Références - Paramètres de configuration de la collecte de fichiers

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique décrit l'interface utilisateur pour la configuration de la collecte de fichiers.

Utilisez cette section si vous recherchez la description de l'interface utilisateur de collecte de fichiers et les définitions des fonctionnalités de l'interface utilisateur.

Pour accéder aux paramètres de configuration de la collecte de fichiers :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur Menu Actions détouré sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Fichier/Config dans le menu déroulant.

La vue Fichier/Config sous l'onglet Sources d'événements contient deux panneaux : Catégories et sources d'événements

Panneau Catégories d'événements

Le panneau Catégories d'événements permet d'ajouter ou de supprimer les types de sources d'événements appropriées.

                         
FonctionnalitéDescription
Icon-Add.png Affiche la boîte de dialogue Types de sources d'événements disponibles qui permet de sélectionner le type de source d'événement pour lequel vous souhaitez définir les paramètres.
Icon_Delete_sm.png Supprime les types de sources d'événements sélectionnés à partir du panneau Catégories d'événements.
Checkbox.png Sélectionne les types de sources d'événements.
NameAffiche le nom des types de sources d'événements que vous avez ajoutés.

Boîte de dialogue Types de sources d'événements disponibles

La boîte de dialogue Types de sources d'événements disponibles affiche la liste des types de sources d'événements pris en charge.

                         
FonctionnalitéDescription
Checkbox.png Sélectionne le type de source d'événement que vous souhaitez ajouter.
TypeAffiche les types de sources d'événements qui sont disponibles à l'ajout.
AnnulerFerme la boîte de dialogue sans ajouter de type de source d'événement.
OKAjoute le type de source d'événement sélectionné dans le panneau Catégories d'événements.

Remarque : La boîte de dialogue Types de sources d'événements disponibles affiche la liste des types de sources d'événements pris en charge, téléchargés à partir du fichier GFTS (Generic File Reader Type Specification).  Si vous ne voyez aucun type de source d'événement dans cette liste, c'est que vous n'avez pas chargé le contenu disponible lors de la mise à niveau de Log Collector correspondant à cette version.

Panneau Sources

Utilisez ce panneau pour vérifier, ajouter, modifier et supprimer des répertoires de fichiers de sources d'événements, ainsi que leurs paramètres pour le type de sources d'événements sélectionné dans le panneau Catégories d'événements.

Barre d'outils

Le tableau ci-dessous fournit la description des options contenues dans les barres d'outils.

                               
FonctionnalitéDescription :
Icon-Add.png

Affiche la boîte de dialogue Ajouter une source dans laquelle vous pouvez définir les paramètres de l'hôte de pare-feu.

Icon_Delete_sm.png Supprime l'hôte que vous avez sélectionné.
icon-edit.png

Ouvre la boîte de dialogue Modifier la source permettant de modifier les paramètres de la source d'événements sélectionnée.

Sélectionnez plusieurs sources d'événements, puis cliquez sur icon-edit.png pour ouvrir la boîte de dialogue Modifier la source en bloc qui permet de modifier les valeurs de paramétrage des sources d'événements sélectionnées.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

ImportSourceIcon.PNG

Ouvre la boîte de dialogue Option d'ajout en bloc permettant d'importer en bloc des hôtes contenus dans un fichier CSV.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

ExportSourceIcon.PNG

Crée un fichier .csv contenant les paramètres des hôtes sélectionnés.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

Boîte de dialogue Ajouter ou modifier la source

Dans cette boîte de dialogue, ajoutez ou modifiez un répertoire de fichiers pour la source d'événement sélectionnée.

                       
FonctionnalitéDescription :
Paramètres d'une source NetflowAffiche les paramètres de source d'événements Netflow renseignés avec les valeurs par défaut. Saisissez ou modifiez les valeurs appropriées.
AnnulerFerme la boîte de dialogue sans ajouter de répertoire de fichiers ni enregistrer les valeurs de paramétrage du répertoire de fichiers sélectionné.
OKDans la boîte de dialogue Ajouter une source, ajoutez le répertoire de fichiers et ses paramètres. Dans la boîte de dialogue Modifier la source, applique les modifications des valeurs de paramétrage pour le répertoire de fichiers sélectionné.

Paramètres des répertoires de fichiers

Le tableau suivant fournit les descriptions des paramètres de la source.

