Configuration de Log Collection : Configurer des filtres d'événements Syslog pour le collecteur distant

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment créer et gérer les filtres d'événements pour le protocole de collecte Syslog.

À la fin de cette procédure, vous aurez :

  • Configuré un filtre d'événement Syslog
  • Modifié des règles de filtre d'événement Syslog.

Attention : Ne configurez pas Syslog Collection pour les Log Collectors locaux. Vous devez uniquement configurer Syslog Collection pour les Remote Collectors. Voir Accéder aux collecteurs locaux et collecteurs distants pour plus d’informations de configuration supplémentaires.

Revenez à la rubrique Procédures

Configurer un filtre d'événement Syslog

Pour configurer une source d'événements de fichier :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions, puis sélectionnez Vue > Config.
  4. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Syslog/Filtres dans les menus déroulants.

    La vue Filtres affiche les filtres Syslog qui sont configurés, le cas échéant.

  5. Dans la barre d'outils du panneau Filtres, cliquez sur Icon-Add.png.

    La boîte de dialogue Ajouter un filtre s'affiche.

    SyslogFilter1.PNG

  6. Saisissez un nom et une description pour le nouveau filtre et cliquez sur Ajouter.

    Le nouveau filtre s'affiche dans le panneau Filtre.

  7. Sélectionnez le nouveau filtre dans le panneau Filtres et cliquez sur Icon-Add.png dans la barre d'outils du panneau Règles de filtrage.

    La boîte de dialogue Ajouter une règle de filtrage s'affiche.

  8. Cliquez sur Icon-Add.png sous Conditions de la règle.
  9. Ajoutez les paramètres pour cette règle et cliquez sur Mettre à jour > OK.

Security Analytics met à jour le filtre avec la règle que vous avez définie.

                                 
ChampDescription :
CléLes valeurs autorisées sont les suivantes :
  • Niveau Syslog
  • IP source
  • Événement brut
OpérateurLes valeurs autorisées sont les suivantes :
  • Contenu
  • Égal à
Utiliser RegexFacultatif. Vous pouvez utiliser cette valeur si vous souhaitez utiliser une expression régulière (regex).
ValeurLa valeur dépend de la valeur de clé que vous avez sélectionnée.
Par exemple, si vous choisissez Niveau Syslog en tant que clé, la valeur correspondra à un nombre qui désigne le niveau Syslog.
Ignorer la casseFacultatif. Sélectionnez cette option pour ignorer le respect de la casse.
Action

En cas de correspondance, vous pouvez choisir une action de type acceptation, refus, condition suivante ou règle suivante.

En cas de non-correspondance, vous pouvez choisir une action de type acceptation, refus, condition suivante ou règle suivante.

Modifier les règles de filtre

Pour modifier une source d'événement :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Syslog/Filtres dans le menu déroulant.

  5. La vue Filtres affiche les filtres Syslog qui sont configurés, le cas échéant.
  6. Dans la liste Règles de filtrage, sélectionnez une règle et cliquez sur icon-edit.png.

    La boîte de dialogue Modifier la règle de filtrage s'affiche.

  7. Sélectionnez la condition de règle à modifier.

  8. Modifiez les paramètres de condition nécessaires, puis cliquez sur Mettre à jour > OK.

Security Analytics applique les modifications de paramètres de condition à la règle de filtre sélectionnée.

Parameters

Vue Filtres d'événements Syslog du collecteur distant

You are here
Table of Contents > Guide de configuration de Log Collection > Procédures > Étape 3. Configurer des sources d'événements dans Security Analytics > Configurer des filtres d'événements Syslog pour le collecteur distant

Attachments

    Outcomes