Decoder : Configurer le transfert Syslog vers la destination

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour le transfert des messages Syslog collectés à partir d'un Log Decoder vers un autre récepteur Syslog.

En plus de collecter des messages Syslog, vous pouvez configurer le Log Decoder pour qu'il transmette des messages Syslog à un autre récepteur Syslog. Security Analytics transfère des messages Syslog après avoir analysé les messages et avant de les écrire dans le Log Decoder.

Remarque : Vous devez configurer le transfert Syslog en suivant les étapes définies dans cette rubrique sous Procédure, à l'aide de la vue Explorer.

Conditions préalables

Le Log Decoder doit posséder l'état Démarré.

Procédure

Pour configurer le transfert Syslog :

  1. Configurez les règles de couche d'application Log Decoder (règles d'application) pour indiquer les messages Syslog possédant des métadonnées indiquant à Security Analytics de transmettre les messages :
    1. Dans la vue Services, sélectionnez un Log Decoder, et dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Explorer
    2. Accédez au nœud /decoder/config/rules/application, cliquez avec le bouton droit sur application, puis cliquez sur Propriétés.
    3. Dans la vue Propriétés, spécifiez la commande add avec les paramètres suivants :
      rule=<query> name=<name> (Example 1, rule=*name=receiver1, Example 2, rule="device.type='winevent_nic'" name=receiver1)
    4. Cliquez sur Send.
      104LDecExplorePropField.png
      Security Analytics crée la règle name=receiver1 rule=* order=<n>. Security Analytics insère le numéro d'ordre (par exemple, order=49) d'après le moment où vous définissez la règle.
      10411ExplorePropFieldResult.png
    5. Accédez au nœud /decoder/config/rules/application et cliquez sur la règle name=receiver1 rule=* order=49.
    6. Ajoutez les paramètres alert forward aux paramètres de la règle.
      10411ExplorePropFieldResultAlertFwd.png
      Tous les autres paramètres de règle possèdent la même signification que dans les autres règles d'application.

      L'exemple de règle Application suivant sélectionne tous les logs avec la règle *. Il crée une métadonnée d'alerte avec la valeur « receiver1 » et marque tout le log pour le transférer à la destination de transfert de syslog. Vous pouvez définir autant de règles de transfert que vous le souhaitez avec le même nom ou avec des noms uniques.
  1. Définissez les destinations de transfert Syslog et activez le transfert.
    1. Dans la vue Services, sélectionnez un Log Decoder, et dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Explorer.
    2. Dans le paramètre /decoder/config/logs.forwarding.destination, spécifiez la destination. Par exemple :
      Connexions TLS : receiver1=tls:receiver1.netwitness.local:6514
      Connexions UDP : receiver1=udp:receiver1.netwitness.local:514
      Connexions TCP : receiver1=tcp:receiver1.netwitness.local:514

      10411LogsForwDestination.png

Remarque :
Vous pouvez configurer :
    - Plusieurs règles pour transférer des logs vers la même destination.
    - Plusieurs règles pour transférer des logs vers plusieurs destinations.

Pour les connexions TLS, le certificat de la destination de transfert doit être validé. L'autorité de certification qui a signé le certificat de la destination doit être présent dans le magasin de certificats de confiance CA du Log Decoder et le certificat doit résider sur la destination ou le récepteur Syslog. Reportez-vous à la section Configurer les certificats dans le Guide de configuration de Log Collection pour plus d'informations sur la manipulation du magasin de confiance CA du Log Decoder.

  1. Dans le paramètre /decoder/config/logs.forwarding.enabled, spécifiez true.
    10411LogsForwEnabled.png

 

 

Rubrique connexe

You are here
Table of Contents > Procédures supplémentaires > Configurer le transfert Syslog vers la destination

Attachments

    Outcomes