Collecte de fichiers (facultatif) : Créer un fichier typespec de contenu personnalisé

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment créer un fichier typespec personnalisé pour la collecte de fichiers.

Contexte

Cette rubrique explique comment créer un fichier typespec personnalisé pour le Log Collector. Cette rubrique comprend :

  • Créer une procédure typespec personnalisée
  • Syntaxe typespec pour la collecte de fichiers
  • Exemple de collecte de fichiers

Revenir à Procédures

Procédure

Pour créer un fichier typespec personnalisé :

  1. Copiez un fichier typespec existant et enregistrez-le dans le même répertoire.
    Par exemple, copiez le fichier apache.xml à partir de /etc/netwitness/ng/logcollection/content/collection/file et enregistrez-le sous un autre nom dans le même répertoire.
  2. Modifiez le fichier en fonction de vos exigences.
  3. Redémarrez le Log Collector.
  4. Vous ne pourrez pas voir le nouveau type de périphérique dans Security Analytics tant que vous ne redémarrez pas le Log Collector.

Syntaxe typespec pour la collecte de fichiers

                                                                                                                                                    
SyntaxeDescription :
<?xml version="1.0" encoding="UTF-8"?>Ne modifiez pas cette ligne.
<typespec>Ne modifiez pas cette ligne.
<name>eventsource</name>< Remplacez >eventsource par le nom de votre source d'événements de fichiers (par exemple, apache).  Security Analytics affiche ce nom dans le panneau Sources de l'onglet Vue > Config > onglet Sources d'événements.</event>
Utilisez une chaîne alphanumérique comme valeur. Vous ne pouvez pas utiliser de tiret (-), de tiret bas (_) ni d'espace.  Le nom doit être unique parmi tous les fichiers typespec du dossier.
<type>file</type>  Type de source d'événement (fichier, ODBC, Windows, etc.).  Ne modifiez pas cette ligne.
<prettyName>event-source-name</prettyName>Nom défini par l'utilisateur pour la source d'événement.  Vous pouvez utiliser la même valeur que le nom (par exemple, apache) ou utiliser un nom plus descriptif.
<version>1.0</version>  <</td>Version de ce fichier typespec. La valeur par défaut est 1.0.
<author>author-name</author>Auteur du fichier typespec. Remplacez author-name par votre nom.
<description>formal-description</description>Description formelle de la source d'événement. Remplacez formal-description par votre description de la source d'événements.
<device>Ne modifiez pas cette ligne.
<name>event-source</name>Nom de la source d'événement. Remplacez event-source par le nom de votre source d'événements de fichiers (par exemple, apache).
</device>Ne modifiez pas cette ligne.
<configuration> 
</configuration>
Pas utilisé par la collecte de fichiers.
<Collection>Ne modifiez pas cette ligne.
<licence>La syntaxe sous <file> est utilisée pour la collecte et le traitement des événements.
<parserId>file.event-source-name</parserId>"Réservé pour une future version."
<processorType>processor-type</processorType>Type de processeur.  Pour processor-type, voici quelques exemples : generic, xml, tagvalmap et oracle. Les types de processeurs sont similaires aux gestionnaires dans RSA enVision.<</p>
<dataStartLine>n</dataStartLine>n est le numéro de ligne dans le fichier log à partir duquel Security Analytics commence la collecte des événements. La valeur par défaut est 1.
<fieldDelim>x</fieldDelim>Précisez le délimiteur à utiliser pour séparer les champs.  Spécifiez l’une des valeurs suivantes pour x :
  •   || (barres verticales)
  •   ^ (accent circonflexe)
  •   , (virgule)
  •   : (deux-points)
  •   0x20 (pour un espace)
<idField>n</idField>Numéro du champ pour l'ID de message. Par exemple, indiquez 6 pour n afin d'identifier le sixième champ de l'événement délimité par des espaces en tant qu'ID de message.
<lineDelim>x</lineDelim>Délimiteur de ligne qui détecte la fin d'un événement. Par exemple, indiquez \n pour x afin de fournir des valeurs hexadécimales pour CR et LF. 
<eventGroups> La syntaxe sous <eventGroups> est uniquement utilisée lorsque processorType = xml.
<eventGroup>Ne modifiez pas cette ligne.
<globalInfo></globalInfo>  globalInfo xpath. Lit les informations du nœud parent et les ajoute à chaque niveau.
<eventXPath>//Audit/AuditRecord</eventXPath>Chemin relatif des événements
</eventGroup> Ne modifiez pas cette ligne.
</eventGroups>Balise de fin du type de processeur xml. Ne modifiez pas cette ligne.
La collecte de fichiers utilise les balises suivantes durant la transformation des événements :
<transformPrefixTag>prefix</transformPrefixTag>Insère le préfixe spécifié devant l'événement transformé. Par exemple, si vous indiquez APACHE, Security Analytics insère %APACHE en tant que préfixe.
<transformReplaceFieldDelim>n
</transformReplaceFieldDelim>
Pour remplacer/ne pas remplacer le délimiteur durant la transformation. Les valeurs valides pour n sont :
  • 0 (par défaut) = ne pas remplacer
  • 1 = remplacer
<transformPrefixFilename>n
</transformPrefixFilename>
Pour ajouter/ne pas ajouter le préfixe (par exemple, APACHE) au nom de fichier durant la transformation. Les valeurs valides pour n sont :
  • 0 (par défaut) = ne pas ajouter
  • 1 = ajouter
<transformMultipleDelimiterAsOne>n
</transformMultipleDelimiterAsOne>
Pour combiner/ne pas combiner plusieurs délimiteurs séquentiels en un. Les valeurs valides pour n sont :
  •   0 = ne pas combiner
  •   1 (par défaut) = combiner
<transformReplacementFieldDelim>x
</transformReplacementFieldDelim>
Pour remplacer les délimiteurs de champs bruts par les valeurs données (x) si transformReplaceFieldDelim flag = 1.
</file>Ne modifiez pas cette ligne.
</collection>Ne modifiez pas cette ligne.
</typespec>Ne modifiez pas cette ligne.

