Maintenance sys. : Configurer le contrôle des sources d'événements

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Pour contrôler les sources d'événements, vous devez configurer les sources d'événements afin qu'elles génèrent et envoient des notifications en cas de besoin. Pour consulter la rubrique référencée associée, consultez Onglet Paramètres d'intégrité - Sources d'événements

Procédures

Configurer et activer la surveillance des événements

Pour configurer et activer la surveillance des événements dans Security Analytics :

  1. Dans le menu Security Analytics, sélectionnez Administration > Intégrité.
  2. Sélectionnez Paramètres > Source d'événement.
    L'onglet Source d'événement s'affiche.
    esm_monitoring_settings.PNG
     
  3. Sous Surveillance des sources d'événements, cliquez sur Icon-Add.png.
    La boîte de dialogue Ajouter/modifier la surveillance des sources s'affiche.
  4. Définissez le Type de source, l'Hôte source et le Seuil de délai d'attente de la source d'événement que vous souhaitez surveiller pour détecter le moment où Security Analytics cesse d'en recevoir des logs.  Si vous ne spécifiez pas de Seuil de délai d'attente, Security Analytics surveille la source d'événement jusqu'à ce que vous définissiez un seuil.

Remarque : Pour le Type de source et l'Hôte source, vous devez spécifier les valeurs que vous avez configurées pour la source de l'événement sous l'onglet Sources d'événements de la vue Administration > Services > Service Log Collector > Vue > Config. Vous pouvez ajouter ou modifier les sources d'événements que vous souhaitez surveiller.  Les deux paramètres qui identifient une source d'événement sont Type de source et Hôte source. Vous pouvez utiliser globbing (association de motifs et caractères génériques) pour spécifier le Type de source et l'Hôte source des sources d'événements

add-edit_source_monitor_dialog.png

  1. Cliquez sur OK.
    La source d'événement s'affiche dans le panneau.
  2. Configurez la méthode de notification en procédant comme suit :
  • Sélectionnez Configurer l'e-mail ou la liste de distribution.
    Le panneau Administration > Système > Configuration de l'e-mail s'affiche, de sorte que vous pouvez spécifier à qui les notifications sont envoyées.
  • Sélectionnez Configurer des serveurs de traps Syslog et SNMP.
    Le panneau Administration > Configuration d'audit système s'affiche, de sorte que vous pouvez configurer le Syslog et les traps SNMP auxquels les notifications sont envoyées.
  1. Cliquez sur Apply.
    Security Analytics commence par envoyer des notifications lorsqu'il cesse de recevoir des événements de cette source d'événements une fois le délai de seuil écoulé.

Pour plus d'informations sur les différents paramètres et pour obtenir leur description dans la vue des paramètres de surveillance des sources d'événements. Vue Contrôle des sources d'événements.

Abandonner le contrôle des sources d'événements

Si un service Log Collector (collecteur local ou collecteur à distance) pour lequel vous configurez la surveillance de source d'événement devient inutilisable, Security Analytics continue de vous notifier que vous n'en recevrez pas d'événements avant d'avoir abandonné le collecteur.

Attention : Si vous avez configuré un collecteur local de basculement sur incident pour un collecteur à distance et que le collecteur local bascule vers un Log Decoder en veille, vous devez abandonner le collecteur local pour arrêter les notifications.   

 Pour abandonner la surveillance pour une source d'événement :

  1. Dans le menu Security Analytics, sélectionnez Administration > Intégrité.
  2. Sélectionnez Paramètres > Source d'événement.
    L'onglet Source d'événement s'affiche.
  3. Sous Abandonner, cliquez sur Icon-Add.png.
    La boîte de dialogue Abandonner s'affiche.
  4. Définissez le Type de source et l'Hôte source pour la source pour laquelle vous souhaitez abandonner les notifications de surveillance d'événement.

decommission_dialog.png

You are here
Table of Contents > Contrôler l'intégrité dans Security Analytics > Contrôler des sources d'événements > Configurer le contrôle des sources d'événements

Attachments

    Outcomes