Collecte des logs : Paramètres du fichier

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique décrit les paramètres de configuration de la collecte de fichiers.

Workflow

Ce workflow illustre les tâches de base qui vous permettent de commencer la collecte d'événements via Log Collection.

This workflow illustrates the basic tasks needed to start collecting events through Log Collection.

Que voulez-vous faire ?

                                        
RôleJe souhaite...Documentation
Administrateur

Effectuer l'implémentation Log Collection de base.

Implémentation de base
AdministrateurConfigurer un lockbox pour conserver les paramètres lockbox.Configurer un Lockbox

Administrateur

Démarrer les services Log Collection.

Démarrer des services de collecte

Administrateur*Configurer des protocoles Log Collection et des sources d'événements. Configurer des protocoles de collecte et des sources d'événements

Administrateur

Vérifier le fonctionnement de Log Collection.

Vérifier le fonctionnement de Log Collection

*Vous pouvez effectuer cette tâche ici.

Rubriques connexes

Paramètres de source d'événements de collecte de fichiers

Le tableau suivant fournit des descriptions des paramètres de la source de collecte de fichiers.

                                                                                                          
NomDescription
Basique
Répertoire de fichiers*

Répertoire de collecte (par exemple Eur_London100) dans lequel la source d'événement de fichiers place ses fichiers. Toute chaîne de caractères conforme à l'expression régulière suivante est une valeur valide :

[_a-zA-Z][_a-zA-Z0-9]*


Cela signifie que le répertoire de fichiers doit commencer par une lettre suivie de chiffres, de lettres et de traits de soulignement. Ne modifiez pas ce paramètre après avoir démarré la collecte de données d'événements.

Une fois que vous avez créé la collecte, Log Collector crée les sous-répertoires de travail, d'enregistrement et d'erreur dans le répertoire de collecte.

Adresse*Adresse IP de la source d'événement. La valeur valide est une adresse IPv4, une adresse IPv6 ou un nom d'hôte comprenant un nom de domaine complet.
Spéc. fichierExpression régulière. Par exemple, ^.*$ = tout traiter.
Encodage de fichier

Encodage de fichier pour l'internationalisation. Saisissez la méthode d'encodage de fichier. Les chaînes suivantes sont des exemples de méthodes valides :

  • UTF-8 (valeur par défaut)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFTJIS
  • EBCDICUS
EnabledCochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.
Avancé
Ignorer les erreurs de
conversion de chiffrement

Activez cette case à cocher pour ignorer les erreurs de conversion de chiffrement et les données non valides. Cette case à cocher est activée par défaut.

Attention : Cela peut provoquer des erreurs d'analyse et de transformation.

Quota des disques de fichiers

Détermine le moment où l'enregistrement des fichiers doit être arrêté, indépendamment des paramètres Enregistrer en cas d'erreur et Enregistrer en cas de réussite. Par exemple, la valeur 10 indique que lorsqu'il reste moins de 10 % d'espace disque disponible, Log Collector cesse d'enregistrer les fichiers afin de réserver suffisamment d'espace pour le traitement normal de la collecte.

Attention : L'espace disque disponible fait référence à une partition de montage du répertoire de collecte de base. Si le serveur Log Decoder a un disque de 10 To, et si 2 To sont alloués au répertoire de collecte de base, l'affectation de la valeur 10 à ce paramètre entraîne l'arrêt de la collecte des logs lorsqu'il reste moins de 0,2 To (10 % de 2 To) d'espace. Cela ne signifie pas 10 % de 10 To.

La valeur valide est un nombre compris entre 0 et 100. 10 est la valeur par défaut.

Traitement séquentiel

Balise de traitement séquentiel :

  • Activez la case à cocher (par défaut) pour traiter les fichiers de sources d'événements dans l'ordre de collecte.
  • Désactivez la case à cocher pour traiter les fichiers de sources d'événements en parallèle.
Enregistrer en cas d'erreurBalise d'enregistrement en cas d'erreur. Activez la case à cocher pour conserver le fichier de collecte eventsource lorsque Log Collector rencontre une erreur. Cette case à cocher est activée par défaut.
Enregistrer en cas de réussiteBalise d'enregistrement du fichier de collecte eventsource après traitement. Activez la case à cocher pour enregistrer le fichier de collecte eventsource, une fois qu'il a été traité. Par défaut, l'option n'est pas sélectionnée.
Clé SSH Eventsource

Clé publique SSH utilisée pour télécharger les fichiers de cette source d'événement. Pour obtenir des instructions sur la génération de clés, consultez la section Générer la paire de clés sur la source de l'événement et importer la clé publique dans Log Collector, dans le Guide d'installation et de mise à jour d'un agent SFTP.