Exemple de fichier Typespec de collecte de fichiers

-# Exemple apache typespec, collecte de fichiers

<&lt;?xml>

    <typespec>

    <name>apache</name>             

    <type>file</type>                

    <prettyName>apache</prettyName>  

    <version>1.0</version>           

    <author>administrator</author>    

    <description>Spécification de collecte de fichiers pour le type de source d'événements « Apache Web Server » utilisant le type de gestionnaire de fichiers « APACHE »</description>  

    <device>

        <name>apache</name>          

 

<   >

    </configuration>

    <Collection>

        <licence>

        -# les balises ci-dessous sont utilisées pour la collecte et le traitement des événements

            <parserId>file.apache</parserId>           

            <processorType>generic</processorType>     

            <dataStartLine>1</dataStartLine>          

            <fieldDelim>0x20</fieldDelim>              

            <idField>6</idField>                       

            <lineDelim>\n</lineDelim>                  

        -# les balises ci-dessous sont utilisées uniquement lorsque processorType = xml

            <eventGroups>                              

                <eventGroup>

                    <globalInfo></globalInfo>                      

                    <eventXPath>//Audit/AuditRecord</eventXPath>   

                </eventGroup>

            </eventGroups>

        -# Balises de fin pour le type de processeur xml 

        -# les balises ci-dessous sont utilisées durant la transformation d'événements

            <transformPrefixTag>APACHE</transformPrefixTag>            

            <transformReplaceFieldDelim>0</transformReplaceFieldDelim> 

            <transformPrefixFilename>0</transformPrefixFilename>           

            <transformMultipleDelimiterAsOne>1</transformMultipleDelimiterAsOne>  

            <transformReplacementFieldDelim></transformReplacementFieldDelim>  

        </file>

    </collection>

</typespec>         
You are here
Table of Contents > Guide de configuration de File Collection Protocol > Procédures > (Facultatif Créer un fichier typespec de contenu personnalisé pour la collecte de fichiers

Attachments

    Outcomes