Collecte de fichiers : Étape 1. Configurer des sources d'événements dans Security Analytics

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment configurer les sources d'événements de fichier dans Security Analytics.

À la fin de cette procédure, vous aurez...

  • Configuré la collecte de fichiers pour la source d'événements dans Security Analytics.
  • Modifié la collecte de fichiers pour la source d'événements dans Security Analytics.
  • Vérifié que l'analyseur correct a été activé sur le Log Decoder pour analyser les événements de log à partir de la nouvelle source d'événement.

Revenez à la rubrique Procédures

Procédures

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Fichier/Config dans le menu déroulant.
  5. Dans la barre d'outils du panneau Catégories d'événements , cliquez sur Icon-Add.png.
    FileAvailESTypes.PNG
  6. Sélectionnez un type de source d'événement (par exemple, emc_symmetrix), puis cliquez sur OK.
    Le type de source d'événement nouvellement ajouté s'affiche dans le panneau Catégories d'événements.
  7. Sélectionnez le nouveau type dans le panneau Catégories d'événements, puis cliquez sur dans la barre d'outils Sources Icon-Add.png.
    La boîte de dialogue Ajouter une source s'affiche.
  8. Ajoutez un nom de répertoire de fichiers, puis modifiez tous les autres paramètres qui requièrent des changements.
  9. Pour obtenir la clé publique et l'entrer dans la boîte de dialogue, procédez comme suit :
    1. Sélectionnez et copiez la clé publique à partir de la source de l'événement en exécutant : cat ~/.ssh/id_rsa.pub
    2. Collez la clé publique dans le champ Clé SSH Eventsource.
  10. Cliquez sur OK.

Vous devez redémarrer la collecte de fichiers pour que vos modifications soient appliquées.

Configurer les répertoires de téléchargement de Security Analytics

Après avoir ajouté et configuré la source d'événement en utilisant l'interface utilisateur Security Analytics, vous devez configurer correctement les répertoires de téléchargement.

  1. Définissez le répertoire /var/netwitness/logcollector.
  2. Remplacez le propriétaire du répertoire de téléchargement par l'utilisateur sftp :
    chown sftp /var/netwitness/logcollector/upload
  3. Remplacez le groupe du répertoire de téléchargement par l'utilisateur sftp :
    chgrp -R sftp /var/netwitness/logcollector/upload
  4. Vérifiez que le répertoire /upload possède les autorisations correctes :
    chmod -R 775 /var/netwitness/logcollector/upload
  5. Facultatif : définissez une tâche cron pour exécuter le script aux intervalles souhaités. Si vous définissez une tâche cron, veillez à l'exécuter en tant que cet utilisateur sftp

Arrêter et redémarrer la collecte de fichier

Après avoir ajouté une nouvelle source d'événement qui utilise la collecte de fichier, vous devez arrêter et redémarrer le service de collecte de fichier Security Analytics. Cette action est nécessaire pour ajouter la clé à une nouvelle source d'événement.

Modifier la collecte de fichiers pour la source d'événements dans Security Analytics

Pour modifier une source d'événement :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Fichier/Config dans le menu déroulant.
  5. Sélectionnez un type de source d'événements (par exemple, emc_symmetrix) dans le panneau Catégories d'événements, puis cliquez sur OK.
  6. Dans le panneau Sources, sélectionnez une source d'événement, puis cliquez sur icon-edit.png.
    La boîte de dialogue Modifier la source s'affiche.
  7. Modifiez les paramètres nécessaires, puis cliquez sur OK.
    FileEditSource.PNG
  8. Security Analytics applique les modifications de paramètres à la source d'événement sélectionnée.
Previous Topic:Procédures
You are here
Table of Contents > Guide de configuration de File Collection Protocol > Procédures > Étape 1. Configurer des sources d'événements liées aux fichiers dans Security Analytics

Attachments

    Outcomes