Configuration de la collecte de logs : Importer, exporter et modifier des sources d'événements en bloc

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique vous indique comment importer, exporter, modifier et tester des sources d'événements en bloc.

Vous pouvez utiliser l'option d'exportation en bloc pour exporter les détails des sources d'événements de votre configuration actuelle et les stocker. Ces données peuvent être importées en bloc lorsque vous rencontrez un problème avec votre configuration actuelle et que vous avez besoin des données des sources d'événements disponibles.

Vous pouvez utiliser la fonction de modification en bloc lorsque vous avez plusieurs sources d'événements qui requièrent une modification spécifique. Vous pouvez sélectionner toutes les sources et leur appliquer l'option de modification en une seule fois et ainsi éviter d'appliquer la modification à chaque source une par une.

Importer des sources d'événements en bloc

Avertissement :Lorsque vous utilisez un tableur pour modifier un fichier CSV de source événement exporté, certains champs de données comme les numéros et les dates peuvent être reformatés dans des types de champ natif du tableur. Cela peut entraîner des problèmes lors de l'importation de cette information, car certains champs de données peuvent être tronqués ou incorrectement formatés. Cela peut être évité en important le fichier CSV dans le tableur et en spécifiant tous les champs de données en tant que valeurs de texte.

Pour importer plusieurs sources d'événements simultanément :

  1. Accédez à Admin > Services.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, sélectionnez  > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.
  5. Sélectionnez Check Point, Fichier, Netflow, ODBC, Plug-ins, SDEE, (Syslog pour les Remote Collectors uniquement), VMware, Windows, ou Windows d'ancienne génération (SNMP ne dispose pas d'une fonction d'importation).
  6. Dans la barre d'outils du volet Sources , cliquez sur Importer la source.

    La boîte de dialogue Option d'ajout en bloc s'affiche.

    Bulk Add Option dialog is displayed.

  7. Sélectionnez Importer le fichier CSV ou Coller le contenu CSV. Si vous sélectionnez :

    • Importer le fichier CSV :

      1. Cliquez sur Suivant.

        La boîte de dialogue Importer s'affiche.

      2. Cliquez sur Ajouter, puis sélectionnez un fichier .csv à partir de votre réseau.

        Import dialog is displayed.

      3. Cliquez sur Importer.

        Les sources d'événements sont ajoutées à la liste Sources d'événements.

    • Coller le contenu CSV :

      1. Copiez le contenu du fichier .csv et collez-le dans la boîte de dialogue.

        Bulk Add Option dialog shows.csv option selected.

      2. Cliquez sur Importer.

        Les sources d'événements sont ajoutées à la liste Sources d'événements.

Exporter des sources d'événements en bloc

Avertissement :Lorsque vous utilisez un tableur pour modifier un fichier CSV de source événement exporté, certains champs de données comme les numéros et les dates peuvent être reformatés dans des types de champ natif du tableur. Cela peut entraîner des problèmes lors de l'importation de cette information, car certains champs de données peuvent être tronqués ou incorrectement formatés. Cela peut être évité en important le fichier CSV dans le tableur et en spécifiant tous les champs de données en tant que valeurs de texte.

  1. Accédez à Admin > Services.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, puis sélectionnez > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.
  5. Sélectionnez Check Point, Fichier, Netflow, ODBC, Plug-ins, SDEE, (Syslog pour les Remote Collectors uniquement), VMware, Windows, ou Windows d'ancienne génération (SNMP ne dispose pas d'une fonction d'exportation).
  6. Dans le volet Sources, sélectionnez une ou plusieurs sources d'événements, puis cliquez sur Exporter la source.

    La boîte de dialogue Exporter en bloc s'affiche.

    Bulk Export dialog is displayed.

  7. Selon votre sélection :

    • Tout, NetWitness Suite exporte toutes les sources d'événements dans un fichier CSV horodaté.
    • Sélection, NetWitness Suite exporte la ou les sources d'événements que vous avez sélectionnées dans un fichier CSV horodaté.
    • Annuler, NetWitness Suite annule l'exportation.

Voici un exemple d'un fichier CSV horodaté qui est créé avec les sources d'événements que vous avez sélectionnées dans la liste.

Example of a time-stamped CSV file.

Modifier des sources d'événements en bloc

Pour modifier plusieurs sources d'événements simultanément :

  1. Sous l'onglet Sources d'événements Log Collector, sélectionnez Check Point, Fichier, Netflow, ODBCPlug-ins, SDEE, Syslog, VMware, Windows ou Windows d'ancienne génération (SNMP ne dispose pas de la fonction Modifier).
  2. Dans le panneau Sources, sélectionnez plusieurs sources d'événements, puis cliquez sur (icône Modifier).

    La boîte de dialogue Modifier en bloc correspondant à la source d'événement s'affiche. La figure suivante illustre la boîte de dialogue Modifier la source en bloc en tant que paramètres des sources d'événements Fichiers.

    Bulk Edit Source dialog shows bulk operation enabled.

  3. Activez la case à cocher située à gauche des champs que vous souhaitez modifier (par exemple, Debug).
  4. Modifiez les paramètres sélectionnés (par exemple, passez Debug de l'état Off à l'état On).
  5. Cliquez sur OK.

    NetWitness Suite applique les mêmes modifications de valeurs de paramètres à toutes les sources d'événements sélectionnées.

Tester des connexions de sources d'événements en bloc

Pour tester plusieurs connexions de sources d'événements simultanément :

  1. Accédez à Administrateur > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Sous Actions, sélectionnez  > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Sélectionnez l'onglet Sources d'événements, puis Plug-ins, ODBC, ou Windows (les autres protocoles ne disposent d'aucune fonction de connexion de tests en bloc).
  5. Sélectionnez au moins :

    • une source dans le panneau Sources pour Plug-ins ou ODBC ;
    • hôtes à partir du panneau Hôtes pour Windows

    Le bouton Tester la connexion est activé.

    Example shows test connection selected.

  6. Cliquez sur .

    La boîte de dialogue Connexions de tests en bloc qui est affichée indique l'état actuel du test pour chaque source, à savoir en attente, en cours, réussi ou échoué.

    Si vous choisissez d'arrêter le test avant la fin, celui-ci s'arrête et la boîte de dialogue Connexions de tests en bloc se ferme.

Une fois le test terminé, les résultats s'affichent dans la boîte de dialogue Connexions de tests en bloc.

Voir aussi

Vous pouvez utiliser le module Sources d'événements (Administration > Sources d'événements) pour créer des groupes de sources d'événements, généralement importés à partir de CMBD et pour surveiller des sources d'événements basées sur ces groupes. Pour plus d'informations, reportez-vous aux rubriques suivantes dans le Guide de gestion de la source d'événement :

  • Importer des sources d'événements
  • Exporter des sources d'événements
  • Modification en bloc de la source d'événement
You are here
Table of Contents > Notions de base de la collecte de logs > Importer, exporter, modifier et tester des sources d'événements en bloc

Attachments

    Outcomes