Collection Windows d'ancienne génération : Paramètres de configuration

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique décrit l'interface utilisateur pour la configuration de la collecte Windows d'ancienne génération.

Les options Windows d'ancienne génération/Windows ou Windows d'ancienne génération/NetApp dans le service Log Collector, vue Configuration > onglet Sources d'événements affichent les paramètres que vous spécifiez pour configurer les sources d'événements Windows d'ancienne génération.

Pour accéder aux paramètres de configuration de la collecte Windows d'ancienne génération et NetApp :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Dans la colonne Actions, sélectionnez  Menu Actions détouré > Afficher > Configuration, puis cliquez sur l'onglet Sources d'événement.
  4. Sous l'onglet Sources d'événements, sélectionnez l'une des options suivantes dans le menu déroulant
  • Windowsd'ancienne génération/Windows
  • Windowsd'ancienne génération/NetApp

LegWinScreens.png

Fonctions

L'onglet Sources d'événements pour Windows d'ancienne génération/Windows et Windows d'ancienne génération/NetApp propose deux panneaux : Catégories et sources d'événements

Panneau Catégories d'événements

Le panneau Catégories d'événement répertorie les alias existants de source d'événement Windows d'ancienne génération. Utilisez cette section pour ajouter ou supprimer des alias de source d'événement Windows d'ancienne génération.

Le domaine Windows, connu sous le nom d'alias, est le paramètre de configuration que Log Collector utilise pour regrouper les sources d'événements. La plupart du temps, l'alias définit un domaine unique car les informations d'identification (c'est-à-dire le nom d'utilisateur et le mot de passe) et le nom de log des événements s'appliquent au domaine entier. Quelquefois, vous devez définir plusieurs entrées d'alias pour le même domaine pour personnaliser les paramètres des différents groupes de sources d'événements.

Panneau Sources

 Le panneau Sources affiche une liste de sources existantes d'événements Windows d'ancienne génération. Utilisez cette section pour ajouter ou supprimer des sources d'événements Windows d'ancienne génération (c'est-à-dire l'adresse de la source d'événement Windows et les paramètres de communication associés).

Barre d'outils

Le tableau ci-dessous fournit la description des options contenues dans les barres d'outils.

                               
FonctionnalitéDescription :
Icon-Add.png

Affiche la boîte de dialogue Ajouter une source dans laquelle vous pouvez définir les paramètres de l'hôte de pare-feu.

Icon_Delete_sm.png Supprime l'hôte que vous avez sélectionné.
icon-edit.png

Ouvre la boîte de dialogue Modifier la source permettant de modifier les paramètres de la source d'événements sélectionnée.

Sélectionnez plusieurs sources d'événements, puis cliquez sur icon-edit.png pour ouvrir la boîte de dialogue Modifier la source en bloc qui permet de modifier les valeurs de paramétrage des sources d'événements sélectionnées.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

ImportSourceIcon.PNG

Ouvre la boîte de dialogue Option d'ajout en bloc permettant d'importer en bloc des hôtes contenus dans un fichier CSV.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

ExportSourceIcon.PNG

Crée un fichier .csv contenant les paramètres des hôtes sélectionnés.

Consultez le Guide de Configuration de Log Collection pour obtenir des informations détaillées sur la façon d'importer, d'exporter et de modifier des sources d'événements en bloc.

Boîte de dialogue Ajouter une source

Dans cette boîte de dialogue, vous définissez les paramètres d'une nouvelle source d'événement Windows d'ancienne génération.

