Cette rubrique répertorie et décrit les paramètres de configuration disponibles pour les services RSA Security Analytics Log Decoder.
Paramètres de configuration de Log Decoder
Ce tableau répertorie et décrit les paramètres de configuration de Log Decoder.
Champ Configuration de Log Decoder | Description : |
---|---|
Base de données | /database/config fait référence à la section Nœuds de configuration de la base de données dans le Guide d'optimisation de la base de données principale de Security Analytics |
Decoder | /decoder/config fait référence à Configuration commune à Decoder et Log Decoder |
Index | /index/config fait référence à la section Nœuds de configuration d'index dans le Guide d'optimisation de la base de données principale de Security Analytics |
Logs | /logs/config fait référence à Configuration de la consignation de service Core |
REST | /rest/config fait référence à Configuration de l'interface REST |
SDK | /sdk/config fait référence à la section Nœuds de configuration SDK dans le Guide d'optimisation de la base de données principale de Security Analytics et Modes system.roles de service Security Analytics Core |
Système | /sys/config fait référence à Configuration système de service Core |
Paramètres de configuration du générateur de tokens pour les logs
Le service Log Decoder comprend un ensemble d'éléments de configuration qui contrôlent la manière dont le générateur de tokens crée les éléments méta pour les logs non analysés.
Le générateur de tokens associés aux logs ajoute les éléments méta word aux logs. Ces éléments word forment un index de texte intégral lorsqu'ils sont introduits dans le moteur d'indexation sur les services Concentrator et Archiver.
Champ Configuration des analyseurs Log Decoder | Description : |
token.device.types | Ensemble de types de périphériques qui seront scannés pour les tokens de texte brut. Par défaut, ce paramètre est configuré sur unknown, ce qui signifie que seuls les logs qui ne sont pas analysés seront scannés pour le texte brut. Vous pouvez ajouter des types de logs supplémentaires à cet emplacement afin d'enrichir les logs analysés avec les informations de tokens de texte. Si ce champ est vide, alors le générateur de tokens pour les logs est désactivé. |
token.char.classes | Ce champ contrôle le type de tokens qui sont générés. Il peut s'agir d'une combinaison de valeurs alpha, digit, space et punct. La valeur par défaut est alpha.
|
token.max.length | Ce champ permet de limiter la longueur des tokens. La valeur par défaut est de 5 caractères. Le paramètre de longueur maximale permet au Log Decoder de limiter l'espace nécessaire pour stocker les méta word. L'utilisation de jetons plus longs nécessite de l'espace supplémentaire dans la base de métadonnées, mais garantit des recherches de texte brut légèrement plus rapides. L'utilisation de jetons plus courts contraint le programme de résolution de requête de texte à effectuer plus d'accès en lecture dans les logs bruts au cours des recherches, mais cela a pour effet d'utiliser beaucoup moins d'espace dans la base de métadonnées et l'index. |
token.min.length | Il s'agit de la longueur minimale d'un token de texte de recherche. La longueur de token minimale correspond au nombre minimum de caractères qu'un utilisateur peut saisir dans la zone de recherche afin de localiser les résultats. La valeur recommandée est la valeur par défaut, 3. |
token.unicode | Ce paramètre booléen contrôle si les règles de classification Unicode sont appliquées lors de la classification des caractères en fonction du paramètre token.char.classes. Si ce paramètre est défini sur true, chaque log sera traité comme une séquence de points de code chiffrés UTF-8 , et donc la classification sera effectuée après l'exécution du déchiffrement UTF-8. Si ce paramètre est défini sur false, alors chaque log sera traité en mode ASCII et seule la classification des caractères ASCII sera effectuée. La classification des caractères Unicode nécessite plus de ressources CPU sur le service Log Decoder. Si l'indexation du texte dans une autre langue que l'anglais vous est inutile, vous pouvez désactiver ce paramètre pour réduire l'utilisation du processeur sur le service Log Decoder. Le mode par défaut est activé. |
Previous Topic:Configuration commune à Decoder et Log Decoder
Next Topic:Configuration de l'interface REST
You are here
Table of Contents > Références > Paramètres de configuration des services > Configuration de service Log Decoder