                                                                                                          
NameDescription :
Basique
Répertoire de fichiers*

Répertoire de collecte (par exemple Eur_London100) dans lequel la source d'événement de fichiers place ses fichiers. Toute chaîne de caractères conforme à l'expression régulière suivante est une valeur valide :

[_a-zA-Z][_a-zA-Z0-9]*


Cela signifie que le répertoire de fichiers doit commencer par une lettre suivie de chiffres, de lettres et de traits de soulignement. Ne modifiez pas ce paramètre après avoir démarré la collecte de données d'événements.

Une fois que vous avez créé la collection, Log Collector crée les sous-répertoires de travail, d'enregistrement et d'erreur dans le répertoire de collecte.

Adresse*Adresse IP de la source d'événement. La valeur valide est une adresse IPv4, une adresse IPv6 ou un nom d'hôte comprenant un nom de domaine complet.
Spéc. fichierExpression régulière. Par exemple, ^.*$ = tout traiter.
Encodage de fichier

Encodage de fichier pour l'internationalisation. Saisissez la méthode d'encodage de fichier. Les chaînes suivantes sont des exemples de méthodes valides :

  • UTF-8 (valeur par défaut)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFTJIS
  • EBCDICUS
EnabledCochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.
Avancé 
Ignorer le codage
Erreurs de conversion

Activez cette case à cocher pour ignorer les erreurs de conversion de codage et les données non valides. Cette case à cocher est activée par défaut.

Attention : Cela peut provoquer des erreurs d'analyse et de transformation.

Quota des disques de fichiers

Détermine le moment où l'enregistrement des fichiers doit être arrêté, indépendamment des paramètres Enregistrer en cas d'erreur et Enregistrer en cas de réussite. Par exemple, la valeur 10 indique que lorsqu'il reste moins de 10 % d'espace disque disponible, Log Collector cesse d'enregistrer les fichiers afin de réserver suffisamment d'espace pour le traitement normal de la collecte.

Attention : L'espace disque disponible fait référence à une partition de montage du répertoire de collecte de base. Si le serveur Log Decoder a un disque de 10 To, et si 2 To sont alloués au répertoire de collecte de base, l'affectation de la valeur 10 à ce paramètre entraîne l'arrêt de la collecte des logs lorsqu'il reste moins de 0,2 To (10 % de 2 To) d'espace. Cela ne signifie pas 10 % de 10 To.

La valeur valide est un nombre compris entre 0 et 100. 10 est la valeur par défaut.

Traitement séquentiel

Balise de traitement séquentiel :

  • Activez la case à cocher (par défaut) pour traiter les fichiers de sources d'événements dans l'ordre de collecte.
  • Désactivez la case à cocher pour traiter les fichiers de sources d'événements en parallèle.
Enregistrer en cas d'erreurBalise d'enregistrement en cas d'erreur. Activez la case à cocher pour conserver le fichier de collecte eventsource lorsque Log Collector rencontre une erreur. Cette case à cocher est activée par défaut.
Enregistrer en cas de réussiteBalise d'enregistrement du fichier de collecte eventsource après traitement. Activez la case à cocher pour enregistrer le fichier de collecte eventsource, une fois qu'il a été traité. Par défaut, l'option n'est pas sélectionnée.
Clé SSH Eventsource

Clé publique SSH utilisée pour télécharger les fichiers de cette source d'événement. Reportez-vous à  Générer la paire de clés sur la source de l’événement et Importer la clé publique dans Log Collector pour obtenir des instructions sur la génération de clés.

Remarque : Si la collecte de fichiers est arrêtée, Security Analytics ne met pas à jour le fichier authorized_keys avec la clé publique SSH que vous ajoutez ou modifiez dans ce paramètre. Vous devez redémarrer la collecte de fichiers pour mettre à jour la clé publique.
Vous pouvez ajouter ou modifier la valeur de la clé publique dans ce paramètre pour plusieurs sources d'événements de fichiers lorsque la collecte de fichiers n'est pas en cours d'exécution. Toutefois, Security Analytics ne met pas à jour le fichier authorized_keys tant que la collecte de fichiers n'a pas redémarré.

Gérer les fichiers d'erreurs

Par défaut, Log Collector utilise le paramètre Quota des disques de fichiers pour vérifier que le disque ne dépasse pas sa limite de remplissage avec des fichiers d'erreurs. Si affectez vrai à ce paramètre, vous pouvez spécifier l'une des valeurs suivantes :

  • espace maximal alloué aux fichiers d'erreurs dans le paramètre Taille des fichiers d'erreurs ;
  • nombre maximal de fichiers d'erreurs autorisés dans le paramètre Nombre de fichiers d'erreur.

