Archiver: Definir reglas de retención

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones a los administradores para definir y ordenar las reglas de retención para las recopilaciones de almacenamiento de registros en un Archiver.

Las reglas de retención especifican el tipo de registros que se almacenarán en la recopilación. Para que las recopilaciones de registros recopilen y almacenen datos del registro, debe asociarlas con al menos una regla de retención. Cuando configura una regla de retención, debe especificar una condición y una recopilación para esa regla. La condición (definición de regla) determina el tipo de registros almacenados en esa recopilación.

Para la condición, puede usar cualquier elemento que funcione en una cláusula where de una consulta normal.

Nota: Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP.

Por ejemplo, para obtener registros de servicios de cumplimiento de normas, puede usar la siguiente condición: 

device.group='PCI Devices' || device.group='HIPPA Devices'

Guía de reglas y consultas proporciona ejemplos adicionales.

Después de definir las reglas de retención para las recopilaciones, es importante que especifique el orden de las reglas de retención. Security Analytics evalúa las reglas de retención para todas las recopilaciones en orden numérico según el número que se indica en la columna Orden de la sección Regla de retención de la pestaña Retención de datos del Archiver (Administration > vista Configuración de servicios). 

ArcRetRule.png

Precaución: El orden de las reglas es muy importante. Determina la prioridad de evaluación de los datos del registro para la retención del almacenamiento. 

Requisitos previos

Antes de configurar las reglas de retención:

  • Configure el almacenamiento activo, semiactivo e inactivo total
  • Configure recopilaciones de almacenamiento de registros

Procedimientos

Definir una regla de retención para una recopilación

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione el servicio Archiver y elija ic-actns.png > Ver > Configuración.
    Se muestra la vista Configuración de servicios de Archiver.
  3. En la sección Regla de retención de la pestaña Retención de datos, haga clic en ic-add.png.
    Se muestra el cuadro de diálogo Definición de regla.
    RuleDefExWinLog.png
  4. Configure los campos del cuadro de diálogo Definición de regla como se describe en la siguiente tabla:              
    CampoDescripción
    Nombre de la reglaEspecifique un nombre único para la regla de retención. No puede incluir espacios. Por ejemplo: LowValueWinLogs
    CondiciónEspecifique las condiciones para el tipo de registros que desea incluir en la recopilación. 

    Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP.

    Por ejemplo:
    device.type='winevent_nic' && msg.id='security_4648_security'

    Guía de reglas y consultas proporciona ejemplos adicionales.

    CollectionSeleccione la recopilación en la cual desea aplicar esta regla. Por ejemplo: LowValue. 
  5. Haga clic en Guardar.
    La regla de retención que define se asocia con la recopilación que seleccionó. En la sección Recopilaciones de la pestaña Retención de datos, puede hacer clic en ActionsButton.png > Seleccionar reglas en la columna Acciones para la recopilación seleccionada con el fin de ver las reglas de retención asociadas con la recopilación en la sección Regla de retención
    AssocRetRul2.png

Especificar el orden de las reglas de retención

Para dar prioridad a la lista completa de todas las reglas de retención:

  1. En la sección Regla de retención de la pestaña Retención de datos, seleccione una regla de retención y use arrastrar y soltar (o seleccione ic-up.png Subir y ic-down.png Bajar) para cambiar su orden en la lista de prioridad.

    ArcRetRule2.png 
  2. Haga clic en Aplicar para guardar el orden de las reglas de retención.

Precaución: El orden de las reglas es muy importante. Determina la prioridad de evaluación de los datos del registro para la retención del almacenamiento.

Paso siguiente

Agregar Archiver como un origen de datos en Reporting Engine. 

You are here
Table of Contents > Configurar Archiver > Paso 3. Configurar el almacenamiento y la retención de registros de Archiver > Definir reglas de retención

Attachments

    Outcomes