Configuration de la collecte de logs : Configurer des sources d'événements Syslog pour le collecteur distant

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique vous indique comment configurer des sources d'événements Syslog pour le Log Collector.

Ne configurez pas la collecte Syslog pour les Local Log Collectors. Vous devez uniquement configurer la collecte Syslog pour les Remote Collectors.

Configurer une source d'événements Syslog

Les écouteurs Syslog pour UDP sur le port 514, TCP sur le port 514 et SSL sur le port 6514 sont créés par défaut. Vous ne devez pas modifier les paramètres SSL sur les écouteurs TCP et SSL. Si vous devez vérifier le certificat SSL, créez un nouveau type de source d'événement à écouter sur un port différent. Veuillez noter que iptables doit être configuré pour ouvrir ce port.

Pour configurer le Remote Log Collector pour la collecte Syslog :

  1. Accédez à ADMIN > Services.
  2. Dans la grille Services, sélectionnez un Remote Log Collector et dans le menu Actions, choisissez   > Vue > Config.
  3. Sélectionnez l'onglet Sources d'événements.
  4. Sélectionnez Syslog/Configuration dans le menu déroulant.

    Le panneau Catégories d'événements affiche les sources d'événements Syslog qui sont configurées, le cas échéant.

    Remarque : Pour RSA NetWitness Suite, certaines sources d'événements Syslog sont disponibles par défaut. Dans ce cas, vous pouvez passer à l'étape 6.

  5. Dans la barre d'outils du panneau Catégories d'événements, cliquez sur .

    La boîte de dialogue Types de sources d'événements disponibles s'affiche.

  6. Sélectionnez syslog-tcp ou syslog-udp. Vous pouvez configurer l'un ou les deux, selon les besoins de votre organisation.
  7. Sélectionnez le nouveau type dans le panneau Catégories d'événements, puis cliquez sur dans la barre d'outils du panneau Sources.

    La boîte de dialogue Ajouter une source s'affiche.

  8. Saisissez le numéro du port et sélectionnez Activé. Si vous le souhaitez, vous pouvez également configurer les paramètres avancés selon vos besoins.

    Cliquez sur OK pour accepter vos modifications et fermer la boîte de dialogue.

Une fois que vous configurez un ou les deux types Syslog, le Log Decoder ou le Remote Log Collector collecte ces types de messages à partir de toutes les sources d'événements disponibles. Par conséquent, vous pouvez continuer à ajouter des sources d'événements Syslog à votre système sans avoir à effectuer de configuration supplémentaire dans RSA NetWitness Suite.

Paramètres Syslog

Les tableaux suivants décrivent les paramètres de base et avancés disponibles pour la configuration de Syslog.

Paramètres de base

                       
NomDescription
Port*Le port par défaut est 514.
EnabledCochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.
Destinataire SSL

Remarque : Ce paramètre s'applique aux versions RSA NetWitness® Suite  11.1 ou supérieure. Il est disponible uniquement pour la catégorie d'événement syslog-tcp.

Si vous activez la case à cocher, la source d'événement accepte uniquement les connexions SSL/TLS. En outre, si vous modifiez ce paramètre, vous devez arrêter et redémarrer la collecte Syslog pour que la modification soit effective.

Paramètres avancés

                               
NomDescription
Seuil des logs de publications en vol

Établit un seuil pour lequel, lorsqu'il est atteint, NetWitness génère un message de log pour vous aider à résoudre des problèmes de flux des événements. Le seuil correspond à la taille des messages d'événements Syslog circulant actuellement entre la source d'événement et NetWitness.

Les valeurs autorisées sont les suivantes :

  • 0 (valeur par défaut) - désactive le message log
  • 100-100000000 - génère le message log lorsque les messages d'événements Syslog passant de la source d'événement à NetWitness sont compris dans une plage d'octets entre 100 et 100 000 000.
Nombre maximal de récepteursNombre maximum de ressources récepteur utilisées pour traiter les événements syslog collectés.  La valeur par défaut est 2.
Filtre d'événements

Sélectionnez un filtre.

Reportez-vous à Configurer des filtres d'événements pour un Collector pour obtenir des instructions sur la manière de définir des filtres.

Débogage

Attention : N'activez le débogage (paramètre défini sur « On » ou « Verbose ») que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active ou désactive la consignation du débogage pour la source d'événement.

Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.
Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

Mode de vérification SSL

Remarque : Ce paramètre s'applique aux versions RSA NetWitness® Suite  11.1 ou supérieure. Il est disponible uniquement pour la catégorie d'événement syslog-tcp.

Ce paramètre s'applique uniquement si le paramètre Destinataire SSL est sélectionné. Si vous modifiez le mode de vérification SSL, vous devez arrêter et redémarrer la collecte Syslog pour que la modification soit effective.

Options disponibles :

  • verify-none : (par défaut) le serveur ne vérifie pas le certificat du client, si existant. Un client peut se connecter sans présenter de certificat.
  • verify-peer: Le serveur vérifie le certificat du client, si existant. Un client peut se connecter sans présenter de certificat.

    Remarque : Si la vérification échoue, un message d'avertissement est consigné mais les messages continueront d'être acceptés.

  • verify-peer-fail-if-no-cert : Le client doit présenter un certificat pour qu'il soit vérifié par le serveur.

    Remarque : Si vous utilisez ce mode, le certificat d'autorité de certification du client doit être téléchargé dans le magasin d'approbations du Log Collector à l'aide de l'API REST à l'adresse http://LC-ip-address:50101/sys/caupload

You are here
Table of Contents > Protocole de collecte > Configurer des sources d'événements Syslog pour le collecteur distant

Attachments

    Outcomes