Referencias: Parámetros de configuración de la recopilación de archivos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe la interfaz del usuario para configurar la recopilación de archivos.

Use esta sección cuando busque descripciones de la interfaz del usuario de recopilación de archivos y definiciones de las funciones de la interfaz del usuario.

Para acceder a los parámetros de configuración de la recopilación de archivos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Log Collector.
  3. Haga clic en Menú Acciones recortado bajo Acciones y seleccione Ver > Configuración.
  4. En la pestaña Orígenes de evento de Log Collector, seleccione Archivo/Configurar en el menú desplegable.

La vista Archivo/Configurar de la pestaña Orígenes de evento tiene dos paneles: Categorías de evento y Orígenes.

Panel Categorías de evento

En el panel Categorías de evento, puede agregar o eliminar los tipos de orígenes de eventos correspondientes.

                         
CaracterísticaDescripción
Icon-Add.png Muestra el cuadro de diálogo Tipos de origen de evento disponibles en el cual se selecciona el tipo de origen para el cual desea definir parámetros.
Icon_Delete_sm.png Elimina los tipos de orígenes de eventos seleccionados en el panel Categorías de evento.
Checkbox.png Selecciona los tipos de orígenes de eventos.
NombreMuestra el nombre de los tipos de orígenes de eventos que ha agregado.

Cuadro de diálogo Tipos de orígenes de eventos disponibles

El cuadro de diálogo Tipos de origen de evento disponibles muestra la lista de tipos de orígenes de eventos compatibles.

                         
CaracterísticaDescripción
Checkbox.png Selecciona el tipo de origen de eventos que desea agregar.
TipoMuestra los tipos de orígenes de eventos disponibles para agregar.
CancelarCierra el cuadro de diálogo sin agregar el tipo de origen de eventos.
OKAgrega el tipo de origen de eventos seleccionado al panel Categorías de evento.

Nota: El cuadro de diálogo Tipos de origen de evento disponibles muestra la lista de los tipos de orígenes de eventos compatibles que se han descargado desde el archivo Especificación de tipo de lector de archivos genérico (GFTS).  Si no ve ningún tipo de origen de eventos en esta lista, no cargó el contenido disponible con la actualización de Log Collector para esta versión.

Panel Orígenes

Use este panel para revisar, agregar, modificar y eliminar los directorios de archivo de origen de eventos y sus parámetros del tipo de origen de eventos que seleccionó en el panel Categorías de evento.

Barra de herramientas

En la siguiente tabla se proporcionan descripciones de las opciones de la barra de herramientas.

                               
CaracterísticaDescripción
Icon-Add.png

Muestra el cuadro de diálogo Agregar origen, en el cual puede definir los parámetros para un host de firewall.

Icon_Delete_sm.png Elimina el host que seleccionó.
icon-edit.png

Abre el cuadro de diálogo Editar origen, en el cual puede editar los parámetros del origen de eventos seleccionado.

Seleccione varios orígenes de eventos y haga clic en icon-edit.png para abrir el cuadro de diálogo Edición en masa de origen, en el cual puede editar los valores de los parámetros de los orígenes de eventos seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ImportSourceIcon.PNG

Abre el cuadro de diálogo Opción Adición en masa, en el cual puede importar hosts de forma masiva desde un archivo de valores separados por comas (CSV).

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ExportSourceIcon.PNG

Crea un archivo .csv que contiene los parámetros de los hosts seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

Cuadro de diálogo Agregar/Modificar origen

En este cuadro de diálogo, se agrega o modifica un directorio de archivos del origen de eventos seleccionado.

                       
CaracterísticaDescripción
Parámetros del origen NetflowMuestra los parámetros de origen de eventos de Netflow completados con los valores predeterminados. Ingrese o modifique los valores apropiados.
CancelarCierra el cuadro de diálogo sin agregar un directorio de archivo ni guardar los valores de los parámetros del directorio de archivos seleccionado.
OKEn el cuadro de diálogo Agregar origen, agrega el directorio de archivos y sus parámetros. En el cuadro de diálogo Editar origen, aplica los cambios en los valores de los parámetros del directorio de archivos seleccionado.

Parámetros del directorio de archivos

En la siguiente tabla se proporcionan descripciones de los parámetros del origen.

