Configuración de la recopilación de registros: Configurar filtros de eventos de syslog para Remote Collector

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo crear y mantener filtros de eventos para el protocolo de recopilación de syslog.

Después de realizar este procedimiento, habrá:

  • Configurado un filtro de eventos de syslog
  • Modificado reglas de filtros de eventos de syslog.

Precaución: No configure la recopilación de syslog para los Log Collectors locales. Solo debe configurar la recopilación de syslog para los Remote Collectors. Consulte Acceder a Local y Remote Collectors para obtener información de configuración adicional.

Volver a Procedimientos

Configurar un filtro de eventos de syslog

Para configurar un origen de eventos de archivo:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Log Collector.
  3. Haga clic en AdvcdExpandBtn.PNG bajo Acciones y seleccione Ver > Configuración.
  4. En la pestaña Orígenes de evento de Log Collector, seleccione Syslog/Filtros en los menús desplegables.

    En la vista Filtros se muestran los filtros de Syslog que están configurados, si los hay.

  5. En la barra de herramientas del panel Filtros, haga clic en Icon-Add.png.

    Se muestra el cuadro de diálogo Agregar filtro.

    SyslogFilter1.PNG

  6. Ingrese un nombre y una descripción para el nuevo filtro y haga clic en Agregar.

    El nuevo filtro se muestra en el panel Filtro.

  7. Seleccione el nuevo filtro en el panel Filtros y haga clic en Icon-Add.png en la barra de herramientas del panel Filtrar reglas.

    Se muestra el cuadro de diálogo Agregar regla de filtro.

  8. Haga clic en Icon-Add.png bajo Condiciones de la regla.
  9. Agregue los parámetros para esta regla y haga clic en Actualizar > Aceptar.

Security Analytics actualiza el filtro con la regla que definió.

                                 
CampoDescripción
ClaveLos valores válidos son:
  • Nivel de syslog
  • Dirección IP de origen
  • Evento crudo
OperadorLos valores válidos son:
  • Contiene
  • Es igual a
Usar regexOpcional. Puede seleccionar esta opción si desea usar regex.
ValorEl valor depende del valor de la clave que seleccionó.
Por ejemplo, si elige Nivel de syslog para Clave, el valor será un número que denota el nivel de syslog.
Omitir mayúsculas y minúsculasOpcional. Seleccione esta opción para no hacer caso de la distinción de mayúsculas de minúsculas.
Acción

Si hay una coincidencia, puede elegir las acciones aceptar, descartar, condición siguiente o regla siguiente.

Si no hay una coincidencia, puede elegir las acciones aceptar, descartar, condición siguiente o regla siguiente.

Modificar reglas de filtro

Para modificar un origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Log Collector.
  3. Haga clic en AdvcdExpandBtn.PNG bajo Acciones y seleccione Ver > Configuración.
  4. En la pestaña Orígenes de evento de Log Collector, seleccione Syslog/Filtros en el menú desplegable.

  5. En la vista Filtros se muestran los filtros de Syslog que están configurados, si los hay.
  6. En la lista Filtrar reglas, seleccione una regla y haga clic en icon-edit.png.

    Se muestra el cuadro de diálogo Editar regla de filtro.

  7. Seleccione la condición de la regla que desea modificar.

  8. Modifique los parámetros de condición que necesiten cambios y haga clic en Actualizar > Aceptar.

Security Analytics aplica los cambios en los parámetros de condición a la regla de filtro seleccionada.

Parámetros

Vista Filtros de eventos de syslog para Remote Collector

You are here
Table of Contents > Guía de configuración de la recopilación de registros > Procedimientos > Paso 3. Configurar orígenes de eventos en Security Analytics > Configurar filtros de eventos de syslog para Remote Collector

Attachments

    Outcomes