Decoder: Configurar el reenvío de syslog a un destino

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para reenviar mensajes de syslog recopilados desde un Log Decoder a otro receptor de syslog.

Además de recopilar mensajes de syslog, puede configurar Log Decoder para que reenvíe los mensajes de syslog a otro receptor de syslog. Security Analytics reenvía mensajes de syslog después de analizarlos y antes de escribirlos en Log Decoder.

Nota: Debe configurar el reenvío de syslog mediante los pasos que se definen en este tema bajo Procedimiento y con el uso de la vista Explorar.

Requisitos previos

Log Decoder debe estar en el estado Iniciado.

Procedimiento

Para configurar el reenvío de syslog:

  1. Configure reglas de capa de aplicación (reglas de aplicaciones) de Log Decoder para etiquetar los mensajes de syslog con metadatos que den a Security Analytics la instrucción de reenviar los mensajes:
    1. Seleccione un Log Decoder en la vista Servicios y elija Menú Acciones recortado > Ver > Explorar en la columna Acciones. 
    2. Vaya al nodo /decoder/config/rules/application, haga clic con el botón secundario en application y haga clic en Propiedades.
    3. En la vista Propiedades, especifique el comando add con los siguientes parámetros:
      rule=<query> name=<name> (Ejemplo 1, rule=*name=receiver1, Ejemplo 2, rule="device.type='winevent_nic'" name=receiver1)
    4. Haga clic en Enviar.
      104LDecExplorePropField.png
      Security Analytics crea la regla name=receiver1 rule=* order=<n>. Security Analytics inserta el número de orden (por ejemplo, order=49) de acuerdo con la fecha en que se configuró la regla.
      10411ExplorePropFieldResult.png
    5. Vaya al nodo /decoder/config/rules/application y haga clic en la regla name=receiver1 rule=* order=49.
    6. Agregue parámetros alert forward a los parámetros de la regla.
      10411ExplorePropFieldResultAlertFwd.png
      Los demás parámetros de la regla tienen el mismo significado que en otras reglas de aplicación.

      El siguiente ejemplo de regla de aplicación selecciona todos los registros con la regla *. Crea metadatos de alerta con el valor “receiver1” y etiqueta el registro completo de modo que se reenvíe al destino de reenvío de syslog. Puede definir tantas reglas de reenvío distintas como necesite con el mismo nombre o con nombres únicos.
  1. Defina destinos de reenvío de syslog y active el reenvío.
    1. Seleccione un Log Decoder en la vista Servicios y elija Menú Acciones recortado > Ver > Explorar en la columna Acciones.
    2. En el parámetro /decoder/config/logs.forwarding.destination, especifique el destino. Por ejemplo:
      Conexiones TLS: receiver1=tls:receiver1.netwitness.local:6514
      Conexiones UDP: receiver1=udp:receiver1.netwitness.local:514
      Conexiones TCP: receiver1=tcp:receiver1.netwitness.local:514

      10411LogsForwDestination.png

Nota:
Puede configurar:
    - Múltiples reglas para reenviar registros al mismo destino.
    - Múltiples reglas para reenviar registros a múltiples destinos.

Para las conexiones del protocolo TLS, el certificado del destino de reenvío se debe validar. La autoridad de certificación que firmó el certificado del destino debe estar presente en el área de almacenamiento de confianza de CA de Log Decoder y el certificado debe residir en el destino o en el receptor de syslog. Consulte el tema Configurar certificados de la Guía de configuración de la recopilación de registros para obtener información sobre la manipulación del almacén de confianza de CA de Log Decoder.

  1. En el parámetro /decoder/config/logs.forwarding.enabled, especifique true.
    10411LogsForwEnabled.png

 

 

Tema relacionado

You are here
Table of Contents > Procedimientos adicionales > Configurar el reenvío de syslog a un destino

Attachments

    Outcomes