                                                                                                          
NombreDescripción
Básico
Directorio de archivos*

Directorio de recopilación (por ejemplo, Eur_London100) en el cual el origen de eventos de archivos coloca sus archivos. El valor válido es una cadena de caracteres que utiliza la siguiente expresión regular:

[_a-zA-Z][_a-zA-Z0-9]*


Esto significa que el directorio de archivos debe comenzar con una letra seguida de números, letras y guiones bajos. No modifique este parámetro una vez que haya comenzado a recopilar datos de eventos.

Después de crear la recopilación, el Log Collector crea los subdirectorios de trabajo, guardado y error debajo del directorio de recopilación.

Dirección*Dirección IP del origen de eventos. El valor válido es una dirección IPv4, una dirección IPv6 o un nombre de host que incluye un nombre de dominio calificado.
Especificación de archivoExpresión regular. Por ejemplo, ^.*$ = procesa todo.
Codificación de archivo

Codificación del archivo de internacionalización. Ingrese el método de codificación de archivo. Las siguientes cadenas son ejemplos de métodos válidos:

  • UTF-8 (valor predeterminado)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFT-JIS
  • EBCDIC-US
ActivadoSeleccione la casilla de verificación para activar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.
Avanzado
Omitir errores
de conversión de codificación

Seleccione la casilla de verificación para omitir errores de conversión de codificación y datos no válidos. La casilla de verificación está seleccionada de manera predeterminada.

Precaución: Esto puede provocar errores de análisis y transformación.

Cuota de disco de archivo

Determina cuándo dejar de guardar archivos independientemente de los ajustes de los parámetros Guardar con error y Guardar con éxito. Por ejemplo, un valor de 10 indica que cuando hay menos de un 10 % de disco restante disponible, el Log Collector deja de guardar archivos para reservar espacio suficiente para el procesamiento normal estimado de la recopilación.

Precaución: disco disponible se refiere a una partición donde se monta el directorio de recopilación de base. Si el servidor de Log Decoder tiene un tamaño de disco de 10 TB y se asignan 2 TB al directorio de recopilación base, la definición de este valor en 10 hace que la recopilación de registros se detenga cuando quedan menos de 0.2 TB (10 % de 2 TB) de espacio. No significa 10 % de 10 TB.

Un valor válido es un número en el rango de 0 a 100. 10 es el valor predeterminado.

Procesamiento secuencial

Indicador de procesamiento secuencial:

  • Seleccione la casilla de verificación (valor predeterminado) para procesas los archivos de origen de eventos en el orden de recopilación.
  • No seleccione la casilla de verificación para procesar en paralelo los archivos de origen de eventos.
Guardar con errorIndicador de guardar con error. Seleccione la casilla de verificación para conservar el archivo de recopilación de origen de eventos cuando Log Collector encuentra un error. La casilla de verificación está seleccionada de manera predeterminada.
Guardar con éxitoGuarda el archivo de recopilación de origen de eventos después de procesar el indicador. Seleccione la casilla de verificación para guardar la recopilación de origen de eventos después de procesarla. De forma predeterminada, la casilla de verificación no está seleccionada.
Clave del protocolo SSH del origen de eventos

Clave pública del protocolo SSH que se usa para cargar archivos para este origen de eventos. Consulte Generar un par de claves en el origen de eventos e importar la clave pública a Log Collector para obtener instrucciones sobre la generación de claves.

Nota: Si la recopilación de archivos se detiene, Security Analytics no actualiza el archivo authorized_keys con la clave pública del protocolo SSH que usted agrega o modifica en este parámetro. Debe reiniciar la recopilación de archivos para actualizar la clave pública.
Puede agregar o modificar el valor de la clave pública en este parámetro en varios orígenes de eventos de archivo sin ejecutar la recopilación de archivos, pero Security Analytics no actualizará el archivo authorized_keys hasta que se reinicie la recopilación de archivos.

Administrar archivos de error

De manera predeterminada, el Log Collector usa el parámetro Cuota de disco de archivo para asegurarse de que el disco no se llene con archivos de error. Si define este parámetro en verdadero, puede especificar una de las siguientes opciones:

  • Espacio máximo asignado para archivos de error en el parámetro Tamaño de archivos de error.
  • Cantidad máxima de archivos de error permitida en el parámetro Conteo de archivos de error.

