ODBC収集:カスタムTypespecの作成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Log CollectorのカスタムTypespecを作成する方法について説明します。トピックには次の項目が含まれます。

  • カスタムTypespecの作成手順
  • ODBC収集Typespec構文
  • ODBC収集Typespecファイルのサンプル

手順」に戻る

手順

カスタムTypespecファイルを作成するには、次の手順を実行します。

  1. 既存のTypespecファイルをコピーし、同じディレクトリに保存します。

    ODBC収集の場合、/etc/netwitness/ng/logcollection/content/collection/odbcからactividentity.xmlファイルをコピーし、同じディレクトリに新しい名前で保存します。

  2. 要件に応じてファイルを変更します。
  3. Log Collectorを再起動します。

    Log Collectorを再起動するまで、Security Analyticsに新しいデバイス タイプは表示されません。

ODBC収集Typespec構文

                                                                                                                           
構文説明
<?xml version="1.0" encoding="UTF-8"?> この行は変更しないでください。
<typespec> この行は変更しないでください。
<name>event-source</name> イベント ソース名。event-sourceは、ODBCイベント ソースの名前(たとえば、actividentity)に置き換えてください。Security Analyticsでは、[表示]>[構成]>[イベント ソース]タブの[ソース]パネルにこの名前が表示されます。
<type>odbc</type>  イベント ソースのタイプ(ファイル、odbc、windowsなど)。  この行は変更しないでください。
<prettyName>event-source -name</prettyName> イベント ソースのユーザー定義名。  nameと同じ値(たとえば、actividentity)を使用するか、もっと分かりやすい名前を使用することができます。
<version>1.0</version>   このtypespecファイルのバージョン。デフォルト値は1.0です。
<author>author-name</author> typespecファイルの作成者。author-nameは、自分の名前に置き換えてください。
<description>formal-description</description> イベント ソースの正式な説明。formal-descriptionは、イベント ソースの実際の説明に置き換えてください。
<device> この行は変更しないでください。
<name>device</name> deviceは、デバイス情報名(たとえば、ActivIdentity ActivCard AAA Server)に置き換えてください。
<maxVersion>n</maxVersion nは、デバイスのバージョン番号(たとえば、6.4.1)に置き換えてください。
<description>description</description> デバイスの説明。descriptionは、デバイスの説明に置き換えてください。
</device> この行は変更しないでください。
<configuration> 
</configuration>
ODBC収集では使用しません。
<collection> この行は変更しないでください。
<odbc> <odbc>の下の構文は、イベントの収集および処理に使用されます。  <query>タグを追加することで、同じイベントソース タイプに対して複数のクエリーを指定できます。
<query> この行は変更しないでください。
<tag>prefix</tag>  prefixは、変換時にイベントに追加するプレフィックス タグ(たとえば、ActivIdentity)に置き換えてください。
<outputDelimiter>x</outputDelimiter> 変換時にフィールドを区切るために使用する区切り文字を指定します。  xには、次のいずれかの値を指定します。
  ||(パイプ)
  ^(キャレット)
  ,(コンマ)
  :(コロン)
  0x20(スペース)
<interval>n</interval>  nにはイベントとイベントの間の秒数を指定します。デフォルト値は60です。
<dataQuery>SQL-syntax</dataQuery> SQL-syntaxには、ODBCイベントソースのデータベースからデータを取得するクエリーを指定します。例:SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate
<maxTrackingQuery>SQL-syntax</maxTrackingQuery> SQL-syntaxには、新しいデータを検索するクエリーを指定します。例:SELECT MAX(sdate) FROM A_AHLOG
<addressColumn>source-address-col-value
</addressColumn>
source-address-col-valueは、各イベントのソース アドレスのデータベース列の名前(たとえば、
serverIPA)に置き換えてください。
<trackingColumn>col-value</trackingColumn> col-valueは、ODBC Collectorが収集するイベントのトラッキング列の名前に置き換えてください。
</query> この行は変更しないでください。
</odbc> この行は変更しないでください。
</collection> この行は変更しないでください。
</typespec> この行は変更しないでください。

ODBC収集Typespecファイルのサンプル

-# Sample actividentity typespec , odbc collection <?xml version="1.0" encoding="UTF-8"?> 
<typespec>
    <name>actividentity</name>                             
    <type>odbc</type>                                      
    <prettyName>ACTIVIDENTITY</prettyName>                 
    <version>1.0</version>                                 
    <author>Administrator</author>                         
    <description>Collects events from ActivIdentity ActivCard AAA Server</description> 
    <device>
        <name>ActivIdentity ActivCard AAA Server</name>    
        <maxVersion>6.4.1</maxVersion>
        <description></description>
    </device>
    <configuration>                                       
    </configuration>
    <collection>
        <odbc>    
            <query>
                <tag>ActivIdentity</tag>              
                <outputDelimiter>||</outputDelimiter>                   <interval>60</interval>               
                <dataQuery>                            
                    SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate
                </dataQuery>
                <maxTrackingQuery>                     
                    SELECT MAX(sdate) FROM A_AHLOG
                </maxTrackingQuery>
                <addressColumn>serverIPA</addressColumn>
                <trackingColumn>sdate</trackingColumn>  
            </query>
            <query>
                <tag>ActivIdentity</tag>
                <outputDelimiter>||</outputDelimiter>
                <interval>60</interval>
                <dataQuery>                     SELECT object, suid, sdate, objname, operation, opdetail, param1, param2, param3, param4 FROM A_AUDIT WHERE sdate > '%TRACKING%' ORDER BY sdate
                </dataQuery>
                <maxTrackingQuery>
                    SELECT MAX(sdate) FROM A_AUDIT
                </maxTrackingQuery>
                <addressColumn></addressColumn>
                <trackingColumn>sdate</trackingColumn>
            </query>
        </odbc>
    </collection>
</typespec>
 

You are here
Table of Contents > ODBC収集構成ガイド > 手順 > ステップ1:Security AnalyticsでのODBCイベント ソースの構成 > ODBC収集:カスタムのコンテンツTypespecの作成

Attachments

    Outcomes