Decoder : Activer le mappage des sources d'événements

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique aux administrateurs comment activer le mappage des sources d'événements sur un Log Decoder.

Le Log Collector découvre le type de source d'événement de chaque message. Si l'analyseur approprié n'est pas identifié pour la source d'événement, les messages communs entre les types de sources d'événements seront mal classés. Les messages mal classés ne renseignent pas les règles et les alertes de sources d'événements, et les rapports ne disposent pas des données correctes. En outre, s'il y a plusieurs types de sources d'événements associés à une adresse IP, il peut être difficile pour les analyseurs d'identifier la source d'événement exacte à partir de laquelle les logs sont générés.

Si vous mappez une adresse IP à son type de source d'événement, le Log Decoder peut identifier la source d'événement à partir de laquelle le log est généré. Lorsque les messages sont remis au Log Decoder à partir d'une source d'événement mappée, les analyseurs affectés sont interrogés pour trouver les correspondances d'événements.

Vous pouvez attribuer des types de sources d'événements pour IPV4, IPV6, ou la valeur de nom d'hôte de la source d'événement. Vous pouvez également affecter plusieurs types de sources d'événements à une seule adresse IP. Vous pouvez aussi utiliser un ID Log Collector lorsque différentes sources d'événements avec la même adresse IP sont envoyées à différents services Log Collector.

Procédures

Activer une adresse IP pour le mappage de sources d'événements

Pour activer une adresse IP pour le mappage de sources d'événements :

  1. Dans le menu Security Analytics, sélectionnez Administration > Système > Mappages de l'analyseur de log.
  2. Sélectionnez Log Decoder, puis Menu Actions détouré Vue > Config.
    L'onglet Mappage d'analyseurs s'affiche dans la vue Configuration des services.

Mettre à jour une adresse IP pour le mappage de sources d'événements

Pour mettre à jour une adresse IP pour le mappage de sources d'événements :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un Log Decoder, puis dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Config.
    La vue Configuration des services s'affiche.
  3. Sélectionnez l'onglet Mappages d'analyseurs.

  4. Cliquez sur ic-add.png.
    L'Éditeur de mappage s'affiche.
  5. Les mappages suivants peuvent être définis :

Un hôte et un type de source d’événement
- Dans le champ Hôte, saisissez le nom d’hôte.  
  Par exemple :10.0.0.1
- Dans le champ Sources d'événements(s), saisissez le type de source d'événement.
  Par exemple :apache
Un hôte et un ou plusieurs types de source d’événement
- Dans le champ Hôte, saisissez le nom d’hôte.
  Par exemple : 10.0.0.1 
- Dans le champ Sources d'événements , saisissez le type de source d'événement. 
  Par exemple :apache,sap,aix
Un hôte, un Log Collector et un type de source d'événement
- Dans le champ Hôte, saisissez le nom d’hôte et l’ID de Log Collector.  
  Par exemple : 10.0.0.1,LC-1.
- Dans le champ Sources d'événements , saisissez le type de source d'événement.
  Par exemple : apache
Un hôte, un ID de Log Collector et un ou plusieurs types de source d'événement
- Dans le champ Hôte, saisissez le nom d’hôte et l’ID de Log Collector.
  Par exemple : 10.0.0.1,LC-1
- Dans le champ Sources d'événements , saisissez le type de source d'événement.
  Par exemple : apache,sap,aix

Remarque : Les types de sources d'événements sont traités dans l'ordre où vous saisissez les analyseurs et si un ou plusieurs analyseurs correspondent à un log, le premier analyseur de la liste est interrogé. L'hôte/l'adresse IP peut être de type IPv4, IPv6 ou un nom d'hôte.

  1. Cliquez sur OK.
    Le mappage des analyseurs est ajouté.
  1. Pour accepter la sélection des mappages des analyseurs, cliquez sur Appliquer.
  2. Pour annuler la sélection des mappages d'analyseurs, cliquez sur Annuler.

