Introducción de hosts: Configuración del servicio Log Decoder

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se enumeran y se describen los parámetros de configuración disponibles para Log Decoders de RSA Security Analytics.

Ajustes de configuración de Log Decoder

En este tema se enumeran y se describen los ajustes de configuración de Log Decoder.

                                     
Campo Configuración de Log DecoderDescripción
Base de datos /database/config consulte el tema Nodos de configuración de la base de datos de la Guía de ajuste de la base de datos de Security Analytics Core
Decoder /decoder/config consulte Configuración común de Decoder y Log Decoder
Index /index/config consulte el tema Nodos de configuración de índices de la Guía de ajuste de la base de datos de Security Analytics Core
Logs /logs/config consulte Configuración del registro de los servicios principales
REST /rest/config consulte Configuración de la interfaz de REST
SDK sdk/config consulte el tema Nodos de configuración de SDK de la Guía de ajuste de la base de datos de Security Analytics CoreModos system.roles de los servicios de Security Analytics Core
Sistema /sys/config consulte Configuración del sistema de servicios principales

Ajustes de configuración del tokenizador de registros

El Log Decoder tiene un conjunto de elementos de configuración que controlan la manera en que el tokenizador de registros crea elementos de metadatos a partir de registros no analizados.

El tokenizador de registros agrega elementos de metadatos word a los registros. Estos elementos word forman una indexación de texto completo cuando se transfieren al motor de indexación en el Concentrator y el Archiver.

                             
Campo Configuración de analizador de Log DecoderDescripción
token.device.types El conjunto de tipos de dispositivos que se escanearán en busca de tokens de texto crudo. De forma predeterminada, se establece en unknown, lo cual significa que solo los registros que no se analizaron se escanearán en busca de texto crudo. Aquí puede agregar tipos de registros adicionales para enriquecer los registros analizados con información de token de texto.

Si este campo está vacío, la Tokenization de registros se deshabilita.
token.char.classes Este campo controla el tipo de tokens que se generan. Puede ser cualquier combinación de los valores alpha, digit, space y punct. El valor predeterminado es alpha.
  • alpha: los tokens pueden contener caracteres alfabéticos
  • digit: los tokens pueden contener números
  • space: los tokens pueden contener espacios y tabulaciones
  • punct: los tokens pueden contener signos de puntuación
token.max.length Este campo pone un límite a la longitud de los tokens. El valor predeterminado es cinco caracteres. El ajuste de longitud máxima permite que el Log Decoder limite el espacio necesario para almacenar los metadatos word. El uso de tokens más largos requiere más espacio para la base de datos de metadatos, pero puede proporcionar búsquedas de texto crudo un poco más rápidas. El uso de tokens más cortos hace que el solucionador de consultas de texto deba realizar más lecturas desde los registros crudos durante las búsquedas, pero tiene el efecto de usar mucho menos espacio en la base de datos de metadatos y el índice.
token.min.length Es la longitud mínima de un token de texto con capacidad de búsqueda. La longitud mínima del token corresponderá a la cantidad mínima de caracteres que un usuario puede escribir en el cuadro de búsqueda para encontrar los resultados. El valor recomendado es el predeterminado, 3.
token.unicode Este ajuste booleano controla si se aplican las reglas de clasificación unicode durante la clasificación de caracteres según la configuración de token.char.classes. Si se establece en true, cada registro se trata como una secuencia de puntos de código codificados con UTF-8 y la clasificación se realiza después de la decodificación de UTF-8. Si este valor se establece en false, cada registro se trata como caracteres ASCII y solo se realiza la clasificación de caracteres ASCII. La clasificación de caracteres Unicode requiere más recursos de CPU en el Log Decoder. Si la indexación de texto distinto del inglés no se requiere, puede deshabilitar esta configuración para reducir la utilización de CPU en el Log Decoder. Está activada de forma predeterminada.
You are here
Table of Contents > Referencias > Ajustes de configuración de servicios > Configuración del servicio Log Decoder

Attachments

    Outcomes