Remarque : Si la collecte de fichiers est arrêtée, NetWitness Suite ne met pas à jour le fichier authorized_keys avec la clé publique SSH que vous ajoutez ou modifiez dans ce paramètre. Vous devez redémarrer la collecte de fichiers pour mettre à jour la clé publique.
Vous pouvez ajouter ou modifier la valeur de la clé publique dans ce paramètre pour plusieurs sources d'événements de fichiers lorsque la collecte de fichiers n'est pas en cours d'exécution. Toutefois, NetWitness Suite ne met pas à jour le fichier authorized_keys tant que la collecte de fichiers n'a pas redémarré.

Gérer les fichiers d'erreurs

Par défaut, Log Collectorutilise le paramètre Quota des disques de fichiers pour vérifier que le disque ne dépasse pas sa limite de remplissage avec des fichiers d'erreurs. Si vous affectez vrai à ce paramètre, vous pouvez spécifier l'une des valeurs suivantes :

  • espace maximal alloué aux fichiers d'erreurs dans le paramètre Taille des fichiers d'erreurs ;
  • nombre maximal de fichiers d'erreurs autorisés dans le paramètre Nombre de fichiers d'erreur.

Un pourcentage de réduction est également spécifié, ce qui indique au système le taux de réduction à appliquer lorsque le seuil maximal est atteint.

Activez la case à cocher pour gérer les fichiers d'erreurs. Par défaut, l'option n'est pas sélectionnée.

Taille des fichiers d'erreurs

Valide uniquement si les paramètres Gérer les fichiers d'erreurs et Enregistrer en cas d'erreur ont la valeur vrai.
Spécifie la limite dans laquelle NetWitness Suite enregistre les fichiers d'erreurs. La valeur que vous spécifiez correspond à la taille totale maximale de tous les fichiers dans le répertoire d'erreurs.

La valeur valide est un nombre compris entre 0 et 281 474 976 710 655. Vous devez spécifier ces valeurs en Kilooctets, Mégaoctets ou Gigaoctets. 100 Mo est la valeur par défaut. Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

Nombre de fichiers d'erreurs

Valide uniquement si les paramètres Gérer les fichiers d'erreurs et Enregistrer en cas d'erreur ont la valeur vrai. Nombre maximal de fichiers d'erreurs autorisés dans le répertoire d'erreurs. La valeur valide est un nombre compris entre 0 et 65536. 65536 est la valeur par défaut.

Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

% de réduction des fichiers d'erreurs

Valeur en pourcentage de la taille ou du nombre de fichiers d'erreurs que le service Log Collectorsupprime lorsque la taille ou le nombre maximal a été atteint. Le service supprime les anciens fichiers en premier.

La valeur valide est un nombre compris entre 0 et 100. 10 est la valeur par défaut.

Gérer les fichiers enregistrés

Activez la case à cocher pour gérer les fichiers enregistrés. Par défaut, l'option n'est pas sélectionnée.
Par défaut, Log Collector utilise le paramètre Quota des disques de fichiers pour vérifier que le disque ne dépasse pas sa limite de remplissage avec des fichiers enregistrés. Si vous activez cette case à cocher, vous pouvez spécifier l'une des valeurs suivantes :

  • espace maximal alloué aux fichiers enregistrés dans le paramètre Taille des fichiers enregistrés ;
  • nombre maximal de fichiers enregistrés autorisés dans le paramètre Nombre de fichiers enregistrés.

Un pourcentage de réduction est également spécifié, ce qui indique au système le taux de réduction à appliquer lorsque le seuil maximal est atteint.

Taille des fichiers enregistrés

Valide uniquement si les paramètres Gérer les fichiers enregistrés et Enregistrer en cas de réussite ont la valeur vrai.
Taille totale maximale de tous les fichiers dans le répertoire d'enregistrement. La valeur valide est un nombre compris entre 0 et 281474976710655. Vous devez spécifier ces valeurs en Kilooctets, Mégaoctets ou Gigaoctets. 100 Mo est la valeur par défaut.

Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

Nombre de fichiers enregistrés

Valide uniquement si les paramètres Gérer les fichiers enregistrés et Enregistrer en cas de réussite ont la valeur vrai. Nombre maximal de fichiers enregistrés autorisés dans le répertoire d'enregistrement. La valeur valide est un nombre compris entre 0 et 65536. 65536 est la valeur par défaut.

Si vous modifiez ce paramètre, le changement ne prendra effet qu'au redémarrage de la collecte ou du service Log Collector.

% de réduction des fichiers enregistrés

Valeur en pourcentage de la taille ou du nombre de fichiers enregistrés que le service Log Collector supprime lorsque la taille ou le nombre maximal a été atteint. Le service supprime les anciens fichiers en premier.

La valeur valide est un nombre compris entre 0 et 100. 10 est la valeur par défaut.

Débogage

Attention : N'activez le débogage (paramètre défini sur On ou Verbose) que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collectorde manière défavorable.

Active/désactive la consignation du débogage pour la source d'événement.
Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

AnnulerFerme la boîte de dialogue sans ajouter de type de source d'événement.
OKAjoute les paramètres de la source d'événement.

 

You are here
Table of Contents > Référence > Paramètres du fichier

Attachments

    Outcomes