Lire l'adresse IP dans les mappages de types de sources d'événements

Pour lire l'adresse IP dans les mappages de types de sources d'événements :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Log Decoder.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Configuration.
    La vue Configuration des services s'affiche.
  4. Sélectionnez l'onglet Mappages d'analyseurs.
    Les mappages sont affichés.

Modifier l'adresse IP dans le mappage de types de sources d'événements

Pour modifier l'adresse IP dans le mappage de types de sources d'événements :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Log Decoder.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Configuration.
    La vue Configuration des services s'affiche.
  4. Sélectionnez l'onglet Mappages d'analyseurs.
  5. Sélectionnez le mappage que vous souhaitez modifier.
  6. Cliquez suric-edit.png
  7. Dans le champ Source(s) d'événement(s) , saisissez la ou les sources d'événements.
  8. Cliquez sur OK pour accepter la source d'événement modifiée.
  9. Pour accepter la source d'événement modifiée, cliquez sur OK.
  10. Pour annuler les modifications, cliquez sur Annuler.

Supprimer l'adresse IP dans le mappage de types de sources d'événements

Pour supprimer l'adresse IP dans le mappage de types de sources d'événements :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Log Decoder.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Configuration.
    La vue Configuration des services s'affiche.
  4. Sélectionnez l'onglet Mappages d'analyseurs.
  5. Sélectionnez le mappage que vous souhaitez supprimer.
  6. Cliquez sur ic-delete.png.
    Le mappage est supprimé.
  7. Pour annuler les modifications, cliquez sur Annuler.

Trier le nom d'hôte ou le type de source d'événement

Pour trier le nom d'hôte ou le type de source d'événement :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Log Decoder.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Configuration.
    La vue Configuration des services s'affiche.
  4. Sélectionnez l'onglet Mappages d'analyseurs.
  5. Pour trier une colonne, cliquez sur l'en-tête de cette colonne.
    Le ou les types de source d’événement sont appliqués à l’adresse IP sélectionnée. Les fichiers log sont analysés par rapport aux parsers dans l’ordre, qu'elles sont répertoriées.

Importer une adresse IP pour les entrées de mappage de sources d'événements

Pour importer une adresse IP pour les entrées de mappage de sources d'événements :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Log Decoder.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Configuration.
    La vue Configuration des services s'affiche.
  4. Sélectionnez l'onglet Mappages d'analyseurs.
  5. Sélectionnez Actions > Importer.
    La boîte de dialogue Importer s'affiche.
  6. Cliquez sur ic-add.png.
  7. Sélectionnez le fichier à importer, puis cliquez sur OK.
  8. Pour charger l'analyseur, cliquez sur Importer.

Remarque : Vous ne pouvez importer qu'un seul fichier .csv à la fois.

Exporter une adresse IP pour les entrées de mappage de sources d'événements

Pour exporter une adresse IP pour les entrées de mappage de sources d'événements :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Log Decoder.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Configuration.
    La vue Configuration des services s'affiche.
  4. Sélectionnez l'onglet Mappages d'analyseurs.
  5. Sélectionnez les mappages à exporter.
  6. Sélectionnez Actions > Exporter > Sélection.
    La boîte de dialogue Sélections pour l'exportation s'affiche.
  7. Saisissez un nouveau nom et cliquez sur Exporter.

Rechercher une adresse IP pour les entrées de mappage de sources d'événements

Pour rechercher une adresse IP pour les entrées de mappage de sources d'événements

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Log Decoder.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Configuration.
    La vue Configuration des services s'affiche.
  4. Sélectionnez l'onglet Mappages d'analyseurs.
  5. Dans la barre d'outils Mappage d'analyseurs, saisissez l'hôte ou la source d'événement dans le champ Filtrer.
  6. Cliquez sur Enter.
    Les hôtes ou les sources d'événements qui correspondent aux noms saisis dans le champ Filtrer s'affichent.
You are here
Table of Contents > Procédures supplémentaires > Activer le mappage des sources d'événements

Attachments

    Outcomes