Déploiement de Log Collection : Configurer le routage de logs pour des protocoles spécifiques

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment définir la destination de routage des messages d'événements pour des protocoles spécifiques en configurant plusieurs collecteurs locaux dans un groupe de destination. Cela peut vous aider à diriger les données d'événements vers des emplacements spécifiques en fonction du type de protocoles.

Une fois que vous aurez terminé cette procédure, vous aurez configuré plusieurs destinations dans un groupe de destination auquel Security Analytics distribue les données d'événements de protocole.

Revenez à la rubrique Procédures

Procédure

Définir le routage des données d'événements de protocole

Lorsque vous effectuez une transmission vers plusieurs collecteurs locaux, vous pouvez choisir de router des données d'événements de protocoles spécifiques vers plusieurs collecteurs locaux en précisant plusieurs destinations dans un groupe de destination. Un groupe de destination est une collection de collecteurs locaux, où les données d'événements sont distribuées de manière uniforme pour tous les membres du groupe.

La figure cidessous vous montre comment router des messages d'événements à partir d'un protocole de collecte.

AddRCLA1(simple).png

Accédez à la vue Services.

RCParamConfigNav.png

Sélectionnez un collecteur distant.

Cliquez sur AdvcdExpandBtn.PNG sous Actions, puis sélectionnez Vue > Config pour afficher les onglets des paramètres de configuration de Log Collection.

LoadBal.png

Sélectionnez l'onglet Collecteurs locaux, sélectionnez Destinations dans le menu déroulant Sélectionner la configuration, puis cliquez sur Icon-Add.png dans Groupes de destination pour afficher la boîte de dialogue Ajouter des destinations distantes.

Configurez une destination différente pour chaque collecteur local et définissez les protocoles pour lesquels vous souhaitez transmettre des messages d'événements au collecteur local en question.

La configuration de collecteur local primaire et à équilibrage de charge nouvellement ajoutée s'affiche sous l'onglet Collecteur local.

Configurer le routage des messages d'événements à partir d'un protocole de collecte

  1. Dans le menuSecurity Analytics, sélectionnez Administration > Services.
  2. Dans Services, sélectionnez un Collecteur distant.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
    La vue Configuration de service s'affiche avec l'onglet Log Collector Général ouvert.
  4. Sélectionnez l'onglet Collecteurs locaux.
  5. Dans le panneau Groupes de destination, cliquez sur Icon-Add.png.
    La boîte de dialogue Ajouter une destination distante s'affiche.
  6. Configurez une destination différente pour chaque collecteur local et définissez les protocoles pour lesquels vous souhaitez transmettre des messages d'événements au collecteur local en question. Les exemples suivants présentent l'ajout de deux collecteurs locaux de destination (Destination1 et Destination2). Cette configuration envoie :
  • Données d'événements Check Point, Fichier et ODBC vers Destination1
  • Données d'événements Syslog et Windows vers Destination2.
  1. Saisissez le nom de la destination.
  2. Saisissez le nom du groupe. Si vous n'indiquez aucun nom de groupe, le nom de la destination est utilisé par défaut.
  3. Sélectionnez le protocole de collecte dans la liste déroulante.
  4. Sélectionnez un collecteur local (par exemple, LC1)

    LoadBalAdd1.PNG
  5. Cliquez sur OK. La Destination1 est créée et s'affiche dans le panneau Groupes de destination.
  6. Sélectionnez le nouveau groupe (par exemple, Destination1) dans le panneau Groupes de destination, puis cliquez sur Icon-Add.png dans le panneau Collecteur local.
  7. Dans le panneau Collecteur local, cliquez sur Icon-Add.png, puis complétez la boîte de dialogue Ajouter une destination distante, comme illustré dans la figure suivante.

    LoadBalAdd2.PNG
    Les protocoles de collecte Point de contrôle, Fichier, ODBC, Syslog et Windows font l'objet d'un équilibrage de charge entre deux collecteurs locaux (LC1 et LC2). Ces deux collecteurs sont actifs et collectent des données d'événements.

    LoadBalAdd3.png
You are here
Table of Contents > Guide de déploiement de Log Collection > Procédures > Configurer des collecteurs locaux et des collecteurs distants > Transmettre des événements aux collecteurs locaux > Configurer le routage de logs pour des protocoles spécifiques

Attachments

    Outcomes