También se especifica un porcentaje de reducción, el cual indica al sistema cuánto reducir cuando se alcanza el máximo.

Seleccione la casilla de verificación para administrar los archivos de error. De forma predeterminada, la casilla de verificación no está seleccionada.

Tamaño de archivos de error

Solo es válido si los parámetros Administrar archivos de error y Guardar con error están definidos en verdadero.
Especifica hasta qué punto Security Analytics guarda archivos de error. El valor que especifica es el tamaño total máximo de todos los archivos en el directorio de error.

Un valor válido es un número dentro del rango entre 0 y 281474976710655. Estos valores se especifican en kilobytes, megabytes o gigabytes. 100 megabytes es el valor predeterminado. Si cambia este parámetro, el cambio no se implementa hasta que reinicie la recopilación o el servicio de Log Collector.

Conteo de archivos de error

Solo es válido si los parámetros Administrar archivos de error y Guardar con error están definidos en verdadero. La cantidad máxima de archivos de error en el directorio de error. Un valor válido es un número en el rango de 0 a 65536. 65536 es el valor predeterminado.

Si cambia este parámetro, el cambio no se implementa hasta que reinicie la recopilación o el servicio de Log Collector.

% de reducción de archivos de error

Porcentaje por tamaño o conteo de archivos de error que el servicio Log Collector quita cuando se alcanza el tamaño o el conteo máximos. El servicio elimina los archivos más antiguos primero.

Un valor válido es un número en el rango de 0 a 100. 10 es el valor predeterminado.

Administrar archivos guardados

Seleccione la casilla de verificación para administrar los archivos guardados. De forma predeterminada, la casilla de verificación no está seleccionada.
De manera predeterminada, el Log Collector usa el parámetro Cuota de disco de archivo para asegurarse de que el disco no se llene con archivos guardados. Si selecciona esta casilla de verificación, puede especificar una de las siguientes opciones:

  • Espacio máximo asignado para archivos guardados en el parámetro Tamaño de archivos guardados.
  • Cantidad máxima de archivos guardados permitida en el parámetro Conteo de archivos guardados.

También se especifica un porcentaje de reducción, el cual indica al sistema cuánto reducir cuando se alcanza el máximo.

Tamaño de archivos guardados

Solo es válido si los parámetros Administrar archivos guardados y Guardar con éxito se definen en verdadero.
El tamaño total máximo de todos los archivos en el directorio de almacenamiento. Un valor válido es un número en el rango de 0 a 281474976710655. Estos valores se especifican en kilobytes, megabytes o gigabytes. 100 megabytes es el valor predeterminado.

Si cambia este parámetro, el cambio no se implementa hasta que reinicie la recopilación o el servicio de Log Collector.

Conteo de archivos guardados

Solo es válido si los parámetros Administrar archivos guardados y Guardar con éxito se definen en verdadero. La cantidad máxima de archivos guardados en el directorio de almacenamiento. Un valor válido es un número en el rango de 0 a 65536. 65536 es el valor predeterminado.

Si cambia este parámetro, el cambio no se implementa hasta que reinicie la recopilación o el servicio de Log Collector.

% de reducción de archivos guardados

Porcentaje por tamaño o conteo de archivos guardados que el servicio Log Collector quita cuando se alcanza el tamaño o el conteo máximos. El servicio elimina los archivos más antiguos primero.

Un valor válido es un número en el rango de 0 a 100. 10 es el valor predeterminado.

Depurar

Precaución: Habilite la depuración (defina este parámetro en Activado o Detallado) solamente si hay un problema en un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Activa/desactiva el registro de depuración del origen de eventos.
Los valores válidos son:

  • Apagado = (predeterminado) desactivado
  • Encendido = activado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.

Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).

CancelarCierra el cuadro de diálogo sin agregar el tipo de origen de eventos.
OKAgrega los parámetros del origen de eventos.

Tareas:

Paso 1. Configurar orígenes de eventos de archivo en Security Analytics

Paso 2. Configurar orígenes de eventos de archivo para enviar eventos a Security Analytics

You are here
Table of Contents > Guía de configuración del protocolo de recopilación de archivos > Referencias: Parámetros de configuración de la recopilación de archivos

Attachments

    Outcomes