Collecte ODBC : Créer un fichier typespec de contenu personnalisé

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique explique comment créer un fichier typespec personnalisé pour le Log Collector. Cette rubrique comprend :

  • Créer une procédure typespec personnalisée
  • Syntaxe typespec pour la collecte ODBC
  • Exemple de fichiers Typespec pour la collecte ODBC

Créer un fichier Typespec personnalisé

Pour créer un fichier typespec personnalisé :

  1. Ouvrez un client SFTP (par exemple, WinSCP) et connectez-vous à un Log Collector ou un Remote Log Collector.
  2. Accédez à /etc/netwitness/ng/logcollection/content/collection/odbc, puis copiez un fichier existant, par exemple bit9.xml.
  3. Modifiez le fichier en fonction de vos exigences. Reportez-vous à la section Syntaxe typespec pour la collecte ODBC pour plus d'informations.
  4. Renommez et enregistrez le fichier sur le même répertoire.
  5. Redémarrez le Log Collector.

Remarque : Vous ne pourrez pas voir le nouveau type de source d'événement NetWitness Suite tant que vous ne redémarrez pas le Log Collector.

Syntaxe typespec pour la collecte ODBC

Le tableau suivant décrit les paramètres typespec.

                                                                                         
ParamètreDescription

nom

Le nom d'affichage de votre source d'événement ODBC (par exemple, activeidentity). NetWitness Suite affiche ce nom dans le panneau Sources de Vue > Config > onglet Sources d'événements.

Utilisez une chaîne alphanumérique comme valeur. Vous ne pouvez pas utiliser de tiret (-), de tiret bas (_) ni d'espace. Le nom doit être unique parmi tous les fichiers typespec du dossier.

type

Type de source d'événement : odbc. Ne modifiez pas cette ligne.

prettyName

Nom défini par l'utilisateur pour la source d'événement. Vous pouvez utiliser la même valeur que le nom (par exemple, apache) ou utiliser un nom plus descriptif.

version

Version de ce fichier typespec. La valeur par défaut est 1.0.

auteur

Auteur du fichier typespec. Remplacez author-name par votre nom.

description

Description formelle de la source d'événement. Remplacez formal-description par votre description de la source d'événements.

Section <périphérique>

parser

Ce paramètre facultatif contient le nom de l'analyseur de log. Cette valeur impose au Log Decoder d'utiliser l'analyseur de log spécifié lors de l'analyse des logs à partir de cette source d'événement.

Remarque : Veuillez laisser ce champ vide lorsque vous n'êtes pas sûr de l'analyseur de log à utiliser.

nom

Nom de votre source d'événement ODBC (par exemple, ActivIdentity ActivCard AAA Server).

maxVersion

Numéro de version de la source d'événement (par exemple, 6.4.1).

description

Description de la source d'événement.

Section <collection>

odbc

La syntaxe sous <odbc> est utilisée pour la collecte et le traitement des événements.  Vous pouvez fournir plusieurs requêtes pour le même type de source d'événements en ajoutant des balises <query>.

query

Cette section contient les détails de la requête utilisée pour collecter des informations à partir de la source d'événement.

tag

Balise de préfixe que vous souhaitez ajouter aux événements durant la transformation (par exemple, ActivIdentity).

outputDelimiter

Précisez le délimiteur à utiliser pour séparer les champs. Spécifiez l'une des valeurs suivantes :

  • || (double barre verticale)
  • ^ (accent circonflexe)
  • , (virgule)
  • : (deux-points)
  • 0x20 (pour représenter un espace)

interval

Spécifiez le nombre de secondes entre les événements. La valeur par défaut est 60.

dataQuery

Spécifiez la requête pour récupérer les données de la base de données de source d'événements ODBC pour SQL-syntax. Par exemple :

SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate

maxTrackingQuery

Requête utilisée lors de l'extraction initiale des événements afin d'identifier le point de départ dans le jeu de données pour commencer l'extraction des logs. Après l'extraction initiale, cette requête n'est plus utilisée, sauf si la valeur maxTracking a été réinitialisée ou modifiée. Par exemple :

SELECT MAX(Event_Id) from ExEvents

trackingColumn

Valeur de la colonne de suivi utilisée lorsque le collecteur ODBC extrait un nouveau jeu d'événements.

Exemple de fichiers Typespec pour la collecte ODBC

L'exemple suivant est le fichier typespec pour la source d'événement IBM ISS SiteProtector.

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>siteprotector4_x</name>
   <type>odbc</type>
   <prettyName>SITEPROTECTOR4_X</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Collects events from SiteProtector</description>

   <device>
      <name>Internet Security Systems, Inc. RealSecure SiteProtector v 2.0</name>
      <maxVersion>2.0</maxVersion>
      <description></description>
      <parser>iss</parser>
   </device>

   <configuration>
   </configuration>

   <collection>
      <odbc>
         <query>
            <tag></tag>
            <outputDelimiter></outputDelimiter>
            <interval></interval>
            <dataQuery></dataQuery>
            <maxTrackingQuery></maxTrackingQuery>
            <trackingColumn></trackingColumn>
            <levelColumn></levelColumn>
            <eventIdColumn></eventIdColumn>
            <addressColumn></addressColumn>
         </query>
      </odbc>
   </collection>
</typespec>

L'exemple suivant est le fichier typespec pour la source d'événement Bit9 Security Platform.

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>bit9</name>
   <type>odbc</type>
   <prettyName>BIT9</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Bit9 Events</description>

   <device>
      <name>Bit9</name>
      <parser>bit9</parser>
   </device>

   <configuration>
   </configuration>

   <collection>
      <odbc>
         <query>
            <tag>BIT9</tag>
            <outputDelimiter>||</outputDelimiter>
            <interval>10</interval>
            <dataQuery>
            SELECT
            Timestamp,
            Event_Id,
            Computer_Id,
            File_Catalog_Id,
            Root_File_Catalog_Id,
            Priority,
            Type,
            Subtype,
            IP_Address,
            User_Name,
            Process,
            Description
            FROM
            ExEvents
            WHERE
            Event_Id > '%TRACKING%'
            </dataQuery>
            <trackingColumn>Event_Id</trackingColumn>
            <maxTrackingQuery>SELECT MAX(Event_Id) from ExEvents</maxTrackingQuery>
            <eventIdColumn></eventIdColumn>
         </query>
      </odbc>
   </collection>
</typespec>
Previous Topic:Configurer des DSN
You are here
Table of Contents > Protocole de collecte > ODBC > Créer un fichier Typespec personnalisé

Attachments

    Outcomes