Hôte GS : Configuration de service Log Decoder

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 8, 2017
Version 3Show Document
  • View in full screen mode
  

Cette rubrique répertorie et décrit les paramètres de configuration disponibles pour les services RSA Security Analytics Log Decoder.

Paramètres de configuration de Log Decoder

Ce tableau répertorie et décrit les paramètres de configuration de Log Decoder.

                                     
Champ Configuration de Log DecoderDescription :
Base de données /database/config fait référence à la section Nœuds de configuration de la base de données dans le Guide d'optimisation de la base de données principale de Security Analytics
Decoder /decoder/config fait référence à Configuration commune à Decoder et Log Decoder
Index /index/config fait référence à la section Nœuds de configuration d'index dans le Guide d'optimisation de la base de données principale de Security Analytics
Logs /logs/config fait référence à Configuration de la consignation de service Core
REST /rest/config fait référence à Configuration de l'interface REST
SDK /sdk/config fait référence à la section Nœuds de configuration SDK dans le Guide d'optimisation de la base de données principale de Security Analytics et Modes system.roles de service Security Analytics Core
Système /sys/config fait référence à Configuration système de service Core

Paramètres de configuration du générateur de tokens pour les logs

Le service Log Decoder comprend un ensemble d'éléments de configuration qui contrôlent la manière dont le générateur de tokens crée les éléments méta pour les logs non analysés.

Le générateur de tokens associés aux logs ajoute les éléments méta word aux logs. Ces éléments word forment un index de texte intégral lorsqu'ils sont introduits dans le moteur d'indexation sur les services Concentrator et Archiver.

                             
Champ Configuration des analyseurs Log DecoderDescription :
token.device.types Ensemble de types de périphériques qui seront scannés pour les tokens de texte brut. Par défaut, ce paramètre est configuré sur unknown, ce qui signifie que seuls les logs qui ne sont pas analysés seront scannés pour le texte brut. Vous pouvez ajouter des types de logs supplémentaires à cet emplacement afin d'enrichir les logs analysés avec les informations de tokens de texte.

Si ce champ est vide, alors le générateur de tokens pour les logs est désactivé.
token.char.classes Ce champ contrôle le type de tokens qui sont générés. Il peut s'agir d'une combinaison de valeurs alpha, digit, space et punct. La valeur par défaut est alpha.
  • alpha : Les tokens peuvent contenir des caractères alphanumériques
  • digit : Les tokens peuvent contenir des nombres
  • space : Les tokens peuvent contenir des espaces et des tabulations
  • punct : Les tokens peuvent contenir des marques de ponctuation
token.max.length Ce champ permet de limiter la longueur des tokens. La valeur par défaut est de 5 caractères. Le paramètre de longueur maximale permet au Log Decoder de limiter l'espace nécessaire pour stocker les méta word. L'utilisation de jetons plus longs nécessite de l'espace supplémentaire dans la base de métadonnées, mais garantit des recherches de texte brut légèrement plus rapides. L'utilisation de jetons plus courts contraint le programme de résolution de requête de texte à effectuer plus d'accès en lecture dans les logs bruts au cours des recherches, mais cela a pour effet d'utiliser beaucoup moins d'espace dans la base de métadonnées et l'index.
token.min.length Il s'agit de la longueur minimale d'un token de texte de recherche. La longueur de token minimale correspond au nombre minimum de caractères qu'un utilisateur peut saisir dans la zone de recherche afin de localiser les résultats. La valeur recommandée est la valeur par défaut, 3.
token.unicode Ce paramètre booléen contrôle si les règles de classification Unicode sont appliquées lors de la classification des caractères en fonction du paramètre token.char.classes. Si ce paramètre est défini sur true, chaque log sera traité comme une séquence de points de code chiffrés UTF-8 , et donc la classification sera effectuée après l'exécution du déchiffrement UTF-8. Si ce paramètre est défini sur false, alors chaque log sera traité en mode ASCII et seule la classification des caractères ASCII sera effectuée. La classification des caractères Unicode nécessite plus de ressources CPU sur le service Log Decoder. Si l'indexation du texte dans une autre langue que l'anglais vous est inutile, vous pouvez désactiver ce paramètre pour réduire l'utilisation du processeur sur le service Log Decoder. Le mode par défaut est activé.
You are here
Table of Contents > Références > Paramètres de configuration des services > Configuration de service Log Decoder

Attachments

    Outcomes