Recopilación de ODBC: Crear un archivo typespec de contenido personalizado

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo crear un archivo typespec personalizado para Log Collector. En el tema se incluye:

  • Procedimiento Crear un archivo typespec personalizado
  • Sintaxis de typespec para la recopilación de ODBC
  • Ejemplo de archivo typespec para la recopilación de ODBC

Volver a Procedimientos

Procedimiento

Para crear un archivo typespec personalizado:

  1. Copie un archivo typespec existente y guárdelo en el mismo directorio.

    Por ejemplo, recopilación de ODBC, copie el archivo actividentity.xml desde /etc/netwitness/ng/logcollection/content/collection/odbc y guárdelo con un nuevo nombre en el mismo directorio.

  2. Modifique el archivo de acuerdo con los requisitos.
  3. Reinicie Log Collector.

    No podrá ver el nuevo tipo de dispositivo en Security Analytics hasta que reinicie Log Collector.

Sintaxis de typespec para la recopilación de ODBC

                                                                                                                           
SintaxisDescripción
<?xml version="1.0" encoding="UTF-8"?> No modifique esta línea.
<typespec> No modifique esta línea.
<name>event-source</name> Nombre del origen de eventos. Reemplace event-source por el nombre del origen de eventos de ODBC (por ejemplo, actividentity). Security Analytics muestra este nombre en el panel Orígenes de la pestaña Ver > Configuración > Orígenes de evento.
<type>odbc</type>  Tipo de origen de eventos (archivos, ODBC, Windows, etc.).  No modifique esta línea.
<prettyName>event-source -name</prettyName> Nombre definido por el usuario para el origen de eventos.  Puede usar el mismo valor que name (por ejemplo, actividentity) o usar un nombre más descriptivo.
<version>1.0</version>   Versión de este archivo typespec. El valor predeterminado es 1.0.
<author>author-name</author> Persona que creó el archivo typespec. Reemplace author-name por su nombre.
<description>formal-description</description> Descripción formal del origen de eventos. Reemplace formal-description por su descripción del origen de eventos.
<device> No modifique esta línea.
<name>device</name> Reemplace device por el nombre de la información del dispositivo (por ejemplo, ActivIdentity ActivCard AAA Server).
<maxVersion>n</maxVersion Reemplace n por el número de versión del dispositivo (por ejemplo, 6.4.1).
<description>description</description> Descripción del dispositivo. Reemplace description por su descripción del dispositivo.
</device> No modifique esta línea.
<configuration> 
</configuration>
La recopilación de ODBC no utiliza esto.
<collection> No modifique esta línea.
<odbc> La sintaxis en <odbc> se usa para la recopilación y el procesamiento de eventos.  Puede proporcionar múltiples consultas para el mismo tipo de origen de eventos si agrega etiquetas <query>.
<query> No modifique esta línea.
<tag>prefix</tag>  Reemplace prefix por la etiqueta de prefijo que desea agregar a los eventos durante la transformación (por ejemplo, ActivIdentity).
<outputDelimiter>x</outputDelimiter> Especifique el delimitador que usará para separar los campos durante la transformación.  Especifique cualquiera de los siguientes valores para x:
  || (barra vertical)
  ^ (intercalación)
  , (coma)
  : (dos puntos)
  0x20 (para un espacio)
<interval>n</interval>  Especifique la cantidad de segundos entre eventos para n. El valor predeterminado es 60.
<dataQuery>SQL-syntax</dataQuery> Especifique la consulta para buscar datos desde la base de datos de origen de eventos de ODBC para SQL-syntax. Por ejemplo: SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate
<maxTrackingQuery>SQL-syntax</maxTrackingQuery> Especifique la consulta para buscar nuevos datos para SQL-syntax. Por ejemplo: SELECT MAX(sdate) FROM A_AHLOG
<addressColumn>source-address-col-value
</addressColumn>
Reemplace source-address-col-value por el valor de la columna de la base de datos de la dirección de origen para cada evento (por ejemplo,
serverIPA).
<trackingColumn>col-value</trackingColumn> Reemplace col-value por el valor de la columna de rastreo cuando el colector de ODBC extraiga un nuevo conjunto de eventos.
</query> No modifique esta línea.
</odbc> No modifique esta línea.
</collection> No modifique esta línea.
</typespec> No modifique esta línea.

Ejemplo de archivo typespec para la recopilación de ODBC

-# Sample actividentity typespec , odbc collection <?xml version="1.0" encoding="UTF-8"?> 
<typespec>
    <name>actividentity</name>                             
    <type>odbc</type>                                      
    <prettyName>ACTIVIDENTITY</prettyName>                 
    <version>1.0</version>                                 
    <author>Administrator</author>                         
    <description>Collects events from ActivIdentity ActivCard AAA Server</description> 
    <device>
        <name>ActivIdentity ActivCard AAA Server</name>    
        <maxVersion>6.4.1</maxVersion>
        <description></description>
    </device>
    <configuration>                                       
    </configuration>
    <collection>
        <odbc>    
            <query>
                <tag>ActivIdentity</tag>              
                <outputDelimiter>||</outputDelimiter>                   <interval>60</interval>               
                <dataQuery>                            
                    SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate
                </dataQuery>
                <maxTrackingQuery>                     
                    SELECT MAX(sdate) FROM A_AHLOG
                </maxTrackingQuery>
                <addressColumn>serverIPA</addressColumn>
                <trackingColumn>sdate</trackingColumn>  
            </query>
            <query>
                <tag>ActivIdentity</tag>
                <outputDelimiter>||</outputDelimiter>
                <interval>60</interval>
                <dataQuery>                     SELECT object, suid, sdate, objname, operation, opdetail, param1, param2, param3, param4 FROM A_AUDIT WHERE sdate > '%TRACKING%' ORDER BY sdate
                </dataQuery>
                <maxTrackingQuery>
                    SELECT MAX(sdate) FROM A_AUDIT
                </maxTrackingQuery>
                <addressColumn></addressColumn>
                <trackingColumn>sdate</trackingColumn>
            </query>
        </odbc>
    </collection>
</typespec>
 

You are here
Table of Contents > Guía de configuración de la recopilación de ODBC > Procedimientos > Paso 1. Configurar orígenes de eventos de ODBC en Security Analytics > Recopilación de ODBC: Crear un archivo typespec de contenido personalizado

Attachments

    Outcomes