Archiver Définir les règles de rétention

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Les administrateurs peuvent définir et commander des règles de rétention pour les collections de stockage de logs sur un service Archiver. Les règles de rétention spécifient le type de logs à stocker dans la collection. Pour que vos collections de logs recueillent et stockent des données des fichiers log, vous devez les associer à au moins une règle de rétention. Lorsque vous configurez une règle de rétention, vous spécifiez une condition et une collection pour cette règle. La condition (définition de règle) détermine le type de logs stockés dans cette collection.

En ce qui concerne la condition, vous pouvez utiliser tout ce qui fonctionne dans une clause where de requête classique.

Par exemple, pour obtenir les logs des services de conformité, vous pouvez utiliser la condition suivante :

device.group='PCI Devices' || device.group='HIPPA Devices'

Une fois que vous avez défini les règles de rétention pour vos collections, il importe de spécifier l’ordre de vos règles de rétention. NetWitness Suite évalue les règles de rétention pour toutes les collections dans l’ordre numérique, en fonction du numéro figurant dans la colonne Ordre de la section Règle de rétention de l’onglet Rétention de données du service Archiver (ADMIN > vue Configuration des services).

La section Règles de rétention s’affiche.

Attention : L'ordre des règles est très important. Il détermine la priorité de l'évaluation des données des fichiers log pour la rétention du stockage.

Conditions préalables

Avant de configurer vos règles de rétention :

  • Configurez le stockage total Hot, à chaud et à froid
  • Configurer les collections de stockage des logs

Procédures

Définir une règle de rétention pour une collection

  1. Accédez à ADMIN > Services.
  2. Sélectionnez le service Archiver, puis cliquez sur ic-actns.png > Vue > Config.
    La vue Configuration des services d'Archiver s'affiche.
  3. Dans l’onglet Rétention de données, dans la section Règle de rétention,
    cliquez sur ic-add.png.
    La boîte de dialogue Définition de règle s’affiche.
    La boîte de dialogue Définition de règle s'affiche.
  4. Configurez les champs de la boîte de dialogue Définition de règle comme indiqué dans le tableau suivant :              
    ChampDescription
    Nom de la règleSpécifiez un nom unique pour votre règle de rétention. Il ne peut pas inclure d'espaces. Par exemple : LowValueWinLogs
    ConditionSpécifiez les conditions du type de logs à inclure dans la collection.

    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et d'adresses IP entre guillemets.

    Par exemple :
    device.type='winevent_nic' && msg.id='security_4648_security'
    CollectionSélectionnez la collection à laquelle vous souhaitez appliquer cette règle. Par exemple : LowValue.
  5. Cliquez sur Enregistrer.
    La règle de rétention définie est associée à la collection que vous avez sélectionnée. Sous l'onglet Rétention de données, dans la section Collections, cliquez sur ActionsButton.png > Sélectionner les règles dans la colonne Actions de la collection sélectionnée pour afficher les règles de rétention associées à la collection dans la section Règle de rétention.
    La section Règle de rétention s’affiche.

Spécifier l'ordre de vos règles de rétention

Pour organiser par ordre de priorité la liste complète de toutes vos règles de rétention :

  1. Dans la section Règle de rétention de l'onglet Rétention de données, sélectionnez une règle de rétention, puis utilisez le glisser-déplacer (ou sélectionnez ic-up.png Monter et ic-down.png Descendre) pour modifier son ordre d'apparition dans la liste des priorités.

    La section Règles de rétention de l’onglet Rétention de données s’affiche.
  2. Cliquez sur Appliquer pour enregistrer l'ordre des règles de rétention.

Attention : L'ordre des règles est très important. Il détermine la priorité de l'évaluation des données des fichiers log pour la rétention du stockage.

Étape suivante

Ajouter Archiver comme source de données au Reporting Engine

You are here
Table of Contents > Configuration de base d'Archiver > Étape 3. Configurer le stockage et la rétention des logs Archiver > Définir les règles de rétention

Attachments

    Outcomes