Archiver: Paso 2. Agregar Log Decoder como un origen de datos en Archiver

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para agregar un Log Decoder como un origen de datos en Archiver.

Requisitos previos

Asegúrese de haber:

  1. Instalado el host de Security Analytics Archiver en el ambiente de red.
  2. Instalado y configurado Log Decoder en el ambiente de red.
  3. Agregado el host de Archiver a Security Analytics. El servicio Archiver se muestra como activo y con licencia.

Consideraciones de configuración de metadatos de Archiver

Para maximizar el tiempo de retención, los elementos de metadatos y el índice del Archiver se redujeron (en comparación con el Concentrator) con el fin de apoyar las necesidades comunes de creación de informes. Esto significa que, de forma predeterminada, tal vez no pueda ejecutar en el Archiver todos los informes que ejecuta en el Concentrator. Puede ver una lista de elementos de metadatos e índice actuales que utiliza el Archiver en las siguientes ubicaciones:

  • Vista Configurar > pestaña General >panel Servicios agregados: En el ícono de información en el campo Inclusión de metadatos muestra la lista actual de elementos de metadatos para un Log Decoder agregado como un origen de datos.
  • Vista Explorador: La ruta /archiver/devices/<logdecoder>/config/options en el campo metaInclude muestra la lista actual de elementos de metadatos.
  • Vista Configurar > pestaña Archivos: El archivo index-archiver.xml muestra la configuración predeterminada del índice. El archivo index-archiver-custom.xml muestra las modificaciones.

Los elementos de metadatos y el índice de Archiver se pueden personalizar para apoyar necesidades de creación de informes específicas del cliente, sin embargo esto requerirá el soporte de almacenamiento, recursos de CPU y recursos de memoria adicionales y puede afectar el tiempo de retención. A medida que se agregan más elementos de metadatos al Archiver, disminuirá la tasa de agregación máxima y aumentará el tiempo de ejecución de los informes. 

Consulte (Opcional) Configurar filtros de metadatos para agregación y (Opcional) Agregar entradas de índice para la creación de informes de Archiver para obtener detalles adicionales.

Agregar Log Decoder como un origen de datos en Archiver

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione el servicio Archiver.
  3. En la columna Acciones, haga clic en Ver > Configuración.
    Se muestra la vista Configuración de servicios de Archiver.
  4. En la pestaña General, panel Servicios agregados, haga clic en .
    Se muestra el cuadro de diálogo Servicios disponibles.
    AvailServDg.png
  5. Seleccione el servicio Log Decoder que desea agregar como un origen de datos en Archiver y haga clic en Aceptar.
  6. Si el Log Decoder está utilizando el modelo de confianza, aparece un cuadro de diálogo Agregar servicio, como se muestra a continuación:
    AddSrvDataSrc.png
  7. Escriba el nombre de usuario y la contraseña del Log Decoder y configure los ajustes de SSL.
  8. Haga clic en Aceptar.
    El servicio de Log Decoder seleccionado se muestra en el panel Servicios agregados.

(Opcional) Configurar filtros de metadatos para agregación

Siga este procedimiento para ver y agregar elementos de metadatos adicionales al Archiver.

Precaución: La adición de metadatos o índices requerirá el soporte de almacenamiento, recursos de CPU y recursos de memoria adicionales y puede afectar el tiempo de retención. A medida que se agregan más elementos de metadatos al Archiver, disminuirá la tasa de agregación máxima y aumentará el tiempo de ejecución de los informes.

  1. Para ver los elementos de metadatos actuales, en el panel Servicios agregados, seleccione el servicio Log Decoder y haga clic en ic-info.png en el campo Inclusión de metadatos.
    ViewMetaFilters.png
  2. Para agregar elementos de metadatos adicionales, seleccione el servicio Log Decoder y haga clic en ic-edit.png.
    EditAggSrvDb.png
  3. En el cuadro de diálogo Editar servicio agregado, seleccione los elementos de metadatos que se incluirán en la lista Inclusión de metadatos. Por ejemplo, puede que desee considerar la inclusión de ip.srcport, tcp.srcport, udp.srcport, msg, url, query, bytes, alias.host, ip.dst, ip.dstport, ip.src, tcp.dstport, megabytes, time, event.desc y word. 
  4. Haga clic en Guardar y, a continuación, en Aplicar.
  5. Consulte (Opcional) Agregar entradas de índice para la creación de informes de Archiver , a continuación, para obtener información sobre cómo indexar las claves de metadatos adicionales.

(Opcional) Agregar entradas de índice para la creación de informes de Archiver

Precaución: La adición de metadatos o índices requerirá el soporte de almacenamiento, recursos de CPU y recursos de memoria adicionales y puede afectar el tiempo de retención. A medida que se agregan más elementos de metadatos al Archiver, disminuirá la tasa de agregación máxima y aumentará el tiempo de ejecución de los informes.

La configuración predeterminada del índice del Archiver solo incluye índices de valores de las siguientes claves: 

  • time
  • origen de Decoder (did)
  • cuenta de usuario de destino (user.dst) 
  • ID de alerta (alert.id)
  • dirección IP de dispositivo (device.ip)
  • dirección IP de origen (ip.src)
  • dirección IP de destino (ip.dst)
  • descripción de evento (event.desc)
  • clase de dispositivo (device.class)
  • medium
  • nombre de objeto (obj.name)
  • palabra

Para obtener información sobre cómo personalizar esta lista, consulte Personalización del índice en la Guía de ajuste de la base de datos principal de Security Analytics.

You are here
Table of Contents > Configurar Archiver > Paso 2. Agregar Log Decoder como un origen de datos en Archiver

Attachments

    Outcomes