices' || device.group='HIPPA Devices'

Instructions relatives aux règles et requêtes fournit des exemples supplémentaires.

Après avoir défini les règles de rétention de vos collections, il est important de spécifier l'ordre de vos règles de rétention. Security Analytics évalue les règles de rétention pour l'ensemble des collections par ordre numérique en fonction du numéro répertorié dans la colonne Ordre de la section Règles de rétention sous l'onglet Rétention de données d'Archiver (Administration > vue Configuration des services). 

ArcRetRule.png

Attention : L'ordre des règles est très important. Il détermine la priorité de l'évaluation des données des fichiers log pour la rétention du stockage. 

Conditions préalables

Avant de configurer vos règles de rétention :

  • Configurez le stockage total Hot, à chaud et à froid
  • Configurer les collections de stockage des logs

Procédures

Définir une règle de rétention pour une collection

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez le service Archiver, puis ic-actns.png > Vue > Config.
    La vue Configuration des services d'Archiver s'affiche.
  3. Sous l'onglet Rétention de données, dans la section Règle de rétention, cliquez sur ic-add.png.
    La boîte de dialogue Définition de règle s'affiche.
    RuleDefExWinLog.png
  4. Configurez les champs de la boîte de dialogue Définition de règle comme indiqué dans le tableau suivant :              
    ChampDescription :
    Nom de la règleSpécifiez un nom unique pour votre règle de rétention. Il ne peut pas contenir d'espaces. Par exemple : LowValueWinLogs
    ConditionSpécifiez les conditions du type de logs à inclure dans la collection. 

    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets.

    Par exemple :
    device.type='winevent_nic' && msg.id='security_4648_security'

    Instructions relatives aux règles et requêtes fournit des exemples supplémentaires.

    CollectionSélectionnez la collection à laquelle vous souhaitez appliquer cette règle. Par exemple : LowValue. 
  5. Cliquez sur Save.
    La règle de rétention définie est associée à la collection que vous avez sélectionnée. Sous l'onglet Rétention de données, dans la section Collections, cliquez sur ActionsButton.png > Sélectionner les règles dans la colonne Actions de la collection sélectionnée pour afficher les règles de rétention associées à la collection dans la section Règle de rétention
    AssocRetRul2.png

Spécifier l'ordre de vos règles de rétention

Pour organiser par ordre de priorité la liste complète de toutes vos règles de rétention :

  1. Dans la section Règle de rétention de l'onglet Rétention de données, sélectionnez une règle de rétention, puis utilisez le glisserdéplacer (ou sélectionnez ic-up.png Monter et ic-down.png Descendre) pour modifier son ordre d'apparition dans la liste des priorités.

    ArcRetRule2.png 
  2. Cliquez sur Appliquer pour enregistrer l'ordre des règles de rétention.

Attention : L'ordre des règles est très important. Il détermine la priorité de l'évaluation des données des fichiers log pour la rétention du stockage.

Étape suivante

Ajouter Archiver comme source de données au Reporting Engine 

You are here
Table of Contents > Configurer Archiver > Étape 3. Configurer le stockage et la rétention des logs Archiver > Définir les règles de rétention

Attachments

    Outcomes