Collecte ODBC : Créer un fichier typespec de contenu personnalisé

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique explique comment créer un fichier typespec personnalisé pour le Log Collector. Cette rubrique comprend :

  • Créer une procédure typespec personnalisée
  • Syntaxe typespec pour la collecte ODBC
  • Exemple de fichier Typespec pour la collecte ODBC

Revenir aux Procédures

Procédure

Pour créer un fichier typespec personnalisé :

  1. Copiez un fichier typespec existant et enregistrez-le dans le même répertoire.

    Par exemple, pour la collecte ODBC, copiez le fichier actividentity.xml à partir de /etc/netwitness/ng/logcollection/content/collection/odbc et enregistrez-le sous un autre nom dans le même répertoire.

  2. Modifiez le fichier en fonction de vos exigences.
  3. Redémarrez le Log Collector.

    Vous ne pourrez pas voir le nouveau type de périphérique dans Security Analytics tant que vous ne redémarrez pas le Log Collector.

Syntaxe typespec pour la collecte ODBC

                                                                                                                           
SyntaxeDescription
<?xml version="1.0" encoding="UTF-8"?> Ne modifiez pas cette ligne.
<typespec> Ne modifiez pas cette ligne.
<name>event-source</name> Nom de la source d'événement. Remplacez event-source par le nom de votre source d'événements ODBC (par exemple, actividentity). Security Analytics affiche ce nom dans le panneau Sources de l'onglet Vue > Config > onglet Sources d'événements.
<type>odbc</type>  Type de source d'événement (fichier, ODBC, Windows, etc.).  Ne modifiez pas cette ligne.
<prettyName>event-source -name</prettyName> Nom défini par l'utilisateur pour la source d'événement.  Vous pouvez utiliser la même valeur que le nom (par exemple, actividentity) ou utiliser un nom plus descriptif.
<version>1.0</version>   Version de ce fichier typespec. La valeur par défaut est 1.0.
<author>author-name</author> Auteur du fichier typespec. Remplacez author-name par votre nom.
<description>formal-description</description> Description formelle de la source d'événement. Remplacez formal-description par votre description de la source d'événements.
<device> Ne modifiez pas cette ligne.
<name>device</name> Remplacez device par le nom d'information du périphérique (par exemple, ActivIdentity ActivCard AAA Server).
<maxVersion>n</maxVersion Remplacez n par le numéro de version du périphérique (par exemple, 6.4.1).
<description>description</description> Description du périphérique. Remplacez description par la description du périphérique.
</device> Ne modifiez pas cette ligne.
<configuration> 
</configuration>
Pas utilisé par la collecte ODBC.
<collection> Ne modifiez pas cette ligne.
<odbc> La syntaxe sous <odbc> est utilisée pour la collecte et le traitement des événements.  Vous pouvez fournir plusieurs requêtes pour le même type de source d'événements en ajoutant des balises <query>.
<query> Ne modifiez pas cette ligne.
<tag>prefix</tag>  Remplacez prefix par la balise de préfixe que vous souhaitez ajouter aux événements durant la transformation (par exemple, ActivIdentity).
<outputDelimiter>x</outputDelimiter> Précisez le délimiteur à utiliser pour séparer les champs durant la transformation.  Spécifiez l’une des valeurs suivantes pour x :
  ||(piping)
  ^ (accent circonflexe)
  , (virgule)
  : (deux-points)
  0x20 (pour un espace)
<interval>n</interval>  Spécifiez le nombre de secondes entre les événements pour n. La valeur par défaut est 60.
<dataQuery>SQL-syntax</dataQuery> Spécifiez la requête pour récupérer les données de la base de données de source d'événements ODBC pour SQL-syntax. Par exemple : SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate
<maxTrackingQuery>SQL-syntax</maxTrackingQuery> Spécifiez la requête pour rechercher de nouvelles données pour SQL-syntax. Par exemple : SELECT MAX(sdate) FROM A_AHLOG
<addressColumn>source-address-col-value
</addressColumn>
Remplacez source-address-col-value par la valeur de colonne de base de données de l'adresse source pour chaque événement (par exemple,
serverIPA).
<trackingColumn>col-value</trackingColumn> Remplacez col-value par la valeur de colonne de suivi lorsque le collecteur ODBC extrait un nouveau jeu d'événements.
</query> Ne modifiez pas cette ligne.
</odbc> Ne modifiez pas cette ligne.
</collection> Ne modifiez pas cette ligne.
</typespec> Ne modifiez pas cette ligne.

Exemple de fichier Typespec pour la collecte ODBC

-# Sample actividentity typespec , odbc collection <?xml version="1.0" encoding="UTF-8"?> 
<typespec>
    <name>actividentity</name>                             
    <type>odbc</type>                                      
    <prettyName>ACTIVIDENTITY</prettyName>                 
    <version>1.0</version>                                 
    <author>Administrator</author>                         
    <description>Collects events from ActivIdentity ActivCard AAA Server</description> 
    <device>
        <name>ActivIdentity ActivCard AAA Server</name>    
        <maxVersion>6.4.1</maxVersion>
        <description></description>
    </device>
    <configuration>                                       
    </configuration>
    <collection>
        <odbc>    
            <query>
                <tag>ActivIdentity</tag>              
                <outputDelimiter>||</outputDelimiter>                   <interval>60</interval>               
                <dataQuery>                            
                    SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate
                </dataQuery>
                <maxTrackingQuery>                     
                    SELECT MAX(sdate) FROM A_AHLOG
                </maxTrackingQuery>
                <addressColumn>serverIPA</addressColumn>
                <trackingColumn>sdate</trackingColumn>  
            </query>
            <query>
                <tag>ActivIdentity</tag>
                <outputDelimiter>||</outputDelimiter>
                <interval>60</interval>
                <dataQuery>                     SELECT object, suid, sdate, objname, operation, opdetail, param1, param2, param3, param4 FROM A_AUDIT WHERE sdate > '%TRACKING%' ORDER BY sdate
                </dataQuery>
                <maxTrackingQuery>
                    SELECT MAX(sdate) FROM A_AUDIT
                </maxTrackingQuery>
                <addressColumn></addressColumn>
                <trackingColumn>sdate</trackingColumn>
            </query>
        </odbc>
    </collection>
</typespec>
 

You are here
Table of Contents > Guide de configuration d'ODBC Collection > Procédures > Étape 1. Configurer des sources d'événements ODBC dans Security Analytics > Collecte ODBC : Créer un fichier typespec de contenu personnalisé

Attachments

    Outcomes