                                                                         
FonctionnalitéDescription :
Basique
Name*Nom de la source de l'événement. La valeur valide est un nom compris dans la plage [_a-zA-Z] [_a-zA-Z0-9]*. Vous pouvez utiliser un trait « - » comme partie du nom.
Adresse de la source d'événement*Adresse IP de la source d'événement. La valeur valide est une adresse IPv4, une adresse IPv6 ou un nom d'hôte incluant un nom de domaine complet. Security Analytics adopte la valeur par défaut 127.0.0.1.
Log Collector convertit le nom d'hôte en lettres minuscules pour éviter les doublons.
Nom du log d'événements

Nom du log des événements à partir duquel collecter les données d'événements (par exemple, Système, Application ou Sécurité).
Voici quelques exemples de canaux :

  • Système ‐ applications qui s'exécutent sous des comptes de service système (services système installés), des pilotes, des composants ou des applications avec des événements liés à l'intégrité du système.
  • Application ‐ toutes les applications de niveau utilisateur. Ce canal est non-sécurisé et reste ouvert à n'importe quelle application. Si une application comporte des informations détaillées, vous devez lui définir un canal qui lui est spécifique.
  • Sécurité ‐ le journal d'audit Windows (log d'événements) utilisé exclusivement pour l'Autorité de sécurité locale de Windows.
EnabledCochez cette case pour effectuer une collecte à partir de cette source d'événement. Si vous ne cochez pas cette case, le Log Collector ne collectera pas les événements de cette source d'événements.
Chemin d'accès au répertoire d'événements

Chemin du répertoire de fichiers NetApp .evt. Ce doit être le chemin UNC.
NetApp génère des données d'événements et les enregistre dans des fichiers .evt au sein d'un répertoire qu'il est possible de partager sur l'appliance NetApp.

Lors de chaque cycle d'interrogation, Log Collector parcourt le chemin partagé NetApp qui a été configuré jusqu'aux fichiers .evt identifiés dans les paramètres Chemin d'accès au répertoire d'événements et Préfixe des fichiers d'événements. Log Collector :

  • trie les fichiers qui correspondent au format event-file-prefix.YYMMDDhhmmss.evt, par ordre croissant.
  • utilise l'horodatage du dernier fichier traité pour déterminer les fichiers qui doivent encore être traités. Si Log Collector trouve un fichier partiellement traité, il ignore les événements déjà traités.
Préfixe des fichiers d'événementsPréfixe des fichiers .evt (par exemple, adtlog.) enregistrés au Chemin d'accès au répertoire d'événements.
Avancé 
Taille du tampon d'événement

Taille maximale des données que Log Collector extrait de la source d'événement pour chaque requête.

La valeur valide est un nombre compris entre 0 et 511 kilo-octets. Vous spécifiez cette valeur en kilo-octets.

Résultats des événements trop volumineuxIndique à Log Collector ce qu'il doit faire si un événement est trop volumineux pour le tampon d'événement.
Nombre maximal de données d'événements

Taille maximum des données d'événement à inclure dans la sortie. La valeur valide est un nombre compris entre 0 et 511 kilo-octets. Vous spécifiez cette valeur en kilo-octets ou mégaoctets.

  • 1 kilo-octet - 100 mégaoctets
  • 0 = n'inclut pas les données d'événements dans la sortie.
Nbre max. d'événements par cycleNombre maximal d'événements par cycle d'interrogation (nombre d'événements collectés par cycle d'interrogation).
Intervalle d'interrogation

Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 180.

Par exemple, si vous spécifiez 180, le collecteur planifie une interrogation de la source d'événement toutes les 180 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 180 secondes avant de démarrer car les threads sont occupés.

Debug

Attention : N'activez le débogage (paramètre défini sur « On » ou « Verbose ») que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active ou désactive la consignation du débogage pour la source d'événement. Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose  = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire). Limitez le nombre de sources d'événements pour lesquelles vous utilisez le débogage Verbose pour réduire l'impact sur les performances.

AnnulerFerme la boîte de dialogue sans ajouter la source d'événement Windows d'ancienne génération.
OKAjoute les valeurs de paramétrage actuelles en tant que nouvelle source d'événement
You are here
Table of Contents > Guide de configuration de la collecte Windows d'ancienne génération et NetApp > Références - Paramètres de configuration de la collecte Windows d'ancienne génération et NetApp

Attachments

    Outcomes