Déploiement de Log Collection : Les bases

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique présente les procédures de base à effectuer pour déployer Log Collection et répondre aux besoins de votre entreprise

Comment déployer Log Collection

Vous pouvez déployer Log Collection selon les besoins et préférences de votre entreprise. Vous pouvez ainsi déployer Log Collection sur plusieurs sites et collecter des données de différents jeux de sources d'événements. Pour cela, vous devez configurer un collecteur local avec un ou plusieurs collecteurs distants.

Composants de Log Collection

La figure suivante illustre l'ensemble des composants impliqués dans la collecte d'événements via Security Analytics Log Collector.

LC_Deployment.png

Pour plus d’informations sur le contenu de la source d’événements de Log Collector, consultez la section Configurer des sources d'événements pour envoyer des événements à Security Analyticsdans le Guide de configuration de Log Collection.

Collecteurs locaux et distants

La figure suivante explique comment les collecteurs locaux et distants interagissent pour collecter des événements auprès de tous vos sites.

Dans ce scénario, la collecte des journaux à partir de différents protocoles comme Windows, ODBC, etc. est effectuée via les services de collecteur distant et Log Collector. Si la collecte des journaux est effectuée par le collecteur local, elle est transmise au service Log Decoder, comme dans le cas d'un déploiement local. Si elle est effectuée par un collecteur distant, elle peut être transmise de deux façons au collecteur local :

  • Par extraction : à partir d'un collecteur local, vous sélectionnez les collecteurs distants desquels extraire les événements.
  • Par transmission : à partir d'un collecteur distant, vous sélectionnez le collecteur local auquel transmettre les événements.

Vous pouvez configurer un ou plusieurs collecteurs distants pour transmettre les données d'événements à un collecteur local, ou vous pouvez configurer un collecteur local pour extraire les données d'événements d'un ou de plusieurs collecteurs distants.

Pour les versions 10.4 et ultérieures du collecteur distant, vous pouvez configurer une chaîne de collecteurs distants pour lequel vous pouvez configurer :

  • Un ou plusieurs collecteurs distants pour transmettre les données d’événement à un collecteur distant.
  • Un collecteur distant pour extraire les données à partir d’un ou plusieurs collecteurs distants.

Remarque :  Pour le chaînage de collecteur distant, vous pouvez uniquement :
Transmettre les données d'un collecteur distant version 10.4 ou ultérieure à d'autres collecteurs distants ou collecteurs locaux version 10.4 ou ultérieure.
Utilisez un collecteur distant 10.4 ou version ultérieure pour extraire les données à partir d’un ou plusieurs collecteurs distants 10.4 ou version ultérieure.

RC-Deployment.png

Windows Legacy Remote Collector

La figure suivante illustre le déploiement requis pour collecter les événements auprès des sources d'événements Windows Legacy (Windows 2003/2000 et NetApp).

Windows_Legacy_Mult-Domain_Data_Flow.png

Next Topic:Procédures
You are here
Table of Contents > Guide de déploiement de Log Collection > Les bases

Attachments

    Outcomes