Recopilación de archivos: (Opcional) Crear un archivo typespec de contenido personalizado

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo crear un archivo typespec personalizado para la recopilación de archivos.

Contexto

En este tema se indica cómo crear un archivo typespec personalizado para Log Collector. En el tema se incluye:

  • Procedimiento Crear un archivo typespec personalizado
  • Sintaxis de typespec para la recopilación de archivos
  • Ejemplo de recopilación de archivos

Volver a Procedimientos

Procedimiento

Para crear un archivo typespec personalizado:

  1. Copie un archivo typespec existente y guárdelo en el mismo directorio.
    Por ejemplo, copie el archivo apache.xml desde /etc/netwitness/ng/logcollection/content/collection/file y guárdelo con un nombre nuevo en el mismo directorio.
  2. Modifique el archivo de acuerdo con los requisitos.
  3. Reinicie Log Collector.
  4. No podrá ver el nuevo tipo de dispositivo en Security Analytics hasta que reinicie Log Collector.

Sintaxis de typespec para la recopilación de archivos

                                                                                                                                                    
SintaxisDescripción
<?xml version="1.0" encoding="UTF-8"?>No modifique esta línea.
<typespec>No modifique esta línea.
<name>eventsource</name><event source="source" name.="name." replace="replace"> Reemplace eventsource por el nombre del origen de eventos de archivo (por ejemplo, apache).  Security Analytics muestra este nombre en el panel Orígenes de la pestaña Ver > Configuración > Orígenes de eventos. </event>
Un valor válido es unacadena alfanumérica. No puede usar - (guiones), _(guiones bajos) ni espacios.  El nombre debe ser único entre todos los archivos typespec en la carpeta.
<type>file</type>  Tipo de origen de eventos (archivos, ODBC, Windows, etc.).  No modifique esta línea.
<prettyName>event-source-name</prettyName>Nombre definido por el usuario para el origen de eventos.  Puede usar el mismo valor comonombre (por ejemplo, apache) o usar un nombre más descriptivo.
<version>1.0</version>  <</td>Versión de este archivo typespec. El valor predeterminado es 1.0.
<author>author-name</author>Persona que creó el archivo typespec. Reemplace author-name por su nombre.
<description>formal-description</description>Descripción formal del origen de eventos. Reemplace formal-description por su descripción del origen de eventos.
<dispositivo>No modifique esta línea.
<name>event-source</name>Nombre del origen de eventos. Reemplace event-source por el nombre del origen de eventos de archivo (por ejemplo, apache).
</device>No modifique esta línea.
<configuración> 
</configuration>
No se utiliza en la recopilación de archivos.
<recopilación>No modifique esta línea.
<file>La sintaxis en <file> se usa para la recopilación y el procesamiento de eventos.
<parserId>file.event-source-name</parserId>“Reservado para una versión futura”.
<processorType>processor-type</processorType>Tipo de procesador.  Como ejemplo de processor-type tenemos generic, xml, tagvalmap y oracle. Los tipos de procesador son similares a controladores en RSA enVision.<</p>
<dataStartLine>n</dataStartLine>n es el número de línea en el archivo de registro en el cual Security Analytics comienza a recopilar eventos. El valor predeterminado es 1.
<fieldDelim>x</fieldDelim>Especifique el delimitador que se usará para separar los campos.  Especifique cualquiera de los siguientes valores para x:
  •   || (barra vertical)
  •   ^ (intercalación)
  •   , (coma)
  •   : (dos puntos)
  •   0x20 (para un espacio)
<idField>n</idField>Número de campo de Msg ID (ID de mensaje). Por ejemplo, especifique 6 para n para identificar el sexto campo desde el evento delimitado por espacio como Msg ID.
<lineDelim>x</lineDelim>El delimitador de línea que detecta el fin de un evento. Por ejemplo, especifique \n para x para proporcionar valores en hexadecimal para CR y LF. 
<eventGroups> La sintaxis en <eventGroups> solo se usa cuando processorType = xml.
<eventGroup>No modifique esta línea.
<globalInfo></globalInfo>  xpath de globalInfo. Lee información de nodo principal y la agrega a cada nivel.
<eventXPath>//Audit/AuditRecord</eventXPath>xpath de eventos
</eventGroup> No modifique esta línea.
</eventGroups>Fin de etiquetas de tipo de procesador xml. No modifique esta línea.
La recopilación de archivos usa las siguientes etiquetas durante la transformación de eventos:
<transformPrefixTag>prefix</transformPrefixTag>Inserta el prefijo especificado frente al evento transformado. Por ejemplo, si especifica APACHE, Security Analytics inserta %APACHE como prefijo.
<transformReplaceFieldDelim>n
</transformReplaceFieldDelim>
Reemplazar/no reemplazar delimitador durante el indicador de transformación. Los valores válidos para n son:
  • 0 (predeterminado) = no reemplazar
  • 1 = reemplazar
<transformPrefixFilename>n
</transformPrefixFilename>
Agregar/no agregar prefijo (por ejemplo, APACHE) para el nombre de archivo durante la marca de transformación. Los valores válidos para n son:
  • 0 (predeterminado) = no agregar
  • 1 = agregar
<transformMultipleDelimiterAsOne>n
</transformMultipleDelimiterAsOne>
Combinar/no combinar múltiples delimitadores secuenciales en uno. Los valores válidos para n son:
  •   0 = no combinar
  •   1 (predeterminado) = combinar
<transformReplacementFieldDelim>x
</transformReplacementFieldDelim>
Reemplace los delimitadores de campo crudo por los valores dados (x) si el indicador transformReplaceFieldDelim = 1.
</file>No modifique esta línea.
</collection>No modifique esta línea.
</typespec>No modifique esta línea.

Ejemplo de archivo typespec de recopilación de archivos

-# Sample apache typespec , file collection

<&lt;?xml>

  <typespec>

  <name>apache</name>     

  <type>file</type>      

  <prettyName>apache</prettyName>  

  <version>1.0</version>     

  <author>administrator</author>  

  <description>FileCollection specification for eventsource type "Apache Web Server" using file handler type "APACHE"</description>  

    <dispositivo>

    <name>apache</name>    

 

<   >

  </configuration>

  <recopilación>

    <file>

    -# below tags are used for event collection and processing

      <parserId>file.apache</parserId>     

      <processorType>generic</processorType>   

      <dataStartLine>1</dataStartLine>    

      <fieldDelim>0x20</fieldDelim>      

      <idField>6</idField>           

      <lineDelim>\n</lineDelim>      

    -# below tags are used only when processorType = xml

      <eventGroups>          

      <eventGroup>

        <globalInfo></globalInfo>        

        <eventXPath>//Audit/AuditRecord</eventXPath> 

      </eventGroup>

      </eventGroups>

    -# xml processortype specific tags ends 

    -# below tags are used during event transformation

      <transformPrefixTag>APACHE</transformPrefixTag>    

      <transformReplaceFieldDelim>0</transformReplaceFieldDelim> 

      <transformPrefixFilename>0</transformPrefixFilename>     

      <transformMultipleDelimiterAsOne>1</transformMultipleDelimiterAsOne>  

      <transformReplacementFieldDelim></transformReplacementFieldDelim>  

    </file>

  </collection>

</typespec>   
You are here
Table of Contents > Guía de configuración del protocolo de recopilación de archivos > Procedimientos > (Opcional Crear un archivo typespec de contenido personalizado para la recopilación de archivos

Attachments

    Outcomes