ESM : Créer une source d'événement et modifier des attributs

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Vous pouvez organiser vos sources d'événements en groupes. Pour cela, vous devez saisir des valeurs pour différents attributs de chaque source d'événement. Par exemple, pour toutes vos sources d'événements haute priorité, vous pouvez définir la Priorité sur 1. Vous pouvez afficher des détails sur les attributs disponibles dans l'onglet Onglet Gérer la source d'événement.

La figure suivante donne un exemple du panneau sources d'événements :

Le panneau Sources d'événements s'affiche.

Les attributs de source d'événement sont une association d'informations remplies automatiquement et saisies par l'utilisateur. Lorsqu'une source d'événement envoie des informations de log à NetWitness Suite, elle est ajoutée à la liste de sources d'événement, et certaines informations de base sont remplies automatiquement. À tout moment par la suite, les utilisateurs peuvent ajouter ou modifier des détails pour d'autres attributs de source d'événement.

Attributs obligatoires

Les attributs d'identification suivants sont gérés de manière spéciale : IP, IPv6, Nom d'hôte, Type de source d'événement, Log Collector et Log Decoder. Si vous créez une source d'événement manuellement, vous pouvez saisir ces valeurs. Lorsque vous enregistrez la source d'événement, ces valeurs ne peuvent plus être modifiées.

Les sources d'événements peuvent également être découvertes automatiquement ; toute source d'événement qui envoie des messages au Log Decoder sera ajoutée à la liste de sources d'événements. Si vous modifiez les attributs d'une source d'événement découverte automatiquement, vous ne pouvez modifier aucun de ces champs.

Notez que tous ces champs ne sont pas obligatoires. Pour identifier une source d'événement de manière unique, les informations suivantes sont requises :

  • IP ou IPv6 ou Nom d'hôte et
  • Type de source d'événement

De plus, RSA NetWitness Suite utilise une hiérarchie pour IP, IPv6 et le Nom d'hôte. L'ordre est le suivant :

  1. IP
  2. IPv6
  3. Nom de l’hôte

Si vous saisissez des sources d'événements manuellement, vous devez garder cet ordre à l'esprit. Sinon, des réplicas risquent d'être créés lors de la réception de messages provenant de sources d'événements que vous avez ajoutées manuellement.

Tous les autres attributs (tels que Priorité, Pays, Entreprise, Fournisseur, etc.) sont facultatifs. 

Créer une source d'événements

  1. Accédez à Administrateur > Sources d’événements.
  2. Sélectionnez l'onglet Gérer.
  3. Dans le panneau sources d'événements, cliquez sur  pour ouvrir l'écran des détails, qui contient tous les attributs de source d'événement.

    L'onglet Onglet Gérer la source d'événement s'affiche.

  4. Saisissez ou modifiez les valeurs pour tous les attributs.
  5. Cliquez sur Enregistrer.

Mettre à jour les attributs pour une source d'événement

  1. Accédez à ADMIN > Sources d’événements.
  2. Sélectionnez l'onglet Gérer.
  3. Dans le panneau sources d'événements, sélectionnez une source d'événement dans la liste.
  4. Dans le panneau sources d'événements, cliquez sur  pour ouvrir l'écran des détails, qui contient tous les attributs de source d'événement.

    L'onglet Onglet Gérer la source d'événement s'affiche.

  5. Saisissez ou modifiez les valeurs de tous les attributs, à l'exception de certains attributs qui ne peuvent pas être modifiés une fois saisis.
  6. Cliquez sur Enregistrer.
You are here
Table of Contents > Gérer des groupes de sources d'événement > ESM : Créer une source d'événement et modifier des attributs

Attachments

    Outcomes