Configuration de la collecte de logs : Configurer des filtres d'événements pour le Log Collector

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique vous indique comment créer et gérer des filtres d'événements pour tous les protocoles de collecte.

Remarque : Vous ne pouvez pas configurer de collecte Syslog pour les Local Log Collectors. Vous devez uniquement configurer Syslog Collection pour les Remote Collectors. Reportez-vous à la rubrique Configurer des collecteurs locaux et des collecteurs distants pour des informations de configuration supplémentaires.

Configurer un filtre d'événements

Pour configurer une source d'événements :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, sélectionnez Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.

  5. Sous l'onglet Sources d'événements, sélectionnez une méthode de collecte/Filtre dans les menus déroulants.

    L'écran suivant affiche Syslog sélectionné.

    Event Sources tab shows Filters drop-down menu.

    Remarque : La configuration de Syslog est uniquement disponible sur les Remote Collectors : si vous travaillez avec un service de Local Collector, Syslog n'est pas disponible dans le menu déroulant.

    La vue Filtres affiche les filtres configurés pour la méthode de collecte sélectionnée, le cas échéant.

  6. Dans la barre d'outils du panneau Filtres, cliquez sur .

    La boîte de dialogue Ajouter un filtre s'affiche.

    Add Filter dialog is displayed.

  7. Saisissez un nom et une description pour le nouveau filtre et cliquez sur Ajouter.

    Le nouveau filtre s'affiche dans le panneau Filtre.

    Event Sources tab is displayed.

  8. Sélectionnez le nouveau filtre dans le panneau Filtres et cliquez sur dans la barre d'outils du panneau Règles de filtrage.

    La boîte de dialogue Ajouter une règle de filtrage s'affiche.

  9. Cliquez sur sous Conditions de la règle.
  10. Ajoutez les paramètres pour cette règle et cliquez sur Mettre à jour > OK.

    Add Filter Rule dialog is displayed.

NetWitness Suite met à jour le filtre avec la règle que vous avez définie.

Remarque : Les règles sont traitées dans l'ordre du haut vers le bas jusqu'à ce qu'un type d'action abandonne le traitement ou que la règle finale soit vérifiée. Le comportement par défaut est d'accepter la règle si aucune correspondance n'est trouvée.

Les tableaux suivants décrivent les paramètres pour ajouter une règle de filtre.

Paramètre « Clé » d'une règle de filtre d'événement

Les valeurs du champ Clé dépendent de la méthode de collecte à laquelle s'applique le filtre.

                               
Méthode de collecte

Valeurs pour le champ Clé

Checkpoint, fichiers, Netflow, Plug-in,
SDEE SNMP et VMware

  • Tous les champs de données
  • Type de source d'événement
  • Nom de la source d'événement
  • IP source
  • Événement brut

ODBC

  • Tous les champs de données
  • Type de source d'événement
  • Nom de la source d'événement
  • IP source
  • ID de message
  • Niveau de message

Syslog

  • Tous les champs de données
  • Type de source d'événement
  • Nom de la source d'événement
  • IP source
  • Niveau Syslog
  • Événement brut

Windows

  • Tous les champs de données
  • Type de source d'événement
  • Nom de la source d'événement
  • IP source
  • ID d'événement
  • Fournisseur
  • Canal
  • Ordinateur
  • UserName
  • DomainName

Windows d'ancienne génération

  • Tous les champs de données
  • Type de source d'événement
  • Nom de la source d'événements
  • IP source
  • ID d'événement

Autres paramètres de règle de filtre d'événement

Le tableau suivant décrit tous les autres champs disponibles pour créer une règle de filtre d'événement.

                               
ChampDescription
Opérateur

Les valeurs autorisées sont les suivantes :

  • Contenu
  • Égal à
Utiliser Regex

Facultatif. Vous pouvez utiliser cette valeur si vous souhaitez utiliser une expression régulière (regex).

Valeur

La valeur dépend de la valeur de clé que vous avez sélectionnée.

Par exemple, si vous choisissez Niveau Syslog en tant que clé, la valeur correspondra à un nombre qui désigne le niveau Syslog.

Ignorer la casse

Facultatif. Sélectionnez cette option pour ignorer le respect de la casse.

Action

En cas de correspondance, vous pouvez choisir une action de type acceptation, refus, condition suivante ou règle suivante :

  • Acceptation : les événements qui correspondent à l'ID fournis sont inclus dans les logs d'événements et s'affichent dans l'interface utilisateur Systems Analytics.
  • Refus : les événements qui correspondent à l'ID fournis ne sont pas inclus dans les logs d'événements et ne s'affichent pas dans l'interface utilisateur.
  • Condition suivante : le filtre ignore les événements aux ID correspondants et passe à la condition de règle suivante.
  • Règle suivante : le filtre ignore les événements aux ID correspondants et passe à la règle suivante.

En cas de non-correspondance, vous pouvez choisir une action de type acceptation, refus, condition suivante ou règle suivante.

Modifier les règles de filtrage

Pour modifier une source d'événement :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, sélectionnez Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.

  5. Sous l'onglet Sources d'événements, sélectionnez une méthode de collecte/Filtre dans les menus déroulants.

    L'écran suivant affiche Check Point sélectionné.

    Filters view is displayed.

    La vue Filtres affiche les filtres configurés pour la méthode de collecte sélectionnée, le cas échéant.

  6. Dans la liste Règles de filtrage, sélectionnez une règle et cliquez sur .

    La boîte de dialogue Modifier la règle de filtrage s'affiche.

    Edit Filter Rule dialog is displayed.

  7. Sélectionnez la condition de règle à modifier.

    Select Rule Conditions is displayed.

  8. Modifiez les paramètres de condition nécessaires, puis cliquez sur Mettre à jour> OK.

NetWitness Suite applique les modifications des paramètres de condition à la règle de filtre sélectionnée.

Previous Topic:Procédure de base
You are here
Table of Contents > Notions de base de la collecte de logs > Configurer des filtres d'événements pour le Log Collector

Attachments

    Outcomes