Archiver : Étape 2. Ajouter un service Log Decoder en tant que source de données à un service Archiver

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions sur le mode d'ajout d'un service Log Decoder en tant que source de données à un service Archiver.

Conditions préalables

Assurez-vous d'avoir :

  1. Installé l'hôte Security Analytics Archiver dans votre environnement réseau.
  2. Installé et configuré Log Decoder dans votre environnement réseau.
  3. ajouté l'hôte Archiver à Security Analytics et le service Archiver s'affiche comme étant actif et sous licence.

Éléments à prendre en compte pour les paramètres méta d'Archiver

Pour augmenter la durée de rétention, les éléments méta et l'index du service Archiver ont été réduits (par rapport au service Concentrator) pour répondre aux besoins de rapports communs. Par défaut, cela signifie que vous ne pourrez peut-être pas exécuter tous les rapports sur le service Archiver comme vous les exécutez sur le service Concentrator. Vous pouvez afficher la liste des éléments méta et d'index actuels utilisés par le service Archiver aux emplacements suivants :

  • Vue Config > Onglet Général > Panneau Services agrégés : l'icône d'informations du champ Inclure des métadonnées affiche la liste des éléments méta actuels pour un service Log Decoder ajouté en tant que source de données.
  • Vue Explorer : le chemin d'accès /archiver/devices/<logdecoder>/config/options au champ metaInclude affiche la liste des éléments méta actuels.
  • Vue Config > Onglet Fichiers : Le fichier index-archiver.xml affiche la configuration d'index par défaut. Le fichier index-archiver-custom.xml ne contient aucune modification.

Les éléments méta et d'index du service Archiver peuvent être personnalisés pour répondre à des besoins d'information client spécifiques, mais cela nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente. 

Voir (Facultatif) Configurer des filtres méta pour l'agrégation et (Facultatif) Ajouter des entrées d'index pour Archiver Reporting pour plus d’informations.

Ajouter un service Log Decoder en tant que source de données à un service Archiver

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez le service Archiver.
  3. Dans la colonne Actions, cliquez sur Vue > Config.
    La vue Configuration des services d'Archiver s'affiche.
  4. Sous l'onglet Général, dans le panneau Services agrégés, cliquez sur .
    La boîte de dialogue Services disponibles s'affiche.
    AvailServDg.png
  5. Sélectionnez le service Log Decoder à ajouter en tant que source de données au service Archiver, puis cliquez sur OK.
  6. Si le service Log Decoder utilise le modèle de confiance, une boîte de dialogue Ajouter un service s'affiche, comme illustré ci-dessous :
    AddSrvDataSrc.png
  7. Saisissez le nom d'utilisateur et le mot de passe du service Log Decoder, puis configurez les paramètres SSL.
  8. Cliquez sur OK.
    Le service Log Decoder sélectionné est répertorié dans le panneau Services agrégés.

(Facultatif) Configurer des filtres méta pour l'agrégation

Suivez cette procédure pour afficher et ajouter des éléments méta supplémentaires au service Archiver.

Attention : L'ajout de méta ou d'index nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.

  1. Pour afficher les éléments méta actuels, dans le panneau Services agrégés, sélectionnez le service Log Decoder, puis cliquez sur ic-info.png dans le champ Inclure des métadonnées.
    ViewMetaFilters.png
  2. Pour ajouter des éléments méta supplémentaires, sélectionnez le service Log Decoder, puis cliquez sur ic-edit.png.
    EditAggSrvDb.png
  3. Dans la boîte de dialogue Modifier le service agrégé, sélectionnez les éléments méta à inclure à la liste Inclure des métadonnées. Par exemple, vous pouvez choisir d'inclure les méta  ip.srcport, tcp.srcport, udp.srcport, msg, url, query, bytes, alias.host, ip.dst, ip.dstport, ip.src, tcp.dstport, megabytes, time, event.desc et word. 
  4. Cliquez sur Enregistrer, puis sur Appliquer.
  5. Voir (Facultatif) Ajouter des entrées d'index pour Archiver Reporting ci-dessous pour plus d’informations sur le mode d'indexation des clés méta supplémentaires.

(Facultatif) Ajouter des entrées d'index pour Archiver Reporting

Attention : L'ajout de méta ou d'index nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.

La configuration de l'index par défaut du service Archiver inclut uniquement les index de valeurs pour ces clés : 

  • temps
  • source de décodeur (did)
  • compte d'utilisateur de destination (user.dst), 
  • ID d'alerte (alert.id)
  • IP de périphérique (device.ip)
  • adresse IP source (ip.src)
  • adresse IP de destination (ip.dst)
  • description d'événement (event.desc)
  • classe de périphérique (device.class)
  • moyen
  • nom d'objet (obj.name)
  • mot

Pour obtenir des informations sur la personnalisation de cette liste, reportez-vous à la rubrique Personnalisation d'index dans le Guide d'optimisation de la base de données principale de Security Analytics.

You are here
Table of Contents > Configurer Archiver > Étape 2. Ajouter un service Log Decoder en tant que source de données à un service Archiver

Attachments

    Outcomes