Un pourcentage de réduction est également spécifié, ce qui indique au système le taux de réduction à appliquer lorsque le seuil maximal est atteint.

Activez la case à cocher pour gérer les fichiers d'erreurs. Par défaut, l'option n'est pas sélectionnée.

Taille des fichiers d'erreurs

Valide uniquement si les paramètres Gérer les fichiers d'erreurs et Enregistrer en cas d'erreur ont la valeur vrai.
Indique dans quelle mesure Security Analytics enregistre les fichiers d’erreur. La valeur que vous spécifiez correspond à la taille totale maximale de tous les fichiers dans le répertoire d'erreurs.

La valeur valide est un nombre compris entre 0 et 281 474 976 710 655. Vous devez spécifier ces valeurs en Kilooctets, Mégaoctets ou Gigaoctets. 100 Mo est la valeur par défaut. Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

Nombre de fichiers d'erreur

Valide uniquement si les paramètres Gérer les fichiers d'erreurs et Enregistrer en cas d'erreur ont la valeur vrai. Nombre maximal de fichiers d'erreurs autorisés dans le répertoire d'erreurs. La valeur valide est un nombre compris entre 0 et 65536. 65536 est la valeur par défaut.

Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

% de réduction des fichiers d'erreurs

Valeur en pourcentage de la taille ou du nombre de fichiers d'erreurs que le service Log Collector supprime lorsque la taille ou le nombre maximal a été atteint. Le service supprime les anciens fichiers en premier.

La valeur valide est un nombre compris entre 0 et 100. 10 est la valeur par défaut.

Gérer les fichiers enregistrés

Activez la case à cocher pour gérer les fichiers enregistrés. Par défaut, l'option n'est pas sélectionnée.
Par défaut, Log Collector utilise le paramètre Quota des disques de fichiers pour vérifier que le disque ne dépasse pas sa limite de remplissage avec des fichiers enregistrés. Si vous activez cette case à cocher, vous pouvez spécifier l'une des valeurs suivantes :

  • espace maximal alloué aux fichiers enregistrés dans le paramètre Taille des fichiers enregistrés ;
  • nombre maximal de fichiers enregistrés autorisés dans le paramètre Nombre de fichiers enregistrés.

Un pourcentage de réduction est également spécifié, ce qui indique au système le taux de réduction à appliquer lorsque le seuil maximal est atteint.

Taille des fichiers enregistrés

Valide uniquement si les paramètres Gérer les fichiers enregistrés et Enregistrer en cas de réussite ont la valeur vrai.
Taille totale maximale de tous les fichiers dans le répertoire d'enregistrement. La valeur valide est un nombre compris entre 0 et 281474976710655. Vous devez spécifier ces valeurs en Kilooctets, Mégaoctets ou Gigaoctets. 100 Mo est la valeur par défaut.

Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

Nombre de fichiers enregistrés

Valide uniquement si les paramètres Gérer les fichiers enregistrés et Enregistrer en cas de réussite ont la valeur vrai. Nombre maximal de fichiers enregistrés autorisés dans le répertoire d'enregistrement. La valeur valide est un nombre compris entre 0 et 65536. 65536 est la valeur par défaut.

Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

% de réduction des fichiers enregistrés

Valeur en pourcentage de la taille ou du nombre de fichiers enregistrés que le service Log Collector supprime lorsque la taille ou le nombre maximal a été atteint. Le service supprime les anciens fichiers en premier.

La valeur valide est un nombre compris entre 0 et 100. 10 est la valeur par défaut.

Debug

Attention : N'activez le débogage (paramètre défini sur On ou Verbose) que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active/désactive la consignation du débogage pour la source d'événement.
Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

AnnulerFerme la boîte de dialogue sans ajouter de type de source d'événement.
OKAjoute les paramètres de la source d'événement.

Tâches :

Étape 1. Configurer des sources d'événements liées aux fichiers dans Security Analytics

Étape 2. Configurer des sources d'événements liées aux fichiers pour envoyer des événements à Security Analytics

You are here
Table of Contents > Guide de configuration de File Collection Protocol > Références - Paramètres de configuration de la collecte de fichiers

Attachments

    Outcomes