Recopilación de Windows heredado: Parámetros de configuración

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe la interfaz del usuario para configurar la recopilación de Windows existente.

Las opciones Windows existente/Windows o Windows existente/NetApp de la vista Configuración > pestaña Orígenes de evento del servicio Log Collector muestran los parámetros que se especifican para configurar orígenes de eventos de Windows heredado.

Para acceder a los parámetros de configuración de la recopilación de Windows existente y NetApp:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Log Collector.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración y haga clic en la pestaña Orígenes de evento.
  4. En la pestaña Orígenes de evento, seleccione una de las siguientes opciones en el menú desplegable
  • Windows existente/Windows
  • Windows existente/NetApp

LegWinScreens.png

Características

La pestaña Orígenes de evento de Windows existente/Windows y Windows existente/NetApp tiene dos paneles: Categorías de evento y Orígenes.

Panel Categorías de evento

El panel Categorías de evento muestra los alias de orígenes de eventos de Windows existente actuales. Use esta sección para agregar o eliminar alias de orígenes de eventos de Windows existente.

El dominio de Windows, conocido como alias, es el parámetro de configuración que Log Collector usa para agrupar orígenes de eventos. Generalmente, el alias define a un único dominio porque las credenciales (es decir, nombre de usuario y contraseña) y el nombre del registro de eventos se aplican a todo el dominio. En ocasiones, es necesario definir varias entradas de alias para el mismo dominio si se necesita personalizar los ajustes de diferentes grupos de orígenes de eventos.

Panel Orígenes

 El panel Orígenes muestra una lista de orígenes de eventos de Windows existente actuales. Use esta sección para agregar o eliminar orígenes de eventos de Windows existente (es decir, la dirección del origen de eventos de Windows y los parámetros de comunicación asociados).

Barra de herramientas

En la siguiente tabla se proporcionan descripciones de las opciones de la barra de herramientas.

                               
CaracterísticaDescripción
Icon-Add.png

Muestra el cuadro de diálogo Agregar origen, en el cual puede definir los parámetros para un host de firewall.

Icon_Delete_sm.png Elimina el host que seleccionó.
icon-edit.png

Abre el cuadro de diálogo Editar origen, en el cual puede editar los parámetros del origen de eventos seleccionado.

Seleccione varios orígenes de eventos y haga clic en icon-edit.png para abrir el cuadro de diálogo Edición en masa de origen, en el cual puede editar los valores de los parámetros de los orígenes de eventos seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ImportSourceIcon.PNG

Abre el cuadro de diálogo Opción Adición en masa, en el cual puede importar hosts de forma masiva desde un archivo de valores separados por comas (CSV).

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ExportSourceIcon.PNG

Crea un archivo .csv que contiene los parámetros de los hosts seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

Cuadro de diálogo Agregar origen

En este cuadro de diálogo puede definir parámetros para un nuevo origen de eventos de Windows existente.

                                                                         
CaracterísticaDescripción
Básico
Nombre*Nombre del origen de eventos. Un valor válido es un nombre en el rango [_a-zA-Z] [_a-zA-Z0-9]*. Puede usar un guion “-” como parte del nombre.
Dirección de origen de evento*Dirección IP del origen de eventos. El valor válido es una dirección IPv4, una dirección IPv6 o un nombre de host que incluya un nombre de dominio calificado. Security Analytics se configura de forma predeterminada en 127.0.0.1.
Log Collector convierte el nombre de host en letras minúsculas para evitar que haya entradas duplicadas.
Nombre de registro de eventos

Nombre del registro de eventos desde el cual se recopilan datos de eventos (por ejemplo, Sistema, Aplicación o Seguridad).
Los siguientes son algunos ejemplos de esos canales:

  • Sistema: Aplicaciones que se ejecutan bajo cuentas de servicio del sistema (servicios del sistema instalados), drivers o un componente o aplicación que tiene eventos relacionados con el estado del sistema.
  • Aplicación: todas las aplicaciones de nivel de usuario. Este canal no es seguro y está abierto a cualquier aplicación. Si una aplicación tiene mucha información, es recomendable definir un canal de aplicación específico para ella.
  • Seguridad: el registro de auditoría de Windows (registro de eventos) que se usa exclusivamente para la Autoridad de seguridad local de Windows.
ActivadoSeleccione esta casilla de verificación para recopilar desde este origen de eventos. Si no selecciona esta casilla de verificación, Log Collector no recopila eventos desde este origen de eventos.
Ruta de directorio de eventos

Ruta del directorio de archivos NetApp .evt. Debe ser la ruta UNC.
NetApp genera datos de eventos y los guarda en archivos .evt en un directorio que se puede compartir en el dispositivo NetApp.

En cada ciclo de sondeo, Log Collector navega por la ruta compartida de NetApp configurada para los archivos .evt que identificó con los parámetros Ruta de directorio de eventos y Prefijo de archivo de evento. Log Collector:

  • Clasifica los archivos que coinciden con el formato event-file-prefix.YYMMDDhhmmss.evt en orden ascendente.
  • usa el registro de fecha y hora del último archivo procesado para determinar los archivos que aún requieren procesamiento. Si Log Collector encuentra un archivo procesado parcialmente, omite los eventos ya procesados.
Prefijo de archivo de eventoPrefijo de los archivos .evt (por ejemplo, adtlog.) guardados en la Ruta de directorio de eventos.
Avanzado
Tamaño de buffer de eventos

Tamaño máximo de los datos que Log Collector extrae del origen de eventos en cada solicitud.

El valor válido es un número en el rango de 0 a 511 Kilobytes. Este valor se especifica en kilobytes.

Resultado de evento demasiado grandeIndica a Log Collector qué hacer si un evento es demasiado grande para el búfer de eventos.
Máximo de datos de eventos

Tamaño máximo de los datos de eventos que se incluirán en la salida. El valor válido es un número en el rango de 0 a 511 Kilobytes. Este valor se especifica en kilobytes o megabytes.

  • 1 kilobyte - 100 megabytes
  • 0 = no se incluyen datos de eventos en la salida.
Máximo de eventos por cicloLa cantidad máxima de eventos por ciclo de sondeo (cuántos eventos se recopilan por ciclo de sondeo).
Intervalo de sondeo

El intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 180.

Por ejemplo, si especifica 180, el recopilador programa un sondeo del origen de eventos cada 180 segundos. Si aún se está realizando el ciclo de sondeo anterior, esperará hasta que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 180 segundos en comenzar porque los subprocesos están ocupados.

Depurar

Precaución: Habilite la depuración (defina este parámetro en Activado o Detallado) solamente si hay un problema en un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Activa o desactiva el registro de depuración del origen de eventos. Los valores válidos son:

  • Apagado = (predeterminado) desactivado
  • Encendido = activado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar). Limite la cantidad de orígenes de eventos para los que utiliza depuración Detallada para minimizar el impacto en el rendimiento.

CancelarCierra el cuadro de diálogo sin agregar el origen de eventos de Windows existente.
OKAgrega los valores de los parámetros actuales como un nuevo origen de eventos
You are here
Table of Contents > Guía de configuración de la recopilación de Windows existente y NetApp > Referencias: Parámetros de configuración de la recopilación de Windows existente y NetApp

Attachments

    Outcomes