Configuración de NW: Definir una plantilla para el registro de auditoría global

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 3Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para definir una plantilla del registro de auditoría destinada al uso con el registro de auditoría global. Antes de configurar el registro de auditoría global, configure un servidor de notificación de syslog y seleccione una plantilla del registro de auditoría. Puede optar por usar una plantilla del registro de auditoría predeterminada o puede definir una plantilla propia. 

NetWitness Suite incluye dos plantillas de registro de auditoría predeterminadas:

  • Default Audit CEF Template: puede usar esta plantilla para Log Decoders y servidores de syslog de otros fabricantes.
  • Default Audit Human-Readable Format: puede usar esta plantilla exclusivamente para servidores de syslog de otros fabricantes. No reenvíe mensajes desde esta plantilla a un Log Decoder.

En el primer procedimiento se proporcionan instrucciones para definir una plantilla del registro de auditoría para un Log Decoder. La plantilla del registro de auditoría define el formato y los campos de mensajes de los registros de auditoría que se envían al Log Decoder o al servidor de syslog de otros fabricantes.

Las plantillas del registro de auditoría global que define para un Log Decoder usan el formato de evento común (CEF) y deben cumplir con los siguientes requisitos estándar específicos:

  • Incluya los encabezados de CEF en la plantilla.
  • Use solo las extensiones (Clave=Valor) que se indican en la tabla Claves de metadatos de CEF compatibles.
  • Asegúrese de que las extensiones estén en el formato key=${string}<space>key=${string}

En el segundo procedimiento se proporcionan instrucciones para definir una plantilla personalizada del registro de auditoría global en lenguaje natural para un servidor de syslog de otros fabricantes. Para servidores de syslog de otros fabricantes, puede definir un formato propio (CEF o no CEF).

Definir una plantilla del registro de auditoría global para un Log Decoder

Puede usar Default Audit CEF Template para enviar registros de auditoría global a un Log Decoder. Para definir una plantilla propia:

  1. Vaya a ADMIN > Sistema.
  2. En el panel de opciones, seleccione Notificaciones globales.
  3. Haga clic en la pestaña Plantillas.
  4. Haga clic en  para configurar una plantilla.
  5. En el cuadro de diálogo Definir plantilla, proporcione la siguiente información:
    1. En el campo Nombre, escriba el nombre para la plantilla.
    2. En el campo Tipo de plantilla, seleccione el tipo de plantilla Registro de auditoría.
    3. En el campo Descripción, escriba una descripción breve para la plantilla.
    4. En el campo Plantilla, ingrese el formato de la plantilla del registro de auditoría.
      El siguiente formato es una plantilla personalizada que se proporciona como ejemplo. Difiere de la plantilla de CEF predeterminada.
       CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  
      El encabezado de syslog de CEF resaltado se requiere para ajustarse al estándar CEF y es un requisito para el analizador de CEF en el Log Decoder. Las otras claves son opcionales y puede configurarlas. Consulte todas las claves de metadatos compatibles con el analizador de CEF en el Log Decoder en la tabla Claves de metadatos de CEF compatibles.
  6. Nota: Use todas las extensiones en el siguiente formato: 
    deviceProcessName=${deviceProcessName} outcome=${outcome}
    Incluya un <space> entre cada par key=${string} en la sección de claves de extensión. 

  7. Haga clic en Guardar.
    Define Template Dialog box

Una vez que defina la plantilla del registro de auditoría de CEF, asegúrese de haber implementado y habilitado el analizador del formato de evento común (CEF) más reciente desde Live. En “Buscar e implementar recursos de Live” y “Habilitar y deshabilitar analizadores de registros” se proporcionan instrucciones. 

Nota: Si necesita usar claves de metadatos específicas para Investigation y Reporting, asegúrese de que las claves de metadatos que selecciona estén indexadas en el archivo table-map.xml en el Log Decoder. Si no lo están, siga el tema Mantener los archivos de mapa de tablas del procedimiento de la Guía de configuración de hosts y servicios para actualizar los mapeos de tablas. Asegúrese de que las claves de metadatos también estén indexadas en index-concentrator.xml en el Concentrator. En el tema Editar un archivo de índice de servicios de la Guía de configuración de hosts y servicios se proporciona información adicional.

Definir una plantilla personalizada del registro de auditoría global

Para los servidores de syslog de otros fabricantes, puede definir un formato de plantilla propio (CEF o no CEF). Puede usar la plantilla Default Audit Human-Readable Format para enviar los registros de auditoría global a un servidor de syslog de otros fabricantes en un formato que es más fácil de leer que el formato CEF. Si desea definir una plantilla propia en lenguaje natural, siga este procedimiento.

Para Log Decoders, debe usar una plantilla de CEF con algunos requisitos específicos. En el procedimiento anterior Definir una plantilla del registro de auditoría para un Log Decoder se proporcionan instrucciones para crear una plantilla en el formato CEF.

Para definir una plantilla personalizada del registro de auditoría global en el formato en lenguaje natural:

  1. Vaya a ADMIN > Sistema.
  2. En el panel de navegación izquierdo, seleccione Notificaciones.
  3. Haga clic en la pestaña Plantillas.
  4. Haga clic en  para configurar una plantilla.
  5. En el cuadro de diálogo Definir plantilla, proporcione la siguiente información:
    1. En el campo Nombre, escriba el nombre para la plantilla.
    2. En el campo Tipo de plantilla, seleccione el tipo de plantilla Registro de auditoría.
    3. En el campo Descripción, escriba una descripción breve para la plantilla.
    4. En el campo Plantilla, ingrese el formato de la plantilla del registro de auditoría. En el siguiente ejemplo se muestra el formato en lenguaje natural con variables de claves de metadatos seleccionadas.
       ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  
      Puede usar cualquiera de las variables de claves de metadatos compatibles con el registro de auditoría global que se muestran en la tabla Variables de claves de metadatos del registro de auditoría global compatibles.
  6. Haga clic en Guardar.

En el siguiente ejemplo se muestran registros de auditoría global en el formato en lenguaje natural para esta plantilla:

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 NW_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Paso siguiente

En Definir una configuración del registro de auditoría global se proporcionan instrucciones para definir una configuración del registro de auditoría global para NetWitness Suite.

You are here
Table of Contents > Procedimientos estándar > Configurar el registro de auditoría global > Definir una plantilla para el registro de auditoría global

Attachments

    Outcomes